理论
SNMP的作用:
1、 SNMP是简单网管协议,可以为网管软件提供图形化界面网管能力;
2、 SNMP提供给用户进行网络管理时,权限分为读和写,可以分别设置;
3、 SNMP有3个版本v1、v2c和v3,其中v1和v2c只拥有密码而v3提供用户名和密码配合的认证方式;
4、 SNMP中的组可以将一些策略相同的用户进行统一操作;
1.6 SNMP命令
SNMP命令包括:
snmp-server community
snmp-server contact
snmp-server enable traps
snmp-server host
snmp-server location
snmp-server trap-authentication snmpv1
show snmp
1.6.1 snmp-server community
设置团体名及访问权限。
snmp-server community { ro | rw } community-name
【参数说明】
community-name为团体名,类型为字符串。
ro和rw表示该团体的访问权限有只读(read-only)和读写(read-write)两种。
【缺省情况】
系统缺省认为具有只读权限的团体名为public,具有读写权限的团体名为private。
【命令模式】
全局配置模式
【使用指南】
SNMP v1 采用团体名认证方案,与设备认可的团体名不符的 SNMP 报文将被丢弃。不同的团体可具有只读(read-only)或读写(read-write)两种访问权限。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
【举例】
设置public团体具有只读权限,private团体具有读写权限
Quidway(config)#snmp-server community ro public?
Quidway(config)#snmp-server community rw private?
1.6.2 snmp-server contact
设置网络管理人员的标识及联系方法。
snmp-server contact sysContact
【参数说明】
sysContact为一字符串,表示网络管理人员的标识和联系方法。
【缺省情况】
系统缺省的sysContact为SysAdmin。
【命令模式】
全局配置模式
【使用指南】
当网络出现故障时,可以根据此信息与网络管理人员进行联系。
【举例】
Quidway(config)#snmp-server contact sysadmin:XXX(Tel:1234)
1.6.3 snmp-server enable traps
禁止或允许系统发送Trap。
[ no ] snmp-server enable traps
【缺省情况】
系统缺省为允许发送Trap。
【命令模式】
全局配置模式
【使用指南】
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件。
【举例】
禁止系统发送Trap。
Quidway(config)#no snmp-server enable traps
【相关命令】
snmp-server host
1.6.4 snmp-server host
设置Trap目标主机的IP地址。
snmp-server host host-ip-address
【参数说明】
host-ip-address为Trap目标主机的IP地址,为点分十进制格式。
【命令模式】
全局配置模式
【使用指南】
在允许系统发送Trap后,必须设置Trap目标主机的IP地址。
【举例】
设置Trap目标主机IP地址为129.102.0.1。
Quidway(config)#snmp-server host 129.102.0.1
【相关命令】
snmp-server enable traps
1.6.5 snmp-server location
设置路由器的物理位置描述。
snmp-server location sysLocation
【参数说明】
sysLocation为路由器所在物理位置的描述。
【命令模式】
全局配置模式
【使用指南】
为了便于网络管理人员能够很快找到路由器,可以查看此关于路由器物理位置的描述。
【举例】
Quidway(config)#snmp-server location beijing-huawei-401
1.6.6 snmp-server trap-authentication snmpv1
允许或禁止路由器发送Authentication Trap。
[ no ] snmp-server trap-authentication snmpv1
【缺省情况】
系统缺省设置为允许发送Authentication Trap。
【命令模式】
全局配置模式
【使用指南】
Authentication Trap 是 Trap 的一种。如果允许发送 Authentication Trap,则当被管设备收到含有错误团体名的请求时,可向 NMS 发送验证失败报告(Authentication Trap)。
【举例】
禁止发送Authentication Trap。
Quidway(config)#no snmp-ser
思科
SNMPv2
R1(config)#snmp-server community cisco rw /设置 Read-Write 的共同体名/
R1(config)#snmp-server enable traps config /配置 SNMP 的 Trap 事件/
R1(config)#snmp-server host 192.168.200.1 cisco /将 SNMP 的 Trap 事件发往指定的网络管理工作站 /
SNMPv3
R1(config)#access-list 1 permit 1.1.1.1
R1(config)#snmp-server group CCNP v3 priv read READ write WRITE access 1
/创建SNMP组 CCNP,使用版本V3,进行V3认证,读权限为read,写权限为write/
R1(config)#snmp-server view READ iso included /创建SNMP权限视图read,权限由ISO定义/
R1(config)#snmp-server view WRITE system(小写) included
/创建SNMP权限视图write,权限由system定义/
R1(config)#snmp-server user ADMIN CCNP v3 auth md5 cisco
/创建SNMP组CCNP内的用户ADMIN,版本为V3,使用MD5认证,密码为cisco/
华为
SNMPv3
1、配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。
[Switch]snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本,当交换机未去使能SNMPv3版本时,该命令可以不配置。
2、配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。
[Switch]acl 2001
[Switch-acl-basic-2001]rule permit source 10.1.1.1 0 //指定仅IP地址为10.1.1.1的网管才能访问设备。
[Switch-acl-basic-2001]rule deny
配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。
[Switch]snmp-agent mib-view included isoviewiso //指定能够访问的MIB视图包含iso。
3、配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。
配置用户组名为group001,安全级别为privacy,并应用访问控制,限制网管对交换机的管理。
[Switch]snmp-agent group v3 group001 privacywrite-view isoview acl 2001 //配置用户组,并应用访问控制,使访问控制功能生效。
配置用户名为user001。
[Switch]snmp-agent usm-user v3 user001 groupgroup001 //配置用户名,并将用户名加入指定的用户组。
认证密码为Authe@1234。
[Switch]snmp-agent usm-user v3 user001authentication-mode sha //配置认证方式,提升使用v3版本时交换机被管理的安全性。
Pleaseconfigure the authentication password (8-64)
EnterPassword: //输入认证密码,本例的认证密码为:Authe@1234。
ConfirmPassword: //确认认证密码,本例的认证密码为:Authe@1234。
加密密码为Priva@1234。
[Switch]snmp-agent usm-user v3 user001privacy-mode aes256 //配置加密方式,提升使用v3版本时交换机被管理的安全性。
Pleaseconfigure the privacy password (8-64)
EnterPassword: //输入加密密码,本例的加密密码为:Priva@1234。
ConfirmPassword: //确认加密密码,本例的加密密码为:Priva@1234。
4、配置告警主机,并使能交换机主动发送Trap消息的功能。
[Switch]snmp-agent trap enable
Warning:All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
[Switch]snmp-agent target-host trap addressudp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则网管无法管理设备。