SNMP
1. 技术背景
2. SNMP概述
3. SNMP的角色认知
4. SNMP的基本工作原理
5. MIB
SNMPv3 的基础配置
NTP 的基础配置
SNMP
1. 技术背景
![c1a6d7680d8bb3226a766cfa41265de5.png](https://i-blog.csdnimg.cn/blog_migrate/f7f781aacebf6d22e9c066a27b80af0f.png)
假设你作为一个网络的管理员,要实现对网络的管理,要知道每台网络设备的运行状况,并且在网络设备发生一些关键性事件的时候第一时间捕捉到,该如何实现呢?这里就要用到SNMP(Simple NetworkManagement Protocol)了。
随着网络业务的日益发展,现有的网络中,设备数量日益庞大,且这些设备与网络管理员所在的中心机房距离较远。当这些设备发生故障时,如果设备无法主动上报故障,导致网络管理员无法及时感知、及时定位和排除故障,那么将导致网络的维护效率降低,维护工作量大大增加。
利用SNMP简单网络管理协议,网管服务器可以远程询问设备的状态,同样设备也能够在特定类型的事件发生时向网络管理工作站发出警告。SNMP是规定网管站和设备之间如何传递管理信息的应用层协。SNMP定义了网管管理设备的几种操作,以及设备故障时能向网管主动发送告警。
![d1247eb69dac36a1c98b5cef490db82b.png](https://i-blog.csdnimg.cn/blog_migrate/11cf5a8ad44b9c34316f24c992423e20.png)
![d1247eb69dac36a1c98b5cef490db82b.png](https://i-blog.csdnimg.cn/blog_migrate/11cf5a8ad44b9c34316f24c992423e20.png)
网管使用SNMP协议管理设备时,存在网管站、Agent和被管理设备三个角色。关于角色、MIB和操作的定义和作用请参考下面的具体内容。
2. SNMP概述
SNMP(Simple Network Management Protocol
,简单网络管理协议)是广泛用于TCP/IP网络的网络管理标准协议,是一个公有的标准。SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理工作站NMS)来管理网元的方法。共有三个版本SNMPv1、SNMPv2c和SNMPv3,用户可以根据情况选择同时配置一个或多个版本。
3. SNMP的角色认知
- 网管站(Network Management Station):向被管理设备发送各种查询报文,以及接收被管理设备发送的告警。在实际的网络环境中就是安装了网管软件的服务器。
- 被管理设备(Devices):也就是网络中的各种接受网管的设备,常见的如路由器、交换机、防火墙以及其他支持SNMP管理的设备。
- 代理(Agent):驻留在被管理设备上的一个进程。Agent的作用如下。
- 接收、解析来自网管站的查询报文。
- 根据报文类型对管理变量进行Read或Write操作,并生成响应报文,返回给网管站。
- 根据各协议模块对告警触发条件的定义,当发生某个事件(如端口UP/DOWN,STP拓扑变更、OSPF邻居关系DOWN掉等)的时候,主动触发一个告警,向网管站报告该事件。
4. SNMP的基本工作原理
![318413ef44320e2b01f767c0af9d398c.png](https://i-blog.csdnimg.cn/blog_migrate/e5a94c2e6125b1e3a6a0032ace7e4f36.png)
上面是一个最简化的呈现方式,我们只需要保证被网管设备与网关站之间是IP可达的,就可以利用SNMP实现网管。一种典型的网管方式是NM Station发送相关的报文去查询被网管设备的相关运行信息(例如查看设备的CPU利用率),被网管设备针对这个查询进行响应,此时,NM Station访问的是被网管设备的UDP161端口。
![94cc6eb074c8fdcb254f6f2b8c608015.png](https://i-blog.csdnimg.cn/blog_migrate/640d610549c66c3e6b8ebc3958a8571a.png)
另一种典型的网管方式是,被网管设备在某个事件发生后,触发了一个告警,它将该告警通过Trap报文发往NM Station的UDP 162端口。从而网管站能够在第一时间了解到网络中的各种突发事件。
5. MIB
![32e0ceaad1c9307c0b34a6bb5bb2c50c.png](https://i-blog.csdnimg.cn/blog_migrate/2b752b58fbaad4948c31ed92e3103998.png)
想象一下每一个被网管的设备都有一棵“树”,这棵树有许多分支和节点,在节点上挂着果实,要了解该设备的某个信息,就去摘取一个特定的果实,这棵树就是MIB。
每一个被网管设备的Agent都维护一个MIB库,MIB(Management Information Base
,管理信息库)是一个类似于树形结构的数据库,其中含有大量对象(Objects),这些对象中存储着该设备的各种信息,而MIB就是所有对象的集合。可以通过对MIB的读取或写入来实现对设备的管理,下图就是MIB的一个简单呈现:
![8ce93ccaefbd7bd7fb81d41057b46207.png](https://i-blog.csdnimg.cn/blog_migrate/bdeb0ee6fdd4fb9c014ced8f8d1bfa17.png)
MIB是以树状结构进行存储的,树的节点表示管理对象Object,在对象中就存储着可用于网管的信息,对象可以用从根Root开始的一条路径来唯一的识别,这就是OID(Object Identifier,即对象标示符),
通过OID就可以准确的定位到某个对象,例如下图中,要找internet节点,就使用{1.3.6.1}
:
通过OID树,可以高效且方便地管理其中所存储的管理信息,同时也方便了对其中的信息进行批量查询。特别地,当用户在配置Agent时,可以通过MIB视图来限制NMS能够访问的MIB对象。MIB视图实际上是MIB的子集合。
目前SNMPv1在现网中已经几乎不再使用,SNMPv2c也不建议使用,SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致,唯一的区别是SNMPv3增加了身份验证和加密处理。出于安全考虑,建议使用SNMPv3。
SNMPv3 的基础配置
![7fa8ff9c24cb8f97e4024a0bc0fa27a4.png](https://i-blog.csdnimg.cn/blog_migrate/30ed78020a6af01ee3ad85ef3da2cc25.png)
SW为以太网交换机(以S5300交换机的V2R3系统软件版本为例),按图中所示连接着网络管理系统(NMS),典型的NMS如I2000。完成SW的配置,使得NMS能够通过SNMP管理SW,而且SW也能够将告警通过SNMPTrap上报给NMS。
SW的关键配置如下:
#创建ACL2900,用于匹配NMS(例如I2000),只有被该ACL所匹配的设备才能够通过SNMP管理本交换机:
[SW] acl 2900
[SW-acl-basic-2900] rule permit source 192.168.1.1 0.0.0.0
#完成SNMPv3的配置:
[SW] snmp-agent
[SW] snmp-agent sys-info contact Input_ContactInformation_Here
[SW] snmp-agent sys-info location Input_Location_Here
[SW] snmp-agent sys-info version v3 #使用SNMPv3版本
[SW] snmp-agent mib-view included snmpview1 iso
[SW] snmp-agent group v3 group_i2k privacy read-view snmpview1 notify-view snmpview1 acl 2900
#配置SNMPv3用户组
[SW] snmp-agent usm-user v3 user_i2k group group_i2k #配置SNMPv3用户
[SW] snmp-agent usm-user v3 user_i2k authentication-mode sha #配置SNMPv3用户认证口令
Please configure the authentication password (8-64)
Enter Password:Huawei123 #根据实际情况修改
Confirm Password:Huawei123
[SW] snmp-agent usm-user v3 user_i2k privacy-mode aes256 #配置SNMPv3用户加密口令
Please configure the privacy password (8-64)
Enter Password:Huawei@123 #根据实际情况修改
Confirm Password:Huawei@123
#配置设备告警:
[SW] snmp-agent trap source Vlanif100 #指定发送Trap报文的源端接口,该接口视实际情况而定
[SW] snmp-agent trap enable
[SW] snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname user_i2k v3 privacy
注意:上述配置仅呈现交换机SNMP及告警相关的配置,其他的诸如交换机VLAN、Vlanif及接口类型等配置 不再赘述。
注意事项:
- 在部署网络设备与NMS(例如I2000网管系统)对接时,务必确保两者之间各项参数的绝对匹配,例如SNMP版本、SNMP加密或鉴权方式及密码等等。
- 要求采用SNMPv3版本进行部署,而不是安全性较低的SNMPv2c或SNMPv1。
- 在实际部署网络设备与NMS的对接时,建议首先确保两者之间通信的正常,以交换机为例,可在设备上ping网管系统。在测试设备告警时,需在设备上执行带源IP地址的ping测试,其中源IP地址为设备告警报文的源IP地址,也就是snmp-agent trap source命令所指定的接口IP地址,缺省时,该IP地址为告警报文出接口的IP地址。
NTP 的基础配置
- 网络中部署了NTP服务器(NTPServer),为主机及网络设备提供时钟源。
- 完成SW的配置,使得SW能够与NTPServer同步时钟。SW的配置如下:
#激活NTP身份认证功能(建议在现网中部署NTP时激活身份认证功能,NTPServer需相应激活认证功能):
[SW] ntp-service authentication enable
#配置NTP身份认证的Key-ID及Key,该Key-ID及Key需与NTPServer上的完全相同:
[SW] ntp-service authentication-keyid 1 authentication-mode md5 XXXX
#将Key-ID 1指定为可信任的密钥:
[SW] ntp-service reliable authentication-keyid 1
#指定NTP服务器,并且关联Key-ID 1:
[SW] ntp-service unicast-server 192.168.1.1 authentication-keyid 1
说明:其中192.168.1.1是NTP服务端设备,服务端设备可以是Linux平台的服务器,也可以是网络设备。华为S系列交换机支持的NTP版本是1-3,缺省使用的是版本3。如果NTP服务器是Linux操作系统,并且使用NTPv4,是可以与交换机的NTPv3兼容的。如果双方激活了authentication,那么要确保两端authentication-keyid和Key都是分别一致的。
![0e64864dc946a2e458a7f85f30c48498.png](https://i-blog.csdnimg.cn/blog_migrate/c8c6c3620368d7c5c04ef3a511414583.jpeg)
今日咱们来聊聊交换安全--端口镜像、端口隔离
![49a936206da8afc07b7454774a02aa16.png](https://i-blog.csdnimg.cn/blog_migrate/d34a6051a81915b59c12677d3587716c.jpeg)
网工必知必会 —— 链路聚合