SNMP的配置开启及H3C设备如何配置SNMP协议.doc

1、         SNMP配置及H3C设备如何配置SNMP协议 开启SNMP协议就可以应用网管软件与IT运维管理系统来扫描发现支持SNMP协议的网络设备，并对这些IT设备进行自动化与智能化的管理。 网址： 该软件只有1.85M，几分钟就能安装部署完毕 H3C设备如何配置SNMP协议 1. 使用telnet登陆设备 System-view（进入系统查看模式） Snmp-agent（开启snmp） Snmp-agent community read public Snmp-agent sys-info version all Dis cur（查看全部配置） Sav

2、e 保存 Y 直接按回车 提示sucessfully quit 退出 quit 退出 配置完成。。 1.1  概述 SNMP是Simple Network Manger Protocol（简单网络管理协议）的缩写，在1988年8月就成为一个网络管理标准RFC1157。到目前，因众多厂家对该协议的支持，SNMP已成为事实上的网管标准，适合于在多厂家系统的互连环境中使用。利用SNMP协议，网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划，网络监控和管理是SNMP的基本功能。 SNMP是一个应用层协议，为客户机/服务器模式，包括三个部分： l

3、         SNMP网络管理器 l         SNMP代理 l         MIB管理信息库 SNMP网络管理器，是采用SNMP来对网络进行控制和监控的系统，也称为NMS (Network Management System)。常用的运行在NMS上的网管平台有HP OpenView 、CiscoView、CiscoWorks 2000，锐捷网络针对自己的网络设备，开发了一套网管软件－－Star View。这些常用的网管软件可以方便的对网络设备进行监控和管理。 SNMP代理（SNMP Agent）是运行在被管理设备上的软件，负责接受、处理并且响应来自NMS的监控和控制报文

4、也可以主动发送一些消息报文给NMS。 NMS和Agent的关系可以用如下的图来表示： 图1 网络管理站（NMS）与网管代理（Agent）的关系图 MIB（Management Information Base）是一个虚拟的网络管理信息库。被管理的网络设备中包含了大量的信息，为了能够在SNMP报文中唯一的标识某个特定的管理单元，MIB采用树形层次结构来描述网络设备中的管理单元。树的节点表示某个特定的管理单元。如下图MIB对象命名树，为了唯一标识网络设备中的某个管理单元System，可以采用一串的数字来表示，如{1.3.6.1.2.1.1}这一串数字即为管理单元的Object Ide

5、ntifier（单元标识符），MIB则是网络设备的单元标识符的集合。 图2 MIB树形层次结构 1.2  SNMP协议版本 目前SNMP支持以下版本： l         SNMPv1 ：简单网络管理协议的第一个正式版本，在RFC1157中定义。 l         SNMPv2C：基于共同体（Community-Based）的SNMPv2管理架构, 在RFC1901中定义的一个实验性协议。 l         SNMPv3 ：通过对数据进行鉴别和加密，提供了以下的安全特性： 1.        确保数据在传输过程中不被篡改； 2.        确保数据从合法的数据源

6、发出； 3.        加密报文，确保数据的机密性； SNMPv1和SNMPv2C都采用基于共同体（Community-based）的安全架构。通过定义主机地址以及认证名(Commumity String)来限定能够对代理的MIB进行操作的管理者。 SNMPv2C增加了Get-bulk操作机制并且能够对管理工作站返回更加详细的错误信息类型。Get-bulk操作能够一次性地获取表格中的所有信息或者获取大批量的 数据，从而减少请求-响应的次数。SNMPv2C错误处理能力的提高包括扩充错误代码以区分不同类型的错误，而在SNMPv1中这些错误仅有一种错误代码。现在通过错误代码可以区分错误类

7、型。由于网络上可能同时存在支持SNMPv1和SNMPv2C的管理工作站，因此SNMP代理必须能够识别SNMPv1和SNMPv2C报文，并且能返回相应版本的报文。 1.3  SNMP管理操作 SNMP协议中的NMS和Agent之间的交互信息，定义了6种操作类型： 1.       Get-request操作：NMS从Agent提取一个或多个参数值。 2.       Get-next-request操作：NMS从Agent提取一个或多个参数的下一个参数值。 3.       Get-bulk操作：NMS从Agent提取批量的参数值； 4.       Set-request操作：NM

8、S设置Agent的一个或多个参数值。 5.       Get-response操作：Agent返回的一个或多个参数值，是Agent对NMS前面3个操作的响应操作。 6.       Trap操作：Agent主动发出的报文，通知NMS有某些事情发生。 前面的4个报文是由NMS向Agent发出的，后面两个是Agent发给NMS的（注意：SNMPv1版本不支持Get-bulk操作）。下图描述了这几种种操作。 图3 SNMP的报文类型 NMS向Agent发出的前面3种操作和Agent的应答操作采用UDP的161端口。Agent发出的Trap操作采用UDP的162端口。 ~

9、注意： 通过SNMP对R2700交换卡(NM2-24ESW/NM2-16ESW)进行管理时，NM2-16ESW会获取到不存在的17~26口的错误信息；NM2-24ESW会获取到不存在的25~26口的错误信息。 1.4  SNMP安全 SNMPv1和SNMPv2版本使用认证名用来鉴别是否有权使用MIB对象。为了能够管理设备，网络管理系统 (NMS)的认证名必须同设备中定义的某个认证名一致。 一个认证名可以有以下属性: l         只读(Read-only)：为被授权的管理工作站提供对所有MIB变量的读权限。 l         读写(Read-write)：为被授权的管

10、理工作站提供对所有MIB变量的读写权限。 在SNMPv2的基础上， SNMPv３通过安全模型以及安全级别来确定对数据采用哪种安全机制进行处理；目前可用的安全模型有三种类别：SNMPv1、SNMPv2C、SNMPv3。 下表为目前可用的安全模型以及安全级别 安全模型 安全级别 鉴别 加密 说明 SNMPv1 noAuthNoPriv 认证名 无 通过认证名确认数据的合法性 SNMPv2c noAuthNoPriv 认证名 无 通过认证名确认数据的合法性 SNMPv3 noAuthNoPriv 用户名 无 通过用户名确认数据的合法性 SNMPv3 a

11、uthNoPriv MD5或者SHA 无 提供基于HMAC-MD5或者HMAC-SHA的数据鉴别机制 SNMPv3 authPriv MD5或者SHA DES 提供基于HMAC-MD5或者HMAC-SHA的数据鉴别机制 提供基于CBC-DES的数据加密机制 1.5  SNMP 引擎标识 引擎标识用于唯一标识一个SNMP引擎。由于每个SNMP实体仅包含一个SNMP引擎，它将在一个管理域中唯一标识一个SNMP实体。因此，作为一个实体的SNMPv3代理器必须拥有一个唯一的引擎标识，即SnmpEngineID。 引擎标识为一个OCTET STRING，长度为5～32字节长。在R

12、FC3411中定义了引擎标识的格式: l         前4个字节标识厂商的私有企业号（由IANA分配），用HEX表示。 l         第5个字节表示剩下的字节如何标识： 0：保留 1：后面4个字节是一个Ipv4地址。 2：后面16个字节是一个Ipv6地址。 3：后面6个字节是一个MAC地址。 4：文本，最长27个字节，由厂商自行定义。 5：16进制值，最长27个字节，由厂商自行定义。 6-127：保留。 128-255：由厂商特定的格式。 2        SNMP的配置 SNMP的配置工作在网络设备的全局配置模式下完成，在进行SNMP配置前，请先进入全局配置

13、模式。 2.1  设置认证名及访问权限 SNMPv1/SNMPv2C采用基于共同体（Community-based）的安全方案，SNMP代理只接受来自相同认证名（Community-String）的管理操作，与网络设备的认证名不符的SNMP报文将不被响应，直接丢弃。认证名相当于NMS和Agent之间的密码。 l         可以设置访问列表关联，只有指定的IP地址的NMS可以管理； l         可以设定该共同体的操作权限，是ReadOnly（只读）还是ReadWrite（读写）； l         指定视图的名称，用于基于视图的管理。默认没有指定视图，即允许访问 所有

14、MIB对象； l         可以指明能够使用该认证名的管理者的IP。 若不指明，则表示不限制使用该认证名的管理者的IP地址。缺省为不限制使用该认证名的管理者的IP地址； 要配置SNMP认证名，在全局配置模式下执行如下命令： 命令 作用 Ruijie(config)# snmp-server community string [view view-name] [ro | rw] [host host-ip] [num] 设置认证名和权限。 可以配置一条或者多条指定，来指定多个不同的共同体名称，使得网络设备可以供不同的权限的NMS的管理，要删除共同体名称和权限，在全局配置模

15、式下，执行no snmp-server community命令。 2.2  配置MIB视图和组 可以使用基于视图的访问控制模型来判定一个操作关联的管理对象是否在视图允许之内或被排除在外，只有在视图允许之内的管理对象才被允许访问。在进行控制时，一般是将某些用户和一个组关联，再将某个组与某个视图关联。一个组内的用户具有相同的访问权限。 l         可以设置包含视图和排除视图； l         可以为一组用户设置只读的视图和可写的视图； l         如果是SNMPv3的用户，可以为其指定使用的安全级别，是否需要进行认证、是否需要进行加密； 要配置MIB视图和组，在全局

16、配置模式下执行如下命令： 命令 作用 Ruijie(config)# snmp-server view view-name oid-tree {include | exclude} 创建一个MIB视图，包含或排除关联的MIB对象。 Ruijie(config)# snmp-server group groupname {v1 | v2c |v3 {auth | noauth | priv}} [read readview] [write writeview] [access {num | name}] 创建一个组，并和视图关联。 使用no snmp-serv

17、er view view-name命令来删除一个视图，或者使用no snmp-server view view-name oid-tree命令在一个视图中删除一棵子树。也可以使用no snmp-server group groupname命令来删除一个组。 2.3  配置SNMP用户 可以使用基于用户的安全模型来进行安全管理，基于用户的管理必须事先配置用户的信息，NMS只有使用合法的用户才能同代理进行通信。 对于SNMPv3用户，可以指定安全级别、认证算法（MD5或SHA）、认证口令、加密算法（目前只有DES）和加密口令； 要配置SNMP用户，在全局配置模式下执行如下命令： 命令

18、作用 Ruijie(config)# snmp-server user username roupname {v1 | v2 | v3 [encrypted] [auth { md5|sha } auth-password ] [priv des56 priv-password] } [access {num | name}] 设置用户信息。 通过no snmp-server user username groupname删除指定用户。 2.4  配置SNMP主机地址 Agent在特定的情况下，也会主动的向NMS发送消息，要配置Agent主动发送消息的NMS主机地址，在全

19、局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# snmp-server host { host-addr | ipv6 ipv6-addr} traps [vrf vrfname] [version {1|2c |3 [auth | noauth | priv]}] community-string [udp-port port-num] [type] 设置SNMP主机地址，主机端口，vrf选项，消息类型，认证名（在SNMPv3下是用户名）、安全级别（仅SNMPv3支持）等 2.5  设置SNMP代理参数 可以对SNMP的Agent的基本参数进行配置，

20、设置设备的联系方式、设备位置、序列号的信息，NMS通过访问设备的这些参数，便可以得知设备的联系人，设备所在的物理位置等信息。 要配置SNMP代理参数，在全局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# snmp-server contact text 设置系统的联系方式 Ruijie(config)# snmp-server location text 设置系统的位置 Ruijie(config)# snmp-server chassis-id number 设置系统的序列码 2.6  定义SNMP代理最大数据报文长度 为了减少对网络带宽的

21、影响，可以定义SNMP代理的数据包的最大长度。在全局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# snmp-server packetsize byte-count 设置最大代理数据包大小 2.7  屏蔽SNMP代理 SNMP代理服务是我司产品提供的一个服务，默认是启动的，在不需要代理服务的时候，可以通过如下方式屏蔽snmp代理功能以及相关配置信息；屏蔽snmp代理功能，在全局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# no snmp-server 屏蔽SNMP代理服务 2.8  关闭SNMP代理 不同于

22、屏蔽命令，我司产品提供了关闭snmp代理的命令，该命令会直接snmp所有服务，但是不会屏蔽代理的配置信息；要关闭SNMP代理服务，在全局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# no enable service snmp-agent 关闭SNMP代理服务 2.9    配置Agent主动向NMS发送Trap消息 Trap是Agent不经请求主动向NMS发送的消息，用于报告一些紧急而重要的事件的发生。缺省是不允许Agent主动发送Trap消息，如果要允许，在全局配置模式下，执行如下指令： 命令 作用 Ruijie(config)# snm

23、p-server enable traps [type] [option] 允许Agent主动发送Trap消息 Ruijie(config)# no snmp-server enable traps [type] [option] 禁止Agent主动发送Trap消息 2.10          Link Trap策略配置 在设备中可以基于接口配置是否发送该接口的LinkTrap，当功能打开时，如果接口发生Link状态变化，SNMP将发出LinkTrap,反之则不发。缺省情况下，该功能打开。 命令 作用 Ruijie(config)# interface interfa

24、ce-id 进入端口配置模式 Ruijie(config-if)# [no] snmp trap link-status 打开或者关闭发送该接口link trap的功能. 下面配置将配置接口为不发送Link trap: Ruijie(config)# interface gigabitEthernet 1/1 Ruijie(config-if)# no snmp trap link-status 2.11          配置发送消息操作的参数 可以指定Agent发送Trap消息的一些参数，执行如下指令来设置： 命令 作用 Ruijie(config)# snmp-s

25、erver trap-source interface 指定发送Trap消息的源接口 Ruijie(config)# snmp-server queue-length length 指定每个Trap消息报文的队列长度 Ruijie(config)# snmp-server trap-timeout seconds 指定发送Trap消息的时间间隔 2.12          配置接口索引维持功能 1. 若每次重新初始化（重启）后的接口索引值维持不变，将有利于网络管理。当要求重启后设备的接口索引值不发生变化，执行如下命令： 命令 作用 Ruijie(config)

26、 snmp-server if-index persist 打开接口索引维持功能 2. 若要关闭该功能，执行no snmp-server if-index persist命令。缺省情况下，该功能是关闭的。 3. 下面配置打开接口索引维持功能： Ruijie(config)# snmp-server if-index persist 3        SNMP的监控与维护 3.1  查看当前的SNMP状态 为了监控SNMP状态和排除SNMP配置中的一些故障，我司产品提供了SNMP的监控指令，可以方便的查看当前网络设备的SNMP的状态，在特权用户模式下，执行show snmp来

27、查看当前的SNMP状态。 Ruijie# show snmp Chassis: 1234567890 0987654321 Contact: wugb@i- Location: fuzhou 2381 SNMP packets input 5 Bad SNMP version errors 6 Unknown community name 0 Illegal operation for community name supplied 0 Encoding errors 9325 Number of requested variables 0 Number of alter

28、ed variables 31 Get-request PDUs 2339 Get-next PDUs 0 Set-request PDUs 2406 SNMP packets output 0 Too big errors (Maximum packet size 1500) 4 No such name errors 0 Bad values errors 0 General errors 2370 Get-response PDUs 36 SNMP trap PDUs SNMP global trap: disabled SNMP logging: enabled

29、 SNMP agent: enabled . 对于上述的统计报文信息的解释见下表： 显示信息 描述 Bad SNMP version errors SNMP版本不对 Unknown community name 不能识别的认证名称 Illegal operation for community name supplied 非法操作 Encoding errors 编码错误 Get-request PDUs Get-request报文 Get-next PDUs Get-next报文 Set-request PDUs Set-request报文 Too b

30、ig errors (Maximum packet size 1500) 响应报文太大 No such name errors 不存在指定的管理单元 Bad values errors 设定值类型错误 General errors 一般性错误 Get-response PDUs Get-response报文 SNMP trap PDUs SNMP trap报文 3.2  查看当前SNMP代理支持的MIB对象 在特权用户模式下，执行show snmp mib来查看当前的代理支持的MIB对象。 Ruijie# show snmp mib sysDescr

31、sysObjectID sysUpTime sysContact sysName sysLocation sysServices sysORLastChange snmpInPkts snmpOutPkts snmpInBadVersions snmpInBadCommunityNames snmpInBadCommunityUses snmpInASNParseErrs snmpInTooBigs snmpInNoSuchNames snmpInBadValues snmpInReadOnlys snmpInGenErrs

32、 snmpInTotalReqVars snmpInTotalSetVars snmpInGetRequests snmpInGetNexts snmpInSetRequests snmpInGetResponses snmpInTraps snmpOutTooBigs snmpOutNoSuchNames snmpOutBadValues snmpOutGenErrs snmpOutGetRequests snmpOutGetNexts snmpOutSetRequests snmpOutGetResponses snmpOutT

33、raps snmpEnableAuthenTraps snmpSilentDrops snmpProxyDrops entPhysicalEntry entPhysicalEntry.entPhysicalIndex entPhysicalEntry.entPhysicalDescr entPhysicalEntry.entPhysicalVendorType entPhysicalEntry.entPhysicalContainedIn entPhysicalEntry.entPhysicalClass entPhysicalEntry.entPhysicalP

34、arentRelPos entPhysicalEntry.entPhysicalName entPhysicalEntry.entPhysicalHardwareRev entPhysicalEntry.entPhysicalFirmwareRev entPhysicalEntry.entPhysicalSoftwareRev entPhysicalEntry.entPhysicalSerialNum entPhysicalEntry.entPhysicalMfgName entPhysicalEntry.entPhysicalModelName entPhysicalEntr

35、y.entPhysicalAlias entPhysicalEntry.entPhysicalAssetID entPhysicalEntry.entPhysicalIsFRU entPhysicalContainsEntry entPhysicalContainsEntry.entPhysicalChildIndex entLastChangeTime 3.3  查看SNMP用户 在特权用户模式下，执行show snmp user来查看当前代理上配置的SNMP用户。 Ruijie# show snmp user User name: test Engine ID: 8

36、000131103000000000000 storage-type: permanent active Security level: auth priv Auth protocol: SHA Priv protocol: DES Group-name: g1 3.4  查看SNMP视图和组 在特权用户模式下，执行show snmp group来查看当前代理上配置的组。 Ruijie# show snmp group groupname: g1 securityModel: v3 securityLevel:authPriv readview: defaul

37、t writeview: default notifyview: groupname: public securityModel: v1 securityLevel:noAuthNoPriv readview: default writeview: default notifyview: groupname: public securityModel: v2c securityLevel:noAuthNoPriv readview: default writeview: default notifyview: 在特权用户模式下，执行show snmp view

38、来查看当前代理上配置的视图。 Ruijie# show snmp view default(include) 1.3.6.1 test-view(include) 1.3.6.1.2.1 4        SNMP配置举例 4.1  典型配置实例 l         配置要求 如图，网络设备和网管工作站NMS通过以太网连接，NMS的IP地址为192.168.12.181，网络设备的IP地址为192.168.12.1，在网管工作站上运行了网管软件（以HP OpenView为例）。 图5 SNMP典型配置组网图 l         网络设备具体配置 启动SNMP代理服务

39、 Ruijie(config)# snmp-server community public RO 只需要在全局配置模式下，配置以上指令，网络设备便启动了SNMP代理服务功能，这时NMS便可以对网络设备进行SNMP的监控了，不过只配置了只读权限，不能修改网络设备的配置，只能是监控网络设备。其他的配置都是可选的。 如果需要有读写的功能，可以采用如下的配置： Ruijie(config)# snmp-server community private RW 以下是配置网络设备SNMP的一些代理基本参数，NMS可以通过这些参数得知网络设备的一些基本系统信息，该配置为可选配置： Ruijie

40、config)# snmp-server location fuzhou Ruijie(config)# snmp-server contact wugb@i- Ruijie(config)# snmp-server chassis-id 1234567890 0987654321 以下的配置，是允许网络设备主动向NMS发送一些Trap消息，该配置为可选配置： Ruijie(config)# snmp-server enable traps Ruijie(config)# snmp-server host 192.168.12.181 public 通过如上配置，网络设备的

41、SNMP代理已经配置完毕，NMS便可以对网络设备进行监控和管理了，以HP OpenView为例，可以产生网络拓扑结构图，如下图： 图6 网络拓扑结构图 您可以对网络设备中的管理单元进行查询和设置，点击HP OpenView的TOOL->SNMP MIB Brower菜单，出现如下的对话框，在Name中输入IP地址192.168.12.1，在Community Name中输入Public，选择要查询的MIB的具体管理单元，比如下图的System。点击Start Query，便开始对网络设备进行MIB的查询了，具体的查询结果见对话框的MIB Values窗口： 图7 MIB查询界

42、面 HP OpenView有很强大的网络管理的功能，比如，还可以用图表示出网络接口的流量统计图，其他的具体的各项SNMP的功能，见网管软件的文档，这里不在详述： 图8 接口流量统计图 4.2  SNMP访问列表关联控制实例 我司产品可以设置访问列表关联的方式，只要访问列表中允许的NMS才可以利用SNMP对Agent进行监控和管理，限制NMS对网络设备的访问，提高SNMP的 安全性。 在全局配置模式下： Ruijie(config)# access-list 1 permit 192.168.12.181 Ruijie(config)# snmp-server commun

43、ity public RO 1 通过如上配置，只有IP地址为192.168.12.181的主机才能利用SNMP对网络设备进行监控和管理了。 4.3  SNMPv3相关配置实例 以下的配置允许SNMPv3的管理者采用认证＋加密模式通过用户名v3user对MIB-2(1.3.6.1.2.1)节点下的管理变量进行设置和查看。采用的认证模式为MD5，使用的认证密码为MD5-Auth，采用DES加密，加密密钥为DES-Priv。同时允许向192.168.65.199以SNMPv3格式发送Trap。发送Trap使用的用户名为v3user,采用认证＋加密模式发送，采用的认证模式为MD5，使用的认证

44、密码为MD5-Auth，采用DES加密，加密密钥为DES-Priv。 Ruijie(config)# snmp-server view v3userview 1.3.6.1.2.1 include Ruijie (config)# snmp-server group v3usergroup v3 priv read v3userview write v3userview Ruijie (config)# snmp-server user v3user v3usergroup v3 auth md5 md5-auth priv des56 des-priv Ruijie (config)# snmp-server host 192.168.65.199 traps version 3 priv v3user