SNMP的配置开启及H3C设备如何配置SNMP协议.doc

1、 SNMP配置及H3C设备如何配置SNMP协议开启SNMP协议就可以应用网管软件与IT运维管理系统来扫描发现支持SNMP协议的网络设备，并对这些IT设备进行自动化与智能化的管理。网址：该软件只有1.85M，几分钟就能安装部署完毕H3C设备如何配置SNMP协议1. 使用telnet登陆设备System-view（进入系统查看模式）Snmp-agent（开启snmp）Snmp-agent community read publicSnmp-agent sys-info version allDis cur（查看全部配置）Save 保存 Y 直接按回车 提示sucessfully quit 退出 q

2、uit 退出配置完成。1.1 概述SNMP是Simple Network Manger Protocol（简单网络管理协议）的缩写，在1988年8月就成为一个网络管理标准RFC1157。到目前，因众多厂家对该协议的支持，SNMP已成为事实上的网管标准，适合于在多厂家系统的互连环境中使用。利用SNMP协议，网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划，网络监控和管理是SNMP的基本功能。SNMP是一个应用层协议，为客户机/服务器模式，包括三个部分：l SNMP网络管理器l SNMP代理l MIB管理信息库SNMP网络管理器，是采用SNMP来对网络进行控制和监控的系统，也

3、称为NMS (Network Management System)。常用的运行在NMS上的网管平台有HP OpenView 、CiscoView、CiscoWorks 2000，锐捷网络针对自己的网络设备，开发了一套网管软件Star View。这些常用的网管软件可以方便的对网络设备进行监控和管理。SNMP代理（SNMP Agent）是运行在被管理设备上的软件，负责接受、处理并且响应来自NMS的监控和控制报文，也可以主动发送一些消息报文给NMS。NMS和Agent的关系可以用如下的图来表示：图1 网络管理站（NMS）与网管代理（Agent）的关系图MIB（Management Informati

4、on Base）是一个虚拟的网络管理信息库。被管理的网络设备中包含了大量的信息，为了能够在SNMP报文中唯一的标识某个特定的管理单元，MIB采用树形层次结构来描述网络设备中的管理单元。树的节点表示某个特定的管理单元。如下图MIB对象命名树，为了唯一标识网络设备中的某个管理单元System，可以采用一串的数字来表示，如1.3.6.1.2.1.1这一串数字即为管理单元的Object Identifier（单元标识符），MIB则是网络设备的单元标识符的集合。图2 MIB树形层次结构1.2 SNMP协议版本目前SNMP支持以下版本：l SNMPv1 ：简单网络管理协议的第一个正式版本，在RFC1157

5、中定义。l SNMPv2C：基于共同体（Community-Based）的SNMPv2管理架构, 在RFC1901中定义的一个实验性协议。 l SNMPv3 ：通过对数据进行鉴别和加密，提供了以下的安全特性：1. 确保数据在传输过程中不被篡改；2. 确保数据从合法的数据源发出；3. 加密报文，确保数据的机密性；SNMPv1和SNMPv2C都采用基于共同体（Community-based）的安全架构。通过定义主机地址以及认证名(Commumity String)来限定能够对代理的MIB进行操作的管理者。SNMPv2C增加了Get-bulk操作机制并且能够对管理工作站返回更加详细的错误信息类型。G

6、et-bulk操作能够一次性地获取表格中的所有信息或者获取大批量的数据，从而减少请求-响应的次数。SNMPv2C错误处理能力的提高包括扩充错误代码以区分不同类型的错误，而在SNMPv1中这些错误仅有一种错误代码。现在通过错误代码可以区分错误类型。由于网络上可能同时存在支持SNMPv1和SNMPv2C的管理工作站，因此SNMP代理必须能够识别SNMPv1和SNMPv2C报文，并且能返回相应版本的报文。1.3 SNMP管理操作SNMP协议中的NMS和Agent之间的交互信息，定义了6种操作类型：1. Get-request操作：NMS从Agent提取一个或多个参数值。2. Get-next-req

7、uest操作：NMS从Agent提取一个或多个参数的下一个参数值。3. Get-bulk操作：NMS从Agent提取批量的参数值；4. Set-request操作：NMS设置Agent的一个或多个参数值。5. Get-response操作：Agent返回的一个或多个参数值，是Agent对NMS前面3个操作的响应操作。6. Trap操作：Agent主动发出的报文，通知NMS有某些事情发生。前面的4个报文是由NMS向Agent发出的，后面两个是Agent发给NMS的（注意：SNMPv1版本不支持Get-bulk操作）。下图描述了这几种种操作。图3 SNMP的报文类型NMS向Agent发出的前面3种

8、操作和Agent的应答操作采用UDP的161端口。Agent发出的Trap操作采用UDP的162端口。 注意： 通过SNMP对R2700交换卡(NM2-24ESW/NM2-16ESW)进行管理时，NM2-16ESW会获取到不存在的1726口的错误信息；NM2-24ESW会获取到不存在的2526口的错误信息。1.4 SNMP安全SNMPv1和SNMPv2版本使用认证名用来鉴别是否有权使用MIB对象。为了能够管理设备，网络管理系统 (NMS)的认证名必须同设备中定义的某个认证名一致。一个认证名可以有以下属性:l 只读(Read-only)：为被授权的管理工作站提供对所有MIB变量的读权限。l 读写

9、(Read-write)：为被授权的管理工作站提供对所有MIB变量的读写权限。在SNMPv2的基础上， SNMPv通过安全模型以及安全级别来确定对数据采用哪种安全机制进行处理；目前可用的安全模型有三种类别：SNMPv1、SNMPv2C、SNMPv3。下表为目前可用的安全模型以及安全级别安全模型安全级别鉴别加密说明SNMPv1noAuthNoPriv认证名无通过认证名确认数据的合法性SNMPv2cnoAuthNoPriv认证名无通过认证名确认数据的合法性SNMPv3noAuthNoPriv用户名无通过用户名确认数据的合法性SNMPv3authNoPrivMD5或者SHA无提供基于HMAC-MD5

10、或者HMAC-SHA的数据鉴别机制SNMPv3authPrivMD5或者SHADES提供基于HMAC-MD5或者HMAC-SHA的数据鉴别机制提供基于CBC-DES的数据加密机制1.5 SNMP 引擎标识引擎标识用于唯一标识一个SNMP引擎。由于每个SNMP实体仅包含一个SNMP引擎，它将在一个管理域中唯一标识一个SNMP实体。因此，作为一个实体的SNMPv3代理器必须拥有一个唯一的引擎标识，即SnmpEngineID。引擎标识为一个OCTET STRING，长度为532字节长。在RFC3411中定义了引擎标识的格式:l 前4个字节标识厂商的私有企业号（由IANA分配），用HEX表示。l 第5

11、个字节表示剩下的字节如何标识：0：保留1：后面4个字节是一个Ipv4地址。2：后面16个字节是一个Ipv6地址。3：后面6个字节是一个MAC地址。4：文本，最长27个字节，由厂商自行定义。5：16进制值，最长27个字节，由厂商自行定义。6-127：保留。128-255：由厂商特定的格式。2 SNMP的配置SNMP的配置工作在网络设备的全局配置模式下完成，在进行SNMP配置前，请先进入全局配置模式。2.1 设置认证名及访问权限SNMPv1/SNMPv2C采用基于共同体（Community-based）的安全方案，SNMP代理只接受来自相同认证名（Community-String）的管理操作，与网

12、络设备的认证名不符的SNMP报文将不被响应，直接丢弃。认证名相当于NMS和Agent之间的密码。l 可以设置访问列表关联，只有指定的IP地址的NMS可以管理；l 可以设定该共同体的操作权限，是ReadOnly（只读）还是ReadWrite（读写）；l 指定视图的名称，用于基于视图的管理。默认没有指定视图，即允许访问 所有MIB对象；l 可以指明能够使用该认证名的管理者的IP。 若不指明，则表示不限制使用该认证名的管理者的IP地址。缺省为不限制使用该认证名的管理者的IP地址；要配置SNMP认证名，在全局配置模式下执行如下命令：命令作用Ruijie(config)# snmp-server com

13、munitystring view view-name ro | rw hosthost-ip num设置认证名和权限。可以配置一条或者多条指定，来指定多个不同的共同体名称，使得网络设备可以供不同的权限的NMS的管理，要删除共同体名称和权限，在全局配置模式下，执行no snmp-server community命令。2.2 配置MIB视图和组可以使用基于视图的访问控制模型来判定一个操作关联的管理对象是否在视图允许之内或被排除在外，只有在视图允许之内的管理对象才被允许访问。在进行控制时，一般是将某些用户和一个组关联，再将某个组与某个视图关联。一个组内的用户具有相同的访问权限。l 可以设置包含视图

14、和排除视图；l 可以为一组用户设置只读的视图和可写的视图；l 如果是SNMPv3的用户，可以为其指定使用的安全级别，是否需要进行认证、是否需要进行加密；要配置MIB视图和组，在全局配置模式下执行如下命令：命令作用Ruijie(config)# snmp-server view view-name oid-tree include | exclude创建一个MIB视图，包含或排除关联的MIB对象。Ruijie(config)# snmp-server group groupname v1 | v2c |v3 auth | noauth | priv read readview write wri

15、teview access num | name创建一个组，并和视图关联。使用no snmp-server view view-name命令来删除一个视图，或者使用no snmp-server view view-name oid-tree命令在一个视图中删除一棵子树。也可以使用no snmp-server group groupname命令来删除一个组。2.3 配置SNMP用户可以使用基于用户的安全模型来进行安全管理，基于用户的管理必须事先配置用户的信息，NMS只有使用合法的用户才能同代理进行通信。对于SNMPv3用户，可以指定安全级别、认证算法（MD5或SHA）、认证口令、加密算法（目前只

16、有DES）和加密口令；要配置SNMP用户，在全局配置模式下执行如下命令：命令作用Ruijie(config)# snmp-server user usernameroupname v1 | v2 | v3 encrypted auth md5|sha auth-password priv des56 priv-password access num | name设置用户信息。通过no snmp-server user username groupname删除指定用户。2.4 配置SNMP主机地址Agent在特定的情况下，也会主动的向NMS发送消息，要配置Agent主动发送消息的NMS主机地址，

17、在全局配置模式下，执行如下指令：命令作用Ruijie(config)# snmp-server host host-addr | ipv6 ipv6-addr traps vrf vrfname version 1|2c |3 auth | noauth | priv community-string udp-port port-num type设置SNMP主机地址，主机端口，vrf选项，消息类型，认证名（在SNMPv3下是用户名）、安全级别（仅SNMPv3支持）等2.5 设置SNMP代理参数可以对SNMP的Agent的基本参数进行配置，设置设备的联系方式、设备位置、序列号的信息，NMS通过访

18、问设备的这些参数，便可以得知设备的联系人，设备所在的物理位置等信息。要配置SNMP代理参数，在全局配置模式下，执行如下指令：命令作用Ruijie(config)# snmp-server contact text设置系统的联系方式Ruijie(config)# snmp-server location text设置系统的位置Ruijie(config)# snmp-server chassis-idnumber设置系统的序列码2.6 定义SNMP代理最大数据报文长度为了减少对网络带宽的影响，可以定义SNMP代理的数据包的最大长度。在全局配置模式下，执行如下指令：命令作用Ruijie(confi

19、g)# snmp-server packetsizebyte-count设置最大代理数据包大小2.7 屏蔽SNMP代理SNMP代理服务是我司产品提供的一个服务，默认是启动的，在不需要代理服务的时候，可以通过如下方式屏蔽snmp代理功能以及相关配置信息；屏蔽snmp代理功能，在全局配置模式下，执行如下指令：命令作用Ruijie(config)# no snmp-server 屏蔽SNMP代理服务2.8 关闭SNMP代理不同于屏蔽命令，我司产品提供了关闭snmp代理的命令，该命令会直接snmp所有服务，但是不会屏蔽代理的配置信息；要关闭SNMP代理服务，在全局配置模式下，执行如下指令：命令作用Ru

20、ijie(config)# no enable servicesnmp-agent 关闭SNMP代理服务2.9 配置Agent主动向NMS发送Trap消息Trap是Agent不经请求主动向NMS发送的消息，用于报告一些紧急而重要的事件的发生。缺省是不允许Agent主动发送Trap消息，如果要允许，在全局配置模式下，执行如下指令：命令作用Ruijie(config)# snmp-server enabletraps type option 允许Agent主动发送Trap消息Ruijie(config)# no snmp-serverenable traps type option禁止Agent主

21、动发送Trap消息2.10 Link Trap策略配置在设备中可以基于接口配置是否发送该接口的LinkTrap，当功能打开时，如果接口发生Link状态变化，SNMP将发出LinkTrap,反之则不发。缺省情况下，该功能打开。命令作用Ruijie(config)# interface interface-id进入端口配置模式Ruijie(config-if)# no snmp traplink-status打开或者关闭发送该接口link trap的功能.下面配置将配置接口为不发送Link trap:Ruijie(config)# interface gigabitEthernet 1/1Ruij

22、ie(config-if)# no snmp trap link-status2.11 配置发送消息操作的参数可以指定Agent发送Trap消息的一些参数，执行如下指令来设置：命令作用Ruijie(config)# snmp-servertrap-source interface指定发送Trap消息的源接口Ruijie(config)# snmp-server queue-length length指定每个Trap消息报文的队列长度Ruijie(config)# snmp-server trap-timeout seconds指定发送Trap消息的时间间隔2.12 配置接口索引维持功能1. 若

23、每次重新初始化（重启）后的接口索引值维持不变，将有利于网络管理。当要求重启后设备的接口索引值不发生变化，执行如下命令：命令作用Ruijie(config)# snmp-server if-index persist打开接口索引维持功能2. 若要关闭该功能，执行no snmp-server if-index persist命令。缺省情况下，该功能是关闭的。3. 下面配置打开接口索引维持功能：Ruijie(config)# snmp-server if-index persist3 SNMP的监控与维护3.1 查看当前的SNMP状态为了监控SNMP状态和排除SNMP配置中的一些故障，我司产品提供了

24、SNMP的监控指令，可以方便的查看当前网络设备的SNMP的状态，在特权用户模式下，执行show snmp来查看当前的SNMP状态。Ruijie# show snmpChassis: 1234567890 0987654321Contact: wugbi-Location: fuzhou2381 SNMP packets input5 Bad SNMP version errors6 Unknown community name0 Illegal operation for community name supplied0 Encoding errors9325 Number of reques

25、ted variables0 Number of altered variables31 Get-request PDUs2339 Get-next PDUs0 Set-request PDUs2406 SNMP packets output0 Too big errors (Maximum packet size 1500)4 No such name errors0 Bad values errors0 General errors2370 Get-response PDUs36 SNMP trap PDUsSNMP global trap: disabledSNMP logging: e

26、nabledSNMP agent: enabled.对于上述的统计报文信息的解释见下表：显示信息描述Bad SNMP version errorsSNMP版本不对Unknown community name不能识别的认证名称Illegal operation for community name supplied非法操作Encoding errors编码错误Get-request PDUsGet-request报文Get-next PDUsGet-next报文Set-request PDUsSet-request报文Too big errors (Maximum packet size 150

27、0)响应报文太大No such name errors不存在指定的管理单元Bad values errors设定值类型错误General errors一般性错误Get-response PDUsGet-response报文SNMP trap PDUsSNMP trap报文3.2 查看当前SNMP代理支持的MIB对象在特权用户模式下，执行show snmp mib来查看当前的代理支持的MIB对象。Ruijie# show snmp mib sysDescr sysObjectID sysUpTime sysContact sysName sysLocation sysServices sysOR

28、LastChange snmpInPkts snmpOutPkts snmpInBadVersions snmpInBadCommunityNames snmpInBadCommunityUses snmpInASNParseErrs snmpInTooBigs snmpInNoSuchNames snmpInBadValues snmpInReadOnlys snmpInGenErrs snmpInTotalReqVars snmpInTotalSetVars snmpInGetRequests snmpInGetNexts snmpInSetRequests snmpInGetRespon

29、ses snmpInTraps snmpOutTooBigs snmpOutNoSuchNames snmpOutBadValues snmpOutGenErrs snmpOutGetRequests snmpOutGetNexts snmpOutSetRequests snmpOutGetResponses snmpOutTraps snmpEnableAuthenTraps snmpSilentDrops snmpProxyDrops entPhysicalEntry entPhysicalEntry.entPhysicalIndexentPhysicalEntry.entPhysical

30、DescrentPhysicalEntry.entPhysicalVendorTypeentPhysicalEntry.entPhysicalContainedInentPhysicalEntry.entPhysicalClassentPhysicalEntry.entPhysicalParentRelPosentPhysicalEntry.entPhysicalNameentPhysicalEntry.entPhysicalHardwareReventPhysicalEntry.entPhysicalFirmwareReventPhysicalEntry.entPhysicalSoftwar

31、eReventPhysicalEntry.entPhysicalSerialNumentPhysicalEntry.entPhysicalMfgNameentPhysicalEntry.entPhysicalModelNameentPhysicalEntry.entPhysicalAliasentPhysicalEntry.entPhysicalAssetIDentPhysicalEntry.entPhysicalIsFRUentPhysicalContainsEntry entPhysicalContainsEntry.entPhysicalChildIndexentLastChangeTi

32、me3.3 查看SNMP用户在特权用户模式下，执行show snmp user来查看当前代理上配置的SNMP用户。Ruijie# show snmp user User name: testEngine ID: 8000131103000000000000storage-type: permanent activeSecurity level: auth privAuth protocol: SHAPriv protocol: DESGroup-name: g13.4 查看SNMP视图和组在特权用户模式下，执行show snmp group来查看当前代理上配置的组。Ruijie# show s

33、nmp group groupname: g1securityModel: v3securityLevel:authPrivreadview: defaultwriteview: defaultnotifyview: groupname: publicsecurityModel: v1securityLevel:noAuthNoPrivreadview: defaultwriteview: defaultnotifyview: groupname: publicsecurityModel: v2csecurityLevel:noAuthNoPrivreadview: defaultwritev

34、iew: defaultnotifyview:在特权用户模式下，执行show snmp view来查看当前代理上配置的视图。Ruijie# show snmp view default(include) 1.3.6.1test-view(include) 1.3.6.1.2.14 SNMP配置举例4.1 典型配置实例l 配置要求如图，网络设备和网管工作站NMS通过以太网连接，NMS的IP地址为192.168.12.181，网络设备的IP地址为192.168.12.1，在网管工作站上运行了网管软件（以HP OpenView为例）。图5 SNMP典型配置组网图l 网络设备具体配置启动SNMP代理服

35、务：Ruijie(config)# snmp-server community public RO只需要在全局配置模式下，配置以上指令，网络设备便启动了SNMP代理服务功能，这时NMS便可以对网络设备进行SNMP的监控了，不过只配置了只读权限，不能修改网络设备的配置，只能是监控网络设备。其他的配置都是可选的。如果需要有读写的功能，可以采用如下的配置：Ruijie(config)# snmp-server community private RW以下是配置网络设备SNMP的一些代理基本参数，NMS可以通过这些参数得知网络设备的一些基本系统信息，该配置为可选配置：Ruijie(config)# s

36、nmp-server location fuzhouRuijie(config)# snmp-server contact wugbi-Ruijie(config)# snmp-server chassis-id 12345678900987654321以下的配置，是允许网络设备主动向NMS发送一些Trap消息，该配置为可选配置： Ruijie(config)# snmp-server enable traps Ruijie(config)# snmp-server host 192.168.12.181 public通过如上配置，网络设备的SNMP代理已经配置完毕，NMS便可以对网络设备进行

37、监控和管理了，以HP OpenView为例，可以产生网络拓扑结构图，如下图：图6 网络拓扑结构图您可以对网络设备中的管理单元进行查询和设置，点击HP OpenView的TOOL-SNMP MIB Brower菜单，出现如下的对话框，在Name中输入IP地址192.168.12.1，在Community Name中输入Public，选择要查询的MIB的具体管理单元，比如下图的System。点击Start Query，便开始对网络设备进行MIB的查询了，具体的查询结果见对话框的MIB Values窗口：图7 MIB查询界面HP OpenView有很强大的网络管理的功能，比如，还可以用图表示出网络接

38、口的流量统计图，其他的具体的各项SNMP的功能，见网管软件的文档，这里不在详述：图8 接口流量统计图4.2 SNMP访问列表关联控制实例我司产品可以设置访问列表关联的方式，只要访问列表中允许的NMS才可以利用SNMP对Agent进行监控和管理，限制NMS对网络设备的访问，提高SNMP的安全性。在全局配置模式下：Ruijie(config)# access-list 1 permit 192.168.12.181Ruijie(config)# snmp-server community public RO 1通过如上配置，只有IP地址为192.168.12.181的主机才能利用SNMP对网络设备

39、进行监控和管理了。 4.3 SNMPv3相关配置实例以下的配置允许SNMPv3的管理者采用认证加密模式通过用户名v3user对MIB-2(1.3.6.1.2.1)节点下的管理变量进行设置和查看。采用的认证模式为MD5，使用的认证密码为MD5-Auth，采用DES加密，加密密钥为DES-Priv。同时允许向192.168.65.199以SNMPv3格式发送Trap。发送Trap使用的用户名为v3user,采用认证加密模式发送，采用的认证模式为MD5，使用的认证密码为MD5-Auth，采用DES加密，加密密钥为DES-Priv。Ruijie(config)# snmp-server view v3userview 1.3.6.1.2.1 includeRuijie (config)# snmp-server group v3usergroup v3 priv read v3userview write v3userviewRuijie (config)# snmp-server user v3user v3usergroup v3 auth md5 md5-auth priv des56 des-privRuijie (config)# snmp-server host 192.168.65.199 traps version 3 priv v3user