H3C配置SNMP协议1.使用telnet登陆设备System-viewSnmp-agentSnmp-agent community read publicSnmp-agent sys-infoversion allDis curSave 保存配置完成。
1.1 概述SNMP是Simple Network Manger Protocol(简单网络管理协议)的缩写,在1988年8月就成为一个网络管理标准RFC1157。
到目前,因众多厂家对该协议的支持,SNMP已成为事实上的网管标准,适合于在多厂家系统的互连环境中使用。
利用SNMP协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划,网络监控和管理是SNMP的基本功能。
SNMP是一个应用层协议,为客户机/服务器模式,包括三个部分:●SNMP网络管理器●SNMP代理●MIB管理信息库SNMP网络管理器,是采用SNMP来对网络进行控制和监控的系统,也称为NMS (Network Management System)。
常用的运行在NMS上的网管平台有HP OpenView 、CiscoView、CiscoWorks 2000,锐捷网络针对自己的网络设备,开发了一套网管软件--Star View。
这些常用的网管软件可以方便的对网络设备进行监控和管理。
SNMP代理(SNMP Agent)是运行在被管理设备上的软件,负责接受、处理并且响应来自NMS的监控和控制报文,也可以主动发送一些消息报文给NMS。
NMS和Agent的关系可以用如下的图来表示:图1 网络管理站(NMS)与网管代理(Agent)的关系图MIB(Management Information Base)是一个虚拟的网络管理信息库。
被管理的网络设备中包含了大量的信息,为了能够在SNMP报文中唯一的标识某个特定的管理单元,MIB采用树形层次结构来描述网络设备中的管理单元。
树的节点表示某个特定的管理单元。
如下图MIB对象命名树,为了唯一标识网络设备中的某个管理单元System,可以采用一串的数字来表示,如{1.3.6.1.2.1.1}这一串数字即为管理单元的Object Identifier(单元标识符),MIB则是网络设备的单元标识符的集合。
图2 MIB树形层次结构1.2SNMP协议版本目前SNMP支持以下版本:●SNMPv1 :简单网络管理协议的第一个正式版本,在RFC1157中定义。
●SNMPv2C:基于共同体(Community-Based)的SNMPv2管理架构, 在RFC1901中定义的一个实验性协议。
●SNMPv3 :通过对数据进行鉴别和加密,提供了以下的安全特性:1.确保数据在传输过程中不被篡改;2.确保数据从合法的数据源发出;3.加密报文,确保数据的机密性;SNMPv1和SNMPv2C都采用基于共同体(Community-based)的安全架构。
通过定义主机地址以及认证名(Commumity String)来限定能够对代理的MIB进行操作的管理者。
SNMPv2C增加了Get-bulk操作机制并且能够对管理工作站返回更加详细的错误信息类型。
Get-bulk操作能够一次性地获取表格中的所有信息或者获取大批量的数据,从而减少请求-响应的次数。
SNMPv2C错误处理能力的提高包括扩充错误代码以区分不同类型的错误,而在SNMPv1中这些错误仅有一种错误代码。
现在通过错误代码可以区分错误类型。
由于网络上可能同时存在支持SNMPv1和SNMPv2C的管理工作站,因此SNMP代理必须能够识别SNMPv1和SNMPv2C报文,并且能返回相应版本的报文。
1.3SNMP管理操作SNMP协议中的NMS和Agent之间的交互信息,定义了6种操作类型:1.Get-request操作:NMS从Agent提取一个或多个参数值。
2.Get-next-request操作:NMS从Agent提取一个或多个参数的下一个参数值。
3.Get-bulk操作:NMS从Agent提取批量的参数值;4.Set-request操作:NMS设置Agent的一个或多个参数值。
5.Get-response操作:Agent返回的一个或多个参数值,是Agent对NMS前面3个操作的响应操作。
6.Trap操作:Agent主动发出的报文,通知NMS有某些事情发生。
前面的4个报文是由NMS向Agent发出的,后面两个是Agent发给NMS的(注意:SNMPv1版本不支持Get-bulk操作)。
下图描述了这几种种操作。
图3 SNMP的报文类型NMS向Agent发出的前面3种操作和Agent的应答操作采用UDP的161端口。
Agent 发出的Trap操作采用UDP的162端口。
注意:通过SNMP对R2700交换卡(NM2-24ESW/NM2-16ESW)进行管理时,NM2-16ESW 会获取到不存在的17~26口的错误信息;NM2-24ESW会获取到不存在的25~26口的错误信息。
1.4SNMP安全SNMPv1和SNMPv2版本使用认证名用来鉴别是否有权使用MIB对象。
为了能够管理设备,网络管理系统(NMS)的认证名必须同设备中定义的某个认证名一致。
一个认证名可以有以下属性:●只读(Read-only):为被授权的管理工作站提供对所有MIB变量的读权限。
●读写(Read-write):为被授权的管理工作站提供对所有MIB变量的读写权限。
在SNMPv2的基础上,SNMPv3通过安全模型以及安全级别来确定对数据采用哪种安全机制进行处理;目前可用的安全模型有三种类别:SNMPv1、SNMPv2C、SNMPv3。
下表为目前可用的安全模型以及安全级别1.5SNMP 引擎标识引擎标识用于唯一标识一个SNMP引擎。
由于每个SNMP实体仅包含一个SNMP引擎,它将在一个管理域中唯一标识一个SNMP实体。
因此,作为一个实体的SNMPv3代理器必须拥有一个唯一的引擎标识,即SnmpEngineID。
引擎标识为一个OCTET STRING,长度为5~32字节长。
在RFC3411中定义了引擎标识的格式:●前4个字节标识厂商的私有企业号(由IANA分配),用HEX表示。
●第5个字节表示剩下的字节如何标识:0:保留1:后面4个字节是一个Ipv4地址。
2:后面16个字节是一个Ipv6地址。
3:后面6个字节是一个MAC地址。
4:文本,最长27个字节,由厂商自行定义。
5:16进制值,最长27个字节,由厂商自行定义。
6-127:保留。
128-255:由厂商特定的格式。
2SNMP的配置SNMP的配置工作在网络设备的全局配置模式下完成,在进行SNMP配置前,请先进入全局配置模式。
2.1设置认证名及访问权限SNMPv1/SNMPv2C采用基于共同体(Community-based)的安全方案,SNMP代理只接受来自相同认证名(Community-String)的管理操作,与网络设备的认证名不符的SNMP报文将不被响应,直接丢弃。
认证名相当于NMS和Agent之间的密码。
●可以设置访问列表关联,只有指定的IP地址的NMS可以管理;●可以设定该共同体的操作权限,是ReadOnly(只读)还是ReadWrite(读写);●指定视图的名称,用于基于视图的管理。
默认没有指定视图,即允许访问所有MIB对象;●可以指明能够使用该认证名的管理者的IP。
若不指明,则表示不限制使用该认证名的管理者的IP地址。
缺省为不限制使用该认证名的管理者的IP地址;要配置SNMP认证名,在全局配置模式下执行如下命令:可以配置一条或者多条指定,来指定多个不同的共同体名称,使得网络设备可以供不同的权限的NMS的管理,要删除共同体名称和权限,在全局配置模式下,执行nosnmp-server community命令。
2.2配置MIB视图和组可以使用基于视图的访问控制模型来判定一个操作关联的管理对象是否在视图允许之内或被排除在外,只有在视图允许之内的管理对象才被允许访问。
在进行控制时,一般是将某些用户和一个组关联,再将某个组与某个视图关联。
一个组内的用户具有相同的访问权限。
●可以设置包含视图和排除视图;●可以为一组用户设置只读的视图和可写的视图;●如果是SNMPv3的用户,可以为其指定使用的安全级别,是否需要进行认证、是否需要进行加密;要配置MIB视图和组,在全局配置模式下执行如下命令:使用no snmp-server view view-name命令来删除一个视图,或者使用no snmp-server view view-name oid-tree命令在一个视图中删除一棵子树。
也可以使用no snmp-server group groupname命令来删除一个组。
2.3配置SNMP用户可以使用基于用户的安全模型来进行安全管理,基于用户的管理必须事先配置用户的信息,NMS只有使用合法的用户才能同代理进行通信。
对于SNMPv3用户,可以指定安全级别、认证算法(MD5或SHA)、认证口令、加密算法(目前只有DES)和加密口令;要配置SNMP用户,在全局配置模式下执行如下命令:通过no snmp-server user username groupname删除指定用户。
2.4配置SNMP主机地址Agent在特定的情况下,也会主动的向NMS发送消息,要配置Agent主动发送消息的NMS主机地址,在全局配置模式下,执行如下指令:2.5设置SNMP代理参数可以对SNMP的Agent的基本参数进行配置,设置设备的联系方式、设备位置、序列号的信息,NMS通过访问设备的这些参数,便可以得知设备的联系人,设备所在的物理位置等信息。
要配置SNMP代理参数,在全局配置模式下,执行如下指令:2.6定义SNMP代理最大数据报文长度为了减少对网络带宽的影响,可以定义SNMP代理的数据包的最大长度。
在全局配置模式下,执行如下指令:2.7屏蔽SNMP代理SNMP代理服务是我司产品提供的一个服务,默认是启动的,在不需要代理服务的时候,可以通过如下方式屏蔽snmp代理功能以及相关配置信息;屏蔽snmp代理功能,在全局配置模式下,执行如下指令:2.8关闭SNMP代理不同于屏蔽命令,我司产品提供了关闭snmp代理的命令,该命令会直接snmp所有服务,但是不会屏蔽代理的配置信息;要关闭SNMP代理服务,在全局配置模式下,执行如下指令:2.9配置Agent主动向NMS发送Trap消息Trap是Agent不经请求主动向NMS发送的消息,用于报告一些紧急而重要的事件的发生。
缺省是不允许Agent主动发送Trap消息,如果要允许,在全局配置模式下,执行如下指令:2.10Link Trap策略配置在设备中可以基于接口配置是否发送该接口的LinkTrap,当功能打开时,如果接口发生Link状态变化,SNMP将发出LinkTrap,反之则不发。