壹、snmp相關工作原理:
二、SNMPv1/v2c協議
配置示例
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent,使能SNMP Agent服務。
缺省情況下,執行任意snmp-agent的配置命令(無論是否含參數)都可以觸發SNMP Agent服務使能。
3.執行命令snmp-agent sys-info version { { v1 | v2c } * },配置SNMP的協議版本為SNMPv1或者SNMPv2c。
4.執行命令snmp-agent community { read | write } community-name [ mib-view view-name | acl acl-number ] *,配置讀寫團體名及團體名可以訪問的MIB視圖。
設備默認的view-name為ViewDefault視圖,該視圖允許對internet節點(其OID為1.3.6.1)和lagMIB節點(其OID為1.2.840.10006.300.43)進行操作。
檢查配置結果
設備使用SNMPv1/v2c協議通信,通過如下命令,查看配置的SNMP參數配置結果是否正確。
?執行命令display snmp-agent sys-info version,查看SNMP版本。
?執行命令display snmp-agent community { read | write },查看SNMP讀寫團體名。
?執行命令display snmp-agent mib-view,查看SNMP MIB視圖信息。
三、設備使用SNMPv3協議
配置示例:
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent,使能SNMP Agent服務。
缺省情況下,執行任意snmp-agent的配置命令(無論是否含參數)都可以觸發SNMP Agent服務使能。
3.執行命令snmp-agent sys-info version v3,配置SNMP的協議版本。
4.執行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ read-view read-view | write-view write-view | notify-view notify-view ] *,配置SNMPv3用戶組。
當網管和設備處在不安全的網絡環境中時,比如容易遭受攻擊等,建議用戶配置參數authentication或privacy,使能數據的認證或加密功能。
5.執行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *,配置SNMPv3用戶。
設備側參數user-name需與網管側的“SNMP協議參數”中的Security user name保持壹致。
6.執行命令snmp-agent usm-user v3 user-name authentication-mode { md5 | sha | sha2-256 },配置SNMPv3用戶認證密碼。
在使用中需要註意,MD5和SHA屬於不安全的用戶認證密碼,建議使用相對安全的SHA2-256用戶認證密碼。
設備側參數authentication-mode和password需分別與網管側的“SNMP協議參數”中的Authentication protocol和password保持壹致。
7.執行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 | aes256 },配置SNMPv3用戶加密密碼。
在使用中需要註意,DES56屬於不安全的加密算法,建議使用AES128加密算法。設備側參數privacy-mode和password需分別與網管側的“SNMP協議參數”中的Privacy protocol和password保持壹致。
用戶組和用戶配置完成後,使用該用戶名的網管擁有ViewDefault視圖(即1.3.6.1和1.2.840.10006.300.43)的權限。
檢查配置結果
設備使用SNMPv3協議通信,通過如下命令,查看配置的SNMP參數配置結果是否正確。
?執行命令display snmp-agent sys-info version,查看SNMP版本。
?執行命令display snmp-agent group [ group-name ],查看用戶組信息。
?執行命令display snmp-agent usm-user [ user-name ],查看用戶信息。
?執行命令display snmp-agent mib-view,查看SNMP MIB視圖信息。
四、配置設備側的Trap參數
設備的故障信息可以通過SNMP協議中的Trap報文,主動向網管側發送。只有在設備上使能發送Trap報文的功能並設置Trap目標主機後,網管側才能對設備上的故障信息進行監控。
配置設備發送告警前,需要先確認信息中心已經使能。如未使能,需要執行info-center enable命令。
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { { v1 | v2c } securityname securityname | v3 securityname securityname { authentication | noauthnopriv | privacy } } [ binding-private-value ][ private-netmanager ]
snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ][ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname
Trap snmp v1/v2c:
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
Trap snmp V3
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
操作步驟
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent trap enable,使能設備發送Trap報文的功能。
執行上述命令會壹次性打開所有模塊的告警開關。當用戶希望打開特定模塊的告警開關時,可以使用命令snmp-agent trap enable feature-name feature-name 。
用戶具備三種屬性,按照安全性從高到低為:
?1級:privacy(鑒權且加密)
?2級:authentication(只鑒權)
?3級:noauthnopriv(不鑒權不加密)
執行命令snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname ,配置設備發送告警和錯誤碼的目的主機。
請參考下面的說明對參數進行選取:
?目的UDP端口號 缺省 是162,如果有特殊需求導致端口被占用(比如避免知名端口號被攻擊配置了端口鏡像),可以配置udp-port將UDP端口號更改為非知名端口號,保證網管和被管理設備的正常通信。
?如果被管理設備發送的告警需要 通過公網 傳遞給網管時,選擇參數public-net;如果被管理設備發送的告警需要通過私網傳遞給網管時,選擇參數vpn-instance vpn-instance-name,指定告警需要穿越的VPN實例。
檢查配置結果
通過如下命令,查看配置的Trap參數配置結果是否正確。
?執行命令display current-configuration | include trap,查看Trap配置信息。
?執行命令display snmp-agent trap all,查看所有特性下所有Trap開關當前的狀態和缺省狀態。
?執行命令display snmp-agent target-host,查看目標主機的信息。
SNMP v1/v2c:
SNMPv1/v2c協議基礎配置
snmp-agent
snmp-agent sys-info version v2
snmp-agent community read community-name
snmp-agent usm-user v3 user-name
snmp v1/v2c:
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
SNMPv3
SNMPv3協議基礎配置
snmp-agent
snmp-agent sys-info version v3
snmp-agent group v3 group-name authentication
snmp-agent usm-user v3 user-name group group-name
snmp-agent usm-user v3 user-name authentication-mode sha
Chonglang2020
snmp-agent usm-user v3 user-name privacy-mode aes128
Chonglang2021
snmp V3
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname