s2026系列產(chǎn)品配置手冊指南snmp管理

1、SNMP 管理本章將描述在交換機上如何配置簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)。有關(guān)本節(jié)的 CLI 命令的詳細使用信息及說明，請參照 CLI 命令集本章包含以下部分：SNMP 概述配置 SNMP顯示 SNMP 配置信息SNMP 概述SNMP 是一種應(yīng)用協(xié)議，它為 SNMP 管理者和間的通信定義了協(xié)議消息格式。SNMP 管理者可以是網(wǎng)絡(luò)管理系統(tǒng)(NMS)的一部分，理之間的聯(lián)系。和管理信息庫(MIB)包含在交換機上，通過配置交換機上的 SNMP，你可以規(guī)定管理者同代SNMP包含 SNMP 管理者能夠請求或更改的管理變量。管理者能夠從那里獲得管理變量值或者向設(shè)置管理變量值?；蛘埱蟛僮?。從 MIB(包含設(shè)備的

2、參數(shù)和網(wǎng)絡(luò)數(shù)據(jù)信息)中收集管理信息。也能夠響應(yīng)管理者發(fā)出的設(shè)置能夠向管理者主動發(fā)出 TRAP 信息。TRAP 信息是用來向管理者通告網(wǎng)絡(luò)中的某種事件的發(fā)生。TRAP 信息能夠通告你認證失敗、重啟動、連接狀態(tài)、拓撲改變等重要的事件的發(fā)生。本節(jié)包含以下概念性的描述:SNMP 版本SNMP 管理功能SNMP功能SNMP 認證名SNMP 引擎標(biāo)識使用 SNMP 對MIB 變量進行管理SNMP 版本本支持以下 SNMP 版本：SNMPv1簡單網(wǎng)絡(luò)管理協(xié)議，是第一個正式協(xié)議版本，在 RFC1157 中定義。SNMPv2C：基于（Community-based）的SNMPv2 管理架構(gòu), 在RFC1901

3、中定義的一個實驗性協(xié)議。SNMPv3 通過對數(shù)據(jù)進行鑒別和加密，提供了以下的安全特性：1.2.3.確保數(shù)據(jù)在傳輸過程中不被篡改；確保數(shù)據(jù)從合法的數(shù)據(jù)源發(fā)出；加密報文，確保數(shù)據(jù)的性；SNMPv1 和 SNMPv2C 都采用基于(Commumity string)來限定能夠?qū)Γ–ommunity-based）的安全架構(gòu)。通過定義主機地址以及認證名的 MIB 進行操作的管理者。SNMPv2C 包含 GetBulk 的機制并且能夠?qū)芾砉ぷ髡痉祷馗釉敿毜腻e誤信息類型。GetBulk 能夠的獲取表格中的所有信息或者獲取大批量的數(shù)據(jù),從而減少請求-響應(yīng)的次數(shù)。SNMPv2C 錯誤處理能力的提高包括擴充錯

4、誤代碼以區(qū)分不同類型的錯誤，在 SNMPv1 中這些錯誤僅有一種錯誤代碼?，F(xiàn)在通過錯誤代碼可以區(qū)分錯誤類型。由于網(wǎng)絡(luò)上可能同時存在支持 SNMPv1 和SNMPv2C 的管理工作站，因此 SNMP必須能夠識別 SNMPv1 和SNMPv2C 報文，并且能返回相應(yīng)版本的報文。在 SNMPv2 的基礎(chǔ)上， SNMPv通過安全模型以及安全級別來確定對數(shù)據(jù)采用哪種安全機制進行處理；目前可用的安全模型有三種類別：SNMPv1,SNMPv2C,SNMPv3。下表為目前可用的安全模型以及安全級別安全模型安全級別鑒別加密說明SNMPv1noAuthNoPriv認證名無通過認證名確認數(shù)據(jù)的SNMPv2cnoAu

5、thNoPriv認證名無通過認證名確認數(shù)據(jù)的SNMPv3noAuthNoPriv用戶名無通過用戶名確認數(shù)據(jù)的SNMPv3authNoPrivMD5 或者 SHA無提供基于 HMAC-MD5或者 HMAC-SHA 的數(shù)據(jù)鑒別機制SNMPv3authPrivMD5 或者 SHADES提供基于 HMAC-MD5或者 HMAC-SHA 的數(shù)據(jù)鑒別機制提供基于 CBC-DES的數(shù)據(jù)加密機制SNMP 管理功能SNMP 管理者使用下表中操作獲得管理信息庫中的信息。1.量。 2.執(zhí)行該操作時，管理者不必知道變量確定的名稱。管理者可以通過順序查找直到在表格中找出需要的變僅 SNMPv2C/SNMPv3 支持該操

6、作。SNMP功能SNMP響應(yīng) SNMP 管理者的以下請求:獲得 MIB 變量-SNMP設(shè)置 MIB 變量-SNMP啟動該功能以響應(yīng) NMS 的請求。SNMP獲取所請求的 MIB 變量并將該值返回給 NMS.啟動該功能響應(yīng) NMS 發(fā)出的消息。SNMP改變相應(yīng)的變量為 NMS 所發(fā)出的值。SNMP能夠主動發(fā)送 Trap 信息通知 NMS上發(fā)生了重要的事件。比如一個端口的連接狀態(tài)改變，或者Spanning-tree 的拓撲改變或者一次認證失敗都能夠發(fā)出 Trap.SNMP 認證名同一樣，SNMP 認證名用來鑒別對是否使用 MIB 對象。為了能夠管理交換機，網(wǎng)絡(luò)管理系統(tǒng) (NMS)的認證名必須同交換

7、機中定義的某個認證名一致。一個認證名可以有以下屬性:只讀(Read-only)：為提供被讀寫(Read-write)：為提供被的管理工作站提供對所有 MIB 變量的讀權(quán)限。的管理工作站提供對所有 MIB 變量的讀寫權(quán)限。SNMP 引擎標(biāo)識引擎標(biāo)識用于代表一個SNMP引擎的管理性唯一標(biāo)識。由于每個SNMP實體僅包含一個SNMP引擎，它將在一個管理域中唯一標(biāo)識一個SNMP實體。因此，作為一個實體的SNMPv3器必須擁有一個唯一的引擎標(biāo)識，即snmpEngineID。引擎標(biāo)識為一個OCTET STRING，長度為532字節(jié)長。在RFC3411中定義了引擎標(biāo)識的格式: 1、前4個字節(jié)標(biāo)識廠商的私有企業(yè)

8、號（由IANA分配），用HEX表示。2、第5個字節(jié)表示剩下的字節(jié)如何標(biāo)識：操作描述Get 請求獲取指定變量的值GetNext 請求從一個表格中獲取變量的值1GetBulk 請求2返回大批量的數(shù)據(jù)，比如一個大表格中的所有管理變量的值。Get 響應(yīng)對網(wǎng)絡(luò)管理系統(tǒng)(NMS)的 Get,GetNext,Set 請求的響應(yīng)。Set 請求設(shè)定指定變量的值。Trap當(dāng)某種事件發(fā)生時主管理者發(fā)出的消息。0：保留1：后面4個字節(jié)是一個Ipv4地址。2：后面16個字節(jié)是一個Ipv6地址。3：后面6個字節(jié)是一個MAC地址。4：文本，最長27個字節(jié)，由廠商自行定義。5：16進制值，最長27個字節(jié)，由廠商自行定義。6-

9、127：保留。128-255：由廠商特定的格式。使用 SNMP 對 MIB 變量進行管理網(wǎng)絡(luò)管理系統(tǒng) (NMS)能夠通過交換機 MIB 變量操作來分析網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)性能，配置設(shè)備，負載等等。如下圖所示，SNMP從 MIB 中收集數(shù)據(jù)?？梢韵蚬芾碚甙l(fā)送 Trap 或者通知某種事件。Trap 向SNMP 管理者通告某種情況在網(wǎng)絡(luò)上發(fā)生，比如你認證失敗，重啟動，連接狀態(tài)等。SNMPGet,GetNext,Set 格式發(fā)送的 MIB 請求。同時能夠響應(yīng) SNMP 管理者以SNMP 網(wǎng)絡(luò)NMSGet請求 ， GetNext請求 GetBulk請求 , Set請求 網(wǎng)絡(luò)設(shè) 備SwitchMIB SNM

10、P響應(yīng)， TrapSNMP管理 者配置 SNMP默認的 SNMP 配置關(guān)閉 SNMP配置認證名配置 SNMP 用戶配置 MIB 視圖和組配置 Trap設(shè)置和位置信息配置實例默認的 SNMP 配置下表為 SNMP 的默認配置SNMP 的默認配置關(guān)閉 SNMP在模式下，你可以用以下命令關(guān)閉 SNMP：步驟 1步驟 2步驟 3步驟 4步驟 5用戶輸入 SNMP 相關(guān)命令時 SNMP理的開關(guān)。的開關(guān)將會自動打開。用戶輸入 enable servinmp-agent 將打開 snmp 代配置認證名你可以使用 SNMP 認證名來決定 SNMP 管理者同之間的通信。SNMP 認證名的作用類似，允許擁有合法認

11、證名的用戶同交換機上的通信。你也可以隨意的指定以下一個或者幾個屬性同認證名綁定:IP 地址，通過指定 IP 地址，只允許該 IP 地址的管理者讀寫權(quán)限，通過指定讀寫權(quán)限，限制管理者的操作。同通信。以下是你在模式下配置 SNMP 認證名的過程:步驟 1命令含義configure terminal進入配置模式命令含義configure terminal進入配置模式no enable servinmp-agent關(guān)閉 SNMPend回到模式show running-config驗證配置copy running-config startup-config保存配置屬性默認配置SNMP 版本SNMPv1S

12、NMP打開SNMP 認證名public，只讀，無需認證主機 IPSNMP 報文最大尺寸1500SNMP 用戶沒有配置SNMP 視圖沒有配置，允許所有 MIB 對象Trap 處理不發(fā)送步驟 2步驟 3步驟 4步驟 5你可以用命令 no snmp community string 清除指定的認證名。用戶可以用 no snmp community string host host-ip解除認證名同 IP 的關(guān)聯(lián)。以下例子說明如何配置一個名為 commacs 的只讀權(quán)限的認證名，該認證名綁定的 SNMP 管理者的 IP 為192.168.65.122。snmp-server community com

13、macs ro host 192.168.65.122配置 SNMP 的用戶你可以使用基于用戶的安全模型來進行安全管理，基于用戶的管理必須事先配置用戶的信息。只有合法的用戶才能同交換機上的通信。以下是你在模式下配置 SNMP 用戶以及組的過程:步驟 1步驟 2命令含義configure terminal進入配置模式snmp-server user username groupname v1 | v2 | v3 encrypted auth md5|sha auth-password priv des56 priv-password配置 SNMP 用戶名:username: 用戶名字符串。你可以

14、設(shè)置多個 SNMP 用戶名。groupname:該用戶對應(yīng)的組名。v1、v2c、v3:指明 SNMP 版本。只有 v3 支持后面的安全參數(shù)。(可選): encrypted 指定設(shè)置的密鑰在顯示時，顯示密文，沒有設(shè)置則顯示明文。snmp-server community string view view-name ro | rw host host-ip配置 SNMP 認證名:string: 認證名字符串。你可以設(shè)置多個 SNMP 認證名。(可選): view-name: 指定視圖的名稱，用于基于視圖的管理。默認沒有指定視圖，即允許所有 MIB 對象。(可選):你指定使用該認證名的管理者的權(quán)限:

15、只讀(ro)或可寫(rw).默認值為只讀。(可選)host-ip:指明能夠使用該認證名 的管理者的 IP. 若不指明，則表示不限制使用該認證名的管理者的 IP 地址缺省為不限制使用該認證名的管理者的 IP 地址end回到模式show running-config驗證配置copy running-config startup-config保存配置步驟 3步驟 4步驟 5通過 no snmp-server group groupname v1 | v2c | v3auth | noauth | priv來刪除指定的 SNMP 組。通過no snmp-server user username gro

16、upname 刪除指定用戶。下面的例子是設(shè)置一個名為user-1用戶，屬于mib2user組。密鑰的顯示形式為加密形式。使用md5認證，并且使用des加密。snmp-server user user-1 mib2user v3 encrypted auth md5 A7137C89137CA536A39952B05496A6D1 priv des567A324284E0ECC472800687DAECB465D0設(shè)置為不加密顯示的例子：snmp-server user user-2 mib2user v3 encrypted auth md5 authpassstr priv des56 de

17、spassstr配置 MIB 視圖和組你可以使用基于視圖的控制模型來判定一個操作關(guān)聯(lián)的管理對象是否在視圖允許之內(nèi)或被排除在外，只有在視圖允許之內(nèi)的管理對象被允許。在進行控制時，一般是將某些用戶和一個組關(guān)聯(lián)，再將某個組與某個視圖關(guān)聯(lián)。一個組內(nèi)的用戶具有相同的權(quán)限。以下是你在模式下配置 MIB 視圖的過程:命令含義如果選擇了以密文輸入，則需要輸入連續(xù)的 16 進制數(shù)字字符表示的密鑰。注意使用 MD5 的認證密鑰長度為 16 字節(jié)，而 SHA認證協(xié)議密鑰長度為 20 字節(jié)。以兩個字符表示一個字節(jié)。加密表示的密鑰僅對本引擎有效。(可選)auth:指定是否使用驗證。md5 指定使用 MD5 認證協(xié)議。s

18、ha 指定使用 SHA 認證協(xié)議。auth-password:設(shè)置認證協(xié)議使用的口令字符串（不超過 32 個字符）。系統(tǒng)將這些口令轉(zhuǎn)換成相應(yīng)的認證密鑰。（可選) priv:指定是否使用。des56指明使用 56 位的 DES 加密協(xié)議。priv-password 為加密用的口令字符串（不超過 32 個字符）。系統(tǒng)將這個口令轉(zhuǎn)換成相應(yīng)的加密密鑰。End回到模式show running-config驗證配置copy running-config startup-config保存配置步驟 1步驟 2步驟 3步驟 4步驟 5步驟 6你可以使用 no snmp-server view view-name

19、 命令來刪除一個視圖，或者使用 no snmp-server view view-nameoid-tree 命令在一個視圖中刪除一棵。也可以使用 no snmp-server group groupname 命令來刪除一個組。以下例子說明如何配置一個名為 mib2 的視圖，包含 MIB-II 的MIB并且設(shè)置一個名為 mib2user 用戶組，安全級別為需要驗證并且需要OID 為 1.3.6.1.2.1的視圖為只讀權(quán)限：名為 mib-2）。，snmp-server view mib2 mib-2 includesnmp-server group mib2user v3 priv read mi

20、b2配置 TrapTrap 管理者是一個你接收和處理 Trap 的管理工作站。Trap 是系統(tǒng)提示交換機上有某種特定的事件發(fā)生。缺省的配置是交換機不發(fā)送任何類型的 Trap.你可以配置 Trap 發(fā)送的相關(guān)參數(shù)：在模式下你可以通過以下配置過設(shè)置 Trap 發(fā)送的相關(guān)參數(shù)configure terminal進入配置模式snmp-server view view-name oid-tree include | exclude配置 MIB 視圖：view-name:視圖名。oid-tree:視圖關(guān)聯(lián)的 MIB 對象，是一棵 MIB。included：標(biāo)明該 MIB 對象被包含在視圖之內(nèi)。exclud

21、ed：標(biāo)明該 MIB 對象被排除在視圖之外。snmp-server group groupname v1 | v2c |v3 auth| noauth | priv read readviewwrite writeview配置 SNMP 組:groupname: 組名。v1、v2c、v3:指明 SNMP 版本。auth:該組的用戶傳輸?shù)南⑿枰炞C但數(shù)據(jù)不需要，只對 v3 有效。noauth:該組用戶傳輸?shù)南⒉恍枰炞C數(shù)據(jù)也不需要，只對 v3 有效。priv:該組用戶傳輸?shù)南⑿枰炞C同時傳輸?shù)臄?shù)據(jù)需要，只對 v3 有效。(可選):readview 關(guān)聯(lián)一個只讀的視圖。X(可選):write

22、view 關(guān)聯(lián)一個讀寫視圖。End回到模式show running-config驗證配置copy running-config startup-config保存配置步驟 1步驟 2步驟 3步驟 4步驟 5事件的基本類型你可以在模式下用以下配置過配置允許向哪些 SNMP 管理者發(fā)送 Trap.步驟 1步驟 2步驟 3步驟 4步驟 5步驟 6命令目的configure terminal進入配置模式snmp-server host host-addr traps ver1|2c |3 auth | noauth | privcommunity-string指明 Trap 的接收者。host-addr

23、 ：指明接收者的 IP.Ver:指明發(fā)送那種版本的 Trap.auth:指明 SNMPv3 版本的Trap 消息中需要驗證但數(shù)據(jù)不需要。noauth: 指明SNMPv3 版本的Trap 消息中不需要用驗證，數(shù)據(jù)也不需要。priv: 指明SNMPv3 版本的Trap 消息中需要驗證，同時數(shù)據(jù)需要。community-string:對于SNMPv1/SNMPv2 版本來說指明發(fā)送的 Trap 上附帶的認證名，對于 SNMPv3 版本則是 Trap 上附帶的用戶名。snmp-server enable traps notification-types允許交換機發(fā)送指定的Trap.能夠發(fā)送的Trap

24、列表見：事件的基本類型。若要允許多種類型的 Trap 發(fā)送，用戶需要多次調(diào)用該命令。end回到模式show running-config驗證配置copy running-config startup-config保存配置事件類型描述ColdStart交換機下電，冷啟動WarmStart交換機熱啟動LinkDown接口上的操作狀態(tài)從 Up 到 Downlinkup接口上的物理連接狀態(tài)從 Down 到 UpAuthenFailure用戶認證失敗NewRoot網(wǎng)絡(luò)中有新的根橋產(chǎn)生命令目的configure terminal進入配置模式snmp-server queue-length length指定

25、 Trap 消息報文的隊列長度，表示在隊列中同時最多允許有多少個待發(fā)的消息，用于控制消息發(fā)送的個數(shù)和頻度，默認長度是 10。End回到模式show running-config驗證配置copy running-config startup-config保存配置設(shè)置和位置信息在模式下你可以通過以下配置過設(shè)置系統(tǒng)的和位置信息步驟 1步驟 2步驟 3步驟 4步驟 5步驟 6設(shè)置 SNMP允許的最大包的尺寸為了減少對網(wǎng)絡(luò)帶寬的影響，可以定義 SNMP設(shè)置 SNMP 實體允許的最大包的尺寸的數(shù)據(jù)包的最大長度。在模式下你可以通過以下配置過步驟 1步驟 2步驟 3步驟 4步驟 5配置實例以下的配置允許任何

26、SNMP 管理者使用 ac使設(shè)備發(fā)送任何 trap.s 認證名對所有管理變量查看，但不允許對管理變量修改。該配置不會Switch(config)# snmp-server communityacs以下的配置允許任何 SNMP 管理者使用 acs 認證名對所有管理變量查看 ，允許交換機發(fā)送 linkup 的trap 給主機 192.168.65.189,對 192.168.65.122 和 192.168.65.33 使用 SNMPv1 格式發(fā)送 trap,對 192.168.65.132 使用SNMPv2C 格式發(fā)送 trap. 發(fā)送的 trap 中附帶的認證名為 public.Switch(

27、config)# Switch(config)# Switch(config)# Switch(config)#Switch(config)#snmp-server snmp-server snmp-server snmp-serversnmp-servercommunity acsenable traps linkuphost hosthost192.168.65.132 ver192.168.65.122 ver192.168.65.33 public2c acs1 acs命令目的configure terminal進入配置模式snmp-servacketsize byte-count設(shè)置

28、 SNMP的數(shù)據(jù)包的最大長度。系統(tǒng)默認為 1500。End回到模式show running-config驗證配置copy running-config startup-config保存配置命令目的configure terminal進入配置模式snmp-server contact text設(shè)定系統(tǒng)snmp-server location text設(shè)定系統(tǒng)位置信息End回到模式show running-config驗證配置copy running-config startup-config保存配置以下的配置允許使用 SNMPv3 的管理者采用認證加密模式通過用戶名 v3user 對mib-2(

29、1.3.6.1.2.1)節(jié)點下的管理變量設(shè)置和查看。采用的認證模式為 md5,使用的認證為 md5-auth;采用des 加密，加密密鑰為 des-priv。同時允許向192.168.65.199 以SNMPv3 格式發(fā)送trap,發(fā)送trap 使用的用戶名為v3user,采用認證加密模式發(fā)送，采用的認證模式為 md5,使用的認證為 md5-auth;采用 des 加密，加密密鑰為 des-priv。Switch(config)# Switch(config)# Switch(config)#Switch(config)#snmp-server snmp-server snmp-servers

30、nmp-serverview v3userview 1.3.6.1.2.1 includegroup v3usergroup v3 priv read v3userview write v3userviewuser v3user v3usergroup v3 auth md5 md5-auth priv des56 des-privhost 192.168.65.199 traps ver3 priv v3user以下例子顯示如何讓交換機使用認證名 public 對 192.168.65.121 發(fā)送所有類型的 trap.Switch(config)# snmp-server enable trapsSwitch(config)# snmp-server host 192.168.65.121 public顯示 SNMP 配置你可以用show snmp命令顯示SNMP輸入和輸出統(tǒng)計值以及SNMP的當(dāng)前配置，包括以及對snmp的操作統(tǒng)計。的認證名登錄次數(shù)，錯誤統(tǒng)計，顯示內(nèi)容如下：switch#show snmpHostname ContactLocation:Switch CA,HONGSHAN01ROAD,FUJIA