第23章SNMP配置.docx

第23章SNMP配置.docx

《第23章SNMP配置.docx》由会员分享，可在线阅读，更多相关《第23章SNMP配置.docx（29页珍藏版）》请在冰豆网上搜索。

第23章SNMP配置

第23章SNMP配置

本章主要描述路由器SNMP代理服务器和RMON（远程网络监控）的配置。

本章主要内容：

●SNMP代理服务器配置

●RMON配置

23.1SNMP代理服务器配置

本节主要内容：

●SNMP简介

●SNMP基本指令描述

●SNMP配置实例

23.1.1SNMP简介

SNMP（SimpleNetworkManagementProtocol：

简单网络管理协议）是管理互联网络的一个标准协议。

其目的是保证管理信息能够在网管工作站（NetworkManagingStation）和被管设备——代理（Agent）之间传送。

便于系统管理员完成网络系统的管理。

SNMP协议采用树形的标记方法，对系统中的每一个被管对象编号，并确保编号的唯一性。

有关SNMP协议的详细信息请参见TCP/IP协议资料。

23.1.2SNMP基本指令描述

命令

描述

配置模式

snmp-serverstart

*激活SNMP网管

config

snmp-servercommunity

*设置SNMP团体名

config

snmp-servercontact

设置该设备管理者联系方式

config

snmp-servercontext

设置V3context

config

snmp-serverenable

启动snmp参数配置

config

snmp-serverhost

*设置接收SNMPtrap的主机地址或主机名

config

snmp-serverkeepalive

启动snmp保活报文

config

snmp-serverlocation

设置该设备放置的位置

config

snmp-serverview

*设置网管视图

config

snmp-serverAddressParam

*设置地址参数

config

snmp-serverTargetAddress

*设置目的地址的相关参数

config

snmp-serverengineID

*设置引擎

config

snmp-serverengineGroup

*设置引擎组

config

snmp-servertrap-source

设置发送trap的源地址

config

snmp-serversend

*测试发送一个notify给网管工作站

config

snmp-servergroup

*设置用户组

config

snmp-servernotify

*设置notify

config

snmp-serverproxy

*设置代理转发

config

snmp-serveruser

*设置用户

config

注：

1、命令描述前带“*”符号的表示该命令有配置实例详细说明。

23.1.3SNMP代理服务器配置详解

⏹SNMP代理的启动

router（config）#snmp-serverstart

注：

在设备启动后，SNMP代理默认为关闭，如果需要使用SNMP代理对设备进行管理，必须使用该命令启动SNMP代理。

在SNMP代理启动时，会自动配置一个初始的视图default和一个初始的团体名public。

⏹在路由器上删除SNMP：

（关闭网管代理进程）

在迈普路由器上关闭SNMP的配置如下：

Router（config）#nosnmp-serverstart

注：

执行了该命令后，则路由器上的网管代理进程被关闭，网管软件无法通过SNMP对该路由器进行管理。

⏹配置设备管理者的联系方式和设备放置位置

Router（config）#snmp-servercontact设置有关该设备管理者的联系方式

Router（config）#snmp-serverlocation设置有关该设备放置的位置

注：

在路由器上设置这两条命令的作用是让网管工作站可以读出有关路由器管理者信息以及路由器放置的具体位置，便于对路由器进行管理。

其默认配置为路由器生产厂家的全称和地址。

⏹视图配置

router（config）#snmp-serverviewview-nameoid-string{include|exclude}

命令

描述

viewview-name

设置视图名称

oid-string

指定该视图的OID

{include|exclude}

指定视图的属性

注：

SNMP代理在启动时会配置一个初始的视图：

default，对应的OID为：

1.3.6.1，include表示包含MIB库1.3.6.1子树下的所有对象，exclude表示排除MIB库1.3.6.1子树以外的所有对象

⏹配置团体名：

router（config）#snmp-servercommunitycommunity-name{viewview-name/ro/rw}[access-list]]

命令

描述

communitycommunity-name

设置团体名称

viewview-name

指定团体名对应的视图

{ro|rw}

指定团体名的操作权限

access-list

指定团体名的访问控制列表或名称

注：

参数community-name指定路由器要加入的团体名，通常该团体名和网管工作站上配置的团体名要相同，否则网管工作站无法对该路由器进行任何操作。

参数{ro|rw}用来设置网管工作站对该路由器的操作权限，ro为只读，rw为可读可写。

view用于为该团体指定的视图范围，对于迈普路由器参数view可以不用配置（使用默认值即可）。

access-list是使用访问控制列表对某一团体名中的主机进行访问控制，从而只允许那些与路由器具有相同团体名，且路由器访问控制列表允许访问的主机对路由器进行管理（具体详见迈普路由器访问控制模块）。

例子：

在路由器上加入名字为public的community中,并且设置团体名为public的网管工作站对该路由器的操作权限为可读可写：

Router（config）#snmp-servercommunitypublicrw

注：

路由器启动后必须配置community，否则网管工作站无法通过snmpv1/v2c管理该路由器；

在启动SNMP代理时，系统会配置一个初始的团体名：

public，操作权限为：

ro；

如果不希望通过SNMPv1/v2对设备进行管理，而只需要使用SNMP/v3，则可以删除所有的团体名配置（包括初始的团体名配置）；

要通过网管工作站对路由器的部分配置进行更改，比如设备名、厂商信息，就必须在设置参数的时候把参数设为rw（可读可写）。

⏹在路由器上配置发送traps信息：

路由器发送trap信息的配置如下：

Router（config）#snmp-serverhostip-address/host-name[traps][communitycommunity-name][version{1|2}][vrfvrf-name]

命令

描述

hostip-address/host-name

指定管理工作站的IP地址或名称

traps

指定发送类型为traps

communitycommunity-name

指定团体名称

version{1|2}

指定trap报文的版本号

vrfvrf-anme

指定发送trap的VRF名称

注：

参数ip-address/host-name指traps信息要发送的目的地的ip地址或名字，通常为安装网管程序的主机的ip地址或名字。

值得注意的一点是trap信息是路由器主动向安装网管程序的主机发送的信息。

如果没有配置host后面的各项参数（traps、community-name、version）时，系统将默认配置为：

类型：

traps，团体名：

public，版本：

2。

例子：

设置接收traps信息的网管服务器的IP地址为192.168.0.100，团体名称为example，使用的SNMP的版本号为2命令如下：

Router（config）#snmp-serverhost192.168.0.100trapscommunityexampleversion2

⏹配置发送traps信息的接口：

路由器发送trap信息接口的配置如下：

Router（config）#snmp-servertrap-sourceip-address

命令

描述

ip-addres

指定发送trap信息的接口ip地址

⏹配置发送traps信息的内容：

配置路由器发送trap信息内容的配置如下：

Router（config）#snmp-serverenabletraps[bgp][dlsw][frame-relay][isdn][ospf][pim][rsvp][snmp][x.25]

注：

这里可以配置需要发送的trap信息的内容，设备代理提供了bgp/dlsw/frame-relay/isdn/ospf/pim/rsvp/snmp/x.25这些协议trap信息，如希望接收到这些trap需要执行此命令。

如果没有配置enabletraps后面的参数，默认将发送所有的trap消息。

例子：

设备需要发送coldstart类型的trap消息，配置命令如下：

Router（config）#snmp-serverenabletrapssnmpcoldstart

⏹配置发送keep-alive信息的内容：

配置路由器发送keep-alive信息内容的配置如下：

Router（config）#snmp-serverenablekeep-alive[IPsec]|[sync-config]ip_addrportinterval

命令

描述

IPsec

IPsec模块使用的keep-alive

sync-config

配置同步使用的keep-alive

ip_addr

目的IP地址

port

目的端口

interval

发送间隔时间

注：

IPsec使用的keep-alive用于IPsec模块向网络管理服务器通告IPsec信息，如果未使用网络管理服务器配置该命令无效；

Sync-config使用的keep-alive用于探测网络管理服务器之间的保活，该命令强制使设备和网络管理器之间保持通信，如果未能正确通信，将造成系统重启，因此，如果非必要的情况下不要使用该命令。

⏹配置SNMPv3引擎ID：

router（config）#snmp-serverengineID?

命令

描述

remote

配置远程engineID

local

配置本地engineID

注：

每一个SNMPv3实体包含一个引擎（或称为本地引擎），snmpEngineID在一个管理域中唯一地标识一个SNMPv3实体。

另外，当SNMPv3发送通告或转发消息时，则需要知道远端目的SNMP实体的engineID，因此此时必须配置远程engineID，并要为该engineID指定目的IP地址和UDP端口号。

router（config）#snmp-serverengineIDlocalengineID

命令

描述

engineID

本地的engineID值

例子：

配置本地engineID为12345678，配置命令如下：

router（config）#snmp-serverengineIDlocal12345678

router（config）#snmp-serverengineIDremoteip-addressport-num[vrfvrf-name]engineID[engineGroup]

命令

描述

ip-address

目的实体的IP地址

port-num

目的实体的UDP端口号

vrfvrf-name

指定设备向目的实体发送报文的VRF名称

engineID

远程的engineID值

engineGroup

引擎组名

注：

在配置自动代理转发的时候，由于可能不知道被代理设备的ip地址，这个时候，只要在ip-address处输入0.0.0.0即可，另外，自动代理转发必须与保活机制结合在一起才行。

例子：

配置目的实体的IP地址为1.1.1.1，端口号为162，engineID为abcdef1234，配置命令如下：

Router（config）#snmp-serverengineIDremote1.1.1.1162abcdef1234

⏹配置SNMPv3引擎组：

router（config）#snmp-serverengineGroupgroupnameusrname{noauth|authnopriv|authpriv}

命令

描述

groupname

引擎组名

usrname

用户名

{auth|noauth|authpriv}

usrname的安全级别，分别为不鉴别不加密，鉴别不加密，鉴别加密

注：

这个是配置自动代理转发用到的一个命令，在配置这个命令之前，相应的usrname必须事先配好。

这个指令的作用是将若干个引擎（snmpv3实体）关联到一个引擎组中，每个引擎组指定一个用户，这样，对引擎组中任何一个引擎（snmpv3实体）的访问，都可以通过username来进行。

其中{noauth|authnopriv|authpriv}是用来描述这个usrname的安全级别的，必须与这个usrname的一致。

例子：

配置一个组名为group1,用户名为user1,安全级别为authpriv的配置命令如下：

Router（config）#snmp-serverengineGroupgroup1user1authpriv

⏹SNMPv3组配置：

Router（config）#snmp-servergroupgroup-namev3{noauth|authnopriv|authpriv}[notifynotify-view][readread-view][writewrite-view]

命令

描述

groupgroup-name

组名

v3

组的安全模型为v3

{noauth|authnopriv|authpriv}

指定组的安全级别，可选不认证也不加密、认证但不加密、既认证又加密

notifynotify-view

配置组的通告视图

readread-view

配置组的读视图

writewrite-view

配置组的写视图

注：

在SNMPv3中，将一个组名称、安全信息和一个消息类型（读操作，写操作或通告）映射到一个MIB视图中。

给定一个MIB视图，就能确定一个管理对象是否允许被访问，同时若干个snmpv3的用户可以关联到这个组中。

组的设置增强了snmpv3的访问控制力度。

例子：

设置一个组的名称为group1，安全级别为既认证又加密，通告视图为view3，读视图为view1，写视图为view2，配置命令如下：

Router（config）#snmp-servergroupgroup1v3authprivreadview1writeview2notifyview3

视图view1、view2、view3需要另行配置，配置命令见snmp-serverview。

⏹SNMPv3用户配置：

Router（config）＃snmp-serveruseruser-namegroup-name[remoteip-addressportnum]v3[auth{md5|sha}password[encryptdespassword]]

命令

描述

useruser-name

用户名

group-name

用户所属组名

remoteip-addressportnum

远程用户的IP地址和端口号

v3

用户的安全模型为v3

auth{md5|sha}password

配置用户的认证协议为md5或sha，并指定密码

encryptdespassword

配置用户的加密协议为des，并指定密码

注：

配置基于用户安全模型（USM）的snmpv3用户，保存每个用户的鉴别和加密信息。

注意只有在配置了认证协议后才能配置加密协议。

对于远程用户（所谓的远程是相对于本地snmpv3实体来说的，如果这个本地snmpv3实体要与其他snmpv3实体打交道，那么其他snmpv3实体就称为远程snmpv3实体，这在noify以及proxy中有涉及）来说，还需指定远程用户的IP地址和UDP端口号，在配置远程用户时还需注意，必须首先配置该用户对应的远程SNMP实体的engineID。

此外，每个用户必须与一个组对应，这样才能通过基于视图的访问控制将一个安全模型和安全名称映射为一个组名称。

在配置自动代理转发的时候，由于可能不知道被代理设备的ip地址，这个时候，只要在ip-address处输入0.0.0.0即可，另外，自动代理转发必须与保活机制结合在一起才行。

例子：

1.配置一个用户的名称为user1，对应的组为group1，安全级别为既认证又加密，认证协议为md5，密码为123456，加密协议为des，密码为234567，配置命令如下：

Router（config）#snmp-serveruseruser1group1v3authmd5123456encryptdes234567

2.配置一个用户名为user2的远程用户，IP地址为1.1.1.1，端口号为162，既认证又加密，认证协议为sha，密码为123456，加密协议为des，密码为123456，配置命令如下：

router（config）#snmp-serveruseruser2group1remote1.1.1.1162v3authsha123456encryptdes123456

⏹配置SNMPv3的上下文：

Router（config）＃snmp-servercontextcontext－name

注：

上下文的设置是snmpV3的一项参数，但不影响snmpV3的使用

⏹SNMPv3地址参数配置：

router（config）#snmp-serverAddressParam[address-name][paramIn]v3user-name{noauth|authnopriv|authpriv}

命令

描述

addressparamaddress-name

地址参数名称

paramIn

配置动态代理转发

v3

生成SNMP消息时使用的消息处理模型为v3

user-name

对应该地址参数的用户名

{noauth|authnopriv|authpriv}

配置用户的安全级别，可选不认证也不加密、认证但不加密、既认证又加密

注：

在SNMPv3中定义了一些MIB表，以配置发送通告消息到哪里，地址参数表定义了当生成消息（通告）时应该使用的SNMP参数，这些参数包括使用的消息处理模型、安全模型、安全级别以及安全名称。

例子：

配置一个地址参数名为addparam1，它的消息处理模型为v3，对应的用户名（也就是安全名称）为user1，安全级别为authpriv，配置命令如下：

router（config）#snmp-serverAddressParamaddparam1v3user1authpriv

配置一个代理转发的地址参数，用户名为user_proxy，安全级别为authpriv，配置命令如下：

router（config）#snmp-serverAddressParamparamInv3user_proxyauthpriv

⏹目的地址表配置：

router（config）#snmp-serverTargetAddresstarget-nameip-addressport-numaddress-paramtaglisttime-outretry-num

命令

描述

targetaddresstarget-name

地址名称

ip-address

目的地址

port-num

UDP端口号

address-param

地址参数名

taglist

标记列表

time-out

超时时间

retry-time

重传次数

注：

目的地址表用于指定在生成SNMP消息时使用的目的地址（请注意，TargetAddress以及AddrssParam只有在本地snmpv3实体访问其他（远程）snmpv3实体才可能配置），其中需要指出的是：

address-param是在地址参数表中已经配置的地址参数名；taglist标记用于标识发送通告和转发消息到其上的目的地址，可以配置多个值，中间使用逗号隔开。

例子：

配置一个地址名为target1，IP地址为1.1.1.1，UDP端口号为162，对应的地址参数名为addparam1，标记列表为tag1和tag2，超时时间为2秒，重传次数为2次，配置命令如下：

router（config）#snmp-serverTargetAddresstarget11.1.1.1162addparam1tag1,tag222

⏹通告配置：

SNMPv3的通告配置包括通告参数表、通过过滤表以及通告配置表。

命令如下：

router（config）#snmp-servernotify?

命令

描述

filter

配置通告过滤表

notify

配置通告参数表

profile

配置通告配置表

其中：

通告参数表用于指定发送通告到其上的目的地址。

通告是否发送到一个目的地址取决于建立的过滤是否包含了该目的地址。

通告过滤表定义了用于确定是否应该发送到一个目的地址的过滤。

通告配置表用于将上面的地址参数表联系到通告参数表。

SNMPv3通告的工作原理以及作用的详细情况可以参考SNMP协议的相关资料，这里不再赘述。

router（config）#snmp-servernotifynotifynotify-nametaglistinform

命令

描述

notifynotify-name

通告名称，用于索引通告表的唯一标识符

taglist

标记值，与地址表中配置的标记列表对应

inform

指定该通告消息的类型为inform

注：

在SNMPv3中，发送通告时需要指定发送通告到其上的目的地址，通告是否会发送到一个目的地址取决于建立的过滤是否包含了该目的地址。

有关SNMPv3通告的具体发送过程请参见相关的技术手册。

例子：

配置一个名称为notify1，标记值为tag1的通告表项，配置命令如下：

router（config）#snmp-servernotifynotifynotify1tag1inform

r