❶ 如何在 Windows Server 2003 中為 SNMP 服務配置網路安全
在用win 2003系統的過程中少不了要對網路的snmp協議進行配置,這類網路協議的配置方法並不是所有用戶都知曉的,那麼如何在Windows Server 2003中為「簡單網路管理協議」(SNMP)服務配置網路安全性。 SNMP服務起著代理的作用,它會收集可以向SNMP管理站或控制台報告的信息。您可以使用SNMP服務來收集數據,並且在整個公司網路范圍內管理基於Windows Server 2003、Microsoft windows xp和Microsoft windows 2000的計算機。 通常,保護SNMP代理與SNMP管理站之間的通信的方法是:給這些代理和管理站指定一個共享的社區名稱。當SNMP管理站向SNMP服務發送查詢時,請求方的社區名稱就會與代理的社區名稱進行比較。如果匹配,則表明SNMP管理站已通過身份驗證。如果不匹配,則表明SNMP代理認為該請求是「失敗訪問」嘗試,並且可能會發送一條SNMP陷阱消息。 SNMP消息是以明文形式發送的。這些明文消息很容易被「Microsoft網路監視器」這樣的網路分析程序截取並解碼。未經授權的人員可以捕獲社區名稱,以獲取有關網路資源的重要信息。 「IP安全協議」(IP Sec)可用來保護SNMP通信。您可以創建保護TCP和UDP埠161和162上的通信的IP Sec策略,以保護SNMP事務。 創建篩選器列表 要創建保護SNMP消息的IP Sec策略,先要創建篩選器列表。方法是: 單擊開始,指向管理工具,然後單擊本地安全策略。 安全設置,右鍵單擊「本地計算機上的IP安全策略」,然後單擊「管理IP篩選器列表和篩選器操作」。 單擊「管理IP篩選器列表」選項卡,然後單擊添加。 在IP篩選器列表對話框中,鍵入SNMP消息(161/162)(在名稱框中),然後鍵入TCP和UDP埠161篩選器(在說明框中)。 單擊使用「添加向導」復選框,將其清除,然後單擊添加。 在「源地址」框(位於顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊「任意IP地址」。在「目標地址」框中,單擊我的IP地址。單擊「鏡像。匹配具有正好相反的源和目標地址的數據包」復選框,將其選中。 單擊協議選項卡。在「選擇協議類型」框中,選擇UDP。在「設置IP協議埠」框中,選擇「從此埠」,然後在框中鍵入161。單擊「到此埠」,然後在框中鍵入161。 單擊確定。 在IP篩選器列表對話框中,選擇添加。 在「源地址」框(位於顯示的IP篩選器屬性對話框的地址選項卡上)中,單擊「任意IP地址」。在「目標地址」框中,單擊我的IP地址。選中「鏡像、匹配具有正好相反的源和目標地址的數據包」復選框。 單擊協議選項卡。在「選擇協議類型框中,單擊TCP。在「設置IP協議」框中,單擊「從此埠」,然後在框中鍵入161。單擊「到此埠」,然後在框中鍵入161。 單擊確定。
❷ snmp的安全性
現在對於安全性的標准已經提高了。snmp傳輸過程不加密,且是udp傳輸的,不需要建立通信連接(如tcp的三次握手),容易被劫持mac或IP地址而獲得部分信息,所以不屬於一個非常安全的東西。
就像以前很多網管用telnet,你說telnet安全嗎? 但現在絕大部分網管,都是通過ssh維護的。
當然,這些安全標准似乎個人標准而定,如果你設備掛在大網,最好配合其他安全軟體使用,比如設定特定的用戶才可以採集,設置好防火牆,等等。
❸ 如何在 Windows Server 2003 中為 SNMP 服務配置網路安全
創建篩選器列表
要創建保護 SNMP 消息的 IPSec 策略,請首先創建篩選器列表。為此,請按照下列步驟操作:
單擊開始,指向管理工具,然後單擊本地安全策略。
展開安全設置,右鍵單擊「IP 安全策略,在本地計算機上」,然後單擊「管理 IP 篩選器表和篩選器操作」。
單擊「管理 IP 篩選器列表」選項卡,然後單擊添加。
在 IP 篩選器列表對話框的名稱框中鍵入 SNMP 消息 (161/162),然後在描述框中鍵入 TCP 和 UDP 埠 161 篩選器。
單擊以清除使用「添加向導」復選框,然後單擊添加。
在出現的 IP 篩選器屬性對話框的地址選項卡上,在「源地址」框中單擊「任何 IP 地址」。在「目標地址」框中單擊我的 IP 地址。單擊以選中「鏡像。同時與源地址和目標地址正好相反的數據包相匹配」復選框。
單擊協議選項卡。在「選擇協議類型」框中,單擊 UDP。在「設置 IP 協議埠」框中,單擊「從此埠」,然後在框中鍵入 161。單擊「到此埠」,然後在框中鍵入 161。
單擊確定。
在 IP 篩選器列表對話框中,單擊添加。
在出現的 IP 篩選器屬性對話框的地址選項卡上,在「源地址」框中單擊「任何 IP 地址」。在「目標地址」框中單擊我的 IP 地址。單擊以選中「鏡像。同時與源地址和目標地址正好相反的數據包相匹配」復選框。
單擊協議選項卡。在「選擇協議類型」框中,單擊 TCP。在「設置 IP 協議」框中,單擊「從此埠」,然後在框中鍵入 161。單擊「到此埠」,然後在框中鍵入 161。
單擊確定。
在 IP 篩選器列表對話框中,單擊添加。
在出現的 IP 篩選器屬性對話框的地址選項卡上,在「源地址」框中單擊「任何 IP 地址」。在「目標地址」框中單擊我的 IP 地址。單擊以選中「鏡像。同時與源地址和目標地址正好相反的數據包相匹配」復選框。
單擊協議選項卡。在「選擇協議類型」框中,單擊 UDP。在「設置 IP 協議」框中,單擊「從此埠」,然後在框中鍵入 162。單擊「到此埠」,然後在框中鍵入 162。
單擊確定。
在 IP 篩選器列表對話框中,單擊添加。
在出現的 IP 篩選器屬性對話框的地址選項卡上,在「源地址」框中單擊「任何 IP 地址」。在「目標地址」框中單擊我的 IP 地址。單擊以選中「鏡像。同時與源地址和目標地址正好相反的數據包相匹配」復選框。
單擊協議選項卡。在「選擇協議類型」框中,單擊 TCP。在「設置 IP 協議」框中,單擊「從此埠」,然後在框中鍵入 162。單擊「到此埠」,然後在框中鍵入 162。
單擊確定。
在 IP 篩選器列表對話框中單擊確定,然後在「管理 IP 篩選器列表和篩選器操作」對話框中單擊確定。
創建 IPSec 策略
要創建 IPSec 策略來對 SNMP 通信強制實施 IPSec,請按下列步驟操作:
右鍵單擊左窗格中的「IP 安全策略,在本地計算機上」,然後單擊創建 IP 安全策略。
IP 安全策略向導啟動。
單擊下一步。
在「IP 安全策略名稱」頁上的名稱框中鍵入安全 SNMP。在描述框中,鍵入對 SNMP 通信強制實施 IPSec,然後單擊下一步。
單擊以清除「激活默認響應規則」復選框,然後單擊下一步。
在「正在完成 IP 安全策略向導」頁上,驗證「編輯屬性」復選框已被選中,然後單擊完成。
在安全 SNMP 屬性對話框中,單擊以清除使用「添加向導」復選框,然後單擊添加。
單擊 IP 篩選器列表選項卡,然後單擊 SNMP 消息 (161/162)。
單擊篩選器操作選項卡,然後單擊需要安全。
單擊身份驗證方法選項卡。默認的身份驗證方法為 Kerberos。如果您需要備用身份驗證方法,請單擊添加。在新身份驗證方法屬性對話框中,從下面的列表中選擇所需的身份驗證方法,然後單擊確定:
Active Directory 默認值(Kerberos V5 協議)
使用來自證書頒發機構(CA)的證書
使用此字元串(預共享密鑰)
在新規則屬性對話框中,單擊應用,然後單擊確定。
在 SNMP 屬性對話框中,驗證 SNMP 消息 (161/162) 復選框已被選中,然後單擊確定。
在「本地安全設置」控制台的右窗格中,右鍵單擊安全 SNMP 規則,然後單擊指派。
在所有運行 SNMP 服務的基於 Windows 的計算機上完成此過程。SNMP 管理站上也必須配置此 IPSec 策略。
❹ 安全的計算機網路在snmp v2,v3中是如何實現的
簡單網路管理協議(SNMP)是基於TCP/IP的網路管理,實際上就是一群標準的集合。80年代末期由IETF開發後,開始被廣泛應用在各類網路設備中,成為一種網管的工業標准。SNMP又稱之為管理者和代理之間的通信協議,包括理解SNMP的操作、SNMP信息的格式及如何在應用程序和設備之間交換信息。
就概念而言,SNMP為網管界定了管理者(Manager)和代理者(Agent,被管理設備)之間的關系。兩者之間的共同點是都運行TCP/IP協議。管理者可對管理設備提出效能、配置、和狀態等信息的詢問,透過要求與回復(request/replay)的簡單機制來擷取代理者身上的信息,而兩者之間的信息主要是通過PDU協議數據單元來載送。SNMP使用UDP作為IP的傳輸層協議。
在實現過程中,管理者會發送一個PDU給一個代理者(可以是路由器、交換機、防火牆……等可支持網管的設備),代理者收到管理者所發出內含詢問信息的PDU報文後,再透過PDU回傳給相關的管理者。在該過程中,代理者基本上只能處於被動的狀態,反復進行一問一答的模式,而唯一可由代理者自動發出的只有Trap的不定期回報特殊狀況信息。
SNMP協議有兩個基本命令模式:read和read/write。read是可以通過SNMP協議觀察設備配置細節,而使用read/write模式可以讓管理者有許可權修改設備配置。以當前市場流行的大多數被網管的設備為例,如果設備的默認口令沒有改變,那麼攻擊者就可以利用默認的口令得到其配置文件,文件一旦被破解,攻擊者就能夠對設備進行遠程非法的配置,實行攻擊。
目前,絕大多數的網路設備和操作系統都可以支持SNMP,如D-Link、Cisco、3Com等等。
SNMPv3實現更優管理
目前SNMP的發展主要包括三個版本:SNMPv1、SNMPv2以及最新的SNMPv3。從市場應用來看,目前大多數廠商普遍支持的版本是SNMPv1和v2,但從安全鑒別機制來看,二者表現較差。而SNMPv3採用了新的SNMP擴展框架,在此架構下,安全性和管理上有很大的提高。在當前的網路設備市場中,D-Link已經率先推出了支持SNMPv3的網路產品,如DES-3226S、DES-3250TG交換機等,在安全功能和管理功能上都有良好的表現。
總體來看,SNMPv1和v2版本對用戶權力的惟一限制是訪問口令,而沒有用戶和許可權分級的概念,只要提供相應的口令,就可以對設備進行read或read/write操作,安全性相對來的薄弱。雖然SNMPv2使用了復雜的加密技術,但並沒有實現提高安全性能的預期目標,尤其是在身份驗證(如用戶初始接入時的身份驗證、信息完整性的分析、重復操作的預防)、加密、授權和訪問控制、適當的遠程安全配置和管理能力等方面。
SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結構體現了模塊化的設計思想,使管理者可以簡單地實現功能的增加和修改。其主要特點在於適應性強,可適用於多種操作環境,不僅可以管理最簡單的網路,實現基本的管理功能,還能夠提供強大的網路管理功能,滿足復雜網路的管理需求。
目前,市場上的網路設備尚停留在SNMPv1/v2的范疇,並未廣泛支持SNMPv3,如何配置設備的SNMP服務以確保網路安全、完善管理機制呢?以下幾個方面建議或許值得網管人員一試:由於基於SNMPv1/v2協議本身具有不安全性,所以在管理過程中,如果沒有必要,可以不要開啟SNMP代理程序;可以限制未授權IP對SNMP的訪問,或者改變SNMP代理的默認口令,並使用復雜的口令;在後續采購設備中,盡可能選用支持SNMPv3的設備產品。
綜合SNMP的不同版本,顯然SNMPv3的應用推廣勢在必行,必然會以突出的優勢成為新的應用趨勢。一些市場反應敏捷的網路設備製造商已經推出了相關產品。據了解,D-Link在新一代產品推出時,已將此技術列入基本的協議支持,包括DES-3226S、DES-3250TG在內的多款交換機已經率先支持SNMPv3。
你問的比較籠統自己看看吧。
❺ 在路由器中 SNMP 是指的什麼
SNMP是英文「Simple Network Management Protocol」的縮寫,中文意思是「簡單網路管理協議」。
在路由器里最為常用的網管協議就是SNMP。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。
SNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。SNMP是一系列協議組和規范(見下表),它們提供了一種從網路上的設備中收集網路管理信息的方法。SNMP也為設備向網路管理工作站報告問題和錯誤提供了一種方法。
目前,幾乎所有的網路設備生產廠家都實現了對SNMP的支持。領導潮流的SNMP是一個從網路上的設備收集管理信息的公用通信協議。設備的管理者收集這些信息並記錄在管理信息庫(MIB)中。這些信息報告設備的特性、數據吞吐量、通信超載和錯誤等。MIB有公共的格式,所以來自多個廠商的SNMP管理工具可以收集MIB信息,在管理控制台上呈現給系統管理員。
通過將SNMP嵌入數據通信設備,如路由器、交換機或集線器中,就可以從一個中心站管理這些設備,並以圖形方式查看信息。目前可獲取的很多管理應用程序通常可在大多數當前使用的操作系統下運行,如Windows95、Windows98、Windows NT和不同版本UNIX的等。
一個被管理的設備有一個管理代理,它負責向管理站請求信息和動作,代理還可以藉助於陷阱為管理站提供站動提供的信息,因此,一些關鍵的網路設備(如集線器、路由器、交換機等)提供這一管理代理,又稱SNMP代理,以便通過SNMP管理站進行管理。
❻ SNMP是什麼
簡單網路管理協議(SNMP)首先是由Internet工程任務組織(Internet
Engineering
Task
Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。許多人認為
SNMP在IP上運行的原因是Internet運行的是TCP/IP協議,然而事實並不是這樣。
SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。
SNMP是一系列協議組和規范(見下表),它們提供了一種從網路上的設備中收集網路管理信息的方法。SNMP也為設備向網路管理工作站報告問題和錯誤提供了一種方法。
名字
說明
MIB
管理信息庫
SMI
管理信息的結構和標識
SNMP
簡單網路管理協議
從被管理設備中收集數據有兩種方法:一種是只輪詢(polling-only)的方法,另一種是基於中斷(interrupt-based)的方法。
如果你只使用只輪詢的方法,那麼網路管理工作站總是在控制之下。而這種方法的缺陷在於信息的實時性,尤其是錯誤的實時性。你多久輪詢一次,並且在輪詢時按照什麼樣的設備順序呢?如果輪詢間隔太小,那麼將產生太多不必要的通信量。如果輪詢間隔太大,並且在輪詢時順序不對,那麼關於一些大的災難性的事件的通知又會太饅。這就違背了積極主動的網路管理目的。
當有異常事件發生時,基於中斷的方法可以立即通知網路管理工作站(在這里假設該設備還沒有崩潰,並且在被管理設備和管理工作站之間仍有一條可用的通信途徑)。然而,這種方法也不是沒有他的缺陷的,首先,產生錯誤或自陷需要系統資源。如果自陷必須轉發大量的信息,那麼被管理設備可能不得不消耗更多的時間和系統資源來產生自陷,從而影響了它執行主要的功能(違背了網路管理的原則2)。
而且,如果幾個同類型的自陷事件接連發生,那麼大量網路帶寬可能將被相同的信息所佔用(違背了網路管理的原則1)。尤其是如果自陷是關於網路擁擠問題的時候,事情就會變得特別糟糕。克服這一缺陷的一種方法就是對於被管理設備來說,應當設置關於什麼時候報告問題的閾值(threshold)。但不幸的是這種方法可能再一次違背了網路管理的原則2,因為設備必須消耗更多的時間和系統資源,來決定一個自陷是否應該被產生。
結果,以上兩種方法的結合:面向自陷的輪詢方法(trap-directed
polling)可能是執行網路管理最為有效的方法了。一般來說,網路管理工作站輪詢在被管理設備中的代理來收集數據,並且在控制台上用數字或圖形的表示方式來顯示這些數據。這就允許網路管理員分析和管理設備以及網路通信量了。
被管理設備中的代理可以在任何時候向網路管理工作站報告錯誤情況,例如預制定閾值越界程度等等。代理並不需要等到管理工作站為獲得這些錯誤情況而輪詢他的時候才會報告。這些錯誤情況就是眾所周知的SNMP自陷(trap)。
在這種結合的方法中,當一個設備產生了一個自陷時,你可以使用網路管理工作站來查詢該設備(假設它仍然是可到達的),以獲得更多的信息。
❼ 常見安全設備有哪些
有:網路准入控制系統、數據防泄露、UniAccess終端安全管理等。
❽ 如何在 Windows 2000 中為 SNMP 服務配置網路安全性
您可以使用 SNMP 服務在整個企業網路中收集數據和管理基於 Windows 2000 的計算機。 通過將共享的社區名稱分配給代理和管理站,通常可以保護 SNMP 代理和 SNMP 管理站之間的通訊。當 SNMP 管理站將查詢發送到 SNMP 服務時,會將請求者的社區名稱與代理的社區名稱進行比較。如果這兩個名稱是匹配的,則表明 SNMP 管理站通過了身份驗證。如果這兩個名稱不匹配,則 SNMP 代理會認為該請求是失敗的訪問嘗試,並可能發送 SNMP 陷阱消息。 SNMP 消息是以明文發送的。「Microsoft 網路監視器」這樣的網路分析程序很容易截取這些明文消息並將它解碼。未經授權的人員可以捕獲和使用社區名稱,以獲得有關網路資源的重要信息。 IPSec 可用於保護 SNMP 通訊。您可以創建 IPSec 策略以保護 TCP 和 UDP 埠 161 和 162 上的通訊,從而保護 SNMP 事務。 創建篩選器列表 要創建 IPSec 策略以保護 SNMP 消息,請首先執行以下步驟來創建篩選器列表: 單擊開始,指向程序,指向管理工具,然後單擊本地安全策略。在左窗格中展開安全設置節點,右鍵單擊IP 安全策略,然後單擊「管理IP 篩選器表和篩選器操作」。單擊管理IP 篩選器列表選項卡,然後單擊添加。在IP 篩選器列表對話框的名稱框中鍵入 SNMP 消息 (161/162)。在說明框中,鍵入用於TCP 和 UDP 埠 161 的篩選器。單擊使用「添加向導」復選框,將其清除,然後單擊添加。在「源地址」框中,單擊「任何IP 地址」選項。在「目標地址」框中,單擊我的IP 地址選項。單擊鏡像復選框,將其選中。單擊協議選項卡。在「選擇協議類型」框中,單擊UDP。在「設置IP 協議」框中,單擊「從此埠」選項,然後在框中鍵入 161。單擊「到此埠」選項,然後在框中鍵入 161。單擊確定。在IP 篩選器列表對話框中,單擊添加按鈕。在「源地址」框中,單擊「任何IP 地址」選項。在「目標地址」框中,單擊我的IP 地址選項。單擊鏡像復選框,將其選中。單擊協議選項卡。在「選擇協議類型」框中,單擊 TCP。在「設置IP 協議」框中,單擊「從此埠」選項,然後在文本框中鍵入 161。單擊「到此埠」選項,然後在框中鍵入 161。單擊確定。在IP 篩選器列表對話框中,單擊添加按鈕。在「源地址」框中,單擊「任何IP 地址」選項。在「目標地址」框中,單擊我的IP 地址選項。單擊鏡像復選框,將其選中。配置客戶端(這些客戶端會將陷阱發送到以鏡像方式接收陷阱的伺服器)。在篩選器定義中的「我的地址」的位置,使用任何地址。對於「來源」,使用我的地址。對於「目標」,使用任何IP 地址。 但是,客戶端上的源埠可能與在此處定義的篩選器不匹配。當客戶端將陷阱發送到伺服器時,它可能使用短暫埠。如果 Netmon 跟蹤顯示:使用的是短暫埠,而且沒有對通信加密,那麼,您可能就需要為所有的定義都給連接的伺服器端的源埠應用「任何埠」。單擊協議選項卡。在「選擇協議類型」框中,單擊UDP。在「設置IP 協議」框中,單擊「從此埠」選項,然後在框中鍵入 162。單擊「到此埠」選項,然後在框中鍵入 162。單擊確定。在IP 篩選器列表對話框中,單擊添加按鈕。在「源地址」框中,單擊「任何IP 地址」選項。在「目標地址」框中,單擊我的IP 地址選項。單擊鏡像復選框,將其選中。單擊協議選項卡。在「選擇協議類型」框中,單擊 TCP。在「設置IP 協議」框中,單擊「從此埠」選項,然後在框中鍵入 162。單擊「到此埠」選項,然後在框中鍵入 162。單擊確定。在IP 篩選器列表對話框中,單擊關閉。在「管理IP 篩選器」框和篩選器操作對話框中,單擊關閉。創建IPSec 策略 創建對 SNMP 通信強制實施 IPSec 的 IPSec 策略: 右鍵單擊左窗格中的IP 安全策略節點,然後單擊創建IP 安全策略。在「歡迎使用 IP 安全策略向導」頁面上,單擊下一步。在IP 安全策略名稱 頁面的名稱框中鍵入安全SNMP。在說明框中,鍵入對SNMP 通信強制實施 IPSec,然後單擊下一步。單擊「激活默認響應規則」復選框,將其清除,然後單擊下一步。在「完成『IP 安全策略向導』」頁面上,保留「編輯屬性」復選框中的選中標記,然後單擊完成。在保護SNMP 屬性對話框中,單擊使用「添加向導」復選框,將其清除,然後單擊添加按鈕。在新規則屬性對話框中,單擊 IP 篩選器列表 選項卡,然後單擊SNMP 消息 (161/162)。單擊篩選器操作選項卡,然後單擊要求安全設置。單擊身份驗證方法選項卡。Kerberos 是默認的身份驗證方法。如果您需要其他身份驗證方法,請單擊添加按鈕。在新身份驗證方法屬性對話框中,您可以選擇「Windows 2000 默認值(Kerberos V5 協議)」、「使用由此證書頒發機構 (CA) 頒發的證書」或「此字串用來保護密鑰交換(預共享密鑰)」。在進行選擇之後單擊確定。在新規則屬性對話框中,單擊應用,然後單擊確定。在SNMP 屬性對話框的SNMP 消息 (161/162) 復選框中應該存在復選標記。單擊關閉。在本地安全設置對話框的右窗格中,右鍵單擊安全SNMP 規則,然後單擊分配。 在所有運行 SNMP 服務的基於 Windows 2000 的計算機上完成此過程。SNMP 管理站也必須配置此 IPSec 策略。回到頂端 | 提供反饋
❾ 伺服器里SNMP是什麼
簡單網路管理協議(SNMP),由一組網路管理的標准組成,包含一個應用層協議(application layer protocol)、資料庫模型(database schema)和一組資源對象。該協議能夠支持網路管理系統,用以監測連接到網路上的設備是否有任何引起管理上關注的情況。該協議是互聯網工程工作小組(IETF,Internet Engineering Task Force)定義的internet協議簇的一部分。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬體平台,因此SNMP受Internet標准網路管理框架的影響也很大。SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
❿ 4、華為交換機snmp相關配置
一、snmp相關工作原理:
二、SNMPv1/v2c協議
配置示例
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent,使能SNMP Agent服務。
預設情況下,執行任意snmp-agent的配置命令(無論是否含參數)都可以觸發SNMP Agent服務使能。
3.執行命令snmp-agent sys-info version { { v1 | v2c } * },配置SNMP的協議版本為SNMPv1或者SNMPv2c。
4.執行命令snmp-agent community { read | write } community-name [ mib-view view-name | acl acl-number ] *,配置讀寫團體名及團體名可以訪問的MIB視圖。
設備默認的view-name為ViewDefault視圖,該視圖允許對internet節點(其OID為1.3.6.1)和lagMIB節點(其OID為1.2.840.10006.300.43)進行操作。
檢查配置結果
設備使用SNMPv1/v2c協議通信,通過如下命令,查看配置的SNMP參數配置結果是否正確。
•執行命令display snmp-agent sys-info version,查看SNMP版本。
•執行命令display snmp-agent community { read | write },查看SNMP讀寫團體名。
•執行命令display snmp-agent mib-view,查看SNMP MIB視圖信息。
三、設備使用SNMPv3協議
配置示例:
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent,使能SNMP Agent服務。
預設情況下,執行任意snmp-agent的配置命令(無論是否含參數)都可以觸發SNMP Agent服務使能。
3.執行命令snmp-agent sys-info version v3,配置SNMP的協議版本。
4.執行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ read-view read-view | write-view write-view | notify-view notify-view ] *,配置SNMPv3用戶組。
當網管和設備處在不安全的網路環境中時,比如容易遭受攻擊等,建議用戶配置參數authentication或privacy,使能數據的認證或加密功能。
5.執行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *,配置SNMPv3用戶。
設備側參數user-name需與網管側的「SNMP協議參數」中的Security user name保持一致。
6.執行命令snmp-agent usm-user v3 user-name authentication-mode { md5 | sha | sha2-256 },配置SNMPv3用戶認證密碼。
在使用中需要注意,MD5和SHA屬於不安全的用戶認證密碼,建議使用相對安全的SHA2-256用戶認證密碼。
設備側參數authentication-mode和password需分別與網管側的「SNMP協議參數」中的Authentication protocol和password保持一致。
7.執行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 | aes256 },配置SNMPv3用戶加密密碼。
在使用中需要注意,DES56屬於不安全的加密演算法,建議使用AES128加密演算法。設備側參數privacy-mode和password需分別與網管側的「SNMP協議參數」中的Privacy protocol和password保持一致。
用戶組和用戶配置完成後,使用該用戶名的網管擁有ViewDefault視圖(即1.3.6.1和1.2.840.10006.300.43)的許可權。
檢查配置結果
設備使用SNMPv3協議通信,通過如下命令,查看配置的SNMP參數配置結果是否正確。
•執行命令display snmp-agent sys-info version,查看SNMP版本。
•執行命令display snmp-agent group [ group-name ],查看用戶組信息。
•執行命令display snmp-agent usm-user [ user-name ],查看用戶信息。
•執行命令display snmp-agent mib-view,查看SNMP MIB視圖信息。
四、配置設備側的Trap參數
設備的故障信息可以通過SNMP協議中的Trap報文,主動向網管側發送。只有在設備上使能發送Trap報文的功能並設置Trap目標主機後,網管側才能對設備上的故障信息進行監控。
配置設備發送告警前,需要先確認信息中心已經使能。如未使能,需要執行info-center enable命令。
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { { v1 | v2c } securityname securityname | v3 securityname securityname { authentication | noauthnopriv | privacy } } [ binding-private-value ][ private-netmanager ]
snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ][ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname
Trap snmp v1/v2c:
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
Trap snmp V3
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
操作步驟
1.執行命令system-view,進入系統視圖。
2.執行命令snmp-agent trap enable,使能設備發送Trap報文的功能。
執行上述命令會一次性打開所有模塊的告警開關。當用戶希望打開特定模塊的告警開關時,可以使用命令snmp-agent trap enable feature-name feature-name 。
用戶具備三種屬性,按照安全性從高到低為:
•1級:privacy(鑒權且加密)
•2級:authentication(只鑒權)
•3級:noauthnopriv(不鑒權不加密)
執行命令snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname ,配置設備發送告警和錯誤碼的目的主機。
請參考下面的說明對參數進行選取:
•目的UDP埠號 預設 是162,如果有特殊需求導致埠被佔用(比如避免知名埠號被攻擊配置了埠鏡像),可以配置udp-port將UDP埠號更改為非知名埠號,保證網管和被管理設備的正常通信。
•如果被管理設備發送的告警需要 通過公網 傳遞給網管時,選擇參數public-net;如果被管理設備發送的告警需要通過私網傳遞給網管時,選擇參數vpn-instance vpn-instance-name,指定告警需要穿越的VPN實例。
檢查配置結果
通過如下命令,查看配置的Trap參數配置結果是否正確。
•執行命令display current-configuration | include trap,查看Trap配置信息。
•執行命令display snmp-agent trap all,查看所有特性下所有Trap開關當前的狀態和預設狀態。
•執行命令display snmp-agent target-host,查看目標主機的信息。
SNMP v1/v2c:
SNMPv1/v2c協議基礎配置
snmp-agent
snmp-agent sys-info version v2
snmp-agent community read community-name
snmp-agent usm-user v3 user-name
snmp v1/v2c:
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
SNMPv3
SNMPv3協議基礎配置
snmp-agent
snmp-agent sys-info version v3
snmp-agent group v3 group-name authentication
snmp-agent usm-user v3 user-name group group-name
snmp-agent usm-user v3 user-name authentication-mode sha
Chonglang2020
snmp-agent usm-user v3 user-name privacy-mode aes128
Chonglang2021
snmp V3
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校驗的關鍵字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname