❶ 如何在 Windows Server 2003 中为 SNMP 服务配置网络安全
在用win 2003系统的过程中少不了要对网络的snmp协议进行配置,这类网络协议的配置方法并不是所有用户都知晓的,那么如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性。 SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络范围内管理基于Windows Server 2003、Microsoft windows xp和Microsoft windows 2000的计算机。 通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问”尝试,并且可能会发送一条SNMP陷阱消息。 SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。 “IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。 创建筛选器列表 要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是: 单击开始,指向管理工具,然后单击本地安全策略。 安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。 单击“管理IP筛选器列表”选项卡,然后单击添加。 在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。 单击使用“添加向导”复选框,将其清除,然后单击添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。 单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。 单击确定。 在IP筛选器列表对话框中,选择添加。 在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。 单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。 单击确定。
❷ snmp的安全性
现在对于安全性的标准已经提高了。snmp传输过程不加密,且是udp传输的,不需要建立通信连接(如tcp的三次握手),容易被劫持mac或IP地址而获得部分信息,所以不属于一个非常安全的东西。
就像以前很多网管用telnet,你说telnet安全吗? 但现在绝大部分网管,都是通过ssh维护的。
当然,这些安全标准似乎个人标准而定,如果你设备挂在大网,最好配合其他安全软件使用,比如设定特定的用户才可以采集,设置好防火墙,等等。
❸ 如何在 Windows Server 2003 中为 SNMP 服务配置网络安全
创建筛选器列表
要创建保护 SNMP 消息的 IPSec 策略,请首先创建筛选器列表。为此,请按照下列步骤操作:
单击开始,指向管理工具,然后单击本地安全策略。
展开安全设置,右键单击“IP 安全策略,在本地计算机上”,然后单击“管理 IP 筛选器表和筛选器操作”。
单击“管理 IP 筛选器列表”选项卡,然后单击添加。
在 IP 筛选器列表对话框的名称框中键入 SNMP 消息 (161/162),然后在描述框中键入 TCP 和 UDP 端口 161 筛选器。
单击以清除使用“添加向导”复选框,然后单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中,单击 UDP。在“设置 IP 协议端口”框中,单击“从此端口”,然后在框中键入 161。单击“到此端口”,然后在框中键入 161。
单击确定。
在 IP 筛选器列表对话框中,单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置 IP 协议”框中,单击“从此端口”,然后在框中键入 161。单击“到此端口”,然后在框中键入 161。
单击确定。
在 IP 筛选器列表对话框中,单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中,单击 UDP。在“设置 IP 协议”框中,单击“从此端口”,然后在框中键入 162。单击“到此端口”,然后在框中键入 162。
单击确定。
在 IP 筛选器列表对话框中,单击添加。
在出现的 IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。在“目标地址”框中单击我的 IP 地址。单击以选中“镜像。同时与源地址和目标地址正好相反的数据包相匹配”复选框。
单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置 IP 协议”框中,单击“从此端口”,然后在框中键入 162。单击“到此端口”,然后在框中键入 162。
单击确定。
在 IP 筛选器列表对话框中单击确定,然后在“管理 IP 筛选器列表和筛选器操作”对话框中单击确定。
创建 IPSec 策略
要创建 IPSec 策略来对 SNMP 通信强制实施 IPSec,请按下列步骤操作:
右键单击左窗格中的“IP 安全策略,在本地计算机上”,然后单击创建 IP 安全策略。
IP 安全策略向导启动。
单击下一步。
在“IP 安全策略名称”页上的名称框中键入安全 SNMP。在描述框中,键入对 SNMP 通信强制实施 IPSec,然后单击下一步。
单击以清除“激活默认响应规则”复选框,然后单击下一步。
在“正在完成 IP 安全策略向导”页上,验证“编辑属性”复选框已被选中,然后单击完成。
在安全 SNMP 属性对话框中,单击以清除使用“添加向导”复选框,然后单击添加。
单击 IP 筛选器列表选项卡,然后单击 SNMP 消息 (161/162)。
单击筛选器操作选项卡,然后单击需要安全。
单击身份验证方法选项卡。默认的身份验证方法为 Kerberos。如果您需要备用身份验证方法,请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择所需的身份验证方法,然后单击确定:
Active Directory 默认值(Kerberos V5 协议)
使用来自证书颁发机构(CA)的证书
使用此字符串(预共享密钥)
在新规则属性对话框中,单击应用,然后单击确定。
在 SNMP 属性对话框中,验证 SNMP 消息 (161/162) 复选框已被选中,然后单击确定。
在“本地安全设置”控制台的右窗格中,右键单击安全 SNMP 规则,然后单击指派。
在所有运行 SNMP 服务的基于 Windows 的计算机上完成此过程。SNMP 管理站上也必须配置此 IPSec 策略。
❹ 安全的计算机网络在snmp v2,v3中是如何实现的
简单网络管理协议(SNMP)是基于TCP/IP的网络管理,实际上就是一群标准的集合。80年代末期由IETF开发后,开始被广泛应用在各类网络设备中,成为一种网管的工业标准。SNMP又称之为管理者和代理之间的通信协议,包括理解SNMP的操作、SNMP信息的格式及如何在应用程序和设备之间交换信息。
就概念而言,SNMP为网管界定了管理者(Manager)和代理者(Agent,被管理设备)之间的关系。两者之间的共同点是都运行TCP/IP协议。管理者可对管理设备提出效能、配置、和状态等信息的询问,透过要求与回复(request/replay)的简单机制来撷取代理者身上的信息,而两者之间的信息主要是通过PDU协议数据单元来载送。SNMP使用UDP作为IP的传输层协议。
在实现过程中,管理者会发送一个PDU给一个代理者(可以是路由器、交换机、防火墙……等可支持网管的设备),代理者收到管理者所发出内含询问信息的PDU报文后,再透过PDU回传给相关的管理者。在该过程中,代理者基本上只能处于被动的状态,反复进行一问一答的模式,而唯一可由代理者自动发出的只有Trap的不定期回报特殊状况信息。
SNMP协议有两个基本命令模式:read和read/write。read是可以通过SNMP协议观察设备配置细节,而使用read/write模式可以让管理者有权限修改设备配置。以当前市场流行的大多数被网管的设备为例,如果设备的默认口令没有改变,那么攻击者就可以利用默认的口令得到其配置文件,文件一旦被破解,攻击者就能够对设备进行远程非法的配置,实行攻击。
目前,绝大多数的网络设备和操作系统都可以支持SNMP,如D-Link、Cisco、3Com等等。
SNMPv3实现更优管理
目前SNMP的发展主要包括三个版本:SNMPv1、SNMPv2以及最新的SNMPv3。从市场应用来看,目前大多数厂商普遍支持的版本是SNMPv1和v2,但从安全鉴别机制来看,二者表现较差。而SNMPv3采用了新的SNMP扩展框架,在此架构下,安全性和管理上有很大的提高。在当前的网络设备市场中,D-Link已经率先推出了支持SNMPv3的网络产品,如DES-3226S、DES-3250TG交换机等,在安全功能和管理功能上都有良好的表现。
总体来看,SNMPv1和v2版本对用户权力的惟一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行read或read/write操作,安全性相对来的薄弱。虽然SNMPv2使用了复杂的加密技术,但并没有实现提高安全性能的预期目标,尤其是在身份验证(如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防)、加密、授权和访问控制、适当的远程安全配置和管理能力等方面。
SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
目前,市场上的网络设备尚停留在SNMPv1/v2的范畴,并未广泛支持SNMPv3,如何配置设备的SNMP服务以确保网络安全、完善管理机制呢?以下几个方面建议或许值得网管人员一试:由于基于SNMPv1/v2协议本身具有不安全性,所以在管理过程中,如果没有必要,可以不要开启SNMP代理程序;可以限制未授权IP对SNMP的访问,或者改变SNMP代理的默认口令,并使用复杂的口令;在后续采购设备中,尽可能选用支持SNMPv3的设备产品。
综合SNMP的不同版本,显然SNMPv3的应用推广势在必行,必然会以突出的优势成为新的应用趋势。一些市场反应敏捷的网络设备制造商已经推出了相关产品。据了解,D-Link在新一代产品推出时,已将此技术列入基本的协议支持,包括DES-3226S、DES-3250TG在内的多款交换机已经率先支持SNMPv3。
你问的比较笼统自己看看吧。
❺ 在路由器中 SNMP 是指的什么
SNMP是英文“Simple Network Management Protocol”的缩写,中文意思是“简单网络管理协议”。
在路由器里最为常用的网管协议就是SNMP。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。
SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
目前,几乎所有的网络设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网络上的设备收集管理信息的公用通信协议。设备的管理者收集这些信息并记录在管理信息库(MIB)中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式,所以来自多个厂商的SNMP管理工具可以收集MIB信息,在管理控制台上呈现给系统管理员。
通过将SNMP嵌入数据通信设备,如路由器、交换机或集线器中,就可以从一个中心站管理这些设备,并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行,如Windows95、Windows98、Windows NT和不同版本UNIX的等。
一个被管理的设备有一个管理代理,它负责向管理站请求信息和动作,代理还可以借助于陷阱为管理站提供站动提供的信息,因此,一些关键的网络设备(如集线器、路由器、交换机等)提供这一管理代理,又称SNMP代理,以便通过SNMP管理站进行管理。
❻ SNMP是什么
简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet
Engineering
Task
Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为
SNMP在IP上运行的原因是Internet运行的是TCP/IP协议,然而事实并不是这样。
SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。
SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
名字
说明
MIB
管理信息库
SMI
管理信息的结构和标识
SNMP
简单网络管理协议
从被管理设备中收集数据有两种方法:一种是只轮询(polling-only)的方法,另一种是基于中断(interrupt-based)的方法。
如果你只使用只轮询的方法,那么网络管理工作站总是在控制之下。而这种方法的缺陷在于信息的实时性,尤其是错误的实时性。你多久轮询一次,并且在轮询时按照什么样的设备顺序呢?如果轮询间隔太小,那么将产生太多不必要的通信量。如果轮询间隔太大,并且在轮询时顺序不对,那么关于一些大的灾难性的事件的通知又会太馒。这就违背了积极主动的网络管理目的。
当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站(在这里假设该设备还没有崩溃,并且在被管理设备和管理工作站之间仍有一条可用的通信途径)。然而,这种方法也不是没有他的缺陷的,首先,产生错误或自陷需要系统资源。如果自陷必须转发大量的信息,那么被管理设备可能不得不消耗更多的时间和系统资源来产生自陷,从而影响了它执行主要的功能(违背了网络管理的原则2)。
而且,如果几个同类型的自陷事件接连发生,那么大量网络带宽可能将被相同的信息所占用(违背了网络管理的原则1)。尤其是如果自陷是关于网络拥挤问题的时候,事情就会变得特别糟糕。克服这一缺陷的一种方法就是对于被管理设备来说,应当设置关于什么时候报告问题的阈值(threshold)。但不幸的是这种方法可能再一次违背了网络管理的原则2,因为设备必须消耗更多的时间和系统资源,来决定一个自陷是否应该被产生。
结果,以上两种方法的结合:面向自陷的轮询方法(trap-directed
polling)可能是执行网络管理最为有效的方法了。一般来说,网络管理工作站轮询在被管理设备中的代理来收集数据,并且在控制台上用数字或图形的表示方式来显示这些数据。这就允许网络管理员分析和管理设备以及网络通信量了。
被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况,例如预制定阈值越界程度等等。代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。这些错误情况就是众所周知的SNMP自陷(trap)。
在这种结合的方法中,当一个设备产生了一个自陷时,你可以使用网络管理工作站来查询该设备(假设它仍然是可到达的),以获得更多的信息。
❼ 常见安全设备有哪些
有:网络准入控制系统、数据防泄露、UniAccess终端安全管理等。
❽ 如何在 Windows 2000 中为 SNMP 服务配置网络安全性
您可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。 通过将共享的社区名称分配给代理和管理站,通常可以保护 SNMP 代理和 SNMP 管理站之间的通讯。当 SNMP 管理站将查询发送到 SNMP 服务时,会将请求者的社区名称与代理的社区名称进行比较。如果这两个名称是匹配的,则表明 SNMP 管理站通过了身份验证。如果这两个名称不匹配,则 SNMP 代理会认为该请求是失败的访问尝试,并可能发送 SNMP 陷阱消息。 SNMP 消息是以明文发送的。“Microsoft 网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。未经授权的人员可以捕获和使用社区名称,以获得有关网络资源的重要信息。 IPSec 可用于保护 SNMP 通讯。您可以创建 IPSec 策略以保护 TCP 和 UDP 端口 161 和 162 上的通讯,从而保护 SNMP 事务。 创建筛选器列表 要创建 IPSec 策略以保护 SNMP 消息,请首先执行以下步骤来创建筛选器列表: 单击开始,指向程序,指向管理工具,然后单击本地安全策略。在左窗格中展开安全设置节点,右键单击IP 安全策略,然后单击“管理IP 筛选器表和筛选器操作”。单击管理IP 筛选器列表选项卡,然后单击添加。在IP 筛选器列表对话框的名称框中键入 SNMP 消息 (161/162)。在说明框中,键入用于TCP 和 UDP 端口 161 的筛选器。单击使用“添加向导”复选框,将其清除,然后单击添加。在“源地址”框中,单击“任何IP 地址”选项。在“目标地址”框中,单击我的IP 地址选项。单击镜像复选框,将其选中。单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP 协议”框中,单击“从此端口”选项,然后在框中键入 161。单击“到此端口”选项,然后在框中键入 161。单击确定。在IP 筛选器列表对话框中,单击添加按钮。在“源地址”框中,单击“任何IP 地址”选项。在“目标地址”框中,单击我的IP 地址选项。单击镜像复选框,将其选中。单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置IP 协议”框中,单击“从此端口”选项,然后在文本框中键入 161。单击“到此端口”选项,然后在框中键入 161。单击确定。在IP 筛选器列表对话框中,单击添加按钮。在“源地址”框中,单击“任何IP 地址”选项。在“目标地址”框中,单击我的IP 地址选项。单击镜像复选框,将其选中。配置客户端(这些客户端会将陷阱发送到以镜像方式接收陷阱的服务器)。在筛选器定义中的“我的地址”的位置,使用任何地址。对于“来源”,使用我的地址。对于“目标”,使用任何IP 地址。 但是,客户端上的源端口可能与在此处定义的筛选器不匹配。当客户端将陷阱发送到服务器时,它可能使用短暂端口。如果 Netmon 跟踪显示:使用的是短暂端口,而且没有对通信加密,那么,您可能就需要为所有的定义都给连接的服务器端的源端口应用“任何端口”。单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP 协议”框中,单击“从此端口”选项,然后在框中键入 162。单击“到此端口”选项,然后在框中键入 162。单击确定。在IP 筛选器列表对话框中,单击添加按钮。在“源地址”框中,单击“任何IP 地址”选项。在“目标地址”框中,单击我的IP 地址选项。单击镜像复选框,将其选中。单击协议选项卡。在“选择协议类型”框中,单击 TCP。在“设置IP 协议”框中,单击“从此端口”选项,然后在框中键入 162。单击“到此端口”选项,然后在框中键入 162。单击确定。在IP 筛选器列表对话框中,单击关闭。在“管理IP 筛选器”框和筛选器操作对话框中,单击关闭。创建IPSec 策略 创建对 SNMP 通信强制实施 IPSec 的 IPSec 策略: 右键单击左窗格中的IP 安全策略节点,然后单击创建IP 安全策略。在“欢迎使用 IP 安全策略向导”页面上,单击下一步。在IP 安全策略名称 页面的名称框中键入安全SNMP。在说明框中,键入对SNMP 通信强制实施 IPSec,然后单击下一步。单击“激活默认响应规则”复选框,将其清除,然后单击下一步。在“完成‘IP 安全策略向导’”页面上,保留“编辑属性”复选框中的选中标记,然后单击完成。在保护SNMP 属性对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加按钮。在新规则属性对话框中,单击 IP 筛选器列表 选项卡,然后单击SNMP 消息 (161/162)。单击筛选器操作选项卡,然后单击要求安全设置。单击身份验证方法选项卡。Kerberos 是默认的身份验证方法。如果您需要其他身份验证方法,请单击添加按钮。在新身份验证方法属性对话框中,您可以选择“Windows 2000 默认值(Kerberos V5 协议)”、“使用由此证书颁发机构 (CA) 颁发的证书”或“此字串用来保护密钥交换(预共享密钥)”。在进行选择之后单击确定。在新规则属性对话框中,单击应用,然后单击确定。在SNMP 属性对话框的SNMP 消息 (161/162) 复选框中应该存在复选标记。单击关闭。在本地安全设置对话框的右窗格中,右键单击安全SNMP 规则,然后单击分配。 在所有运行 SNMP 服务的基于 Windows 2000 的计算机上完成此过程。SNMP 管理站也必须配置此 IPSec 策略。回到顶端 | 提供反馈
❾ 服务器里SNMP是什么
简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
❿ 4、华为交换机snmp相关配置
一、snmp相关工作原理:
二、SNMPv1/v2c协议
配置示例
1.执行命令system-view,进入系统视图。
2.执行命令snmp-agent,使能SNMP Agent服务。
缺省情况下,执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务使能。
3.执行命令snmp-agent sys-info version { { v1 | v2c } * },配置SNMP的协议版本为SNMPv1或者SNMPv2c。
4.执行命令snmp-agent community { read | write } community-name [ mib-view view-name | acl acl-number ] *,配置读写团体名及团体名可以访问的MIB视图。
设备默认的view-name为ViewDefault视图,该视图允许对internet节点(其OID为1.3.6.1)和lagMIB节点(其OID为1.2.840.10006.300.43)进行操作。
检查配置结果
设备使用SNMPv1/v2c协议通信,通过如下命令,查看配置的SNMP参数配置结果是否正确。
•执行命令display snmp-agent sys-info version,查看SNMP版本。
•执行命令display snmp-agent community { read | write },查看SNMP读写团体名。
•执行命令display snmp-agent mib-view,查看SNMP MIB视图信息。
三、设备使用SNMPv3协议
配置示例:
1.执行命令system-view,进入系统视图。
2.执行命令snmp-agent,使能SNMP Agent服务。
缺省情况下,执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务使能。
3.执行命令snmp-agent sys-info version v3,配置SNMP的协议版本。
4.执行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ read-view read-view | write-view write-view | notify-view notify-view ] *,配置SNMPv3用户组。
当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等,建议用户配置参数authentication或privacy,使能数据的认证或加密功能。
5.执行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *,配置SNMPv3用户。
设备侧参数user-name需与网管侧的“SNMP协议参数”中的Security user name保持一致。
6.执行命令snmp-agent usm-user v3 user-name authentication-mode { md5 | sha | sha2-256 },配置SNMPv3用户认证密码。
在使用中需要注意,MD5和SHA属于不安全的用户认证密码,建议使用相对安全的SHA2-256用户认证密码。
设备侧参数authentication-mode和password需分别与网管侧的“SNMP协议参数”中的Authentication protocol和password保持一致。
7.执行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 | aes256 },配置SNMPv3用户加密密码。
在使用中需要注意,DES56属于不安全的加密算法,建议使用AES128加密算法。设备侧参数privacy-mode和password需分别与网管侧的“SNMP协议参数”中的Privacy protocol和password保持一致。
用户组和用户配置完成后,使用该用户名的网管拥有ViewDefault视图(即1.3.6.1和1.2.840.10006.300.43)的权限。
检查配置结果
设备使用SNMPv3协议通信,通过如下命令,查看配置的SNMP参数配置结果是否正确。
•执行命令display snmp-agent sys-info version,查看SNMP版本。
•执行命令display snmp-agent group [ group-name ],查看用户组信息。
•执行命令display snmp-agent usm-user [ user-name ],查看用户信息。
•执行命令display snmp-agent mib-view,查看SNMP MIB视图信息。
四、配置设备侧的Trap参数
设备的故障信息可以通过SNMP协议中的Trap报文,主动向网管侧发送。只有在设备上使能发送Trap报文的功能并设置Trap目标主机后,网管侧才能对设备上的故障信息进行监控。
配置设备发送告警前,需要先确认信息中心已经使能。如未使能,需要执行info-center enable命令。
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { { v1 | v2c } securityname securityname | v3 securityname securityname { authentication | noauthnopriv | privacy } } [ binding-private-value ][ private-netmanager ]
snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ][ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname
Trap snmp v1/v2c:
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校验的关键字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
Trap snmp V3
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校验的关键字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
操作步骤
1.执行命令system-view,进入系统视图。
2.执行命令snmp-agent trap enable,使能设备发送Trap报文的功能。
执行上述命令会一次性打开所有模块的告警开关。当用户希望打开特定模块的告警开关时,可以使用命令snmp-agent trap enable feature-name feature-name 。
用户具备三种属性,按照安全性从高到低为:
•1级:privacy(鉴权且加密)
•2级:authentication(只鉴权)
•3级:noauthnopriv(不鉴权不加密)
执行命令snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname ,配置设备发送告警和错误码的目的主机。
请参考下面的说明对参数进行选取:
•目的UDP端口号 缺省 是162,如果有特殊需求导致端口被占用(比如避免知名端口号被攻击配置了端口镜像),可以配置udp-port将UDP端口号更改为非知名端口号,保证网管和被管理设备的正常通信。
•如果被管理设备发送的告警需要 通过公网 传递给网管时,选择参数public-net;如果被管理设备发送的告警需要通过私网传递给网管时,选择参数vpn-instance vpn-instance-name,指定告警需要穿越的VPN实例。
检查配置结果
通过如下命令,查看配置的Trap参数配置结果是否正确。
•执行命令display current-configuration | include trap,查看Trap配置信息。
•执行命令display snmp-agent trap all,查看所有特性下所有Trap开关当前的状态和缺省状态。
•执行命令display snmp-agent target-host,查看目标主机的信息。
SNMP v1/v2c:
SNMPv1/v2c协议基础配置
snmp-agent
snmp-agent sys-info version v2
snmp-agent community read community-name
snmp-agent usm-user v3 user-name
snmp v1/v2c:
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname
校验的关键字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname
SNMPv3
SNMPv3协议基础配置
snmp-agent
snmp-agent sys-info version v3
snmp-agent group v3 group-name authentication
snmp-agent usm-user v3 user-name group group-name
snmp-agent usm-user v3 user-name authentication-mode sha
Chonglang2020
snmp-agent usm-user v3 user-name privacy-mode aes128
Chonglang2021
snmp V3
告警Trap配置
snmp-agent trap enable
snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication
校验的关键字securityname
snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname