20-SNMP
本章节下载: 20-SNMP (737.75 KB)
SNMP(Simple Network Management Protocol,简单网络管理协议)是因特网中的一种网络管理标准协议,被广泛用于实现管理设备对被管理设备的访问和管理。SNMP具有以下特点:
· 支持网络设备的智能化管理。利用基于SNMP的网络管理平台,网络管理员可以查询网络设备的运行状态和参数,设置参数值,发现故障、完成故障诊断,进行容量规划和生成报告。
· 支持对不同物理特性的设备进行管理。SNMP只提供最基本的功能集,使得管理任务与被管理设备的物理特性和联网技术相对独立,从而实现对不同厂商设备的管理。
SNMP网络包含NMS和Agent两种元素。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的请求报文。在一些紧急情况下,如接口状态发生改变等,Agent会主动向NMS发送告警信息。
NMS管理设备的时候,通常会对一些参数比较关注,比如接口状态、CPU利用率等,这些参数的集合称为MIB(Management Information Base,管理信息库)。这些参数在MIB中称为节点。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名字、访问权限和数据类型等。每个Agent都有自己的MIB。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。NMS、Agent和MIB之间的关系如下图所示。
图1-1 NMS、Agent和MIB关系图
MIB是按照树型结构组织的,它由很多个节点组成,每个节点表示被管理对象,被管理对象可以用从根开始的一串表示路径的数字唯一地识别,这串数字称为OID(Object Identifier,对象标识符)”。如下图所示,被管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字就是被管理对象B的OID。
图1-2 MIB树结构
SNMP提供以下基本操作来实现NMS和Agent的交互:
· Get操作:NMS使用该操作查询Agent MIB中的一个或多个节点的值。
· Set操作:NMS使用该操作设置Agent MIB中的一个或多个节点的值。
· Trap操作:Agent使用该操作向NMS发送告警信息。
目前Agent支持SNMPv1、SNMPv2c和SNMPv3三种版本:
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS设置的团体名和被管理设备上设置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以设置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能,可以为NMS和Agent之间的通信提供更高的安全性。
NMS和Agent成功建立连接的前提条件是NMS和Agent使用的SNMP版本必须相同。
由于SNMPv3版本的配置和SNMPv1版本、SNMPv2c版本的配置有较大区别,所以下面分两种情况进行介绍。
表1-1 SNMPv1/v2c配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态 当SNMP Agent关闭时,所有SNMP Agent的配置将不会被保存 |
|
2 |
可选 配置SNMP视图后,可以为SNMP团体指定SNMP视图,以限制SNMP团体可以访问的MIB对象 |
|
3 |
必选 |
|
4 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机(通常为NMS)的相关信息 Trap信息是Agent主动向NMS发送的,用于报告一些紧急的重要事件,如被管理设备重新启动等 缺省情况下,允许Agent发送SNMP Trap消息 |
|
5 |
可选 |
表1-2 SNMPv3配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态 当SNMP Agent关闭时,所有SNMP Agent的配置将不会被保存 |
|
2 |
可选 配置SNMP视图后,可以为SNMP组指定SNMP视图,以限制SNMP组可以访问的MIB对象 |
|
3 |
必选 配置SNMP组后,在配置SNMP用户时把SNMP用户加入到组中。通过对组的管理可以更好地对组中的用户进行集中管理 |
|
4 |
必选 配置SNMP用户前,必须先配置该SNMP用户所属的SNMP组 用户创建后是否有效,与设备的本地引擎ID有关。如果创建用户时的本地引擎ID和当前的本地引擎ID不同,则该用户当前无效。本地引擎ID的配置参见“1.3 开启SNMP Agent” |
|
5 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机(通常为NMS)的相关信息 Trap信息是Agent主动向NMS发送的,用于报告一些紧急的重要事件,如被管理设备重新启动等 缺省情况下,允许Agent发送SNMP Trap消息 |
|
6 |
可选 |
(1) 在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面,如下图所示。
(2) 在页面上半部分对SNMP Agent的开启状态、版本等参数进行配置,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
表1-3 开启SNMP Agent的详细配置
配置项 |
说明 |
SNMP |
设置开启或关闭SNMP Agent功能 |
本地引擎ID |
设置本地引擎ID 用户创建后是否有效,与设备的SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则该用户当前无效 |
最大包长度 |
设置Agent能接收/发送的SNMP消息包的大小 |
联系信息 |
设置描述系统维护联系信息的字符串 如果设备发生故障,维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系 |
物理位置信息 |
设置描述设备物理位置的字符串 |
SNMP版本 |
设置系统启用的SNMP版本号 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“视图”页签,进入如下图所示的页面。
(3) 单击<新建>按钮,弹出新建视图的对话框,如下图所示。
图1-5 新建SNMP视图(一)
(4) 在文本框中输入要创建的视图的名称。
(5) 单击<确定>按钮,进入SNMP视图具体规则的配置页面,如下图所示。
图1-6 新建SNMP视图(二)
(6) 配置规则的参数,详细配置如下表所示。
(7) 单击<添加>按钮,向SNMP视图中添加一条规则。
(8) 重复步骤(6)~(7)为SNMP视图添加多条规则。
(9) 配置完该视图的所有规则后,单击<确定>按钮完成操作。需要注意的是,如果单击<取消>按钮,则不会新建SNMP视图。
表1-4 SNMP视图规则的详细配置
配置项 |
说明 |
视图名称 |
显示SNMP视图的名称 |
规则 |
设置将由MIB子树OID和子树掩码确定的对象包含在视图范围之内,或者排除在视图范围之外 |
MIB子树OID |
设置MIB子树根节点的OID(如1.4.5.3.1)或名称(如system) MIB子树OID标明节点在MIB树中的位置,他能唯一的标识一个MIB库中的对象 |
子树掩码 |
设置子树掩码 子树掩码为十六进制字符串,长度必须为2~32中的偶数。如果不指定子树掩码,则子树掩码的取值为全F |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“视图”页签,进入如图1-4所示的页面。
(3) 单击某视图对应的图标,弹出如下图所示的对话框。
图1-7 为SNMP视图添加规则
(4) 配置规则的信息,详细说明参见表1-4。
(5) 单击<确定>按钮完成操作。
也可以在如图1-4所示的页面单击视图对应的图标,进入视图的修改页面来配置视图中的规则,此处不再赘述。
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“团体”页签,进入如下图所示的页面。
(3) 单击<新建>按钮,进入新建SNMP团体的配置页面,如下图所示。
(4) 配置SNMP团体的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表1-5 SNMP团体的详细配置
配置项 |
说明 |
团体名称 |
设置SNMP团体的名称 |
访问权限 |
设置NMS使用该团体访问Agent时的权限 · 只读:表明对MIB对象进行只读的访问,NMS使用该团体名访问Agent时只能执行读操作 · 读写:表明对MIB对象进行读写的访问。NMS使用该团体名访问Agent时可以执行读、写操作 |
视图 |
设置与该团体关联的视图,以限制NMS可以对Agent进行操作的MIB对象 |
ACL |
设置将该团体与基本访问控制列表绑定,以允许或禁止具有特定源IP地址的NMS对Agent的访问 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“组”页签,进入如下图所示的页面。
(3) 单击<新建>按钮,进入新建SNMP组的配置页面,如下图所示。
(4) 配置SNMP组的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表1-6 SNMP组的详细配置
配置项 |
说明 |
组名称 |
设置SNMP组的名称 |
安全级别 |
设置SNMP组的安全级别,包括:不认证不加密、只认证不加密、既认证又加密 已存在的SNMP组,其安全级别不能修改 |
只读视图 |
设置SNMP组的只读视图 |
读写视图 |
设置SNMP组的读写视图 如果不指定读写视图,则NMS不能对设备的所有MIB对象进行写操作 |
通知视图 |
设置SNMP组的通知视图,即可以发送Trap消息的视图 如果不指定通知视图,则Agent不会向NMS发送Trap信息 |
ACL |
设置将组与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而进一步限制NMS和Agent的互访 |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“用户”页签,进入如下图所示的页面。
(3) 单击<新建>按钮,进入新建SNMP用户的配置页面,如下图所示。
(4) 配置SNMP用户的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表1-7 SNMP用户的详细配置
配置项 |
说明 |
用户名称 |
设置SNMP用户的名称 |
安全级别 |
设置SNMP用户的安全级别,包括:不认证不加密、只认证不加密、既认证又加密 |
用户所在组 |
设置用户所属的组名称 · 当用户的安全级别选择“不认证不加密”时,可以选择“不认证不加密”的组 · 当用户的安全级别选择“只认证不加密”时,可以选择“不认证不加密”或“只认证不加密”的组 · 当用户的安全级别选择“既认证又加密”时,可以选择所有安全级别的组 |
认证模式 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的模式,包括:MD5、SHA |
认证密码 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的密码 确认认证密码必须与认证密码一致 |
确认认证密码 |
|
加密模式 |
当安全级别选择 “既认证又加密”时,设置加密的模式,包括:DES56、AES128、3DES |
加密密码 |
当安全级别选择“既认证又加密”时,设置加密的密码 确认加密密码必须与加密密码一致 |
确认加密密码 |
|
ACL |
设置将用户与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而可以允许或禁止指定的NMS使用该用户名访问Agent |
(1) 在导航栏中选择“设备 > SNMP”。
(2) 单击“Trap”页签,进入如下图所示的页面。
(3) 在页面上半部分选中“使能SNMP Trap”前的复选框。
(4) 单击<确定>按钮,使能SNMP Trap功能。
(5) 页面下半部分显示的是Trap目标主机的信息。单击<新建>按钮,进入新建Trap目标主机的配置页面,如下图所示。
图1-15 新建Trap目标主机
(6) 配置Trap目标主机的信息,详细配置如下表所示。
(7) 单击<确定>按钮完成操作。
表1-8 Trap目标主机的详细配置
配置项 |
说明 |
目的IP地址 |
选择IP地址的类型(IPv4或IPv6),然后输入相应类型的目标主机IP地址 |
安全名称 |
设置安全名称,为SNMP v1、SNMP v2c的团体名或SNMP v3的用户名 |
UDP端口号 |
设置UDP端口号 缺省值162是SNMP协议规定的NMS接收Trap报文的端口,通常情况下(比如使用iMC或着MIB Browser作为NMS时),使用该缺省值即可。如果要将端口号修改为其它值,则必须和NMS上的配置保持一致 |
安全模型 |
设置SNMP的版本,必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息 |
安全级别 |
当安全模型选择“v3”时,设置对SNMP Trap消息认证加密的方式,包括不认证不加密、只认证不加密、既认证又加密 当安全模型选择“v1”或“v2c”时,安全级别为“不认证不加密”,不可以修改 |
(1) 在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面,如图1-3所示。
(2) 在页面下部的列表中查看SNMP报文的统计信息,如下图所示。
图1-16 SNMP报文的统计信息
如下图所示,NMS(IP地址为1.1.1.2/24)与Switch(IP地址为1.1.1.1/24)相连。现要实现如下需求:
· NMS通过SNMPv1或SNMPv2c对Switch进行监控管理。
· Switch在出现故障时能主动向NMS发送Trap报文。
图1-17 SNMPv1/v2c配置组网图
(1) 开启SNMP Agent。
步骤1:在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选中SNMP“开启”前的单选按钮。
· 选择SNMP版本为“v1”和“v2c”。
· 配置联系信息为“New H3C Technologies Co., Ltd.”。
· 配置物理位置信息为“Hangzhou, China”。
步骤3:单击<确定>按钮完成操作。
图1-18 开启SNMP Agent
(2) 配置SNMP只读团体public。
步骤1:单击“团体”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 选择访问权限为“只读”。
步骤4:单击<确定>按钮完成操作。
图1-19 配置SNMP只读团体public
(3) 配置SNMP读写团体private。
步骤1:在“团体”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 选择访问权限为“读写”。
步骤3:单击<确定>按钮完成操作。
图1-20 配置SNMP团体private
(4) 开启Agent发送SNMP Trap消息功能。
步骤1:单击“Trap”页签。
步骤2:如下图所示,选中“使能SNMP Trap”前的复选框。
步骤3:单击<确定>按钮完成操作。
图1-21 开启Agent发送SNMP Trap消息功能
(5) 配置SNMP Trap消息的目标主机。
步骤1:在“Trap”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入目的IPv4地址为“1.1.1.2”。
· 输入安全名称为“public”。
· 选择安全模型为“v1”。(此配置项必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息)
步骤3:单击<确定>按钮完成操作。
图1-22 配置SNMP Trap消息的目标主机
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
设置NMS使用的SNMP版本为SNMPv1/v2c,只读团体名为public,读写团体名为private。具体情况请参考NMS的相关手册。
· 通过以上配置,NMS可以和Switch建立SNMP连接,能够通过MIB节点查询、设置Switch上某些参数的值。
· 对Switch上某个空闲的接口执行关闭/开启操作,NMS上将看到相应的Trap信息。
如下图所示,NMS(IP地址为1.1.1.2/24)与Switch(IP地址为1.1.1.1/24)相连。现要实现如下需求:
· NMS通过SNMPv3对Switch的接口状态进行监控管理。
· Switch在出现故障时能主动向NMS发送Trap报文。
· NMS与Agent建立SNMP连接时需要认证,认证模式为MD5,认证密码为authkey。
· NMS与Agent之间传输的SNMP报文需要加密,加密模式为DES56,加密密码为prikey。
图1-23 SNMP配置组网图
(1) 开启SNMP Agent。
步骤1:在导航栏中选择“设备 > SNMP”,默认进入“设置”页签的页面。
步骤2:进行如下配置,如下图所示。
· 选中SNMP“开启”前的单选按钮。
· 选择SNMP版本为“v3”。
· 配置联系信息为“New H3C Technologies Co., Ltd.”。
· 配置物理位置信息为“Hangzhou, China”。
步骤3:单击<确定>按钮完成操作。
图1-24 开启SNMP
(2) 配置SNMP视图。
步骤1:单击“视图”页签。
步骤2:单击<新建>按钮。
步骤3:如下图所示,输入视图名称为“view1”。
图1-25 新建SNMP视图(一)
步骤4:单击<确定>按钮,进入SNMP视图规则的配置页面。
步骤5:进行如下配置,如下图所示。
· 输入MIB子树OID为“interfaces”。
· 单击<添加>按钮。
步骤6:单击<确定>按钮,弹出配置进度对话框。
步骤7:看到配置成功的提示后,单击对话框中的<关闭>按钮完成操作。
图1-26 新建SNMP视图(二)
(3) 配置SNMP组。
步骤1:单击“组”页签,。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入组名称为“group1”。
· 选择只读视图为“view1”。
· 选择读写视图为“view1”。
步骤4:单击<确定>按钮完成操作。
图1-27 新建SNMP组
(4) 配置SNMP用户。
步骤1:单击“用户”页签。
步骤2:单击<新建>按钮。
步骤3:进行如下配置,如下图所示。
· 输入用户名称为“user1”。
· 选择安全级别为“既认证又加密”。
· 选择用户所在组为“group1”。
· 选择认证模式为“MD5”。
· 输入认证密码和确认认证密码为“authkey”。
· 选择加密模式为“DES56”。
· 输入加密密码和确认加密密码为“prikey”。
步骤4:单击<确定>按钮完成操作。
图1-28 新建SNMP用户
(5) 开启Agent发送SNMP Trap消息功能。
步骤1:单击“Trap”页签。
步骤2:如下图所示,选中“使能SNMP Trap”前的复选框。
步骤3:单击<确定>按钮完成操作。
图1-29 开启Agent发送SNMP Trap消息功能
(6) 配置SNMP Trap消息的目标主机。
步骤1:在“Trap”页签的页面单击<新建>按钮。
步骤2:进行如下配置,如下图所示。
· 输入目的IPv4地址为“1.1.1.2”。
· 输入安全名称为“user1”。
· 选择安全模型为“v3”。
· 选择安全级别为“既认证又加密”。
步骤3:单击<确定>按钮完成操作。
图1-30 配置SNMP Trap消息的目标主机
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
设置NMS使用的SNMP版本为SNMPv3,用户名为user1,启用认证和加密功能,认证模式为MD5,认证密码为authkey,加密模式为DES56,加密密码为prikey。具体配置请参考NMS的相关手册。
· 完成上述配置后,NMS可以和Switch建立SNMP连接,能够通过MIB节点查询、设置Switch上某些参数的值。
· 在Switch上将某个空闲接口强制关闭或者开启,NMS可以看到相应的Trap信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!