17-SNMP
本章节下载 (1.15 MB)
仅ICG 3000、ICG 3000B、ICG 3000S、ICG 5000、ICG 5000B支持此功能,对于ICG 2000、ICG 2000B,请参考本手册中的SNMP(简化版)章节。
SNMP(Simple Network Management Protocol,简单网络管理协议)是网络中管理设备和被管理设备之间的通信规则,它定义了一系列消息、方法和语法,用于实现管理设备对被管理设备的访问和管理。SNMP具有以下优势:
l 自动化网络管理。网络管理员可以利用SNMP平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。
l 屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。
SNMP网络元素分为NMS和Agent两种。
l NMS(Network Management Station,网络管理站)是运行SNMP客户端程序的工作站,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。
l Agent是驻留在设备上的一个进程,负责接收、处理来自NMS的请求报文。在一些紧急情况下,如接口状态发生改变等,Agent也会主动通知NMS。
NMS是SNMP网络的管理者,Agent是SNMP网络的被管理者。NMS和Agent之间通过SNMP协议来交互管理信息。
SNMP提供以下四种基本操作:
l Get操作:NMS使用该操作查询Agent的某个变量的值。
l Set操作:NMS使用该操作重新设置在Agent数据库(MIB,Management Information Base)中的一个或多个对象的值。
l Trap操作:Agent使用该操作向NMS发送报警信息。
l Inform操作:NMS使用该操作向其他NMS发送报警信息。
目前,设备的SNMP Agent支持SNMP v1、SNMP v2c和SNMP v3三种版本。
l SNMP v1采用团体名(Community Name)认证。团体名用来定义SNMP NMS和SNMP Agent的关系。如果SNMP报文携带的团体名没有得到设备的认可,该报文将被丢弃。团体名起到了类似于密码的作用,用来限制SNMP NMS对SNMP Agent的访问。
l SNMP v2c也采用团体名认证。它在兼容SNMP v1的同时又扩充了SNMP v1的功能:它提供了更多的操作类型(GetBulk和InformRequest);它支持更多的数据类型(Counter64等);它提供了更丰富的错误代码,能够更细致地区分错误。
l SNMP v3提供了基于用户的安全模型(USM,User-Based Security Model)的认证机制。用户可以设置认证和加密功能,认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。通过有无认证和有无加密等功能组合,可以为SNMP NMS对SNMP Agent之间的通信提供更高的安全性。
Agent可以同时配置多个版本,与不同的NMS交互采用不同的版本交互。但是当Agent和某个NMS通信时,Agent和该NMS上的SNMP版本配置必须相同(即都配置为SNMP v1或者都配置为SNMP v2c或者都配置为SNMP v3),才能成功互访。
任何一个被管理的资源都表示成一个对象,称为被管理的对象。MIB(Management Information Base,管理信息库)是被管理对象的集合。它定义了对象之间的层次关系以及对象的一系列属性,比如对象的名字、访问权限和数据类型等。每个Agent都有自己的MIB。NMS根据权限可以对MIB中的对象进行读/写操作。NMS、Agent和MIB之间的关系如图1-1所示。
图1-1 NMS、Agent和MIB关系图
MIB是以树状结构进行存储的。树的节点表示被管理对象,它可以用从根开始的一条路径唯一地标识。如图1-2所示,被管理对象A可以用一串数字{1.2.1.1.5}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
子树可以用该子树根节点的OID来标识。如以B为根节点的子树的子树OID为B的OID——{1.2.1.1}。
图1-2 MIB树结构
子树掩码可以和子树OID共同来确定一个视图的范围。子树掩码用十六进制格式表示,转换成二进制后,每个比特位对应OID中的一个小节,其中:
l 1表示精确匹配,即要访问的MIB对象的OID与子树OID对应小节的值必须相等;
l 0表示通配,即要访问的MIB对象的OID与子树OID对应小节的值可以不相等。
例如:子树掩码为0xDB(二进制格式为11011011),子树OID为1.3.6.1.6.1.2.1,则对应关系如图1-3所示,所确定的视图就包括子树OID为1.3.*.1.6.*.2.1(*表示可为任意数字)的子树下的所有节点。
图1-3 子树OID与子树掩码对应关系图
l 若子树掩码的比特位数目大于子树OID的小节数,则匹配时子树掩码中多出的bit将被忽略。
l 若子树掩码的比特位数目小于子树OID的小节数,则匹配时子树掩码中不足的bit将自动设置为1。
l 如果没有指定子树掩码,则使用缺省子树掩码(全F)。
由于SNMP v3版本的配置和SNMP v1版本、SNMP v2c版本的配置有较大区别,所以下面分两种情况分别进行介绍。
SNMP v1、SNMP v2c配置的推荐步骤如表1-1所示。
表1-1 SNMP v1、SNMP v2c配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态 当SNMP关闭时,所有SNMP的配置将不会被保存 |
|
2 |
可选 配置SNMP视图后,可以为SNMP团体指定SNMP视图,以限制SNMP团体可以访问的MIB对象 |
|
3 |
必选 |
|
4 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机的相关信息 缺省情况下,允许Agent发送SNMP Trap消息 |
SNMP v3配置的推荐步骤如表1-2所示。
表1-2 SNMP v3配置步骤
步骤 |
配置任务 |
说明 |
1 |
必选 缺省情况下,SNMP Agent功能处于关闭状态 当SNMP关闭时,所有SNMP的配置将不会被保存 |
|
2 |
可选 配置SNMP视图后,可以为SNMP组指定SNMP视图,以限制SNMP组可以访问的MIB对象 |
|
3 |
必选 配置SNMP组后,在配置SNMP用户时把SNMP用户加入到组中。通过对组的管理可以更好地对组中的用户进行集中管理 |
|
4 |
必选 在配置SNMP用户之前,必须先配置该SNMP用户所属的SNMP组 |
|
5 |
可选 配置Agent可以向NMS发送SNMP Trap消息,并配置SNMP Trap消息的目标主机的相关信息 缺省情况下,允许Agent发送SNMP Trap消息 |
在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,如图1-4所示。页面上半部分可以对SNMP的开启状态、版本等参数进行配置;页面下半部分显示的是SNMP统计信息,用户可以通过查看这些信息了解配置后SNMP的运行情况。
开启SNMP的详细配置如表1-3所示。
表1-3 开启NMP的详细配置
配置项 |
说明 |
SNMP |
设置开启或关闭SNMP功能 |
本地引擎ID |
设置本地引擎ID 用户创建后是否有效,与设备的SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则该用户当前无效 |
最大包长度 |
设置Agent能接收/发送的SNMP消息包的大小 |
联系信息 |
设置描述系统维护联系信息的字符串 如果设备发生故障,维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系 |
物理位置信息 |
设置描述设备物理位置的字符串 |
SNMP版本 |
设置系统启用的SNMP版本号 |
可点击返回“表1-1 SNMP v1、SNMP v2c配置步骤”。
可点击返回“表1-2 SNMP v3配置步骤”。
在导航栏中选择“高级配置 > SNMP”,单击“视图”页签,进入如图1-5所示的页面。
单击<新建>按钮,弹出新建视图的对话框,如图1-6所示。在文本框中输入要创建的视图的名称,单击<新建>按钮,进入SNMP视图具体规则的配置页面,如图1-7所示。
图1-6 新建SNMP视图(一)
图1-7 新建SNMP视图(二)
SNMP视图规则的详细配置如表1-4所示。配置一条规则的参数后,单击<添加>按钮,将该条规则添加到下方的列表中。配置完该视图的所有规则后,单击<确定>按钮,即可新建一个SNMP视图。需要注意的是,如果单击<取消>按钮,则不会新建SNMP视图
表1-4 SNMP视图规则的详细配置
配置项 |
说明 |
视图名称 |
显示SNMP视图的名称 |
规则 |
设置将由MIB子树OID和子树掩码确定的对象包含在视图范围之内,或者排除在视图范围之外 |
MIB子树OID |
设置MIB子树根节点的OID(如1.4.5.3.1)或名称(如system) MIB子树OID标明节点在MIB树中的位置,它能唯一地标识一个MIB库中的子树 |
子树掩码 |
设置子树掩码 如果没有指定子树掩码,则使用缺省子树掩码(全F) |
在如图1-5所示的页面单击视图对应的图标,弹出如图1-8所示的对话框。设置相应的参数后,单击<确定>按钮,即可为该视图添加一条规则,配置项的详细说明参见表1-4。
图1-8 为SNMP视图添加规则
也可以在如图1-5所示的页面单击视图对应的图标,进入视图的修改页面来配置视图中的规则,此处不再赘述。
可点击返回“表1-1 SNMP v1、SNMP v2c配置步骤”。
可点击返回“表1-2 SNMP v3配置步骤”。
在导航栏中选择“高级配置 > SNMP”,单击“团体”页签,进入如图1-9所示的页面。单击<新建>按钮,进入新建SNMP团体的配置页面,如图1-10所示。
SNMP团体的详细配置如表1-5所示。
表1-5 SNMP团体的详细配置
配置项 |
说明 |
团体名称 |
设置SNMP团体的名称 |
访问权限 |
设置NMS使用该团体访问Agent时的权限 l 只读:表明对MIB对象进行只读的访问,NMS使用该团体名访问Agent时只能执行读操作 l 读写:表明对MIB对象进行读写的访问。NMS使用该团体名访问Agent时可以执行读、写操作 |
视图 |
设置与该团体关联的视图,以限制NMS可以对Agent进行操作的MIB对象 |
ACL |
设置将该团体与基本访问控制列表绑定,以允许或禁止具有特定源IP地址的NMS对Agent的访问 |
可点击返回“表1-1 SNMP v1、SNMP v2c配置步骤”。
在导航栏中选择“高级配置 > SNMP”,单击“组”页签,进入如图1-11所示的页面。单击<新建>按钮,进入新建SNMP组的配置页面,如图1-12所示。
SNMP组的详细配置如表1-6所示。
表1-6 SNMP组的详细配置
配置项 |
说明 |
组名称 |
设置SNMP组的名称 |
安全级别 |
设置SNMP组的安全级别,包括:不认证不加密、只认证不加密、既认证又加密 已存在的SNMP组,其安全级别不能修改 |
只读视图 |
设置SNMP组的只读视图 |
读写视图 |
设置SNMP组的读写视图 如果不指定读写视图,则NMS不能对设备的所有MIB对象进行写操作 |
通知视图 |
设置SNMP组的通知视图,即可以发送Trap消息的视图 如果不指定通知视图,则Agent不会向NMS发送Trap信息 |
ACL |
设置将组与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而进一步限制NMS和Agent的互访 |
可点击返回“表1-2 SNMP v3配置步骤”。
在导航栏中选择“高级配置 > SNMP”,单击“用户”页签,进入如图1-13所示的页面。单击<新建>按钮,进入新建SNMP用户的配置页面,如图1-14所示。
SNMP用户的详细配置如表1-7所示。
表1-7 SNMP用户的详细配置
配置项 |
说明 |
用户名称 |
设置SNMP用户的名称 |
安全级别 |
设置SNMP用户的安全级别,包括:不认证不加密、只认证不加密、既认证又加密 |
用户所在组 |
设置用户所属的组名称 l 当用户的安全级别选择“不认证不加密”时,可以选择“不认证不加密”的组 l 当用户的安全级别选择“只认证不加密”时,可以选择“不认证不加密”或“只认证不加密”的组 l 当用户的安全级别选择“既认证又加密”时,可以选择所有安全级别的组 |
认证模式 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的模式,包括:MD5、SHA |
认证密码 |
当安全级别选择“只认证不加密”或“既认证又加密”时,设置认证的密码 确认认证密码必须与认证密码一致 |
确认认证密码 |
|
加密模式 |
当安全级别选择 “既认证又加密”时,设置加密的模式,包括:DES56、AES128、3DES |
加密密码 |
当安全级别选择“既认证又加密”时,设置加密的密码 确认加密密码必须与加密密码一致 |
确认加密密码 |
|
ACL |
设置将用户与基本访问控制列表绑定,以对SNMP报文的源IP地址进行限制,即允许或禁止具有特定源IP地址的SNMP报文通过,从而可以允许或禁止指定的NMS使用该用户名访问Agent |
可点击返回“表1-2 SNMP v3配置步骤”。
在导航栏中选择“高级配置 > SNMP”,单击“Trap”页签,进入如图1-15所示的页面。页面上半部分可以配置使能SNMP Trap功能;页面下半部分可以配置Agent发送SNMP Trap消息的目标主机,单击<新建>按钮,进入新建Trap目标主机的配置页面,如图1-16所示。
图1-16 新建Trap目标主机
Trap目标主机的详细配置如表1-8所示。
表1-8 Trap目标主机的详细配置
配置项 |
说明 |
目的IP地址 |
设置目标主机的IP地址 选择IP地址的类型(IPv4或IPv6),然后输入相应类型的IP地址 |
安全名称 |
设置安全名称,为SNMP v1、SNMP v2c的团体名或SNMP v3的用户名 |
UDP端口号 |
设置UDP端口号 缺省值162是SNMP协议规定的NMS接收Trap报文的端口,通常情况下(比如使用iMC或着MIB Browser作为NMS时),使用该缺省值即可。如果要将端口号修改为其他值,则必须和NMS上的配置保持一致 |
安全模型 |
设置SNMP的版本 安全模型必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息 |
安全级别 |
当安全模型选择“v3”时,设置对SNMP Trap消息认证加密的方式,包括不认证不加密、只认证不加密、既认证又加密 当安全模型选择“v1”或“v2c”时,安全级别为“不认证不加密”,不可以修改 |
可点击返回“表1-1 SNMP v1、SNMP v2c配置步骤”。
可点击返回“表1-2 SNMP v3配置步骤”。
l NMS与Agent通过以太网相连,NMS的IP地址为1.1.1.2/24,Agent的IP地址为1.1.1.1/24。
l NMS通过SNMP v1或者SNMP v2c对Agent进行监控管理,Agent在故障或者出错的时候能够主动向NMS报告情况。
图1-17 SNMP v1/v2配置组网图
(1) 配置Agent
# 开启SNMP。
l 在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,进行如下配置,如图1-18所示。
l 选中SNMP“开启”前的单选按钮。
l 设置SNMP版本为“v1”和“v2c”。
l 单击<确定>按钮完成操作。
# 配置SNMP团体。
l 单击“团体”页签,单击<新建>按钮,进行如下配置,如图1-19所示。
图1-19 配置SNMP团体public
l 输入团体名称为“public”。
l 选择访问权限为“只读”。
l 单击<确定>按钮完成操作。
l 在团体”页签的页面单击<新建>按钮,进行如下配置,如图1-20所示。
图1-20 配置SNMP团体private
l 输入团体名称为“private”。
l 选择访问权限为“读写”。
l 单击<确定>按钮完成操作。
# 使能Agent发送SNMP Trap消息。
l 单击“Trap”页签,进行如下配置,如图1-21所示。
图1-21 使能Agent发送SNMP Trap消息
l 选中“使能SNMP Trap”前的复选框。
l 单击<确定>按钮完成操作。
# 配置SNMP Trap消息的目标主机。
l 在“Trap”页签的页面单击<新建>按钮,进行如下配置,如图1-22所示。
图1-22 配置SNMP Trap消息的目标主机
l 选择目的IP地址类型为“IPv4”,输入目的IP地址为“1.1.1.2”。
l 输入安全名称为“public”。
l 选择安全模型为“v1”。(此配置项必须和NMS上运行的SNMP版本一致,否则NMS将收不到Trap信息)
l 单击<确定>按钮完成操作。
(2) 配置NMS
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
在使用SNMP v1/v2版本的NMS上需要设置只读团体名和读写团体名。另外,还要设置超时时间和重试次数。用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
l 通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值。
l 对设备上某个空闲的接口执行关闭/开启操作,NMS上将看到相应的Trap信息。
l NMS与Agent通过以太网相连,NMS的IP地址为1.1.1.2/24,Agent的IP地址为1.1.1.1/24。
l NMS通过SNMP v3只能对Agent的接口状态进行监控管理,Agent在故障或者出错的时候能够主动向NMS报告情况。
l NMS与Agent建立SNMP连接时,需要认证,认证协议为MD5,密码为authkey。NMS与Agent之间传输的SNMP报文需要加密,使用的加密协议为DES,加密密码为prikey。
图1-23 SNMP v3配置组网图
(1) 配置Agent
# 开启SNMP。
l 在导航栏中选择“高级配置 > SNMP”,默认进入“设置”页签的页面,进行如下配置,如图1-24所示。
l 选中SNMP“开启”前的单选按钮。
l 设置SNMP版本为“v3”。
l 单击<确定>按钮完成操作。
# 配置SNMP视图。
l 单击“视图”页签,单击<新建>按钮,进行如下配置,如图1-25所示。
l 输入视图名称为“view1”。
l 单击<确定>按钮,进入创建视图view1的页面,进行如下配置,如图1-26所示。
l 选择规则为“包含”。
l 输入MIB子树OID为“interfaces”。
l 单击<添加>按钮。
l 单击<确定>按钮,弹出配置进度对话框,如图1-27所示。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置SNMP组。
l 单击“组”页签,单击<新建>按钮,进行如下配置,如图1-28所示。
l 输入组名称为“group1”。
l 选择安全级别为“不认证不加密”。
l 选择只读视图为“view1”。
l 单击<确定>按钮完成操作。
# 配置SNMP用户。
l 单击“用户”页签,单击<新建>按钮,进行如下配置,如图1-29所示。
l 输入用户名称为“user1”。
l 选择安全级别为“不认证不加密”。
l 选择用户所在组为“group1(不认证不加密)”。
l 单击<确定>按钮完成操作。
# 使能Agent发送SNMP Trap消息。
l 单击“Trap”页签,进行如下配置,如图1-30所示。
图1-30 使能Agent发送SNMP Trap消息
l 选中“使能SNMP Trap”前的复选框。
l 单击<确定>按钮完成操作。
# 配置SNMP Trap消息的目标主机。
l 在“Trap”页签的页面单击<新建>按钮,进行如下配置,如图1-31所示。
图1-31 配置SNMP Trap消息的目标主机
l 选择目的IP地址类型为“IPv4”,输入目的IP地址为“1.1.1.2”。
l 输入安全名称为“user1”。
l 选择安全模型为“v3”。
l 单击<确定>按钮完成操作。
(2) 配置NMS
NMS侧的配置必须和Agent侧保持一致,否则无法进行相应操作。
SNMP v3采用认证和加密的安全机制,在NMS上需要设置用户名、安全级别。根据不同的安全级别,需要分别设置认证方式、认证密码、加密方式、加密密码等。另外,还要设置超时时间和重试次数。用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
l 通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值。
l 对设备上某个空闲的接口执行关闭/开启操作,NMS上将看到相应的Trap信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!