SNMP
特性简介
SNMP(Simple Network Management Protocol,简单网络管理协议)是互联网中的一种网络管理标准协议,广泛用于实现管理设备对被管理设备的访问和管理。SNMP具有以下优势:
支持网络设备的智能化管理。利用基于SNMP的网络管理平台,网络管理员可以查询网络设备的运行状态和参数,配置参数值,发现故障,完成故障诊断,进行容量规划和制作报告。
支持对不同物理特性的设备进行管理。SNMP只提供最基本的功能集,使得管理任务与被管理设备的物理特性和联网技术相对独立,从而实现对不同厂商设备的管理。
SNMP的网络架构
SNMP网络架构由三部分组成:NMS、Agent和MIB。
NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,方便网络管理员完成大多数的网络管理工作。
Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。
MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
SNMP版本介绍
目前,设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接。
SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
配置指南
配置思路
SNMP的配置思路如下图所示:
图-1 SNMP配置思路图
配置准备
在配置本特性之前,需要完成以下任务:
SNMPv1/SNMPv2c版本配置
SNMPv1和SNMPv2c的配置方法相同。
SNMPv1/SNMPv2c版本的具体配置步骤如下:
单击“系统 > 系统与维护 > SNMP”。
开启SNMP功能。
图-2 SNMP功能示意图
配置SNMP版本及各版本公共信息。
图-3 SNMP全局配置示意图
参数
说明
版本
设置SNMP版本号,包括:
SNMPv1
SNMPv2c
SNMPv3
设置指定的SNMP版本后,设备才能收发该版本的SNMP报文。只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接。若同时配置多个版本,各版本配置均生效,设备会和NMS协商一个版本进行通信
SNMPv1和SNMPv2c报文中携带的团体名和数据均为明文形式,存在安全隐患,建议使用SNMPv3版本
如果在IPv6环境下,要使用SNMP告警功能,请将SNMP版本号配置为v2c或者v3
Trap报文源地址
使用指定接口的IP地址作为Trap报文的源IP地址
指定了接口后,系统会使用指定接口的主IP地址作为发送出去的告警信息的源IP地址。这样,在NMS上就可以使用该IP地址唯一标志Agent。即便Agent使用不同的出接口发送告警信息,NMS都可以使用该IP地址来过滤Agent发送的所有告警信息
在将某个接口配置为获取告警信息的源地址接口之前需要注意:如果配置的接口已经配置了合法的IP地址,则该IP地址将作为告警信息的源地址;如果配置的接口未配置合法的IP地址,则该命令不生效,在接口配置了合法IP地址后,本配置会自动生效
设备位置
配置设备的物理位置信息
为便于识别和管理设备,请使用本参数将设备所处的物理位置记录在设备中
联系信息
配置设备的维护联系信息
如果设备发生故障,设备维护人员可以利用设备的维护联系信息,及时与设备生产厂商取得联系
单击<应用>按钮,使SNMP版本及各版本公共信息的配置生效。
选择SNMPv1和SNMPv2c版本并进行配置。
表-2 SNMPv1和SNMPv2c版本配置
参数
说明
SNMP只读团体名
SNMP的团体名,限制NMS访问Agent时所使用的团体名,区分大小写,需要转义的字符请加“\”后输入
SNMP只读团体名对MIB对象的访问权限为只读,即NMS使用SNMP只读团体名访问Agent时只能执行读操作
SNMP读写团体名
SNMP的团体名,限制NMS访问Agent时所使用的团体名,区分大小写,需要转义的字符请加“\”后输入
SNMP读写团体名对MIB对象的访问权限为读写。即NMS使用SNMP读写团体名访问Agent时可以执行读、写操作
Trap接收主机
配置接收SNMP告警信息的目的主机。根据实际组网需要,管理员可以配置多个不同的Trap接收主机,使得设备可以向多个NMS发送告警信息。设备支持配置的目的主机属性包括:
主机类型,包括:
IPv4或IPv6地址:接收告警信息的目的主机的IPv4地址或IPv6地址
IPv4主机:接收告警信息的目的主机的主机名,发送时将获取主机名对应的IPv4地址,向对应的主机发送告警信息
IPv6主机:接收告警信息的目的主机的主机名,发送时将获取主机名对应的IPv6地址,向对应的主机发送告警信息
Trap接收主机:接收告警消息的目的主机的IP地址或主机名。若使用IPv6地址配置,则不能为链路本地地址。若使用主机名配置,主机名不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”
团体名:配置SNMPv1、SNMPv2c的团体名作为Trap接收主机的认证参数
端口:目的主机上用来接收告警信息的端口号
单击<应用>按钮,使SNMP版本配置生效。
SNMPv3版本配置
配置SNMP版本及各版本公共信息,配置请参见表-1
。 单击<应用>按钮,使SNMP版本及各版本公共信息的配置生效。
选择SNMPv3版本并进行版本配置。
图-5 SNMPv3版本配置示意图
参数
说明
安全用户名
SNMPv3用户名,区分大小写
配置的安全用户名若有变化,则认证密码和加密密码需要重新输入
认证算法
配置SNMPv3认证算法,包括:
MD5:采用HMAC-MD5算法
SHA:采用HMAC-SHA1算法
认证密码
认证密码,区分大小写
认证密码必须和NMS上的一致才能建立SNMP连接
加密算法
配置SNMPv3加密算法,包括:
DES:采用DES(Data Encryption Standard,数据加密标准)算法,密钥长度为56比特
AES128:采用AES(Advanced Encryption Standard,高级加密标准)算法,密钥长度为128比特
3DES:采用3DES(Triple Data Encryption Standard,三重数据加密标准)算法,密钥长度为168比特
加密密码
加密密码,区分大小写
加密密码必须和NMS上的一致才能建立SNMP连接
Trap接收主机
配置接收SNMP告警信息的目的主机。根据实际组网需要,管理员可以配置多个不同的Trap接收主机,使得设备可以向多个NMS发送告警信息。设备支持配置的目的主机属性包括:
主机类型,包括:
IPv4或IPv6地址:接收告警信息的目的主机的IPv4地址或IPv6地址
IPv4主机:接收告警信息的目的主机的主机名,发送时将获取主机名对应的IPv4地址,向对应的主机发送告警信息
IPv6主机:接收告警信息的目的主机的主机名,发送时将获取主机名对应的IPv6地址,向对应的主机发送告警信息
Trap接收主机:接收告警消息的目的主机的IP地址或主机名。若使用IPv6地址配置,则不能为链路本地地址。若使用主机名配置,主机名不区分大小写,字符串仅可包含字母、数字、“-”、“_”或“.”
安全用户名:配置SNMPv3的安全用户名作为Trap接收主机的认证参数
端口:目的主机上用来接收告警信息的端口号
单击<应用>按钮,使SNMP版本配置生效。