SNMP简单到不简单的网管协议

理论 SNMP的作用： 1、 SNMP是简单网管协议，可以为网管软件提供图形化界面网管能力； 2、 SNMP提供给用户进行网络管理时，权限分为读和写，可以分别设置； 3、 SNMP有3个版本v1、v2c和v3，其中v1和v2c只拥有密码而v3提供用户名和密码配合的认证方式； 4、 SNMP中的组可以将一些策略相同的用户进行统一操作；

1.6 SNMP命令 SNMP命令包括： snmp-server community snmp-server contact snmp-server enable traps snmp-server host snmp-server location snmp-server trap-authentication snmpv1 show snmp 1.6.1 snmp-server community 设置团体名及访问权限。 snmp-server community { ro | rw } community-name 【参数说明】 community-name为团体名，类型为字符串。 ro和rw表示该团体的访问权限有只读（read-only）和读写（read-write）两种。 【缺省情况】 系统缺省认为具有只读权限的团体名为public，具有读写权限的团体名为private。 【命令模式】 全局配置模式 【使用指南】 SNMP v1 采用团体名认证方案，与设备认可的团体名不符的 SNMP 报文将被丢弃。不同的团体可具有只读（read-only）或读写（read-write）两种访问权限。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。 【举例】 设置public团体具有只读权限，private团体具有读写权限 Quidway(config)#snmp-server community ro public? Quidway(config)#snmp-server community rw private? 1.6.2 snmp-server contact 设置网络管理人员的标识及联系方法。 snmp-server contact sysContact 【参数说明】 sysContact为一字符串，表示网络管理人员的标识和联系方法。 【缺省情况】 系统缺省的sysContact为SysAdmin。 【命令模式】 全局配置模式 【使用指南】 当网络出现故障时，可以根据此信息与网络管理人员进行联系。 【举例】 Quidway(config)#snmp-server contact sysadmin:XXX(Tel:1234) 1.6.3 snmp-server enable traps 禁止或允许系统发送Trap。 [ no ] snmp-server enable traps 【缺省情况】 系统缺省为允许发送Trap。 【命令模式】 全局配置模式 【使用指南】 Trap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件。 【举例】 禁止系统发送Trap。 Quidway(config)#no snmp-server enable traps 【相关命令】 snmp-server host 1.6.4 snmp-server host 设置Trap目标主机的IP地址。 snmp-server host host-ip-address 【参数说明】 host-ip-address为Trap目标主机的IP地址，为点分十进制格式。 【命令模式】 全局配置模式 【使用指南】 在允许系统发送Trap后，必须设置Trap目标主机的IP地址。 【举例】 设置Trap目标主机IP地址为129.102.0.1。 Quidway(config)#snmp-server host 129.102.0.1 【相关命令】 snmp-server enable traps 1.6.5 snmp-server location 设置路由器的物理位置描述。 snmp-server location sysLocation 【参数说明】 sysLocation为路由器所在物理位置的描述。 【命令模式】 全局配置模式 【使用指南】 为了便于网络管理人员能够很快找到路由器，可以查看此关于路由器物理位置的描述。 【举例】 Quidway(config)#snmp-server location beijing-huawei-401 1.6.6 snmp-server trap-authentication snmpv1 允许或禁止路由器发送Authentication Trap。 [ no ] snmp-server trap-authentication snmpv1 【缺省情况】 系统缺省设置为允许发送Authentication Trap。 【命令模式】 全局配置模式 【使用指南】 Authentication Trap 是 Trap 的一种。如果允许发送 Authentication Trap，则当被管设备收到含有错误团体名的请求时，可向 NMS 发送验证失败报告（Authentication Trap）。 【举例】 禁止发送Authentication Trap。 Quidway(config)#no snmp-ser

思科 SNMPv2 R1(config)#snmp-server community cisco rw /设置 Read-Write 的共同体名/ R1(config)#snmp-server enable traps config /配置 SNMP 的 Trap 事件/ R1(config)#snmp-server host 192.168.200.1 cisco /将 SNMP 的 Trap 事件发往指定的网络管理工作站 / SNMPv3 R1(config)#access-list 1 permit 1.1.1.1 R1(config)#snmp-server group CCNP v3 priv read READ write WRITE access 1 /创建SNMP组 CCNP，使用版本V3，进行V3认证，读权限为read，写权限为write/ R1(config)#snmp-server view READ iso included /创建SNMP权限视图read，权限由ISO定义/ R1(config)#snmp-server view WRITE system(小写) included /创建SNMP权限视图write，权限由system定义/ R1(config)#snmp-server user ADMIN CCNP v3 auth md5 cisco /创建SNMP组CCNP内的用户ADMIN，版本为V3，使用MD5认证，密码为cisco/

华为 SNMPv3 1、配置交换机的SNMP版本为v3，允许版本为v3的网管管理交换机。 [Switch]snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本，当交换机未去使能SNMPv3版本时，该命令可以不配置。

2、配置访问控制，只允许指定的IP地址的网管读写交换机指定的MIB。 配置ACL，通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。 [Switch]acl 2001 [Switch-acl-basic-2001]rule permit source 10.1.1.1 0 //指定仅IP地址为10.1.1.1的网管才能访问设备。 [Switch-acl-basic-2001]rule deny

配置MIB视图，通过MIB视图限制网管仅能访问指定的MIB。 [Switch]snmp-agent mib-view included isoviewiso //指定能够访问的MIB视图包含iso。

3、配置用户组和用户，在网管上添加交换机时，使用用户组和用户进行认证。 配置用户组名为group001，安全级别为privacy，并应用访问控制，限制网管对交换机的管理。 [Switch]snmp-agent group v3 group001 privacywrite-view isoview acl 2001 //配置用户组，并应用访问控制，使访问控制功能生效。

配置用户名为user001。 [Switch]snmp-agent usm-user v3 user001 groupgroup001 //配置用户名，并将用户名加入指定的用户组。

认证密码为Authe@1234。 [Switch]snmp-agent usm-user v3 user001authentication-mode sha //配置认证方式，提升使用v3版本时交换机被管理的安全性。 Pleaseconfigure the authentication password (8-64) EnterPassword: //输入认证密码，本例的认证密码为：Authe@1234。 ConfirmPassword: //确认认证密码，本例的认证密码为：Authe@1234。

加密密码为Priva@1234。 [Switch]snmp-agent usm-user v3 user001privacy-mode aes256 //配置加密方式，提升使用v3版本时交换机被管理的安全性。

Pleaseconfigure the privacy password (8-64) EnterPassword: //输入加密密码，本例的加密密码为：Priva@1234。 ConfirmPassword: //确认加密密码，本例的加密密码为：Priva@1234。

4、配置告警主机，并使能交换机主动发送Trap消息的功能。 [Switch]snmp-agent trap enable Warning:All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关，可通过display snmp-agent trap all命令查看。 [Switch]snmp-agent target-host trap addressudp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机，缺省情况发送Trap的UDP端口号为162，安全名和用户名必须保持一致，否则网管无法管理设备。