华为配置使用SNMPv1与网管通信示例

配置使用SNMPv1与网管通信示例

组网图形
图1配置使用SNMPv1与网管通信组网图

  • SNMP简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
SNMP简介

简单网络管理协议SNMP(Simple Network Management Protocol)是广泛应用于TCP/IP网络的网络管理标准协议。SNMP提供了通过运行网络管理软件的中心计算机(即网络管理工作站)来管理设备的方法。

SNMP具有如下优势:

  • 自动化网络管理。网络管理员可以利用SNMP平台在网络上的任意节点完成信息查询、信息修改和故障排查等工作,工作效率得以提高。
  • 屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集,使得管理任务分别与被管理的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的集中管理。

SNMP分为三个版本,第一个版本为SNMPv1,基于团体名认证,安全性较差,且返回报文的错误码也较少。后来,IETF颁布了SNMPv2c。SNMPv2c中引入了GetBulk和Inform操作,支持更多的标准错误码信息,支持更多的数据类型(Counter64、Counter32)。鉴于SNMPv2c在安全性方面没有得到改善,IETF又颁布了SNMPv3的版本,提供了基于USM(User-based Security Model)的认证加密和基于VACM(View-based Access Control Model)的访问控制。

SNMPv1的应用场景:适用于小型网络,组网简单,对网络安全性要求不高或者网络环境本身比较安全,且比较稳定的网络,比如校园网,小型企业网。

配置注意事项

本举例适用于所有版本的所有交换机。

举例中的网管以V300R007C00版本的eSight为例。

组网需求

图1所示,现有网络中网管服务器对网络中的设备进行监管,由于网络规模较小,安全性较高等因素,在规划时配置交换机使用SNMPv1版本与网管进行通信。现在新增一台交换机,用户希望通过利用现有的网络资源对交换机进行监管,在发生故障时能够快速对故障进行定位和排除。

配置思路

采用如下思路配置SNMP:

  1. 配置交换机的SNMP版本为v1,允许版本为v1的网管管理设备。

  2. 配置访问控制,只允许指定IP地址的网管读写交换机指定MIB。

  3. 配置团体名,在网管上添加设备时,使用团体名进行认证。

  4. 配置告警主机,并使能设备主动发送Trap消息的功能。

  5. 在网管上添加设备,网管上使用的团体名和设备保持一致,才能正常管理设备。

操作步骤
  1. 配置交换机的SNMP版本为v1,允许版本为v1的网管管理交换机。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd"><HUAWEI> <strong>system-view</strong>
    [HUAWEI] <strong>sysname Switch</strong>
    [Switch] <strong>snmp-agent sys-info version v1</strong>   //缺省情况下仅支持SNMPv3版本。</span></span></span>
  2. 配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤,否则交换机将无法与网管正常连接。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">[Switch] <strong id="ZH-CN_TASK_0177091911__b104207291419">snmp-agent protocol source-interface vlanif 10</strong></span></span></span>
  3. 配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。

    配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">[Switch] <strong id="ZH-CN_TASK_0177091911__b2097958414183207">acl 2001</strong>
    [Switch-acl-basic-2001] <strong id="ZH-CN_TASK_0177091911__b777927901183207">rule permit source 10.1.1.1 0</strong>
    [Switch-acl-basic-2001] <strong id="ZH-CN_TASK_0177091911__b600459859183207">rule deny</strong>
    [Switch-acl-basic-2001] <strong id="ZH-CN_TASK_0177091911__b482924452183207">quit</strong></span></span></span>

    配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">[Switch] <strong id="ZH-CN_TASK_0177091911__b145725929183207">snmp-agent mib-view included isoview01 system</strong>   //配置MIB视图isoview01能够访问system子树。
    [Switch] <strong id="ZH-CN_TASK_0177091911__b863942236183207">snmp-agent mib-view included isoview02 interfaces</strong>   //配置MIB视图isoview02能够访问interfaces子树。</span></span></span>
  4. 配置团体名,在网管上添加交换机时,使用团体名进行认证,并应用访问控制,使访问控制功能生效。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">[Switch] <strong id="ZH-CN_TASK_0177091911__b1117943624183207">snmp-agent community read adminnms01 mib-view isoview01 acl 2001</strong>   //配置adminnms01对system子树具有只读权限。
    [Switch] <strong id="ZH-CN_TASK_0177091911__b1590236940183207">snmp-agent community write adminnms02 mib-view isoview02 acl 2001</strong>   //配置adminnms02对interface子树具有读写权限。</span></span></span>
  5. 配置告警主机,并使能交换机主动发送Trap消息的功能。

    screen 复制代码
    <span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">[Switch] <strong>snmp-agent trap enable</strong>
    Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:<strong>y</strong>   //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
    [Switch] <strong>snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v1</strong></span></span></span>
  6. 在网管上添加交换机。

    登录eSight,单击"资源 > 资源添加 > 单个添加",根据表1配置SNMP参数,配置完成后单击"确定",即完成在网管上添加交换机,即可实现网管对交换机的管理,交换机上有告警事件发生时主动向网管发送Trap告警。

    项目 数据
    发现协议 SNMP协议
    IP地址 10.1.1.2
    SNMP协议 手动编辑SNMP参数
    版本 V1
    读团体字 adminnms01
    写团体字 adminnms02
    端口 161
    [表1SNMP参数]

    网管侧的参数配置必须和交换机上保持一致,否则网管添加交换机失败。

    如果远程登录交换机时需要进行认证,需要配置Telnet协议参数,后续网管才能够对交换机进行管理。例如,本例中管理员可以通过Telnet方式远程登录交换机,认证方式为密码认证,密码为YsHsjx_202206。

配置文件

Switch的配置文件

screen 复制代码
<span style="color:#333333"><span style="background-color:#ffffff"><span style="background-color:#dddddd">#
sysname Switch
#
acl number 2001
 rule 5 permit source 10.1.1.1 0
 rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
snmp-agent protocol source-interface Vlanif10
#
return</span></span></span>
相关推荐
zorro_z4 小时前
PHP语法高级篇(二):文件处理
php
Two_brushes.5 小时前
【Linux】线程机制深度实践:创建、等待、互斥与同步
linux·运维·服务器·多线程
SuperherRo7 小时前
Web攻防-PHP反序列化&原生内置类&Exception类&SoapClient类&SimpleXMLElement
php·xss·反序列化·exception·ssrf·原生类·soapclient
FreeBuf_7 小时前
黄金旋律IAB组织利用暴露的ASP.NET机器密钥实施未授权访问
网络·后端·asp.net
Tanecious.9 小时前
C++--红黑树封装实现set和map
网络·c++
阿维的博客日记9 小时前
TCP和UDP区别
tcp/ip·udp·php
yqcoder10 小时前
7. TCP 和 UDP 的区别
网络·网络协议·http
wanhengidc10 小时前
UDP服务器的优缺点都包含哪些?
服务器·网络协议·udp
weixin_4567325910 小时前
tcpdump交叉编译
网络·测试工具·tcpdump
MZ_ZXD00111 小时前
flask校园学科竞赛管理系统-计算机毕业设计源码12876
java·spring boot·python·spring·django·flask·php