s2026系列产品配置手册指南snmp管理

1、SNMP 管理本章将描述在交换机上如何配置简单网络管理协议(SNMP)。有关本节的 CLI 命令的详细使用信息及说明，请参照 CLI 命令集本章包含以下部分：SNMP 概述配置 SNMP显示 SNMP 配置信息SNMP 概述SNMP 是一种应用协议，它为 SNMP 管理者和间的通信定义了协议消息格式。SNMP 管理者可以是网络管理系统(NMS)的一部分，理之间的联系。和管理信息库(MIB)包含在交换机上，通过配置交换机上的 SNMP，你可以规定管理者同代SNMP包含 SNMP 管理者能够请求或更改的管理变量。管理者能够从那里获得管理变量值或者向设置管理变量值。或请求操作。从 MIB(包含设备的

2、参数和网络数据信息)中收集管理信息。也能够响应管理者发出的设置能够向管理者主动发出 TRAP 信息。TRAP 信息是用来向管理者通告网络中的某种事件的发生。TRAP 信息能够通告你认证失败、重启动、连接状态、拓扑改变等重要的事件的发生。本节包含以下概念性的描述:SNMP 版本SNMP 管理功能SNMP功能SNMP 认证名SNMP 引擎标识使用 SNMP 对MIB 变量进行管理SNMP 版本本支持以下 SNMP 版本：SNMPv1简单网络管理协议，是第一个正式协议版本，在 RFC1157 中定义。SNMPv2C：基于（Community-based）的SNMPv2 管理架构, 在RFC1901

3、中定义的一个实验性协议。SNMPv3 通过对数据进行鉴别和加密，提供了以下的安全特性：1.2.3.确保数据在传输过程中不被篡改；确保数据从合法的数据源发出；加密报文，确保数据的性；SNMPv1 和 SNMPv2C 都采用基于(Commumity string)来限定能够对（Community-based）的安全架构。通过定义主机地址以及认证名的 MIB 进行操作的管理者。SNMPv2C 包含 GetBulk 的机制并且能够对管理工作站返回更加详细的错误信息类型。GetBulk 能够的获取表格中的所有信息或者获取大批量的数据,从而减少请求-响应的次数。SNMPv2C 错误处理能力的提高包括扩充错

4、误代码以区分不同类型的错误，在 SNMPv1 中这些错误仅有一种错误代码。现在通过错误代码可以区分错误类型。由于网络上可能同时存在支持 SNMPv1 和SNMPv2C 的管理工作站，因此 SNMP必须能够识别 SNMPv1 和SNMPv2C 报文，并且能返回相应版本的报文。在 SNMPv2 的基础上， SNMPv通过安全模型以及安全级别来确定对数据采用哪种安全机制进行处理；目前可用的安全模型有三种类别：SNMPv1,SNMPv2C,SNMPv3。下表为目前可用的安全模型以及安全级别安全模型安全级别鉴别加密说明SNMPv1noAuthNoPriv认证名无通过认证名确认数据的SNMPv2cnoAu

5、thNoPriv认证名无通过认证名确认数据的SNMPv3noAuthNoPriv用户名无通过用户名确认数据的SNMPv3authNoPrivMD5 或者 SHA无提供基于 HMAC-MD5或者 HMAC-SHA 的数据鉴别机制SNMPv3authPrivMD5 或者 SHADES提供基于 HMAC-MD5或者 HMAC-SHA 的数据鉴别机制提供基于 CBC-DES的数据加密机制SNMP 管理功能SNMP 管理者使用下表中操作获得管理信息库中的信息。1.量。 2.执行该操作时，管理者不必知道变量确定的名称。管理者可以通过顺序查找直到在表格中找出需要的变仅 SNMPv2C/SNMPv3 支持该操

6、作。SNMP功能SNMP响应 SNMP 管理者的以下请求:获得 MIB 变量-SNMP设置 MIB 变量-SNMP启动该功能以响应 NMS 的请求。SNMP获取所请求的 MIB 变量并将该值返回给 NMS.启动该功能响应 NMS 发出的消息。SNMP改变相应的变量为 NMS 所发出的值。SNMP能够主动发送 Trap 信息通知 NMS上发生了重要的事件。比如一个端口的连接状态改变，或者Spanning-tree 的拓扑改变或者一次认证失败都能够发出 Trap.SNMP 认证名同一样，SNMP 认证名用来鉴别对是否使用 MIB 对象。为了能够管理交换机，网络管理系统 (NMS)的认证名必须同交换

7、机中定义的某个认证名一致。一个认证名可以有以下属性:只读(Read-only)：为提供被读写(Read-write)：为提供被的管理工作站提供对所有 MIB 变量的读权限。的管理工作站提供对所有 MIB 变量的读写权限。SNMP 引擎标识引擎标识用于代表一个SNMP引擎的管理性唯一标识。由于每个SNMP实体仅包含一个SNMP引擎，它将在一个管理域中唯一标识一个SNMP实体。因此，作为一个实体的SNMPv3器必须拥有一个唯一的引擎标识，即snmpEngineID。引擎标识为一个OCTET STRING，长度为532字节长。在RFC3411中定义了引擎标识的格式: 1、前4个字节标识厂商的私有企业

8、号（由IANA分配），用HEX表示。2、第5个字节表示剩下的字节如何标识：操作描述Get 请求获取指定变量的值GetNext 请求从一个表格中获取变量的值1GetBulk 请求2返回大批量的数据，比如一个大表格中的所有管理变量的值。Get 响应对网络管理系统(NMS)的 Get,GetNext,Set 请求的响应。Set 请求设定指定变量的值。Trap当某种事件发生时主管理者发出的消息。0：保留1：后面4个字节是一个Ipv4地址。2：后面16个字节是一个Ipv6地址。3：后面6个字节是一个MAC地址。4：文本，最长27个字节，由厂商自行定义。5：16进制值，最长27个字节，由厂商自行定义。6-

9、127：保留。128-255：由厂商特定的格式。使用 SNMP 对 MIB 变量进行管理网络管理系统 (NMS)能够通过交换机 MIB 变量操作来分析网络故障，提高网络性能，配置设备，负载等等。如下图所示，SNMP从 MIB 中收集数据。可以向管理者发送 Trap 或者通知某种事件。Trap 向SNMP 管理者通告某种情况在网络上发生，比如你认证失败，重启动，连接状态等。SNMPGet,GetNext,Set 格式发送的 MIB 请求。同时能够响应 SNMP 管理者以SNMP 网络NMSGet请求 ， GetNext请求 GetBulk请求 , Set请求 网络设 备SwitchMIB SNM

10、P响应， TrapSNMP管理 者配置 SNMP默认的 SNMP 配置关闭 SNMP配置认证名配置 SNMP 用户配置 MIB 视图和组配置 Trap设置和位置信息配置实例默认的 SNMP 配置下表为 SNMP 的默认配置SNMP 的默认配置关闭 SNMP在模式下，你可以用以下命令关闭 SNMP：步骤 1步骤 2步骤 3步骤 4步骤 5用户输入 SNMP 相关命令时 SNMP理的开关。的开关将会自动打开。用户输入 enable servinmp-agent 将打开 snmp 代配置认证名你可以使用 SNMP 认证名来决定 SNMP 管理者同之间的通信。SNMP 认证名的作用类似，允许拥有合法认

11、证名的用户同交换机上的通信。你也可以随意的指定以下一个或者几个属性同认证名绑定:IP 地址，通过指定 IP 地址，只允许该 IP 地址的管理者读写权限，通过指定读写权限，限制管理者的操作。同通信。以下是你在模式下配置 SNMP 认证名的过程:步骤 1命令含义configure terminal进入配置模式命令含义configure terminal进入配置模式no enable servinmp-agent关闭 SNMPend回到模式show running-config验证配置copy running-config startup-config保存配置属性默认配置SNMP 版本SNMPv1S

12、NMP打开SNMP 认证名public，只读，无需认证主机 IPSNMP 报文最大尺寸1500SNMP 用户没有配置SNMP 视图没有配置，允许所有 MIB 对象Trap 处理不发送步骤 2步骤 3步骤 4步骤 5你可以用命令 no snmp community string 清除指定的认证名。用户可以用 no snmp community string host host-ip解除认证名同 IP 的关联。以下例子说明如何配置一个名为 commacs 的只读权限的认证名，该认证名绑定的 SNMP 管理者的 IP 为192.168.65.122。snmp-server community com

13、macs ro host 192.168.65.122配置 SNMP 的用户你可以使用基于用户的安全模型来进行安全管理，基于用户的管理必须事先配置用户的信息。只有合法的用户才能同交换机上的通信。以下是你在模式下配置 SNMP 用户以及组的过程:步骤 1步骤 2命令含义configure terminal进入配置模式snmp-server user username groupname v1 | v2 | v3 encrypted auth md5|sha auth-password priv des56 priv-password配置 SNMP 用户名:username: 用户名字符串。你可以

14、设置多个 SNMP 用户名。groupname:该用户对应的组名。v1、v2c、v3:指明 SNMP 版本。只有 v3 支持后面的安全参数。(可选): encrypted 指定设置的密钥在显示时，显示密文，没有设置则显示明文。snmp-server community string view view-name ro | rw host host-ip配置 SNMP 认证名:string: 认证名字符串。你可以设置多个 SNMP 认证名。(可选): view-name: 指定视图的名称，用于基于视图的管理。默认没有指定视图，即允许所有 MIB 对象。(可选):你指定使用该认证名的管理者的权限:

15、只读(ro)或可写(rw).默认值为只读。(可选)host-ip:指明能够使用该认证名 的管理者的 IP. 若不指明，则表示不限制使用该认证名的管理者的 IP 地址缺省为不限制使用该认证名的管理者的 IP 地址end回到模式show running-config验证配置copy running-config startup-config保存配置步骤 3步骤 4步骤 5通过 no snmp-server group groupname v1 | v2c | v3auth | noauth | priv来删除指定的 SNMP 组。通过no snmp-server user username gro

16、upname 删除指定用户。下面的例子是设置一个名为user-1用户，属于mib2user组。密钥的显示形式为加密形式。使用md5认证，并且使用des加密。snmp-server user user-1 mib2user v3 encrypted auth md5 A7137C89137CA536A39952B05496A6D1 priv des567A324284E0ECC472800687DAECB465D0设置为不加密显示的例子：snmp-server user user-2 mib2user v3 encrypted auth md5 authpassstr priv des56 de

17、spassstr配置 MIB 视图和组你可以使用基于视图的控制模型来判定一个操作关联的管理对象是否在视图允许之内或被排除在外，只有在视图允许之内的管理对象被允许。在进行控制时，一般是将某些用户和一个组关联，再将某个组与某个视图关联。一个组内的用户具有相同的权限。以下是你在模式下配置 MIB 视图的过程:命令含义如果选择了以密文输入，则需要输入连续的 16 进制数字字符表示的密钥。注意使用 MD5 的认证密钥长度为 16 字节，而 SHA认证协议密钥长度为 20 字节。以两个字符表示一个字节。加密表示的密钥仅对本引擎有效。(可选)auth:指定是否使用验证。md5 指定使用 MD5 认证协议。s

18、ha 指定使用 SHA 认证协议。auth-password:设置认证协议使用的口令字符串（不超过 32 个字符）。系统将这些口令转换成相应的认证密钥。（可选) priv:指定是否使用。des56指明使用 56 位的 DES 加密协议。priv-password 为加密用的口令字符串（不超过 32 个字符）。系统将这个口令转换成相应的加密密钥。End回到模式show running-config验证配置copy running-config startup-config保存配置步骤 1步骤 2步骤 3步骤 4步骤 5步骤 6你可以使用 no snmp-server view view-name

19、 命令来删除一个视图，或者使用 no snmp-server view view-nameoid-tree 命令在一个视图中删除一棵。也可以使用 no snmp-server group groupname 命令来删除一个组。以下例子说明如何配置一个名为 mib2 的视图，包含 MIB-II 的MIB并且设置一个名为 mib2user 用户组，安全级别为需要验证并且需要OID 为 1.3.6.1.2.1的视图为只读权限：名为 mib-2）。，snmp-server view mib2 mib-2 includesnmp-server group mib2user v3 priv read mi

20、b2配置 TrapTrap 管理者是一个你接收和处理 Trap 的管理工作站。Trap 是系统提示交换机上有某种特定的事件发生。缺省的配置是交换机不发送任何类型的 Trap.你可以配置 Trap 发送的相关参数：在模式下你可以通过以下配置过设置 Trap 发送的相关参数configure terminal进入配置模式snmp-server view view-name oid-tree include | exclude配置 MIB 视图：view-name:视图名。oid-tree:视图关联的 MIB 对象，是一棵 MIB。included：标明该 MIB 对象被包含在视图之内。exclud

21、ed：标明该 MIB 对象被排除在视图之外。snmp-server group groupname v1 | v2c |v3 auth| noauth | priv read readviewwrite writeview配置 SNMP 组:groupname: 组名。v1、v2c、v3:指明 SNMP 版本。auth:该组的用户传输的消息需要验证但数据不需要，只对 v3 有效。noauth:该组用户传输的消息不需要验证数据也不需要，只对 v3 有效。priv:该组用户传输的消息需要验证同时传输的数据需要，只对 v3 有效。(可选):readview 关联一个只读的视图。X(可选):write

22、view 关联一个读写视图。End回到模式show running-config验证配置copy running-config startup-config保存配置步骤 1步骤 2步骤 3步骤 4步骤 5事件的基本类型你可以在模式下用以下配置过配置允许向哪些 SNMP 管理者发送 Trap.步骤 1步骤 2步骤 3步骤 4步骤 5步骤 6命令目的configure terminal进入配置模式snmp-server host host-addr traps ver1|2c |3 auth | noauth | privcommunity-string指明 Trap 的接收者。host-addr

23、 ：指明接收者的 IP.Ver:指明发送那种版本的 Trap.auth:指明 SNMPv3 版本的Trap 消息中需要验证但数据不需要。noauth: 指明SNMPv3 版本的Trap 消息中不需要用验证，数据也不需要。priv: 指明SNMPv3 版本的Trap 消息中需要验证，同时数据需要。community-string:对于SNMPv1/SNMPv2 版本来说指明发送的 Trap 上附带的认证名，对于 SNMPv3 版本则是 Trap 上附带的用户名。snmp-server enable traps notification-types允许交换机发送指定的Trap.能够发送的Trap

24、列表见：事件的基本类型。若要允许多种类型的 Trap 发送，用户需要多次调用该命令。end回到模式show running-config验证配置copy running-config startup-config保存配置事件类型描述ColdStart交换机下电，冷启动WarmStart交换机热启动LinkDown接口上的操作状态从 Up 到 Downlinkup接口上的物理连接状态从 Down 到 UpAuthenFailure用户认证失败NewRoot网络中有新的根桥产生命令目的configure terminal进入配置模式snmp-server queue-length length指定

25、 Trap 消息报文的队列长度，表示在队列中同时最多允许有多少个待发的消息，用于控制消息发送的个数和频度，默认长度是 10。End回到模式show running-config验证配置copy running-config startup-config保存配置设置和位置信息在模式下你可以通过以下配置过设置系统的和位置信息步骤 1步骤 2步骤 3步骤 4步骤 5步骤 6设置 SNMP允许的最大包的尺寸为了减少对网络带宽的影响，可以定义 SNMP设置 SNMP 实体允许的最大包的尺寸的数据包的最大长度。在模式下你可以通过以下配置过步骤 1步骤 2步骤 3步骤 4步骤 5配置实例以下的配置允许任何

26、SNMP 管理者使用 ac使设备发送任何 trap.s 认证名对所有管理变量查看，但不允许对管理变量修改。该配置不会Switch(config)# snmp-server communityacs以下的配置允许任何 SNMP 管理者使用 acs 认证名对所有管理变量查看 ，允许交换机发送 linkup 的trap 给主机 192.168.65.189,对 192.168.65.122 和 192.168.65.33 使用 SNMPv1 格式发送 trap,对 192.168.65.132 使用SNMPv2C 格式发送 trap. 发送的 trap 中附带的认证名为 public.Switch(

27、config)# Switch(config)# Switch(config)# Switch(config)#Switch(config)#snmp-server snmp-server snmp-server snmp-serversnmp-servercommunity acsenable traps linkuphost hosthost192.168.65.132 ver192.168.65.122 ver192.168.65.33 public2c acs1 acs命令目的configure terminal进入配置模式snmp-servacketsize byte-count设置

28、 SNMP的数据包的最大长度。系统默认为 1500。End回到模式show running-config验证配置copy running-config startup-config保存配置命令目的configure terminal进入配置模式snmp-server contact text设定系统snmp-server location text设定系统位置信息End回到模式show running-config验证配置copy running-config startup-config保存配置以下的配置允许使用 SNMPv3 的管理者采用认证加密模式通过用户名 v3user 对mib-2(

29、1.3.6.1.2.1)节点下的管理变量设置和查看。采用的认证模式为 md5,使用的认证为 md5-auth;采用des 加密，加密密钥为 des-priv。同时允许向192.168.65.199 以SNMPv3 格式发送trap,发送trap 使用的用户名为v3user,采用认证加密模式发送，采用的认证模式为 md5,使用的认证为 md5-auth;采用 des 加密，加密密钥为 des-priv。Switch(config)# Switch(config)# Switch(config)#Switch(config)#snmp-server snmp-server snmp-servers

30、nmp-serverview v3userview 1.3.6.1.2.1 includegroup v3usergroup v3 priv read v3userview write v3userviewuser v3user v3usergroup v3 auth md5 md5-auth priv des56 des-privhost 192.168.65.199 traps ver3 priv v3user以下例子显示如何让交换机使用认证名 public 对 192.168.65.121 发送所有类型的 trap.Switch(config)# snmp-server enable trapsSwitch(config)# snmp-server host 192.168.65.121 public显示 SNMP 配置你可以用show snmp命令显示SNMP输入和输出统计值以及SNMP的当前配置，包括以及对snmp的操作统计。的认证名登录次数，错误统计，显示内容如下：switch#show snmpHostname ContactLocation:Switch CA,HONGSHAN01ROAD,FUJIA