SNMP V3的配置指南

发布时间:2019-09-19 08:05:23编辑:auto阅读(5105)


    SNMP v3版本已经推出很久了,但是其普及度一直不高,原因就在于其配置过于复杂,本文主要就以cisco2950、锐捷2600以及H3C 3600系列交换机的SNMP V3的配置为例进行说明。

    首先以锐捷2600为例进行说明,交换机支持V3的主要功能,cisco 2950只支持认证和数据校验,但不支持数据加密。H3C命令格式稍有区别,但总体的配置过程基本一致:

    第一步:配置一个系统视图(即允许访问的MIB库的OID值范围);

    第二步:创建一个组,并设置组的验证方式以及允许访问的视图;

    第三步:创建一个用户,设置隶属的组以及密码和加密密钥;

    第四部:查看并确认配置。


    一、锐捷交换机SNMPV3配置

    本配置方法针对RG-S2600G系列交换机测试通过。

    注:SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

    1、相关命令说明


    操作

    命令

    说明

    创建或更新视图的信息

    Ruijie(config)# snmp-server view view-name oid-tree {include | exclude}

    创建一个MIB 视图,包含或排除关联的MIB 对象。

    设置一个 SNMP

    Ruijie(config)# snmp-server group groupname {v1 | v2c|v3 {auth | noauth | priv}} [read readview] [write writeview] [access {[ipv6 ipv6_aclname] [aclnum |aclname] }]

    创建一个组,并和视图关联。

    为一个 SNMP 组添加一个新用户

    Ruijie(config)# snmp-server user username groupname {v1 | v2c | v3 [encrypted] [auth { md5|sha } auth-password ] [priv des56 priv-password] } [access {[ipv6 ipv6_aclname] [aclnum | aclname] }]

    设置用户信息。


    2、具体配置过程举例

    第一步,配置 MIB 视图

    该步骤为可选步骤,mib视图可以根据需要进行创建(需要限制访问内容时),若不做单独配置,可以直接使用系统默认视图(default),默认视图的mib对象为:default(include) 1.3.6.1

    例如:创建一个MIB 视图 “view1”,包含关联的MIB 对象(1.3.6.1.2.1.1);再创建一个MIB 视图“view2”,包含关联的MIB 对象(1.3.6.1.2.1.1.4.0)。

    Ruijie(config)#snmp-server view view1 1.3.6.1.2.1.1 include

    Ruijie(config)#snmp-server view view2 1.3.6.1.2.1.1.4.0 include


    第二步,创建一个组

    例如创建一个组“g1”,选择版本号为“v3”,配置安全级别为认证加密模式“priv”,并可读视图“view1”,可写视图“view2”。

    Ruijie(config)#snmp-server group g1 v3 priv read view1 write view2

    注: 

    1:不指定单独视图时,组关联使用如下命令:

    Ruijie(config)#snmp-server group g1 v3 priv read default write default

    2:读权限和写权限分别设置,可以只设置读权限read,若不设置写权限则无法通过SNMP进行交换机配置更改。

    3:命令可以配合ACL使用,ACL具体使用方法请参考其他说明。

    第三步,配置SNMP 用户

    对于SNMPv3 用户,可以指定安全级别、认证算法(MD5 SHA)、认证口令、加密算法(目前只有DES)和加密口令;

    例如:

    创建用户名“user1”,属于组“g1”,选择版本号为“v3”,配置认证方式为“md5”,认证密码为“md5pass1234”,加密方式为“DES56”,加密密码为“despass1234”。

    Ruijie(config)#snmp-server user user1 g1 v3 auth md5 md5pass1234 priv des56 despass1234


    注:1

       1、认证方式可以选择md5,也可以选择sha,网管系统与交换机通讯是必须保持一致,否则无法进行验证。

       2、部分测试工具测试SNMP V3时对密码长度有要求,要满足8位以上,虽然交换机上设置密码长度小于8为的简单口令时交换机能够配置成功,但通过SNMP V3访问时可能会无法正常访问,但交换机却不做任何错误性提示。

    第四步,查看配置结果:

    在特权用户模式下,执行show snmp ……来查看当前的SNMP 相关设置。

    命令

    作用

    Ruijie# show snmp

    查看当前的SNMP 状态

    Ruijie# show snmp mib

    查看当前的代理支持的MIB 对象

    Ruijie# show snmp user

    查看当前代理上配置的SNMP 用户

    Ruijie# show snmp group

    查看当前代理上配置的组

    Ruijie# show snmp view

    查看当前代理上配置的视图


    在交换机上通过show run查看的配置结果。


    二、思科交换机SNMPV3配置

    本配置方法针对cisco 2950系列交换机测试通过。

    锐捷交换机的配置命令是模仿Cisco的,所以cisco的配置方法与锐捷类似,主要配置步骤如下:

    SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

    第一步,配置 MIB 视图

    命令格式:(config)# snmp-server view view-name oid-tree {include | exclude}

    例如,创建一个视图名为testview的视图,包含关联的MIB 对象(1.3.6.1):

    (config)#snmp-server view testview 1.3.6.1 include

    注:1、mib视图不是必须,交换机默认存在视图,可以使用show snmp view 命令查看。cisco2950的默认视图如下:

    cisco2950#show snmp view

    v1default iso - included volatile active

    v1default internet.6.3.15 - excluded volatile active

    v1default internet.6.3.16 - excluded volatile active

    v1default internet.6.3.18 - excluded volatile active

    2、在cisco2950交换机中,创建mib对象1.3.6.1的视图时,交换机将修改对象名称,对应为internet,如下所示:

    cisco2950#show snmp view

    testview internet - included nonvolatile active

    第二步,配置组

    命令格式:

    snmp-server group [groupname {v1 |v2c | v3 {auth | noauth | priv}}] [read readview] [write writeview] [notify notifyview] [access access-list]

    例如,创建一个名称为testv3的组,启用认证模式,可访问testview的视图,传输不做加密:

    (config)#snmp-server group testv3 v3 auth read viewv3 write viewv3

    注:1、读和写分别指定视图,若只有读权限,则不能对交换机进行配置更改。

    2、cisco2950和3550交换机默认没有加密算法模块,因此对snmp v3配置时只能配置认证不可配置加密,不能使用priv选项。

    第三步,配置用户

    命令格式:

    (config)# snmp-server user username groupname [remote host [udp-port port]] {v1 | v2c | v3 [auth {md5 | sha} auth-password]} [encrypted] [access access-list]

    例如:创建一个名称为snmptest的用户,属于testv3组,认证模式md5认证密码为mypass12345:

    (config)#snmp-server user snmptest testv3 v3 auth md5 mypass12345


    注:1、由于cisco2950和3550交换机默认没有加密算法模块,因此创建用户时只能配置认证不可配置加密,因此在关键字V3后只能选择auth方式,不能使用encrypted选项。

    2、使用show run 命令查看交换机配置时,交换机不会列出创建的snmp v3的用户,可以使用show snmp user 命令进行查看,如下所示:

    cisco2950#show snmp user


    User name: snmptest

    Engine ID: 800000090300000C58698A41

    storage-type: nonvolatile

    Rowstatus: active

    Authentication Protocol: MD5

    Group-name: testv3


    三、H3C交换机SNMPV3配置

    本配置方法针对RG-S2600G系列交换机测试通过。

    配置命令说明:

    操作

    命令

    说明

    进入系统视图

    system-view


    创建或更新视图的信息

    snmp-agent mib-view { included | excluded } view-name oid-tree

    可选,缺省情况下,视图名为ViewDefaultOID 1

    设置一个 SNMP

    snmp-agent group v3 group-name [ authentication |privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]


    必选

    为一个 SNMP 组添加一个新用户

    snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 |sha } auth-password [ privacy-mode des56 priv-password ] ] [ acl acl-number ]

    必选

    配置过程如下:

    第一步,配置视图

    例如,创建名称为viewv3的视图,对于OID为1.3.6.1:

    [h3c3600]snmp-agent mib-view included viewv3 1.3.6.1

    注:OID1.3.6.1对应名称为internet,创建后通过display snmp mib-view查看:

    [h3c3600]dis snmp mib-view

       View name:viewv3

           MIB Subtree:internet

           Subtree mask:

           Storage-type: nonVolatile

           View Type:included

           View status:active


       View name:ViewDefault

           MIB Subtree:iso

           Subtree mask:

           Storage-type: nonVolatile

           View Type:included

           View status:active

    系统存在一个默认的视图ViewDefault,OID为1,及iso。

    可以使用系统默认视图,也可以自行创建视图使用。

    第二步,创建组

    例如,创建一个组名为snmpv3的组,采用认证和加密传输,可访问viewv3视图。

    [h3c3600]snmp-agent group v3 snmpv3 privacy read-view viewv3 write-view viewv3


    注:

    1、在[h3c3600]snmp-agent group v3 snmpv3 命令后可选择的命令选项如下:

      acl             Set access control list for this group

      authentication  Specify a securityLevel of AuthNoPriv for this group name

      notify-view     Set a notify view for this group name

      privacy         Specify a securityLevel of AuthPriv for this group name

      read-view       Set a read view for this group name

      write-view      Set a write view for this group name

      <cr>

    其中privacy为认证和加密传输,而authentication则只认证不加密,可根据需要进行选择。

    第三步,创建用户

    例如,创建一个名为snmptest的账号,隶属于组snmpv3,认证模式:md5,加密模式des56;

    [h3c3600]snmp-agent usm-user v3 snmptest snmpv3 authentication-mode md5 mypass123456 privacy-mode des56 mydes123456

    注:

    1:用户的认证和加密模式需要与组的模式相对应,否则将无法通讯。

    2:H3C 3600支持md5和sha两种认证模式,加密算法支持des56和aes128.


关键字

上一篇: H3C Password Contro

下一篇: python+django的安装