柚子快報(bào)激活碼778899分享：網(wǎng)絡(luò)協(xié)議 SNMP概述

http://yzkb.51969.com/

目錄

SNMP的架構(gòu)

SNMP的版本

SNMPv1/v2c

報(bào)文結(jié)構(gòu)

操作類型

工作原理

SNMPv3

報(bào)文結(jié)構(gòu)

SNMPv3體系結(jié)構(gòu)

工作原理

用戶組和用戶名

SNMP的配置

基本配置

v2c配置

SNMPv3配置（USM用戶）

SNMP的概述

SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議）：

SNMP提供了一種通過運(yùn)行網(wǎng)絡(luò)管理軟件的中心計(jì)算機(jī)（即網(wǎng)絡(luò)管理工作站）來管理設(shè)備的方法。SNMP用來在網(wǎng)絡(luò)管理系統(tǒng)NMS和被管理設(shè)備之間傳輸管理信息。

SNMP的操作：

NMS通過SNMP協(xié)議給網(wǎng)絡(luò)設(shè)備發(fā)送配置信息。NMS通過SNMP來查詢和獲取網(wǎng)絡(luò)中的資源信息。網(wǎng)絡(luò)設(shè)備主動(dòng)向NMS上報(bào)告警消息，使得網(wǎng)絡(luò)管理員能夠及時(shí)處理各種網(wǎng)絡(luò)問題。

SNMP的架構(gòu)

SNMP系統(tǒng)由以下部分組成：

NMS（Network Management System，網(wǎng)絡(luò)管理系統(tǒng)）：

NMS作為整個(gè)網(wǎng)絡(luò)的網(wǎng)管中心，對(duì)設(shè)備進(jìn)行管理。NMS是運(yùn)行在網(wǎng)管主機(jī)/服務(wù)器上的網(wǎng)絡(luò)管理軟件。網(wǎng)絡(luò)管理員通過操作NMS，向被管理設(shè)備發(fā)出請(qǐng)求，從而可以監(jiān)控和配置網(wǎng)絡(luò)設(shè)備。NMS可以向設(shè)備上的Agent發(fā)出請(qǐng)求，查詢或修改一個(gè)或多個(gè)具體的參數(shù)值。NMS可以接收設(shè)備上的Agent主動(dòng)發(fā)送的Trap信息，以獲知被管理設(shè)備當(dāng)前的狀態(tài)。Agent（代理進(jìn)程）：

Agent是被管理設(shè)備中的一個(gè)代理進(jìn)程，用于維護(hù)被管理設(shè)備的信息數(shù)據(jù)并響應(yīng)來自NMS的請(qǐng)求，把管理數(shù)據(jù)匯報(bào)給發(fā)送請(qǐng)求的NMS。Agent接收到NMS的請(qǐng)求信息后，通過修改MIB表完成相應(yīng)指令后，并把操作結(jié)果響應(yīng)給NMS。當(dāng)設(shè)備發(fā)生故障或者其它事件時(shí)，設(shè)備會(huì)通過Agent主動(dòng)發(fā)送信息給NMS，向NMS報(bào)告設(shè)備當(dāng)前的狀態(tài)變化。MIB（Management Information Base，管理信息庫）：

MIB是一個(gè)數(shù)據(jù)庫，指明了被管理設(shè)備所維護(hù)的變量（即能夠被Agent查詢和設(shè)置的信息）。MIB在數(shù)據(jù)庫中定義了被管理設(shè)備的一系列屬性：對(duì)象的名稱、對(duì)象的狀態(tài)、對(duì)象的訪問權(quán)限和對(duì)象的數(shù)據(jù)類型等。Agent通過查詢MIB，可以獲知設(shè)備當(dāng)前的狀態(tài)信息。Agent通過修改MIB，可以設(shè)置設(shè)備的狀態(tài)參數(shù)。MO（Management object，管理對(duì)象）：

每一個(gè)設(shè)備可能包含多個(gè)被管理對(duì)象，被管理對(duì)象可以是設(shè)備中的某個(gè)硬件，也可以是在硬件、軟件（如路由選擇協(xié)議）上配置的參數(shù)集合。每個(gè)OID（object identifier，對(duì)象標(biāo)識(shí)符）對(duì)應(yīng)于樹中的一個(gè)管理對(duì)象，如system的OID為1.3.6.1.2.1.1，interfaces的OID為1.3.6.1.2.1.2。通過OID樹，可以高效且方便地管理其中所存儲(chǔ)的管理信息，同時(shí)也方便了對(duì)其中的信息進(jìn)行批量查詢。

SNMP的版本

SNMPv1（實(shí)現(xiàn)方便，安全性弱。）：網(wǎng)管端工作站上的NMS與被管理設(shè)備上的Agent之間，通過交互SNMPv1報(bào)文，可以實(shí)現(xiàn)網(wǎng)管端對(duì)被管理設(shè)備的管理。SNMPv1基本上沒有什么安全性可言。SNMPv2c（有一定的安全性。 實(shí)際應(yīng)用廣泛）：繼承SNMPv1的基礎(chǔ)上，其性能、安全性、機(jī)密性等方面都有了大的改進(jìn)。SNMPv3（定義了一種管理框架，為用戶提供了安全的訪問機(jī)制）：在SNMPv2基礎(chǔ)之上增加、完善了安全和管理機(jī)制。SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設(shè)計(jì)思想，使管理者可以方便靈活地實(shí)現(xiàn)功能的增加和修改。SNMPv3的主要特點(diǎn)在于適應(yīng)性強(qiáng)，可適用于多種操作環(huán)境，它不僅可以管理最簡單的網(wǎng)絡(luò)，實(shí)現(xiàn)基本的管理功能，也可以提供強(qiáng)大的網(wǎng)絡(luò)管理功能，滿足復(fù)雜網(wǎng)絡(luò)的管理需求。

SNMPv1/v2c

報(bào)文結(jié)構(gòu)

?

操作類型

操作 描述 Get Get操作可以從Agent中提取一個(gè)或多個(gè)參數(shù)值。 GetNext GetNext操作可以從Agent中按照字典序提取下一個(gè)參數(shù)值。 Set Set操作可以設(shè)置Agent的一個(gè)或多個(gè)參數(shù)值。 Response Response操作可以返回一個(gè)或多個(gè)參數(shù)值。這個(gè)操作是由Agent發(fā)出的，它是GetRequest、GetNextRequest、SetRequest和GetBulkRequest四種操作的響應(yīng)操作。Agent接收到來自NMS的Get/Set指令后，通過MIB完成相應(yīng)的查詢/修改操作，然后利用Response操作將信息回應(yīng)給NMS。 Trap Trap信息是Agent主動(dòng)向NMS發(fā)出的信息，告知管理進(jìn)程設(shè)備端出現(xiàn)的情況。 GetBulk GetBulk操作實(shí)現(xiàn)了NMS對(duì)被管理設(shè)備的信息群查詢。 Inform InformRequest也是被管理設(shè)備向NMS主動(dòng)發(fā)送告警。與Trap告警不同的是，被管理設(shè)備發(fā)送Inform告警后，需要NMS回復(fù)InformResponse來進(jìn)行確認(rèn)。

工作原理

基本操作

Get操作 假定NMS想要獲取被管理設(shè)備MIB節(jié)點(diǎn)sysContact的值，使用可讀團(tuán)體名為public，過程如下所示：

NMS：向Agent發(fā)送Get請(qǐng)求報(bào)文。報(bào)文中各字段的設(shè)置如下：版本號(hào)為所使用的SNMP版本；團(tuán)體名為public；PDU中PDU類型為Get類型，綁定變量填入MIB節(jié)點(diǎn)名sysContact。 Agent：首先對(duì)報(bào)文中攜帶版本號(hào)和團(tuán)體名進(jìn)行認(rèn)證，認(rèn)證成功后，Agent根據(jù)請(qǐng)求查詢MIB中的sysContact節(jié)點(diǎn)，得到sysContact的值并將其封裝到Response報(bào)文中的PDU，向NMS發(fā)送響應(yīng)；如果查詢不成功，Agent會(huì)向NMS發(fā)送出錯(cuò)響應(yīng)。 GetNext操作 假定NMS想要獲取被管理設(shè)備MIB節(jié)點(diǎn)sysContact的下一個(gè)節(jié)點(diǎn)sysName值，使用可讀團(tuán)體名為public，過程如下所示：

NMS：向Agent發(fā)送GetNext請(qǐng)求報(bào)文。報(bào)文中各字段的設(shè)置如下：版本號(hào)為所使用的SNMP版本；團(tuán)體名為public；PDU中PDU類型為GetNext類型，綁定變量填入MIB節(jié)點(diǎn)名sysContact。 Agent：首先對(duì)報(bào)文中攜帶版本號(hào)和團(tuán)體名進(jìn)行認(rèn)證，認(rèn)證成功后，Agent根據(jù)請(qǐng)求查詢MIB中的sysContact的下一個(gè)節(jié)點(diǎn)sysName，得到sysName的值并將其封裝到Response報(bào)文中的PDU，向NMS發(fā)送響應(yīng)；如果查詢不成功，Agent會(huì)向NMS發(fā)送出錯(cuò)響應(yīng)。 Set操作 假定NMS想要設(shè)置被管理設(shè)備MIB節(jié)點(diǎn)sysName的值為HUAWEI，使用可寫團(tuán)體名為private，過程如下所示：

NMS：向Agent發(fā)送Set請(qǐng)求報(bào)文。報(bào)文中各字段的設(shè)置如下：版本號(hào)為所使用的SNMP版本；團(tuán)體名為private；PDU中PDU類型為Set類型，綁定變量填入MIB節(jié)點(diǎn)名sysName和需要設(shè)置的值HUAWEI。 Agent：首先對(duì)報(bào)文中攜帶版本號(hào)和團(tuán)體名進(jìn)行認(rèn)證，認(rèn)證成功后，Agent根據(jù)請(qǐng)求設(shè)置管理變量在管理信息庫MIB中對(duì)應(yīng)的節(jié)點(diǎn)，設(shè)置成功后向NMS發(fā)送響應(yīng)；如果設(shè)置不成功，Agent會(huì)向NMS發(fā)送出錯(cuò)響應(yīng)。 Trap操作 Trap不屬于NMS對(duì)被管理設(shè)備的基本操作，它是被管理設(shè)備的自發(fā)行為。當(dāng)被管理設(shè)備達(dá)到告警的觸發(fā)條件時(shí)，會(huì)通過Agent向NMS發(fā)送Trap消息，告知設(shè)備側(cè)出現(xiàn)的異常情況，便于網(wǎng)絡(luò)管理人員及時(shí)處理。例如被管理設(shè)備熱啟動(dòng)后，Agent會(huì)向NMS發(fā)送warmStart的Trap。 這種Trap信息是受限制的。只有在設(shè)備端的模塊達(dá)到模塊預(yù)定義的告警觸發(fā)條件時(shí)，Agent才會(huì)向管理進(jìn)程報(bào)告。這種方法有其好處是僅在嚴(yán)重事件發(fā)生時(shí)才發(fā)送Trap信息，減少報(bào)文交互產(chǎn)生的流量。

GetBulk操作 基于GetNext實(shí)現(xiàn)，相當(dāng)于連續(xù)執(zhí)行多次GetNext操作。在NMS上可以設(shè)置被管理設(shè)備在一次GetBulk報(bào)文交互時(shí)，執(zhí)行GetNext操作的次數(shù)。 Inform操作 Inform操作也是被管理設(shè)備向NMS主動(dòng)發(fā)送告警。與trap告警不同的是，被管理設(shè)備發(fā)送Inform告警后，需要NMS進(jìn)行接收確認(rèn)。如果被管設(shè)備沒有收到確認(rèn)信息則：

將告警暫

SNMPv3

報(bào)文結(jié)構(gòu)

字段描述版本表示SNMP的版本，版本字段的值是報(bào)文版本號(hào)減1，如果是SNMPv3報(bào)文則對(duì)應(yīng)字段值為3。報(bào)頭數(shù)據(jù) 主要包含消息發(fā)送者所能支持的最大消息尺寸、消息是否進(jìn)行加密/認(rèn)證、采用的安全模式等描述內(nèi)容。 格式如下： +--------------------------------------------------+

| Msg ID | Msg Max size | Msg Flag | Msg Sec Model |

+--------------------------------------------------+

Msg ID：可以使請(qǐng)求和應(yīng)答相互關(guān)聯(lián)，響應(yīng)報(bào)文中的Msg ID和發(fā)送報(bào)文中的值相同。Msg Max size：消息發(fā)送者支持的最大的消息尺寸。Msg Sec Model：指明了發(fā)送方采用的安全模式。Msg Flag：請(qǐng)求報(bào)文指定是否要求回應(yīng)report消息，消息是否進(jìn)行了加密和認(rèn)證。安全參數(shù) 包含用戶名、密鑰、加密參數(shù)等安全信息。 格式如下： +--------------------------------------------------------------------------+

|Auth Engin ID|Auth EngBoots|Auth Engine Time|User Name|Auth Para|Priv Para|

+--------------------------------------------------------------------------+

Auth Engin ID：唯一的標(biāo)識(shí)一個(gè)認(rèn)證。Auth Engin Boots：從配置認(rèn)證引擎到現(xiàn)在，認(rèn)證引擎重新啟動(dòng)的次數(shù)。Auth Engin Time：從配置認(rèn)證引擎到現(xiàn)在的時(shí)間。User Name：用戶名。Auth Para：認(rèn)證參數(shù)值。Priv Para：加密后的參數(shù)值。SNMPv3 PDU 包含PDU類型、請(qǐng)求標(biāo)識(shí)符、變量綁定列表等信息，可以為GetRequest PDU、GetNextRequest PDU、SetRequest PDU、Response PDU、Trap PDU、GetBulk PDU等幾種類型。 格式如下： +-----------------------------------+

|Context Eng ID | Context name| Data|

+-----------------------------------+

Context Egine ID：SNMP唯一標(biāo)識(shí)符，和PDU類型一起決定應(yīng)該發(fā)往那個(gè)應(yīng)用程序。Context Name：指明上下文之間的關(guān)系，由應(yīng)用程序決定。Data：報(bào)文的數(shù)據(jù)內(nèi)容。

SNMPv3體系結(jié)構(gòu)

NMPv3提出了一個(gè)新的SNMP體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)為各種基于SNMP的NMS提供了一個(gè)通用的實(shí)現(xiàn)模型，即SNMPv3實(shí)體。SNMPv3實(shí)體可以分為SNMPv3引擎（SNMPv3 Engine）和SNMPv3應(yīng)用程序（SNMPv3 Application），引擎與應(yīng)用程序均由多個(gè)小模塊組成。

SNMPv3由于采用了用戶安全模塊USM（User Security Model）和基于視圖的訪問控制模塊VACM（View-based Access Control Model），在安全性上得到了提升。

USM：提供身份驗(yàn)證和數(shù)據(jù)加密服務(wù)。實(shí)現(xiàn)這個(gè)功能要求NMS和Agent必須共享同一密鑰。

身份驗(yàn)證：身份驗(yàn)證是指Agent或NMS接到信息時(shí)首先必須確認(rèn)信息是否來自有權(quán)限的NMS或Agent并且信息在傳輸過程中未被改變。RFC2104中定義了HMAC，這是一種使用安全哈希函數(shù)和密鑰來產(chǎn)生信息驗(yàn)證碼的有效工具，在互聯(lián)網(wǎng)中得到了廣泛的應(yīng)用。SNMP使用的HMAC可以分為兩種：HMAC-MD5-96和HMAC-SHA-96。前者的哈希函數(shù)是MD5，使用128位authKey作為輸入。后者的哈希函數(shù)是SHA-1，使用160位authKey作為輸入。 加密：加密算法實(shí)現(xiàn)主要通過對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。加密的過程與身份驗(yàn)證類似，也需要管理站和代理共享同一密鑰來實(shí)現(xiàn)信息的加密和解密。SNMP使用以下三種加密算法：

DES：使用56bit的密鑰對(duì)一個(gè)64bit的明文塊進(jìn)行加密。3DES：使用三個(gè)56bit的DES密鑰（共168bit密鑰）對(duì)明文進(jìn)行加密。AES：使用128bit、192bit或256bit密鑰長度的AES算法對(duì)明文進(jìn)行加密

VACM：對(duì)用戶組或者團(tuán)體名實(shí)現(xiàn)基于視圖的訪問控制。用戶必須首先配置一個(gè)視圖，并指明權(quán)限。用戶可以在配置用戶或者用戶組或者團(tuán)體名的時(shí)候，加載這個(gè)視圖達(dá)到限制讀寫操作、Inform或Trap的目的。

工作原理

SNMPv3的實(shí)現(xiàn)原理和SNMPv1/SNMPv2c基本一致，唯一的區(qū)別是SNMPv3增加了身份驗(yàn)證和加密處理。下面以Get操作為例介紹下SNMPv3的工作原理。

NMS：向Agent發(fā)送不帶安全參數(shù)的Get請(qǐng)求報(bào)文，向Agent獲取Context EgineID、Context Name和安全參數(shù)（SNMP實(shí)體引擎的相關(guān)信息）。 Agent：響應(yīng)NMS的請(qǐng)求，并向NMS反饋請(qǐng)求的參數(shù)。 NMS：再次向Agent發(fā)送Get請(qǐng)求報(bào)文，報(bào)文中各字段的設(shè)置如下：

版本：SNMPv3版本。報(bào)頭數(shù)據(jù)：指明采用認(rèn)證、加密方式。安全參數(shù)：NMS通過配置的算法計(jì)算出認(rèn)證參數(shù)和加密參數(shù)。將這些參數(shù)和獲取的安全參數(shù)填入相應(yīng)字段。PDU：將獲取的Context EgineID和Context Name填入相應(yīng)字段，PDU類型設(shè)置為Get，綁定變量填入MIB節(jié)點(diǎn)名sysContact，并使用已配置的加密算法對(duì)PDU進(jìn)行加密。 Agent：首先對(duì)消息進(jìn)行認(rèn)證，認(rèn)證通過后對(duì)PDU進(jìn)行解密。解密成功后，Agent根據(jù)請(qǐng)求查詢MIB中的sysContact節(jié)點(diǎn)，得到sysContact的值并將其封裝到Response報(bào)文中的PDU，并對(duì)PDU進(jìn)行加密，向NMS發(fā)送響應(yīng)。如果查詢不成功或認(rèn)證、解密失敗，Agent會(huì)向NMS發(fā)送出錯(cuò)響應(yīng)。

用戶組和用戶名

SNMPv3通過用戶組和用戶名與網(wǎng)管建立通信。

用戶組和用戶名的來源有以下兩種方式：

采用SNMP自身的安全模塊USM配置的用戶組和用戶名。采用AAA配置的本地用戶名組和用戶名作為SNMPv3的用戶組和用戶名。

SNMP的配置

基本配置

sys

snmp-agent? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//使能SNMP Agent服務(wù)

snmp-agent sys-info version v1 &version?v2c? ? ? ? ? ///配置SNMP的協(xié)議版本為SNMPv1&version?v2c

snmp-agent udp-port port-num? ? ? ? ? ? ?//修改SNMP Agent與網(wǎng)管連接所使用的端口號(hào)。修改SNMP Agent與網(wǎng)管連接所使用的端口號(hào)以后，通過網(wǎng)管管理設(shè)備時(shí)，網(wǎng)管端指定的端口號(hào)必須與該端口號(hào)保持一致，否則無法連接設(shè)備。

snmp-agent password min-length min-length? ? ? ?//配置SNMP密碼的最小長度。配置了該命令后，用戶配置SNMP團(tuán)體名時(shí)，團(tuán)體名長度必須大于等于配置的SNMP密碼的最小長度。

snmp-agent community?{?read?|?write?} {?community-name?|?cipher?community-name?} [?mib-view?view-name?|?acl?{?acl-number?|?acl-name?} |?alias?alias-name?]?*，? ? ? ? ? ? ? ? ? ?///配置設(shè)備的讀寫團(tuán)體名。

snmp-agent community complexity-check disable? ? ? ? ?///關(guān)閉團(tuán)體名密碼復(fù)雜度檢查功能。

info-center enable? ? ? ? ? ?///設(shè)備發(fā)送告警前，需要信息中心使能。

snmp-agent target-host [ host-name host-name ] trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } ] * params securityname { security-name | cipher security-name } [ v1?&?v2c?| private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *? ? ? ? ? ? //配置SNMP代理主機(jī)地址

SNMP代理 目標(biāo)主機(jī)[ 主機(jī)名 host-name ] 告警 地址 UPP域 ip-address [ udp端口 port-number | 源 接口類型 interface-number | { VPN實(shí)例 vpn-instance-name | public-net } ] * 安全名參數(shù) { security-name | 明文 security-name } [ v1 | 專用網(wǎng)絡(luò)管理器 | ext-vb | 信息-過濾器-模板 模板名-name | 心跳 enable ] *

snmp-agent target-host?[?host-name?host-name?]?trap?ipv6?address?udp-domain?ipv6-address?[?udp-port?port-number?| [?vpn-instance?vpn-instance-name?|?public-net?] ]?*?params?securityname?{?security-name?|?cipher?security-name?} [?v1&?v2c??|?private-netmanager?|?ext-vb?|?notify-filter-profile?profile-name?]?*

目的UDP端口號(hào)缺省是162，如果有特殊需求（比如避免知名端口號(hào)被攻擊），可以配置udp-port將UDP端口號(hào)更改為非知名端口號(hào)，保證網(wǎng)管和被管理設(shè)備的正常通信。 securityname用來在網(wǎng)管上標(biāo)識(shí)和區(qū)別發(fā)送告警的源設(shè)備，方便用戶識(shí)別告警的發(fā)送方。

snmp-agent protocol source-interface interface-type interface-number? ? ? ? ? ? //指定SNMP接收和響應(yīng)網(wǎng)管請(qǐng)求報(bào)文的源接口配置。

snmp-agent protocol source-status all-interface，開啟SNMP協(xié)議使用所有接口接收和響應(yīng)網(wǎng)管的請(qǐng)求功能。

snmp-agent protocol ipv6 source-ip ip-address，指定SNMP協(xié)議接收和響應(yīng)網(wǎng)管請(qǐng)求報(bào)文的IPv6類型源地址配置。

snmp-agent protocol source-status ipv6 all-interface，開啟SNMP協(xié)議使用所有IPv6接口接收和響應(yīng)網(wǎng)管的請(qǐng)求功能。

snmp-agent protocol [ ipv6 ] { vpn-instance vpn-instance-name | public-net }，配置SNMP從VPN或者公網(wǎng)接收和響應(yīng)網(wǎng)管請(qǐng)求報(bào)文。缺省情況下，SNMP從全局VPN和公網(wǎng)接收和響應(yīng)網(wǎng)管請(qǐng)求報(bào)文。

snmp-agent protocol server [ ipv4 | ipv6 ] disable，關(guān)閉SNMP IPv4或IPv6的偵聽端口。

snmp-agent sys-info { contact contact | location location }，配置設(shè)備管理員的聯(lián)系方式和位置。 缺省情況下，系統(tǒng)維護(hù)聯(lián)系信息為“R&D Beijing, Huawei Technologies co.,Ltd. ”，物理位置信息為“Beijing China”。

當(dāng)網(wǎng)管管理多個(gè)設(shè)備時(shí)，為了方便網(wǎng)管管理員記錄設(shè)備管理員的聯(lián)系方式和位置，在設(shè)備異常時(shí)快速聯(lián)系設(shè)備管理員進(jìn)行故障排除和定位，可配置該命令。

IPv4網(wǎng)絡(luò)

執(zhí)行命令snmp-agent proxy protocol source-interface { protocol-interface-type protocol-interface-number | protocol-interface-name }，指定SNMP代理協(xié)議接收和響應(yīng)CCU報(bào)文的源接口配置。執(zhí)行命令snmp-agent proxy protocol source-status all-interface，開啟SNMP代理協(xié)議接收和響應(yīng)任意CCU IPv4報(bào)文功能。

IPv6網(wǎng)絡(luò)

執(zhí)行命令snmp-agent proxy protocol ipv6 source-ip ip-address [ vpn-instance vpn-instance-name ]，指定SNMP代理協(xié)議接收和響應(yīng)CCU報(bào)文的IPv6源地址。執(zhí)行命令snmp-agent proxy protocol source-status ipv6 all-interface，開啟SNMP代理協(xié)議接收和響應(yīng)任意CCU IPv6報(bào)文功能。

（可選）限制網(wǎng)管對(duì)設(shè)備的管理權(quán)限

snmp-agent acl { acl-number | acl-name }，配置SNMP的訪問控制。

snmp-agent mib-view { excluded | included } view-name oid-tree，創(chuàng)建MIB視圖并限定網(wǎng)管監(jiān)控和管理的MIB節(jié)點(diǎn)。

snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } ] *，限制網(wǎng)管對(duì)設(shè)備的訪問權(quán)限。 缺省情況下，創(chuàng)建的團(tuán)體名擁有視圖Viewdefault的權(quán)限。

希望網(wǎng)管在指定視圖下具有只讀權(quán)限時(shí)（比如級(jí)別比較低的管理員），使用read參數(shù)。希望網(wǎng)管在指定視圖下具有讀寫權(quán)限時(shí)（比如級(jí)別比較高的管理員），使用write參數(shù)。

（可選）配置向網(wǎng)管發(fā)送告警

snmp-agent trap enable? ?一次性打開所有模塊的告警開關(guān)

snmp-agent trap enable feature-name ifnet [ trap-name { linkdown | linkup } ]，使能全局下接口狀態(tài)告警開關(guān)。

缺省情況下，全局下的接口狀態(tài)告警功能處于關(guān)閉狀態(tài)。在全局下打開linkdown和linkup的告警開關(guān)后，接口狀態(tài)一旦發(fā)生變化就會(huì)產(chǎn)生相應(yīng)狀態(tài)的告警。特別的，當(dāng)接口處于振蕩狀態(tài)時(shí)將頻繁向網(wǎng)管發(fā)送告警，會(huì)顯著增加網(wǎng)管設(shè)備的處理負(fù)擔(dān)，此時(shí)可關(guān)閉指定接口的告警開關(guān)。

interface interface-type interface-number，進(jìn)入接口視圖。

undo enable snmp trap updown，關(guān)閉接口狀態(tài)告警功能的開關(guān)。

snmp-agent trap source interface-type interface-number，指定發(fā)送Trap報(bào)文的源端接口

缺省情況下，未指定發(fā)送Trap的源接口。指定源接口后，將以源接口IP地址作為發(fā)送的Trap報(bào)文的源IP地址，便于網(wǎng)管對(duì)告警源進(jìn)行識(shí)別。發(fā)送Trap的源接口必須是已經(jīng)配置了IP地址的接口，否則命令無法生效。為了保證設(shè)備的安全性，發(fā)送的源地址最好配置為本地的loopback地址。

交換機(jī)端配置的Trap報(bào)文的源接口和NMS配置的交換機(jī)發(fā)送報(bào)文的接口需要一致，否則NMS無法接收交換機(jī)發(fā)送的Trap報(bào)文。

snmp-agent trap source-port port-number，指定發(fā)送Trap報(bào)文的源端口號(hào)。

v2c配置

（可選）配置向網(wǎng)管發(fā)送告警

snmp-agent inform { timeout seconds | resend-times times | pending number } *，配置全局的Inform方式的相關(guān)參數(shù)，包括：確認(rèn)告警的超時(shí)時(shí)間、重復(fù)發(fā)送告警的次數(shù)和待確認(rèn)告警的最大條數(shù)。

snmp-agent notification-log enable，使能告警日志功能。

當(dāng)鏈路恢復(fù)正常，路由變?yōu)榭蛇_(dá)后，目標(biāo)主機(jī)將同步被管理設(shè)備在鏈路故障期間記錄的告警日志。

使能告警日志功能后，系統(tǒng)只記錄Inform方式的告警，不記錄Trap方式的告警。

snmp-agent notification-log { global-ageout ageout | global-limit limit } * ，配置告警日志的老化時(shí)間和日志緩沖區(qū)中最多能保存的告警日志條數(shù)。

SNMPv3配置（USM用戶）

snmp-agent sys-info version v3，配置SNMP的協(xié)議版本。

snmp-agent local-engineid engineid，配置本地SNMP實(shí)體的引擎ID。

設(shè)備采用內(nèi)部算法自動(dòng)生成一個(gè)設(shè)備引擎ID，包含公司的“企業(yè)號(hào)＋設(shè)備信息”。

若改變本地引擎ID，則已存在的SNMPv3用戶將被刪除。

snmp-agent group v3 group-name { authentication | privacy | noauthentication } ，配置SNMPv3用戶組。 當(dāng)網(wǎng)管和設(shè)備處在不安全的網(wǎng)絡(luò)環(huán)境中時(shí)，比如容易遭受攻擊等，建議用戶配置參數(shù)authentication或privacy，使能數(shù)據(jù)的認(rèn)證或加密功能。

安全級(jí)別按照安全性從高到低為：

privacy：鑒權(quán)且加密authentication：只鑒權(quán)None：不鑒權(quán)不加密

即如果用戶組是privacy級(jí)別，用戶和告警主機(jī)就必須是privacy級(jí)別；用戶組是authentication級(jí)別，用戶和告警主機(jī)可以是privacy或者authentication級(jí)別。

snmp-agent [ remote-engineid engineid ] usm-userv3 user-name group-name [ authentication-mode { md5 | sha | sha2_224 | sha2_256 | sha2_384 | sha2_512 } password [ privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } password ] ] [ acl { acl-number | acl-name } ]，配置SNMPv3用戶信息。若改變本地引擎ID，則已存在的SNMPv3用戶將被刪除。

snmp-agent target-host [ host-name host-name ] trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } ] * params securityname security-name [ v3 [ authentication | privacy ] | private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *??配置Trap方式告警或Inform方式告警：

如果是IPv6網(wǎng)絡(luò)，請(qǐng)執(zhí)行以下命令配置設(shè)備發(fā)送告警和錯(cuò)誤碼的目的主機(jī)：

snmp-agent target-host?[?host-name?host-name?]?trap?ipv6?address?udp-domain?ipv6-address?[?udp-port?port-number?| [?vpn-instance?vpn-instance-name?|?public-net?] ]?*?params?securityname?security-name?[?v3?[?authentication?|?privacy?] |?private-netmanager?|?ext-vb?|?notify-filter-profile?profile-name?]?*

（可選）限制網(wǎng)管對(duì)設(shè)備的管理權(quán)限

snmp-agent group?v3?group-name?{?authentication?|?privacy?|?noauthentication?} [?read-view?read-view?|?write-view?write-view?|?notify-view?notify-view?]?*?[?acl?{?acl-number?|?acl-name?} ]，配置用戶組的讀寫權(quán)限。

缺省情況下，創(chuàng)建SNMP組的只讀視圖為ViewDefault且未指定該組的讀寫視圖名和通知視圖名。

如果要求網(wǎng)管收到notify-view中指定的trap消息或者inform消息，請(qǐng)先配置告警目的主機(jī)。

snmp-agent usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *，配置SNMPv3用戶。如果需要允許指定的網(wǎng)管使用該用戶名訪問Agent，則需要配置acl參數(shù)。

（可選）配置向網(wǎng)管發(fā)送告警

Inform告警參數(shù)配置：

snmp-agent inform { timeout seconds | resend-times times | pending number } *，配置全局的Inform方式的相關(guān)參數(shù)，包括：確認(rèn)告警的超時(shí)時(shí)間、重復(fù)發(fā)送告警的次數(shù)和待確認(rèn)告警的最大條數(shù)。

snmp-agent inform { timeout seconds | resend-times times } * [ host-name host-name | address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name } ]，配置指定目標(biāo)主機(jī)的告警確認(rèn)超時(shí)時(shí)間和告警重復(fù)發(fā)送的次數(shù)。

undo snmp-agent blacklist user-block disable，使能SNMPv3用戶黑名單功能。

SNMPv3配置（AAA用戶）

sys

aaa

local-user user-name password [ irreversible-cipher irreversible-cipher-password ]，創(chuàng)建一個(gè)本地用戶并配置該用戶的登錄口令。

local-user user-name service-type snmp，設(shè)置本地用戶的接入類型為SNMP。

local-user user-name level level，配置本地用戶的優(yōu)先級(jí)。

snmp-agent acl { acl-number | acl-name }，配置SNMP的訪問控制。

snmp-agent sys-info version v3，配置SNMP的協(xié)議版本。

undo snmp-agent local-user password complexity-check disable，使能本地用戶認(rèn)證和加密密碼的復(fù)雜度檢查功能。

snmp-agent local-user v3 user-name { authentication-mode { md5 | sha | sha2_224 | sha2_256 | sha2_384 | sha2_512 } privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } | authentication-mode { md5 | sha | sha2_224 | sha2_256 | sha2_384 | sha2_512 } cipher password privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } cipher password }，配置SNMPv3本地用戶信息。

SNMPv3使用AAA本地用戶后，可以配置與AAA本地用戶不同的認(rèn)證和加密密碼。刪除AAA本地用戶會(huì)導(dǎo)致SNMPv3本地用戶被同步刪除，然而刪除SNMPv3本地用戶對(duì)AAA本地用戶無影響。當(dāng)SNMPv3本地用戶和SNMPv3 USM用戶的用戶名相同，配置的認(rèn)證或加密密碼不同時(shí)，將采用SNMPv3 USM用戶的認(rèn)證和加密密碼登錄。

柚子快報(bào)激活碼778899分享：網(wǎng)絡(luò)協(xié)議 SNMP概述

http://yzkb.51969.com/

參考閱讀