不涉及
Snmp v3 trap 配置指导
不同于SNMPv1/v2c采用团体名认证机制,SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制,使用组来管理用户。NMS使用SNMPv3用户名访问设备时,是否需要认证和加密,由组的配置决定,创建用户时,可以为不同用户配置不同的算法和认证密码、加密密码。
1.
system-view
2.
snmp-agent
3.
snmp-agent sys-info version v3
4.
snmp-agent mib-view include iso iso
注:第一个“iso”为新建MIB视图名称,第二个“iso”是视图可访问的子树名称
5.
(1)创建不认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup read-view iso write-view iso
(2)创建认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup authentication read-view iso write-view iso
(3)创建认证加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup privacy read-view iso write-view iso
6.
(1)
snmp-agent usm-user v3 lxh lxhgroup
(2)
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123
(3)
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
注:1、如果组采用不认证不加密安全模式,则加入其组的用户可选择上面任意一种方式来创建SNMPv3用户;如果组采用认证不加密模式,则用户可选择认证不加密或者认证加密的方式建立SNMPv3用户;如果组采用认证加密模式,则加入的用户也必须采用认证加密的模式。
SNMP告警信息包括Trap和Inform两种,用来告知NMS设备上发生了重要事件,比如,用户的登录/退出,接口状态变成up/down等。Inform不同于Trap之处在于:Agent向NMS发送报文时,Inform要求NMS发送回应报文,而Trap则不需要。
1.
system-view
2.
snmp-agent trap enable
3.
(1)配置lxh用户以无认证无加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即iMC所在服务器)ip地址,“lxh”为snmpv3用
户名。
2、Trap报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发
送Trap报文时,SNMPv3组、用户及Trap报文模式匹配如下表》
Inform报文与Trap报文配置区别在于,Inform需要配置远端SNMP实体的引擎ID及与用户关联的远端实体的安全模型,即下面的(2)和(3),而Trap则不需要配置这两个命令。
1.
system-view
2.
snmp-agent remote 172.22.3.121 engineid 800063A2800123456789ABCDEF0123
注:172.22.3.121这里为NMS(即iMC所在服务器)ip地址, 800063A2800123456789ABCDEF0123为远程SNMP实体的引擎ID,不论什么设备,这个远端engineID是固定的
3.
(1)
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121
(2)
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123
(3)
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
4.
(1)配置lxh用户以无认证无加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即iMC所在服务器)ip地址,“lxh”为snmpv3配置的用户名。
2、Inform报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发送Inform报文时,SNMPv3组、用户及Inform报文模式匹配如下表》
根据设备上配置的本地snmp用户参数, 在iMC侧该设备选择相同的安全模式、配置相同的参数。iMC侧的配置必须和设备侧保持一致,否则无法进行相应操作。
SNMPv3组模式 |
SNMPv3用户模式 |
Trap报文模式 |
不认证不加密 |
不认证不加密 |
不认证不加密 |
认证不加密 |
不认证不加密 |
|
认证不加密 |
||
认证加密 |
不认证不加密 |
|
认证不加密 |
||
认证加密 |
||
认证不加密 |
认证不加密 |
认证不加密 |
认证加密 |
认证不加密 |
|
认证加密 |
||
认证加密 |
认证加密 |
认证加密 |
SNMPv3组 模式 |
SNMPv3用户 模式 |
向目的主机发送 Inform报文模式 |
Inform报文 模式 |
不认证不加密 |
不认证不加密 |
不认证不加密 |
不认证不加密 |
认证不加密 |
认证不加密 |
不认证不加密 |
|
认证不加密 |
|||
认证加密 |
认证加密 |
不认证不加密 |
|
认证不加密 |
|||
认证加密 |
|||
认证不加密 |
认证不加密 |
认证不加密 |
认证不加密 |
认证加密 |
认证加密 |
认证不加密 |
|
认证加密 |
|||
认证加密 |
认证加密 |
认证加密 |
认证加密 |
总结匹配规则,如下规律:
(1)
(2)
(3)发送Inform 报文时,和上面(1)和(2)分析的规律差不多,这里主要考虑的就是snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式:
a. snmpv3组模式与向目的主机发送Inform报文模式的关系如上面(1)中snmpv3组与用户的关系
b. snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式的关系就如上面(2)中snmpv3组、用户与trap报文关系一致
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作