R/AR系列路由器SNMPv3典型配置

R/AR系列路由器SNMPv3典型配置

一．           简介

SNMPv3与前两个版本最大的不同就是提出了认证、加密和访问控制等安全机制。

SNMPv3分3个安全级别：

l        无认证无加密(noAuthNoPriv)

l        有认证无认证无加密无加密(authNoPriv)

l        有认证有加密(authPriv)

 

对Mib的访问控制体现在组和试图的配置上。配置SNMP组时需要先定义视图，配置SNMP组时将使用这个视图名。缺省情况下，系统有一个缺省视图名ViewDefault，其OID为1.3.6.1。

 

试图：将需要授权管理的MIB对象加入其中。简单的说就是建立一个试图，然后划定一下该试图可以访问的MIB的范围。

组：就是SNMP v1 | v2c中的团体属性。在v3中用该属性定义安全级别。

 

例如：定义一个试图myview可以对mib-2节点的非atTable内的节点进行读或写。 [Quidway]snmp-agent mib-view included myview mib-2 [Quidway]snmp-agent mib-view excluded myview atTable   然后我们就可以定义一个组，同时引用该试图。 [Quidway]snmp-agent group v3 mygroup read-view myview write-view myview

 

在定义组的时候同时需要定义安全级别，上面例子的安全级别为不加密不认证。

snmp-agent group v3 group-name [ authentication | privacy ] { [ read-view read-view ] | [ write-view write-view ] | [ notify-view notify-view ] } [ acl acl-number ]

 

authentication：指明对报文进行认证，但不加密。

privacy：指明对报文进行认证和加密。

 

例子中mib-2，atTable的定义可以参看下表。

 

 

VRP支持的MIB

MIB属性	MIB内容	参见资料
公有MIB	基于TCP/IP网络设备的MIB II	RFC1213
	RMON MIB	RFC1757
	RIP-2 MIB	RFC1389
	OSPF MIB	RFC1253
	BGP MIB	RFC1657
	PPP MIB	RFC1471
	X.25 MIB	RFC1382
	LAPB MIB	RFC1381
	PPP	RFC1471、RFC1472   RFC1473、RFC1661、RFC1332、RFC1334
	FrameRelay MIB	RFC1315、RFC2115
	SNMP	RFC1907、RFC2271、RFC2272、RFC2273、RFC2273、RFC2274、RFC2275
私有MIB	IP MIB
	ICMP MIB
	QoS MIB
	NDEC MIB
	DLSw MIB
	终端接入服务器MIB
	RMON扩展告警MIB
	Huawei Router MIB
	Huawei Module MIB

 

 

二．           网络结构

 

三．           典型配置

 

SNMP v3 无认证无加密

# snmp-agent snmp-agent sys-info version v3 snmp-agent group v3 huawei write-view ViewDefault notify-view ViewDefault snmp-agent target-host trap address udp-domain 129.102.149.23 params securityname huawei v3 snmp-agent usm-user v3 huawei huawei snmp-agent trap source Ethernet1/0 #

SNMP v3 认证无加密

# snmp-agent snmp-agent sys-info version v3 snmp-agent group v3 huawei authentication write-view ViewDefault notify-view Vi ewDefault snmp-agent target-host trap address udp-domain 129.102.149.23 params securityname huawei v3 authentication snmp-agent usm-user v3 huawei huawei authentication-mode md5 +E-ML`M\:R5.EZ-I86 aUW1!! snmp-agent trap source Ethernet1/0 #

SNMP v3 认证加密

# snmp-agent snmp-agent sys-info version v3 snmp-agent group v3 huawei privacy write-view ViewDefault notify-view ViewDefau lt snmp-agent target-host trap address udp-domain 129.102.149.23 params securityname huawei v3 privacy snmp-agent usm-user v3 huawei huawei authentication-mode md5 +E-ML`M\:R5.EZ-I86 aUW1!! privacy-mode des56 +E-ML`M\:R5.EZ-I86aUW1!! snmp-agent trap source Ethernet1/0 #

 

该例子使用默认视图，如果需要更改Mib的权限，可按照前文的方法更改。