snmp v3 配置案例
- 0关注
- 0收藏,89浏览
1.13.2 SNMPv3配置举例
1. 组网需求
· NMS与Agent相连,设备的IP地址和掩码如图1-4所示。
· NMS通过SNMPv3只能对Agent的SNMP报文的相关信息进行监控管理,Agent在出现故障时能够主动向NMS发送告警信息,NMS上接收SNMP告警信息的默认UDP端口号为162。
· NMS与Agent建立SNMP连接时,需要认证,使用的认证算法为SHA-1,认证密码为123456TESTauth&!。NMS与Agent之间传输的SNMP报文需要加密,使用的加密协议为AES,加密密码为123456TESTencr&!。
2. 组网图
图1-4 SNMPv3配置组网图
3. 通过RBAC方式配置步骤
(1) 配置Agent
# 配置Agent的IP地址为1.1.1.1/24,并确保Agent与NMS之间路由可达。(配置步骤略)
# 创建用户角色test并配置访问权限:用户只能读节点snmpMIB(OID为1.3.6.1.6.3.1)下的对象(本举例验证时会用到linkUp和linkDown节点),不可以访问其它MIB对象。
<Agent> system-view
[Agent] role name test
[Agent-role-test] rule 1 permit read oid 1.3.6.1.6.3.1
# 配置用户角色test具有system(OID为1.3.6.1.2.1.1)的读权限与interfaces(OID为1.3.6.1.2.1.2)的读写权限,以便接口状态变化时,Agent会向NMS发送告警信息。
[Agent-role-test] rule 2 permit read oid 1.3.6.1.2.1.1
[Agent-role-test] rule 3 permit read write oid 1.3.6.1.2.1.2
[Agent-role-test] quit
# 创建用户RBACtest,为其绑定用户角色test,认证算法为SHA-1,认证密码为123456TESTauth&!,加密算法为AES,加密密码是123456TESTencr&!。
[Agent] snmp-agent usm-user v3 RBACtest user-role test simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!
# 配置设备的联系人和位置信息,以方便维护。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 开启NMS告警功能,告警信息发送到主机1.1.1.2,使用的用户名为RBACtest。
[Agent] snmp-agent trap enable
[Agent] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname RBACtest v3 privacy
(2) 配置NMS
# 配置NMS使用的SNMP版本为SNMPv3,用户名为RBACtest,启用认证和加密功能,认证算法为SHA-1,认证密码为123456TESTauth&!,加密协议为AES,加密密码为123456TESTencr&!。另外,还可以根据需求配置“超时”时间和“重试次数”。具体配置请参考NMS的相关手册。
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。
4. 通过VACM方式配置步骤
(1) 配置Agent
# 配置Agent的IP地址为1.1.1.1/24,并确保Agent与NMS之间路由可达。(配置步骤略)
# 配置访问权限:用户只能读节点snmpMIB(OID为1.3.6.1.6.3.1)下的对象(本举例验证时会用到linkUp和linkDown节点),不可以访问其它MIB对象。
<Agent> system-view
[Agent] undo snmp-agent mib-view ViewDefault
[Agent] snmp-agent mib-view included test snmpMIB
[Agent] snmp-agent group v3 managev3group privacy read-view test
# 配置访问权限:配置用户具有system(OID为1.3.6.1.2.1.1)和interfaces(OID为1.3.6.1.2.1.2)的读写权限,以便接口状态变化时时,Agent会向NMS发送告警信息。(VACM方式只能将MIB视图中包含的所有节点配置为只读属性或者读写属性,不能仅配置部分节点的属性)
[Agent] snmp-agent mib-view included test 1.3.6.1.2.1.1
[Agent] snmp-agent mib-view included test 1.3.6.1.2.1.2
[Agent] snmp-agent group v3 managev3group privacy read-view test write-view test
# 配置Agent使用的用户名为VACMtest,认证算法为SHA-1,认证密码为123456TESTauth&!,加密算法为AES,加密密码是123456TESTencr&!。
[Agent] snmp-agent usm-user v3 VACMtest managev3group simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!
# 配置设备的联系人和位置信息,以方便维护。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 开启NMS告警功能,告警信息发送到主机1.1.1.2,使用的用户名为VACMtest。
[Agent] snmp-agent trap enable
[Agent] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname VACMtest v3 privacy
(2) 配置NMS
# 配置NMS使用的SNMP版本为SNMPv3,用户名为VACMtest,启用认证和加密功能,认证算法为SHA-1,认证密码为123456TESTauth&!,加密协议为AES,加密密码为123456TESTencr&!。另外,还可以根据需求配置“超时”时间和“重试次数”。具体配置请参考NMS的相关手册。
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。
5. 验证配置
(1) NMS使用RBACtest用户名访问Agent
可查询sysName节点的值,返回结果为Agent。
设置sysName节点的值为Sysname,由于没有权限,操作失败。
在Agent上关闭或打开接口,NMS上将收到linkUP(OID为1.3.6.1.6.3.1.1.5.4)或linkDown(OID为1.3.6.1.6.3.1.1.5.3) Trap信息。
(2) NMS使用VACMtest用户名访问Agent
可查询sysName节点的值,返回结果为Agent。
设置sysName节点的值为Sysname,操作成功。
在Agent上关闭或打开接口,NMS上将收到linkUP或linkDown Trap信息。
一、配置前提与核心概念
- 设备:H3C 交换机(如 S5560、S6805),系统版本 Comware V7。
- SNMPv3 安全级别:采用
authPriv(最高级别,需认证 + 加密),避免密码明文传输和数据篡改。 - 核心组件:
- SNMP 用户:客户端登录的账号(需绑定认证 / 加密算法)。
- 权限组:定义用户的操作权限(只读 / 读写)。
- MIB 视图:限制用户可访问的 MIB 节点范围(避免敏感信息泄露)。
二、完整配置步骤(命令行)
步骤 1:全局启用 SNMP 服务
[Switch] snmp-agent # 全局启用SNMP服务(默认关闭)
[Switch] snmp-agent sys-info version v3 # 仅启用SNMPv3(关闭v1/v2c,提升安全性)
步骤 2:创建 MIB 视图(限制可访问范围)
view_all,允许访问所有 MIB 节点(也可自定义限制,如仅允许接口、CPU 相关节点):[Switch] snmp-agent mib-view included view_all .1
# (可选)排除敏感节点,如设备配置节点(OID:.1.3.6.1.4.1.2011.2.235.1.1.1)
# [Switch] snmp-agent mib-view excluded view_all .1.3.6.1.4.1.2011.2.235.1.1.1
步骤 3:创建权限组(绑定视图与权限)
group_read,绑定视图view_all,仅允许读取 MIB 数据:[Switch] snmp-agent group v3 group_read authPriv read-view view_all write-view none notify-view none
- 说明:
write-view none表示禁止写操作(如需写权限,可指定写视图,生产环境不建议开放)。
步骤 4:创建 SNMPv3 用户(绑定权限组 + 认证 / 加密)
user_snmp,加入group_read组,配置认证算法(SHA-256)和加密算法(AES-128):[Switch] snmp-agent usm-user v3 user_snmp group_read
[Switch-usm-user-v3-user_snmp] authentication-mode sha2-256 H3C@Snmp123 # 认证密码(需8位以上,含大小写/特殊字符)
[Switch-usm-user-v3-user_snmp] privacy-mode aes-128 H3C@Enc123 # 加密密码(可与认证密码不同)
[Switch-usm-user-v3-user_snmp] quit
- 算法说明:推荐使用
sha2-256(认证)和aes-128(加密),避免老旧算法(如 MD5、DES)。
步骤 5:配置访问控制(限制服务器 IP,可选但推荐)
[Switch] acl number 3000
[Switch-acl-adv-3000] rule 0 permit ip source 192.168.8.254 0 destination any
[Switch-acl-adv-3000] rule 10 deny ip source any destination any
[Switch-acl-adv-3000] quit
# 应用ACL到SNMP服务
[Switch] snmp-agent acl 3000
步骤 6:验证配置
[Switch] display snmp-agent usm-user v3
# 查看SNMPv3组信息
[Switch] display snmp-agent group v3
# 查看MIB视图信息
[Switch] display snmp-agent mib-view
三、服务器端测试验证(以 Linux 为例)
snmpwalk工具(需提前安装:yum install net-snmp-utils),测试是否能获取设备 MIB 数据:snmpwalk -v 3 -u user_snmp -l authPriv -a SHA-256 -A H3C@Snmp123 -x AES -X H3C@Enc123 192.168.8.233 .1.3.6.1.2.1.2 # 获取接口相关MIB(OID:.1.3.6.1.2.1.2)
- 若输出接口名称、状态等信息,说明 SNMPv3 配置成功;若报错 “Timeout” 或 “Authentication failure”,需检查用户密码、算法是否匹配。
四、常见问题排查
- 认证失败:确认服务器端
snmpwalk命令的认证 / 加密算法、密码与设备配置完全一致(大小写敏感)。 - 无法获取数据:检查 MIB 视图是否包含目标 OID(如接口 OID:.1.3.6.1.2.1.2),可通过
display snmp-agent mib-view确认。 - 服务器收不到数据:排查设备 ACL 是否允许服务器 IP,或服务器防火墙是否放行 SNMP(默认端口 UDP 161)
暂无评论
1.7 SNMP v3典型配置举例
1. 组网需求
· NMS与Agent通过以太网相连,NMS的IP地址为1.1.1.2/24,Agent的IP地址为1.1.1.1/24。
· NMS通过SNMP v3只能对Agent的接口状态进行监控管理,Agent在故障或者出错的时候能够主动向NMS报告情况,NMS接收Trap的端口号为5000。
· NMS与Agent建立SNMP连接时,需要认证,认证协议为MD5,密码为authkey。NMS与Agent之间传输的SNMP报文需要加密,使用的加密协议为DES,加密密码为prikey。
2. 组网图
3. 配置步骤
(1) 配置Agent
# 配置Agent的IP地址为1.1.1.1/24,并确保Agent与NMS之间路由可达。(配置步骤略)
# 设置访问权限:用户只能读写节点interfaces(OID为1.3.6.1.2.1.2)下的对象,不可以访问其它MIB对象。使用的用户名为managev3user,认证方式为MD5,认证密码为authkey,加密算法为DES56,加密密码是prikey。
<Sysname> system-view
[Sysname] undo snmp-agent mib-view ViewDefault
[Sysname] snmp-agent mib-view included test interfaces
[Sysname] snmp-agent group v3 managev3group read-view test write-view test
[Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey
# 设置设备的联系人和位置信息,以方便维护。
[Sysname] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Sysname] snmp-agent sys-info location telephone-closet,3rd-floor
# 允许向网管工作站(NMS)1.1.1.2/24发送Trap报文,使用的用户名为managev3user。
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname managev3user v3 privacy
(2) 配置NMS
SNMP v3采用认证和加密的安全机制,在NMS上需要设置用户名,选择安全级别。根据不同的安全级别,需要分别设置认证方式、认证密码、加密方式、加密密码等。另外,还要设置“超时”时间和“重试次数”。用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。
(3) 结果验证
· 通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值。
· 对设备上某个空闲的接口执行shutdown/undo shutdown操作,NMS上将看到相应的Trap信息。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论