简单网络管理协议 (SNMP)是特别为管理网络中的设备而设计的一种通讯协议。SNMP通常被用来管理包括交换机、路由器和计算机等。 SNMP被特别用来配置这些设备以便使他们在网络环境中正常工作,也用来监控这些设备以评估他们的性能或检测潜在的问题。
支持SNMP的被管理设备含有一套代理软件,软件运行在被管理设备上。SNMP代理维护一套预先定义好的被称作管理对象的变量,并用他们来管理设备。 这些对象被定义在管理信息库(MIB)中,提供由代理控制的标准信息展示。SNMP定义了MIB规格的格式以及通过网络获取这些信息的协议。
交换机包含一套支持SNMP协议版本1、2c和3的机载代理程序。这个代理程序连续监控交换机的硬件状态,同时也监控流经各端口的数据流量。 一个网络管理站点可以使用网络管理软件来获取这些信息。客户端使用SNMP协议版本v1和v2c来访问机载代理程序的权限由Community String来控制。 为了和交换机通讯,管理站点必须首先发送一个合法的 Community String以便通过认证。
使用SNMPv3的客户端要想获得交换机的访问权限,需要提供额外的安全特性,包括信息完整性、认证和加密。这些安全特性也用来控制用户只能访问MIB树的指定区域。
SNMPv3安全架构由多个安全模型组成,每个安全模型都有自己的安全等级。共定义了三种安全模型:SNMPv1、SNMPv2c和SNMPv3。用户被指派给“组”,每个组都会指定安全模型和安全等级。 每个组都对一系列的MIB对象定义了读和写的安全访问权限,这被称作“视图”。交换机为安全模型v1和v2c定义了默认视图(包含所有MIB对象)和默认组。
注意:预定义的默认组和视图可以被从系统中删除。然后,可以为需要访问权限的SNMP客户端定制组和视图。
使用 管理 > SNMP (全局配置) 页面来为所有管理客户端(例如版本1、2c、3)启用SNMPv3服务并启用trap消息功能。
在交换机上启用SNMP功能。 (默认: Enabled)
交换机在SNMP访问认证过程中,一个非法的Community String被发送时,是否会给指定的IP trap管理器发出一个通知消息。(默认:Enabled)
注意:这些是传统通知,因此在用于SNMPv3主机时,必须将它们与“通知视图”中的相应条目一起启用。
端口链路建立或断开时是否会发送一个通知消息。(默认:Enabled)
注意:这些是传统的通知,因此当被用于SNMPv3的主机时,他们必须和通知视图中相应的条目一起被启用。
使用 管理 > SNMP (引擎配置 - 设置引擎ID) 页面来改变本地引擎ID。SNMPv3引擎是驻留在交换机中的一个独立的SNMP代理。该引擎用来防止消息重传、延迟和重定向。引擎ID也被用来和用户密码一起生成安全密钥来进行认证和加密SNMPv3数据报文。
一个新引擎ID可以通过输入9到64个16进制数(以16进制格式算长5到32个字节)来指定。 如果输入奇数个字符,在最后一个字节后会添加一个尾0。例如:值“123456789”等同于“1234567890”。
自SNMP 引擎ID 最后配置后引擎(重新)初始化的次数。
使用 管理 > SNMP (引擎配置 - 添加远程引擎) 页面为一个远程管理站点配置引擎ID。 为了允许一个在远程设备上的SNMPv3用户进行管理访问,必须首先为用户所在的远程设备上的SNMP代理指定引擎ID。 远程引擎ID用于计算安全密钥,安全密钥用来认证和加密交换机与远程主机上用户之间通讯的报文。
一个新引擎ID可以通过输入9到64个16进制数(以16进制格式算长5到32个字节)来指定。 如果输入奇数个字符,在最后一个字节后会添加一个尾0。例如:值“123456789”等同于“1234567890”。
使用指定引擎ID的远程管理站点的IP地址。
使用 管理 > SNMP (视图配置) 页面来配置限制用户只能访问指定部分MIB树的SNMPv3视图。预定义的名为“defaultview”的视图包含整个MIB树的访问权限。
添加视图SNMP视图名称。 (长度: 1-32 个字符)
指定MIB树内一个分支的初始对象标识符。可以使用通配符来包含某个指定部分的OID字串。使用 添加OID子树 页面来配置额外的对象标识符。
指定MIB树内部一个分支的对象标识符是否被包括在SNMP视图中。
添加 OID 子树
列出在添加视图网页中配置的所有SNMP视图。 (范围:1-32字符)
为选定的视图在MIB树中添加一个分支的额外的对象标识符。可用通配符来包含某个指定部分的OID字串。(范围:1-64字符)
指定MIB树内部一个分支的对象标识符是否被包括在SNMP视图中。
使用 管理 > SNMP (组配置) 页面来添加 SNMPv3 组,组可被用来给组中的用户设定访问权限,限制他们在特定的只读、可写以及通告视图中。 可用使用预定义的默认组或创建新的组来指派一系列的SNMP用户到SNMP视图中。
用户被指派的SNMP组的名称。 (长度: 1-32 个字符)
SNMP v1、 v2c 或 v3用户安全模型。
下列安全等级仅被分派给SNMP安全模型的组所使用:
SNMP通讯中不需要加密和认证。 (这是默认的安全等级。)
SNMP通讯中使用认证,但数据不加密。
SNMP通讯中要求进行认证和加密。
配置的视图拥有只读权限。 (长度: 1-32 个字符)
配置的视图拥有写权限。(长度: 1-32 个字符)
配置的视图拥有通告权限。(长度: 1-32 个字符)
使用 管理 > SNMP (用户配置 - 添加 Community) 页面来配置最多5个Community String,为使用SNMP v1和v2c的客户端授予管理访问的权限。为安全起见,应该考虑删除默认的Community String。
Community String起到类似密码的作用,能够允许用户获得SNMP协议的访问权限。
长度: 1-32 个字符,大小写敏感
默认String:“public”(只读), “private” (读/写)
指定 Community String的访问权限为:
被授权的管理站点只能读取MIB对象。
被授权的管理站点能够读取并修改MIB对象。
使用 管理 > SNMP (用户配置 - 添加 SNMPv3 本地用户) 页面来授权SNMPv3客户端拥有管理访问权限,或用来鉴别从本地交换机发出的SNMPv3 Trap信息的接收端。 每个SNMPv3用户被授予一个特有的名称。用户必须被配置成某个安全等级并被分配给一个组。SNMPv3组将用户权限限制在特定的只读、可写以及通告视图中。
连接到SNMP代理程序上的用户名称。 (长度: 1-32 个字符)
用户被指派的SNMP组的名称。 (长度: 1-32 个字符)
SNMP v1、 v2c 或 v3用户安全模型。
下列安全等级仅被分派给SNMP安全模型的组所使用:
SNMP通讯中不需要加密和认证。 (这是默认的安全等级。)
SNMP通讯中使用认证,但数据不加密。
SNMP通讯中要求进行认证和加密。
用于用户认证的方法。 (可选项: MD5, SHA; 默认: MD5)
需要至少8个纯文本字符。
用于数据私密性的加密算法,目前仅支持 56-bit DES 算法。
需要至少8个纯文本字符。
使用 管理 > SNMP (用户配置 - 添加 SNMPv3 远程用户)页面 来鉴别从本地交换机发出的SNMPv3通知消息的来源。 每个SNMPv3用户都有一个特有的名称。用户必须配有一个指定的安全等级并被分配给一个组。SNMPv3组将用户权限限制在特定的只读、可写以及通告视图中。
连接到SNMP代理程序上的用户名称。 (长度: 1-32 个字符)
用户被指派的SNMP组的名称。 (长度: 1-32 个字符)
用户所在的远程设备的网络地址。
SNMP v1、 v2c 或 v3用户安全模型。
下列安全等级仅被分派给SNMP安全模型的组所使用:
SNMP通讯中不需要加密和认证。 (这是默认的安全等级。)
SNMP通讯中使用认证,但数据不加密。
SNMP通讯中要求进行认证和加密。
用于用户认证的方法。 (可选项: MD5, SHA; 默认: MD5)
需要至少8个纯文本字符。
用于数据私密性的加密算法,目前仅支持 56-bit DES 算法。
需要至少8个纯文本字符。
使用 管理 > SNMP (Trap配置) 页面来指定接收trap的主机设备和trap的类型。 交换机给指定的trap管理器发送trap,告知状态变化。 必须指定trap管理器以便交换机上的重要事件被告知管理站点(使用网络管理软件)。可以最多指定5个管理站点来接收来自交换机的认证失败消息和其他trap消息。
SNMP 版本 1
接收通知消息的新管理站点(例如:目标接收方)的IP地址。
指定使用SNMP版本v1、v2c或v3发送trap。 (默认:v1)
指定一个合法的Community String用于新的trap管理器。 (长度: 1-32 个字符,大小写敏感)
尽管可以在 trap配置 - 添加 页面中设置这个字串,我们建议在 用户配置 - 添加 Community 页面来定义Community String。
指定用于trap管理器的UDP端口号。 (默认:162)
SNMP版本 2c
接收通知消息的新管理站点(例如:目标接收方)的IPv4 或 IPv6 地址。
指定使用SNMP版本v1、v2c或v3发送通知。 (默认:v1)
以trap消息的方式发送的通知。
以inform消息的方式发送的通知。注意这个选项只在版本2c和版本3的主机才有。(默认: 使用Trap方式)
在重新发送inform消息之前等待确认消息的秒数。(范围: 0-2147483647 厘秒; 默认:1500 厘秒)
如果接收方没有发送确认消息,inform消息的最大重传次数。(范围: 0-255; 默认:3)
指定一个合法的Community String用于新的trap管理器。 (长度: 1-32 个字符,大小写敏感)
尽管可以在 trap配置 - 添加 页面中设置这个字串,我们建议在 用户配置 - 添加 Community 页面来定义Community String。
指定用于trap管理器的UDP端口号。 (默认:162)
SNMP版本3
接收通知消息的新管理站点(例如:目标接收方)的IPv4 或 IPv6 地址。
指定使用SNMP版本v1、v2c或v3发送通知。
以trap消息的方式发送的通知。
以inform消息的方式发送的通知。注意这个选项只在版本2c和版本3的主机才有。(默认: 使用Trap方式)
在重新发送inform消息之前等待确认消息的秒数。(范围: 0-2147483647 厘秒; 默认:1500 厘秒)
如果接收方没有发送确认消息,inform消息的最大重传次数。(范围: 0-255; 默认:3)
本地用户的名称,用来鉴别从本地交换机发出的SNMPv3 trap消息的来源。(长度: 1-32 个字符)
如果指定用户的账号没有被创建,会自动生成一个账号。
远程用户的名称,用来鉴别从本地交换机发出的SNMPv3通知消息的来源。(长度: 1-32 个字符)
如果指定用户的账号没有被创建,会自动生成一个账号。
指定用于trap管理器的UDP端口号。 (默认:162)
当选择trap版本 3 时,必须指定下列安全等级之一。(默认: noAuthNoPriv)
SNMP通讯中不需要加密和认证。
SNMP通讯中使用认证,但数据不加密。
SNMP通讯中要求进行认证和加密。
使用 管理 > SNMP (使用通知过滤 - 添加) 页面来创建一个 SNMP通知日志。
命令用法
支持SNMP的系统通常需要一个机制,用于记录作为对丢失通知对冲的通知信息,是否有Trap或通知可能 超出重传限制。通知日志MIB ( NLM , RFC 3014 )提供了一个基础设施,其中来自其他MIB信息可能被记录。
鉴于 NLM 所提供的服务, 个别的MIB现在可以承担较少的责任记录记录与针对该通知消息 丢失可能性的事件相关联的瞬时信息,应用程序可以轮询日志,以验证它们没有错过任何重要通知的事件相关联信息。
如果没有配置通知日志,交换机重新启动的时候,一些SNMP trap(如热启动)不能被记录。
为了避免这个问题,在本节所述通知日志记录应配置,这些命令存储在启动配置文件中, 使用 系统 >文件(复制 - Running-Config)页面进行配置。然后当交换机重新启动后,现在就可以 记录 SNMP 陷阱 (如热启动)。
基于在RFC 3014中使用的默认设置,通知日志最多可包含256条条目,并且该表项的老化时间为1440分钟。 信息记录在通知日志,并且表项的老化时间只能使用SNMP的网络管理工作站进行配置。
当使用 管理 > SNMP (配置Trap - 添加)页面创建一个trap主机,一个默认的通知过滤器将被创建。
参数
一个远程设备的网络地址。 指定的目标主机必须已经使用了 管理 > SNMP (配置Trap - 添加)页面 进行了配置。
通知日志被存储在本地。 它没有被发送到远程设备。此远程主机参数只需完成 SNMP 通知 MIB 中的必需字段。
通知日志文件的名称。 (范围:1-32 个字符)
使用 管理 > SNMP (显示统计) 页面来显示SNMP输入和输出协议数据单元的个数