SNMP配置

 

 

 

 SNMP配置

SNMP簡介

目前網絡中用得最普遍的網絡管理協議是SNMP（Simple Network Management Protocol，簡單網絡管理協議）。SNMP是被普遍接受並投入使用的工業標準，用於保證管理信息在網絡中任意兩點間傳送，便於網絡管理員在網絡上的任何節點檢索信息、修改信息、定位故障、完成故障診斷、進行容量規劃和生成報告。

    SNMP的前身是簡單網關監控協議(SGMP)，用來對通訊線路進行管理。隨後，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB：體系結構，改進後的協議就是著名的SNMP。SNMP的目標是管理互聯網Internet上衆多廠家生產的軟硬件平臺，所以SNMP受Internet標準網絡管理框架的影響也很大。如今SNMP已經出到第三個版本的協議，其功能較之前已經大大地增強和改進了。

SNMP由一組網絡管理的標準組成，包含一個應用層協議（application layer protocol）、數據庫模型（database schema），和一組資料物件。該協議可以支持網絡管理系統，用以監測鏈接到網絡上的設備是否有任何引發管理上關注的狀況。該協議是互聯網工程工做小組（IETF，Internet Engineering Task Force）定義的internet協議簇的一部分。

SNMP風險

接入Internet的網絡面臨許多風險，Web服務器可能面臨***，郵件服務器的安全也使人擔心。但除此以外，網絡上可能還存在一些隱性的漏洞。大多數網絡總有一些設備運行着SNMP服務，許多時候這些SNMP服務是沒必要要的，但卻沒有引發網絡管理員的重視。　　

根據SANS協會的報告，對於接入Internet的主機，SNMP是威脅安全的十大首要因素之一；同時，SNMP仍是Internet主機上最多見的服務之一。特別地，SNMP服務一般在位於網絡邊緣的設備（防火牆保護圈以外的設備）上運行，進一步加重了SNMP帶來的風險。

SNMP採用輪詢機制，只提供最基本的功能集，特別適合在小型、快速和低價格的環境中使用。SNMP的實現基於無鏈接的傳輸層協議UDP，所以能夠實現和衆多產品的無障礙鏈接。

    SNMP的工做機制

    SNMP分爲NMS和Agent兩部分： 

    NMS（Network Management Station，網絡管理站）是運行客戶端程序的工做站，目前經常使用的網管平臺有QuidView、Sun NetManager和IBM NetView。

    Agent是運行在網絡設備上的服務器端軟件。

    NMS能夠向Agent發出GetRequest、GetNextRequest和SetRequest報文，Agent接收到NMS的這些請求報文後，根據報文類型進行Read或Write操做，生成Response報文，並將報文返回給NMS。

    Agent在設備發生異常狀況或狀態改變時（如設備從新啓動），也會主動向NMS發送Trap報文，向NMS彙報所發生的事件。

    SNMP的版本

    目前，設備中的SNMP Agent支持SNMP v3版本，兼容SNMP v1版本、SNMP v2C版本。

    SNMP v3採用用戶名和密碼認證方式。

    SNMP v1、SNMP v2C採用團體名（Community Name）認證，非設備承認團體名的SNMP報文將被丟棄。SNMP團體名用來定義SNMP NMS和SNMP Agent的關係。團體名起到了相似於密碼的做用，能夠限制SNMP NMS訪問設備上的SNMP Agent。用戶能夠選擇指定如下一個或者多個與團體名相關的特性： 

    定義團體名能夠訪問的MIB視圖。

    設置團體名對MIB對象的訪問權限爲讀寫權限（write）或者只讀權限（read）。具備只讀權限的團體名只能對設備信息進行查詢，而具備讀寫權限的團體名還能夠對設備進行配置。

    設置團體名指定的基本訪問控制列表。 

    設備支持的MIB 在SNMP報文中用管理變量來描述設備中的管理對象。爲了惟一標識設備中的管理對象，SNMP用層次結構命名方案來識別管理對象。整個層次結構就像一棵樹，樹的節點表示管理對象，以下圖1-1所示。每個節點，均可以用從根開始的一條路徑惟一地標識。

    MIB（Management Information Base，管理信息庫）的做用就是用來描述樹的層次結構，它是所監控網絡設備的標準變量定義的集合。在圖1-1中，管理對象B能夠用一串數字{1.2.1.1}惟一肯定，這串數字是管理對象的對象標識符（Object Identifier）。

系統支持的常見MIB以下表1-1所示。

 

 

配置SNMP基本功能

SNMP v3版本和SNMP v1版本、SNMP v2C版本的配置有較大區別，在配置SNMP的基本功能時分爲兩種狀況進行介紹。具體的配置見表1-2和表1-3。

 

 

 

配置Trap 

Trap是被管理設備不經請求，主動向NMS發送的信息，用於報告一些緊急的重要事件（如被管理設備從新啓動等）。

配置準備

完成SNMP基本配置。

配置過程

 

SNMP顯示和維護

在完成上述配置後，在任意視圖下執行display命令，都可以顯示配置後SNMP的運行狀況，經過查看顯示信息，來驗證配置的效果。

 

 

案例：

實驗拓撲：

 

R12

int e0

ip add 192.168.2.254 24

int s0

ip add 192.168.3.1 24

ip rout 192.168.4.0 24 192.168.3.2 

local user1 pass sim 123 service-type admin

snmp-agent

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info location zongbu

snmp-agent sys-info contact user1

snmp-agent sys-info version all

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard linkup

snmp-agent trap enable standard linkdown

snmp-agent trap enable standard warmstart

snmp-agent target-host trap address 192.168.2.200 sec public

R2

int s0

ip add 192.168.3.2 24

shut

un sh

int e0

ip add 192.168.4.254 24

quit

ip route 192.168.2.0 24 192.168.3.1

ping 192.168.2.254 

snmp-agent community read public 

snmp-agent community write private

snmp-agent sys-info version all

snmp-agent sys-info location branch

snmp-agent sys-info contact user2

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard warmstart

snmp-agent trap enable standard linkdown

snmp-agent trap enable standard linkup 

snmp-agent target-host trap add 192.168.2.200 sec public

SW3

int Vlan-interface 1

ip add 192.168.4.23 24

quit

ip route-static 0.0.0.0 0.0.0.0 192.168.4.254

ping 192.168.2.254

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info contact user3

snmp-agent sys-info location branch-1-jifang

snmp-agent sys-info version all

snmp-agent trap enable

snmp-agent trap enable standard authentication

snmp-agent trap enable standard coldstart

snmp-agent trap enable standard warmstart

snmp-agent trap enable standard linkup

snmp-agent trap enable standard linkdown

snmp-agent traget-host trap address udp-domain 192.168.2.200 

params securityname public

linux

安裝net-snmp.i386

vim /etc/snmp/snmp.conf 

rocommunity public

rwcommunity private

service snmpd restart