1,737
社区成员
发帖
与我相关
我的任务
分享Snmp v3 trap 配置指导
Snmp v3 trap 配置指导
1、 设备上配置snmp v3
不同于SNMPv1/v2c采用团体名认证机制,SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制,使用组来管理用户。NMS使用SNMPv3用户名访问设备时,是否需要认证和加密,由组的配置决定,创建用户时,可以为不同用户配置不同的算法和认证密码、加密密码。
1. 进入系统视图
system-view
2. 启动SNMP Agent服务
snmp-agent
3. 配置设备支持SNMPv3版本
snmp-agent sys-info version v3
4. 创建MIB视图(包含子树iso)
snmp-agent mib-view include iso iso
注:第一个“iso”为新建MIB视图名称,第二个“iso”是视图可访问的子树名称
5. 创建SNMPv3组(安全模式有三种,选择其中一种进行配置)
(1)创建不认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup read-view iso write-view iso
(2)创建认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup authentication read-view iso write-view iso
(3)创建认证加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup privacy read-view iso write-view iso
6. 创建SNMPv3用户(下面有三种方式,需要根据注意事项选择其中一种方式,来与6中SNMPv3组安全模式匹配)
(1) 创建不认证不加密的snmpv3用户,用户名为“lxh”
snmp-agent usm-user v3 lxh lxhgroup
(2) 创建认证不加密的snmpv3用户,用户名为“lxh”,认证方式选择“md5”或者“sha”,认证密码为“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123
(3) 创建认证加密的snmpv3用户,用户名为“lxh”,认证方式选择“md5”或者“sha”,认证密码为“lxh123”,加密算法选择“aes128”或者“des56”,加密密码为“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
注:1、如果组采用不认证不加密安全模式,则加入其组的用户可选择上面任意一种方式来创建SNMPv3用户;如果组采用认证不加密模式,则用户可选择认证不加密或者认证加密的方式建立SNMPv3用户;如果组采用认证加密模式,则加入的用户也必须采用认证加密的模式。
2、配置SNMP告警
SNMP告警信息包括Trap和Inform两种,用来告知NMS设备上发生了重要事件,比如,用户的登录/退出,接口状态变成up/down等。Inform不同于Trap之处在于:Agent向NMS发送报文时,Inform要求NMS发送回应报文,而Trap则不需要。
1、配置Trap信息发送参数
1. 进入系统视图
system-view
2. 使能发送Trap报文
snmp-agent trap enable
3. 配置Trap报文的发送参数(安全模式有三种,选择其中一种进行配置)
(1)配置lxh用户以无认证无加密的方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即网管侧所在服务器)ip地址,“lxh”为snmpv3用
户名。
2、Trap报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发
送Trap报文时,SNMPv3组、用户及Trap报文模式匹配如下表》
2、 配置Inform信息发送参数
Inform报文与Trap报文配置区别在于,Inform需要配置远端SNMP实体的引擎ID及与用户关联的远端实体的安全模型,即下面的(2)和(3),而Trap则不需要配置这两个命令。
1. 进入系统视图
system-view
2. 配置远端SNMP实体的引擎ID
snmp-agent remote 172.22.3.121 engineid 800063A2800123456789ABCDEF0123
注:172.22.3.121这里为NMS(即网管侧所在服务器)ip地址, 800063A2800123456789ABCDEF0123为远程SNMP实体的引擎ID,不论什么设备,这个远端engineID是固定的
3. 开启向目的主机发送Inform报文功能(安全模式有下面三种,可以任选其中一种)
(1) 以不认证不加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121
(2) 以认证不加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123
(3) 以认证加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
4. 配置Inform报文的发送参数(安全模式有三种,选择其中一种进行配置)
(1)配置lxh用户以无认证无加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即iMC所在服务器)ip地址,“lxh”为snmpv3配置的用户名。
2、Inform报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发送Inform报文时,SNMPv3组、用户及Inform报文模式匹配如下表》
3、网管侧配置SNMPv3参数
根据设备上配置的本地snmp用户参数, 在网管侧该设备选择相同的安全模式、配置相同的参数。网管侧的配置必须和设备侧保持一致,否则无法进行相应操作。
4、附:SNMPv3组、用户、Trap报文及Inform报文安全模式对应表
1、发送Trap报文时,SNMPv3组、用户及Trap报文模式匹配如下表:
SNMPv3组模式 SNMPv3用户模式 Trap报文模式
不认证不加密 不认证不加密 不认证不加密
认证不加密 不认证不加密
认证不加密
认证加密 不认证不加密
认证不加密
认证加密
认证不加密 认证不加密 认证不加密
认证加密 认证不加密
认证加密
认证加密 认证加密 认证加密
2、发送Inform报文时,SNMPv3组、用户及Inform报文模式匹配如下表:
SNMPv3组
模式 SNMPv3用户
模式 向目的主机发送
Inform报文模式 Inform报文
模式
不认证不加密 不认证不加密 不认证不加密 不认证不加密
认证不加密
认证不加密 不认证不加密
认证不加密
认证加密
认证加密 不认证不加密
认证不加密
认证加密
认证不加密 认证不加密 认证不加密 认证不加密
认证加密 认证加密 认证不加密
认证加密
认证加密 认证加密 认证加密 认证加密
总结匹配规则,如下规律:
(1) 单独考虑SNMPv3组及用户的安全模式,应该是用户的安全模式应比组的安全模式复杂(因为snmp参数都是基于组的安全模式基础上进行校验的),举例来说就是当组采用“认证不加密”时,用户的模式至少是“认证”,至于“加密不加密”,就有两种选择了:“认证加密”与“认证不加密”
(2) 发送trap报文时,配置的trap报文安全模式,首先要比组的模式复杂(因为snmp参数都是基于组的安全模式基础上进行校验的),并且应该比用户模式简单,具体来说就是:当组及用户模式是不认证不加密时,Trap报文只能是不认证不加密;当组的模式是认证不加密,用户模式是认证加密时,trap报文模式既要比组的模式复杂,又要比用户模式简单,所以有两个选择“认证加密”与“认证不加密”。
(3)发送Inform 报文时,和上面(1)和(2)分析的规律差不多,这里主要考虑的就是snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式:
a. snmpv3组模式与向目的主机发送Inform报文模式的关系如上面(1)中snmpv3组与用户的关系
b. snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式的关系就如上面(2)中snmpv3组、用户与trap报文关系一致
1、 设备上配置snmp v3
不同于SNMPv1/v2c采用团体名认证机制,SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制,使用组来管理用户。NMS使用SNMPv3用户名访问设备时,是否需要认证和加密,由组的配置决定,创建用户时,可以为不同用户配置不同的算法和认证密码、加密密码。
1. 进入系统视图
system-view
2. 启动SNMP Agent服务
snmp-agent
3. 配置设备支持SNMPv3版本
snmp-agent sys-info version v3
4. 创建MIB视图(包含子树iso)
snmp-agent mib-view include iso iso
注:第一个“iso”为新建MIB视图名称,第二个“iso”是视图可访问的子树名称
5. 创建SNMPv3组(安全模式有三种,选择其中一种进行配置)
(1)创建不认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup read-view iso write-view iso
(2)创建认证不加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup authentication read-view iso write-view iso
(3)创建认证加密的snmpv3组,组名为“lxhgroup”,读写MIB视图名为“iso”
snmp-agent group v3 lxhgroup privacy read-view iso write-view iso
6. 创建SNMPv3用户(下面有三种方式,需要根据注意事项选择其中一种方式,来与6中SNMPv3组安全模式匹配)
(1) 创建不认证不加密的snmpv3用户,用户名为“lxh”
snmp-agent usm-user v3 lxh lxhgroup
(2) 创建认证不加密的snmpv3用户,用户名为“lxh”,认证方式选择“md5”或者“sha”,认证密码为“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123
(3) 创建认证加密的snmpv3用户,用户名为“lxh”,认证方式选择“md5”或者“sha”,认证密码为“lxh123”,加密算法选择“aes128”或者“des56”,加密密码为“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
注:1、如果组采用不认证不加密安全模式,则加入其组的用户可选择上面任意一种方式来创建SNMPv3用户;如果组采用认证不加密模式,则用户可选择认证不加密或者认证加密的方式建立SNMPv3用户;如果组采用认证加密模式,则加入的用户也必须采用认证加密的模式。
2、配置SNMP告警
SNMP告警信息包括Trap和Inform两种,用来告知NMS设备上发生了重要事件,比如,用户的登录/退出,接口状态变成up/down等。Inform不同于Trap之处在于:Agent向NMS发送报文时,Inform要求NMS发送回应报文,而Trap则不需要。
1、配置Trap信息发送参数
1. 进入系统视图
system-view
2. 使能发送Trap报文
snmp-agent trap enable
3. 配置Trap报文的发送参数(安全模式有三种,选择其中一种进行配置)
(1)配置lxh用户以无认证无加密的方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密方式向网管侧:172.22.3.121发送Trap报文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即网管侧所在服务器)ip地址,“lxh”为snmpv3用
户名。
2、Trap报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发
送Trap报文时,SNMPv3组、用户及Trap报文模式匹配如下表》
2、 配置Inform信息发送参数
Inform报文与Trap报文配置区别在于,Inform需要配置远端SNMP实体的引擎ID及与用户关联的远端实体的安全模型,即下面的(2)和(3),而Trap则不需要配置这两个命令。
1. 进入系统视图
system-view
2. 配置远端SNMP实体的引擎ID
snmp-agent remote 172.22.3.121 engineid 800063A2800123456789ABCDEF0123
注:172.22.3.121这里为NMS(即网管侧所在服务器)ip地址, 800063A2800123456789ABCDEF0123为远程SNMP实体的引擎ID,不论什么设备,这个远端engineID是固定的
3. 开启向目的主机发送Inform报文功能(安全模式有下面三种,可以任选其中一种)
(1) 以不认证不加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121
(2) 以认证不加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123
(3) 以认证加密模式向目的主机发送Inform报文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
4. 配置Inform报文的发送参数(安全模式有三种,选择其中一种进行配置)
(1)配置lxh用户以无认证无加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用户以认证不加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用户以认证加密的方式向iMC:172.22.3.121发送Trap报文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121这里为NMS(即iMC所在服务器)ip地址,“lxh”为snmpv3配置的用户名。
2、Inform报文与SNMPv3组及用户的安全模式对应关系请参见最下面附录表《发送Inform报文时,SNMPv3组、用户及Inform报文模式匹配如下表》
3、网管侧配置SNMPv3参数
根据设备上配置的本地snmp用户参数, 在网管侧该设备选择相同的安全模式、配置相同的参数。网管侧的配置必须和设备侧保持一致,否则无法进行相应操作。
4、附:SNMPv3组、用户、Trap报文及Inform报文安全模式对应表
1、发送Trap报文时,SNMPv3组、用户及Trap报文模式匹配如下表:
SNMPv3组模式 SNMPv3用户模式 Trap报文模式
不认证不加密 不认证不加密 不认证不加密
认证不加密 不认证不加密
认证不加密
认证加密 不认证不加密
认证不加密
认证加密
认证不加密 认证不加密 认证不加密
认证加密 认证不加密
认证加密
认证加密 认证加密 认证加密
2、发送Inform报文时,SNMPv3组、用户及Inform报文模式匹配如下表:
SNMPv3组
模式 SNMPv3用户
模式 向目的主机发送
Inform报文模式 Inform报文
模式
不认证不加密 不认证不加密 不认证不加密 不认证不加密
认证不加密
认证不加密 不认证不加密
认证不加密
认证加密
认证加密 不认证不加密
认证不加密
认证加密
认证不加密 认证不加密 认证不加密 认证不加密
认证加密 认证加密 认证不加密
认证加密
认证加密 认证加密 认证加密 认证加密
总结匹配规则,如下规律:
(1) 单独考虑SNMPv3组及用户的安全模式,应该是用户的安全模式应比组的安全模式复杂(因为snmp参数都是基于组的安全模式基础上进行校验的),举例来说就是当组采用“认证不加密”时,用户的模式至少是“认证”,至于“加密不加密”,就有两种选择了:“认证加密”与“认证不加密”
(2) 发送trap报文时,配置的trap报文安全模式,首先要比组的模式复杂(因为snmp参数都是基于组的安全模式基础上进行校验的),并且应该比用户模式简单,具体来说就是:当组及用户模式是不认证不加密时,Trap报文只能是不认证不加密;当组的模式是认证不加密,用户模式是认证加密时,trap报文模式既要比组的模式复杂,又要比用户模式简单,所以有两个选择“认证加密”与“认证不加密”。
(3)发送Inform 报文时,和上面(1)和(2)分析的规律差不多,这里主要考虑的就是snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式:
a. snmpv3组模式与向目的主机发送Inform报文模式的关系如上面(1)中snmpv3组与用户的关系
b. snmpv3组模式、向目的主机发送Inform报文模式及Inform报文模式的关系就如上面(2)中snmpv3组、用户与trap报文关系一致
...全文
请发表友善的回复…
发表回复
