SNMP V3的配置指南

SNMP v3版本已经推出很久了,但是其普及度一直不高,原因就在于其配置过于复杂,本文主要就以cisco2950、锐捷2600以及H3C 3600系列交换机的SNMP V3的配置为例进行说明。

首先以锐捷2600为例进行说明,交换机支持V3的主要功能,cisco 2950只支持认证和数据校验,但不支持数据加密。H3C命令格式稍有区别,但总体的配置过程基本一致:

第一步:配置一个系统视图(即允许访问的MIB库的OID值范围);

第二步:创建一个组,并设置组的验证方式以及允许访问的视图;

第三步:创建一个用户,设置隶属的组以及密码和加密密钥;

第四部:查看并确认配置。

一、锐捷交换机SNMPV3配置

本配置方法针对RG-S2600G系列交换机测试通过。

注:SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

1、相关命令说明


操作


命令


说明


创建或更新视图的信息


Ruijie(config)# snmp-server view view-name oid-tree {include | exclude}


创建一个MIB 视图,包含或排除关联的MIB 对象。


设置一个 SNMP 组


Ruijie(config)# snmp-server group groupname {v1 | v2c|v3 {auth | noauth | priv}} [read readview] [write writeview] [access {[ipv6 ipv6_aclname] [aclnum |aclname] }]


创建一个组,并和视图关联。


为一个 SNMP 组添加一个新用户


Ruijie(config)# snmp-server user username groupname {v1 | v2c | v3 [encrypted] [auth { md5|sha } auth-password ] [priv des56 priv-password] } [access {[ipv6 ipv6_aclname] [aclnum | aclname] }]


设置用户信息。

2、具体配置过程举例

第一步,配置 MIB 视图

该步骤为可选步骤,mib视图可以根据需要进行创建(需要限制访问内容时),若不做单独配置,可以直接使用系统默认视图(default),默认视图的mib对象为:default(include) 1.3.6.1

例如:创建一个MIB 视图 “view1”,包含关联的MIB 对象(1.3.6.1.2.1.1);再创建一个MIB 视图“view2”,包含关联的MIB 对象(1.3.6.1.2.1.1.4.0)。

Ruijie(config)#snmp-server view view1 1.3.6.1.2.1.1 include

Ruijie(config)#snmp-server view view2 1.3.6.1.2.1.1.4.0 include

第二步,创建一个组

例如创建一个组“g1”,选择版本号为“v3”,配置安全级别为认证加密模式“priv”,并可读视图“view1”,可写视图“view2”。

Ruijie(config)#snmp-server group g1 v3 priv read view1 write view2

注:

1:不指定单独视图时,组关联使用如下命令:

Ruijie(config)#snmp-server group g1 v3 priv read default write default

2:读权限和写权限分别设置,可以只设置读权限read,若不设置写权限则无法通过SNMP进行交换机配置更改。

3:命令可以配合ACL使用,ACL具体使用方法请参考其他说明。

第三步,配置SNMP 用户

对于SNMPv3 用户,可以指定安全级别、认证算法(MD5 或SHA)、认证口令、加密算法(目前只有DES)和加密口令;

例如:

创建用户名“user1”,属于组“g1”,选择版本号为“v3”,配置认证方式为“md5”,认证密码为“md5pass1234”,加密方式为“DES56”,加密密码为“despass1234”。

Ruijie(config)#snmp-server user user1 g1 v3 auth md5 md5pass1234 priv des56 despass1234

注:1

1、认证方式可以选择md5,也可以选择sha,网管系统与交换机通讯是必须保持一致,否则无法进行验证。

2、部分测试工具测试SNMP V3时对密码长度有要求,要满足8位以上,虽然交换机上设置密码长度小于8为的简单口令时交换机能够配置成功,但通过SNMP V3访问时可能会无法正常访问,但交换机却不做任何错误性提示。

第四步,查看配置结果:

在特权用户模式下,执行show snmp ……来查看当前的SNMP 相关设置。


命令


作用


Ruijie# show snmp


查看当前的SNMP 状态


Ruijie# show snmp mib


查看当前的代理支持的MIB 对象


Ruijie# show snmp user


查看当前代理上配置的SNMP 用户


Ruijie# show snmp group


查看当前代理上配置的组


Ruijie# show snmp view


查看当前代理上配置的视图

在交换机上通过show run查看的配置结果。

二、思科交换机SNMPV3配置

本配置方法针对cisco 2950系列交换机测试通过。

锐捷交换机的配置命令是模仿Cisco的,所以cisco的配置方法与锐捷类似,主要配置步骤如下:

SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

第一步,配置 MIB 视图

命令格式:(config)# snmp-server view view-name oid-tree {include | exclude}

例如,创建一个视图名为testview的视图,包含关联的MIB 对象(1.3.6.1):

(config)#snmp-server view testview 1.3.6.1 include

注:1、mib视图不是必须,交换机默认存在视图,可以使用show snmp view 命令查看。cisco2950的默认视图如下:

cisco2950#show snmp view

v1default iso - included volatile active

v1default internet.6.3.15 - excluded volatile active

v1default internet.6.3.16 - excluded volatile active

v1default internet.6.3.18 - excluded volatile active

2、在cisco2950交换机中,创建mib对象1.3.6.1的视图时,交换机将修改对象名称,对应为internet,如下所示:

cisco2950#show snmp view

testview internet - included nonvolatile active

第二步,配置组

命令格式:

snmp-server group [groupname {v1 |v2c | v3 {auth | noauth | priv}}] [read readview] [write writeview] [notify notifyview] [access access-list]

例如,创建一个名称为testv3的组,启用认证模式,可访问testview的视图,传输不做加密:

(config)#snmp-server group testv3 v3 auth read viewv3 write viewv3

注:1、读和写分别指定视图,若只有读权限,则不能对交换机进行配置更改。

2、cisco2950和3550交换机默认没有加密算法模块,因此对snmp v3配置时只能配置认证不可配置加密,不能使用priv选项。

第三步,配置用户

命令格式:

(config)# snmp-server user username groupname [remote host [udp-port port]] {v1 | v2c | v3 [auth {md5 | sha} auth-password]} [encrypted] [access access-list]

例如:创建一个名称为snmptest的用户,属于testv3组,认证模式md5认证密码为mypass12345:

(config)#snmp-server user snmptest testv3 v3 auth md5 mypass12345

注:1、由于cisco2950和3550交换机默认没有加密算法模块,因此创建用户时只能配置认证不可配置加密,因此在关键字V3后只能选择auth方式,不能使用encrypted选项。

2、使用show run 命令查看交换机配置时,交换机不会列出创建的snmp v3的用户,可以使用show snmp user 命令进行查看,如下所示:

cisco2950#show snmp user

User name: snmptest

Engine ID: 800000090300000C58698A41

storage-type: nonvolatile

Rowstatus: active

Authentication Protocol: MD5

Group-name: testv3

三、H3C交换机SNMPV3配置

本配置方法针对RG-S2600G系列交换机测试通过。

配置命令说明:


操作


命令


说明


进入系统视图


system-view


创建或更新视图的信息


snmp-agent mib-view { included | excluded } view-name oid-tree


可选,缺省情况下,视图名为ViewDefault,OID 为1


设置一个 SNMP 组


snmp-agent group v3 group-name [ authentication |privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]


必选


为一个 SNMP 组添加一个新用户


snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 |sha } auth-password [ privacy-mode des56 priv-password ] ] [ acl acl-number ]


必选

配置过程如下:

第一步,配置视图

例如,创建名称为viewv3的视图,对于OID为1.3.6.1:

[h3c3600]snmp-agent mib-view included viewv3 1.3.6.1

注:OID1.3.6.1对应名称为internet,创建后通过display snmp mib-view查看:

[h3c3600]dis snmp mib-view

View name:viewv3

MIB Subtree:internet

Subtree mask:

Storage-type: nonVolatile

View Type:included

View status:active

View name:ViewDefault

MIB Subtree:iso

Subtree mask:

Storage-type: nonVolatile

View Type:included

View status:active

系统存在一个默认的视图ViewDefault,OID为1,及iso。

可以使用系统默认视图,也可以自行创建视图使用。

第二步,创建组

例如,创建一个组名为snmpv3的组,采用认证和加密传输,可访问viewv3视图。

[h3c3600]snmp-agent group v3 snmpv3 privacy read-view viewv3 write-view viewv3

注:

1、在[h3c3600]snmp-agent group v3 snmpv3 命令后可选择的命令选项如下:

acl             Set access control list for this group

authentication  Specify a securityLevel of AuthNoPriv for this group name

notify-view     Set a notify view for this group name

privacy         Specify a securityLevel of AuthPriv for this group name

read-view       Set a read view for this group name

write-view      Set a write view for this group name

<cr>

其中privacy为认证和加密传输,而authentication则只认证不加密,可根据需要进行选择。

第三步,创建用户

例如,创建一个名为snmptest的账号,隶属于组snmpv3,认证模式:md5,加密模式des56;

[h3c3600]snmp-agent usm-user v3 snmptest snmpv3 authentication-mode md5 mypass123456 privacy-mode des56 mydes123456

注:

1:用户的认证和加密模式需要与组的模式相对应,否则将无法通讯。

2:H3C 3600支持md5和sha两种认证模式,加密算法支持des56和aes128.

时间: 2024-11-08 23:00:52

SNMP V3的配置指南的相关文章

snmp v3 配置

snmp v1 v2 由于不安全,被PCI认证禁止,只能启用SNMP V3,现在把snmp的V3配置记录下来 snmp v1 v2c 关闭,要snmpd.conf把下面两行注释掉. group   notConfigGroup v1           notConfigUser group   notConfigGroup v2c           notConfigUser 安装软件 yum install net-snmp net-snmp-devel net-snmp-utils 加只

H3C设备与中兴89系列交换机snmp V3配置模板与kali snmpwalk配套测试

SNMP V3 支持三重安全机制,比V2C.V2与V1更安全NMS与Agent建立连接时需要认证,报文传输需要加密:交互时需要团体名. 1.中兴89系列交换机SNMP v3 配置模板:snmp  enable  inform snmp version v3 enable snmp community XXXsnmp-server group ztegrp v3 auth read DefaultViewsnmp-server group ztegrp v3 auth write DefaultV

自动化运帷之分布式监控-zabbix 配置指南

zabbix 配置指南: Hosts zabbix中的hosts就是指你想监控的设备,如服务器.工作站.交换机等等.如果你想监控某个主机X的某个变量,你必须先创建一个主机X,然后再给该主机添加监控items.hosts可以被有组织的安排进host group中. 通过zabbix的前端web界面配置hosts: ? 1 Configuration->Hosts->Create Host 此页面中有5个表单:Host.Template.IPMI.Macros.Host inventory. Ho

几款网络设备配置SNMP V3协议监控网络

由于要做SNMP监控网络设备,为了保障监控的安全性,需要配置SNMP V3协议,并且做散列值运算,加密散列值计算后的数据,由于不同厂商设备配置命令不一样,甚至同一厂商不同产品配置也不一样(但是原理基本相同),这里就我接触的几款网络设备配置SNMP V3协议的经验列出来,以供大家和我共同学习. 华为AR2220-S路由器配置信息 设备ip:10.0.0.1 用户名:aaaaaa 认证模式sha:authentication-mode sha:bbbbbbbbb 加密模式aes128:privacy

zabbix中文配置指南(转载)

zabbix中文配置指南 一.Zabbix简介 1.1 Zabbix简介 Zabbix是一个企业级的开源分布式监控解决方案,由一个国外的团队持续维护更新,软件可以自由下载使用,运作团队靠提供收费的技术支持赢利.官方网站:http://www.zabbix.com官方文档:http://www.zabbix.com/documentation/2.0/manual/quickstart.Zabbix通过C/S模式采集数据,通过B/S模式在web端展示和配置. Zabbix运行条件: Server:

Caffe + Ubuntu 15.04 + CUDA 7.5 新手安装配置指南

Caffe + Ubuntu 15.04 + CUDA 7.5 新手安装配置指南 特: 0. Caffe 官网地址:http://caffe.berkeleyvision.org/ 1. 本文为作者亲自实验完成,但仅限用于学术交流使用,使用本指南造成的任何不良后果由使用者自行承担,与本文作者无关,谢谢!为保证及时更新,转载请标明出处,谢谢! 2. 本文旨在为新手提供一个参考,请高手勿要吐槽,有暴力倾向者,请绕道,谢谢! 3. 本文使用2015年11月8日下载的caffe-master版本,运行平

苹果ATS特性服务器证书配置指南

配置指南: 需要配置符合PFS规范的加密套餐,目前推荐配置: ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 需要在服务端TLS协议中启用TLS1.2,目前推荐配置: TLSv1 TLSv1.1 TLSv1.2 1.Nginx 证书配置 更新Nginx根目录下 conf/nginx.conf 文件如下: server {    ssl_ciphers ECDHE-RSA-AES128-GCM-

[转载]SharePoint 2013测试环境安装配置指南

软件版本 Windows Server 2012 标准版 SQL Server 2012 标准版 SharePoint Server 2013 企业版 Office Web Apps 2013 备注:安装之前,需要各个服务器的IP地址,机器名称设置好,并且已经加入到域中. 一 安装AD域控制器 1. 添加AD服务 a) 打开服务器管理器,选择[添加角色和功能] b) 在[开始之前]页面直接点击[下一步] c) 选择[基于角色或基于功能的安装]后,点击[下一步] d) 选择[从服务器池中选择服务器

Cisco UCS环境中CentOS带Vlan ID的网络配置指南

最近新进了一批Cisco UCS C系列服务器,经过两周的部署安装终于可以进行测试了.本文简要介绍一下cisco UCS服务器中操作系统(CentOS 6)的网络配置.可以简单的认为,本文描述的是一台物理服务器用网线将网卡连接到上层交换机的trunk模式的端口中的网络配置. 物理连接拓扑图如下所示. 顶层采用Cisco C3560物理交换机,为整个机群提供Internet连接.Vlan划分为两个,一个管理Vlan一个应用Vlan,Vlan ID分别为4和31,上联端口全部设置为trunk模式.