由于要做SNMP监控网络设备,为了保障监控的安全性,需要配置SNMP V3协议,并且做散列值运算,加密散列值计算后的数据,由于不同厂商设备配置命令不一样,甚至同一厂商不同产品配置也不一样(但是原理基本相同),这里就我接触的几款网络设备配置SNMP V3协议的经验列出来,以供大家和我共同学习。
华为AR2220-S路由器配置信息
设备ip:10.0.0.1
用户名:aaaaaa
认证模式sha:authentication-mode sha:bbbbbbbbb
加密模式aes128:privacy-mode aes128:cccccccccc
acl number 2030
rule 10 permit source 192.168.100.100 0 ##监控服务器地址
rule 500 deny
snmp-agent group v3 myroup privacy write-view dnsmib notify-view dnsmib acl 2030 //配置mygroup组能允许读写的MIB视图节点,并用ACL控制特定主机才能访问
snmp-agent target-host trap-hostname nms address 192.168.100.100 udp-port 162 trap-paramsname trapsms //配置推送SNMP远程主机IP和端口(由于监控是远程主机主动来取数据,这个可以不用配置)
snmp-agent target-host trap-paramsname trapnms v3 securityname cccccccccc privacy //配置SNMP V3使用的认证方式privacy(即作散列也做加密)
snmp-agent mib-view dnsmib include hwDnsMIB //定义用户自定义名称dnsmib添加到设备的MIB视图的hwDnsMIB节点上
snmp-agent usm-user v3 aaaaaa //定义用户名
snmp-agent usm-user v3 aaaaaa group mygroup //定义用户所属组
snmp-agent usm-user v3 aaaaaa authentication-mode sha bbbbbbbbb //定义认证方式sha并且认证密码是bbbbbbbbb
snmp-agent usm-user v3 aaaaaa privacy-mode aes128 cccccccccc //定义加密方式为aes128加密,加密密码是cccccccccc
snmp-agent trap enable //开启推送信息
snmp-agent trap queue-size 200 //推送信息队列大小200(选配)
snmp-agent trap life 60 //推送时间间隔60s(选配)
snmp-agent //开启SNMP代理
H3C S5110-SI系列以太网交换机
设备ip:10.0.0.2
用户名:aaaaaa
认证模式sha:authentication-mode sha:bbbbbbbbb
加密模式aes128:privacy-mode aes128:cccccccccc
acl number 2030
rule 10 permit source 192.168.100.100 0 ##监控服务器地址
rule 500 deny
snmp-agent //开启SNMP代理
snmp-agent sys-info version v3 //snmp版本为V3
snmp-agent group v3 mygroup privacy read-view internet write-view internet acl 2030 //配置mygroup组能允许读写的MIB视图节点,并用ACL控制特定主机才能访问
snmp-agent target-host trap address udp-domain 192.168.100.100 params securityname moxian v3 privacy //配置推送SNMP远程主机IP和端口(由于监控是远程主机主动来取数据,这个可以不用配置)
snmp-agent mib-view included internet internet //定义用户自定义名称internet添加到设备的MIB视图的internet节点上
snmp-agent calculate-password bbbbbbbbb mode sha local-engineid //通过SHA加密认证密码(此时会生成加密后的字符串,复制下来,下面要用到)
snmp-agent calculate-password cccccccccc mode sha local-engineid //通过SHA加密加密密码(此时会生成加密后的字符串,复制下来,下面要用到)
snmp-agent usm-user v3 aaaaaa mygroup cipher authentication-mode sha $c$3$wkLz6nizTGLEe3dXSRFKQXxtrRipQpreJFmLbf5XT84J7vO1GCs= privacy-mode aes128 $c$3$cUzY7rjLnbYG3xMORQ1WcbgAOyLpQPg1uAwTPlgur1IJXw==
//配置用户aaaaaa所属组为mygroup,认证方式为sha认证(将认证密码加密后的字符串贴到此处)加密方式为aes128(将密码加密后的字符串贴到此处)
snmp-agent trap enable default-route //配置推送路由(选配)
HW-S5700S系列三层交换机
设备ip:10.0.0.3
用户名:aaaaaa
SHA: bbbbbbbbb
DES56: ccccccccc
由于该款设备系统版本比较老,不支持AES加密,所以使用的老版本的DES56加密
acl number 2030
rule 10 permit source 192.168.100.100 0 ##监控服务器地址
rule 500 deny
snmp-agent //开启SNMP代理
snmp-agent mib-view included internet internet //定义用户自定义名称internet添加到设备的MIB视图的internet节点上
snmp-agent community read cipher internet internet
snmp-agent sys-info version v3 //snmp版本为V3
snmp-agent group v3 mygroup privacy write-view internet acl 2030 //配置mygroup组能允许读写的MIB视图节点,并用ACL控制特定主机才能访问
snmp-agent target-host trap address udp-domain 192.168.100.100 udp-port 162 params securityname moxian v3 privacy //配置推送SNMP远程主机IP和端口(由于监控是远程主机主动来取数据,这个可以不用配置)
snmp-agent mib-view included internet internet //定义用户自定义名称internet添加到设备的MIB视图的internet节点上
snmp-agent usm-user v3 aaaaaa mygroup authentication-mode sha bbbbbbbbb privacy-mode des56 ccccccccc //配置用户aaaaaa所属组为mygroup,认证方式为sha认证,加密方式为aes128
snmp-agent trap source Vlanif10 //配置推送的源接口是vlan10(选配)
snmp-agent trap enable feature-name SNMP //配置推送的特性为snmp(选配)
其实各大厂商各个不同型号版本之间配置命令都是大同小异,只要明白SNMP工作原理,配置的话可以去相应品牌官网查找相应设备配置文档,里面有该款设备配置方法。