Snmp v3 trap 配置指導
1、 設備上配置snmp v3
不同于SNMPv1/v2c采用團體名認證機制,SNMPv3采用USM(User-Based Security Model,基于用戶的安全模型)認證機制,使用組來管理用戶。NMS使用SNMPv3用戶名訪問設備時,是否需要認證和加密,由組的配置決定,創建用戶時,可以為不同用戶配置不同的演算法和認證密碼、加密密碼。
1. 進入系統視圖
system-view
2. 啟動SNMP Agent服務
snmp-agent
3. 配置設備支持SNMPv3版本
snmp-agent sys-info version v3
4. 創建MIB視圖(包含子樹iso)
snmp-agent mib-view include iso iso
注:第一個“iso”為新建MIB視圖名稱,第二個“iso”是視圖可訪問的子樹名稱
5. 創建SNMPv3組(安全模式有三種,選擇其中一種進行配置)
(1)創建不認證不加密的snmpv3組,組名為“lxhgroup”,讀寫MIB視圖名為“iso”
snmp-agent group v3 lxhgroup read-view iso write-view iso
(2)創建認證不加密的snmpv3組,組名為“lxhgroup”,讀寫MIB視圖名為“iso”
snmp-agent group v3 lxhgroup authentication read-view iso write-view iso
(3)創建認證加密的snmpv3組,組名為“lxhgroup”,讀寫MIB視圖名為“iso”
snmp-agent group v3 lxhgroup privacy read-view iso write-view iso
6. 創建SNMPv3用戶(下面有三種方式,需要根據注意事項選擇其中一種方式,來與6中SNMPv3組安全模式匹配)
(1) 創建不認證不加密的snmpv3用戶,用戶名為“lxh”
snmp-agent usm-user v3 lxh lxhgroup
(2) 創建認證不加密的snmpv3用戶,用戶名為“lxh”,認證方式選擇“md5”或者“sha”,認證密碼為“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123
(3) 創建認證加密的snmpv3用戶,用戶名為“lxh”,認證方式選擇“md5”或者“sha”,認證密碼為“lxh123”,加密演算法選擇“aes128”或者“des56”,加密密碼為“lxh123”
snmp-agent usm-user v3 lxh lxhgroup simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
注:1、如果組采用不認證不加密安全模式,則加入其組的用戶可選擇上面任意一種方式來創建SNMPv3用戶;如果組采用認證不加密模式,則用戶可選擇認證不加密或者認證加密的方式建立SNMPv3用戶;如果組采用認證加密模式,則加入的用戶也必須采用認證加密的模式。
2、配置SNMP告警
SNMP告警資訊包括Trap和Inform兩種,用來告知NMS設備上發生了重要事件,比如,用戶的登錄/退出,介面狀態變成up/down等。Inform不同于Trap之處在于:Agent向NMS發送報文時,Inform要求NMS發送回應報文,而Trap則不需要。
1、配置Trap資訊發送引數
1. 進入系統視圖
system-view
2. 使能發送Trap報文
snmp-agent trap enable
3. 配置Trap報文的發送引數(安全模式有三種,選擇其中一種進行配置)
(1)配置lxh用戶以無認證無加密的方式向網管側:172.22.3.121發送Trap報文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用戶以認證不加密的方式向網管側:172.22.3.121發送Trap報文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用戶以認證加密方式向網管側:172.22.3.121發送Trap報文
snmp-agent target-host trap address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121這里為NMS(即網管側所在服務器)ip地址,“lxh”為snmpv3用
戶名。
2、Trap報文與SNMPv3組及用戶的安全模式對應關系請參見最下面附錄表《發
送Trap報文時,SNMPv3組、用戶及Trap報文模式匹配如下表》
2、 配置Inform資訊發送引數
Inform報文與Trap報文配置區別在于,Inform需要配置遠端SNMP物體的引擎ID及與用戶關聯的遠端物體的安全模型,即下面的(2)和(3),而Trap則不需要配置這兩個命令。
1. 進入系統視圖
system-view
2. 配置遠端SNMP物體的引擎ID
snmp-agent remote 172.22.3.121 engineid 800063A2800123456789ABCDEF0123
注:172.22.3.121這里為NMS(即網管側所在服務器)ip地址, 800063A2800123456789ABCDEF0123為遠程SNMP物體的引擎ID,不論什么設備,這個遠端engineID是固定的
3. 開啟向目的主機發送Inform報文功能(安全模式有下面三種,可以任選其中一種)
(1) 以不認證不加密模式向目的主機發送Inform報文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121
(2) 以認證不加密模式向目的主機發送Inform報文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123
(3) 以認證加密模式向目的主機發送Inform報文
snmp-agent usm-user v3 lxh lxhgroup remote 172.22.3.121 simple authentication-mode md5 | sha lxh123 privacy-mode aes128 | des56 lxh123
4. 配置Inform報文的發送引數(安全模式有三種,選擇其中一種進行配置)
(1)配置lxh用戶以無認證無加密的方式向iMC:172.22.3.121發送Trap報文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3
(2)配置lxh用戶以認證不加密的方式向iMC:172.22.3.121發送Trap報文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 authentication
(3)配置lxh用戶以認證加密的方式向iMC:172.22.3.121發送Trap報文
snmp-agent target-host inform address udp-domain 172.22.3.121 params securityname lxh v3 privacy
注:1、172.22.3.121這里為NMS(即iMC所在服務器)ip地址,“lxh”為snmpv3配置的用戶名。
2、Inform報文與SNMPv3組及用戶的安全模式對應關系請參見最下面附錄表《發送Inform報文時,SNMPv3組、用戶及Inform報文模式匹配如下表》
3、網管側配置SNMPv3引數
根據設備上配置的本地snmp用戶引數, 在網管側該設備選擇相同的安全模式、配置相同的引數。網管側的配置必須和設備側保持一致,否則無法進行相應操作。
4、附:SNMPv3組、用戶、Trap報文及Inform報文安全模式對應表
1、發送Trap報文時,SNMPv3組、用戶及Trap報文模式匹配如下表:
SNMPv3組模式 SNMPv3用戶模式 Trap報文模式
不認證不加密 不認證不加密 不認證不加密
認證不加密 不認證不加密
認證不加密
認證加密 不認證不加密
認證不加密
認證加密
認證不加密 認證不加密 認證不加密
認證加密 認證不加密
認證加密
認證加密 認證加密 認證加密
2、發送Inform報文時,SNMPv3組、用戶及Inform報文模式匹配如下表:
SNMPv3組
模式 SNMPv3用戶
模式 向目的主機發送
Inform報文模式 Inform報文
模式
不認證不加密 不認證不加密 不認證不加密 不認證不加密
認證不加密
認證不加密 不認證不加密
認證不加密
認證加密
認證加密 不認證不加密
認證不加密
認證加密
認證不加密 認證不加密 認證不加密 認證不加密
認證加密 認證加密 認證不加密
認證加密
認證加密 認證加密 認證加密 認證加密
總結匹配規則,如下規律:
(1) 單獨考慮SNMPv3組及用戶的安全模式,應該是用戶的安全模式應比組的安全模式復雜(因為snmp引數都是基于組的安全模式基礎上進行校驗的),舉例來說就是當組采用“認證不加密”時,用戶的模式至少是“認證”,至于“加密不加密”,就有兩種選擇了:“認證加密”與“認證不加密”
(2) 發送trap報文時,配置的trap報文安全模式,首先要比組的模式復雜(因為snmp引數都是基于組的安全模式基礎上進行校驗的),并且應該比用戶模式簡單,具體來說就是:當組及用戶模式是不認證不加密時,Trap報文只能是不認證不加密;當組的模式是認證不加密,用戶模式是認證加密時,trap報文模式既要比組的模式復雜,又要比用戶模式簡單,所以有兩個選擇“認證加密”與“認證不加密”。
(3)發送Inform 報文時,和上面(1)和(2)分析的規律差不多,這里主要考慮的就是snmpv3組模式、向目的主機發送Inform報文模式及Inform報文模式:
a. snmpv3組模式與向目的主機發送Inform報文模式的關系如上面(1)中snmpv3組與用戶的關系
b. snmpv3組模式、向目的主機發送Inform報文模式及Inform報文模式的關系就如上面(2)中snmpv3組、用戶與trap報文關系一致
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/17002.html
標籤:網絡協議與配置
下一篇:【Python爬蟲+js逆向】使用Python爬取騰訊漫畫的逆向分析(典型簽名驗證反爬蟲的解決方案)——以騰訊動漫《一人之下》第一話為例