SNMP v3版本已经推出很久了,但是其普及度一直不高,原因就在于其配置过于复杂,本文主要就以cisco2950、锐捷2600以及H3C 3600系列交换机的SNMP V3的配置为例进行说明。
首先以锐捷2600为例进行说明,交换机支持V3的主要功能,cisco 2950只支持认证和数据校验,但不支持数据加密。H3C命令格式稍有区别,但总体的配置过程基本一致:
第一步:配置一个系统视图(即允许访问的MIB库的OID值范围);
第二步:创建一个组,并设置组的验证方式以及允许访问的视图;
第三步:创建一个用户,设置隶属的组以及密码和加密密钥;
第四部:查看并确认配置。
一、锐捷交换机SNMPV3配置
本配置方法针对RG-S2600G系列交换机测试通过。
注:SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。
1、相关命令说明
操作命令说明
创建或更新视图的信息Ruijie(config)# snmp-server viewview-name oid-tree{include| exclude}创建一个MIB视图,包含或排除关联的MIB对象。
设置一个SNMP组Ruijie(config)# snmp-server groupgroupname{v1| v2c|v3{auth| noauth| priv}} [read readview] [writewriteview] [access{[ipv6ipv6_aclname] [aclnum|aclname] }]创建一个组,并和视图关联。
为一个SNMP组添加一个新用户Ruijie(config)# snmp-server userusername groupname{v1 | v2c | v3 [encrypted] [auth { md5|sha} auth-password] [priv des56priv-password] } [access{[ipv6ipv6_aclname] [aclnum| aclname] }]设置用户信息。
2、具体配置过程举例
第一步,配置 MIB 视图
该步骤为可选步骤,mib视图可以根据需要进行创建(需要限制访问内容时),若不做单独配置,可以直接使用系统默认视图(default),默认视图的mib对象为:default(include) 1.3.6.1
例如:创建一个MIB视图 “view1”,包含关联的MIB对象(1.3.6.1.2.1.1);再创建一个MIB视图“view2”,包含关联的MIB对象(1.3.6.1.2.1.1.4.0)。
Ruijie(config)#snmp-server view view1 1.3.6.1.2.1.1 include
Ruijie(config)#snmp-server view view2 1.3.6.1.2.1.1.4.0 include
第二步,创建一个组
例如创建一个组“g1”,选择版本号为“v3”,配置安全级别为认证加密模式“priv”,并可读视图“view1”,可写视图“view2”。
Ruijie(config)#snmp-server group g1 v3 priv read view1 write view2
注:
1:不指定单独视图时,组关联使用如下命令:
Ruijie(config)#snmp-server group g1 v3 priv read default write default
2:读权限和写权限分别设置,可以只设置读权限read,若不设置写权限则无法通过SNMP进行交换机配置更改。
3:命令可以配合ACL使用,ACL具体使用方法请参考其他说明。
第三步,配置SNMP 用户
对于SNMPv3用户,可以指定安全级别、认证算法(MD5或SHA)、认证口令、加密算法(目前只有DES)和加密口令;
例如:
创建用户名“user1”,属于组“g1”,选择版本号为“v3”,配置认证方式为“md5”,认证密码为“md5pass1234”,加密方式为“DES56”,加密密码为“despass1234”。
Ruijie(config)#snmp-server user user1 g1 v3 auth md5 md5pass1234 priv des56despass1234
注:1
1、认证方式可以选择md5,也可以选择sha,网管系统与交换机通讯是必须保持一致,否则无法进行验证。
2、部分测试工具测试SNMP V3时对密码长度有要求,要满足8位以上,虽然交换机上设置密码长度小于8为的简单口令时交换机能够配置成功,但通过SNMP V3访问时可能会无法正常访问,但交换机却不做任何错误性提示。
第四步,查看配置结果:
在特权用户模式下,执行show snmp ……来查看当前的SNMP 相关设置。命令作用
Ruijie# show snmp查看当前的SNMP状态
Ruijie# show snmp mib查看当前的代理支持的MIB对象
Ruijie# show snmp user查看当前代理上配置的SNMP用户
Ruijie# show snmp group查看当前代理上配置的组
Ruijie# show snmp view查看当前代理上配置的视图
在交换机上通过show run查看的配置结果。
二、思科交换机SNMPV3配置
本配置方法针对cisco 2950系列交换机测试通过。
锐捷交换机的配置命令是模仿Cisco的,所以cisco的配置方法与锐捷类似,主要配置步骤如下:
SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。
第一步,配置MIB视图
命令格式:(config)# snmp-server viewview-name oid-tree{include| exclude}
例如,创建一个视图名为testview的视图,包含关联的MIB 对象(1.3.6.1):
(config)#snmp-server view testview 1.3.6.1 include
注:1、mib视图不是必须,交换机默认存在视图,可以使用show snmp view 命令查看。cisco2950的默认视图如下:
cisco2950#show snmp view
v1default iso - included volatile active
v1default internet.6.3.15 - excluded volatile active
v1default internet.6.3.16 - excluded volatile active
v1default internet.6.3.18 - excluded volatile active
2、在cisco2950交换机中,创建mib对象1.3.6.1的视图时,交换机将修改对象名称,对应为internet,如下所示:
cisco2950#show snmp view
testview internet - included nonvolatile active
第二步,配置组
命令格式:
snmp-server group [groupname {v1 |v2c | v3 {auth | noauth | priv}}] [read readview] [write writeview] [notify notifyview] [access access-list]
例如,创建一个名称为testv3的组,启用认证模式,可访问testview的视图,传输不做加密:
(config)#snmp-server group testv3 v3 auth read viewv3 write viewv3
注:1、读和写分别指定视图,若只有读权限,则不能对交换机进行配置更改。
2、cisco2950和3550交换机默认没有加密算法模块,因此对snmp v3配置时只能配置认证不可配置加密,不能使用priv选项。
第三步,配置用户
命令格式:
(config)#snmp-server user username groupname [remote host [udp-port port]] {v1 | v2c | v3 [auth {md5 | sha} auth-password]} [encrypted] [access access-list]
例如:创建一个名称为snmptest的用户,属于testv3组,认证模式md5认证密码为mypass12345:
(config)#snmp-server user snmptest testv3 v3 auth md5 mypass12345
注:1、由于cisco2950和3550交换机默认没有加密算法模块,因此创建用户时只能配置认证不可配置加密,因此在关键字V3后只能选择auth方式,不能使用encrypted选项。
2、使用show run 命令查看交换机配置时,交换机不会列出创建的snmp v3的用户,可以使用show snmp user 命令进行查看,如下所示:
cisco2950#show snmp user
User name: snmptest
Engine ID: 800000090300000C58698A41
storage-type: nonvolatile
Rowstatus: active
Authentication Protocol: MD5
Group-name: testv3
三、H3C交换机SNMPV3配置
本配置方法针对RG-S2600G系列交换机测试通过。
配置命令说明:操作命令说明
进入系统视图system-view
创建或更新视图的信息snmp-agent mib-view{ included| excluded} view-name oid-tree可选,缺省情况下,视图名为ViewDefault,OID为1
设置一个SNMP组snmp-agent group v3group-name[ authentication|privacy] [ read-viewread-view] [ write-viewwrite-view] [ notify-viewnotify-view] [ aclacl-number]必选
为一个SNMP组添加一个新用户snmp-agent usm-user v3user-name group-name[ authentication-mode{ md5|sha} auth-password[ privacy-mode des56priv-password] ] [ aclacl-number]必选
配置过程如下:
第一步,配置视图
例如,创建名称为viewv3的视图,对于OID为1.3.6.1:
[h3c3600]snmp-agent mib-view included viewv3 1.3.6.1
注:OID1.3.6.1对应名称为internet,创建后通过display snmp mib-view查看:
[h3c3600]dis snmp mib-view
View name:viewv3
MIB Subtree:internet
Subtree mask:
Storage-type: nonVolatile
View Type:included
View status:active
View name:ViewDefault
MIB Subtree:iso
Subtree mask:
Storage-type: nonVolatile
View Type:included
View status:active
系统存在一个默认的视图ViewDefault,OID为1,及iso。
可以使用系统默认视图,也可以自行创建视图使用。
第二步,创建组
例如,创建一个组名为snmpv3的组,采用认证和加密传输,可访问viewv3视图。
[h3c3600]snmp-agent group v3 snmpv3 privacy read-view viewv3 write-view viewv3
注:
1、在[h3c3600]snmp-agent group v3 snmpv3 命令后可选择的命令选项如下:
acl Set access control list for this group
authentication Specify a securityLevel of AuthNoPriv for this group name
notify-view Set a notify view for this group name
privacy Specify a securityLevel of AuthPriv for this group name
read-view Set a read view for this group name
write-view Set a write view for this group name
其中privacy为认证和加密传输,而authentication则只认证不加密,可根据需要进行选择。
第三步,创建用户
例如,创建一个名为snmptest的账号,隶属于组snmpv3,认证模式:md5,加密模式des56;
[h3c3600]snmp-agent usm-user v3 snmptest snmpv3 authentication-mode md5 mypass123456 privacy-mode des56 mydes123456
注:
1:用户的认证和加密模式需要与组的模式相对应,否则将无法通讯。
2:H3C 3600支持md5和sha两种认证模式,加密算法支持des56和aes128.
