snmp工作原理

SNMP 的工作原理:SNMP（Simple Network Management Protocol，简单网络管理协议）首先是由IETF的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP的设计原则是简单性和扩展性。简单性是通过信息类型限制、请求响应或协议而取得。扩展性是通过将管理信息模型与协议、被管理对象的详细规（MIB分离而实现的。网络管理体系结构SNMP的网络管理模型包括以下关键元素：管理站、代理者、管理信息库、网络管理协议。管理站一般是一个分立的设备，也可以利用共享系统实现。管理站作为网络管理员与网络管理系统的接口，它的基本构成为：一组具有分析数据、发现故障等功能的管理程序一个用于网络管理员监控网络的接口将网络管理员的要求转变为对远程网络元素的实际监控的能力一个从所有被管网络实体的MIB中抽取信息的数据库。网络管理系统中另一个重要元素是代理者。装备了SNMP的平台，如主机、网桥、路由器及集线器均可作为代理者工作。代理者对来自管理站的信息请求和动作请求进行应答，并随机地为管理站报告一些重要的意外事件。网络资源被抽象为对象进行管理。但SNMP中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类，对象的集合被组织为管理信息库（MIB）。MIB作为设在代理者处的管理站访问点的集合，管理站通过读取MIB中对象的值来进行网络监控。管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置。管理站和代理者之间通过网络管理协议通信，SNMP通信协议主要包括以下能力。· Get：管理站读取代理者处对象的值。· Set：管理站设置代理者处对象的值。· Trap：代理者向管理站通报重要事件。在标准中，没有特别指出管理站的数量及管理站与代理者的比例。一般地，应至少要有两个系统能够完成管理站功能，以提供冗余度，防止故障。网络管理协议环境SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中，管理者进程对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。

一、snmp相关工作原理：

二、SNMPv1/v2c协议

配置示例

1.执行命令system-view，进入系统视图。

2.执行命令snmp-agent，使能SNMP Agent服务。

缺省情况下，执行任意snmp-agent的配置命令（无论是否含参数）都可以触发SNMP Agent服务使能。

3.执行命令snmp-agent sys-info version { { v1 | v2c } * }，配置SNMP的协议版本为SNMPv1或者SNMPv2c。

4.执行命令snmp-agent community { read | write } community-name [ mib-view view-name | acl acl-number ] *，配置读写团体名及团体名可以访问的MIB视图。

设备默认的view-name为ViewDefault视图，该视图允许对internet节点（其OID为1.3.6.1）和lagMIB节点（其OID为1.2.840.10006.300.43）进行操作。

检查配置结果

设备使用SNMPv1/v2c协议通信，通过如下命令，查看配置的SNMP参数配置结果是否正确。

•执行命令display snmp-agent sys-info version，查看SNMP版本。

•执行命令display snmp-agent community { read | write }，查看SNMP读写团体名。

•执行命令display snmp-agent mib-view，查看SNMP MIB视图信息。

三、设备使用SNMPv3协议

配置示例：

1.执行命令system-view，进入系统视图。

2.执行命令snmp-agent，使能SNMP Agent服务。

缺省情况下，执行任意snmp-agent的配置命令（无论是否含参数）都可以触发SNMP Agent服务使能。

3.执行命令snmp-agent sys-info version v3，配置SNMP的协议版本。

4.执行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ read-view read-view | write-view write-view | notify-view notify-view ] *，配置SNMPv3用户组。

当网管和设备处在不安全的网络环境中时，比如容易遭受攻击等，建议用户配置参数authentication或privacy，使能数据的认证或加密功能。

5.执行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *，配置SNMPv3用户。

设备侧参数user-name需与网管侧的“SNMP协议参数”中的Security user name保持一致。

6.执行命令snmp-agent usm-user v3 user-name authentication-mode { md5 | sha | sha2-256 }，配置SNMPv3用户认证密码。

在使用中需要注意，MD5和SHA属于不安全的用户认证密码，建议使用相对安全的SHA2-256用户认证密码。

设备侧参数authentication-mode和password需分别与网管侧的“SNMP协议参数”中的Authentication protocol和password保持一致。

7.执行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 | aes256 }，配置SNMPv3用户加密密码。

在使用中需要注意，DES56属于不安全的加密算法，建议使用AES128加密算法。设备侧参数privacy-mode和password需分别与网管侧的“SNMP协议参数”中的Privacy protocol和password保持一致。

用户组和用户配置完成后，使用该用户名的网管拥有ViewDefault视图（即1.3.6.1和1.2.840.10006.300.43）的权限。

检查配置结果

设备使用SNMPv3协议通信，通过如下命令，查看配置的SNMP参数配置结果是否正确。

•执行命令display snmp-agent sys-info version，查看SNMP版本。

•执行命令display snmp-agent group [ group-name ]，查看用户组信息。

•执行命令display snmp-agent usm-user [ user-name ]，查看用户信息。

•执行命令display snmp-agent mib-view，查看SNMP MIB视图信息。

四、配置设备侧的Trap参数

设备的故障信息可以通过SNMP协议中的Trap报文，主动向网管侧发送。只有在设备上使能发送Trap报文的功能并设置Trap目标主机后，网管侧才能对设备上的故障信息进行监控。

配置设备发送告警前，需要先确认信息中心已经使能。如未使能，需要执行info-center enable命令。

snmp-agent trap enable

snmp-agent target-host trap-paramsname paramsname { { v1 | v2c } securityname securityname | v3 securityname securityname { authentication | noauthnopriv | privacy } } [ binding-private-value ][ private-netmanager ]

snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ][ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname

Trap snmp v1/v2c:

snmp-agent trap enable

snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname

校验的关键字securityname

snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname

Trap snmp V3

snmp-agent trap enable

snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication

校验的关键字securityname

snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname

操作步骤

1.执行命令system-view，进入系统视图。

2.执行命令snmp-agent trap enable，使能设备发送Trap报文的功能。

执行上述命令会一次性打开所有模块的告警开关。当用户希望打开特定模块的告警开关时，可以使用命令snmp-agent trap enable feature-name feature-name 。

用户具备三种属性，按照安全性从高到低为：

•1级：privacy（鉴权且加密）

•2级：authentication（只鉴权）

•3级：noauthnopriv（不鉴权不加密）

执行命令snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname ，配置设备发送告警和错误码的目的主机。

请参考下面的说明对参数进行选取：

•目的UDP端口号 缺省 是162，如果有特殊需求导致端口被占用（比如避免知名端口号被攻击配置了端口镜像），可以配置udp-port将UDP端口号更改为非知名端口号，保证网管和被管理设备的正常通信。

•如果被管理设备发送的告警需要 通过公网 传递给网管时，选择参数public-net；如果被管理设备发送的告警需要通过私网传递给网管时，选择参数vpn-instance vpn-instance-name，指定告警需要穿越的VPN实例。

检查配置结果

通过如下命令，查看配置的Trap参数配置结果是否正确。

•执行命令display current-configuration | include trap，查看Trap配置信息。

•执行命令display snmp-agent trap all，查看所有特性下所有Trap开关当前的状态和缺省状态。

•执行命令display snmp-agent target-host，查看目标主机的信息。

SNMP v1/v2c:

SNMPv1/v2c协议基础配置

snmp-agent

snmp-agent sys-info version v2

snmp-agent community read community-name

snmp-agent usm-user v3 user-name

snmp v1/v2c:

告警Trap配置

snmp-agent trap enable

snmp-agent target-host trap-paramsname paramsname { v1 | v2c } securityname securityname

校验的关键字securityname

snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname

SNMPv3

SNMPv3协议基础配置

snmp-agent

snmp-agent sys-info version v3

snmp-agent group v3 group-name authentication

snmp-agent usm-user v3 user-name group group-name

snmp-agent usm-user v3 user-name authentication-mode sha

Chonglang2020

snmp-agent usm-user v3 user-name privacy-mode aes128

Chonglang2021

snmp V3

告警Trap配置

snmp-agent trap enable

snmp-agent target-host trap-paramsname paramsname v3 securityname securityname authentication

校验的关键字securityname

snmp-agent target-host trap-hostname hostname address ipv4-addr [ udp-port udp-portid ] trap-paramsname paramsname

---