H3C路由交换 SNMT配置

SNMP及日志管理

SNMP（Simple Network Managemant Protocol，简单网络管理协议）提供了一种从网络设备中收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。SNMP可以屏蔽不同设备的物理差异，实现不同厂商产品的自动化管理。

SNMP已经成为IP领域网络管理的标准协议，并被广泛应用。

ISO（International Organization For Standardization，国际化标准组织）定义的网络管理关键功能有：

• 故障管理：对网络中的问题或故障进行定位的过程。通过提供快速检查问题并启动恢复过程的工具，使网络的可靠性增强。
• 计费管理：测量用户对网络的资源使用情况，并据此建立度量标准，设定额度，确定费用以及给用户开具账单。
• 配额管理：从网络获取数据，并使用这些数据对网络设备的配置进行管理的过程。目标是监视网络运行的环境和状态，改变和协调网络设备的配置，确保网络有效和可靠的运行。
• 性能管理：保证网络保持在可通过和不拥塞的状态，为用户提供更好的服务。目标是通过监控网络的运行状态、调整网络参数来改善网络的性能，确保网络的安全运行。
• 安全管理：通过控制信息的访问点保护网络中的敏感信息。

网络管理面临的挑战

• 网络规模越来越大；
• 网络设备越来越多样性；
• 自动化管理成为网络管理的基本需求；

SNMP提供了一种对多供应商、可协同操作的网络管理工具，成为应用广泛的IP网络管理协议

• SNMP协议实现简单，适合IP网络管理要求；
• SNMP能够花费最少的人力、设备、资金提供更智能的网络管理服务。

SNMP基本架构

• 网络管理站（NMS）
  • NMS通常是一个独立的设备，上面运行着网络管理的应用程序。网络管理应用程序能够提供一个非常友好的人机交互界面，网络管理员能够通过它来完成绝大多数的网络管理工作。
  • NMS通过SNMP协议从SNMP Agent获取管理信息，并且监听UDP162端口，接收SNMP Agent发送的Trap/警告信息。同时NMS还努力的做到提供失效管理、安全管理、计费管理、配置管理和性能管理。
• 代理器（Agent）
  • SNMP Agent是驻留在被管理设备的一个软件模块，它主要负责如下管理任务：
    • 监听UDP 161 端口，接收和处理来自NMS的请求报文，并将处理结果返回给NMS；
    • 在一些紧急情况下，SNMP Agent还会主动发送Trap告警报文给NMS；
• SNMP协议
  • NMS与被管理设备之间的交互遵循SNMP协议规定；
• 管理信息库（MIB）
  • MIB是存储在被管理设备中的管理信息数据库；

管理信息库（MIB）

• MIB是一个被管理对象的集合；
• 定义被管理对象的一系列的属性；
• MIB通过SMI进行组织和定义；

SNMP版本

常用的SNMP有三个版本

• SNMP v1 ：RFC 1157定义
• SNMP v2c ：RFC 1901~RFC1908定义
• SNMP v3：RFC3411~RFC3418定义

目前正是SNMP标准版本为 SNMP v3。

• SNMPv1和SNMPv2c在安全性上完全一样，都采用了基于团体名的鉴别机制，由于团体名在报文中采用明文方式传输，因此安全性非常有限。
• SNMPv1和SNMPv2c作为一种简单的鉴别协议，可以用在完全信任的网络中，可以简化实现和提高管理效率。但是对于非信任网络，需要提供一种更安全可靠的管理协议，SNMPv3就是在这种要求下产生的。
• SNMPv3在SNMPv2c基础上发展而来，协议操作上没有大的变化，在安全性方面有了实质的改进。它提供了基于指纹的认证机制、报文加密机制和基于MIB视图的访问控制机制。

SNMP配置

[SWA]snmp-agent   #启动SNMP Agent服务
[SWA]snmp-agent sys-info version {all {v1|v2c|v3}}  #配置SNMP运行版本
[SWA]snmp-agent mib-view {excluded | included} [view-name] [oid-tree] [mask mask-value]   #创建MIB视图内容

• excluded：表示当前视图不包括该MIB子树的任何节点（即禁止访问MIB子树的所有节点）；
• included：表示当前视图包括该MIB子树的所有节点（即允许访问MIB子树的所有节点）；
• view-name：视图名，为1~32个字符的字符串；
• oid-tree：MIB子树，用子树根节点的OID（如1.4.5.3.1）或名称（如 system）表示。OID是由一系列的整数组成，标明节点MIB树中的位置，它能唯一标识一个MIB库中的对象。
• mask mask-value：对象子树的掩码，十六进制数，长度为1~32中的偶数。

创建SNMPv3组

[SWA]snmp-agent group v3 [group-name] {authentication | privacy} {read-view read-view | write-view write-view | notify-view notify-view} [acl acl-number | acl ipv6 ipv6-acl-number]

• [group-name]：SNMP组名，为1~32个字符的字符串，区分大小写。
• authentication：指明对报文进行认证但不加密。
• privacy：指明对报文进行认证和加密。
• read-view [read-view]：只读视图名，为1-32个字符的字符串。缺省值为ViewDefault。
• write-view [write-view]：读写视图名，为1-32个字符的字符串。缺省情况下未配置读写视图，即NMS不能对设备的所有MIB对象进行写操作。
• notify-view [notify-view]：可以发Trap消息的视图名，为1-32个字符的字符串。缺省情况下，未配置Trap消息视图，即Agent不会向NMS发送Trap信息。

创建SNMPv3用户

[SWA]snmp-agent usm-user v3 [user-name] [group-name] simple authentication-mode md5 SWAauthkey privacy-mode des56 SWAprivkey

SNMP配置示例

要求网管使用SNMPv3管理设备，用户名为 bob ，该用户的访问要求认证加密，并且该用户对MIB-2中的非atTable内的节点有读或写权限。

[H3C]snmp-agent mib-view included bobview mib-2
[H3C]snmp-agent mib-view excluded bobview atTable
[H3C]snmp-agent group v3 bobgroup privacy read-view bobview write-view bobview
[H3C]snmp-agent usm-user v3 bob bobgroup simple authentication-mode md5 bobauthkey privacy-mode des56 bobprivkey