SNMP v3版本已经推出很久了,但是其普及度一直不高,原因就在于其配置过于复杂,本文主要就以cisco2950、锐捷2600以及H3C 3600系列交换机的SNMP V3的配置为例进行说明。

首先以锐捷2600为例进行说明,交换机支持V3的主要功能,cisco 2950只支持认证和数据校验,但不支持数据加密。H3C命令格式稍有区别,但总体的配置过程基本一致:

第一步:配置一个系统视图(即允许访问的MIB库的OID值范围);

第二步:创建一个组,并设置组的验证方式以及允许访问的视图;

第三步:创建一个用户,设置隶属的组以及密码和加密密钥;

第四部:查看并确认配置。


一、锐捷交换机SNMPV3配置

本配置方法针对RG-S2600G系列交换机测试通过。

注:SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

1、相关命令说明


操作

命令

说明

创建或更新视图的信息

Ruijie(config)# snmp-server view view-name oid-tree {include | exclude}

创建一个MIB 视图,包含或排除关联的MIB 对象。

设置一个 SNMP

Ruijie(config)# snmp-server group groupname {v1 | v2c|v3 {auth | noauth | priv}} [read readview] [write writeview] [access {[ipv6 ipv6_aclname] [aclnum |aclname] }]

创建一个组,并和视图关联。

为一个 SNMP 组添加一个新用户

Ruijie(config)# snmp-server user username groupname {v1 | v2c | v3 [encrypted] [auth { md5|sha } auth-password ] [priv des56 priv-password] } [access {[ipv6 ipv6_aclname] [aclnum | aclname] }]

设置用户信息。


2、具体配置过程举例

第一步,配置 MIB 视图

该步骤为可选步骤,mib视图可以根据需要进行创建(需要限制访问内容时),若不做单独配置,可以直接使用系统默认视图(default),默认视图的mib对象为:default(include) 1.3.6.1

例如:创建一个MIB 视图 “view1”,包含关联的MIB 对象(1.3.6.1.2.1.1);再创建一个MIB 视图“view2”,包含关联的MIB 对象(1.3.6.1.2.1.1.4.0)。

Ruijie(config)#snmp-server view view1 1.3.6.1.2.1.1 include

Ruijie(config)#snmp-server view view2 1.3.6.1.2.1.1.4.0 include


第二步,创建一个组

例如创建一个组“g1”,选择版本号为“v3”,配置安全级别为认证加密模式“priv”,并可读视图“view1”,可写视图“view2”。

Ruijie(config)#snmp-server group g1 v3 priv read view1 write view2

注: 

1:不指定单独视图时,组关联使用如下命令:

Ruijie(config)#snmp-server group g1 v3 priv read default write default

2:读权限和写权限分别设置,可以只设置读权限read,若不设置写权限则无法通过SNMP进行交换机配置更改。

3:命令可以配合ACL使用,ACL具体使用方法请参考其他说明。

第三步,配置SNMP 用户

对于SNMPv3 用户,可以指定安全级别、认证算法(MD5 SHA)、认证口令、加密算法(目前只有DES)和加密口令;

例如:

创建用户名“user1”,属于组“g1”,选择版本号为“v3”,配置认证方式为“md5”,认证密码为“md5pass1234”,加密方式为“DES56”,加密密码为“despass1234”。

Ruijie(config)#snmp-server user user1 g1 v3 auth md5 md5pass1234 priv des56 despass1234


注:1

   1、认证方式可以选择md5,也可以选择sha,网管系统与交换机通讯是必须保持一致,否则无法进行验证。

   2、部分测试工具测试SNMP V3时对密码长度有要求,要满足8位以上,虽然交换机上设置密码长度小于8为的简单口令时交换机能够配置成功,但通过SNMP V3访问时可能会无法正常访问,但交换机却不做任何错误性提示。

第四步,查看配置结果:

在特权用户模式下,执行show snmp ……来查看当前的SNMP 相关设置。

命令

作用

Ruijie# show snmp

查看当前的SNMP 状态

Ruijie# show snmp mib

查看当前的代理支持的MIB 对象

Ruijie# show snmp user

查看当前代理上配置的SNMP 用户

Ruijie# show snmp group

查看当前代理上配置的组

Ruijie# show snmp view

查看当前代理上配置的视图


在交换机上通过show run查看的配置结果。


二、思科交换机SNMPV3配置

本配置方法针对cisco 2950系列交换机测试通过。

锐捷交换机的配置命令是模仿Cisco的,所以cisco的配置方法与锐捷类似,主要配置步骤如下:

SNMP 的配置工作在网络设备的全局配置模式下完成,在进行SNMP 配置前,请先进入全局配置模式。

第一步,配置 MIB 视图

命令格式:(config)# snmp-server view view-name oid-tree {include | exclude}

例如,创建一个视图名为testview的视图,包含关联的MIB 对象(1.3.6.1):

(config)#snmp-server view testview 1.3.6.1 include

注:1、mib视图不是必须,交换机默认存在视图,可以使用show snmp view 命令查看。cisco2950的默认视图如下:

cisco2950#show snmp view

v1default iso - included volatile active

v1default internet.6.3.15 - excluded volatile active

v1default internet.6.3.16 - excluded volatile active

v1default internet.6.3.18 - excluded volatile active

2、在cisco2950交换机中,创建mib对象1.3.6.1的视图时,交换机将修改对象名称,对应为internet,如下所示:

cisco2950#show snmp view

testview internet - included nonvolatile active

第二步,配置组

命令格式:

snmp-server group [groupname {v1 |v2c | v3 {auth | noauth | priv}}] [read readview] [write writeview] [notify notifyview] [access access-list]

例如,创建一个名称为testv3的组,启用认证模式,可访问testview的视图,传输不做加密:

(config)#snmp-server group testv3 v3 auth read viewv3 write viewv3

注:1、读和写分别指定视图,若只有读权限,则不能对交换机进行配置更改。

2、cisco2950和3550交换机默认没有加密算法模块,因此对snmp v3配置时只能配置认证不可配置加密,不能使用priv选项。

第三步,配置用户

命令格式:

(config)# snmp-server user username groupname [remote host [udp-port port]] {v1 | v2c | v3 [auth {md5 | sha} auth-password]} [encrypted] [access access-list]

例如:创建一个名称为snmptest的用户,属于testv3组,认证模式md5认证密码为mypass12345:

(config)#snmp-server user snmptest testv3 v3 auth md5 mypass12345


注:1、由于cisco2950和3550交换机默认没有加密算法模块,因此创建用户时只能配置认证不可配置加密,因此在关键字V3后只能选择auth方式,不能使用encrypted选项。

2、使用show run 命令查看交换机配置时,交换机不会列出创建的snmp v3的用户,可以使用show snmp user 命令进行查看,如下所示:

cisco2950#show snmp user


User name: snmptest

Engine ID: 800000090300000C58698A41

storage-type: nonvolatile

Rowstatus: active

Authentication Protocol: MD5

Group-name: testv3


三、H3C交换机SNMPV3配置

本配置方法针对RG-S2600G系列交换机测试通过。

配置命令说明:

操作

命令

说明

进入系统视图

system-view


创建或更新视图的信息

snmp-agent mib-view { included | excluded } view-name oid-tree

可选,缺省情况下,视图名为ViewDefaultOID 1

设置一个 SNMP

snmp-agent group v3 group-name [ authentication |privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]


必选

为一个 SNMP 组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 |sha } auth-password [ privacy-mode des56 priv-password ] ] [ acl acl-number ]

必选

配置过程如下:

第一步,配置视图

例如,创建名称为viewv3的视图,对于OID为1.3.6.1:

[h3c3600]snmp-agent mib-view included viewv3 1.3.6.1

注:OID1.3.6.1对应名称为internet,创建后通过display snmp mib-view查看:

[h3c3600]dis snmp mib-view

   View name:viewv3

       MIB Subtree:internet

       Subtree mask:

       Storage-type: nonVolatile

       View Type:included

       View status:active


   View name:ViewDefault

       MIB Subtree:iso

       Subtree mask:

       Storage-type: nonVolatile

       View Type:included

       View status:active

系统存在一个默认的视图ViewDefault,OID为1,及iso。

可以使用系统默认视图,也可以自行创建视图使用。

第二步,创建组

例如,创建一个组名为snmpv3的组,采用认证和加密传输,可访问viewv3视图。

[h3c3600]snmp-agent group v3 snmpv3 privacy read-view viewv3 write-view viewv3


注:

1、在[h3c3600]snmp-agent group v3 snmpv3 命令后可选择的命令选项如下:

  acl             Set access control list for this group

  authentication  Specify a securityLevel of AuthNoPriv for this group name

  notify-view     Set a notify view for this group name

  privacy         Specify a securityLevel of AuthPriv for this group name

  read-view       Set a read view for this group name

  write-view      Set a write view for this group name

 

其中privacy为认证和加密传输,而authentication则只认证不加密,可根据需要进行选择。

第三步,创建用户

例如,创建一个名为snmptest的账号,隶属于组snmpv3,认证模式:md5,加密模式des56;

[h3c3600]snmp-agent usm-user v3 snmptest snmpv3 authentication-mode md5 mypass123456 privacy-mode des56 mydes123456

注:

1:用户的认证和加密模式需要与组的模式相对应,否则将无法通讯。

2:H3C 3600支持md5和sha两种认证模式,加密算法支持des56和aes128.