SNMPv1和SNMPv2c配置举例:
SNMPv1和SNMPv2c的工作原理基本一致,要求配置的命令也是一致的,下面是SNMPv1和SNMPv2配置举例。
1、配置Switch的接口IP地址,使其和网管站之间路由可达
system-view
[HUAWEI] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type hybrid
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 10.1.2.1 24
[Switch-Vlanif100] quit
2、配置Switch的SNMP版本
[Switch] snmp-agent sys-info version v1//snmp-agent sys-info version v2c表示配置为snmpv2c的版本
3、配置团体名
[Switch] snmp-agent community write adminnms2
4、配置告警主机
[Switch] snmp-agent target-host trap
address udp-domain 10.1.1.2 params securityname adminnms2//params
securityname表示在网管侧显示的用户安全名
对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机
上面的配置为SNMPv1/SNMPv2c必须配置的选项,针对其他的配置,都是按照需求来进行,比如限制网管对设备的管理权限。
#配置ACL,使NMS2可以管理交换机,NMS1不允许管理交换机。
[Switch] acl 2001
[Switch-acl-basic-2001] rule 5 permit source 10.1.1.2
0.0.0.0
[Switch-acl-basic-2001] rule 6 deny source 10.1.1.1 0.0.0.0
[Switch-acl-basic-2001] quit
#配置MIB视图,限制NMS2可以管理交换机上除RMON之外的节点。
[Switch] snmp-agent mib-view excluded allextrmon
1.3.6.1.2.1.16
#配置团体名并引用ACL和MIB视图。
[Switch] snmp-agent community write
adminnms2 mib-view allextrmon acl 2001 //配置访问权限,使NMS2可以管理交换机上RMON之外的节点
SNMPV3配置举例:
SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致,唯一的区别是SNMPv3增加了身份验证和加密处理,下面是SNMPv3配置举例:
1、配置Switch的接口IP地址,使其和网管站之间路由可达
system-view
[HUAWEI] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type hybrid
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 10.1.2.1 24
[Switch-Vlanif100] quit
2、配置Switch的SNMP版本
[Switch] snmp-agent sys-info version v3//可不配置,默认为V3版本
3、配置用户组
[Switch] snmp-agent group v3 adminprivacy
//配置用户组的安全方式为privacy,表示既认证又加密,admin表示用户组的名称
4、配置用户相关信息
#配置用户并关联用户组。
[Switch] snmp-agent usm-user v3 nms2-admin
group admin // nms2-admin表示用户名,admin表示用户组名称,与前一条命令中配置保持一致
#对用户的数据进行认证,认证密码为Authe@1234。(因为用户的安全级别必须>=用户组的安全级别,上面用户组方式为既认证又加密,所以下面用户必须同时配置认证和加密)
[Switch]snmp-agent usm-user v3 nms2-admin
authentication-mode sha
Please configure the authentication password
(8-64)
Enter
Password:
//输入认证密码,本例的认证密码为:Authe@1234。
Confirm
Password:
//输入认证密码,本例的认证密码为:Authe@1234。
#对用户的数据进行加密,加密密码为Priva@1234。
[Switch]snmp-agent usm-user v3 nms2-admin privacy-mode
aes128
Please configure the privacy password
(8-64)
Enter
Password:
//输入加密密码,本例的加密密码为:Priva@1234。
Confirm
Password:
//输入加密密码,本例的加密密码为:Priva@1234。
5、配置告警主机
[Switch] snmp-agent target-host trap address udp-domain
10.1.1.2 params securityname nms2-admin v3
privacy
说明1:对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。
说明2:由于上面用户和用户组的基本都是privacy(既认证又加密),所以这里告警主机的安全级别必须为privacy。
SNMPV3用户,用户组及告警主机安全级别配置说明
设备具备三种属性,按照安全性从高到低为:
·1级:privacy (认证且加密)
·2级:authentication (只认证)
·3级:noauthentication (不认证不加密)
要求用户的安全级别必须>=告警主机的安全级别>=用户组的安全级别
·如果用户组的安全级别是privacy,那么告警主机和用户的安全级别一定得是privacy。
·如果用户组的安全级别是authentication,那么告警主机的安全级别是authentication,用户的安全级别可以是authentication和privacy。
·如果用户组的安全级别是authentication,告警主机的安全级别是privacy,那么用户的安全级别是privacy。
·如果用户组的安全级别是noauthentication,告警主机的安全级别是noauthentication,那么用户的安全级别可以是noauthentication、authentication、privacy。
·如果用户组的安全级别是noauthentication,告警主机的安全级别是authentication,那么用户的安全级别可以是authentication和privacy。
·如果用户组的安全级别是noauthentication,告警主机的安全级别是privacy,那么用户的安全级别是privacy。
上面的配置为SNMPV3必须配置的选项,针对其他的配置,都是按照需求来进行,比如限制网管对设备的管理权限。
#配置ACL,使NMS2可以管理交换机,NMS1不允许管理交换机。
[Switch] acl 2001
[Switch-acl-basic-2001] rule 5 permit source 10.1.1.2
0.0.0.0
[Switch-acl-basic-2001] rule 6 deny source 10.1.1.1 0.0.0.0
[Switch-acl-basic-2001] quit
#配置MIB视图,限制NMS2可以管理交换机上除RMON之外的节点。
[Switch]snmp-agent mib-view included isoview iso
#配置用户组并引用ACL和MIB视图。
[Switch]
snmp-agent group v3
admin privacy write-view isoview acl 2001 //配置访问权限,使NMS2可以管理ISO节点