NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 其他 .: SNMP配置方法

SNMP配置方法

 

SNMP配置
snmp
的配置包括:

 

 启动或关闭snmp agent服务

 

 使能或禁止snmp协议的相应版本

 

 设置团体名

 

 配置一个snmp的组

 

 为一个snmp组添加或删除用户

 

 设置管理员的联系方法

 

 允许/禁止发送trap报文

 

 设置本地设备的引擎id

 

 设置trap目标主机的地址

 

 设置防火墙的位置信息

 

 指定发送trap报文的源地址

 

 创建或者更新mib视图的信息

 

 设置发往目的主机(host)的trap报文的消息队列的长度

 

 设置trap报文的保存时间

 

 设置agent能接收/发送的snmp消息包的大小

 

    11.2.1 启动或关闭snmp agent服务

 

 该配置任务用来启动snmp agent服务,缺省情况为关闭snmp agent服务。

 

 请在系统视图下进行下列配置。

 

 

 

    11.2.2 使能或禁止snmp协议的相应版本

 

 该配置任务用来使能snmp协议的相应版本,缺省情况为使能snmp v3版本。如果要使能snmp v1版本、snmp v2c版本,需要用该命令进行设置。

 

 请在系统视图下进行下列配置。

 

 

 

    *:表示从v1v2cv3这三个选项中选取多个,最少选取一个,最多选取所有三个选项。

 

    # 使能snmp v2csnmp v3版本。

 

    [h3c] snmp-agent sys-info version v3 v2c

 

    # 禁止snmp v2csnmp v1版本。

 

    [h3c] undo snmp-agent sys-info version v1 v2c

 

    11.2.3 设置团体名

 

    snmpv1snmpv2c采用团体名认证,与设备认可的团体名不符的snmp报文将被丢弃。snmp团体(community)由一字符串来命名,称为团体名(community name)。不同的团体可具有只读(read)或读写(write)访问模式。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。

 

 请在系统视图下进行下列配置。

 

 

 

 对同一个团体名进行重复配置时,后配置的属性会覆盖先前配置的属性。

 

    # 设置public团体具有只读权限。

 

    [h3c] snmp-agent community read public

 

    # 设置private团体具有读写权限。

 

    [h3c] snmp-agent community write private

 

    11.2.4 设置/删除snmp

 

 该配置任务可以设置或删除snmp的一个组。

 

 请在系统视图下进行下列配置。

 

 

 

    snmp-agent group v3命令在不配置视图的情况下有默认的viewdefault视图,该视图是只读视图,其他的视图需要配置。

 

    snmp-agent group { v1 | v2c } 实际上是配置snmp的团体属性。缺省情况下,与snmp-agent group v3相同。

 

    11.2.5 添加/删除用户

 

 该配置任务用来为一个snmp的组添加或删除一个用户。

 

 请在系统视图下进行下列配置。

 

 

 

    # snmpjohngroup加入一个用户john,安全级别为需要认证、指定认证协议为hmac-md5-96、认证密码为hello

 

    [h3c] snmp-agent usm-user v3 john johngroup authentication-mode md5 hello

 

    11.2.6 设置管理员的联系方法

 

 设置管理员的联系方法(system contact)是mib iisystem组的一个管理变量,内容为被管理设备(防火墙)相关人员的标识及联系方法。您可以通过设置此参数,将重要信息存储在防火墙中,以便出现紧急问题时查询使用。

 

 请在系统视图下进行下列配置。

 

 

 

 例:[h3c] snmp-agent sys-info contact mr.zhang 13800138002

 

    11.2.7 允许/禁止发送trap报文

 

    trap是被管理设备主动向nms发送的、不经请求的信息,用于报告一些紧急的重要事件。

 

 请在系统视图下进行下列配置。

 

 

 

 缺省为允许发送trap报文。

 

    snmp-agent trap enable命令不带参数时,表示允许发送所有模块的所有类型的trap报文。

 

    11.2.8 设置本地设备的引擎id

 

 该配置任务可以设置本地设备的引擎id。引擎id是十六进制数字串,并且长度为1064个十六进制数,缺省为公司的企业号+设备信息。设备信息可以是ip地址、mac地址或自己定义的十六进制数字串。

 

 请在系统视图下进行下列配置。

 

 

 

    11.2.9 设置trap目标主机的地址

 

 请在系统视图下进行下列配置。

 

 

 

 例:允许向地址202.38.160.6发送trap报文,使用的团体名为public

 

    [h3c] snmp-agent target-host trap address udp-domain 202.38.160.6 udp-port 5000 params securityname public

 

    11.2.10 设置接口发送状态trap报文

 

 当接口的状态改变时(例如,由up变为down),可以向trap目标主机发送trap报文。

 

 请在接口视图下进行下列配置。

 

 

 

 缺省情况下,接口发送状态trap报文。

 

    11.2.11 设置防火墙的位置信息

 

 防火墙的位置信息是mibsystem组的一个管理变量,用于表示被管理设备的位置。

 

 请在系统视图下进行下列配置。

 

 

 

 例:将防火墙的位置信息设为bj

 

    [h3c] snmp-agent sys-info location bj

 

    11.2.12 指定发送trap的源地址

 

 该配置任务可以设定或删除发送trap的源地址。

 

 请在系统视图下进行下列配置。

 

 

 

 例:将以太网接口1/0/0ip地址作为trap报文的源地址。

 

    [h3c] snmp-agent trap source ethernet 1/0/0

 

    11.2.13 mib视图信息设置

 

 该配置任务可以创建、更新或者删除视图的信息。

 

 请在系统视图下进行下列配置。

 

 

 

 例:创建一个视图包含internet1.3.6.1)的所有对象。

 

    [h3c] snmp-agent mib-view included myview 1.3.6.1

 

    11.2.14 设置消息包的最大值

 

 该配置任务可以设置agent能接收/发送的snmp消息包的最大值。

 

 请在系统视图下进行下列配置。

 

 

 

    agent能接收/发送的snmp消息包的最大值的取值范围为[48417940],单位为字节,缺省值为1500字节。

 

    # 设置agent能接收/发送的snmp消息包的最大值为1042字节。

 

    [h3c] snmp-agent packet max-size 1042

 

    11.2.15 设置trap报文的消息队列的长度

 

 该配置任务可以设置发往目的主机(host)的trap报文的消息队列的长度。

 

 请在系统视图下进行下列配置。

 

 

 

 消息队列长度的取值范围为[11000],缺省值为100

 

    # 设置发送trap报文的主机的消息队列的长度为200

 

    [h3c] snmp-agent trap queue-size 200

 

    11.2.16 设置trap报文的保存时间

 

 该配置任务用来设置trap报文的保存时间,超过该时间的trap报文将被丢弃。

 

 请在系统视图下进行下列配置。

 

 

 

    seconds取值范围为[12592000],缺省值为120秒。

 

    # 设置trap报文的保存时间为60秒。

 

    [h3c] snmp-agent trap life 60

 

 

 

Cisco snmp配置
IOSEnable状态下,敲入

 

config terminal 进入全局配置状态

 

Cdp run 启用CDP

 

snmp-server community gsunion ro 配置本路由器的只读字串为gsunion

 

snmp-server community gsunion rw 配置本路由器的读写字串为gsunion

 

snmp-server enable traps 允许路由器将所有 类型SNMP Trap发送出去

 

snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17,发送Trap时采用trapcomm作为字串

 

snmp-server trap-source loopback0 loopback接口的IP地址作为SNMP Trap的发送源地址

 

show running

 

copy running startwrite terminal 显示并检查配置

 

保存配置

 

配置Cisco设备的SNMP代理

 

配置Cisco设备上的SNMP代理的步骤如下:

 

启用SNMP:

 

configure terminal

 

snmp-server community rw/ro (example: snmp-server community public ro)

 

end

 

copy running-configstartup-config

 

启用陷阱:

 

configure terminal

 

snmp-server enable traps snmp authentication

 

end

 

copy running-configstartup-config

 

配置snmp

 

#conf t

 

#snmp-server community cisco ro(只读) ;配置只读通信字符串

 

#snmp-server community secret rw(读写) ;配置读写通信字符串

 

#snmp-server enable traps ;配置网关SNMP TRAP

 

#snmp-server host 10.254.190.1 rw ;配置网关工作站地址
 

 

 

 

设置IOS设备

 

snmp-server community gsunion ro 配置本路由器的只读字串为gsunion
snmp-server community gsunion rw
配置本路由器的读写字串为gsunion
snmp-server enable traps
允许路由器将所有类型SNMP Trap发送出去
snmp-server host IP-address-server traps trapcomm
指定路由器SNMP Trap的接收者为10.238.18.17,发送Trap时采用trapcomm作为字串
snmp-server trap-source loopback0
loopback接口的IP地址作为SNMP Trap的发送源地址
logging on
起动log机制
logging IP-address-server
log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog server
logging facility local7
将记录事件类型定义为local7
logging trap warning
将记录事件严重级别定义为从warning开始,一直到最紧急级别的事件全部记录到前边指定的syslog server.
logging source-interface loopback0
指定记录事件的发送源地址为loopback0IP地址
service timestamps log datetime
发送记录事件的时候包含时间标记
show running
copy running start
write terminal 显示并检查配置
保存配置

 

设置CatOS设备

 

set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN IDIP地址,子网掩码
Set cdp enable all
启用CDP
set snmp community read-only gsunion
配置本交换机的只读字串为public
set snmp community read-write-all gsunion
配置本交换机的读写字串为private
set snmp trap server-ip gsunion
指定交换机SNMP Trap的接收者为网管服务器,发送Trap时采用gsunion作为字串
set snmp trap enable all
将全部类型的SNMP Trap发送出去
set snmp rmon enable
激活交换机的SNMP RMON功能
set logging server IP-address-server
log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog server
set logging level 6
将记录事件严重级别定义为从informational开始,一直到最紧急级别的事件全部记录到前边指定的syslog server
set logging server facility local7
将记录事件类型定义为local7
set logging timestamp
发送记录事件的时候包含时间标记
set logging enable
起动log机制
show running
write terminal
显示并检查配置
保存配置

 


NetScreen
SNMP配置

 

NetScreen防火墙的SNMP配置可以通过两种方式,一种是web界面配置,另一种是通过命令行方式.

 

1.Web配置方式
登录Web管理页面
登录之后,在左边导航栏选择Configuration->Report Settings->SNMP

 


SNMP
配合和Community
在右边的配置页面中填写System Name,System ContactLocation等信息.
端口配置默认即可,修改完成后点击Apply.
点击右上角的New Community按钮.
在新的配置页面中填入Community Name,public,Permissions中勾选TrapIncluding Tracffic Alarms,Write看实际需要勾选.
Version
选择Any即可.
需要填写至少一行的内容.
Host IP Address
理论上指的是Traps的目的地址,但是在实践当中它有SNMP Get的来源地址的作用,也就是说,我们的ESM服务器地址如果不在这里面的话就很可能无法获取到它的SNMP信息,也就无法监控.为什么说很可能呢,因为这里有一种特殊情况,那就是NAT,ESM是通过NAT转换之后才到达NS的话那么这里的IP地址就应该填写那个NAT地址.因为在NS看到的来源地址就是NAT地址.
Netmask
这里填入255.255.255.255,也就是单个IP地址.
Trap Version
根据实际情况选择.
Source Interface
从下拉菜单中选择一个NS面向ESM的网络端口,比如ethernet0
填写完成后(如图)点击”OK

 


Interface
配置
在左边导航栏中点击Network->Interfaces
在右边的配置框中选择面向ESM的端口的Edit,ethernet1
点击后默认进入Basic Properties标签,在页面中部的Service Options中勾选上SNMP.如图
 

 

2.命令行配置方式
通过TelnetSSH等方式登录命令行界面.
在命令行界面

 

Community配置
set snmp community public read-only version any

 

Host配置
set snmp host public 192.168.1.50 255.255.255.255 src-interface ethernet1
set interface ethernet1 manage snmp

 

3.注意事项
注意防火墙策略对SNMP的影响,如果ESM无法自动发现到NS设备,并且确认SNMP配置没有问题,那么有可能是有安全策略对SNMP进行了拦截,可以通过查看日志和抓包等方式排错

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

CISCO设备

 

router>                           

 

router> enable                                        进入路由器是用户模式

 

router# conf terminal                               进入路由器的全局配置模式

 

#snmp-server community cisco ro         (只读);配置只读通信字符串

 

#snmp-server community secret rw        (读写);配置读写通信字符串

 

#snmp-server enable traps                配置网关SNMP TRAP

 

#snmp-server host 10.254.190.1 rw        配置网关工作站地址

 

在路由器上配置日志信息(Syslog Message Logging

 

router(config) # logging on

 

router(config) # logging server-ip-address

 

router(config) # logging trap severity-level

 

华为交换机SNMP配置

 

<switch>

 

<switch>system-view                   进入交换机的配置模式、

 

[switch]snmp-agent community read huawei 配置community 只读属性为huawei

 

[switch]snmp-agent community write huawei配置community 可写属性为huawei

 

[switch]snmp-agent sys-info version all      配置版本为所有

 

 

 

港湾交换机配置TELNET SNMP

 

启动SNMP服务的配置步骤如下:

 

配置步骤

 

步骤1 service snmp enable 使能SNMP agent服务

 

步骤2 service snmp trap enable 使能SNMP trap服务

 

步骤3 config snmp community readonly <string> 设置SNMP只读权限认证密码

 

步骤4 config snmp community readwrite <string> 设置SNMP读写权限认证密码

 

步骤5 config snmpauthentrap [enable|disable] 使用enable设置当SNMP认证失败时发送trap

 

步骤6 show service 显示SNMP是否启动

 

步骤7 show snmp community-string 显示当前的权限认证密码

 

配置SNMP trap

 

交换机上的SNMP agent会产生很多种类的trap信息,如启动(start)、接口(interface)、RMON(远程监控)等。可以在交换机上配置SNMP trap来指定一台或多台trap接收站(trap receiver),并指定哪些种类的trap信息会发送到这些接收站。

 

配置步骤

 

步骤1 service snmp enable 使能SNMP agent服务

 

步骤2 service snmp trap enable 使能SNMP trap服务

 

步骤3 config snmp trap type [all|interface|bgp|ospf|vrrp|stp|rmon|start|auth|pppoe|isis] [on|off] 配置发送trap的类型

 

步骤4 config snmp trapreceiver add <A.B.C.D> version [v1|v2c] {community <string>}*1 添加一个trap接收站

 

步骤5 config snmp trapreceiver add <A.B.C.D> version [v1|v2c] {community <string>}*1 添加另一个trap接收站

 

步骤6 show snmp trap type 显示系统允许发送的trap种类

 

步骤7 Show snmp trapreceiver 显示已经添加的所有trap接收站

 

这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited