配置使用SNMPv2c与网管通信示例

组网图形

图1 配置使用SNMPv2c与网管通信组网图

• SNMP简介
• 配置注意事项
• 组网需求
• 配置思路
• 操作步骤
• 配置文件

SNMP简介

简单网络管理协议SNMP（Simple Network Management Protocol）是广泛应用于TCP/IP网络的网络管理标准协议。SNMP提供了通过运行网络管理软件的中心计算机（即网络管理工作站）来管理设备的方法。

SNMP具有如下优势：

• 自动化网络管理。网络管理员可以利用SNMP平台在网络上的任意节点完成信息查询、信息修改和故障排查等工作，工作效率得以提高。
• 屏蔽不同设备的物理差异，实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集，使得管理任务分别与被管理的物理特性和下层的联网技术相对独立，从而实现对不同厂商设备的集中管理。

SNMP分为三个版本，第一个版本为SNMPv1，基于团体名认证，安全性较差，且返回报文的错误码也较少。后来，IETF颁布了SNMPv2c。SNMPv2c中引入了GetBulk和Inform操作，支持更多的标准错误码信息，支持更多的数据类型（Counter64、Counter32）。鉴于SNMPv2c在安全性方面没有得到改善，IETF又颁布了SNMPv3的版本，提供了基于USM（User-based Security Model）的认证加密和基于VACM（View-based Access Control Model）的访问控制。

SNMPv2c的应用场景：适用于大中型网络，对网络安全性要求不高或者网络环境本身比较安全（比如VPN网络），但业务比较繁忙，有可能发生流量拥塞的网络。

配置注意事项

本举例适用于所有版本的所有交换机。

举例中的网管以V300R007C00版本的eSight为例。

组网需求

如图1所示，现有网管对网络中的设备进行监管。由于网络规模较大，安全性较高，但运行的业务较为繁忙，在规划时交换机使用SNMPv2c版本与网管进行通信。现在由于扩容需要，新增一台交换机，用户希望通过利用现有的网络资源对交换机进行监管，在发生故障时能够快速对故障进行定位和排除。

配置思路

采用如下思路配置SNMP：

1. 配置交换机的SNMP版本为v2c，允许版本为v2c的网管管理交换机。
   
2. 配置访问控制，只允许指定的IP地址的网管读写交换机指定的MIB。
   
3. 配置团体名，在网管上添加交换机时，使用团体名进行认证。
   
4. 配置告警主机，并使能交换机主动发送Trap消息的功能。
   
5. 在网管上添加交换机，网管上使用的团体名和交换机保持一致，才能正常管理交换机。
   

操作步骤

1. 配置交换机的SNMP版本为v2c，允许版本为v2c的网管管理交换机。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] snmp-agent sys-info version v2c //缺省情况下仅支持SNMPv3版本。

1. 配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤，否则交换机将无法与网管正常连接。

[Switch] snmp-agent protocol source-interface vlanif 10

1. 配置访问控制，只允许指定的IP地址的网管读写交换机指定的MIB。# 配置ACL，通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

[Switch] acl 2001

[Switch-acl-basic-2001] rule permit source 10.1.1.1 0

[Switch-acl-basic-2001] rule deny

[Switch-acl-basic-2001] quit

1. # 配置MIB视图，通过MIB视图限制网管仅能访问指定的MIB。

[Switch] snmp-agent mib-view included isoview01 system   //配置MIB视图isoview01能够访问system子树。

[Switch] snmp-agent mib-view included isoview02 interfaces   //配置MIB视图isoview02能够访问interfaces子树。

1. 配置团体名，在网管上添加交换机时，使用团体名进行认证，并应用访问控制，使访问控制功能生效。

[Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001   //配置adminnms01对system子树具有只读权限。

[Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001   //配置adminnms02对interface子树具有读写权限。

1. 配置告警主机，并使能交换机主动发送Trap消息的功能。

[Switch] snmp-agent trap enable

Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关，可通过display snmp-agent trap all命令查看。

[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v2c

1. 在网管上添加交换机。# 登录eSight，单击“资源 > 资源添加 > 单个添加”，根据表1配置SNMP参数，配置完成后单击“确定”，即完成在网管上添加交换机，即可实现网管对交换机的管理，交换机上有告警事件发生时主动向网管发送Trap告警。
   表1 SNMP参数

1. 
   网管侧的参数配置必须和交换机上保持一致，否则网管添加交换机失败。
   如果远程登录交换机时需要进行认证，需要配置Telnet协议参数，后续网管才能够对交换机进行管理。例如，本例中管理员可以通过Telnet方式远程登录交换机，认证方式为密码认证，密码为YsHsjx_202206。
2. 

配置文件

Switch的配置文件

#

sysname Switch

#

acl number 2001

rule 5 permit source 10.1.1.1 0

rule 10 deny

#

snmp-agent

snmp-agent local-engineid 800007DB03360102101100

snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview01 acl 2001

snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview02 acl 2001

snmp-agent sys-info version v2c v3

snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# v2c

snmp-agent mib-view included isoview01 system

snmp-agent mib-view included isoview02 interfaces

snmp-agent trap enable

snmp-agent protocol source-interface Vlanif10

#

return