課件及課堂筆記-ccie8-2snmp

SNMP

Simple

Network

Management

Protocol：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議應(yīng)用于管理SNMP與設(shè)備之間交流的協(xié)議：在配置SNMP時(shí)，配置了SNMP的網(wǎng)絡(luò)設(shè)備SNMP管理：安裝了管理

的主機(jī)SNMP

將自己的狀態(tài)

給SNMP管理，SNMP將其整理后，通過圖形界面匯報(bào)給用戶，并且SNMP管理上的相關(guān) 被稱為NMS（網(wǎng)絡(luò)管理系統(tǒng)）。在SNMP

與SNMP管理之間，SNMP 使用UDP162（Trap報(bào)文）,SNMP管理使用UDP

161。MIB：Management

Information

Base管理信息庫(kù)SNMP

的所有硬件信息和

信息，就全部 在MIB里面。Trap：當(dāng)設(shè)備上發(fā)生了各種事件之后，產(chǎn)生的MIB信息由SNMP

主NMS發(fā)送。NMS即使收到了，也不需要向SNMP

發(fā)送確認(rèn)消息Trap：而自己發(fā)送完畢之后，這些MIB信息會(huì)馬上刪除，不會(huì)駐留在內(nèi)存里面。NMS通告，除非NMS發(fā)當(dāng)設(shè)備發(fā)生事件后，這些信息并不會(huì)主送request來查詢，然后才會(huì)發(fā)出去已經(jīng)發(fā)出去的informs在發(fā)送之后是會(huì)保留在內(nèi)存里面的。當(dāng)NMS收到informs之后必須向SNMP

發(fā)送確認(rèn)消息，如果不發(fā)送確認(rèn)消息，SNMP

會(huì)重復(fù)多次發(fā)送informs。從上可以看出informs具有可靠性。SNMP

管理定期輪詢SNMP

的MIB數(shù)據(jù)庫(kù)。Get：查詢?cè)O(shè)備

的數(shù)據(jù)包被稱為get。

Read-onlySet：更改設(shè)備的配置，被稱為set。 Read

Write優(yōu)點(diǎn)：簡(jiǎn)單、容易實(shí)現(xiàn)基于SGMP協(xié)議，已有相當(dāng)多的操作經(jīng)驗(yàn)缺點(diǎn)：沒有實(shí)質(zhì)性的安全設(shè)施無數(shù)據(jù)源的認(rèn)證功能，不能防止偷聽SNMP協(xié)議目前為止分為3個(gè)版本，分別是version

1，version

2c，version3SNMPv1在SNMP與SNMP管理之間提供的安全機(jī)制是使用密碼的方式，只有擁有相應(yīng)的NMS，才能夠?qū)NMP

進(jìn)行操作.這種

也分了級(jí)別，可以分別定義相應(yīng)

是否具有讀權(quán)限或者是否同時(shí)具有讀和寫的權(quán)限。這樣的

被稱為community。版本1不僅提供

認(rèn)證的方式

，利用ACL的方式來限制只有某些主機(jī)能夠?qū)ζ溥M(jìn)行基本的SNMPv1標(biāo)準(zhǔn)只提供簡(jiǎn)單的團(tuán)體名認(rèn)證機(jī)制。因此大多數(shù)廠商僅僅提供有限的或者索性不支持Set操作?；镜腟NMPv1更適合于對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)視而不是控制。SNMPv1的Trap報(bào)文是沒有沒有應(yīng)答的，管理站是否收到陷入報(bào)文，

不得而知。這樣可能丟掉重要的管理信息。SNMP不適合檢索大量數(shù)據(jù)，例如檢索整個(gè)表中的數(shù)據(jù)。SNMP的管理信息庫(kù)MIB-2支持的管理對(duì)象是很有限的，不足以完成復(fù)雜的管理功能。SNMP不支持管理站之間的通信對(duì)于大型網(wǎng)絡(luò)管理，SNMPv1的查詢機(jī)制可能導(dǎo)致大量的管理信息，占用過多的網(wǎng)絡(luò)資源GetRequestGet

ResponseManagerAgentGetNext

RequestGet

ResponseManagerAgentSet

RequestGet

ResponseManagerAgentTrap

RequestManagerAgentGetGetNextSetTrapSNMPv2既可以支持完全集中的網(wǎng)絡(luò)管理，又可以支持分布式網(wǎng)絡(luò)管理。在分布式情況下，有些系統(tǒng)既是管理站又是

。作為

系統(tǒng)，它可以接受

管理系統(tǒng)的查詢命令，提供本地系統(tǒng)提供有關(guān)被管理設(shè)備的匯總信的管理信息；作為管理站它也可以要求下級(jí)息。此外，中間管理系統(tǒng)可以向它的系統(tǒng)發(fā)出陷入報(bào)告。SNMPv2的增強(qiáng)主要在以下3方面:(1)管理信息結(jié)構(gòu)的擴(kuò)充(2)管理站和管理站之間的通訊能力(3)新的協(xié)議操作(4)SNMPv1的響應(yīng)是原子性的，即只要有一個(gè)變量的值檢索不到，就不返回任何值。而SNMPv2的響應(yīng)不是原子性的，允許部分響應(yīng)。SNMPv2c的認(rèn)證方式和SNMPv1是一樣的。SNMPv2c沒有達(dá)到商業(yè)級(jí)別的要求提供數(shù)據(jù)源標(biāo)識(shí)報(bào)文完整性認(rèn)證防止重放報(bào)文

性和

控制Inform:管理站發(fā)送給管理站的消息。SNMPv3針對(duì)SNMPv2的最大改進(jìn)主要在安全性和管理能力兩個(gè)方面。的方式，并且

可SNMPv3提供的認(rèn)證方式是使用用戶名和以是MD5加密的。SNMP報(bào)文將使用DES加密來避免信息泄漏SNMP管理端與SNMP

Agent通訊時(shí)必須要通過認(rèn)證來保證

的正確性、信息的完整性。SNMPv3增加了三個(gè)安全級(jí)別:——noAuthNoPriv:不驗(yàn)證也不加密——authNoPriv:驗(yàn)證發(fā)送方但不加密消息——authPriv:驗(yàn)證發(fā)送方和加密消息SNMP協(xié)議輪詢的方式在一個(gè)大型網(wǎng)絡(luò)中可能會(huì)導(dǎo)致網(wǎng)絡(luò)通信擁塞情況的發(fā)生，并且SNMP協(xié)議把

數(shù)據(jù)的負(fù)擔(dān)完全壓在了管理端之上；SNMP

Agent無法提供某個(gè)數(shù)據(jù)的歷史記錄SNMP協(xié)議不能以一種

通用的數(shù)據(jù)描述格式保存所有被管理設(shè)備的標(biāo)識(shí)、狀態(tài)和配置等信息On

R1

Implement

SNMP

to

send

trap

to

an

NMSsystem.Use

the

community

string

of

CiscoWorks.The

NMSsystem

is

located

at

8.8.8.8and

able

to

changeMIB

on

R1.Send

the

bgp

traps

to

the

NMS

serverip

access-list

standard

NMSpermit

8.8.8.8snmp-servercommunity

CiscoWorks

RW

NMS使用

認(rèn)

NMSsnmp-server

enable

traps

bgp

開啟bgp的trab報(bào)文snmp-server

host

8.8.8.8

CiscoWorks

bgpConfigure

snmp

version

3

for

the

group

“admin”

on

R1

as

per

thefollowingLocation"San

Jose,US",and

thecontactis

The

"admin"

group's

read

privilege

must

be

called

"adminview"and

must

include

theISO

MIB

familyThe

"admin"

gourp's

write

privilege

must

be

called

"adminwrite"

and

must

include

thesystem

MIB

familyThe

strongest

security

mechanism

must

be

employed

when

handing

SNMP

packetsrequirement

for

any

user

belonging

to

the

"admin"

groupUser"ccie"

must

be

part

of

the

"admin"

group

and

can

only

connect

with

SNMPv3

usingthe

MD5

password

"cisco"Merbers

of

the"admin"

group

can

connect

onlyfrom

VLAN

17's

subnet

YY.YY.17.0/24Configure

SNMPv2ccommunity

"nms"

for

servers

connected

from

VLAN67's

subnetYY.YY.67.0/24All

traps

must

be

sourced

from

the

loopback0

interfaceIf

needed,use

standard

Access-lists

onlysnmp-server

location

San

Jose,USsnmp-servercontact

snmp-server

view

adminview

isoincludedsnmp-server

view

adminwrite

systemincludedsnmp-server

user

ccie

admin

v3

auth

md5

ciscoaccess-list

17

permit

YY.YY.17.0

0.0.0.255snmp-server

group

admin

v3

priv

read

adminview

write

adminwrite