SNMP配置说明

1、SNMP配置说明一 配置说明修改配置文件的目的是为了添加代理用户1. MIB version说明：net-snmp代理支持v1, v2c, v3版本，可根据管理侧的版本信息自适应回复相同版本格式的回复。无需配置。Mib节点项：无2. Trap community说明：trap共同体，适用于v1/v2c版本。管理侧侧只有在配置了相同的参数后才能接收到trap.配置方法：trapsink localhost public 162trap2sink 48 public 162以上两条配置项中，共同体名均为public。其中第一条配置项适用于发送v1版本trap,第二条配置项适

2、用于发送v2c版本trapMib节点项：无3. RO/RW community说明：只读/读写共同体，适用于v1/v2c版本。管理侧和代理侧在配置了相同的共同体参数后，管理侧才可以对代理侧进行读取或者设置操作。配置方法：com2sec get default publiccom2sec set default netman只读共同体设置为public, 读写共同体设置为netman。此配置需要与group和access配置共同使用实现只读/读写功能。Mib节点项：无4. SNMP Engine ID说明：SNMP引擎标识，适用于v3版本。SnmpEngineID值可指定也通过某种算法计算得到，

3、目的是为了标识唯一一个SNMP实体。在net-snmp中是通过计算生成的，使用如下的方法：SnmpEnglineID长度为12个字节，最高bit设置为1，表示使用框架定义的方法（如果为0表示企业定义）。前4个字节设为生产代理的企业标识（prvate.enterprise下的企业标识，同IANA分配），如ECI的企业标识为1286。其他8个字节通过使用IP地址并在地址后面增补随机数来确定。配置方法:修改net-snmp源代码，将NETSNMP_ENTERPRISE_OID更改为1286.Mib节点项：snmpEngineID(..1.1)5. View name,

4、oid name, include说明：VACM配置相关，适用于v1/v2c/v3版本。VACM是将MIB分成若干视图，对不同的视图实现不同的访问权限控制。配置方法：view all included .1.3.6在此配置项中，view name为all, oid为..2.1, include属性为included.说明名为all的视图，有权限对..2.1子树进行访问。included说明是包含关系，如果配置为excluded则是排除关系。Mib节点项:View name: vacmViewTreeFamilyViewName(..5.

5、2.1.1), 表索引Oid name: vacmViewTreeFamilySubtree(..),表索引Include: vacmViewTreeFamilyType(..), 表成员6. Security user name, Security level, Authentication protocol, Authentication key, Privacy protocol, Privacy key说明：USM配置相关，适用于v3版本。SNMPv3使用基于用户的安全模型实现安全性，简称USM。S

6、NMPv3中，消息与用户联系起来，一条消息是一个用户发出的，消息使用用户的密码生成密钥，从而进行摘要和加密，实现各种安全特性。配置方法：createUser emsUser MD5 "authpass" DES "privpass"此配置项中，创建了一个用户，用户名为emsUser,使用的鉴别协议为MD5,密码为authpass,使用的加密协议为DES,密码为privpass. Security level不在此处配置。Mib节点项：Security user name: usmUserSecurityName(..2.2.

7、1.3)Security level: vacmAccessSecurityLevel(..4.1.3)Authentication protocol: usmUserAuthProtocol(..)Authentication key: 无mib节点Privacy protocol: usmUserPrivProtocol(..)Privacy key: 无mib节点7. Group name, Security model，Security name说明：VACM中grou

8、p配置相关，适用于v1/v2c/v3。三个参数均在VacmSecurityToGroupTable表中，security model和security name作为索引，映射到一个group name。group name为一组要素定义了一个访问控制权限。配置方法：group Groupv2c v2c getgroup Groupv3 usm emsUser第一个配置项配置了一个名为Groupv2c的组，seciruty model为v2c, security name为get。第二个配置项配置了一个名为Groupv3的组，security model为usm, security name为e

9、msUser。Mib节点项：Group name: vacmGroupName(..2.1.3)Security model: vacmSecurityModel(..2.1.1),索引Security name: vacmSecurityName(..2.1.2),索引8. Context说明: 通常情况下不需要配置context。9. Access配置说明：VACM配置相关，配置组的访问权限，适用于v1/v2c/v3. 通过将之前配置过的view赋给group,从而使得group具有相应的权限。配置方

10、法：access Groupv3 "" usm auth exact all all all通过配置使得Groupv3组的读，写及通告都具备all view的权限。Mib节点项：vacmAccessTable(..4)二示例配置文件# source communitycom2sec users1 default publiccom2sec user2 default private# groupName securityModel securityNamegroup Groupv1RO v1 user1group Groupv

11、1RW v1 setgroup Groupv2cRO v2c user2 group Groupv2cRW v2c setgroup Groupv3RO usm user1group Groupv3RW usm user2# name incl/excl subtree mask(optional)view view1 included ..2.1view view2 included ..4view view3 included .1# group context sec.model sec.level prefix read write notifaccess

12、Groupv1RO "" v1 noauth exact view1 none noneaccess Groupv1RW "" v1 noauth exact view1 view1 noneaccess Groupv2cRO "" v2c noauth exact view2 none noneaccess Groupv2cRW "" v2c noauth exact view2 view2 noneaccess Groupv3RO "" usm authpriv exact view3 no

13、ne noneaccess Groupv3RW "" usm authpriv exact view3 view3 nonecreateUser user1 MD5 "authpass1" DES "privpass1"createUser user2 MD5 "authpass2" DES "privpass2"说明：如上的配置文件，可以同时支持v1/v2c/v3版本。以v1版本的配置为例，首先配置共同体get和set, 内容分别为public和private.第二步，配置Groupv1RO和Groupv1RW用户组，分别与get与set共同体相关联。第三步，配置view1，配置子树为..2.1，类型为包含(included)最后，配置access权限，将view赋给特定的组。Groupv1RO的read view设置为view1,而wirte view设置为none,所以只具备读权限。Groupv1RW的read view及write view均设置为view1,从而具备读写权限。V2c版本的配置过程与v1相似，不再细述。V3版本，不需要配