如何支持和配置Cisco Catalyst OS SNMP陷阱

发布网友

我来回答

共1个回答

热心网友

在Ubuntu和Debian配置SNMPv3使用net-snmp-configtool工具进行配置。下面的例子中创建了一个只读权限的SNMPv3账户，用户名为“snmpv3user”密码为“snmpv3pass”。默认身份验证方法是MD5加密，默认DES使用。这些设定也可根据需要改变。root@server:~#apt-getinstallsnmpsnmpdroot@server:~#servicesnmpdstoproot@server:~#net-snmp-config--create-snmpv3-user-ro-Asnmpv3passsnmpv3user##OUTPUT##addingthefollowinglineto/var/lib/snmp/snmpd.conf:createUsersnmpv3userMD5"snmpv3pass"DESaddingthefollowinglineto/usr/share/snmp/snmpd.conf:rousersnmpv3userroot@server:~#servicesnmpdstartSNMPv3测试使用snmpwalk测试SNMP的配置。成功的测试结果应当有大量的输出数据。下面的例子使用上文建立的V3账户演示了snmpwalk的使用。Ubuntu和Debian的本地服务器IP地址192.168.1.1。###SAMPLEOUTPUT###iso.3.6.1.2.1.1.1.0=STRING:"Linuxserver3.5.0-23-generic#35~precise1-UbuntuSMPFriJan2517:13:26UTC2013x86_"iso.3.6.1.2.1.1.2.0=OID:iso.3.6.1.4.1.8072.3.2.10iso.3.6.1.2.1.1.3.0=Timeticks:(68028)0:11:20.28iso.3.6.1.2.1.1.7.0=INTEGER:72iso.3.6.1.2.1.1.8.0=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.1.9.1.2.1=OID:iso.3.6.1.6.3.10.3.1.1iso.3.6.1.2.1.1.9.1.2.2=OID:iso.3.6.1.6.3.11.3.1.1iso.3.6.1.2.1.1.9.1.2.3=OID:iso.3.6.1.6.3.15.2.1.1iso.3.6.1.2.1.1.9.1.2.4=OID:iso.3.6.1.6.3.1iso.3.6.1.2.1.1.9.1.2.5=OID:iso.3.6.1.2.1.49iso.3.6.1.2.1.1.9.1.2.6=OID:iso.3.6.1.2.1.4iso.3.6.1.2.1.1.9.1.2.7=OID:iso.3.6.1.2.1.50iso.3.6.1.2.1.1.9.1.2.8=OID:iso.3.6.1.6.3.16.2.2.1iso.3.6.1.2.1.1.9.1.3.1=STRING:"TheSNMPManagementArchitectureMIB."iso.3.6.1.2.1.1.9.1.3.2=STRING:"TheMIBforMessageProcessingandDispatching."iso.3.6.1.2.1.1.9.1.3.3=STRING:"ThemanagementinformationdefinitionsfortheSNMPUser-basedSecurityModel."iso.3.6.1.2.1.1.9.1.3.4=STRING:"TheMIBmoleforSNMPv2entities"iso.3.6.1.2.1.1.9.1.3.5=STRING:"TheMIBmoleformanagingTCPimplementations"iso.3.6.1.2.1.1.9.1.3.6=STRING:"TheMIBmoleformanagingIPandICMPimplementations"iso.3.6.1.2.1.1.9.1.3.7=STRING:"TheMIBmoleformanagingUDPimplementations"iso.3.6.1.2.1.1.9.1.3.8=STRING:"View-basedAccessControlModelforSNMP."iso.3.6.1.2.1.1.9.1.4.1=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.1.9.1.4.2=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.1.9.1.4.3=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.1.9.1.4.4=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.1.9.1.4.5=Timeticks:(0)0:00:00.00###Andthewalkgoesonandon###删除SNMPv3账户当net-snmp-configtool运行过程中，该账户的有关信息会存储在var/lib/snmp/snmpd.conf和/usr/share/snmp/snmpd.conf.两个文件之中。删除账户即删除这个文件中的信息即可。root@server:~#servicesnmpdstoproot@server:~#vim/var/lib/snmp/snmpd.conf##thereshouldbeasimilarencryptedlinethatcontainsinformationontheuser####thislineisremoved##usmUser130x80001f8880056e06573a1e51000000000x736e6d70763375736572000x736e6d7076337573657200NULL.1.3.6.1.6.3.10.1.1.20x945ed3c9708ea5493f53f953b45a4513.1.3.6.1.6.3.10.1.2.20x945ed3c9708ea5493f53f953b45a4513""root@server:~#vim/usr/share/snmp/snmpd.conf##Thefollowinglineisremoved##rousersnmpv3user之后不要忘记重启snmpdroot@server:~#servicesnmpdstart在CentOS或者RHEL中配置SNMPv3相比Ubuntu，在CentOS和RHEL中配置SNMPv3用户的过程有点不同，但基本是相同的。首先，使用yum安装必要的软件[root@server~]#yuminstallnet-snmp-utilsnet-snmp-devel安装完成之后，先停止snmpd，再创建具有只读属性的SNMP账户。.[root@server~]#servicesnmpdstop[root@server~]#net-snmp-create-v3-user-ro-Asnmpv3pass-aMD5-xDESsnmpv3user##OUTPUT##addingthefollowinglineto/var/lib/net-snmp/snmpd.conf:createUsersnmpv3userMD5"snmpv3pass"DESaddingthefollowinglineto/etc/snmp/snmpd.conf:rousersnmpv3user[root@server~]#servicesnmpdstartSNMPv3测试snmpwalk是测试SNMP配置和输出出色的工具。成功的测试结果应当有大量的输出数据。[root@server~]#snmpwalk-usnmpv3user-Asnmpv3pass-aMD5-lauthnoPriv192.168.1.2-v3###OUTPUT###SNMPv2-MIB::sysDescr.0=STRING:Linuxserver.example.tst2.6.32-71.el6.i686#1SMPFriNov1204:17:17GMT2010i686SNMPv2-MIB::sysObjectID.0=OID:NET-SNMP-MIB::netSnmpAgentOIDs.10DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks:(263)0:04:49.63SNMPv2-MIB::sysORLastChange.0=Timeticks:(1)0:00:00.01SNMPv2-MIB::sysORID.1=OID:SNMP-MPD-MIB::snmpMPDMIBObjects.3.1.1SNMPv2-MIB::sysORID.2=OID:SNMP-USER-BASED-SM-MIB::usmMIBComplianceSNMPv2-MIB::sysORID.3=OID:SNMP-FRAMEWORK-MIB::snmpFrameworkMIBComplianceSNMPv2-MIB::sysORID.4=OID:SNMPv2-MIB::snmpMIBSNMPv2-MIB::sysORID.5=OID:TCP-MIB::tcpMIBSNMPv2-MIB::sysORID.6=OID:IP-MIB::ipSNMPv2-MIB::sysORID.7=OID:UDP-MIB::udpMIBSNMPv2-MIB::sysORID.8=OID:SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroupSNMPv2-MIB::sysORDescr.1=STRING:TheMIBforMessageProcessingandDispatching.SNMPv2-MIB::sysORDescr.2=STRING:TheMIBforMessageProcessingandDispatching.SNMPv2-MIB::sysORDescr.3=STRING:TheSNMPManagementArchitectureMIB.SNMPv2-MIB::sysORDescr.4=STRING:TheMIBmoleforSNMPv2entitiesSNMPv2-MIB::sysORDescr.5=STRING:TheMIBmoleformanagingTCPimplementation##andtheoutputcontinues##删除SNMPv3账户SNMPv3账户信息被包含在两个文件之中。删除账户即删除这个文件中的信息即可。root@server:~#servicesnmpdstoproot@server:~#vim/var/lib/net-snmp/snmpd.conf##thereshouldbeasimilarencryptedlinethatcontainsinformationontheuser####thislineisremoved##usmUser130x80001f8880056e06573a1e51000000000x736e6d70763375736572000x736e6d7076337573657200NULL.1.3.6.1.6.3.10.1.1.20x945ed3c9708ea5493f53f953b45a4513.1.3.6.1.6.3.10.1.2.20x945ed3c9708ea5493f53f953b45a4513""root@server:~#vim/etc/snmp/snmpd.conf##Thefollowinglineisremoved##rousersnmpv3userroot@server:~#servicesnmpdstart防火墙调节（可选）下面的例子中的防火墙规则可以被用于*被允许进行SNMP查询的源IP地址。两个IP地址（例如，192.168.1.100/101）被置于白名单中。root@server:~#iptables-AINPUT-s192.168.1.100/32-pudp–dport161-jACCEPTroot@server:~#iptables-AINPUT-s192.168.1.101/32-pudp–dport161-jACCEPTroot@server:~#iptables-AINPUT-pudp–dport161-jDROP思科交换机和路由器配置SNMPv3思科交换机和路由器同样支持SNMPv3。下面的例子将创建一个访问控制列表（ACL）*允许做SNMP查询的源IP地址。但是，这步被跳过了。设置访问控制列表（ACL）（可选）##globalconfigmode##ipaccess-liststandardSNMP_ACLpermit192.168.1.100permit192.168.1.100SNMPv3配置下面的配置创建一个名为v3Group与认证AuthNoPriv安全级别v3的组。前面定义的可选访问列表也支持设定。##globalconfigmode####WithACL##snmp-servergroupv3Groupv3authaccessSNMP_ACL##WithoutACL##snmp-servergroupv3Groupv3auth用户v3user被创建并添加在v3Group下。MD5的密码和AES加密密钥也被定义。snmp-serveruserv3userv3Groupv3authmd5snmpv3passprivaes128snmpv3passSNMPv3测试SNMP用户和相关组可以在Cisco设备中查看。###privilegedEXECmode##showsnmpuserUsername:v3userEngineID:************************storage-type:nonvolatileactiveAuthenticationProtocol:MD5PrivacyProtocol:AES128Group-name:v3Group任何Linux设备中的snmpwalk的都可以用来验证配置和检查输出。snmpwalk-usnmpv3user-Asnmpv3pass-aMD5-lauthnoPriv192.168.1.3-v3iso.3.6.1.2.1.1.1.0=STRING:"CiscoIOSSoftware”TechnicalSupport:/techsupportCopyright(c)1986-2012byCiscoSystems,Inc.iso.3.6.1.2.1.1.2.0=OID:iso.3.6.1.4.1.9.1.1166iso.3.6.1.2.1.1.7.0=INTEGER:78iso.3.6.1.2.1.1.8.0=Timeticks:(0)0:00:00.00iso.3.6.1.2.1.2.1.0=INTEGER:54iso.3.6.1.2.1.2.2.1.1.1=INTEGER:1iso.3.6.1.2.1.2.2.1.1.2=INTEGER:2iso.3.6.1.2.1.2.2.1.1.3=INTEGER:3##outputtruncated##