交换机．路由器．防火墙-技术提升【4.2】

7.3.2    配置 SNMP

SNMP（ Simple Network Management Protocol，简单网络管理协议），是一个标准的用于管理 IP 网络上结点的协议。 SNMP 由一组网络管理的标准组成，包含一个应用层协议（ application layer protocol）、数据库模型（ database schema）和一组资源对象。该协议能够支持网络管理系统，提供了一种从网络上的设备中收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。

1. SNMP 简介

SNMP 是应用层协议，是 TCP/IP 协议簇的一部分，是一个从网络上的设备收集管理信息的公用通信协议。 SNMP 是管理进程（ NMS）和代理进程（ Agent）之间的通信协议。它规定了在网络环境中对设备进行监视和管理的标准化管理框架、通信的公共语言、相应的安全和访问控制机制。通过将 SNMP 嵌入数据通信设备，如路由器、交换机或防火墙中，就可以从一个网管工作站管理这些设备，查询设备信息、修改设备的参数值、监控设备状态、自动发现网络故障、生成报告等，并以图形方式查看信息。

 SNMP 组成

使用 SNMP 进行网络管理需要几个重要部分，即管理信息库（ Management Information Base， MIB）、管理代理（ Agent）和网络管理系统（ Network Management System， NMS）。

① 管理信息库

管理信息库是对象的集合，它代表网络中可以管理的资源和设备。任何一个被管理的资源都表示成一个对象，称为被管理的对象。定义了被管理对象的一系列属性：对象的名称、对象的访问权限和对象的数据类型等。每个 Agent 都有自己的 MIB。 MIB 也可以看作是 NMS 和Agent 之间的一个接口，通过这个接口， NMS 可以对 Agent 中的每一个被管理对象进行读/写操作，从而达到管理和监控设备的目的。

由于 MIB 有公共的格式，因此，可以借助 SNMP 管理工具收集 MIB 信息，并在管理控制台上呈现给网络管理员。从管理者的角度看，所有的网络管理操作都通过对 MIB 对象的读写、创建和删除完成。 MIB 由节点上的 SNMP 代理负责维护， SNMP 代理使用 SNMP 网络管理协议与管理者进行信息交互，把来自管理者的命令或请求转换为本设备特有的指令，完成管理者的指示，并对 MIB 对象进行相应的修改。

② 管理代理

管理代理是一种网络设备的应用模块，服务器、交换机、路由器、无线接入点、网络防火墙等每一个被管理的设备有一个管理代理，用于维护被管理设备的信息数据并响应 NMS 的请求，把管理数据汇报给发送请求的 NMS。 Agent 接收到 NMS 的请求信息后，完成查询或修改操作，并把操作结果发送给 NMS，完成响应。同时，当设备发生故障或者其他事件的时候， Agent 会主动发送陷阱信息给 NMS，通知设备当前的状态变化。

③ 网络管理系统

网络管理系统是网络中的管理者，是一个利用 SNMP 协议对网络设备进行管理和监视的系统，它使用 SNMP 协议发出管理操作的指令，并接受来自 SNMP 代理的通知。 NMS 既可以指一台专门用来进行网络管理的服务器，也可以指某个设备中执行管理功能的一个应用程序。

NMS 的基本功能是取得、设置和接收代理发送的意外信息。取得，是指 NMS 发送请求，代理根据这个请求回送相应的数据。设置，是指 NMS 设置管理对象（也就是代理）的值。接收，是指代理可以在 NMS 未请求的状态下，接收代理发送的意外信息，向 NMS 报告发生的意外情况。也就是说， NMS 既可以主动向代理发出请求，查询或修改一个或多个具体的参数值。同时， NMS 可以被动接收代理主动发送的陷阱信息，以获知被管理设备当前的状态。

 SNMP 版本

SNMP 主要有 SNMPv1、 SNMPV2c、 SNMPv3 几种最常用的版本。

① SNMPv1

SNMPv1 是 SNMP 协议的最初版本，提供最小限度的网络管理功能。 SNMPv1 的 SMI 和MIB 都比较简单，且存在较多安全缺陷。

SNMPv1 采用团体名认证。团体名的作用类似于密码，用来限制 NMS 对 Agent 的访问。如果 SNMP 报文携带的团体名没有得到 NMS/Agent 的认可，该报文将被丢弃。

② SNMPv2c

SNMPv2c 也采用团体名认证。在兼容 SNMPv1 的同时又扩充了 SNMPv1 的功能：它提供了更多的操作类型（ GetBulk 操作等）；支持更多的数据类型（ Counter32 等）；提供了更丰富的错误代码，能够更细致地区分错误。

③ SNMPv3

SNMPv3 主要在安全性方面进行了增强，它采用了 USM 和 VACM 技术。 USM 提供了认证和加密功能， VACM 确定用户是否允许访问特定的 MIB 对象以及访问方式。

USM（基于用户的安全模型）。 USM 引入了用户名和组的概念，可以设置认证和加密功能。认证用于验证报文发送方的合法性，避免非法用户的访问；加密则是对 NMS 和 Agent 之间传输的报文进行加密，以免被窃听。通过有无认证和有无加密等功能组合，可以为 NMS 和Agent 之间的通信提供更高的安全性。

VACM（基于视图的访问控制模型）。 VACM 技术定义了组、安全等级、上下文、 MIB 视图、访问策略五个元素，这些元素同时决定用户是否具有访问的权限，只有具有了访问权限的用户才能管理操作对象。在同一个 SNMP 实体上可以定义不同的组，组与 MIB 视图绑定，组内又可以定义多个用户。当使用某个用户名进行访问的时候，只能访问对应的 MIB 视图定义的对象。

 SNMP 操作

SNMP 支持多种操作，主要为以下几种基本操作：

① get-request 从指定的变量中获取一个值。

② get-next-request 从表内指定的变量中获取一个值。借助该操作， NMS 无需知晓准确的变量名称，而是按顺序在表内查找需要的变量。

③ get-bulk-request 获取大块数据，如表内的多行数据，而不是传输许多小块数据。该
命令只由 SNMPv2 及后续版本提供。
④ get-response 对 NMS 发送的 get-request、 get-next-request 和 set-request 做出答复
⑤ set-request 将一个值存储至指定变量。
⑥ trap 当某些事件发生时， SNMP Agent 向 NMS 主动发出的消息。
执行前 4 种操作时设备使用 UDP 协议采用 161 端口发送报文，执行 Trap 操作时设备使用
UDP 协议采用 162 端口发送报文。由于收发采用了不同的端口号，所以一台设备可以同时作
为 Agent 和 NMS。
 SNMP 代理的功能
SNMP 代理用 get 报文来检测被管理对象的状况，用 set 报文来改变各被管对象的状况。
也就是说， SNMP 代理以下述两种方式回应 NMS 的请求：
① Get 一个 MIB 变量——SNMP 代理回应来自 NMS 的请求时开始启用该功能。 Agent
从请求的 MIB 变量中获取数值，并将其反馈给 NMS。
② Set 一个 MIB 变量——SNMP 代理回应来自 NMS 的消息时开始启用该功能。 Agent
将 MIB 变量值修改为 NMS 的请求值。
SNMP 代理也主动发送陷阱消息，以通知 NMS 在 Agent 上已经发生了重要事件。
 SNMP 字符串
SNMP 字符串像嵌入的密码一样，用于认证对 MIB 对象和特性的访问。 NMS 若欲访问交
换机，其字符串必须与交换机上定义的三个字符串中的至少一个完全相同。
字符串可有下列属性之一：
① Read-only（ RO）——赋予认证管理工作站读取访问 MIB 所有对象（团体字符串除外）
的权利，但是，不允许写访问。
② Read-wirte（ RW）——赋予认证管理工作站读取和写入访问 MIB 所有对象的权利，但
是，不允许访问团体字符串。
③ Read-wirte-all——赋予认证管理工作站读取和写入访问 MIB 所有对象的权利，包括团
体字符串。
 SNMP 的技术特点
SNMP 具有以下技术优点：
① 基于 TCP/IP 互联网的标准协议，传输层协议一般采用 UDP。
② 自动化网络管理。网络管理员可以利用 SNMP 平台在网络上的节点检索信息、修改信
息、发现故障、完成故障诊断、进行容量规划和生成报告。
③ 屏蔽不同设备的物理差异，实现对不同厂商产品的自动化管理。 SNMP 只提供最基本
的功能集，使得管理任务与被管设备的物理特性和实际网络类型相对独立，从而实现对不同厂
商设备的管理。
④ 简单的请求—应答方式和主动通告方式相结合，并有超时和重传机制。
⑤ 报文种类少，报文格式简单，方便解析，易于实现。
⑥ SNMPv3 版本提供了认证和加密安全机制，以及基于用户和视图的访问控制功能，增
强了安全性。

2. SNMP 默认配置

表 7-3 显示了 SNMP 的默认配置。

3. SNMP 配置策略
配置 SNMP 时，应当遵循以下策略：
 一个 SNMP 组是映射 SNMP 用户至 SNMP 视图的一张表。 SNMP 用户是 SNMP 组的
成员。 SNMP 主机是 SNMP 陷阱操作的接受者。 SNMP Engine ID 是本地或远程 SNMP
引擎的名称。在配置 SNMP 时，应当遵循以下策略。
 在配置 SNMP 组时，不要指定通知视图。 Snmp-server host 全局配置命令将自动生成
通知视图，并将其与用户一起添加至组。修改组通知视图将会对组内的所有用户都
产生影响。
 配置远程用户时，需要为远程设备的 SNMP 代理指定 IP 地址或端口号。
 在为远程用户配置特别代理之前，需要使用带有 remote 选项的 snmp-server engineID
全局配置命令配置 SNMP 引擎 ID。远程代理的 SNMP 引擎 ID 和用户密码被用于安
全认证。如果没有预先配置远程引擎 ID，配置命令将会失败。
 当配置 SNMP 通知时，需要为 SNMP 数据库中的远程代理配置 SNMP 引擎 ID，以发
送代理请求或通知。
 如果本地用户没有关联至远程主机，交换机将不发送认证级别的 auth (authNoPriv)和
priv (authPriv)通知。
 修改 SNMP 引擎 ID 值会产生重要影响。用户密码（在命令行输入）将转换为基于密
码和本地引擎 ID 的 MD5 或 SHA 安全摘要，原命令行密码被删除。引擎 ID 数值被
修改时， SNMPv3 用户的安全摘要将会无效，需要使用 snmp-server user nsername 全
局配置命令重新配置 SNMP 用户。同样，团体字符串也需要重要配置。
4. 禁用 SNMP 代理
在全局配置模式下，使用 no snmp-server 命令，即可禁用 SNMP 代理。

7.3.3 配置 RMON

RMON（ Remote Monitor）远程监控是一个标准监控规范，它可以使各种网络监控器和控
制台系统之间交换网络监控数据，为网络管理员选择符合指定网络需求的控制台和网络监控探
测器提供了更多的自由。

1. RMON 默认配置
交换机 RMON 支持 SNMP 的 1、 2、 3、 9 组内容。
 统计组。统计组（ statistics）是 RMON 中的第 1 组，统计组统计被监控的每个子网的
基本统计信息。目前只能对网络设备的以太网接口进行监控和统计。
 历史组。历史组（ history）是 RMON 中的第 2 组，历史组定期地收集统计网络值的
记录并为日后的处理把统计存储起来。它包含两个小组。其中， HistoryControl 组用
来设置采样间隔时间等控制信息； EthernetHistory 组为管理员提供有关网段流量、错
误包、广播包、利用率，以及碰撞次数等其他统计信息的历史数据。
 警报组。警报组（ alarm）是 RMON 中的第 3 组，以指定的时间间隔监控一个特定的
MIB（ Management Information Base）对象，当这个 MIB 对象的值超过一个设定的上
限值或低于一个设定的下限值时，会触发一个警报。警报被当作事件来处理，处理
事件的方式可以是记录日志或发送 SNMP Trap（陷阱）的方式。
 事件组。事件组（ event）是 RMON 中的第 9 组，决定当由于警报而产生事件时，处
理行为产生一个日志记录表项或者一个 SNMP Trap。
RMON 在默认情况下是禁用的，警告和过滤都没有被配置。在交换机上只有 RMON1 被
支持。
2. 配置 RMON 警报和事件
可以使用 CLI 或 SNMP 网络管理工作站配置交换机 RMON。建议使用 NMS（网络管理
工作站）上的一般的 RMON 管理工具来实现 RMON 的管理，以便充分利用 RMON 的网络管
理功能。当然，也必须在交换机上配置 SNMP 以访问 RMON MIB 对象。
在特权 Exec 模式下开始，启用 RMON 警告和过滤。
① 进入全局配置模式。
Switch # configure terminal
② 设置针对一个 MIB 对象的报警功能。 number 用于指定这个 alarm 表项的索引，取值
范围是 1～65535。 Variable 表示要监控的 MIB 的变量标识符，该变量必须是整型类数据类型。
interval 用于指定采样的时间间隔，单位为秒，取值范围为 1～2147483647s。关键字 delta 表示
取样的值，指 MIB 变量在两次取样间值的变化；关键字 absolute 表示直接使用 MIB 变量的值
作为取样值。 Value 用于指定警报触发的条件，即当 MIB 变量的值变化成大于关键字
rising-threshold 后面指定的 value 值（从小于这个值变成大于这个值），或者变成小于关键字
falling-threshold 后面指定的 value 值时即触发警报。 Value 后所跟的值取值范围是-2 147 483 648～
2 147 483 647。 event-number（可选）表示报警引发的事件产生时，指定事件组产生事件表项
的索引，若不指定则不会产生相应的事件。这个值的取值范围为 1～65 535。 string（可选）用
于标识这个报警表项的拥有者。
Switch（ config） # rmon alarm number variable interval {absolute | delta}
rising-threshold value [event-number] falling-threshold value [event-number]
[owner string]
③ 当警报产生时，增加相应的事件表项并做相应的处理。 number 表示事件表项的索引，和上面设置的 event-number 对应。一个警报产生时，若警报指定的 event-number 对应的事件
表项（ number 等于 event-number）不存在，则不会产生对应的事件。该值的取值范围为 1～
65 535。 Log（可选）输入这个关键值，则警报产生时，会将这个事件记录到日志中。 trap（可
选）输入这个关键值，则警报产生时，会产生一个 SNAP Trap。 community（可选）发送 Trap
时使用的认证名。 description string（可选）对这个事件的描述。 owner string（可选）标志这个
事件的拥有者。
Switch（config） # rmon event number [description string] [log] [owner string]
[trap community]
④ 返回特权 Exec 模式。
Switch（config） # end
⑤ 校验配置。
Switch # show running-config
⑥ 保存配置。
Switch # copy running-config startup-config
禁用警告，使用“ no rmon alarm number”全局配置命令，不能立即禁用所有已配置的警
告。禁用事件，使用“ no rmon event number”全局配置命令。
3. 创建历史表组项
必须首先配置 RMON 警告和事件来显示收集的信息。
在特权 Exec 模式下开始，下面的步骤是在接口上创建历史表组项。
① 进入全局配置模式。
Switch # configure terminal
② 指定要收集历史表的接口，并进入接口配置模式。
Switch（config） # interface interface-id
③ 创建历史表组项。 Index 用于指定这个历史记录配置表项的索引，值的范围是 1～
65 535。 owner ownername（可选）标志这个表项的拥有者。 buckets 表示每次采样的数据将被
保存下来， bucket-number 的值指定了保存每次采样数据的历史记录的最大表项个数。如果历
史记录已满，则新的采样数据将覆盖最老的一次采样数据记录。取值范围是 1～65 535，默认
值为 10。 interval 指定采样的时间间隔，单位为秒，范围为 1～3 600 s，缺省为 1 800 s。
Switch（ config-if） # rmon collection history index [buckets bucket-number]
[interval seconds] [owner ownername]
④ 返回特权 Exec 模式。
Switch（config-if） # end
⑤ 校验配置。
Switch # show running-config
⑥ 显示交换机历史中表的内容。

Switch（config） # show rmon history

⑦ 保存配置。

Switch # copy running-config startup-config

禁用历史收集，使用“ no rmon collection history index”接口配置命令。