30选5玩法|福彩30选5开奖结果321|
 

标签:snmp

snmp的配置大全cisco

No Comments CISCO ,

1 配置SNMP
在路由器上启用基本的SNMP服务
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server community ORARO ro //读权限
Router(config)#snmp-server community ORARW rw //写权限
Router(config)#end
Router#
从12.0以后启用了另一种配置方式
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server group COOKRO v1 //创建组1使用snmp版本1
Router(config)#snmp-server user TESTRO1 COOKRO v1 //在组里创建一个用户
Router(config)#snmp-server group BOOKRO v2c //创建BOOKRO组使用snmp版本2
Router(config)#snmp-server user TESTRO2 BOOKRO v2c //在BOOKRO组创建用户使用版本2
Router(config)#end

注释 注意的是这里启用的仅仅是简单SNMP服务,只会响应SNMP的GET和SET请求,不会发送SNMP traps informs.由于SNMP V1
和V2c都是明文传输community值所以需要后续的一些安全限制。show snmp group可以用来验证
2. 通过SNMP工具获得路由器信息
注释 可以使用snmpget, snmpwalk,snmpset命令直接对MIB进行查询,建议使用Solarwinds等图形化工具,暂略。
思科MIBs信息:http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml.
3. 为SNMP访问配置一些路由器重要信息
为SNMP访问提供类似路由器位置,序列号等重要信息
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server contact Ian Brown 416-555-2943// 联?#26723;?#35805;
Router(config)#snmp-server location 999 Queen St. W., Toronto, Ont. //物理位置
Router(config)#snmp-server chassis-id JAX123456789 //序列号
Router(config)#end
Router#

注释 无
4.使用SNMP获得批量路由设备信息
注释 使用perl脚本来进?#20449;?#37327;化操作,暂略
5. 使用控制列表来限制SNMP访问
使用控制列表的方式来提高SNMP访问的安全性

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 99 permit 172.25.1.0 0.0.0.255
Router(config)#access-list 99 permit host 10.1.1.1     
Router(config)#access-list 99 deny any
Router(config)#snmp-server community ORARO ro 99 //将访问控制列表99 应用在SNMP RO权限上
Router(config)#access-list 98 permit 172.25.1.0 0.0.0.255          
Router(config)#snmp-server community ORARW rw 98 //将访问控制列表98 应用在SNMP Rw权限上

Router(config)#end
Router#
SNMP Group的方法
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 99 permit 172.25.1.0 0.0.0.255
Router(config)#access-list 99 permit host 10.1.1.1     
Router(config)#access-list 99 deny any
Router(config)#snmp-server group COOKRO v1 access 99 //将访问控制列表99应用在组cookro上
Router(config)#snmp-server user TESTRO1 COOKRO v1 
Router(config)#end
Router#
从12.3(2)T以后支?#32622;?#21517;控制列表
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#ip access-list standard SNMPACL      
Router2(config-std-nacl)#permit 172.25.1.0 0.0.0.255          
Router2(config-std-nacl)#permit host 10.1.1.1
Router2(config-std-nacl)#deny any
Router2(config-std-nacl)#snmp-server community ORARO1 ro SNMPACL
Router2(config)#end
Router2#

6. 记录非授权的SNMP尝试
对非授权的SNMP尝试进行日志记录

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 99 permit 172.25.1.0 0.0.0.255
Router(config)#access-list 99 permit host 10.1.1.1
Router(config)#access-list 99 deny any log //对于不匹配访问控制列表的记录进行日志记录
Router(config)#snmp-server community ORARO ro 99
Router(config)#snmp-server community ORARW rw 99
Router(config)#end
Router#
注释
Router#show access-list 99
Standard IP access list 99
    permit 10.1.1.1 (1293 matches)
    permit 172.25.1.0, wildcard bits 0.0.0.255 (630 matches)
    deny   any log (17 matches)
Router#show logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
    Console logging: disabled
    Monitor logging: level debugging, 26 messages logged
        Logging to: vty2(0)
    Buffer logging: level debugging, 49 messages logged
    Trap logging: level informational, 53 message lines logged
        Logging to 172.25.1.1, 53 message lines logged
        Logging to 172.25.1.3, 53 message lines logged
Log Buffer (4096 bytes):
Apr 15 22:33:21: %SEC-6-IPACCESSLOGS: list 99 denied 192.168.22.13 1 packet
Apr 15 22:39:18: %SEC-6-IPACCESSLOGS: list 99 denied 10.121.212.11 3 packets
Router#

7.限制MIB访问
限制特定的MIB可以被SNMP来访问

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 99 permit 172.25.1.0 0.0.0.255
Router(config)#access-list 99 deny any log
Router(config)#snmp-server view ORAVIEW mib-2 included
Router(config)#snmp-server view ORAVIEW at excluded
Router(config)#snmp-server view ORAVIEW cisco included
Router(config)#snmp-server community ORARO view ORAVIEW ro 99
Router(config)#snmp-server view RESTRICTED lsystem.55 included
Router(config)#snmp-server community ORARW view RESTRICTED rw 99
Router(config)#end
Router#
SNMP Group方式
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server view ORAVIEW mib-2 included
Router(config)#snmp-server view ORAVIEW at excluded
Router(config)#snmp-server view ORAVIEW cisco included
Router(config)#snmp-server group TEST v1 read ORAVIEW
Router(config)#snmp-server user ORARO TEST v1
Router(config)#snmp-server view RESTRICTED lsystem.55 included
Router(config)#snmp-server group TEST2 v1 write RESTRICTED
Router(config)#snmp-server user ORARW TEST2 v1
Router(config)#end
Router#
注释
Router#show snmp view
ORAVIEW mib-2 – included nonvolatile active
ORAVIEW at – excluded nonvolatile active
ORAVIEW cisco – included nonvolatile active
v1default internet – included volatile active
v1default internet.6.3.15 – excluded volatile active
v1default internet.6.3.16 – excluded volatile active
v1default internet.6.3.18 – excluded volatile active
RESTRICTED cisco – included nonvolatile active
RESTRICTED lsystem.55 – included nonvolatile active
Router#

8.使用SNMP来修改路由器当前配置
使用SNMP来?#30053;?#25110;者上传路由器配置文件
以安装了NETSNMP的Freebsd为例
首先路由器启用SNMP
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server community ORARW rw
Router(config)#end
?#30053;?#37197;置
Freebsd% touch /tftpboot/router.cfg
Freebsd% chmod 666 /tftpboot/router.cfg
Freebsd% snmpset v1 -c ORARW Router .1.3.6.1.4.1.9.2.1.55.172.25.1.1 s router.cfg
enterprises.9.2.1.55.172.25.1.1 = "router.cfg"
Freebsd%
修改配置后上传保存
Freebsd% echo "no ip source-route" > /tftpboot/new.cfg
Freebsd% echo "end" >> /tftpboot/new.cfg
Freebsd% chmod 666 /tftpboot/new.cfg
Freebsd% snmpset v1 -c ORARW Router .1.3.6.1.4.1.9.2.1.53.172.25.1.1 s new.cfg
enterprises.9.2.1.53.172.25.1.1 = "new.cfg"
Freebsd% snmpset v1 -c ORARW Router .1.3.6.1.4.1.9.2.1.54.0 i 1
enterprises.9.2.1.54.0 = 1
Freebsd%

注释 .1.3.6.1.4.1.9.2.1.55是思科MIB中发送当前配置文件的OID值,172.25.1.1是TFTP服务器地址。在修改配置文件时候注
意最后要?#30001;蟚nd命令,注意这时的OID是.1.3.6.1.4.1.9.2.1.53。最后一个snmpset命令是对上传配置进行保存。当然上述操
作都可以使用Solarwinds软件实现

 

9. 使用SNMP来升级IOS

通过SNMP来远端升级路由器IOS

首先路由器配置

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server community ORARW rw

Router(config)#end

?#30053;?#24403;前的IOS

Freebsd% touch /tftpboot/c2600-jk9o3s-mz.122-7a.bin

Freebsd% chmod 666 /tftpboot/c2600-jk9o3s-mz.122-7a.bin

Freebsd% snmpset v1 -c ORARW Router .1.3.6.1.4.1.9.2.10.9.172.25.1.1 s c2600-jk9o3s-mz.122-7a.bin

enterprises.9.2.10.9.172.25.1.1 = "c2600-jk9o3s-mz.122-7a.bin"

Freebsd%

升级IOS

Freebsd% chmod 666 /tftpboot/c2600-jk9o3s-mz.122-7a.bin

Freebsd% snmpset v1 -c ORARW Router .1.3.6.1.4.1.9.2.10.6.0 i 1

enterprises.9.2.10.6.0 = 1

Freebsd% snmpset v1 -c ORARW Router.1.3.6.1.4.1.9.2.10.12.172.25.1.1 s c2600-jk9o3s-mz.122-7a.bin

enterprises.9.2.10.12.172.25.1.1 = "c2600-jk9o3s-mz.122-7a.bin"

Freebsd%

注释 例子中的Router是路由器的机器名也可以使用IP地址,.1.3.6.1.4.1.9.2.10.9.是相应的OID。在对IOS升级的时候第一

步做的是清除Flash,第二步才?#24039;?#20256;IOS。这种可以使用脚本来实现IOS的集中管理。

10. 使用SNMP来进?#20449;?#37327;的配置修改

注释 使用perl脚本来进?#20449;?#37327;化操作,暂略

11. 避免非授权的配置修改

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#access-list 92 permit 172.25.1.1

Router(config)#access-list 92 deny any log      

Router(config)#snmp-server tftp-server-list 92 //只允许特定的设备来通过SNMP和TFTP来发送和接收配置信息

Router(config)#snmp-server community ORARW rw

Router(config)#end

Router#

从12.3(2)T开始支?#32622;?#21517;控制列表

Router2#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router2(config)#ip access-list standard TFTPACL      

Router2(config-std-nacl)#permit 172.25.1.1

Router2(config-std-nacl)#deny any log      

Router2(config-std-nacl)#exit

Router2(config)#snmp-server tftp-server-list TFTPACL

Router2(config)#snmp-server community ORARW rw

Router2(config)#end

Router2#

注释 要注意的是这里限制的仅仅是通过SNMP发起的TFTP会话,对其他的文件传输不受影响。另外这里的控制列表是全局性的

,不能针对特定的community值

12. 保持接口表名的永久性

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server ifindex persist //即使重启也能保证SNMP使用相同的接口名

Router(config)#end

Router#

也可以对单独接口:

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface Serial0/0

Router(config-if)#snmp ifindex persist //重启也能保证SNMP使用相同的接口名

Router(config-if)#exit

Router(config)#end

Router#

注释 很多工程师不知道内部SNMP接口号是会变的,这样在进行查询的时候会出错,比如下面的例子,FastEthernet1/0的

ifindex是5

Freebsd% snmpwalk v1 -c ORARO Router ifDescr

interfaces.ifTable.ifEntry.ifDescr.1 = "BRI0/0"

interfaces.ifTable.ifEntry.ifDescr.2 = "Ethernet0/0"

interfaces.ifTable.ifEntry.ifDescr.3 = "BRI0/0:1"

interfaces.ifTable.ifEntry.ifDescr.4 = "BRI0/0:2"

interfaces.ifTable.ifEntry.ifDescr.5 = "FastEthernet1/0"

interfaces.ifTable.ifEntry.ifDescr.6 = "Null0"

interfaces.ifTable.ifEntry.ifDescr.7 = "Loopback0"

重启以后再查询就变成2了

Freebsd% snmpwalk v1 -c ORARO Router ifDescr

interfaces.ifTable.ifEntry.ifDescr.1 = "Ethernet0/0"

interfaces.ifTable.ifEntry.ifDescr.2 = "FastEthernet1/0"

interfaces.ifTable.ifEntry.ifDescr.3 = "Null0"

interfaces.ifTable.ifEntry.ifDescr.4 = "Loopback0"

这样就会给网管造成困难

13. 启用SNMP Traps和Informs

配置路由器针对特定事件产生Traps或者Informs

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server enable traps //开启traps功能

Router(config)#snmp-server host 172.25.1.1 ORATRAP config entity envmon hsrp //针对特定信息进行traps

Router(config)#snmp-server host nms.oreilly.com ORATRAP bgp snmp envmon //发送特定APS

Router(config)#end

Router#

从SNMP v2c开始路由器支持SNMP Informs

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server enable informs

Router(config)#snmp-server host 172.25.1.1 informs version 2c ORATRAP snmp envmon

Router(config)#end

Router#

注释 这里的Traps是路由器主动提供的,不是针对SNMP request的响应。可以snmp-server enable traps envmon 来发送特定

的TRAPS,也可以针对不同的NMS主机发送不同的traps

14. 以SNMP Trap的?#38382;?#21457;送Syslog

把Syslog封装成SNMP Traps或者Informs

Traps

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#logging history informational

Router(config)#snmp-server enable traps syslog

Router(config)#snmp-server host 172.25.1.1 ORATRAP syslog

Router(config)#end

Router#

Informs

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#logging history informational

Router(config)#snmp-server enable informs

Router(config)#snmp-server host 172.25.1.1 informs version 2c ORATRAP syslog

Router(config)#end

Router#

注释 Router#clear counters

Clear "show interface" counters on all interfaces [confirm]

Router#

May 28 10:07:04: %CLEAR-5-COUNTERS: Clear counter on all interfaces by ijbrown on vty0 (172.25.1.1)

上述的Syslog信息会变?#19978;?#38754;的SNMP消息

Freebsd% tail snmptrapd.log

May 28 10:07:04 freebsd snmptrapd[77759]: 172.25.25.1: Enterprise Specific Trap (1) Uptime: 18 days,

22:35:26.99, enterprises.9.9.41.1.2.3.1.2.118 = "CLEAR", enterprises.9.9.41.1.2.3.1.3.118 = 6,

enterprises.9.9.41.1.2.3.1.4.118 = "COUNTERS", enterprises.9.9.41.1.2.3.1.5.118 = "Clear counter on all

interfaces by ijbrown on vty0 (172.25.1.1)", enterprises.9.9.41.1.2.3.1.6.118 = Timeticks: (163652698) 18

days, 22:35:26.98

Freebsd%

15. 设定SNMP包大小

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server packetsize 1480 //修改缺省的SNMP包大小

Router(config)#end

Router#

------中间广告---------

注释 缺省为1500字节

16. 设定SNMP队列大小

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server queue-length 25 //增加SNMP Trap队列大小

Router(config)#snmp-server inform pending 40

Router(config)#end

Router#

注释 缺省对Trap的队列是10个trap消息,对Inform是25个。可以通过show snmp来查看队列配置和丢弃的Trap包

17. 设定SNMP 超时时长

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server trap-timeout 60 //调整SNMP Trap的超时时长

Router(config)#snmp-server inform timeout 120

Router(config)#end

Router#

注释 准确说是重传等待时长

18.禁止端口的Up/Down Traps

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface Serial0/0

Router(config-if)#no snmp trap link-status //忽略特定端口的链路状态告警

Router(config-if)#exit

Router(config)#end

Router#

注释 比如特定的拨号接口等

19.设定SNMP Traps的源发送地址

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server host 172.25.1.1 ORATRAP

Router(config)#snmp-server trap-source loopback0 //设定SNMP Traps消息的源发送地址

Router(config)#end

Router#

20. 使用RMON来发送Traps

CPU超过特定阀值

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#rmon event 1 log trap ORATRAP description "CPU on Router has exceeded threshold" owner ijbrown

Router(config)#rmon event 2 log description "CPU on Router has normalized" owner ijbrown       

Router(config)#rmon alarm 1 lsystem.57.0 60 absolute rising-threshold 70 1 falling-threshold 40 2 owner

ijbrown //实现当CPU超过警戒后发送trap或者其他重要事件发送trap
Router(config)#end

Router#

内存利用超过特定阀值

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#rmon event 4 log trap ORATRAP description "Low memory condition on Router" owner ijbrown   

Router(config)#rmon event 5 log trap ORATRAP description "Low Memory condition cleared on Router" owner

ijbrown

Router(config)#rmon alarm 3 lsystem.8.0 60 absolute rising-threshold 1500000 5 falling-threshold 1000000 4

owner ijbrown

Router(config)#end

Router#

链路利用率超过固定阀值

er#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#rmon event 6 log trap ORATRAP description "Bandwidth utilization has exceeded threshold on

Router interface Serial 0/0" owner ijbrown

Router(config)#rmon event 7 log trap ORATRAP description "Bandwidth utilization has normalized on Router

interface Serial 0/0" owner ijbrown

Router(config)#! Configure inbound alarm on Serial0/0 (ifNumber 3)

Router(config)#rmon alarm 4 lifEntry.6.3 300 absolute rising-threshold 1000000 6 falling-threshold 800000 7

owner ijbrown

Router(config)#! Configure outbound alarm on Serial0/0 (ifNumber 3)

Router(config)#rmon alarm 5 lifEntry.8.3 300 absolute rising-threshold 1000000 6 falling-threshold 800000 7

owner ijbrown

Router(config)#end

Router#

注释 路由器内置了这种廉价的监控方案

Router>show rmon events

Event 1 is active, owned by ijbrown

Description is CPU on Router has exceeded threshold

Event firing causes log and trap to community ORATRAP, last fired 00:00:00

Event 2 is active, owned by ijbrown

Description is CPU on Router has normalized

Event firing causes log, last fired 2w2d

Current log entries:

      index       time   description

          1       2w2d   CPU on Router has normalized

Router>

21.启用SNMPv3

(noAuthNoPriv):

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server view TESTV3 mib-2 include

Router(config)#snmp-server group NOTSAFE v3 noauth read TESTV3

Router(config)#snmp-server user WEAK NOTSAFE v3 // 启用SNMPv3提供安全性

Router(config)#end

Router#

(authNoPriv):

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server view TESTV3 mib-2 include

Router(config)#snmp-server group ORAROV3 v3 auth read TESTV3

Router(config)#snmp-server user cking ORAROV3 v3 auth md5 daytona19y

Router(config)#end

Router#

(authPriv)

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#snmp-server view TESTV3 mib-2 include

Router(config)#snmp-server group ORAROV3 v3 auth read TESTV3

Router(config)#snmp-server user bpugsley ORAROV3 v3 auth md5 hockeyrules priv des56 shortguy

Router(config)#end

Router#

注释 v3最大的优点就是增加了安全性,有例子中三种模式可以选择

22. 高强度SNMPv3?#29992;?/p>

从12.4(2)T开始增强了?#29992;?#26041;法

Router1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router1(config)#snmp-server user wbrejniak ORAROV3 v3 auth md5 authpass priv 3des privpass //
增强V3的?#29992;?/p>

Router1(config)#end                                                                     

Router1#

或者

Router1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router1(config)#snmp-server user wbrejniak ORAROV3 v3 auth md5 authpass priv aes 128 privpass //
增强V3的?#29992;?/p>

Router1(config)#end

Router1#

[code]

23.配置路由器?#36828;?#36718;询另一台设备来获得性能统计

[code]
Router1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router1(config)#rtr responder

Router1(config)#rtr 10

Router1(config-rtr)#type echo protocol ipIcmpEcho 10.1.2.3

Router1(config-rtr)#tag ECHO_TEST

Router1(config-rtr)#threshold 1000

Router1(config-rtr)#frequency 300

Router1(config-rtr)#exit

Router1(config)#rtr schedule 10 life 2147483647 start-time now

Router1(config)#rtr 20

Router1(config-rtr)#type jitter dest-ipaddr 10.1.2.3 dest-port 99 num-packets 100

Router1(config-rtr)#tag JITTER_TEST

Router1(config-rtr)#frequency 300

Router1(config-rtr)#exit

Router1(config)#rtr schedule 20 life 100000 start-time now ageout 3600

Router1(config)#exit

Router1#

目标路由器,用来响应SAA测试

Router2#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router2(config)#rtr responder

Router2(config)#exit

Router2#

Cisco网络设备的SNMP及Syslog配置参考

No Comments CISCO ,

设置IOS设备

在IOS的Enable状态下,敲入
config terminal 进入全局配置状态
Cdp run 启用CDP
snmp-server community gsunion ro 配置本路由器的只读字串为gsunion
snmp-server community gsunion rw 配置本路由器的读写字串为gsunion
s nmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去
snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17,发送Trap时采用trapcomm作为字串
snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址
logging on 起动log机制
logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog server
logging facility local7 将记录事件类型定义为local7
logging trap warning 将记录事件?#29616;?#32423;别定义为从warningl开始,一直到最紧急级别的事件全部记录到前边指定的syslog server.
logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址
service timestamps log datetime 发送记录事件的时候包含时间标记
enable password ******
line tty 0 4
password ******
login local 设置Enable口令和Telnet口令
show running
copy running start或write terminal ?#20801;?#24182;检查配置
保存配置
设置CatOS设备
在CatOS的Enable状态下,敲入
set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID,IP地址,子网掩码
Set cdp enable all 启用CDP
set snmp community read-only gsunion 配置本交换机的只读字串为public
set snmp community read-write-all gsunion 配置本交换机的读写字串为private
set snmp trap server-ip gsunion
指定交换机SNMP Trap的接收者为网管服务器,发送Trap时采用gsunion作为字串
set snmp trap enable all 将全部类型的SNMP Trap发送出去
set snmp rmon enable 激活交换机的SNMP RMON功能
set logging server IP-address-server 将log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog server
set logging level 6 将记录事件?#29616;?#32423;别定义为从informational开始,一直到最紧急级别的事件全部记录到前边指定的syslog server
set logging server facility local7 将记录事件类型定义为local7
set logging timestamp 发送记录事件的时候包含时间标记
set logging enable 起动log机制
set password ******
set enablepass ******
设置Enable口令和Telnet口令
show running
write terminal ?#20801;?#24182;检查配置
保存配置
配置PIX设备
Logging on 在PIX上面启用日志记录
Snmp-server community gsunion 为PIX设备配置共同体串gsunion
Snmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器
Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器
Logging history warning
为PIX设备SNMP系统日志消息设置warning级别。

SNMP陷阱

No Comments CISCO

 

SNMP陷阱(SNMP Trap)是由一个SNMP代理发送的信息给管理?#20445;?#20854;使一个代理通知管理站的重要事件,通过一个未被请求的SNMP信息。在SNMP自陷的通知后面的观点是这样的:如果一个管理员是负责大量的设备,每个设备有大量的目标,这?#36816;?#26159;不切实际的或请求信息来自每个设备中的每个目标。每个在管理设备上的代理的解决方案在没有请求?#37027;?#20917;下通知管理员。它通过发送信息叫做这个事件的陷阱。在接收到这个事件之后,管理员配置它和可能选择基于这个事件的行动。举例来说,管理员能够直接轮询这个代理,或轮询其它相关设备代理来获得对这个事件更好的理解。

SNMP协议概述

SNMP(Simple Network Management Protocol)即简单网络管理协议,它为网络管理系统提供了底层网络管理的框架。SNMP协议的应用范围非常广泛,诸多种类的网络设备、软件和系?#25345;?#37117;有所采用,主要是因为SNMP协议有如?#24405;?#20010;特点:

首先,相对于其它种类的网络管理体系或管理协议而言,SNMP易于实现。SNMP的管理协议、MIB及其它相关的体系框架能够在各种不同类型的设备上运行,包括低档的个人电脑到高档的大型主机、服务器、及路由器、交换器等网络设备。一个SNMP管理代理组件在运行时不需要很大的内存空间,因此也就不需要太强的计算能力。SNMP协议一般可以在目标系?#25345;?#24555;速开发出来,所?#36816;?#24456;容易在面市的新产品或升级的老产品中出现。尽管SNMP协议缺少其它网络管理协议的某些优点,但它设计简单、扩展灵活、易于使用,这些特点大大弥补了SNMP协议应用中的其他不足。

其次,SNMP协议是开放的免费产品。只有经过IETF的标准议程批准(IETF是IAB下设的一个组织),才可以改动SNMP协议;厂商们也可?#36816;?#19979;改动SNMP协议,但这样作的结果很可能得不偿失,因为他们必须说服其他厂商和用户支持他们对SNMP协议的非标准改进,而这样做?#20174;?#24726;于他们的初衷。

第三,SNMP协议有很多详细的文档资料(例如RFC,以及其它的一些文章、说明书等),网络业界对这个协议也有着较深入的理解,这些都是SNMP协议近一步发展和改进的基础。

最后,SNMP协议可用于控制各种设备。比如?#26723;?#35805;系统、环境控制设备,以及其它可接入网络且需要控制的设备等,这些非传统装备都可以使用SNMP协议。

正是由于有了上述这些特点,SNMP协议已经被认为是网络设备厂商、应用软件开发者及终端用户的首选管理协议。

SNMP是一种无连接协议,无连接的意思是它不支持象TELNET或FTP这种专门的连接。通过使用请求报文和返回响应的方式,SNMP在管理代理和管理员之间传送信息。这种机制减轻了管理代理的负担,它不必要非得支持其它协议及基于连接模式的处理过程。因此,SNMP协议提供了一种独有的机?#35780;创?#29702;可靠性和故障检测方面的问题。

另外,网络管理系统通常安装在一个比较大的网络环?#25345;校?#20854;中包括大量的不同种类的网络和网络设备。因此,为划分管理职责,应该把整个网络分成若干个用户分区,可以把满足以下条件的网络设备归为同一个SNMP分区:它们可以提供用于实现分区所需要的安全性方面的分界线。SNMP协议支持这种基于分区名(community string)信息的安全模型,可以通过物理方式把它添加到选定的分区内的每个网络设备上。目前SNMP协议中基于分区的身份验证模型被认是为很不牢靠的,它存在一个?#29616;?#30340;安全问题。主要原因是SNMP协议并不提供?#29992;?#21151;能,也不保证在SNMP数据包交换过程中不能从网络中直接拷贝分区信息。只需使用一个数据包捕获工具就可把整个SNMP数据包解密,这样分区名就暴露无遗。因为这个原因,大多数站点禁止管理代理设备的设置操作。但这样做有一个副作用,这样一来只能监控数据对象的值而不能改动它们,限制了SNMP协议的可用性。

H3C 对通过SNMP访问交换机的用户的ACL控制配置

 

配置举例1. 组网需求

仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问交换机。

2. 组网图

clip_image001

图3-3 对Switch的SNMP用户进行ACL控制

3. 配置步骤

# 定义基本访问控制列表和子规则。

<H3C> system-view

System View: return to User View with Ctrl+Z.

[H3C] acl number 2000 match-order config

[H3C-acl-baisc-2000] rule 1 permit source 10.110.100.52 0

[H3C-acl-baisc-2000] rule 2 permit source 10.110.100.46 0

[H3C-acl-basic-2000] rule 3 deny source any

[H3C-acl-baisc-2000] quit

# 引用访问控制列表。

[H3C] snmp-agent community read H3C acl 2000

[H3C] snmp-agent group v3 H3Cgroup acl 2000

[H3C] snmp-agent usm-user v3 H3Cuser H3Cgroup acl 2000

网络设备SNMP及NetFlow配置集

No Comments Voice ,

一、JUNIPER设备
1.Snmp的配置
set system static-host-mapping E450 inet 192.168.1.45
set system syslog user * any emergency
set system syslog host E450 any any
set system syslog host 192.168.1.251 any any
set snmp community net123 authorization read-write
set snmp community net123 clients 192.168.1.251
set snmp community net123 clients 192.168.1.251
set snmp community net123 clients 0.0.0.0/0
set snmp trap-group <group-name> version all
set snmp trap-group <group-name> authentication chassis configuration link remote-operations rmon-alarm routing startup vrrp-events
set snmp trap-group <group-name> targets 192.168.1.45
set snmp trap-options source-address lo0
set routing-options options syslog level emergency alert critical error warning notice info debug
commit
2.NetFlow配置
set firewall filter gd-ipnet-m160-1 term net123 then sample
set firewall filter gd-ipnet-m160-1 term net123 then accept
set interfaces ge-4/1/1 unit 0 family inet filter input net123 "在ge-4/1/1口上对input包作采样
set interfaces ge-4/1/1 unit 0 family inet filter output net123 "对output包作采样
set forwarding-options sampling input family inet rate 1000 "采样率为1000
set forwarding-options sampling input family inet run-length 0
set forwarding-options sampling output cflowd 211.139.136.108 port 3055 "接受NetFlow采样包的目的主机为211.139.136.108
set forwarding-options sampling output cflowd 211.139.136.108 version 5
set forwarding-options sampling output cflowd 211.139.136.108 no-local-dump
set forwarding-options sampling output cflowd 211.139.136.108 autonomous-system-type origin "origin和peer选一
commit "在这里,sampling_rate=(run_length+1)/rate,
" 即sampling_rate=(1+1)/1000
"(set forwarding-options sampling input family inet run-length 1 "run-length缺省为0) 3.SLA配置
set snmp view ping-view oid .1.3.6.1.2.1.80 include "ping-mib
set snmp view ping-view oid .1.3.6.1.4.1.2636.3.7 include
"set snmp view ping-view oid .1.3.6.1.2.1.81 include "traceroute-mib
"set snmp view ping-view oid .1.3.6.1.4.1.2636.3.8 include
set snmp community ping-community authorization read-write
set snmp community ping-community view ping-view
set snmp community ping-community clients 211.139.136.108
commit
4.采样进程的停止与重新启动
先查出sampled进程的PID号:
juniper>show system processes extensive
再juniper>start shell
%su
#kill PID号
退出:#exit
%exit 如果要重新开起sampled进程:
juniper>restart sampling immediately
二、CISCO设备
1、snmp、traps:
router#config t
router(config)#snmp community net123 rw
router(config)#snmp host 192.168.1.45 traps version 2c xxxxxxxx
router(config)#snmp enable traps
router(config-if)#snmp trap link-status 2、syslog:
router(config)#logging 192.168.1.45
router(config)#logging source-interface loopback0 3、netflow: cisco目前还不支持双向netflow,缺省是针对input
router(config-if)#ip route-cache flow sampled "GSR支持sampled?#38382;?#20854;他的可能不支持sampled?#38382;?
router(config)#ip flow-export version 5 origin-as as_id
router(config)#ip flow-export destination 192.168.1.45 3055
router(config)#ip flow-sampling-mode packet-interval 1000
router#ip flow-export source Loopback0
router#show ip flow sampling
router#show ip flow export
router#show ip cache flow "这些命令查看netflow的状态 从12.1(3)T版本开始,cisco IOS允许netflow发给多个目的主机(当前版本最多支持2个)。
(12.2T)
(rsp-jsv-mz.123-4.T1.bin ,最少128M mem,最少32M flash MEM。) 4、PIX防火墙
PIX: conduit permit icmp any any
conduit permit tcp host 172.10.17.141 eq 5016 host 139.126.254.1
conduit permit udp any host 132.96.20.9
route outside 10.3.81.0 255.255.255.0 172.10.17.150 1
snmp-server host outside 132.96.20.9 poll
no snmp-server location
no snmp-server contact
snmp-server community net123
snmp-server enable traps PIX的规则:
外网的地址不能访问pix的outside接口的地址的
如果要访问inside接口的地址的话
那需要做nat
把采集机地址?#25104;?#25104;内网的一个地址
然后才能snmp访问inside接口
如果不做nat要snmp访问inside接口的话
必须要走ipsec方式
三、华为设备
1、huawei R3640EP:
[router]display saved-config !查看保存的配置
[router]undo ….. !相当于cisco里的no命令
[router]interface loopback1
[router-loopback1]ip address 1.1.1.1 255.255.255.255
[router]snmp-agent community read net123
[router]snmp-agent sys-info version all
[router]snmp-agent trap enable
[router]snmp-agent trap source loopback 0
[router]snmp-agent target-host trap address 10.243.191.2 parameters v1 port 162 securityname public
[router]info-center enable
[router]info-center loghost 0 10.243.191.2 514 Chinese
[router]info-center loghost 1 10.243.191.3 514 Chinese
[router]save
[router]logout 2、其它型号的:
huawei router:
<router>sys
[router]snmp-agent community read net123 [router]snmp-agent sys-info version all
[router]snmp-agent trap enable
[router]snmp-agent trap source loopback 0
[router]snmp-agent target-host trap address udp-domain *.*.*.* udp-port 162 params securityname net123 [router]quit
<router>save 四、3COM设备
1)进入菜单:system/management/snmp/community
ENTER new community for user ‘admin'[admin] : 回车
ENTER new community for user ‘manager’ [XXX] : 回车
ENTER new community for user ‘monitor’ :设置 SNMP community string. 2)进入菜单:system/management/snmp/trap/create
enter the trap community string [monitor]: 回车
enter the trap destination address: 192.168.9.157
NS防火墙
系统日志和SNMP:
set syslog enable
set syslog config 10.20.1.2 auth/sec local0
set syslog config 172.10.16.25 local0 local0
set syslog port 514
set syslog traffic
set syslog vpn
set log module system level notification destination syslog
set log module system level notification destination webtrends set snmp community remote_admin read-write trap-on
set snmp community JCarney read-only trap-on
set snmp community TCooper read-write trap-on traffic
set snmp vpn
set snmp contact John Fisher
set snmp location Miami
set snmp host remote_admin 10.20.1.2
set snmp host JCarney 172.16.20.181
set snmp host JCarney 172.16.40.245
set snmp host JCarney 172.16.40.55
set snmp host TCooper 172.16.20.250
save 五、SUMMIT设备
# SNMP Configuration
configure snmp add trapreceiver 169.254.70.255 community "ST.-1442953473.10550" configure snmp add trapreceiver 169.254.70.255 community "ST.-1442953473.10550" configure snmp delete community readonly all
configure snmp delete community readwrite all
configure snmp add community readonly V5rypted "rykfcb"
configure snmp add community readwrite V5rypted "r~`|kug"
configure snmp sysName "Summit200-24" 六、Solaris系统网管告警配置需求 一、对于snmp需要进行如下配置(包括trap):
1、修改/etc/snmp/conf/snmpd.conf文件,使相关内容如下
system-group-read-community net123
read-community net123
trap 172.16.63.129
2、root用户重新启动snmpd进程
/etc/rc3.d/S76snmpdx stop|start

二、对于syslog需要进行如下配置:
1、修改/etc/hosts文件,在文件末?#24067;?#20837;:
10.25.25.46 loghost1
2、修改/etc/syslog.conf在文件末尾增加下面一行
*.info @loghost1
注:*.info与@loghost1之间是TAB键
3、root用户重新启动syslog服务
/etc/rc2.d/S74syslog stop|start

30选5玩法