net-snmp配置文件详解
net-snmp的配置文件是有一定的层次结构的,配置起来也很方便。网上找了很多资料,大概把这个配置文件的各个信息搞懂了一点。其实在net-snmp的EXAMPLE.conf文件中对齐有详细的描述,不过是英文的。
开启子代理模式
开发net-snmp子代理后,如果想要使用它,必须开启子代理功能。如果不开启,子代理运行的时候将会报错 Warning: Failed to connect to the agentx master agent ([NIL])
设置snmpd监听的地址端口
snmpd默认是监听本地所有的IP地址的 UDP 161端口 等待snmp请求。如果不希望使用默认的监听设置,可以使用自定义的选项
# Listen for connections from the local system only # 只监听本地的连接 agentAddress udp:127.0.0.1:161 # Listen for connections on all interfaces (both IPv4 *and* IPv6) # 监听所有接口的连接 #agentAddress udp:161,udp6:[::1]:161
定义安全体名和共同体名称
共同体这个是SNMPv2中的,如果只是使用SNMPv3协议,可以不需要。
rocommunity 共同体名
rwcommunity 共同体名
使用 rocommunity 来定义一个只读权限的共同体,使用 rwcommunity 来定义一个读写权限的共同体。
定义完共同体之后就要定义一个安全体,并把共同体映射到一个安全体中去。安全体用于控制外部访问的来源的。
使用com2sec关键字来定义安全体。
# sec.name souce community com2sec read default public com2sec write default public com2sec test default public
# 1. com2sec # 命令格式一:com2sec [-Cn context] sec.name source community # 功能: map an SNMPv1 or SNMPv2c community string to a security name,即将实体(community)字符串映射为安全的 # 名字,v1 和v2版本都是明文密码,也就无所谓安全性了。v3中增加了安全性。 # 参数说明:-Cn context:可选的,在v3版本中使用 # sec.name: 内部映射的名字,字符串,后面用到 # community:实体字符串,外部使用的名字 # source:可以访问的ip地址范围,默认值"default”,即任何ip都可以访问。 # 也可以限制ip范围,有两种方式:IP/MASK和IP/BITS # IP/MASK:10.10.10.0/255.255.255.0 # IP/BITS :10.10.10.0/24:只有ip地址在10.10.10.0 # mask为24个1,即255.255.255.0 # 命令格式二:com2sec6 [-Cn context] sec.name source community # 针对ipv6,其他和com2sec相同 # 命令格式三:com2secunix [-Cn context] sec.name sockpath community # 只限本地socket可以访问 #------------------------------------------------------------------------ #因为SNMPv3已经使用usm作为安全模型,使用,去掉共同体定义。 #com2sec 是net-snmp中定义安全体名字的关键字,表示这一行定义一个安全体名字。
定义安全组
定义完安全体之后,就要定义安全组了。安全体是用于控制访问的的来源的,安全组就是控制安全体中允许的来源的访问授权模式的。
#com2sec 是net-snmp中定义安全体名字的关键字,表示这一行定义一个安全体名字。 #第二步,定义安全组,将安全体名称加进一个安全组中 # #groupName 安全组名称 #securityModel 安全模型,可选值:v1,v2c,usm #securityName 安全体名称 # groupName securityModel securityName group readgroup usm read group writegroup usm write group testgroup usm test #group是定义安全组的关键字 # 2. group # 命令格式:group groupName securityModel sec.name # 功能:将sec.name映射到一个group中,组中具有相同的存取权限。组中至少有两个 # sec.name,如果只有一个sec.name,也会被解释为两个。即有两个相同的 # 参数说明:groupName:组名 # securityModel:v1、v2c、usm、tsm、ksm其一
定义视图,供安全组使用
定义完安全组后,需要定义一个视图。视图就是这个安全体的可见范围。
对于每一个安全体,需要向其授权一些视图,视图确定了可以访问那些节点。
#第三步,定义视图,供安全组使用 #view.name 视图名 #incl/excl 对下面的MIB子树是包括还是排除(included/excluded) #subtree 视图中所涉及的mib子树 #mask(optional) 掩码 # view.name incl/excl subtree [mask] view all included .1 view test included system view test included system.sysLocation #view if2 included .1.3.6.1.2.1.2.2.1.0.2 FFA0 # 此处定义的就是VACM中的视图子树和掩码,配置将出现在VACM相关表中。 # 此处对网络接口2定义了一个视图,将来作为一个独立的context,mask参见VACM。 # view 是定义视图的关键字 # 3. view # 命令格式:view viewName type oid[mask] # 功能:定义一个view,表示整个OID树的子树,同一个子树可以定义多个view # 参数说明: viewName:view名字 # type:有两个值:include 和 exclude # oid:可以访问的oid # [mask]:对oid的mask # 例如:view all include 1.3.6.1.2.1.4 0xf0 # 0xf0:1111 0000,即访问的oid的前4位必须是1.3.6.1,否则不能访问,即 # 可以访问1.3.6.1下所有的子oid
向安全组授权相应的视图
#第四步,向安全组授权相应的视图 # group 安全组名 # context 上下文v1,v2中始终为空 # sec.model 安全模型,可选值:v1,v2,usm # sec.level 安全级别 可选值:auth,noauth,priv, v1,v2c中只能为noauth # prefix 前缀。指定context如何与PDU中的context匹配,V3使用 # read 授权的读视图 # write 授权的写视图 # notif 授权的trap视图 # group context sec.model sec.level prefix read write notif access readgroup "" any noauth exact all none none access writegroup "" any noauth exact all none none access testgroup "" any noauth exact all none none #acess readgroup "interface2" usm priv exact if2 if2 if2
# 4. access
# 命令格式:access groupName context model level prefx read write notify
# 功能:设置访问某一个view的存取权限
# 参数说明: groupName:控制存取权限的组名
# context:v1和v2c版本,context必须设置为""
# model:v1、v2c、usm、tsm、ksm
# 最后3中是v3版本的授权模式,usm(User-Based Security Model)是默认授权模式,tsm用于SSH or DTLS,ksm用于支持Kerberos
# level:可以去3种值:noauth、auth、priv
# noauth:允许无权限访问(v1,v2c使用)
# auth:必须有权限才能访问
# priv:强制加密访问
# prefx:exact or prefix
# read、write、notify:指明某一个view的权限是否可以GET*, SET*、
# TRAP/INFORM,如果该view不能read,则置none
添加用户(仅限SNMPv3)
SNMPv3使用了用户加密鉴权的认证方式,所以需要创建相关的用户。这里也可以用net-snmp-config –create-snmpv3-user来实现。
创建用户使用createUser关键字来进行。后面的参数依次是用户名、验证方式、验证码、加密方式、加密码
创建的用户需要指明用户的权限,使用关键字rouser和rwuser来操作。
rouser用于指定用户的权限为只读,如果后面加上priv来指明需要加密。可以使用auth来指明需要认证。
rwuser用于指定用户的权限为读写,其他的与上面一致。
# 第五步,添加用户 # user 验证方式 验证码 加密方式 加密码 createUser fx MD5 "md5123456" DES "des123456" createUser fxr MD5 "md5123456" #用户的权限设置 rwuser fx priv #读写用户,用户名fx,指明需要加密 rouser fxr #只读用户
#rouser [-s SECMODEL] USER [noauth|auth|priv [OID | -V VIEW [CONTEXT]]]
#rwuser [-s SECMODEL] USER [noauth|auth|priv [OID | -V VIEW [CONTEXT]]]
SNMP Trap发送目的地设置
以上都是对SNMP代理程序的外部请求的相关设置。SNMP代理还有一个重要的功能就是主动向网管端发送“通知”。
对此需要指定网关端的目的地址。
使用snmpsink来指定发送SNMPv1版本的Trap的目的地址和共同体名称
使用snmp2sink来指定发送SNMPv2版本的Trap的目的地址和共同体名称
使用informasink来指定发送INFORMs的目的地址和共同体名称
使用trappsess来指定发送SNMPv3版本的Trap的相关信息。其中引擎ID和用户名,验证方式,验证码等都必须和接收trap的网关软件端设置的一致。
# 发送 SNMPv1 traps
trapsink localhost public
# 发送 SNMPv2c traps
trap2sink localhost public
# 发送 SNMPv2c INFORMs
informsink localhost public
# 发送SNMPv3 traps
#trapsess -v 2 -u 用户名 -e 引擎ID -a 验证方式 -A 验证码 -l 鉴权方式 目的IP
trapsess -v 3 -u myuser -e 0x010203040506 -a MD5 -A 111111111 -l authNoPriv 192.168.1.108