99国产精品电影,欧美精品网

snmpv3 總結(jié)

kylin_1983 >《SNMP》

2014.05.15

關(guān)注

一、 Agent設(shè)置

1) 創(chuàng)建用戶(密碼不可修改)

創(chuàng)建新用戶用如下命令：

rouser [-s SECMODEL] USER [noauth|auth|priv [OID | -V VIEW [CONTEXT]]]

rwuser [-s SECMODEL] USER [noauth|auth|priv [OID | -V VIEW [CONTEXT]]]

只需在snmpd.conf中添加一句:

rwuser taicom priv

這樣就創(chuàng)建了一個(gè)名為”taicom”的user。

其中”rwuser”是用戶權(quán)限，有兩種：

rwuser--具有讀寫權(quán)限的用戶；

rouser--具有讀權(quán)限的用戶。

priv是安全級(jí)別，一共有三種安全級(jí)別：

noauth -- 不認(rèn)證，不加密，最低的安全級(jí)別；

auth -- 認(rèn)證但不加密；

priv -- 認(rèn)證且加密，最高的安全級(jí)別。

然后在用戶下面設(shè)置認(rèn)證和加密密碼：

createUser taicom MD5 123456789 DES 123456789

MD5為認(rèn)證的協(xié)議，現(xiàn)支持兩種：HMAC-SHA-96和HMAC-MD5-96，SHA要優(yōu)于MD5。

DES為加密協(xié)議，現(xiàn)支持兩種：CBC-DES和CFB-AES-128，AES要優(yōu)于DES。

如果加密密碼缺省，則默認(rèn)加密密碼同認(rèn)證密碼相同。

注意：加密和認(rèn)證密碼最少為8個(gè)字符！

這種方式創(chuàng)建的用戶密碼為明文，不可修改，用于調(diào)試。

通過(guò)snmpusm動(dòng)態(tài)創(chuàng)建v3用戶：

V3的認(rèn)證密碼用MD5/SHA摘要算法加密，用snmpusm動(dòng)態(tài)創(chuàng)建新用戶，需要首先創(chuàng)建一個(gè)用戶的模板，然后在根據(jù)模板創(chuàng)clone新用戶，詳細(xì)命令見(jiàn)man手冊(cè)。usmUserTable（OID 1.3.6.1.6.3.15.1.2.2）表定義了對(duì)snmpv3的用戶的操作，snmpusm就是通過(guò)操作usmUserTable中的子葉實(shí)現(xiàn)。

首先，在/usr/local/etc/snmp/snmpd.conf中創(chuàng)建一個(gè)用戶模板，可以規(guī)定他的權(quán)限和加密方式，如：rwuser admin priv。然后，創(chuàng)建/var/net-snmp/snmpd.conf文件（已存在則先kill掉snmpd再刪除snmpd.conf），在其中添加密碼，如：createUser admin MD5 "administrator" DES administrator，然后保存退出。啟動(dòng)snmpd后明文密碼變成摘要形式，可以對(duì)usmUserSecurityName節(jié)點(diǎn)walk來(lái)查看。這里也可以用net-snmp-config –create-snmpv3-user來(lái)實(shí)現(xiàn)。

用snmpusm創(chuàng)建新用戶，找好用戶模板，用命令：

snmpusm -v3 -u admin -n "" -l authPriv -a MD5 -A administrator -x DES -X administrator 192.168.8.69 create wow admin

這樣，就創(chuàng)建了一個(gè)名為”wow”的新用戶，加密方式和密碼都和admin一樣，然后修改密碼。

snmpusm [OPTIONS] [-Ca] [-Cx] passwd OLD-PASSPHRASE NEW-PASSPHRASE [USER]

用命令snmpusm -v3 -u admin -n "" -l authPriv -a MD5 -A administrator -x DES -X administrator 192.168.8.69 -Cx administrator 123456789 wow 修改加密密碼為123456789.

-Ca 為修改認(rèn)證密碼

-Cx 為修改加密密碼

密碼修改完成后，在/usr/local/etc/snmp/snmpd.conf文件的最下面插入一行新用戶的設(shè)置，rwuser wow priv，然后restart snmpd，新用戶即生效。對(duì)已生效的用戶修改密碼即時(shí)生效。

2) 權(quán)限管理

在創(chuàng)建用戶的同時(shí)，還能指定用戶的視圖權(quán)限。

首先，創(chuàng)建一個(gè)視圖組，如：

80 # incl/excl subtree mask

81 view all included .1 80

82 view info include . 1.3.6.1.4.1.833.29.1.1

這樣，info組只能瀏覽1.3.6.1.4.1.833.29.1.1的子樹(shù)，將視圖組添加到用戶后面，可以設(shè)置該用戶的視圖權(quán)限，如：

rwuser taicom priv –V info

同樣可以用OID來(lái)限定視圖權(quán)限，如：

rwuser taicom priv . 1.3.6.1.4.1.833.29.1.1

也可以用同樣的方法設(shè)置CONTEXT來(lái)指定視圖權(quán)限。

在設(shè)置好用戶后，就可以用新用戶來(lái)管理agent端了。

二、 Trap設(shè)置

1) 創(chuàng)建trap用戶

Linux: 創(chuàng)建snmptrapd.conf配置文件并修改，添加如下內(nèi)容：

1 createUser -e 0x8000000001020304 traptest SHA mypassword AES

2 authuser log traptest

命令作用同snmpd.conf一樣，-e 0x8000000001020304是engineID,是snmpv3的新概念，在連接的時(shí)候會(huì)自動(dòng)發(fā)現(xiàn)，每對(duì)manager和agent都有唯一的engineID，用MIB-Browser連接后會(huì)有一個(gè)response，如：