从实战角度浅析snmp

Snmp  Simple Network Management Protocol

Snmp最终是为五花八门的网管软件服务的，由于接触的网管软件较少，所以对snmp的理解至今还仅限于初级配置阶段。以下言论如有错误，请不吝斧正。

Snmp牵扯的成员有agent和NMS；agent是被管理端，也就是我们最常接触的路由器，交换机等网络设备； NMS（network management system）是管理端，也就是我们不常接触的五花八门的网管软件。

Snmp的信息资源叫MIB（management information base）。这里面定义的是设备某些属性的标识，有公有的有私有的；NMS要想获得agent的某些数据，必须要知道该设备的MIB。这个MIB在设备上可以显示出来，show snmp mib 可以在锐捷设备上大约查看下某些信息代码

实战之方式1

Snmp在数据交流主动性上可分为两个方式，

方式1：等待nms来采集agent的数据。agent开放udp 161端口

方式2：agent主动向snmp发送某些信息。agent向nms的udp 162发送消息

方式1中有这么几个属性：

Community：相当于密码，只有密码正确才允许获取我的信息

Priority：权限，是只读还是读写

Nms地址：只有指定的地址才能采集，不指定则表示允许所有

View： 以怎么样的视图来采集（没见过也不理解snmpv3中的概念）

需求：采集机地址 1.1.1.1  1.1.1.2；  团体字： WLAN；只读

锐捷设备配置：

Ruijie(config)#snmp-serve community WLAN ro host 1.1.1.1

Ruijie(config)#snmp-serve community WLAN ro host 1.1.1.2

如上配置看似很合理，其实不然；如果这样配置 后面的命令就覆盖了前面的命令，也就是到最后只允许1.1.1.2 来采集，正确配置如下：

Ruijie(config)#ip access-list standard 1

Ruijie(config-std-nacl)#permit 1.1.1.1 0.0.0.0

Ruijie(config-std-nacl)#permit 1.1.1.2 0.0.0.0

Ruijie(config)#snmp-server community WLAN ro 1

华为的配置更绝，干脆不允许写host，哪怕只允许一个地址，也得写acl；

[HW-9306]snmp-agent community read WLAN ?

acl       Set access control list for this community

mib-view  Set the MIB view which the community can access

所以在有多个采集机地址的时候，大部分工程师将会放行所有，不会去找麻烦写acl了。

实战之方式2

Trap功能的几个必须属性（此三个属性缺一不可）：

1.      作用范围（默认好像只有端口up、down 不确定）

2.      Community

3.      目标地址（以及基于这个地址的作用范围）

在一些实时性要求比较高的网管软件（比如拓扑需要动态变化）中，就需要用到agent的trap功能，以便当拓扑发生变化的时候，nms能立刻获得消息并及时更新拓扑。

其实trap消息最主要的功能就是当自身的某个接口down了或者up了的时候，agent发一个trap消息告知nms；从命令上来看，snmp发消息的范围实际上很小，它仅仅向nms 报告一些紧急重要的消息。大可不必担心开启trap会占用太多的设备资源

Ruijie(config)#snmp-server enable traps ?

bgp               Enable BGP state change Traps or Informs

bridge            Enable SNMP STP Bridge MIB Traps or Informs

entity            Enable SNMP entity Traps or Informs

mac-notification  Enable MAC Notification Traps or Informs

nfpp              Enable NFPP Traps or Informs

ospf              Enable OSPF Traps or Informs

snmp              Enable authentication trap

urpf              Enable URPF Traps or Informs

vrrp              Enable VRRP Traps or Informs

web-auth          Enable WEB-AUTH Traps or Informs

使用trap 的误区：经常见到如下这样的配置

snmp-server enable traps

snmp-server community WLAN ro

如上配置的问题在于，trap功能开启但是缺少了一个必要属性-目的IP地址，其实也不难理解，仅仅开启了trap功能，却没有指定目的地址，让agent往什么地方发这个trap消息呢？所以注意 snmp-server enable traps 命令，必须配合snmp-server host …… 命令一起使用。

锐捷设备trap 的命令逻辑

snmp-server host 1.1.1.1 traps WLAN

snmp-server host 1.1.1.1 traps WLAN vrrp

snmp-server enable traps ospf

snmp-server enable traps bgp

如上四条命令解读：全局下trap作用范围是ospf和bgp；向1.1.1.1发送默认的bgp和ospf消息，另外再向1.1.1.1 发送全局没开启的vrrp消息。

snmp-server enable traps 表示开启了所有的范围，因为这条命令敲下，关于 ospf 和bgp的命令就被覆盖掉了。

Trap 最主要的功能是报告接口up、down的信息，但是我们在开启trap的命令后面却没有发现链路up、down的选项。其实这个信息是基于接口的

Ruijie(config-GigabitEthernet 0/1)#snmp trap ?

link-status       Allow SNMP LINKUP and LINKDOWN traps

mac-notification  MAC Address notification for the interface

留一个问题：

按如上四条命令配置的话：agent还会向1.1.1.1 发接口up、down消息吗？

毕竟我们全局下只开启了ospf和bgp； 针对1.1.1.1 也只添加了一个vrrp。

知识回顾

Snmp  Simple Network Management Protocol

Snmp最终是为五花八门的网管软件服务的，由于接触的网管软件较少，所以对snmp的理解至今还仅限于初级配置阶段。以下言论如有错误，请不吝斧正。

Snmp牵扯的成员有agent和NMS；agent是被管理端，也就是我们最常接触的路由器，交换机等网络设备； NMS（network management system）是管理端，也就是我们不常接触的五花八门的网管软件。

Snmp的信息资源叫MIB（management information base）。这里面定义的是设备某些属性的标识，有公有的有私有的；NMS要想获得agent的某些数据，必须要知道该设备的MIB。这个MIB在设备上可以显示出来，show snmp mib 可以在锐捷设备上大约查看下某些信息代码

实战之方式1

Snmp在数据交流主动性上可分为两个方式，

方式1：等待nms来采集agent的数据。agent开放udp 161端口

方式2：agent主动向snmp发送某些信息。agent向nms的udp 162发送消息

方式1中有这么几个属性：

Community：相当于密码，只有密码正确才允许获取我的信息

Priority：权限，是只读还是读写

Nms地址：只有指定的地址才能采集，不指定则表示允许所有

View： 以怎么样的视图来采集（没见过也不理解snmpv3中的概念）

需求：采集机地址 1.1.1.1  1.1.1.2；  团体字： WLAN；只读

锐捷设备配置：

Ruijie(config)#snmp-serve community WLAN ro host 1.1.1.1

Ruijie(config)#snmp-serve community WLAN ro host 1.1.1.2

如上配置看似很合理，其实不然；如果这样配置 后面的命令就覆盖了前面的命令，也就是到最后只允许1.1.1.2 来采集，正确配置如下：

Ruijie(config)#ip access-list standard 1

Ruijie(config-std-nacl)#permit 1.1.1.1 0.0.0.0

Ruijie(config-std-nacl)#permit 1.1.1.2 0.0.0.0

Ruijie(config)#snmp-server community WLAN ro 1

华为的配置更绝，干脆不允许写host，哪怕只允许一个地址，也得写acl；

[HW-9306]snmp-agent community read WLAN ?

acl       Set access control list for this community

mib-view  Set the MIB view which the community can access

所以在有多个采集机地址的时候，大部分工程师将会放行所有，不会去找麻烦写acl了。

实战之方式2

Trap功能的几个必须属性（此三个属性缺一不可）：

1.      作用范围（默认好像只有端口up、down 不确定）

2.      Community

3.      目标地址（以及基于这个地址的作用范围）

在一些实时性要求比较高的网管软件（比如拓扑需要动态变化）中，就需要用到agent的trap功能，以便当拓扑发生变化的时候，nms能立刻获得消息并及时更新拓扑。

其实trap消息最主要的功能就是当自身的某个接口down了或者up了的时候，agent发一个trap消息告知nms；从命令上来看，snmp发消息的范围实际上很小，它仅仅向nms 报告一些紧急重要的消息。大可不必担心开启trap会占用太多的设备资源

Ruijie(config)#snmp-server enable traps ?

bgp               Enable BGP state change Traps or Informs

bridge            Enable SNMP STP Bridge MIB Traps or Informs

entity            Enable SNMP entity Traps or Informs

mac-notification  Enable MAC Notification Traps or Informs

nfpp              Enable NFPP Traps or Informs

ospf              Enable OSPF Traps or Informs

snmp              Enable authentication trap

urpf              Enable URPF Traps or Informs

vrrp              Enable VRRP Traps or Informs

web-auth          Enable WEB-AUTH Traps or Informs

使用trap 的误区：经常见到如下这样的配置

snmp-server enable traps

snmp-server community WLAN ro

如上配置的问题在于，trap功能开启但是缺少了一个必要属性-目的IP地址，其实也不难理解，仅仅开启了trap功能，却没有指定目的地址，让agent往什么地方发这个trap消息呢？所以注意 snmp-server enable traps 命令，必须配合snmp-server host …… 命令一起使用。 

锐捷设备trap 的命令逻辑

snmp-server host 1.1.1.1 traps WLAN

snmp-server host 1.1.1.1 traps WLAN vrrp

snmp-server enable traps ospf

snmp-server enable traps bgp

如上四条命令解读：全局下trap作用范围是ospf和bgp；向1.1.1.1发送默认的bgp和ospf消息，另外再向1.1.1.1 发送全局没开启的vrrp消息。

snmp-server enable traps 表示开启了所有的范围，因为这条命令敲下，关于 ospf 和bgp的命令就被覆盖掉了。

Trap 最主要的功能是报告接口up、down的信息，但是我们在开启trap的命令后面却没有发现链路up、down的选项。其实这个信息是基于接口的

Ruijie(config-GigabitEthernet 0/1)#snmp trap ?

link-status       Allow SNMP LINKUP and LINKDOWN traps

mac-notification  MAC Address notification for the interface

留一个问题：

按如上四条命令配置的话：agent还会向1.1.1.1 发接口up、down消息吗？

毕竟我们全局下只开启了ospf和bgp； 针对1.1.1.1 也只添加了一个vrrp。