正确配置SNMP是安全的第一步.pdfVIP

正确配置SNMP是安全的第一步 来源：dnf双开 SNMP协议尽管存在着安全漏洞，但是仍然在很多设备中继续使用。 那么正确进行配置SNMP的过程就显得尤为重要了。所以我们今天就 来详细介绍一下这方面内容。首先还是让我们正确认识一下这个协 议。 简单网络管理协议（SNMP）对于每个网络管理员来说说都是必需的。 通过几个简单的命令，我们就可以对其进行配置。目前SNMP仍然是 监视网络设备（包括Cisco路由器和交换机）性能的流行方法。通过 SNMP管理站点，管理员可以查看网络设备性能的图表。另外，Cisco 网络设备还会将报警信息 （称作 traps）发送到管理站点。 什么是SNMP？ SNMP分为三个版本：v1， v2， 和 v3.其功能是依次递增的。很多 网络管理员喜欢用V2版，但是V3版本可以提供更多的安全特性。 那么SNMP是怎么工作的呢？SNMP设备包含了一个配制好的SNMP代 理。网络管理系统（NMS）会与每个网络设备上的SNMP代理进行对话。 NMS可以是一个很大的系统，比如HP OpenView，也可以是一个小巧 的工具软件，比如PRTG. SNMP如何帮助我？ SNMP可做的工作很多，比如以下几类： ◆以图表的方式显示 Cisco路由器/交换机的带宽使用情况，可以按 端口，数据流向等分类。 ◆以图形方式显示网络错误（比如CRC错误）。 ◆某个端口出现问题时可以发送警告信息给管理员。 是否需要NMS？ 作为管理员，一定要有一个NMS来帮助实现SNMP的功能。配置SNMP 本身并不会让你获得任何信息，你需要配置一个NMS系统来接收，并 显示出SNMP的信息。 如何配置SNMP监视？ 要配置SNMP，我建议首先查看一下设备的信息。比如下面这些： Router(config)# snmp-servercontact David Davis Network Admin 555-1212 Router(config)# snmp-server location Dallas, Texas, USA Router(config)# snmp-server chassis-id Cisco2610-Router 接下来我们要配置SNMP以便 NMS可以监视它。配置SNMP的方法很 多。这里我们只介绍一点配置Cisco路由器和交换机的方法。 首先，我们需要建立一个识别字符串。识别字符串其实就是访问网络 设备的密码。设立一个良好的识别字符串可以让我们更好的读写网络 设备，比如： Router(config)# snmp-server community MyCommunity972 RW 现在我们的NMS，不论在网络的什么节点，都可以读取（view）以及 写入（change）设备的配置和状态。（对于高级的NMS，我们可以使 用SNMP修改设备上的配置，但是这并不是SNMP的主要功能） 在本例中，我们将网络设备设置为 MyCommunity972 . 如何配置SNMP发送警报信息？ 在这方面，我们可以使用诸如PRTG等NMS来图形化路由器或者交换 机端口的带宽使用情况。但是直接配置的方式也是管理员应该知道 的。因此我们就先介绍一下如何配置路由器和交换机在端口关闭或开 启时发警报信息给NMS.首先，我们可以选择一款免费的开源NMS，如 OpenNMS ，或者商业NMS，如Ipswitch的 WhatsUp . 在本例中，我们设置路由器或交换机发送SNMP报文到3 主机（NMS），并带有设备的识别字符串，以便我们知道是那个设备出 现问题了。我们希望设备端口开启或关闭时，或者有人重新启动设备 时发送信息给NMS.以下是设置命令： Router(config)# snmp-server host 3 version 2c MyCommunity972 Router(config)# snmp-serverenable trapssnmp linkdown linkup coldstart warmstart 在Cisco IOS 12.0到12.3版本中，存在SNMP漏洞，因此大家要注 意不要使用这些版本的Cisco IOS.尽可能在安全的前提下进行配置。