在现代网络管理中,对网络设备进行实时监控和故障排查至关重要,简单网络管理协议(SNMP)是实现这一目标的标准协议,通过在Cisco交换机上配置SNMP,网络管理员可以集中收集设备状态信息、流量数据、CPU和内存利用率等关键指标,从而极大地提升了网络运维的效率和可见性,本文将详细介绍如何在Cisco交换机上配置SNMP,覆盖从基础准备到安全验证的全过程。
配置前的准备工作
在开始配置之前,确保您已经具备以下条件:
配置SNMPv2c
尽管SNMPv2c安全性较低,但在一些受信任的内部网络中,因其配置简便而被广泛使用,其核心是配置一个“团体字符串”,类似于密码。
基础配置
假设您的NMS服务器IP地址为,您希望设置一个只读团体字符串和一个读写团体字符串
private_rw
。
Switch> enableSwitch# configure terminalEnter configuration commands, one per line.End with CNTL/Z.# 配置只读团体字符串,允许NMS获取设备信息Switch(config)# snmp-server community public_ro ro# 配置读写团体字符串,允许NMS修改设备配置(需谨慎使用)Switch(config)# snmp-server community private_rw rw
增强安全性:使用ACL限制访问
为了防止任何IP地址都能尝试用您的团体字符串访问交换机,最佳实践是使用访问控制列表(ACL)来限制仅允许指定的NMS服务器进行SNMP访问。
Switch(config)# ip access-list standard SNMP_NMS_ACLSwitch(config-std-nacl)# permit 192.168.1.100Switch(config-std-nacl)# deny any logSwitch(config-std-nacl)# exit# 将ACL应用到只读团体字符串Switch(config)# snmp-server community public_ro ro SNMP_NMS_ACL# 将ACL应用到读写团体字符串Switch(config)# snmp-server community private_rw rw SNMP_NMS_ACL
这样,只有来自的SNMP请求才会被交换机处理。
配置SNMPv3(推荐)
SNMPv3通过引入用户、组和安全模型,提供了更高级别的安全保障,我们将配置一个使用认证和加密的用户。
配置步骤
假设我们要创建一个用户
snmp_admin
,认证协议使用SHA,认证密码为
AuthPass123
,加密协议使用AES-128,加密密码为
EncrPass456
。
Switch> enableSwitch# configure terminal# 1. 创建一个名为 "NET_ADMIN_GROUP" 的SNMP组,使用v3安全模型,要求认证和加密Switch(config)# snmp-server group NET_ADMIN_GROUP v3 priv# 2. 创建用户 "snmp_admin",将其加入组 "NET_ADMIN_GROUP"#- 使用SHA作为认证协议,密码为 "AuthPass123"#- 使用aes 128作为加密协议,密码为 "EncrPass456"Switch(config)# snmp-server user snmp_admin NET_ADMIN_GROUP v3 auth sha AuthPass123 priv aes 128 EncrPass456
配置完成后,您的NMS服务器就需要使用用户名
snmp_admin
、认证协议SHA、认证密码
AuthPass123
、加密协议AES-128和加密密码
EncrPass456
来访问交换机的SNMP信息。
验证SNMP配置
配置完成后,必须进行验证以确保其工作正常。
常用SNMP OID速查表
OID(对象标识符)是SNMP用于标识管理对象的唯一ID,以下是一些在监控Cisco交换机时常用的OID:
| 描述 | |
|---|---|
| 系统描述 | 3.6.1.2.1.1.1.0 |
| 系统运行时间 | 3.6.1.2.1.1.3.0 |
| 接口描述 | 3.6.1.2.1.2.2.1.2.{ifIndex} |
| 接口操作状态 | 3.6.1.2.1.2.2.1.8.{ifIndex} (1:up, 2:down) |
| 接口入流量 | 3.6.1.2.1.2.2.1.10.{ifIndex} |
| 接口出流量 | 3.6.1.2.1.2.2.1.16.{ifIndex} |
注:是接口的索引号,可以通过遍历接口表获得。
相关问答FAQs
问题1:SNMPv2c 和 SNMPv3 的主要区别是什么?我应该选择哪个?
回答 :两者最核心的区别在于安全性,SNMPv2c使用明文的“团体字符串”作为唯一的认证凭据,在网络传输中容易被嗅探和截获,安全性较低,而SNMPv3引入了基于用户的安全模型(USM),支持用户名、认证协议(如MD5、SHA)和加密协议(如DES、AES),可以有效防止未授权访问和数据窃听。
选择建议:在任何对安全有要求的网络环境中,特别是生产网络或跨公网的管理场景中,强烈推荐使用SNMPv3,仅在完全隔离、绝对可信的内部测试或临时环境中,为了快速配置和调试,才可以考虑使用SNMPv2c。
问题2:配置了SNMP后,但在NMS上仍然无法获取数据,可能是什么原因?
回答 :这是一个常见的排错问题,可能的原因包括:
思科交换机查看命令
查看vlan:#show vlan查看接口状态:#show ip int br查看所以配制:#showrun这就是保持通讯基本的查看命令,因为交换机上可以配制太多服务了,所以我也说不清
思科交换机怎么配置?
要看你想配置什么,CISCO的交换机可不像普通的傻瓜交换机,里面的命令太多太复杂了,如果只是做普通交换机用的话,你只须连上网线接上PC就可以直接用了,交换机里面要配置的一般最多就是VLAN,和端口绑定。 这些不是一两句话能解释的,有兴趣的话去买书好好看看吧,如果急着要用,只能请专业的技术人员来给你配置了。
华为\中兴的交换机如何配置snmp??
华为2100系列交换机,配置SNMP1、 snmp-agent community read abcd\\设置团体名为abcd,属性为只读。 2、 snmp-agent target-Host trap address udp-domain 192.168.100.80 params securityname abcd\\设置管理机的IP地址为192.168.100.80,而且“securityname”(即团体名)要与上面的设置一致。 3、 snmp-agent sys-info version { { v1 | v2c | v3 }*| all }\\启用不同版本的snmp,这里可以选alls4、 snmp trap enable\\启动snmp的trap功能。
发表评论