迈普MyPower S3000系列以太网交换机配置手册(6)

USM提供了完善的加密和鉴别服务，保证了传输的安全性。根据用户输入的密码，USM对报文进行加密，保证报文在传输过程中不被察看，对报文进行鉴别，保证报文在传输过程中不被修改。USM的标准加密算法为DES-CBC算法，鉴别算法为HMAC-MD5和HMAC-SHA算法。同时USM提供了时间窗的检查，防止网络延迟和重播的干扰。

VACM提供了优秀的用户鉴权服务，保证了访问的安全性。VACM将访问权限相同的用户放入同一组中，并为组划分了读写和通告操作的安全范围，有效地防止了用户的越权行为。

2.4.2 MIB介绍

NMS可以访问的网管信息是经过精确的定义的，被完备的组织在一个管理信息数据库中，即MIB。所谓MIB 管理信息库（Management Information Base），是对于通过网络管理协议可以访问信息的精确定义。它使用一个层次化、结构化的形式，定义了可以从被监测网络设备上获得的管理信息。ISO ASN.1为MIB定义了一个树型结构，每个MIB都用这种树型结构来组织所有的可用信息，树的每个节点都包含一个OID 对象标识符(Object Identifier)和一个关于该节点的简短文本描述。OID是有句点隔开的一组整数，它命名节点并且可以由它指示该节点在MIB树型结构中的位置，如下图所示：

图 2-1 ASN.1树实例

在该图中，对象A的OID为1.2.1.1，NMS通过这个独一无二的OID，可以没有歧义的访问到这个对象，从而获取这个对象包含的标准变量。MIB就按照这个结构定义了一个所监控网络设备的标准变量的集合。

版权所有?2009，迈普通信技术股份有限公司，保留所有权利 ??

如果您需要浏览Agent的MIB中的变量信息，需要在NMS上运行MIB浏览软件。Agent上的MIB一般包括公有MIB和私有MIB两部分，公有MIB内定义的是公开的，所有NMS都可以访问的网络管理信息，私有MIB内定义的是各设备特有的属性信息，需要设备厂商的支持才可以浏览和控制。

MIB-I [RFC1156]是SNMP公有MIB库的第一个版本，后来经过扩充，被MIB-II [RFC1213]所取代，MIB-II保留了MIB-I在原来的MIB树中的对象标识符。MIB-II下面包含很多子树，我们将之称为组，这些组里的对象覆盖了网络管理的各个功能域，NMS通过访问SNMP Agent的MIB库，就可以得到相应的网络管理信息。

本交换机可以做为SNMP Agent，支持SNMPv1/v2c和SNMPv3。本交换机支持基本的MIB-II、RMON公有MIB，还支持BRIDGE MIB等相关公有MIB，同时支持自定义的私有MIB，基本涵盖了本款交换机所涉及的各个相关参数，为网管软件管理提供全面的支持。

2.4.3 RMON介绍

RMON是对SNMP标准基本体系的最重要的扩充。RMON是一套MIB定义，其作用是定义标准的网络监视功能和接口，使基于SNMP的管理终端和远程监视器之间能够通信。RMON提供了一种有效并且高效的方法来监视子网范围内的行为。

RMON的MIB分为10组，该交换机支持其中最常用的1、2、3、9组，即： 统计组(statistics)：维护代理监视的每一个子网的基本使用和错误统计。 历史组(history)：记录从统计组可得到的信息的周期性统计样本。

警报组(alarm)：允许管理控制台人员为RMON代理记录的任何计数或整数设置采样间隔和报警阈值。

事件组(event)：一个关于由RMON代理产生的所有事件的表。

其中，警报组需要事件组的实现。统计组和历史组是显示现在或以前的一些子网统计数据。警报组和事件组则提供了一种可以监视网络上任意整数型数据变化的方法，并在数据异常时提供一些警告动作（发送Trap或者记录Log）。

2.4.4 SNMP配置

2.4.4.1 SNMP配置任务序列

1.打开或关闭SNMP代理服务器功能 2.配置SNMP团体字符串及代理设备的属性 3.配置SNMP管理站地址 4.配置引擎号

版权所有?2009，迈普通信技术股份有限公司，保留所有权利 ??

5.配置用户 6.配置组 7.配置视图 8.配置TRAP 9.启动/关闭RMON

1.打开或关闭SNMP代理服务器功能 命令 全局配置模式 snmp-server enable no snmp-server enable

2.配置SNMP团体字符串 命令 全局配置模式 snmp-server no snmp-server community

3.配置SNMP管理站地址 命令 全局配置模式 snmp-server securityip { | } no snmp-server securityip { | } snmp-server securityip enable snmp-server securityip disable

4.配置引擎号 命令 全局配置模式 解释

版权所有?2009，迈普通信技术股份有限公司，保留所有权利 ??

打开/关闭NMS管理站的安全IP地址检查功能。 解释 设置允许访问本交换机的NMS管理站的安全IPv4或者IPv6地址；本命令的no操作为删除配置的安全IPv4或者IPv6地址。 community 解释 本命令no操作为{ro|rw} 设置交换机的团体字符串；删除配置的团体字符串。 解释 打开交换机作为SNMP代理服务器功能；本命令的no操作为关闭SNMP代理服务器功能。

snmp-server engineid < engine-string > no snmp-server engineid

5.配置用户 命令 全局配置模式 snmp-server user {encrypted | noencrypted} auth {md5 | sha} no snmp-server user 6.配置组 命令 全局配置模式 snmp-server [[read group 解释 设置交换机的组信息，完成VACM配置，用[write 解释 为一个SNMP的组添加一个新用户，完成USM配置，用于v3。 设置交换机的本地引擎号，用于v3。 {noauthnopriv | authnopriv | authpriv} 于v3。 ] ] [notify ]] no snmp-server group {noauthnopriv | authnopriv | authpriv}

7.配置视图 命令 全局配置模式 snmp-server view 解释 设置交换机的视图信息，用于v3。 {include | exclude} no snmp-server view []

8.配置TRAP 命令 全局配置模式 snmp-server enable traps 解释 设置允许设备发送Trap消息，用于

版权所有?2009，迈普通信技术股份有限公司，保留所有权利 ??

no snmp-server enable traps } {v1 | v2c | {v3 } {v1 | v2c | v1/v2c/v3。 {v3 IPv4或者IPv6地址地址，v1/v2c中的Trap命令的no操作为删除指定的接收Trap消息snmp-server host { | 设置接收SNMP的Trap消息的网络管理站{noauthnopriv | authnopriv | authpriv}}} 团体字符串，v3中的用户名和安全级别。本no snmp-server host { | 的网络管理站的IPv4或者IPv6地址。 {noauthnopriv | authnopriv | authpriv}}}

9.启动/关闭RMON 命令 全局配置模式 rmon enable no rmon enable 解释 打开/关闭RMON。 2.4.5 SNMP典型配置举例

管理站（NMS）的IP地址是1.1.1.5；交换机（Agent）的IP地址是1.1.1.9。 案例1：管理站的网管软件使用SNMP协议从交换机获取数据。 配置步骤如下：

Switch(config)#snmp-server enable

Switch(config)#snmp-server community rw private Switch(config)#snmp-server community ro public Switch(config)#snmp-server securityip 1.1.1.5

这样，管理站就可以使用private作为团体字符串对交换机进行可读写的访问，也可以使用public作为团体字符串对交换机进行只读的访问。

案例2：管理站要接收来自交换机的v1 Trap消息（注：管理站可能设置了对Trap的团体字符串的验证，那么此例假设管理站的Trap验证团体字符串为usertrap）。 配置步骤如下：

Switch(config)#snmp-server enable

Switch(config)#snmp-server host 1.1.1.5 v1 usertrap

版权所有?2009，迈普通信技术股份有限公司，保留所有权利 ??

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库迈普MyPower S3000系列以太网交换机配置手册(6)在线全文阅读。