目錄:
一、什麼是SNMP
二、SNMP三個組件
三、MIB裡面OID是什麼
四、SNMP版本v1、v2c、v3對比
五、為何推薦使用SNMPv3(安全)
六、SNMP客戶端(思科路由器)SNMPv1、v2c基本配置
七、SNMP服務器端(Oid View)測試
八、SNMP客戶端(思科路由器)SNMPv3基本配置
九、SNMPv3服務器端(Oid View)測試
十、使用PRTG做個簡單測試,看看PRTG的界面更加人性化
一、什麼是SNMP
Simple Network Management Protocol (SNMP) is used(通常被使用) in network management systems to monitor(監控) network-attached devices for conditions(網絡設備的運行狀態) that warrant administrative attention(提醒網絡管理員注意).
二、SNMP三個組件
SNMP管理端,也就是服務器端,即安裝了SNMP軟件(Oid View、思科PI或者PRTG的PC或者服務器)
SNMP客戶端,也就是被監控的網絡安全服務器等設備
MIB管理信息庫,裡面是與設備相關的Oid(對象ID)信息,每一個Oid(一串數字,也可以用數據庫名字代替)對應設備的每一項被監控的信息,例如1.3.6.1.2.1.17代表Dot1dbridge,1.3.6.1.2.1.4代表接口IP地址等
三、MIB裡面OID是什麼
請看下面這張圖,對象ID和數據庫的關係,更詳細的具體的信息可以到OID View瀏覽器查看,內容太多,這裡不好展示。
MIB裡面的Oid信息
四、SNMP版本v1、v2c、v3對比
可以看到SNMPv1和v2c即不做數據源認證也不做完整性校驗,僅僅只有一個明文傳輸的字符串充當密碼(community),並且有很多廠家會設置默認的可讀密碼public和可讀可寫密碼private。因為SNMPv1和v2c非常的不安全,不建議在生產環境使用,如果非得使用,最好做一個訪問控制的限制(掛一個acl列表,僅允許acl列表匹配的源地址監控客戶端的信息)。SNMPv3即可以做源認證,也有數據加密,因此是安全的。
五、為何推薦使用SNMPv3(安全)
Integrity(完整性校驗):Using hashing algorithm(使用hash算法),SNMPv3 can ensure that an SNMP message was not modified in transit.
Authentication:Hashing allows SNMPv3 to validate the Source of an SNMP message.
Encryption:Using the CBC-DES(DES-56)encryption algorithm,SNMPv3 provides privacy for SNMP messages,making them unreadable by an attacker who might capture an SNMP packet.
如果你問我SNMPv3是絕對安全嗎?抱歉,任何事物都沒有絕對的安全。加密的東西可以破解,源認證可以偽裝,是在不行還有社會工程學嘛。雖然SNMPv3可以通過hash算法(md5、sha等)正向推導出一個固定長度的對人而言完全看不懂的亂碼字符串,雖然hash無法逆推,但是隻要破解者字典足夠大,是有可能找到原始明文的,不過,換句話說,黑客攻擊也是要考慮成本的,如果攻陷你的網絡所付出的成本太大,那麼也沒有攻擊的必要了。我們要做的就是儘可能的保證安全,預防已知的看不到的威脅。
六、SNMP客戶端(思科路由器)SNMPv1、v2c基本配置
基本Trap配置:
snmp-server location TJ-beichen ||被監控設備所屬位置
snmp-server contact Huba ||被監控設備負責人
snmp-server enable traps ||客戶端的哪些信息發送給SNMP服務器,直接回車代表所有信息
snmp-server host 10.1.1.101 CSR-Inside ||SNMP服務器IP
基本Get/Set設置:
snmp-server community ciscoro ro ||給客戶端配置一個只允許SNMP服務器讀的密碼叫ciscoro
snmp-server community ciscorw rw ||給客戶端配置一個只允許SNMP服務器可讀寫的密碼叫ciscorw
七、SNMPv1/v2c服務器端(Oid View)
學習階段可以使用Oid View做實驗,因為可以看到mib瀏覽器的具體信息,但是工作環境還是建議使用思科的PI或者PRTG這種商業化的軟件版本。
MIB Tree就像一棵樹,裡面包含了每一項具體的OID所對應的數據庫名字和信息內容。
八、SNMP客戶端(思科路由器)SNMPv3基本配置
snmp-server view CCIE mib-2 include //定義一個容易,名字叫CCIE,容易裡面包含MIB的範圍
snmp-server group CISCO v3 priv read CCIE write CCIE
//創建組、這個組所能讀寫的內容
snmp-server user admin CISCO v3 auth sha 123 priv 3des 123
//創建用戶、所屬組、認證算法和秘鑰、加密算法和秘鑰
snmp-server enable traps
snmp-server host 10.1.1.101 version 3 priv admin
九、SNMPv3服務器端(Oid View)測試
十、使用PRTG做個簡單測試,看看PRTG的界面更加人性化
默認登錄用戶名prtgadmin密碼prtgadmin,登錄成功之後可以修改。登錄成功之後默認已經安裝了一部分探針由於自動獲取網絡內的設備信息。當然您也可以自行添加設備。
除了自動添加設備,您也可以自行添加探針,由於獲取您想獲取的信息。
PRTG全天候監測您的網絡,並在潛在威脅變成危機之前向您發出預警。您可以全面瞭解您的網絡及其性能,確保IT基礎架構內的 所有業務相關組件每時每刻100%平穩正常運行。
