一、实验环境

交换机为Cisco3640,管理地址设为21.125.73.254,管理终端为Windows XP操作系统,IP地址配置为21.125.73.1,安装有网管软件SolarWinds和抓包软件WireShark

二、SNMP V2管理

设置型号

snmp-server chassis-id cisco3640

设置位置

snmp-server location 3-101

设置联系方式

snmp-server contact 110

设置只读权限的团体字

snmp-server community public ro 

设置读写权限的团体字

snmp-server community private rw

执行SolarWinds中的IP Network Browser工具,在IP Network Browser Settings选择使用SNMP V2方式,输入读写权限的团体字管理交换机。与此同时,执行WireShark抓包,看到SNMP V2使用明文方式传输数据,捕获到读写权限的团体字。

检查管理终端的系统服务,是否有SNMP Service,如果没有,需要在添加删除程序中,安装管理和监视工具下的简单网络管理协议。配置SNMP Service中陷阱使用的只读团体字。

执行SolarWinds中的SNMP Trap Receiver工具,在交换机关闭或者启用端口、重启交换机都会接收到对应的消息。使用WireShark抓包,同样也可以捕获到只读权限的团体字。

三、SNMP V3管理

查看engineID

show snmp

800000090300CC000E90F000

设置engineID

snmp-server engine local 800000090300CC000E90F000

设置管理视图,定义管理OID范围

snmp-server view snmpv3view mib-2 included

设置用户组,定义用户模式(包含认证和加密选项)

snmp-server group snmpv3group v3 priv read snmpv3view

设置用户,定义认证和加密密钥

user snmpv3user snmpv3group v3 auth md5 123456 priv des56 cisco

执行SolarWinds中的IP Network Browser工具,在IP Network Browser Settings选择使用SNMP V3方式,输入管理视图名、用户名以及认证和加密使用的密钥管理交换机。使用WireShark抓包,发现用户名和密钥都经过加密。

为进入保证安全,还可以设置访问控制列表。

建立一个访问控制列表

ip access-list standard 10

只允许指定终端

permit host 21.125.73.1 log

应用访问控制列表

user snmpv3user snmpv3group v3 auth md5 123456 priv des56 cisco access 10