SNMP

概要

通过SNMP (Simple Network Management Protocol) 的设定、对SNMP管理软件可以改为网络管理信息的视频监管。此时,雅马哈路由器则成为SNMP代理人。

雅马哈路由器支持使用SNMPv1、SNMPv2c、SNMPv3进行的通信。并作为MIB (Management information Base) ,满足 RFC1213 (MIB-II) 和私有MIB。有关私有MIB,可从URL参照。

在SNMPv1及SNMPv2中、可以告知对方一个称之为社区的小组的名字、仅在属于同一社区的主机之间进行通信。这时、可以对只读 (read-only) 和可读写 (read-write) 的2个访问模式分别设定社区用户名。
这样,社区用户名就可以作为某种密码发挥作用、相反、社区用户名具有必须以纯文本形式在网络中流通的特性、因此可以说安全方面是很脆弱的。如需要更安全的通信时,建议使用SNMPv3。
SNMPv3可以满足通信内容的认证、以及加密。SNMPv3废弃了社区的概念、通过对称为USM (User-based Security Model) 和VACM (View-based Access Control Model) 的安全模式的利用,确保了更高的安全性。

将通知雅马哈路由器状态的SNMP信息称为陷阱。在雅马哈路由器中,除了SNMP标准陷阱以外、也可利用部分功能,为通知特定事件而传输独自特有的陷阱。并且、这些独自的陷阱被作为私有MIB定义。
有关陷阱的传输对方主机、可在各SNMP版本上对数个主机进行设定。

在SNMPv1以及SNMPv2c使用的只读专用、和用于传输陷阱社区用户名、初始值均为“public”。由于SNMP管理软件方的社区用户名也多为“public”、因此在使用该版本进行通信时,考虑到安全性,请修改为适当的社区用户名。但是、如上所述,社区用户名称在网络上是以纯文本形式流通、因此社区用户名称中请绝对不要使用登录密码或管理密码。

在工厂发货的状态下、各SNMP版本均处于无法访问的状态。并且、陷阱的传输对方主机没有设定、因此不会向任何地方传输陷阱。

注意事项

  • 请事先确认您使用的SNMP管理程序所支持的SNMP版本。需要根据使用的SNMP版本,对路由器进行设定。
  • 可接收SNMP信息的最大尺寸、以及可发出信息的最大尺寸均为2048字节。
  • 不支持与SNMPv3相关的以下功能。
    • 代理功能
    • 对snmpV2视图子树 (1.3.6.1.6) 之后的MIB目标的访问。以及、不支持经由SNMP的SNMPv3的相关设定变更。
    • snmpEngineBoots値的管理。在雅马哈路由器中、每次启动时设定随机的snmpEngineBoots値。

支持机种和固件版本

雅马哈路由器使用以下机种以及固件、支持SNMP代理功能。

机型 固件版本
SNMPv1 SNMPv2c SNMPv3
RTX5000 Rev.14.00.15以后
RTX820 Rev.11.03.16以后
RTX1200 Rev.10.01.20以后 Rev.10.01.25以后
RTX800 Rev.10.01.20以后

详细

关于各SNMP版本的主要特征、与路由器的设定方针作如下说明。具体的设定例请参照后述「6. 设定例」

SNMPv1

根据社区用户名称,进行SNMP官人和代理人之间的认证。将所管理的路由器用称为社区的区块进行分割管理。

  • 对MIB目标的访问

    允许从snmp host指令设定的主机,以snmp community指令设定的社区用户名义进行的访问。
    以snmp host指令在主机地址后设定社区用户名称时、也可用不同于以snmp community指令设定的社区用户名称进行访问。

  • SNMP陷阱

    可以对用snmp trap host指令设定的主机传输路由器的状态。
    以snmp trap enable snmp指令可对传输哪种陷阱进行设定。并且、snmp trap enable snmp指令可对各种SNMP版本发挥共同的作用。

SNMPv2c

与SNMPv1一样、可根据社区用户名,对SNMP管理人和代理人之间进行认证。
利用snmpv2c community指令,对以SNMPv2c访问时使用的社区用户名进行设定。

并且、从本版本开始,重新对GetBulk请求和Inform请求提供支持。统一、有效的取得MIB目标、可针对路由器发出的通知包进行响应确认。

  • 对MIB目标的访问

    允许从snmpv2c host指令设定的主机,以snmpv2c community指令设定的社区用户名称进行的访问。
    以snmpv2c host指令在主机地址后面设定社区用户名称时、也可用不同于以snmpv2c community指令设定的社区用户名称进行访问。

  • SNMP陷阱

    对用snmpv2c trap host指令设定的主机,可传输路由器的状态。通过指令的设定,将信息的形式选择为陷阱、或Inform请求。在Inform请求中,要求对方提供收信确认应答。

SNMPv3

SNMPv3相对SNMPv2迄今为止的所有功能,特别在安全功能上进行强化。
通过对在网络上流通的SNMP包进行认证・加密、改变了之前在SNMPv1、v2c上仅凭社区用户名和SNMP管理人IP地址的安全功能无法解决的窃听、欺诈、篡改、重播攻击等问题,实现了对SNMP包的保护。

  • SNMP实体

    在SNMPv3中,将管理人和代理人称之为SNMP实体、雅马哈路由器中,提供了相当于SNMP代理人的功能进行支持。

    • SNMP引擎

      SNMP引擎提供针对SNMP信息的收发信、SNMP信息的认证和加密、管理对象目标的访问控制服务。
      SNMP实体中,有1个SNMP引擎。用snmpv3 engine id指令对SNMP引擎的ID进行设定。

    • 语境

      为了从存在于SNMP内部的多个语境(MIB实装) 中独一无二的识别,就要指定语境名 (contextName) 。但路由器内部往往只有1个语境。
      语境名用snmpv3 context name设定。

  • 安全性

    SNMPv3中提供了如下安全性功能。

    • USM (User-based Security Mode)

      USM属于为确保信息层面安全性的模型、负责针对通用键的认证和加密、篡改信息名单进行防御。

      • 安全等级

        使用SNMPv3、可以对每个用户要求的安全性等级进行指定。安全性等级是对认证、加密进行组合,并可按以下分类。

        • noAuthNoPriv : 部进行认证・加密
        • AuthNoPriv : 只进行认证
        • AuthPriv : 进行认证・加密
      • 用户认证

        认证是为了对数据的安全性 (未被篡改) 和数据的传输方进行认证手续而使用HMAC。通过用认证键取得Hash,确认信息未被篡改、以及发信人系用户本人。
        作为哈希算法,提供HMAC-MD5-96和HMAC-SHA-96。

      • 加密

        使用SNMPv3、为了防止管理信息泄漏、对SNMP信息进行加密。加密方式提供DES-CBC和AES128-CFB。

      用snmpv3 usm user指令、可对用户名称和用户认证方式、加密方式进行设定。是否进行了认证设定、有无加密设定、决定了该用户要求的安全性等级。

    • VACM (View-based Access Control Model)

      VACM属于对SNMP信息进行访问控制的模型。

      • 在VACM中,后述的访问原则不是根据用户而是根据各小组定义。
        在snmpv3 usm user指令的group选项里设定用户所属的小组。在这里设定每个小组访问的可能MIB视图。
        不属于用户组的用户不适用访问控制。允许对所有的MIB对象的访问。

      • MIB视图

        在SNMPv3中对每组可以访问的MIB对象的集合进行定义。
        根据snmpv3 vacm view指令进行MIB视图的设定。可以选择每个视图是否包含MIB视图是否除外。

      • 访问原则

        在VACM中对每组进行读入,设定允许被写入的MIB视图。
        根据snmpv3 vacm access指令进行设定。根据snmpv3 vacm view指令作成设定的MIB视图。

  • SNMP陷阱

    根据snmpv3 trap host指令可以向主机发送路由器的状态。在发送陷阱时,有必要预先根据snmpv3 usm user指令设定用户。 另外可以根据指令的设定选择发送信息的形式是陷阱还是Inform要求。Inform要求时要求对方收信确认回答。

指令

SNMPv1专用的指令

SNMPv2c专用的指令

SNMPv3专用的指令

各SNMP版本共同的指令

SNMPv1专用的指令

  • 对允许用SNMPv1访问的主机的设定
    [格式]
    snmp host HOST [RO_COMMUNITY [RW_COMMUNITY]]
    no snmp host [HOST]
    
    [设定值]
    • HOST ........... 允许利用SNMPv1进行访问的主机
      • IP地址
      • any ........ 允许所有主机的访问
      • none ....... 禁止所有主机的访问
    • RO_COMMUNITY ... 只读的社区用户名 (16字以内)
    • RW_COMMUNITY ... 可读写的社区用户名 (16字以内)
    [说明]

    对允许用SNMPv1访问的主机的设定。
    设定为'any'时,允许任何主机的SNMPv1访问。
    用IP地址指定主机时、可同时设定社区用户名。省略RW_COMMUNITY参数时、访问模式为可读写的访问被禁止。省略了RO_COMMUNITY参数时、可使用snmp community read-only指令、以及snmp community read-write指令的设定值。

    [备忘录]

    从Rev.7.01.12开始,扩大了指令的输入方式。

    [初始值]
    HOST = none
    RO_COMMUNITY = 无
    RW_COMMUNITY = 无
    
  • SNMPv1只读社区用户名称的设定
    [格式]
    snmp community_read-only NAME
    no snmp community_read-only
    
    [设定值]

    NAME ......... 社区用户名 (16字以内)

    [说明]

    SNMPv1的访问模式为只读社区用户名称的设定。

    [初始值]
    public
    
  • SNMPv1可读写社区用户名称的设定
    [格式]
    snmp community_read-write NAME
    no snmp community_read-write
    
    [设定值]

    NAME ... 社区用户名 (16字以内)

    [说明]

    SNMPv1的访问模式为只读社区用户名称的设定。

    [初始值]

    未设定

  • SNMPv1陷阱的传输对方的设定
    [格式]
    snmp trap host HOST [COMMUNITY]
    no snmp trap host HOST
    
    [设定值]
    • HOST ........... SNMPv1陷阱的传输对方主机的IP地址
    • COMMUNITY ...... 社区用户名 (16字以内)
    [说明]

    指定传输SNMPv1陷阱的主机。通过设定数个指令、可同时指定数个主机。传输陷阱时的社区用户名中,要使用这个指令的COMMUNITY参数、被省略时,需要使用snmp trap community指令的设定值。

    [备忘录]

    Rev.7.00.26之后,可指定COMMUNITY参数。

    [初始值]

    未设定

  • SNMPv1陷阱的社区用户名设定
    [格式]
    snmp trap community NAME
    no snmp trap community
    
    [设定值]

    NAME ........... 社区用户名 (16字以内)

    [说明]

    对传输SNMPv1陷阱时的社区用户名进行设定。

    [初始值]
    public
    

SNMPv2c专用指令

  • 对允许用SNMPv2c访问的主机的设定
    [格式]
    snmpv2c host HOST [RO_COMMUNITY [RW_COMMUNITY]]
    no snmpv2c host [HOST]
    
    [设定值]
    • HOST ........... 允许利用SNMPv2c进行访问的主机
      • IP地址
      • any ........ 允许所有主机的访问
      • none ....... 禁止所有主机的访问
    • RO_COMMUNITY ... 只读的社区用户名 (16字以内)
    • RW_COMMUNITY ... 可读写的社区用户名 (16字以内)
    [说明]

    对允许用SNMPv2c访问的主机的设定。
    设定为'any'时,允许任何主机的SNMPv2c访问。
    用IP地址指定主机时、可同时设定社区用户名。省略RW_COMMUNITY参数时、访问模式为可读写的访问被禁止。省略了RO_COMMUNITY参数时、可使用snmpv2c community read-only指令、以及snmpv2c community read-write指令的设定值。

    [初始值]
    HOST = none
    RO_COMMUNITY = 无
    RW_COMMUNITY = 无
    
  • SNMPv2c只读社区用户名的设定
    [格式]
    snmpv2c community_read-only NAME
    no snmpv2c community_read-only
    
    [设定值]

    NAME ........ 社区用户名 (16字以内)

    [说明]

    对SNMPv2c访问模式为只读的社区用户名进行设定。

    [初始值]
    public
    
  • SNMPv2c的可读写社区用户名的设定
    [格式]
    snmpv2c community_read-write NAME
    no snmpv2c community_read-write
    
    [设定值]

    NAME ........ 社区用户名 (16字以内)

    [说明]

    对SNMPv2c的访问模式为可读写的社区用户名进行设定。

    [初始值]

    未设定

  • SNMPv2c陷阱的传输对方的设定
    [格式]
    snmpv2c trap host HOST [TYPE [COMMUNITY]]
    no snmpv2c trap host HOST
    
    [设定值]
    • HOST ........... SNMPv2c陷阱的传输对方主机的IP地址
    • TYPE ........... 信息类型
      • trap ......... 传输陷阱
      • inform ....... 传输Inform请求
    • COMMUNITY ..... 社区用户名 (16字以内)
    [说明]

    指定传输SNMPv2c陷阱的主机。通过设定多个指令、可同时制定多个主机。传输陷阱时的社区用户名中,可使用本指令的COMMUNITY参数、被省略时,可使用snmpv2c trap community指令的设定值。
    使用TYPE参数指定'inform'时、直至传输对方有响应、间隔5秒钟最多重新传输3次。

    [初始值]
    HOST = 无
    TYPE = trap
    COMMUNITY = 无
    
  • SNMPv2c陷阱的社区用户名的设定
    [格式]
    snmp trap community NAME
    no snmp trap community
    
    [设定值]

    NAME .......... 社区用户名 (16字以内)

    [说明]

    对传输SNMPv2c陷阱时的社区用户名进行设定。

    [初始值]
    public
    

SNMPv3専用专用指令

  • SNMP引擎ID的设定
    [格式]
    snmpv3 engine id ENGINE_ID
    no snmpv3 engine id
    [设定值]

    ENGINE_ID ..... SNMP引擎ID (27字符以内)

    [说明]

    设定为识别SNMP引擎的幽默的ID。SNMP引擎ID在SNMPv3通信中向对方通知

    [初始值]

    LAN1的MAC地址 (00a0deXXXXXX)

  • SNMP上下文名称的设定
    [格式]
    snmpv3 context name NAME
    no snmpv3 context name
    
    [设定值]

    NAME .......... SNMP上下文名称 (16字符以内)

    [说明]

    对为了识别SNMP上下文的名称进行设定。SNMP上下文名称在SNMPv3通信中通知对方。

    [初始值]

    未设定

  • 用USM管理的用户的设定
    [格式]
    snmpv3 usm user USER_ID NAME [group GROUP_ID] [AUTH AUTH_PASS [PRIV PRIV_PASS]]
    no snmpv3 usm user USER_ID
    
    [设定值]
    • USER_ID ........ 用户编号 (1..65535)
    • NAME ........... 用户名 (32字符以内)
    • GROUP_ID ........ 用户组编号 (1..65535)
    • AUTH ........... 认证算法
      • md5 ........ HMAC-MD5-96
      • sha ........ HMAC-SHA1-96
    • AUTH_PASS ...... 认证密码 (8字符以上、32字符以内)
    • PRIV ........... 密码算法
      • des-cbc .... DES-CBC
      • aes128-cfb . AES128-CFB
    • PRIV_PASS ...... 密码 (8字符以上、32字符以内)
    [说明]

    设定根据SNMPv3可访问的用户信息。
    指定了用户组编号时,即成为根据VACM访问控制的对象。不指定时、该用户可访问所有的MIB目标。
    使用SNMPv3,可以进行通信内容的认证和加密、以这个指令与用户名一起对算法和密码进行设定、并使用。同时、不能够不认证,只加密
    有无认证和加密、算法和密码、应与相对的SNMP管理人方面的用户设定保持一致。

    [备忘录]

    group选项、RTX1200在 Rev.10.01.29 之后、NVR500在 Rev.11.00.13 之后可指定。

    [初始值]

    未设定

  • 对允许SNMPv3访问的主机进行设定
    [格式]
    snmpv3 host HOST user USER_ID ...
    snmpv3 host none
    no snmpv3 host [HOST]
    
    [设定值]
    • HOST ........... 允许SNMPv3访问的主机
      • IP地址
      • any ........ 允许所有主机访问
    • none ........... 禁止所有主机访问
    • USER_ID ........ 用户编号
      • 在1个数字符、或问题中插入夹入 - 符号的数字符 (范围指定)、以及将这些任意排列的 (128个以内)
    [说明]

    对允许SNMPv3访问的主机进行设定。
    在HOST参数中设定'any'时,允许从任意主机使用SNMPv3访问。并且、进行了访问连接的主机即便与HOST参数不符,但必须与以USER_ID参数指定的用户相符,否则不能访问。

    [初始值]
    none
    
  • 用VACM管理的MIB视图家族的设定
    [格式]
    snmpv3 vacm view VIEW_ID TYPE OID [TYPE OID ...]
    no snmpv3 vacm view VIEW_ID
    
    [设定值]
    • VIEW_ID ........ 视图编号 (1..65535)
    • TYPE
      • include .... 将指定的对象ID作为管理对象
      • exclude .... 将指定的对象ID从管理对象中删除
    • OID ............ MIB对象ID (字符段ID的数量为2个以上、128个以下)
    • TYPE与OID的组在128个之内可指定
    [说明]

    对VACM管理使用的MIB视图家族进行设定。MIB视图家族、是指在批准访问权时,指定的MIB对象的集合。
    TYPE参数和OID参数的組、表示将指定的对象ID之后的MIB子树作为/不作为管理对象。同时在指定多个组时、在各自指定的对象ID中,具有包含关系的、相对于指定的更下层的对象ID的TYPE参数更被优先

    [备忘录]

    RTX1200在 Rev.10.01.29之后、NVR500在 Rev.11.00.13 之后可使用。

    [初始值]

    未设定

    [设定例]

    将inetnet子树 (1.3.6.1) 之后作为管理对象。但,enterprises子树(1.3.6.1.4.1) 之后将从管理对象中删除。

    # snmpv3 vacm view 1 include 1.3.6.1 exclude 1.3.6.1.4.1
    
  • VACM管理的访问策略的设定
    [格式]
    snmpv3 vacm access GROUP_ID read READ_VIEW write WRITE_VIEW
    no snmpv3 vacm access GROUP_ID
    
    [设定值]
    • GROUP_ID ........ 组号 (1..65535)
    • READ_VIEW
      • 设定可读访问权限的视图号
      • none ........ 不设定可读的视图
    • WRITE_VIEW
      • 设定可写的访问权限的视图号
      • none ........ 不设定可写的视图
    [说明]

    设定可对用户组访问的MIB视图家族。对不包含在用此指令设定的MIB视图家族的MIB对象中的访问被禁止。

    [备忘录]

    RTX1200在 Rev.10.01.29 之后、NVR500在 Rev.11.00.13 之后可使用。

    [初始值]

    未设定

  • SNMPv3陷阱的传输对象的设定
    [格式]
    snmpv3 trap host HOST [TYPE] user USER_ID
    no snmpv3 trap host HOST
    
    [设定值]
    • HOST ........... SNMP3陷阱的传输对象主机的IP地址
    • TYPE ........... 信息类型
      • trap ......... 传输陷阱
      • inform ....... 传输Inform请求
    • USER_ID ........ 用户编号
    [说明]

    指定传输SNMPv3陷阱的主机。通过设定多个指令、可同时指定多个主机。发送陷阱时的用户设定,可以使用用snmpv3 usm user指令设定的用户设定。
    用TYPE参数指定'inform'时、直至传输对方有响应、会间隔5秒最多重复传输3次。

    [初始值]
    HOST = 无
    TYPE = trap
    USER_ID = 无
    

各SNMP版本通用的指令

  • SNMP传输包起始点地址的设定
    [格式]
    snmp local address IP_ADDRESS
    no snmp local address
    
    [设定值]

    IP_ADDRESS ...... IP地址

    [说明]

    设定SNMP传输包的起始点IP地址

    [初始值]

    从设定于接口的地址自动选择

  • sysContact的设定
    [格式]
    snmp syscontact NAME
    no snmp syscontact
    
    [设定值]

    NAME ............ sysContact登录的名称 (255字符以内)

    [说明]

    设定MIB変数sysContact。为了包括空格、要将参数整体使用双引号 (")、或者单引号(')。sysContact通常是记入管理者名称或联络地址的变数。

    [初始值]

    未设定

  • sysLocation的设定
    [格式]
    snmp syslocation NAME
    no snmp syslocation
    [设定值]

    NAME ............ 作为sysLocation登录的名称 (255字符以内)

    [说明]

    设定MIB変数sysLocation。为了包含空格、要对参数整体使用双引号 (")、或单引号 (')。sysLocation通常是记入机器设置场所的变数。

    [初始值]

    未设定

  • sysName的设定
    [格式]
    snmp sysname NAME
    no snmp sysname
    
    [设定值]

    NAME ............ 作为sysName登录的名称 (255字符以内)

    [说明]

    设定MIB変数sysName。为了使其包括空格、需要对参数用双引号 (")、或单引号 (') 包围。sysName通常是计入机器名称的

    [初始值]

    未设定

  • 是否要传输SNMP标准陷阱的设定
    [格式]
    snmp trap enable snmp TRAP [TRAP ...]
    snmp trap enable snmp all
    no snmp trap enable
    
    [设定值]
    • TRAP ............ 标准陷阱的种类
      • coldstart ... 所有设定初始化时
      • warmstart ... 重启时
      • linkdown .... 链路关闭时
      • linkup ...... 链接接通時
      • authenticationfailure ... 认证失败时
    • all ............. 传输所有的标准陷阱
    [说明]

    设定是否需要传输SNMP标准陷阱。
    设定了all时、传输所有的标准陷阱。设定了单项陷阱时、仅限设定了的陷阱被传输。

    [备忘录]

    是否需要传输authenticationFailure陷阱,由此指令控制。
    关于coldStart陷阱、使用Rev.7.01.15以前的固件、是在cold start指令投入时、以及在固件版本升级后重启之前,传输coldStart陷阱。使用其他的固件时、在电源投入、再投入并启动后、以及因固件版本升级重启后,传输coldStart陷阱。
    linkDown陷阱、 根据snmp trap send linkdown指令可控制每个接口。对某个接口是否传输linkDown陷阱、是根据snmp trap send linkdown指令批准传输、并且、并且此指令仅限于被批准时。
    Rev.7.00系列、以及RT300i、使用snmp enableauthentraps指令。

    [初始值]
    all
    
  • 对是否传输SNMP authenticationFailure陷阱进行设定
    [格式]
    snmp enableauthentraps SWITCH
    no snmp enableauthentraps
    [设定值]
    • SWITCH
      • on .......... 传输
      • off ......... 不传输
    [说明]

    设定MIB変数nmpEnableAuthenTraps,对是否传输authenticationFailure陷阱进行控制。

    [初始值]

    on

  • SNMP的linkDown陷阱传输控制的设定
    [格式]
    snmp trap send linkdown INTERFACE SWITCH
    snmp trap send linkdown pp [PEER_NUM] SWITCH
    snmp trap send linkdown tunnel [TUNNEL_NUM] SWITCH
    no snmp trap send linkdown INTERFACE
    no snmp trap send linkdown pp [PEER_NUM]
    no snmp trap send linkdown tunnel [TUNNEL_NUM]
    
    [设定值]
    • INTERFACE
      • LAN接口名称
      • BRI接口名称
    • PEER_NUM ........ 对方信息号
    • TUNNEL_NUM ...... 隧道接口编号
    • SWITCH
      • on .......... 传输
      • off ......... 不传输
    [说明]

    设定是否传输指定接口的linkDown陷阱。

    [初始值]
    on
    
  • 对是否要将PP接口信息显示在MIB2范围内进行设定
    [格式]
    snmp yrifppdisplayatmib2 SWITCH
    no snmp yrifppdisplayatmib2
    
    [设定值]
    • SWITCH
      • on .......... 将MIB変数yrifPpDisplayAtMib2作为"enable(1)"
      • off ......... 将MIB変数yrifPpDisplayAtMib2作为"disable(2)"
    [说明]

    设定MIB変数yrIfPpDisplayAtMib2的値。确定此MIB変数、是否将PP接口在MIB2的范围内显示。显示内容与Rev.4之前相同时、将MIB変数显示为"enabled(1)" 、即使用此指令设定'on'。

    [初始值]

    off

  • 设定隧道接口信息是否在MIB2范围内显示。
    [格式]
    snmp yriftunneldisplayatmib2 SWITCH
    no snmp yriftunneldisplayatmib2
    [设定值]
    • SWITCH
      • on .......... 将MIB変数yrifTunnelDisplayAtMib2作为"enable(1)"
      • off ......... 将MIB変数yrifTunnelDisplayAtMib2作为"disable(2)"
    [说明]

    设定MIB変数yrIfTunnelDisplayAtMib2的值。确定此MIB変数是否将隧道接口在MIB2范围内显示。显示内容与Rev.4之前相同时、将MIB変数显示为"enabled(1)"、即用此指令设定'on'。

    [初始值]
    off
    
  • PP接口地址强制显示的设定
    [格式]
    snmp display ipcp force SWITCH
    no snmp display ipcp force
    [设定值]
    • SWITCH
      • on .......... 必须把IPCP赋予的IP地址作为PP接口的地址显示
      • off ......... 不必把IPCP所赋予的IP地址作为PP接口的地址显示
    [说明]
    • 不使用NAT时、及作为NAT的外部地址,其固定的IP地址被指定时、用IPCP获得的IP地址原样作为PP接口的地址使用。这时、SNMP通常是调查接口IP地址的顺序,作为IPCP,可以调查获得了何种地址。
      但是、作为NAT的外部地址指定'ipcp'时、由IPCP获得的IP地址,作为NAT的外部地址被使用、不会被赋予接口。以此、即使用SNMP调查接口的IP地址、也无法了解用IPCP获得了何种地址。
      设定本指令为'on'后、即便以IPCP获得的IP地址作为NAT的外部地址使用、SNMP依然将该地址显示为接口的地址。由于该地址实际上并不是该接口所赋予的、作为起始点的IP地址、该IP地址不会被利用。
    [初始值]
    off
    

设定例

  • SNMPv1设定例
    snmp host 192.168.100.1            #...(1)
    snmp host 10.1.1.1 snmpv1host      #...(2)
    snmp community read-only public    #...(3)
    snmp trap host 192.168.100.1       #...(4)
    snmp trap community snmpv1trapname #...(5)
    
    [说明]

    (1)允许从IP地址为192.168.100.1的主机发出的访问
    (2)允许从IP地址为10.1.1.1、并且社区用户名为"snmpv1host"的主机发出的只读访问
    (3)将只读社区用户名设定为"public"
    (4)将传输陷阱的主机地址设为192.168.100.1
    (5)将陷阱的社区用户名设为"snmpv1trapname"

  • SNMPv2c设定例
    snmpv2c host 192.168.1.1                           #...(1)
    snmpv2c host 10.1.1.1 snmpv2chost                  #...(2)
    snmpv2c trap host 192.168.1.1                      #...(3)
    snmpv2c trap host 192.168.2.1 inform snmpv2cinform #...(4)
    snmpv2c trap community snmpv2ctrap                 #...(5)
    
    [说明]

    (1)允许IP地址为192.168.1.1的主机发出的访问
    (2)允许IP地址为10.1.1.1、且社区用户名为"snmpv2chost"的主机发出的只读访问
    (3)增加陷阱的目标主机 (IP地址192.168.1.1)
    (4)增加陷阱的目标主机 (IP地址192.168.2.1) 。对此主机将社区用户名作为"snmpv2cinform",传输Inform请求
    (5)将传输陷阱时的默认社区用户名设定为"snmpv2ctrap"

  • SNMPv3设定例
    snmpv3 engine id 12345678                                            #...(1)
    snmpv3 usm user 1 yamaha1 group 1 sha authpass1 aes128-cfb privpass1 #...(2)
    snmpv3 usm user 2 yamaha2 group 1 sha authpass2                      #...(3)
    snmpv3 host 192.168.1.1 user 1 2                                     #...(4)
    snmpv3 vacm view 1 include 1.3.6.1                                   #...(5)
    snmpv3 vacm view 2 include 1.3.6.1 exclude 1.3.6.1.2.1.1 #           #...(6)
    snmpv3 vacm access 1 read 1 write 2                                  #...(7)
    snmpv3 trap host 192.168.1.1 user 1                                  #...(8)
    snmpv3 trap host 10.1.1.1 inform user 2                              #...(9)
    
    [说明]

    (1)将SNMP引擎的ID设定为"12345678"
    (2)登录用户"yamaha1"。所属于用户组1、认证方式为HMAC-SHA1-96、加密方案使用AES128-CFB。
    (3)登录用户"yamaha2"。属于用户组1、认证方式使用HMAC-SHA1-96、不使用加密方案。
    (4)主机地址为192.168.1.1、且用户名为"yamaha1"、"yamaha2"其中之一时、允许访问
    (5)将internet子树图形作为MIB视图家族1登录
    (6)把除了system子树以外的internet子树,作为MIB视图家族2登录
    (7)对用户组1的可读取的MIB视图家族和可写入的MIB视图家族进行设定
    (8)增加陷阱的目标主机 (IP地址192.168.1.1) 。对这一主机、作为用户"yamaha1"传输陷阱
    (9)增加陷阱的目标主机 (IP地址10.1.1.1) 。对这一主机、作为用户"yamaha2"传输Inform请求

SYSLOG信息一览

Rev.10.01.24之后、本功能输出的SYSLOG信息一览显示如下。并且、实际输出的各信息的开始部分都被赋予了"[SNMPD] "的字首。

等级 输出信息 内容
INFO Can't start SNMP引擎的启动失败
DEBUG Send 陷阱名 trap to PI地址(SNMP版本) 发送了陷阱
Send 陷阱名 inform request toIP地址
(SNMP版本/请求编号)
发送了Inform请求
Receive inform response from IP地址
(SNMP版本/请求编号)
收到发送Inform请求的响应
Seceive inform response from IP地址 为获得对方的SNMP引擎信息,发送了Engine Discovery信息
Serd Engine Time Synchronization to IP地址 为获得对方的SNMP引擎信息,发送了Engine Time Synchrenization信息
Invalid community 社区用户名 出现以非法社区用户名
Invalid engine ID :
   引擎ID(16进)
出现以非法引擎ID的访问访问
Invalid engine boots '引擎鞋值' 出现以非法引擎鞋值的访问
Invalid engine time ’引擎时间' 出现以非法引擎时间值的访问
Invalid user rame '用户名' 出现以非法用户名的访问
Failed to authenticate message 信息认证失败
Failed to decrypt message 信息编号失败
Failed to encrypt message 信息加密失败
Invalid context engine:
   上下文引擎(16进)
有非法上下文引擎的访问
Invalid context name:
   上下文名(16进)
有非法上下文名的访问
Malformed message 消息格式无效。
由于未能正确解密,有时会发送。

关联信息

返回顶部Return to Top