在思科Catalyst交換機上配置SNMPv3

注：泰信科技cisco3550主要關注和使用紅色陰影命令部分

首先，我們應該決定那些主機可以使用SNMP連線交換機。在這裡，我們只容許IP地址為 192.0.2.13的主機。我們在交換機上建立了一個訪問控制列表(ACL)，限制對交換機的SNMP連線。

　　c3550# conf t

　　Enter configuration commands, one per line. End withCNTL/Z.

　　c3550(config)# ip access-list standard SNMP

　　c3550(config-std-nacl)# permit host 192.0.2.13

　　c3550(config-std-nacl)# deny any log

　　c3550(config-std-nacl)# exit

　　c3550(config)#

　　下一步我們要設定這臺交換機的聯絡方式和地理位置。這些資訊是明文的，可以輸入您想輸入的任何東西。在實際生產中，你可以輸入一些比較容易識別的文字，尤其是裝置的地理位置。

　　c3550(config)# snmp-server location Bloomington, IN,USA

　　c3550(config)# snmp-server contact www.07net01.com

　　現在，我想建立一個只讀“view”資料庫來限制什麼資料可以被SNMP客戶看到。我將建立一個名為“MIB-2”型別為“mib-2”資料庫。

c3550(config)# snmp-server view MIB-2 mib-2 included

　　當我們只讀資訊庫建立後，我們將要建立一個使用者組“READONLY”，授權它只能讀取我們剛才建立的資料庫。

c3550(config)# snmp-server group READONLY v3 priv read MIB-2

　　最後一步，我們將要建立一個SNMPv3的使用者。這裡，我們建立名字為“cacti”的使用者，並且隨機產生了一個認證私有的密碼(用來認證和加密資料)。我們將使用HMAC SHA雜湊演算法認證，使用 128位的AES加密。另外，我們要把剛才建立的“SNMP”ACL繫結到使用者上。

　　注意：我在FreeBSB上使用“pwgen 16 2”隨機產生的密碼，大家可以根據自己的需要編一個密碼

c3550(config)# snmp-server user cacti READONLY v3 auth sha 5mJwYWFmjcgHVEP8priv aes 128 16Y8HHbd81nHJgYq access SNMP

　　退出全域性配置模式，然後儲存我們的配置。

　　c3550(config)# end

　　c3550# wr

　　Building configuration...

　　c3550#

　　我們配置完成了。現在，讓我們在FreeBSD上(192.0.2.13我們用ACL容許的那臺主機)使用“snmpget”命令進行測試：

　　$ snmpget -v 3 -u cacti -l authPriv -a sha -A5mJwYWFmjcgHVEP8 \ -x aes -X 16Y8HHbd81nHJgYq 198.18.0.2 sysContact.0

　　SNMPv2-MIB::sysContact.0 = STRING: www.07net01.com

　　這就是所有配置和測試SNMPv3的方法。現在大家應該在您的網路裝置中停止使用v1和v2版本啦!