SNMP

简介

借助 (Simple Network Management Protocol , SNMP)，可以监视和控制*站中的网络元件，例如路由器或交换机。SNMP 控制被监视设备与监视站之间的通信。

SNMP 的任务：

监视网络组件

远程控制网络组件，以及远程为网络组件分配参数

错误检测和错误通知

版本 v1 和 v2c 的 SNMP 没有安全机制。网络中的所有用户都可以访问数据，还可使用适当的软件来更改参数分配。

如果只需对访问权限进行简单控制而*考虑安全性，则可使用团体字符串。

团体字符串与查询一起传送。如果团体字符串正确，SNMP 代理将做出响应并发送所请求的数据。如果团体字符串不正确，SNMP 代理将放弃查询。可以为读取和写入权限定义不同的团体字符串。团体字符串以明文形式传送。

团体字符串的标准值：

public
具有只读权限

private
具有读写权限

设备级的更多简单保护机制：

Allowed Host
被监视系统知道监视系统的 IP 地址。

Read Only
如果为被监视设备*“Read Only”，则监视站只能读取数据，但无法更改。

SNMP 数据包未加密，其他用户可轻松读取。

*站也称为管理站。SNMP 代理安装在与管理站交换数据的被监视设备上。

管理站发送以下类型的数据包：

GET
向 SNMP 代理请求数据记录

GETNEXT
调用下一条数据记录。

GETBULK （自 SNMPv2c 起可用）
每次请求多条数据记录，例如，表中的多行。

SET
包含相关设备的参数分配数据。

SNMP 代理发送以下类型的数据包：

RESPONSE
SNMP 代理返回管理器请求的数据。

TRAP
如果发生特定事件，SNMP 代理将发送陷阱。

SNMPv1/v2c/v3 使用 UDP（User Datagram Protocol，用户数据包协议）并使用 UDP 端口 161 和 162。管理信息库 (Management Information Base, MIB) 对该数据进行了介绍。

SNMPv3

与先前版本 SNMPv1 和 SNMPv2c 比较，SNMPv3 引入了广义的安全概念。

SNMPv3 支持：

完全加密的用户验证

对全部数据通信进行加密

在用户/组级别对 MIB 对象进行访问控制

引入 SNMPv3 后，不使用特殊操作（如加载组态文件或替换 C-PLUG）的情况下，无法再将用户组态传送至其他设备。

依据标准，SNMPv3 协议使用一的 SNMP 引擎 ID 作为 SNMP 代理的内部标识符。此 ID 在网络中必须是一的。用于验证 SNMPv3 用户的访问数据并对其进行加密。

根据“SNMPv3 用户移植”功能的启用情况，会以不同方式生成 SNMP 引擎 ID。

使用该功能时的限制

仅可在更换设备时使用“SNMPv3 用户移植”(SNMPv3 User Migration) 功能将组态的 SNMPv3 用户传送到替代设备。
请勿使用该功能将组态的 SNMPv3 用户传送到多个设备。如果将具有已创建的 SNMPv3 用户的组态加载到多个设备，则这些设备会使用相同的 SNMP 引擎 ID。如果在同一网络中使用这些设备，则组态会与 SNMP 标准相矛盾。

与旧产品的兼容性

如果您已将用户创建为可移植用户，则可以将已组态的 SNMPv3 用户传送至不同