SNMPv3 認證([設定] 選單 > [資料庫] > [認證] > [SNMP v3])存放了以 WhatsUp Gold 監控具備 SNMPv3 之裝置所需的資訊。

適當的認證可讓您運用以 SNMP 為基礎的監控工具(WhatsUp Gold 主動監控工具,如 SNMP 延伸效能監控工具等)來管理及監控由 SNMPv3 畫面式的存取控制項監管的目標裝置。

一旦在認證資料庫中新增了一個 SNMPv3 認證之後,您可以…

  • 將其加入認證清單,以供 WhatsUp Gold 在執行探索掃描時嘗試。
  • 在 [我的網路] 中的 [裝置屬性] 下,將其直接與 WhatsUp Gold 管理的裝置關聯。
  • 將其定義為與查詢詳細資料 VLAN 表格的 VLAN 模式相符,無需特定的上下文名稱或其他的代理程式或通訊協定,例如 CDP/LLDP。

入門教學

從 WhatsUp Gold 使用 SNMPv3 監控之前,請確認目標裝置…

  • 已(在實體裝置上)設定為使用 SNMPv3。裝置必須要有一個運行的 SNMPv3 代理程式和一個預設或自訂 SNMP 引擎 ID。
  • 已(在實體裝置上)定義了一個 SNMPv3 使用者,可存取適用的 SNMPv3 群組和畫面。
  • 具備獨特的按 VLAN 上下文與任何定義在裝置 VLAN 上,為了支援 VLAN 特定上下文的裝置關聯。(本主題稍後有更詳盡的說明。)
  • 已在 WhatsUp Gold 內與相關的 SNMPv3 認證關聯。當您在 [我的網路] 中選取了一個裝置之後,裝置卡將會顯示此關聯。
提示: 對於支援讀取 BRIDGE-MIB 的裝置,各個 VLAN 具備一個 VLAN 特定的上下文,正確設定這類裝置和 WUG 可減少啟用 CDP/LLDP 以取得足夠資訊來計算裝置連線能力的必要性。如要深入了解,請參閱本主題稍後所提到的〈VLAN 模式〉控制與範例。

與 SNMPv2 的差異

不同於 SNMPv2,SNMPv3 採用一個畫面式的存取控制模型 (VACM)。這表示 WhatsUp Gold SNMPv3 監控工具要求在受管理裝置上要有一個經過授權且具備權限的使用者。您在 SNMPv3 認證對話方塊中所指定的 SNMPv3 使用者使用者名稱),代表一個針對您的站台的要求,而在裝置上已有或者需要權限來存取特定 MIB 資源的使用者。

這項設定為選用,但最佳的實務作法是同時啟用使用者驗證(身分驗證通訊協定)和承載加密(加密通訊協定)來管理 MIB 物件。這些功能搭配結合在一起,透過運用 SNMPv3 授權服務和已設定領域資源存取(以一個 MIB 物件畫面的某種形式),來在目標裝置上提供完整的 SNMPv3 功能。

註: 所有對包含在裝置的 MIB(即 BRIDGE-MIB,包含用於計算連線能力的轉寄資訊)中 VLAN 特定資訊的存取,都需要為各個 VLAN設定一個獨特的上下文 SNMPv3 使用者或群組存取權限。SNMPv3 上下文提供對物件集合的存取,在目標裝置上輪詢 VLAN 資訊將需要此認證。(相對之下,SNMPv1/2 使用社群名稱索引來存取 VLAN 特定資訊,而該功能並不適用於 SNMPv3。)
提示: 當只進行監控時,最佳的實務作法是在 WhatsUp Gold 認證中運用一個具備在目標 MIB 物件上讀取通知權限的 SNMPv3 使用者。為了維護 VLAN 表格,將會需要為各個 VLAN 特定上下文預先設定寫入權限,且您的使用者將會需要對此上下文的存取。

SNMPv3 認證組態對話方塊

設定下列欄位以建立 SNMPv3 認證:

  • 名稱:輸入認證的專屬名稱。此名稱會顯示在「認證資料庫」中。
  • 說明:(選用)輸入認證的其他相關資訊。這段資訊會顯示在「認證資料庫」中認證的旁邊。
  • 使用者名稱:輸入在目標裝置上運行的 SNMP 代理程式已知,且具備存取權限的使用者名稱。每個 SNMP 封包的身分驗證標頭中,都包含此使用者名稱。SNMP 裝置收到封包時,會利用此使用者名稱尋找設定的身分驗證和加密參數,並將這些參數套用到接收的訊息。
  • 上下文:(選用)如果您想要此功能,且您知道一個在目標裝置上定義的 SNMPv3 上下文名稱,在這裡輸入適用的 SNMPv3 上下文名稱。您在此所輸入的值代表主要上下文。可透過在裝置上定義上下文以限制對 MIB 物件集合的存取。空值(「」,亦稱為預設上下文)表示任何未由明確(已指名的)上下文定義所定義的 MIB 皆可被存取。
    註: 如果您使用上下文來存取 VLAN 特定表格(即 BRIDGE-MIB),請指定一個或多個 VLAN 模式項目。
  • VLAN 模式:(用於比對一個或多個作用中 BRIDGE-MIB 上下文畫面。)

    您可使用此控制項來指定存取 VLAN 特定表格的上下文。在判定一個特定的 VLAN 要使用什麼上下文時,WhatsUp Gold 會嘗試各個模式以為相符的 VLAN 找到第一個允許存取 VLAN 特定資訊的模式。請參閱下面的 VLAN 模式比對語法與範例。

    重要: 預設上下文(「」)或者主要上下文(如有指定的話)必須包含對 VLAN 表的存取,如此 WhatsUp Gold 可知道在嘗試驗證此認證的有效性時(例如從路由表成功讀取內容),要查詢那一個 VLAN。
  • 身分驗證:必要時請選取此 SNMP 認證的身分驗證通訊協定。
    • 通訊協定:選取用於驗證 SNMPv3 封包的演算法。MD5 可建立 128 位元的數位簽章,SHA-1 可建立 160 位元的數位簽章,SHA-256 可建立 256 位元的數位簽章。
    • 密碼:輸入身分驗證密碼。
    • 確認密碼:重新輸入身分驗證密碼以供確認。
  • 加密:若系統支援加密,且已選取 SNMPv3 裝置的身分驗證通訊協定,請選取 SNMP 認證的加密通訊協定。
    • 通訊協定:選取用於加密 SNMPv3 封包的演算法。DES56 使用 56 位元的加密法,AES-128 使用 128 位元的加密法,AES-192 使用 192 位元的加密法,AES-256 使用 256 位元的加密法。此外也可選取三重 DES 加密。
    • 密碼:輸入要用於金鑰的加密複雜密碼。
    • 確認密碼:重新輸入身分驗證密碼以供確認。
註: SNMPv3 密碼限用 64 個字元。

VLAN 模式比對語法與範例

您可以使用以下一個或多個方式來比對一個作用中 VLAN 上下文:

模式前置碼和替代:如果您知道上下文名稱(但不知道 VLAN 名稱/索引)的話會很實用:

範例 1:MyVLanContext-{index}

--其中 {index} 是以一個從一個裝置已知的 VLAN 清單讀取的 VLAN 索引(反覆)替代。

範例 2:VLANContext-{name}

--其中 {name} 是以一個從一個裝置已知的 VLAN 清單讀取的 VLAN 名稱(反覆)替代。

常值 VLAN 名稱/索引和上下文組(沒有替代):如果您有明確的值想要嘗試在上下文和 VLAN 名稱上的話,這個方式會很實用。

語法:<名稱>:<上下文>

範例 3: VLAN0065:bridge1

--其中 VLAN0065 是一個裝置已知的 VLAN,而 bridge1 是一個為了對 VLAN0065 MIB 值進行管制存取而定義的可能上下文。

語法:<號碼>:<上下文>

範例 4:65:bridge1

--其中 65 是一個裝置已知的 VLAN 號碼,而 bridge1 是一個為了對該 VLAN 特定的MIB 值進行管制存取而定義的可能上下文。

(讀取與您的裝置 VLAN 表關聯的 BRIDGE-MIB 物件內容時將會需要上下文。)

提示: 除了 VLAN/BRIDGE-MIB 物件之外,上下文可與 MIB 關聯,但是當與 BRIDGE-MIB 關聯時,兩者之間將形成一對一的關係。

VLAN 模式比對最佳作法

使用模式比對或 VLAN 模式替代時,請務必考慮以下的重要事項:

  • 使用一個簡單好記的前置碼來作為上下文名稱。例如 vlan-10(其中 10 是 VLAN 索引)。
  • 如果您的 VLAN 上下文沒有簡單的模式,您可以指定一個特定的(更直白的)模式來得到完全相同的比對。
  • 您可以在裝置上檢查您的 VLAN 上下文名稱(例如 #show snmp context--從支援的 Cisco 交換器上)。