避免网络中私架DHCP服务器，用dhcp snooping可以吗

开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例：
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能，万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下，交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样，防止非法的DHCP服务器进入网络，只是h3c交换机不同型号支持的方法不同。

1、防火墙分2种: 系统自带防火墙，和你安装的防火墙。第一的种关闭方法是:右键我的，电脑，点控制版面，选择安全中心，选择防火墙，选择关闭。第二种关闭方法是关闭防火墙进程，或者直接右下角防火墙图标点关闭, 如果你不希望它在电脑启动时候自动运行你可以在启动项里把它关闭，开始，运行，msconfig，选择防火墙程序把前面的勾去点就可以了。
2、防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
中兴服务器取消trap心跳
前阵子给几台中兴服务器配置了snmptrap到zabbix服务器上，今天早上一看，zabbix上最新数据不是今天的了。
检查了zabbix服务器的性能，结果发现是磁盘空间占满了，数据库有做过优化，不会占满磁盘，最近做过的 *** 作就只有配置snmptrap了。
接下来ll –h了下/tmp目录下的zabbix_trapstmp文件，用了几十个G。
再tail –i 100 /tmp/zabbix_trapstmp，查看了下结果发现是中兴服务惹的祸，在配置了snmptrap之后，每15秒服务器会向zabbix发送心跳检测的trap消息，下附验证结果图。
咨询了中兴技术支持后问题解决，给大家分享下怎么取消掉这个心跳。
首先ssh服务器的管理口，进入ushell命令行界面，这里需要登录ushell的账号密码（通过技术支持得知）
进入ushell界面后，show一下，再sh 7，也就是下图所示的OAM：
最后在执行命令：g_SendHeartBeatflag = 0，即可取消trap心跳发

Windows上开启SNMP代理程序以及进行安全配置的 *** 作比较简单，这里以Windows Server 2003为例，对于其它Windows服务器产品，方法类似。
第一步：确认当前的Windows组件中是否已经安装了SNMP协议 点击控制面板的“添加或删除Windows组件”，在“管理和监测工具”中查看详情，可看到“简单网络管理协议（SNMP）”。 如果没有安装，则需要对其进行安装，期间需要定位Windows安装盘中的i386文件夹。下载。

第二步：配置SNMP Service

打开 “管理工具”找到“服务”中的SNMP Service，双击它进行配置。 注意：安装SNMP协议后，SNMP Service会默认启动；SNMP Trap Service是不需要开启的，如果它已被开启，请关闭它。

在SNMP Service的配置窗口中，你只需要切换到“安全”选项卡，按照以下的图示进行填写。 团体名字是SNMP v2c版本中的密码字符串。下图中的“qycn”只是一个例子，可以填写其它的字符串，随后在小蜜蜂监测后台添加服务器时，选择2c协议，同时在Community输入框中填写这个团体名称即可。 授权主机:选择“接受来自这些主机的SNMP数据包”，然后添加“22154727 、1259088155”这2个IP，这是小蜜蜂监测的专用监测点，除此之外其它服务器无法获取你的服务器监测信息，安全有保障！
一切配置好后，保证SNMP Service已经开启，如果以后重启了服务器，也请检查是否开启了SNMP Service；保证服务器已经打开了SNMP Service的端口，默认为UDP 161。 如果你启用了系统防火墙，那么请添加这个例外端口，打开本地连接->属性->高级->防火墙->例外，

测试的话，你可以用snmpwalk命令，找一台可以连接到这台交换机的服务器，运行一下snmpwalk，随便采集点什么，有反馈就是对的。
snmpwalk -v 2c -c public 10103331，应该是这样写的，要是语法有错误，自己修改一下
其中-v是指版本,-c 是指密钥
至于OID的话，这个是没办法获取的。OID是由设备生产厂商自行定义的，就拿华为的交换机来说，不同的型号之间OID都是不一样的。这个你只有联系华为，让原厂提供对应型号的OID给你，一般都可以要到。

SNMP是简单网络管理协议，是用来管理、监控网络设备的。
简单理解就是：在服务器开启该功能后，你就可以在客户端这边远程监控或管理服务器各种状态，比如硬件使用情况、网络流量情况等。
SNMP有两种方式获取服务器的信息
1，轮询：就是或我客户端每隔一段时间就查询一下服务器状态。
2，Trap：当服务器出现特殊情况时会主动发送状态信息到客户端，从而起到通知告警的目的。
在Windows10系统中，有些汉化翻译比较生硬，这里的SNMP Trap直接就给翻译成了“SNMP陷阱”。这个服务是Windows10系统自带的，默认手动未开启，如果没有这方面的需求，不必管它就好了。

安装snmp服务
CentOS/RedHat下可以只用yum命令进行安装。
$ yum –y install net-snmp net-snmp-devel
若要使用snmpwalk进行安装检测，则还需要安装net-snmp-utils包
$ yum –y install net-snmp-utils
Ubuntu可以通过apt-get install snmp snmpd 进行安装
设置安全的验证方式
将SNMP代理程序暴露给网络上的所有主机是很危险的，为了防止其它主机访问您的SNMP代理程序，我们需要在SNMP代理程序上加入身份验证机制。SNMP支持不同的验证机制，这取决于不同的SNMP协议版本，云监控目前支持v2c和v3两个版本，其中v2c版本的验证机制比较简单，它基于明文密码和授权IP来进行身份验证，而v3版本则通过用户名和密码的加密传输来实现身份验证，我们建议使用v3，当然，只要按照以下的介绍进行配置，不论是v2c版本还是v3版本，都可以保证一定的安全性，您可以根据情况来选择。
注意一点，SNMP协议版本和SNMP代理程序版本是两回事，刚才说的v2c和v3是指SNMP协议的版本，而Net-SNMP是用来实现SNMP协议的程序套件，目前它的最新版本是刚才提到的5421。
v2c
先来看如何配置v2c版本的SNMP代理，我们来创建snmpd的配置文件，默认情况下它是不存在的，我们来创建它，如下：
sdo:~ # vi /usr/local/snmp/share/snmp/snmpdconf
然后我们需要创建一个只读帐号，也就是read-only community，在snmpdconf中添加以下内容：
rocommunity sdomonitor 114801329 rocommunity sdomonitor 5821516926 rocommunity sdomonitor 5821516927
如果想要检测服务是否成功开启，则还需要在snmpdconf中添加：
rocommunity sdomonitor 127001
注意，这里的"rocommunity"表示这是一个只读的访问权限，云监控只可以从您的服务器上获取信息，而不能对服务器进行任何设置。
紧接着的"sdomonitor"相当于密码，很多平台喜欢使用"public"这个默认字符串。这里的"sdomonitor"只是一个例子，您可以设置其它字符串作为密码。
最右边的"6019524983"代表指定的监控点IP，这个IP地址是云监控专用的监控点，这意味着只有云监控有权限来访问您的SNMP代理程序。
所以，以上这段配置中，只有"sdomonitor"是需要您进行修改的，同时在云监控上添加服务器的时候，需要提供这个字符串。
v3
当然，我们建议您使用v3版本来进行身份验证。对于一些早期版本的Linux分发版，其内置的SNMP代理程序可能并不支持v3，所以我们建议您按照前边介绍的方法，编译和安装最新的Net-Snmp。
v3支持另一种验证方式，需要创建一个v3的帐号，我们同样修改以下配置文件：
sdo:~ # vi /usr/local/snmp/share/snmp/snmpdconf
然后添加一个只读帐号，如下：
rouser sdomonitor auth
可以看到，在v3中，"rouser"用于表示只读帐号类型，随后的"sdomonitor"是指定的用户名，后边的"auth"指明需要验证。
接下来，我们还要添加"sdomonitor"这个用户，这就是v3中的特殊机制，我们打开以下配置文件：
sdo:~ # vi /var/net-snmp/snmpdconf
这个文件会在snmpd启动的时候被自动调用，我们需要在它里边添加创建用户的指令，如下：
createUser sdomonitor MD5 mypassword
这行配置的意思是创建一个名为"sdomonitor"的用户，密码为"mypassword"，并且用MD5进行加密传输。这里要提醒的是：
密码至少要有8个字节
这是SNMP协议的规定，如果小于8个字节，通信将无法进行。
值得注意的是，一旦snmpd启动后，出于安全考虑，以上这行配置会被snmpd自动删除，当然，snmpd会将这些配置以密文的形式记录在其它文件中，重新启动snmpd是不需要再次添加这些配置的，除非您希望创建新的用户。
以上配置中的用户名、密码和加密方式，在云监控添加服务器的时候需要添加。

启动snmp服务
$ service snmpd start
用以下命令检查服务是否启动成功
$ snmpwalk -v 2c -c sdomonitor 127001 system
如果要关闭，则可以直接kill这个进程，如下：
$ killall -9 snmpd 或者$ service snmpd stop

是默认开启的，

网络故障第一时间是客户报障，不能全局发现问题，面向企业园区网络，还一款面向运营商的

SNMP架构：分为NMS和Agent两部分（agent读取内部MIB库）

国际标准定义：MIB2、RMON标准库

agent它是一个进程，主要负责信息采集读取、执行 *** 作，通知，帮助管理站获取信息



一、功能原理



二、工作原理



SNMP的结构包括：NMS网络管理站点、SNMP代理

SNMP规定了NMS和Agent之间如何传递管理信息的应用层协议

Agent只是进程，作用：执行 *** 作、通知



三、消息、版本

V1：三大 *** 作：Read、Write、Trap，Trap唯一是被管设备主动发起的

V2C：批量取数据，

V3：增加了身份验证和加密处理，增强网管安全设置，传输加密，权限控制



SNMP实际上是一个特殊的「要求/响应」协议，可支持两种要求讯息：



get及put,前者是用来从某些节点取出状态信息，而后者则是用来在某些节点上储存一份新的状态信息



通过NMS来更改设备上的配置，查询设备信息，发送的数据包为Get，更改设备的配置为Set（MIB相当于索引）



华为的SNMP的配置步骤



SNMP基本配置流程：

1、配置设备与NMS系统间通信正常（保证路由可达）

2、开启设备SNMP agent功能（缺少为开启）

3、配置snmp协议版本

4、配置设备snmp读写团体名

5、配置设备发送trap报文的参数信息

6、配置设备发送告警和错误码的目的主机

7、配置设备管理员的的位置

支持。
SNMP：“简单网络管理协议”，用于网络管理的协议。SNMP用于网络设备的管理。
SNMP的工作方式：管理员需要向设备获取数据，所以SNMP提供了“读” *** 作，管理员需要向设备执行设置 *** 作，所以SNMP提供了“写” *** 作，设备需要在重要状况改变的时候，向管理员通报事件的发生，所以SNMP提供了“Trap” *** 作。

---