SNMPv3

SNMPv3 凭证（设置菜单 > 库> 凭据 [SNMP v3]）存储用 WhatsUp Gold 监控启用 SNMPv3 的设备所需的信息。

适当的凭据允许您利用基于 SNMP 的监控器（WhatsUp Gold 主动监控器，如 SNMP Extended、性能监控器等）来管理和监控由 SNMPv3 基于视图的访问控制管理的目标设备。

将 SNMPv3 凭据添加到凭据库中后，您可以…

将其添加到 WhatsUp Gold 应作为发现扫描的一部分尝试的凭据列表。
通过“设备属性”将其直接关联到“我的网络”中的“WhatsUp Gold 管理的设备”。
使用 VLAN 模式匹配来定义它，以从 VLAN 表中查询详细信息，而无需特定的上下文名称或其他代理或协议（如 CDP/LLDP）。

入门教学

在使用 SNMPv3 从 WhatsUp Gold 进行监控之前，请确保目标设备…

（在物理设备上）配置为使用 SNMPv3。设备需要运行 SNMPv3 代理以及默认或自定义的 SNMP 引擎 ID。
定义 SNMPv3 用户（在物理设备上），可以访问相应的 SNMPv3 组和视图。
具有唯一每 VLAN 上下文，且与设备上为支持 VLAN 特定上下文的设备定义的任何 VLAN 关联。（更多相关内容，见本主题后面。）
在 WhatsUp Gold 中与相应的 SNMPv3 凭据相关联。在“我的网络”中选择设备时，设备卡将显示此关联。

Tip: 对于支持读取每一个带有特定 VLAN 上下文的 VLAN的 BRIDGE-MIB 的设备，正确配置这些设备和 WUG 将减少启用 CDP/LLDP 获取足够信息来计算设备连接的必要性。如需更多信息，请参考 VLAN 模式控制和本话题下文的示例。

与 SNMPv2 的差异

与 SNMPv2 不同，SNMPv3 采用基于视图的访问控制模型（VACM）。这意味着 WhatsUp Gold SNMPv3 监控器要求受管设备上有授权用户和特权用户。您在 SNMPv3 凭据对话框中指定的 SNMPv3 用户（用户名）表示已在设备上拥有或需要权限、以根据您的站点要求访问特定 MIB 资源的用户。

使用用户身份验证（身份验证协议）和有效负载加密（加密协议）来管理 MIB 对象是可选做法，但也是最佳做法。通过在目标设备上利用 SNMPv3 授权服务和限定范围的资源访问（在某种形式的 MIB 对象视图中），这些功能组合在一起可提供 SNMPv3 的全部功能。

Note: 所有对设备的 MIB （即包含用于计算连接的转发信息的 BRIDGE-MIB）中特定 VLAN 信息的访问都需要 SNMPv3 用户或群组访问为每一个 VLAN 配置的唯一上下文。SNMPv3 上下文提供对对象集合的访问，它们是在目标设备上轮询 VLAN 信息所必需的。（相比之下，SNMPv1/2 使用社区名称索引（SNMPv3 不可使用）访问特定的 VLAN 信息。）

Tip: 仅对于监控而言，最佳做法是在目标 MIB 对象上具有读取和通知许可的 WhatsUp Gold 凭据中利用 SNMPv3 用户。对于维护 VLAN 表，需要为与每个 VLAN 特定上下文配置写入权限，并且您的用户需要能够访问此上下文。

SNMPv3 凭据配置对话框

配置下列字段来创建 SNMPv3 凭据：

名称。输入认证的专用名称。此名称会显示在“凭据库”中。
描述。（可选）输入凭据的其他相关信息。这段信息会显示在“凭据库”中该凭据的旁边。
用户名。输入目标设备上运行的 SNMP 代理已知访问权限的用户名。每个 SNMP 数据包的身份验证标头中，都包含此用户名。SNMP 设备收到数据包时，使用此用户名来寻找已配置的身份验证和加密参数，并将这些参数应用到接收的消息。
上下文。（可选）如果需要此功能，并且知道目标设备上定义的 SNMPv3 上下文名称，请在此处输入相应的 SNMPv3 上下文名称。您在此处输入的值表示主要上下文。可以在设备上定义上下文以限制对 MIB 对象集合的访问。空值（“”）（也称为“默认上下文”）表示未由显式（命名）上下文定义定义的任何 MIB 均可访问。
Note: 如果使用访问特定 VLAN 表（即 BRIDGE-MIB）的上下文，请指定一个或多个 VLAN 模式条目。
VLAN 模式。（用于匹配一个或多个活动的 BRIDGE-MIB 上下文视图。）

该控制使您能够指定访问特定 VLAN 表格的上下文。决定特定 VLAN 使用的上下文时，WhatsUp Gold 按顺序尝试每种模式，以发现第一个允许访问匹配 VLAN 的 VLAN 特定信息。请参阅下面的 VLAN 模式匹配语法和范例。

Important: 默认上下文（“”）或主上下文（如指定）必须包括对 VLAN 表的访问权，以便 WhatsUp Gold 在尝试验证此凭据的有效性时要知道查询的 VLAN（例如成功读取来自路由表的内容）。

身份验证。必要时，请选择此 SNMP 凭据的身份验证协议。
- 通讯协议：选择用于验证 SNMPv3 数据包的算法。MD5 创建 128 位的数字签名，SHA-1 创建 160 位的数字签名，并且 SHA-256 创建 256 位数字签名。
- 密码。输入身份验证密码。
- 确认密码。重新输入身份验证密码以供确认。
加密。若系统支持加密，且为 SNMPv3 设备选择了身份验证协议，请选择 SNMP 凭据的加密协议。
- 通讯协议：选择用于验证 SNMPv3 数据包的算法。DES56 使用 56 位加密方案，AES-128 使用 128 位的加密方案，AES-192 使用 192 位加密方案，AES-256 使用 256 位加密方案。也可以选择三重 DES 加密。
- 密码。输入用于密钥的加密密码。
- 确认密码。重新输入身份验证密码以供确认。

Note: SNMPv3 密码最多 64 个字符。

VLAN 模式匹配语法和范例

您可以使用以下一种或多种方法匹配活跃 VLAN 上下文：

模式前缀和替换。如果您知道上下文名称（但不知道 VLAN 名称/索引），则很有用：

例 1：MyVLanContext-{index}

- {index}使用从设备已知的 VLAN 列表中读取的VLAN 索引（迭代）替换。

例 2：VLANContext-{name}

- {name}使用从设备已知的 VLAN 列表中读取的VLAN 名称（迭代）替换。

文字 VLAN 名称/索引和上下文对（无替换）。如果您拥有要为上下文和 VLAN 名称尝试的显式值，则非常有用。

Syntax: <name>:<context>

例 3： VLAN0065:bridge1

— 其中 VLAN0065 是设备已知的 VLAN，bridge1 是为门控访问 VLAN0065 MIB 值而定义的可能上下文。

Syntax: <number>:<context>

例 4：65:bridge1

— 其中 65 是设备已知的 VLAN 编号， bridge1 是为门控访问特定于 VLAN 的 MIB 值而定义的可能上下文。

（读取与设备 VLAN 表关联的 BRIDGE-MIB 对象的内容需要上下文。）

Tip: 上下文可以与 VLAN/BRIDGE-MIB 对象之外的 MIB 相关联，但是当与 BRIDGE-MIB 相关联时，它们具有一对一的关系。

VLAN 模式匹配最佳做法

使用模式匹配或替换 VLAN 模式时，需要考虑以下重要事项：

使用易于记忆的上下文名称前缀。例如 vlan-10（其中 10 是 VLAN 索引）。
如果您的 VLAN 上下文没有简单的模式，您可以指定特定（更多文字）模式以实现完全匹配。
您可以在设备上勾选 VLAN 上下文名称（例如，#显示 snmp 上下文——来自支持的 Cisco 交换机）。