SNMP proxy to Sub-Agent on LINUX server 實作

上次的 snmp 測試中,測試匯入了 RADIUS 相關的幾個 MIB 檔,並用 snmptranslate 確認過 snmpd 已經可以認得我們所新匯入的 OBJECT-TYPE 與 OID了;但是,如果使用 snmpwalk 去查詢相關 OID 的值時,卻會出現查詢不到的窘境。

那麼對於一個系統不認得的 OID 要怎麼辦呢?我們來示範一下用 proxy 的選項達到這個結果。今天的範例是,在原本的 AAA Server 上,除了原本系統的 snmpd 以外,另外啟動一個 AAA 的 snmp Agent,假設這個新的 Agent 所 Listening 的 port 為 1461,那麼,目前系統上就應該有在 listening 下面的這些 ports:
[root@KHXAAAS2 ~]# netstat -an |grep 161
udp 0 0 0.0.0.0:161 0.0.0.0:*
[root@KHXAAAS2 ~]# netstat -an |grep 162
udp 0 0 0.0.0.0:162 0.0.0.0:*
unix 2 [ ACC ] STREAM LISTENING 21620 /tmp/.font-unix/fs7100

[root@KHXAAAS2 ~]# netstat -an |grep 1461
udp 0 0 :::1461 :::*
其中 0 0.0.0.0:161 是系統 snmpd 所使用的,而 0 :::1461 是新 AAA Agent 所使用。

這裡我們先列一下關於 porxy 這個 option 的用法:
proxy [-Cn CONTEXTNAME] [SNMPCMD ARGS] HOST OID [REMOTEOID]
This token specifies that any incoming requests under OID should be proxied on to another HOST instead. If a CONTEXTNAME is specified, it assigns the proxied tree to a particular context name within the local agent. This is the proper way to query multiple agents through a single proxy. Assign each remote agent to a different context name. Then you can use "snmpwalk -n contextname1" to walk one remote proxied agent and "snmpwalk -n contextname2" to walk another, assuming you are using SNMPv3 to talk to the proxy (snmpv1 and snmpv2c context mappings aren't currently supported but might be in the future). Optionally, relocate the local OID tree to the new location at the REMOTEOID. To authenticate to HOST you should use the appropriate set of SNMPCMD ARGS. See the snmpcmd(1) manual page for details.
接下來我們編輯一下 snmp 的設定檔,將下面這一行加到檔案的最後就可以:(這一行便是要將 OID 為 1.3.6.1.2.1.67 以下的轉給 localhost:1461 也就是 AAA Agent 來處理啦 )
[root@KHXAAAS2 ~]# vi /etc/snmp/snmpd.conf
#前面這些設定就省略不列出來了...
proxy -v 2c -c public localhost:1461 .1.3.6.1.2.1.67
~
~
"/etc/snmp/snmpd.conf" 481L, 19481C written
存檔離開,再重啟 snmpd 之前我們先觀察一下目前 snmpwalk 的結果:
首先這是經由 snmpd:161 查詢 SNMPv2-MIB::sysDescr.0 的結果:
[root@KHXAAAS2 ~]# snmpwalk -v 2c -c public localhost .1.3.6.1.2.1.1.1
SNMPv2-MIB::sysDescr.0 = STRING: Linux KHXAAAS2 2.6.9-67.ELsmp #1 SMP Wed Nov 7 13:58:04 EST 2007 i686
接著這是經由 snmpd:161 查詢 RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 的結果:
[root@KHXAAAS2 ~]# snmpwalk -v 2c -c public localhost .1.3.6.1.2.1.67.1.1.1.1.1.0
RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 = No Such Object available on this agent at this OID
很明顯的目前透過 snmpd 的 161 port 是查詢不到 RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 的內容的;
接下來我們再試一下經由 AAA Agent:1461 查詢 RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 的結果:
[root@KHXAAAS2 ~]# snmpwalk -v 2c -c public localhost:1461 .1.3.6.1.2.1.67.1.1.1.1.1.0
RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 = STRING: Alcatel-Lucent 8950 AAA PolicyServer, Version 6.0.1
所以目前的狀況就是,分開以 port 161 和 1461 只可以分別查詢到不同 OID 的值;

接著我們重啟一下 snmpd 服務,讓剛剛的 proxy 設定讀進去:
[root@KHXAAAS2 ~]# service snmpd restart
Stopping snmpd: [ OK ]
Starting snmpd: [ OK ]
好了,讓我們再試一次吧:
[root@KHXAAAS2 ~]# snmpwalk -v 2c -c public localhost .1.3.6.1.2.1.67.1.1.1.1.1.0
RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 = STRING: Alcatel-Lucent 8950 AAA PolicyServer, Version 6.0.1
[root@KHXAAAS2 ~]# snmpwalk -v 2c -c public localhost:1461 .1.3.6.1.2.1.67.1.1.1.1.1.0
RADIUS-AUTH-SERVER-MIB::radiusAuthServIdent.0 = STRING: Alcatel-Lucent 8950 AAA PolicyServer, Version 6.0.1
很明顯的,在加上這一行之後,直接查詢 snmpd:161 已經可以看到跟查詢 AAA Agent:1461 相同的結果囉~

這裡有兩篇 snmpd 相關 command 的詳細使用說明可以參考喔:
http://pwet.fr/man/linux/formats/snmp/snmpd_conf
http://pwet.fr/man/linux/commandes/snmpcmd
0 Responses