无法使用net-snmp对企业陷阱进行加密

Question

在这一点上我很困惑。

我使用的是net-snmp版本5.7.3，最近在应用程序中添加了支持，以支持SNMP v3。

SNMP GETS可以完美地与Auth和Priv协议的任何组合一起工作。当我使用Wireshark进行捕获，并且MIB浏览器能够解码时，我可以看到加密的PDU，一切工作正常。

我遇到的问题是SNMP v3陷阱。在我的生命中，我无法让企业陷阱被加密。Wireshark capture以明文清晰地显示了它们。

下面是我的相关配置：

在/etc/snmp/snmpd.conf中，我有：

master agentx
agentaddress udp:161
engineID 43f8513afdd8a1648e63a728be8625
rouser allenmcw priv
trapsess -v 3 -u allenmcw -a SHA -A <authPass>-x AES -X <privPass> <IP address>

在/usr/lib/snmp/snmpd.conf中，我有：

 usmUser 1 3 "43f8513afdd8a1648e63a728be8625" "allenmcw" "allenmcw" NULL .1.3.6.1.6.3.10.1.1.3 0x11c712fff7718594a12d2444a3356405a31b3c9c .1.3.6.1.6.3.10.1.2.4 0x11c712fff7718594a12d2444a3356405 0x
setserialno 746862596
##############################################################
#
# snmpNotifyFilterTable persistent data
#
##############################################################


    engineBoots 42
    oldEngineID "43f8513afdd8a1648e63a728be8625"

对于trapsess，我尝试了以下变体，因为我的理解是密码短语等应该用usmUser条目来拾取。

trapsess -v 3 -u allenmcw -l authPriv

请注意，最后一个选项导致根本不会出现陷阱！根据我所做的所有研究，-l选项应该是有效的，但它对我不起作用。

应该注意的是，net-snmp本身发出的冷启动陷阱正在加密，但没有企业级陷阱。

我承认，在这一点上，我有点迷失了问题可能是什么。

感谢您的指导。

艾伦

Answer 1

有解决方案。我怀疑这是因为在我们的环境中，我们运行一个单独的陷阱守护进程来发送所有企业陷阱。

以下命令将允许陷阱守护程序使用来自/usr/lib/snmp/snmp/snmpd.conf的密码的散列版本，而不是在/etc/snmp/snmpd.conf中使用明文密码

下面是修正后的trapsess行：

trapsess -v 3 -u allenmcw -3m 0x9d833d009db321cec1d2f1ed737bf11aff770fa1 -3M 0x9d833d009db321cec1d2f1ed737bf11a <IP address>

这些散列值是从引用的其他snmpd.conf中提取的。