通过抓包实验学习SNMP-trap 大家都知道, SNMP(简单网络管理协议)的两种管理模式: Polling(轮询)和Trap(自陷),其中Trap 这种我们称之为“主动被管理方式”是 SNMP 协议的核心和该协议智能化的具体体现。如何更好的理解 Trap 的操作模式呢?下面我们通过抓包实验来认识一下 Trap,并且直观的结合理论分析一下 Trap 数据包的结构。 实验拓扑: 实验说明: 图中R1 和R2 分别是模拟器模拟的两台 Cisco7200 路由器(C7200 可以支持SNMP v1 和v2c),XPC 可以是虚拟机或本地主机,不需要安装任何 SNMP 管理软件。 我们在 R2 上配置 SNMP-trap 命令, trap 发送类型为linkup 和linkdow n,发送目的地为XPC,然后在 R2 对 E1/0 端口进行起停,同时在 XPC 进行抓包分析。注:该拓扑可以适当简化,比如直接从 R1 向 XPC 发送 trap 也可。 实验过程: 1. 首先按照拓扑创建实验环境,并且配置相应的端口和IP 地址等等,注意要在R2 设置静态路由指向R1(过程略)。 2. 测试一下 XPC 和R2 之间的连通性,如下: 3. 在R2 配置SNMP 代理相关命令,本例中仅为两条,格式如下: (config)#snmp-server host【管理服务器IP】version【1 或v2c】【Community】 指明trap 发送的目的地址以及使用的SNMP 版本号,Community是管理口令, 默认是public。 (config)#snmp-server enable traps snmp linkup linkdown 启用SNMP 代理功能,指明当端口状态发生起停时向管理服务器发送trap 4. 我们在虚拟机XPC 中打开抓包软件,同时在R2 上将E1/0 端口shutdow n,看看会抓到什么? 居然有4 个,我们先分析一下整个SNMP-trap 的处理过程。从第 2 到第 5 个包: 2. SNMP Trap: 由于在R2 上发生了 linkdow n, 于是 R2 向 XPC 发送了 trap 通告; 3. ARP Request: 服务器做回应前, 由于还不知道网关 202.100.1.250 的MAC 地 址, 因此发送了 ARP 广播 (顺便复习一下那天广宇老师讲的ARP 哈); 4. ARP Response: 得到了网关的MAC 地址; 5. ICMP Port unreachable: 由于服务器上并未安装 SNMP 管理软件, UDP162 端 口显然没有被打开, 所以 XPC 对 Trap 包的处理结果是丢弃并且向 R2 返回了 一个ICMP 端口不可达的差错报文。 接下来再把 R2 的E1/0 端口no shutdow n, 于是又抓到了 linkup 的trap 包。 下面来看一下数据包的封装过程,...
