pysnmp 自定义 snmp agent 启动后无法响应 `snmpget` 等 net-snmp 工具请求,根本原因是未配置 vacm(view-based access control model)权限,导致即使请求到达、oid 被识别,也因访问控制拒绝而静默丢弃。本文提供完整修复方案与可运行示例。
在使用 PySNMP 构建自定义 SNMP Agent 时,仅注册 CommunityData 和 SnmpContext 是不够的。PySNMP 默认启用基于视图的访问控制(VA
CM),若未显式授予社区字符串(如 public)对指定 OID 子树的读取权限,所有 SNMP GET/GETNEXT/GETBULK 请求将被静默拒绝——这正是你看到 Timeout: No Response 的真实原因(而非网络不通或端口未监听)。tcpdump 显示请求已发出并抵达本机,但 Agent 未返回任何响应,印证了该问题属于应用层访问控制拦截,而非传输层故障。
✅ 正确配置 VACM 权限(关键修复)
你需要通过 config.addVacmUser() 显式声明:
- 使用的 SNMP 版本(v2c 对应 mpModel=1);
- 社区名(public);
- 安全名(通常与社区名一致);
- 访问策略:authNoPriv(v2c 不加密);
- 视图名(如 'all');
- 读/写/通知权限(此处只需 'r');
- 允许访问的 OID 范围(建议从 1.3.6.1.4.1.9999 开始,覆盖你的私有 MIB 根节点)。
同时,需调用 config.addView() 定义该视图所包含的 OID 子树(支持子树匹配)。
以下是修复后的 create_snmp_agent() 函数核心片段(替换原代码中对应部分):
def create_snmp_agent():
"""An SNMP agent listening for GET requests with proper VACM access control."""
def process_snmp_request(snmpEngine, stateReference, contextEngineId, contextName, varBinds, cbCtx):
oid, = [x[0] for x in varBinds]
oid_str = str(oid)
print("Received request for OID:", oid_str)
if oid_str.startswith(CPU_OID):
value = get_cpu_usage()
elif oid_str.startswith(MEMORY_OID):
value = get_memory_usage()
elif oid_str.startswith(DISK_OID):
value = get_disk_usage()
else:
value = 0
varBinds = create_variable_binds(oid, value)
cmdrsp.sendVarBinds(snmpEngine, stateReference, contextEngineId, contextName, varBinds, cbCtx)
# 1. Register GET responder with community data
cmdrsp.GetCommandResponder(snmpEngine, CommunityData('public', mpModel=1))
# 2. Create SNMP context
snmpContext = context.SnmpContext(snmpEngine)
snmpContext.registerContextName(v2c.OctetString('public'), process_snmp_request)
# ✅ 3. CRITICAL: Configure VACM access control (NEW)
# Define a view named 'all' covering your entire private MIB subtree
config.addView(snmpEngine, 'all', 'included', (1, 3, 6, 1, 4, 1, 9999), -1)
# Grant read access to community 'public' using view 'all'
config.addVacmUser(
snmpEngine,
1, # SNMPv2c security model
'public', # Security name (matches community)
'authNoPriv', # Security level
'all', # Read view name
'all', # Write view name (optional, omit if read-only)
'all' # Notify view name (optional)
)
# 4. Configure transport
config.addTransport(
snmpEngine,
udp.domainName,
udp.UdpTransport().openServerMode(('127.0.0.1', 1161))
)
print("SNMP Agent is running on 127.0.0.1:1161...")
snmpEngine.transportDispatcher.jobStarted(1)
try:
snmpEngine.transportDispatcher.runDispatcher()
except KeyboardInterrupt:
print("\nShutting down...")
finally:
snmpEngine.transportDispatcher.closeDispatcher()? 验证与调试建议
确认端口监听:运行 ss -tuln | grep :1161 或 lsof -i :1161,确保 Python 进程确实在 127.0.0.1:1161 监听。
禁用防火墙:临时关闭 ufw/firewalld 或 macOS 防火墙,排除干扰。
启用 PySNMP 日志:在脚本开头添加 debug.setLogger(debug.Debug('all')),查看详细处理流程(如是否进入 process_snmp_request)。
-
Net-SNMP 测试命令(推荐):
# 基础 GET(使用标准 MIB OID 写法) snmpget -v2c -c public 127.0.0.1:1161 1.3.6.1.4.1.9999.1 # 或使用 MIB 名称(需加载 MY-MIB) snmpget -v2c -c public -m +MY-MIB -M ./ 127.0.0.1:1161 MY-MIB::memoryUtil
⚠️ 注意事项
- config.addView() 的第三个参数 'included' 表示包含该子树;第四个参数 -1 表示无限深度(即 1.3.6.1.4.1.9999.* 全部匹配)。
- 若未来扩展为 SNMPv3,需调整 mpModel(v3 为 3)和 securityLevel(如 'authPriv'),并配置用户凭证。
- CommunityData 中的 mpModel=1 必须与 addVacmUser 的第一个参数一致,否则权限不生效。
- 生产环境请避免使用 public 社区名,并考虑启用 TLS 或 SNMPv3 加密。
完成上述修改后重启 Agent,snmpget 将立即返回有效值(如 MY-MIB::memoryUtil = INTEGER: 65),超时问题彻底解决。VACM 是 PySNMP 安全模型的核心组件,正确配置是构建可靠 Agent 的必要前提。
