如何解决 PySNMP 自定义 Agent 在端口 1161 上响应超时问题

pysnmp 自定义 snmp agent 启动后无法响应 `snmpget` 等请求，根本原因是未配置 vacm（view-based access control model）访问控制策略，导致即使请求到达、oid 匹配成功，也因权限拒绝而静默丢弃——需显式调用 `config.addvacmuser` 授权 oid 访问。

在使用 PySNMP 构建自定义 SNMP Agent 时，仅注册 CommunityData 和 GetCommandResponder 并不足以启用实际的 SNMP 查询响应。PySNMP 默认启用严格的基于视图的访问控制（VACM），若未显式配置哪些 OID 范围允许被哪些团体名（community）读取，所有入站 GET/GETNEXT 请求将被静默拒绝——这正是你看到 Timeout: No Response 的根本原因（而非网络不通或端口未监听）。

你的代理代码中已正确：

• 绑定 udp 传输到 127.0.0.1:1161；
• 注册了 CommunityData(‘public’, mpModel=1)（SNMPv2c）；
• 实现了 process_snmp_request 处理逻辑并能打印日志（可验证请求已抵达）；
• tcpdump 显示请求包确实发出并到达本机（UDP 长度 43 字节匹配 SNMPv2c GET PDU）。

但缺失关键一步：为 ‘public’ 团体授予对自定义 OID 树（如 1.3.6.1.4.1.9999）的读取权限。

✅ 正确修复：添加 VACM 访问策略

在 create_snmp_agent() 函数中、config.addTransport(…) 之后、snmpEngine.transportDispatcher.runDispatcher() 之前，插入以下 VACM 配置：

# --- 添加 VACM 访问控制策略（关键修复！）--- # 1. 创建一个名为 'myView' 的 MIB 视图，覆盖整个自定义 OID 子树 config.addVacmUser(     snmpEngine,      2,                          # authProtocol: SNMPv2c (2)     'public',                   # communityName     'noAuthNoPriv',             # securityModel     [OID('1.3.6.1.4.1.9999')], # contextMatch: 可选，通常省略     'myView',                   # viewName     'exact'                     # viewType: 'exact' or 'prefix' )  # 2. 定义 'myView' 视图，包含 OID 范围 1.3.6.1.4.1.9999.*（即全部自定义 MIB） config.addMibView(     snmpEngine,     'myView',     OID('1.3.6.1.4.1.9999'),   # included subtree     OID('1.3.6.1.4.1.9999.999999999')  # excluded subtree (optional, here unused) )  # 3. 授予 'public' 用户对该视图的 read/write/notify 权限（此处只需 read） config.setaccess(     snmpEngine,     'myGroup',                  # groupName（任意唯一名）     '',                         # contextPrefix（空表示 default context）     2,                          # securityModel（2 = SNMPv2c）     'noAuthNoPriv',             # securityLevel     'exact',                    # match（'exact' for context name match）     'myView',                   # readView     'none',                     # writeView（无需写操作）     'none'                      # notifyView（无需通知） )  # 4. 将用户 'public' 加入组 'myGroup' config.addGroup(snmpEngine, 'myGroup', 2, 'noAuthNoPriv', 'public')

? 说明：OID(…) 是 pysnmp.smi.rfc1902.OID 类型，需提前导入： from pysnmp.smi.rfc1902 import OID

? 补充建议与注意事项

• 端口与防火墙：确认 1161 未被系统防火墙（如 ufw、firewalld 或 macOS 防火墙）拦截；本地回环（127.0.0.1）通常无需额外放行，但可临时禁用防火墙验证。
• MIB 编译与加载（可选增强）：虽然 snmpget 直接用数字 OID 可工作，但为支持符号化查询（如 snmpget … MY-MIB::memoryUtil），需将编译后的 my-mib.py 放入 PySNMP MIB 搜索路径，并在客户端启用 MIB 解析（-m +MY-MIB）。
• 调试技巧：启用 PySNMP 内部日志快速定位 VACM 拒绝：

  from pysnmp import debug debug.setLogger(debug.Debug('all'))  # 或 'acl' 查看访问控制日志

  若日志中出现 VACM: access denied，即确认是权限问题。

• SNMPv3 建议（生产环境）：SNMPv2c 使用明文团体名不安全。生产部署应升级至 SNMPv3，配合 UsmUserData 和加密配置。

完成上述 VACM 配置后重启 Agent，再次执行测试命令即可成功响应：

snmpget -v2c -c public 127.0.0.1:1161 1.3.6.1.4.1.9999.1 # 输出示例：SNMPv2-SMI::enterprises.9999.1 = INTEGER: 65  snmpwalk -v2c -c public 127.0.0.1:1161 1.3.6.1.4.1.9999 # 将返回 memoryUtil, cpuUtil, diskUtil 三个 OID 的值

✅ 总结：PySNMP Agent 的“超时”常是 VACM 静默拦截所致。牢记——注册 Community ≠ 授予访问权；务必通过 addVacmUser + addMibView + setAccess 三步完成最小必要授权，这是构建可靠自定义 SNMP Agent 的必备实践。