- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-SNMP配置
本章节下载 (213.78 KB)
SNMP(Simple Network Management Protocol,简单网络管理协议)是使用TCP/IP协议族对互联网上的设备进行管理的一个框架,它提供一组基本的操作来监视和维护互联网。SNMP具有以下优势:
l 自动化网络管理。网络管理员可以利用SNMP平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。
l 屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。
SNMP网络元素分为NMS和Agent两种。
l NMS(Network Management Station,网络管理站)是运行SNMP客户端程序的工作站,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。目前常用的网管平台有Quidview、Sun NetManager和IBM NetView。
l Agent是驻留在设备上的一个进程,负责接受、处理来自NMS的请求报文。在一些紧急情况下,如接口状态发生改变等,Agent也会通知NMS。
NMS是SNMP网络的管理者,Agent是SNMP网络的被管理者。NMS和Agent之间通过SNMP协议来交互管理信息。
SNMP提供四种基本操作:
l Get操作:NMS使用该操作查询Agent的某个变量的值。
l Set操作:NMS使用该操作重新设置在Agent数据库(MIB,Management Information Base)中的某些信息值来强迫Agent完成一项任务。
l Trap操作:Agent使用该操作向NMS发送异常报警信息。
l Inform操作:NMS使用该操作向其他NMS发送异常报警信息。
目前,设备的SNMP Agent支持SNMP v3版本,兼容SNMP v1版本和SNMP v2c版本。
SNMP v1、SNMP v2c采用团体名(Community Name)认证。团体名用来定义SNMP NMS和SNMP Agent的关系。如果SNMP报文携带的团体名没有得到设备的认可,该报文将被丢弃。团体名起到了类似于密码的作用,用来限制SNMP NMS对SNMP Agent的访问。
SNMP v3提供了基于用户的安全模型(USM,User-Based Security Model )的认证机制。用户可以设置有无认证和有无加密等功能组合,更好的限制SNMP NMS对SNMP Agent的访问。
MIB(Management Information Base,管理信息库)是NMS能够管理的所有对象的集合。它定义了被管理对象的一系列的属性:对象的名字、对象的访问权限和对象的数据类型。每个Agent都有自己的MIB。
MIB是以树状结构进行存储的。树的节点表示被管理对象,它可以用从根开始的一条路径唯一地识别(OID)。如图1-1所示。管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的OID(Object Identifier,对象标识符)。
由于SNMP v3版本的配置和SNMP v1版本、SNMP v2c版本的配置有较大区别,所以下面分两种情况进行SNMP基本功能的配置介绍,详见表1-1和表1-2。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent |
|
设置系统信息 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } } |
可选 缺省情况下,系统维护联系信息为“Hangzhou H3C Technology Co., Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMP v3 |
|
设置一个SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 |
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必选 |
|
设置Agent能接收/发送的SNMP消息包的最大长度 |
snmp-agent packet max-size byte-count |
可选 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
|
设置本地SNMP实体的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省为公司的企业号+设备信息 |
|
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
表1-2 配置SNMP基本功能(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态。 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
|
设置系统信息 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } } |
必选 缺省情况下,系统维护联系信息为“Hangzhou H3C Technology Co., Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMP v3 |
||
|
设置访问权限 |
直接设置 |
设置团体名 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必选其一 直接设置是以SNMP v1和v2c版本的团体名进行设置 间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致 |
|
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
|
设置Agent能接收/发送的SNMP消息包的大小 |
snmp-agent packet max-size byte-count |
可选 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
||
|
设置本地SNMP实体的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省为公司的企业号+设备信息 |
||
|
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault |
||
注意:
USM用户创建后是否有效,与设备的SNMP实体引擎ID有关,如果用户创建时的引擎ID和当前的引擎ID不同,则该用户当前无效。
SNMP日志功能将记录NMS对SNMP Agent的GET和SET操作。当进行GET操作时,Agent会记录NMS用户的IP地址、GET操作的节点名和节点的OID。当进行SET操作时,Agent会记录NMS用户的IP地址、SET操作的节点名、节点的OID、设置的值以及SET操作返回的错误码和错误索引。这些记录将被转化成系统信息发送到设备的信息中心,以供查询定位。
SNMP日志记录GET请求、SET请求和SET响应信息,不记录GET响应信息。
表1-3 开启SNMP日志功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
打开SNMP日志开关 |
snmp-agent log { all | get-operation | set-operation } |
必选 缺省情况下,SNMP日志开关处于关闭状态 |
& 说明:
l 大量的日志记录会占用设备的存储空间,影响设备的性能。正常情况下,建议关闭SNMP日志功能。
l 打开SNMP日志开关后,SNMP日志将输出到本设备的信息中心,通过设置信息中心的输出方向,最终决定SNMP日志的输出方向。
l SNMP日志的优先级为informational,即作为设备的一般提示信息。如果需要查看SNMP日志,需要配置信息中心允许informational级别的系统信息输出。
l SNMP日志的大小不能超过信息中心日志允许的大小,其中每条日志信息中记录的node域和value域的长度之和不能超过1K字节。否则,超出的部分将不输出。
l 有关系统信息及信息中心的详细介绍请参见“系统分册”中的“信息中心配置”。
Trap是Agent主动向NMS发送的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。
完成SNMP基本配置(包括版本设置,如果使用SNMP v1和v2c版本需要设置团体名;如果使用SNMP v3版本需要设置用户名和MIB视图)。
表1-4 使能Trap报文发送功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在全局下设置允许设备发送Trap报文 |
snmp-agent trap enable [ bgp | configuration | flash | fr | mpls | ospf [ process-id ] [ ospf-trap-list ] | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system | voice | vrrp [ authfailure | newmaster ] ] |
可选 缺省情况下,允许发送所有类型的Trap报文 |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
在端口下设置允许发送端口状态变化的Trap报文 |
enable snmp trap updown |
可选 缺省情况下,允许发送端口状态变化的Trap报文 |
注意:
如果要求端口在状态发生改变时发送SNMP Trap报文,需要在端口下和全局都使能Link up/down Trap报文发送功能。端口下使能请使用命令enable snmp trap updown,全局下使能请使用命令snmp-agent trap enable [ standard [ linkdown | linkup ] * ]。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置Trap目标主机属性 |
snmp-agent target-host trap address udp-domain { ip- address | ipv6 ipv6- address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ] |
必选vpn-instance参数只支持在IPv4网络使用 |
|
设置发送Trap报文中的源地址 |
snmp-agent trap source interface-type { interface-number | interface-number.subnumber } |
可选 |
|
对RFC定义的标准linkUp/linkDown Trap报文进行私有扩展 |
snmp-agent trap if-mib link extended |
可选 缺省情况下,使用的是RFC定义的标准linkUp/linkDown Trap报文 |
|
设置发送的Trap报文消息队列的长度 |
snmp-agent trap queue-size size |
可选 缺省情况下,Trap报文的消息队列最多可以存储100条Trap消息 |
|
设置Trap报文的保存时间 |
snmp-agent trap life seconds |
可选 缺省情况下,Trap报文的保存时间为120秒 |
& 说明:
对linkUp/linkDown Trap报文进行私有扩展后,设备生成和发送的linkUp/linkDown Trap报文将由RFC定义的标准linkUp/linkDown Trap报文后追加接口描述和接口类型信息构成。如果NMS不支持该扩展报文,可禁用私有扩展功能,使设备发送标准的linkUp/linkDown Trap报文。
在完成上述配置后,在任意视图下执行display命令,均可以显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。
|
操作 |
命令 |
|
显示系统维护联络信息、系统位置信息及SNMP版本信息 |
display snmp-agent sys-info [ contact | location | version ]* |
|
显示SNMP报文统计信息 |
display snmp-agent statistics |
|
显示设备的SNMP实体引擎ID |
display snmp-agent local-engineid |
|
显示SNMP组信息 |
display snmp-agent group [ group-name ] |
|
显示系统当前可以发送Trap消息的模块及其Trap消息的使能状态 |
display snmp-agent trap-list |
|
显示SNMP v3用户信息 |
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] * |
|
显示SNMP v1或SNMP v2c团体信息 |
display snmp-agent community [ read | write ] |
|
显示MIB视图的信息 |
display snmp-agent mib-view [ exclude | include | viewname view-name ] |
l 网管工作站(NMS)与语音网关(Agent)通过以太网相连
l 网管工作站IP地址为1.1.1.2/24
l 语音网关以太网口IP地址为1.1.1.1/24
l NMS接收Trap的端口号为5000,SNMP的版本为v1。
图1-2 配置SNMP组网图
(1) 配置Agent
# 设置团体名和访问权限。
<VG>system-view
[VG] snmp-agent community read public
[VG] snmp-agent community write private
# 设置路由器的系统信息。
[VG] snmp-agent sys-info version all
[VG] snmp-agent sys-info contact ;Mr.Wang-Tel:3306
[VG] snmp-agent sys-info location telephone-closet,3rd-floor
# 设置以太网端口GigabitEthernet0/0的IP地址为1.1.1.1/24。
[VG] interface gigabitethernet /0
[VG-GigabitEthernet0/0] ip address 1.1.1.1/24
# 将以太网端口GigabitEthernet0/0上的接口IP地址作为Trap报文的源地址。
[VG] snmp-agent trap source Gigabitethernet 0/0
# 允许向网管工作站(NMS)1.1.1.1/24发送Trap报文,使用的团体名为public。
[VG] snmp-agent trap enable
[VG] snmp-agent target-host trap address udp-domain 1.1.1.2 udp-port 5000 params securityname public
(2) 配置NMS
在使用SNMP v1版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还要设置“超时”时间和“重试次数”。用户可利用网管系统完成对路由器的查询和配置操作,具体情况请参考NMS的配套手册。
& 说明:
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。
l NMS与Agent通过以太网相连
l NMS的IP地址为1.1.1.2/24
l Agent的VLAN接口IP地址为1.1.1.1/24
l 在Agent上进行如下配置:设置团体名和访问权限、SNMP协议版本
图1-3 配置SNMP日志组网图
& 说明:
下面只列出了与SNMP日志相关的配置,NMS和Agent的SNMP功能配置略。
# 打开控制台对日志信息的显示功能(可选,缺省情况下,该功能是打开的)。
<VG> terminal monitor
<VG> terminal logging
# 配置信息中心允许输出级别为informational的系统信息到Console口。
<VG> system-view
[VG] info-center source snmp channel console log level informational
# 打开Agent的SNMP日志开关,对NMS的GET和SET操作进行记录。
[VG] snmp-agent log get-operation
[VG] snmp-agent log set-operation
l NMS对Agent进行GET操作时,可以在控制台上看到如下日志信息。
%Jan 1 02:49:40:566 2006 VG SNMP/6/GET:
seqNO = <10> srcIP = <1.1.1.2> op = <get> node = <VG(1.3.6.1.2.1.1.5.0)> value=<>
l NMS对Agent进行SET操作,可以在控制台上看到如下日志信息。
%Jan 1 02:59:42:576 2006 VG SNMP/6/SET:
seqNO = <11> srcIP = <1.1.1.2> op = <set> errorIndex = <0> errorStatus =<noError> node = <VG(1.3.6.1.2.1.1.5.0)> value = <VG>
表1-7 SNMP日志输出信息描述表
|
字段 |
描述 |
|
Jan 1 02:49:40:566 2006 |
表示SNMP日志生成的时间 |
|
seqNO |
表示该SNMP日志的编号(系统会对记录的SNMP日志进行自动编号,编号从0开始) |
|
srcIP |
NMS的IP地址 |
|
op |
表示SNMP操作类型(GET或者SET) |
|
node |
SNMP操作节点的名称和实例的OID |
|
errorIndex |
错误索引(其中0表示没有错误) |
|
errorstatus |
错误状态(其中noError表示没有错误) |
|
value |
SET操作时设置的值(GET操作时此域为空,表示不记录GET操作获取的值) 当设置的值为字符串,而且字符串中包含编码范围超出了ASCII 0~127或者不可显示的字符时,则以十六进制的方式显示整个字符串,形如:value = <81-43>[hex] |
& 说明:
信息中心的系统信息可以输出到控制台或日志缓冲区等方向。本举例是将SNMP日志信息输出到控制台,如果要配置别的输出方向,请参见“系统分册”中的“信息中心配置”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
