登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C E126以太网交换机 操作手册-RELEASE 0011(V1.04)

20-SNMP操作

本章节下载  (165.77 KB)

20-SNMP操作

 

第1 SNMP配置... 1-1

1.1 SNMP简介.. 1-1

1.1.1 SNMP的工作机制.. 1-1

1.1.2 SNMP的版本.. 1-1

1.1.3 设备支持的MIB. 1-2

1.2 配置SNMP基本功能.. 1-3

1.3 配置Trap. 1-5

1.3.1 配置准备.. 1-5

1.3.2 配置过程.. 1-6

1.4 SNMP显示和维护.. 1-6

1.5 SNMP典型配置举例.. 1-7

1.5.1 SNMP配置举例.. 1-7

 

第1章  SNMP配置

1.1  SNMP简介

目前网络中用得最广泛的网络管理协议是SNMPSimple Network Management Protocol,简单网络管理协议)。SNMP是被广泛接受并投入使用的工业标准,用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。

SNMP采用轮询机制,只提供最基本的功能集,特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP,因此可以实现和众多产品的无障碍连接。

1.1.1   SNMP的工作机制

SNMP分为NMSAgent两部分:

NMSNetwork Management Station,网络管理站)是运行客户端程序的工作站,目前常用的网管平台有QuidViewSun NetManagerIBM NetView

Agent是运行在网络设备上的服务器端软件。

NMS可以向Agent发出GetRequestGetNextRequestSetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型进行ReadWrite操作,生成Response报文,并将报文返回给NMS

Agent在设备发生异常情况或状态改变时(如设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。

1.1.2  SNMP的版本

目前,设备中的SNMP Agent支持SNMP v3版本,兼容SNMP v1版本、SNMP v2C版本。

SNMP v3采用用户名和密码认证方式。

SNMP v1SNMP v2C采用团体名(Community Name)认证,非设备认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMSSNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问设备上的SNMP Agent。用户可以选择指定以下一个或者多个与团体名相关的特性:

l              定义团体名可以访问的MIB视图。

l              设置团体名对MIB对象的访问权限为读写权限(write)或者只读权限(read)。具有只读权限的团体名只能对设备信息进行查询,而具有读写权限的团体名还可以对设备进行配置。

l              设置团体名指定的基本访问控制列表。

1.1.3  设备支持的MIB

SNMP报文中用管理变量来描述设备中的管理对象。为了唯一标识设备中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如下图1-1所示。每一个节点,都可以用从根开始的一条路径唯一地标识。

图1-1 MIB树结构

MIBManagement Information Base,管理信息库)的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图1-1中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符(Object Identifier)。

系统支持的常见MIB如下表1-1所示。

表1-1 常见MIB

MIB属性

MIB内容

参考资料

公有MIB

基于TCP/IP网络设备的MIB II

RFC1213

BRIDGE MIB

RFC1493

RFC2675

RIP MIB

RFC1724

RMON MIB

RFC2819

以太网MIB

RFC2665

OSPF MIB

RFC1253

IF MIB

RFC1573

私有MIB

DHCP MIB

-

QACL MIB

-

ADBM MIB

-

RSTP MIB

-

VLAN MIB

-

设备管理

-

接口管理

-

 

1.2  配置SNMP基本功能

SNMP v3版本和SNMP v1版本、SNMP v2C版本的配置有较大区别,在配置SNMP的基本功能时分为两种情况进行介绍。具体的配置见表1-2表1-3

表1-2 配置SNMP基本功能(SNMP v1版本、SNMP v2C版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态

执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent

设置系统信息

snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } }

必选

缺省情况下,系统维护联系信息为“R&D Hangzhou,H3C Technologies Co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv3

设置团体名及访问权限

直接设置

设置团体名

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

必选

l      直接设置是以SNMP v1版本 SNMP v2C版本的团体名概念进行设置

l      间接设置采用与SNMP v3版本一致的命令形式,添加的用户即相当于SNMPv1版本、SNMPv2C版本的团体名概念

l      根据用户习惯,二者任选其一

间接设置

设置一个SNMP

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

为一个SNMP组添加一个新用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

设置Agent能接收/发送的SNMP消息包的大小

snmp-agent packet max-size max-size

可选

缺省值为1500字节

设置设备的引擎ID

snmp-agent local-engineid engineid

可选

缺省为公司的企业号+设备信息

创建或更新视图的信息

snmp-agent mib-view { included | excluded } view-name oid-tree

可选

缺省情况下,视图名为ViewDefaultOID1

 

表1-3 配置SNMP基本功能(SNMP v3版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

必选

缺省情况下,SNMP Agent服务处于关闭状态

设置系统信息

snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } }

可选

缺省情况下,系统维护联系信息为“R&D Hangzhou,H3C Technologies Co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv3

设置一个SNMP

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

为一个SNMP组添加一个新用户

snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password [ privacy-mode des56 priv-password ] ] [ acl acl-number ]

必选

设置Agent能接收/发送的SNMP消息包的大小

snmp-agent packet max-size byte-count

可选

缺省值为1500字节

设置设备的引擎ID

snmp-agent local-engineid engineid

可选

缺省为公司的企业号+设备信息

创建或更新视图的信息

snmp-agent mib-view { included | excluded } view-name oid-tree

可选

缺省情况下,视图名为ViewDefaultOID1

 

&  说明:

E126以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:

l      在启动SNMP功能时,才打开SNMP-agent使用的UDP 161端口和SNMP-TRAP Client使用的UDP 1024端口。

l      在关闭SNMP功能时,同时关闭UDP 161端口和UDP 1024端口。

具体的实现是:

l      执行snmp-agent命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent,同时打开SNMP Agent使用的UDP 161端口和SNMP TRAP Client使用的UDP 1024端口。

l      应用undo snmp-agent命令的同时即可关闭UDP 161端口和UDP 1024端口。

 

1.3  配置Trap

Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。

1.3.1  配置准备

完成SNMP基本配置。

1.3.2  配置过程

表1-4 配置Trap

操作

命令

说明

进入系统视图

system-view

-

允许发送设备Trap信息

snmp-agent trap enable [ configuration | flash | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system ]

可选

缺省情况下,允许发送Trap报文

允许发送端口Trap信息

进入端口或者接口视图

interface interface-type interface-number

允许发送端口或者接口的Trap

enable snmp trap updown

退回到系统视图

quit

设置Trap目标主机地址

snmp-agent target-host trap address udp-domain { ip-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c | v3 { authentication | privacy } ]

必选

设置发送Trap的源地址

snmp-agent trap source interface-type interface-number

可选

设置发往目的主机的Trap报文的消息队列的长度

snmp-agent trap queue-size size

可选

缺省情况下,发往目的主机的Trap报文消息队列长度为100

设置Trap报文的老化时间

snmp-agent trap life seconds

可选

缺省情况下,Trap报文的老化时间为120

 

1.4  SNMP显示和维护

在完成上述配置后,在任意视图下执行display命令,均可以显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。

表1-5 配置SNMP显示维护

操作

命令

显示当前SNMP设备的系统信息

display snmp-agent sys-info [ contact | location | version ]*

显示SNMP报文统计信息

display snmp-agent statistics

显示当前设备的引擎ID

display snmp-agent { local-engineid | remote-engineid }

显示设备的组信息

display snmp-agent group [ group-name ]

显示SNMP用户信息

display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ]

显示Trap列表信息

display snmp-agent trap-list

显示当前配置的团体名

display snmp-agent community [ read | write ]

显示当前配置的MIB视图

display snmp-agent mib-view [ exclude | include | viewname view-name ]

 

1.5  SNMP典型配置举例

1.5.1  SNMP配置举例

1. 组网需求

l              网管工作站(NMS)与Switch A通过以太网相连,网管工作站IP地址为10.10.10.1Switch AVLAN接口IP地址为10.10.10.2

l              Switch A上进行如下配置:设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。

2. 组网图

图1-2 SNMP配置举例组网图

3. 配置步骤

# 设置团体、群组和用户。

<H3C> system-view

[H3C] snmp-agent

[H3C] snmp-agent sys-info version all

[H3C] snmp-agent community write public

[H3C] snmp-agent mib-view include internet 1.3.6.1

[H3C] snmp-agent group v3 managev3group write-view internet

[H3C] snmp-agent usm-user v3 managev3user managev3group

# 设置网管使用的VLAN接口为VLAN 2接口,将用于网管的端口Ethernet1/0/2加入到VLAN2中,配置VLAN2的接口IP地址10.10.10.2

[H3C] vlan 2

[H3C-vlan2] port Ethernet 1/0/2

[H3C-vlan2] quit

[H3C] interface Vlan-interface 2

[H3C-Vlan-interface2] ip address 10.10.10.2 255.255.255.0

[H3C-Vlan-interface2] quit

# 允许向网管工作站10.10.10.1发送Trap报文,使用的团体名为public

[H3C] snmp-agent trap enable standard authentication

[H3C] snmp-agent trap enable standard coldstart

[H3C] snmp-agent trap enable standard linkup

[H3C] snmp-agent trap enable standard linkdown

[H3C] snmp-agent target-host trap address udp-domain 10.10.10.1 udp-port 5000 params securityname public

4. 配置NMS

E126以太网交换机支持H3C公司的QuidView网管系统。SNMP v3采用用户名和密码认证方式。在QuidView认证参数部分需要设置用户名,选择安全级别。根据不同的安全级别,需要分别设置鉴权方式、鉴权密码、加密方式、加密密码等,另外,还要设置超时时间和重试次数。

用户可利用网管系统完成对以太网交换机的查询和配置操作,具体情况请参考H3C公司网管产品的配套手册。

&  说明:

网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们