一、SNMP配置
1.1 SNMP簡介
SNMP(Simple Network Management Protocol,簡單網絡管理協議)是網絡中管理設備和被管理設備之間的通信規則,它定義了一系列消息、方法和語法,用於實現管理設備對被管理設備的訪問和管理。SNMP具有以下優勢:
自動化網絡管理。網絡管理員可以利用SNMP平台在網絡上的節點檢索信息、修改信息、發現故障、完成故障診斷、進行容量規划和生成報告。
屏蔽不同設備的物理差異,實現對不同廠商產品的自動化管理。SNMP只提供最基本的功能集,使得管理任務分別與被管設備的物理特性和下層的聯網技術相對獨立,從而實現對不同廠商設備的管理,特別適合在小型、快速和低成本的環境中使用。
1.1.1 SNMP的工作機制
SNMP網絡元素分為NMS和Agent兩種。
NMS(Network Management Station,網絡管理站)是運行SNMP客戶端程序的工作站,能夠提供非常友好的人機交互界面,方便網絡管理員完成絕大多數的網絡管理工作。
Agent是駐留在設備上的一個進程,負責接收、處理來自NMS的請求報文。在一些緊急情況下,如接口狀態發生改變等,Agent也會主動通知NMS。
NMS是SNMP網絡的管理者,Agent是SNMP網絡的被管理者。NMS和Agent之間通過SNMP協議來交互管理信息。
SNMP提供四種基本操作:
Get操作:NMS使用該操作查詢Agent的一個或多個對象的值。
Set操作:NMS使用該操作重新設置Agent數據庫(MIB,Management Information Base)中的一個或多個對象的值。
Trap操作:Agent使用該操作向NMS發送報警信息。
Inform操作:NMS使用該操作向其他NMS發送報警信息。
1.1.2 SNMP的協議版本
目前,設備的SNMP Agent支持SNMP v1、SNMP v2c和SNMP v3三種。
SNMP v1采用團體名(Community Name)認證。團體名用來定義SNMP NMS和SNMP Agent的關系。如果SNMP報文攜帶的團體名沒有得到設備的認可,該報文將被丟棄。團體名起到了類似於密碼的作用,用來限制SNMP NMS對SNMP Agent的訪問。
SNMP v2c也采用團體名認證。它在兼容SNMP v1的同時又擴充了SNMP v1的功能:它提供了更多的操作類型(GetBulk和InformRequest);它支持更多的數據類型(Counter64等);它提供了更豐富的錯誤代碼,能夠更細致地區分錯誤。
SNMP v3提供了基於用戶的安全模型(USM,User-Based Security Model)的認證機制。用戶可以設置認證和加密功能,認證用於驗證報文發送方的合法性,避免非法用戶的訪問;加密則是對NMS和Agent之間的傳輸報文進行加密,以免被竊聽。通過有無認證和有無加密等功能組合,可以為SNMP NMS和SNMP Agent之間的通信提供更高的安全性。
NMS和Agent的SNMP版本匹配,是它們之間成功互訪的前提條件。Agent可以同時配置多個版本,與不同的NMS交互采用不同的版本。
1.1.3 MIB簡介
任何一個被管理的資源都表示成一個對象,稱為被管理的對象。MIB(Management Information Base,管理信息庫)是被管理對象的集合。它定義了對象之間的層次關系以及對象的一系列屬性,比如對象的名字、訪問權限和數據類型等。每個Agent都有自己的MIB。NMS根據權限可以對MIB中的對象進行讀/寫操作。
MIB是以樹狀結構進行存儲的。樹的節點表示被管理對象,它可以用從根開始的一條路徑唯一地識別(OID)。如圖1-2所示,被管理對象B可以用一串數字{1.2.1.1}唯一確定,這串數字是被管理對象的OID(Object Identifier,對象標識符)。
1.3 配置SNMP日志
1.3.1 SNMP日志介紹
SNMP日志功能將記錄NMS對SNMP Agent的GET和SET操作。當進行GET操作時,Agent會記錄NMS用戶的IP地址、GET操作的節點名和節點的OID。當進行SET操作時,Agent會記錄NMS用戶的IP地址、SET操作的節點名、節點的OID、設置的值以及SET操作返回的錯誤碼和錯誤索引。這些日志將被發送到設備的信息中心,級別為informational,即作為設備的一般提示信息。通過設置信息中心的參數,最終決定SNMP日志的輸出規則(即是否允許輸出以及輸出方向)。
SNMP日志記錄GET請求、SET請求和SET響應信息,不記錄GET響應信息。
1.3.2 開啟SNMP日志功能
[HX-A]snmp-agent log {all | get-operation | set-operation } 打開SNMP日志開關
[HX-A]info-center source ? 配置SNMP日志輸出規則,缺省情況下,SNMP日志只會輸出到日志主機(loghost)和日志文件(logfile)方向,如果要輸出到別的方向(比如控制台、監視終端等)需要使用該命令配置
1.4 配置SNMP Trap
Trap是Agent主動向NMS發送的信息,用於報告一些緊急的重要事件(如被管理設備重新啟動等)。Trap報文有兩種:通用Trap和企業自定義Trap。設備支持的通用Trap包括authentication、coldstart、linkdown、linkup和warmstart五種,其它均為企業自定義Trap。企業自定義Trap由模塊生成。因為Trap信息通常較多,會占用設備內存,從而影響設備性能,所以建議用戶根據需要開啟指定模塊的Trap功能,生成相應的Trap報文。
開啟Trap功能后,相應模塊生成的Trap報文將被發送到設備的信息中心。信息中心有七個輸出方向,缺省情況下,允許所有模塊的所有Trap信息發往控制台(console)、監視終端(monitor)、日志主機(loghost)和日志文件(logfile);允許所有模塊的高於等於warnings級別的Trap信息發往告警緩沖區(trapbuffer)和SNMP模塊(snmpagent);日志緩沖區(logbuffer)方向不能發送Trap信息。可以根據各模塊生成的Trap信息的級別設置信息中心參數,最終決定Trap報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心的配置請參見“信息中心配置”。
[HX-A]snmp-agent trap enable ? 缺省情況下,各模塊的Trap功能處於開啟狀態
[HX-A]int g1/0/20 進入接口視圖
[HX-A-GigabitEthernet1/0/20]enable snmp trap updown 缺省情況下,端口下端口狀態變化的Trap功能處於開啟狀態
1.4.2 配置Trap報文發送參數
1. 配置准備
如果要將Trap發送給NMS,則需要進行以下配置准備:
完成SNMP基本配置(包括版本設置,如果使用SNMP v1和v2c版本需要設置團體名;如果使用SNMP v3版本需要設置用戶名和MIB視圖)。
設備與NMS建立連接,能夠互相操作。
2. 配置過程
當Trap報文發送到SNMP模塊后,SNMP模塊將Trap報文存在消息隊列里,用戶可以設置該隊列的長度、Trap報文在隊列里的保存時間,也可以將報文發送給指定的目標主機(通常為NMS)等。
如果要將Trap信息發送給NMS,該步驟為必選,並將ip-address指定為NMS的IP地址
[HX-A]snmp-agent target-host trap address udp-domain 10.1.1.254 udp-port 22 params securityname 32
[HX-A]snmp-agent trap source ? 設置發送Trap報文中的源地址
[HX-A]snmp-agent trap if-mib link extended 對RFC定義的標准linkUp/linkDown Trap報文進行私有擴展
[HX-A]snmp-agent trap queue-size ? 設置Trap報文發送隊列的長度
[HX-A]snmp-agent trap life 60 設置Trap報文的保存時間,缺省情況下,Trap報文的保存時間為120秒
1.5 SNMP顯示和維護
在完成上述配置后,在任意視圖下執行display命令,均可以顯示配置后SNMP的運行情況,通過查看顯示信息,來驗證配置的效果。
[HX-A]display snmp-agent sys-info [ contact | location | version ]* 顯示系統維護聯絡信息、系統位置信息及SNMP版本信息
[HX-A]display snmp-agent statistics 顯示SNMP報文統計信息
[HX-A]display snmp-agent local-engineid 顯示設備的SNMP實體引擎ID
[HX-A]display snmp-agent group 顯示SNMP組信息
[HX-A]display snmp-agent trap queue 顯示Trap消息隊列的基本信息
[HX-A]display snmp-agent trap-list 顯示系統當前可以發送Trap消息的模塊及其Trap消息的使能狀態
[HX-A]display snmp-agent usm-user ? 顯示SNMP v3用戶信息
[HX-A]display snmp-agent community ? 顯示SNMP v1或SNMP v2c團體信息
[HX-A]display snmp-agent mib-view ? 顯示MIB視圖的信息
1.6 SNMP v1/v2c典型配置舉例
1. 組網需求
NMS與Agent通過以太網相連,NMS的IP地址為1.1.1.2/24,Agent的IP地址為1.1.1.1/24。
NMS通過SNMP v1或者SNMP v2c對Agent進行監控管理,Agent在故障或者出錯的時候能夠主動向NMS報告情況。
2. 組網圖
圖1-3 配置SNMP v1/v2c組網圖
[H3C]int GE1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route 二層接口改成三層接口
[H3C-GigabitEthernet1/0/1]ip address 1.1.1.1 24 配置IP地址和掩碼
設置SNMP基本信息,包括版本、團體名。
[H3C]snmp-agent sys-info version v1 v2c
[H3C]snmp-agent community read public
[H3C]snmp-agent community write private
設置交換機的聯系人和位置信息,以方便維護。
[H3C]snmp-agent sys-info contact Mr.zeng-tel:0813
[H3C]snmp-agent sys-info location telephone-closet,3rd-floor
允許向網管工作站(NMS)1.1.1.2/24發送Trap報文,使用的團體名為public。
[H3C]snmp-agent trap enable
[H3C]snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname public v1
snmp-agent target-host命令中的指定的版本必須和NMS上運行的SNMP版本一致,如果NMS上運行的是SNMP v2c版本,則需要將snmp-agent target-host命令中的版本參數設置為v2c。否則,網管站將收不到Trap信息。
(2) 配置NMS
在使用SNMP v1/v2c版本的NMS上需要設置“只讀團體名”和“讀寫團體名”。另外,還要設置“超時”時間和“重試次數”。用戶可利用網管系統完成對設備的查詢和配置操作,查看上面配置命令。
1.7 SNMP v3典型配置舉例
具體配置可以參考華三官網配置信息: