排障流程圖
1. 檢查交換機與網管之間是否路由可達
操作步驟
- 在交換機上ping網管IP地址,檢查是否能夠ping通。
- 如果ping不通,請執行命令display ip routing-table是否有可達路由。
- 如果路由不可達,請檢查路由部分的配置。如果路由可達,請用戶參見《CloudEngine系列交換機 TOP故障快速定位指導 Ping不通》。
2. 檢查網管IP是否在ACL允許訪問的規則中
操作步驟
- 執行命令display current-configuration configuration snmp,查看交換機的SNMP配置信息。可以看出交換機的SNMP訪問控制列表使用的是ACL2000。
- <HUAWEI> display current-configuration configuration snmp
- #
- snmp-agent
- snmp-agent acl 2000
- snmp-agent local-engineid 800007DB03AC948400DF01
- snmp-agent community read cipher %^%#kxEr)!^'|S>X%cI4emAS[j/)39Gb#W+8O!&#Py550d/v0#JUA$Y,i$Zb>wg3-mX*E1fI{Y^>-b2ad[)5%^%# mib-view alliso
- snmp-agent community write cipher %^%#csGnU=S5C!gk_D.7gO_AE>RS=kf"XMnPWh/>f3_;=8^p+jLDj1Y';o"Z@,1@b(`[Vj&8ANRLafGCWEGJ%^%# mib-view alliso
- #
- snmp-agent sys-info version all
10. #
11. snmp-agent mib-view included alliso iso
12. #
return
- 查看ACL2000中包含的規則信息,確認網管的IP地址是否在ACL2000允許訪問的規則中。如果不在請將網管IP地址添加到ACL2000允許訪問的規則中。
- <HUAWEI> system-view
- [~HUAWEI] acl 2000
- [~HUAWEI-acl4-basic-2000] display this
- #
- acl number 2000
- rule 10 permit source 10.138.109.114 0
- #
return
3. 檢查網管訪問的MIB節點是否在MIB視圖中
操作步驟
- 執行命令display current-configuration configuration snmp,查看交換機的SNMP配置信息。重點關注交換機上SNMP團體名可以訪問的MIB視圖以及創建MIB視圖時使用的是included還是excluded。
如果沒有配置MIB視圖,則團體名可以訪問Viewdefault視圖(OID:1.3.6.1),MIB子樹中包括除了snmpVacmMIB、snmpUsmMIB和snmpCommunityMIB之外的其它internet子節點。
<HUAWEI> display current-configuration configuration snmp#snmp-agentsnmp-agent acl 2000snmp-agent local-engineid 800007DB03AC948400DF01snmp-agent community read cipher %^%#kxEr)!^'|S>X%cI4emAS[j/)39Gb#W+8O!&#Py550d/v0#JUA$Y,i$Zb>wg3-mX*E1fI{Y^>-b2ad[)5%^%# mib-view allisosnmp-agent community write cipher %^%#csGnU=S5C!gk_D.7gO_AE>RS=kf"XMnPWh/>f3_;=8^p+jLDj1Y';o"Z@,1@b(`[Vj&8ANRLafGCWEGJ%^%# mib-view alliso#snmp-agent sys-info version all#snmp-agent mib-view included alliso iso#return - 執行命令display snmp-agent mib-view,查看交換機當前配置的MIB視圖。確認網管訪問的MIB節點是否在SNMP團體名允許訪問的MIB視圖中,如果不在請修改MIB視圖的范圍,使MIB視圖包含該MIB節點。
1. <HUAWEI> display snmp-agent mib-view
2. View name: alliso
3. MIB Subtree: iso
4. Subtree mask: 80(Hex)
5. Storage type: nonVolatile
6. View Type: included
7. View status: active
8.
9. View name: ViewDefault
10. MIB Subtree: internet
11. Subtree mask: F0(Hex)
12. Storage type: nonVolatile
13. View Type: included
14. View status: active
15.
16. View name: ViewDefault
17. MIB Subtree: snmpCommunityMIB
18. Subtree mask: FE(Hex)
19. Storage type: nonVolatile
20. View Type: excluded
21. View status: active
22.
23. View name: ViewDefault
24. MIB Subtree: snmpUsmMIB
25. Subtree mask: FE(Hex)
26. Storage type: nonVolatile
27. View Type: excluded
28. View status: active
29.
30. View name: ViewDefault
31. MIB Subtree: snmpVacmMIB
32. Subtree mask: FE(Hex)
33. Storage type: nonVolatile
34. View Type: excluded
35. View status: active
36.
Total count is 5
4. 檢查網管導入的MIB文件是否為CE交換機的MIB文件
操作步驟
- 第三方網管不能自動識別CE交換機的MIB節點,請用戶檢查導入的MIB文件是否為CE交換機的MIB文件。
- 如果不是,請登錄華為企業用戶技術支持網站(http://support.huawei.com/enterprise)或運營商用戶技術支持網站(http://support.huawei.com/carrier/),根據交換機的款型和版本,進入相應軟件包的下載頁面,選擇下載MIB文件。將下載好的MIB文件導入網管。
5. 檢查CE交換機上是否存在SNMP認證失敗信息
操作步驟
- 執行命令display snmp-agent diagnose authentication-failures,查看交換機上是否存在SNMP認證失敗信息。如果失敗原因是Community is incorrect(網管和交換機配置的SNMP團體名不一致),請執行步驟2;如果失敗原因是Version is incorrect(網管和交換機使用的SNMP協議版本不一致),請執行步驟3;如果是其他原因,請聯系技術支持人員。
1. <HUAWEI> system-view
2. [~HUAWEI] diagnose
3. [~HUAWEI-diagnose] display snmp-agent diagnose authentication-failures
4.
5. *******************************************************************
6. DateTime: 2016-05-17, 15:55:06:152, IP: 10.138.109.114, Reason: Community is incorrect.
7. DateTime: 2016-05-17, 11:07:34:251, IP: 10.138.109.114, Reason: Version is incorrect.
*******************************************************************
-
交換機配置的SNMP團體名是以密文形式保存的,所以用戶如果忘記配置的團體名,建議用戶重新配置團體名,使之與網管側保持一致。具體配置命令如下。1. <HUAWEI> system-view
2. [~HUAWEI] snmp-agent community read Public_NMS mib-view alliso
3. [*HUAWEI] snmp-agent community write Private_NMS mib-view alliso
[*HUAWEI] commit
6. 檢查SNMP與CFG會話是否存在錯誤
操作步驟
- 執行命令display snmp-agent diagnose fail-operation operation-count,查看SNMP與CFG會話是否存在錯誤。如果不存在,請聯系技術支持人員。
1. <HUAWEI> system-view
2. [~HUAWEI] diagnose
3. [~HUAWEI-diagnose] display snmp-agent diagnose fail-operation 10
4. -------------------------------------------------------------------
5. Total number of failure requests saved : 1000
6. Total number of failure requests: 3715
7. -------------------------------------------------------------------
8.
9. Failure Request No: 1
10. -------------------------------------------------------------------
11. Time: 2016-03-17, 07:46:27:193-06:00
12. Request VSID: 0
13. Agent Request ID: 116
14. PDU Request ID: 6917
15. CFG Session ID: 45
16. CFG Transaction ID: 11039265
17. Class ID: 0x0
18. Field ID: 0
19. CFG Info Code: 0
20. CFG Error Code: 0x0
21. SNMP Error Code: SNMP_ERR_TIMEOUT (0x2110007C)
22. Function Return Code: SNMPA_ERR_REQ_TIMEOUT (0x800B5C)
Operation Type: SNMP_GET (160)-------------------------------------------------------------------7. 查看交換機SNMP響應時間是否超過網管設置的SNMP超時時間
操作步驟
- 在網管上通過獲取報文工具,獲取SNMP報文。
- 分析交換機SNMP響應時間是否超過網管設置的SNMP超時時間,如果沒有超過,則說明網管解析SNMP報文錯誤,請聯系網管進行故障定位。
如圖1所示,No.為11699的SNMP報文,是網管發送給交換機的SNMP請求報文,發送時間為:2016-05-23 19:22:44.755244。No.為11703的SNMP報文,是交換機發送給網管的SNMP響應報文,網管接收到的時間為:2016-05-23 19:22:44.774362。所以從網管上看,交換機SNMP響應時間為0.019118秒。
圖1 獲取的SNMP報文
8. 收集信息並尋求技術支持
如果上述步驟未能解決問題,請先按如下步驟收集相關信息,然后尋求技術支持。
操作步驟
- 收集上述步驟的操作結果,並記錄到文件中。
- 一鍵式收集設備的所有診斷信息並導出文件。
- 在用戶視圖下,執行display diagnostic-information file-name命令,采集設備診斷信息並保存為文件。
b. <HUAWEI> display diagnostic-information dia-info.txt
c. Now saving the diagnostic information to the device
d. 100%
e. Info: The diagnostic information was saved to the device successfully.
生成的文本文件的缺省保存路徑為flash:/,您可以在用戶視圖下使用dir命令可以確認文件是否正確生成。- 當診斷信息文件生成之后,您可以通過FTP、SFTP、SCP等方式將其從設備上導出,詳細操作可參考“管理本地文件”。
您也可以直接執行display diagnostic-information命令,並通過終端日志存盤方式獲取設備診斷信息文件,詳細操作可參見“設備診斷信息文件獲取指導”。
- 收集設備的日志和告警信息並導出文件。
-
執行以下命令,將緩沖區的日志和告警信息保存為文件。
a. <HUAWEI> save logfile //收集普通用戶日志
b. <HUAWEI> system-view
c. [~HUAWEI] diagnose
d. [~HUAWEI-diagnose] save logfile diagnose-log //收集診斷日志
e. [~HUAWEI-diagnose] collect diagnostic information //收集操作系統診斷信息
- 當日志信息文件生成之后,您可以通過FTP、SFTP、SCP等方式將其從設備上導出,詳細操作可參考“管理本地文件”。
您也可以直接執行display logbuffer和display trapbuffer命令查看設備的日志和告警信息,並通過終端日志存盤方式獲取日志和告警信息文件,操作方法與設備診斷信息文件的獲取方式相同,可參見“設備診斷信息文件獲取指導”。
- 尋求技術支持。
- 請您參考如下網頁鏈接信息http://e.huawei.com/cn/how-to-buy/contact-us,尋求技術支持。
說明:
在技術支持過程中,請按技術支持人員的指導,將收集的所有信息和文件完整提交,方便技術支持人員進行問題定位。
------------------------------------------------------------------- -
對接案例,請您參考
配置設備使用SNMPv2c與網管通信示例
組網需求
如圖1所示,現有網絡中網管NMS1和NMS2對網絡中的設備進行監管。由於網絡規模較大,安全性較高,但運行的業務較為繁忙,在規划時配置設備使用SNMPv2c版本與網管進行通信。現在由於擴容需要,新增一台交換機,並由網管對其進行監管。
用戶希望通過利用現有的網絡資源對交換機進行監管,並且在發生故障時能夠快速對故障進行定位和排除。根據用戶業務需要,網管站需要對交換機上除ISIS之外的節點進行管理。
圖1 配置使用SNMPv2c與網管通信組網圖
配置思路
考慮到用戶所在網絡規模較大,安全性較高,業務較繁忙等因素,因此新增設備依然使用SNMPv2c版本。為減輕網管站的負擔,選取NMS2來監管交換機,NMS1不監管交換機。
采用如下的配置思路:
1. 配置交換機的SNMP版本為SNMPv2c。
2. 配置訪問權限,使NMS2可以管理交換機上ISIS之外的節點。
3. 配置告警主機,使交換機產生的告警能夠發送至NMS2。為了方便對告警信息進行定位,避免過多的無用告警對處理問題造成干擾,僅允許缺省打開的模塊可以發送告警。
4. 配置網管站(僅NMS2)。
操作步驟
1. 配置交換機的接口IP地址
2. <HUAWEI> system-view
3. [~HUAWEI] sysname Switch
4. [*HUAWEI] commit
5. [~Switch] vlan batch 100
6. [*Switch] interface vlanif 100
7. [*Switch-Vlanif100] ip address 10.1.2.1 24
8. [*Switch-Vlanif100] quit
9. [*Switch] interface 10ge 1/0/1
10. [*Switch-10GE1/0/1] port link-type trunk
11. [*Switch-10GE1/0/1] port trunk allow-pass vlan 100
12. [*Switch-10GE1/0/1] quit
[*Switch] commit
13. 配置交換機和網管站之間路由可達
14. [~Switch] ospf
15. [*Switch-ospf-1] area 0
16. [*Switch-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
17. [*Switch-ospf-1-area-0.0.0.0] quit
18. [*Switch-ospf-1] quit
[*Switch] commit
19. 配置交換機的SNMP版本為SNMPv2c
[~Switch] snmp-agent sys-info version v2c
20. 配置訪問權限
# 配置ACL,只允許NMS2可以管理交換機。
[*Switch] acl 2001
[*Switch-acl4-basic-2001] rule 5 permit source 10.1.1.2 0.0.0.0
[*Switch-acl4-basic-2001] quit
# 配置MIB視圖,限制NMS2可以管理交換機上除ISIS之外的節點。
[*Switch] snmp-agent mib-view excluded allextisis 1.3.6.1.3.37
# 配置團體名並引用ACL和MIB視圖。
[*Switch] snmp-agent community write adminNMS1234 mib-view allextisis acl 2001
21. 配置告警主機
22. [*Switch] snmp-agent target-host host-name NMS2 inform address udp-domain 10.1.1.2 params securityname adminNMS1234 v2c
23. [*Switch] snmp-agent inform timeout 5 resend-times 6 pending 7
24. [*Switch] commit
[~Switch] quit
25. 配置網管站(NMS2)
以eSight V300R005C00為例,說明網管側的配置。
a. 在主菜單中選擇“資源 > 資源添加 > 單個添加”,單擊“網絡設備”。
b. 單擊“SNMP協議 > 手動編輯SNMP參數”,配置SNMP版本為V2c,讀團體字為adminNMS1234,寫團體字為adminNMS1234,端口號為161。
此處網管側配置的團體名和端口號必須與設備側保持一致,且設備側需要使能網管側配置的SNMP版本,否則將無法連接設備。
如果設備上只配置了write團體名,那么網管側讀和寫團體名都用設備上配置的write團體名。
c. 單擊“確定”。
圖2 eSight網管SNMP配置界面
26. 驗證配置結果
配置完成后,交換機和NMS2建立連接,在NMS2上可以對交換機進行管理,同時也可以接收到交換機發送的告警信息。
執行下面的命令,檢查部分配置內容。
# 查看團體名的配置信息。
<Switch> display snmp-agent community
Community name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
Group name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
Acl: 2001
Storage-type: nonVolatile
# 查看告警主機。
<Switch> display snmp-agent target-host
Target host NO. 1
---------------------------------------------------------------------------
Host name : NMS2
IP address : 10.1.1.2
Source interface : -
VPN instance : -
Security name : %^%#.&h-$,1jCK-Vsk)}iAO'4oHASwPgq<2i^,6m7~IB%^%#
Port : 162
Type : inform
Version : v2c
Level : No authentication and privacy
NMS type : NMS
With ext vb : No
Notification filter profile name : -
Heart beat required : No
---------------------------------------------------------------------------
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 100
#
acl number 2001
rule 5 permit source 10.1.1.2 0
#
interface Vlanif100
ip address 10.1.2.1 255.255.255.0
#
interface 10GE1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community write cipher %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%# mib-view allextisis acl 2001
#
snmp-agent sys-info version v2c v3
snmp-agent target-host host-name NMS2 inform address udp-domain 10.1.1.2 params securityname cipher %^%#.&h-$,1jCK-Vsk)}iAO'4oHASwPgq<2i^,6m7~IB%^%# v2c
#
snmp-agent mib-view excluded allextisis isisMIB
#
snmp-agent inform timeout 5
snmp-agent inform resend-times 6
snmp-agent inform pending 7
#
return
- 請您參考如下網頁鏈接信息http://e.huawei.com/cn/how-to-buy/contact-us,尋求技術支持。
- 執行命令display snmp-agent diagnose fail-operation operation-count,查看SNMP與CFG會話是否存在錯誤。如果不存在,請聯系技術支持人員。
- 執行命令display snmp-agent diagnose authentication-failures,查看交換機上是否存在SNMP認證失敗信息。如果失敗原因是Community is incorrect(網管和交換機配置的SNMP團體名不一致),請執行步驟2;如果失敗原因是Version is incorrect(網管和交換機使用的SNMP協議版本不一致),請執行步驟3;如果是其他原因,請聯系技術支持人員。
- 執行命令display current-configuration configuration snmp,查看交換機的SNMP配置信息。可以看出交換機的SNMP訪問控制列表使用的是ACL2000。