- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-SNMP命令
本章節下載: 01-SNMP命令 (290.59 KB)
1.1.1 display snmp-agent community
1.1.2 display snmp-agent group
1.1.3 display snmp-agent local-engineid
1.1.4 display snmp-agent mib-view
1.1.5 display snmp-agent statistics
1.1.6 display snmp-agent sys-info
1.1.7 display snmp-agent trap queue
1.1.8 display snmp-agent trap-list
1.1.9 display snmp-agent usm-user
1.1.10 enable snmp trap updown
1.1.12 snmp-agent calculate-password
1.1.15 snmp-agent local-engineid
1.1.18 snmp-agent packet max-size
1.1.22 snmp-agent trap if-mib link extended
1.1.24 snmp-agent trap queue-size
1.1.26 snmp-agent usm-user { v1 | v2c }
【命令】
display snmp-agent community [ read | write ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
read:顯示隻讀訪問權限的團體信息。
write:顯示讀寫訪問權限的團體信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent community命令用來顯示 SNMPv1或SNMPv2c團體信息。
用戶可以使用snmp-agent community命令來創建團體,另外,執行snmp-agent usm-user { v1 | v2c }命令創建SNMPv1或SNMPv2c用戶時係統會自動添加一個新的同名的隻讀團體名。display snmp-agent community會顯示這兩種方式創建的團體的信息。
需要注意的是,本命令在FIPS模式下不可用。
相關配置可參考命令snmp-agent community和snmp-agent usm-user { v1 | v2c }。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 顯示設備當前所有已配置的團體信息。
<Sysname> display snmp-agent community
Community name: aa
Group name: aa
Acl:2001
Storage-type: nonVolatile
Community name: bb
Group name: bb
Storage-type: nonVolatile
Community name: userv1
Group name: testv1
Storage-type: nonVolatile
表1-1 display snmp-agent community命令顯示信息描述表
|
字段 |
描述 |
|
Community name |
團體名,如果團體名是通過snmp-agent community命令創建的,則顯示的是團體名;如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示的是用戶名 |
|
Group name |
組名,如果團體名是通過snmp-agent community命令創建的,則組名和團體名相同;如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示用戶所在的組名 |
|
Acl |
使用的ACL表的編號,配置ACL列表後,隻有IP地址為ACL列表所允許的NMS才能使用相應的團體名訪問設備 |
|
Storage-type |
表示存儲類型,有以下幾種: · volatile(重啟後信息丟失) · nonVolatile(重啟後信息仍保存) · permanent(重啟後信息仍保存,允許更改,但不許刪除) · readOnly(重啟後信息仍保存,既不允許更改,也不許刪除) · other(其他) |
【命令】
display snmp-agent group [ group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group-name:指定要顯示信息的組名,為1~32個字符的字符串,區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent group命令用來顯示SNMP組信息,包括組名、安全模式、視圖、存儲方式等。不帶參數時,顯示所有組的信息。
相關配置可參考命令snmp-agent group。
【舉例】
# 顯示所有SNMP組的信息。
<Sysname> display snmp-agent group
Group name: groupv1
Security model: v1 noAuthnoPriv
Readview: ViewDefault
Writeview: <no specified>
Notifyview: <no specified>
Storage-type: nonVolatile
Group name: groupv3
Security model: v3 noAuthnoPriv
Readview: ViewDefault
Writeview: <no specified>
Notifyview: <no specified>
Storage-type: nonVolatile
表1-2 display snmp-agent group命令顯示信息描述表
|
字段 |
描述 |
|
Group name |
SNMP組名 |
|
Security model |
該組配置的安全模式,分為三種:authPriv(有認證有加密)、authNoPriv(有認證無加密)、noAuthNoPriv(無認證無加密)。SNMPv3支持以上三種,SNMPv1/v2c隻支持noAuthNoPriv |
|
Readview |
該組對應的隻讀的MIB視圖名 |
|
Writeview |
該組對應的可寫的MIB視圖名 |
|
Notifyview |
該組對應的可以發Trap消息的MIB視圖名 |
|
Storage-type |
存儲方式,有以下幾種類型:volatile、nonVolatile、permanent、readOnly、other,請參見表1-1 |
【命令】
display snmp-agent local-engineid [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent local-engineid命令用來顯示設備的SNMP實體引擎ID。
SNMP實體引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP實體引擎是SNMP實體的重要組成部分,完成SNMP消息的消息調度、消息處理、安全驗證、訪問控製等功能。
【舉例】
# 顯示本地設備的SNMP實體引擎ID。
<Sysname> display snmp-agent local-engineid
SNMP local EngineID: 800007DB7F0000013859
【命令】
display snmp-agent mib-view [ exclude | include | viewname view-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
exclude:顯示屬性為exclude的MIB視圖的信息。
include:顯示屬性為include的MIB視圖的信息。
viewname view-name:顯示指定名稱MIB視圖的信息,view-name表示視圖的名稱。
| { begin | exclude | include } regular-expression:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。其中:
· begin:從包含指定正則表達式的行開始顯示。
· exclude:隻顯示不包含指定正則表達式的行。
· include:隻顯示包含指定正則表達式的行。
· regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent mib-view命令用來顯示MIB視圖的信息。
不帶參數時,顯示所有MIB視圖的信息。
【舉例】
# 顯示設備的所有MIB視圖。
<Sysname> display snmp-agent mib-view
View name:ViewDefault
MIB Subtree:iso
Subtree mask:
Storage-type: nonVolatile
View Type:included
View status:active
View name:ViewDefault
MIB Subtree:snmpUsmMIB
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
View name:ViewDefault
MIB Subtree:snmpVacmMIB
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
View name:ViewDefault
MIB Subtree:snmpModules.18
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
ViewDefault是設備的缺省MIB視圖。使用ViewDefault視圖名限製NMS訪問時,則表示除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。
表1-3 display snmp-agent mib-view命令顯示信息描述表
|
字段 |
描述 |
|
View name |
視圖名 |
|
MIB Subtree |
該視圖對應的MIB子樹 |
|
Subtree mask |
MIB子樹的掩碼 |
|
Storage-type |
存儲方式 |
|
View Type |
MIB視圖的類型(即該視圖與MIB子樹的關係),包括included和excluded兩種: · included表示當前視圖包括該子樹的所有節點,即可以訪問子樹內的所有MIB對象 · excluded表示當前視圖不包括該子樹的任意節點,即子樹內的所有MIB對象都不能被訪問 |
|
View status |
用來指示MIB視圖的狀態 |
【命令】
display snmp-agent statistics [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent statistics命令用來顯示SNMP報文的統計信息。
【舉例】
# 顯示SNMP報文的統計信息。
<Sysname> display snmp-agent statistics
1684 Messages delivered to the SNMP entity
5 Messages which were for an unsupported version
0 Messages which used a SNMP community name not known
0 Messages which represented an illegal operation for the community supplied
0 ASN.1 or BER errors in the process of decoding
1679 Messages passed from the SNMP entity
0 SNMP PDUs which had badValue error-status
0 SNMP PDUs which had genErr error-status
0 SNMP PDUs which had noSuchName error-status
0 SNMP PDUs which had tooBig error-status (Maximum packet size 1500)
16544 MIB objects retrieved successfully
2 MIB objects altered successfully
7 GetRequest-PDU accepted and processed
7 GetNextRequest-PDU accepted and processed
1653 GetBulkRequest-PDU accepted and processed
1669 GetResponse-PDU accepted and processed
2 SetRequest-PDU accepted and processed
0 Trap PDUs accepted and processed
0 Alternate Response Class PDUs dropped silently
0 Forwarded Confirmed Class PDUs dropped silently
表1-4 display snmp-agent statistics命令顯示信息描述表
|
字段 |
描述 |
|
Messages delivered to the SNMP entity |
SNMP Agent收到的數據報文個數 |
|
Messages which were for an unsupported version |
版本不支持的數據報文個數 |
|
Messages which used a SNMP community name not known |
使用了非法團體名的數據報文個數 |
|
Messages which represented an illegal operation for the community supplied |
包含了超出團體名權限的操作的數據報文個數 |
|
ASN.1 or BER errors in the process of decoding |
在解碼過程中發生ASN.1或BER錯誤的數據報文個數 |
|
Messages passed from the SNMP entity |
Agent收到的來自別的SNMP實體的數據報文個數 |
|
SNMP PDUs which had badValue error-status |
錯誤類型為BadValues的數據報文個數 |
|
SNMP PDUs which had genErr error-status |
General錯誤的數據報文個數 |
|
SNMP PDUs which had noSuchName error-status |
NoSuchName錯誤的數據報文個數 |
|
SNMP PDUs which had tooBig error-status (Maximum packet size 1500) |
TooBig錯誤的數據報文個數(最大報文尺寸1500字節) |
|
MIB objects retrieved successfully |
已成功獲取的MIB對象個數 |
|
MIB objects altered successfully |
已成功修改的MIB對象個數 |
|
GetRequest-PDU accepted and processed |
已接收並處理的Get請求的個數 |
|
GetNextRequest-PDU accepted and processed |
已接收並處理的GetNext請求的個數 |
|
GetBulkRequest-PDU accepted and processed |
已接收並處理的GetBulk請求的個數 |
|
GetResponse-PDU accepted and processed |
已接收並處理的Get響應的個數 |
|
SetRequest-PDU accepted and processed |
已接收並處理的Set請求的個數 |
|
Trap PDUs accepted and processed |
已接收並處理的Trap消息的個數 |
|
Alternate Response Class PDUs dropped silently |
被丟棄的響應數據報文個數 |
|
Forwarded Confirmed Class PDUs dropped silently |
被丟棄的轉發數據報文個數 |
【命令】
display snmp-agent sys-info [ contact | location | version ] * [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
contact:顯示當前設備維護人的聯係信息。
location:顯示當前設備的物理位置信息。
version:顯示當前設備中運行的SNMP版本號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent sys-info命令用來顯示當前SNMP設備的係統信息。
不指定參數時,顯示設備的全部係統信息。
【舉例】
# 顯示設備係統信息。
<Sysname> display snmp-agent sys-info
The contact person for this managed node:
New H3C Technologies Co., Ltd.
The physical location of this node:
Hangzhou, China
SNMP version running in the system:
SNMPv3
【命令】
display snmp-agent trap queue [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent trap queue命令用來顯示Trap消息隊列的基本信息,包括Trap隊列名、隊列長度,以及隊列中當前Trap消息的數量。
相關配置可參考命令snmp-agent trap life和snmp-agent trap queue-size。
【舉例】
# 顯示當前trap隊列的配置及使用情況。
<Sysname> display snmp-agent trap queue
Queue name: SNTP
Queue size: 100
Message number: 6
表1-5 display snmp-agent trap queue命令顯示信息描述表
|
字段 |
描述 |
|
Queue name |
Trap消息隊列名 |
|
Queue size |
Trap消息隊列長度 |
|
Message number |
Trap消息隊列中當前Trap消息的個數 |
【命令】
display snmp-agent trap-list [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent trap-list命令用來顯示係統當前可以生成Trap消息的模塊及其Trap消息的使能狀態。
如果一個模塊包含多個子模塊,則隻要有任何一個子模塊的Trap信息是使能的,就顯示整個模塊是使能的。
相關配置可參考命令snmp-agent trap enable。
【舉例】
# 顯示係統當前可以生成Trap消息的模塊及其Trap消息的使能狀態。
<Sysname> display snmp-agent trap-list
acfp trap enable
bfd trap enable
bgp trap enable
configuration trap enable
flash trap enable
fr trap enable
isdn trap enable
mpls trap enable
ospf trap enable
standard trap enable
system trap enable
vrrp trap enable
wlan trap enable
voice trap disable
Enable traps: 14; Disable traps: 1
以上顯示信息中enable表示允許該模塊生成Trap消息,disable表示不允許該模塊生成Trap消息。enable或者disable可以通過命令行配置。
【命令】
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ]* [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
engineid engineid:顯示指定引擎ID的SNMPv3用戶信息,engineid表示SNMP引擎ID。SNMPv3用戶創建的時候,係統會記錄當時設備的SNMP實體引擎ID,如果設備的引擎ID被修改,則被創建的SNMPv3用戶將暫時無效,隻有引擎ID恢複後,才能繼續生效。
username user-name:顯示指定名字的SNMPv3用戶信息,區分大小寫。
group group-name:顯示屬於指定SNMP組的SNMPv3用戶信息,區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display snmp-agent usm-user命令用來顯示SNMPv3用戶信息。
使用snmp-agent usm-user命令可以創建SNMPv1/v2c/v3用戶,如果創建是的SNMPv1/v2c用戶,係統自動添加一個新的同名的隻讀團體名,並將這個用戶當成SNMPv1/v2c團體來處理。所以,不能通過display snmp-agent usm-user命令來查看SNMPv1/v2c用戶的信息,能通過display snmp-agent community查看SNMPv1/v2c用戶對應的團體的信息。
相關配置可參考命令snmp-agent usm-user v3。
【舉例】
# 顯示設備上已創建的SNMPv3用戶的信息。
<Sysname> display snmp-agent usm-user
User name: userv3
Group name: mygroupv3
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
User name: userv3code
Group name: groupv3code
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
表1-6 display snmp-agent usm-user命令顯示信息描述表
|
字段 |
描述 |
|
User name |
SNMP用戶名 |
|
Group name |
SNMP用戶所屬組的組名 |
|
Engine ID |
SNMP實體引擎ID |
|
Storage-type |
存儲類型,有以下幾種類型:volatile、nonVolatile、permanent、readOnly、other,請參見表1-1 |
|
UserStatus |
SNMP用戶的狀態 |
【命令】
enable snmp trap updown
undo enable snmp trap updown
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
enable snmp trap updown命令用來在端口下設置開啟端口狀態變化的Trap功能。undo enable snmp trap updown命令用來在端口下關閉端口狀態變化的Trap功能。
缺省情況下,端口狀態變化的Trap功能處於開啟狀態。
需要注意的是,如果要求端口在狀態發生改變時生成端口linkUp/linkDown的Trap報文,需要在端口下和全局都開啟端口狀態變化的Trap功能。端口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable [ standard [ linkdown | linkup ] * ]。
相關配置可參考命令snmp-agent target-host和snmp-agent trap enable。
【舉例】
# 允許發送端口Ethernet1/1的linkUp/linkDown的SNMP Trap報文,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] enable snmp trap updown
【命令】
snmp-agent
undo snmp-agent
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
snmp-agent命令用來啟動SNMP Agent。undo snmp-agent命令用來關閉SNMP Agent。
缺省情況下,SNMP Agent功能關閉。
執行除snmp-agent calculate-password外任何以snmp-agent開頭的命令,都可以啟動SNMP Agent服務。
【舉例】
# 開啟設備的SNMP Agent功能。
<Sysname> system-view
[Sysname] snmp-agent
【命令】
在非FIPS模式下:
snmp-agent calculate-password plain-password mode { 3desmd5 | 3dessha | md5 | sha } { local-engineid | specified-engineid engineid }
在FIPS模式下:
snmp-agent calculate-password plain-password mode sha { local-engineid | specified-engineid engineid }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
plain-password:需要被加密的明文密碼。
mode:指明使用的加密算法和認證算法。AES、3DES和DES都是加密算法,這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。對於普通的安全要求,DES算法就可以滿足需要;MD5和SHA-1是認證算法,MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。
· 3desmd5:用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為MD5,加密算法必須為3DES。MD5和3DES的相關內容請參見“安全配置指導”中的“IPsec”。
· 3dessha:用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為SHA-1,加密算法必須為3DES。SHA-1和3DES的相關內容請參見“安全配置指導”中的“IPsec”。
· md5:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證算法必須為MD5;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為MD5,加密算法可以為AES也可以是DES(當認證算法為MD5時,加密算法不管是AES還是DES,轉換後的結果是一樣的)。AES和DES的相關內容請參見“安全配置指導”中的“IPsec”。
· sha:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證算法必須為SHA-1;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為SHA-1,加密算法可以為AES也可以是DES(當認證算法為SHA-1時,加密算法不管是AES還是DES,轉換後的結果是一樣的)。
local-engineid:使用本地引擎ID計算密文密碼,引擎ID的相關描述與配置可參考命令snmp-agent local-engineid。
specified-engineid:使用用戶指定的引擎ID計算密文密碼。
engineid:引擎ID,為16進製數字符串,長度必須為10~64中的偶數。奇數個16進製數字符串、全0和全F均被認為是無效參數。
【描述】
snmp-agent calculate-password命令用來計算用戶給定明文密碼通過加密算法處理後的密文密碼。
需要注意的是,執行本命令前,必須先使能設備的SNMP功能。
在創建SNMPv3用戶,如果指明認證或者加密密碼采用密文形式時,則可以借助此命令生成相應的密文密碼。
生成的密碼是和引擎ID相關聯的,在某一引擎ID下生成的密碼,也隻在此引擎ID下生效。
在FIPS模式下,3DES加密密碼和MD5認證密碼均不支持,隻支持SHA認證密碼。
相關配置可參考命令snmp-agent usm-user v3。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 使用本地engine ID和MD5認證算法計算明文為authkey的加密密碼。
<Sysname> system-view
[Sysname] snmp-agent calculate-password authkey mode md5 local-engineid
The secret key is: 09659EC5A9AE91BA189E5845E1DDE0CC
【命令】
snmp-agent community { read | write } [ cipher ] community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent community { read | write } [ cipher ] community-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
read:表明對MIB對象進行隻讀的訪問。NMS使用該團體名訪問Agent時隻能執行讀操作。
write:表明對MIB對象進行讀寫的訪問。NMS使用該團體名訪問Agent時可以執行讀、寫操作。
cipher:表示以密文方式配置團體名並以密文方式保存到配置文件中。不指定該參數時,表示以明文方式配置團體名並以明文方式保存到配置文件中。
community-name:團體名。當以明文方式配置時,團體名為1~32個字符的字符串;當以密文方式配置時,團體名為1~73個字符的字符串。
mib-view view-name:用來指定NMS可以訪問的MIB對象的範圍,view-name表示MIB視圖名,為1~32個字符的字符串,缺省值為ViewDefault。
acl acl-number:將團體名與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以允許或禁止具有特定源IP地址的NMS對Agent的訪問。
acl ipv6 ipv6-acl-number:將團體名與IPv6基本訪問控製列表綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。使用IPv6基本ACL,可以允許或禁止具有特定源IPv6地址的NMS對Agent的訪問。
【描述】
snmp-agent community命令用來創建一個新的SNMP團體,可設置的參數有訪問權限、團體名、訪問控製列表和可訪問的MIB視圖。undo snmp-agent community命令用來刪除指定的團體。
該命令用於SNMPv1和v2c組網環境。
團體是NMS和SNMP Agent的集合,用團體名來標誌。團體名相當於密碼,團體內的設備通信時需要使用團體名來進行認證。隻有NMS和SNMP Agent上配置的團體名相同時,才能互相訪問。通常情況下,“public”經常被用來作為讀權限團體名、“private”經常被用來作為寫權限團體名。為了安全起見,建議網絡管理員配置其他團體名。
· acl參數,限製了隻有IP地址符合條件的NMS可以訪問Agent。
· community-name參數限製了NMS訪問Agent時使用的團體名。
· mib-view參數限製了NMS可以訪問的Agent上的MIB對象。
· read、write參數限製了NMS可以對Agent執行的操作類型。
需要注意的是,本命令在FIPS模式下不可用。
相關配置可參考命令snmp-agent mib-view。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 設置團體readaccess,並且允許使用該團體名進行隻讀訪問。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent community read readaccess
在NMS上將版本號設置為SNMPv1或者SNMPv2c,並將隻讀團體名填寫為readaccess,建立連接,就可以對設備上缺省視圖(視圖名為ViewDefault)內的MIB對象進行隻讀操作。
# 設置團體名writeaccess,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名設置Agent MIB對象的值,禁止其它NMS使用該團體名執行寫操作。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent community write writeaccess acl 2001
將NMS的IP地址配置為1.1.1.1,版本號指定為SNMPv2c,Write community選項填寫為writeaccess,即可以對設備上缺省視圖(視圖名為ViewDefault)內的MIB對象進行讀寫操作。
# 設置團體名wr-sys-acc,使用該團體名訪問設備時隻能對system(OID為1.3.6.1.2.1.1)子樹下的MIB對象執行寫操作。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] undo snmp-agent mib-view ViewDefault
[Sysname] snmp-agent mib-view included test system
[Sysname] snmp-agent community write wr-sys-acc mib-view test
在NMS上將版本號設置為SNMPv1或者SNMPv2c,並將Write community填寫為wr-sys-acc,建立連接,就可以對設備上system視圖內的MIB對象進行讀寫操作。
【命令】
SNMPv1和v2c版本下的命令格式是:
snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent group { v1 | v2c } group-name
SNMPv3版本下的命令格式是:
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent group v3 group-name [ authentication | privacy ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
v1:用戶使用SNMPv1版本,在FIPS模式下,不支持該參數。
v2c:用戶使用SNMPv2c版本,在FIPS模式下,不支持該參數。
v3:用戶使用SNMPv3版本。
group-name:組名,為1~32個字符的字符串。
authentication:指明對報文進行認證但不加密。
privacy:指明對報文進行認證和加密。
read-view view-name:用來指定NMS具有讀權限的MIB對象的範圍,view-name表示MIB視圖名,為1~32個字符的字符串。缺省值為ViewDefault。
write-view view-name:用來指定NMS具有寫權限的MIB對象的範圍,view-name表示MIB視圖名,為1~32個字符的字符串。缺省情況下,未配置讀寫視圖,即NMS不能對設備的所有MIB對象進行寫操作。
notify-view view-name:表示該MIB視圖下的節點狀態異常時可以向NMS發送Trap消息,NMS也可以接收這些Trap信息。view-name表示MIB視圖名,為1~32個字符的字符串。缺省情況下,未配置Trap消息視圖,即Agent不會向NMS發送Trap信息。
acl acl-number:將組與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而進一步限製NMS和Agent的互訪。
acl ipv6 ipv6-acl-number:將團體名與IPv6基本訪問控製列表綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。使用IPv6基本ACL,可以允許或禁止具有特定源IPv6地址的NMS對Agent的訪問。
【描述】
snmp-agent group命令用來配置一個新的SNMP組,並設置其訪問權限。undo snmp-agent group命令用來刪除一個指定的SNMP組。
缺省情況下,不存在任何SNMP組。
不指定authentication和privacy參數時,snmp-agent group v3命令配置的新的SNMP組采用不認證、不加密方式。
SNMP組用來定義安全模式、視圖權限等信息,配置在此組內的用戶,具有這些公共屬性。
需要注意的是,在FIPS模式下設備隻支持SNMPv3版本。
相關配置可參考命令snmp-agent mib-view和snmp-agent usm-user。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 在運行SNMPv3版本的設備上創建一個SNMP組group1,采用不認證、不加密方式。
<Sysname> system-view
[Sysname] snmp-agent group v3 group1
【命令】
snmp-agent local-engineid engineid
undo snmp-agent local-engineid
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
engineid:引擎ID,為16進製數字符串,長度必須為10-64中的偶數。奇數個16進製數字符串、全0和全f均被認為是無效參數。
【描述】
snmp-agent local-engineid命令用來設置本地SNMP實體的引擎ID。undo snmp-agent local-engineid命令用來恢複缺省情況。
缺省情況下,設備引擎ID為公司的“企業號+設備信息”。設備信息由各個產品決定,可以是IP地址、MAC地址或者自定義的16進製數字符串。
引擎ID有兩個作用:
· 在一個NMS管理的所有設備中,每一個設備都需要有一個唯一的引擎ID來標識SNMP agent,缺省情況下每個設備有一個缺省的引擎ID,網絡管理員需要確保一個管理域內不能有重複的引擎ID。
· SNMPv3版本的用戶名、密文密碼等的生成都和引擎ID相關聯,如果更改了引擎ID,則原引擎ID下配置的用戶名、密碼失效。
通常情況下,使用設備的缺省引擎ID即可,用戶也可以根據網絡整體規劃給設備配置方便記憶的引擎ID,比如A棟一樓的一號設備可以將它的引擎ID設置為000Af0010001,二號設備可以配置為000Af0010002。
相關配置可參考命令snmp-agent usm-user。
【舉例】
# 配置本地設備的引擎ID為123456789A。
<Sysname> system-view
[Sysname] snmp-agent local-engineid 123456789A
【命令】
snmp-agent log { all | get-operation | set-operation }
undo snmp-agent log { all | get-operation | set-operation }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
all:表示SNMP GET和SET操作的日誌開關。
get-operation:表示SNMP GET操作的日誌開關。
set-operation:表示SNMP SET操作的日誌開關。
【描述】
snmp-agent log命令用來打開SNMP日誌開關。undo snmp-agent log命令用來恢複缺省情況。
缺省情況下,SNMP日誌開關處於關閉狀態。
當打開SNMP指定的日誌開關後,NMS對SNMP Agent執行指定的操作時,SNMP Agent會記錄與該操作相關的信息並保存到設備的信息中心。通過設置信息中心的參數,最終決定SNMP日誌的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 打開SNMP GET操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log get-operation
# 打開SNMP SET操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log set-operation
【命令】
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]
undo snmp-agent mib-view view-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
excluded:表示當前視圖不包括該MIB子樹的任何節點(即禁止訪問MIB子樹的所有節點)。
included:表示當前視圖包括該MIB子樹的所有節點(即允許訪問MIB子樹的所有節點)。
view-name:視圖名,為1~32個字符的字符串。
oid-tree:MIB子樹,用子樹根節點的OID(如1.4.5.3.1)或名稱(如“system”)表示。OID是由一係列的整數組成,標明節點在MIB樹中的位置,它能唯一的標識一個MIB庫中的對象。
mask mask-value:MIB子樹的掩碼,為16進製數字符串,長度必須為1-32中的偶數。不指定該參數時,該參數的取值為全f。
【描述】
snmp-agent mib-view命令用來創建或者更新MIB視圖的信息,以指定NMS可以訪問的MIB對象。undo snmp-agent mib-view命令用來取消當前設置。
缺省情況下,設備上已存在MIB視圖ViewDefault,它包含MIB子樹iso中去除snmpUsmMIB、snmpVacmMIB和snmpModules.18的部分。
MIB視圖是MIB對象的集合,通過定義MIB視圖可以限製NMS能訪問哪些MIB對象,不能訪問哪些MIB對象。比如,使用缺省視圖限製NMS的訪問權限時,則表示除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。
用戶多次使用該命令定義不同的MIB視圖時,如果配置的view-name和oid-tree參數值相同,隻有mask-value參數值不同,則新配置將覆蓋舊配置;如果配置的view-name和oid-tree參數值不同(mask-value參數值可同可不同),則新舊配置均生效。係統最多可保存20條MIB視圖配置,其中缺省視圖的配置占四條。當然,缺省視圖可以通過undo snmp-agent mib-view命令刪除,但是刪除以後,可能導致不能對Agent的所有MIB節點執行讀寫操作,除非另外手工配置視圖。
相關配置可參考命令snmp-agent community和snmp-agent group。
【舉例】
# 創建MIB視圖,名字為mibtest,包含mib-2子樹的所有對象,不包含ip子樹的所有對象。
<Sysname> system-view
[Sysname] snmp-agent mib-view included mibtest 1.3.6.1
[Sysname] snmp-agent mib-view excluded mibtest ip
[Sysname] snmp-agent community read public mib-view mibtest
以上配置成功後,當NMS使用SNMPv1版本,public團體名訪問設備時,不能查詢ip子樹的所有對象(比如ipForwarding和ipDefaultTTL等節點),可以查詢mib-2子樹下的其它所有對象。
【命令】
snmp-agent packet max-size byte-count
undo snmp-agent packet max-size
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
byte-count:Agent能接收/發送的SNMP消息包長度的最大值,取值範圍為484~17940,單位為字節。
【描述】
snmp-agent packet max-size命令用來設置Agent能接收/發送的SNMP消息包長度的最大值。undo snmp-agent packet max-size命令用來恢複缺省情況。
缺省情況下,Agent能接收/發送的SNMP消息包長度的最大值為1500字節。
設置消息包的最大長度,是為了防止路由通路中存在不支持分片的主機,而導致超長數據被丟棄。通常情況下,請使用缺省值。
【舉例】
# 設置Agent能接收/發送的SNMP消息包最長為1024字節。
<Sysname> system-view
[Sysname] snmp-agent packet max-size 1024
【命令】
在非FIPS模式下:
snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }
undo snmp-agent sys-info { contact | location | version { all | { v1 | v2c | v3 }* } }
在FIPS模式下:
snmp-agent sys-info { contact sys-contact | location sys-location | version v3 }
undo snmp-agent sys-info { contact | location | version v3 }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
contact sys-contact:描述係統維護聯係信息,為1~200個字符的字符串。
location sys-location:設備節點的物理位置信息,為1~200個字符的字符串。
version:設置係統啟用的SNMP版本號。
· all:SNMPv1、SNMPv2c、SNMPv3版本。
· v1:SNMPv1版本。
· v2c:SNMPv2c版本。
· v3:SNMPv3版本。
【描述】
snmp-agent sys-info命令用來設置係統信息,包括係統維護聯係信息、設備節點的物理位置信息、啟用的SNMP版本號等。undo snmp-agent sys-info contact和undo snmp-agent sys-info location命令用來恢複缺省情況,undo snmp-agent sys-info version命令用來禁止使用指定版本的SNMP功能。
缺省情況下,係統維護聯係信息為“New H3C Technologies Co., Ltd.”。物理位置信息為“Hangzhou, China”。版本為SNMPv3。
NMS和Agent成功建立連接的前提條件是NMS和Agent使用的SNMP版本必須相同。
需要注意的是,在FIPS模式下設備隻支持SNMPv3版本。
相關配置可參考命令display snmp-agent sys-info。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
如果設備發生故障,設備維護人員可以利用係統維護聯係信息,及時與設備生產廠商取得聯係。設備的位置信息是RFC1213-MIB中system組的一個管理變量,用於表示被管理設備的位置。
【舉例】
# 設置係統維護聯係信息為Dial System Operator at beeper # 27345。
<Sysname> system-view
[Sysname] snmp-agent sys-info contact Dial System Operator at beeper # 27345
【命令】
snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]
undo snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string [ vpn-instance vpn-instance-name ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
trap:配置用來接收Trap和Notify信息的目的主機的參數。
address:指定設備發出的SNMP消息中的目的地址。
udp-domain:指定使用UDP協議來傳輸SNMP Trap信息。
ip-address:接收Trap的目的主機的IPv4地址或主機名。主機名為1~255個字符的字符串。
ipv6 ipv6-address:接收Trap的目的主機的IPv6地址。
udp-port port-number:指定目的主機上用來接收Trap信息的端口號,缺省值為162。
vpn-instance vpn-instance-name:指定目的主機所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示目的主機位於公網中。該參數隻支持在IPv4網絡使用。
params securityname security-string:指定認證的參數,為SNMPv1、SNMPv2c的團體名或SNMPv3的用戶名,為1~32個字符的字符串。
v1:SNMPv1版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。在FIPS模式下,不支持該參數。
v2c:SNMPv2c版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。在FIPS模式下,不支持該參數。
v3:SNMPv3版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。
· authentication:指明對報文進行認證但不加密。認證是對報文是否完整以及是否被篡改等進行檢驗,認證密碼在創建SNMPv3用戶時配置。
· privacy:指明對報文進行認證和加密。加密是對報文的數據部分進行加密處理以防重要信息被竊取,認證密碼和加密密碼在創建SNMPv3用戶時配置。
【描述】
snmp-agent target-host命令用來設置接收SNMP Trap報文的目的主機的屬性。undo snmp-agent target-host命令用來取消當前設置。
根據實際組網需要,用戶可以多次使用該命令配置不同的目的主機的屬性,使得設備可以向多個NMS發送Trap信息。最多可以配置的目的主機的個數為20。
· 不指定udp-port port-number參數時,使用的端口號為162。162是SNMP協議規定的NMS接收Trap報文的端口,通常情況下(比如使用iMC或者MIB Browser作為NMS時),使用該缺省值即可。如果要將該參數修改為其它值,則必須和NMS上的配置保持一致。
· 不指定v1、v2c、v3版本參數時,使用的版本是v1。
· 不指定authentication和privacy參數時,使用的是不認證不加密。
需要注意的是,在FIPS模式下設備隻支持SNMPv3版本。
相關配置可參考命令enable snmp trap updown、snmp-agent trap enable、snmp-agent trap source和snmp-agent trap life。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 允許向10.1.1.1發送SNMPv1 Trap報文,使用團體名public。
<Sysname> system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
# 允許向vpn1中,地址為10.1.1.1的設備發送SNMPv3 Trap報文,使用用戶名v3test。
<Sysname> system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 vpn-instance vpn1 params securityname v3test v3
【命令】
snmp-agent trap enable [ acfp [ client | policy | rule | server ] | bfd | bgp | configuration | default-route | flash | fr | isdn [ call-clear | call-setup | lapd-status ] | mpls | ospf [ process-id ] [ ifauthfail | ifcfgerror | ifrxbadpkt | ifstatechange | iftxretransmit | lsdbapproachoverflow | lsdboverflow | maxagelsa | nbrstatechange | originatelsa | vifcfgerror | virifauthfail | virifrxbadpkt | virifstatechange | viriftxretransmit | virnbrstatechange ] * | pim [ candidatebsrwinelection | electedbsrlostelection | interfaceelection | invalidjoinprune | invalidregister | neighborloss | rpmappingchange ] * | posa | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system | voice dial | vrrp [ authfailure | newmaster ] | wlan ]
undo snmp-agent trap enable [ acfp [ client | policy | rule | server ] | bfd | bgp | configuration | default-route | flash | fr | isdn [ call-clear | call-setup | lapd-status ] | mpls | ospf [ process-id ] [ ifauthfail | ifcfgerror | ifrxbadpkt | ifstatechange | iftxretransmit | lsdbapproachoverflow | lsdboverflow | maxagelsa | nbrstatechange | originatelsa | vifcfgerror | virifauthfail | virifrxbadpkt | virifstatechange | viriftxretransmit | virnbrstatechange ] * | pim [ candidatebsrwinelection | electedbsrlostelection | interfaceelection | invalidjoinprune | invalidregister | neighborloss | rpmappingchange ] * | posa | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system | voice dial | vrrp [ authfailure | newmaster ] | wlan ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
acfp:ACFP模塊的Trap報文。
· client:ACFP client的Trap報文。
· policy:ACFP聯動策略的Trap報文。
· rule:ACFP聯動規則的Trap報文。
· server:ACFP server的Trap報文。
bfd:BFD模塊的Trap報文。
bgp:BGP模塊的Trap報文。
configuration:配置操作的Trap報文。
default-route:默認路由刪除時發送的Trap報文。
flash:FLASH相關的Trap報文。
fr:FR(Frame Relay)虛鏈路狀態變化時的Trap報文。
isdn:ISDN模塊的Trap報文。
· call-clear:ISDN呼叫拆除時發送的Trap報文。
· call-setup:ISDN呼叫建立時發送的Trap報文。
· lapd-status:ISDN鏈路狀態變化時發送的Trap報文。
mpls:MPLS模塊的Trap報文。
ospf:OSPF模塊的Trap報文。
· process-id:OSPF進程號,取值範圍為1~65535。
· ifauthfail:接口認證失敗的Trap報文。
· ifcfgerror:接口配置錯誤的Trap報文。
· ifrxbadpkt:接收了錯誤報文時發送的Trap報文。
· ifstatechange:接口狀態變化的Trap報文。
· iftxretransmit:接口接收和轉發報文的Trap報文。
· lsdbapproachoverflow:LSDB接近溢出的Trap報文。
· lsdboverflow:LSDB溢出的Trap報文。
· maxagelsa:LSA的max age Trap報文。
· nbrstatechange:鄰居狀態變化的Trap報文。
· originatelsa:本地生成LSA的Trap報文。
· vifcfgerror:虛接口配置錯誤的Trap報文。
· virifauthfail:虛接口認證失敗的Trap報文。
· virifrxbadpkt:虛接口接收錯誤報文的Trap報文。
· virifstatechange:虛接口狀態變化的Trap報文。
· viriftxretransmit:虛接口接收和轉發報文的Trap報文。
· virnbrstatechange:虛接口鄰居狀態變化的Trap報文。
pim:PIM模塊的Trap報文。
· candidatebsrwinelection:C-BSR在BSR選舉中獲勝的Trap報文。
· electedbsrlostelection:當前BSR在BSR選舉中失敗的Trap報文。
· interfaceelection:接口選舉出新DR或DF的Trap報文。
· invalidjoinprune:接收了錯誤加入/剪枝報文時發送的Trap報文。
· invalidregister:接收了錯誤注冊報文時發送的Trap報文。
· neighborloss:鄰居丟失的Trap報文。
· rpmappingchange:當前RP-Set變化時發送的Trap報文。
posa:POSA模塊的Trap報文。
standard:SNMP標準Trap報文。
· authentication:認證失敗時,SNMP模塊的認證失敗的Trap報文。
· coldstart:當設備重新啟動時,冷啟動Trap報文。
· linkdown:在全局下設置,當端口的鏈路down時,鏈路down的Trap報文。
· linkup:在全局下設置,當端口的鏈路up時,鏈路up的Trap報文。
· warmstart:當SNMP模塊重新啟動時,熱啟動Trap報文。
system:係統事件(私有MIB下)的Trap報文。
voice dial:語音模塊的Trap報文。
vrrp:VRRP模塊的Trap報文。
· authfailure:VRRP認證失敗的Trap報文。
· newmaster:當設備升級為Master時,VRRP newmaster Trap報文。
wlan:WLAN模塊的Trap報文。
【描述】
snmp-agent trap enable命令用來在全局下開啟Trap功能。undo snmp-agent trap enable命令用來在全局下關閉Trap功能。
缺省情況下,隻有語音模塊的Trap功能處於關閉狀態,其它模塊的Trap功能處於開啟狀態。
要使各個模塊生成相應的Trap報文,除了使用snmp-agent trap enable命令開啟Trap功能,還可能與各個模塊的配置有關,詳情請參見各模塊的相關描述。
需要注意的是,如果要求端口在狀態發生改變時生成端口linkUp/linkDown的Trap報文,需要在端口下和全局都開啟端口狀態變化的Trap功能。端口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable [ standard [ linkdown | linkup ] * ]。
相關配置可參考命令snmp-agent target-host和enable snmp trap updown。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
snmp-agent trap enable |
acfp |
不支持 |
|
MSR 900 |
不支持 |
||
|
MSR900-E |
不支持 |
||
|
MSR 930 |
不支持 |
||
|
MSR 20-1X |
支持 |
||
|
MSR 20 |
不支持 |
||
|
MSR 30 |
支持 |
||
|
MSR 50 |
支持 |
||
|
MSR 2600 |
不支持 |
||
|
MSR3600-51F |
支持 |
【舉例】
# 允許向10.1.1.1發送SNMP認證失敗Trap報文,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] snmp-agent trap enable standard authentication
【命令】
snmp-agent trap if-mib link extended
undo snmp-agent trap if-mib link extended
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
snmp-agent trap if-mib link extended命令用來對標準linkUp/linkDown Trap報文進行私有擴展,擴展後的Trap報文由標準報文後追加接口描述和接口類型信息構成。undo snmp-agent trap if-mib link extended命令用來恢複缺省情況。
缺省情況下,使用的是標準linkUp/linkDown Trap報文。
· 標準格式的linkUp Trap報文形如:
#Apr 24 11:48:04:896 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4<linkUp>: Interface 983555 is Up, ifAdminStatus is 1, ifOperStatus is 1
· 擴展格式的linkUp Trap報文形如:
#Apr 24 11:43:09:896 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4<linkUp>: Interface 983555 is Up, ifAdminStatus is 1, ifOperStatus is 1, ifDescr is Ethernet1/1, ifType is 6
· 標準格式的linkDown Trap報文形如:
#Apr 24 11:47:35:224 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.3<linkDown>: Interface 983555 is Down, ifAdminStatus is 2, ifOperStatus is 2
· 擴展格式的linkDown Trap報文形如:
#Apr 24 11:42:54:314 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.3<linkDown>: Interface 983555 is Down, ifAdminStatus is 2, ifOperStatus is 2, ifDescr is Ethernet1/1, ifType is 6
需要注意的是,配置該命令後,設備發送的linkUp/linkDown Trap報文為擴展格式的報文。如果NMS不支持擴展格式,可能會無法解析報文的內容。
【舉例】
# 對標準linkUp/linkDown Trap報文進行私有擴展。
[Sysname] snmp-agent trap if-mib link extended
【命令】
snmp-agent trap life seconds
undo snmp-agent trap life
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
seconds:超時時間,取值範圍為1~2592000,單位為秒。
【描述】
snmp-agent trap life命令用來設置Trap報文的保存時間,超過該時間的Trap報文都將被丟棄。undo snmp-agent trap life命令用來恢複缺省情況。
缺省情況下,SNMP Trap報文的保存時間為120秒。
SNMP模塊使用隊列來發送Trap報文,Trap報文進入消息發送隊列時會啟動一個存活定時器。如果直到定時器超時(即達到snmp-agent trap life命令設置的時間),Trap報文還沒有被發送出去,係統就會將該Trap報文從發送隊列中刪除。
相關配置可參考命令snmp-agent trap enable和snmp-agent target-host。
【舉例】
# 設置Trap報文的保存時間為60秒。
<Sysname> system-view
[Sysname] snmp-agent trap life 60
【命令】
snmp-agent trap queue-size size
undo snmp-agent trap queue-size
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
size:消息隊列中可以存儲的Trap報文的數目,取值範圍1~1000。
【描述】
snmp-agent trap queue-size命令用來設置Trap報文發送隊列的長度。undo snmp-agent trap queue-size命令用來恢複缺省情況。
缺省情況下,Trap報文的發送隊列最多可以存儲100條Trap消息。
Trap報文產生後,會進入Trap報文消息隊列進行發送,Trap報文消息隊列的長度決定了隊列最多可以存儲的Trap報文的數目。當Trap消息隊列達到設定長度後,最新生成的Trap報文會進入消息隊列,最早產生的Trap報文被丟棄。
相關配置可參考命令snmp-agent trap enable、snmp-agent target-host和snmp-agent trap life。
【舉例】
# 設置發送Trap報文的消息隊列最多可以存儲200條Trap報文。
<Sysname> system-view
[Sysname] snmp-agent trap queue-size 200
【命令】
snmp-agent trap source interface-type { interface-number | interface-number.subnumber }
undo snmp-agent trap source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface-type { interface-number | interface-number.subnumber }:指定三層接口類型與接口編號。其中interface-number為主接口編號;subnumber為子接口編號,取值範圍為1~4094。
【描述】
snmp-agent trap source命令用來指定所發送Trap報文中的源IP地址。undo snmp-agent trap source命令用來恢複缺省情況。
缺省情況下,由SNMP選擇一個接口的IP地址作為Trap報文源IP地址。
執行該命令後,係統會使用指定接口的主IP地址作為發送出去的Trap報文的源IP地址。這樣,在NMS上就可以使用該IP地址唯一標誌Agent。即便Agent使用不同的出端口發送Trap報文,NMS都可以使用該IP地址來過濾Agent發送的所有Trap報文。
需要注意的是:在將某個接口設置為獲取Trap的源地址接口之前,必須保證該接口在設備上已經存在,並且配置了合法的IP地址,該IP地址將作為Trap報文的源地址。如果配置的接口不存在,則該命令會配置失敗;如果接口沒有指定合法的IP地址,則該命令不生效,接口配置了合法IP地址後,該命令會自動生效。
相關配置可參考命令snmp-agent trap enable和snmp-agent target-host。
【舉例】
# 將以太網端口Ethernet1/1上的接口IP地址作為Trap報文的源地址。
<Sysname> system-view
[Sysname] snmp-agent trap source ethernet 1/1
【命令】
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent usm-user { v1 | v2c } user-name group-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
v1:表示配置的用戶名適用於SNMPv1組網環境。如果Agent和NMS使用SNMPv1版本的報文交互,則需要該參數。
v2c:表示配置的用戶名適用於SNMPv2c組網環境。如果Agent和NMS使用SNMPv2c版本的報文交互,則需要該參數。
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
acl acl-number:將用戶與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
acl ipv6 ipv6-acl-number:將用戶與IPv6基本訪問控製列表綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。使用IPv6基本ACL,可以對SNMP報文的源IPv6地址進行限製,即允許或禁止具有特定源IPv6地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
【描述】
snmp-agent usm-user { v1 | v2c }命令用來為一個SNMPv1/v2c組添加一個新用戶。undo snmp-agent usm-user { v1 | v2c }命令用來刪除SNMPv1/v2c組的一個用戶。
· 根據協議規定,SNMPv1和SNMPv2c組網應用中NMS和Agent之間使用團體名來認證,SNMPv3組網應用中使用用戶名來認證。如果用戶習慣配置用戶名並使用用戶名來認證,設備支持配置SNMPv1和SNMPv2c用戶。
· 創建SNMPv1或SNMPv2c用戶時,係統自動添加一個新的同名的隻讀團體名,並將這個用戶當成SNMPv1/v2c團體來處理。所以,不能通過display snmp-agent usm-user命令來查看SNMPv1/v2c用戶的信息,能通過display snmp-agent community查看SNMPv1/v2c用戶對應的團體的信息。
· 將新創建的用戶名填寫到NMS的隻讀團體名參數字段,NMS就可以和設備建立SNMP連接。
· 要使配置的用戶生效,必須先創建組。
需要注意的是,本命令在FIPS模式下不可用。
相關配置可參考命令snmp-agent group和display snmp-agent community。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 在組readCom裏創建一個v2c的用戶userv2c。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom
將NMS的版本號指定為SNMPv2c,Read community選項填寫為userv2c,就可以訪問Agent了。
# 在組readCom裏創建一個v2c的用戶userv2c,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名訪問Agent,禁止其它NMS使用該用戶名訪問。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom acl 2001
此時在IP地址為1.1.1.1,版本號指定為SNMPv2c,Read community的NMS上,將SNMP協議版本號指定為SNMPv2c,Read community和Write community選項均填寫為userv2c,就可以訪問Agent了。
【命令】
在非FIPS模式下:
snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }
在FIPS模式下:
snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode sha auth-password [ privacy-mode aes128 priv-password ] ] [ acl acl-number ]
undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
cipher:以密文方式設置認證密碼和加密密碼。當使用16進製字符作為密文密碼時可以使用snmp-agent calculate-password命令來計算獲得。不指定該參數時,表示以明文方式設置認證密碼和加密密碼。
authentication-mode:指明安全模式為需要認證。MD5算法的計算速度比SHA算法快,而SHA算法的安全強度比MD5算法高。
· md5:指定認證算法為MD5。MD5的相關內容請參見“安全配置指導”中的“IPsec”。
· sha:指定認證算法為SHA-1。SHA的相關內容請參見“安全配置指導”中的“IPsec”。
auth-password:設置的明文認證密碼或密文認證密碼,區分大小寫。明文認證密碼的長度範圍是1~64;如果選擇密文方式和md5參數,則密碼可以為32個16進製格式的字符串,或長度為53的字符串;如果選擇sha參數,則密碼可以為40個16進製格式的字符串,或長度為57的字符串。
privacy-mode:指明安全模式為需要加密。加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。對於普通的安全要求,DES算法就可以滿足需要。
· 3des:指定加密算法為3DES(Triple Data Encryption Standard,三重數據加密標準)。3DES的相關內容請參見“安全配置指導”中的“IPsec”。
· aes128:指定加密算法為AES(Advanced Encryption Standard,高級加密標準)。AES的相關內容請參見“安全配置指導”中的“IPsec”。
· des56:指定加密算法為DES(Data Encryption Standard,數據加密標準)。DES的相關內容請參見“安全配置指導”中的“IPsec”。
priv-password:設置的明文加密密碼或密文加密密碼,區分大小寫。明文加密密碼的長度範圍是1~64;如果選擇密文方式,對密文加密密碼的要求請參見表1-7。
|
認證算法 |
加密算法 |
16進製格式的加密密碼 |
其它格式的加密密碼 |
|
md5 |
3des |
長度為64 可以用命令snmp-agent calculate-password指定參數3desmd5獲得 |
長度為73 |
|
aes128或des56 |
長度為32 可以用命令snmp-agent calculate-password指定參數md5獲得 |
長度為53 |
|
|
sha |
3des |
長度為64 可以用命令snmp-agent calculate-password指定參數3dessha獲得 |
長度為73 |
|
aes128或des56 |
長度為40 可以用命令snmp-agent calculate-password指定參數sha獲得 |
長度為53 |
acl acl-number:將用戶與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
acl ipv6 ipv6-acl-number:將用戶與IPV6基本訪問控製列表綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。使用IPv6基本ACL,可以對SNMP報文的源IPv6地址進行限製,即允許或禁止具有特定源IPv6地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
local:表示本地實體引擎。
engineid engineid-string:指定與該用戶相關聯的引擎ID,為16進製數字符串,長度必須為10-64中的偶數。奇數個16進製數字符串、全0和全F均被認為是無效參數。
【描述】
snmp-agent usm-user v3命令用來為一個SNMP組添加一個新用戶。undo snmp-agent usm-user v3命令用來刪除SNMP組的一個用戶。
該命令配置的用戶名適用於SNMPv3組網環境。如果Agent和NMS使用SNMPv3版本的報文交互,則需要創建SNMPv3用戶。
SNMP用戶依附於SNMP組,創建用戶前,請先創建組。否則,用戶能夠創建成功但是不生效。一個組可以包含多個用戶。組定義了用戶能夠訪問的SNMP對象(通過MIB視圖來限定)以及是否進行認證和加密等,而認證和加密的具體算法和密碼則是在創建用戶時定義。
需要注意的是:
· 如果使用snmp-agent usm-user v3 cipher命令,其密文密碼參數可以用命令snmp-agent calculate-password獲得。要使計算所得的密文密碼能夠用於snmp-agent usm-user v3 cipher命令且等效,必須保證兩條命令使用的加密算法相同,而且執行snmp-agent usm-user v3 cipher命令時設備的本地引擎ID與snmp-agent calculate-password命令中指定的SNMP實體引擎ID一致。
· 多次使用本命令配置同一用戶(即用戶名相同,其它參數沒有要求),配置結果以最後一次的配置為準。
· 以明文或密文方式設置的密碼,均以密文方式保存在配置文件中。
· NMS在訪問設備時,必須輸入明文密碼,因此在創建用戶時請牢記用戶名以及對應的明文密碼。
在FIPS模式下,設備不支持MD5認證算法、DES56和3DES加密算法。
相關配置可參考命令snmp-agent calculate-password、snmp-agent group和display snmp-agent usm-user。
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
FIPS配置命令 |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
支持 |
|
|
MSR 30 |
支持,僅MSR 3016不支持 |
|
|
MSR 50 |
支持 |
|
|
MSR 2600 |
支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 為v3組testGroup加入一個用戶testUser,安全級別為隻認證不加密,認證算法為md5,認證密碼明文為authkey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup authentication
[Sysname] snmp-agent usm-user v3 testUser testGroup authentication-mode md5 authkey
在NMS上將版本號設置為SNMPv3,並將用戶名填寫為testUser,認證算法設置為MD5,認證密碼填寫為authkey,建立連接,就可以對設備上缺省視圖(視圖名為ViewDefault)內的MIB對象進行訪問了。
# 為v3組testGroup加入一個用戶testUser,安全級別為認證和加密,認證算法為md5、加密算法為des56,認證密碼明文為authkey,加密密碼明文為prikey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 testUser testGroup authentication-mode md5 authkey privacy-mode des56 prikey
在NMS上將版本號設置為SNMPv3,並將用戶名填寫為testUser,認證算法設置為MD5,認證密碼填寫為authkey,加密算法設置為DES,加密密碼填寫為prikey,建立連接,就可以對設備上缺省視圖(視圖名為ViewDefault)內的MIB對象進行訪問了。
【命令】
display mib-style [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
3:管理級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display mib-style命令用於查詢設備的MIB風格。
設備的MIB風格有兩種new和compatible,獲得設備的MIB風格後,可根據MIB風格選擇適配的H3C網管軟件。
相關配置可參考命令mib-style。
【舉例】
# 從sysObjectID節點獲取設備ID,發現該設備為H3C設備,希望知道該設備上當前MIB風格或者下次啟動後的MIB風格。
<Sysname> display mib-style
Current MIB style: new
Next reboot MIB style: new
以上顯示信息表明設備當前MIB風格為new,下次啟動後MIB風格仍為new。
【命令】
mib-style [compatible | new]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
compatible:指設定MIB為H3C品牌兼容風格,即設備sysOID在H3C企業ID 25506下,私有MIB在企業ID 2011下。
new:指設定MIB為H3C品牌新風格,即設備sysOID與私有MIB均在H3C企業ID 25506下。
【描述】
mib-style命令用來設置設備的MIB風格。
缺省情況下,設備的MIB風格為new。
需要注意的是,該設置需要重啟設備才能生效。
【舉例】
# 將設備的MIB風格修改為compatible。
<Sysname> system-view
[Sysname] mib-style compatible
[Sysname] quit
<Sysname> display mib-style
Current MIB style: new
Next reboot MIB style: compatible
<Sysname> reboot
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
