32-SNMP快速配置指南
本章節下載 (315.34 KB)
SNMP快速配置指南
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本案例介紹SNMPv1/v2c的配置方法。
如圖1所示,iMC服務器作為NMS通過SNMPv1/SNMPv2c協議對設備(Agent)進行監控管理,隻讀團體名為readtest,讀寫團體名為writetest,並且當設備出現故障時能夠主動向NMS發送告警信息。
圖1 SNMPv1/v2c功能配置組網圖
· SNMPv2c與SNMPv1配置方法完全一致,本舉例中以配置SNMPv2c為例進行介紹。
· 用戶在設備和NMS上配置的SNMP版本號和團體字必須一致,否則,NMS無法對設備進行管理和維護。
· 不同廠商的NMS軟件配置方法不同,關於NMS的詳細配置,具體請參考NMS的相關手冊。本配置舉例中,以iMC PLAT 7.0 (E0202)為例進行介紹。
# 配置接口Vlan-interface2的IP地址。
<Agent> system-view
[Agent] interface Vlan-interface 2
[Agent-Vlan-interface 2] ip address 192.168.100.68 24
[Agent-Vlan-interface 2] quit
# 設置Agent使用的SNMP版本為v2c、隻讀團體名為readtest,讀寫團體名為writetest。
[Agent] snmp-agent sys-info version v2c
[Agent] snmp-agent community read readtest
[Agent] snmp-agent community write writetest
# 設置設備的聯係人和位置信息,以方便維護。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 設置允許向NMS發送告警信息,使用的團體名為readtest。
[Agent] snmp-agent trap enable
[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c
(1) 登錄進入iMC管理平台,選擇“資源”頁簽,單擊導航樹中的[增加設備]菜單項,進入增加設備配置頁麵。在該頁麵中輸入設備的主機名或IP地址,並點擊<配置SNMP參數/設置>鏈接。
圖2 增加設備配置頁麵
(2) 進入SNMP參數設置頁麵配置SNMP參數。
· 設置參數類型為“SNMPv2c”;
· 設置隻讀團體字為“readtest”;
· 設置讀寫團體字為“writetest”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖3 SNMP參數設置頁麵
(3) 在增加設備配置頁麵單擊<確定>按鈕,iMC返回增加設備成功信息。增加設備成功後,用戶即可通過iMC對設備進行配置、管理和維護。
圖4 增加設備成功頁麵
# 完成以上配置之後,在設備上的某個空閑接口執行shutdown或undo shutdown操作,設備會向NMS發送接口狀態改變的Trap。
# 在iMC的“告警>告警瀏覽>全部告警”頁麵中會顯示上述接口狀態改變的Trap信息。
#
snmp-agent
snmp-agent community write writetest
snmp-agent community read readtest
snmp-agent sys-info contact Mr.Wang-Tel:3306
snmp-agent sys-info location telephone-closet,3rd-floor
snmp-agent sys-info version v2c
snmp-agent trap enable arp
snmp-agent trap enable syslog
snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c
#
· 產品配套“網絡管理和監控配置指導”中的“SNMP”。
· 產品配套“網絡管理和監控命令參考”中的“SNMP”。
本案例介紹SNMPv3的配置方法。
· NMS通過SNMPv3隻能對Agent的SNMP報文的相關信息進行監控管理,Agent在出現故障時能夠主動向NMS發送告警信息,NMS上接收SNMP告警信息的默認UDP端口號為162。
· NMS與Agent建立SNMP連接時,需要認證,使用的認證算法為SHA-1,認證密碼為123456TESTauth&!。NMS與Agent之間傳輸的SNMP報文需要加密,使用的加密協議為AES,加密密碼為123456TESTencr&!。
圖2 SNMPv3功能典型配置組網圖
· SNMPv3支持基於RBAC(Role Based Access Control,基於角色的訪問控製)和基於VACM(View-based Access Control Model,基於視圖的訪問控製模型)兩種訪問控製方式。本配置舉例中,針對同一需求分別給出了兩種方式的配置示例,請選擇一種作為參考即可。
· 用戶在設備和NMS上配置的SNMP版本號和團體字必須一致,否則,NMS無法對設備進行管理和維護。
· 不同廠商的NMS軟件配置方法不同,關於NMS的詳細配置,具體請參考NMS的相關手冊。本配置舉例中,以iMC PLAT 7.0 (E0202)為例進行介紹。
· SNMPv3接收Trap報文的目的主機的安全參數要使用設備已配置的v3用戶,且安全模型要一致。
· SNMPv3的認證密碼和加密密碼以密文形式保存在配置文件中,密文密碼由明文密碼和本設備的引擎ID計算後生成。如果要將兩台設備的認證密碼和加密密碼配置為相同值,建議使用明文密碼在兩台設備上分別手工配置,不要直接拷貝配置文件中的相關配置。因為兩台設備的引擎ID不同,會導致密文密碼相同,而對應的明文密碼不同。
# 配置接口Vlan-interface2的IP地址。
<Agent> system-view
[Agent] interface Vlan-interface2
[Agent-Vlan-interface2] ip address 192.168.100.68 24
[Agent-Vlan-interface2] quit
# 設置Agent使用的SNMP版本為v3。
[Agent] snmp-agent sys-info version v3
# 創建用戶角色test,允許他讀寫internet子樹(OID為“1.3.6.1”)下的所有對象。
[Agent] role name test
[Agent-role-test] rule 1 permit read write oid 1.3.6.1
[Agent-role-test] quit
# 創建SNMPv3用戶managev3user,為其綁定用戶角色test,認證算法為SHA-1,明文認證密碼為123456TESTauth&!,加密算法為AES,明文加密密碼是123456TESTencr&!。
[Agent] snmp-agent usm-user v3 managev3user user-role test simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!
# 配置設備的聯係人和位置信息,以方便維護。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 開啟SNMP告警功能。
[Agent] snmp-agent trap enable
# 設置接收SNMP告警信息的目的主機IP地址,即NMS的IP地址,配置安全認證參數為managev3user。
[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy
# 配置接口Vlan-interface2的IP地址。
<Agent> system-view
[Agent] interface Vlan-interface2
[Agent-Vlan-interface2] ip address 192.168.100.68 24
[Agent-Vlan-interface2] quit
# 設置Agent使用的SNMP版本為v3。
<Agent> system-view
[Agent] snmp-agent sys-info version v3
# 創建MIB視圖,名字為mibtest,包含internet子樹(OID為“1.3.6.1”)下的所有對象。
[Agent] snmp-agent mib-view included mibtest 1.3.6.1
# 創建SNMPv3組managev3group,並配置與該組綁定的SNMPv3用戶與NMS建立連接時,均進行認證和加密,NMS可以對設備進行讀寫的視圖均為mibtest。
[Agent] snmp-agent group v3 managev3group privacy read-view mibtest write-view mibtest notify-view mibtest
# 創建SNMPv3用戶managev3user,認證算法為SHA-1,明文認證密碼為123456TESTauth&!,加密算法為AES,明文加密密碼是123456TESTencr&!。
[Agent] snmp-agent usm-user v3 managev3user managev3group simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!
# 配置設備的聯係人和位置信息,以方便維護。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 開啟SNMP告警功能。
[Agent] snmp-agent trap enable
# 設置接收SNMP告警信息的目的主機IP地址,即NMS的IP地址,配置安全認證參數為managev3user。
[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy
# 配置SNMP模板。
· 登錄iMC,選擇“係統管理”頁簽,單擊導航樹中的[資源管理/SNMP模板]菜單項,進入SNMP模板配置頁麵,在該頁麵中單擊<增加>按鈕,進入增加SNMP模板配置頁麵。
· 配置SNMP模板的名稱為SNMPv3。
· 選擇參數類型為SNMPv3 Priv-Aes128 Auth-Sha。
· 配置SNMP用戶名為managev3user。
· 明文認證密碼為123456TESTauth&!。
· 明文加密密碼為123456TESTencr&!。
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖3 增加SNMP模板頁麵
# 選擇“資源”頁簽,單擊導航樹中的[資源管理/增加設備]菜單項,進入增加設備配置頁麵,在該頁麵中輸入設備的主機名或IP地址,並點擊<配置SNMP參數/設置>鏈接。
圖4 增加設備頁麵
# 進入SNMP參數設置頁麵配置SNMP參數。
· 選擇“從已有的SNMP參數模板中選取”。
· 選擇名稱為“SNMPv3”的SNMP模板。
· 單擊<確定>按鈕完成操作,返回到“增加設備”頁麵。
圖5 SNMP參數設置頁麵
· 在“增加設備”頁麵單擊<確定>按鈕,iMC返回增加設備成功信息。增加設備成功後,用戶即可通過iMC對設備進行配置、管理和維護。
圖6 增加設備成功頁麵
# 完成以上配置之後,在設備上的某個空閑接口執行shutdown或undo shutdown操作,設備會向NMS發送接口狀態改變的Trap。
# 在iMC的“告警>告警瀏覽>全部告警”頁麵中會顯示上述接口狀態改變的Trap信息。
· 基於RBAC的配置文件
#
snmp-agent
snmp-agent sys-info contact Mr.Wang-Tel:3306
snmp-agent sys-info location telephone-closet,3rd-floor
snmp-agent sys-info version v3
snmp-agent trap enable arp
snmp-agent trap enable syslog
snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy
snmp-agent usm-user v3 managev3user user-role test cipher authentication-mode sha $c$3$5JaJZ6gNXlyNRq2FR2ELDT3QQH1exwJRWdYYq7eLfcBewuM5ncM= privacy-mode aes128 $c$3$+bbXZS4+PnsLDyr16OogzBckaLzR6XMDwZQuLBU8RM+dpw==
#
role name test
rule 1 permit read write oid 1.3.6.1
#
· 基於VACM的配置文件
#
snmp-agent
snmp-agent sys-info contact Mr.Wang-Tel:3306
snmp-agent sys-info location telephone-closet,3rd-floor
snmp-agent sys-info version v3
snmp-agent group v3 managev3group privacy read-view mibtest write-view mibtest notify-view mibtest
snmp-agent mib-view included mibtest internet
snmp-agent trap enable arp
snmp-agent trap enable syslog
snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy
snmp-agent usm-user v3 managev3user managev3group cipher authentication-mode sha $c$3$5JaJZ6gNXlyNRq2FR2ELDT3QQH1exwJRWdYYq7eLfcBewuM5ncM= privacy-mode aes128 $c$3$+bbXZS4+PnsLDyr16OogzBckaLzR6XMDwZQuLBU8RM+dpw==
#
· 產品配套“網絡管理和監控配置指導”中的“SNMP”。
· 產品配套“網絡管理和監控命令參考”中的“SNMP”。
本案例介紹通過基本ACL實現僅指定的網管能夠訪問交換機的配置方法。
如圖3所示,iMC服務器作為NMS通過SNMPv2c協議對設備(Agent)進行監控管理,隻讀團體名為readtest,讀寫團體名為writetest,並且當設備出現故障時能夠主動向NMS發送告警信息。
圖3 SNMP應用ACL限製非法網管訪問組網圖
· 用戶在設備和NMS上配置的SNMP版本號和團體字必須一致,否則,NMS無法對設備進行管理和維護。
· 不同廠商的NMS軟件配置方法不同,關於NMS的詳細配置,具體請參考NMS的相關手冊。本配置舉例中,以iMC PLAT 7.0 (E0202)為例進行介紹。
# 配置接口Vlan-interface2的IP地址,Agent使用的SNMP版本為v2c。
<Agent> system-view
[Agent] interface Vlan-interface 2
[Agent-Vlan-interface 2] ip address 192.168.100.68 24
[Agent-Vlan-interface 2] quit
[Agent] snmp-agent sys-info version v2c
[Agent] quit
# 配置訪問限製,隻允許IP地址為1.1.1.1的NMS使用該團體名對設備上缺省視圖內的MIB對象進行讀寫操作,禁止其它NMS使用該團體名執行寫操作。
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 192.168.100.4 0.0.0.0
[Sysname-acl-ipv4-basic-2001] rule deny source any
[Sysname-acl-ipv4-basic-2001] quit
# 創建MIB視圖信息,視圖名稱為mibtest,通過MIB視圖限製網管僅能訪問指定的MIB(OID為“1.3.6.1.2.1”)。
[Sysname] snmp-agent mib-view included mibtest 1.3.6.1.2.1
# 配置隻讀團體名為readtest,讀寫團體名為writetest。
[Agent] snmp-agent community read readtest
[Agent] snmp-agent community write writetest
# 設置設備的聯係人和位置信息,以方便維護。
[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306
[Agent] snmp-agent sys-info location telephone-closet,3rd-floor
# 設置允許向NMS發送告警信息,使用的團體名為readtest。
[Agent] snmp-agent trap enable
[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c
(1) 登錄進入iMC管理平台,選擇“資源”頁簽,單擊導航樹中的[增加設備]菜單項,進入增加設備配置頁麵。在該頁麵中輸入設備的主機名或IP地址,並點擊<配置SNMP參數/設置>鏈接。
圖4 增加設備配置頁麵
(2) 進入SNMP參數設置頁麵配置SNMP參數。
· 設置參數類型為“SNMPv2c”;
· 設置隻讀團體字為“readtest”;
· 設置讀寫團體字為“writetest”;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖5 SNMP參數設置頁麵
(3) 在增加設備配置頁麵單擊<確定>按鈕,iMC返回增加設備成功信息。增加設備成功後,用戶即可通過iMC對設備進行配置、管理和維護。
圖6 增加設備成功頁麵
# 完成以上配置之後,在設備上的某個空閑接口執行shutdown或undo shutdown操作,設備會向NMS發送接口狀態改變的Trap。
# 在iMC的“告警>告警瀏覽>全部告警”頁麵中會顯示上述接口狀態改變的Trap信息。
# 隻允許指定IP地址192.168.100.4的網管讀寫交換機的指定MIB。
#
snmp-agent
acl basic 2001
rule permit source 192.168.100.68 0.0.0.0
rule deny source any
snmp-agent mib-view included mibtest 1.3.6.1.2.1
snmp-agent community write writetest
snmp-agent community read readtest
snmp-agent sys-info contact Mr.Wang-Tel:3306
snmp-agent sys-info location telephone-closet,3rd-floor
snmp-agent sys-info version v2c
snmp-agent trap enable
snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c
#
· 產品配套“網絡管理和監控配置指導”中的“SNMP”。
· 產品配套“網絡管理和監控命令參考”中的“SNMP”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!