会飞的鱼
配置设备使用SNMPv3与网管通信示例
网管在管理设备时使用SNMPv3版本保证互通,在互通的过程中限制指定的网管可以管理设备上的部分MIB节点。
组网需求
图1所示,在网络中,用户的两个网管和同一设备通过公网相连,由于业务的需求,用户规划网管NMS2可以管理设备上除HGMP之外的所有节点,网管站NMS1不再管理该设备。
NMS2管理设备的过程中,为了方便对告警信息进行定位,避免过多的无用告警对处理问题造成干扰,用户只允许缺省打开的模块可以发送告警至NMS。
由于NMS2和设备间的数据需要穿越公网,对用户的数据进行认证和加密。
由于网管管理员离被管理设备较远,为了使设备出现故障时网管管理员能快速联系上被管理设备管理员,以便对故障进行定位和排除,故要求在设备上配置设备管理员的联系方法。
图1 配置使用SNMPv3网管通信组网图
配置思路
采用如下思路配置网管功能:
使能SNMP Agent。
配置SNMP版本为SNMPv3。
配置用户访问权限,配置NMS2可以管理设备上HGMP之外的节点,并对用户进行数据加密。
配置设备的Trap功能,使设备产生的告警能够发送至NMS。
配置管理员的联系方法。
配置网管站。
数据准备
为完成此配置,需要准备如下数据:
SNMP版本
用户组名称
用户名和密码
认证方式和加密算法
ACL号
NMS地址
管理员联系方法
操作步骤
配置交换机和网管站之间路由可达(略)
使能SNMP Agent
<Quidway> system-view [Quidway] snmp-agent
配置SNMP的版本信息为v3
[Quidway] snmp-agent sys-info version v3
# 查看配置的SNMP的版本信息。
[Quidway] display snmp-agent sys-info version SNMP version running in the system: SNMPv3
配置用户访问权限
# 配置ACL,限制NMS2可以管理设备,NMS1不允许管理设备。
[Quidway] acl 2001 [Quidway-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0 [Quidway-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0 [Quidway-acl-basic-2001] quit
# 配置MIB视图。
[Quidway] snmp-agent mib-view included testview iso [Quidway] snmp-agent mib-view excluded testview 1.3.6.1.4.1.2011.6.7
# 配置用户组和用户,对用户的数据进行认证和加密。
[Quidway] snmp-agent group v3 testgroup privacy write-view testview notify-view testview acl 2001 [Quidway] snmp-agent usm-user v3 testuser testgroup authentication-password md5 87654321 privacy-password des56 87654321
配置告警功能
[Quidway] snmp-agent trap enable [Quidway] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname testuser v3 [Quidway] snmp-agent trap source LOOPBACK 0 [Quidway] snmp-agent trap queue-size 200 [Quidway] snmp-agent trap life 60
配置管理员联系方法
[Quidway] snmp-agent sys-info contact call Operator at 010-12345678
配置NMS
网管的配置请根据采用的网管产品参考对应的网管配置手册。
验证配置结果
配置完成后,可以执行下面的命令,检查配置内容是否生效。
# 查看用户组。
<Quidway> display snmp-agent group testgroup Group name: testgroup Security model: v3 AuthPriv Readview: ViewDefault Writeview: testview Notifyview :testview Storage-type: nonVolatile Acl:2001
# 查看用户。
<Quidway> display snmp-agent usm-user User name: testuser Engine ID: 000007DB7F00000100004C3F active
# 查看ACL。
<Quidway> display acl 2001 Basic ACL 2001, 2 rules Acl's step is 5 rule 5 permit source 1.1.1.2 0 rule 6 deny source 1.1.1.1 0
# 查看MIB视图。
<Quidway> display snmp-agent mib-view viewname testview View name:testview MIB Subtree:iso Subtree mask:80(Hex) Storage-type: nonVolatile View Type:included View status:active View name:testview MIB Subtree:hwCluster Subtree mask:FF80(Hex) Storage-type: nonVolatile View Type:excluded View status:active
# 查看告警的目标主机。
<Quidway> display snmp-agent target-host Target-host NO. 1 ----------------------------------------------------------- IP-address : 1.1.1.2 Source interface : - VPN instance : - Security name : testuser Port : 162 Type : trap Version : v3 Level : No authentication and privacy NMS type : NMS With ext-vb : No
-----------------------------------------------------------
# 当有告警信息产生时,执行命令display trapbuffer查看告警信息。
<Quidway> display trapbuffer Trapping buffer configuration and contents : enabled Allowed max buffer size : 1024 Actual buffer size : 256 Channel number : 3 , Channel name : trapbuffer Dropped messages : 0 Overwritten messages : 0 Current messages : 98 #Oct 11 2010 18:57:59 RouterA DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011 .5.25.191.3.1 configurations have been changed. The current change number is 95, the change loop count is 0, and the maximum number of records is 4095.
# 查看管理员的联系方法。
<Quidway> display snmp-agent sys-info contact The contact person for this managed node: call Operator at 010-12345678
配置文件
交换机的配置文件
# vlan batch 100 # acl number 2001 rule 5 permit source 1.1.1.2 0 rule 6 deny source 1.1.1.1 0 # interface Vlanif100 ip address 1.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 port hybrid pvid vlan 100 port hybrid untagged vlan 100 # interface LoopBack0 ip address 1.1.3.1 255.255.255.255 # ospf 1 area 0.0.0.0 network 1.1.2.0 0.0.0.255 network 1.1.3.1 0.0.0.0 # snmp-agent snmp-agent local-engineid 000007DB7FFFFFFF000004A7 snmp-agent sys-info contact call Operator at 010-12345678 snmp-agent sys-info version v3 snmp-agent group v3 testgroup privacy write-view testview notify-view testview acl 2001 snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname testuser v3 snmp-agent mib-view included testview iso snmp-agent mib-view excluded testview hwCluster snmp-agent usm-user v3 testuser testgroup authentication-password md5 N'!2Z[^HZ0T&P'@XIM=F#Q!! privacy-password des56 N'!2Z[^HZ0T&P'@XIM=F#Q!! snmp-agent trap source LoopBack0 snmp-agent trap queue-size 200 snmp-agent trap life 60 snmp-agent trap enable # return
