配置设备使用SNMPv3与网管通信示例
网管在管理设备时使用SNMPv3版本保证互通,在互通的过程中限制指定的网管可以管理设备上的部分MIB节点。
组网需求
图1所示,在网络中,用户的两个网管和同一设备通过公网相连,由于业务的需求,用户规划网管NMS2可以管理设备上除HGMP之外的所有节点,网管站NMS1不再管理该设备。
NMS2管理设备的过程中,为了方便对告警信息进行定位,避免过多的无用告警对处理问题造成干扰,用户只允许缺省打开的模块可以发送告警至NMS。
由于NMS2和设备间的数据需要穿越公网,对用户的数据进行认证和加密。
由于网管管理员离被管理设备较远,为了使设备出现故障时网管管理员能快速联系上被管理设备管理员,以便对故障进行定位和排除,故要求在设备上配置设备管理员的联系方法。
图1 配置使用SNMPv3网管通信组网图
配置思路
采用如下思路配置网管功能:
使能SNMP Agent。
配置SNMP版本为SNMPv3。
配置用户访问权限,配置NMS2可以管理设备上HGMP之外的节点,并对用户进行数据加密。
配置设备的Trap功能,使设备产生的告警能够发送至NMS。
配置管理员的联系方法。
配置网管站。
数据准备
为完成此配置,需要准备如下数据:
SNMP版本
用户组名称
用户名和密码
认证方式和加密算法
ACL号
NMS地址
管理员联系方法
操作步骤
配置交换机和网管站之间路由可达(略)
使能SNMP Agent
<Quidway> system-view
[Quidway] snmp-agent
配置SNMP的版本信息为v3
[Quidway] snmp-agent sys-info version v3
# 查看配置的SNMP的版本信息。
[Quidway] display snmp-agent sys-info version
SNMP version running in the system:
SNMPv3
配置用户访问权限
# 配置ACL,限制NMS2可以管理设备,NMS1不允许管理设备。
[Quidway] acl 2001
[Quidway-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0
[Quidway-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0
[Quidway-acl-basic-2001] quit
# 配置MIB视图。
[Quidway] snmp-agent mib-view included testview iso
[Quidway] snmp-agent mib-view excluded testview 1.3.6.1.4.1.2011.6.7
# 配置用户组和用户,对用户的数据进行认证和加密。
[Quidway] snmp-agent group v3 testgroup privacy write-view testview notify-view testview acl 2001
[Quidway] snmp-agent usm-user v3 testuser testgroup authentication-password md5 87654321 privacy-password des56 87654321
配置告警功能
[Quidway] snmp-agent trap enable
[Quidway] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname testuser v3
[Quidway] snmp-agent trap source LOOPBACK 0
[Quidway] snmp-agent trap queue-size 200
[Quidway] snmp-agent trap life 60
配置管理员联系方法
[Quidway] snmp-agent sys-info contact call Operator at 010-12345678
配置NMS
网管的配置请根据采用的网管产品参考对应的网管配置手册。
验证配置结果
配置完成后,可以执行下面的命令,检查配置内容是否生效。
# 查看用户组。
<Quidway> display snmp-agent group testgroup
Group name: testgroup
Security model: v3 AuthPriv
Readview: ViewDefault
Writeview: testview
Notifyview :testview
Storage-type: nonVolatile
Acl:2001
# 查看用户。
<Quidway> display snmp-agent usm-user
User name: testuser
Engine ID: 000007DB7F00000100004C3F active
# 查看ACL。
<Quidway> display acl 2001
Basic ACL 2001, 2 rules
Acl's step is 5
rule 5 permit source 1.1.1.2 0
rule 6 deny source 1.1.1.1 0
# 查看MIB视图。
<Quidway> display snmp-agent mib-view viewname testview
View name:testview
MIB Subtree:iso
Subtree mask:80(Hex)
Storage-type: nonVolatile
View Type:included
View status:active
View name:testview
MIB Subtree:hwCluster
Subtree mask:FF80(Hex)
Storage-type: nonVolatile
View Type:excluded
View status:active
# 查看告警的目标主机。
<Quidway> display snmp-agent target-host
Target-host NO. 1
-----------------------------------------------------------
IP-address : 1.1.1.2
Source interface : -
VPN instance : -
Security name : testuser
Port : 162
Type : trap
Version : v3
Level : No authentication and privacy
NMS type : NMS
With ext-vb : No
-----------------------------------------------------------
# 当有告警信息产生时,执行命令display trapbuffer查看告警信息。
<Quidway> display trapbuffer
Trapping buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 256
Channel number : 3 , Channel name : trapbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 98
#Oct 11 2010 18:57:59 RouterA DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011
.5.25.191.3.1 configurations have been changed. The current change number is 95,
the change loop count is 0, and the maximum number of records is 4095.
# 查看管理员的联系方法。
<Quidway> display snmp-agent sys-info contact
The contact person for this managed node:
call Operator at 010-12345678
配置文件
交换机的配置文件
#
vlan batch 100
#
acl number 2001
rule 5 permit source 1.1.1.2 0
rule 6 deny source 1.1.1.1 0
#
interface Vlanif100
ip address 1.1.2.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port hybrid pvid vlan 100
port hybrid untagged vlan 100
#
interface LoopBack0
ip address 1.1.3.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.2.0 0.0.0.255
network 1.1.3.1 0.0.0.0
#
snmp-agent
snmp-agent local-engineid 000007DB7FFFFFFF000004A7
snmp-agent sys-info contact call Operator at 010-12345678
snmp-agent sys-info version v3
snmp-agent group v3 testgroup privacy write-view testview notify-view testview acl 2001
snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname testuser v3
snmp-agent mib-view included testview iso
snmp-agent mib-view excluded testview hwCluster
snmp-agent usm-user v3 testuser testgroup authentication-password md5 N'!2Z[^HZ0T&P'@XIM=F#Q!! privacy-password des56 N'!2Z[^HZ0T&P'@XIM=F#Q!!
snmp-agent trap source LoopBack0
snmp-agent trap queue-size 200
snmp-agent trap life 60
snmp-agent trap enable
#
return