华为SNMP配置.doc

简板1. 首先，要设置使用的SNMP的版本Quidwaysnmp-agent sys-info version ? all 使设备支持版本SNMPv1,SNMPv2c和SNMPv3 v1 支持SNMPv1 v2c 支持SNMPv2c v3 支持SNMPv3Quidwaysnmp-agent sys-info version v1 v2c 2. 对于v1 v2c来说，只需要设定团体字即可Quidwaysnmp-agent community ? read 该团体名在指定视图内有只读权限 write 该团体名在指定视图内有读写权限Quidwaysnmp-agent community read publicQuidwaysnmp-agent community write privateQuidwaysnmp-agent trap ? enable SNMP陷阱/通知使能命令组 life 设置trap老化时间 queue-size 每个TRAP消息队列长度 source 设置Trap报文源地址Quidwaysnmp-agent trap enable Quidwaysnmp-agent target-host ? trap 指定该主机为trap主机 Quidwaysnmp-agent target-host trap ? address 指定用于SNMP消息产生的传输地址Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 ? params 指定用于SNMP消息产生的SNMP目标主机信息Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params ? securityname 指定代表生成SNMP消息的主体名Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname ? STRING 指定安全名字符串Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname publicQuidway4. 对于V3，需要的是MIB视图和读写的组snmp v3设置：Quidwaysnmp-agent ? community 为SNMPv1&SNMPv2c访问设置团体名 group 设置基于用户安全模型的组 local-engineid 设置本地SNMP实体的引擎ID mib-view 创建或者更新SNMP MIB视图的信息 packet 设置SNMP报文参数 sys-info 设置该设备节点的系统信息 target-host 设置接收SNMP通知/陷阱报文的目标主机 trap 设置SNMP 陷阱/通知相关参数 usm-user 设置SNMP实体访问用户 Quidwaysnmp-agent sys-info version ? all 使设备支持版本SNMPv1,SNMPv2c和SNMPv3 v1 支持SNMPv1 v2c 支持SNMPv2c v3 支持SNMPv3Quidwaysnmp-agent sys-info version v3Quidwaysnmp-agent mib-view ? excluded 排除MIB子树 included 包括MIB子树Quidwaysnmp-agent mib-view included ? STRING 视图名字符串Quidwaysnmp-agent mib-view included wnmview ? STRING MIB对象子树名称Quidwaysnmp-agent mib-view included wnmview internetQuidwaysnmp-agent group v3 wnmgroup ? acl 为该组指定访问控制列表 authentication 指明该组名具有认证不加密的安全级别 notify-view 指定该组名对应的通知视图 privacy 指明该组名具有认证和加密的安全级别 read-view 设置该组名对应的只读视图 write-view 指定该组名对应的读写视图 Quidwaysnmp-agent group v3 wnmgroup privacy ? acl 为该组指定访问控制列表 notify-view 指定该组名对应的通知视图 read-view 设置该组名对应的只读视图 write-view 指定该组名对应的读写视图 Quidwaysnmp-agent group v3 wnmgroup privacy read-view wnmview write-view wnmview notify-view wnmview Quidwaysnmp-agent ? community 为SNMPv1&SNMPv2c访问设置团体名 group 设置基于用户安全模型的组 local-engineid 设置本地SNMP实体的引擎ID mib-view 创建或者更新SNMP MIB视图的信息 packet 设置SNMP报文参数 sys-info 设置该设备节点的系统信息 target-host 设置接收SNMP通知/陷阱报文的目标主机 trap 设置SNMP 陷阱/通知相关参数 usm-user 设置SNMP实体访问用户 Quidwaysnmp-agent usm-user ? v1 利用SNMPv1安全模型的用户 v2c 利用SNMPv2c安全模型的用户 v3 利用USM(SNMPv3)安全模型的用户Quidwaysnmp-agent usm-user v3 ? STRING 用户名字符串Quidwaysnmp-agent usm-user v3 wnm ? STRING 指定用户所属的组名字符串Quidwaysnmp-agent usm-user v3 wnm wnmview ? acl 为该用户设定访问控制列表 authentication-mode 指定用户鉴别模式 Quidwaysnmp-agent usm-user v3 wnm wnmgroup authentication-mode ? md5 使用HMAC MD5算法进行鉴别 sha 使用HMAC SHA算法进行鉴别Quidwaysnmp-agent usm-user v3 wnm wnmgroup authentication-mode md5 1234567 Quidwaysnmp-agent trap enable standard Quidwaysnmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 5000 params securityname wnm v3Quidway华为手册：第5章/ SNMP配置5.1 SNMP协议介绍目前网络中用得最广泛的网络管理协议是SNMP（Simple Network Management Protocol）。SNMP是被广泛接受并投入使用的工业标准，用于保证管理信息在任意两点间传送，便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。SNMP采用轮询机制，只提供最基本的功能集，特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于连接的传输层协议UDP，得到众多产品的支持。SNMP分为NMS和Agent两部分，NMS（Network Management Station），是运行客户端程序的工作站，目前常用的网管平台有Sun NetManager和IBM NetView；Agent是运行在网络设备上的服务器端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文，Agent接收到NMS的请求报文后，根据报文类型进行Read或 Write操作，生成Response报文，并将报文返回给NMS。Agent在设备发现重新启动等异常情况时，也会主动向NMS发送Trap报文，向NMS汇报所发生的事件。5.2 SNMP版本及支持的MIB为了在SNMP报文中唯一标识设备中的管理变量，SNMP用层次结构命名方案来识别管理对象。用层次结构命名的管理对象的集合就象一棵树，树的节点表示管理对象，如下图所示。管理对象可以用从根开始的一条路径别无二义地识别。图1-4 MIB树结构MIB（Management Information Base）的作用就是用来描述树的层次结构，它是所监控网络设备的标准变量定义的集合。在上图中，管理对象B可以用一串数字1.2.1.1唯一确定，这串数字是管理对象的Object Identifier（客体标识符）。以太网交换机中的SNMP Agent支持SNMP V1、V2C和V3，支持的常见MIB如下表所示。表5-1 以太网交换机支持的常见MIBMIB属性MIB内容参见资料公有MIB基于TCP/IP网络设备的MIB II参见RFC1213BRIDGE MIB参见RFC1493参见RFC2675RIP MIB参见RFC1724RMON MIB参见RFC2819以太网MIB参见RFC2665OSPF MIB参见RFC1253IF MIB参见RFC1573私有MIBDHCP MIBDHCP MIBQACL MIBADBM MIBIGMP Snooping MIBRSTP MIBVLAN MIB设备管理接口管理QACL MIBADBM MIBRSTP MIBVLAN MIB设备管理接口管理5.3 配置SNMPSNMP的主要配置包括：l 设置团体名l 设置sysContactl 允许或禁止发送Trapl 设置Trap目标主机的地址l 设置sysLocationl 配置本地或远端设备的名字l 配置一个SNMP的组l 指定发送Trap的源地址l 为一个SNMP的组添加一个新用户l 创建或者更新视图的信息l 设置Agent能接收/发送的SNMP消息包的大小5.3.1 设置团体名SNMPV1、SNMPV2C采用团体名认证。SNMP团体（Community）用一个字符串来命名，称为团体名（Community Name）。SNMP团体名用来定义SNMP manager和SNMP agent的关系。团体名起到了类似于密码的作用，可以限制SNMP manager访问以太网交换机上的SNMP agent。用户可以选择指定以下一个或者多个与团体名相关的特性：l 定义团体（community）可以访问的所有MIB对象的子集的MIB视图；l 团体可以访问的MIB对象的读写（read-write）或者只读（read-only）权限。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。请在系统视图下进行下列配置。表5-2 设置团体名操作命令设置团体名及访问权限snmp-agent community read | write community-name mib-view view-name acl acl-list 取消团体名及访问权限undo snmp-agent community community-name5.3.2 设置管理员的标识及联系方法sysContact是描述系统维护联系信息的字符串，设备维护人员可以利用维护信息了解该设备的生产厂商等信息，如果设备发生故障，设备维护人员可以利用系统维护联系信息，及时与设备生产厂商取得联系。可以使用下面的命令来设置系统维护联系信息。请在系统视图下进行下列配置。表5-3 设置管理员的标识及联系方法操作命令设置管理员的标识及联系方法snmp-agent sys-info contact sysContact恢复管理员的标识及联系方法为缺省值undo snmp-agent sys-info contact5.3.3 设置以太网交换机的位置信息sysLocation是MIB中system组的一个管理变量，用于表示被管理设备的位置。可以使用下面的命令来设置以太网交换机的位置信息。请在系统视图下进行下列配置。表5-4 设置以太网交换机的位置信息操作命令设置以太网交换机的位置信息snmp-agent sys-info location sysLocation恢复以太网交换机的位置信息的缺省设置undo snmp-agent sys-info location缺省情况下sysLocation为“Beijing China”。5.3.4 设置SNMP的版本信息可以使用下面的命令来设置以太网交换机的SNMP的版本信息。请在系统视图下进行下列配置。表5-5 设置SNMP的版本信息操作命令设置SNMP的版本信息snmp-agent sys-info version v1 | v2c | v3 * | all 恢复SNMP的版本信息的缺省设置undo snmp-agent sys-info version v1 | v2c | v3 * | all 5.3.5 允许或禁止发送TrapTrap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件（如被管理设备重新启动等）。可以使用下面的命令来允许或禁止被管理设备发送Trap信息。请在相应视图下进行下列配置。表5-6 允许或禁止发送Trap操作命令允许设备发送Trap（系统视图）snmp-agent trap enable standard authentication coldstart linkdown linkup 禁止设备发送Trap（系统视图）undo snmp-agent trap enable standard authentication coldstart linkdown linkup 允许交换机的端口发送SNMP trap（以太网端口视图）enable snmp trap updown禁止交换机的端口发送SNMP trap（以太网端口视图）undo enable snmp trap updown5.3.6 设置Trap目标主机的地址可以使用下面的命令来设置或删除发送Trap信息的目标主机的IP地址。请在系统视图下进行下列配置。表5-7 设置Trap目标主机的地址操作命令设置Trap目标主机地址snmp-agent target-host trap address udp-domain host-addr udp-port udp-port-number params securityname community-string v1 | v2c | v3 authentication | privacy 删除Trap目标主机地址undo snmp-agent target-host host-addr securityname community-string 5.3.7 设置Trap报文的保存时间可以使用下面的命令来设置Trap报文的保存时间。超过该时间的Trap报文都将被丢弃。请在系统视图下进行下列配置。表5-8 设置Trap报文的保存时间操作命令设置Trap报文的保存时间snmp-agent trap life seconds恢复Trap报文保存时间的缺省值undo snmp-agent trap life缺省的Trap报文保存时间为120秒。5.3.8 设置本地或远端设备的引擎ID可以使用下面的命令来设置本地或远端设备的引擎ID。请在系统视图下进行下列配置。表5-9 设置本地或远端设备的引擎ID操作命令设置设备的引擎IDsnmp-agent local-engineid engineid设置设备的引擎ID为缺省值undo snmp-agent local-engineid设备引擎ID必须是16进制数字，至少5个字符，可以是IP地址、MAC地址或自己定义的文本，缺省为公司的企业号+设备信息。5.3.9 设置或删除一个SNMP的组可以使用下面的命令来设置或删除SNMP的一个组请在系统视图下进行下列配置。表5-10 设置或删除一个SNMP组操作命令设置一个SNMP组snmp-agent group v1 | v2c group-name read-view read-view write-view write-view notify-view notify-view acl acl-list snmp-agent group v3 group-name authentication | privacy read-view read-view write-view write-view notify-view notify-view acl acl-list 删除一个SNMP组undo snmp-agent group v1 | v2c undo snmp-agent group v3 group-name authentication | privacy 5.3.10 指定发送Trap的源地址可以使用下面的命令来设定或取消发送Trap的源地址。请在系统视图下进行下列配置。表5-11 设定发送Trap的源地址操作命令指定发送Trap的源地址snmp-agent trap source interface-name interface-num取消发送Trap的源地址undo snmp-agent trap source5.3.11 SNMP组添加一个新用户或删除一个用户可以使用下面的命令来为SNMP组添加或删除一个用户。请在系统视图下进行下列配置。表5-12 SNMP组添加或删除一个用户操作命令为SNMP组添加一个新用户snmp-agent usm-user v1 | v2c username groupname acl acl-list snmp-agent usm-user v3 username groupname authentication-mode md5 | sha authpassstring privacy-mode des56 privpassstring acl acl-list 删除SNMP组的一个用户undo snmp-agent usm-user v1 | v2c username groupnameundo snmp-agent usm-user v3 username groupname local | engineid engine-id 5.3.12 创建或更新视图的信息或删除视图用户可以为团体指定视图，以限制SNMP manager可以访问的MIB对象。用户可以使用预先定义的视图，也可以自己生成视图。可以使用下面的命令创建、更新视图的信息或删除视图。请在系统视图下进行下列配置。表5-13 创建、更新视图的信息或删除视图操作命令创建或更新视图的信息snmp-agent mib-view included | excluded view-name oid-tree删除视图undo snmp-agent mib-view view-name5.3.13 设置Agent接收/发送的SNMP消息包的大小可以使用下面的命令来设置Agent能接收/发送的SNMP消息包的大小。请在系统视图下进行下列配置。表5-14 设置Agent能接收/发送的SNMP消息包的大小操作命令设置Agent能接收/发送的SNMP消息包的大小snmp-agent packet max-size byte-count恢复SNMP消息包的大小的缺省值undo snmp-agent packet max-sizeAgent能接收/发送的SNMP消息包大小的取值范围为48417940，单位为字节，缺省值为1500字节。5.3.14 禁止SNMP Agent运行要禁止SNMP Agent的运行，请在系统视图下进行如下配置。表5-15 禁止SNMP Agent运行操作命令禁止SNMP Agent运行undo snmp-agent禁止SNMP Agent运行以后，用户配置任何一条snmp-agent命令，都将重新启动SNMP Agent。5.4 SNMP显示和调试在完成上述配置后，在所有视图下执行display命令可以显示配置后SNMP的运行情况，通过查看显示信息验证配置的效果。表5-16 SNMP的显示和调试操作命令显示SNMP报文统计信息display snmp-agent statisitics显示当前设备的引擎IDdisplay snmp-agent local-engineid | remote-engineid 显示交换机上的组名、安全模式、各种视图的状态以及各组存储方式display snmp-agent group group-name 显示组用户名表中的SNMP用户信息display snmp-agent usm-user engineid engineid group groupname username username 显示当前配置的团体名display snmp-agent community read | write 显示当前配置的MIB视图display snmp-agent mib-view exclude | include | viewname mib-view 显示系统联络字符串display snmp-agent sys-info contact显示系统位置字符串display snmp-agent sys-info location显示系统启用的SNMP版本display snmp-agent sys-info version5.5 SNMP配置举例1. 组网需求网管工作站（NMS）与以太网交换机通过以太网相连，网管工作站IP地址为129.102.149.23，以太网交换机的VLAN接口IP地址为129.102.0.1。在交换机上进行如下配置：设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。2. 组网图图1-5 SNMP配置举例组网图