实验3.3系统管理实验

1、XXXXXX实验实验3.3 3.3 系统管理实验系统管理实验实验背景实验目的与内容2实验设备3实验步骤4实验背景实验背景【实验【实验背景背景】SNMP网络架构由三部分组成：NMS、Agent和MIB。NMS（Network Management System，网络管理系统）是SNMP网络的管理者，能够提供友好的人机交互界面，方便网络管理员完成大多数的网络管理工作；Agent是SNMP网络的被管理者，负责接收、处理来自NMS的SNMP报文。在某些情况下，如接口状态发生改变时，Agent也会主动向NMS发送告警信息；MIB（Management Information Base，管理信息库）是被管

2、理对象的集合。NMS管理设备的时候，通常会关注设备的一些参数，比如接口状态、CPU利用率等，这些参数就是被管理对象，在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性，比如对象的名字、访问权限和数据类型等。被管理设备都有自己的MIB文件，在NMS上编译这些MIB文件就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作，从而实现对Agent的管理。实验背景实验背景目前，设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和Agent使用的SNMP版本相同，NMS才能和Agent建立连接。SNMPv1采用团体名（

3、Community Name）认证机制。团体名类似于密码，用来限制NMS和Agent之间的通信。如果NMS设置的团体名和被管理设备上设置的团体名不同，则NMS和Agent不能建立SNMP连接，从而导致NMS无法访问Agent，Agent发送的告警信息也会被NMS丢弃。SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展：提供了更多的操作类型；支持更多的数据类型；提供了更丰富的错误代码，能够更细致地区分错误。SNMPv3采用USM（User-Based Security Model，基于用户的安全模型）认证机制。网络管理员可以设置认证和加密功能。认证用于验证报文发送方

4、的合法性，避免非法用户的访问；加密则是对NMS和Agent之间的传输报文进行加密，以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。实验背景实验背景为了网络正常运行，防止非法访问路由器，需要对路由器进行有效的管理。很多时候路由器放置距离较远，不方便物理接触，这时就需要建立远程登录用户。还有的时候需要查看路由器的运行日志，可通过设定日志主机，路由器会自动将日志发送到日志主机上，便于管理员的管理。实验目的实验目的与内容与内容【实验目的】【实验目的】（1）掌握SNMPv1/SNMPv2c的配置方法。（2）掌握SNMPv3的配置方法。（3）掌握日志主机的配置方法。（4）

5、掌握命令行授权配置方法。（5）掌握命令行计费配置方法。（6）掌握定时执行任务典型配置方法。实验目的实验目的与内容与内容【实验内容】【实验内容】（1）SNMPv1/SNMPv2c的配置。（2）SNMPv3的配置。（3）日志主机的配置。（4）命令行授权配置。（5）命令行计费配置。（6）定时执行任务典型配置。实验实验设备设备H3C系列交换机和路由器各一台，PC两台，其中一台安装网管软件，直连双绞线三根，专用配置电缆一根。网络拓扑结构如图3.7所示。【实验【实验设备设备】图3.7 路由器系统管理拓扑结构图实验实验步骤步骤1将网络搭建好并配置路由器接口地址H3C-GigabitEthernet0/0ip

6、 address 01 242SNMPv1/SNMPv2c的配置（1）配置路由器。设置H3C使用的SNMP版本为v1，只读团体名为public，读写团体名为private。 system-viewH3C snmp-agent sys-info version v1H3C snmp-agent community read publicH3C snmp-agent community write private实验实验步骤步骤设置设备的联系人和位置信息，以方便维护。H3C snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp

7、-agent sys-info location telephone-closet,3rd-floor设置允许向NMS发送告警信息，使用的团体名为public。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname public v1注意：snmp-agent target-host命令中指定的版本必须和NMS上运行的SNMP版本一致，因此需要将snmp-agent target-host命令中的版本参数设置为v1。否则，NMS无法

8、正确接收告警信息。实验实验步骤步骤（2）配置HWTACAS Server（NMS）。设置NMS使用的SNMP版本为SNMPv1，只读团体名为public，读写团体名为private。另外，还可以根据需求设置“超时”时间和“重试次数”，具体配置请参考NMS的相关手册。3SNMPv3的配置（1）配置路由器。设置访问权限：用户只能读写节点snmp（OID为.2.1.11）下的对象，不可以访问其他MIB对象。 system-viewH3C undo snmp-agent mib-view ViewDefaultH3C snmp-agent mib-view included test s

9、nmpH3C snmp-agent group v3 managev3group privacy read-view test write-view test实验实验步骤步骤设置Agent使用的用户名为managev3user，认证算法为MD5，认证密码为authkey，加密算法为DES56，加密密码是prikey。H3C snmp-agent usm-user v3 managev3user managev3group simple authentication-mode md5 authkey privacy-mode des56 prikey设置设备的联系人和位置信息，以方便维护。H3C

10、 snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp-agent sys-info location telephone-closet,3rd-floor设置允许向NMS发送告警信息，使用的用户名为managev3user。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname managev3user v3 privacy实验实验步骤步骤（2）配置HWTACAS Server（

11、NMS）。设置NMS使用的SNMP版本为SNMPv3，用户名为managev3user，启用认证和加密功能，认证算法为MD5，认证密码为authkey，加密协议为DES56，加密密码为prikey。另外，还可以根据需求设置“超时”时间和“重试次数”，具体配置请参考NMS的相关手册4日志主机的配置（1）把日志发往控制台的方法。 system-viewH3C info-center enable /开启信息中心H3C info-center source default console deny/关闭控制台方向所有模块日志信息的输出开关，由于系统对各方向允许输出的日志信息的默认情况不一样，因此配置

12、前必须将所有模块指定方向（本例为console）上日志信息的输出开关关闭，再根据当前的需求配置输出规则，以免输出太多不需要的信息。实验实验步骤步骤H3C info-center source ftp console level warning/配置输出规则：允许FTP模块的、等级高于等于warning的日志信息输出H3C quit terminal logging level 6 terminal monitor /开启终端显示功能（2）把日志发往UNIX的方法。H3C上的配置。 system-viewH3C info-center enable /开启信息中心H3C info-center

13、loghost 54 facility local4/配置发送日志信息到IP地址为54/24的日志主机，日志主机记录工具为local4实验实验步骤步骤H3C info-center source default loghost deny/关闭loghost方向所有模块日志信息的输出开关H3C info-center source ftp loghost level informational/配置输出规则：允许FTP模块的、等级高于等于informational的日志信息输出到日志主机（注意：允许输出信息的模块由产品决定）日志主机上的配置。下面以Sola

14、ris操作系统上的配置为例介绍日志主机上的配置，在其他厂商的UNIX操作系统上的配置操作基本类似。第一步：以超级用户的身份登录日志主机。第二步：在/var/log/路径下为Device创建同名日志文件夹Device，在该文件夹创建文件info.log，用来存储来自H3C的日志。# mkdir /var/log/Device# touch /var/log/Device/info.log实验实验步骤步骤第三步：编辑/etc/路径下的文件syslog.conf，添加以下内容。# Device configuration /var/log/Device/inf

15、o.log以上配置中，local4表示日志主机接收日志的工具名称，info表示信息等级。UNIX系统会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。第四步：查看系统守护进程syslogd的进程号，中止syslogd进程，并重新用-r选项在后台启动syslogd，使修改后配置生效。# ps -ae | grep syslogd147# kill -HUP 147# syslogd -r &进行以上操作之后，Device的日志信息会输出到PC，PC会将这些日志信息存储到相应的文件中。实验实验步骤步骤在编辑/etc/syslog.conf

16、时应注意以下问题：注释必须独立成行，并以字符#开头。在文件名之后不得有多余的空格。/etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghost和info-center source命令的相应参数的指定值要保持一致，否则日志信息可能无法正确输出到日志主机上。5.命令行授权配置为了保证路由器的安全，需要对登录用户执行命令的权限进行限制：用户53登录设备后，输入的命令必须先获得HWTACACS服务器的授权才能执行；否则，不能执行该命令。如果HWTACACS服务器故障导致授权失败，则采用本地授权。实验实验步骤步骤在设备上配置IP地

17、址，以保证路由器、计算机和服务器之间互相路由可达（配置步骤略）。配置用户登录设备时需要输入用户名和密码进行AAA认证，可以使用的命令由认证结果决定。 system-viewH3C telnet server enable /开启设备的Telnet服务器功能，以便用户访问H3C line vty 0 4H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 command authorization/使能命令行授权功能，限制用户只能使用授权成功的命令实验实验步骤步骤配置HWTACACS方案：授权服务器的IP地址:TCP端口号为10.0.

18、101.254:49（该端口号必须和HWTACACS服务器上的设置一致），报文的加密密码是expert，登录时不需要输入域名，使用默认域。H3C-line-vty0-4 quitH3C hwtacacs scheme tacH3C-hwtacacs-tac primary authentication 54 49H3C-hwtacacs-tac primary authorization 54 49H3C-hwtacacs-tac key authentication expertH3C-hwtacacs-tac key authorization ex

19、pertH3C-hwtacacs-tac server-type standardH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit实验实验步骤步骤配置默认域的命令行授权AAA方案。使用HWTACACS方案。H3C domain systemH3C-isp-system authentication login hwtacacs-scheme tac localH3C-isp-system authorization command hwtacacs-scheme tac localH3C-isp-syst

20、em quit配置本地认证所需参数：创建本地用户CQUT，密码为123，可使用的服务类型为telnet，可使用默认级别等于或低于1（监控级）的命令。H3C local-user CQUTH3C-luser-manage-CQUT password cipher 123H3C-luser-manage-CQUT service-type telnetH3C-luser-manage-CQUT authorization-attribute user-role level-1实验实验步骤步骤6.命令行计费配置为便于集中控制、监控用户对设备的操作，需要将登录用户执行的命令发送到HWTACACS服务器

21、进行记录。开启设备的Telnet服务器功能，以便用户访问。 system-viewH3C telnet server enable配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。H3C line console 0H3C-line-console0 command accountingH3C-line-console0 quit实验实验步骤步骤配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。H3C line vty 0 4H3C-line-vty0-4 command accountingH3C-line-v

22、ty0-4 quit配置HWTACACS方案。计费服务器的IP地址：TCP端口号为54:49，报文的加密密码是expert，登录时不需要输入域名，使用默认域。H3C hwtacacs scheme tacH3C-hwtacacs-tac primary accounting 54 49H3C-hwtacacs-tac key accounting expertH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit 实验实验步骤步骤配置默认域的命令行计费AAA方案，使用HW

23、TACACS方案。H3C domain systemH3C-isp-system accounting command hwtacacs-scheme tacH3C-isp-system quit实验实验步骤步骤10.、定时执行任务典型配置对路由器进行配置，在星期一到星期五的上午8点到下午18点开启GigabitEthernet0/0，其他时间关闭端口，以便起到有效节能的作用。 system-view创建关闭GigabitEthernet0/0的Job。H3C scheduler job shutdown-GigabitEthernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 1 system-viewH3C-job-shutdown-GigabitEthernet0/0 command 2 interface Gigabitethernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 3 shutdownH3C-j