配置设备使用SNMPv3与网管通信示例

组网需求

如图1所示,现有网络中网管NMS1和MNS2对网络中的设备进行监管。由于网络规模较大,安全性较低,在规划时配置设备使用SNMPv3版本与网管进行通信,并配置认证加密功能保证安全性。现在由于扩容需要,新增一台交换机,并由网管对其进行监管。

用户希望通过利用现有的网络资源对交换机进行监管,并且对发生故障能够快速对故障定位和排除。

图1 配置使用SNMPv3与网管通信组网图
http://localhost:7890/pages/31187092/04/31187092/04/resources/dc/images/fig_dc_cfg_snmp_004101.png

配置思路

考虑到用户所在网络规模较大,安全性较低,因此新增设备依然使用SNMPv3版本。为减轻网管站的负担,选取NMS2来监管交换机,NMS1不监管交换机

采用如下的配置思路:

  1. 配置交换机的SNMP版本为SNMPv3。

  2. 配置用户访问权限,使NMS2可以管理ISO节点。

  3. 配置交换机的Trap功能,使交换机产生的告警能够发送至NMS2。为了方便对告警信息进行定位,避免过多的无用告警对处理问题造成干扰,仅允许缺省打开的模块可以发送告警。

  4. 配置交换机管理员的联系方法,以便交换机出现故障时网管管理员能快速联系上就近的设备管理员,以便对故障进行快速定位和排除。

  5. 配置网管站(仅NMS2)。

操作步骤

  1. 配置交换机的接口IP地址

    # 按图1所示,配置交换机的接口IP地址。

    <Quidway> system-view[Quidway] vlan 100[Quidway-vlan100] quit[Quidway] interface gigabitethernet 1/0/1[Quidway-GigabitEthernet1/0/1] port hybrid pvid vlan 100[Quidway-GigabitEthernet1/0/1] port hybrid untagged vlan 100[Quidway-GigabitEthernet1/0/1] quit[Quidway] interface vlanif 100[Quidway-Vlanif100] ip address 1.1.2.1 24[Quidway-Vlanif100] quit

       

  2. 配置交换机和网管站之间路由可达

    [Quidway] ospf[Quidway-ospf-1] area 0[Quidway-ospf-1-area-0.0.0.0] network 1.1.2.0 0.0.0.255[Quidway-ospf-1-area-0.0.0.0] quit[Quidway-ospf-1] quit

       

  3. 配置交换机的SNMP版本为SNMPv3。

    [Quidway] snmp-agent sys-info version v3

       

  4. 配置网管站的访问权限。

    # 配置ACL,使NMS2可以管理交换机,NMS1不允许管理交换机

    [Quidway] acl 2001[Quidway-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0[Quidway-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0[Quidway-acl-basic-2001] quit

     

    # 配置MIB视图。

    [Quidway] snmp-agent mib-view included isoview iso

     

    # 配置用户组和用户,对用户的数据进行认证和加密。

    [Quidway] snmp-agent usm-user v3 nms2-admin group admin[Quidway] snmp-agent usm-user v3 nms2-admin authentication-mode md5Please configure the authentication password (8-64)                             
Enter Password:                                                                 
Confirm Password: 
[Quidway] snmp-agent usm-user v3 nms2-admin privacy-mode aes128Please configure the privacy password (8-64)                                    
Enter Password:                                                                 
Confirm Password:
[Quidway]
[Quidway] snmp-agent group v3 admin privacy write-view isoview acl 2001

       

  5. 配置告警功能。

    [Quidway] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname nms2-admin v3 privacy

       

  6. 配置设备管理员联系方式。

    [Quidway] snmp-agent sys-info contact call Operator at 010-12345678

       

  7. 配置网管站。

    在使用SNMPv3版本的NMS上需要设置用户名,选择安全级别。根据不同的安全级别,需要分别设置认证方式、认证密码、加密方式、加密密码等。网管的配置请根据采用的网管产品参考对应的网管配置手册。

    http://localhost:7890/pages/31187092/04/31187092/04/resources/public_sys-resources/icon-note.gif 说明:  

    网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。

  8. 验证配置结果。

    配置完成后,可以执行下面的命令,检查配置内容是否生效。

    # 查看SNMP版本。

    [Quidway] display snmp-agent sys-info version
   SNMP version running in the system:                                          
           SNMPv3

     

    # 查看用户组信息。

    [Quidway] display snmp-agent group admin
   Group name: admin
       Security model: v3 AuthPriv
       Readview: ViewDefault
       Writeview: isoview
       Notifyview :<no specified>
       Storage-type: nonVolatile
       Acl:2001

     

    # 查看用户信息。

    [Quidway] display snmp-agent usm-user
   User name: nms2-admin
       Engine ID: 800007DB0300259E0370C3 active

     

    # 查看ACL配置。

    [Quidway] display acl 2001Basic ACL 2001, 2 rules                                                         
Acl's step is 5                                                                 
 rule 5 permit source 1.1.1.2 0 (match-counter 0)                               
 rule 6 deny source 1.1.1.1 0 (match-counter 0)

     

    # 查看MIB视图。

    [Quidway] display snmp-agent mib-view viewname isoview
   View name:isoview                                                         
       MIB Subtree:iso                                              
       Subtree mask:FC(Hex)                                                            
       Storage-type: nonVolatile                                                
       View Type:included                                                       
       View status:active

     

    # 查看告警的目标主机。

    [Quidway] display snmp-agent target-hostTarget-host NO. 1
-----------------------------------------------------------
  IP-address    : 1.1.1.2
  Source interface : - 
  VPN instance  : -
  Security name : %$%$!]yf3sY#DGys"z#R]Jc7wjSU%$%$ 
  Port          : 162
  Type          : trap
  Version       : v3
  Level         : Privacy
  NMS type      : NMS
  With ext-vb   : No
-----------------------------------------------------------

     

    # 配置设备管理员联系方式。

    [Quidway] display snmp-agent sys-info contact
   The contact person for this managed node:                                    
           call Operator at 010-12345678

       

配置文件

交换机的配置文件

#
vlan batch 100
#
acl number 2001
 rule 5 permit source 1.1.1.2 0
 rule 6 deny source 1.1.1.1 0
#
interface Vlanif100
 ip address 1.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port hybrid pvid vlan 100
 port hybrid untagged vlan 100
#
ospf 1
 area 0.0.0.0
  network 1.1.2.0 0.0.0.255
#
snmp-agent
snmp-agent local-engineid 800007DB0300259E0370C3
snmp-agent sys-info contact call Operator at 010-12345678
snmp-agent sys-info version v3
snmp-agent group v3 admin privacy write-view isoview acl 2001 
snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname nms2-admin v3 privacy
snmp-agent mib-view included isoview iso 
snmp-agent usm-user v3 nms2-admin group admin 
snmp-agent usm-user v3 nms2-admin authentication-mode md5 cipher %@%@cDjJA|yOjEak%@M]MO~Rh';<%@%@ snmp-agent usm-user v3 nms2-admin privacy-mode aes128 cipher %@%@Adem8-N9(H/*WOE2,IIQh'Nw%@%@#
return