32

本案例介紹SNMPv1/v2c的配置方法。

如圖1所示，iMC服務器作為NMS通過SNMPv1/SNMPv2c協(xié)議對設備（Agent）進行監(jiān)控管理，只讀團體名為readtest，讀寫團體名為writetest，并且當設備出現(xiàn)故障時能夠主動向NMS發(fā)送告警信息。

圖1 SNMPv1/v2c功能配置組網(wǎng)圖

·?????SNMPv2c與SNMPv1配置方法完全一致，本舉例中以配置SNMPv2c為例進行介紹。

·?????用戶在設備和NMS上配置的SNMP版本號和團體字必須一致，否則，NMS無法對設備進行管理和維護。

·?????不同廠商的NMS軟件配置方法不同，關于NMS的詳細配置，具體請參考NMS的相關手冊。本配置舉例中，以iMC PLAT 7.0 (E0202)為例進行介紹。

# 配置接口Vlan-interface2的IP地址。

system-view

[Agent] interface Vlan-interface 2

[Agent-Vlan-interface 2] ip address 192.168.100.68 24

[Agent-Vlan-interface 2] quit

# 設置Agent使用的SNMP版本為v2c、只讀團體名為readtest，讀寫團體名為writetest。

[Agent] snmp-agent sys-info version v2c

[Agent] snmp-agent community read readtest

[Agent] snmp-agent community write writetest

# 設置設備的聯(lián)系人和位置信息，以方便維護。

[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306

[Agent] snmp-agent sys-info location telephone-closet,3rd-floor

# 設置允許向NMS發(fā)送告警信息，使用的團體名為readtest。

[Agent] snmp-agent trap enable

[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c

(1)?????登錄進入iMC管理平臺，選擇“資源”頁簽，單擊導航樹中的[增加設備]菜單項，進入增加設備配置頁面。在該頁面中輸入設備的主機名或IP地址，并點擊鏈接。

圖2 增加設備配置頁面

?

(2)?????進入SNMP參數(shù)設置頁面配置SNMP參數(shù)。

·?????設置參數(shù)類型為“SNMPv2c”；

·?????設置只讀團體字為“readtest”；

·?????設置讀寫團體字為“writetest”；

·?????其它參數(shù)采用缺省值，并單擊按鈕完成作。

圖3 SNMP參數(shù)設置頁面

?

(3)?????在增加設備配置頁面單擊按鈕，iMC返回增加設備成功信息。增加設備成功后，用戶即可通過iMC對設備進行配置、管理和維護。

圖4 增加設備成功頁面

?

# 完成以上配置之后，在設備上的某個空閑接口執(zhí)行shutdown或undo shutdown作，設備會向NMS發(fā)送接口狀態(tài)改變的Trap。

# 在iMC的“告警>告警瀏覽>全部告警”頁面中會顯示上述接口狀態(tài)改變的Trap信息。

#

?snmp-agent ?

?snmp-agent community write writetest

?snmp-agent community read readtest

?snmp-agent sys-info contact Mr.Wang-Tel:3306

?snmp-agent sys-info location telephone-closet,3rd-floor

?snmp-agent sys-info version v2c

?snmp-agent trap enable arp

?snmp-agent trap enable syslog

?snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c

#

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控配置指導”中的“SNMP”。

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控命令參考”中的“SNMP”。

?

本案例介紹SNMPv3的配置方法。

·?????NMS通過SNMPv3只能對Agent的SNMP報文的相關信息進行監(jiān)控管理，Agent在出現(xiàn)故障時能夠主動向NMS發(fā)送告警信息，NMS上接收SNMP告警信息的默認UDP端口號為162。

·?????NMS與Agent建立SNMP連接時，需要認證，使用的認證算法為SHA-1，認證密碼為123456TESTauth&!。NMS與Agent之間傳輸?shù)腟NMP報文需要加密，使用的加密協(xié)議為AES，加密密碼為123456TESTencr&!。

圖2 SNMPv3功能典型配置組網(wǎng)圖

?

·?????SNMPv3支持基于RBAC（Role Based Access Control，基于角色的訪問控制）和基于VACM（View-based Access Control Model，基于視圖的訪問控制模型）兩種訪問控制方式。本配置舉例中，針對同一需求分別給出了兩種方式的配置示例，請選擇一種作為參考即可。

·?????用戶在設備和NMS上配置的SNMP版本號和團體字必須一致，否則，NMS無法對設備進行管理和維護。

·?????不同廠商的NMS軟件配置方法不同，關于NMS的詳細配置，具體請參考NMS的相關手冊。本配置舉例中，以iMC PLAT 7.0 (E0202)為例進行介紹。

·?????SNMPv3接收Trap報文的目的主機的安全參數(shù)要使用設備已配置的v3用戶，且安全模型要一致。

·?????SNMPv3的認證密碼和加密密碼以密文形式保存在配置文件中，密文密碼由明文密碼和本設備的引擎ID計算后生成。如果要將兩臺設備的認證密碼和加密密碼配置為相同值，建議使用明文密碼在兩臺設備上分別手工配置，不要直接拷貝配置文件中的相關配置。因為兩臺設備的引擎ID不同，會導致密文密碼相同，而對應的明文密碼不同。

# 配置接口Vlan-interface2的IP地址。

system-view

[Agent] interface Vlan-interface2

[Agent-Vlan-interface2] ip address 192.168.100.68 24

[Agent-Vlan-interface2] quit

# 設置Agent使用的SNMP版本為v3。

[Agent] snmp-agent sys-info version v3

# 創(chuàng)建用戶角色test，允許他讀寫internet子樹（OID為“1.3.6.1”）下的所有對象。

[Agent] role name test

[Agent-role-test] rule 1 permit read write oid 1.3.6.1

[Agent-role-test] quit

# 創(chuàng)建SNMPv3用戶managev3user，為其綁定用戶角色test，認證算法為SHA-1，明文認證密碼為123456TESTauth&!，加密算法為AES，明文加密密碼是123456TESTencr&!。

[Agent] snmp-agent usm-user v3 managev3user user-role test simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!

# 配置設備的聯(lián)系人和位置信息，以方便維護。

[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306

[Agent] snmp-agent sys-info location telephone-closet,3rd-floor

# 開啟SNMP告警功能。

[Agent] snmp-agent trap enable

# 設置接收SNMP告警信息的目的主機IP地址，即NMS的IP地址，配置安全認證參數(shù)為managev3user。

[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy

# 配置接口Vlan-interface2的IP地址。

system-view

[Agent] interface Vlan-interface2

[Agent-Vlan-interface2] ip address 192.168.100.68 24

[Agent-Vlan-interface2] quit

# 設置Agent使用的SNMP版本為v3。

system-view

[Agent] snmp-agent sys-info version v3

# 創(chuàng)建MIB視圖，名字為mibtest，包含internet子樹（OID為“1.3.6.1”）下的所有對象。

[Agent] snmp-agent mib-view included mibtest 1.3.6.1

# 創(chuàng)建SNMPv3組managev3group，并配置與該組綁定的SNMPv3用戶與NMS建立連接時，均進行認證和加密，NMS可以對設備進行讀寫的視圖均為mibtest。

[Agent] snmp-agent group v3 managev3group privacy read-view mibtest write-view mibtest notify-view mibtest

# 創(chuàng)建SNMPv3用戶managev3user，認證算法為SHA-1，明文認證密碼為123456TESTauth&!，加密算法為AES，明文加密密碼是123456TESTencr&!。

[Agent] snmp-agent usm-user v3 managev3user managev3group simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!

# 配置設備的聯(lián)系人和位置信息，以方便維護。

[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306

[Agent] snmp-agent sys-info location telephone-closet,3rd-floor

# 開啟SNMP告警功能。

[Agent] snmp-agent trap enable

# 設置接收SNMP告警信息的目的主機IP地址，即NMS的IP地址，配置安全認證參數(shù)為managev3user。

[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy

# 配置SNMP模板。

·?????登錄iMC，選擇“系統(tǒng)管理”頁簽，單擊導航樹中的[資源管理/SNMP模板]菜單項，進入SNMP模板配置頁面，在該頁面中單擊按鈕，進入增加SNMP模板配置頁面。

·?????配置SNMP模板的名稱為SNMPv3。

·?????選擇參數(shù)類型為SNMPv3 Priv-Aes128 Auth-Sha。

·?????配置SNMP用戶名為managev3user。

·?????明文認證密碼為123456TESTauth&!。

·?????明文加密密碼為123456TESTencr&!。

·?????其它參數(shù)采用缺省值，并單擊按鈕完成作。

圖3 增加SNMP模板頁面

?

# 選擇“資源”頁簽，單擊導航樹中的[資源管理/增加設備]菜單項，進入增加設備配置頁面，在該頁面中輸入設備的主機名或IP地址，并點擊鏈接。

圖4 增加設備頁面

?

# 進入SNMP參數(shù)設置頁面配置SNMP參數(shù)。

·?????選擇“從已有的SNMP參數(shù)模板中選取”。

·?????選擇名稱為“SNMPv3”的SNMP模板。

·?????單擊按鈕完成作，返回到“增加設備”頁面。

圖5 SNMP參數(shù)設置頁面

?

·?????在“增加設備”頁面單擊按鈕，iMC返回增加設備成功信息。增加設備成功后，用戶即可通過iMC對設備進行配置、管理和維護。

圖6 增加設備成功頁面

?

# 完成以上配置之后，在設備上的某個空閑接口執(zhí)行shutdown或undo shutdown作，設備會向NMS發(fā)送接口狀態(tài)改變的Trap。

# 在iMC的“告警>告警瀏覽>全部告警”頁面中會顯示上述接口狀態(tài)改變的Trap信息。

·?????基于RBAC的配置文件

#

?snmp-agent

?snmp-agent sys-info contact Mr.Wang-Tel:3306

?snmp-agent sys-info location telephone-closet,3rd-floor

?snmp-agent sys-info version v3

?snmp-agent trap enable arp

?snmp-agent trap enable syslog

?snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy

?snmp-agent usm-user v3 managev3user user-role test cipher authentication-mode sha $c$3$5JaJZ6gNXlyNRq2FR2ELDT3QQH1exwJRWdYYq7eLfcBewuM5ncM= privacy-mode aes128 $c$3$+bbXZS4+PnsLDyr16OogzBckaLzR6XMDwZQuLBU8RM+dpw==

#

role name test

?rule 1 permit read write oid 1.3.6.1

#

·?????基于VACM的配置文件

#

?snmp-agent

?snmp-agent sys-info contact Mr.Wang-Tel:3306

?snmp-agent sys-info location telephone-closet,3rd-floor

?snmp-agent sys-info version v3

?snmp-agent group v3 managev3group privacy read-view mibtest write-view mibtest notify-view mibtest

?snmp-agent mib-view included mibtest internet

?snmp-agent trap enable arp

?snmp-agent trap enable syslog

?snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy

?snmp-agent usm-user v3 managev3user managev3group cipher authentication-mode sha $c$3$5JaJZ6gNXlyNRq2FR2ELDT3QQH1exwJRWdYYq7eLfcBewuM5ncM= privacy-mode aes128 $c$3$+bbXZS4+PnsLDyr16OogzBckaLzR6XMDwZQuLBU8RM+dpw==

#

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控配置指導”中的“SNMP”。

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控命令參考”中的“SNMP”。

?

本案例介紹通過基本ACL實現(xiàn)僅指定的網(wǎng)管能夠訪問交換機的配置方法。

如圖3所示，iMC服務器作為NMS通過SNMPv2c協(xié)議對設備（Agent）進行監(jiān)控管理，只讀團體名為readtest，讀寫團體名為writetest，并且當設備出現(xiàn)故障時能夠主動向NMS發(fā)送告警信息。

圖3 SNMP應用ACL限制非法網(wǎng)管訪問組網(wǎng)圖

·?????用戶在設備和NMS上配置的SNMP版本號和團體字必須一致，否則，NMS無法對設備進行管理和維護。

·?????不同廠商的NMS軟件配置方法不同，關于NMS的詳細配置，具體請參考NMS的相關手冊。本配置舉例中，以iMC PLAT 7.0 (E0202)為例進行介紹。

# 配置接口Vlan-interface2的IP地址，Agent使用的SNMP版本為v2c。

system-view

[Agent] interface Vlan-interface 2

[Agent-Vlan-interface 2] ip address 192.168.100.68 24

[Agent-Vlan-interface 2] quit

[Agent] snmp-agent sys-info version v2c

[Agent] quit

# 配置訪問限制，只允許IP地址為1.1.1.1的NMS使用該團體名對設備上缺省視圖內(nèi)的MIB對象進行讀寫作，禁止其它NMS使用該團體名執(zhí)行寫作。

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 192.168.100.4 0.0.0.0

[Sysname-acl-ipv4-basic-2001] rule deny source any

[Sysname-acl-ipv4-basic-2001] quit

# 創(chuàng)建MIB視圖信息，視圖名稱為mibtest，通過MIB視圖限制網(wǎng)管僅能訪問指定的MIB（OID為“1.3.6.1.2.1”）。

[Sysname] snmp-agent mib-view included mibtest 1.3.6.1.2.1

# 配置只讀團體名為readtest，讀寫團體名為writetest。

[Agent] snmp-agent community read readtest

[Agent] snmp-agent community write writetest

# 設置設備的聯(lián)系人和位置信息，以方便維護。

[Agent] snmp-agent sys-info contact Mr.Wang-Tel:3306

[Agent] snmp-agent sys-info location telephone-closet,3rd-floor

# 設置允許向NMS發(fā)送告警信息，使用的團體名為readtest。

[Agent] snmp-agent trap enable

[Agent] snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c

(1)?????登錄進入iMC管理平臺，選擇“資源”頁簽，單擊導航樹中的[增加設備]菜單項，進入增加設備配置頁面。在該頁面中輸入設備的主機名或IP地址，并點擊鏈接。

圖4 增加設備配置頁面

?

(2)?????進入SNMP參數(shù)設置頁面配置SNMP參數(shù)。

·?????設置參數(shù)類型為“SNMPv2c”；

·?????設置只讀團體字為“readtest”；

·?????設置讀寫團體字為“writetest”；

·?????其它參數(shù)采用缺省值，并單擊按鈕完成作。

圖5 SNMP參數(shù)設置頁面

?

(3)?????在增加設備配置頁面單擊按鈕，iMC返回增加設備成功信息。增加設備成功后，用戶即可通過iMC對設備進行配置、管理和維護。

圖6 增加設備成功頁面

?

# 完成以上配置之后，在設備上的某個空閑接口執(zhí)行shutdown或undo shutdown作，設備會向NMS發(fā)送接口狀態(tài)改變的Trap。

# 在iMC的“告警>告警瀏覽>全部告警”頁面中會顯示上述接口狀態(tài)改變的Trap信息。

# 只允許指定IP地址192.168.100.4的網(wǎng)管讀寫交換機的指定MIB。

#

?snmp-agent

?acl basic 2001

?rule permit source 192.168.100.68 0.0.0.0

?rule deny source any

?snmp-agent mib-view included mibtest 1.3.6.1.2.1

?snmp-agent community write writetest

?snmp-agent community read readtest

?snmp-agent sys-info contact Mr.Wang-Tel:3306

?snmp-agent sys-info location telephone-closet,3rd-floor

?snmp-agent sys-info version v2c

?snmp-agent trap enable

?snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname readtest v2c

#

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控配置指導”中的“SNMP”。

·?????產(chǎn)品配套“網(wǎng)絡管理和監(jiān)控命令參考”中的“SNMP”。

?