- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
24-SNMP-RMON操作
本章节下载 (234.28 KB)
目 录
SNMP(Simple Network Management Protocol,简单网络管理协议),用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。
SNMP采用轮询机制,提供最基本的功能集,特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP,因此可以实现和众多产品的无障碍连接。
SNMP分为NMS和Agent两部分:
l NMS(Network Management Station,网络管理站)是运行客户端程序的工作站,目前常用的网管平台有QuidView、Sun NetManager和IBM NetView。
l Agent是运行在网络设备(如交换机)上的服务器端软件。
NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型对管理对象(MIB,Management Information Base,管理信息库)进行Read或Write操作,生成Response报文,并将报文返回给NMS。
Agent在设备发生异常情况或状态改变时(如设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
目前,交换机中的SNMP Agent支持SNMP v3版本,兼容SNMP v1版本、SNMP v2c版本。
SNMP v3采用用户名和密码认证方式。
SNMP v1、SNMP v2c采用团体名(Community Name)认证,非交换机认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问交换机上的SNMP Agent。用户可以选择指定以下一个或者多个与团体名相关的特性:
l 定义团体名可以访问的MIB视图。
l 设置团体名对MIB对象的访问权限为读写权限(write)或者只读权限(read)。具有只读权限的团体名只能对交换机信息进行查询,而具有读写权限的团体名还可以对交换机进行配置。
l 设置团体名指定的基本访问控制列表。
在SNMP报文中用管理变量来描述交换机中的管理对象。为了唯一标识交换机中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如下图1-1所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
图1-1 MIB树结构
MIB(Management Information Base,管理信息库)的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图1-1中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符(Object Identifier,OID)。
SNMP v3版本和SNMP v1版本、SNMP v2c版本的配置有较大区别,在配置SNMP的基本功能时分为两种情况进行介绍。
现在交换机支持进行SNMPv3用户的配置时采用AES(Advanced Encryption Standard,高级加密标准)加密协议。它是替代DES(Data Encryption Standard,数据加密标准)的新标准,提供了更高的安全性。
表1-1 配置SNMP基本功能(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
|
设置系统信息,并设置交换机启用SNMP v1/SNMP v2c版本 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } } |
必选 缺省情况下,系统维护联系信息为“Hangzhou H3C Technologies Co., Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv3 |
||
|
设置团体名及访问权限 |
直接设置 |
设置团体名 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 l 直接设置是以SNMP v1版本、SNMP v2c版本的团体名概念进行设置 l 间接设置采用与SNMP v3版本一致的命令形式,添加的用户即相当于SNMPv1版本、SNMPv2c版本的团体名概念 l 根据用户习惯,二者任选其一 |
|
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
|
设置Agent能接收/发送的SNMP消息包的大小 |
snmp-agent packet max-size byte-count |
可选 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
||
|
设置设备的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省情况下,设备引擎ID为公司的“企业号+设备信息” |
||
|
创建或更新视图的信息 |
snmp-agent mib-view { included | excluded } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
||
表1-2 配置SNMP基本功能(SNMP v3版本)
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
|
设置系统信息,并设置交换机启用SNMP v3版本 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } } |
可选 缺省情况下,系统维护联系信息为“Hangzhou H3C Technologies Co., Ltd.”; 物理位置信息为“Hangzhou China”; 版本为SNMPv3 |
|
设置一个SNMP组 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ] |
必选 |
|
计算明文密码的密文形式 |
snmp-agent calculate-password plain-password mode { md5 | sha } { local-engineid | specified-engineid engineid } |
可选 若添加新用户时,需要采用密文形式密码则需要计算出相应密码,并保存以便使用 |
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user v3 user-name group-name [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { des56 | aes128 } priv-password ] ] [ acl acl-number ] |
必选 |
|
设置Agent能接收/发送的SNMP消息包的大小 |
snmp-agent packet max-size byte-count |
可选 缺省情况下,Agent能接收/发送的SNMP消息包长度的最大值为1500字节 |
|
设置设备的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省情况下,设备引擎ID为公司的“企业号+设备信息” |
|
创建或更新视图的信息 |
snmp-agent mib-view { included | excluded } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
& 说明:
S5100-SI/EI以太网交换机为防止恶意用户对未使用UDP端口的攻击,提高交换机的安全性,提供了如下功能:
l 执行snmp-agent命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent,同时打开SNMP Agent使用的UDP 161端口和SNMP TRAP使用的UDP端口。
l 应用undo snmp-agent命令的同时即可关闭SNMP Agent和SNMP TRAP使用的UDP端口。
Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。
需要注意的是,在配置Trap基本功能前必须完成SNMP基本配置。
Trap扩展功能指在linkUp/linkDown Trap消息中加入“接口描述”和“接口类型”内容。当NMS接收到该扩展Trap消息后,根据接口描述和接口类型能够立即判断出是设备的哪个接口出现故障,有利于快速定位问题。
表1-4 配置Trap扩展功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置Trap扩展功能 |
snmp-agent trap ifmib link extended |
可选 缺省情况下,linkUp/linkDown Trap使用IF-MIB中定义的标准格式(具体请参见RFC1213) |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置网管操作记入日志功能 |
snmp-agent log { set-operation | get-operation | all } |
可选 缺省情况下,SNMP模块的日志功能关闭 |
& 说明:
l 打开SNMP日志开关后,SNMP日志将输出到本设备的信息中心,通过设置信息中心的输出方向,最终决定SNMP日志的输出方向。
l SNMP日志的优先级为informational,即作为设备的一般提示信息。如果需要查看SNMP日志,需要配置信息中心允许informational级别的系统信息输出。
l 有关系统信息及信息中心的详细介绍请参见 “信息中心操作”部分。
在完成上述配置后,在任意视图下执行display命令,可显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。
表1-6 SNMP配置显示
|
配置 |
命令 |
说明 |
|
显示当前SNMP设备的系统信息 |
display snmp-agent sys-info [ contact | location | version ]* |
display命令可以在任意视图执行 |
|
显示SNMP报文统计信息 |
display snmp-agent statistics |
|
|
显示当前设备的引擎ID |
display snmp-agent { local-engineid | remote-engineid } |
|
|
显示设备的组信息 |
display snmp-agent group [ group-name ] |
|
|
显示SNMP用户信息 |
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] |
|
|
显示Trap列表信息 |
display snmp-agent trap-list |
|
|
显示当前配置的团体名 |
display snmp-agent community [ read | write ] |
|
|
显示当前配置的MIB视图 |
display snmp-agent mib-view [ exclude | include | viewname view-name ] |
l 网管工作站(NMS)与Switch A(SNMP Agent)通过以太网相连,网管工作站IP地址为10.10.10.1,Switch A的VLAN接口IP地址为10.10.10.2。
l 在Switch A上进行如下配置:设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。使得通过NMS可以获取对交换机的访问权限,并接收交换机发送的Trap消息。
图1-2 SNMP配置举例组网图
# 启用SNMP Agent服务,并设置SNMP v1、v2c版本的团体名。
<Sysname> system-view
[Sysname] snmp-agent
[Sysname] snmp-agent sys-info version all
[Sysname] snmp-agent community read public
[Sysname] snmp-agent community write private
# 设置NMS访问SNMP Agent的MIB访问权限。
[Sysname] snmp-agent mib-view include internet 1.3.6.1
# 设置SNMP v3版本的群组和用户,安全级别为需要认证和加密,指定认证协议为HMAC-MD5、认证密码为passmd5,指定加密协议为AES、加密密码为cfb128cfb128。
[Sysname] snmp-agent group v3 managev3group privacy write-view internet
[Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 passmd5 privacy-mode aes128 cfb128cfb128
# 设置网管使用的VLAN接口为VLAN 2接口,将用于网管的端口GigabitEthernet1/0/2加入到VLAN2中,配置VLAN2的接口IP地址10.10.10.2。
[Sysname] vlan 2
[Sysname-vlan2] port GigabitEthernet 1/0/2
[Sysname-vlan2] quit
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 10.10.10.2 255.255.255.0
[Sysname-Vlan-interface2] quit
# 允许交换机向网管工作站10.10.10.1发送Trap报文,使用的团体名为public。
[Sysname] snmp-agent trap enable standard authentication
[Sysname] snmp-agent trap enable standard coldstart
[Sysname] snmp-agent trap enable standard linkup
[Sysname] snmp-agent trap enable standard linkdown
[Sysname] snmp-agent target-host trap address udp-domain 10.10.10.1 udp-port 5000 params securityname public
S5100-SI/EI系列以太网交换机支持H3C公司的QuidView网管系统。SNMP v3采用用户名和密码认证方式。在QuidView认证参数部分需要设置用户名,选择安全级别。根据不同的安全级别,需要分别设置鉴权方式、鉴权密码、加密方式、加密密码等,另外,还要设置超时时间和重试次数。
用户可利用网管系统完成对以太网交换机的查询和配置操作,具体情况请参考H3C公司网管产品的配套手册。
& 说明:
网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。
RMON(Remote Monitoring,远程网络监视)是IETF(Internet Engineering Task Force,Internet工程任务组)定义的一种MIB(Management Information Base,管理信息库),是对MIB II标准重要的增强。RMON主要用于对一个网段乃至整个网络中数据流量的监视,是目前应用相当广泛的网络管理标准之一。
RMON包括NMS(Network Management Station,网络管理站)和运行在各网络设备上的Agent两部分。RMON Agent运行在网络监视器或网络探测器上,跟踪统计其端口所连接的网段上的各种流量信息(如某段时间内某网段上的报文总数,或发往某台主机的正确报文总数等)。
l RMON的实现完全基于SNMP体系结构,它与现存的SNMP框架相兼容。
l RMON使SNMP更有效、更积极主动地监测远程网络设备,为监控子网的运行提供了一种高效的手段。
l RMON能够减少NMS与代理(SNMP Agent)间的通讯流量,从而可以简便而有效地管理大型互连网络。
RMON允许有多个监控者,它可用两种方法收集数据:
l 利用专用的RMON probe(探测仪)收集数据,NMS直接从RMON probe获取管理信息并控制网络资源。这种方式可以获取RMON MIB的全部信息;
l 将RMON Agent直接植入网络设备(路由器、交换机、HUB等),使它们成为带RMON probe功能的网络设施。RMON NMS使用SNMP的基本命令与SNMP Agent交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。这四个组是告警组、事件组、历史组和统计组。
H3C系列以太网交换机以第二种方法实现RMON。以太网交换机里直接植入RMON Agent,成为带RMON probe功能的网络设施。通过运行在以太网交换机上支持RMON的SNMP Agent,网管站可以获得与以太网交换机端口相连的网段上的整体流量、错误统计和性能统计等信息,实现对网络的管理。
事件组用来定义事件号及事件的处理方式。事件组定义的事件主要用在告警组配置项和扩展告警组配置项中告警触发产生的事件。
事件有如下几种处理方式:
l 将事件记录在日志表中;
l 向网管站发Trap消息;
l 将事件记录在日志表中并向网管站发Trap消息;
l 不作任何处理。
RMON告警管理可对指定的告警变量(如端口的统计数据)进行监视,当被监视数据的值在相应的方向上越过定义的阈值时会产生告警事件,然后按照事件定义的处理方式进行相应的处理。事件的定义在事件组中实现。
用户定义了告警表项后,系统对告警表项的处理如下:
l 对所定义的告警变量alarm-variable按照定义的时间间隔sampling-time进行采样;
l 将采样值和设定的阈值进行比较,一旦超过该阈值,即触发相应事件。
扩展告警表项可以对告警变量的采样值进行运算,然后将运算结果和设置的阈值比较,实现更为丰富的告警功能。
用户定义了扩展告警表项后,系统对扩展告警表项的处理如下:
l 对定义的扩展告警公式中的告警变量按照定义的时间间隔进行采样;
l 将采样值按照定义的运算公式进行计算;
l 将计算结果和与设定的阈值进行比较,一旦超过该阈值,即触发相应事件。
配置了RMON历史组以后,以太网交换机会周期性地收集网络统计信息,为了便于处理,这些统计信息被暂时存储起来,提供有关网段流量、错误包、广播包、带宽利用率等统计信息的历史数据。
利用历史数据管理功能,可以对设备进行设置。设置的任务包括:采集历史数据、定期采集并保存指定端口的数据。
统计组信息反映交换机上每个监控接口的统计值。统计组统计的是从该统计组创建的时间开始的累计信息。
统计信息包括网络冲突数、CRC校验错误报文数、过小(或超大)的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。
利用RMON统计管理功能,可以监视端口的使用情况、统计端口使用中发生的错误。
在配置RMON功能之前,必须保证SNMP Agent已经正确配置。SNMP Agent的配置请参见1.2 配置SNMP基本功能。
表2-1 RMON配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
添加事件表的一个表项 |
rmon event event-entry [ description string ] { log | trap trap-community | log-trap log-trapcommunity | none } [ owner text ] |
可选 |
|
添加告警表的一个表项 |
rmon alarm entry-number alarm-variable sampling-time { delta | absolute } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 [ owner text ] |
可选 在添加告警表项之前,需要通过rmon event命令定义告警表项中引用的事件 |
|
添加扩展告警表的一个表项 |
rmon prialarm entry-number prialarm-formula prialarm-des sampling-timer { delta | absolute | changeratio } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 entrytype { forever | cycle cycle-period } [ owner text ] |
可选 在添加扩展告警表项之前,需要通过rmon event命令定义扩展告警表项中引用的事件 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
添加历史表的一个表项 |
rmon history entry-number buckets number interval sampling-interval [ owner text ] |
可选 |
|
添加统计表的一个表项 |
rmon statistics entry-number [ owner text ] |
可选 |
& 说明:
l 使用rmon alarm命令和rmon prialarm命令对节点进行监控时,要求被监控的节点必需存在,否则配置无效。
l 使用rmon statistics命令添加统计表项时,一个端口下只能创建一个rmon统计表项。即如果在一个端口下已经创建了一个统计表项,再在该端口下创建一个其他索引号的统计表项则不能成功。
在完成上述配置后,在任意视图下执行display命令可以显示配置后RMON的运行情况,通过查看显示信息验证配置的效果。
表2-2 RMON显示和维护
|
配置 |
命令 |
说明 |
|
显示RMON统计消息 |
display rmon statistics [ interface-type interface-number | unit unit-number ] |
display命令可以在任意视图执行 |
|
显示RMON历史信息 |
display rmon history [ interface-type interface-number | unit unit-number ] |
|
|
显示RMON告警信息 |
display rmon alarm [ entry-number ] |
|
|
显示扩展RMON告警信息 |
display rmon prialarm [ prialarm-entry-number ] |
|
|
显示RMON事件 |
display rmon event [ event-entry ] |
|
|
显示RMON事件日志 |
display rmon eventlog [ event-entry ] |
l 被检测交换机通过Internet连接远端NMS。在配置RMON功能之前,必须保证SNMP Agent已经正确配置;
l 在RMON扩展告警表中设定一个表项,对以太网端口的统计信息进行监视,当变化率超过设定的阈值就触发告警事件。
图2-1 配置RMON组网图
# 创建索引号为1的统计表项,记录以太网口1/0/1的统计信息。
<Sysname> system-view
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] rmon statistics 1
[Sysname-GigabitEthernet1/0/1] quit
# 创建扩展告警触发的事件。
[Sysname] rmon event 1 log
[Sysname] rmon event 2 trap 10.21.30.55
# 在扩展告警表中添加索引号为2的表项,对相应告警变量以公式(.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1)运算,得出以太网口GE1/0/1接收到的所有数据格式正确的过小包和过大包的数量,对该运算结果以10秒的采样间隔进行监视,当变化率大于等于上限阈值50时触发事件1,小于等于下限阈值5时触发事件2,设置告警实例采样类型为forever,创建者为user1。
[Sysname] rmon prialarm 2 (.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1) test 10 changeratio rising_threshold 50 1 falling_threshold 5 2 entrytype forever owner user1
# 查看索引号为2的RMON扩展告警表项的配置
[Sysname] display rmon prialarm 2
Prialarm table 2 owned by user1 is VALID.
Samples type : changeratio
Variable formula : (.1.3.6.1.2.1.16.1.1.1.9.1+.1.3.6.1.2.1.16.1.1.1.10.1)
Description : test
Sampling interval : 10(sec)
Rising threshold : 100(linked with event 1)
Falling threshold : 10(linked with event 2)
When startup enables : risingOrFallingAlarm
This entry will exist : forever.
Latest value : 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
