- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-SNMP命令
本章節下載: 05-SNMP命令 (238.23 KB)
目 錄
1.1.1 display snmp-agent community
1.1.2 display snmp-agent group
1.1.3 display snmp-agent local-engineid
1.1.4 display snmp-agent mib-view
1.1.5 display snmp-agent statistics
1.1.6 display snmp-agent sys-info
1.1.7 display snmp-agent trap queue
1.1.8 display snmp-agent trap-list
1.1.9 display snmp-agent usm-user
1.1.10 enable snmp trap updown
1.1.12 snmp-agent calculate-password
1.1.15 snmp-agent local-engineid
1.1.18 snmp-agent packet max-size
1.1.22 snmp-agent trap if-mib link extended
1.1.24 snmp-agent trap queue-size
【命令】
display snmp-agent community [ read | write ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
read:顯示隻讀訪問權限的團體信息。
write:顯示讀寫訪問權限的團體信息。
【描述】
display snmp-agent community命令用來顯示SNMP v1或SNMP v2c團體信息。
【舉例】
# 顯示設備當前所有已配置的團體信息。
<Sysname> display snmp-agent community
Community name: aa
Group name: aa
Acl:2001
Storage-type: nonVolatile
Community name: bb
Group name: bb
Storage-type: nonVolatile
Community name: userv1
Group name: testv1
Storage-type: nonVolatile
表1-1 display snmp-agent community命令顯示信息描述表
|
字段 |
描述 |
|
Community name |
團體名,如果團體名是通過snmp-agent community命令創建的,則顯示的是團體名;如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示的是用戶名 |
|
Group name |
組名,如果團體名是通過snmp-agent community命令創建的,則組名和團體名相同;如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示用戶所在的組名 |
|
Acl |
使用的ACL表的編號,配置ACL列表後,隻有IP地址符合ACL列表要求的NMS才能訪問設備 |
|
Storage-type |
表示存儲類型,有以下幾種: l volatile(重啟後信息丟失) l nonVolatile(重啟後信息仍保存) l permanent(重啟後信息仍保存,允許更改,但不許刪除) l readOnly(重啟後信息仍保存,既不允許更改,也不許刪除) l other(其他) |
【命令】
display snmp-agent group [ group-name ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
group-name:指定要顯示信息的組名,為1~32個字符的字符串,區分大小寫。
【描述】
display snmp-agent group命令用來顯示SNMP v3組信息,包括組名、安全模式、視圖、存儲方式等。不帶參數時,顯示所有組的信息。
【舉例】
# 顯示所有SNMP組的信息。
<Sysname> display snmp-agent group
Group name: groupv3
Security model: v3 noAuthnoPriv
Readview: ViewDefault
Writeview: <no specified>
Notifyview: <no specified>
Storage-type: nonVolatile
表1-2 display snmp-agent group命令顯示信息描述表
|
字段 |
描述 |
|
Group name |
SNMP組名 |
|
Security model |
該組配置的安全模式,分為三種:authPriv(有認證有加密)、authNoPriv(有認證無加密)、noAuthNoPriv(無認證無加密) |
|
Readview |
該組對應的隻讀的MIB視圖名 |
|
Writeview |
該組對應的可寫的MIB視圖名 |
|
Notifyview |
該組對應的可以發Trap消息的MIB視圖名 |
|
Storage-type |
存儲方式,有以下幾種類型:volatile、nonVolatile、permanent、readOnly、other,請參見表1-1 |
【命令】
display snmp-agent local-engineid
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
display snmp-agent local-engineid命令用來顯示設備的SNMP實體引擎ID。
SNMP實體引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP實體引擎是SNMP實體的重要組成部分,完成SNMP消息的消息調度、消息處理、安全驗證、訪問控製等功能。
【舉例】
# 顯示本地設備的SNMP實體引擎ID。
<Sysname> display snmp-agent local-engineid
SNMP local EngineID: 800007DB7F0000013859
【命令】
display snmp-agent mib-view [ exclude | include | viewname view-name ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
exclude:顯示屬性為exclude的MIB視圖的信息。
include:顯示屬性為include的MIB視圖的信息。
viewname view-name:顯示指定名稱的MIB視圖的信息,view-name表示視圖的名稱。
【描述】
display snmp-agent mib-view命令用來顯示MIB視圖的信息。不帶參數時,顯示所有MIB視圖的信息。
【舉例】
# 顯示設備的所有MIB視圖。
<Sysname> display snmp-agent mib-view
View name:ViewDefault
MIB Subtree:iso
Subtree mask:
Storage-type: nonVolatile
View Type:included
View status:active
View name:ViewDefault
MIB Subtree:snmpUsmMIB
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
View name:ViewDefault
MIB Subtree:snmpVacmMIB
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
View name:ViewDefault
MIB Subtree:snmpModules.18
Subtree mask:
Storage-type: nonVolatile
View Type:excluded
View status:active
ViewDefault是設備的缺省視圖,使用ViewDefault視圖訪問設備時,除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,可以訪問iso子樹下其它所有MIB對象。
表1-3 display snmp-agent mib-view命令顯示信息描述表
|
字段 |
描述 |
|
View name |
視圖名 |
|
MIB Subtree |
該視圖對應的MIB子樹 |
|
Subtree mask |
MIB子樹的掩碼 |
|
Storage-type |
存儲方式 |
|
View Type |
MIB視圖的類型,包括included和excluded兩種: l included表示當前視圖包括該子樹的所有節點,即可以訪問子樹內的所有MIB對象 l excluded表示當前視圖不包括該子樹的任意節點,即子樹內的所有MIB對象都不能被訪問 |
|
View status |
用來指示MIB視圖的狀態 |
【命令】
display snmp-agent statistics
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
display snmp-agent statistics命令用來顯示SNMP報文的統計信息。
【舉例】
# 顯示SNMP報文的統計信息。
<Sysname> display snmp-agent statistics
1684 Messages delivered to the SNMP entity
5 Messages which were for an unsupported version
0 Messages which used a SNMP community name not known
0 Messages which represented an illegal operation for the community supplied
0 ASN.1 or BER errors in the process of decoding
1679 Messages passed from the SNMP entity
0 SNMP PDUs which had badValue error-status
0 SNMP PDUs which had genErr error-status
0 SNMP PDUs which had noSuchName error-status
0 SNMP PDUs which had tooBig error-status (Maximum packet size 1500)
16544 MIB objects retrieved successfully
2 MIB objects altered successfully
7 GetRequest-PDU accepted and processed
7 GetNextRequest-PDU accepted and processed
1653 GetBulkRequest-PDU accepted and processed
1669 GetResponse-PDU accepted and processed
2 SetRequest-PDU accepted and processed
0 Trap PDUs accepted and processed
0 Alternate Response Class PDUs dropped silently
0 Forwarded Confirmed Class PDUs dropped silently
表1-4 display snmp-agent statistics命令顯示信息描述表
|
字段 |
描述 |
|
Messages delivered to the SNMP entity |
SNMP Agent收到的數據報文個數 |
|
Messages which were for an unsupported version |
版本不支持的數據報文個數 |
|
Messages which used a SNMP community name not known |
使用了非法團體名的數據報文個數 |
|
Messages which represented an illegal operation for the community supplied |
包含了超出團體名權限的操作的數據報文個數 |
|
ASN.1 or BER errors in the process of decoding |
在解碼過程中發生ASN.1或BER錯誤的數據報文個數 |
|
Messages passed from the SNMP entity |
Agent收到的來自別的SNMP實體的數據報文個數 |
|
SNMP PDUs which had badValue error-status |
錯誤類型為BadValues的數據報文個數 |
|
SNMP PDUs which had genErr error-status |
General錯誤的數據報文個數 |
|
SNMP PDUs which had noSuchName error-status |
NoSuchName錯誤的數據報文個數 |
|
SNMP PDUs which had tooBig error-status (Maximum packet size 1500) |
TooBig錯誤的數據報文個數(最大報文尺寸1500字節) |
|
MIB objects retrieved successfully |
已成功獲取的MIB對象個數 |
|
MIB objects altered successfully |
已成功修改的MIB對象個數 |
|
GetRequest-PDU accepted and processed |
已接收並處理的Get請求的個數 |
|
GetNextRequest-PDU accepted and processed |
已接收並處理的GetNext請求的個數 |
|
GetBulkRequest-PDU accepted and processed |
已接收並處理的GetBulk請求的個數 |
|
GetResponse-PDU accepted and processed |
已接收並處理的Get響應的個數 |
|
SetRequest-PDU accepted and processed |
已接收並處理的Set請求的個數 |
|
Trap PDUs accepted and processed |
已接收並處理的Trap消息的個數 |
|
Alternate Response Class PDUs dropped silently |
被丟棄的響應數據報文個數 |
|
Forwarded Confirmed Class PDUs dropped silently |
被丟棄的轉發數據報文個數 |
【命令】
display snmp-agent sys-info [ contact | location | version ] *
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
contact:顯示當前設備維護人的聯係信息。
location:顯示當前設備的物理位置信息。
version:顯示當前設備中運行的SNMP版本號。
【描述】
display snmp-agent sys-info命令用來顯示當前SNMP設備的係統信息。
不指定參數時,顯示設備的全部係統信息。
【舉例】
# 顯示設備係統信息。
<Sysname> display snmp-agent sys-info
The contact person for this managed node:
Hangzhou H3C Technologies Co., Ltd.
The physical location of this node:
Hangzhou, China
SNMP version running in the system:
SNMPv3
【命令】
display snmp-agent trap queue
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
display snmp-agent trap queue命令用來顯示Trap消息隊列的基本信息,包括Trap隊列名、隊列長度,以及隊列中當前Trap消息的數量。
相關配置可參考命令和snmp-agent trap life和snmp-agent trap queue-size。
【舉例】
# 顯示當前trap隊列的配置及使用情況。
<Sysname> display snmp-agent trap queue
Queue name: SNTP
Queue size: 100
Message number: 6
表1-5 display snmp-agent trap queue命令顯示信息描述表
|
字段 |
描述 |
|
Queue name |
Trap消息隊列名 |
|
Queue size |
Trap消息隊列長度 |
|
Message number |
Trap消息隊列中當前Trap消息的個數 |
【命令】
display snmp-agent trap-list
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
無
【描述】
display snmp-agent trap-list命令用來顯示係統當前可以生成Trap消息的模塊及其Trap消息的使能狀態。
如果一個模塊包含多個子模塊,則隻要有任何一個子模塊的Trap信息是使能的,就顯示整個模塊是使能的。
相關配置可參考命令snmp-agent trap enable。
【舉例】
# 顯示係統當前可以生成Trap消息的模塊及其Trap消息的使能狀態。
<Sysname> display snmp-agent trap-list
acfp trap enable
bfd trap enable
bgp trap enable
configuration trap enable
flash trap enable
mpls trap enable
ospf trap enable
standard trap enable
system trap enable
vrrp trap enable
Enable traps: 10; Disable traps: 0
以上顯示信息中enable表示允許該模塊生成Trap消息,disable表示不允許該模塊生成Trap消息。enable或者disable可以通過命令行配置。
【命令】
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ]*
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
engineid engineid:顯示指定引擎ID的SNMP v3用戶信息,engineid表示SNMP引擎ID。SNMP v3用戶創建的時候,係統會記錄當時設備的SNMP實體引擎ID,如果設備的引擎ID被修改,則被創建的SNMP v3用戶將暫時無效,隻有引擎ID恢複後,才能繼續生效。
username user-name:顯示指定名字的SNMP v3用戶信息,區分大小寫。
group group-name:顯示屬於指定SNMP組的SNMP v3用戶信息,區分大小寫。
【描述】
display snmp-agent usm-user命令用來顯示SNMP v3用戶信息。
【舉例】
# 顯示設備上已創建的所有用戶的信息。
<Sysname> display snmp-agent usm-user
User name: userv3
Group name: mygroupv3
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
User name: userv3code
Group name: groupv3code
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
表1-6 display snmp-agent usm-user命令顯示信息描述表
|
字段 |
描述 |
|
User name |
SNMP用戶名 |
|
Group name |
SNMP用戶所屬組的組名 |
|
Engine ID |
SNMP實體引擎ID |
|
Storage-type |
存儲類型,有以下幾種類型:volatile、nonVolatile、permanent、readOnly、other,請參見表1-1 |
|
UserStatus |
SNMP用戶的狀態 |
【命令】
enable snmp trap updown
undo enable snmp trap updown
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
enable snmp trap updown命令用來在端口下設置開啟端口狀態變化的Trap功能。undo enable snmp trap updown命令用來在端口下關閉端口狀態變化的Trap功能。
缺省情況下,端口狀態變化的Trap功能處於開啟狀態。
需要注意的是,如果要求端口在狀態發生改變時生成端口linkUp/linkDown的Trap報文,需要在端口下和全局都開啟端口狀態變化的Trap功能。端口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable [ standard [ linkdown | linkup ] * ]。
相關配置可參考snmp-agent target-host和snmp-agent trap enable。
【舉例】
# 允許發送端口GigabitEthernet2/0/1的linkUp/linkDown的SNMP Trap報文,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] interface ethernet 1/1
[Sysname-GigabitEthernet2/0/1] enable snmp trap updown
【命令】
snmp-agent
undo snmp-agent
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
snmp-agent命令用來啟動SNMP Agent。undo snmp-agent命令用來關閉SNMP Agent。
缺省情況下,SNMP Agent功能關閉。
執行任何帶snmp-agent關鍵字的配置命令都可以啟動SNMP Agent。
【舉例】
# 開啟設備的SNMP Agent功能。
<Sysname> system-view
[Sysname] snmp-agent
【命令】
snmp-agent calculate-password plain-password mode { 3desmd5 | 3dessha | md5 | sha } { local-engineid | specified-engineid engineid }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
plain-password:需要被加密的明文密碼。
mode:指明使用的加密算法和認證算法。AES、3DES和DES都是加密算法,這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。對於普通的安全要求,DES算法就可以滿足需要;MD5和SHA-1是認證算法,MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。
l 3desmd5:用於將明文加密密碼轉換為密文加密密碼,此時對應的認證協議必須為MD5,加密協議必須為3DES。
l 3dessha:用於將明文加密密碼轉換為密文加密密碼,此時對應的認證協議必須為SHA-1,加密協議必須為3DES。
l md5:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證協議必須為MD5;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證協議必須為MD5,加密協議可以為AES也可以是DES(當認證協議為MD5時,加密協議不管是AES還是DES,轉換後的結果是一樣的)。
l sha:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證協議必須為SHA-1;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證協議必須為SHA-1,加密協議可以為AES也可以是DES(當認證協議為SHA-1時,加密協議不管是AES還是DES,轉換後的結果是一樣的)。
local-engineid:使用本地引擎ID計算密文密碼,引擎ID的相關描述與配置可參考命令snmp-agent local-engineid。
specified-engineid:使用用戶指定的引擎ID計算密文密碼。
engineid:引擎ID字符串,必須為偶數個十六進製數,偶數的取值範圍為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【描述】
snmp-agent calculate-password命令用來計算用戶給定明文密碼通過加密算法處理後的密文密碼。
需要注意的是,用本命令根據SHA算法計算出的密文密碼是由40個16進製字符構成的字符串,對認證密文密碼,其40位字符均有效,但對加密密文密碼,實際隻有前32個字符有效。
需要注意的是,執行本命令前,必須先使能設備的SNMP功能。
在創建SNMP v3用戶時,如果指明認證或者加密密碼采用密文形式,則可以借助此命令生成相應的密文密碼。
生成的密碼是和引擎ID相關聯的,在某一引擎ID下生成的密碼,也隻在此引擎ID下生效。
相關命令,請參考snmp-agent usm-user v3。
【舉例】
# 使用本地engine ID和MD5認證協議計算明文為authkey的加密密碼。
<Sysname> system-view
[Sysname] snmp-agent calculate-password authkey mode md5 local-engineid
The secret key is: 09659EC5A9AE91BA189E5845E1DDE0CC
【命令】
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ] *
undo snmp-agent community { read | write } community-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
read:表明對MIB對象進行隻讀的訪問。NMS使用該團體名訪問Agent時隻能執行讀操作。
write:表明對MIB對象進行讀寫的訪問。NMS使用該團體名訪問Agent時可以執行讀、寫操作。
community-name:團體名,為1~32個字符的字符串。
acl acl-number:將團體名與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用ACL,可以允許或禁止具有特定源IP地址的NMS對Agent的訪問。
mib-view view-name:指定與community-name關聯的視圖,view-name表示MIB視圖名,為1~32個字符的字符串。不指定參數時,默認的視圖為ViewDefault(啟動SNMP Agent服務後係統創建的視圖)。
【描述】
snmp-agent community命令用來創建一個新的SNMP團體,可設置的參數有訪問權限、團體名、訪問控製列表和可訪問的MIB視圖。undo snmp-agent community命令用來刪除指定的團體。
該命令設置的團體名隻對v1和v2c版本的SNMP實體有效。
團體是NMS和SNMP Agent的集合,用團體名來標誌。團體名相當於密碼,團體內的設備通信時需要使用團體名來進行認證。隻有NMS和SNMP Agent上配置的團體名相同時,才能互相訪問。通常情況下,“public”經常被用來作為讀權限團體名、“private”經常被用來作為寫權限團體名。為了安全起見,建議網絡管理員配置其他團體名。
l acl參數,限製了隻有IP地址符合條件的NMS可以訪問Agent。
l community-name參數限製了NMS訪問Agent時使用的團體名。
l mib-view參數限製了NMS可以對Agent進行操作的MIB對象。
l read、write參數限製了NMS可以對Agent執行的操作類型。
相關配置可參見snmp-agent mib-view。
【舉例】
# 創建團體readaccess,並且允許使用該團體名進行隻讀訪問。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent community read readaccess
在NMS上將版本號設置為SNMP v1或者SNMP v2c,並將隻讀團體名填寫為readaccess,建立連接,就可以對設備上ViewDefault視圖內的MIB對象進行隻讀操作。
# 設置團體名writeaccess,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名設置Agent MIB對象的值,禁止其它NMS使用該團體名執行寫操作。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent community write writeaccess acl 2001
將NMS的IP地址配置為1.1.1.1,版本號指定為SNMP v2c,Write community選項填寫為writeaccess,即可以對設備上ViewDefault視圖內的MIB對象進行讀寫操作。
# 設置團體名wr-sys-acc,使用該團體名訪問設備時隻能對system(OID為1.3.6.1.2.1.1)子樹下的MIB對象執行寫操作。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent mib-view included test system
[Sysname] snmp-agent community write wr-sys-acc mib-view system
在NMS上將版本號設置為SNMP v1或者SNMP v2c,並將Write community填寫為wr-sys-acc,建立連接,就可以對設備上system視圖內的MIB對象進行讀寫操作。
【命令】
SNMP v1和v2c版本下的命令格式是:
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]
undo snmp-agent group { v1 | v2c } group-name
SNMP v3版本下的命令格式是:
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]
undo snmp-agent group v3 group-name [ authentication | privacy ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
v1:用戶使用SNMP v1版本。
v2c:用戶使用SNMP v2c版本。
v3:用戶使用SNMP v3版本。
group-name:組名,為1~32個字符的字符串。
authentication:指明對報文進行認證但不加密。
privacy:指明對報文進行認證和加密。
read-view read-view:隻讀視圖名,為1~32個字符的字符串。缺省值為ViewDefault。
write-view write-view:讀寫視圖名,為1~32個字符的字符串。缺省情況下,未配置讀寫視圖,即NMS不能對設備的所有MIB對象進行寫操作。
notify-view notify-view:可以發Trap消息的視圖名,為1~32個字符的字符串。缺省情況下,未配置Trap消息視圖,即Agent不會向NMS發送Trap信息。
acl acl-number:將組與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而進一步限製NMS和Agent的互訪。
【描述】
snmp-agent group命令用來配置一個新的SNMP組,並設置其訪問權限。undo snmp-agent group命令用來刪除一個指定的SNMP組。
缺省情況下,snmp-agent group v3命令配置的SNMP組采用不認證、不加密方式。
SNMP組用來定義安全模式、視圖權限等信息,配置在此組內的用戶,具有這些公共屬性。
相關配置可參考命令snmp-agent mib-view和snmp-agent usm-user。
【舉例】
# 在運行SNMP v3版本的設備上創建一個SNMP組group1,采用不認證、不加密方式。
<Sysname> system-view
[Sysname] snmp-agent group v3 group1
【命令】
snmp-agent local-engineid engineid
undo snmp-agent local-engineid
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
engineid:引擎ID字符串,必須為偶數個十六進製數,偶數的取值範圍為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【描述】
snmp-agent local-engineid命令用來設置本地SNMP實體的引擎ID。undo snmp-agent local-engineid命令用來恢複缺省情況。
缺省情況下,設備引擎ID為公司的“企業號+設備信息”。設備信息由各個產品決定,可以是IP地址、MAC地址或者自定義的十六進製數字串。
引擎ID有兩個作用:
l 在一個NMS管理的所有設備中,每一個設備都需要有一個唯一的引擎ID來標識SNMP agent,缺省情況下每個設備有一個缺省的引擎ID,網絡管理員需要確保一個管理域內不能有重複的引擎ID。
l SNMP v3版本的用戶名、密文密碼等的生成都和引擎ID相關聯,如果更改了引擎ID,則原引擎ID下配置的用戶名、密碼失效。
通常情況下,使用設備的缺省引擎ID即可,用戶也可以根據網絡整體規劃給設備配置方便記憶的引擎ID,比如A棟一樓的一號設備可以將它的引擎ID設置為000Af0010001,二號設備可以配置為000Af0010002。
相關配置可參考命令snmp-agent usm-user。
【舉例】
# 配置本地設備的引擎ID為123456789A。
<Sysname> system-view
[Sysname] snmp-agent local-engineid 123456789A
【命令】
snmp-agent log { all | get-operation | set-operation }
undo snmp-agent log { all | get-operation | set-operation }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
all:表示SNMP GET和SET操作的日誌開關。
get-operation:表示SNMP GET操作的日誌開關。
set-operation:表示SNMP SET操作的日誌開關。
【描述】
snmp-agent log命令用來打開SNMP日誌開關。undo snmp-agent log命令用來恢複缺省情況。
缺省情況下,SNMP日誌開關處於關閉狀態。
當打開SNMP指定的日誌開關後,NMS對SNMP Agent執行指定的操作時,SNMP Agent會記錄與該操作相關的信息並保存到設備的信息中心。通過設置信息中心的參數,最終決定SNMP日誌的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 打開SNMP GET操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log get-operation
# 打開SNMP SET操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log set-operation
【命令】
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]
undo snmp-agent mib-view view-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
excluded:表示當前視圖不包括該MIB子樹的任何節點。
included:表示當前視圖包括該MIB子樹的所有節點。
view-name:視圖名,為1~32個字符的字符串。
oid-tree:MIB子樹,用子樹根節點的OID(如1.4.5.3.1)或名稱(如“system”)表示。OID是由一係列的整數組成,標明節點在MIB樹中的位置,它能唯一的標識一個MIB庫中的對象。
mask mask-value:對象子樹的掩碼,十六進製數,長度為1~32中的偶數。
【描述】
snmp-agent mib-view命令用來創建或者更新MIB視圖的信息,以指定NMS可以訪問的MIB對象。undo snmp-agent mib-view命令用來取消當前設置。
缺省情況下,視圖名為ViewDefault。
MIB視圖是MIB的子集,MIB視圖可以包含某個MIB子樹的所有節點(即允許訪問MIB子樹的所有節點),也可以不包含某個MIB子樹的所有節點(即禁止訪問MIB子樹的所有節點)。
缺省視圖的訪問限製可以通過display snmp-agent mib-view命令來查看。缺省視圖可以通過undo snmp-agent mib-view命令刪除,但是刪除以後,可能導致不能對Agent的所有MIB節點執行讀寫操作。
相關配置可參考命令snmp-agent group。
【舉例】
# 創建一個視圖mibtest包含mib-2子樹的所有對象,不包含ip子樹的所有對象。
<Sysname> system-view
[Sysname] snmp-agent mib-view included mibtest 1.3.6.1
[Sysname] snmp-agent mib-view excluded mibtest ip
[Sysname] snmp-agent community read public mib-view mibtest
當NMS使用SNMP v1版本,public團體名訪問設備時,不能訪問ip子樹的所有對象(比如ipForwarding和ipDefaultTTL等節點),可以查詢mib-2子樹下的其它所有對象。
【命令】
snmp-agent packet max-size byte-count
undo snmp-agent packet max-size
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
byte-count:Agent能接收/發送的SNMP消息包長度的最大值,取值範圍為484~17940,單位為字節。
【描述】
snmp-agent packet max-size命令用來設置Agent能接收/發送的SNMP消息包長度的最大值。undo snmp-agent packet max-size命令用來恢複缺省情況。
缺省情況下,Agent能接收/發送的SNMP消息包長度的最大值為1500字節。
設置消息包的最大長度,是為了防止路由通路中存在不支持分片的主機,而導致超長數據被丟棄。通常情況下,請使用缺省值。
【舉例】
# 設置Agent能接收/發送的SNMP消息包最長為1042字節。
<Sysname> system-view
[Sysname] snmp-agent packet max-size 1042
【命令】
snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }
undo snmp-agent sys-info { contact | location | version { all | { v1 | v2c | v3 }* } }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
contact sys-contact:描述係統維護聯係信息,為1~200個字符的字符串。
location sys-location:設備節點的物理位置信息,為1~200個字符的字符串。
version:設置係統啟用的SNMP版本號。
l all:SNMP v1、SNMP v2c、SNMP v3版本。
l v1:SNMP v1版本。
l v2c:SNMP v2c版本。
l v3:SNMP v3版本。
【描述】
snmp-agent sys-info命令用來設置係統信息,包括係統維護聯係信息、設備節點的物理位置信息、啟用的SNMP版本號等。undo snmp-agent sys-info contact和undo snmp-agent sys-info location命令用來恢複缺省情況,undo snmp-agent sys-info version命令用來禁止使用指定版本的SNMP功能。
缺省情況下,係統維護聯係信息為“Hangzhou H3C Technologies Co.,Ltd.”。物理位置信息為“Hangzhou, China”。版本為SNMP v3。
隻有啟用了SNMP版本,設備才會處理相應版本的SNMP數據報文,如果隻啟用了SNMP v1版本,則收到的SNMP v2c數據報文會被丟棄;如果隻啟用了SNMPv2c版本,則收到的SNMP v1數據報文會被丟棄。為了配合不同NMS,設備上可以同時啟用多個SNMP版本運行。
相關配置可參考命令display snmp-agent sys-info。
如果設備發生故障,設備維護人員可以利用係統維護聯係信息,及時與設備生產廠商取得聯係。設備的位置信息是RFC1213-MIB中system組的一個管理變量,用於表示被管理設備的位置。
【舉例】
# 設置係統維護聯係信息為Dial System Operator at beeper # 27345。
<Sysname> system-view
[Sysname] snmp-agent sys-info contact Dial System Operator at beeper # 27345
【命令】
snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]
undo snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string [ vpn-instance vpn-instance-name ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
trap:配置用來接收Trap和Notify信息的目的主機的參數。
address:指定設備發出的SNMP消息中的目的地址。
udp-domain:指定使用UDP協議來傳輸SNMP Trap信息。
ip-address:接收Trap的目的主機的IPv4地址。
ipv6 ipv6-address:接收Trap的目的主機的IPv6地址。
udp-port port-number:指定目的主機上用來接收Trap信息的端口號。
vpn-instance vpn-instance-name:指定目的主機所在的VPN,vpn-instance-name表示VPN實例的名稱,為1~31個字符的字符串,區分大小寫。該參數隻支持在IPv4網絡使用。使用該參數時,需要將Agent也加入該VPN域,並且保證Agent和NMS之間路由可達。
params securityname security-string:指定認證的參數,為SNMP v1、SNMP v2c的團體名或SNMP v3的用戶名,為1~32個字符的字符串。
v1:SNMP v1版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。
v2c:SNMP v2c版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。
v3:SNMP v3版本。該參數必須和NMS上運行的SNMP版本一致,否則,NMS將收不到Trap信息。
l authentication:指明對報文進行認證但不加密。認證是對報文是否完整以及是否被篡改等進行檢驗,認證密碼在創建SNMP v3用戶時配置。
l privacy:指明對報文進行認證和加密。加密是對報文的數據部分進行加密處理以防重要信息被竊取,認證密碼和加密密碼在創建SNMP v3用戶時配置。
【描述】
snmp-agent target-host命令用來設置接收SNMP Trap報文的目的主機的屬性。undo snmp-agent target-host命令用來取消當前設置。
根據實際組網需要,用戶可以多次使用該命令配置不同的目的主機的屬性,使得設備可以向多個NMS發送Trap信息。可以配置的目的主機的個數為20個。
l 不指定udp-port port-number參數時,使用的端口號為162。
l 不指定v1、v2c、v3版本參數時,使用的版本是v1。
l 不指定authentication和privacy參數時,使用的是不認證不加密。
相關配置可參考命令enable snmp trap updown、snmp-agent trap enable、snmp-agent trap source和snmp-agent trap life。
【舉例】
# 允許向10.1.1.1發送SNMP v1 Trap報文,使用團體名public。
<Sysname> system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
# 允許向vpn1中,地址為10.1.1.1的設備發送SNMP v3 Trap報文,使用用戶名v3test。
<Sysname> system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 vpn-instance vpn1 params securityname v3test v3
【命令】
snmp-agent trap enable [ acfp [ client | policy | rule | server ] | bfd | bgp | configuration | flash | mpls | ospf [ process-id ] [ ifauthfail | ifcfgerror | ifrxbadpkt | ifstatechange | iftxretransmit | lsdbapproachoverflow | lsdboverflow | maxagelsa | nbrstatechange | originatelsa | vifcfgerror | virifauthfail | virifrxbadpkt | virifstatechange | viriftxretransmit | virnbrstatechange ] * | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system | vrrp [ authfailure | newmaster ] ]
undo snmp-agent trap enable [ acfp [ client | policy | rule | server ] | bfd | bgp | configuration | flash | mpls | ospf [ process-id ] [ ifauthfail | ifcfgerror | ifrxbadpkt | ifstatechange | iftxretransmit | lsdbapproachoverflow | lsdboverflow | maxagelsa | nbrstatechange | originatelsa | vifcfgerror | virifauthfail | virifrxbadpkt | virifstatechange | viriftxretransmit | virnbrstatechange ] * | standard [ authentication | coldstart | linkdown | linkup | warmstart ]* | system | vrrp [ authfailure | newmaster ] ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
acfp:ACFP模塊的Trap報文。
l client:ACFP client的Trap報文。
l policy:ACFP聯動策略的Trap報文。
l rule:ACFP聯動規則的Trap報文。
l server:ACFP server的Trap報文。
bfd:BFD模塊的Trap報文。
bgp:BGP模塊的Trap報文。
configuration:配置操作的Trap報文。
flash:FLASH相關的Trap報文。
mpls:MPLS模塊的Trap報文。
ospf:OSPF模塊的Trap報文。
l process-id:OSPF進程號,取值範圍為1~65535。
l ifauthfail:接口認證失敗的Trap報文。
l ifcfgerror:接口配置錯誤的Trap報文。
l ifrxbadpkt:接收了錯誤報文時的Trap報文。
l ifstatechange:接口狀態變化的Trap報文。
l iftxretransmit:接口接收和轉發報文的Trap報文。
l lsdbapproachoverflow:LSDB接近溢出的Trap報文。
l lsdboverflow:LSDB溢出的Trap報文。
l maxagelsa:LSA的max age Trap報文。
l nbrstatechange:鄰居狀態變化的Trap報文。
l originatelsa:本地生成LSA的Trap報文。
l vifcfgerror:虛接口配置錯誤的Trap報文。
l virifauthfail:虛接口認證失敗的Trap報文。
l virifrxbadpkt:虛接口接收錯誤報文的Trap報文。
l virifstatechange:虛接口狀態變化的Trap報文。
l viriftxretransmit:虛接口接收和轉發報文的Trap報文。
l virnbrstatechange:虛接口鄰居狀態變化的Trap報文。
standard:SNMP標準Trap報文。
l authentication:認證失敗時,SNMP模塊的認證失敗的Trap報文。
l coldstart:當設備重新啟動時,冷啟動Trap報文。
l linkdown:在全局下設置,當端口的鏈路down時,鏈路down的Trap報文。
l linkup:在全局下設置,當端口的鏈路up時,鏈路up的Trap報文。
l warmstart:當SNMP模塊重新啟動時,熱啟動Trap報文。
system:H3C-SYS-MAN-MIB(私有MIB)的Trap報文。
vrrp:VRRP模塊的Trap報文。
l authfailure:VRRP認證失敗的Trap報文。
l newmaster:當設備升級為Master時,VRRP newmaster Trap報文。
【描述】
snmp-agent trap enable命令用來在全局下開啟Trap功能。undo snmp-agent trap enable命令用來在全局下關閉Trap功能。
缺省情況下,隻有語音模塊的Trap功能處於關閉狀態,其它模塊的Trap功能處於開啟狀態。
開啟Trap功能後,各個模塊才會生成相應的Trap報文。
需要注意的是,如果要求端口在狀態發生改變時生成端口linkUp/linkDown的Trap報文,需要在端口下和全局都開啟端口狀態變化的Trap功能。端口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable [ standard [ linkdown | linkup ] * ]。
相關配置可參考命令snmp-agent target-host和enable snmp trap updown。
【舉例】
# 允許向10.1.1.1發送SNMP認證失敗Trap報文,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] snmp-agent trap enable standard authentication
【命令】
snmp-agent trap if-mib link extended
undo snmp-agent trap if-mib link extended
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
snmp-agent trap if-mib link extended命令用來對RFC定義的標準linkUp/linkDown Trap報文進行私有擴展,擴展後的Trap報文由標準報文後追加接口描述和接口類型信息構成。undo snmp-agent trap if-mib link extended命令用來恢複缺省情況。
缺省情況下,使用的是RFC定義的標準linkUp/linkDown Trap報文。
l 標準格式的linkUp Trap報文形如:
#Apr 24 11:48:04:896 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4<linkUp>: Interface 983555 is Up, ifAdminStatus is 1, ifOperStatus is 1
l 擴展格式的linkUp Trap報文形如:
#Apr 24 11:43:09:896 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4<linkUp>: Interface 983555 is Up, ifAdminStatus is 1, ifOperStatus is 1, ifDescr is GigabitEthernet2/0/1, ifType is 6
l 標準格式的linkDown Trap報文形如:
#Apr 24 11:47:35:224 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.3<linkDown>: Interface 983555 is Down, ifAdminStatus is 2, ifOperStatus is 2
l 擴展格式的linkDown Trap報文形如:
#Apr 24 11:42:54:314 2008 Sysname IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.3<linkDown>: Interface 983555 is Down, ifAdminStatus is 2, ifOperStatus is 2, ifDescr is GigabitEthernet2/0/1, ifType is 6
擴展格式的linkUp/linkDown Trap報文在標準格式的linkUp/linkDown Trap報文後麵增加了了ifDescr和ifType信息,更便於定位問題。
需要注意的是,配置該命令後,設備發送的linkUp/linkDown Trap報文為擴展格式的報文。如果NMS不支持擴展格式,可能會無法解析報文的內容。
【舉例】
# 對RFC定義的標準linkUp/linkDown Trap報文進行私有擴展。
[Sysname] snmp-agent trap if-mib link extended
【命令】
snmp-agent trap life seconds
undo snmp-agent trap life
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
seconds:超時時間,取值範圍為1~2592000,單位為秒。
【描述】
snmp-agent trap life命令用來設置Trap報文的保存時間,超過該時間的Trap報文都將被丟棄。undo snmp-agent trap life命令用來恢複缺省情況。
缺省情況下,SNMP Trap報文的保存時間為120秒。
SNMP模塊使用隊列來發送Trap報文,Trap報文進入消息發送隊列時會啟動一個存活定時器。如果直到定時器超時(即達到snmp-agent trap life命令設置的時間),Trap報文還沒有被發送出去,係統就會將該Trap報文從發送隊列中刪除。
相關配置可參考命令snmp-agent trap enable和snmp-agent target-host。
【舉例】
# 設置Trap報文的保存時間為60秒。
<Sysname> system-view
[Sysname] snmp-agent trap life 60
【命令】
snmp-agent trap queue-size size
undo snmp-agent trap queue-size
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
size:消息隊列中可以存儲的Trap報文的數目,取值範圍1~1000。
【描述】
snmp-agent trap queue-size命令用來設置Trap報文發送隊列的長度。undo snmp-agent trap queue-size命令用來恢複缺省情況。
缺省情況下,Trap報文的發送隊列最多可以存儲100條Trap消息。
Trap報文產生後,會進入Trap報文消息隊列進行發送,Trap報文消息隊列的長度決定了隊列最多可以存儲的Trap報文的數目。當Trap消息隊列達到設定長度後,最新生成的Trap報文會進入消息隊列,最早產生的Trap報文被丟棄。
相關配置可參考命令snmp-agent trap enable、snmp-agent target-host和snmp-agent trap life。
【舉例】
# 設置發送Trap報文的消息隊列最多可以存儲200條Trap報文。
<Sysname> system-view
[Sysname] snmp-agent trap queue-size 200
【命令】
snmp-agent trap source interface-type interface-number
undo snmp-agent trap source
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
interface-type interface-number :指定三層接口類型與接口編號。
【描述】
snmp-agent trap source命令用來指定所發送Trap報文中的源IP地址。undo snmp-agent trap source命令用來恢複缺省情況。
缺省情況下,由SNMP選擇一個接口的IP地址作為Trap報文源IP地址。
執行該命令後,係統會使用指定接口的主IP地址作為發送出去的Trap報文的源IP地址。這樣,在NMS上就可以使用該IP地址唯一標誌Agent。即便Agent使用不同的出端口發送Trap報文,NMS都可以使用該IP地址來過濾Agent發送的所有Trap報文。
如果用戶想使用Trap的源IP地址來跟蹤特定事件時,可以使用這條配置命令。
需要注意的是:在將某個接口設置為獲取Trap的源地址接口之前,必須保證該接口在設備上已經存在,並且配置了合法的IP地址,該IP地址將作為Trap報文的源地址。如果配置的接口不存在,則該命令會配置失敗;如果接口沒有指定合法的IP地址,則該命令不生效,接口配置了合法IP地址後,該命令會自動生效。
相關配置可參考命令snmp-agent trap enable和snmp-agent target-host。
【舉例】
# 將Vlan-interface 1上的接口IP地址作為Trap報文的源地址。
<Sysname> system-view
[Sysname] snmp-agent trap source Vlan-interface 1
【命令】
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]
undo snmp-agent usm-user { v1 | v2c } user-name group-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
v1:表示配置的用戶名適用於SNMP v1組網環境。如果Agent和NMS使用SNMP v1版本的報文交互,則需要該參數。
v2c:表示配置的用戶名適用於SNMP v2c組網環境。如果Agent和NMS使用SNMP v2c版本的報文交互,則需要該參數。
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
acl acl-number:將用戶與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
【描述】
snmp-agent usm-user { v1 | v2c }命令用來為一個SNMP組添加一個新用戶。undo snmp-agent usm-user { v1 | v2c }命令用來刪除SNMP組的一個用戶。
根據協議規定,SNMP v1和SNMP v2c組網應用中NMS和Agnet之間使用團體名來認證,SNMP v3組網應用中使用用戶名來認證。如果用戶習慣配置用戶名並使用用戶名來認證,設備支持配置SNMP v1和SNMP v2c用戶。創建一個SNMP v1或SNMP v2c用戶相當於添加一個新的隻讀團體名。將新創建的用戶名填寫到NMS的隻讀團體名參數字段,NMS就可以和設備建立SNMP連接。
要使配置的用戶生效,必須先創建組。
相關配置可參考命令snmp-agent group、snmp-agent community和snmp-agent usm-user v3。
【舉例】
# 在組readCom裏創建一個v2c的用戶userv2c。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom
將NMS的版本號指定為SNMP v2c,Read community選項填寫為userv2c,就可以訪問Agent了。
# 在組readCom裏創建一個v2c的用戶userv2c,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名訪問Agent,禁止其它NMS使用該用戶名訪問。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom acl 2001
此時在IP地址為1.1.1.1,版本號指定為SNMP v2c,Read community的NMS上,將SNMP協議版本號指定為SNMP v2c,Read community和Write community選項均填寫為userv2c,就可以訪問Agent了。
【命令】
snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]
undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
cipher:指明auth-password和priv-password需要輸入密文密碼,密文密碼可以使用snmp-agent calculate-password命令來計算獲得。
authentication-mode:指明安全模式為需要認證。MD5算法的計算速度比SHA算法快,而SHA算法的安全強度比MD5算法高。
l md5:指定認證協議為MD5。
l sha:指定認證協議為SHA-1。
auth-password:認證密碼。若不配置cipher命令關鍵字,auth-password表示明文密碼,為1~64個可見字符的字符串。若配置cipher命令關鍵字,auth-password表示密文密碼。如果選擇md5參數,則auth-password為32個16進製字符構成的字符串;如果選擇sha參數,則auth-password為40個16進製字符構成的字符串。
privacy-mode:指明安全模式為需要加密。加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機製複雜,運算速度慢。對於普通的安全要求,DES算法就可以滿足需要。
l 3des:指定加密協議為3DES(Triple Data Encryption Standard,三重數據加密標準)。
l aes128:指定加密協議為AES(Advanced Encryption Standard,高級加密標準)。
l des56:指定加密協議為DES(Data Encryption Standard,數據加密標準)。
priv-password:加密密碼。若不配置cipher命令關鍵字,priv-password表示明文密碼,為1~64個字符的字符串。若配置cipher命令關鍵字,priv-password表示密文密碼。如果選擇3des參數,則priv-password為80個16進製字符構成的字符串;如果選擇aes128參數,則priv-password為40個16進製字符構成的字符串;如果選擇des56參數,則priv-password為40個16進製字符構成的字符串。
acl acl-number:將用戶與基本訪問控製列表綁定,acl-number表示訪問列表號,取值範圍為2000~2999。使用基本ACL,可以對SNMP報文的源IP地址進行限製,即允許或禁止具有特定源IP地址的SNMP報文通過,從而可以允許/禁止指定的NMS使用該用戶名訪問Agent。
local:表示本地實體引擎。
engineid engineid-string:指定與該用戶相關聯的引擎ID字符串,必須為偶數個十六進製數,十六進製數的個數為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【描述】
snmp-agent usm-user v3命令用來為一個SNMP組添加一個新用戶。undo snmp-agent usm-user v3命令用來刪除SNMP組的一個用戶。
該命令配置的用戶名適用於SNMP v3組網環境。如果Agent和NMS使用SNMP v3版本的報文交互,則需要創建SNMP v3用戶。
要使配置的用戶生效,必須先創建組。創建組時配置是否進行認證和加密,認證和加密的具體算法和密碼則是在創建用戶時配置。
l 指定cipher參數時,係統會把auth-password和priv-password這兩個參數當成是密文密碼。此時的配置命令支持拷貝、粘貼操作,即當兩台設備的引擎ID相同時,可以將A設備配置文件中的SNMPv3用戶配置命令拷貝、粘貼到B設備上執行,兩設備的密文密碼以及明文密碼一致。
l 不指定cipher參數時,係統會把這兩個參數當成是明文密碼。此時,拷貝、粘貼再執行時,係統會對這兩個密碼再進行加密,導致兩設備的密文密碼以及明文密碼不一致。
需要注意的是:
l 如果使用snmp-agent usm-user v3 cipher命令,其密文密碼參數可以用命令snmp-agent calculate-password獲得。要使計算所得的密文密碼能夠用於snmp-agent usm-user v3 cipher命令且等效,必須保證兩命令使用的加密算法相同,而且執行snmp-agent usm-user v3 cipher命令時設備的本地引擎ID與snmp-agent calculate-password命令中指定的SNMP實體引擎ID一致。
l 多次使用本命令配置同一用戶(即用戶名相同,其它參數沒有要求),配置結果以最後一次的配置為準。
l NMS在訪問設備時,必須輸入明文密碼,因此在創建用戶時請牢記用戶名以及對應的明文密碼。
相關配置可參考命令snmp-agent calculate-password、snmp-agent group、snmp-agent usm-user { v1 | v2c }。
【舉例】
# 為v3組testGroup加入一個用戶testUser,安全級別為隻認證不加密,認證協議為md5,認證密碼明文為authkey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup authentication
[Sysname] snmp-agent usm-user v3 testUser testGroup authentication-mode md5 authkey
在NMS上將版本號設置為SNMP v3,並將用戶名填寫為testUser,認證協議設置為MD5,認證密碼填寫為authkey,建立連接,就可以對設備上ViewDefault視圖內的MIB對象進行訪問了。
# 為v3組testGroup加入一個用戶testUser,安全級別為認證和加密,認證協議為md5、加密協議為des56,認證密碼明文為authkey,加密密碼明文為prikey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 testUser testGroup authentication-mode md5 authkey privacy-mode des56 prikey
在NMS上將版本號設置為SNMP v3,並將用戶名填寫為testUser,認證協議設置為MD5,認證密碼填寫為authkey,加密協議設置為DES,加密密碼填寫為prikey,建立連接,就可以對設備上ViewDefault視圖內的MIB對象進行訪問了。
# 以cihper方式為v3組testGroup加入一個用戶testUser,安全級別為認證和加密,認證協議為md5、加密協議為des56,認證密碼明文為authkey,加密密碼明文為prikey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent calculate-password authkey mode md5 local-engineid
The secret key is: 09659EC5A9AE91BA189E5845E1DDE0CC
[Sysname] snmp-agent calculate-password prikey mode md5 local-engineid
The secret key is: 800D7F26E786C4BECE61BF01E0A22705
[Sysname] snmp-agent usm-user v3 testUser testGroup cipher authentication-mode md5 09659EC5A9AE91BA189E5845E1DDE0CC privacy-mode des56 800D7F26E786C4BECE61BF01E0A22705
在NMS上將版本號設置為SNMP v3,並將用戶名填寫為testUser,認證協議設置為MD5,認證密碼填寫為authkey,加密協議設置為DES,加密密碼填寫為prikey,建立連接,就可以對設備上ViewDefault視圖內的MIB對象進行訪問了。
【命令】
display mib-style
【視圖】
任意視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
display mib-style命令用於查詢設備的MIB風格。
設備的MIB風格有兩種new和compatible,獲得設備的MIB風格後,可根據MIB風格選擇適配的H3C網管軟件。
相關配置可參考命令mib-style。
【舉例】
# 從sysObjectID節點獲取設備ID,發現該設備為H3C設備,希望知道該設備上當前MIB風格或者下次啟動後的MIB風格。
<Sysname> display mib-style
Current MIB style: new
Next reboot MIB style: new
以上顯示信息表明設備當前MIB風格為new,下次啟動後MIB風格仍為new。
【命令】
mib-style [ new | compatible ]
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
new:指設定MIB為H3C品牌新風格,即設備sysOID與私有MIB均在H3C企業ID 25506下。
compatible:指設定MIB為H3C品牌兼容風格,即設備sysOID在H3C企業ID 25506下,私有MIB在企業ID 2011下。
【描述】
mib-style命令用來設置設備的MIB風格。
缺省情況下,設備的MIB風格為new。
需要注意的是,該設置需要重啟設備才能生效。
【舉例】
# 將設備的MIB風格修改為compatible。
<Sysname> system-view
[Sysname] mib-style compatible
[Sysname] quit
<Sysname> display mib-style
Current MIB style: new
Next reboot MIB style: compatible
<Sysname> reboot
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
