- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-SNMP命令
本章節下載: 04-SNMP命令 (265.45 KB)
目 錄
1.1.1 display snmp-agent community
1.1.2 display snmp-agent group
1.1.3 display snmp-agent local-engineid
1.1.4 display snmp-agent mib-view
1.1.5 display snmp-agent remote
1.1.6 display snmp-agent statistics
1.1.7 display snmp-agent sys-info
1.1.8 display snmp-agent trap queue
1.1.9 display snmp-agent trap-list
1.1.10 display snmp-agent usm-user
1.1.11 enable snmp trap updown
1.1.13 snmp-agent calculate-password
1.1.16 snmp-agent local-engineid
1.1.19 snmp-agent packet max-size
1.1.21 snmp-agent sys-info contact
1.1.22 snmp-agent sys-info location
1.1.23 snmp-agent sys-info version
1.1.26 snmp-agent trap if-mib link extended
1.1.28 snmp-agent trap queue-size
1.1.30 snmp-agent usm-user { v1 | v2c }
設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導“中的“FIPS”。
SNMP告警信息包括Trap和Inform信息,用來告知NMS設備上發生了重要事件,比如,用戶的登錄/退出,接口狀態變成up/dowm等。如無特殊說明,本文中的告警信息均指Trap和Inform兩種信息。
display snmp-agent community命令用來顯示SNMPv1或SNMPv2c的團體信息。
【命令】
display snmp-agent community [ read | write ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
read:顯示隻讀訪問權限的團體信息。
write:顯示讀寫訪問權限的團體信息。
【使用指導】
FIPS模式下,不支持本命令。
不帶參數時,顯示所有SNMP團體的信息。
用戶可以使用snmp-agent community命令來創建團體,另外,配置snmp-agent usm-user { v1 | v2c }和snmp-agent group { v1 | v2c }命令成功創建SNMPv1或SNMPv2c用戶以及相應的組後,係統會自動添加一個新的同名的隻讀團體名。display snmp-agent community會顯示這兩種方式創建的團體的信息。
【舉例】
# 顯示設備當前所有已配置的團體信息。
<Sysname> display snmp-agent community
Community name: aa
Group name: aa
ACL:2001
Storage-type: nonVolatile
Community name: bb
Group name: bb
Storage-type: nonVolatile
Community name: userv1
Group name: testv1
Storage-type: nonVolatile
表1-1 display snmp-agent community命令顯示信息描述表
|
字段 |
描述 |
|
Community name |
團體名: · 如果團體是通過snmp-agent community命令創建的,則顯示的是團體名 · 如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示的是用戶名 |
|
Group name |
組名: · 如果團體名是通過snmp-agent community命令創建的,則組名和團體名相同 · 如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示用戶所在的組名 |
|
ACL |
使用的ACL列表的編號 |
|
Storage-type |
表示存儲方式,分為以下幾種: · volatile:重啟後信息丟失 · nonVolatile:重啟後信息仍保存 · permanent:重啟後信息仍保存,允許更改,但不許刪除 · readOnly:重啟後信息仍保存,既不允許更改,也不許刪除 · other:其他 |
【相關命令】
· snmp-agent community
· snmp-agent usm-user { v1 | v2c }
display snmp-agent group命令用來顯示SNMP組信息,包括組名、安全模式、視圖、存儲方式等。
【命令】
display snmp-agent group [ group-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
group-name:非FIPS模式下,指定要顯示信息的SNMPv1、SNMPv2c或SNMPv3組名;FIPS模式下,指定要顯示信息的SNMPv3組名。為1~32個字符的字符串,區分大小寫。
【使用指導】
不指定參數時,顯示設備上所有已創建的SNMP組的信息。
【舉例】
# 顯示所有SNMP組的信息。
<Sysname> display snmp-agent group
Group name: groupv3
Security model: v3 noAuthnoPriv
Readview: ViewDefault
Writeview: <no specified>
Notifyview: <no specified>
Storage-type: nonVolatile
表1-2 display snmp-agent group命令顯示信息描述表
|
字段 |
描述 |
|
Group name |
SNMP組名 |
|
Security model |
SNMP組配置的安全模式,包括版本信息和安全模式,以空格分隔: · 對於SNMPv1和SNMPv2c版本,認證加密級別隻能為noAuthNoPriv(無認證無加密) · 對於SNMPv3版本,安全模式分為三種:authPriv(既認證又加密)、authNoPriv(隻認證不加密)、noAuthNoPriv(不認證不加密) |
|
Readview |
SNMP組對應的隻讀的MIB視圖名 |
|
Writeview |
SNMP組對應的可寫的MIB視圖名 |
|
Notifyview |
SNMP組對應的可以發Trap和Inform信息的MIB視圖名 |
|
Storage-type |
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體請參見表1-1 |
|
ACL |
使用的ACL列表的編號 |
【相關命令】
· snmp-agent group
display snmp-agent local-engineid命令用來顯示本地設備的SNMP實體引擎ID。
【命令】
display snmp-agent local-engineid
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
SNMP實體引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP實體引擎是SNMP實體的重要組成部分,完成SNMP消息的消息調度、消息處理、安全驗證、訪問控製等功能。
【舉例】
# 顯示本地設備的SNMP實體引擎ID。
<Sysname> display snmp-agent local-engineid
SNMP local engine ID: 800007DB7F0000013859
【相關命令】
· snmp-agent local-engineid
display snmp-agent mib-view命令用來顯示MIB視圖的信息。
【命令】
display snmp-agent mib-view [ exclude | include | viewname view-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
exclude:顯示屬性為exclude的MIB視圖的信息。
include:顯示屬性為include的MIB視圖的信息。
viewname view-name:顯示指定名稱MIB視圖的信息,view-name為視圖的名稱。
【使用指導】
不指定參數時,顯示所有MIB視圖的信息。
【舉例】
# 顯示設備的所有MIB視圖。
<Sysname> display snmp-agent mib-view
View name: ViewDefault
MIB Subtree: iso
Subtree mask:
Storage-type: nonVolatile
View Type: included
View status: active
View name: ViewDefault
MIB Subtree: snmpUsmMIB
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
View name: ViewDefault
MIB Subtree: snmpVacmMIB
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
View name: ViewDefault
MIB Subtree: snmpModules.18
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
以上信息表明,設備上當前有四個MIB視圖,名稱均為ViewDefault。使用ViewDefault視圖名限製NMS訪問時,除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。
表1-3 display snmp-agent mib-view命令顯示信息描述表
|
字段 |
描述 |
|
View name |
視圖名 |
|
MIB Subtree |
MIB視圖對應的MIB子樹 |
|
Subtree mask |
MIB子樹的掩碼 |
|
Storage-type |
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體請參見表1-1 |
|
View Type |
MIB視圖的類型(即該視圖與MIB子樹的關係),包括included和excluded兩種: · included表示當前視圖包括該子樹的所有節點,即可以訪問子樹內的所有MIB對象 · excluded表示當前視圖不包括該子樹的任意節點,即子樹內的所有MIB對象都不能被訪問 |
|
View status |
MIB視圖的狀態,包括: · active表示MIB視圖可用 · inactive表示MIB視圖不可用 對MIB視圖狀態節點執行Set操作可以修改MIB視圖的狀態 |
【相關命令】
· snmp-agent mib-view
display snmp-agent remote命令用來顯示遠端SNMP實體的引擎ID。
【命令】
display snmp-agent remote [ ip-address [ vpn-instance vpn-instance-name ] | ipv6 ipv6-address [ vpn-instance vpn-instance-name ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ip-address:顯示指定IP地址的遠端SNMP實體的引擎ID。
ipv6 ipv6-address:顯示指定IPv6地址的遠端SNMP實體的引擎ID。
vpn-instance vpn-instance-name:指定遠端SNMP實體所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端SNMP實體位於公網中。
【使用指導】
SNMP實體引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP實體引擎是SNMP實體的重要組成部分,完成SNMP消息的消息調度、消息處理、安全驗證、訪問控製等功能。
【舉例】
# 顯示所有遠端SNMP實體的引擎ID。
<Sysname> display snmp-agent remote
Remote engined: 800063A28000A0FC00580400000001
IPv4 address: 1.1.1.1
VPN instance: vpn1
表1-4 display snmp-agent remote命令顯示信息描述表
|
字段 |
描述 |
|
Remote engined |
遠端SNMP實體的引擎ID |
|
IPv4 address |
遠端SNMP實體的IPv4地址。隻有配置snmp-agent remote命令且綁定的是IPv4地址時,才顯示該信息 |
|
IPv6 address |
遠端SNMP實體的IPv6地址。隻有配置snmp-agent remote命令且綁定的是IPv6地址時,才顯示該信息 |
|
VPN instance |
遠端SNMP實體所屬的VPN。隻有配置snmp-agent remote命令且綁定了VPN時,才顯示該信息 |
【相關命令】
· snmp-agent remote
display snmp-agent statistics命令用來顯示SNMP報文的統計信息。
【命令】
display snmp-agent statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示SNMP報文的統計信息。
<Sysname> display snmp-agent statistics
1684 messages delivered to the SNMP entity.
5 messages were for an unsupported version.
0 messages used an unknown SNMP community name.
0 messages represented an illegal operation for the community supplied.
0 ASN.1 or BER errors in the process of decoding.
1679 messages passed from the SNMP entity.
0 SNMP PDUs had badValue error-status.
0 SNMP PDUs had genErr error-status.
0 SNMP PDUs had noSuchName error-status.
0 SNMP PDUs had tooBig error-status (Maximum packet size 1500).
16544 MIB objects retrieved successfully.
2 MIB objects altered successfully.
7 GetRequest-PDU accepted and processed.
7 GetNextRequest-PDU accepted and processed.
1653 GetBulkRequest-PDU accepted and processed.
1669 GetResponse-PDU accepted and processed.
2 SetRequest-PDU accepted and processed.
0 Trap PDUs accepted and processed.
0 alternate Response Class PDUs dropped silently.
0 forwarded Confirmed Class PDUs dropped silently.
表1-5 display snmp-agent statistics命令顯示信息描述表
|
字段 |
描述 |
|
messages delivered to the SNMP entity |
Agent收到的數據報文個數 |
|
messages were for an unsupported version |
版本不支持的數據報文個數 |
|
messages used an unknown SNMP community name |
使用了非法團體名的數據報文個數 |
|
messages represented an illegal operation for the community supplied |
包含了超出團體名權限的操作的數據報文個數 |
|
ASN.1 or BER errors in the process of decoding |
在解碼過程中發生ASN.1(Abstract Syntax Notation dot one,抽象記法1)或BER(Basic Encoding Rules ,基本編碼規則)錯誤的數據報文個數 |
|
messages passed from the SNMP entity |
Agent發送給別的SNMP實體的數據報文個數 |
|
SNMP PDUs had badValue error-status |
錯誤類型為BadValues的數據報文個數 |
|
SNMP PDUs had genErr error-status |
General錯誤的數據報文個數 |
|
SNMP PDUs had noSuchName error-status |
NoSuchName錯誤的數據報文個數 |
|
SNMP PDUs had tooBig error-status |
TooBig錯誤的數據報文個數 |
|
MIB objects retrieved successfully |
已成功獲取的MIB對象個數 |
|
MIB objects altered successfully |
已成功修改的MIB對象個數 |
|
GetRequest-PDU accepted and processed |
已接收並處理的Get請求的個數 |
|
GetNextRequest-PDU accepted and processed |
已接收並處理的GetNext請求的個數 |
|
GetBulkRequest-PDU accepted and processed |
已接收並處理的GetBulk請求的個數 |
|
GetResponse-PDU accepted and processed |
已接收並處理的Get響應的個數 |
|
SetRequest-PDU accepted and processed |
已接收並處理的Set請求的個數 |
|
Trap PDUs accepted and processed |
已接收並處理的Trap消息的個數 |
|
alternate Response Class PDUs dropped silently |
被丟棄的響應數據報文個數 |
|
forwarded Confirmed Class PDUs dropped silently |
被丟棄的轉發數據報文個數 |
display snmp-agent sys-info命令用來顯示當前SNMP設備的係統信息。
【命令】
display snmp-agent sys-info [ contact | location | version ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
contact:顯示當前設備維護者的聯係信息。
location:顯示當前設備的物理位置信息。
version:顯示當前設備中運行的SNMP版本號。
【使用指導】
不指定參數時,顯示設備的全部係統信息。
【舉例】
# 顯示設備係統信息。
<Sysname> display snmp-agent sys-info
The contact information of the agent:
Hangzhou H3C Tech. Co., Ltd.
The location information of the agent:
Hangzhou, China
The SNMP version of the agent:
SNMPv3
【相關命令】
· snmp-agent sys-info
display snmp-agent trap queue命令用來顯示告警消息隊列的基本信息,包括告警消息隊列名、隊列長度以及隊列中當前告警消息的數量。
【命令】
display snmp-agent trap queue
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前告警消息隊列的配置及使用情況。
<Sysname> display snmp-agent trap queue
Queue size: 100
Message number: 6
表1-6 display snmp-agent trap queue命令顯示信息描述表
|
字段 |
描述 |
|
Queue size |
告警消息隊列長度 |
|
Message number |
告警消息隊列中當前告警消息的個數 |
【相關命令】
· snmp-agent trap life
· snmp-agent trap queue-size
display snmp-agent trap-list命令用來顯示設備當前可以生成告警消息的模塊及其告警消息的使能狀態。
【命令】
display snmp-agent trap-list
【視圖】
任意視圖
【使用指導】
如果一個模塊包含多個子模塊,隻要有任何一個子模塊的告警信息是使能的,就顯示整個模塊是使能的。
【舉例】
# 顯示設備當前可以生成告警消息的模塊及其告警消息的使能狀態。
<Sysname> display snmp-agent trap-list
configuration notification is disabled.
ospf notification is disabled.
standard notification is disabled.
system notification is disabled.
Enabled notifications: 0; Disabled notifications: 4
以上顯示信息中enable表示允許該模塊生成告警消息,disable表示不允許該模塊生成告警消息。enable或者disable可以通過命令行配置。
【相關命令】
· snmp-agent trap enable
display snmp-agent usm-user命令用來顯示SNMPv3用戶信息。
【命令】
display snmp-agent usm-user [ engineid engineid | group group-name | username user-name ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
engineid engineid:顯示指定引擎ID的SNMPv3用戶信息,engineid表示SNMP引擎ID。SNMPv3用戶創建的時候,係統會記錄當時設備的SNMP實體引擎ID,如果設備的引擎ID被修改,則被創建的SNMPv3用戶將暫時無效,隻有引擎ID恢複後,才能繼續生效。
group group-name:顯示屬於指定SNMP組的SNMPv3用戶信息,區分大小寫。
username user-name:顯示指定名字的SNMPv3用戶信息,區分大小寫。
【使用指導】
使用snmp-agent usm-user命令可以創建SNMPv1/v2c/v3用戶,如果創建是的SNMPv1/v2c用戶,係統自動添加一個新的同名的團體名,並將這個用戶當成SNMPv1/v2c團體來處理。所以,不能通過display snmp-agent usm-user命令來查看SNMPv1/v2c用戶的信息,能通過display snmp-agent community查看SNMPv1/v2c用戶對應的團體的信息。
【舉例】
# 顯示設備上已創建的所有SNMPv3用戶的信息。
<Sysname> display snmp-agent usm-user
Username: userv3
Group name: mygroupv3
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
Username: userv3code
Group name: groupv3code
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
表1-7 display snmp-agent usm-user命令顯示信息描述表
|
字段 |
描述 |
|
Username |
SNMP用戶的用戶名 |
|
Group name |
SNMP用戶所在組的組名 |
|
Engine ID |
SNMP用戶創建時使用的SNMP實體引擎ID |
|
Storage-type |
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體請參見表1-1 |
|
UserStatus |
SNMP用戶的狀態,分為以下幾種: · active:有效 · notInService:當前不可用 · notReady:未配置完成 · other:其他 |
|
ACL |
使用的ACL列表的編號(該字段僅在用戶與ACL綁定後顯示) |
【相關命令】
· snmp-agent usm-user v3
enable snmp trap updown命令用來開啟接口狀態變化的告警功能。
undo enable snmp trap updown命令用來關閉接口狀態變化的告警功能。
【命令】
enable snmp trap updown
undo enable snmp trap updown
【缺省情況】
接口狀態變化的告警功能處於開啟狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
需要注意的是,如果要求接口在狀態發生改變時生成接口狀態變化的告警信息,需要開啟全局告警功能並在接口開啟接口狀態變化的告警功能。接口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable standard [ linkdown | linkup ] *。
【舉例】
# 允許發送端口Ten-GigabitEthernet 1/0/1的linkUp/linkDown的SNMP Trap報文,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] enable snmp trap updown
【相關命令】
· snmp-agent target-host
· snmp-agent trap enable
snmp-agent命令用來開啟SNMP Agent功能。
undo snmp-agent命令用來關閉SNMP Agent功能。
【命令】
snmp-agent
undo snmp-agent
【缺省情況】
SNMP Agent功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
執行除snmp-agent calculate-password外任何以snmp-agent開頭的命令都可以開啟SNMP Agent功能。
【舉例】
# 開啟設備的SNMP Agent功能。
<Sysname> system-view
[Sysname] snmp-agent
snmp-agent calculate-password命令用來計算用戶給定明文密碼通過加密算法處理後的密文密碼。
【命令】
非FIPS模式下:
snmp-agent calculate-password plain-password mode { md5 | sha } { local-engineid | specified-engineid engineid }
FIPS模式下:
snmp-agent calculate-password plain-password mode sha { local-engineid | specified-engineid engineid }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
plain-password:需要被加密的明文密碼。
mode:指明使用的認證算法,包括MD5和SHA-1兩種,其中MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。
· md5:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證算法必須為MD5;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為MD5,加密協議可以為AES也可以是DES(當認證協議為MD5時,加密協議不管是AES還是DES,轉換後的結果是一樣的)。
· sha:用於將明文認證密碼轉換為密文認證密碼,此時對應的認證算法必須為SHA-1;或者用於將明文加密密碼轉換為密文加密密碼,此時對應的認證算法必須為SHA-1,加密協議可以為AES也可以是DES(當認證協議為SHA-1時,加密協議不管是AES還是DES,轉換後的結果是一樣的)。
local-engineid:使用本地引擎ID計算密文密碼,引擎ID的相關描述與配置可參考命令snmp-agent local-engineid。
specified-engineid:使用用戶指定的引擎ID計算密文密碼。
engineid:引擎ID,必須為偶數個十六進製數,偶數的取值範圍為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【使用指導】
執行本命令前,必須先開啟設備的SNMP Agent功能。
在創建SNMPv3用戶時,如果指明認證或者加密密碼采用密文形式,則可以借助此命令生成相應的密文密碼。
生成的密碼是和引擎ID相關聯的,在某一引擎ID下生成的密碼,也隻在此引擎ID下生效。
【舉例】
# 使用本地引擎ID和SHA-1認證算法計算明文為authkey的加密密碼。
<Sysname> system-view
[Sysname] snmp-agent calculate-password authkey mode sha local-engineid
The encrypted key is: 09659EC5A9AE91BA189E5845E1DDE0CC
【相關命令】
· snmp-agent local-engineid
· snmp-agent usm-user v3
snmp-agent community命令用來創建一個新的SNMP團體,並設置該團體的參數,包括訪問權限、團體名、訪問控製列表和可訪問的MIB視圖。
undo snmp-agent community命令用來刪除指定的團體。
【命令】
snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent community { read | write } community-name
【缺省情況】
設備上沒有配置SNMP團體。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
read:表示對MIB對象的訪問權限為隻讀。NMS使用該團體名訪問Agent時隻能執行讀操作。
write:表示對MIB對象的訪問權限為讀寫。NMS使用該團體名訪問Agent時可以執行讀、寫操作。
community-name:團體名,為1~32個字符的字符串。
mib-view view-name:用來指定NMS可以訪問的MIB對象的範圍,view-name表示MIB視圖名,為1~32個字符的字符串。不指定參數時,缺省視圖為ViewDefault。
acl acl-number:將團體名與基本ACL綁定,acl-number表示訪問列表號,取值範圍為2000~2999。當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有NMS訪問設備;當引用的ACL非空時,則隻有ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
acl ipv6 ipv6-acl-number:將團體名與基本IPv6 ACL綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。當未引用IPv6 ACL、或者引用的IPv6 ACL不存在、或者引用的IPv6 ACL為空時,允許所有NMS訪問設備;當引用的IPv6 ACL非空時,則隻有IPv6 ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
【使用指導】
FIPS模式下,不支持本命令。
該命令用於SNMPv1和SNMPv2c組網環境。
團體是NMS和Agent的集合,用團體名來標誌。團體名相當於密碼,團體內的設備通信時使用團體名來進行認證。隻有NMS和Agent上配置的團體名相同時,才能互相訪問。通常情況下,“public”被用來作為讀權限團體名、“private”被用來作為寫權限團體名。為了增強安全性,網絡管理員也可以配置其它團體名。
· acl參數限製了隻有IP地址符合條件的NMS可以訪問Agent。
· acl ipv6參數限製了隻有IPv6地址符合條件的NMS可以訪問Agent。
· community-name參數限製了NMS訪問Agent時使用的團體名。
· mib-view參數限製了NMS可以訪問的Agent上的MIB對象,名稱為view-name的所有MIB視圖都會被引用。
· read、write參數限製了NMS可以對Agent執行的操作類型。
· 係統中可配置的SNMP團體最多為10個。
【舉例】
# 創建團體readaccess,並且允許使用該團體名進行隻讀訪問。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent community read readaccess
在NMS上將版本號設置為SNMPv1或者SNMPv2c,並將隻讀團體名填寫為readaccess,建立連接,就可以對設備上缺省視圖內的MIB對象進行隻讀操作。
# 設置團體名writeaccess,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名設置Agent MIB對象的值,禁止其它NMS使用該團體名執行寫操作。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent community write writeaccess acl 2001
將NMS的IP地址配置為1.1.1.1,版本號指定為SNMPv2c,Write community選項填寫為writeaccess,即可以對設備上缺省視圖內的MIB對象進行讀寫操作。
# 創建團體名wr-sys-acc,使用該團體名訪問設備時隻能對system(OID為1.3.6.1.2.1.1)子樹下的MIB對象執行寫操作。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] undo snmp-agent mib-view ViewDefault
[Sysname] snmp-agent mib-view included test system
[Sysname] snmp-agent community write wr-sys-acc mib-view test
在NMS上將版本號設置為SNMPv1或者SNMPv2c,並將Write community填寫為wr-sys-acc,建立連接,就可以對設備上system視圖內的MIB對象進行讀寫操作。
【相關命令】
· display snmp-agent community
· snmp-agent mib-view
snmp-agent group命令用來創建一個新的SNMP組,並設置其訪問權限。
undo snmp-agent group命令用來刪除一個指定的SNMP組。
【命令】
非FIPS模式下:
SNMPv1和SNMPv2c版本下的命令格式是:
snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent group { v1 | v2c } group-name
SNMPv3版本下的命令格式是:
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent group v3 group-name [ authentication | privacy ]
FIPS模式下:
snmp-agent group v3 group-name { authentication | privacy } [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent group v3 group-name { authentication | privacy }
【缺省情況】
設備上沒有配置SNMP組。
snmp-agent group v3命令配置的SNMP組采用不認證、不加密方式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
v1:SNMPv1版本。
v2c:SNMPv2c版本。
v3:SNMPv3版本。
group-name:SNMP組名,為1~32個字符的字符串,區分大小寫。
authentication:表示對報文進行認證但不加密。
privacy:表示對報文進行認證和加密。
read-view view-name:隻讀視圖名,為1~32個字符的字符串。缺省值為ViewDefault。
write-view view-name:讀寫視圖名,為1~32個字符的字符串。缺省情況下,未配置讀寫視圖,即NMS不能對設備的所有MIB對象進行寫操作。
notify-view view-name:可以發告警消息的視圖名,為1~32個字符的字符串。缺省情況下,未配置告警消息視圖。
acl acl-number:將組與基本ACL綁定,acl-number表示訪問列表號,取值範圍為2000~2999。當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有NMS訪問設備;當引用的ACL非空時,則隻有ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
acl ipv6 ipv6-acl-number:將組與基本IPv6 ACL綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。當未引用IPv6 ACL、或者引用的IPv6 ACL不存在、或者引用的IPv6 ACL為空時,允許所有NMS訪問設備;當引用的IPv6 ACL非空時,則隻有IPv6 ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
【使用指導】
FIPS模式下,不支持SNMPv1和SNMPv2c版本下的本命令。
SNMP組可以定義安全模式、視圖權限等信息,配置在此組內的用戶都具有這些公共屬性。
係統中可配置的SNMP組最多為20個。
當不指定authentication和privacy時,表示不認證不加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均不認證不加密。即便用戶配置了認證密碼/加密密碼,認證密碼/加密密碼也不生效。
當指定authentication時,表示認證不加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均認證不加密。即便用戶配置了加密密碼,加密密碼也不生效。
當指定privacy時,表示認證加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均認證加密。該組內的用戶必須配置認證密碼和加密密碼,否則,不能建立SNMP連接。
【舉例】
# 在運行SNMPv3版本的設備上創建一個SNMP組group1,采用不認證、不加密方式。
<Sysname> system-view
[Sysname] snmp-agent group v3 group1
【相關命令】
· display snmp-agent group
· snmp-agent mib-view
· snmp-agent usm-user
snmp-agent local-engineid命令用來設置本地SNMP實體的引擎ID。
undo snmp-agent local-engineid命令用來恢複缺省情況。
【命令】
snmp-agent local-engineid engineid
undo snmp-agent local-engineid
【缺省情況】
設備引擎ID為公司的“企業號+設備信息”。設備信息由各個產品決定,可以是IP地址、MAC地址或者自定義的十六進製數字串。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
engineid:引擎ID,必須為偶數個十六進製數,偶數的取值範圍為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【使用指導】
引擎ID有兩個作用:
· 在NMS管理的所有設備中,每一台設備都需要用一個唯一的引擎ID來標識Agent,缺省情況下每個設備有一個缺省的引擎ID,網絡管理員需要確保管理域內不能有重複的引擎ID。
· SNMPv3版本的用戶名、密文密碼等都和引擎ID相關聯,如果更改了引擎ID,則原引擎ID下配置的用戶名、密碼失效。
通常情況下,使用設備的缺省引擎ID即可,用戶也可以根據網絡整體規劃給設備配置方便記憶的引擎ID,比如A棟一樓的一號設備可以將它的引擎ID設置為000Af0010001,二號設備可以配置為000Af0010002。
【舉例】
# 配置本地設備的引擎ID為123456789A。
<Sysname> system-view
[Sysname] snmp-agent local-engineid 123456789A
【相關命令】
· display snmp-agent local-engineid
· snmp-agent usm-user
snmp-agent log命令用來開啟SNMP日誌功能。
undo snmp-agent log命令用來關閉SNMP日誌功能。
【命令】
snmp-agent log { all | get-operation | set-operation }
undo snmp-agent log { all | get-operation | set-operation }
【缺省情況】
SNMP日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
all:表示SNMP Get和Set操作的日誌開關。
get-operation:表示SNMP Get操作的日誌開關。
set-operation:表示SNMP Set操作的日誌開關。
【使用指導】
當打開SNMP指定的日誌開關,NMS對Agent執行指定的操作時,Agent會記錄與該操作相關的信息並保存到設備的信息中心。通過設置信息中心的參數,最終決定SNMP日誌的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 打開SNMP Get操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log get-operation
# 打開SNMP Set操作的日誌開關。
<Sysname> system-view
[Sysname] snmp-agent log set-operation
snmp-agent mib-view命令用來創建或者更新MIB視圖的信息,以指定NMS可以訪問的MIB對象。
undo snmp-agent mib-view命令用來刪除指定視圖。
【命令】
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]
undo snmp-agent mib-view view-name
【缺省情況】
設備上已創建了四個視圖,視圖名均為ViewDefault:
· 視圖一包含MIB子樹iso;
· 視圖二不包含子樹snmpUsmMIB;
· 視圖三不包含子樹snmpVacmMIB;
· 視圖四不包含子樹snmpModules.18。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
excluded:表示當前視圖不包括該MIB子樹的任何節點(即禁止訪問MIB子樹的所有節點)。
included:表示當前視圖包括該MIB子樹的所有節點(即允許訪問MIB子樹的所有節點)。
view-name:視圖名,為1~32個字符的字符串。
oid-tree:MIB子樹,用子樹根節點的OID(如1.4.5.3.1)或名稱(如“system”)表示。OID是由一係列的整數組成,標明節點在MIB樹中的位置,它能唯一地標識一個MIB庫中的對象。
mask mask-value:對象子樹的掩碼,十六進製數,長度為1~32中的偶數。
【使用指導】
MIB視圖是MIB的子集,由視圖名和MIB子樹來唯一確定一個MIB視圖。視圖名相同但包含的子樹不同,則認為是不同的視圖。除缺省視圖外,用戶最多可以創建16個MIB視圖。
缺省視圖可以通過display snmp-agent mib-view命令來查看。如果使用缺省視圖限製NMS的訪問權限時,除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。缺省視圖可以通過undo snmp-agent mib-view命令刪除,但是刪除以後,可能導致不能對Agent的所有MIB節點執行讀寫操作,除非另外手工配置視圖。
【舉例】
# 創建兩個MIB視圖,名字均為mibtest,其中一個包含mib-2子樹(1.3.6.1)的所有對象,另一個不包含system子樹的所有對象。
<Sysname> system-view
[Sysname] snmp-agent mib-view included mibtest 1.3.6.1
[Sysname] snmp-agent mib-view excluded mibtest system
[Sysname] snmp-agent community read public mib-view mibtest
以上配置成功後,當NMS使用SNMPv1版本,public團體名訪問設備時,不能查詢system子樹的所有對象(比如sysDescr和sysObjectID等節點),可以查詢mib-2子樹下的其它所有對象。
【相關命令】
· display snmp-agent mib-view
· snmp-agent group
snmp-agent packet max-size命令用來設置Agent能接收或發送的SNMP報文的最大長度。
undo snmp-agent packet max-size命令用來恢複缺省情況。
【命令】
snmp-agent packet max-size byte-count
undo snmp-agent packet max-size
【缺省情況】
Agent能接收或發送的SNMP報文的最大長度1500。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
byte-count:Agent能接收/發送的SNMP報文的最大長度,取值範圍為484~17940,單位為字節。
【使用指導】
設置報文的最大長度是為了防止網絡中存在不支持分片的主機,而導致超長數據被丟棄。通常情況下,使用缺省值即可。
【舉例】
# 設置Agent能接收/發送的SNMP報文的最大長度為1024字節。
<Sysname> system-view
[Sysname] snmp-agent packet max-size 1024
snmp-agent remote命令用來配置遠端SNMP實體的引擎。
undo snmp-agent remote命令用來取消已配置的遠端SNMP實體的引擎。
【命令】
snmp-agent remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] engineid engineid
undo snmp-agent remote ip-address
【缺省情況】
設備上沒有配置遠端SNMP實體的引擎。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:遠端SNMP實體的IP地址。
ipv6 ipv6-address:遠端SNMP實體的IPv6地址。
vpn-instance vpn-instance-name:指定遠端SNMP實體所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端SNMP實體位於公網中。
engineid:引擎ID,必須為偶數個十六進製數,偶數的取值範圍為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【使用指導】
當設備需要向NMS發送SNMPv3 Inform消息時,必須配置該命令,並將ip-address配置為NMS的IP地址,engineid配置為NMS的引擎ID。因為協議要求SNMPv3 Inform消息中必須攜帶一個權威引擎ID,NMS收到該消息後,會用自己的引擎ID和這個權威引擎ID比較,如果相同,才能接收。
用戶最多可以配置20個遠端SNMP實體引擎ID。
【舉例】
# 配置IP地址為10.1.1.1的SNMP實體的引擎為123456789A。
<Sysname> system-view
[Sysname] snmp-agent remote 10.1.1.1 engineid 123456789A
【相關命令】
· display snmp-agent remote
snmp-agent sys-info contact命令用來配置設備的維護聯係信息。
undo snmp-agent sys-info contact命令用來恢複缺省情況。
【命令】
snmp-agent sys-info contact sys-contact
undo snmp-agent sys-info contact
【缺省情況】
維護聯係信息為Hangzhou H3C Tech. Co., Ltd.。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
sys-contact:描述係統維護聯係信息,為1~200個字符的字符串。
【使用指導】
如果設備發生故障,設備維護人員可以利用係統維護聯係信息,及時與設備生產廠商取得聯係。
【舉例】
# 配置設備的維護聯係信息為Dial System Operator # 27345。
<Sysname> system-view
[Sysname] snmp-agent sys-info contact Dial System Operator # 27345
【相關命令】
· display snmp-agent sys-info
snmp-agent sys-info location命令用來配置設備的物理位置信息。
undo snmp-agent sys-info location命令用來恢複缺省情況。
【命令】
snmp-agent sys-info location sys-location
undo snmp-agent sys-info location
【缺省情況】
物理位置信息為Hangzhou, China。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
sys-location:設備的物理位置信息,為1~200個字符的字符串。
【使用指導】
為便於識別和管理設備,請使用該命令將設備所處的物理位置記錄在設備中。
【舉例】
# 配置設備的物理位置信息為Room524-row1-3。
<Sysname> system-view
[Sysname] snmp-agent sys-info location Room524-row1-3
【相關命令】
· display snmp-agent sys-info
snmp-agent sys-info version命令用來設置係統啟用的SNMP版本號。
undo snmp-agent sys-info version命令用來禁止使用指定版本的SNMP功能。
【命令】
非FIPS模式下:
snmp-agent sys-info version { all | { v1 | v2c | v3 } * }
undo snmp-agent sys-info version { all | { v1 | v2c | v3 } * }
FIPS模式下:
snmp-agent sys-info version v3
undo snmp-agent sys-info version v3
【缺省情況】
係統啟用SNMPv3版本。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
all:啟用SNMPv1、SNMPv2c和SNMPv3版本。
v1:啟用SNMPv1版本。
v2c:啟用SNMPv2c版本。
v3:啟用SNMPv3版本。
【使用指導】
FIPS模式下,不支持設置SNMPv1和SNMPv2c版本。
啟用指定的SNMP版本後,設備才能收發該版本的SNMP報文。隻有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立連接。
【舉例】
# 啟用SNMPv1和SNMPv3版本。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v1 v3
【相關命令】
· display snmp-agent sys-info
snmp-agent target-host命令用來設置接收SNMP告警信息的目的主機(能夠解析Trap和Inform報文的設備,通常為NMS)的屬性。
undo snmp-agent target-host命令用來取消當前設置。
【命令】
非FIPS模式下:
snmp-agent target-host inform address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string { v2c | v3 [ authentication | privacy ] }
snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]
undo snmp-agent target-host { trap | inform } address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string [ vpn-instance vpn-instance-name ]
FIPS模式下:
snmp-agent target-host inform address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string v3 { authentication | privacy }
snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string v3 { authentication | privacy }
undo snmp-agent target-host { trap | inform } address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string [ vpn-instance vpn-instance-name ]
【缺省情況】
設備上沒有設置告警主機。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
inform:配置接收Inform信息的目的主機的參數。
trap:配置接收Trap信息的目的主機的參數。
address:指定設備發出的SNMP消息中的目的地址。
udp-domain:指定使用UDP協議來傳輸SNMP告警信息。
ip-address:接收告警的目的主機的IPv4地址。
ipv6 ipv6-address:接收告警的目的主機的IPv6地址。
udp-port port-number:指定目的主機上用來接收告警信息的端口號,缺省值為162。
vpn-instance vpn-instance-name:指定目的主機所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示目的主機位於公網中。
params securityname security-string:指定認證的參數,security-string為SNMPv1、SNMPv2c的團體名或SNMPv3的用戶名,為1~32個字符的字符串。
v1:SNMPv1版本。設備配置的SNMP版本必須和NMS上運行的SNMP版本一致,否則,NMS將收不到告警信息。
v2c:SNMPv2c版本。設備配置的SNMP版本必須和NMS上運行的SNMP版本一致,否則,NMS將收不到告警信息。
v3:SNMPv3版本。設備配置的SNMP版本必須和NMS上運行的SNMP版本一致,否則,NMS將收不到告警信息。
· authentication:指明對報文進行認證但不加密。認證功能用來驗證報文的完整性或報文是否被篡改等,認證密碼在創建SNMPv3用戶時配置。
· privacy:指明對報文進行認證和加密。加密是對報文的數據部分進行加密處理以防信息被竊取,認證密碼和加密密碼在創建SNMPv3用戶時配置。
【使用指導】
FIPS模式下,不支持設置SNMPv1和SNMPv2c版本。
根據實際組網需要,用戶可以多次使用該命令配置不同的目的主機的屬性,使得設備可以向多個NMS發送告警信息。可以配置的目的主機的個數與設備的型號有關,請以設備的實際情況為準。
· 不指定udp-port port-number參數時,使用的端口號為162。162是SNMP協議規定的NMS接收告警信息的端口,通常情況下(比如使用iMC或者MIB Browser作為NMS時),使用該缺省值即可。如果要將該參數修改為其它值,則必須和NMS上的配置保持一致。
· 不指定v1、v2c、v3版本參數時,使用的版本是v1。
· 不指定authentication和privacy參數時,使用的是不認證不加密的安全級別。
【舉例】
# 允許向10.1.1.1發送SNMPv1Trap信息,使用團體名public。
<Sysname> system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public v1
【相關命令】
· snmp-agent source
· snmp-agent trap enable
· snmp-agent trap life
snmp-agent trap enable命令用來在全局下開啟告警功能。
undo snmp-agent trap enable命令用來在全局下關閉告警功能。
【命令】
snmp-agent trap enable [ bgp | configuration | ospf [ authentication-failure | bad-packet | config-error | grhelper-status-change | grrestarter-status-change | if-state-change | lsa-maxage | lsa-originate | lsdb-approaching-overflow | lsdb-overflow | neighbor-state-change | nssatranslator-status-change | retransmit | virt-authentication-failure | virt-bad-packet | virt-config-error | virt-retransmit | virtgrhelper-status-change | virtif-state-change | virtneighbor-state-change ] * | standard [ authentication | coldstart | linkdown | linkup | warmstart ] * | system ]
undo snmp-agent trap enable [ bgp | configuration | ospf [ authentication-failure | bad-packet | config-error | grhelper-status-change | grrestarter-status-change | if-state-change | lsa-maxage | lsa-originate | lsdb-approaching-overflow | lsdb-overflow | neighbor-state-change | nssatranslator-status-change | retransmit | virt-authentication-failure | virt-bad-packet | virt-config-error | virt-retransmit | virtgrhelper-status-change | virtif-state-change | virtneighbor-state-change ] * | standard [ authentication | coldstart | linkdown | linkup | warmstart ] * | system ]
【缺省情況】
各模塊的告警功能都處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
bgp:配置該參數後,當BGP的鄰居狀態變化時會產生RFC 4273中規定的告警信息。該信息包含鄰居地址、最近一次出現錯誤的錯誤碼和錯誤子碼、當前的鄰居狀態。
configuration:配置該參數後,係統會以10分鍾為周期,查看周期內當前運行配置或者啟動配置是否被修改,以及是否有用戶通過MIB對啟動配置文件進行修改,並將最後一次修改形成一條告警輸出。
ospf:開啟OSPF的Trap功能。
· authentication-failure:接口認證失敗的Trap報文。
· bad-packet:接收了錯誤報文時發送的Trap報文。
· config-error:接口配置錯誤的Trap報文。
· grhelper-status-change:鄰居GR Helper狀態變化的Trap報文。
· grrestarter-status-change:GR Restarter狀態變化的Trap報文。
· if-state-change:接口狀態變化的Trap報文。
· lsa-maxage:LSA的max age Trap報文。
· lsa-originate:本地生成LSA的Trap報文。
· lsdb-approaching-overflow:LSDB接近溢出的Trap報文。
· lsdb-overflow:LSDB溢出的Trap報文。
· neighbor-state-change:鄰居狀態變化的Trap報文。
· nssatranslator-status-change:NSSA轉換路由器狀態變化的Trap報文。
· retransmit:接口接收和轉發報文的Trap報文。
· virt-authentication-failure:虛接口認證失敗的Trap報文。
· virt-bad-packet:虛接口接收錯誤報文的Trap報文。
· virt-config-error:虛接口配置錯誤的Trap報文。
· virt-retransmit:虛接口接收和轉發報文的Trap報文。
· virtgrhelper-status-change:虛接口鄰居GR Helper狀態變化的Trap報文。
· virtif-state-change:虛接口狀態變化的Trap報文。
· virtneighbor-state-change:虛接口鄰居狀態變化的Trap報文。
standard:SNMP標準告警信息。包括以下五種:
· authentication:NMS訪問設備時認證失敗,輸出SNMP認證失敗的告警信息。
· coldstart:當設備重新啟動時,輸出設備冷啟動告警信息。
· linkdown:當接口的鏈路down時,輸出linkDown告警信息。
· linkup:當接口的鏈路up時,輸出linkUp告警信息。
· warmstart:當SNMP模塊重新啟動時,輸出熱啟動告警信息。
system:配置該參數後,如果係統時間被修改、係統重啟或係統主用啟動軟件包不可用,均會生成告警信息。
【使用指導】
開啟告警功能,設備就可以向目的主機發送告警信息。具體是發送Inform信息還是Trap信息,以及發往哪個目的主機,請通過snmp-agent target-host命令來配置。
不指定可選參數時,表示在全局下開啟/關閉所有可選模塊的告警功能。
【舉例】
# 配置發送SNMP認證失敗Trap信息的目的主機地址為10.1.1.1,使用團體名為public。
<Sysname> system-view
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] snmp-agent trap enable standard authentication
【相關命令】
· snmp-agent target-host
snmp-agent trap if-mib link extended命令用來對標準格式的linkUp或linkDown告警報文進行私有擴展。
undo snmp-agent trap if-mib link extended命令用來恢複缺省情況。
【命令】
snmp-agent trap if-mib link extended
undo snmp-agent trap if-mib link extended
【缺省情況】
係統發送的linkUp/linkDown告警報文的格式為標準格式,不對其進行私有擴展。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
擴展格式的linkUp/linkDown告警報文由標準格式的linkUp/linkDown告警報文後增加接口描述和接口類型信息構成,使用擴展格式的告警報文有助於網絡管理員快速定位問題。
需要注意的是,配置該命令後,設備發送的linkUp/linkDown告警報文為擴展格式的報文。如果NMS不支持擴展格式,可能會無法解析報文。
【舉例】
# 對標準格式的linkUp/linkDown告警報文進行私有擴展。
<Sysname> system-view
[Sysname] snmp-agent trap if-mib link extended
snmp-agent trap life命令用來設置告警信息的保存時間,超過該時間的告警信息都將被丟棄。
undo snmp-agent trap life命令用來恢複缺省情況。
【命令】
snmp-agent trap life seconds
undo snmp-agent trap life
【缺省情況】
SNMP告警信息的保存時間為120秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:超時時間,取值範圍為1~2592000,單位為秒。
【使用指導】
SNMP模塊使用隊列來發送告警信息,告警信息進入消息發送隊列時會啟動一個存活定時器。如果直到定時器超時(即達到snmp-agent trap life命令設置的時間),告警信息還沒有被發送出去,係統就會將該告警信息從發送隊列中刪除。
【舉例】
# 設置告警信息的保存時間為60秒。
<Sysname> system-view
[Sysname] snmp-agent trap life 60
【相關命令】
· snmp-agent trap enable
· snmp-agent target-host
· snmp-agent trap queue-size
snmp-agent trap queue-size命令用來設置告警信息發送隊列的長度。
undo snmp-agent trap queue-size命令用來恢複缺省情況。
【命令】
snmp-agent trap queue-size size
undo snmp-agent trap queue-size
【缺省情況】
告警信息的發送隊列最多可以存儲100條告警消息。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
size:消息隊列中可以存儲的告警信息的數目,取值範圍1~1000。
【使用指導】
告警信息產生後,會進入告警信息消息隊列進行發送,告警信息消息隊列的長度決定了隊列最多可以存儲的告警信息的數目。當告警消息隊列達到設定長度後,最新生成的告警信息會進入消息隊列,最早產生的告警信息被丟棄。
【舉例】
# 設置發送告警信息的消息隊列最多可以存儲200條告警信息。
<Sysname> system-view
[Sysname] snmp-agent trap queue-size 200
【相關命令】
· snmp-agent trap enable
· snmp-agent target-host
· snmp-agent trap life
snmp-agent source命令用來指定告警信息中的源IP地址。
undo snmp-agent source命令用來恢複缺省情況。
【命令】
snmp-agent { inform | trap } source interface-type interface-number
undo snmp-agent { inform | trap } source
【缺省情況】
由SNMP選擇路由出接口的IP地址作為告警信息源IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
inform:用來指定Inform信息中的源IP地址。
trap:用來指定Trap信息中的源IP地址。
interface-type interface-number:指定三層接口類型與接口編號。其中interface-number為主接口編號。
【使用指導】
執行該命令後,係統會使用指定接口的主IP地址作為發送出去的告警信息的源IP地址。這樣,在NMS上就可以使用該IP地址唯一標誌Agent。即便Agent使用不同的出接口發送告警信息,NMS都可以使用該IP地址來過濾Agent發送的所有告警信息。
在將某個接口設置為獲取告警信息的源地址接口之前需要注意的是:
· 如果配置的接口已存在,並且配置了合法的IP地址,則該IP地址將作為告警信息的源地址;
· 如果配置的接口不存在,則該命令會配置失敗;
· 如果配置的接口已存在,但沒有配置合法的IP地址,則該命令不生效,在接口配置了合法IP地址後,該命令會自動生效。
【舉例】
# 配置Trap信息的源地址為以太網接口Ten-GigabitEthernet 1/0/2上的接口IP地址。
<Sysname> system-view
[Sysname] snmp-agent trap source ten-gigabitethernet 1/0/2
# 配置Inform信息的源地址為以太網接口Ten-GigabitEthernet 1/0/2上的接口主IP地址。
<Sysname> system-view
[Sysname] snmp-agent inform source ten-gigabitethernet 1/0/2
【相關命令】
· display snmp-agent community
· snmp-agent trap enable
· snmp-agent target-host
snmp-agent usm-user { v1 | v2c }命令用來為SNMP組添加新用戶。
undo snmp-agent usm-user { v1 | v2c }命令用來刪除SNMP組的用戶。
【命令】
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent usm-user { v1 | v2c } user-name group-name
【缺省情況】
設備上沒有配置SNMP用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
v1:表示配置的用戶名適用於SNMPv1組網環境。
v2c:表示配置的用戶名適用於SNMPv2c組網環境。
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
acl acl-number:將用戶與基本ACL綁定,acl-number表示訪問列表號,取值範圍為2000~2999。當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有NMS訪問設備;當引用的ACL非空時,則隻有ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
acl ipv6 ipv6-acl-number:將用戶與基本IPv6 ACL綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。當未引用IPv6 ACL、或者引用的IPv6 ACL不存在、或者引用的IPv6 ACL為空時,允許所有NMS訪問設備;當引用的IPv6 ACL非空時,則隻有IPv6 ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
【使用指導】
FIPS模式下,不支持本命令。
SNMPv1和SNMPv2c組網應用中NMS和Agent之間使用團體名來認證,SNMPv3組網應用中使用用戶名來認證。
設備支持配置SNMPv1和SNMPv2c用戶以供習慣用戶名配置方式的用戶。創建一個SNMPv1或SNMPv2c用戶相當於添加一個新的團體名,其讀寫屬性依賴於用戶所在組的讀、寫、通知視圖配置。
要使配置的用戶生效,必須先創建SNMP組。
【舉例】
# 在SNMP組readCom裏創建SNMPv2c用戶userv2c。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom
如果NMS需要訪問Agent,則應將NMS的版本號指定為SNMPv2c,Read community選項填寫為userv2c。
# 在SNMP組readCom裏創建SNMPv2c用戶userv2c,並且隻允許IP地址為1.1.1.1的NMS使用該用戶名訪問Agent,禁止其它NMS使用該用戶名訪問。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-basic-2001] rule deny source any
[Sysname-acl-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom acl 2001
此時在IP地址為1.1.1.1,版本號指定為SNMPv2c,Read community的NMS上,將SNMP協議版本號指定為SNMPv2c,Read community和Write community選項均填寫為userv2c,就可以訪問Agent了。
【相關命令】
· snmp-agent group
· snmp-agent community
· dispaly snmp-agent community
snmp-agent usm-user v3命令用來為SNMPv3組添加新用戶。
undo snmp-agent usm-user v3命令用來刪除SNMPv3組的用戶。
【命令】
非FIPS模式下:
snmp-agent usm-user v3 user-name group-name [ remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string | remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
FIPS模式下:
snmp-agent usm-user v3 user-name group-name [ remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] { cipher | simple } authentication-mode sha auth-password [ privacy-mode aes128 priv-password ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *
undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string | remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情況】
設備上沒有配置SNMPv3用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應的組名,為1~32個字符的字符串,區分大小寫。
remote { ip-address | ipv6 ipv6-address }:接收Inform信息的目的主機的IP地址或者IPv6地址,通常為NMS的IP地址或者IPv6地址。當設備需要向目的主機發送SNMPv3 Inform信息時,該參數必須配置,還需要使用snmp-agent remote命令將目的主機的IP地址或者IPv6地址和引擎ID綁定。
vpn-instance vpn-instance-name:接收Inform信息的目的主機所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示目的主機位於公網中。
cipher:以密文方式設置認證密碼和加密密碼。當使用16進製字符作為密文密碼時可以使用snmp-agent calculate-password命令來計算獲得。
simple:以明文方式設置認證密碼和加密密碼。
authentication-mode:指明安全模式為需要認證。MD5算法的計算速度比SHA算法快,而SHA算法的安全強度比MD5算法高。
· md5:指定認證協議為MD5。
· sha:指定認證協議為SHA-1。
auth-password:設置認證密碼,區分大小寫,具體如下。
· 采用明文設置認證密碼時:非FIPS模式下,認證密碼的長度範圍是1~64個字符,FIPS模式下,認證密碼的長度範圍是15~64字符,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符)。
· 采用密文設置認證密碼時:對密文加密密碼的要求請參見表1-8。
|
認證算法 |
16進製格式的認證密碼長度 |
非16進製格式的認證密碼長度 |
|
md5 |
32 |
53 |
|
sha |
40 |
57 |
privacy-mode:表示安全模式為需要加密。加密算法的安全性由高到低依次是:AES、DES,安全性高的加密算法實現機製複雜,運算速度慢。
· aes128:指定加密協議為AES(Advanced Encryption Standard,高級加密標準)。
· des56:指定加密協議為DES(Data Encryption Standard,數據加密標準)。
priv-password:設置的明文加密密碼或密文加密密碼,區分大小寫。如果選擇明文方式,非FIPS模式下,密碼的長度範圍是1~64;FIPS模式下,密碼的長度範圍是15~64字符,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);如果選擇密文方式,對密文加密密碼的要求請參見表1-9。
|
認證算法 |
加密算法 |
16進製格式的認證密碼長度 |
非16進製格式的認證密碼長度 |
|
md5 |
aes128或des56 |
32 |
53 |
|
sha |
aes128或des56 |
40 |
53 |
acl acl-number:將用戶與基本ACL綁定,acl-number表示訪問列表號,取值範圍為2000~2999。當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有NMS訪問設備;當引用的ACL非空時,則隻有ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
acl ipv6 ipv6-acl-number:將用戶與基本IPv6 ACL綁定,ipv6-acl-number表示訪問列表號,取值範圍為2000~2999。當未引用IPv6 ACL、或者引用的IPv6 ACL不存在、或者引用的IPv6 ACL為空時,允許所有NMS訪問設備;當引用的IPv6 ACL非空時,則隻有IPv6 ACL中permit的NMS才能訪問設備,其它NMS不允許訪問設備,以免非法NMS訪問設備。
local:表示本地實體引擎。
engineid engineid-string:指定與該用戶相關聯的引擎ID字符串,必須為偶數個十六進製數,十六進製數的個數為10~64。奇數個十六進製數、全0和全F均被認為是無效參數。
【使用指導】
該命令配置的用戶名適用於SNMPv3組網環境。
SNMPv3用戶與SNMP實體引擎相關聯,缺省情況下,創建的SNMPv3用戶與本地SNMP實體引擎相關聯。使用remote ip-address參數創建與遠端SNMP實體引擎關聯的SNMP用戶。
SNMP用戶依附於SNMP組,創建用戶前,請先創建組。否則,用戶能夠創建成功但是不生效。一個組可以包含多個用戶。組定義了用戶能夠訪問的SNMP對象(通過MIB視圖來限定)以及是否進行認證和加密等,而認證和加密的具體算法和密碼則是在創建用戶時定義。
需要注意的是:
· 多次使用本命令配置同一用戶(即用戶名相同,其它參數沒有要求),配置結果以最後一次的配置為準。
· 以明文或密文方式設置的密碼,均以密文方式保存在配置文件中。
· NMS在訪問設備時,必須輸入明文密碼,因此在創建用戶時請牢記用戶名以及對應的明文密碼。
【舉例】
# 為v3組testGroup加入一個用戶testUser,安全級別為隻認證不加密,認證協議為SHA-1,認證密碼明文為authkey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup authentication
[Sysname] snmp-agent usm-user v3 testUser testGroup simple authentication-mode sha authkey
在NMS上將版本號設置為SNMPv3,並將用戶名填寫為testUser,認證協議設置為MD5,認證密碼填寫為authkey,建立連接,就可以對設備上缺省視圖內的MIB對象進行訪問了。
# 為v3組testGroup加入一個用戶testUser,安全級別為認證和加密,認證協議為SHA-1、加密協議為AES,認證密碼明文為authkey,加密密碼明文為prikey。
<Sysname> system-view
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 testUser testGroup simple authentication-mode sha authkey privacy-mode aes128 prikey
在NMS上將版本號設置為SNMPv3,並將用戶名填寫為testUser,認證協議設置為SHA-1,認證密碼填寫為authkey,加密協議設置為AES,加密密碼填寫為prikey,建立連接,就可以對設備上缺省視圖內的MIB對象進行訪問了。
# 為v3組testGroup加入一個與IP為10.1.1.1的遠端SNMP實體引擎相關聯的SNMPv3用戶remoteUser,安全級別為認證和加密,認證協議為SHA-1、加密協議為AES,認證密碼明文為authkey,加密密碼明文為prikey。
<Sysname> system-view
[Sysname] snmp-agent remote 10.1.1.1 engineid 123456789A
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 remoteUser testGroup remote 10.1.1.1 simple authentication-mode sha authkey privacy-mode aes128 prikey
【相關命令】
· display snmp-agent usm-user
· snmp-agent calculate-password
· snmp-agent group
· snmp-agent usm-user { v1 | v2c }
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
