eSight使用SNMP V3管理S7700交换机无法收到端口告警

发布时间:  2015-11-20 浏览次数:  1151 下载次数:  0
问题描述
eSight使用SNMP V3管理S7700交换机无法收到端口告警,SNMP测试能够成功。



设备SNMP配置信息:

snmp-agent sys-info version v3
snmp-agent group v3 huawei privacy read-view View_ALL write-view View_ALL notify-view View_ALL
snmp-agent target-host trap address udp-domain 172.28.21.131 params securityname huawei v3
snmp-agent mib-view included View_ALL iso
snmp-agent usm-user v3 huawei huawei authentication-mode md5 %$%$FsfeGKkw>PP.fXM>qar&e.%y%$%$ privacy-mode des56 %$%$FsfeGKkw>PP.fXM>qar&e.%y%$%$
snmp-agent trap enable
处理过程
1、测试设备侧SNMP配置,测试成功。

2、复现设备告警,设备侧确认产生了端口Down的trap信息。

#Jul 28 2014 09:55:56 FY-SVR-S7703-2 IFNET/1/IF_PVCDOWN:OID 1.3.6.1.6.3.1.1.5.3 Interface 77 turned into DOWN state.(AdminStatus 2,OperStatus 2,InterfaceName GigabitEthernet1/0/22)

3、修改设备侧SNMP配置,修改后设备侧可以正常上报告警。

snmp-agent sys-info version v3
snmp-agent group v3 huawei privacy read-view View_ALL write-view View_ALL notify-view View_ALL
snmp-agent target-host trap address udp-domain 172.28.21.131 params securityname huawei v3 privacy //配置target-host安全选项与SNMP组一致
snmp-agent mib-view included View_ALL iso
snmp-agent usm-user v3 huawei huawei authentication-mode md5 %$%$FsfeGKkw>PP.fXM>qar&e.%y%$%$ privacy-mode des56 %$%$FsfeGKkw>PP.fXM>qar&e.%y%$%$
snmp-agent trap enable
根因
 配置告警的SNMP V3发送:

[Huawei]snmp-agent target-host trap  address udp-domain 172.28.21.131 params securityname huawei v3 ?
  authentication      Specify the securityLevel of AuthNoPriv
  privacy             Specify the securityLevel of AuthPriv
  private-netmanager  Specify the target to huawei host
  <cr>

如果v3用户对应的用户组(snmp-agent group)配置了安全选项,则必须添加authentication或privacy参数,对Trap进行认证设置和加密处理。

target-host配置后的authentication和privacy代表发送的Trap报文是否需要认证,是否是加密的报文,如果什么都不配置,那么就是不需要任何也不加密的报文,配置用户组的安全选项与target-host安全选项配置不一致侧会导致设备告警无法正常上报。
建议与总结
S交换机SNMP V3推荐配置模板:

snmp-agent sys-info version all
snmp-agent mib-view include View_ALL iso //配置MIB视图,SNMPv3不存在缺省视图,必须进行手工配置,如不配置可能会导致SNMP无法访问相关MIB节点信息。
snmp-agent trap source MEth0/0/1 ----------------------》此处应该配置的是网管添加该设备的接口
snmp-agent trap enable----------------------》使能trap上传告警功能
snmp-agent target-host trap address udp-domain 10.137.61.81 params securityname user v3 private(authentication)----------》target-host为网管IP, securityname应该为用户自定义名称与usm-user名称一致。snmp版本应该与添加设备的一致,target-host安全选项需与SNMP组一致。
snmp-agent group v3 snmpgroup privacy(authentication) read-view View_ALL write-view View_ALL notify-view View_ALL----------》配置SNMP组的MIB视图权限,privacy表示即认证又加密,authentication表示只认证不加密。read-view、write-view、notify-view分别为配置设备SNMP读、写和发送告警的权限。
snmp-agent usm-user v3 user snmpgroup authentication-mode md5 Admin_123 privacy-mode des56 Admin_123----------》//配置用户组的加密认证方式及密钥,建议配置该用户的鉴权密码和加密密码。否则,该用户只能查询MIB-2子树下的节点。

END