所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-网络管理与监控

本文档介绍了设备支持的网络管理与监控相关配置。主要内容包括:SNMP配置、RMON和RMON2配置、LLDP配置、性能管理、iPCA配置、NQA配置、业务诊断配置、镜像配置、报文捕获配置、分流配置、NetStream配置、sFlow配置、TWAMP Light配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SNMPv3的基本功能

配置SNMPv3的基本功能

背景信息

配置设备发送告警和错误码的目的IP地址时,请根据需要选择配置Trap方式告警或Inform方式告警:
  • 被管理设备发送Trap方式告警时,不需要网管回应确认信息。

  • 被管理设备发送Inform方式告警时,需要网管回应确认消息,在超时时间范围内没有收到网管的回应消息时,被管理设备将重新发送该告警,直至发送的告警个数达到配置的重复发送最大次数。

    被管理设备发送Inform告警时,同时记录告警日志,方便网管故障或链路故障恢复后,网管能够同步故障时间内产生的告警。

因此,Inform告警相比Trap方式告警更加可靠,但由于重传机制的存在,可能导致设备需要缓存大量的告警信息,占用设备内存资源。建议用户在网络比较稳定时选择Trap方式告警;在设备资源充足且网络不太稳定的环境下,选择配置Inform方式告警。

注意事项

在配置安全级别时,要确保SNMP用户的安全级别 ≥ 告警主机的安全级别 ≥ SNMP用户组的安全级别。安全级别按照安全性从高到低分为:
  • privacy:鉴权且加密
  • authentication:只鉴权
  • None:不鉴权不加密

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令snmp-agent,使能SNMP Agent服务。

    缺省情况下,没有使能SNMP Agent服务。执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务使能。

  3. (可选)执行命令snmp-agent udp-port port-num,修改SNMP Agent与网管连接所使用的端口号。

    缺省情况下,SNMP Agent与网管连接所使用的端口号为161。

    为了提升设备的安全性,请执行snmp-agent udp-port命令修改SNMP Agent的端口号。修改SNMP Agent与网管连接所使用的端口号以后,通过网管管理设备时,网管端指定的端口号必须与该端口号保持一致,否则无法连接设备。

  4. (可选)执行命令snmp-agent sys-info version v3,配置SNMP的协议版本。

    缺省情况下,SNMP的协议版本为SNMPv3。

  5. (可选)执行命令snmp-agent local-engineid engineid ,配置本地SNMP实体的引擎ID。

    缺省情况下,设备采用内部算法自动生成一个设备引擎ID,包含公司的“企业号+设备信息”。

    若改变本地引擎ID,则已存在的SNMPv3用户将被删除。

    说明:
    为了提高系统安全性,建议执行snmp-agent packet contextengineid-check enable命令对contextEngineID和本地的引擎ID进行一致性检查。

  6. 执行命令snmp-agent group v3 group-name { authentication | privacy | noauthentication } ,配置SNMPv3用户组。

    当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等,建议用户配置参数authenticationprivacy,使能数据的认证或加密功能。

  7. 配置SNMPv3用户。

    1. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *配置SNMPv3用户。
    2. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name authentication-mode { md5 | sha } [ cipher password ]配置SNMPv3用户认证密码。
    3. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name privacy-mode { des56 | aes128 |aes192 | aes256 | 3des } [ cipher password ]配置SNMPv3用户加密密码。
    说明:

    用户组和用户配置完成后,使用该用户名的网管拥有Viewdefault视图(即1.3.6.1)的权限。

    当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等。建议用户配置认证和加密功能,且配置不同的认证密码和加密密码来提高安全性。缺省情况下,创建的SNMPv3用户为不认证不加密。

    为了保证更好的安全性,建议不要使用MD5算法作为SNMPv3的认证算法,不要使用DES56或3DES168算法作为SNMPv3的加密算法。

  8. 请根据网络需要选择下面的命令配置设备发送告警和错误码的目的IP地址:

    说明:

    配置设备发送告警前,需要先确认信息中心已经使能。如未使能,需要执行info-center enable命令。

    • 如果是IPv4网络,请根据需要选择配置Trap方式告警或Inform方式告警:

      • 配置设备发送Trap告警和错误码的目的IP地址,请执行命令:

        snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ public-net | vpn-instance vpn-instance-name ] ] * params securityname security-name v3 [ authentication | privacy ] [ private-netmanager | notify-filter-profile profile-name | ext-vb ] *

      • 配置设备发送Inform告警和错误码的目的IP地址,请执行命令:

        snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ vpn-instance vpn-instance-name | public-net ] ]* params securityname security-name v3 [ authentication | privacy ] [ notify-filter-profile profile-name | ext-vb ] *

    • 如果是IPv6网络,请执行以下命令:

      snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | vpn-instance vpn-instance-name ] * params securityname security-name [ v3 [ authentication | privacy ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] *

      说明:

      IPv6网络只支持Trap方式告警,不支持Inform方式告警。

    请参考下面的说明对参数进行选取:

    • 目的UDP端口号缺省是162,如果有特殊需求(比如避免知名端口号被攻击),可以配置udp-port将UDP端口号更改为非知名端口号,保证网管和被管理设备的正常通信。
    • security-name用来在网管上标识和区别发送告警的源设备,方便用户识别告警的发送方。
    • 当网管和被管理设备是华为设备时,可以选择配置private-netmanager,使告警中携带更丰富的信息,比如告警的类型、发送告警的序号和告警发送的时间,以便能更加快速的定位和解决问题。
    说明:

    配置的security-name必须和创建的用户名保持一致,否则网管将无法访问设备。

  9. (可选)执行命令snmp-agent sys-info { contact contact | location location },配置设备管理员的联系方式和位置。

    缺省情况下,系统维护联系信息为“R&D Beijing, Huawei Technologies co.,Ltd. ”,物理位置信息为“Beijing China”。

    当网管管理多个设备时,为了方便网管管理员记录设备管理员的联系方式和位置,在设备异常时快速联系设备管理员进行故障排除和定位,可配置该命令。

  10. (可选)执行命令snmp-agent packet max-size byte-count,配置设备接收或发送的SNMP消息包的最大值。

    缺省情况下,SNMP报文最大尺寸为12000字节。

    配置SNMP报文的最大尺寸后,当SNMP报文尺寸大于配置的最大尺寸时,设备将丢弃该报文。该报文尺寸根据网管能够处理的最大报文尺寸进行设定,否则将导致网管无法处理该报文。

  11. (可选)执行命令snmp-agent protocol source-interface interface-type interface-number,配置设备接收和响应网管请求报文的源接口信息。

    缺省情况下,设备对网管请求报文的接收和响应源接口是随机的,任意可用的接口都可以接收和响应网管请求报文。

    当前只支持将Loopback接口配置成网管请求报文的接收和响应源接口。

  12. (可选)执行命令snmp-agent protocol server [ ipv4 | ipv6 ] disable,关闭SNMP IPv4或IPv6的侦听端口。

    缺省情况下,SNMP IPv4或IPv6的侦听端口处于关闭状态。

    当不选择ipv4ipv6参数时,将同时关闭SNMP IPv4和IPv6的侦听端口。

    当只需要向网管发送告警不需要执行Get/Set等操作时,将不需要对SNMP的端口进行侦听,可以通过执行snmp-agent protocol server disable命令关闭SNMP IPv4或IPv6的侦听端口。关闭SNMP IPv4或IPv6的侦听端口后,SNMP将不再处理对应的SNMP报文,因此请慎重操作。

翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000141529

浏览量:20305

下载量:402

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页