所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SNMP配置命令

SNMP配置命令

clear configuration snmp-agent trap enable

命令功能

clear configuration snmp-agent trap enable用来一键式清除某个特性的所有告警开关的相关配置。

命令格式

clear configuration snmp-agent trap enable feature-name feature-name

参数说明

参数 参数说明 取值
feature-name feature-name 清除某个指定特性的告警开关的相关配置。 设备已经支持的特性名称。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当使用命令snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]打开或关闭某个特性的告警开关,如果需要将该特性的所有告警开关的相关配置清除,可以使用本命令。

配置影响

  • 当打开或关闭全局告警开关时,执行clear configuration snmp-agent trap enable feature-name feature-name命令会清除feature-name指定特性的告警开关的相关配置,并且将该特性的告警开关恢复到和全局告警开关的状态一致。
  • 当全局告警开关处于缺省状态时,执行clear configuration snmp-agent trap enable feature-name feature-name命令会清除feature-name指定特性的告警开关的相关配置,并且将该特性的告警开关恢复到缺省状态。

使用实例

# 一键式清除SNMP特性告警开关的相关配置。

<HUAWEI> system-view
[~HUAWEI] clear configuration snmp-agent trap enable feature-name snmp

display snmp-agent

命令功能

display snmp-agent命令用来查看本地或远程SNMP实体引擎ID。

命令格式

display snmp-agent local-engineid

参数说明

参数 参数说明 取值
local-engineid 显示本地SNMP实体引擎ID信息。该参数由snmp-agent local-engineid命令定义。 -

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

在使能了SNMP Agent功能后,如果想查看本端SNMP实体引擎的ID,可以使用display snmp-agent local-engineid命令。

SNMP引擎ID是SNMP管理的唯一标识,它在一个管理域内唯一的标识一个SNMP实体。SNMP引擎ID是SNMP实体的重要组成部分,通过它可以完成SNMP消息的消息调度、消息处理、安全验证、访问控制等功能。

前置条件

必须先执行snmp-agent命令使能SNMP Agent功能,才能使用display snmp-agent local-engineid命令用来查看本地SNMP实体引擎ID。

注意事项

如果想更改本地SNMP实体的引擎ID,可以使用snmp-agent local-engineid命令进行设置。

使用实例

# 显示本地设备的引擎ID(SNMP Agent使能的情况下)。
<HUAWEI> display snmp-agent local-engineid
   SNMP local EngineID: 800007DB03360102101100

表18-1  display snmp-agent local-engineid命令输出信息描述

项目

描述

SNMP local EngineID

SNMP本地引擎ID。引擎ID可以通过snmp-agent local-engineid命令由管理员手工指定,也可以通过算法自动生成。

display snmp-agent community

命令功能

display snmp-agent community命令用来显示配置的团体名信息。

命令格式

display snmp-agent community [ read | write ]

参数说明

参数 参数说明 取值
read 显示只读访问权限的团体名的相关信息。该参数由snmp-agent community命令定义。 -
write 显示读写访问权限的团体名的相关信息。该参数由snmp-agent community命令定义。 -

视图

所有视图

缺省级别

3:管理级

使用指南

在对管理实体进行配置时,可以使用display snmp-agent community命令来显示当前代理上配置的团体名的相关信息。

如果不指定参数read或者write,则显示所有团体名的相关信息。

只有已经使用snmp-agent community命令配置了团体名,查看其信息才有意义。

使用实例

# 显示当前配置的团体名。
<HUAWEI> display snmp-agent community
   Community name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
       Group name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
       Acl: 2001
       Storage-type: nonVolatile
表18-2  display snmp-agent community命令输出信息描述

项目

描述

Community name

团体名

Group name

组名

Acl

团体名配置的ACL编号。该参数只有在snmp-agent community命令中配置了才会显示。

Storage type

存储方式。即指定在内存中如何存储行的标准方式。有如下存储方式:
  • volatile:把一个storage-type对象设置成这个值,意味着相应的行将存储在易失性存储器中,在设备重新启动之后将会丢失。
  • nonVolatile:把一个storage-type对象设置成这个值意味着相应的行将存储在非易失性存储器中(例如NVRAM)。如果设备重启,该行将会恢复。
  • permanent:将永久性的行存储在非易失性存储器(例如ROM)中。可以更改这一行,但是不能删除它。
  • readOnly:将readOnly的行存储在非易失性存储器(例如ROM)中。它既不能更改,也不能删除。
  • other:其它类型。
说明:
目前只支持nonVolatile。

display snmp-agent extend error-code status

命令功能

display snmp-agent extend error-code status命令用来查看设备向网管发送扩展错误码的功能是否使能。

命令格式

display snmp-agent extend error-code status

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

如果网管端没有收到设备发送的扩展错误码,可以通过执行命令display snmp-agent extend error-code status查看设备端的发送扩展错误码的功能是否处于使能状态。

使用实例

# 查看当前设备发送扩展错误码的功能是否使能。

<HUAWEI> display snmp-agent extend error-code status
Extend error-code status: enabled
表18-3  display snmp-agent extend error-code status输出信息描述

项目

描述

Extend error-code status

设备发送扩展错误码功能的状态:
  • enabled:设备发送扩展错误码的功能为使能状态。
  • disabled:设备发送扩展错误码的功能为去使能状态。

display snmp-agent group

命令功能

display snmp-agent group命令用来显示SNMP的组信息。

命令格式

display snmp-agent group [ group-name ]

参数说明

参数 参数说明 取值
group-name 显示SNMP的组名信息。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

在基于SNMPv3的组信息配置管理实体时,可以使用display snmp-agent group命令查询SNMP用户组信息。

如果不带参数将显示所有的组信息,包括组名、安全模式、存储方式等。

注意事项

只有已经使用snmp-agent group命令配置了一个SNMP组,即将SNMP用户映射到SNMP视图,使用display snmp-agent group命令查询代理的组信息才有意义。

使用实例

# 显示SNMP组名以及安全模式。
<HUAWEI> display snmp-agent group
   Group name: mygroup
       Security model: USM noAuthnoPriv
       Readview: ViewDefault
       Writeview: <no specified>
       Notifyview :<no specified>
       Storage-type: nonVolatile
       Acl:2000
表18-4  display snmp-agent group命令输出信息描述

项目

描述

Group name

SNMP组名。

Security model

组所用的安全模式。有如下取值:

  • USM noAuthnoPriv:不认证不加密

  • USM AuthnoPriv:认证不加密

  • USM AuthPriv:认证加密

Readview

该组对应的只读的MIB视图名。该参数可由命令snmp-agent group设置。

Writeview

该组对应的可读可写的MIB视图名。该参数可由命令snmp-agent group设置。

Notifyview

该组对应的通知的MIB视图名。该参数可由命令snmp-agent group设置。

Storage-type

存储方式。即指定在内存中如何存储行的标准方式。有如下取值:

  • volatile:把一个storage-type对象设置成这个值意味着相应的行将存储在易失性存储器中,在设备重新启动之后将会丢失。一个值为volatile的storage-type对象不能被修改为permanent或者readOnly。
  • nonVolatile:把一个storage-type对象设置成这个值意味着相应的行将存储在非易失性存储器中(例如NVRAM)。如果设备重启,该行将会恢复。如果一个storage-type对象的值为nonVolatile,则它不能被修改为permanent或者readonly。
  • permanent:将永久性的行存储在非易失性存储器(例如ROM)中。可以更改这一行,但是不能删除它。值为permanent的RowStatus对象不能更改。
  • readOnly:将readOnly的行存储在非易失性存储器(例如ROM)中,它既不能更改,也不能删除。值为readOnly的RowStatus对象不能更改。
  • other:其他类型。
说明:
目前只支持nonVolatile。

Acl

该组对应的访问控制列表号。

相关主题

display snmp-agent local-user

命令功能

display snmp-agent local-user命令用来查看SNMPv3本地用户信息。

命令格式

display snmp-agent local-user [ username user-name ]

参数说明

参数 参数说明 取值
username user-name

指定SNMPv3本地用户的用户名。

当不指定该参数时,显示所有的SNMP本地用户信息。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

通过执行本命令可以查看已经配置的SNMPv3本地用户信息,包括用户名称、本地引擎ID、认证协议、加密协议和用户状态信息。

使用实例

# 查看用户名为usersnmp的用户信息。

<HUAWEI> display snmp-agent local-user username usersnmp
   User name: usersnmp
       Engine ID: 800007DB03AC948400DF01
       Authentication Protocol: md5
       Privacy Protocol: aes256
       State: Active
表18-5  display snmp-agent local-user命令输出信息描述

项目

描述

User name

本地用户的用户名。

可以通过local-user password命令进行配置。

Engine ID

本地用户的引擎ID。

可以通过snmp-agent local-engineid命令进行配置。

Authentication Protocol

本地用户的认证协议。

可以通过local-user password命令进行配置。

Privacy Protocol

本地用户的加密协议。

可以通过local-user password命令进行配置。

State

本地用户的当前状态。

display snmp-agent inform

命令功能

display snmp-agent inform命令用来查看全局Inform参数和指定目标主机的Inform参数。

命令格式

display snmp-agent inform [ host-name host-name | address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name } ]

参数说明

参数 参数说明 取值
host-name host-name 指定SNMP目标主机名。 必须是已存在的SNMP目标主机名。
address udp-domain ip-address 指定SNMP消息传输的目标主机IP地址,且基于UDP协议进行传输。
说明:
address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识一个主机。
点分十进制形式。
vpn-instance vpn-instance-name 指定VPN实例名。
说明:
在VPN网络中使用display snmp-agent inform命令,需要vpn-instance指定的VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。
字符串形式,区分大小写,不支持空格,长度范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。不能以“_public_”作为VPN实例名称,作为保留使用。
params 指定产生SNMP消息的目标主机信息。 -
securityname security-name 指定在网管侧显示的用户安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher security-name

指定以明文或密文输入在网管侧显示的用户安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32、32、56或56~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、56或56~168时,系统默认为是密文输入,将判断该密文能否解析。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

使用display snmp-agent inform命令可以查看全局Inform方式发送告警的配置信息的显示,包括:
  • 全局配置的重传次数
  • 超时时间
  • Inform缓存内等待网管系统确认的最大Inform消息数
  • Inform缓存内等待网管系统确认的当前Inform消息数
或是显示指定目标主机的Inform配置信息和报文统计信息。包括:
  • 该目标主机配置的重传次数
  • Inform消息由缓存发往NMS后的超时时间,单位是秒
  • 已重传次数
  • 待确认的告警数
  • 已发送告警数目
  • dropped(由于待确认Inform缓存满而删除的报文数目)
  • failed(由于没有收到确认消息而删除的报文数目)
  • confirmed(收到目的主机响应的报文数目)

使用display snmp-agent inform命令时,如果不带参数将显示全局Inform方式发送告警的配置信息和所有主机的Inform配置信息和报文统计信息。

使用实例

# 显示配置的全局Inform参数。

<HUAWEI> display snmp-agent inform
Global config: resend-times 3, timeout 15s, pending 39
Global status: current notification count 0
Target-host ID: Host name/VPN instance/IP-Address/Security name
targetHost_1_36305/-/10.2.1.2/%#%#ZIs;~^"<tRx=D1M}P};>j,p_:u2j8Jn(j5A"U{RH%#%#:
    Config: resend-times 3, timeout 15s
    Status: retries 0, pending 0, sent 0, dropped 0, failed 0, confirmed 0
表18-6  display snmp-agent inform命令输出信息描述

参数

描述

Global config

全局参数信息。有如下取值:

  • resend-times:重传Inform消息的次数。
  • timeout:设置超时时间。
  • pending:在trap队列中Inform消息的最大个数。

全局inform参数可由命令snmp-agent inform配置。

Global status

全局报文统计信息。

Target-host ID

目的主机ID,包括VPN实例名、目的主机IP地址和安全名。

Config

主机的配置。有如下取值:

  • resend-times:重传Inform消息的次数。
  • timeout:设置超时时间。

主机inform参数可由命令snmp-agent inform address配置。

Status

由主机产生的Inform消息的统计信息。有如下取值:

  • retries:重传到目的主机的Inform消息的个数。
  • pending:Inform缓存内等待网管系统确认的最大Inform消息数。
  • sent:成功发送的Inform消息的个数。
  • dropped:因为Inform缓存满而被丢弃的Inform消息的个数。
  • failed:重传过程中没有被确认的Inform消息的个数。
  • confirmed:从目的主机返回的确认消息的个数。

display snmp-agent mib modules

命令功能

display snmp-agent mib modules命令用来查看被加载的MIB文件信息。

命令格式

display snmp-agent mib modules

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

当前MIB文件是可以动态加载和卸载,执行display snmp-agent mib modules来查看被加载的MIB文件信息。

前置条件

执行display snmp-agent mib modules前必须保证SNMP Agent功能已启用。

使用实例

# 显示当前系统加载的MIB文件信息。

<HUAWEI> display snmp-agent mib modules
BGP4-MIB:
    resource : allmibs_mib.bin
    mib      : bgp4-mib.mib
  ---- More ---- 
表18-7  display snmp-agent mib modules命令输出信息描述

项目

描述

BGP4-MIB

表示被加载的MIB module的名称。

resource

表示被加载的.bin文件名称。

mib

表示被加载的MIB文件名称。

display snmp-agent mib-view

命令功能

display snmp-agent mib-view命令用来显示当前配置的MIB视图。

命令格式

display snmp-agent mib-view [ exclude | include | viewname view-name ]

参数说明

参数 参数说明 取值
exclude 指定要排除显示且已设定的SNMP MIB视图属性。 -
include 指定要包含显示且已设定的SNMP MIB视图属性。 -
viewname view-name 指定要显示的视图名称。该参数可由命令snmp-agent mib-view创建。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

snmp-agent mib-view命令可以更新或创建视图。如果想了解当前缺省和配置的视图信息,可以执行display snmp-agent mib-view命令进行查看。

缺省情况下,系统使用默认视图ViewDefault。

注意事项

执行display snmp-agent mib-view前,需要先执行snmp-agent启动SNMP Agent,否则会提示出错。

使用实例

# 显示当前配置的MIB视图。

<HUAWEI> display snmp-agent mib-view
   View name: ViewDefault                                                       
       MIB Subtree: internet                                                    
       Subtree mask: F0(Hex)                                                    
       Storage type: nonVolatile                                                
       View Type: included                                                      
       View status: active                                                      
                                                                                
   View name: ViewDefault                                                       
       MIB Subtree: snmpCommunityMIB                                            
       Subtree mask: FE(Hex)                                                    
       Storage type: nonVolatile                                                
       View Type: excluded                                                      
       View status: active                                                      
                                                                                
   View name: ViewDefault                                                       
       MIB Subtree: snmpUsmMIB                                                  
       Subtree mask: FE(Hex)                                                    
       Storage type: nonVolatile                                                
       View Type: excluded                                                      
       View status: active                                                      
                                                                                
   View name: ViewDefault                                                       
       MIB Subtree: snmpVacmMIB                                                 
       Subtree mask: FE(Hex)                                                    
       Storage type: nonVolatile                                                
       View Type: excluded                                                      
       View status: active 
表18-8  display snmp-agent mib-view命令输出信息描述

项目

描述

View name

视图名。

MIB Subtree

MIB子树。

Subtree mask

子树掩码。

Storage type

存储方式。即指定在内存中如何存储行的标准方式。有如下可能的值:

  • volatile:把一个storage-type对象设置成这个值意味着相应的行将存储在易失性存储器中,在设备重新启动之后将会丢失。一个值为volatile的storage-type对象不能被修改为permanent或者readonly。
  • nonVolatile:把一个storage-type对象设置成这个值意味着相应的行将存储在非易失性存储器中(例如NVRAM)。如果设备重启,该行将会恢复。如果一个storage-type对象的值为nonVolatile,则它不可能被修改为permanent或者readonly。
  • permanent:将永久性的行存储在非易失性存储器(例如ROM)中。可以更改这一行,但是不能删除它。值为permanent的RowStatus对象不能更改。
  • readOnly:将readOnly的行存储在非易失性存储器(例如ROM)中,它既不能更改,也不能删除。值为readOnly的RowStatus对象不能更改。
  • other:其他类型。
说明:
目前只支持nonVolatile。

View Type

标志对一个MIB对象的访问是允许或者是禁止。该参数可由命令snmp-agent mib-view配置。

View status

用来指示MIB视图的状态。

display snmp-agent notification-log

命令功能

display snmp-agent notification-log命令用于查看告警日志缓冲区中告警日志的内容。

命令格式

display snmp-agent notification-log [ info | logtime starttime to endtime | size size ]

参数说明

参数 参数说明 取值
info 告警缓冲区的信息。包括告警日志缓冲区中全局告警日志的数目、丢弃的告警日志数目、告警日志的老化时间、告警日志条数的限制数目、当前的告警日志记录的总数目和告警日志记录的使能标志。 -
starttime 告警日志记录的起始时间。 格式为HH:MM:SS YYYY/MM/DD,HH:MM:SS表示时:分:秒。HH范围是0~23,MM和SS范围是0~59。YYYY/MM/DD表示年/月/日,YYYY范围是2000~2099,MM范围是1~12,DD范围是1~31。
endtime 告警日志记录的终止时间。 格式为HH:MM:SS YYYY/MM/DD,HH:MM:SS表示时:分:秒。HH范围是0~23,MM和SS范围是0~59。YYYY/MM/DD表示年/月/日,YYYY范围是2000~2099,MM范围是1~12,DD范围是1~31。
size size 需要显示的最近告警日志的指定条数。 整数形式,取值范围为1~15000。

视图

所有视图

缺省级别

3:管理级

使用指南

用户可以通过以下三种方式查看告警缓冲区中告警日志信息的内容。

  • 显示最近告警日志的指定条数。

  • 根据告警日志记录的时间来显示。

  • 默认情况下,显示所有记录的告警日志信息。

使用实例

# 显示告警日志信息。

<HUAWEI> display snmp-agent notification-log info
Notification log information :
Notification Admin Status: enable 
GlobalNotificationsLogged: 0
GlobalNotificationsBumped: 0
GlobalNotificationsLimit: 500
GlobalNotificationsAgeout: 24
Total number of notification log: 0
表18-9  display snmp-agent notification-log info命令输出信息描述

参数

描述

Notification Admin Status

告警日志使能状态。

GlobalNotificationsLogged

全局告警日志记录数目。

GlobalNotificationsBumped

全局告警日志记录丢弃条数。

GlobalNotificationsLimit

全局告警日志配置的限制条数。

GlobalNotificationsAgeout

全局告警日志配置的老化时间。

Total number of notification log

当前的告警日志记录的总条数。

display snmp-agent notify-filter-profile

命令功能

display snmp-agent notify-filter-profile命令用来查看当前被过滤告警的配置信息。

命令格式

display snmp-agent notify-filter-profile [ profile-name ]

参数说明

参数 参数说明 取值
profile-name 指定过滤视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3:管理级

使用指南

使用display snmp-agent notify-filter-profile命令查看配置的告警过滤视图情况。可以查看全部已配置的过滤视图,也可以指定视图名进行查看。

使用实例

# 配置显示当前配置的告警过滤视图
<HUAWEI> display snmp-agent notify-filter-profile
  Notify-filter name:snmpv2   
  Notify-filter Subtree:snmpV2   
  Notify-filter Subtree mask:F8(Hex)   
  Notify-filter Storage-type:nonVolatile   
  Notify-filter Type:included   
  Notify-filter status:active  
表18-10  display snmp-agent notify-filter-profile命令输出信息描述

项目

描述

Notify-filter name

告警过滤视图名。

Notify-filter Subtree

告警过滤子树。

Notify-filter Subtree mask

子树掩码。

Notify-filter Storage-type

存储方式。

Notify-filter Type

标志告警对象是否过滤。

Notify-filter status

用来指示表中行的状态。

display snmp-agent proxy community

命令功能

display snmp-agent proxy community命令用来查看SNMP Proxy团体名信息。

命令格式

display snmp-agent proxy community [ community-name | cipher cipher-name ]

参数说明

参数 参数说明 取值
community-name 指定SNMP Proxy团体名。该参数由snmp-agent proxy community命令定义。 -
cipher cipher-name 指定密文形式的SNMP Proxy团体名。该参数由snmp-agent proxy community命令定义。 -

视图

所有视图

缺省级别

3: 管理级

使用指南

执行命令snmp-agent proxy community配置SNMP Proxy团体名后,可通过本命令查看配置的SNMP Proxy团体名信息。

使用实例

# 查看SNMP Proxy的团体名信息。

<HUAWEI> display snmp-agent proxy community
   Proxy Community name : %@%@wL*(SyY(';*Pvk7I.,9+"QebS>`2A7O,gK8\3{7^0a%,Qee"-k-LV}k:3C1N)c;jvG>.en"Q%@%@
       Remote engine ID : 800007DB03360607111100 active
       Acl              : 2000
       Storage-type     : nonVolatile
表18-11  display snmp-agent proxy community命令输出信息描述

项目

描述

Proxy Community name

SNMP Proxy的团体名。可通过命令snmp-agent proxy community创建团体名。

Remote engine ID

监控设备的引擎ID。

active标识SNMP用户状态处于激活状态。

Acl

SNMP Proxy团体名对应的访问控制列表。

如果未执行命令snmp-agent proxy community配置团体名对应的访问控制列表,则该字段不显示。

Storage-type

团体名在内存中的存储类型。
说明:

目前,团体名在内存中的存储类型只支持nonVolatile。nonVolatile表示系统重启后,团体名不会丢失。

display snmp-agent proxy rule

命令功能

display snmp-agent proxy rule命令用来查看SNMP协议报文代理规则。

命令格式

display snmp-agent proxy rule [ rule-name ]

参数说明

参数 参数说明 取值
rule-name 指定代理规则名称的SNMP协议报文代理规则。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3: 管理级

使用指南

通过命令snmp-agent proxy rule配置SNMP协议报文代理规则后,可通过本命令查看配置的SNMP协议报文代理规则。

使用实例

# 查看配置的SNMP协议报文代理规则。

<HUAWEI> display snmp-agent proxy rule
    Proxy Rule name : proxy_rule_write                                           
       Type             : write                                                 
       Remote engine ID : 800007DB0338EBD9210010                                
       Host name        : proxy_host                                            
       Security name    : snmpv3                                                
       Version          : v3                                                    
       Level            : Privacy       
表18-12  display snmp-agent proxy rule命令输出信息描述

项目

描述

Proxy Rule name

SNMP协议报文代理规则名称。

Type

SNMP报文类型:
  • read:网管向设备发出的请求报文是GetRequest。
  • write:网管向设备发出的请求报文是SetRequest。
  • trap:设备主动向网管发送Trap告警报文。
  • inform:设备主动向网管发送Inform告警报文。

Remote engine ID

被管理设备的引擎ID。

Host name

目标主机名称。

Security name

安全用户名。

Version

SNMP协议版本号。

Level

安全用户名级别:
  • Authentication:对报文进行认证但不加密。
  • Privacy:对报文进行认证并且加密。
  • No authentication and privacy:对报文既不认证也不加密。

display snmp-agent proxy statistics

命令功能

display snmp-agent proxy statistics命令用来查看SNMP代理报文的统计信息。

命令格式

display snmp-agent proxy statistics

参数说明

视图

所有视图

缺省级别

3: 管理级

使用指南

执行本命令可获取SNMP代理报文的统计信息。通过对SNMP代理报文统计信息进行分析,能够得到NMS和设备间通信信息,为故障定位提供依据。

使用实例

# 查看SNMP代理报文的统计信息。

<HUAWEI> display snmp-agent proxy statistics
 2 Messages delivered to the SNMP proxy
 0 GetResponse-PDU accepted and processed
 3 Trap-PDU accepted and processed
 0 Inform-PDU accepted and processed
 8 GetRequest-PDU accepted and processed
 0 GetNextRequest-PDU accepted and processed
 0 GetBulkRequest-PDU accepted and processed
 0 SetRequest-PDU accepted and processed
 0 Proxy messages are dropped
表18-13  display snmp-agent proxy statistics命令输出信息描述

项目

描述

Messages delivered to the SNMP proxy

主设备收到的SNMP代理报文总数。

GetResponse-PDU accepted and processed

主设备收到和处理的Get响应报文总数。

Trap-PDU accepted and processed

主设备收到和处理的Trap告警报文总数。

Inform-PDU accepted and processed

主设备收到和处理的Inform告警报文总数。

GetRequest-PDU accepted and processed

主设备收到和处理的Get请求报文总数。

GetNextRequest-PDU accepted and processed

主设备收到和处理的GetNext请求报文总数。

GetBulkRequest-PDU accepted and processed

主设备收到和处理的GetBulk请求报文总数。

SetRequest-PDU accepted and processed

主设备收到和处理的Set请求报文总数。

Proxy messages are dropped

主设备丢弃的SNMP代理报文总数。

display snmp-agent proxy target-host

命令功能

display snmp-agent proxy target-host命令用来查看配置了SNMP Proxy设备的目的主机信息。

命令格式

display snmp-agent proxy target-host [ target-host-name ]

参数说明

参数 参数说明 取值
target-host-name 显示指定目的主机名的目的主机信息。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

3: 管理级

使用指南

执行命令snmp-agent proxy target-host后,可执行display snmp-agent proxy target-host命令查看设备配置的SNMP Proxy目的主机信息。

当前,系统最多支持保存20条目标主机信息,因此最多可显示20条目标主机信息。

使用实例

# 查看系统中配置的SNMP Proxy参数的主机信息。

<HUAWEI> display snmp-agent proxy target-host
Proxy target host NO. 1
-----------------------------------------------------------
  Host name        : proxy_host@NMS
  IP address       : 10.1.2.1
  Port             : 162
  Timeout          : 15
  Source interface : -
  VPN instance     : -
  Security name    : snmpv3
  Version          : v3
  Level            : Privacy
-----------------------------------------------------------
表18-14  display snmp-agent proxy target-host命令输出信息描述

项目

描述

Proxy target-host NO.

SNMP Proxy设备的目的主机索引编号。

Host-name

SNMP Proxy设备的目的主机名称。

IP-address

SNMP Proxy设备的目的主机IP地址。

Port

网管发送SNMP报文的UDP端口号。

Timeout

网管向SNMP Agent端回应Inform告警报文的超时时间。

Source interface

SNMP Proxy设备的目的主机源接口。

VPN instance

目的主机所在的VPN实例。

Security name

安全用户。

Version

SNMP协议版本号。

Level

安全用户级别:
  • Authentication:对报文进行认证但不加密。
  • Privacy:对报文进行认证并且加密。
  • No authentication and privacy:对报文既不认证也不加密。

display snmp-agent statistics

命令功能

display snmp-agent statistics命令用来查看SNMP的报文处理统计数据信息。

命令格式

display snmp-agent statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过display snmp-agent statistics命令对报文统计信息进行分析,能够查看到代理和网管间通信的相关信息,为故障定位提供依据。

在SNMP的管理体系中,NMS和SNMP Agent两侧进行如下报文交互:
  • 网管端工作站上的NMS作为管理者,向Agent发送SNMP请求报文。
  • Agent通过查询设备端的MIB得到所要查询的信息,向NMS发送SNMP响应报文。
  • 设备端的模块由于达到模块定义的告警触发条件,通过Agent向网管端工作站的NMS发送Trap消息,告知设备侧出现的情况,这样便于网络管理人员及时对网络中出现的情况进行处理。
说明:

在短时间内有大批量报文到达的时候,会占用较多CPU。这是由网管请求报文的发送频率决定的。

使用实例

# 查看SNMP通信的统计数据信息。

<HUAWEI> display snmp-agent statistics
 3158 Messages delivered to the SNMP entity
 0 Messages which were for an unsupported version
 0 Messages which used an SNMP community name not known
 0 Messages which represented an illegal operation for the community supplied
 0 ASN.1 or BER errors in the process of decoding
 3152 Messages passed from the SNMP entity
 0 SNMP PDUs which had badValue error status
 0 SNMP PDUs which had genErr error status
 0 SNMP PDUs which had noSuchName error status
 0 SNMP PDUs which had tooBig error status
 3135 MIB objects retrieved successfully
 0 MIB objects altered successfully
 0 GetRequest PDU accepted and processed
 3158 GetNextRequest PDU accepted and processed
 0 GetBulkRequest PDU accepted and processed
 3152 GetResponse PDU sent
 0 SetRequest PDU accepted and processed
 0 Trap PDU sent
 0 Inform PDU sent
 0 Inform PDU received with no acknowledgement
 0 Inform PDU received with acknowledgement
表18-15  display snmp-agent statistics命令输出信息描述

项目

描述

Messages delivered to the SNMP entity

输入的SNMP报文的总数。

Messages which were for an unsupported version

版本信息错误的报文数目。

Messages which used an SNMP community name not known

团体名未知的报文数目。

Messages which represented an illegal operation for the community supplied

团体名对应的权限错误的报文数目。

ASN.1 or BER errors in the process of decoding

编码错误的SNMP报文数目。

Messages passed from the SNMP entity

输出的SNMP报文的总数。

SNMP PDUs which had a badValue error-status

Bad_values错误的SNMP报文的数目。Bad_values错误指向Agent发送的set-request报文值错误。

SNMP PDUs which had a genErr error-status

General_errors错误的SNMP报文的数目。Gerneral_errors错误指未知错误。

SNMP PDUs which had a noSuchName error-status

对不存在的MIB对象进行请求的报文数目。

SNMP PDUs which had a tooBig error-status

Too_big错误的SNMP报文数目。Too_big错误指接收的get-response报文大于本地设备能够处理的长度。

MIB objects retrieved successfully

NMS请求的变量的数目。

MIB objects altered successfully

NMS设置的变量的数目。

GetRequest-PDU accepted and processed

收到的Get请求的报文数目。

GetNextRequest-PDU accepted and processed

收到的GetNext请求的报文数目。

GetBulkRequest-PDU accepted and processed

收到的GetBulk请求的报文数目。

GetResponse-PDU sent

收到的Get响应的报文数目。

SetRequest-PDU accepted and processed

收到的Set请求的报文数目。

Trap-PDU sent

发送的Trap报文的数目。

Inform-PDU sent

发送inform报文的数目。

Inform-PDU received with no acknowledgement

未得到确认的Inform报文的数目。

Inform-PDU received with acknowledgement

得到确认的Inform报文的数目。

display snmp-agent sys-info

命令功能

display snmp-agent sys-info命令用来显示当前系统中运行的SNMP的相关信息,包括系统维护联系信息、设备节点的物理位置和SNMP版本号等。

命令格式

display snmp-agent sys-info [ contact | location | version ] *

参数说明

参数 参数说明 取值
contact 显示当前设备系统维护联系信息。 -
location 显示当前设备节点的物理位置信息。 -
version 显示当前系统中运行的SNMP版本号。 -

视图

所有视图

缺省级别

3:管理级

使用指南

使用display snmp-agent sys-info命令用来显示当前设备的系统维护信息,包括:
  • 当前设备系统维护联系信息。
  • 当前设备的物理位置。
  • SNMP使能的版本信息。

如果不指定参数,则显示所有的信息。

display snmp-agent sys-info显示信息可以通过命令snmp-agent sys-info进行配置。

使用实例

# 显示当前系统SNMP的相关信息。

<HUAWEI> display snmp-agent sys-info
  The contact person for this managed node:
           R&D Beijing, Huawei Technologies co.,Ltd.
   The physical location of this node:
           Beijing China
   SNMP version running in the system:
           SNMPv2c

# 显示当前系统SNMP版本信息。

<HUAWEI> display snmp-agent sys-info version
   SNMP version running in the system:
           SNMPv2c

# 显示当前设备系统维护联系信息。

<HUAWEI> display snmp-agent sys-info contact
  The contact person for this managed node:
           R&D Beijing, Huawei Technologies co.,Ltd.

# 显示当前设备节点的物理位置。

<HUAWEI> display snmp-agent sys-info location
  The physical location of this node:
           Beijing China
表18-16  display snmp-agent sys-info命令输出信息描述

项目

描述

The contact person for this managed node: 内容为被管理设备系统维护联系信息。可以通过此参数,将重要信息存储在交换机中,以便出现紧急问题时查询。
The physical location of this node: 表示被管理设备的位置。

SNMP version running in the system:

SNMP的版本信息。取值可以为:
  • SNMPv1
  • SNMPv2c
  • SNMPv3

display snmp-agent target-host

命令功能

display snmp-agent target-host命令用于显示所有目标主机的信息。包括目标主机的IP地址、所在VPN实例的名字、告警的发送方式、告警发送使用的安全名字符串、协议版本以及安全级别。

命令格式

display snmp-agent target-host

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

可以使用该命令查看当前所有告警主机的配置信息。系统现在最多支持保存20条目标主机信息,因此最多可显示20个目标主机信息。

使用实例

# 显示系统中所有告警主机的配置信息。

<HUAWEI> display snmp-agent target-host
Target host NO. 1
---------------------------------------------------------------------------
  Host name                        : NMS2
  IP address                       : 10.1.1.2
  Source interface                 : -
  VPN instance                     : -
  Security name                    : %^%#.&h-$,1jCK-Vsk)}iAO'4oHASwPgq<2i^,6m7~IB%^%#
  Port                             : 162
  Type                             : trap
  Version                          : v1
  Level                            : No authentication and privacy
  NMS type                         : NMS
  With ext vb                      : No
  Notification filter profile name : -
  Heart beat required              : No    
---------------------------------------------------------------------------
表18-17  display snmp-agent target-host命令输出信息描述

项目

描述

Target-host NO

目标主机的索引。

Host-name

目标主机名。

IP-address

告警主机的IP地址。

Source interface

目标主机的源IP地址。

VPN instance

VPN实例名。

Security name

安全用户名。

Port

发送请求的UDP端口号。缺省情况下,端口号是162。

Type

请求类型:
  • Trap:Trap告警方式。
  • Inform:Inform告警方式。

Version

SNMP协议版本号。可以是v1、v2c或者v3。

Level

安全用户名级别。可以有以下级别:
  • Authentication:对报文进行认证但不加密。
  • Privacy:对报文进行认证并且加密。
  • No authentication and privacy:对报文既不认证也不加密。

NMS type

目标网管的类型。支持如下类型:
  • NMS:网管系统。可以是华为的网管系统也可以是其他厂商的网管系统。
  • HW NMS:华为网管系统。当配置接收Trap的网管系统是华为网管系统时,Trap报文中可以包括更加丰富的信息。

With ext-vb

向目标主机发送的Trap报文中是否携带扩展的私有VB。可以有如下取值:
  • No:不携带。
  • Yes:携带。

Notification filter profile name

告警过滤规则名。

display snmp-agent trap all

命令功能

display snmp-agent trap all命令查看所有特性下所有trap开关当前的状态和缺省状态。

命令格式

display snmp-agent trap all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用该命令可查看所有特性下所有trap开关当前的状态和缺省状态,用户可使用命令snmp-agent trap enablesnmp-agent trap enable feature-namesnmp-agent trap disable来对其进行配置。

使用实例

# 查看trap开关的缺省情况。

<HUAWEI> display snmp-agent trap all 
-------------------------------------------------------------------------------  
Feature name: AAA                                                               
Trap number : 2                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwAdminLoginFailed             on                      on                       
hwAdminLoginFailedClear        on                      on                       
------------------------------------------------------------------------------  
Feature name: LCS                                                               
Trap number : 6                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwGtlDefaultValue              on                      on                       
hwGtlDefaultValueCleared       on                      on                       
hwGtlItemMismatch              on                      on                       
hwGtlItemMismatchCleared       on                      on                       
hwGtlNearDeadline              on                      on                       
hwGtlNearDeadlineCleared       on                      on                       
------------------------------------------------------------------------------  
  ---- More ---- 
表18-18  display snmp-agent trap all命令输出信息描述

项目

描述

Feature name

模块名。

Trap number

对应模块trap的个数。

Trap name

trap名称。

Current switch status

trap开关的当前状态。

该状态可通过命令snmp-agent trap enable feature-name配置。

Default switch status

trap开关的缺省状态。

display snmp-agent trap feature-name all

命令功能

display snmp-agent trap feature-name all命令用来显示指定特性下向网管发送告警的使能情况。

命令格式

display snmp-agent trap feature-name feature-name all

参数说明

参数 参数说明 取值
feature-name 产生告警的特性名称。 -

视图

所有视图

缺省级别

3:管理级

使用指南

在使能了向网管发送告警的功能后,执行命令display snmp-agent trap feature-name all可以查看到在指定特性下所有告警的使能情况。用户可使用命令snmp-agent trap enable feature-name来使能指定特性的向网管发送告警功能。

使用实例

# 显示RMON特性下所有告警的使能情况。
<HUAWEI> display snmp-agent trap feature-name rmon all
------------------------------------------------------------------------------  
Feature name: RMON                                                              
Trap number : 2                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
fallingAlarm                   on                      on                       
risingAlarm                    on                      on    
表18-19  display snmp-agent trap feature-name all命令输出信息描述

项目

描述

Feature name

产生告警的特性名称。

Trap number

该特性下包含的告警数量。

Trap name

告警名称。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

该状态可通过命令snmp-agent trap enable feature-name配置。

display snmp-agent trap feature-name snmp all

命令功能

display snmp-agent trap feature-name snmp all命令用来查看SNMP的所有告警开关的状态信息。

命令格式

display snmp-agent trap feature-name snmp all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用命令display snmp-agent trap feature-name snmp all用来查看SNMP的所有告警开关的状态信息,该状态可通过命令snmp-agent trap enable feature-name snmp配置。

使用实例

# 显示SNMP的所有告警的状态信息。

<HUAWEI>display snmp-agent trap feature-name snmp all
------------------------------------------------------------------------------
Feature name: SNMP
Trap number : 4
------------------------------------------------------------------------------
Trap name                      Default switch status   Current switch status    
authenticationFailure          off                     off
coldStart                      on                      on
hwNmsHeartBeat                 off                     on
hwNmsPingTrap                  off                     off
warmStart                      on                      on
表18-20  display snmp-agent trap feature-name snmp all命令输出信息描述

项目

描述

Feature name

标识告警所属的模块名称。

Trap number

标识告警的数量。

Trap name

标识告警的名称,故障管理模块的告警包括:
  • 认证失败告警(authenticationFailure):当使用错误的团体名连接设备而导致连接失败时,会产生此告警。
  • 冷启动告警(coldStart):设备断电重启时,会产生此告警。
  • 心跳测试告警(hwNmsHeartBeat):当成功发送心跳报文时,会产生此告警。
  • 测试成功告警(hwNmsPingTrap):当测试与NMS连接成功时,会产生此告警。
  • 热启动告警(warmStart):设备上的SNMP agent状态从未使能到使能时的操作时,会产生此告警。

Default switch status

标识默认告警的状态:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

标识当前告警标识符:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

该状态可通过命令snmp-agent trap enable feature-name snmp配置。

display snmp-agent usm-user

命令功能

display snmp-agent usm-user命令用来显示SNMPv3用户信息。

命令格式

display snmp-agent usm-user [ engineid engineid | group group-name | username user-name ] *

参数说明

参数 参数说明 取值
engineid engineid

显示指定引擎ID的SNMPv3的用户信息。

该参数由snmp-agent local-engineid定义。

-
group group-name

显示属于指定组的SNMPv3用户信息。

该参数由snmp-agent group定义。

-
username user-name

显示指定SNMPv3用户的信息。

该参数由snmp-agent usm-user定义。

-

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

执行display snmp-agent usm-user命令查看SNMP用户信息。这里所说的SNMPv3用户是指执行SNMPv3管理操作的远端用户。

可以查询到信息包括:
  • 用户名称。
  • 用户本地引擎ID。SNMPv3引擎ID是SNMPv3管理的唯一标识,它在一个管理域内唯一的标识一个SNMPv3实体。SNMPv3引擎ID是SNMPv3实体的重要组成部分,完成SNMPv3消息的消息调度、消息处理、安全验证、访问控制等功能。

注意事项

display snmp-agent usm-user命令只能显示SNMPv3用户信息。

使用实例

# 显示当前所有的用户信息。

<HUAWEI> display snmp-agent usm-user
   User name: myuser
       Engine ID: 800007DB03360102101100 active
       Authentication Protocol: sha
       Privacy Protocol: aes256
       Group name: mygroup
       State: Active   
表18-21  display snmp-agent usm-user命令输出信息描述

项目

描述

User name

标识SNMPv3用户的字符串。

Engine ID

标识SNMPv3设备的引擎ID。该参数可由命令snmp-agent local-engineid定义。

active

用来指示SNMPv3用户的状态。

Authentication Protocol

认证方式。

Privacy Protocol

加密方式。

Group name

SNMPv3组名。

State

SNMPv3用户目前的状态,有两种类型:
  • active:激活状态。
  • inactive:未激活状态。

display snmp-agent vacmgroup

命令功能

display snmp-agent vacmgroup命令用来查看VACM(View-based Access Control Model)组的配置信息。

命令格式

display snmp-agent vacmgroup

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

应用环境

为不同的组配置USM(User-based Security Model)用户后,可以使用该命令查看用户组的信息。

注意事项

只有当执行命令snmp-agent group v3snmp-agent usm-user v3分别配置了用户组和用户后,才能执行display snmp-agent vacmgroup命令查看VACM组的信息。

使用实例

# 查看VACM组信息。

<HUAWEI> display snmp-agent vacmgroup
--------------------------------------------------                              
Security name  : u1                                                             
Group name     : g1                                                             
Security model : USM                                                            
                                                                                
Security name  : rmuser                                                         
Group name     : rmgroup                                                        
Security model : USM                                                            
--------------------------------------------------   
表18-22  display snmp-agent vacmgroup输出信息描述

项目

描述

Security name

表示VACM组的安全名。

Group name

表示VACM组的名称。

Security model

表示VACM组的安全模型。

enable snmp trap updown

命令功能

enable snmp trap updown用来使能此接口协议状态变化时向网管端发送Trap。

undo enable snmp trap updown用来去使能此协议接口状态变化时向网管端发送Trap。

缺省情况下,接口协议状态变化时会向网管端发送Trap。

命令格式

enable snmp trap updown

undo enable snmp trap updown

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

执行enable snmp trap updown使能接口协议状态变化时主动向网管端发送Trap功能,可以方便网管实时监控接口状态。

注意事项

默认情况下接口协议状态变化自动向网管设备发送Trap功能是使能的,当接口处于振荡状态时将频繁向网管发送Trap信息,会显著增加网管设备的处理负担。此时可使用undo enable snmp trap updown,关闭接口协议状态变化发送Trap的功能。

使用实例

# 关闭接口协议状态变化发送Trap的功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo enable snmp trap updown

snmp-agent

命令功能

snmp-agent命令用来使能SNMP Agent。

undo snmp-agent命令用来去使能SNMP Agent。

缺省情况下,未使能SNMP Agent功能。

命令格式

snmp-agent

undo snmp-agent

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在进行SNMP配置之前,需要先使能SNMP Agent。

配置携带任意参数的snmp-agent命令也可以启动SNMP Agent,比如配置snmp-agent community命令,在创建团体名的同时也会使能SNMP Agent。

注意事项

通过undo snmp-agent命令是关闭SNMP Agent功能,并不能删除SNMP的配置,当重新执行命令snmp-agent后,原来的SNMP配置依旧存在。如果用户需要永久的删除某个SNMP配置,只能通过对应的undo命令删除。

使用实例

# 使能SNMP Agent。

<HUAWEI> system-view
[~HUAWEI] snmp-agent

# 关闭正在运行的SNMP Agent。

<HUAWEI> system-view
[~HUAWEI] undo snmp-agent

snmp-agent acl

命令功能

snmp-agent acl命令用于配置SNMP的访问控制列表。

undo snmp-agent acl命令用于取消SNMP的访问控制列表配置。

缺省情况下,SNMP没有配置访问控制列表。

命令格式

snmp-agent acl { acl-number | acl-name }

undo snmp-agent acl

参数说明

参数 参数说明 取值
acl-number 指定访问控制列表编号。

整数形式,取值范围是2000~3999。

acl-name 指定访问控制列表名称。 字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

3:管理级

使用指南

使用场景

使用此命令可以只允许访问列表中的SNMP用户进行访问,从而提高安全性。

说明:
先配置snmp-agent acl,再配置SNMP团体名、SNMP组或SNMP用户时指定对应的访问控制列表。

配置影响

snmp-agent acl命令配置在IPv4和IPv6网络中同时生效。

使用实例

# 配置SNMP的访问控制列表2000。

<HUAWEI> system-view
[~HUAWEI] snmp-agent acl 2000

snmp-agent activate usm-user

命令功能

snmp-agent activate usm-user命令用来重新激活被锁定的用户。

缺省情况下,新创建的用户处于激活状态。

命令格式

snmp-agent activate usm-user user-name [ remote-engineid remote-engineid ]

参数说明

参数 参数说明 取值
user-name

指定用户名。

设备上已经存在的用户名。

remote-engineid remote-engineid

指定将SNMP代理规则和被管理设备的引擎ID绑定。

十六进制数,长度范围是10~64,全零或者全F为无效值。

视图

用户视图

缺省级别

3:管理级

使用指南

为了防止恶意用户攻击,破解其他用户密码,可以通过执行snmp-agent blacklist user-block failed-times命令配置用户的最大认证失败次数。如果用户连续认证失败次数超过设置值,则此用户将被锁定,列入黑名单,无法继续认证。当需要将锁定用户重新激活时,可以通过执行snmp-agent activate usm-user命令。

使用实例

# 将锁定的用户John激活。

<HUAWEI> snmp-agent activate usm-user John

snmp-agent blacklist ip-block disable

命令功能

snmp-agent blacklist ip-block disable命令用来去使能IP地址黑名单功能。

undo snmp-agent blacklist ip-block disable命令用来使能IP地址黑名单功能。

缺省情况下,IP地址黑名单功能已经使能。

命令格式

snmp-agent blacklist ip-block disable

undo snmp-agent blacklist ip-block disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

当SNMP用户连接设备失败时,则该用户使用的团体名或者用户名对应的IP地址将被记录到设备SNMP黑名单中锁定。在锁定时间内,该IP地址的用户无法和设备建立连接。

IP地址进入黑名单期间,如果第一次连接失败,则系统会将此IP地址锁定8秒,连续连接失败后依次锁定16秒、32秒。锁定时间达到32秒后,如果此IP地址再次连接失败,则直接进入5分钟锁定时间。锁定时间到达后,锁定自动解除。

使用实例

# 去使能IP地址黑名单功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent blacklist ip-block disable

snmp-agent blacklist user-block disable

命令功能

snmp-agent blacklist user-block disable命令用来去使能SNMPv3用户黑名单功能。

undo snmp-agent blacklist user-block disable命令用来使能SNMPv3用户黑名单功能。

缺省情况下,SNMPv3用户黑名单功能已经使能。

命令格式

snmp-agent blacklist user-block disable

undo snmp-agent blacklist user-block disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户在使用SNMPv3协议和设备建立连接时,如果指定时间内用户连续认证失败次数超过指定次数,那么该用户会被SNMP加入黑名单进行锁定,在锁定时间内不能认证。通过这种方式,可以有效的防止网络非法用户恶意攻击。

注意事项

缺省情况下,用户在5分钟内连续认证失败5次后,系统将锁定用户,锁定时间为5分钟。

此命令不影响已经建立了在线服务的SNMPv3用户。

该命令对SNMPv3的AAA本地用户不生效。

使用实例

# 去使能SNMPv3用户黑名单功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent blacklist user-block disable

snmp-agent blacklist user-block failed-times

命令功能

snmp-agent blacklist user-block failed-times命令用来配置SNMPv3用户连续认证失败次数和周期。

undo snmp-agent blacklist user-block failed-times命令用来恢复连续认证失败次数和周期的缺省值。

缺省情况下,用户在5分钟内连续认证失败5次后,系统将锁定该用户。

命令格式

snmp-agent blacklist user-block failed-times failed-times period period-time

undo snmp-agent blacklist user-block failed-times

参数说明

参数 参数说明 取值
failed-times

指定连续认证失败的次数。

整数形式,取值范围是0~10。缺省值为5。

说明:

如果设置为0,表示对用户连续认证失败次数无限制。

period period-time

指定连续认证失败的周期。

整数形式,取值范围是1~120,单位为分钟。缺省值为5。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当网络环境不安全,可以通过snmp-agent blacklist user-block failed-times命令减小连续认证次数增加认证周期有效预防非法用户的攻击。当非法用户在指定周期内连续认证次数达到指定值,该非法用户将被加入SNMP黑名单进行锁定,锁定时间内不能进行认证。

后续任务

如果用户由于误操作导致SNMPv3用户被锁定,可以通过snmp-agent activate usm-user命令激活该SNMPv3用户。

使用实例

# 配置SNMPv3用户4分钟内连续认证失败3次时锁定用户。

<HUAWEI> system-view
[~HUAWEI] snmp-agent blacklist user-block failed-times 3 period 4

snmp-agent blacklist user-block reactive

命令功能

snmp-agent blacklist user-block reactive命令用来配置SNMPv3用户被加入黑名单后的锁定时间。

undo snmp-agent blacklist user-block reactive命令用来恢复锁定时间为缺省值。

缺省情况下,SNMPv3用户被加入黑名单后的锁定时间为5分钟。

命令格式

snmp-agent blacklist user-block reactive reactive-time

undo snmp-agent blacklist user-block reactive

参数说明

参数 参数说明 取值
reactive-time 指定SNMPv3用户锁定时间。 整数形式,取值范围为0~1000,单位为分钟。

视图

系统视图

缺省级别

3:管理级

使用指南

如果用户在指定周期内连续认证失败次数超过指定值,则SNMP将此用户加入黑名单进行锁定,锁定时间内无法继续认证。超过锁定时间后,用户可以继续进行认证。本命令用来配置此锁定时间。

使用实例

# 配置SNMPv3用户被加入黑名单后的锁定时间为12分钟。

<HUAWEI> system-view
[~HUAWEI] snmp-agent blacklist user-block reactive 12

snmp-agent community

命令功能

snmp-agent community命令用来配置SNMPv1、SNMPv2c的读写团体名。

undo snmp-agent community命令用来删除团体名配置。

缺省情况下,系统中没有配置团体名。

命令格式

snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } | alias alias-name ] *

undo snmp-agent community community-name

undo snmp-agent community { read | write } { community-name | cipher community-name }

参数说明

参数 参数说明 取值
read

指定该团体名在指定MIB视图内有只读权限。

-

write

指定该团体名在指定MIB视图内有读写权限。

-

community-name

指定团体名字符串,查看配置文件时将以密文方式显示。

字符串形式,区分大小写,不支持空格,长度范围是8~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

缺省情况下,对配置的团体字进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent community complexity-check disable命令关闭团体名复杂度检查功能。
说明:

设备对团体名复杂度的要求如下:

  • 最小长度为8个字符。

  • 至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。

当使用命令snmp-agent community complexity-check disable关闭团体名复杂度检查功能后,community-name的长度范围为1~32。

cipher community-name

指定以明文或密文输入的团体名字符串。

字符串形式,区分大小写,不支持空格,长度范围是8~32或32、44、56、80、88、88~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在8至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、44、56、80、88或88~168时,系统默认为是密文输入,将判断该密文能否解析。
缺省情况下,对配置的团体字进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent community complexity-check disable命令关闭团体名复杂度检查功能。
说明:

设备对团体名复杂度的要求如下:

  • 最小长度为8个字符。

  • 至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。

当使用命令snmp-agent community complexity-check disable关闭团体名复杂度检查功能后,cipher community-name的长度范围为1~32或32、44、56、80、88或88~168。

mib-view view-name

指定团体名可以访问的MIB视图名。

设备上已经存在的MIB视图名。缺省情况下,团体名可以访问的MIB视图名为ViewDefault。

view-name参数由snmp-agent mib-view命令创建。

acl { acl-number | acl-name }
指定团体名对应的访问控制列表。其中:
  • acl-number表示基本访问控制列表号。
  • acl-name表示指定基本访问控制列表的名字。
  • acl-number:整数形式,取值范围是2000~2999。
  • acl-name字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。
alias alias-name

指定团体名的别名。

团体名的别名以明文方式保存在配置文件中。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在使用snmp-agent community时,用户可按照实际组网需求选取参数:
  • 希望网管在指定视图下具有只读权限时,使用read参数。

  • 希望网管在指定视图下具有读写权限时,使用write参数。

  • 如果希望使用该团体名的某些网管,都能拥有视图ViewDefault的权限,参数mib-view view-name可以省略。

  • 如果需要使用该团体名的所有网管,能够管理设备上的某些节点,参数acl { acl-number | acl-name }可以省略。

  • 如果需要使用该团体名的某些网管,能够管理设备上的某些节点,mib-viewacl都需要配置。
  • 团体名配置成功后将以密文形式保存在配置文件中。当需要对团体名进行标识时,可以使用alias alias-name参数配置团体名的别名,团体名的别名以明文方式保存在配置文件中。
说明:

当团体名和ACL同时配置时,网管对设备进行访问前先检查团体名,然后再检查ACL。如果团体名不存在,那么报文就会直接抛弃,打印出团体名错误的日志,不进行ACL校验。只有团体名存在才会触发ACL校验。

执行命令display snmp-agent community可以查看当前的团体名。

注意事项

如果用户将同一团体名配置为不同的权限(readwrite),那么后配置的生效。

在使用snmp-agent community时,如果选择参数mib-viewacl,请配置相应的MIB视图和ACL规则。

使用实例

# 设置团体名为comaccess1,并且允许使用该团体名进行只读访问。

<HUAWEI> system-view
[~HUAWEI] snmp-agent community read comaccess1

# 设置团体名为comaccess2,并且允许使用该团体名进行读写访问。

<HUAWEI> system-view
[~HUAWEI] snmp-agent community write comaccess2

snmp-agent community complexity-check disable

命令功能

snmp-agent community complexity-check disable命令用来关闭团体名密码复杂度检查功能。

undo snmp-agent community complexity-check disable命令用来打开团体名密码复杂度检查功能。

缺省情况下,使能团体名密码复杂度检查功能。

命令格式

snmp-agent community complexity-check disable

undo snmp-agent community complexity-check disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

设备对团体名密码复杂度的要求如下:

  • 最小密码长度为8个字符。

  • 密码至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号和空格)。

为了保证SNMP团体名的安全性,建议使能团体名复杂度检查功能。此时配置团体名时,会对配置的团体名进行复杂度检查,如果检查不通过,则配置不成功。如果不需要进行此检查,可以关闭此开关,但存在安全风险。

不开启团体名复杂度检查功能,配置团体名时将不再进行复杂度检查。如果配置的团体名比较简单,不满足复杂度的要求,就比较容易受到非法用户的攻击和破解,影响设备的安全性。因此建议使能团体名复杂度检查功能。

使用实例

# 关闭团体名复杂度检查。

<HUAWEI> system-view
[~HUAWEI] snmp-agent community complexity-check disable

snmp-agent extend error-code enable

命令功能

snmp-agent extend error-code enable命令用来使能设备向网管发送扩展错误码的功能。

undo snmp-agent extend error-code enable命令用于去使能设备向网管发送扩展错误码的功能。

缺省情况下,设备向网管发送扩展错误码的功能处于去使能状态。

命令格式

snmp-agent extend error-code enable

undo snmp-agent extend error-code enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

当网管和被管理设备是华为设备时,通过使能设备向网管发送扩展错误码的功能后,可以扩展标准错误码,扩展更多的错误场景,方便用户能够更加准确和快速的定位和排除故障。

MIB对扩展错误码的支持:

  • 对于支持扩展错误码的MIB,可以通过使能设备向网管发送扩展错误码的功能并且在使用华为公司的网管情况下,网管端可以得到更加丰富的错误码。
  • 对于不支持扩展错误码的MIB在使能扩展错误码功能后,无论是华为公司的网管还是其他厂商的网管都只能得到标准的错误码。

使用实例

# 在设备上使能向网管发送扩展错误码的功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent extend error-code enable

snmp-agent group

命令功能

snmp-agent group命令用来创建一个新的SNMP组(即将SNMP用户映射到SNMP视图),并对该SNMP组进行配置。

undo snmp-agent group命令用来删除一个指定的SNMP组。

缺省情况下,系统中没有配置SNMP组。

命令格式

snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ] * [ acl { acl-number | acl-name } ]

undo snmp-agent group v3 group-name { authentication | privacy | noauthentication }

参数说明

参数 参数说明 取值
v3 SNMP组使用SNMPv3的安全模式。 -
group-name 指定SNMP组名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

authentication | privacy | noauthentication
指定SNMP组的安全级别。其中:
  • authentication:指定对报文进行认证但不加密。
  • privacy:指定对报文进行认证和加密。
  • noauthentication:不认证不加密。
为了保证安全性,建议配置SNMP组的安全级别为privacy
read-view read-view

指定只读视图名,网管在该视图下只有只读权限。

设备上已经存在的MIB视图名。缺省情况下,指定SNMP组的只读视图名为ViewDefault。

read-view参数由snmp-agent mib-view命令创建。

write-view write-view

指定读写视图名,网管在该视图下具有读写权限。

设备上已经存在的MIB视图名。缺省情况下,没有指定SNMP组的读写视图名。

write-view参数由snmp-agent mib-view命令创建。

notify-view notify-view

指定通知视图名,设备产生的告警中匹配该视图中的MIB节点的告警才能发送到该用户的网管。

设备上已经存在的MIB视图名。缺省情况下,没有指定SNMP组的通知视图名。

notify-view参数由snmp-agent mib-view命令创建。

acl { acl-number | acl-name }
指定访问控制列表。其中:
  • acl-number表示访问控制列表号。
  • acl-name表示指定命名型访问控制列表的名字。
  • acl-number:整数形式,取值范围是2000~2999。
  • acl-name:必须是已存在的acl-name。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

SNMPv1/v2c在安全性方面存在重要的缺陷。SNMPv1/v2c采用基于团体名的有限的安全认证机制,团体名明文传输。不推荐在非完全信任的网络使用SNMPv1/SNMPv2c。

SNMPv3改进了SNMPv1/v2c中的安全方面的缺陷,在基于用户的安全模型(User-Based Security Model)中,主要提供了认证和加密两种服务。SNMP用户组通过SNMP组名和安全级别共同确定一个SNMP用户组。SNMPv3定义了3个安全级别:

  • 无认证无加密(noAuthNoPriv)
  • 有认证无加密(authNoPriv)
  • 有认证有加密(authPriv)
说明:
不存在无认证有加密这种组合,因为加密时所使用的密码是与用户相关联的,有用户就要对用户的身份进行认证。

snmp-agent group命令可以用来:

  • 认证
  • 加密
  • 对SNMP组用户进行访问控制
  • 将SNMP组和MIB视图进行绑定
参数选取原则:
  • 为了加强安全性,用户可以选择配置authenticationprivacy参数。
    • 配置noauthentication参数:不认证不加密。适用于网络环境安全,且管理员比较固定的情况下。

    • 配置authentication参数:只认证不加密。适用于网络环境安全,但管理员比较多,管理员对设备交叉操作比较频繁的情况下。通过认证可以限制拥有权限的管理员才可以访问该设备。

    • 配置privacy参数:既认证又加密。适用于网络环境不太安全,管理员交叉操作多的情况下。通过认证和加密既可以限制特定的管理员访问设备,并且使网络数据以加密形式发送,避免网络数据被窃取,造成关键数据泄露。

  • 如果希望网管在指定视图下具有只读权限时,使用read-view参数。希望网管在指定视图下具有读写权限时,使用write-view参数。

    用户希望筛选部分重要告警,过滤掉无关告警时,选择配置notify-view参数,限制被管理设备向网管发送告警的MIB节点。配置该参数后,设备产生的告警中匹配notify-view指定的MIB节点的告警才能发送到该用户的网管。

    缺省情况下,SNMP组的只读视图为ViewDefault,没有指定SNMP组的读写视图名和通知视图名。

  • 如果需要使相同SNMPv3用户组的某些网管能够访问设备,请选择参数acl

配置影响

执行undo snmp-agent group删除SNMP用户组,同时会删除已经加入该组的所有SNMP用户。

注意事项

如果要求网管收到notify-view中指定的trap消息或者inform消息,需要保证已经实现以下配置:
配置SNMP组的安全级别后,如果需要配置用户和告警主机的安全级别必须确保以下两点:
  • 确保用户的安全级别不能低于所在组的安全级别,否则无法正常通信。
  • 确保告警主机的安全级别不能低于所在组的安全级别,否则无法正常发送告警。

如果创建的SNMPv3组配置了不认证不加密或认证不加密方式,会存在安全风险,为了保证系统的安全性,建议将该组删除后重新创建认证加密的组。

使用实例

# 创建一个SNMPv3用户组:Johngroup,指明对报文进行认证和加密,同时设置其读视图为public。

<HUAWEI> system-view
[~HUAWEI] snmp-agent
[*HUAWEI] snmp-agent mib-view excluded public 1.3.6.1.2.1
[*HUAWEI] snmp-agent group v3 Johngroup privacy read-view public

# 创建一个SNMPv3用户组:Johngroup,指明对报文进行认证和加密,同时设置其读写视图为private。

<HUAWEI> system-view
[~HUAWEI] snmp-agent
[*HUAWEI] snmp-agent mib-view included private 1.3.6.1.2.1
[*HUAWEI] snmp-agent group v3 Johngroup privacy write-view private

snmp-agent inform

命令功能

snmp-agent inform命令用来配置全局的Inform方式的相关参数,包括告警确认的超时时间、告警重复发送的次数和待确认告警的最大条数。

undo snmp-agent inform命令用来恢复缺省值。

缺省情况下,超时时间为15秒,重发次数为3,待确认告警最大条数为39。

命令格式

snmp-agent inform { timeout seconds | resend-times times | pending number } *

undo snmp-agent inform { timeout | resend-times | pending } *

参数说明

参数 参数说明 取值
timeout seconds 指定Inform方式发送的告警等待网管确认的超时时间。 整数形式,取值范围是1~1800,单位是秒。缺省值是15秒。
resend-times times 指定Inform方式发送的告警因没有收到网管确认消息而重复发送的次数。 整数形式,取值范围是0~10。缺省值是3。
pending number 指定Inform方式的待确认告警最大条数。 整数形式,取值范围是1~2048。缺省值是39。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

由于Inform方式的告警在发送后需要等待确认报文,可以使用snmp-agent inform对发送告警的超时时间、告警重复发送的次数、待确认告警的最大条数三个参数进行配置。

这三个参数相互依赖。例如,告警确认的超时时间或者告警重复发送的次数由小变大,待确认告警的最大条数不变,会导致等待确认的告警增多,待确认Inform缓存更容易被填充满。

一旦待确认Inform缓存满,每添加一条待确认的告警就会删除最早的一条待确认告警。已删除的告警不能再重发。这时,可以增加待确认告警的最大条数,防止待确认告警被删除。

需要根据网络状况,使用snmp-agent inform命令合理配置timeoutresend-timespending三个参数:

  • 当网络出现大量Inform告警消息丢失时,可以执行snmp-agent inform pending number命令增大Inform缓存长度。
  • 当网络传输速度缓慢,建议增大超时时间。由于增大超时时间必然增加在Inform缓存中的等待时间,所以同样需要增大Inform缓存长度。推荐执行snmp-agent inform { timeout seconds | pending number } *命令。
  • 当网络传输速度很快,可以执行snmp-agent inform timeout seconds命令降低超时时间。
  • 当在不可靠网络进行传输Inform告警消息,建议增大重传次数。由于需要在Inform缓存中等待更长时间,所以同样需要增大丢列长度。推荐执行snmp-agent inform { resend-times times | pending number } *命令。

前置条件

当用户执行snmp-agent target-host inform命令配置接收Inform消息的目的地址后,Inform方式相关参数才能起作用。

注意事项

只有Inform方式的告警支持snmp-agent inform命令进行相关参数配置,Trap方式的告警由于没有确认报文回应,所以无需配置。

必须依据网络状况合理设置timeoutresend-timespending三个参数,否则会极大影响SNMP工作效率。

使用实例

# 配置Inform方式告警重复发送次数为5次,待确认告警的最大条数为100条。

<HUAWEI> system-view
[~HUAWEI] snmp-agent inform resend-times 5 pending 100

snmp-agent inform { host-name | address }

命令功能

snmp-agent inform address命令用于配置针对目标主机的Inform方式的相关参数,包括告警确认的超时时间和告警重复发送的次数。

undo snmp-agent inform address命令用于恢复缺省值。

缺省情况下,告警确认的超时时间是15秒;告警重复发送的次数是3。

命令格式

snmp-agent inform { timeout seconds | resend-times times } * { host-name host-name | address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name } }

undo snmp-agent inform { timeout [ seconds ] | resend-times [ times ] } * { host-name host-name | address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name } }

参数说明

参数 参数说明 取值
timeout seconds 指定Inform方式发送的告警等待网管确认的超时时间。 整数形式,取值范围是1~1800,单位是秒。缺省值与snmp-agent inform命令配置的全局的超时时间值相等,缺省为15秒。
resend-times times 指定Inform方式发送的告警因没有收到网管确认消息而重复发送的次数。 整数形式,取值范围是0~10。缺省值与snmp-agent inform命令配置的全局的重传次数值相等,缺省为3次。
host-name host-name 指定SNMP目标主机名。 必须是已存在的SNMP目标主机名。
address 指定SNMP消息传输的目标主机地址。
说明:
address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识一个主机。
点分十进制形式。
udp-domain ip-address 指定目标主机的IP地址,且传输域基于UDP。 点分十进制形式。
vpn-instance vpn-instance-name 指定VPN实例名。 字符串形式,区分大小写,不支持空格,长度范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。不能以“_public_”作为VPN实例名称,作为保留使用。vpn-instance作为可选,如果在VPN中使用,需要vpn-instance指定的VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。
params 指定产生SNMP消息的目标主机信息。 -
securityname security-name 指定在网管侧显示的用户安全名。

对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher cipher-name

指定认证密码为密文类型,可以键入明文或密文口令,在查看配置文件时以密文方式显示口令。

字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68、68~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、48、56、68或68~168时,系统默认为是密文输入,将判断该密文能否解析。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

snmp-agent inform address命令用于配置针对目标主机的Inform方式的相关参数,且对timeoutresend-times参数配置的优先级高于snmp-agent inform命令对这两个参数的配置。如果已经配置了全局Inform方式参数,再配置snmp-agent inform address命令,对于指定的目标主机来说,snmp-agent inform address命令配置的参数生效。

需要根据网络状况,综合使用snmp-agent inform address命令和snmp-agent inform命令进行参数配置:
  • 当网络出现大量Inform告警消息丢失时,建议增大队列长度。推荐全局执行snmp-agent inform pending number命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。
  • 当网络传输速度缓慢,建议增大超时时间。由于增大超时时间必然增加在队列中的等待时间,所以同样需要增大队列长度。推荐全局执行snmp-agent inform { timeout seconds | pending number } *命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。
  • 当网络传输速度很快,建议降低超时时间。推荐执行snmp-agent inform timeout seconds address udp-domain ip-address params securityname security-name命令。
  • 当在不可靠网络进行传输inform告警消息,建议增大重传次数。由于需要在队列中等待更长时间,所以同样需要增大丢列长度。推荐执行snmp-agent inform { resend-times times | pending number } *命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。

前置条件

当用户执行snmp-agent target-host inform命令配置接收Inform消息的目的地址后,Inform方式相关参数才能起作用。

注意事项

必须依据网络状况合理设置timeoutresend-times参数,否则会极大影响SNMP工作效率。

说明:

只有Inform方式的告警支持snmp-agent inform address命令进行相关参数配置,Trap方式的告警无需配置。

使用实例

# 配置目标主机(IP地址:10.1.1.1, 安全名:ABC)Inform方式告警重复发送次数为10次。

<HUAWEI> system-view
[~HUAWEI] snmp-agent inform resend-times 10 address udp-domain 10.1.1.1 params securityname ABC

snmp-agent local-engineid

命令功能

snmp-agent local-engineid命令用来设置本地SNMP实体的引擎ID。

undo snmp-agent local-engineid命令用来恢复本地SNMP实体的引擎ID为缺省值。

缺省情况下,设备采用内部算法自动生成一个设备引擎ID,包含公司的“企业号+设备信息”。

命令格式

snmp-agent local-engineid engineid

undo snmp-agent local-engineid

参数说明

参数 参数说明 取值
engineid 指定本地引擎ID。 十六进制数字,长度范围是10~64,全零或者全F为无效值

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

使用snmp-agent local-engineid命令可以为本地SNMP实体设置引擎ID,从而标识一个SNMP实体。

SNMP引擎ID是对SNMP模块进行管理的唯一标识,它在一个管理域内唯一的标识一个SNMP实体。SNMP引擎ID是SNMP实体的重要组成部分,通过它完成SNMP消息的消息调度、消息处理、安全验证、访问控制等功能。用户可使用display snmp-agent local-engineid查看设备上的本地SNMP实体引擎ID。

如果选择自行设置引擎ID必须遵从以下的原则:

  • 前4个字节是IANA(Internet Assigned Numbers Authority)分配的企业私有设备号,16进制形式。华为公司的设备号是十进制2011,第一位二进制固定取值为1,因此16进制形式为800007DB。

  • 设备信息部分的取值由用户自行设置,建议取设备IP地址或MAC地址作为设备信息唯一标识该设备。

注意事项

若设置或者改变本地引擎ID,则已存在的该ID下的SNMPv3用户将被删除;如果恢复原来引擎的ID,则相应用户配置也将恢复。

执行snmp-agent命令使能SNMP功能后,系统会自动生成本地引擎ID,取值为缺省值。

对于SNMPv3用户而言,其使用的密码摘要是由用户密码和本地SNMP实体引擎ID通过MD5或者SHA生成。如果改变本地SNMP实体引擎ID,将会导致先前设置的密码摘要失效。SNMPv3用户必须重新配置生成密码摘要。

使用实例

# 配置本地设备的SNMP实体引擎ID为800007DB03360102101100。

<HUAWEI> system-view
[~HUAWEI] snmp-agent local-engineid 800007DB03360102101100   
Warning: All SNMP users will be reset. Continue? [Y/N]: y

snmp-agent local-user

命令功能

snmp-agent local-user命令用来创建SNMPv3本地用户。

undo snmp-agent local-user命令用来删除已创建的SNMPv3本地用户。

缺省情况下,未创建SNMPv3本地用户。

命令格式

snmp-agent local-user v3 user-name { authentication-mode { md5 | sha } privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } | authentication-mode { md5 | sha } cipher password privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } cipher password }

undo snmp-agent local-user v3 user-name

参数说明

参数 参数说明 取值
v3

指定用户使用SNMPv3协议。

-
user-name

指定SNMPv3本地用户的用户名。

该参数通过local-user password命令进行创建。

说明:
当使用local-user password为SNMPv3创建本地用户时,用户名的最大长度不得超过32。
authentication-mode { md5 | sha }

指定SNMPv3本地用户的认证方式。

SNMPv3本地用户的认证方式有以下两种:
  • MD5
  • SHA
说明:

SHA比MD5安全。推荐使用SHA。

privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 }

指定SNMPv3本地用户的加密方式。

SNMPv3本地用户的加密方式有以下五种:
  • 3DES168
  • AES128
  • AES192
  • AES256
  • DES56
说明:

AES128以及加密程度更高的算法比DES56和3DES168安全。推荐使用AES128以及加密程度更高的算法。

cipher password

指定加密或认证的密文密码。

仅支持密文输入,取值范围是32~423长度的字符串。不支持空格和“?”。

说明:
  • 当不指定cipher参数时。采用交互式的输入方式,支持明文类型密码输入。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

AAA(Authentication Authorization Accounting)是一种提供认证、授权和计费的技术,SNMPv3支持使用AAA本地用户进行认证。网络管理员可以配置SNMPv3使用与FTP、Telnet、SSH等特性相同的AAA本地用户名,从而实现使用统一的用户名对设备进行管理。

通过AAA配置本地用户后,执行snmp-agent local-user命令,可将已创建的AAA本地用户配置成SNMPv3本地用户。

snmp-agent local-user命令既支持直接输入认证和加密密码,也支持交互式输入认证和加密密码。为了确保密码输入的安全性和密码可记忆性,建议使用交互式输入密码。

前置条件

执行local-user password命令创建AAA本地用户。

执行local-user service-type snmp命令配置AAA本地用户的服务类型为SNMP。

注意事项

SNMPv3使用AAA本地用户后,可以配置与AAA本地用户不同的认证和加密密码。删除AAA本地用户会导致SNMPv3本地用户被同步删除,然而删除SNMPv3本地用户对AAA本地用户无影响。

SNMPv3本地用户和SNMPv3 USM用户可以配置相同的用户名。SNMPv3 USM用户名的优先级高于SNMPv3本地用户的优先级,即当SNMPv3本地用户和SNMPv3 USM用户的用户名相同,配置的认证或加密密码不同时,将采用SNMPv3 USM用户的认证和加密密码登录。

在创建用户时请牢记用户名以及对应的密码,因为NMS在访问设备时,需要输入密码。

采用交互试用户输入的密码有以下特点:

  • 取值范围和是否开启密码复杂度检查功能有关:
  • 采用交互方式输入的密码不会在终端屏幕上显示出来。

为了保证更好的安全性,建议不要使用MD5算法作为SNMPv3的认证算法,不要使用DES-56或3DES168算法或作为SNMPv3的加密算法。

使用实例

# 创建一个本地用户usersnmp,认证模式选择SHA,加密模式选择AES256。

<HUAWEI> system-view
[~HUAWEI] snmp-agent local-user v3 usersnmp authentication-mode sha privacy-mode aes256
Please configure the authentication password (8-255)
Enter Password:
Confirm Password:
Please configure the privacy password (8-255)
Enter Password:
Confirm Password: 

snmp-agent local-user password complexity-check disable

命令功能

snmp-agent local-user password complexity-check disable命令用来去使能本地用户认证和加密密码的复杂度检查功能。

undo snmp-agent local-user password complexity-check disable命令用来使能本地用户认证和加密密码的复杂度检查功能。

缺省情况下,本地用户认证和加密密码的复杂度检查功能处于使能状态。

命令格式

snmp-agent local-user password complexity-check disable

undo snmp-agent local-user password complexity-check disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

在使用交互式输入认证和加密密码时,本地用户的认证和加密密码的复杂度要求如下:

  • 最小密码长度为8个字符。

  • 输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。

当SNMPv3用户处于非常安全的网络中时,可以使用snmp-agent local-user password complexity-check disable命令将SNMPv3本地用户的认证密码和加密密码的复杂度检查功能关闭。关闭后配置SNMPv3本地用户时,对认证和加密密码无复杂度的要求。

注意事项

为了增强安全性,建议用户不要将SNMPv3本地用户认证和加密密码的复杂度检查功能关闭。

使用实例

# 去使能SNMPv3本地用户的认证和加密密码的复杂度检查功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent local-user password complexity-check disable

snmp-agent mib-view

命令功能

snmp-agent mib-view命令用来创建或者更新MIB视图的信息。

undo snmp-agent mib-view命令用来取消当前MIB视图的配置。

缺省情况下,视图名为ViewDefault,MIB子树中包括除了snmpVacmMIB、snmpUsmMIB和snmpCommunityMIB之外的其它internet子节点。

命令格式

snmp-agent mib-view { excluded | included } view-name oid-tree

undo snmp-agent mib-view [ excluded | included ] view-name [ oid-tree ]

参数说明

参数 参数说明 取值
excluded 表示排除该MIB子树。 -
included 表示包括该MIB子树。 -
view-name SNMP视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

oid-tree Mib对象的OID MIB子树,可以是变量OID的字符串,也可以是变量名的字符串。比如像1.4.5.3.1或者system这样的字符串。

字符串形式,不支持空格,区分大小写,长度范围是1~255。

说明:

此处必须是一个合法的MIB子树。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

多数SNMP配置命令都需要视图名作为参数,snmp-agent mib-view命令就是用来更新或创建视图。用户无法修改或删除缺省视图ViewDefault。

目前该命令不仅支持以变量OID的字符串作为参数输入,同时还支持以节点名作为参数输入。
  • 通过变量OID作为参数输入方式:snmp-agent mib-view included myview 1.3.6.1.2.1
  • 通过节点名作为参数输入方式:snmp-agent mib-view excluded myview system.7
说明:
为了在SNMP报文中唯一标识设备中的管理对象,SNMP用层次结构命名方案来识别管理对象,整个层次结构就像一棵树,树的节点表示管理对象,如{1.3.6.1.2.1},这串数字是管理对象的Object Identifier(客体标识符)。而MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。
用户可按如下原则选取参数:
  • 需要网管管理设备上的绝大部分MIB节点,只有少部分节点不允许网管管理时,或者在现有的MIB视图中希望取消网管对某些节点的访问权限时,使用参数excluded,排除这些MIB节点。

  • 需要网管管理设备上的少部分MIB节点,绝大部分节点不允许网管管理时,或者在现有的MIB视图中添加网管对某些节点的访问权限时,使用参数included,添加这些允许管理的MIB节点。

用户可以使用display snmp-agent mib-view命令查看已经配置的视图节点信息。

注意事项

缺省视图ViewDefault不可以通过undo snmp-agent mib-view命令删除,也不可以通过snmp-agent mib-view命令修改。

用户多次使用命令snmp-agent mib-view定义MIB视图时,如果配置的view-nameoid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-nameoid-tree参数值不同,则新旧配置均生效。系统最多可保存256条MIB视图配置,其中缺省视图ViewDefault的配置占四条。

当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。

如果MIB视图被团体名或者SNMP组引用,必须先解除引用关系,才可以执行undo snmp-agent mib-view命令删除该MIB视图。

使用实例

# 创建一个视图包含mib-2的所有对象,指定MIB视图名称为mib2view,OID子树为1.3.6.1.2.1。

<HUAWEI> system-view
[~HUAWEI] snmp-agent mib-view included mib2view 1.3.6.1.2.1

snmp-agent notification-log

命令功能

snmp-agent notification-log命令用于配置告警日志的老化时间和日志缓冲区中能保存的最大告警日志条数。

undo snmp-agent notification-log命令用于恢复缺省值。

缺省情况下,告警日志的老化时间为24小时,最大告警日志条数为500条。

命令格式

snmp-agent notification-log { global-ageout ageout [ minute minute ] | global-limit limit } *

undo snmp-agent notification-log { global-ageout | global-limit } *

参数说明

参数 参数说明 取值
global-ageout ageout 指定告警日志的老化时间。 整数形式,取值范围为0或12~36,单位为小时。缺省值为24小时。取值为0表示不老化。
minute minute 指定告警日志的老化时间(分钟)。 取值范围为1~59,单位为分钟。
global-limit limit 指定日志缓冲区中能保存的最大告警日志条数。 整数形式,取值范围为1~15000

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果日志缓冲区中的告警日志信息无需老化,可以将告警日志的老化时间设置为0。

如果保存到日志缓冲区的告警日志数量在老化时间内超过了最大值,新的告警日志将保存并覆盖缓冲区中较早的告警日志。

当满足其中一个条件时,通知信息将被记录日志:
  • Inform消息队列中的通知消息的重传次数达到最大值,但网管未收到任何ACK确认消息。
  • Inform消息队列中等待确认的通知消息数量达到最大值,通知消息被丢弃。

注意事项

如果消息缓冲区的大小过大,将会消耗更多的网络资源。因此建议设置消息缓冲区的大小为一个适当值。

说明:

仅通知日志被存储到消息缓冲区,Trap日志不会被记录到消息缓冲区。

使用实例

# 配置告警日志的老化时间为36小时。

<HUAWEI> system-view
[~HUAWEI] snmp-agent notification-log global-ageout 36

# 配置日志缓冲区中能保存的最大告警日志条数为1000条。

<HUAWEI> system-view
[~HUAWEI] snmp-agent notification-log global-limit 1000

snmp-agent notification-log enable

命令功能

snmp-agent notification-log enable命令用于使能告警日志功能。

undo snmp-agent notification-log enable命令用于去使能告警日志功能。

缺省情况下,告警日志功能为去使能状态。

命令格式

snmp-agent notification-log enable

undo snmp-agent notification-log enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

如果被管理设备与网管之间的链路发生故障,导致路由不可达,被管理设备不再发送告警。使能告警日志功能后,被管理设备会继续记录告警日志。当链路恢复正常,路由变为可达后,目标主机将同步被管理设备在链路故障期间记录的告警日志。

只有Inform方式的告警需要记录日志,Trap方式的告警无需记录。

使能告警日志功能后,在满足以下两种条件之一后,Inform方式的告警才记录日志:

  • 待确认的告警队列中的某告警信息重传指定次数后,仍然未收到告警确认信息。

  • 当前告警信息数目达到待确认告警队列能够存储的最大告警信息个数时,较早的告警信息被丢弃,被丢弃的告警信息需要记录日志。

使用实例

# 使能告警日志功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent notification-log enable

snmp-agent notify-filter-profile

命令功能

snmp-agent notify-filter-profile命令用来创建或更新Trap过滤信息。

undo snmp-agent notify-filter-profile命令用来删除已创建或更新Trap过滤信息。

缺省情况下,所有Trap信息都不过滤。

命令格式

snmp-agent notify-filter-profile { included | excluded } profile-name oid-tree

undo snmp-agent notify-filter-profile [ included | excluded ] profile-name [ oid-tree ]

参数说明

参数 参数说明 取值
included 指定包括MIB子树。 -
excluded 指定排除MIB子树。 -
profile-name 指定过滤视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

oid-tree Mib对象的OID Mib子树,可以是变量OID的字符串,也可以是变量名的字符串。例如:可以是1.4.5.3.1或者system这样的字符串。 字符串形式,不支持空格,区分大小写,长度范围是1~255。
说明:

此处必须是一个合法的MIB子树。

视图

系统视图

缺省级别

3:管理级

使用指南

当需要对发往目的主机的告警信息进行过滤时,可以执行snmp-agent notify-filter-profile命令,把过滤节点添加到过滤视图中。

对于使用snmp-agent notify-filter-profile命令用来更新或创建过滤视图,目前该命令不仅支持以变量OID的字符串作为参数输入,同时还支持以节点名作为参数输入。 对于OID的字符串输入,支持采用“*”作为掩码进行设置。“*”只能放在字符串中间位置,不能放在字符串的头部或尾部。

说明:
如果不配置告警过滤,所有的告警都会上送到目的主机。

使用实例

# 配置一个名为tmp的过滤视图。
<HUAWEI> system-view
[~HUAWEI] snmp-agent notify-filter-profile included tmp 1.3.6.1.*.4

snmp-agent packet contextengineid-check enable

命令功能

snmp-agent packet contextengineid-check enable命令用来使能网管侧contextEngineID和本地引擎ID的一致性检查功能。

snmp-agent packet contextengineid-check disable命令用来去使能网管侧contextEngineID和本地引擎ID的一致性检查功能。

undo snmp-agent packet contextengineid-check enable命令用来去使能网管侧contextEngineID和本地引擎ID的一致性检查功能。

缺省情况下,设备不进行网管侧contextEngineID和本地引擎ID的一致性检查。

命令格式

snmp-agent packet contextengineid-check enable

snmp-agent packet contextengineid-check disable

undo snmp-agent packet contextengineid-check enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

如果设备不对网管侧contextEngineID和本地引擎ID做一致性检查,即使网管侧的contextEngineID和本地的引擎ID不一致,也可以建立连接。

为了提高系统安全性,建议执行snmp-agent packet contextengineid-check enable命令使能网管侧contextEngineID和本地引擎ID的一致性检查功能。

配置影响

使能该功能后,如果网管侧的contextEngineID值和本地的引擎ID不同,则网管无法与设备连接。

注意事项

该命令功能只适用于SNMPv3版本。

使用实例

# 使能网管侧contextEngineID和本地引擎ID的一致性检查功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent packet contextengineid-check enable

snmp-agent packet max-size

命令功能

snmp-agent packet max-size命令用来设置SNMP Agent能接收和发送的SNMP报文的最大尺寸。

undo snmp-agent packet max-size命令用来设置SNMP报文的最大尺寸为缺省值。

缺省情况下,SNMP报文的最大尺寸为12000字节。

命令格式

snmp-agent packet max-size byte-count

undo snmp-agent packet max-size

参数说明

参数 参数说明 取值
byte-count SNMP Agent能接收和发送的SNMP报文最大尺寸。 整数形式,取值范围是484~17940,单位是字节。缺省值是12000字节。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

根据网络的情况,使用snmp-agent packet max-size命令来设置SNMP Agent能接收/发送的SNMP信息包的最大尺寸。

通过加大SNMP报文的最大传输单元的尺寸,来解决网管端查询设备状态信息时,只能得到部分的信息的情况。

通过减小SNMP报文的最大传输单元的尺寸,避免设备或者网管在处理不了超大SNMP报文时候将其丢弃。

注意事项

要根据实际网络状况加大SNMP报文的最大传输单元的尺寸,否则会影响SNMP工作效率。

通常情况下,请使用缺省值。

使用snmp-agent packet max-size命令用来设置SNMP报文的最大尺寸,会同时对所有SNMP版本产生影响。

使用实例

# 设置SNMP Agent能接收/发送的SNMP报文的最大尺寸为1042字节。

<HUAWEI> system-view
[~HUAWEI] snmp-agent packet max-size 1042

snmp-agent packet-priority

命令功能

snmp-agent packet-priority命令用来设置SNMP报文传输级别。

undo snmp-agent packet-priority命令用来恢复缺省配置。

缺省情况下,SNMP报文传输级别是6。

命令格式

snmp-agent packet-priority { snmp | trap } priority-level

undo snmp-agent packet-priority { snmp | trap }

参数说明

参数 参数说明 取值
snmp 指定SNMP传输报文(不包含告警报文)的传输级别。包含的SNMP报文:
  • Get-Response报文
  • Set-Response报文
-
trap 指定SNMP告警报文的传输级别。包含的SNMP报文:
  • trap报文
  • inform报文
-
priority-level 指定报文级别。 整数形式,取值范围是0~7。缺省值是6。0优先级最低,7优先级最高。

视图

系统视图

缺省级别

3:管理级

使用指南

执行snmp-agent packet-priority命令用来设置SNMP报文传输级别,从而实现对IP报文优先级的指定。其主要场景如下:
  • 为了避免告警信息被丢弃,可以提高SNMP告警报文的优先级别保证网管可以收到告警信息。

  • 为了保证网管对设备MIB操作的可靠性,可以提高SNMP传输报文(不包括告警报文)的优先级。

  • 如果网络拥塞严重,而告警信息频繁,可以降低所有SNMP报文(包括告警报文)的优先级。

使用实例

# 设置SNMP传输报文的优先级为5级。
<HUAWEI> system-view
[~HUAWEI] snmp-agent packet-priority snmp 5

snmp-agent password min-length

命令功能

snmp-agent password min-length命令用来配置SNMP密码的最小长度。

undo snmp-agent password min-length命令用来恢复到SNMP密码的默认最小长度。

缺省情况下,SNMP密码的最小长度为8。

命令格式

snmp-agent password min-length min-length

undo snmp-agent password min-length

参数说明

参数 参数说明 取值
min-length 指定SNMP密码的最小长度。 整数形式,取值范围为8~16。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为提高了系统的安全性,避免因为密码过于简单导致账号被盗用的安全问题,可以执行snmp-agent password min-length命令配置SNMP密码的最小长度。配置了该命令后,用户配SNMP密码时,密码长度必须大于等于配置的SNMP密码的最小长度。

其中SNMP密码包括:本地用户的认证和加密密码、SNMP用户的认证和加密密码、团体名。

前置条件

需要在密码复杂度检查开启的情况下配置snmp-agent password min-length才会生效,缺省情况下密码复杂度检查是开启的,如果密码复杂度检查功能未开启,可以执行如下操作:

注意事项

配置SNMP密码的最小长度后,在配置恢复时不检查密码长度,即对先前用户配置的SNMP密码无影响。在配置SNMP密码时,会检查密码的长度。

使用实例

# 配置SNMP密码的最小长度为10。

<HUAWEI> system-view
[~HUAWEI] snmp-agent password min-length 10

snmp-agent protocol

命令功能

snmp-agent protocol命令用来配置SNMP从VPN或者公网接收和响应网管请求报文。

undo snmp-agent protocol命令用来恢复缺省配置。

缺省情况下,SNMP从所有VPN和公网接收和响应网管IPv4和IPv6请求报文。

命令格式

snmp-agent protocol [ ipv6 ] { vpn-instance vpn-instance-name | public-net }

undo snmp-agent protocol [ ipv6 ] { vpn-instance | public-net }

参数说明

参数 参数说明 取值
ipv6 指定SNMP从VPN或者公网接收和响应网管IPv6请求报文。如果不指定ipv6则表示SNMP从VPN或者公网接收和响应网管IPv4请求报文。 -
vpn-instance vpn-instance-name 指定SNMP从指定VPN接收和响应网管请求报文。 字符串形式,区分大小写,不支持空格,长度范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。不能以“_public_”作为VPN实例名称,作为保留使用。
public-net 指定SNMP从公网接收和响应网管请求报文。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,SNMP从所有VPN和公网接收和响应网管请求报文,存在一定的安全隐患。通过snmp-agent protocol [ ipv6 ] vpn-instance vpn-instance-name命令配置SNMP绑定VPN的方式侦听特定的VPN,缩小攻击范围,降低风险。对于必须要通过公网管理的场景,SNMP只能配置snmp-agent protocol [ ipv6 ] public-net侦听公网,避免安全隐患。

配置影响

配置snmp-agent protocol [ ipv6 ] vpn-instance vpn-instance-name命令后,设备只能通过和该VPN实例绑定的SNMP Agent协议与网管进行通信。

使用实例

# 配置SNMP从名称为abc的VPN实例接收和响应网管请求报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol vpn-instance abc

# 配置SNMP从公网接收和响应网管请求报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol public-net

# 配置SNMP从公网接收和响应网管IPv6请求报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol ipv6 public-net

snmp-agent protocol get-bulk timeout

命令功能

snmp-agent protocol get-bulk timeout命令用来配置网管get-bulk操作超时返回的时间阈值。

undo snmp-agent protocol get-bulk timeout命令用来将配置的网管get-bulk操作超时返回的时间阈值恢复到缺省情况。

缺省情况下,网管get-bulk超时返回的时间是2秒。

命令格式

snmp-agent protocol get-bulk timeout time

undo snmp-agent protocol get-bulk timeout

参数说明

参数 参数说明 取值
time 指定网管get-bulk操作超时返回的时间阈值。

整数形式,取值范围是0~600,单位是秒。

说明:

0秒表示永远不超时。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

通过get-bulk操作,实现了网管端对被管理设备的信息群查询,相当于连续执行多次get-next操作。

当网管通过get-bulk操作请求的数据较多,需要系统花费较长时间来获取请求数据时,可以通过执行snmp-agent protocol get-bulk timeout命令修改网管get-bulk操作超时返回的时间阈值。

注意事项

建议不要修改网管get-bulk超时返回的时间,使用缺省2秒即可。如果需要重新配置,配置的阈值时间必须小于网管的超时时间。

使用实例

# 配置网管get-bulk操作超时返回的时间阈值是10秒。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol get-bulk timeout 10

snmp-agent protocol ipv6 source-ip

命令功能

snmp-agent protocol ipv6 source-ip命令用来配置设备侦听网管SNMP请求报文的源IPv6地址。

undo snmp-agent protocol ipv6 source-ip命令用来恢复缺省配置。

缺省情况下,未配置源IPv6地址,设备使用任意可达IPv6地址进行通信。

命令格式

snmp-agent protocol ipv6 source-ip ipv6-address

undo snmp-agent protocol ipv6 source-ip

参数说明

参数 参数说明 取值
ipv6–address 指定设备侦听网管SNMP请求报文的源IPv6地址。 32位16进制数,格式为X:X:X:X:X:X:X:X。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,SNMP Agent使用任意可达IPv6地址与网管进行通信,存在安全隐患。为了解决这一问题,可以通过snmp-agent protocol ipv6 source-ip命令配置SNMP Agent侦听网管SNMP请求报文的源IPv6地址,SNMP Agent会通过配置的源IPv6地址与网管进行通信。

注意事项

snmp-agent protocol ipv6 source-ip配置不支持接口联动,即接口配置的源IPv6地址被删除、改变等,SNMP不感知其变化,保持配置。

使用实例

# 配置设备侦听网管SNMP请求报文的源IPv6地址为FC00::1。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol ipv6 source-ip FC00::1

snmp-agent protocol source-interface

命令功能

snmp-agent protocol source-interface命令用来配置SNMP接收和响应网管请求报文的源接口信息。

undo snmp-agent protocol source-interface命令将配置的SNMP接收和响应网管请求报文的源接口信息恢复到缺省情况。

缺省情况下,未配置SNMP协议接收和响应网管请求报文的源接口信息。

命令格式

snmp-agent protocol source-interface interface-type interface-number

undo snmp-agent protocol source-interface

参数说明

参数 参数说明 取值
interface-type interface-number 指定SNMP接收和响应网管请求报文的源接口的接口类型和接口编号。 当前只支持Loopback接口。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,设备对网管请求报文的接收和响应源接口是随机的,任意可用的接口都可以接收和响应网管请求报文,为数据的统一管理带来不便。为了解决这一问题,可以通过执行命令snmp-agent protocol source-interface配置SNMP接收和响应网管请求报文的源接口,这样网管请求报文会通过配置的源接口进行接收和响应,方便数据的统一管理。

前置条件

在将某个接口设置为网管请求报文的接收和响应源接口之前,必须保证该接口在设备上已经存在,并且配置了合法的IP地址。如果配置的接口不存在,则该命令会配置失败;如果接口没有指定合法的IP地址,则该命令不生效,接口配置了合法IP地址后,该命令会自动生效。

注意事项

snmp-agent protocol source-interface配置不支持接口联动,即配置的源接口被删除、接口下地址被删除、改变等操作,不影响SNMP的配置。

SNMP协议绑定源接口配置生效后,SNMP协议将只侦听该接口下的IP地址,网管只能通过此IP地址与设备通信。源接口IP地址变更后,网管只能通过新的IP地址与设备通信。

使用实例

# 将Loopback1接口配置成接收和响应网管请求报文的源接口。

<HUAWEI> system-view
[~HUAWEI] snmp-agent protocol source-interface loopback 1

snmp-agent proxy community

命令功能

snmp-agent proxy community命令用来创建一个新的SNMP Proxy团体名。

undo snmp-agent proxy community命令用来删除指定的SNMP Proxy团体名。

缺省情况下,系统中没有创建SNMP Proxy团体名。

命令格式

snmp-agent proxy community { community-name | cipher cipher-name } remote-engineid remote-engineid [ acl { acl-number | acl-name } | alias alias-name ] *

undo snmp-agent proxy community { community-name | cipher cipher-name }

参数说明

参数 参数说明 取值
community-name

指定SNMP Proxy团体名。

字符串形式,不支持空格,区分大小写,长度范围是8~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

缺省情况下,对配置的团体名进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent community complexity-check disable命令关闭团体名复杂度检查功能。
说明:

设备对团体名复杂度的要求如下:

  • 最小长度为8个字符。

  • 至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。

当使用命令snmp-agent community complexity-check disable关闭团体名复杂度检查功能后,community-name的长度范围为1~32。

cipher cipher-name

指定SNMP Proxy团体名以密文形式存储。

无论是明文形式还是密文形式输入团体名,显示信息中均以密文形式体现。

字符串形式,不支持空格,区分大小写,长度范围是8~32或88~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。

  • cipher-name以明文形式输入团体名时,输入的团体名为字符串形式,区分大小写,不支持空格,长度范围是8~32。
  • cipher-name以密文形式输入团体名时,团体名的长度必须是88~168个连续字符串。
缺省情况下,对配置的团体字进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent community complexity-check disable命令关闭团体名复杂度检查功能。
说明:

设备对团体名复杂度的要求如下:

  • 最小长度为8个字符。

  • 至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。

当使用命令snmp-agent community complexity-check disable关闭团体名复杂度检查功能后,cipher-name的长度范围为1~32或88~168。

remote-engineid remote-engineid

指定监控设备引擎ID。

监控设备引擎ID不能和本端引擎ID相同。

十六进制数字,长度范围是10~64,全零或者全F为无效值。
acl

指定将团体名和基本访问控制列表绑定。

使用基本访问控制列表后,可以允许或禁止具有特定源IP地址的NMS对Agent的访问。

-
acl-number 指定基本访问控制列表号。 整数形式,取值范围是2000~2999。
acl-name 指定命名型基本访问控制列表名称。 必须是已存在的访问控制列表名称。
alias alias-name

指定SNMP Proxy团体名的别名。

SNMP Proxy团体名的别名以明文方式保存在配置文件中。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

3: 管理级

使用指南

应用场景

团体是NMS和SNMP Agent的集合,用团体名来标识。团体名相当于密码,团体内的设备通信时需要使用团体名来进行认证。只有NMS和SNMP Agent上配置的团体名相同时,才能互相访问。用户使用本命令配置SNMP团体名,从而实现网管与设备之间的通信。

SNMP Proxy团体名配置成功后将以密文形式保存在配置文件中。当需要对SNMP Proxy团体名进行标识时,可以使用alias alias-name参数配置SNMP Proxy团体名的别名,SNMP Proxy团体名的别名以明文方式保存在配置文件中。

配置影响

如果设备接收到团体名为空的报文,设备就会直接丢弃报文,记录团体字错误日志,且不进行ACL校验。只有团体名为非空时才会触发ACL校验。

注意事项

本命令用于使用SNMPv1和SNMPv2c组网环境中。

后续任务

执行本命令后,可执行命令display snmp-agent proxy community查看SNMPv1或SNMPv2c团体信息。

使用实例

# 创建一个新的SNMP Proxy团体并设置SNMP Proxy团体名为proxy_public,并绑定编号为2000的基础访问控制列表。

<HUAWEI> system-view
[~HUAWEI] snmp-agent proxy community proxy_public remote-engineid 800007DB03360607111100 acl 2000

snmp-agent proxy rule

命令功能

snmp-agent proxy rule命令用来配置SNMP协议报文代理规则。

undo snmp-agent proxy rule命令用来删除指定的SNMP协议报文代理规则。

缺省情况下,系统没有配置SNMP协议报文代理规则。

命令格式

snmp-agent proxy rule rule-name { read | trap | write } remote-engineid remote-engineid target-host target-host-name params-in { securityname security-name { v1 | v2c | v3 [ authentication | privacy ] } | securityname cipher cipher-text { v1 | v2c } }

snmp-agent proxy rule rule-name inform remote-engineid remote-engineid target-host target-host-name params-in { securityname security-name { v2c | v3 [ authentication | privacy ] } | securityname cipher cipher-text v2c }

undo snmp-agent proxy rule rule-name

参数说明

参数 参数说明 取值
rule-name 指定SNMP协议报文代理规则名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

read 指定网管向设备发出的请求报文是GetRequest。 -
trap 指定设备主动向网管发送Trap告警报文。 -
write 指定网管向设备发出的请求报文是SetRequest。 -
inform 指定设备主动向网管发送Inform告警报文。 -
remote-engineid remote-engineid 指定将SNMP代理规则和被管理设备的引擎ID绑定。 十六进制数字,长度范围是10~64,全零或者全F为无效值。
target-host target-host-name

指定接收SNMP协议代理报文的目的主机名称。

目的主机分为被管理设备端和网管端。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

params-in 指定转发接收到的SNMP消息的参数。 -
securityname security-name 指定转发SNMP消息的用户/团体安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

参数取值为SNMPv1、SNMPv2c的SNMP Proxy团体名或SNMPv3的SNMP Proxy用户名。

cipher cipher-text 指定安全名为密文形式。可以输入明文或密文,显示为密文形式。

字符串形式,不支持空格,区分大小写,明文长度范围是1~32。密文长度是32、48、56和68。当输入的字符串两端使用双引号时,可在字符串中输入空格。

v1 指定SNMPv1版本。 -
v2c 指定SNMPv2c版本。 -
v3 指定SNMPv3版本。 -
authentication

指定对SNMPv3报文进行认证但不加密。

认证是对报文是否完整以及是否被篡改等进行检验,认证密码在执行命令snmp-agent usm-user创建SNMPv3 Proxy用户时配置。

-
privacy

指定对SNMPv3报文进行认证和加密。

加密是对报文的数据部分进行加密处理以防重要信息被窃取,认证密码和加密密码在执行命令snmp-agent usm-user创建SNMPv3 Proxy用户时配置。

-

视图

系统视图

缺省级别

3: 管理级

使用指南

应用场景

主设备(需要配置SNMP Proxy的设备)和被管理设备连接,主设备负责被管理设备的接入、配置管理、系统软件版本管理等。从网管角度来看,期望将主设备和被管理设备虚拟为一个独立的网元来管理,从而节省网络管理成本、实时被管理设备运行性能和提高服务质量。为了保证主设备能够将来自NMS的被管理设备相关的SNMP请求转发到被管理设备上,再将被管理设备的应答转发到NMS,可执行本命令配置SNMP协议报文代理规则。

前置条件

为保证配置了SNMP Proxy的主设备正确转发SNMP代理报文,必须确保主设备上配置的SNMP代理规则是唯一的。

注意事项

  • SNMP报文类型是trapinform告警报文时,用来明确主设备将被管理设备的告警发送给指定的目的主机。
  • SNMP报文类型是read(GetRequest)或write(SetRequest)请求报文时,用来唯一确定一个目标主机。
  • 不指定authenticationprivacy参数时,使用的是对SNMPv3报文不认证不加密。

使用实例

# 配置SNMP协议报文代理规则,指定规则名是proxy_rule_write,目标主机是10.1.1.1,被管理设备引擎ID是01120025602101。

<HUAWEI> system-view
[~HUAWEI] snmp-agent proxy rule proxy_rule_write write remote-engineId 01120025602101 target-host 10.1.1.1 params-in securityname hello v3

snmp-agent proxy target-host

命令功能

snmp-agent proxy target-host命令用来配置接收SNMP协议代理报文的目的主机属性。

undo snmp-agent proxy target-host命令用来取消配置接收SNMP协议代理报文的目的主机属性。

缺省情况下,系统中没有配置接收SNMP协议代理报文的目的主机属性。

命令格式

snmp-agent proxy target-host target-host-name address udp-domain ip-address udp-port port-number [ { source interface-type interface-number | vpn-instance vpn-instance-name | public-net } | timeout timeout-interval ] * params { securityname security-name { v1 | v2c | v3 [ authentication | privacy ] } | securityname cipher cipher-text { v1 | v2c } }

snmp-agent proxy target-host target-host-name ipv6 address udp-domain ipv6-address udp-port port-number [ timeout timeout-interval ] params { securityname security-name { v1 | v2c | v3 [ authentication | privacy ] } | securityname cipher cipher-text { v1 | v2c } }

undo snmp-agent proxy target-host target-host-name

参数说明

参数 参数说明 取值
target-host-name

指定目的主机名称。

目的主机分为监控设备端和网管端。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

address/ipv6 address 指定设备发出的SNMP协议代理报文中的目标地址。 address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识一个主机。
udp-domain ip-address

指定使用UDP协议来传输SNMP协议代理报文。

ip-address:指定接收SNMP协议代理报文的目标主机的IPv4地址。

-
udp-port port-number

指定目的主机上用来接收SNMP协议代理报文的端口号。

整数形式,取值范围是1~65535。
source interface-type interface-number 指定配置SNMP Proxy设备发送SNMP协议代理报文的源接口。 -
vpn-instance vpn-instance-name

指定目的主机所在的VPN实例名称。

如果被管理设备发送的SNMP协议代理报文需要通过私网传递给网管时,可选择该参数。

必须是已存在的VPN实例名称。

在VPN网络中,VPN实例名、IP地址和安全名组成一个三元组来标识一个主机。

public-net 在公网中连接告警主机。 -
timeout timeout-interval 指定网管向SNMP Agent端回应SNMP协议代理报文的超时时间。 整数形式,取值范围是1~1800。单位是秒。
params 指定产生SNMP消息的目标主机信息。 -
securityname security-name 指定在网管侧显示的用户安全名。

对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher cipher-text 指定安全名为密文形式。可以输入明文或密文,显示为密文形式。
字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68、68~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、48、56、68或68~168时,系统默认为是密文输入,将判断该密文能否解析。
v1 指定SNMPv1版本。 -
v2c 指定SNMPv2c版本。 -
v3 指定SNMPv3版本。 -
authentication

指定对SNMPv3报文进行认证但不加密。

认证是对报文是否完整以及是否被篡改等进行检验,认证密码在执行命令snmp-agent usm-user创建SNMPv3 Proxy用户时配置。

-
privacy

指定对SNMPv3报文进行认证和加密。

加密是对报文的数据部分进行加密处理以防重要信息被窃取,认证密码和加密密码在执行命令snmp-agent usm-user创建SNMPv3 Proxy用户时配置。

-
ipv6-address 指定接收SNMP协议代理报文的目的主机的IPv6地址。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了实现NMS对配置了SNMP Proxy的设备有效管理,保证设备发生的状况能及时传递给NMS,可执行本命令设置接收SNMP协议代理报文的目的主机属性,并对SNMP协议代理报文进行筛选。

注意事项

  • 用户可以多次使用本命令配置不同的目的主机的属性,使得设备可以向多个NMS发送SNMP协议代理报文。最多允许配置20个目的主机。
  • 不指定authenticationprivacy参数时,使用的是对SNMPv3报文不认证不加密。
  • 在配置目的主机时,为目的主机配置的VPN实例必须与目的主机源接口绑定的VPN实例相匹配,否则可能导致发送SNMP协议代理报文失败。

使用实例

# 配置允许向10.1.1.1发送SNMP协议代理报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent proxy target-host snmp-proxy address udp-domain 10.1.1.1 udp-port 165 timeout 45 params securityname public1 v3

snmp-agent set-cache enable

命令功能

snmp-agent set-cache enable命令用来使能SET回应报文缓冲功能。

undo snmp-agent set-cache enable命令用来去使能SET回应报文缓冲功能。

缺省情况下,SET报文缓冲功能去使能。

命令格式

snmp-agent set-cache enable

undo snmp-agent set-cache enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

执行命令snmp-agent set-cache enable时,SNMP协议栈自动使能。使能SET报文缓冲功能时,不要求先使能SNMP协议栈。执行命令undo snmp-agent时,SET回应报文缓冲功能也自动去使能。

使用实例

# 使能SET回应报文缓冲功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent set-cache enable
相关主题

snmp-agent sys-info

命令功能

snmp-agent sys-info命令用来设置系统信息。

undo snmp-agent sys-info命令用来恢复当前设置为缺省值。

缺省情况下,系统维护联系信息为“R&D Beijing, Huawei Technologies co.,Ltd. ”;物理位置信息为“Beijing China”;版本为SNMPv3

命令格式

snmp-agent sys-info { contact contact | location location | version { { v1 | v2c | v3 } * | all } [ disable ] }

undo snmp-agent sys-info { contact | location }

参数说明

参数 参数说明 取值
contact contact 设置系统维护联系信息。 字符串形式,区分大小写,支持空格。取值范围是1~255。
location location 设置设备节点的物理位置。 字符串形式,区分大小写,支持空格。取值范围是1~255。
version { { v1 | v2c | v3 } * | all } 设置系统启用SNMP版本。其中:
  • v1:启用SNMPv1版本。
  • v2c:启用SNMPv2c版本。
  • v3:启用SNMPv3版本。
  • all:同时启用SNMPv1、SNMPv2c和SNMPv3版本。
-
disable 去使能系统的SNMP版本。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

使用snmp-agent sys-info contact命令配置管理节点的联系信息。如果设备发生故障,设备维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系。

使用snmp-agent sys-info location命令配置管理节点的物理位置。

使用snmp-agent sys-info version命令配置系统SNMP版本号,从而实现不同版本相应特性功能。建议使用SNMPv3版本,安全性较高。

SNMPv1:
  • 在SNMPv1中支持基于团体名的访问控制
  • 在SNMPv1中支持基于MIB视图的访问控制
SNMPv2c:
  • 在SNMPv2c中支持基于团体名的访问控制
  • 在SNMPv2c中支持基于MIB视图的访问控制
  • 支持Inform消息
SNMPv3继承了SNMPv2c的基本操作,并定义了一种管理框架,引入了用户安全模块,为用户提供了更加安全的访问机制:
  • SNMPv3中支持用户组
  • SNMPv3中支持基于组的访问控制
  • SNMPv3中支持基于用户的访问控制
  • SNMPv3支持鉴别和加密机制
  • 支持Inform消息
说明:

使用display snmp-agent sys-info命令,可以查看系统维护信息、设备节点的物理位置信息、启用的SNMP版本号等。

注意事项

SNMPv1和SNMPv2c版本存在安全风险,建议使用SNMPv3版本。

使用实例

# 设置系统维护信息为call Operator at 010-12345678。

<HUAWEI> system-view
[~HUAWEI] snmp-agent sys-info contact call Operator at 010-12345678

# 设置设备节点的物理位置是shanghai China。

<HUAWEI> system-view
[~HUAWEI] snmp-agent sys-info location shanghai China

# 设置当前系统SNMP版本号为SNMPv2c。

<HUAWEI> system-view
[~HUAWEI] snmp-agent sys-info version v2c

snmp-agent target-host inform

命令功能

snmp-agent target-host inform命令用来配置接收Inform消息的目的地。

undo snmp-agent target-host命令用来取消接收Inform消息的目的地配置。

缺省情况下,没有配置接收Inform消息的目的地。

命令格式

snmp-agent target-host [ host-name host-name ] inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } ] * params securityname security-name { v2c | v3 [ authentication | privacy ] } [ private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *

snmp-agent target-host [ host-name host-name ] inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } ] * params securityname cipher security-name v2c [ private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *

undo snmp-agent target-host { host-name host-name | ip-address securityname { security-name | cipher security-name } [ vpn-instance vpn-instance-name | public-net ] }

undo snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } ] * params securityname { security-name | cipher security-name }

参数说明

参数 参数说明 取值
host-name host-name 指定SNMP目标主机名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

address 指定SNMP消息传输的目标主机地址。
说明:
address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识一个主机。
-
udp-domain ip-address 指定目标主机的IP地址,且基于UDP传输。 点分十进制形式。
udp-port port-number 指定接收Inform报文的端口号。 整数形式,取值范围是0~65535,缺省值是162。
source interface-type interface-number

指定发送Inform报文的源接口。

-
vpn-instance vpn-instance-name 指定VPN实例名。
说明:
VPN中需要指定vpn-instance,使用VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。
必须是已存在的VPN。
public-net 在公网中连接告警主机。 -
params 指定产生SNMP消息的目标主机信息。 -
securityname security-name 指定在网管侧显示的用户安全名。

对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher security-name

指定以明文或密文输入在网管侧显示的用户安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68、68~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、48、56、68或68~168时,系统默认为是密文输入,将判断该密文能否解析。
v2c | v3 指定SNMP版本。其中:
  • v2c:SNMPv2c版本。
  • v3:SNMPv3版本。
-
authentication | privacy
指定报文安全模式,其中:
  • authentication:认证但不加密。
  • privacy:认证和加密。
仅SNMPv3版本支持该参数。
-
private-netmanager 指定接收Trap的目标主机是华为网管。当网管使用的是华为网管时,配置此参数后,发送给网管的告警中可以携带更加丰富的信息,包括告警的类型、发送告警的序号和告警发送的时间。 -
notify-filter-profile profile-name 指定过滤视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

ext-vb

指定对目标主机发送的告警携带扩展绑定变量。

如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。

  • 不选择参数ext-vb,华为数据通信设备发出的告警不携带扩展绑定变量。

    如果用户使用的是第三方网管工具,为保证第三方网管工具正常接收华为数据通信设备发出的告警,建议不选择参数ext-vb

    缺省情况下,华为数据通信设备发出的告警不携带扩展绑定变量。

  • 选择参数ext-vb,华为数据通信设备发出的告警携带扩展绑定变量。

    如果用户使用的是华为公司网管工具,建议选择参数ext-vb,可查看到告警中携带更加丰富的信息。

-
heart-beat enable

指定使能心跳机制。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

使用snmp-agent target-host inform命令,可以配置接收Inform消息的目的端。对于Inform方式的消息,通过在NMS配置引擎ID,可以加强网管接收告警的安全性。只有在发送的Inform报文中携带的NMS的引擎ID和NMS的引擎ID一致,NMS才能接收消息,并给设备端回应接收到告警的确认消息,否则NMS会丢弃该告警。

如果要配置多台目的主机,必须要为每台主机单独执行snmp-agent target-host inform命令进行配置。如果为一台主机多次执行snmp-agent target-host inform命令进行配置,只有最后一次的成功配置生效。比如,如果已经为一台主机进行了Inform配置,如果再此对其进行Inform配置,则第二次配置会取代第一次配置生效。

系统目前仅支持配置20台告警主机,包括Trap告警主机和Inform告警主机。

请参考下面的说明对参数进行选取:
  • 目的UDP端口号缺省是162,如果有特殊需求(比如配置了端口镜像避免知名端口号被攻击),可以配置udp-port参数将UDP端口号更改为非知名端口号,保证网管和被管理设备的正常通信。

  • 如果被管理设备发送的告警需要通过私网传递给网管时,选择参数vpn-instance vpn-instance-name,指定告警需要穿越的VPN实例。

  • securityname用来在网管上标识和区别发送告警的源设备,方便用户识别告警的发送方。

    说明:

    配置的security-name必须和创建的用户名保持一致,否则网管将无法访问设备。

配置影响

snmp-agent target-host trap命令对Trap消息,无论发送后NMS是否已经接收到此告警,设备端都会从告警队列中删除此消息,使用Trap方式系统消耗的资源少。

而执行snmp-agent target-host inform命令,发送Inform消息后需要等待网管的确认消息,如在指定的时间内没有得到网管的响应,设备会重新传送告警消息。如在指定的重传次数内,设备端仍然无法得到NMS发送的确认消息时,设备端才会从告警队列中删除此告警消息。采用Inform方式可以最大程度的保证网管端接收到告警消息。但是,使用Inform方式系统消耗的资源相对于Trap方式要大些。

注意事项

要保证snmp-agent target-host inform命令和snmp-agent trap enable命令结合在一起使用。snmp-agent trap enable命令用于使能SNMP Trap。

若要一台交换机可以发送Inform通知,至少需要在该交换机上配置一条snmp-agent target-host inform命令。

如果用户通过snmp-agent target-host trapsnmp-agent target-host inform命令配置相同的SNMP目标主机名、相同的目标主机IP地址,那么后配置的命令会覆盖先配置的命令。

使用实例

# 配置告警发送方式为Inform方式、主机的安全名为123、协议版本是v3、对报文进行认证和加密,并发送告警到IP地址为192.168.0.1的NMS。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable
[*HUAWEI] snmp-agent target-host inform address udp-domain 192.168.0.1 params securityname 123 v3 privacy

snmp-agent target-host trap

命令功能

snmp-agent target-host trap命令用来配置接收Trap消息的目的地址。

undo snmp-agent target-host命令用来取消接收Trap消息的目的地配置。

缺省情况下,没有配置接收Trap消息的目的地址。

命令格式

snmp-agent target-host [ host-name host-name ] trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net }] * params securityname security-name [ [ v1 | v2c | v3 [ authentication | privacy ] ] | private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *

snmp-agent target-host [ host-name host-name ] trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | { vpn-instance vpn-instance-name | public-net }] * params securityname cipher security-name [ [ v1 | v2c ] | private-netmanager | ext-vb | notify-filter-profile profile-name | heart-beat enable ] *

undo snmp-agent target-host { host-name host-name | ip-address securityname { security-name | cipher security-name } [ vpn-instance vpn-instance-name | public-net ] }

undo snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number |{ vpn-instance vpn-instance-name | public-net } ] * params securityname { security-name | cipher security-name }

参数说明

参数 参数说明 取值
host-name host-name 指定SNMP目标主机名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

trap 指定该主机为Trap主机。 -
address 指定SNMP消息传输的目标主机地址。
说明:
address指定的IP地址和securityname指定的用户名共同标识一台目的主机。
-
udp-domain ip-address 指定目标主机的IP地址,且基于UDP传输。 -
udp-port port-number 指定接收Trap报文的端口号。 整数形式,取值范围是0~65535,缺省值是162。
source interface-type interface-number 指定发送Trap报文的源接口。 -
public-net 在公网中连接告警主机。 -
vpn-instance vpn-instance-name 指定VPN实例名。
说明:
在VPN中需要指定vpn-instance,使用VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。
必须是已存在的VPN实例名。
params securityname security-name 指定在网管侧显示的用户安全名。

对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher security-name

指定以明文或密文输入在网管侧显示的用户安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68、68~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、48、56、68或68~168时,系统默认为是密文输入,将判断该密文能否解析。
v1 | v2c | v3 指定SNMP版本。其中:
  • v1:SNMPv1版本。
  • v2c:SNMPv2c版本。
  • v3:SNMPv3版本。
如果不指定参数,缺省为v1。
-
authentication | privacy
指定对报文安全模式,其中:
  • authentication:认证但不加密
  • privacy认证和加密
仅SNMPv3版本支持该参数。
-
private-netmanager 指定接收Trap的目标主机是华为网管。当网管使用的是华为网管时,配置此参数后,发送给网管的告警中可以携带更加丰富的信息,包括告警的类型、发送告警的序号和告警发送的时间。 -
notify-filter-profile profile-name 指定过滤视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

ext-vb

指定对目标主机发送的告警携带扩展绑定变量。

如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。

  • 不选择参数ext-vb,华为数据通信设备发出的告警不携带扩展绑定变量。

    如果用户使用的是第三方网管工具,为保证第三方网管工具正常接收华为数据通信设备发出的告警,建议不选择参数ext-vb

    缺省情况下,华为数据通信设备发出的告警不携带扩展绑定变量。

  • 选择参数ext-vb,华为数据通信设备发出的告警携带扩展绑定变量。

    如果用户使用的是华为公司网管工具,建议选择参数ext-vb,可查看到告警中携带更加丰富的信息。

-
heart-beat enable

指定使能心跳机制。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

SNMP的消息机制包括了Trap消息和Inform消息。Trap消息由于接收者不需要发送确认消息,导致可靠性较差,发送者无法确认Trap消息是否被收到。Inform消息由于存在确认机制,保证了Inform消息有了较高的可靠性。

请参考下面的说明对参数进行选取:
  • 目的UDP端口号缺省是162,如果有特殊需求(比如避免知名端口号被攻击),可以配置udp-port参数将UDP端口号更改为非知名端口号,保证网管和被管理设备的正常通信。

  • 如果被管理设备发送的告警需要通过私网传递给网管时,选择参数vpn-instance vpn-instance-name,指定告警需要穿越的VPN实例。

  • securityname用来在网管上标识和区别发送告警的源设备,方便用户识别告警的发送方。

    说明:

    配置的security-name必须和创建的用户名保持一致,否则网管将无法访问设备。

配置影响

snmp-agent target-host trap命令对Trap消息,无论发送后NMS是否已经接收到此告警,设备端都会从告警队列中删除此消息,使用Trap方式系统消耗的资源少。

而执行snmp-agent target-host inform命令,发送Inform消息后需要等待网管的确认消息,如在指定的时间内没有得到NMS的响应,设备会重新传送告警消息。如在指定的重传次数内,设备端仍然无法得到网管发送的确认消息时,设备端才会从告警队列中删除此告警消息。采用Inform方式可以最大程度的保证网管端接收到告警消息。但是,使用Inform方式系统消耗的资源相对于Trap方式要大些。

注意事项

  • 系统目前仅支持配置20台告警主机,包括Trap告警主机和Inform告警主机。

  • 配置设备发送告警前,需要先确认信息中心已经使能。如未使能,需要执行info-center enable命令。

  • 若要一台交换机可以发送Trap消息,至少需要在该交换机上配置一条snmp-agent target-host trap命令和snmp-agent trap enable命令。

  • 如果用户通过snmp-agent target-host trapsnmp-agent target-host inform命令配置相同的SNMP目标主机名、相同的目标主机IP地址,那么后配置的命令会覆盖先配置的命令。

  • 设备支持最多配置20个目标主机。

使用实例

# 允许向10.1.1.1发送SNMP Trap报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable
[*HUAWEI] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname comaccess

# 允许向10.1.1.1发送SNMP Trap报文,并接收Trap的目标主机是华为网管。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable
[*HUAWEI] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname comaccess private-netmanager

snmp-agent target-host trap ipv6

命令功能

snmp-agent target-host trap ipv6命令用来配置接收Trap消息的目的IPv6主机。

undo snmp-agent target-host ipv6命令用来删除接收Trap消息的目的IPv6主机。

缺省情况下,没有配置接收Trap消息的目的IPv6主机。

命令格式

snmp-agent target-host [ host-name host-name ] trap ipv6 address udp-domain ipv6-address [ udp-port port-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname security-name [ [ v1 | v2c | v3 [ authentication | privacy ] ] | private-netmanager | ext-vb | notify-filter-profile profile-name ] *

snmp-agent target-host [ host-name host-name ] trap ipv6 address udp-domain ipv6-address [ udp-port port-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname cipher security-name [ [ v1 | v2c ] | private-netmanager | ext-vb | notify-filter-profile profile-name ] *

undo snmp-agent target-host ipv6 ipv6-address securityname { security-name | cipher security-name }

undo snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname { security-name | cipher security-name }

undo snmp-agent target-host host-name host-name

参数说明

参数 参数说明 取值
host-name host-name 指定SNMP目标主机名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

ipv6 address 指定SNMP消息传输的IPv6目标主机地址。 -
udp-domain 指定目标主机的传输域基于UDP。 -
ipv6-address 指定目标主机IPv6的IP地址。 -
udp-port port-number 指定接收Trap报文的端口号。 整数形式,取值范围为0~65535,缺省情况下为162。
vpn-instance vpn-instance-name

指定VPN实例名。

说明:

在VPN中需要指定vpn-instance,使用VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。

必须是已存在的VPN实例名。
public-net 在公网中连接告警主机。 -
params securityname security-name 指定在网管侧显示的用户安全名。

对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

cipher security-name

指定以明文或密文输入在网管侧显示的用户安全名。

字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68、68~168。当输入的字符串两端使用双引号时,可在字符串中输入空格。
  • 当输入的字符串长度在1至32之间时,系统默认为是明文输入,会对明文加密。
  • 当输入的字符串长度为32、48、56、68或68~168时,系统默认为是密文输入,将判断该密文能否解析。
v1 | v2c | v3 指定SNMP版本。其中:
  • v1:SNMPv1版本。
  • v2c:SNMPv2c版本。
  • v3:SNMPv3版本。
如果不指定参数,缺省为v1。
-
authentication | privacy
指定对报文安全模式,其中:
  • authentication:认证但不加密
  • privacy:认证和加密
-
private-netmanager 指明接收Trap的目标主机是华为网管。当网管使用的是华为网管时,配置此参数后,发送给网管的告警中可以携带更加丰富的信息,包括告警的类型、发送告警的序号和告警发送的时间等。 -
notify-filter-profile profile-name 指定过滤视图名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

ext-vb

指定对目标主机发送的告警携带扩展绑定变量。

如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。

  • 不选择参数ext-vb,华为数据通信设备发出的告警不携带扩展绑定变量。

    如果用户使用的是第三方网管工具,为保证第三方网管工具正常接收华为数据通信设备发出的告警,建议不选择参数ext-vb

    缺省情况下,华为数据通信设备发出的告警不携带扩展绑定变量。

  • 选择参数ext-vb,华为数据通信设备发出的告警携带扩展绑定变量。

    如果用户使用的是华为公司网管工具,建议选择参数ext-vb,可查看到告警中携带更加丰富的信息。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

此命令用于配置IPv6网管主机,其作用是在产生Trap的时候,使Trap基于IPv6协议发送。

系统目前仅支持配置20台告警主机,包括Trap告警主机和Inform告警主机。

注意事项

在配置告警主机的安全级别时,要确保其安全级别不低于securityname用户的安全级别。否则,告警主机无法正常发送告警。

用户具备三种属性,按照安全性从高到低为:
  • 1级:privacy(鉴权且加密)
  • 2级:authentication(只鉴权)
  • 3级:None(不鉴权不加密)

告警主机的安全级别必须不低于用户的安全级别。即如果用户是1级的,告警主机就必须是1级的,用户是2级的,告警主机可以是1级或者2级。

使用实例

# 配置一个IPv6网管,使用SNMP v3协议,安全名为Huawei,加密方式为认证且加密。

<HUAWEI> system-view
[~HUAWEI] snmp-agent target-host trap ipv6 address udp-domain FC00::1 params securityname Huawei v3 privacy

snmp-agent trap disable

命令功能

snmp-agent trap disable命令用来关闭系统中打开的所有告警开关。

undo snmp-agent trap disable命令用来恢复所有的告警开关至缺省状态。

缺省情况可以通过命令display snmp-agent trap all查看。

命令格式

snmp-agent trap disable

undo snmp-agent trap disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

使用snmp-agent trap enable命令打开所有模块的告警开关,或者使用snmp-agent trap enable feature-name打开某个特性的告警开关时:
  • 如果需要一次性关闭所有打开的告警开关,需使用snmp-agent trap disable关闭所有打开的告警开关。

  • 如果需要一次性恢复所有的告警开关至缺省状态,需使用undo snmp-agent trap disable或者undo snmp-agent trap enable恢复所有的告警开关至缺省状态。

说明:

如果需要关闭其中某一个告警开关时,可以使用undo snmp-agent trap enable feature-name命令一次关闭一个告警开关。

使用实例

# 关闭所有打开的告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap disable

snmp-agent trap enable

命令功能

snmp-agent trap enable命令用来使能交换机发送Trap报文。

undo snmp-agent trap enable命令用来恢复为缺省情况。

缺省情况可以通过命令display snmp-agent trap all查看。

命令格式

snmp-agent trap enable

undo snmp-agent trap enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

snmp-agent trap enable命令与snmp-agent target-host inform命令、snmp-agent target-host trap命令协同使用。

若要一台设备可以发送告警消息,至少需要在该设备上配置一条snmp-agent target-host inform命令或snmp-agent target-host trap命令,指明接收告警信息的目的地址。

使用实例

# 使能交换机发送Trap报文。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable

snmp-agent trap enable feature-name

命令功能

snmp-agent trap enable feature-name命令用来打开具体特性下的指定告警的开关。

undo snmp-agent trap enable feature-name命令用来关闭具体特性下的指定告警的开关。

缺省情况可以通过命令display snmp-agent trap all查看。

命令格式

snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]

undo snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]

参数说明

参数 参数说明 取值
feature-name 指定产生告警的特性名称。 -
trap-name trap-name 指定告警名称。 -

视图

系统视图

缺省级别

3:管理级

使用指南

如果不指定trap-name trap-name参数,snmp-agent trap enable feature-name feature-name命令表示使能交换机具体特性下的所有告警消息。

用户可通过display snmp-agent trap feature-name all查看配置结果。

使用实例

# 使能交换机发送RMON特性的fallingalarm告警。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name rmon trap-name fallingalarm

snmp-agent trap enable feature-name snmp

命令功能

snmp-agent trap enable feature-name snmp命令用来打开SNMP模块的告警开关。

undo snmp-agent trap enable feature-name snmp命令用来关闭SNMP模块的告警开关。

SNMP模块告警的缺省情况可以通过display snmp-agent trap feature-name snmp all命令查看。

命令格式

snmp-agent trap enable feature-name snmp [ trap-name trap-name ]

undo snmp-agent trap enable feature-name snmp [ trap-name trap-name ]

参数说明

参数 参数说明 取值
trap-name trap-name 指定告警的名称。
有以下告警:
  • authenticationFailure
  • coldStart
  • hwNmsHeartBeat
  • hwNmsPingTrap
  • warmStart

视图

系统视图

缺省级别

3:管理级

使用指南

为了方便网管对设备的SNMP模块进行管理,将告警信息及时上送给网管设备,可以通过该命令打开SNMP模块的告警开关,就可以保证运行过程中生成的告警就会上送给网管;否则,SNMP模块的告警不会上送给网管。目前,SNMP支持以下几种告警类型:
  • 冷启动告警(coldStart):设备断电重启时,会产生此告警。
  • 热启动告警(warmStart):设备上的SNMP Agent状态从未使能到使能时的操作时,会产生此告警。
  • 测试成功告警(hwNmsPingTrap):当测试与NMS连接成功时,会产生此告警。
  • 认证失败告警(authenticationFailure):当使用错误的团体名连接设备而导致连接失败时,会产生此告警。
  • 心跳测试告警(hwNmsHeartBeat):当成功发送心跳报文时,会产生此告警。

用户可通过display snmp-agent trap feature-name snmp all查看配置结果。

使用实例

# 打开SNMP的authenticationFailure告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name snmp trap-name authenticationFailure

snmp-agent trap source

命令功能

snmp-agent trap source命令用来指定发送Trap的源接口。

undo snmp-agent trap source命令用来取消对发送Trap源接口的指定。

缺省情况下,未指定发送Trap的源接口。

命令格式

snmp-agent trap source interface-type interface-number

undo snmp-agent trap source

参数说明

参数 参数说明 取值
interface-type interface-number 指定发送Trap报文的源接口类型和编号。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

从一台服务器发出的SNMP Trap消息,可以通过snmp-agent trap source命令指定发送Trap报文的源接口类型和编号,系统将指定该接口的IP地址为Trap报文的源IP地址。这样,在NMS上可以进行告警源识别。

注意事项

发送Trap的源接口必须是已经配置了IP地址的接口,否则命令无法生效。为了保证设备的安全性,发送的源地址最好配置为本地的loopback地址。

设备端配置的Trap报文的源接口和网管站配置的发送报文的接口需要保持一致,否则网管站无法接收设备发送的Trap报文。

使用实例

# 将VLANIF100地址作为Trap报文的源地址。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap source vlanif 100

snmp-agent trap source-port

命令功能

snmp-agent trap source-port命令用来配置发送Trap报文的源端口号。

undo snmp-agent trap source-port命令用来恢复发送Trap报文的源端口号为缺省值。

缺省情况下,发送Trap报文的源端口号为随机端口号。

命令格式

snmp-agent trap source-port port-num

undo snmp-agent trap source-port

参数说明

参数 参数说明 取值
port-num 指定发送Trap报文的源端口号。 整数形式,取值范围是1025~65535。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

执行此命令,用户可以将发送Trap报文的源端口设置为固定端口,用户防火墙可以针对此端口进行报文过滤,从而提高网络报文的安全性。

注意事项

缺省情况下,使用随机端口发送Trap报文,不生成配置文件。配置固定源端口号后,会生成对应的配置文件。恢复为缺省值后,不再生成配置文件。

当设备以inform方式发送报文到网管时,执行该命令变更发送Trap报文的源端口号后,SNMP会使用新配置的源端口号接收网管回应报文。这样会使SNMP无法使用原有配置的源端口号接收网管回应报文,而导致报文重传。

使用实例

# 配置SNMP Agent Trap报文发送源端口号为1057。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap source-port 1057

snmp-agent udp-port

命令功能

snmp-agent udp-port命令用来配置SNMP Agent与网管连接所使用的UDP端口号。

undo snmp-agent udp-port命令用来恢复SNMP Agent与网管连接所使用的UDP端口号为缺省值。

缺省情况下,SNMP Agent与网管连接所使用的UDP端口号为161。

命令格式

snmp-agent udp-port port-num

undo snmp-agent udp-port

参数说明

参数 参数说明 取值
port-num 指定SNMP Agent与网管连接所使用的UDP端口号。 整数形式,取值范围是161、1025~65535。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

SNMP Agent是运行在网络设备中的一个代理进程。缺省情况下,该进程通过161端口与网管进行通信,响应网管发来的指令,从而实现网管对设备的管理。由于用于通信的端口号固定,存在一定的安全隐患,如攻击者将大量的攻击报文发往该端口,造成网络阻塞等。

通过snmp-agent udp-port命令,用户可以修改这个知名端口号,从而提高设备的安全性。

配置影响

执行该命令后,SNMP Agent将使用新配置的端口号与网管进行通信,原有的SNMP连接将会断开。网管端需要使用新端口号才能连接到设备。

注意事项

在配置了SNMP Agent与网管连接所使用的端口号以后,通过网管管理设备时,网管端指定的端口号必须与snmp-agent udp-port命令配置的端口号保持一致,否则无法连接设备。

使用实例

# 配置SNMP Agent与网管连接所使用的UDP端口号为1057。

<HUAWEI> system-view
[~HUAWEI] snmp-agent udp-port 1057

snmp-agent usm-user

命令功能

snmp-agent usm-user命令用来为一个SNMP组添加一个新用户。

undo snmp-agent usm-user命令用来删除SNMP组的一个用户。

缺省情况下,SNMP组没有用户。

命令格式

# 配置添加新用户的方式一

snmp-agent [ remote-engineid engineid ] usm-user v3 user-name group-name [ authentication-mode { md5 | sha } password [ privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } password ] ] [ acl { acl-number | acl-name } ]

# 配置添加新用户的方式二

snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *

snmp-agent [ remote-engineid engineid ] usm-user v3 user-name authentication-mode { md5 | sha } [ cipher password ]

snmp-agent [ remote-engineid engineid ] usm-user v3 user-name privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } [ cipher password ]

# 删除用户的方式

undo snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group | acl | authentication-mode | privacy-mode ]

参数说明

参数 参数说明 取值
remote-engineid engineid

指定用户的远程引擎ID 。

说明:

当配置设备发送Inform方式告警时,需要告警主机回应确认消息,因此需要设备侧指定网管侧的Engine ID参数。此时必须配置remote-engineid engineid为告警主机的Engine ID。

十六进制数字,长度范围是10~64,全零或者全F为无效值。
v3 指定用户使用V3的安全模式。 -
user-name 指定用户名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

group-name 指定用户对应的组名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

group group-name 指定用户对应的组名。

字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。

authentication-mode 指定安全级别为需要认证。 -
md5 | sha
指定认证协议。其中:
  • md5:指定认证协议为HMAC-MD5-96。
  • sha:指定认证协议为HMAC-SHA-96。
说明:
HMAC-MD5-96算法的计算速度比HMAC-SHA-96算法快,而HMAC-SHA-96算法的安全强度比HMAC-MD5-96算法高。为了保证更好的安全性,建议使用HMAC-SHA-96算法。
-
password 指定密码。

字符串形式。如果是明文类型,长度范围是8~255;如果是密文类型,长度范围是32~432。当输入的字符串两端使用双引号时,可在字符串中输入空格。

缺省情况下,对配置SNMPv3的认证密码或加密密码进行复杂度检查,此时明文类型密码的长度范围是8~255;可以使用snmp-agent usm-user password complexity-check disable命令关闭密码复杂度功能,此时,明文类型密码的长度范围变成1~255。

说明:
开启密码复杂度检查后,密码不能与用户名及其用户名反向字符串相同,且密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。
cipher password 指定密码。

字符串形式,不支持空格,区分大小写,仅支持密文类型,长度范围是32~432。当输入的字符串两端使用双引号时,可在字符串中输入空格。

说明:
密码不能与用户名及其用户名反向字符串相同,且密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。
privacy-mode 指定安全级别为加密。

系统采用数据加密标准(DES)的密码组链接(CBC)码,使用128位的privKey作为输入。管理站使用密钥计算验证码,然后将其加入信息中,而代理则使用同一密钥从接收的信息中提取出验证码,从而得到信息。加密的过程与身份验证类似,也需要管理站和代理共享同一密钥来实现信息的加密和解密。

-
{ 3des168 | aes128 | aes192 | aes256 | des56 } 指定加密协议为3DES–168、AES–128、AES–192、AES–256、或者DES–56加密算法。

-

acl { acl-number | acl-name }
指定访问控制列表。其中:
  • acl-number表示基本访问控制列表号。
  • acl-name表示指定命名型访问控制列表的名字。
  • acl-number:整数形式,取值范围是2000~2999。
  • acl-name字符串形式,不支持空格,区分大小写,长度范围是1~32,以英文字母开始。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

配置添加一个新用户的命令格式有两种,该两种方式的作用完全相同,请选择其中的一种进行配置。

SNMPv1/v2c在安全性方面存在重要的缺陷。SNMPv1/v2c采用基于团体名的有限的安全认证机制,团体名明文传输。不推荐在非完全信任的网络使用SNMPv1/SNMPv2c。

SNMPv3改进了SNMPv1/v2c中的安全方面的缺陷,在基于用户的安全模型(User-Based Security Model)中,主要提供了认证和加密两种服务。定义了3个安全级别:无认证无加密(noAuthNoPriv),有认证无加密(authNoPriv)和有认证有加密。
说明:
不存在无认证有加密这种组合,因为加密时所使用的密码是与用户相关联的,有用户就要对用户的身份进行认证。
和SNMPv1和SNMPv2c相比,SNMPv3用户通过本地处理模块和用户安全模块实现访问控制、身份验证和加密。其安全性和保密性较高,应用更为广泛。SNMPv1、v2c和V3的比较如下:
表18-23  SNMP协议安全性比较
协议版本 用户校验 加密 鉴权
v1 采用团体字
v2c 采用团体字
v3 基于用户名的加解密

执行snmp-agent group命令,可以把认证、加密和访问控制细化到SNMP组的级别。通过snmp-agent group命令对指定的SNMP组名配置权限,同时绑定到MIB视图。这里的MIB视图是由snmp-agent mib-view创建,具体细节可以参见该命令的使用指南。完成SNMP用户组的配置后,即可以认为实现了SNMP用户组基于MIB视图的访问控制,但此时用户并不能够直接使用SNMP用户组进行MIB视图的访问。配置SNMP组目的是为SNMP用户提供群组,保证一个SNMP组内的SNMP用户具有相同的安全级别和访问控制列表。执行snmp-agent usm-user命令可以实现SNMP组和SNMP用户的绑定,此时可以视为SNMP用户基于视图的访问控制。如果SNMP组配置指定了有认证有加密的访问权限,在配置SNMP用户时候就可以进行认证方式和加密方式的配置。网管端NMS和设备端Agent必须配置相同的认证密钥和加密的密码,否则验证失败。

当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等。建议用户配置认证和加密功能,且配置不同的认证密码和加密密码来提高安全性。

配置影响

用户在为某个代理配置了远端用户后,在进行验证时,需要用到引擎ID(engineID)。如果配置用户后引擎ID改变,则原引擎ID相应的用户被删除。

注意事项

在配置用户的安全级别时,要确保其安全级别不低于其所加入的用户组的安全级别。

用户组具备三种属性,按照安全性从高到低为:
  • 1级:privacy (鉴权且加密)
  • 2级:authentication (只鉴权)
  • 3级:None (不鉴权不加密)

用户的安全级别必须 >= 用户组的安全级别。即如果用户组是1级的,用户就必须是1级的,用户组是2级的,用户可以是1级或者2级。

如果配置的用户安全级别为不认证不加密,则用户的访问权限限制在MIB-2(OID为1.3.6.1.2.1)的范围内,且只有只读权限。

配置SNMP用户,必须保证其加入有效的SNMP用户组。

多次使用本命令配置同一用户,配置结果以最后一次的配置为准。

在创建用户时请牢记用户名以及对应的明文类型密码,因为NMS在访问设备时,需要输入明文类型密码。

用户输入的密码有以下特点:
  • 输入的密码为字符串形式,区分大小写,长度范围是8~255。

  • 输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。

    特殊字符不包括“?”和空格。

  • 为了提高密码的安全性,避免使用完全由重复字符串构成的口令,例如abc123abc123abc123、**123abc**123abc等。

  • 采用交互方式输入的密码不会在终端屏幕上显示出来。

说明:

缺省情况下,对配置SNMPv3的认证密码或加密密码进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent usm-user password complexity-check disable命令关闭密码复杂度功能。

为了保证更好的安全性,建议不要使用MD5算法作为SNMPv3的认证算法,不要使用DES56或3DES168算法作为SNMPv3的加密算法。

使用实例

# 配置SNMPv3用户,用户名u1,所属组名g1,鉴别方式sha,鉴别密码为8937561bc,加密方式aes128,加密密码为68283asd。

<HUAWEI> system-view
[~HUAWEI] snmp-agent usm-user v3 u1 group g1
[*HUAWEI] snmp-agent usm-user v3 u1 authentication-mode sha
Please configure the authentication password (8-255)                             
Enter Password:                                                                 
Confirm Password: 
[*HUAWEI] snmp-agent usm-user v3 u1 privacy-mode aes128
Please configure the privacy password (8-255)                                     
Enter Password:                                                                 
Confirm Password:
[*HUAWEI]

snmp-agent usm-user password complexity-check disable

命令功能

snmp-agent usm-user password complexity-check disable命令用来去使能用户的认证密码或加密密码的复杂度检查。

undo snmp-agent usm-user password complexity-check disable命令用来使能用户的认证密码或加密密码的复杂度检查。

缺省情况下,SNMP用户的认证密码或加密密码的复杂度检查处于使能状态。

命令格式

snmp-agent usm-user password complexity-check disable

undo snmp-agent usm-user password complexity-check disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当SNMP用户处于非常安全的网络时,可以使用snmp-agent usm-user password complexity-check disable命令将用户的认证密码或加密密码的复杂度检查功能关闭。

注意事项

为了增强安全性,建议用户不要将认证密码和加密密码的复杂度检查功能关闭。

使用实例

# 去使能用户的认证密码或加密密码的复杂度检查功能。

<HUAWEI> system-view
[~HUAWEI] snmp-agent usm-user password complexity-check disable
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16143

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页