CE系列交换机与eSight对接示例

操作步骤

1. 在SwitchA上配置SNMPv3功能。SwitchB的配置与SwitchA类似，不再赘述。
   1. 配置SNMP版本。

      <HUAWEI> system-view 
      [~HUAWEI] sysname SwitchA 
      [*HUAWEI] commit 
      [~SwitchA] snmp-agent sys-info version v3  //配置SNMP的协议版本为SNMPv3，需要与eSight使用的SNMP协议版本一致。
      [*SwitchA] commit 

   2. 配置访问权限。

      [~SwitchA] snmp-agent mib-view included myview iso  //配置eSight可访问的MIB视图。为了保证eSight能正常管理设备，例如通过LLDP协议发现设备链路，MIB视图需要包含iso节点。
      [*SwitchA] commit

   3. 配置SNMPv3用户组和用户，并配置认证和加密方式。

      SNMPv3的认证方式有md5和sha，加密方式有3des168、aes128、aes192、aes256和des56。为了保证更好的安全性，建议使用sha作为SNMPv3的认证方式，使用aes128、aes192或aes256作为SNMPv3的加密方式。

      [~SwitchA] snmp-agent group v3 admin privacy write-view myview notify-view myview
      [*SwitchA] snmp-agent usm-user v3 eSight-admin group admin  //配置SNMPv3用户名为eSight-admin，需要与eSight的安全名保持一致。
      [*SwitchA] snmp-agent usm-user v3 eSight-admin authentication-mode sha  //配置eSight-admin用户的认证方式和认证密码，需要与eSight的鉴权协议和认证密码保持一致。
      Please configure the authentication password (8-255)
      Enter Password:               //输入认证密码，本例的认证密码为：Authe@1234。
      Confirm Password:             //确认认证密码，本例的认证密码为：Authe@1234。
      [*SwitchA] snmp-agent usm-user v3 eSight-admin privacy-mode aes128  //配置eSight-admin用户的加密方式和加密密码，需要与eSight的私有协议和加密密码保持一致。
      Please configure the privacy password (8-255)
      Enter Password:              //输入加密密码，本例的加密密码为：Priva@1234。
      Confirm Password:            //确认加密密码，本例的加密密码为：Priva@1234。
      [*SwitchA] commit

   4. 配置告警主机。

      配置设备发送告警前，需要先确认信息中心已经使能。如未使能，请在系统视图下执行info-center enable命令，使能信息中心功能。

      [~SwitchA] snmp-agent trap enable  //打开所有模块的告警开发。缺省情况下，有部分告警的开发处于关闭状态。
      [*SwitchA] snmp-agent target-host trap address udp-domain 10.7.60.66 params securityname eSight-admin v3 privacy  //告警主机的IP地址为eSight的IP地址，安全名为SNMPv3用户名，发送告警的版本为v3。
      [*SwitchA] commit

2. 在SwitchA上配置STelnet（SSH）功能。SwitchA作为SSH服务器。SwitchB的配置与SwitchA的配置类似，不再赘述。
   1. 在SwitchA上生成本地密钥对。

      [~SwitchA] rsa local-key-pair create
      The key name will be:SwitchA_Host
      The range of public key size is (2048 ~ 2048).   //V200R019C10版本开始，支持密钥对长度2048或者3072bit，建议选择3072bit长度，以提高设备安全性。
      NOTE: Key pair generation will take a short while.
      [*SwitchA] commit

   2. 在SwitchA上创建SSH用户。

      用户主要有password、RSA、password-rsa、DSA、password-dsa、ECC、password-ecc和all这8种认证方式。本示例中采用password认证方式。

      # 配置VTY用户界面。

      [~SwitchA] user-interface vty 0 4
      [~SwitchA-ui-vty0-4] authentication-mode aaa
      [*SwitchA-ui-vty0-4] protocol inbound ssh   //配置VTY用户界面支持的协议类型为SSH。
      [*SwitchA-ui-vty0-4] quit

      # 新建用户名为esight-ssh的SSH用户，且认证方式为password。

      [*SwitchA] aaa
      [*SwitchA-aaa] local-user esight-ssh password irreversible-cipher Huawei@123  //新建用户名为esight-ssh的用户并配置密码，需要与eSight使用的STelnet登录用户和密码一致。
      [*SwitchA-aaa] local-user esight-ssh level 3
      [*SwitchA-aaa] local-user esight-ssh service-type ssh  //配置esight-ssh用户的接入类型为SSH，需要与eSight使用的登录协议保持一致。
      [*SwitchA-aaa] quit
      [*SwitchA] ssh user esight-ssh authentication-type password  //配置esight-ssh用户的认证方式为密码认证，需要与eSight使用的认证模式一致。
      [*SwitchA] commit

   3. 在SwitchA上开启STelnet服务功能。

      [~SwitchA] stelnet server enable
      [*SwitchA] commit

   4. 在SwitchA上配置SSH用户esight-ssh的服务方式为STelnet。

      [~SwitchA] ssh user esight-ssh service-type stelnet
      [*SwitchA] commit

3. 在SwitchA上配置LLDP功能。SwitchB的配置与SwitchA的配置类似，不再赘述。

   [~SwitchA] lldp enable  //CE系列交换机的LLDP功能默认处于去使能状态。
   [*SwitchA] commit

4. 将设备添加到eSight。
   eSight当前提供三种添加设备的方式：

   • 自动发现设备：通过IP地址段进行设备发现。
   • 单个添加设备：手工添加少量设备到eSight。
   • 批量导入设备：通过已有的表单导入设备。

   本举例中eSight侧配置以eSight V300R007C00版本为例，以自动发现设备的方式添加设备。其他添加设备的方式请参见eSight产品文档。
   # 在eSight侧创建SNMP协议模板。

   1. 登录eSight网管，选择“资源 > 资源管理 > 协议模板”。

   2. 选择“SNMP协议模板 > 创建”，进入“新增模板”界面。

   3. 填写SNMP协议模板的参数，确认参数无误后，单击“确定”。

      表2-18 SNMP协议模板参数

      参数	取值	备注
      模板名称	SNMPv3	-
      参数类型	V3：表示eSight使用的SNMP协议为SNMPv3版本。	CE交换机侧配置SNMP的协议版本必须包含SNMPv3。
      鉴权协议	HMAC_SHA	必须与CE交换机侧配置的SNMPv3用户eSight-admin的认证方式一致，此处SNMPv3用户eSight-admin的认证方式为sha。
      认证密码	Authe@1234	必须与CE交换机侧配置的SNMPv3用户eSight-admin的认证密码一致，此处SNMPv3用户eSight-admin的认证密码为Authe@1234。
      私有协议	AES_128	必须与CE交换机侧配置的SNMPv3用户eSight-admin的加密方式一致，此处SNMPv3用户eSight-admin的加密方式为aes128。
      加密密码	Priva@1234	必须与CE交换机侧配置的SNMPv3用户eSight-admin的加密密码一致，此处SNMPv3用户eSight-admin的加密密码为Priva@1234。
      用户名	eSight-admin	必须为CE交换机侧配置的SNMPv3用户。
      上下文	-	-
      引擎id	-	-
      端口	161	必须与CE交换机侧配置的SNMP端口号一致，缺省情况下，CE交换机的SNMP端口号为161。如果用户需要修改SNMP端口号，请在系统视图下执行命令snmp-agent udp-port port-num。
      超时时间	4	如果网络质量不高，请用户将超时时间设置大些。
      重试次数	3	-

   # 将设备添加至eSight。

   1. 选择“资源 > 资源添加 > 自动发现”。

   2. 填写自动发现方式所需的信息，单击“自动发现”。

      基本设置：请填写交换机的起始IP地址，结束IP地址，以及添加到哪个网段。

      任务设置：保持默认值即可。

      SNMP协议：单击“选择SNMP协议模板”，选择上面创建的SNMPv3模板。

   3. 如果界面显示，表示设备添加成功。单击“完成”。

5. 在eSight上配置STelnet协议。

   # 在eSight侧创建STelnet协议模板。

   1. 选择“资源 > 资源管理 > 协议模板”。

   2. 选择“Telnet协议模板 > 创建”，进入“创建”界面。

   3. 填写Telnet协议模板的参数，确认参数无误后，单击“确定”。

      表2-19 Telnet协议模板参数

      参数	取值	备注
      模板名称	SSH	-
      协议类型	STelnet：表示eSight通过STelnet远程登录设备，并向设备下发配置。	CE交换机侧必须要配置STelnet登录方式。
      端口	22	必须与CE交换机侧配置的STelnet的端口号一致，缺省情况下，STelnet的端口号为22。如果用户需要修改STelnet的端口号，请在系统视图下执行命令ssh [ ipv4 | ipv6 ] server port port-number。 说明： 从V200R005C00版本开始，设备支持参数[ ipv4 | ipv6 ]。
      超时时间	20	-
      认证模式	密码	必须与CE交换机侧配置的SSH用户的认证方式保持一致，此处CE交换机侧配置的认证方式为password。
      登录用户	esight-ssh	必须为CE交换机侧配置的SSH用户。
      密码	Huawei@123	必须与CE交换机侧SSH用户esight-ssh的密码保持一致，此处CE交换机SSH用户esight-ssh的密码为Huawei@123。

   # 配置eSight通过STelnet远程登录设备。

   1. 选择“资源 > 资源管理 > 网络设备”。

   2. 选中设备，选择“设置协议 > 设置Telnet参数”，进入“设置telnet参数”界面。

   3. 用户有两种方式设置Telnet参数：

      • 手工编辑Telnet参数：直接配置Telnet参数，具体的Telnet参数请参见表2-19。

      • 从已有的Telnet参数模板中选取：需要提前配置Telnet协议模板。

      此处从已有的Telnet参数模板中选取Telnet协议模板，Telnet协议模板名为前面配置的SSH，单击“确定”。