SNMP配置命令
- 命令支持情况
- bulk-file
- bulk-stat enable
- clear configuration snmp-agent trap enable
- collect enable
- collect interval
- display bulk-stat
- display snmp-agent
- display snmp-agent community
- display snmp-agent extend error-code status
- display snmp-agent group
- display snmp-agent heartbeat configuration
- display snmp-agent inform
- display snmp-agent mib-view
- display snmp-agent notification-log
- display snmp-agent notify-filter-profile
- display snmp-agent statistics
- display snmp-agent statistics mib
- display snmp-agent sys-info
- display snmp-agent target-host
- display snmp-agent trap all
- display snmp-agent trap feature-name all
- display snmp-agent trap feature-name bulkstat all
- display snmp-agent trap feature-name snmp all
- display snmp-agent usm-user
- enable snmp trap updown
- format (bulk-file视图)
- object
- reset snmp-agent statistics mib
- snmp-agent
- snmp-agent acl
- snmp-agent community
- snmp-agent community complexity-check disable
- snmp-agent extend error-code enable
- snmp-agent group
- snmp-agent heartbeat enable
- snmp-agent heartbeat interval
- snmp-agent inform
- snmp-agent inform address
- snmp-agent local-engineid
- snmp-agent mib-view
- snmp-agent notification-log
- snmp-agent notification-log enable
- snmp-agent notify-filter-profile
- snmp-agent packet contextengineid-check enable
- snmp-agent packet max-size
- snmp-agent packet-priority
- snmp-agent protocol get-bulk timeout
- snmp-agent protocol server disable
- snmp-agent protocol source-interface
- snmp-agent protocol server message queue
- snmp-agent set-cache enable
- snmp-agent statistics mib disable
- snmp-agent sys-info
- snmp-agent target-host inform
- snmp-agent target-host trap
- snmp-agent target-host trap ipv6
- snmp-agent trap disable
- snmp-agent trap enable
- snmp-agent trap enable feature-name
- snmp-agent trap enable feature-name bulkstat
- snmp-agent trap enable feature-name snmp
- snmp-agent trap life
- snmp-agent trap queue-size
- snmp-agent trap start-trap resend disable
- snmp-agent trap source
- snmp-agent trap source-port
- snmp-agent trap type
- snmp-agent udp-port
- snmp-agent usm-user
- snmp-agent usm-user password complexity-check disable
- storage
- transfer
- transfer interval
- transfer remain-time
- transfer retry
bulk-file
命令功能
bulk-file命令用来创建批量统计文件并进入bulk-file视图或者进入一个已创建的bulk-file视图。
undo bulk-file命令用来删除批量统计文件。
缺省情况下,未配置批量统计文件。
使用指南
需要先执行bulk-stat enable命令来使能批量统计功能,才能建立批量统计文件。
删除统计文件前,必须确认统计文件存在,并且文件统计任务已经被停止;如果条件不满足,则输出相应的提示信息。
bulk-stat enable
clear configuration snmp-agent trap enable
使用指南
应用场景
当使用命令snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]打开或关闭某个特性的告警开关,或使用命令snmp-agent trap enable、snmp-agent trap disable打开或关闭所有特性的告警开关时,如果需要将这些命令的相关配置清除,可以使用本命令。
配置影响
- 当打开或关闭全局告警开关时,执行clear configuration snmp-agent trap enable feature-name feature-name命令会清除feature-name指定特性的告警开关的相关配置,并且将该特性的告警开关恢复到和全局告警开关的状态一致。
- 当全局告警开关处于缺省状态时,执行clear configuration snmp-agent trap enable feature-name feature-name命令会清除feature-name指定特性的告警开关的相关配置,并且将该特性的告警开关恢复到缺省状态。
- 当执行clear configuration snmp-agent trap enable命令时,会清除所有特性告警开关的相关配置,并且将所有特性的告警开关恢复到缺省状态。
collect enable
命令功能
collect enable命令用来启动一个已创建的批量统计文件的采集调度功能。
undo collect enable命令用来关闭一个已创建的批量统计文件的采集调度功能。
缺省情况下,系统未启动一个已创建的批量统计文件的采集调度功能。
使用指南
应用场景
批量统计文件创建后,处于Stop状态,尚未参与采集调度;使用collect enable命令启动采集调度功能后,文件状态转换为Ready,才能参与采集调度。undo collect enable命令用来关闭采集调度功能,把文件状态转换为Stop。
注意事项
在使用collect enable采集调度批量统计文件前,必须先使用命令transfer配置文件传输的主用方式。
一个批量统计文件的采集调度功能的启动与上次关闭操作之间必须间隔至少10秒钟,否则执行失败。
只有批量统计文件的采集调度功能为关闭状态时,才允许修改重传次数、采集周期、上传周期、保存时间,删除主URL。
当配置采集周期、上传周期、保存时间时,这三者只有满足特定的约束条件(上传周期是采集周期的整数倍,保存时间小于或等于上传周期),才能配置此命令。
display bulk-stat
使用指南
display bulk-stat命令用来显示批量统计功能的整体配置信息,包括:
- 最大统计文件数目
- 当前已配置统计文件数目
- 5分钟可统计最大实例数目
- 已配置统计文件的基本配置及状态
文件名称、文件存储方式、文件格式
采集周期、上传周期
主用上传URL和备用上传URL
重传次数
文件保存时间
当前文件状态
文件包含对象
使用实例
# 显示批量统计功能的配置信息。
<HUAWEI> display bulk-stat
bulk statistic info:
--------------------------------
max bulk file number : 10
current bulk file number: 10
current bulk object number: 2000
max data item per 5 minutes: 40000
--------------------------------
index bulk file name collect(min) transfer(min) status
-------------------------------------------------------------------------------------------------------------
1 bulk1 5 5 running
2 bulk2 5 15 ready
3 bulk3 5 10 stop
4 bulk4 5 15 ready
-------------------------------------------------------------------------------------------------------------
项目 |
描述 |
|---|---|
max bulk file number |
可配置的统计文件的最大数目。 |
current bulk file number |
已配置的统计文件的数目。 |
current bulk object number |
已配置的统计对象的数目。 |
max data item per 5 minutes |
5分钟内可统计的实例的最大数目。 |
index |
已配置的统计文件的索引。 |
bulk file name |
已配置的统计文件的名称。 该参数可通过bulk-file命令进行配置。 |
collect(min) |
已配置的统计文件的采集周期。 该参数可通过collect interval命令进行配置。 |
transfer(min) |
已配置的统计文件的上传周期。 该参数可通过transfer interval命令进行配置。 |
status |
已配置的统计文件的状态:
|
# 显示批量统计文件“iftable”的详细配置信息。
<HUAWEI> display bulk-stat iftable
bulk file iftable:
--------------------------------
storage: ephemeral
format: bulkASCII
collect interval: 5 min
transfer interval: 15 min
primary transfer URL: ftp://user:password@host/folder/bulkstat1
secondary transfer URL: tftp://10.1.0.1/tftpboot/user/bulkstat1
transfer retry times: 3
file remain time: 15 min
status: running
last transfer success time: 2006-11-29 11:15
last transfer fail time: NULL
total object number: 2
--------------------------------
index: 1
class: single
OID: 1.3.6.1.2.1.10.94.1.1.10.1.1.0.1
start index: NULL
instance number: NULL
--------------------------------
index: 2
class: column
OID: 1.3.6.1.2.1.10.94.1.1.10.1.2
start index: 1
instance number: 3
项目 |
描述 |
|---|---|
storage |
该统计文件的存储方式,当前仅支持ephemeral的存储方式。 |
format |
该统计文件的文件格式。 |
collect interval |
该统计文件的采集周期。 该参数可通过collect interval命令进行配置。 |
transfer interval |
该统计文件的上传周期。 该参数可通过transfer interval命令进行配置。 |
transfer retry times |
该统计文件的最大重传次数。 该参数可通过transfer retry命令进行配置。 |
primary transfer URL |
该统计文件的主用上传URL。 该参数可通过transfer命令进行配置。 |
secondary transfer URL |
该统计文件的备用上传URL。 该参数可通过transfer命令进行配置。 |
file remain time |
该统计文件的上传保存时间。 该参数可通过transfer remain-time命令进行配置。 |
last transfer success time |
最近一次上传成功的时间。 |
last transfer fail time |
最近一次上传失败的时间。 |
total object number |
该统计文件统计对象的总数。 |
index |
统计对象的索引。 |
class |
统计对象的类别:
|
OID |
统计对象的OID。 |
start index |
|
instance number |
|
display snmp-agent
使用指南
应用场景
在使能了SNMP Agent功能后,如果想查看本端或远程SNMP实体引擎ID时,可以使用display snmp-agent { local-engineid | remote-engineid }命令。
SNMP实体引擎ID是SNMP管理的唯一标识,它在一个管理域内唯一的标识一个SNMP实体。SNMP实体引擎ID是SNMP实体的重要组成部分,通过它可以完成SNMP消息的消息调度、消息处理、安全验证、访问控制等功能。
前置条件
必须先执行snmp-agent命令使能SNMP Agent功能,才能使用display snmp-agent { local-engineid | remote-engineid }命令用来查看本地或远程SNMP实体引擎ID。
注意事项
如果想更改本地SNMP实体的引擎ID,可以使用snmp-agent local-engineid命令进行设置。
display snmp-agent community
使用指南
在对管理实体进行配置时,可以使用display snmp-agent community命令来显示当前代理上配置的团体名的相关信息。
如果不指定参数read或者write,则显示所有团体名的相关信息。
只有已经使用snmp-agent community命令配置了团体名,查看其信息才有意义。
使用实例
# 显示当前配置的团体名。
<HUAWEI> display snmp-agent community Community name: %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# Group name: %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# Alias name:huawei Acl:2001 Storage type: nonVolatile
项目 |
描述 |
|---|---|
Community name |
团体名。 该参数可通过snmp-agent community命令进行配置。 |
Group name |
组名。 |
Alias name |
团体名的别名。 该参数只有在snmp-agent community命令中配置了才会显示。 |
Acl |
团体名配置的ACL编号。 该参数只有在snmp-agent community命令中配置了才会显示。 |
Storage type |
display snmp-agent extend error-code status
使用实例
# 查看设备向网管发送扩展错误码的功能是否使能。
<HUAWEI> display snmp-agent extend error-code status
Extend error-code status: enabled
项目 |
描述 |
|---|---|
Extend error-code status |
设备向网管发送扩展错误码的功能是否使能:
该参数可通过snmp-agent extend error-code enable命令进行配置。 |
display snmp-agent group
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| group-name | 查询指定的SNMP用户组的信息。 如果不指定该参数,将显示所有SNMP用户组的信息。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
使用指南
应用场景
在基于SNMP用户组配置管理实体时,可以使用display snmp-agent group命令查询SNMP用户组的信息,包括组名和安全模式等。
前置条件
已经使用snmp-agent group命令配置了一个SNMP用户组。
使用实例
<HUAWEI> display snmp-agent group
Group name: testgroup
Security model: v3 AuthPriv
Readview: ViewDefault
Writeview: dnsmib
Notifyview: dnsmib
Storage type: nonVolatile
Acl: 2001
项目 |
描述 |
|---|---|
Group name |
SNMP用户组的组名。 该参数可通过snmp-agent group命令进行配置。 |
Security model |
SNMP用户组的安全模式:
该参数可通过snmp-agent group命令进行配置。 |
Readview |
SNMP用户组对应的只读MIB视图名。 该参数可通过snmp-agent group命令进行配置。 |
Writeview |
SNMP用户组对应的读写MIB视图名。 该参数可通过snmp-agent group命令进行配置。 |
Notifyview |
SNMP用户组对应的通知MIB视图名。 该参数可通过snmp-agent group命令进行配置。 |
Storage-type |
配置存储方式。当前仅支持nonVolatile,即不丢失方式存储,如果设备重启,配置能够恢复。 |
Acl |
SNMP用户组对应的ACL号或ACL名称。 该参数可通过snmp-agent group命令进行配置。 |
display snmp-agent heartbeat configuration
使用指南
当网管无法主动获取设备状态时,可以使用snmp-agent heartbeat enable命令使能设备向网管发送心跳报文功能。该功能使能后,设备会定期发送心跳报文至网管,将自身的状态通告给网管。使用命令display snmp-agent heartbeat configuration可以查看设备向网管发送心跳报文功能的配置信息。
使用实例
# 查看设备向网管发送心跳报文功能的配置信息。
<HUAWEI> display snmp-agent heartbeat configuration
SNMP agent heartbeat configuration:
Status : Enabled
Interval : 60(s)
项目 |
描述 |
|---|---|
SNMP agent heartbeat configuration |
设备向网管发送心跳报文功能的配置信息。 |
Status |
设备是否使能向网管发送心跳报文功能:
该参数可通过snmp-agent heartbeat enable命令进行配置。 |
Interval |
设备向网管发送心跳报文功能的周期,单位是秒。 该参数可通过snmp-agent heartbeat interval命令进行配置。 |
display snmp-agent inform
命令格式
display snmp-agent inform [ address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name } ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| address udp-domain ip-address | 指定网管的IP地址,且基于UDP协议进行传输。 说明:
address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识网管。 |
点分十进制形式。 |
| vpn-instance vpn-instance-name | 指定网管所属的VPN实例名。 说明:
在VPN网络中,vpn-instance指定的VPN实例、IP地址和安全名字符串组成一个三元组,用来标识网管。 |
必须是已存在的VPN实例名称。 |
| params | 指定网管信息。 |
- |
| securityname security-name | 指定在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| cipher security-name | 指定以明文或密文输入在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32、32或56。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
使用指南
- 因没有收到网管确认而重复发送Inform报文的次数
- Inform报文等待网管确认的超时时间
- 重传到网管的Inform报文的个数。
- Inform缓存内等待网管确认的Inform报文数。
- 已向网管发送Inform报文的告警数目。
- 因为Inform缓存满而被丢弃的Inform报文的个数。
- 重传过程中没有被确认的Inform报文的个数。
- 已收到网管确认的报文数目。
使用display snmp-agent inform命令时,如果不指定参数将显示采用Inform方式发送告警的全局参数信息以及所有网管的参数信息和报文统计信息。
使用实例
# 采用Inform方式发送告警的全局参数信息以及所有网管的参数信息和报文统计信息。
<HUAWEI> display snmp-agent inform Global config: resend-times 3, timeout 15s, pending 39 Global status: current notification count 1 Target-host ID: VPN instance/IP-Address/Domain/Security name -/10.1.1.1/-/%^%#O>tf1ssv|~v3.\IY}|@Gk,:%/IX{!OrFazE#1lxR%^%#: Config: resend-times 3, timeout 15s Status: retries 0, pending 0, sent 0, dropped 0, failed 0, confirmed 0
参数 |
描述 |
|---|---|
Global config |
全局Inform参数:
全局Inform参数可通过snmp-agent inform命令进行配置。 |
Global status |
全局Inform报文统计信息。 |
Target-host ID: VPN instance/IP-Address/Domain/Security name |
该参数(除了Domain)可通过snmp-agent inform address命令进行配置。 |
Config |
该网管的Inform参数:
该网管的Inform参数可通过snmp-agent inform address命令进行配置。 |
Status |
交换机与该网管之间Inform报文的统计信息:
|
display snmp-agent mib-view
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| exclude | 显示配置excluded MIB子树的所有MIB视图。 | - |
| include | 显示配置included MIB子树的所有MIB视图。 | - |
| viewname view-name | 显示指定的MIB视图。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
使用指南
应用场景
snmp-agent mib-view命令可以创建或更新MIB视图。如果想了解当前配置的MIB视图,可以执行display snmp-agent mib-view命令进行查看。
前置条件
执行display snmp-agent mib-view命令前,需要先执行snmp-agent命令使能SNMP Agent,否则会提示出错。
使用实例
# 显示当前配置的MIB视图。
<HUAWEI> display snmp-agent mib-view
View name:ViewDefault
MIB Subtree:internet
Subtree mask:F0(Hex)
Storage-type: nonVolatile
View Type:included
View status:active
项目 |
描述 |
|---|---|
View name |
MIB视图名。 该参数可通过命令snmp-agent mib-view配置。 |
MIB Subtree |
MIB子树。 该参数可通过命令snmp-agent mib-view配置。 |
Subtree mask |
MIB子树掩码。 |
Storage type |
配置存储方式。当前仅支持nonVolatile,即不丢失方式存储,如果设备重启,配置能够恢复。 |
View Type |
表示MIB视图能否对MIB子树进行访问:
该参数可通过命令snmp-agent mib-view配置。 |
View status |
表示MIB视图的状态。 |
display snmp-agent notification-log
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| info | 显示设备记录告警日志功能的参数信息和告警日志统计信息。 |
- |
| logtime starttime to endtime | 指定需要显示的告警日志的起始记录时间和终止记录时间:
|
格式为HH:MM:SS YYYY/MM/DD,HH:MM:SS表示时:分:秒。HH范围是0~23,MM和SS范围是0~59。YYYY/MM/DD表示年/月/日,YYYY范围是2000~2099,MM范围是1~12,DD范围是1~31。 终止时间要晚于起始时间。 |
| size size | 指定需要显示的最新告警日志的条数。 |
整数形式,取值范围为1~5000。 |
使用指南
指定需要显示的告警日志的起始记录时间和终止记录时间来显示。
显示指定条数的最新的告警日志。
如果不指定任何参数,则显示记录的所有告警日志信息。
使用实例
# 显示设备记录告警日志功能的参数信息和告警日志统计信息。
<HUAWEI> display snmp-agent notification-log info
Notification log information :
Notification Admin Status: enable
GlobalNotificationsLogged: 0
GlobalNotificationsBumped: 0
GlobalNotificationsLimit: 500
GlobalNotificationsAgeout: 24
Total number of notification log(s): 0
参数 |
描述 |
|---|---|
Notification log information |
告警日志信息,包括设备记录告警日志功能的参数信息和告警日志统计信息。 |
Notification Admin Status |
设备是否使能记录告警日志功能:
该参数可通过命令snmp-agent notification-log enable配置。 |
GlobalNotificationsLogged |
当前记录的告警日志数目。 |
GlobalNotificationsBumped |
丢弃的告警日志数目。 |
GlobalNotificationsLimit |
能保存的告警日志的最大数目。 该参数可通过命令snmp-agent notification-log配置。 |
GlobalNotificationsAgeout |
告警日志的老化时间。 该参数可通过命令snmp-agent notification-log配置。 |
Total number of notification log(s) |
已记录的告警日志的总数。 |
# 显示最近20条告警日志,但是目前系统中只有1条告警日志。
<HUAWEI> display snmp-agent notification-log size 20
Total number of notifications log(s) : 1
LogTable :
LogIndex= 12
LogTime= 229323
LogDateAndTime= 2007/3/8 10:28:16
LogEngineID= 000007DB7F00000100004CFB
LogEngineTAddress= 192.168.39.1/162
LogEngineTDomain= snmpUDPDomain
LogContextEngineID= null
LogContextName= null
LogNotificationID= 1.3.6.1.4.1.2011.6.10.2.1
LogVariableTable :
LogVariableIndex= 1
LogVariableOID= 1.3.6.1.2.1.1.3
LogVariableValueType= TimeTicksLogVariableValue = 229323
LogVariableIndex= 2
LogVariableOID= 1.3.6.1.6.3.1.1.4.1
LogVariableValueType= OidLogVariableValue = 1
LogVariableIndex= 3
LogVariableOID= 1.3.6.1.4.1.2011.6.10.1.1.7.1.3.29
LogVariableValueType= Integer32LogVariableValue = 1
LogVariableIndex= 4
LogVariableOID= 1.3.6.1.4.1.2011.6.10.1.1.7.1.4.29
LogVariableValueType= Integer32LogVariableValue = 3
LogVariableIndex= 5
LogVariableOID= 1.3.6.1.4.1.2011.6.10.1.1.7.1.5.29
LogVariableValueType= Integer32LogVariableValue = 2
参数 |
描述 |
|---|---|
LogTable |
日志表格。 |
LogIndex |
日志索引。 |
LogTime |
记录日志距离系统启动的相对时间,以10ms为单位。 |
LogDateAndTime |
记录日志的绝对日期和时间。 |
LogEngineID |
记录日志的SNMP实体引擎ID。 |
LogEngineTAddress |
日志记录的报文IP地址和端口号。 |
LogEngineTDomain |
日志记录的报文的传输类型。 |
LogContextEngineID |
日志记录的SNMP报文上下文的引擎ID。 |
LogContextName |
安全用户名+IP地址+VPN实例名。 |
LogNotificationID |
日志记录的告警节点OID。 |
LogVariableTable |
日志变量表格。 |
LogVariableIndex |
日志变量的索引。 |
LogVariableOID |
日志变量节点的OID。 |
LogVariableValueType |
日志变量值的类型。 |
LogVariableValue |
日志变量值。 |
display snmp-agent notify-filter-profile
使用实例
# 查看已配置的全部告警过滤视图信息。
<HUAWEI> display snmp-agent notify-filter-profile
Notify-filter name:snmpv2
Notify-filter Subtree:snmpV2
Notify-filter Subtree mask:F8(Hex)
Notify-filter Storage-type:nonVolatile
Notify-filter Type:included
Notify-filter status:active
项目 |
描述 |
|---|---|
Notify-filter name |
告警过滤视图名。 该参数可通过命令snmp-agent notify-filter-profile配置。 |
Notify-filter Subtree |
被过滤的MIB子树。 该参数可通过命令snmp-agent notify-filter-profile配置。 |
Notify-filter Subtree mask |
MIB子树掩码。 |
Notify-filter Storage-type |
配置存储方式。当前仅支持nonVolatile,即不丢失方式存储,如果设备重启,配置能够恢复。 |
Notify-filter Type |
该MIB子树中的告警是否会上送给网管:
该参数可通过命令snmp-agent notify-filter-profile配置。 |
Notify-filter status |
告警过滤视图的状态。 |
display snmp-agent statistics
使用指南
- 网管端工作站上的NMS作为管理者,向SNMP Agent发送SNMP请求报文。
- SNMP Agent通过查询设备端的MIB得到所要查询的信息,向NMS发送SNMP响应报文。
- 设备端的模块由于达到模块定义的告警触发条件,通过SNMP Agent向网管端工作站的NMS发送Trap消息,告知设备侧出现的情况,这样便于网络管理人员及时对网络中出现的情况进行处理。
通过display snmp-agent statistics命令对NMS和SNMP Agent之间通信的SNMP报文进行统计分析,能为故障定位提供依据。
说明: 在短时间内有大批量报文到达的时候,会占用较多CPU。这是由网管请求报文的发送频率决定的。
使用实例
# 查看交换机SNMP报文的统计信息。
<HUAWEI> display snmp-agent statistics
0 Messages delivered to the SNMP entity
0 Messages which were for an unsupported version
0 Messages which used a SNMP community name not known
0 Messages which represented an illegal operation for the community supplied
0 ASN.1 or BER errors in the process of decoding
7 Messages passed from the SNMP entity
0 SNMP PDUs which had badValue error-status
0 SNMP PDUs which had genErr error-status
0 SNMP PDUs which had noSuchName error-status
0 SNMP PDUs which had tooBig error-status
0 MIB objects retrieved successfully
0 MIB objects altered successfully
0 GetRequest-PDU accepted and processed
0 GetNextRequest-PDU accepted and processed
0 GetResponse-PDU accepted and processed
0 SetRequest-PDU accepted and processed
0 Trap-PDU accepted and processed
0 Inform-PDU sent
0 Inform ACK PDUs failed to be processed
0 Inform ACK PDUs successfully processed
项目 |
描述 |
|---|---|
Messages delivered to the SNMP entity |
接收的SNMP报文总数 |
Messages which were for an unsupported version |
版本信息错误的SNMP报文数目 |
Messages which used a SNMP community name not known |
团体名错误的SNMP报文数目 |
Messages which represented an illegal operation for the community supplied |
团体名对应的权限错误的SNMP报文数目 |
ASN.1 or BER errors in the process of decoding |
编码错误的SNMP报文数目 |
Messages passed from the SNMP entity |
发出的SNMP报文总数 |
SNMP PDUs which had badValue error-status |
Bad_values错误的SNMP报文数目 |
SNMP PDUs which had genErr error-status |
General_errors错误的SNMP报文数目 |
SNMP PDUs which had noSuchName error-status |
对不存在的MIB对象进行请求的SNMP报文数目 |
SNMP PDUs which had tooBig error-status |
Too_big错误的SNMP报文数目 |
MIB objects retrieved successfully |
NMS请求的变量数目 |
MIB objects altered successfully |
NMS设置的变量数目 |
GetRequest-PDU accepted and processed |
收到的SNMP Get请求报文数目 |
GetNextRequest-PDU accepted and processed |
收到的SNMP GetNext请求报文数目 |
GetResponse-PDU accepted and processed |
发出的SNMP Get响应报文数目 |
SetRequest-PDU accepted and processed |
收到的SNMP Set请求报文数目 |
Trap-PDU accepted and processed |
发出的SNMP Trap报文数目 |
Inform-PDU sent |
发出的SNMP Inform报文数目 |
Inform ACK PDUs failed to be processed |
未得到确认的SNMP Inform报文数目 |
Inform ACK PDUs successfully processed |
得到确认的SNMP Inform报文数目 |
display snmp-agent statistics mib
命令格式
display snmp-agent statistics mib [ [ vpn-instance vpn-instance-name ] { address ipv4-address | ipv6 ipv6-address } ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vpn-instance vpn-instance-name | 指定VPN实例名称。 | 必须是已存在的VPN实例名称。 |
| address ipv4-address | 指定IPv4地址。 | - |
| ipv6 ipv6-address | 指定IPv6地址。 | - |
使用指南
应用场景
在使用网管对设备进行管理时,需要访问设备的MIB节点信息。用户可以通过执行本命令查看网管访问设备MIB节点的统计信息。显示内容包括MIB节点名称、MIB节点访问频率和MIB节点处理时间等。
若不指定具体网管,通过命令display snmp-agent statistics mib可以查看所有网管访问设备MIB节点的统计信息,包括IPv4+VPN网管,IPv6+VPN网管,IPv4网管,IPv6网管。
后续任务
当网管访问设备MIB节点信息过多,并且统计的信息不需要保留时,可以通过执行reset snmp-agent statistics mib将这些统计信息删除。
使用实例
# 查看所有网管访问设备MIB节点的统计信息。
<HUAWEI> display snmp-agent statistics mib
-----------------------------------------------------------------------------------------
ip address:192.168.1.4, total mib node number:9
SUMMARY: Total set:0,Total get:9,Total get-next:75
-----------------------------------------------------------------------------------------
MibNode Set Get GetNext MaxTime MinTime AveTime
ifEntry 0 0 75 0 0 0
ifNumber 0 1 0 0 0 0
sysContact 0 1 0 0 0 0
sysDescr 0 1 0 0 0 0
sysLocation 0 1 0 0 0 0
sysName 0 1 0 0 0 0
sysObjectID 0 1 0 0 0 0
sysServices 0 1 0 0 0 0
sysUpTime 0 2 0 0 0 0
# 查看VPN实例名称为aa,IP地址为192.168.1.3的网管访问设备MIB节点的统计信息。
<HUAWEI> display snmp-agent statistics mib vpn-instance aa address 192.168.1.3
-----------------------------------------------------------------------------------------
vpn instance:aa, ip address:192.168.1.3, total mib node number:1
SUMMARY: Total set:0,Total get:1,Total get-next:0
-----------------------------------------------------------------------------------------
MibNode Set Get GetNext MaxTime MinTime AveTime
sysDescr 0 1 0 0 0 0
| 项目 | 描述 |
|---|---|
| ip address | 网管的IP地址。 |
| vpn instance | VPN实例名称。 |
| total mib node number | 网管访问的MIB节点的总数。 |
| SUMMARY | 网管访问的MIB节点的统计信息摘要。 |
| Total set | 所有MIB节点执行Set操作的次数。 |
| Total get | 所有MIB节点执行Get操作的次数。 |
| Total get-next | 所有MIB节点执行GetNext操作的次数。 |
| MibNode | MIB节点名称。 |
| Set | 指定MIB节点执行Set操作的次数。 |
| Get | 指定MIB节点执行Get操作的次数。 |
| GetNext | 指定MIB节点执行GetNext操作的次数。 |
| MaxTime | 指定MIB节点的最大处理时间。 |
| MinTime | 指定MIB节点的最小处理时间。 |
| AveTime | 指定MIB节点的平均处理时间。 |
display snmp-agent sys-info
使用指南
- 设备维护人员联系信息。
- 设备的物理位置。
- 设备运行的SNMP版本。
如果不指定参数,则显示所有的信息。
使用实例
# 查看设备上SNMP的相关信息。
<HUAWEI> display snmp-agent sys-info
The contact person for this managed node:
R&D Beijing, Huawei Technologies Co., Ltd.
The physical location of this node:
Beijing China
SNMP version running in the system:
Polling: SNMPv1:disable, SNMPv2c:disable, SNMPv3:enable
Trap : SNMPv1:disable, SNMPv2c:enable, SNMPv3:disable
# 查看设备运行的SNMP版本。
<HUAWEI> display snmp-agent sys-info version
SNMP version running in the system:
Polling: SNMPv1:disable, SNMPv2c:disable, SNMPv3:enable
Trap : SNMPv1:disable, SNMPv2c:enable, SNMPv3:disable
# 查看设备维护人员联系信息。
<HUAWEI> display snmp-agent sys-info contact
The contact person for this managed node:
R&D Beijing, Huawei Technologies Co., Ltd.
# 查看设备的物理位置。
<HUAWEI> display snmp-agent sys-info location
The physical location of this node:
Beijing China
| 项目 | 描述 |
|---|---|
| The contact person for this managed node | 设备维护人员联系信息。可以通过此参数,将重要信息存储在交换机中,以便出现紧急问题时查询。 该参数可通过命令snmp-agent sys-info配置。 |
| The physical location of this node | 设备的物理位置。 该参数可通过命令snmp-agent sys-info配置。 |
| SNMP version running in the system | 设备运行的SNMP版本,取值可以是SNMPv1、SNMPv2c和SNMPv3中的任意组合。当有多个版本存在时,表示网管可通过多个SNMP版本对设备进行管理。 该参数可通过命令snmp-agent sys-info配置。 |
Polling |
|
Trap |
|
display snmp-agent target-host
使用指南
可以使用该命令查看当前所有告警的目标主机的配置信息,包括目标主机的IP地址、告警的发送方式、发送告警使用的用户安全名和SNMP协议版本等。系统现在最多支持保存20条目标主机信息,因此最多可显示20个目标主机信息。
使用实例
# 查看当前所有告警的目标主机的配置信息。
<HUAWEI> display snmp-agent target-host Target-host NO. 1 ----------------------------------------------------------- IP-address : 10.1.2.1 Domain : - Source interface : - VPN instance : - Security name : %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%# Port : 162 Type : trap Version : v2c Level : No authentication and privacy NMS type : HW NMS With ext-vb: : No -----------------------------------------------------------
项目 |
描述 |
|---|---|
Target-host NO |
目标主机编号,根据目标主机的配置先后顺序生成。 目标主机的各项参数可通过命令snmp-agent target-host inform或snmp-agent target-host trap配置。 |
IP-address |
目标主机的IP地址。 |
| Domain | 目标主机的域名。 |
Source interface |
发送告警的源接口。 |
VPN instance |
目标主机所属VPN实例。 |
Security name |
发送告警使用的用户安全名。 |
Port |
发送告警使用的UDP端口号。 |
Type |
告警的发送方式:
|
Version |
SNMP协议版本:
|
Level |
报文安全模式:
|
NMS type |
目标主机类型:
|
With ext-vb |
向目标主机发送的告警是否携带扩展的扩展绑定变量:
|
display snmp-agent trap all
使用指南
使用display snmp-agent trap all命令可以查看交换机是否使能发送所有特性的告警给网管的功能。用户可使用命令snmp-agent trap enable、snmp-agent trap enable feature-name和snmp-agent trap disable配置该功能。
使用实例
# 查看交换机是否使能发送所有特性的告警给网管的功能。
<HUAWEI> display snmp-agent trap all ------------------------------------------------------------------------------ Feature name: INFO Trap number : 2 ------------------------------------------------------------------------------ Trap name Default switch status Current switch status hwICLogFileAging on on hwICLogBufferLose on on ------------------------------------------------------------------------------ ---- More ----
项目 |
描述 |
|---|---|
Feature name |
产生告警的特性名称。 |
Trap number |
该特性下包含的告警数量。 |
Trap name |
告警名称。 |
Default switch status |
告警开关的缺省状态:
|
Current switch status |
告警开关的当前状态:
该状态可通过命令snmp-agent trap enable feature-name配置。 |
display snmp-agent trap feature-name all
使用指南
使用命令display snmp-agent trap feature-name all可以查看交换机是否使能发送指定特性的告警给网管的功能。用户可使用命令snmp-agent trap enable feature-name来使能该功能,各特性告警开关信息请参看下表。
使用实例
<HUAWEI> display snmp-agent trap feature-name msdp all
------------------------------------------------------------------------------
Feature name: MSDP
Trap number : 2
------------------------------------------------------------------------------
Trap name Default switch status Current switch status
establish off off
backward off off
项目 |
描述 |
|---|---|
Feature name |
产生告警的特性名称。 |
Trap number |
该特性下包含的告警数量。 |
Trap name |
告警名称。 |
Default switch status |
告警开关的缺省状态:
|
Current switch status |
告警开关的当前状态:
该状态可通过命令snmp-agent trap enable feature-name配置。 |
display snmp-agent trap feature-name bulkstat all
使用指南
在使用snmp-agent trap enable feature-name bulkstat命令配置交换机发送批量统计特性的告警给网管的功能后,可以使用display snmp-agent trap feature-name bulkstat all命令该功能是否已使能。
使用实例
# 查看交换机是否使能发送批量统计特性的告警给网管的功能。
<HUAWEI>display snmp-agent trap feature-name bulkstat all
------------------------------------------------------------------------------
Feature name: BULKSTAT
Trap number : 5
------------------------------------------------------------------------------
Trap name Default switch status Current switch status
hwBulkStatCollectIncomplete off off
hwBulkStatCollectResume off off
hwBulkStatURLConnectionFail off off
hwBulkStatURLConnectionResume off off
hwBulkStatTransferFileDiscard off off
项目 |
描述 |
|---|---|
Feature name |
产生告警的特性名称。 |
Trap number |
批量统计特性包含的告警数量。 |
Trap name |
告警名称,批量统计特性的告警包括:
|
Default switch status |
告警开关的缺省状态:
|
Current switch status |
告警开关的当前状态:
该状态可通过命令snmp-agent trap enable feature-name bulkstat配置。 |
display snmp-agent trap feature-name snmp all
使用指南
应用场景
使用命令snmp-agent trap enable feature-name snmp使能交换机发送SNMP特性的告警给网管的功能后,执行命令display snmp-agent trap feature-name snmp all可以查看该功能是否已使能。
前置条件
已经使能网元的SNMP功能,使能命令可以参考snmp-agent。
使用实例
# 查看交换机是否使能发送SNMP特性的告警给网管的功能。
<HUAWEI> display snmp-agent trap feature-name snmp all
------------------------------------------------------------------------------
Feature name: SNMP
Trap number : 5
------------------------------------------------------------------------------
Trap name Default switch status Current switch status
coldStart on on
warmStart on on
authenticationFailure off off
hwSNMPLockThreshold on on
hwSNMPLockThresholdResume on on
项目 |
描述 |
|---|---|
Feature name |
产生告警的特性名称。 |
Trap number |
SNMP特性包含的告警数量。 |
Trap name |
告警名称,SNMP特性的告警包括:
|
Default switch status |
告警开关的缺省状态:
|
Current switch status |
告警开关的当前状态:
该状态可通过命令snmp-agent trap enable feature-name snmp配置。 |
display snmp-agent usm-user
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| engineid engineid | 显示指定SNMP实体引擎ID的SNMPv3用户的信息。 |
- |
| group group-name | 显示属于指定组的SNMPv3用户的信息。 |
- |
| username user-name | 显示指定SNMPv3用户的信息。 |
- |
使用指南
使用命令snmp-agent usm-user配置SNMPv3用户的信息后,可以通过display snmp-agent usm-user命令进行查看。这里所说的SNMPv3用户是指执行SNMPv3管理操作的远端用户。可以查询到的信息包括:SNMPv3用户的用户名、采用的认证协议、采用的加密算法和所属的用户组等。
使用实例
# 显示交换机上所有SNMPv3用户的信息。
<HUAWEI> display snmp-agent usm-user
User name: myuser
Engine ID: 800007DB03360102101100 active
Authentication Protocol: sha
Privacy Protocol: aes256
Group name: mygroup
项目 |
描述 |
|---|---|
User name |
SNMPv3用户的用户名。 该参数可通过命令snmp-agent usm-user配置。 |
Engine ID |
本地SNMP实体的引擎ID。 该参数可通过命令snmp-agent local-engineid配置。 |
active |
该SNMPv3用户的状态。 |
Authentication Protocol |
该SNMPv3用户采用的认证协议:
该参数可通过命令snmp-agent usm-user配置。 |
Privacy Protocol |
该SNMPv3用户采用的加密算法:
该参数可通过命令snmp-agent usm-user配置。 |
Group name |
该SNMPv3用户所属的用户组。 该参数可通过命令snmp-agent usm-user配置。 |
enable snmp trap updown
命令功能
enable snmp trap updown用来使能此接口协议状态变化时向网管端发送Trap。
undo enable snmp trap updown用来去使能此协议接口状态变化时向网管端发送Trap。
缺省情况下,接口协议状态变化时会向网管端发送Trap。
object
命令格式
object oid class { single | column [ start-index start-index ] [ instance-number instance-number ] }
undo object oid class { single | column }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| oid | 创建或者删除的统计对象的MIB节点OID值,是一串点分整数字符串,长度范围是1~127。 | - |
| class single | 指定单个统计对象。 | - |
| class column | 指定批量统计对象。 | - |
| start-index start-index | 当添加的对象类型为column时,指定起始实例索引,采用点分整数串的方式表达实例索引,字符长度为1~127。当start-index为0时表示从该列第一个实例开始统计。缺省值是0。 | - |
| instance-number instance-number | 当添加的对象类型为column时,指定从起始实例索引开始连续的实例个数,整数形式,取值范围为0~65535。当instance-number为0表示一直统计到该列结束。如果start-index和instances-number指定的范围超出了列的实际实例范围,则以列的实际实例范围为准。缺省值是0。 | - |
使用指南
应用场景
object oid class single命令用来添加单个实例数据项类型统计对象,也就是说参数oid必须携带实例索引。索引为0表示数据项为标量,非0表示数据项为表中列的一个实例。如果对象在统计文件中已经配置,则提示该OID已经配置。
object oid class column start-index start-index instance-number instance-number命令用来添加表项中变量列的部分或全部类型的统计对象,后面必须由start-index和instances-number来指定起始实例索引以及统计实例数目。如果start-index和instances-number指定的范围超出了列的实际实例范围,则以列的实际实例范围为准。如果配置的OID在统计文件中已经存在,则提示该OID已经配置。
注意事项
添加、删除OID,在下一个采集周期才能生效。
配置的OID在MIB树中必须存在;如果配置的在统计文件已经存在,则系统提示该OID已经配置,必须先删除该OID,才能再重新配置该OID。
使用实例
# 给批量统计文件"ifOutOctets"添加single类型的统计对象。
<HUAWEI> system-view
[HUAWEI] bulk-stat enable
Info: Succeeded in enabling the bulk stat function.
[HUAWEI] bulk-file ifOutOctets
[HUAWEI-bulk-file-ifOutOctets] object 1.3.6.1.2.1.2.2.1.16.1 class single
# 给批量统计文件"iftable"添加column类型的统计对象。
<HUAWEI> system-view
[HUAWEI] bulk-stat enable
Info: Succeeded in enabling the bulk stat function.
[HUAWEI] bulk-file iftable
[HUAWEI-bulk-file-iftable] object 1.3.6.1.2.1.2.2.1.16 class column start-index 1 instance-number 10
reset snmp-agent statistics mib
命令格式
reset snmp-agent statistics mib [ address ipv4-address | ipv6 ipv6-address | vpn-instance vpn-instance-name address ipv4-address ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| address ipv4-address | 指定IPv4地址。 | - |
| ipv6 ipv6-address | 指定IPv6地址。 | - |
| vpn-instance vpn-instance-name | 指定VPN实例名称。 | 必须是已存在的VPN实例名称。 |
使用指南
应用场景
用户在使用网管对设备进行管理时,需要访问设备的MIB节点信息。可以通过执行display snmp-agent statistics mib命令查询这些MIB节点信息。
当网管访问设备MIB节点信息过多,并且统计的信息不需要保留时,可以通过执行本命令将所有的统计信息删除。
若不指定具体的网管,通过命令reset snmp-agent statistics mib可以清除所有网管访问设备MIB节点的统计信息,包括IPv4+VPN网管,IPv6+VPN网管,IPv4网管,IPv6网管。
注意事项
通过执行本命令清除的网管访问设备MIB节点的统计信息将无法恢复,因此请慎重操作。
snmp-agent
使用指南
应用场景
在进行SNMP配置之前,需要先使能SNMP Agent。
配置携带任意参数的snmp-agent命令也可以启动SNMP Agent,比如配置snmp-agent community命令,在创建团体名的同时也会使能SNMP Agent。
注意事项
使用snmp-agent命令使能SNMP Agent功能后,会同时开启SNMP Agent的IPv4服务和IPv6,默认侦听的IP地址为0.0.0.0,即侦听所有IP地址,存在安全风险。建议使用snmp-agent protocol source-interface interface-type interface-number命令配置SNMP接收和响应网管请求报文的源接口信息。
snmp-agent acl
snmp-agent community
命令功能
snmp-agent community命令用来配置SNMPv1、SNMPv2c的读写团体名。
undo snmp-agent community命令用来删除团体名配置。
缺省情况下,系统中没有配置团体名。
命令格式
snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } | alias alias-name ] *
undo snmp-agent community community-name
undo snmp-agent community { read | write } [ cipher ] community-name
参数说明
参数 |
参数说明 |
取值 |
|---|---|---|
| read | 指定该团体名在指定MIB视图内有只读权限。 |
- |
| write | 指定该团体名在指定MIB视图内有读写权限。 |
- |
| community-name | 指定团体名字符串,查看配置文件时将以密文方式显示。 |
|
| cipher community-name | 指定以明文或密文输入的团体名字符串,查看配置文件时将以密文方式显示。 |
字符串形式,区分大小写,不支持空格,长度范围是8~32或44、56、80、88。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
| mib-view view-name | 指定团体名可以访问的MIB视图名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| acl { acl-number | acl-name } | 指定团体名对应的ACL:
ACL可以是基本ACL,也可以是高级ACL,且在IPv4和IPv6网络中同时生效。 |
|
| alias alias-name | 指定团体名的别名。 团体名的别名以明文方式保存在配置文件中。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
使用指南
应用场景
snmp-agent community命令用于SNMPv1和SNMPv2c组网环境中。团体是网管和SNMP Agent的集合,用团体名来标志。团体名相当于密码,团体内的设备通信时需要使用团体名来进行认证。只有网管和SNMP Agent上配置的团体名相同时,才能互相访问。用户使用snmp-agent community配置SNMP团体名,从而实现网管与设备之间的通信。同时还可以通过snmp-agent community命令的参数设置团体名具有的访问权限、访问控制列表和可访问的MIB视图等。
希望网管在指定视图下具有只读权限时(比如级别比较低的管理员),使用read参数。
希望网管在指定视图下具有读写权限时(比如级别比较高的管理员),使用write参数。
如果希望使用该团体名的某些网管,都能拥有视图Viewdefault的权限,参数mib-view view-name可以省略。
如果需要使用该团体名的所有网管,能够管理设备上的某些节点,参数acl acl-number可以省略。
- 如果需要使用该团体名的某些网管,能够管理设备上的某些节点,mib-view和acl都需要配置。
- 团体名配置成功后将以密文形式保存在配置文件中。当需要对团体名进行标识时,可以使用alias alias-name参数配置团体名的别名,团体名的别名以明文方式保存在配置文件中。
说明: 当团体名和ACL同时配置时,网管对设备进行访问前先检查团体名,然后再检查ACL。如果团体名不存在,那么报文就会直接抛弃,打印出团体名错误的日志,不进行ACL校验。只有团体名存在才会触发ACL校验。
注意事项
- 设备仅对明文输入的团体名进行复杂度检查,对密文输入的团体名将不检查。设备对团体名复杂度的要求如下:
团体名最小长度为set password min-length命令的配置值,缺省情况下,最小长度是8个字符。
团体名至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。
若检查不通过,则配置不成功。可以使用snmp-agent community complexity-check disable命令关闭团体名复杂度检查功能,此时明文输入的团体名的长度范围为1~32。如果配置的团体名比较简单,不满足复杂度的要求,就比较容易受到非法用户的攻击和破解,影响设备的安全性,因此建议使能团体名复杂度检查功能。
- 同一个团体名只能配置一种权限,如果同一个团体名既配置了只读权限又配置了读写权限,只有后配置的权限生效。
- 在使用snmp-agent community时,如果选择参数mib-view或acl,请配置相应的MIB视图和ACL规则。如果不慎将缺省的MIB视图删除,则会导致使用该团体名进行网管与设备互通时无法正常连接。如果仍想继续使用该团体名,必须指定一个已存在的MIB视图。
- 由于团体名以密文的形式保存在设备上,因此可以使用两种方式删除团体名:undo snmp-agent community 明文形式团体名/密文形式团体名。密文形式的团体名可以通过display snmp-agent community命令查看。
- 低于该命令级别的用户无法查看该命令配置的密码,当低于命令级别的用户通过display this命令查看系统当前配置时,该命令配置的密码显示为******。
snmp-agent community complexity-check disable
命令功能
snmp-agent community complexity-check disable命令用来关闭团体名复杂度检查功能。
undo snmp-agent community complexity-check disable命令用来打开团体名复杂度检查功能。
缺省情况下,设备已打开团体名复杂度检查功能。
命令格式
snmp-agent community complexity-check disable
undo snmp-agent community complexity-check disable
使用指南
应用场景
团体名最小长度为set password min-length命令的配置值,缺省情况下,最小长度是8个字符。
团体名至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号)。
注意事项
为了保证SNMP团体名的安全性,建议使能团体名复杂度检查功能。此时配置团体名时,会对配置的团体名进行复杂度检查,如果检查不通过,则配置不成功。如果不需要进行此检查,可以关闭此开关,但存在安全风险。如果配置的团体名比较简单,不满足复杂度的要求,就比较容易受到非法用户的攻击和破解,影响设备的安全性。
snmp-agent extend error-code enable
命令功能
snmp-agent extend error-code enable命令用来使能设备向网管发送扩展错误码的功能。
undo snmp-agent extend error-code enable命令用于去使能设备向网管发送扩展错误码的功能。
缺省情况下,设备向网管发送扩展错误码的功能处于去使能状态。
使用指南
由于目前系统中支持的特性和场景日益增加,SNMP提供的标准错误码已经难以满足系统中场景日益多元化的需求,因此引入了扩展错误码来解决这一问题。扩展错误码可以定义更多的场景,从而方便网管正确地解析当前网元的错误类型。
当网管和被管理设备是华为设备时,通过使能设备向网管发送扩展错误码的功能后,可以扩展标准错误码,扩展更多的错误场景,方便用户能够更加准确和快速的定位和排除故障。
MIB对扩展错误码的支持:
- 对于支持扩展错误码的MIB,可以通过使能设备向网管发送扩展错误码的功能并且在使用华为公司的网管情况下,网管端可以得到更加丰富的错误码。
- 对于不支持扩展错误码的MIB在使能扩展错误码功能后,无论是华为公司的网管还是其他厂商的网管都只能得到标准的错误码。
snmp-agent group
命令功能
snmp-agent group命令用来创建一个新的SNMP组(即将SNMP用户映射到SNMP视图),并对该SNMP组进行配置。
undo snmp-agent group命令用来删除一个指定的SNMP组。
缺省情况下,系统中没有配置SNMP用户组。
命令格式
snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* [ acl { acl-number | acl-name } ]
undo snmp-agent group v3 group-name { authentication | privacy | noauthentication }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| v3 | SNMP组使用SNMPv3的安全模式。 | - |
| group-name | 指定SNMP组名。 | |
| authentication | privacy | noauthentication | 指定SNMP组的安全级别。其中:
|
为了保证安全性,建议配置SNMP组的安全级别为privacy。 |
| read-view read-view | 指定只读视图名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 read-view参数由snmp-agent mib-view命令定义。 |
| write-view write-view | 指定读写视图名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 write-view参数由snmp-agent mib-view命令定义。 |
| notify-view notify-view | 指定通知视图名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 notify-view参数由snmp-agent mib-view命令定义。 |
| acl { acl-number | acl-name } | 指定访问控制列表。其中:
ACL可以是基本ACL,也可以是高级ACL,且在IPv4和IPv6网络中同时生效。 |
|
使用指南
应用场景
SNMPv1/v2c在安全性方面存在重要的缺陷。SNMPv1/v2c采用基于团体名的有限的安全认证机制,团体名明文传输。不推荐在非完全信任的网络使用SNMPv1/SNMPv2c。
SNMPv3改进了SNMPv1/v2c中的安全方面的缺陷,在基于用户的安全模型(User-Based Security Model)中,主要提供了认证和加密两种服务。SNMP用户组通过SNMP组名和安全级别共同确定一个SNMP用户组。SNMPv3定义了3个安全级别:
- 无认证无加密(noAuthNoPriv)
- 有认证无加密(authNoPriv)
- 有认证有加密(authPriv)
说明: snmp-agent group命令可以用来:
- 认证
- 加密
- 对SNMP组用户进行访问控制
- 将SNMP组和MIB视图进行绑定
- 为了加强安全性,用户可以选择配置authentication或privacy参数。
配置noauthentication参数:不认证不加密。适用于网络环境安全,且管理员比较固定的情况下。
配置authentication参数:只认证不加密。适用于网络环境安全,但管理员比较多,管理员对设备交叉操作比较频繁的情况下。通过认证可以限制拥有权限的管理员才可以访问该设备。
配置privacy参数:既认证又加密。适用于网络环境不太安全,管理员交叉操作多的情况下。通过认证和加密既可以限制特定的管理员访问设备,并且使网络数据以加密形式发送,避免网络数据被窃取,造成关键数据泄露。
如果希望网管在指定视图下具有只读权限时(比如级别比较低的管理员),使用read-view参数;如果希望网管在指定视图下具有读写权限时(比如级别比较高的管理员),使用write-view参数;如果希望筛选部分重要告警,过滤掉无关告警时,选择配置notify-view参数,限制被管理设备向网管发送告警的MIB节点。配置该参数后,设备产生的告警中匹配notify-view指定的MIB节点的告警才能发送到该用户的网管。
缺省情况下,创建SNMP组的只读视图为ViewDefault且未指定该组的读写视图名和通知视图名。
如果需要使相同SNMPv3用户组的某些网管能够访问设备,请选择参数acl。
配置影响
执行undo snmp-agent group删除SNMP用户组,同时会删除已经加入该组的所有SNMP用户。
注意事项
如果要求网管收到notify-view中指定的trap消息,需要执行snmp-agent target-host trap命令,指定接收Trap消息的目的地。
如果创建的SNMPv3组配置了不认证不加密或认证不加密方式,会存在安全风险,为了保证系统的安全性,建议将该组删除后重新创建认证加密的组。
使用实例
# 创建一个SNMPv3用户组:Johngroup,指明对报文进行认证和加密,同时设置其读视图为public。
<HUAWEI> system-view [HUAWEI] snmp-agent [HUAWEI] snmp-agent mib-view excluded public 1.3.6.1.2.1 [HUAWEI] snmp-agent group v3 Johngroup privacy read-view public
# 创建一个SNMPv3用户组:Johngroup,指明对报文进行认证和加密,同时设置其写视图为private。
<HUAWEI> system-view [HUAWEI] snmp-agent [HUAWEI] snmp-agent mib-view included private 1.3.6.1.2.1 [HUAWEI] snmp-agent group v3 Johngroup privacy write-view private
snmp-agent heartbeat enable
snmp-agent heartbeat interval
命令功能
snmp-agent heartbeat interval命令用来设置设备向网管发送心跳报文的周期。
undo snmp-agent heartbeat interval命令用来恢复设备向网管发送心跳报文的周期为缺省值。
缺省情况下,设备向网管发送心跳报文的周期为60秒。
使用指南
应用场景
在设备向网管发送心跳报文功能中,可以使用snmp-agent heartbeat interval命令配置设备向网管发送心跳报文的周期。如果设备部署于一个稳定的网络中,可以适当增大发送心跳报文的周期,从而降低因设备定期向网管发送心跳报文对网络带宽的影响。
前置条件
在配置设备向网管发送心跳报文的周期前,必须先执行命令snmp-agent heartbeat enable使能设备向网管发送心跳报文功能。
snmp-agent inform
命令功能
snmp-agent inform命令用来配置全局的Inform方式的相关参数,包括告警确认的超时时间、告警重复发送的次数和待确认告警的最大条数。
undo snmp-agent inform命令用来恢复缺省值。
缺省情况下,超时时间为15秒,重发次数为3,待确认告警最大条数为39。
命令格式
snmp-agent inform { timeout seconds | resend-times times | pending number } *
undo snmp-agent inform { timeout | resend-times | pending } *
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| timeout seconds | 指定Inform方式发送的告警等待网管确认的超时时间。 | 整数形式,取值范围是1~1800,单位是秒。缺省值是15秒。 |
| resend-times times | 指定Inform方式发送的告警因没有收到网管确认消息而重复发送的次数。 | 整数形式,取值范围是0~10。缺省值是3。 |
| pending number | 指定Inform方式的待确认告警最大条数。 | 整数形式,取值范围是1~2048。缺省值是39。 |
使用指南
应用场景
由于Inform方式的告警在发送后需要等待确认报文,可以使用snmp-agent inform对发送告警的超时时间、告警重复发送的次数、待确认告警的最大条数三个参数进行配置。
这三个参数相互依赖。例如,告警确认的超时时间或者告警重复发送的次数由小变大,待确认告警的最大条数不变,会导致等待确认的告警增多,待确认Inform缓存更容易被填充满。
一旦待确认Inform缓存满,每添加一条待确认的告警就会删除最早的一条待确认告警。已删除的告警不能再重发。这时,可以增加待确认告警的最大条数,防止待确认告警被删除。
需要根据网络状况,使用snmp-agent inform命令合理配置timeout,resend-times和pending三个参数:
- 当网络出现大量Inform告警消息丢失时,可以执行snmp-agent inform pending number命令增大Inform缓存长度。
- 当网络传输速度缓慢,建议增大超时时间。由于增大超时时间必然增加在Inform缓存中的等待时间,所以同样需要增大Inform缓存长度。推荐执行snmp-agent inform { timeout seconds | pending number } *命令。
- 当网络传输速度很快,可以执行snmp-agent inform timeout seconds命令降低超时时间。
- 当在不可靠网络进行传输Inform告警消息,建议增大重传次数。由于需要在Inform缓存中等待更长时间,所以同样需要增大丢列长度。推荐执行snmp-agent inform { resend-times times | pending number } *命令。
前置条件
当用户执行snmp-agent target-host inform命令配置接收Inform消息的目的地址后,Inform方式相关参数才能起作用。
注意事项
只有Inform方式的告警支持snmp-agent inform命令进行相关参数配置,Trap方式的告警由于没有确认报文回应,所以无需配置。
必须依据网络状况合理设置timeout,resend-times和pending三个参数,否则会极大影响SNMP工作效率。
snmp-agent inform address
命令功能
snmp-agent inform address命令用于配置针对目标主机的Inform方式的相关参数,包括告警确认的超时时间和告警重复发送的次数。
undo snmp-agent inform address命令用于恢复缺省值。
缺省情况下,告警确认的超时时间是15秒;告警重复发送的次数是3。
命令格式
snmp-agent inform { timeout seconds | resend-times times } * address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name }
undo snmp-agent inform { timeout [ seconds ] | resend-times [ times ] } * address udp-domain ip-address [ vpn-instance vpn-instance-name ] params securityname { security-name | cipher security-name }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| timeout seconds | 指定Inform方式发送的告警等待网管确认的超时时间。 | 整数形式,取值范围是1~1800,单位是秒。缺省值与snmp-agent inform命令配置的全局的超时时间值相等,缺省为15秒。 |
| resend-times times | 指定Inform方式发送的告警因没有收到网管确认消息而重复发送的次数。 | 整数形式,取值范围是0~10。缺省值与snmp-agent inform命令配置的全局的重传次数值相等,缺省为3次。 |
| address | 指定SNMP消息传输的目标主机地址。 说明:
address指定的IP地址和securityname指定的安全名字符串组成一个二元组,用来标识一个主机。 |
点分十进制形式。 |
| udp-domain ip-address | 指定目标主机的IP地址,且传输域基于UDP。 | 点分十进制形式。 |
| vpn-instance vpn-instance-name | 指定VPN实例名。 | 必须是已存在的VPN实例名称。vpn-instance作为可选,如果在VPN中使用,需要vpn-instance指定的VPN实例、IP地址和安全名字符串组成一个三元组来标识一个主机。 |
| params | 指定产生SNMP消息的目标主机信息。 | - |
| securityname security-name | 指定在网管侧显示的用户安全名。 对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。 对于SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| cipher security-name | 指定以明文或密文输入在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
使用指南
应用场景
- 当网络出现大量Inform告警消息丢失时,建议增大队列长度。推荐全局执行snmp-agent inform pending number命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。
- 当网络传输速度缓慢,建议增大超时时间。由于增大超时时间必然增加在队列中的等待时间,所以同样需要增大队列长度。推荐全局执行snmp-agent inform { timeout seconds | pending number } *命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。
- 当网络传输速度很快,建议降低超时时间。推荐执行snmp-agent inform timeout seconds address udp-domain ip-address params securityname security-name命令。
- 当在不可靠网络进行传输inform告警消息,建议增大重传次数。由于需要在队列中等待更长时间,所以同样需要增大丢列长度。推荐执行snmp-agent inform { resend-times times | pending number } *命令,然后再使用snmp-agent inform address命令指定目的地址和显示的用户名称。
前置条件
当用户执行snmp-agent target-host inform命令配置接收Inform消息的目的地址后,Inform方式相关参数才能起作用。
注意事项
- 只有Inform方式的告警支持snmp-agent inform address命令进行相关参数配置,Trap方式的告警无需配置。
- 必须依据网络状况合理设置timeout和resend-times参数,否则会极大影响SNMP工作效率。
- snmp-agent inform address命令对timeout和resend-times参数配置的优先级高于snmp-agent inform命令对这两个参数的配置。如果已经配置了全局Inform方式参数,再配置本命令,对于指定的目标主机来说,本命令配置的参数生效。
- 对于SNMPv2c,低于该命令级别的用户无法查看该命令配置的安全名,当低于命令级别的用户通过display this命令查看系统当前配置时,该命令配置的安全名显示为******。
snmp-agent local-engineid
命令功能
snmp-agent local-engineid命令用来设置本地SNMP实体的引擎ID。
undo snmp-agent local-engineid命令用来恢复本地SNMP实体的引擎ID为缺省值。
缺省情况下,设备采用内部算法自动生成一个设备引擎ID,包含公司的“企业号+设备信息”。
使用指南
应用场景
使用snmp-agent local-engineid命令可以为本地SNMP实体设置引擎ID,从而标识一个SNMP实体。SNMP引擎ID是对SNMP模块进行管理的唯一标识,它在一个管理域内唯一的标识一个SNMP实体。SNMP引擎ID是SNMP实体的重要组成部分,通过它完成SNMP消息的消息调度、消息处理、安全验证、访问控制等功能。用户可使用display snmp-agent local-engineid查看设备上的本地SNMP实体引擎ID。
如果选择自行设置引擎ID必须遵从以下的原则:
前4个字节是IANA(Internet Assigned Numbers Authority)分配的企业私有设备号,16进制形式。华为公司的设备号是十进制2011,第一位二进制固定取值为1,因此16进制形式为800007DB。
设备信息部分的取值由用户自行设置,建议取设备IP地址或MAC地址作为设备信息唯一标识该设备。
注意事项
- 执行snmp-agent命令使能SNMP功能后,系统会自动生成本地引擎ID,取值为缺省值。
- 若设置或者改变本地引擎ID,则已存在的该ID下的SNMPv3用户将被删除。
snmp-agent mib-view
命令功能
snmp-agent mib-view命令用来创建或者更新MIB视图的信息。
undo snmp-agent mib-view命令用来取消当前MIB视图的配置。
对于SNMPv1和SNMPv2c,缺省MIB视图名为ViewDefault,OID为1.3.6.1。而SNMPv3不存在缺省MIB视图,必须进行手工配置。
命令格式
snmp-agent mib-view { excluded | included } view-name oid-tree
undo snmp-agent mib-view [ excluded | included ] view-name [ oid-tree ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| excluded | 表示该MIB视图排除该MIB子树。 | - |
| included | 表示该MIB视图包括该MIB子树。 | - |
| view-name | MIB视图名。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| oid-tree | MIB子树,可以是变量OID的字符串,也可以是变量名的字符串。例如1.4.5.3.1或者system。 | 字符串形式,不支持空格,区分大小写,长度范围是1~255。 说明:
此处必须是一个合法的MIB子树。 |
使用指南
应用场景
多数SNMP配置命令都需要view-name作为参数,snmp-agent mib-view命令就是用来创建或更新MIB视图。
- 通过变量OID作为参数输入方式:snmp-agent mib-view included myview 1.3.6.1.2.1
- 通过节点名作为参数输入方式:snmp-agent mib-view excluded myview system.7
说明: 为了在SNMP报文中唯一标识设备中的管理对象,SNMP用层次结构命名方案来识别管理对象,整个层次结构就象一棵树,树的节点表示管理对象,如{1.3.6.1.2.1},这串数字是管理对象的Object Identifier(客体标识符)。而MIB的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。
需要网管管理设备上的绝大部分MIB节点,只有一少部分节点不允许网管管理时,或者在现有的MIB视图中希望取消网管对某些节点的访问权限时,使用参数excluded,排除这些MIB节点。
需要网管管理设备上的一少部分MIB节点,绝大部分节点不允许网管管理时,或者在现有的MIB视图中添加网管对某些节点的访问权限时,使用参数included,添加这些允许管理的MIB节点。
用户可以使用display snmp-agent mib-view命令查看已经配置的MIB视图节点信息。
注意事项
用户多次使用命令snmp-agent mib-view定义MIB视图时,如果配置的view-name和oid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-name和oid-tree参数值不同,则新旧配置均生效。系统最多可保存256条MIB视图配置,其中缺省视图的配置占四条。
当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。
snmp-agent notification-log
命令功能
snmp-agent notification-log命令用于配置告警日志的老化时间和日志缓冲区中能保存的最大告警日志条数。
undo snmp-agent notification-log命令用于恢复缺省值。
缺省情况下,告警日志的老化时间为24小时,最大告警日志条数为500条。
命令格式
snmp-agent notification-log { global-ageout ageout | global-limit limit } *
undo snmp-agent notification-log { global-ageout [ ageout ] | global-limit [ limit ] } *
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| global-ageout ageout | 指定告警日志的老化时间。 | 整数形式,取值范围为0或12~36,单位为小时。缺省值为24小时。取值为0表示不老化。 |
| global-limit limit | 指定日志缓冲区中能保存的最大告警日志条数。 | 整数形式,取值范围为1~5000。 |
使用指南
应用场景
待确认的告警队列中的某告警信息重传指定次数后,仍然未收到告警确认信息。
当前告警信息记录数目达到待确认告警队列能够存储的最大告警信息个数时,告警信息被丢弃。
注意事项
- 仅Inform日志被存储到消息缓冲区,Trap日志不会被记录到消息缓冲区。
- 如果日志缓冲区中的告警日志信息无需老化,可以将告警日志的老化时间设置为0。
- 如果保存到日志缓冲区的告警日志数量在老化时间内超过了最大值,新的告警日志将保存并覆盖缓冲区中较早的告警日志。
- snmp-agent notification-log命令配置的最大告警日志条数占用的内存不能超过日志缓冲区。如果消息缓冲区过大,将会消耗更多的网络资源。因此建议设置消息缓冲区的大小为一个适当值。
snmp-agent notification-log enable
命令功能
snmp-agent notification-log enable命令用于使能告警日志功能。
undo snmp-agent notification-log enable命令用于去使能告警日志功能。
缺省情况下,告警日志功能为去使能状态。
snmp-agent notify-filter-profile
命令功能
snmp-agent notify-filter-profile命令用来创建或更新Trap过滤信息。
undo snmp-agent notify-filter-profile命令用来删除已创建或更新Trap过滤信息。
缺省情况下,所有Trap信息都不过滤。
命令格式
snmp-agent notify-filter-profile { included | excluded } profile-name oid-tree
undo snmp-agent notify-filter-profile [ included | excluded ] profile-name
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| included | 指定包括MIB子树。 | - |
| excluded | 指定排除MIB子树。 | - |
| profile-name | 指定过滤视图名。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| oid-tree | Mib对象的OID Mib子树,可以是变量OID的字符串,也可以是变量名的字符串。例如:可以是象1.4.5.3.1或者system这样的字符串。 | 字符串形式,不支持空格,区分大小写,长度范围是1~255。 说明:
此处必须是一个合法的MIB子树。 |
使用指南
应用场景
当用户希望对发往目的主机的告警信息进行过滤,筛选重要告警时,可以使用snmp-agent notify-filter-profile把需要过滤的MIB节点添加到过滤视图中,从而限制被管设备向网管发送告警的节点。使用该命令配置过滤视图后,设备上符合要求的MIB节点产生的告警才能发送到该用户的网管。
注意事项
- 如果不配置告警过滤,所有的告警都会上送到目的主机。
- 对于使用snmp-agent notify-filter-profile命令用来更新或创建过滤视图,目前该命令不仅支持以变量OID的字符串作为参数输入,同时还支持以节点名作为参数输入。 对于OID的字符串输入,支持采用“*”作为掩码进行设置。“*”只能放在字符串中间位置,不能放在字符串的头部或尾部。
- 对特定告警进行include过滤时,必须包含此告警的所有绑定变量的OID。否则,告警过滤不成功。
- 对特定告警进行exclude过滤时,只须包含此告警的OID或者任一绑定变量的OID即可
snmp-agent packet contextengineid-check enable
命令功能
snmp-agent packet contextengineid-check enable命令用来使能网管侧contextEngineID和本地引擎ID的一致性检查功能。
undo snmp-agent packet contextengineid-check enable命令用来去使能网管侧contextEngineID和本地引擎ID的一致性检查功能。
缺省情况下,设备不进行网管侧contextEngineID和本地引擎ID的一致性检查。
命令格式
snmp-agent packet contextengineid-check enable
undo snmp-agent packet contextengineid-check enable
snmp-agent packet max-size
命令功能
snmp-agent packet max-size命令用来设置SNMP Agent能接收和发送的SNMP报文的最大尺寸。
undo snmp-agent packet max-size命令用来设置SNMP报文的最大尺寸为缺省值。
缺省情况下,SNMP报文的最大尺寸为12000字节。
使用指南
应用场景
根据网络的情况,使用snmp-agent packet max-size命令来设置SNMP Agent能接收/发送的SNMP信息包的最大尺寸。
通过加大SNMP报文的最大传输单元的尺寸,来解决网管端查询设备状态信息时,只能得到部分的信息的情况。
通过减小SNMP报文的最大传输单元的尺寸,避免设备或者网管在处理不了超大SNMP报文时候将其丢弃。
注意事项
要根据实际网络状况加大SNMP报文的最大传输单元的尺寸,否则会影响SNMP工作效率。
通常情况下,请使用缺省值。
使用snmp-agent packet max-size命令用来设置SNMP报文的最大尺寸,会同时对所有SNMP版本产生影响。
snmp-agent packet-priority
命令功能
snmp-agent packet-priority命令用来设置SNMP报文传输级别。
undo snmp-agent packet-priority命令用来恢复缺省配置。
缺省情况下,SNMP报文传输级别是6。
命令格式
snmp-agent packet-priority { snmp | trap } priority-level
undo snmp-agent packet-priority { snmp | trap }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| snmp | 指定SNMP传输报文(不包含告警报文)的传输级别。包含的SNMP报文:
|
- |
| trap | 指定SNMP告警报文的传输级别。包含的SNMP报文:
|
- |
| priority-level | 指定报文级别。 | 整数形式,取值范围是0~7。缺省值是6。0优先级最低,7优先级最高。 |
snmp-agent protocol get-bulk timeout
命令功能
snmp-agent protocol get-bulk timeout命令用来配置网管get-bulk操作超时返回的时间阈值。
undo snmp-agent protocol get-bulk timeout命令用来将配置的网管get-bulk操作超时返回的时间阈值恢复到缺省情况。
缺省情况下,网管get-bulk超时返回的时间是2秒。
snmp-agent protocol server disable
命令功能
snmp-agent protocol server disable命令用来关闭SNMP IPv4或IPv6的侦听端口。
undo snmp-agent protocol server disable命令用来打开SNMP IPv4或IPv6的侦听端口。
缺省情况下,SNMP IPv4或IPv6的侦听端口处于关闭状态。
命令格式
snmp-agent protocol server [ ipv4 | ipv6 ] disable
undo snmp-agent protocol server [ ipv4 | ipv6 ] disable
使用指南
应用场景
当只需要向网管发送告警不需要执行Get/Set等操作时,将不需要对SNMP的端口进行侦听,可以通过执行snmp-agent protocol server disable命令关闭SNMP IPv4或IPv6的侦听端口。
通过执行本命令可以分别打开或关闭SNMP IPv4或IPv6的侦听端口,实现IPv4和IPv6侦听端口的分开管理和控制。
当不选择ipv4或ipv6参数时,将同时关闭SNMP IPv4和IPv6的侦听端口。
注意事项
执行snmp-agent protocol server disable命令关闭SNMP IPv4或IPv6的侦听端口后,SNMP将不再处理对应的SNMP报文,因此请慎重操作。
snmp-agent protocol source-interface
命令功能
snmp-agent protocol source-interface命令用来配置SNMP接收和响应网管请求报文的源接口信息。
undo snmp-agent protocol source-interface命令将配置的SNMP接收和响应网管请求报文的源接口信息恢复到缺省情况。
缺省情况下,未配置SNMP协议接收和响应网管请求报文的源接口信息。
命令格式
snmp-agent protocol source-interface interface-type interface-number
undo snmp-agent protocol source-interface
使用指南
应用场景
缺省情况下,设备对网管请求报文的接收和响应源接口是随机的,任意可用的接口都可以接收和响应网管请求报文,为数据的统一管理带来不便。为了解决这一问题,可以通过执行命令snmp-agent protocol source-interface配置SNMP接收和响应网管请求报文的源接口,这样网管请求报文会通过配置的源接口进行接收和响应,方便数据的统一管理。
前置条件
在将某个接口设置为网管请求报文的接收和响应源接口之前,必须保证该接口在设备上已经存在,并且配置了合法的IP地址。如果配置的接口不存在,则该命令会配置失败;如果接口没有指定合法的IP地址,则该命令不生效,接口配置了合法IP地址后,该命令会自动生效。
注意事项
snmp-agent protocol source-interface配置不支持接口联动,即配置的源接口被删除、接口下地址被删除、改变等操作,不影响SNMP的配置。
SNMP协议绑定源接口配置生效后,SNMP协议将只侦听该接口下的IP地址,网管只能通过此IP地址与设备通信。如果该接口或者接口下的IP地址被删除,SNMP协议将停止接收IP报文,网管和设备的通信会中断;源接口IP地址变更后,网管只能通过新的IP地址与设备通信。
snmp-agent protocol server message queue
snmp-agent set-cache enable
命令功能
snmp-agent set-cache enable命令用来使能SET回应报文缓冲功能。
undo snmp-agent set-cache enable命令用来去使能SET回应报文缓冲功能。
缺省情况下,SET报文缓冲功能去使能。
snmp-agent statistics mib disable
命令功能
snmp-agent statistics mib disable命令用来去使能网管访问设备MIB节点信息的统计功能。
undo snmp-agent statistics mib disable命令用来将网管访问设备MIB节点信息的统计功能恢复到缺省情况。
缺省情况下,网管访问设备MIB节点信息的统计功能处于使能状态。
使用指南
应用场景
用户在使用网管对设备进行管理时,需要访问设备的MIB节点信息。目前SNMP支持网管访问设备MIB节点信息的统计功能。
缺省情况下,网管访问设备MIB节点信息的统计功能处于使能状态,当此功能占用CPU性能过高或其他原因需要将此功能关闭时,可以执行snmp-agent statistics mib disable命令。
后续任务
可以通过执行display snmp-agent statistics mib命令查询网管访问设备MIB节点的统计信息。
当网管访问设备MIB节点的统计信息过多,并且统计的信息不需要保留时,可以通过执行reset snmp-agent statistics mib命令将所有的统计信息删除。
注意事项
当通过执行snmp-agent statistics mib disable命令将网管访问设备MIB节点信息的统计功能去使能后,系统只会停止继续统计MIB节点信息,已经完成的统计信息不会丢失。
snmp-agent sys-info
命令功能
snmp-agent sys-info命令用来设置系统信息。
undo snmp-agent sys-info命令用来恢复当前设置为缺省值。
缺省情况下,系统维护联系信息为“R&D Beijing, Huawei Technologies Co., Ltd.”;物理位置信息为“Beijing China”;版本为SNMPv3。
命令格式
snmp-agent sys-info { contact contact | location location | version { { v1 | v2c | v3 } * | all } }
undo snmp-agent sys-info { contact | location | version { { v1 | v2c | v3 } * | all } }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| contact contact | 设置系统维护联系信息。 | 字符串形式,区分大小写,支持空格。取值范围是1~225。 |
| location location | 设置设备节点的物理位置。 | 字符串形式,区分大小写,支持空格。取值范围是1~255。 |
| version { { v1 | v2c | v3 } * | all } | 设置系统启用SNMP版本。其中:
说明:
该参数为非覆盖式参数,可重复配置。设备上运行多个SNMP版本时,网管使用其中任一版本均能对设备进行管理。 |
- |
使用指南
应用场景
使用snmp-agent sys-info contact命令配置管理节点的联系信息。如果设备发生故障,设备维护人员可以利用系统维护联系信息,及时与设备生产厂商取得联系。
使用snmp-agent sys-info location命令配置管理节点的物理位置。
使用snmp-agent sys-info version命令配置系统SNMP版本号,从而实现不同版本相应特性功能。建议使用SNMPv3版本,安全性较高。
- 在SNMPv1中支持基于团体名的访问控制
- 在SNMPv1中支持基于MIB视图的访问控制
- 在SNMPv2c中支持基于团体名的访问控制
- 在SNMPv2c中支持基于MIB视图的访问控制
- 支持Inform消息
- SNMPv3中支持用户组
- SNMPv3中支持基于组的访问控制
- SNMPv3中支持基于用户的访问控制
- SNMPv3支持鉴别和加密机制
注意事项
SNMPv1和SNMPv2c版本存在安全风险,建议使用SNMPv3版本。
使用实例
# 设置系统维护信息为call Operator at 010-12345678。
<HUAWEI> system-view [HUAWEI] snmp-agent sys-info contact call Operator at 010-12345678
# 设置设备节点的物理位置是shanghai China。
<HUAWEI> system-view [HUAWEI] snmp-agent sys-info location shanghai China
# 设置当前系统SNMP版本号为SNMPv2c。
<HUAWEI> system-view [HUAWEI] snmp-agent sys-info version v2c
snmp-agent target-host inform
命令功能
snmp-agent target-host inform命令用来配置接收Inform消息的目的主机。
undo snmp-agent target-host命令用来取消接收Inform消息的目的主机配置。
缺省情况下,没有配置接收Inform消息的目的主机。
命令格式
snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname { security-name | cipher security-name } v2c [ notify-filter-profile profile-name | ext-vb ] *
snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname security-name v3 [ authentication | privacy ] [ notify-filter-profile profile-name | ext-vb ] *
undo snmp-agent target-host ip-address securityname { security-name | cipher security-name } [ vpn-instance vpn-instance-name ]
undo snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ vpn-instance vpn-instance-name | public-net ] ] * params securityname { security-name | cipher security-name }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| address | 指定目的主机的IP地址。 | - |
| udp-domain ip-address | 指定目的主机的IP地址,且基于UDP传输。 | 点分十进制形式。 |
| udp-port port-number | 指定目的主机接收Inform报文的端口号。 | 整数形式,取值范围是0~65535,缺省值是162。 |
| source interface-type interface-number | 指定设备发送Inform报文的源接口。 | - |
| vpn-instance vpn-instance-name | 指定目的主机所属的VPN实例。 | 必须是已存在的VPN实例名称。 |
| public-net | 表示目的主机在公网中。 | - |
| params | 指定产生SNMP消息的目的主机信息。 | - |
| securityname security-name | 指定在网管侧显示的用户安全名。 对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。配置的security-name必须和创建的用户名保持一致,否则网管将无法访问设备。 对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| cipher security-name | 指定以明文或密文输入在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
| v2c | 指定SNMP版本为SNMPv2c。 | - |
| v3 | 指定SNMP版本SNMPv3。 | - |
| authentication | privacy | 指定报文安全模式,其中:
仅SNMPv3版本支持该参数。
|
- |
| notify-filter-profile profile-name | 指定过滤视图名。 | 必须是已存在的过滤视图。 |
| ext-vb | 指定对目的主机发送的告警携带扩展绑定变量。 如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。
|
- |
使用指南
应用场景
设备发送Inform消息后需要等待网管的确认消息,如在指定的时间内没有得到网管的响应,设备会重新传送告警消息。如在指定的重传次数内,设备端仍然无法得到NMS发送的确认消息时,设备端才会从告警队列中删除此告警消息。采用Inform方式可以最大程度的保证网管端接收到告警消息。
如果要配置多台目的主机,必须要为每台主机单独执行snmp-agent target-host inform命令进行配置。如果为一台主机多次执行snmp-agent target-host inform命令进行配置,只有最后一次的成功配置生效。
- 指定参数public-net时,系统将访问公网中的目的主机。
- 指定参数vpn-instance vpn-instance-name时,系统将访问指定VPN实例中的目的主机。
- 不指定参数public-net和vpn-instance vpn-instance-name时:
- 指定参数source interface-type interface-number时,如果该接口下绑定了VPN实例,则系统将访问此VPN实例中的目的主机;如果该接口下没有绑定VPN实例,则系统将访问公网中的目标主机。
- 已经执行命令snmp-agent trap source配置发送Trap报文的源接口,如果该接口下绑定了VPN实例,则系统将访问此VPN实例中的目的主机;如果该接口下没有绑定VPN实例,则系统将访问公网中的目标主机。
- 已经执行命令set net-manager vpn-instance配置了网管管理VPN实例,系统将访问网管管理VPN实例中的目标主机。
- 以上条件均不满足,则系统将访问公网中的目标主机。
配置影响
使用Inform方式系统消耗的资源相对于Trap方式要大些。
注意事项
snmp-agent notify-filter-profile命令用于创建或更新Inform告警的过滤条件,设备会根据过滤视图对发往目的主机的告警信息进行过滤,只有满足过滤条件的告警才会被发往目的主机。若不使用notify-filter-profile参数配置告警过滤,那么所有的告警都会上送到目的主机。
- 1级:privacy(鉴权且加密)
- 2级:authentication(只鉴权)
- 3级:noauthentication(不鉴权不加密)
使用SNMPv3发送Inform时,必须要执行snmp-agent remote-engineid usm-user v3 命令配置SNMPv3远程用户,且用户关联的remote-engineid必须和目的主机的engineID相同。
SNMPv2c告警主机的securityname在配置中密文显示,SNMPv3告警主机的securityname在配置中明文显示。对于SNMPv2c,低于该命令级别的用户无法查看该命令配置的安全名,当低于该命令级别的用户通过display this命令查看系统当前配置时,该命令配置的安全名显示为******。
snmp-agent target-host trap
命令功能
snmp-agent target-host trap命令用来配置接收Trap消息的目的主机。
undo snmp-agent target-host命令用来取消接收Trap消息的目的主机配置。
缺省情况下,没有配置接收Trap消息的目的主机。
命令格式
snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ public-net | vpn-instance vpn-instance-name ] ] * params securityname security-name [ [ v1 | v2c | v3 [ authentication | privacy ] ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] *
snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ public-net | vpn-instance vpn-instance-name ] ] * params securityname cipher security-name [ [ v1 | v2c ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] *
undo snmp-agent target-host ip-address securityname { security-name | cipher security-name } [ vpn-instance vpn-instance-name ]
undo snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ public-net | vpn-instance vpn-instance-name ] ] * params securityname { security-name | cipher security-name }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| address | 指定目的主机的IP地址。 | - |
| udp-domain ip-address | 指定目的主机的IP地址,且基于UDP传输。 | - |
| udp-port port-number | 指定目的主机接收Trap报文的端口号。 | 整数形式,取值范围是0~65535,缺省值是162。 |
| source interface-type interface-number | 指定设备发送Trap报文的源接口。 | - |
| public-net | 表示目的主机在公网中。 | - |
| vpn-instance vpn-instance-name | 指定目的主机所属的VPN实例。 | 必须是已存在的VPN实例名称。 |
| params securityname security-name | 指定在网管侧显示的用户安全名。 对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。配置的security-name必须和创建的用户名保持一致,否则网管将无法访问设备。 对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| cipher security-name | 指定以明文或密文输入在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
| v1 | v2c | v3 | 指定SNMP版本。其中:
|
- |
| authentication | privacy | 指定对报文安全模式,其中:
仅SNMPv3版本支持该参数。
|
- |
| private-netmanager | 指定接收Trap的目标主机是华为网管。当网管使用的是华为网管时,配置此参数后,发送给网管的告警中可以携带更加丰富的信息,包括告警的类型、发送告警的序号和告警发送的时间。 | - |
| notify-filter-profile profile-name | 指定过滤视图名。若不使用notify-filter-profile参数配置告警过滤,那么所有的告警都会上送到目的主机。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| ext-vb | 指定对目标主机发送的告警携带扩展绑定变量。 如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。
|
- |
使用指南
应用场景
SNMP的消息机制包括了Trap消息和Inform消息。Trap消息由于接收者不需要发送确认消息,导致可靠性较差,发送者无法确认Trap消息是否被收到。Inform消息由于存在确认机制,保证了Inform消息有了较高的可靠性。
如果要配置多台目的主机,必须要为每台主机单独执行snmp-agent target-host trap命令进行配置。如果为一台主机多次执行snmp-agent target-host trap命令进行配置,只有最后一次的成功配置生效。比如,如果已经为一台主机进行了trap配置,如果再次对其进行trap配置,则第二次配置会取代第一次配置生效。
- 指定参数public-net时,系统将访问公网中的目的主机。
- 指定参数vpn-instance vpn-instance-name时,系统将访问指定VPN实例中的目的主机。
- 不指定参数public-net和vpn-instance vpn-instance-name时:
- 指定参数source interface-type interface-number时,如果该接口下绑定了VPN实例,则系统将访问此VPN实例中的目的主机;如果该接口下没有绑定VPN实例,则系统将访问公网中的目标主机。
- 已经执行命令snmp-agent trap source配置发送Trap报文的源接口,如果该接口下绑定了VPN实例,则系统将访问此VPN实例中的目的主机;如果该接口下没有绑定VPN实例,则系统将访问公网中的目标主机。
- 已经执行命令set net-manager vpn-instance配置了网管管理VPN实例,系统将访问网管管理VPN实例中的目标主机。
- 以上条件均不满足,则系统将访问公网中的目标主机。
配置影响
无论发送后NMS是否已经接收到此告警,设备端都会从告警队列中删除此消息,因此使用Trap方式系统消耗的资源少。
注意事项
- 1级:privacy(鉴权且加密)
- 2级:authentication(只鉴权)
- 3级:noauthentication(不鉴权不加密)
在SNMP Trap已经使能的情况下,为了保证运行SNMPv3的设备能正常发送Trap消息,securityname所在用户组必须通过snmp-agent group命令配置通知视图后才有发送告警的权限。
对于SNMPv1和SNMPv2c,低于该命令级别的用户无法查看该命令配置的安全名,当低于命令级别的用户通过display this命令查看系统当前配置时,该命令配置的安全名显示为******。
使用实例
# 允许向10.1.1.1发送SNMP Trap报文。
<HUAWEI> system-view [HUAWEI] snmp-agent trap enable [HUAWEI] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname comaccess
# 允许向10.1.1.1发送SNMP Trap报文,并接收Trap的目标主机是华为网管。
<HUAWEI> system-view [HUAWEI] snmp-agent trap enable [HUAWEI] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname comaccess private-netmanager
snmp-agent target-host trap ipv6
命令功能
snmp-agent target-host trap ipv6命令用来配置接收Trap消息的目的IPv6主机。
undo snmp-agent target-host ipv6命令用来删除接收Trap消息的目的IPv6主机。
缺省情况下,没有配置接收Trap消息的目的IPv6主机。
命令格式
snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | vpn-instance vpn-instance-name ] * params securityname security-name [ [ v1 | v2c | v3 [ authentication | privacy ] ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] *
snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | vpn-instance vpn-instance-name ] * params securityname cipher security-name [ [ v1 | v2c ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] *
undo snmp-agent target-host ipv6 ipv6-address securityname { security-name | cipher security-name } [ vpn-instance vpn-instance-name ]
undo snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | vpn-instance vpn-instance-name ] * params securityname { security-name | cipher security-name }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| ipv6 address | 指定SNMP消息传输的IPv6目标主机地址。 | - |
| udp-domain | 指定目标主机的传输域基于UDP。 | - |
| ipv6-address | 目标主机IPv6的IP地址。 | - |
| udp-port port-number | 指定接收Trap报文的端口号。 | 整数形式,取值范围为0~65535,缺省情况下为162。 |
| vpn-instance vpn-instance-name | 指定VPN实例名。不指定参数vpn-instance vpn-instance-name时,系统将访问公网中的目标主机。 |
vpn-instance可选,如果在VPN中使用,需要vpn-instance vpn-instance-name指定的VPN实例、IP地址和securityname security-string指定的安全名组成一个三元组来标识一个目标主机。 |
| params securityname security-name | 指定在网管侧显示的用户安全名。 对于SNMPv3版本,securityname必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。 对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| cipher security-name | 指定以明文或密文输入在网管侧显示的用户安全名。 |
字符串形式,不支持空格,区分大小写,长度范围是1~32或32、48、56、68。当输入的字符串两端使用双引号时,可在字符串中输入空格。
|
| v1 | v2c | v3 | 指定SNMP版本。其中:
|
- |
| authentication | privacy | 指定对报文安全模式,其中:
|
- |
| private-netmanager | 指明接收Trap的目标主机是华为网管。当网管使用的是华为网管时,配置此参数后,发送给网管的告警中可以携带更加丰富的信息,包括告警的类型、发送告警的序号和告警发送的时间等。 | - |
| notify-filter-profile profile-name | 指定过滤视图名。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| ext-vb | 指定对目标主机发送的告警携带扩展绑定变量。 如果华为数据通信设备对公有MIB定义的告警节点进行了扩展,可通过参数ext-vb控制向网管发送的告警中是否携带扩展绑定变量。
|
- |
使用指南
应用场景
此命令用于配置IPv6网管主机,其作用是在产生Trap的时候,使Trap基于IPv6协议发送。
注意事项
目前IPv6协议下,设备不支持向set net-manager vpn-instance命令指定的VPN实例中的网管发送告警。
- 1级:privacy(鉴权且加密)
- 2级:authentication(只鉴权)
- 3级:noauthentication(不鉴权不加密)
对于SNMPv1和SNMPv2c,低于该命令级别的用户无法查看该命令配置的安全名,当低于命令级别的用户通过display this命令查看系统当前配置时,该命令配置的安全名显示为******。
snmp-agent trap disable
命令功能
snmp-agent trap disable命令用来关闭系统中打开的所有告警开关。
undo snmp-agent trap disable命令用来恢复所有的告警开关至缺省状态。
缺省情况可以通过命令display snmp-agent trap all查看。
使用指南
如果需要一次性关闭所有打开的告警开关,需使用snmp-agent trap disable关闭所有打开的告警开关。
如果需要一次性恢复所有的告警开关至缺省状态,需使用undo snmp-agent trap disable或者undo snmp-agent trap enable恢复所有的告警开关至缺省状态。
snmp-agent trap enable
命令功能
snmp-agent trap enable命令用来使能交换机发送Trap报文。
undo snmp-agent trap enable命令用来恢复为缺省情况。
缺省情况可以通过命令display snmp-agent trap all查看。
使用指南
- 当用户希望一次性打开所有模块的告警开关时,可以使用命令snmp-agent trap enable。
- 当用户希望一次性关闭所有打开的告警开关时,可以使用命令snmp-agent trap disable。
- 当用户希望打开特定模块的告警开关时,可以使用命令snmp-agent trap enable feature-name feature-name。
- 当用户希望关闭特定模块的告警开关时,可以使用命令undo snmp-agent trap enable feature-name feature-name。
- 当用户希望打开特定模块下的特定告警开关时,可以使用命令snmp-agent trap enable feature-name feature-name trap-name trap-name。
- 当用户希望关闭特定模块下的特定告警开关时,可以使用命令undo snmp-agent trap enable feature-name feature-name trap-name trap-name。
- 当用户希望一次性恢复所有告警开关至缺省状态时,可以使用undo snmp-agent trap disable命令或undo snmp-agent trap enable命令。
snmp-agent trap enable命令与snmp-agent target-host inform命令、snmp-agent target-host trap命令协同使用。
若要一台设备可以发送告警消息,至少需要在该设备上配置一条snmp-agent target-host inform命令或snmp-agent target-host trap命令,指明接收告警信息的目的地址。
snmp-agent trap enable feature-name
命令功能
snmp-agent trap enable feature-name命令用来打开具体特性下的指定告警的开关。
undo snmp-agent trap enable feature-name命令用来关闭具体特性下的指定告警的开关。
缺省情况可以通过命令display snmp-agent trap all查看。
命令格式
snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]
undo snmp-agent trap enable feature-name feature-name [ trap-name trap-name ]
使用指南
如果不指定trap-name trap-name参数,snmp-agent trap enable feature-name feature-name命令表示使能交换机具体特性下的所有告警消息。
用户可通过display snmp-agent trap feature-name all查看配置结果。
snmp-agent trap enable feature-name bulkstat
命令功能
snmp-agent trap enable feature-name bulkstat命令用来打开批量统计模块的告警开关。
undo snmp-agent trap enable feature-name bulkstat用来关闭批量统计模块的告警开关。
缺省情况下,批量统计模块的告警开关为关闭状态。
命令格式
snmp-agent trap enable feature-name bulkstat [ trap-name { hwbulkstatcollectincomplete | hwbulkstatcollectresume | hwbulkstattransferfilediscard | hwbulkstaturlconnectionfail | hwbulkstaturlconnectionresume } ]
undo snmp-agent trap enable feature-name bulkstat [ trap-name { hwbulkstatcollectincomplete | hwbulkstatcollectresume | hwbulkstattransferfilediscard | hwbulkstaturlconnectionfail | hwbulkstaturlconnectionresume } ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| trap-name | 关联批量统计模块的指定类型事件的告警。 如果不使用trap-name参数进行告警关联,则表示打开批量统计模块中所有的告警开关。 |
- |
| hwbulkstatcollectincomplete | 批量统计文件在采集周期内采集不完整的告警。 | - |
| hwbulkstatcollectresume | 批量统计文件在后面的采集周期内采集恢复正常时的告警。 | - |
| hwbulkstattransferfilediscard | 批量统计文件传输失败被丢弃时的告警。 | - |
| hwbulkstaturlconnectionfail | 批量统计文件传输URL连接失败时的告警。 | - |
| hwbulkstaturlconnectionresume | 批量统计文件传输URL连接恢复时的告警。 | - |
snmp-agent trap enable feature-name snmp
命令功能
snmp-agent trap enable feature-name snmp命令用来打开SNMP模块的告警开关。
undo snmp-agent trap enable feature-name snmp命令用来关闭SNMP模块的告警开关。
缺省情况下,SNMP模块的冷启动告警和热启动告警处于打开状态,认证失败告警处于关闭状态。
命令格式
snmp-agent trap enable feature-name snmp [ trap-name trap-name ]
undo snmp-agent trap enable feature-name snmp [ trap-name trap-name ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| trap-name trap-name | 指定告警的名称。 | 有以下告警:
|
使用指南
- 冷启动告警(coldStart):设备断电重启时,会产生此告警。
- 热启动告警(warmStart):设备上的SNMP Agent状态从未使能到使能时的操作时,会产生此告警。
- 认证失败告警(authenticationFailure):当使用错误的团体名连接设备而导致连接失败时,会产生此告警。
- 达到上限阈值告警(hwSNMPLockThreshold):被锁定的认证失败用户的数量达到上限阈值。
- 恢复到下限阈值告警(hwSNMPLockThresholdResume):被锁定的认证失败用户的数量恢复到下限阈值。
用户可通过display snmp-agent trap feature-name snmp all查看配置结果。
snmp-agent trap life
snmp-agent trap queue-size
snmp-agent trap start-trap resend disable
命令功能
snmp-agent trap start-trap resend disable命令用来关闭设备冷热启动告警的重传功能。
undo snmp-agent trap start-trap resend disable命令用来将设备冷热启动告警的重传功能恢复到缺省状态。
缺省情况下,设备冷热启动告警的重传功能处于开启状态。
snmp-agent trap source
命令功能
snmp-agent trap source命令用来指定发送Trap的源接口。
undo snmp-agent trap source命令用来取消对发送Trap源接口的指定。
缺省情况下,未指定发送Trap的源接口。
snmp-agent trap source-port
命令功能
snmp-agent trap source-port命令用来配置发送Trap报文的源端口号。
undo snmp-agent trap source-port命令用来恢复发送Trap报文的源端口号为缺省值。
缺省情况下,发送Trap报文的源端口号为随机端口号。
snmp-agent trap type
命令功能
snmp-agent trap type命令用来设置当前设备发送的是ENTITYTRAP告警还是BASETRAP告警。
undo snmp-agent trap type命令用来恢复为缺省值。
缺省情况下,设备发送的是BASETRAP告警。
使用指南
应用场景
- BASETRAP告警主要是面向故障类型的,按照故障类型进行分类。比如单板、风扇被拔出的告警属于同一类,都是某类硬件被拔出,在出现单板和风扇被拔出时,系统上报告警是同一个。
- ENTITYTRAP告警则按照不同的硬件提供更详细的告警。比如单板和风扇被拔出时会产生两个告警。
注意事项
- 告警类型(通过snmp-agent trap type命令设置)设置为base-trap
- BASETRAP告警功能处于使能状态
- 告警类型(通过snmp-agent trap type命令设置)设置为entity-trap
- ENTITYTRAP告警功能处于使能状态
snmp-agent udp-port
命令功能
snmp-agent udp-port命令用来配置SNMP Agent与网管连接所使用的UDP端口号。
undo snmp-agent udp-port命令用来恢复SNMP Agent与网管连接所使用的UDP端口号为缺省值。
缺省情况下,SNMP Agent与网管连接所使用的UDP端口号为161。
使用指南
应用场景
SNMP Agent是运行在网络设备中的一个代理进程。缺省情况下,该进程通过161端口与网管进行通信,响应网管发来的指令,从而实现网管对设备的管理。由于用于通信的端口号固定,存在一定的安全隐患,如攻击者将大量的攻击报文发往该端口,造成网络阻塞等。
通过snmp-agent udp-port命令,用户可以修改这个知名端口号,从而提高设备的安全性。
配置影响
执行该命令后,SNMP Agent将使用新配置的端口号与网管进行通信,原有的SNMP连接将会断开。网管端需要使用新端口号才能连接到设备。
注意事项
在配置了SNMP Agent与网管连接所使用的端口号以后,通过网管管理设备时,网管端指定的端口号必须与snmp-agent udp-port命令配置的端口号保持一致,否则无法连接设备。
snmp-agent usm-user
命令功能
snmp-agent usm-user命令用来为一个SNMP组添加一个新用户。
undo snmp-agent usm-user命令用来删除SNMP组的一个用户。
缺省情况下,SNMP组没有用户。
命令格式
snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *
snmp-agent [ remote-engineid engineid ] usm-user v3 user-name authentication-mode { md5 | sha } [ localized-configuration cipher password | cipher password ]
snmp-agent [ remote-engineid engineid ] usm-user v3 user-name privacy-mode { des56 | aes128 | aes192 | aes256 | 3des } [ localized-configuration cipher password | cipher password ]
snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } password [ privacy-mode { des56 | aes128 | aes192 | aes256 | 3des } encrypt-password ] ] [ acl acl-number ]
snmp-agent usm-user v3 user-name group-name [ acl acl-number ]
undo snmp-agent usm-user v3 user-name group-name [ engineid engineid | local ]
undo snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group | acl | authentication-mode | privacy-mode ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| remote-engineid engineid | 指定用户的远程引擎ID 。 说明:
remote-engineid engineid必须为接收告警的目的主机的引擎ID,并且和本地引擎ID不能相同。 |
十六进制数字,长度范围是10~64,全零或者全F为无效值。 |
| v3 | 指定用户使用V3的安全模式。 | - |
| user-name | 指定用户名。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| group group-name | 指定用户对应的组名。 | 字符串形式,不支持空格,区分大小写,长度范围是1~32。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| authentication-mode | 指定安全级别为需要认证。 说明:
认证是指代理(管理站)接到信息时首先必须确认信息是否来自有权的管理站(代理)并且信息在传输过程中未被改变。RFC2104中定义了HMAC,这是一种使用安全哈希函数和密钥来产生信息验证码的有效工具,在互联网中得到了广泛的应用。SNMP使用的HMAC可以分为两种:HMAC-MD5-96和HMAC-SHA-96。前者的哈希函数是MD5,使用128位authKey作为输入。后者的哈希函数是SHA-1,使用160位authKey作为输入。 |
- |
| md5 | sha | 指定认证协议。其中:
说明:
HMAC-MD5-96算法的计算速度比HMAC-SHA-96算法快,而HMAC-SHA-96算法的安全强度比HMAC-MD5-96算法高。为了保证更好的安全性,建议使用HMAC-SHA-96算法。 |
- |
| privacy-mode | 指定安全级别为加密。 系统采用数据加密标准(DES)的密码组链接(CBC)码,使用128位的privKey作为输入。管理站使用密钥计算验证码,然后将其加入信息中,而代理则使用同一密钥从接收的信息中提取出验证码,从而得到信息。加密的过程与身份验证类似,也需要管理站和代理共享同一密钥来实现信息的加密和解密。 |
- |
| des56 | aes128 | aes192 | aes256 | 3des | 指定加密协议为DES–56、AES–128、AES–192、AES–256或者3DES加密算法。 说明:
为了保证更好的安全性,建议不要使用DES56或3DES算法。如果使用DES56或3DES算法,请不要配置由完全重复的字符串构成的密码,形如str*n,str是重复的字符串,n是该字符串重复出现的次数。否则,以str或str重复任意整数次的密码均能通过认证。例如,如果用户密码为Huawei@123Huawei@123,则Huawei@123、Huawei@123Huawei@123、Huawei@123Huawei@123Huawei@123...均能通过认证。 |
- |
| localized-configuration | 指定密码为本地化格式。 说明:
通过MIB配置认证和加密密码后,设备配置文件的命令中会显示该关键字。 通过命令行配置认证和加密密码时,建议不要使用该关键字。如果使用该关键字进行配置,后面带的密文密码必须要是设备自己生成的本地化格式的密码。 由于带localized-configuration关键字的密码与设备的引擎ID有关联,故跨设备粘贴带localized-configuration关键字的配置会导致密码不可用。 |
- |
| cipher password | 指定密码。 | 字符串形式,不支持空格,不区分大小写,仅支持密文,长度范围是32~108。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| encrypt-password | 指定密码。 | 字符串形式,不支持空格,不区分大小写,仅支持密文,长度范围是32~108。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| acl { acl-number | acl-name } | 指定ACL:
ACL可以是基本ACL,也可以是高级ACL,且在IPv4和IPv6网络中同时生效。 |
|
| engineid engineid | 指定与该用户相关联的引擎ID。 | 十六进制数字,长度范围是10~64,全零或者全F为无效值。 |
| local | 指定本地实体用户。 | - |
使用指南
应用场景
SNMPv1/v2c在安全性方面存在重要的缺陷。SNMPv1/v2c采用基于团体名的有限的安全认证机制,团体名明文传输。不推荐在非完全信任的网络使用SNMPv1/SNMPv2c。
说明: 执行snmp-agent group命令,可以把认证、加密和访问控制细化到SNMP组的级别。通过snmp-agent group命令对指定的SNMP组名配置权限,同时绑定到MIB视图。这里的MIB视图是由snmp-agent mib-view创建,具体细节可以参见该命令的使用指南。完成SNMP用户组的配置后,即可以认为实现了SNMP用户组基于MIB视图的访问控制,但此时用户并不能够直接使用SNMP用户组进行MIB视图的访问。配置SNMP组目的是为SNMP用户提供群组,保证一个SNMP组内的SNMP用户具有相同的安全级别和访问控制列表。执行snmp-agent usm-user命令可以实现SNMP组和SNMP用户的绑定,此时可以视为SNMP用户基于视图的访问控制。如果SNMP组配置指定了有认证有加密的访问权限,在配置SNMP用户时候就可以进行认证方式和加密方式的配置。网管端NMS和设备端Agent必须配置相同的认证密钥和加密的密码,否则验证失败。
在交换机和网管端的inform告警互通的过程中,为了确保交换机发出的inform告警被网管端正确地接收,需要在主机侧使用snmp-agent remote-engineid engineid usm-user v3 user-name命令指定网管端的Engine ID。在主机发送inform告警报文时,将配置的Engine ID封装在SNMPv3 inform告警的Authoritative Engine ID字段中。网管端在收到该报文后会将报文中所带的Engine ID和自身的Engine ID进行比较,如果相同,网管则会认为是发往自己的inform告警,并进行inform应答,否则把该报文丢弃。
当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等。建议用户配置认证和加密功能,且配置不同的认证密码和加密密码来提高安全性。
配置影响
snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *
snmp-agent usm-user v3 user-name authentication-mode { md5 | sha } [cipher password ]
snmp-agent usm-user v3 user-name privacy-mode { des56 | aes128 | aes192 | aes256 | 3des } [ cipher password ]
snmp-agent usm-user v3 user-name [ group group-name | acl acl-name ] *
命令格式undo snmp-agent usm-user v3 user-name group-name [ engineid engineid | local ]需要输入完整才能执行。
用户在为某个代理配置了远端用户后,在进行验证时,需要用到引擎ID(engineID)。如果配置用户后引擎ID改变,则原引擎ID相应的用户被删除。
注意事项
- 1级:privacy(认证且加密)
- 2级:authentication(只认证)
- 3级:None(不认证不加密)
如果配置的用户安全级别为不认证不加密,则用户的访问权限限制在MIB-2(OID为1.3.6.1.2.1)的范围内,且只有只读权限。
配置SNMP用户,必须保证其加入有效的SNMP用户组。
多次使用本命令配置同一用户,配置结果以最后一次的配置为准。
在创建用户时请牢记用户名以及对应的明文类型密码,因为NMS在访问设备时,需要输入明文类型密码。
输入的密码为字符串形式,区分大小写,长度范围是8~64。
输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。
特殊字符不包括“?”和空格。
为了提高密码的安全性,避免使用完全由重复字符串构成的口令,例如abc123abc123abc123、**123abc**123abc等。
采用交互方式输入的密码不会在终端屏幕上显示出来。
由于同名用户只能归属同一群组,因此,对用户添加、删除、修改group,会同时变更其他同名用户的群组。
低于该命令级别的用户无法查看该命令配置的密码,当低于命令级别的用户通过display this命令查看系统当前配置时,该命令配置的密码显示为******。
使用实例
# 配置SNMPv3用户,用户名u1,所属组名g1,鉴别方式sha,鉴别密码为8937561bc,加密方式aes128,加密密码为68283asd。
<HUAWEI> system-view [HUAWEI] snmp-agent usm-user v3 u1 group g1 [HUAWEI] snmp-agent usm-user v3 u1 authentication-mode sha Please configure the authentication password (8-64) Enter Password: Confirm Password: [HUAWEI] snmp-agent usm-user v3 u1 privacy-mode aes128 Please configure the privacy password (8-64) Enter Password: Confirm Password: [HUAWEI]
snmp-agent usm-user password complexity-check disable
命令功能
snmp-agent usm-user password complexity-check disable命令用来去使能SNMPv3用户密码复杂度检查功能。
undo snmp-agent usm-user password complexity-check disable命令用来使能SNMPv3用户密码复杂度检查功能。
缺省情况下,使能SNMPv3用户密码复杂度检查功能。
命令格式
snmp-agent usm-user password complexity-check disable
undo snmp-agent usm-user password complexity-check disable
使用指南
应用场景
使能SNMPv3用户密码复杂度检查功能后,配置SNMPv3用户密码时,需要满足复杂度检查的要求。去使能此功能,则不对SNMPv3用户密码的复杂度进行检查。
设备对SNMPv3用户密码复杂度的要求如下:
- 密码不能和用户名相同且密码不能和用户名的反序相同(去使能SNMPv3用户密码复杂度检查功能后仍然进行此项检查)。
- 密码的最小长度是set password min-length命令的配置值,缺省情况下,最小长度是8个字符。
- 密码至少包含2种字符,包括:大写字母、小写字母、数字、特殊字符(不包括问号和空格)。
注意事项
- 不开启SNMPv3用户密码复杂度检查功能,如果配置的SNMPv3用户密码比较简单,不满足复杂度的要求,就比较容易受到非法用户的攻击和破解,影响设备的安全性。因此建议使能SNMPv3用户密码复杂度检查功能。
- 配置恢复阶段,不对SNMPv3用户密码进行复杂度检查。
- 开启SNMPv3用户密码复杂度检查功能对已经配置的密码没有影响。
transfer
命令格式
transfer { primary | secondary } protocol { tftp | { { ftp | sftp } username user-name password password } } { host host-name } [ path destination-path ]
undo transfer { primary | secondary }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| primary | 指定主用文件上传方式。 | - |
| secondary | 指定备用文件上传方式。 | - |
| protocol | 指定上传文件所用的协议类型。 | - |
| tftp | 指定使用tftp模式上传。 |
- |
| ftp | 指定使用ftp模式上传。 |
- |
| sftp | 指定使用sftp模式上传。 |
- |
| username user-name | 指定使用ftp/sftp模式上传方式的用户名称。 |
字符串形式,取值范围为1~64。 |
| password password | 指定使用ftp/sftp模式上传方式的密码。 | 字符串形式。 使用明文输入,取值范围为1~16。 使用密文输入,取值为32或48。 |
| host host-name | 指定服务器主机名称。 | 字符串形式,取值范围为1~20。 |
| path destination-path | 指定目的文件路径。 | 字符串形式,取值范围为1~64。 |
使用指南
批量统计文件的上传支持主备方式,如果以主用方式上传不成功,则自动使用备用方式上传。
必须要配置主用方式,才能启动统计文件;备用方式可选。
文件启动后可以修改主/备用方式,不能删除主用方式,但可以删除备用方式,也可以添加备用方式。
为了提高安全性,建议使用sftp上传模式。
使用实例
# 设置批量统计文件“iftable”的主用上传方式。
<HUAWEI> system-view [HUAWEI] bulk-stat enable [HUAWEI] bulk-file iftable [HUAWEI-bulk-file-iftable] transfer primary protocol sftp username user password pwd host host-name path folder/bulkstat1
# 设置批量统计文件“iftable”的备用上传方式。
<HUAWEI> system-view [HUAWEI] bulk-stat enable [HUAWEI] bulk-file iftable [HUAWEI-bulk-file-iftable] transfer secondary protocol tftp host 10.1.0.1 path folder/bulkstat2
# 撤销批量统计文件“iftable”的备用上传方式。
<HUAWEI> system-view [HUAWEI] bulk-stat enable [HUAWEI] bulk-file iftable [HUAWEI-bulk-file-iftable] undo transfer secondary
transfer interval
transfer remain-time
命令功能
transfer remain-time 命令用来配置批量统计文件的上传保存时间。
undo transfer remain-time命令用来将批量统计文件的上传保存时间恢复为缺省值。
缺省情况下,批量统计报文的上传保存时间是5分钟。
上一页
