按自定义参数配置设备使用SNMP Proxy与网管通信
在主设备上配置SNMP Proxy可对监控设备进行管理。从NMS角度来看,主设备和监控设备虚拟为一个独立的网元来管理,避免了网管需要管理多个网元,从而节约了管理成本。
应用环境
用户希望通过网管统一管理主设备和监控设备时,可在主设备上部署SNMP Proxy,NMS将主设备和监控设备作为一个虚拟管理单元,这样可显著减少网管需要管理的网元。从而节省网络管理成本、实时监控设备运行性能和提高服务质量。
若用户不希望主设备使用默认参数接入监控设备业务,可在主设备上手动配置SNMP Proxy。SNMP Proxy配置成功后,主设备将按照用户配置的参数接入监控设备业务。
配置主设备
在主设备上手动配置SNMP Proxy,主设备将按照用户配置的参数接入监控设备业务,实现对监控设备的管理。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令snmp-agent password min-length min-length,配置SNMP密码的最小长度。
配置了该命令后,用户配置SNMP密码时,密码长度必须大于等于配置的SNMP密码的最小长度。
- 主设备上的SNMP Proxy配置如表17-2所示。表17-2所示的配置无顺序关系。表17-2 SNMP Proxy配置
配置任务
操作
说明
配置SNMP协议报文代理规则
- SNMP协议报文类型是GetRequest、SetRequest或Trap时,请执行命令snmp-agent proxy rule rule-name { read | trap | write } remote-engineid remote-engineid target-host target-host-name params-in securityname { security-name { v1 | v2c | v3 [ authentication | privacy ] } | cipher cipher-text { v1 | v2c } },配置SNMP协议报文代理规则。
- SNMP协议报文类型是Inform时,请执行命令snmp-agent proxy rule rule-name inform remote-engineid remote-engineid target-host target-host-name params-in securityname { security-name { v2c | v3 [ authentication | privacy ] } | cipher cipher-text v2c },配置SNMP协议报文代理规则。
为了使网管有效管理设备,执行此操作为目的主机接收SNMP proxy报文配置相关属性,以便中间节点的设备能够过滤掉不匹配指定属性的SNMP报文,必须正确配置SNMP协议报文代理规则,同时必须确保主设备上配置的SNMP代理规则是唯一的。
不指定authentication和privacy参数时,使用的是对SNMPv3报文不认证不加密。
创建一个新的SNMP Proxy团体
执行命令snmp-agent proxy community { community-name | cipher cipher-name } remote-engineid remote-engineid [ acl { acl-number | acl-name } | alias alias-name ] *
团体是NMS和SNMP Agent的集合,用团体名来标志。团体名相当于密码,团体内的设备通信时需要使用团体名来进行认证。只有NMS和SNMP Agent上配置的团体名相同时,才能互相访问。
本操作用于使用SNMPv1和SNMPv2c组网环境中。
设置接收SNMP协议代理报文的目的主机属性
请根据网络需要选择下面的命令进行配置:- 如果是IPv4网络,请执行命令snmp-agent proxy target-host target-host-name address udp-domain ip-address udp-port port-number [ source interface-type interface-number | { vpn-instance vpn-instance-name | public-net } | timeout timeout-interval ]* params securityname { security-name { v1 | v2c | v3 [ authentication | privacy ] } | cipher cipher-text { v1 | v2c } },设置接收SNMP协议代理报文的目的主机属性。
- 如果是IPv6网络,请执行命令snmp-agent proxy target-host target-host-name ipv6 address udp-domain ipv6-address udp-port port-number [ timeout timeout-interval ] params securityname { security-name { v1 | v2c | v3 [ authentication | privacy ] } | cipher cipher-text { v1 | v2c } },设置接收SNMP协议代理报文的目的主机属性。
使能中间节点设备转发网管的请求给被管理的设备并将设备的回应转发给网管。
- 目的主机分为监控设备端和网管端。
- 用户可以配置多个不同的目的主机的属性,使得设备可以向多个NMS发送SNMP协议代理报文。
- 目的UDP端口号缺省值是162。如果将目的UDP端口号更改为非知名端口号,但是必须和NMS上的配置保持一致。
- 不指定authentication和privacy参数时,使用的是对SNMPv3报文不认证不加密。
- 如果被管理设备发送的SNMP协议代理报文需要通过私网传递给网管时,可选择vpn-instance vpn-instance-name参数。
为一个SNMP组添加一个新的使用SNMP Proxy用户
执行命令:
snmp-agent remote-engineid remote-engineid-name usm-user v3 user-name group-name authentication-mode { md5 | sha | sha2 } password privacy-mode { des56 | 3des168 | aes128 | aes192 | aes256 } password [ acl { acl-number | acl-name } ]
根据协议规定,SNMPv1和SNMPv2c组网应用中NMS和Agnet之间使用团体名来认证,SNMPv3组网应用中使用用户名来认证。
SNMPv3用户通过本地处理模块和用户安全模块实现访问控制、身份验证和加密。其安全性和保密性较高,应用更为广泛。
本操作用于使用SNMPv3组网环境中。
(可选)设置SNMP报文优先级
执行命令snmp-agent packet-priority { snmp | trap } priority-level
如下场景中,可设置SNMP协议报文优先级:- 为了避免告警信息被丢弃,可以提高SNMP告警报文的优先级别保证网管可以收到告警信息。
- 为了保证网管对设备MIB操作的可靠性,可以提高Get-Response报文和Set-Response报文优先级。
- 如果网络拥塞严重,而告警信息频繁,可以降低所有SNMP报文(包括Get-Response报文、Set-Response报文、Trap告警报文和Inform告警报文)的优先级。
- 执行命令commit,提交配置。
配置监控设备
在监控设备上配置SNMP协议,实现网管和被管理设备间的正常通信。
背景信息
- 如果监控设备上配置SNMP协议采用SNMPv1版本,详细的配置请参考配置设备使用SNMPv1与网管通信章节中的配置步骤。
- 如果监控设备上配置SNMP协议采用SNMPv2c版本,详细的配置请参考配置设备使用SNMPv2c与网管通信章节中的配置步骤。
- 如果监控设备上配置SNMP协议采用SNMPv3版本,详细的配置请参考配置设备使用SNMPv3 USM用户与网管通信章节中的配置步骤。
检查配置结果
手动配置设备使用SNMP Proxy与网管通信配置成功后,可以查看到主设备将按照用户配置的参数接入监控设备业务,监控设备上SNMP的配置情况。
操作步骤
- 在主设备上按以下指导来检查配置结果。
- 使用display snmp-agent proxy community命令在主设备上查看SNMP Proxy团体信息。
- 使用display snmp-agent proxy rule命令在主设备上查看SNMP协议报文代理规则。
- 使用display snmp-agent proxy target-host命令在主设备上查看配置了SNMP Proxy的目的主机信息。
- 使用display snmp-agent usm-user命令在主设备上查看配置了SNMP Proxy的SNMPv3用户信息。
- 使用display snmp-agent proxy statistics命令在主设备上查看SNMP代理报文的统计信息。
- 在监控设备上按以下指导来检查配置结果。