评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
网管无法纳管S系列交换机的原因排查
检查网管使用的SNMP版本和交换机配置的SNMP版本是否一致
缺省情况下,交换机仅使能SNMP v3版本。如果网管使用的是SNMP v1或SNMP v2c版本,将无法与交换机相连。交换机侧会出现如下日志信息:
Failed to login through SNMP. (Ip=192.168.1.2, Times=3, Reason=the version was incorrect, VPN= )
修改方法:修改网管使用的SNMP版本,或者修改交换机配置的SNMP版本,例如将交换机配置的SNMP版本修改为所有版本。
snmp-agent sys-info version all
检查网管使用的团体名和交换机配置的团体名是否一致
团体名包括只读权限的团体名和读写权限的团体名。团体名不一致时,交换机侧会出现如下日志信息:
Failed to login through SNMP. (Ip=192.168.1.2, Times=2, Reason=the community was incorrect, VPN= )
修改方法:修改网管使用的团体名,或者修改交换机配置的团体名。例如将只读权限和读写权限的团体名都配置为Test@2000。
snmp-agent community read cipher Test@2000 snmp-agent community write cipher Test@2000
检查网管使用的SNMP版本是否支持节点的数据类型
SNMP v2c版本扩展了支持的数据类型,具体扩展的数据类型请参见SNMP v2c协议中的描述。
例如SNMP v2c版本新增了Unsigned32和Counter64数据类型。如果网管使用SNMP v1版本和交换机相连,对于数据类型是Unsigned32和Counter64的节点,网管将无法访问。
修改方法:配置网管和交换机使用的SNMP版本为SNMP v2c或SNMP v3。
检查交换机上SNMP v3用户的安全级别是否正确
用户的安全级别分为三个等级:不认证不加密、认证不加密和认证加密。SNMP v3协议规定,用户的安全级别一定要高于等于其所属用户组的安全级别,否则网管将无法与交换机将对接。
如下配置:用户组vtlgroup的安全级别是认证加密,用户vtluser属于用户组vtlgroup,安全级别是认证不加密。用户安全级别低于所属用户组的安全级别。
......
snmp-agent group v3 vtlgroup privacy write-view testview notify-view testview //组名为vtlgroup的SNMP v3用户组,安全级别是认证加密
snmp-agent usm-user v3 vtluser
snmp-agent usm-user v3 vtluser group vtlgroup //用户名为vtluser的SNMP v3用户,属于vtlgroup用户组
snmp-agent usm-user v3 vtluser authentication-mode md5 cipher %@%@yC."'f{TAEc{!`;HB'LR6KMk%@%@ //用户为vtluser的用户,安全级别是认证不加密
snmp-agent trap enable
......
修改方法:将用户的安全级别修改为认证加密。
snmp-agent usm-user v3 vtluser privacy-mode aes128 cipher %^%#*B_pBF#db*@[a@QduTr09%uLS.fb%$WPP$'j.%[!%^%#
检查交换机上SNMP v3用户的mib-view配置是否正确
配置SNMP v3用户组时,如果没有配置write-view和notify-view参数,该用户组中的用户仅有只读权限。如下配置,用户组testgroup没有配置write-view和notify-view参数,用户组中的用户只有网管仅read权限,即网管只能对交换机进行get操作,不能进行set操作。
...... snmp-agent group v3 testgroup privacy //没有配置read、write、notify视图,这种情况下,该testgroup用户组默认有read的mib-view视图,没有write和notify的mib-view视图。也就是说,只能获取设备信息不能改写设备信息 snmp-agent target-host trap address udp-domain 79.101.119.242 source LoopBack0 params securityname cipher %@%@L[O"fDmmT$V]IOIM89W$%@%@ ......
修改方法:配置write和notify的mib-view视图。
snmp-agent group v3 testgroup privacy write-view public-view notify-view public-view
