33-SNMP-RMON操作
本章节下载 (275.88 KB)
目 录
目前网络中用得最广泛的网络管理协议是SNMP(Simple Network Management Protocol,简单网络管理协议)。SNMP是被广泛接受并投入使用的工业标准,用于保证管理信息在网络中任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、定位故障、完成故障诊断、进行容量规划和生成报告。
SNMP采用轮询机制,只提供最基本的功能集,特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于无连接的传输层协议UDP,因此可以实现和众多产品的无障碍连接。
SNMP分为NMS和Agent两部分:
NMS(Network Management Station,网络管理站)是运行客户端程序的工作站,目前常用的网管平台有QuidView、Sun NetManager和IBM NetView。
Agent是运行在网络设备上的服务器端软件。
NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的这些请求报文后,根据报文类型进行Read或Write操作,生成Response报文,并将报文返回给NMS。
Agent在设备发生异常情况或状态改变时(如设备重新启动),也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
目前,设备中的SNMP Agent支持SNMP V3版本,兼容SNMP V1版本、SNMP V2C版本。
SNMP V3采用用户名和密码认证方式。
SNMP V1、SNMP V2C采用团体名(Community Name)认证,非设备认可团体名的SNMP报文将被丢弃。SNMP团体名用来定义SNMP NMS和SNMP Agent的关系。团体名起到了类似于密码的作用,可以限制SNMP NMS访问设备上的SNMP Agent。用户可以选择指定以下一个或者多个与团体名相关的特性:
l 定义团体名可以访问的MIB视图。
l 设置团体名对MIB对象的访问权限为读写权限(write)或者只读权限(read)。具有只读权限的团体名只能对设备信息进行查询,而具有读写权限的团体名还可以对设备进行配置。
l 设置团体名指定的基本访问控制列表。
在SNMP报文中用管理变量来描述设备中的管理对象。为了唯一标识设备中的管理对象,SNMP用层次结构命名方案来识别管理对象。整个层次结构就像一棵树,树的节点表示管理对象,如下图1-1所示。每一个节点,都可以用从根开始的一条路径唯一地标识。
MIB(Management Information Base,管理信息库)的作用就是用来描述树的层次结构,它是所监控网络设备的标准变量定义的集合。在图1-1中,管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是管理对象的对象标识符(Object Identifier)。
系统支持的常见MIB如下表1-1所示。
MIB属性 |
MIB内容 |
参考资料 |
公有MIB |
基于TCP/IP网络设备的MIB II |
RFC1213 |
BRIDGE MIB |
RFC1493 |
|
RFC2675 |
||
RIP MIB |
RFC1724 |
|
RMON MIB |
RFC2819 |
|
以太网MIB |
RFC2665 |
|
OSPF MIB |
RFC1253 |
|
IF MIB |
RFC1573 |
|
私有MIB |
DHCP MIB DHCP MIB QACL MIB ADBM MIB IGMP Snooping MIB RSTP MIB VLAN MIB 设备管理 接口管理
|
- |
QACL MIB |
- |
|
ADBM MIB |
- |
|
RSTP MIB |
- |
|
VLAN MIB |
- |
|
设备管理 |
- |
|
接口管理 |
- |
SNMP V3版本和SNMP V1版本、SNMP V2C版本的配置有较大区别,在配置SNMP的基本功能时分为两种情况进行介绍。具体的配置见表1-2和表1-3。
表1-2 配置SNMP基本功能(SNMP V1版本、SNMP V2C版本)
操作 |
命令 |
说明 |
||
进入系统视图 |
system-view |
- |
||
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
设置系统信息 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } } |
必选 缺省情况下,系统维护联系信息为“R&D Hangzhou,H3C Technologies Co.,Ltd.”;物理位置信息为“Hangzhou China”;版本为SNMPv3 |
||
设置团体名及访问权限 |
直接设置 |
设置团体名 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ] * |
必选 直接设置是以SNMP V1版本 、SNMP V2C版本的团体名概念进行设置 间接设置采用与SNMP V3版本一致的命令形式,添加的用户即相当于SNMPV1版本、SNMPv2C版本的团体名概念 根据用户习惯,二者任选其一 |
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
设置Agent能接收/发送的SNMP消息包的大小 |
snmp-agent packet max-size byte-count |
可选 缺省值为1500字节 |
||
设置设备的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省为公司的企业号+设备信息 |
||
创建或更新视图的信息 |
snmp-agent mib-view { included | excluded } view-name oid-tree |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动SNMP Agent服务 |
snmp-agent |
必选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
设置系统信息 |
snmp-agent sys-info { contact sys-contact | location sys-location | version { { v1 | v2c | v3 }* | all } } |
可选 缺省情况下,系统维护联系信息为“R&D Hangzhou,H3C Technologies Co.,Ltd.” 物理位置信息为“Hangzhou China” 版本为SNMPv3 |
设置一个SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 |
为一个SNMP组添加一个新用户 |
snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password [ privacy-mode des56 priv-password ] ] [ acl acl-number ] |
必选 |
设置Agent能接收/发送的SNMP消息包的大小 |
snmp-agent packet max-size byte-count |
可选 缺省值为1500字节 |
设置设备的引擎ID |
snmp-agent local-engineid engineid |
可选 缺省为公司的企业号+设备信息 |
创建或更新视图的信息 |
snmp-agent mib-view { included | excluded } view-name oid-tree |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
S3600以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在启动SNMP功能时,才打开SNMP-agent使用的UDP 161端口和SNMP-TRAP Client使用的UDP 1024端口。
l 在关闭SNMP功能时,同时关闭UDP 161端口和UDP 1024端口。
具体的实现是:
l 执行snmp-agent命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent,同时打开SNMP Agent使用的UDP 161端口和SNMP TRAP Client使用的UDP 1024端口。
l 应用undo snmp-agent命令的同时即可关闭UDP 161端口和UDP 1024端口。
Trap是被管理设备不经请求,主动向NMS发送的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。
完成SNMP基本配置。
表1-5 配置网管操作记入日志
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置网管操作记入日志功能 |
snmp-agent log { set-operation | get-operation | all } |
可选 缺省情况下,SNMP模块的日志功能关闭 |
& 说明:
l 在单台设备的环境中,用户只需要在当前设备上使用display logbuffer命令,就可查看网管发送过来的get和set操作的日志信息。
l 在堆叠的环境中,请在主设备上使用display logbuffer命令,查看网管发送过来的set操作的日志信息;请在收到get消息的设备上使用display logbuffer命令,查看网管发送过来的get操作的日志信息。
在完成上述配置后,在任意视图下执行display命令,可显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。
配置 |
命令 |
显示当前SNMP设备的系统信息 |
display snmp-agent sys-info [ contact | location | version ]* |
显示SNMP报文统计信息 |
display snmp-agent statistics |
显示当前设备的引擎ID |
display snmp-agent { local-engineid | remote-engineid } |
显示设备的组信息 |
display snmp-agent group [ group-name ] |
显示SNMP用户信息 |
display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] |
显示Trap列表信息 |
display snmp-agent trap-list |
显示当前配置的团体名 |
display snmp-agent community [ read | write ] |
显示当前配置的MIB视图 |
display snmp-agent mib-view [ exclude | include | viewname view-name ] |
l 网管工作站(NMS)与Switch A通过以太网相连,网管工作站IP地址为10.10.10.1,Switch A的VLAN接口IP地址为10.10.10.2。
l 在Switch A上进行如下配置:设置团体名和访问权限、管理员标识、联系方法以及交换机的位置信息、允许交换机发送Trap消息。
图1-2 SNMP配置举例组网图
# 设置团体、群组和用户。
<H3C> system-view
[H3C] snmp-agent
[H3C] snmp-agent sys-info version all
[H3C] snmp-agent community write public
[H3C] snmp-agent mib-view include internet 1.3.6.1
[H3C] snmp-agent group v3 managev3group write-view internet
[H3C] snmp-agent usm-user v3 managev3user managev3group
# 设置网管使用的VLAN接口为VLAN 2接口,将用于网管的端口Ethernet1/0/2加入到VLAN2中,配置VLAN2的接口IP地址10.10.10.2。
[H3C] vlan 2
[H3C-vlan2] port Ethernet 1/0/2
[H3C-vlan2] quit
[H3C] interface Vlan-interface 2
[H3C-Vlan-interface2] ip address 10.10.10.2 255.255.255.0
[H3C-Vlan-interface2] quit
# 允许向网管工作站10.10.10.1发送Trap报文,使用的团体名为public。
[H3C] snmp-agent trap enable standard authentication
[H3C] snmp-agent trap enable standard coldstart
[H3C] snmp-agent trap enable standard linkup
[H3C] snmp-agent trap enable standard linkdown
[H3C] snmp-agent target-host trap address udp-domain 10.10.10.1 udp-port 5000 params securityname public
S3600系列以太网交换机支持H3C公司的QuidView网管系统。SNMP V3采用用户名和密码认证方式。在QuidView认证参数部分需要设置用户名,选择安全级别。根据不同的安全级别,需要分别设置鉴权方式、鉴权密码、加密方式、加密密码等,另外,还要设置超时时间和重试次数。
用户可利用网管系统完成对以太网交换机的查询和配置操作,具体情况请参考H3C公司网管产品的配套手册。
& 说明:
网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。
RMON(Remote Monitoring,远程网络监视)是IETF(Internet Engineering Task Force,Internet工程任务组)定义的一种MIB(Management Information Base,管理信息库),是对MIB II标准最重要的增强。RMON主要用于对一个网段乃至整个网络中数据流量的监视,是目前应用相当广泛的网络管理标准之一。
RMON包括NMS(Network Management Station,网络管理站)和运行在各网络设备上的Agent两部分。RMON Agent在网络监视器或网络探测器上,跟踪统计其端口所连接的网段上的各种流量信息(如某段时间内某网段上的报文总数,或发往某台主机的正确报文总数等)。
RMON的实现完全基于SNMP体系结构,它与现存的SNMP框架相兼容,不需对该协议进行任何修改。RMON使SNMP更有效、更积极主动地监测远程网络设备,为监控子网的运行提供了一种高效的手段。RMON能够减少NMS与代理间的通讯流量,从而可以简便而有效地管理大型互连网络。
RMON允许有多个监控者,它可用两种方法收集数据:
l 一种方法是利用专用的RMON probe(探测仪)收集数据,NMS直接从RMON probe获取管理信息并控制网络资源。这种方式可以获取RMON MIB的全部信息;
l 第二种方法是将RMON Agent直接植入网络设备(路由器、交换机、HUB等),使它们成为带RMON probe功能的网络设施。RMON NMS使用SNMP的基本命令与SNMP Agent交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据,大多数只收集四个组的信息。这四个组是告警组、事件组、历史组和统计组。
以太网交换机以第二种方法实现RMON。以太网交换机里直接植入RMON Agent,成为带RMON probe功能的网络设施。通过运行在以太网交换机上支持RMON的SNMP Agent,网管站可以获得与以太网交换机端口相连的网段上的整体流量、错误统计和性能统计等信息,实现对网络的管理。
事件组用来定义事件号及事件的处理方式。事件组定义的事件主要用在告警组配置项和扩展告警组配置项中告警触发产生的事件。
事件有如下几种处理方式:
l 将事件记录在日志表中;
l 向网管站发Trap消息;
l 将事件记录在日志表中并向网管站发Trap消息;
l 不作任何处理。
RMON告警管理可对指定的告警变量(如端口的统计数据)进行监视,当被监视数据的值在相应的方向上越过定义的阈值时会产生告警事件,然后按照事件的定义进行相应的处理。事件的定义在事件组中实现。
用户定义了告警表项后,系统对告警表项的处理如下:
l 对所定义的告警变量alarm-variable按照定义的时间间隔sampling-time进行采样;
l 将采样值和设定的阈值进行比较,一旦超过该阈值,即触发相应事件。
扩展告警表项可以对告警变量的采样值进行运算,然后将运算结果和设置的阈值比较,实现更为丰富的告警功能。
用户定义了扩展告警表项后,系统对扩展告警表项的处理如下:
l 对定义的扩展告警公式中的告警变量按照定义的时间间隔进行采样;
l 将采样值按照定义的运算公式进行计算;
l 将计算结果和与设定的阈值进行比较,一旦超过该阈值,即触发相应事件。
配置了RMON历史组以后,以太网交换机会周期性地收集网络统计信息,为了便于处理,这些统计信息被暂时存储起来,提供有关网段流量、错误包、广播包、带宽利用率等统计信息的历史数据。
利用历史数据管理功能,可以对设备进行设置。设置的任务包括:采集历史数据、定期采集并保存指定端口的数据。
统计组信息反映设备上每个监控端口的统计值。统计组统计的是从该统计组创建的时间开始的累计信息。
统计信息包括网络冲突数、CRC校验错误报文数、过小(或超大)的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。
利用RMON统计管理功能,可以监视端口的使用情况、统计端口使用中发生的错误。
& 说明:
历史组和统计组均为针对端口的RMON组,需要在端口视图下配置。
在配置RMON功能之前,必须保证SNMP Agent已经正确配置。SNMP Agent的配置请参见1.2 配置SNMP基本功能。
表2-1 RMON配置过程
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
添加事件表的一个表项 |
rmon event event-entry [ description string ] { log | trap trap-community | log-trap log-trapcommunity | none } [ owner text ] |
可选 |
添加告警表的一个表项 |
rmon alarm entry-number alarm-variable sampling-time { delta | absolute } rising-threshold threshold-value1 event-entry1 falling-threshold threshold-value2 event-entry2 [ owner text ] |
可选 在添加告警表项之前,需要通过rmon event命令定义告警表项中引用的事件 |
添加扩展告警表的一个表项 |
rmon prialarm entry-number prialarm-formula prialarm-des sampling-timer { delta | absolute | changeratio } rising_threshold threshold-value1 event-entry1 falling_threshold threshold-value2 event-entry2 entrytype { forever | cycle cycle-period } [ owner text ] |
可选 在添加扩展告警表项之前,需要通过rmon event命令定义扩展告警表项中引用的事件 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
添加历史表的一个表项 |
rmon history entry-number buckets number interval sampling-interval [ owner text ] |
可选 |
添加统计表的一个表项 |
rmon statistics entry-number [ owner text ] |
可选 |
& 说明:
l 使用rmon alarm命令和rmon prialarm命令对节点进行监控时,要求被监控的节点必需存在,否则配置无效。
l 使用rmon statistics命令添加统计表项时,一个端口下只能创建一个rmon统计表项。即如果在一个端口下已经创建了一个统计表项,再在该端口下创建一个其他索引号的统计表项也不能成功。
在完成上述配置后,在任意视图下执行display命令可以显示配置后RMON的运行情况,通过查看显示信息验证配置的效果。
配置 |
命令 |
显示RMON统计消息 |
display rmon statistics [ interface-type interface-number | unit unit-number ] |
显示RMON历史信息 |
display rmon history [ interface-type interface-number | unit unit-number ] |
显示RMON告警信息 |
display rmon alarm [ entry-number ] |
显示扩展RMON告警信息 |
display rmon prialarm [ prialarm-entry-number ] |
显示RMON事件 |
display rmon event [ event-entry ] |
显示RMON事件日志 |
display rmon eventlog [ event-entry ] |
l 在配置RMON功能之前,必须保证SNMP Agent已经正确配置;
l 被检测交换机通过console口连接配置终端,通过Internet连接远端NMS。在RMON以太网统计表中设定一个表项,进行以太网端口性能统计,以便网管查询。
图2-1 配置RMON组网图
# 配置RMON。
<H3C> system-view
[H3C] interface Ethernet1/0/1
[H3C-Ethernet1/0/1] rmon statistics 1 owner user1-rmon
# 查看RMON配置。
[H3C-Ethernet1/0/1] display rmon statistics Ethernet1/0/1
Statistics entry 1 owned by user1-rmon is VALID.
Interface : Ethernet1/0/1<ifIndex.4227626>
etherStatsOctets : 0 , etherStatsPkts : 0
etherStatsBroadcastPkts : 0 , etherStatsMulticastPkts : 0
etherStatsUndersizePkts : 0 , etherStatsOversizePkts : 0
etherStatsFragments : 0 , etherStatsJabbers : 0
etherStatsCRCAlignErrors : 0 , etherStatsCollisions : 0
etherStatsDropEvents (insufficient resources): 0
Packets received according to length:
64 : 0 , 65-127 : 0 , 128-255 : 0
256-511: 0 , 512-1023: 0 , 1024-1518: 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!