SNMP是广泛应用于TCP/IP网络的网络管理标准协议。网管体系可以通过SNMP协议对网络装备(包罗互换机、路由器、防火墙等)举行监测和管理。
图1-1SNMP网络架构
如上图所示,SNMP网络的构成包罗网管、被纳管装备、中心网络,这几部分都有大概导致网管与被纳管装备之间的SNMP交互非常。
本文重要先容网管通过SNMP协议对互换机举行监测、管理中的常见故障处理惩罚方法,重要包罗以下几方面:●2网管无法通过SNMP纳管互换机●3网管吸取不到互换机上的告警
2网管无法通过SNMP纳管互换机
网管无法通过SNMP纳管互换机,大概说网管无法与互换机举行SNMP对接,通常是由于网络大概SNMP设置缘故起因导致。您可以从以下几方面举行排查和处理惩罚:
查抄网络是否可以ping通
查抄SNMP是否有应用ACL
查抄互换机上是否有undosnmp-agentprotocolsource-statusall-interface设置
查抄互换机上是否有SNMP认证失败等日记
查抄互换机和网管的SNMP版本是否同等
针对SNMPv2c版本,查抄互换机和网管的团体名是否同等
针对SNMPv3版本,查抄用户的安全级别是否精确
针对SNMPv3版本,查抄用户的认证+加密的模式及暗码是否和网管侧同等
查抄防火墙是否答应SNMP报文通过
查抄网络中是否有重复的SNMP引擎ID
查抄网络是否可以ping通
网络可以互通是SNMP对接的条件,您可以通过ping下令查抄互换机和网管可否互通。假如不能互通,请查抄互换机、中心网络或网管上的路由设置是否精确,确保互换机和网管可以或许ping通。
必要留意的是,纵然互换机和网管之间可以或许ping通,也并不意味着互换机和网管肯定可以或许正常吸取到对端发送的SNMP报文。由于ping是ICMP报文,而SNMP是UDP报文,大概会由于ACL的应用,大概网络中有防火墙等缘故起因,导致SNMP报文被过滤,无法通过网络正常转发。
您可以在网络装备上举行流量统计大概镜像抓包等方法确认SNMP报文是否被正常发送、吸取。由于差别网络装备的流量统计或镜像抓包方法不尽雷同。
查抄SNMP是否有应用ACL
假如互换机上的SNMP设置里有应用ACL,那么网管的IP地点必须在ACL规则答应通过的列表中。假如查抄网管IP地点没有被放通,必要修改ACL规则,放通网管IP地点。
#aclnumber2001rule5permitsource192.168.1.00.0.0.255//网管IP地点必须在答应通过的列表中#snmp-agentcommunitywritecipherxxxacl2001//SNMPv2c版本应用ACL的设置示例#snmp-agentgroupv3huawei_groupprivacywrite-viewallisoacl2001//SNMPv3版本应用ACL的设置示例#
查抄互换机上是否有undosnmp-agentprotocolsource-statusall-interface设置
CloudEngine互换机从V200R019C10版本开始,缺省环境下,互换机遇关闭SNMP协议利用全部接口相应网管哀求的功能,即有如下设置:
#undosnmp-agentprotocolsource-statusall-interfaceundosnmp-agentprotocolsource-statusipv6all-interface#
假如互换机上有上述设置,必要打开SNMP协议利用全部大概部分接口相应网管哀求的功能。
打开SNMP协议利用全部接口相应网管哀求的功能。
[~HUAWEI]snmp-agentprotocolsource-statusall-interface[~HUAWEI]snmp-agentprotocolsource-statusipv6all-interface
打开指定的接口相应网管哀求的功能。
[~HUAWEI]snmp-agentprotocolsource-interfacemeth0/0/0
查抄互换机上是否有SNMP认证失败等日记
在网管与互换机举行SNMP对接失败时,互换机上大概会记录一些SNMP非常的日记,比方:SNMP/3/SNMP_AUTHEN_FAILED。您可以实行下令displaylogbuffer查察互换机上是否有SNMP非常日记,并根据日记中记录的缘故起因而举行相应的处理惩罚。
SNMP/3/SNMP_AUTHEN_FAILED:FailedtologinthroughSNMP.(Version=[Version],UserName=[UserName],Ip=[Ip],VpnName=[VpnName],RequestID=[RequestID],PduType=[PduType],Reason=[Reason])
查抄互换机和网管的SNMP版本是否同等
SNMP有v1、v2c、v3几种版本,互换机侧和网管侧的SNMP版本必须保持同等,否则无法举行SNMP对接。
缺省环境下,互换机的SNMP版本为v3。您可以查抄设置文件大概通过下令displaysnmp-agentsys-infoversion查察当前互换机的SNMP版本。假如两侧SNMP版本不同等,必要修改互换机或网管侧,使其保持同等。
比方设置互换机的SNMP版本支持v2c。
[~HUAWEI]snmp-agentsys-infoversionv2c
针对SNMPv2c版本,查抄互换机和网管的团体名是否同等
团体名包罗只读权限的团体名和读写权限的团体名,互换机侧和网管侧设置的团体名必须同等。
互换机上设置的SNMP团体名是以密文的情势生存的。假如忘记设置的团体名,发起重新设置团体名,使之与网管侧同等。
#snmp-agentsys-infoversionv2csnmp-agentcommunityreadcipherxxx//只读权限团体名snmp-agentcommunitywritecipherxxx//读写权限团体名#
针对SNMPv3版本,查抄用户的安全级别是否精确
SNMPv3用户的安全级别分为三个品级,从高到低为:
privacy:认证并加密
authentication:认证不加密
none:不认证不加密
SNMPv3协议规定,用户和告警主机的安全级别不能低于其所属用户组的安全级别,否则网管将无法与互换机对接。假如用户组是privacy级别,用户和告警主机就必须是privacy级别;用户组是authentication级别,用户和告警主机可以是privacy大概authentication级别。
#snmp-agentsys-infoversionv3snmp-agentgroupv3dc-adminprivacyread-viewrdwrite-viewwtnotify-viewnt//组名为dc-admin,安全级别为privacy#snmp-agentusm-userv3uhmrootsnmp-agentusm-userv3uhmrootgroupdc-admin//用户名为uhmroot,属于dc-admin组snmp-agentusm-userv3uhmrootauthentication-modeshacipherxxx//认证模式及暗码snmp-agentusm-userv3uhmrootprivacy-modeaes128cipherxxx//加密模式及暗码,假如用户组安全级别为privacy,用户必须同时设置authentication-mode和privacy-mode#
针对SNMPv3版本,查抄用户的认证+加密的模式及暗码是否和网管侧同等
互换机侧SNMPv3用户的认证、加密的模式及暗码必须和网管侧保持同等,否则无法完成SNMP对接。
互换机上设置的SNMP暗码是以密文的情势生存的。假如忘记设置的暗码,发起重新设置认证、加密的模式及暗码,使之与网管侧同等。
#snmp-agentusm-userv3uhmrootsnmp-agentusm-userv3uhmrootgroupdc-adminsnmp-agentusm-userv3uhmrootauthentication-modeshacipherxxx//认证模式及暗码,必须和网管侧同等snmp-agentusm-userv3uhmrootprivacy-modeaes128cipherxxx//加密模式及暗码,必须和网管侧同等#
查抄防火墙是否答应SNMP报文通过
假如互换机和网管之间的网络中有防火墙,则大概会由于防火墙的过滤战略而导致SNMP报文无法正常通过。以Huawei防火墙为例,防火墙默认扬弃全部的报文,只有在防火墙战略中放行的报文才华正常转发。
在查抄防火墙上的安全战略时,必要留意战略中的以下几点:
互换机所属的安全域和网管所属的安全域之间的战略,互换机和网管的IP地点必要被放通,且双向都必要放通。
防火墙上毗连互换机和网管的接口必要开启SNMP服务。
#security-policyrulenamepolicy1//安全域战略source-zonetrust//源安全域destination-zoneuntrust//目标安全域source-address10.1.1.0mask255.255.255.0//源IP地点,互换机或网管地点必要在此范围内destination-address10.1.2.0mask255.255.255.0//目标IP地点,互换机或网管IP地点必要在此范围内actionpermitrulenamepolicy2source-zoneuntrustdestination-zonetrustsource-address10.1.2.0mask255.255.255.0destination-address10.1.1.0mask255.255.255.0actionpermit#interfaceGigabitEthernet1/0/0//毗连互换机或网管的接口undoshutdownipaddress10.1.2.1255.255.255.0service-managesnmppermit//开启SNMP服务,缺省环境下SNMP服务未开启#
查抄网络中是否有重复的SNMP引擎ID
正常环境下,网络中每台互换机都会有一个唯一的SNMP引擎ID,用于标记一个SNMP实体。假如网络中互换机的SNMP引擎ID有重复,那么后添加的互换机将无法与网管举行对接。
#snmp-agentsnmp-agentlocal-engineid800007DB03D0C65B9E5D01//SNMP引擎ID#
SNMP引擎ID重复通常出现于复制其他互换机的设置文件后,再举行修改并利用的场景,轻易漏修改原互换机利用的SNMP引擎ID。假如发现SNMP引擎ID有重复,可以在互换机上通过undosnmp-agentlocal-engineid规复ID为缺省值,使其唯一。
[~HUAWEI]undosnmp-agentlocal-engineid
3网管吸取不到互换机上的告警
当互换机发生故障或因某些缘故起因导致体系进入不正常的工作状态时,为资助用户快速感知并定位题目,体系会产生变乱和告警,同时触发产生相应的Trap信息。Trap信息通过SNMP协议上报到网管体系。在实际应用中,风俗把Trap直接称为告警,为便于明白,下文中的告警和Trap是同一个寄义。
网管可以或许收到互换机告警的条件是网管已经乐成纳管互换机,以是在处理惩罚网管吸取不到告警的题目前,请先确保网管可以或许正常纳管互换机,然后从以下几方面举行排查和处理惩罚:
查抄互换机上告警开关是否打开,或告警是否被过滤
查抄互换机是否有setnet-managervpn-instance设置
查抄互换机发送告警时利用的SNMP版本是否与全局SNMP版本同等
查抄互换机的SNMP告警端标语和网管侧是否同等
查抄互换机上告警开关是否打开,或告警是否被过滤
网管吸取到告警的条件是互换机真实产生了告警或变乱,并产生了相应的Trap信息,因此在网管吸取不到告警时,起首必要确认互换机是否产生了Trap。
实行下令displaytrapbuffer查察Trap缓冲区中是否存在对应的告警信息。假如不存在,则阐明互换机没有产生告警,网管也就无法收到告警,此时可以通过查抄互换机的如下设置举行排查:
查抄对应的告警开关是否开启。
比方,接口Down的告警为:IFNET_1.3.6.1.6.3.1.1.5.3linkdown,IFNET为告警所属的模块。通过下令displaysnmp-agenttrapfeature-namefeature-nameall,可以查察到互换机上接口Down告警开关是否打开,此中“Currentswitchstatus”值即表现当前告警开关的开启状态。
HUAWEIdisplaysnmp-agenttrapfeature-nameifnetall------------------------------------------------------------------------------Featurename:IFNETTrapnumber:4------------------------------------------------------------------------------TrapnameDefaultswitchstatusCurrentswitchstatushwPhysicalAdminIfDownononhwPhysicalAdminIfUpononlinkdownoffofflinkupoffoff
假如告警被关闭,可以实行下令snmp-agenttrapenablefeature-namefeature-nametrap-nametrap-name可以打开对应告警的开关。
[~HUAWEI]snmp-agenttrapenablefeature-nameifnettrap-namelinkdown
大概实行下令snmp-agenttrapenable打开全部告警的开关。
[~HUAWEI]snmp-agenttrapenable
查抄告警是否被过滤掉。
假如互换机上设置了info-centerfilter-id{id|bymodule-aliasmodnamealias}下令过滤了相应的Trap,那么纵然互换机产生了该告警,也不会产生Trap信息,网管也无法收到该告警。
#info-centerfilter-idbymodule-aliasifnetlinkdown#
假如有上述设置,可以实行undoinfo-centerfilter-id{id|bymodule-aliasmodnamealias}删除该设置
[~HUAWEI]undoinfo-centerfilter-idbymodule-aliasifnetlinkdown
查抄互换机是否有setnet-managervpn-instance设置
通常环境下,互换机上设置SNMP发送告警信息时,除了指定目标网管外,还会利用snmp-agenttrapsourceinterface-typeinterface-number下令指定发送告警的源接口。如许在网管上可以举行告警源辨认。
但是互换机上若同时设置了setnet-managervpn-instancevpn-instance下令,且该VPN和snmp-agenttrapsourceinterface-typeinterface-number下令指定的源接口绑定的VPN不是同一个,那么互换机遇优先利用setnet-managervpn-instancevpn-instance下令指定的VPN里的某个接口作为源接口,如许会导致网管无法担当到精确源地点的告警。
比方互换机上有以下设置。那么互换机发送告警至网管时,源接口将是vpn1里的LoopBack2,而不是LoopBack1。
#interfaceLoopBack1ipaddress1.1.1.1255.255.255.255#interfaceLoopBack2ipbindingvpn-instancevpn1ipaddress2.2.2.2255.255.255.255#setnet-managervpn-instancevpn1//假如设置该下令,优先利用该下令指定的VPN里的接口来发送告警#snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1paramssecuritynameuhmrootv3privacy//指定吸取告警的目标网管#snmp-agenttrapsourceLoopBack1//指定发送告警的源接口#
若产生了上述辩论场景,可以采取下面此中一种方法办理:
实行undosetnet-managervpn-instance删除该设置。
删除该设置前,请先确认对其他业务模块的影响,由于该下令不但仅会影响SNMP模块,还会对FTP、SFTP、InfoCenter、SSH、TACACS等业务模块产生影响。
在snmp-agenttarget-hosttrap下令中指定源接口。该下令中指定的源接口参数sourceinterface-typeinterface-number具有最高优先级。
[~HUAWEI]snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1sourceloopback1paramssecuritynameuhmrootv3privacy
查抄互换机发送告警时利用的SNMP版本是否与全局SNMP版本同等
互换机上snmp-agenttarget-hosttrap下令指定的发送告警时利用的SNMP版本,必要与snmp-agentsys-infoversion指定的全局SNMP版本同等,否则互换机无法正常发送出告警。在设置snmp-agenttarget-hosttrap下令时,假如不指定SNMP版本,则默认利用SNMPv1。
比方以下设置中,全局SNMP协议使能的是v3版本,而未指定发送告警时所利用的SNMP版本,利用默认的v1版本,两者的版本不同等,因此互换机无法正常发送出告警。
snmp-agentsys-infoversionv3//仅使能SNMPv3版本snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1paramssecuritynameuhmroot//未设置互换机发送告警所利用的SNMP版本,默认利用SNMPv1版本
必要在snmp-agenttarget-hosttrap下令中指定发送告警时利用的SNMP版本,使其和全局的版本同等。
[~HUAWEI]snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1paramssecuritynameuhmrootv3privacy
查抄互换机的SNMP告警端标语和网管侧是否同等
按照SNMP协议规范,SNMP利用目标端标语162来发送告警信息。因此,网管通常利用端标语162来处理惩罚告警信息,比方Huawei的eSight网管体系。
假如互换机上snmp-agenttarget-hosttrap设置里指定了目标端标语(缺省环境下为162),且与网管侧不同等,则会导致网管无法正常吸取告警信息。
#snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1udp-port161paramssecuritynameuhmrootv3privacy#
发起利用默认的目标端标语。
#snmp-agenttarget-hosttrapaddressudp-domain10.1.1.1paramssecuritynameuhmrootv3privacy作者:太阁网络https://www.bilibili.com/read/cv22716272出处:bilibili
我要评论