h3csnmp管理命令_H3C S5500V2-EI系列以太网交换机 命令参考-Release 1118-6W100_网络管理和监控命令参考_SNMP命令-新华三集团-H3C...
設備運行于FIPS模式時,本特性部分配置相對于非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
SNMP告警信息包括SNMP Trap和Inform信息,用來告知NMS設備上發生了重要事件,比如,用戶的登錄/退出,接口狀態變成up/down等。如無特殊說明,本文中的告警信息均指Trap和Inform兩種信息。
display snmp-agent community命令用來顯示SNMPv1或SNMPv2c的團體信息。
【命令】
display snmp-agent community [ read | write ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
read:顯示只讀訪問權限的團體信息。
write:顯示讀寫訪問權限的團體信息。
【使用指導】
FIPS模式下,不支持本命令。
不帶參數時,顯示所有SNMP團體的信息。
用戶有兩種方式創建團體:
·?????使用snmp-agent community命令來創建團體。
·?????配置snmp-agent usm-user { v1 | v2c }和snmp-agent group { v1 | v2c }命令成功創建SNMPv1或SNMPv2c用戶以及相應的組后,系統會以用戶名為團體名自動創建一個團體。
display snmp-agent community會顯示這兩種方式創建的團體的信息。
【舉例】
# 顯示設備當前所有已配置的團體信息。
display snmp-agent community
Community name: aa
Group name: aa
ACL:2001
Storage-type: nonVolatile
Context name: con1
Community name: bb
Role name: bb
Storage-type: nonVolatile
Community name: userv1
Group name: testv1
Storage-type: nonVolatile
Community name: cc
Group name: cc
ACL name: testacl
Storage-type: nonVolatile
字段
描述
Community name
團體名:
·?????如果團體是通過snmp-agent community命令創建的,則顯示的是團體名
·?????如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示的是用戶名
Group name
組名:
·?????如果團體名是通過snmp-agent community命令的VACM方式創建的,則組名和團體名相同
·?????如果團體名是通過snmp-agent usm-user { v1 | v2c }命令創建的,則顯示用戶所在的組名
Role name
SNMP用戶所在團體綁定的角色名:
通過snmp-agent community命令的RBAC方式創建的團體名可綁定用戶角色
ACL
使用的ACL列表的編號(該字段僅在團體名與ACL綁定后顯示,不會與ACL name同時存在)
ACL name
使用的ACL列表的名稱(該字段僅在團體名與ACL名稱綁定后顯示,不會與ACL同時存在)
Storage-type
表示存儲方式,分為以下幾種:
·?????volatile:重啟后信息丟失
·?????nonVolatile:重啟后信息仍保存
·?????permanent:重啟后信息仍保存,允許更改,但不許刪除
·?????readOnly:重啟后信息仍保存,既不允許更改,也不許刪除
·?????other:其他
Context name
SNMP上下文:
·?????如果此團體名配置了對應的上下文映射,則顯示對應的上下文
·?????如果此團體名未配置對應的上下文映射,該字段顯示為空
【相關命令】
·?????snmp-agent community
·?????snmp-agent usm-user { v1 | v2c }
display snmp-agent context命令用來顯示SNMP上下文。
【命令】
display snmp-agent context[ context-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
context-name:顯示指定的SNMP上下文,為1~32個字符的字符串,區分大小寫。不指定該參數時,顯示設備上所有已創建的SNMP上下文。
【舉例】
# 顯示設備上所有已創建的SNMP上下文。
display snmp-agent context
testcontext
【相關命令】
·snmp-agent context
display snmp-agent group命令用來顯示SNMP組信息。
【命令】
display snmp-agent group [ group-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
group-name:非FIPS模式下,指定要顯示信息的SNMPv1、SNMPv2c或SNMPv3組的名稱;FIPS模式下,指定要顯示信息的SNMPv3組的名稱。取值范圍為1~32個字符的字符串,區分大小寫。不指定該參數時,顯示設備上所有已創建的SNMP組的信息。
【舉例】
# 顯示所有SNMP組的信息。
display snmp-agent group
Group name: groupv3
Security model: v3 noAuthnoPriv
Readview: ViewDefault
Writeview:
Notifyview:
Storage-type: nonVolatile
ACL name: testacl
表1-2 display snmp-agent group命令顯示信息描述表
字段
描述
Group name
SNMP組名
Security model
SNMP組配置的安全模式,包括版本信息和安全模式,以空格分隔:
·?????對于SNMPv1和SNMPv2c版本,認證加密級別只能為noAuthNoPriv(無認證無加密)
·?????對于SNMPv3版本,安全模式分為三種:authPriv(既認證又加密)、authNoPriv(只認證不加密)、noAuthNoPriv(不認證不加密)
Readview
SNMP組對應的只讀的MIB視圖名
Writeview
SNMP組對應的可寫的MIB視圖名
Notifyview
SNMP組對應的可以發Trap和Inform信息的MIB視圖名
Storage-type
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體描述請參見
ACL
使用的ACL列表的編號(該字段僅在SNMP組與ACL綁定后顯示,不會與ACL name同時存在)
ACL name
使用的ACL列表的名稱(該字段僅在SNMP組與ACL名稱綁定后顯示,不會與ACL同時存在)
【相關命令】
·snmp-agent group
display snmp-agent local-engineid命令用來顯示本設備的SNMP引擎ID。
【命令】
display snmp-agent local-engineid
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
SNMP引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP引擎是SNMP實體的重要組成部分,完成SNMP信息的信息調度、信息處理、安全驗證、訪問控制等功能。
【舉例】
# 顯示本設備的SNMP引擎ID。
display snmp-agent local-engineid
SNMP local engine ID: 800063A2800084E52BED7900000001
【相關命令】
·snmp-agent local-engineid
display snmp-agent mib-node命令用來顯示SNMP支持的MIB節點信息。
【命令】
display snmp-agent mib-node[details| index-node| trap-node
| verbose]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
details:表示顯示SNMP支持的MIB節點細節信息,包括節點名、OID末位、下一個葉子節點名。
index-node:顯示SNMP支持的MIB表、節點名及索引節點OID。
trap-node:顯示SNMP支持的MIB告警節點名及對應的OID、告警綁定變量節點名及對應的OID。
verbose:顯示SNMP支持的MIB節點詳細信息,包括節點名、OID、節點類型、訪問權限、數據類型,對應MOR(Managed Object Repository,管理對象庫)定義、父子兄弟節點信息等。
【使用指導】
未指定任何參數時,顯示SNMP支持的MIB節點信息,包括節點名、OID和節點訪問權限。
特性包中可以包含不同的MIB插件,設備根據加載特性包的不同,支持的MIB不相同。
【舉例】
# 顯示SNMP支持MIB節點信息。
display snmp-agent mib-node
iso<1>(NA)
|-std<1.0>(NA)
|-iso8802<1.0.8802>(NA)
|-ieee802dot1<1.0.8802.1>(NA)
|-ieee802dot1mibs<1.0.8802.1.1>(NA)
其它顯示信息略……
表1-3 display snmp-agent mib-node命令顯示信息描述表
字段
描述
-std
MIB節點名
<1.0>
MIB節點對應的OID
(NA)
MIB節點訪問權限,取值為:
·?????NA:表示節點不可訪問
·?????NF:表示節點支持告警
·?????RO:表示節點支持只讀訪問
·?????RW:表示節點支持讀寫訪問
·?????RC:表示節點支持讀寫創建訪問
·?????WO:表示節點支持只寫訪問
*
表示葉子節點或表節點
# 顯示SNMP支持MIB節點細節信息。
display snmp-agent mib-node details
iso(1)(dot1xPaeSystemAuthControl)
|-std(0)(dot1xPaeSystemAuthControl)
|-iso8802(8802)(dot1xPaeSystemAuthControl)
|-ieee802dot1(1)(dot1xPaeSystemAuthControl)
|-ieee802dot1mibs(1)(dot1xPaeSystemAuthControl)
其它顯示信息略……
表1-4 display snmp-agent mib-node details命令顯示信息描述表
字段
描述
-std
MIB節點名
(0)
MIB節點對應OID末位
(lldpMessageTxInterval)
MIB節點下一個葉子節點名
*
表示葉子節點或表節點
# 顯示SNMP支持的MIB表名、索引節點名及對應的OID。
display snmp-agent mib-node index-node
Table
|dot1xPaePortTable
Index
||dot1xPaePortNumber
OID
|||? 1.0.8802.1.1.1.1.1.2.1.1
其它顯示信息略……
表1-5 display snmp-agent mib-node index-node命令顯示信息描述表
字段
描述
Table
MIB表名
Index
MIB索引節點名
OID
MIB索引節點對應的OID
# 顯示SNMP支持的MIB告警節點名及對應的OID、告警綁定變量節點名及對應的OID。
display snmp-agent mib-node trap-node
Name
|lldpRemTablesChange
OID
||1.0.8802.1.1.2.0.0.1
Trap Object
Name
|||lldpStatsRemTablesInserts
OID
||||1.0.8802.1.1.2.1.2.2
Name
|||lldpStatsRemTablesDeletes
OID
||||1.0.8802.1.1.2.1.2.3
Name
|||lldpStatsRemTablesDrops
OID
||||1.0.8802.1.1.2.1.2.4
Name
|||lldpStatsRemTablesAgeouts
OID
||||1.0.8802.1.1.2.1.2.5
其它顯示信息略……
表1-6 display snmp-agent mib-node trap-node命令顯示信息描述表
字段
描述
Name
MIB告警節點名
OID
MIB告警節點對應的OID
Trap Object
MIB告警綁定變量節點相關信息(其中Name表示告警綁定變量節點名,OID表示變量名節點對應的OID)
# 顯示SNMP支持的MIB節點詳細信息,包括節點名、OID、節點類型、訪問權限、數據類型,對應MOR定義、父子兄弟節點信息等。
display snmp-agent mib-node verbose
Name
|iso
OID
||1
Properties
||NodeType:?? Other
||AccessType: NA
||DataType:?? NA
||MOR:??????? 0x00000000
Parent
||
First child
||std
Next leaf
||dot1xPaeSystemAuthControl
Next sibling? ||
其它顯示信息略……
表1-7 display snmp-agent mib-node verbose命令顯示信息描述表
字段
描述
Name
MIB節點名
OID
MIB節點對應的OID
NodeType
MIB節點類型,取值為:
·?????Table:表節點
·?????Row:表中行節點
·?????Column:表中列節點
·?????Leaf:葉子節點
·?????Group:組節點(葉子節點的父節點)
·?????Trapnode:告警節點
·?????Other:其他類型
AccessType
MIB節點訪問權限,取值為:
·?????NA:表示節點不可訪問
·?????NF:表示節點支持告警
·?????RO:表示節點支持只讀訪問
·?????RW:表示節點支持讀寫訪問
·?????RC:表示節點支持讀寫創建訪問
·?????WO:表示節點支持只寫訪問
DataType
MIB節點數據類型,取值為:
·?????Integer:整數
·?????Integer32:32位整數
·?????Unsigned32:32位無符號整數
·?????Gauge:可增可減的非負整數
·?????Gauge32:32位可增可減的非負整數
·?????Counter:可增不可減的非負整數
·?????Counter32:32位可增不可減的非負整數
·?????Counter64:64位可增不可減的非負整數
·?????Timeticks:用于計時的非負整數
·?????Octstring:八進制字符串
·?????OID:對象標識符
·?????IPaddress:用于IP規范格式的32位地址
·?????Networkaddress:網絡IP地址
·?????Opaque:任意數據
·?????Userdefined:用戶類型
·?????BITS:所述位枚舉
MOR
MIB節點對應的MOR定義
Parent
父節點名
First child
第一個子節點名
Next leaf
下一個葉子節點名
Next sibling
右兄弟節點名
Allow
允許的操作類型,取值包括如下:
·?????get/set/getnext:允許所有操作
·?????get:只允許Get操作
·?????set:只允許Set操作
·?????getnext:只允許GetNext操作
Value range
節點的取值范圍
Index
表索引,僅表節點顯示此字段
display snmp-agent mib-view命令用來顯示MIB視圖的信息。
【命令】
display snmp-agent mib-view [ exclude | include | viewname view-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
exclude:顯示屬性為exclude的MIB視圖的信息。
include:顯示屬性為include的MIB視圖的信息。
viewname view-name:顯示指定名稱MIB視圖的信息,view-name為視圖的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
不指定參數時,顯示所有MIB視圖的信息。
【舉例】
# 顯示設備的所有MIB視圖。
display snmp-agent mib-view
View name: ViewDefault
MIB Subtree: iso
Subtree mask:
Storage-type: nonVolatile
View Type: included
View status: active
View name: ViewDefault
MIB Subtree: snmpUsmMIB
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
View name: ViewDefault
MIB Subtree: snmpVacmMIB
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
View name: ViewDefault
MIB Subtree: snmpModules.18
Subtree mask:
Storage-type: nonVolatile
View Type: excluded
View status: active
以上信息表明,設備上當前有四個MIB視圖,名稱均為ViewDefault。使用ViewDefault視圖名限制NMS訪問時,除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。
表1-8 display snmp-agent mib-view命令顯示信息描述表
字段
描述
View name
視圖名
MIB Subtree
MIB視圖對應的MIB子樹
Subtree mask
MIB子樹的掩碼
Storage-type
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體請參見
View Type
MIB視圖的類型(即該視圖與MIB子樹的關系),包括included和excluded兩種:
·?????included表示當前視圖包括該子樹的所有節點,即可以訪問子樹內的所有MIB對象
·?????excluded表示當前視圖不包括該子樹的任意節點,即子樹內的所有MIB對象都不能被訪問
View status
MIB視圖的狀態,包括:
·?????active表示MIB視圖可用
·?????inactive表示MIB視圖不可用。用戶不能對處于該狀態的MIB視圖中的節點執行讀寫操作,但允許MIB視圖中的節點發送Trap和Inform消息
【相關命令】
·snmp-agent mib-view
display snmp-agent remote命令用來顯示遠端SNMP實體的引擎ID。
【命令】
display snmp-agent remote [ { ipv4-address | ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ipv4-address:顯示指定IPv4地址的遠端SNMP實體的引擎ID。ipv4-address表示遠端SNMP實體的IPv4地址。
ipv6 ipv6-address:顯示指定IPv6地址的遠端SNMP實體的引擎ID。ipv6-address表示遠端SNMP實體的IPv6地址。
vpn-instance vpn-instance-name:指定遠端SNMP實體所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端SNMP實體位于公網中。
【使用指導】
SNMP實體引擎ID是SNMP實體的唯一標識,它在一個SNMP管理域內是唯一的。SNMP實體引擎是SNMP實體的重要組成部分,完成SNMP信息的信息調度、信息處理、安全驗證、訪問控制等功能。
如果未指定遠端SNMP實體的IP地址,則會顯示設備上配置的所有遠端SNMP實體的引擎ID。
【舉例】
# 顯示設備上配置的所有遠端SNMP實體的引擎ID。
display snmp-agent remote
Remote engineID: 800063A28000A0FC00580400000001
IPv4 address: 1.1.1.1
VPN instance: vpn1
表1-9 display snmp-agent remote命令顯示信息描述表
字段
描述
Remote engineID
遠端SNMP實體的引擎,可通過snmp-agent remote命令配置
IPv4 address
遠端SNMP實體的IPv4地址
IPv6 address
遠端SNMP實體的IPv6地址。當配置snmp-agent remote命令時綁定的是IPv6地址時,顯示該信息
VPN instance
遠端SNMP實體所屬的VPN實例。只有配置snmp-agent remote命令且綁定了VPN實例時,才顯示該信息
【相關命令】
·snmp-agent remote
display snmp-agent statistics命令用來顯示SNMP報文的統計信息。
【命令】
display snmp-agent statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示SNMP報文的統計信息。
display snmp-agent statistics
1684 messages delivered to the SNMP entity.
5 messages were for an unsupported version.
0 messages used an unknown SNMP community name.
0 messages represented an illegal operation for the community supplied.
0 ASN.1 or BER errors in the process of decoding.
1679 messages passed from the SNMP entity.
0 SNMP PDUs had badValue error-status.
0 SNMP PDUs had genErr error-status.
0 SNMP PDUs had noSuchName error-status.
0 SNMP PDUs had tooBig error-status (Maximum packet size 1500).
16544 MIB objects retrieved successfully.
2 MIB objects altered successfully.
7 GetRequest-PDU accepted and processed.
7 GetNextRequest-PDU accepted and processed.
1653 GetBulkRequest-PDU accepted and processed.
1669 GetResponse-PDU accepted and processed.
2 SetRequest-PDU accepted and processed.
0 Trap PDUs accepted and processed.
0 alternate Response Class PDUs dropped silently.
0 forwarded Confirmed Class PDUs dropped silently.
表1-10 display snmp-agent statistics命令顯示信息描述表
字段
描述
messages delivered to the SNMP entity
Agent收到的數據報文個數
messages were for an unsupported version
版本不支持的數據報文個數
messages used an unknown SNMP community name
使用了非法團體名的數據報文個數
messages represented an illegal operation for the community supplied
包含了超出團體名權限的操作的數據報文個數
ASN.1 or BER errors in the process of decoding
在解碼過程中發生ASN.1(Abstract Syntax Notation dot one,抽象記法1)或BER(Basic Encoding Rules ,基本編碼規則)錯誤的數據報文個數
messages passed from the SNMP entity
Agent發送給別的SNMP實體的數據報文個數
SNMP PDUs had badValue error-status
錯誤類型為BadValues的數據報文個數
SNMP PDUs had genErr error-status
genErr錯誤的數據報文個數
SNMP PDUs had noSuchName error-status
NoSuchName錯誤的數據報文個數
SNMP PDUs had tooBig error-status
TooBig錯誤的數據報文個數(設備允許通過的最大SNMP PDU為1500字節)
MIB objects retrieved successfully
已成功獲取的MIB對象個數
MIB objects altered successfully
已成功修改的MIB對象個數
GetRequest-PDU accepted and processed
已接收并處理的Get請求的個數
GetNextRequest-PDU accepted and processed
已接收并處理的GetNext請求的個數
GetBulkRequest-PDU accepted and processed
已接收并處理的GetBulk請求的個數
GetResponse-PDU accepted and processed
已接收并處理的Get響應的個數
SetRequest-PDU accepted and processed
已接收并處理的Set請求的個數
Trap PDUs accepted and processed
已接收并處理的Trap和Inform報文的個數
alternate Response Class PDUs dropped silently
被丟棄的響應數據報文個數
forwarded Confirmed Class PDUs dropped silently
被丟棄的轉發數據報文個數
display snmp-agent sys-info命令用來顯示SNMP設備的系統信息。
【命令】
display snmp-agent sys-info [ contact | location | version ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
contact:顯示當前設備維護者的聯系信息。
location:顯示當前設備的物理位置信息。
version:顯示當前設備中運行的SNMP版本號。
【使用指導】
不指定參數時,顯示設備的全部系統信息。
【舉例】
# 顯示設備系統信息。
display snmp-agent sys-info
The contact information of the agent:
New H3C Technologies Co., Ltd.
The location information of the agent:
Hangzhou, China
The SNMP version of the agent:
SNMPv3
【相關命令】
·snmp-agent sys-info
display snmp-agent trap queue命令用來顯示告警信息隊列的基本信息。
【命令】
display snmp-agent trap queue
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前告警信息隊列的配置及使用情況。
display snmp-agent trap queue
Queue size: 100
Message number: 6
表1-11 display snmp-agent trap queue命令顯示信息描述表
字段
描述
Queue size
告警信息隊列長度
Message number
告警信息隊列中當前告警信息的個數
【相關命令】
·snmp-agent trap life
·snmp-agent trap queue-size
display snmp-agent trap-list命令用來顯示SNMP告警功能的開啟狀態。
【命令】
display snmp-agent trap-list
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
如果一個模塊包含多個子模塊,只要有任何一個子模塊的告警信息是使能的,就顯示整個模塊是使能的。
業務模塊是否支持SNMP告警功能請通過執行snmp-agent trap enable ?命令來獲知。本命令的顯示信息和snmp-agent trap enable命令以及業務模塊的配置相關。
【舉例】
# 顯示SNMP告警功能的開啟狀態。
display snmp-agent trap-list
arp notification is disabled.
bfd notification is enabled.
bgp notification is enabled.
configuration notification is enabled.
isis notification is enabled.
l3vpn notification is enabled.
mac-address notification is enabled.
ospf notification is enabled.
radius notification is disabled.
standard notification is enabled.
stp notification is disabled.
syslog notification is disabled.
system notification is enabled.
Enabled notifications: 9; Disabled notifications: 4
【相關命令】
·snmp-agent trap enable
display snmp-agent usm-user命令用來顯示SNMPv3用戶信息。
【命令】
display snmp-agent usm-user [ engineid engineid | group group-name | username user-name ] *
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
engineid engineid:顯示指定引擎ID的SNMPv3用戶信息,engineid表示SNMP引擎ID,不區分大小寫。SNMPv3用戶創建的時候,系統會記錄當時設備的SNMP實體引擎ID,如果設備的引擎ID被修改,則被創建的SNMPv3用戶將暫時無效,只有引擎ID恢復后,才能繼續生效。
group group-name:顯示屬于指定SNMP組的SNMPv3用戶信息,區分大小寫。
username user-name:顯示指定名稱的SNMPv3用戶信息,區分大小寫。
【使用指導】
使用snmp-agent usm-user命令可以創建SNMPv1/v2c/v3用戶,如果創建是的SNMPv1/v2c用戶,系統自動添加一個新的同名的團體名,并將這個用戶當成SNMPv1/v2c團體來處理。所以,不能通過display snmp-agent usm-user命令來查看SNMPv1/v2c用戶的信息,能通過display snmp-agent community查看SNMPv1/v2c用戶對應的團體的信息。
【舉例】
# 顯示設備上已創建的所有SNMPv3用戶的信息。
display snmp-agent usm-user
Username: userv3
Group name: mygroupv3
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
ACL: 2000
Username: userv3
Group name: mygroupv3
Engine ID: 8000259503000BB3100A508
Storage-type: nonVolatile
UserStatus: active
ACL name: testacl
Username: userv3code
Role name: groupv3code
network-operator
Engine ID: 800063A203000FE240A1A6
Storage-type: nonVolatile
UserStatus: active
Username: userv3code
Role name: snmprole
network-operator
Engine ID: 800063A280000002BB0001
Storage-type: nonVolatile
UserStatus: active
表1-12 display snmp-agent usm-user命令顯示信息描述表
字段
描述
Username
SNMP用戶的用戶名
Group name
SNMP用戶所在組的組名
Role name
SNMP用戶的角色名稱
Engine ID
SNMP用戶創建時使用的SNMP實體引擎ID
Storage-type
存儲方式,分為以下幾種:volatile、nonVolatile、permanent、readOnly、other,具體請參見
UserStatus
SNMP用戶的狀態,分為以下幾種:
·?????active:有效
·?????notInService:當前不可用
·?????notReady:未配置完成
·?????other:其他
ACL
使用的ACL列表的編號(該字段僅在用戶與ACL綁定后顯示,不會與ACL name同時存在)
ACL name
使用的ACL列表的名稱(該字段僅在用戶與ACL名稱綁定后顯示,不會與ACL同時存在)
【相關命令】
·snmp-agent usm-user v3
enable snmp trap updown命令用來開啟接口狀態變化的告警功能。
undo enable snmp trap updown命令用來關閉接口狀態變化的告警功能。
【命令】
enable snmp trap updown
undo enable snmp trap updown
【缺省情況】
接口狀態變化的告警功能處于開啟狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
【使用指導】
需要注意的是,如果要求接口在狀態發生改變時生成接口狀態變化的告警信息,需要開啟全局告警功能并在接口開啟接口狀態變化的告警功能。接口下開啟請使用命令enable snmp trap updown,全局下開啟請使用命令snmp-agent trap enable standard [ linkdown | linkup ] *。
【舉例】
# 允許發送端口GigabitEthernet1/0/1的linkUp/linkDown的SNMP告警,使用團體名public,向IP地址為10.1.1.1的目的主機發送Trap報文。
system-view
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] enable snmp trap updown
【相關命令】
·?????snmp-agent target-host
·?????snmp-agent trap enable
snmp-agent命令用來開啟SNMP Agent功能。
undo snmp-agent命令用來關閉SNMP Agent功能。
【命令】
snmp-agent
undo snmp-agent
【缺省情況】
SNMP Agent功能處于關閉狀態。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【使用指導】
執行除snmp-agent calculate-password外任何以snmp-agent開頭的命令都可以開啟SNMP Agent功能。
【舉例】
# 開啟設備的SNMP Agent功能。
system-view
[Sysname] snmp-agent
snmp-agent { inform | trap } source命令用來配置發送的告警信息的源IP地址。
undo snmp-agent { inform | trap } source命令用來恢復缺省情況。
【命令】
snmp-agent { inform | trap} source interface-type { interface-number | interface-number.subnumber }
undo snmp-agent { inform | trap } source
【缺省情況】
使用出接口的IP地址作為告警信息的源IP地址。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
inform:用來指定Inform報文中的源IP地址。
trap:用來指定Trap報文中的源IP地址。
interface-type { interface-number | interface-number.subnumber }:指定三層接口類型與接口編號。
【使用指導】
執行該命令后,系統會使用指定接口的主IP地址作為發送出去的告警信息的源IP地址。這樣,在NMS上就可以使用該IP地址唯一標志Agent。即便Agent使用不同的出接口發送告警信息,NMS都可以使用該IP地址來過濾Agent發送的所有告警信息。
在將某個接口配置為獲取告警信息的源地址接口之前需要注意的是:
·?????如果配置的接口已存在,并且配置了合法的IP地址,則該IP地址將作為告警信息的源地址;
·?????如果配置的接口不存在,則該命令會配置失敗;
·?????如果配置的接口已存在,但未配置合法的IP地址,則該命令不生效,在接口配置了合法IP地址后,該命令會自動生效。
【舉例】
# 配置Trap報文的源地址為以太網接口GigabitEthernet1/0/1上的接口主IP地址。
system-view
[Sysname] snmp-agent trap source gigabitethernet 1/0/1
# 配置Inform報文的源地址為以太網接口GigabitEthernet1/0/2上的接口主IP地址。
system-view
[Sysname] snmp-agent inform source gigabitethernet 1/0/2
【相關命令】
·snmp-agent trap enable
·snmp-agent target-host
snmp-agent calculate-password命令用來為明文密碼計算對應的密文密碼。
【命令】
非FIPS模式下:
snmp-agent calculate-password plain-password mode { 3desmd5 | 3dessha | aes192md5 | aes192sha | aes256md5 | aes256sha | md5 | sha } { local-engineid | specified-engineid engineid }
FIPS模式下:
snmp-agent calculate-password plain-password mode { aes192sha | aes256sha | sha } { local-engineid | specified-engineid engineid }
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
plain-password:表示明文密碼,為1~64個字符的字符串,區分大小寫。
mode:指定認證算法和加密算法。設備支持的認證算法有HMAC-MD5和HMAC-SHA1,其中HMAC-MD5的計算速度比HMAC-SHA1快,而HMAC-SHA1的安全強度比HMAC-MD5高;設備支持的加密算法安全性由高到低依次是:AES256、AES192、AES、3DES、DES,安全性高的加密算法實現機制復雜,運算速度慢。對于普通的安全要求,DES算法就可以滿足需要。
·?????3desmd5:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-MD5,加密算法必須為3DES。
·?????3dessha:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-SHA1,加密算法必須為3DES。
·?????aes192md5:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-MD5,加密算法必須為AES192。
·?????aes192sha:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-SHA1,加密算法必須為AES192。
·?????aes256md5:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-MD5,加密算法必須為AES256。
·?????aes256sha:用于計算密文加密密碼,此時對應的認證算法必須為HMAC-SHA1,加密算法必須為AES256。
·?????md5:用于計算密文認證密碼和密文加密密碼。用于計算密文認證密碼時,認證算法必須為HMAC-MD5;用于計算密文加密密碼時,認證算法必須為HMAC-MD5,加密算法可以為AES或者DES。因為當認證算法為HMAC-MD5時,相同的明文密碼,各自計算出來的密文認證密碼和密文加密密碼均相同。
·?????sha:用于計算密文認證密碼和密文加密密碼。用于計算密文認證密碼時,認證算法必須為HMAC-SHA1;用于計算密文加密密碼時,認證算法必須為HMAC-SHA1,加密算法可以為AES或者DES。因為當認證算法為HMAC-SHA1時,相同的明文密碼,各自計算出來的密文認證密碼和密文加密密碼均相同。
local-engineid:使用本地引擎ID計算密文密碼,引擎ID的相關描述與配置可參考命令snmp-agent local-engineid。
specified-engineid:使用用戶指定的引擎ID計算密文密碼。
engineid:引擎ID,必須為偶數個十六進制數,偶數的取值范圍為10~64,不區分大小寫。全0和全F均被認為是無效參數。
【使用指導】
執行本命令前,必須先開啟設備的SNMP Agent功能。
在創建SNMPv3用戶時,如果指明認證或者加密密碼采用密文配置方式,則可以輸入該命令生成的密文密碼來代替明文密碼,從而避免在非安全環境直接輸入明文密碼造成的安全隱患。
生成的密碼是和引擎ID相關聯的,在某一引擎ID下生成的密碼,也只在此引擎ID下生效。
【舉例】
# 使用本地引擎ID和HMAC-SHA1算法計算明文認證密碼authkey的密文密碼。
system-view
[Sysname] snmp-agent calculate-password authkey mode sha local-engineid
The encrypted key is: 09659EC5A9AE91BA189E5845E1DDE0CC
【相關命令】
·snmp-agent local-engineid
·snmp-agent usm-user v3
snmp-agent community命令用來創建SNMP團體。
undo snmp-agent community命令用來刪除SNMP團體。
【命令】
VACM方式:
snmp-agent community { read | write } [simple|cipher] community-name [ mib-view view-name ] [ acl { ipv4-acl-number| name ipv4-acl-name} | acl ipv6{ ipv6-acl-number|nameipv6-acl-name}] *
undo snmp-agent community [cipher] community-name
RBAC方式:
snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number| name ipv4-acl-name} | acl ipv6{ ipv6-acl-number|nameipv6-acl-name} ] *
undo snmp-agent community [ cipher ] community-name
【缺省情況】
不存在SNMP團體。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
read:表示對MIB對象的訪問權限為只讀。NMS使用該團體名訪問Agent時只能執行讀操作。
write:表示對MIB對象的訪問權限為讀寫。NMS使用該團體名訪問Agent時可以執行讀、寫操作。
simple:表示以明文方式配置團體名并以密文方式保存到配置文件中。
cipher:表示以密文方式配置團體名并以密文方式保存到配置文件中。
community-name:配置明文團體名或密文團體名,是限制NMS訪問Agent時所使用的團體名。區分大小寫,需要轉義的字符請加“\”后輸入。當以明文方式配置時,團體名為1~32個字符的字符串;當以密文方式配置時,團體名為33~73個字符的字符串。
mib-view view-name:用來指定NMS可以訪問的MIB對象的范圍,view-name表示MIB視圖名,為1~32個字符的字符串,區分大小寫。不指定參數時,缺省視圖為ViewDefault。
user-role role-name:該團體對應的角色名稱,role-name為1~63個字符的字符串,區分大小寫。
acl:將團體名與基本/高級IPv4 ACL綁定。
ipv4-acl-number:表示基本或高級IPv4 ACL的編號,其中基本IPv4 ACL的取值范圍為2000~2999,高級IPv4 ACL的取值范圍為3000~3999。
nameipv4-acl-name:表示基本或高級IPv4 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
acl ipv6:將團體名與基本/高級IPv6 ACL綁定。
ipv6-acl-number:表示基本或高級IPv6 ACL的編號,其中基本IPv6 ACL的取值范圍為2000~2999,高級IPv6 ACL的取值范圍為3000~3999。
nameipv6-acl-name:表示基本或高級IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
FIPS模式下,不支持本命令。
為了安全起見,只有具有network-admin或者level-15用戶角色的用戶登錄設備后才能執行本命令。其它角色的用戶,即使授權了SNMP特性或本命令的操作權限,也不能執行本命令。
該命令用于SNMPv1和SNMPv2c組網環境。
團體是NMS和Agent的集合,用團體名來標志。團體名相當于密碼,團體內的設備通信使用團體名來進行認證。只有NMS和Agent上配置的團體名相同時,才能互相訪問。通常情況下,“public”被用來作為讀權限團體名、“private”被用來作為寫權限團體名。為了增強安全性,網絡管理員也可以配置其它團體名。
用戶有兩種方式創建團體:
·?????使用snmp-agent community命令來創建團體。
·?????配置snmp-agent usm-user { v1 | v2c }和snmp-agent group { v1 | v2c }命令成功創建SNMPv1或SNMPv2c用戶以及相應的組后,系統會以用戶名為團體名自動創建一個團體。
display snmp-agent community會顯示這兩種方式創建的團體的信息。
使用snmp-agent community命令創建團體時,可以通過兩種配置方式來控制團體的訪問:
·?????VACM(View-based Access Control Model,基于視圖的訪問控制模型)的配置方式:該方式通過指定MIB視圖來限定NMS可以訪問的MIB節點,訪問的動作包括只讀和讀寫兩種。
·?????RBAC(Role Based Access Control,基于角色的訪問控制)的配置方式:該方式使用用戶角色來限定NMS的訪問權限。缺省情況下,用戶角色network-admin和level-15可以讀寫所有的MIB節點,network-operator可以只讀所有的MIB節點。有關用戶角色的詳細信息,請參見“基礎配置指導”中的“RBAC”。
推薦使用RBAC配置方式,安全性更高。
多次執行本命令最多可創建10個團體名。
多次執行該命令,指定的團體名相同,其它參數不同時,新配置生效。
不指定simple和cipher參數時,表示以明文方式配置團體名,并以明文方式保存到配置文件。
使用acl參數可以限制非法NMS訪問設備:
·?????當未引用ACL、引用的ACL不存在、或者引用的ACL下沒有配置規則時,允許所有NMS訪問設備。
·?????當引用的ACL下配置了規則時,則只有規則中permit的NMS才能訪問設備,其他NMS不允許訪問設備。
關于ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
【舉例】
# 以明文方式創建SNMP團體readaccess,并且允許NMS使用該團體名對設備上缺省視圖內的MIB對象進行只讀訪問。
system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] snmp-agent community read simple readaccess
# 以明文方式配置團體名writeaccess,并且只允許IP地址為1.1.1.1的NMS使用該團體名對設備上缺省視圖內的MIB對象進行讀寫操作,禁止其它NMS使用該團體名執行寫操作。
system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-ipv4-basic-2001] rule deny source any
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent community write simple writeaccess acl 2001
# 以明文方式配置團體名writeaccess,并且只允許IP地址為1.1.1.2的NMS使用該團體名對設備上缺省視圖內的MIB對象進行讀寫操作,禁止其它NMS使用該團體名執行寫操作。
system-view
[Sysname] acl basic name testacl
[Sysname-acl-ipv4-basic-testacl] rule permit source 1.1.1.2 0.0.0.0
[Sysname-acl-ipv4-basic-testacl] rule deny source any
[Sysname-acl-ipv4-basic-testacl] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent community write simple writeaccess acl name testacl
# 以明文方式創建團體名wr-sys-acc,使用該團體名訪問設備時只能對system(OID為1.3.6.1.2.1.1)子樹下的MIB對象執行寫操作。
system-view
[Sysname] snmp-agent sys-info version v1 v2c
[Sysname] undo snmp-agent mib-view ViewDefault
[Sysname] snmp-agent mib-view included test system
[Sysname] snmp-agent community write simple wr-sys-acc mib-view test
【相關命令】
·display snmp-agent community
·snmp-agent mib-view
snmp-agent community-map命令用來創建團體名到SNMP上下文的映射。
undo snmp-agent community-map命令用來刪除團體名到SNMP上下文的映射。
【命令】
snmp-agent community-mapcommunity-namecontextcontext-name
undo snmp-agent community-mapcommunity-namecontextcontext-name
【缺省情況】
不存在團體名到SNMP上下文的映射。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
community-name:團體名,為1~32個字符的字符串,區分大小寫。
context-name:SNMP上下文。為1~32個字符的字符串,區分大小寫。
【使用指導】
用戶配置成功后,使用SNMP v1/v2版本連接SNMP Agent時,SNMP插件端所獲取的上下文,是此時NMS訪問Agent,使用的團體名映射的上下文。如團體名未配置上下文映射,則獲取不到。
系統中可配置的映射最多為10個。
【舉例】
# 配置一個團體名到SNMP上下文的映射。
system-view
[Sysname] snmp-agent community-map private context testcontext
【相關命令】
·display snmp-agent community
snmp-agent context命令用來創建SNMP上下文。
undo snmp-agent context命令用來刪除SNMP上下文。
【命令】
snmp-agent contextcontext-name
undo snmp-agent contextcontext-name
【缺省情況】
不存在SNMP上下文。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
context-name:SNMP上下文,為1~32個字符的字符串,區分大小寫。
【使用指導】
NMS未配置上下文,或NMS與Agent配置為相同的上下文時,兩者可以連接成功,否則返回超時。
系統中可配置的SNMP上下文最多為20個。
【舉例】
# 創建一個新的context。
system-view
[Sysname] snmp-agent context testcontext
【相關命令】
·display snmp-agent context
snmp-agent group命令用來創建SNMP組。
undo snmp-agent group命令用來刪除SNMP組。
【命令】
非FIPS模式下:
·?????SNMPv1和SNMPv2c版本下的命令格式是:
snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name } ] *
undo snmp-agent group { v1 | v2c } group-name
·?????SNMPv3版本下的命令格式是:
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name } ] *
undo snmp-agent group v3 group-name [ authentication | privacy ]
FIPS模式下:
snmp-agent group v3 group-name { authentication | privacy } [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name } ] *
undo snmp-agent group v3 group-name { authentication | privacy }
【缺省情況】
不存在SNMP組。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
v1:SNMPv1版本。
v2c:SNMPv2c版本。
v3:SNMPv3版本。
group-name:SNMP組的名稱,取值范圍為1~32個字符的字符串,區分大小寫。
authentication:表示對報文進行認證但不加密。
privacy:表示對報文進行認證和加密。
read-view view-name:只讀視圖名,為1~32個字符的字符串,區分大小寫。缺省值為ViewDefault。
write-view view-name:讀寫視圖名,為1~32個字符的字符串,區分大小寫。缺省情況下,未配置讀寫視圖,即NMS不能對設備的所有MIB對象進行寫操作。
notify-view view-name:可以發告警信息的視圖名,為1~32個字符的字符串,區分大小寫。缺省情況下,未配置告警信息視圖。
acl:將組與基本/高級IPv4 ACL綁定。
ipv4-acl-number:表示基本或高級IPv4 ACL的編號,其中基本IPv4 ACL編號的取值范圍為2000~2999,高級IPv4 ACL編號的取值范圍為3000~3999。
nameipv4-acl-name:表示基本或高級IPv4 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
acl ipv6:將組與基本/高級IPv6 ACL綁定。
ipv6-acl-number:表示基本或高級IPv6 ACL的編號,其中基本IPv4 ACL編號的取值范圍為2000~2999,高級IPv6 ACL編號的取值范圍為3000~3999。
nameipv6-acl-name:表示基本或高級IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
FIPS模式下,不支持SNMPv1和SNMPv2c版本下的本命令。
為了安全起見,只有具有network-admin或者level-15用戶角色的用戶登錄設備后才能執行本命令。其它角色的用戶,即使授權了SNMP特性或本命令的操作權限,也不能執行本命令。
SNMP組可以定義安全模式、視圖權限等信息,配置在此組內的用戶都具有這些公共屬性。
系統中可配置的SNMP組最多為20個。
是否指定authentication和privacy參數存在如下情況:
·?????當不指定authentication和privacy時,表示不認證不加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均不認證不加密。即便用戶配置了認證密碼/加密密碼,認證密碼/加密密碼也不生效。
·?????當指定authentication時,表示認證不加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均認證不加密。即便用戶配置了加密密碼,加密密碼也不生效。
·?????當指定privacy時,表示認證加密。此時,使用和該組綁定的用戶名建立SNMP連接時,均認證加密。該組內的用戶必須配置認證密碼和加密密碼,否則,不能建立SNMP連接。
創建SNMP組和用戶的時候都可以使用acl參數限制非法NMS訪問設備,只有兩個ACL均允許的NMS才能訪問設備。在創建組或用戶時,ACL均遵循以下規則:
·?????當未引用ACL、引用的ACL不存在、或者引用的ACL下沒有配置規則時,允許所有NMS訪問設備。
·?????當引用的ACL下配置了規則時,則只有規則中permit的NMS才能訪問設備,其他NMS不允許訪問設備。
關于ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
【舉例】
# 在運行SNMPv3版本的設備上創建一個SNMP組group1。
system-view
[Sysname] snmp-agent group v3 group1
【相關命令】
·display snmp-agent group
·snmp-agent mib-view
·snmp-agent usm-user
snmp-agent local-engineid命令用來配置本設備的SNMP引擎ID。
undo snmp-agent local-engineid命令用來恢復缺省情況。
【命令】
snmp-agent local-engineid engineid
undo snmp-agent local-engineid
【缺省情況】
設備引擎ID為公司的“企業號+設備信息”。每臺設備的設備信息不同,請以設備實際情況為準。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
engineid:SNMP引擎ID,必須為偶數個十六進制數,偶數的取值范圍為10~64,不區分大小寫。全0和全F均被認為是無效參數。
【使用指導】
SNMP引擎ID有兩個作用:
·?????在NMS管理的所有設備中,每一臺設備都需要用一個唯一的引擎ID來標識Agent,缺省情況下每個設備有一個缺省的引擎ID,網絡管理員需要確保管理域內不能有重復的引擎ID。
·?????SNMPv3版本的用戶名、密文密碼等都和引擎ID相關聯,如果更改了引擎ID,則原引擎ID下配置的用戶名、密碼失效。
通常情況下,使用設備的缺省引擎ID即可,用戶也可以根據網絡整體規劃給設備配置方便記憶的引擎ID,比如A棟一樓的一號設備可以將它的引擎ID設置為000Af0010001,二號設備可以配置為000Af0010002。
【舉例】
# 配置本設備的SNMP引擎ID為123456789A。
system-view
[Sysname] snmp-agent local-engineid 123456789A
【相關命令】
·display snmp-agent local-engineid
·snmp-agent usm-user
snmp-agent log命令用來開啟SNMP日志功能。
undo snmp-agent log命令用來關閉SNMP日志功能。
【命令】
snmp-agent log { all | authfail|get-operation | set-operation }
undo snmp-agent log { all | authfail | get-operation | set-operation }
【缺省情況】
SNMP日志功能處于關閉狀態。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
all:表示SNMP Get操作、Set操作和SNMP認證失敗的日志開關。
authfail:表示SNMP認證失敗的日志開關。
get-operation:表示SNMP Get操作的日志開關。
set-operation:表示SNMP Set操作的日志開關。
【使用指導】
當打開SNMP Get或者Set操作的日志開關,NMS對Agent執行指定的操作時,Agent會記錄與該操作相關信息并保存到設備的信息中心。當打開SNMP認證失敗的日志開關時,如果Agent收到來自NMS的SNMP請求但是沒有通過認證,Agent會記錄相關信息并保存到設備的信息中心。保存的相關信息將通過信息中心的參數配置,最終決定SNMP日志的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 打開SNMP Get操作的日志開關。
system-view
[Sysname] snmp-agent log get-operation
# 打開SNMP Set操作的日志開關。
system-view
[Sysname] snmp-agent log set-operation
# 打開SNMP認證失敗的日志開關。
system-view
[Sysname] snmp-agent log authfail
snmp-agent mib-view命令用來創建或者更新MIB視圖。
undo snmp-agent mib-view命令用來刪除MIB視圖。
【命令】
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]
undo snmp-agent mib-view view-name
【缺省情況】
存在四個MIB視圖,名稱均為ViewDefault:
·?????視圖一包含MIB子樹iso;
·?????視圖二不包含子樹snmpUsmMIB;
·?????視圖三不包含子樹snmpVacmMIB;
·?????視圖四不包含子樹snmpModules.18。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
excluded:表示當前視圖不包括該MIB子樹的任何節點(即禁止訪問MIB子樹的所有節點)。
included:表示當前視圖包括該MIB子樹的所有節點(即允許訪問MIB子樹的所有節點)。
view-name:視圖名,為1~32個字符的字符串,區分大小寫。
oid-tree:MIB子樹,用子樹根節點的OID(如“1.3.6.1.2.1.1”)或名稱(如“system”)表示,為1~255個字符的字符串,區分大小寫。OID是由一系列的整數組成,標明節點在MIB樹中的位置,它能唯一地標識一個MIB庫中的對象。
mask mask-value:對象子樹的掩碼,必須為偶數個十六進制數,偶數的取值范圍為1~32,不區分大小寫。
【使用指導】
MIB視圖是MIB的子集,由視圖名和MIB子樹來唯一確定一個MIB視圖。視圖名相同但包含的子樹不同,則認為是不同的視圖。
缺省視圖可以通過display snmp-agent mib-view命令來查看。如果使用缺省視圖限制NMS的訪問權限時,除了snmpUsmMIB、snmpVacmMIB、snmpModules.18子樹下的MIB對象,NMS可以訪問iso子樹下其它所有MIB對象。缺省視圖可以通過undo snmp-agent mib-view命令刪除,但是刪除以后,可能導致不能對Agent的所有MIB節點執行讀寫操作,除非另外手工配置視圖。
【舉例】
# 創建并更新MIB視圖信息,視圖名稱為mibtest,先創建一個包含mib-2子樹(OID為“1.3.6.1.2.1”)所有對象的MIB視圖,再更新為不包含“system”子樹(OID為“1.3.6.1.2.1.1”)所有對象的MIB視圖。
system-view
[Sysname] snmp-agent sys-info version v1
[Sysname] snmp-agent mib-view included mibtest 1.3.6.1.2.1
[Sysname] snmp-agent mib-view excluded mibtest system
[Sysname] snmp-agent community read public mib-view mibtest
以上配置成功后,當NMS使用SNMPv1版本,public團體名訪問設備時,不能查詢system子樹的所有對象(比如sysDescr和sysObjectID等節點),可以查詢mib-2子樹下的其它所有對象。
【相關命令】
·display snmp-agent mib-view
·snmp-agent group
snmp-agent packet max-size命令用來配置Agent能接收或發送的SNMP報文的最大長度。
undo snmp-agent packet max-size命令用來恢復缺省情況。
【命令】
snmp-agent packet max-size byte-count
undo snmp-agent packet max-size
【缺省情況】
Agent能處理的SNMP報文的最大長度為1500。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
byte-count:Agent能接收/發送的SNMP報文的最大長度,取值范圍為484~17940,單位為字節。
【使用指導】
配置報文的最大長度是為了防止網絡中存在不支持分片的主機,而導致超長數據被丟棄。通常情況下,使用缺省值即可。
【舉例】
# 配置Agent能接收/發送的SNMP報文的最大長度為1024字節。
system-view
[Sysname] snmp-agent packet max-size 1024
snmp-agent packet response dscp命令用來配置SNMP響應報文的DSCP(Differentiated Services Code Point,差分服務代碼點)優先級。
undo snmp-agent packet response dscp命令用來恢復缺省情況。
【命令】
snmp-agent packet response dscp dscp-value
undo snmp-agent packet response dscp
【缺省情況】
SNMP響應報文的DSCP優先級為0。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:表示SNMP響應報文的DSCP優先級,取值范圍為0~63。值越大表示優先級越高。
【使用指導】
DSCP優先級封裝在IP報文中的ToS字段,用來表示報文自身的優先級,設備可根據該優先級決定報文傳輸的優先程度。
【舉例】
# 設置SNMP響應報文的DSCP優先級為40。
system-view
[Sysname] snmp-agent packet response dscp 40
snmp-agent port命令用來配置設備上接收SNMP報文的端口號。
undo snmp-agent port命令用來恢復缺省情況。
【命令】
snmp-agent portport-number
undo snmp-agent port
【缺省情況】
使用161號端口接收SNMP報文。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
port-number:設備上接收SNMP報文的本地端口號,取值范圍為1~65535,缺省值為161。
【使用指導】
用戶配置成功后,使用新端口重新連接設備后,可以進行Get/Set等操作,此時使用display current-configurantion命令查看SNMP相關配置,此項配置可以顯示。
【舉例】
# 指定新的端口號。
system-view
[Sysname] snmp-agent port 5555
# 恢復默認端口號。
system-view
[Sysname] undo snmp-agent port
snmp-agent remote命令用來配置遠端SNMP實體的引擎ID。
undo snmp-agent remote命令用來取消已配置的遠端SNMP實體的引擎ID。
【命令】
snmp-agent remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] engineid engineid
undo snmp-agent remote ip-address
【缺省情況】
未配置遠端SNMP實體的引擎ID。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
ipv4-address:遠端SNMP實體的IP地址。
ipv6 ipv6-address:遠端SNMP實體的IPv6地址。
vpn-instance vpn-instance-name:指定遠端SNMP實體所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示遠端SNMP實體位于公網中。
engineid:引擎ID,必須為偶數個十六進制數,偶數的取值范圍為10~64,不區分大小寫。全0和全F均被認為是無效參數。
【使用指導】
當設備需要向NMS發送SNMPv3 Inform報文時,必須配置該命令,并將ip-address配置為NMS的IP地址,engineid配置為NMS的引擎ID。因為協議要求SNMPv3 Inform報文中必須攜帶一個權威引擎ID,NMS收到該報文后,會用自己的引擎ID和這個權威引擎ID比較,如果相同,才能接收。
用戶最多可以配置20個遠端SNMP實體引擎ID。
【舉例】
# 配置IP地址為10.1.1.1的SNMP實體的引擎ID為123456789A。
system-view
[Sysname] snmp-agent remote 10.1.1.1 engineid 123456789A
【相關命令】
·display snmp-agent remote
snmp-agent sys-info contact命令用來配置設備的維護聯系信息。
undo snmp-agent sys-info contact命令用來恢復缺省情況。
【命令】
snmp-agent sys-info contact sys-contact
undo snmp-agent sys-info contact
【缺省情況】
設備的維護聯系信息為New H3C Technologies Co., Ltd.
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
sys-contact:描述系統維護聯系信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
如果設備發生故障,設備維護人員可以利用系統維護聯系信息,及時與設備生產廠商取得聯系。
【舉例】
# 配置設備的維護聯系信息為Dial System Operator # 27345。
system-view
[Sysname] snmp-agent sys-info contact Dial System Operator # 27345
【相關命令】
·display snmp-agent sys-info
snmp-agent sys-info location命令用來配置設備的物理位置信息。
undo snmp-agent sys-info location命令用來恢復缺省情況。
【命令】
snmp-agent sys-info location sys-location
undo snmp-agent sys-info location
【缺省情況】
物理位置信息為Hangzhou,
China。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
sys-location:設備的物理位置信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
為便于識別和管理設備,請使用該命令將設備所處的物理位置記錄在設備中。
【舉例】
# 配置設備的物理位置信息為Room524-row1-3。
system-view
[Sysname] snmp-agent sys-info location Room524-row1-3
【相關命令】
·display snmp-agent sys-info
snmp-agent sys-info version命令用來配置設備支持的SNMP版本。
undo snmp-agent sys-info version命令用來取消對指定SNMP版本的支持。
【命令】
非FIPS模式下:
snmp-agent sys-info version { all | { v1 | v2c | v3 } * }
undo snmp-agent sys-info version { all | { v1 | v2c | v3 } * }
FIPS模式下:
snmp-agent sys-info version v3
undo snmp-agent sys-info version v3
【缺省情況】
啟用SNMPv3版本。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
all:支持SNMPv1、SNMPv2c和SNMPv3版本。
v1:支持SNMPv1版本。
v2c:支持SNMPv2c版本。
v3:支持SNMPv3版本。
【使用指導】
FIPS模式下,不支持配置SNMPv1和SNMPv2c版本。
支持指定的SNMP版本后,設備才能收發該版本的SNMP報文。只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立連接。
【舉例】
# 配置設備支持SNMPv3版本。
system-view
[Sysname] snmp-agent sys-info version v3
【相關命令】
·display snmp-agent sys-info
1.1.31? snmp-agent target-host
snmp-agent target-host命令用來配置接收SNMP告警信息的目的主機(能夠解析Trap和Inform報文的設備,通常為NMS)的屬性。
undo snmp-agent target-host命令用來取消目的主機配置。
【命令】
非FIPS模式下:
snmp-agent target-host inform address udp-domain { ipv4-address| ipv6 ipv6-address} [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string { v2c | v3 [ authentication | privacy ] }
snmp-agent target-host trap address udp-domain { ipv4-address| ipv6 ipv6-address} [ udp-port port-number ] [ dscp dscp-value ] [ vpn-instance vpn-instance-name ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]
undo snmp-agent target-host { trap | inform } address udp-domain { ipv4-address| ipv6 ipv6-address} params securityname security-string[ vpn-instance vpn-instance-name ]
FIPS模式下:
snmp-agent target-host inform address udp-domain { ipv4-address| ipv6 ipv6-address} [ udp-port port-number ] [ vpn-instance vpn-instance-name ] params securityname security-string v3 { authentication | privacy }
snmp-agent target-host trap address udp-domain { ipv4-address| ipv6 ipv6-address} [ udp-port port-number ] [ dscp dscp-value ] [ vpn-instance vpn-instance-name ] params securityname security-string v3 { authentication | privacy }
undo snmp-agent target-host { trap | inform } address udp-domain { ipv4-address| ipv6 ipv6-address} params securityname security-string[ vpn-instance vpn-instance-name ]
【缺省情況】
未配置告警主機。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
inform:配置接收Inform報文的目的主機的參數。
trap:配置接收Trap報文的目的主機的參數。
address:指定接收告警信息的目的主機的地址。
udp-domain:指定使用UDP協議來傳輸SNMP告警信息。
ipv4-address:接收告警信息的目的主機的IPv4地址或主機名,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。若使用主機名配置,發送時將獲取主機名對應的IPv4地址,向對應的主機發送告警信息。
ipv6 ipv6-address:接收告警信息的目的主機的IPv6地址或主機名,主機名為1~253個字符的字符串,不區分大小寫,字符串僅可包含字母、數字、“-”、“_”或“.”。若使用主機名配置,發送時將獲取主機名對應的IPv6地址,向對應的主機發送告警信息。若使用IPv6地址配置,則不能為鏈路本地地址。
udp-port port-number:指定目的主機上用來接收告警信息的端口號,缺省值為162。
dscp dscp-value:配置向目的主機發送的Trap報文的DSCP優先級,取值范圍為0~63,缺省值為0。值越大表示優先級越高。DSCP優先級封裝在IP報文中的ToS字段,用來表示報文自身的優先級,設備可根據該優先級決定報文傳輸的優先程度。
vpn-instance vpn-instance-name:指定目的主機所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示目的主機位于公網中。
params securityname security-string:指定認證的參數,security-string為SNMPv1、SNMPv2c的團體名或SNMPv3的用戶名,為1~32個字符的字符串,區分大小寫。
v1:SNMPv1版本。
v2c:SNMPv2c版本。
v3:SNMPv3版本。
authentication:指明對報文進行認證但不加密。認證功能用來驗證報文的完整性或報文是否被篡改等,認證密碼在創建SNMPv3用戶時配置。
privacy:指明對報文進行認證和加密。加密是對報文的數據部分進行加密處理以防信息被竊取,認證密碼和加密密碼在創建SNMPv3用戶時配置。
【使用指導】
根據實際組網需要,用戶可以多次使用該命令配置不同的目的主機的屬性,使得設備可以向多個NMS發送告警信息。
不指定udp-port port-number參數時,使用的端口號為162。162是SNMP協議規定的NMS接收告警信息的端口,通常情況下(比如使用iMC或者MIB Browser作為NMS時),使用該缺省值即可。如果要將該參數修改為其它值,則必須和NMS上的配置保持一致。
不指定v1、v2c、v3版本參數時,使用的版本是v1。設備配置的SNMP版本必須和NMS上運行的SNMP版本一致,否則,NMS將收不到告警信息。
不指定authentication和privacy參數時,使用的是不認證不加密的安全級別。
【舉例】
# 允許向10.1.1.1發送SNMPv3 Trap報文,用戶名為public。
system-view
[Sysname] snmp-agent trap enable standard
[Sysname] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname public v3
【相關命令】
·snmp-agent { inform | trap } source
·snmp-agent trap enable
·snmp-agent trap life
snmp-agent trap enable命令用來開啟SNMP告警功能。
undo snmp-agent trap enable命令用來關閉SNMP告警功能。
【命令】
snmp-agent trap enable [ configuration | protocol | standard [ authentication | coldstart | linkdown | linkup | warmstart ] * | system ]
undo snmp-agent trap enable [ configuration | protocol | standard [ authentication | coldstart | linkdown | linkup | warmstart ] * | system ]
【缺省情況】
SNMP配置告警、標準告警和系統告警功能處于開啟狀態,其他各模塊告警功能是否開啟請參見各模塊手冊。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
configuration:SNMP配置告警信息。配置該參數后,系統會以10分鐘為周期,查看周期內當前運行配置或者啟動配置是否被修改,以及是否有用戶對啟動配置文件進行修改,并將最后一次修改形成一條告警輸出。
protocol:開啟指定協議模塊的SNMP告警功能。用戶可通過執行snmp-agent trap enable ?命令來獲取該參數的取值,有關此參數的詳細介紹,請參見各模塊的命令手冊。
standard:SNMP標準告警信息。包括以下五種:
·?????authentication:NMS訪問設備時認證失敗,輸出SNMP認證失敗的告警信息。
·?????coldstart:當設備重新啟動時,輸出設備冷啟動告警信息。
·?????linkdown:當接口的鏈路down時,輸出linkDown告警信息。
·?????linkup:當接口的鏈路up時,輸出linkUp告警信息。
·?????warmstart:當SNMP模塊重新啟動時,輸出熱啟動告警信息。
system:SNMP系統告警信息。配置該參數后,如果系統時間被修改、系統重啟或系統主用啟動軟件包不可用,均會生成告警信息。
【使用指導】
開啟指定協議模塊的告警功能后,該模塊會生成告警信息,用于報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
不指定可選參數時,表示在全局下開啟/關閉所有可選模塊的告警功能。
【舉例】
# 開啟SNMP認證失敗的告警功能。
system-view
[Sysname] snmp-agent trap enable standard authentication
【相關命令】
·snmp-agent target-host
snmp-agent trap if-mib link extended命令用來對標準格式的linkUp或linkDown告警信息進行私有擴展。
undo snmp-agent trap if-mib link extended命令用來恢復缺省情況。
【命令】
snmp-agent trap if-mib link extended
undo snmp-agent trap if-mib link extended
【缺省情況】
系統發送的linkUp/linkDown告警信息的格式為標準格式,不對其進行私有擴展。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【使用指導】
擴展格式的linkUp/linkDown告警信息由標準格式的linkUp/linkDown告警信息后增加接口描述和接口類型信息構成,使用擴展格式的告警信息有助于網絡管理員快速定位問題。
需要注意的是,配置該命令后,設備發送的linkUp/linkDown告警信息為擴展格式的信息。如果NMS不支持擴展格式,可能會無法解析信息。
【舉例】
# 對標準格式的linkUp/linkDown告警信息進行私有擴展。
system-view
[Sysname] snmp-agent trap if-mib link extended
snmp-agent trap life命令用來配置告警信息的保存時間。
undo snmp-agent trap life命令用來恢復缺省情況。
【命令】
snmp-agent trap life seconds
undo snmp-agent trap life
【缺省情況】
SNMP告警信息的保存時間為120秒。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
seconds:超時時間,取值范圍為1~2592000,單位為秒。
【使用指導】
SNMP模塊使用隊列來發送告警信息,告警信息進入消息發送隊列時會啟動一個存活定時器。如果直到定時器超時(即達到snmp-agent trap life命令配置的時間),告警信息還沒有被發送出去,系統就會將該告警信息從發送隊列中刪除。
【舉例】
# 配置告警信息的保存時間為60秒。
system-view
[Sysname] snmp-agent trap life 60
【相關命令】
·snmp-agent trap enable
·snmp-agent target-host
·snmp-agent trap queue-size
snmp-agent trap log命令用來開啟SNMP告警日志功能。
undo snmp-agent trap log命令用來關閉SNMP告警日志功能。
【命令】
snmp-agent trap log
undo snmp-agent trap log
【缺省情況】
SNMP告警日志功能處于關閉狀態。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【使用指導】
打開SNMP告警日志開關,Agent向NMS發送告警時,Agent會向信息中心模塊發送一條日志來記錄該告警相關的信息。通過配置信息中心的參數,最終決定SNMP告警日志的輸出規則(即是否允許輸出以及輸出方向)。
【舉例】
# 開啟SNMP告警日志功能。
system-view
[Sysname] snmp-agent trap log
snmp-agent trap queue-size命令用來配置告警信息發送隊列的長度。
undo snmp-agent trap queue-size命令用來恢復缺省情況。
【命令】
snmp-agent trap queue-size size
undo snmp-agent trap queue-size
【缺省情況】
告警信息的發送隊列最多可以存儲100條告警信息。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
size:消息隊列中可以存儲的告警信息的數目,取值范圍1~1000。
【使用指導】
告警信息產生后,會進入告警信息消息隊列進行發送,告警信息消息隊列的長度決定了隊列最多可以存儲的告警信息的數目。當告警信息隊列達到設定長度后,最新生成的告警信息會進入消息隊列,最早產生的告警信息被丟棄。
【舉例】
# 配置發送告警信息的消息隊列最多可以存儲200條告警信息。
system-view
[Sysname] snmp-agent trap queue-size 200
【相關命令】
·snmp-agent trap enable
·snmp-agent target-host
·snmp-agent trap life
snmp-agent usm-user { v1 | v2c }命令用來創建SNMPv1或SNMPv2c用戶。
undo snmp-agent usm-user { v1 | v2c }命令用來刪除SNMPv1或SNMPv2c用戶。
【命令】
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name }] *
undo snmp-agent usm-user { v1 | v2c } user-name
【缺省情況】
不存在SNMP用戶。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
v1:表示配置的用戶名適用于SNMPv1組網環境。
v2c:表示配置的用戶名適用于SNMPv2c組網環境。
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應組的名稱,取值范圍為1~32個字符的字符串,區分大小寫。創建用戶時,組可以不存在。但要使創建的用戶生效,必須先創建組。
acl:將用戶名與基本/高級IPv4 ACL綁定。
ipv4-acl-number:表示基本或高級IPv4 ACL的編號,其中基本IPv4 ACL的取值范圍為2000~2999,高級IPv4 ACL的取值范圍為3000~3999。
nameipv4-acl-name:表示基本或高級IPv4 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
acl ipv6:將用戶名與基本/高級IPv6 ACL綁定。
ipv6-acl-number:表示基本或高級IPv6 ACL的編號,其中基本IPv6 ACL的取值范圍為2000~2999,高級IPv6 ACL的取值范圍為3000~3999。
nameipv6-acl-name:表示基本或高級IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
FIPS模式下,不支持本命令。
為了安全起見,只有具有network-admin或者level-15用戶角色的用戶登錄設備后才能執行本命令。其它角色的用戶,即使授權了SNMP特性或本命令的操作權限,也不能執行本命令。
SNMPv1和SNMPv2c組網應用中NMS和Agent之間使用團體名來認證,SNMPv3組網應用中使用用戶名來認證。
用戶有兩種方式創建團體:
·?????使用snmp-agent community命令來創建團體。
·?????配置snmp-agent usm-user { v1 | v2c }和snmp-agent group { v1 | v2c }命令成功創建SNMPv1或SNMPv2c用戶以及相應的組后,系統會以用戶名為團體名自動創建一個團體。該團體的訪問權限可通過snmp-agent community或snmp-agent group { v1 | v2c }命令來修改,最后一次執行的命令生效。
display snmp-agent community會顯示這兩種方式創建的團體的信息。
創建SNMP組和用戶的時候都可以使用acl參數限制非法NMS訪問設備,只有兩個ACL均允許的NMS才能訪問設備。在創建組或用戶時,ACL均遵循以下規則:
·?????當未引用ACL、引用的ACL不存在、或者引用的ACL下沒有配置規則時,允許所有NMS訪問設備。
·?????當引用的ACL下配置了規則時,則只有規則中permit的NMS才能訪問設備,其他NMS不允許訪問設備。
關于ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
【舉例】
# 在SNMP組readCom里創建SNMPv2c用戶userv2c。
system-view
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom
如果NMS需要訪問Agent,則應將NMS的版本號指定為SNMPv2c,Read community選項填寫為userv2c。
# 在SNMP組readCom里創建SNMPv2c用戶userv2c,并且只允許IP地址為1.1.1.1的NMS使用該用戶名訪問Agent,禁止其它NMS使用該用戶名訪問。
system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0.0.0.0
[Sysname-acl-ipv4-basic-2001] rule deny source any
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom acl 2001
# 在SNMP組readCom里創建SNMPv2c用戶userv2c,并且只允許IP地址為1.1.1.2的NMS使用該用戶名訪問Agent,禁止其它NMS使用該用戶名訪問。
[Sysname] acl basic name testacl
[Sysname-acl-ipv4-basic-testacl] rule permit source 1.1.1.2 0.0.0.0
[Sysname-acl-ipv4-basic-testacl] rule deny source any
[Sysname-acl-ipv4-basic-testacl] quit
[Sysname] snmp-agent sys-info version v2c
[Sysname] snmp-agent group v2c readCom
[Sysname] snmp-agent usm-user v2c userv2c readCom acl name testacl
【相關命令】
·snmp-agent group
·snmp-agent community
·dispaly snmp-agent community
snmp-agent usm-user v3命令用來創建SNMPv3用戶。
undo snmp-agent usm-user v3命令用來刪除SNMPv3用戶。
【命令】
非FIPS模式下:
·?????VACM方式:
snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] ] [ { cipher| simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | aes192 | aes256| des56 } priv-password ] ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name }] *
undo snmp-agent usm-user v3 user-name { local | engineid engineid-string | remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] }
·?????RBAC方式:
snmp-agent usm-user v3 user-name user-rolerole-name [ remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] ] [ { cipher| simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | aes192 | aes256 |des56} priv-password ] ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name }] *
undo snmp-agent usm-user v3 user-name { local | engineid engineid-string | remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] }
FIPS模式下:
·?????VACM方式:
snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] ] { cipher| simple } authentication-mode shaauth-password [ privacy-mode { aes128|aes192|aes256} priv-password ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name }] *
undo snmp-agent usm-user v3 user-name { local | engineid engineid-string | remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] }
·?????RBAC方式:
snmp-agent usm-user v3 user-name user-rolerole-name [ remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] ] [ { cipher| simple } authentication-mode? sha auth-password [ privacy-mode { aes128|aes192|aes256} priv-password ] ] [ acl { ipv4-acl-number|nameipv4-acl-name} | acl ipv6{ipv6-acl-number| nameipv6-acl-name }] *
undo snmp-agent usm-user v3 user-name { local | engineid engineid-string | remote { ipv4-address| ipv6 ipv6-address} [ vpn-instance vpn-instance-name ] }
【缺省情況】
不存在SNMPv3用戶。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
group-name:該用戶對應組的名稱,取值范圍為1~32個字符的字符串,區分大小寫。創建用戶時,組可以不存在。但要使創建的用戶生效,必須先創建組。
user-role role-name:該用戶對應的角色名稱,role-name為1~63個字符的字符串,區分大小寫。
remote { ipv4-address| ipv6 ipv6-address}:接收Inform信息的目的主機的IP地址或者IPv6地址,通常為NMS的IP地址或者IPv6地址。當設備需要向目的主機發送SNMPv3 Inform報文時,該參數必須配置,還需要使用snmp-agent remote命令將目的主機的IP地址或者IPv6地址和引擎ID綁定。
vpn-instance vpn-instance-name:目的主機所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示目的主機位于公網中。
cipher:以密文方式配置認證密碼和加密密碼。該密碼將轉換成對應的密文摘要存儲在設備中。
simple:以明文方式配置認證密碼和加密密碼。該密碼將轉換成對應的密文摘要存儲在設備中。
authentication-mode:指定認證算法。不指定該參數時,表示不認證。取值為:
·?????md5:采用HMAC-MD5算法。HMAC-MD5的相關內容請參見“安全配置指導”中的“IPsec”。
·?????sha:采用HMAC-SHA1算法。HMAC-SHA1的相關內容請參見“安全配置指導”中的“IPsec”。
auth-password:表示認證密碼,區分大小寫,具體要求如下:
·?????以明文方式配置時,auth-password表示明文認證密碼:非FIPS模式下,認證密碼的長度范圍是1~64個字符;FIPS模式下,認證密碼的長度范圍是15~64字符,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符)。
·?????以密文方式配置時,auth-password表示密文認證密碼,該密碼可通過snmp-agent calculate-password命令計算獲得。
privacy-mode:指定加密算法。不指定該參數時,表示不加密。取值為:
·?????3des:采用3DES(Triple Data Encryption Standard,三重數據加密標準)算法,密鑰長度為168比特。
·?????aes128:采用AES(Advanced Encryption Standard,高級加密標準)算法,密鑰長度為128比特。
·?????aes192:采用AES算法,密鑰長度為192比特。
·?????aes256:采用AES算法,密鑰長度為256比特。
·?????des56:采用DES(Data Encryption Standard,數據加密標準)算法,密鑰長度為56比特。
priv-password:表示加密密碼,區分大小寫,具體要求如下:
·?????以明文方式配置時,auth-password表示明文加密密碼:非FIPS模式下,密碼的長度范圍是1~64個字符;FIPS模式下,加密密碼的長度范圍是15~64字符,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符)。
·?????以密文方式配置時,auth-password表示密文加密密碼,該密碼可通過snmp-agent calculate-password命令計算獲得。
acl:將用戶名與基本/高級IPv4 ACL綁定。
ipv4-acl-number:表示基本或高級IPv4 ACL的編號,其中基本IPv4 ACL的取值范圍為2000~2999,高級IPv4 ACL的取值范圍為3000~3999。
nameipv4-acl-name:表示基本或高級IPv4 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
acl ipv6:將用戶名與基本/高級IPv6 ACL綁定。
ipv6-acl-number:表示基本或高級IPv6 ACL的編號,其中基本IPv6 ACL的取值范圍為2000~2999,高級IPv6 ACL的取值范圍為3000~3999。
nameipv6-acl-name:表示基本或高級IPv6 ACL的名稱,為1~63個字符的字符串,不區分大小寫。
local:表示本地實體引擎ID。缺省情況下,創建的SNMPv3用戶與本地SNMP實體引擎相關聯。
engineid engineid-string:指定與該用戶相關聯的引擎ID字符串,必須為偶數個十六進制數,偶數的取值范圍為10~64,不區分大小寫。全0和全F均被認為是無效參數。由于SNMPv3版本的用戶名、密文密碼等都和引擎ID相關聯,如果更改了引擎ID,則原引擎ID下配置的用戶名、密碼失效,更改后可以使用該參數將engineid-string指定為創建該用戶時的本地引擎ID來刪除失效用戶名。
【使用指導】
為了安全起見,只有具有network-admin或者level-15用戶角色的用戶登錄設備后才能執行本命令。其它角色的用戶,即使授權了SNMP特性或本命令的操作權限,也不能執行本命令。
創建SNMPv3用戶時,可以通過兩種配置方式來控制用戶訪問的權限:
·?????通過VACM方式配置的SNMP用戶依附于SNMP組,創建用戶時,請先創建組。否則,用戶能夠創建成功但是不生效。一個組可以包含多個用戶。組定義了用戶能夠訪問的SNMP對象(通過MIB視圖來限定)以及是否進行認證和加密等,而認證和加密的具體算法和密碼則是在創建用戶時定義。
·?????通過RBAC方式配置的SNMP用戶依附于用戶角色,創建用戶時,通過user-role
role-name參數配置用戶的角色。用戶角色定義了SNMP用戶能夠訪問的SNMP對象以及操作類型(通過rule規則來限定)。使用RBAC方式創建SNMP v3用戶后,還可以使用snmp-agent usm-user v3 user-role命令為該用戶綁定更多的用戶角色,最多可綁定64個用戶角色。
推薦使用RBAC配置方式,安全性更高。
通過VACM和RBAC方式配置SNMP用戶時,需要注意:
·?????通過VACM方式配置SNMP用戶時,當用戶名相同,多次執行本命令,最后一次執行的命令生效。
·?????通過RBAC方式配置SNMP用戶時,可以多次使用本命令為已創建的SNMPv3用戶添加角色,若未配置其他參數,則其他配置不變,只添加角色;若同時配置其他參數(如認證方式),則為用戶添加角色,同時修改其他配置。
創建SNMP組和用戶的時候都可以使用acl參數限制非法NMS訪問設備,只有兩個ACL均允許的NMS才能訪問設備。在創建組或用戶時,ACL均遵循以下規則:
·?????當未引用ACL、引用的ACL不存在、或者引用的ACL下沒有配置規則時,允許所有NMS訪問設備。
·?????當引用的ACL下配置了規則時,則只有規則中permit的NMS才能訪問設備,其他NMS不允許訪問設備。
關于ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
【舉例】
# VACM方式:為v3組testGroup加入一個用戶testUser,安全級別為只認證不加密,認證算法為HMAC-SHA1,認證密碼為明文123456TESTplat&!。
system-view
[Sysname] snmp-agent group v3 testGroup authentication
[Sysname] snmp-agent usm-user v3 testUser testGroup simple authentication-mode sha 123456TESTplat&!
在NMS上配置:版本號為SNMPv3,用戶名為testUser,認證算法為HMAC-SHA1,認證密碼為123456TESTplat&!,建立連接,就可以對設備上缺省視圖內的MIB對象進行訪問了。
# VACM方式:為v3組testGroup加入一個用戶testUser,安全級別為認證和加密,認證算法為HMAC-SHA1、加密算法為AES,認證密碼為明文123456TESTauth&!,加密密碼為明文123456TESTencr&!。
system-view
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 testUser testGroup simple authentication-mode sha 123456TESTauth&!
privacy-mode aes128 123456TESTencr&!
在NMS上配置:版本號為SNMPv3,用戶名為testUser,認證算法為HMAC-SHA1,認證密碼為123456TESTauth&!,加密算法為AES,加密密碼為123456TESTencr&!,建立連接,就可以對設備上缺省視圖內的MIB對象進行訪問了。
# VACM方式:為v3組testGroup加入一個與IP為10.1.1.1的遠端SNMP實體引擎相關聯的SNMPv3用戶remoteUser,安全級別為認證和加密,認證算法為HMAC-SHA1、加密算法為AES,認證密碼為明文123456TESTauth&!,加密密碼為明文123456TESTencr&!。
system-view
[Sysname] snmp-agent remote 10.1.1.1 engineid 123456789A
[Sysname] snmp-agent group v3 testGroup privacy
[Sysname] snmp-agent usm-user v3 remoteUser testGroup remote 10.1.1.1 simple authentication-mode sha 123456TESTauth&!
privacy-mode aes128 123456TESTencr&!
# RBAC方式:創建一個新的SNMPv3用戶testUser,角色為network-operator,安全級別為只認證不加密,認證算法為HMAC-SHA1,認證密碼為明文123456TESTplat&!。
system-view
[Sysname] snmp-agent usm-user v3 testUser user-role network-operator simple authentication-mode sha 123456TESTplat&!
在NMS上配置:版本號為SNMPv3,用戶名為testUser,認證算法為HMAC-SHA1,認證密碼為123456TESTplat&!,建立連接,就可以對設備上所有MIB對象進行只讀操作。
【相關命令】
·display snmp-agent usm-user
·snmp-agent group
·snmp-agent calculate-password
·snmp-agent remote
·snmp-agent usm-user v3 user-role
snmp-agent usm-user v3 user-role命令用來為通過RBAC方式創建的SNMPv3用戶添加角色。
undo snmp-agent usm-user user-role命令用來為SNMPv3用戶刪除角色。
【命令】
snmp-agent usm-user v3 user-name user-rolerole-name
undo snmp-agent usm-user v3 user-name user-rolerole-name
【缺省情況】
使用創建SNMPv3用戶時指定的角色。
【視圖】
系統視圖
【缺省用戶角色】
network-admin
【參數】
user-name:用戶名,為1~32個字符的字符串,區分大小寫。
user-rolerole-name:該用戶對應的角色名稱,role-name為1~63個字符的字符串,區分大小寫。
【使用指導】
一個RBAC方式配置的SNMPv3用戶可配置多個用戶角色。用戶可以通過本命令來為通過RBAC方式創建的SNMPv3用戶添加與刪除角色,最多可以配置64個有效的用戶角色且至少保留一個用戶角色。
【舉例】
# 已創建SNMPv3用戶testUser擁有network-operato用戶角色,現為用戶testUser添加network-admin用戶角色。
system-view
[Sysname] snmp-agent usm-user v3 testUser user-role network-admin
【相關命令】
·snmp-agent usm-user v3
總結
以上是生活随笔為你收集整理的h3csnmp管理命令_H3C S5500V2-EI系列以太网交换机 命令参考-Release 1118-6W100_网络管理和监控命令参考_SNMP命令-新华三集团-H3C...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android 原理 组合控件_Andr
- 下一篇: vc 获取月份的天数_「青少年编程」课程