SNMP技術背景
隨着設備數量的增加,網絡管理的複雜性也相應提高,這就意味着需要更多的維護支撐人員,增加了設備維護成本,所以就需要一個支持大規模、便捷管理的網管平臺。
每引入一家廠商的網絡設備,就需要引入配套的廠商網管,而目前的廠商網管僅能管理自己廠商的設備,且每個廠商網管的操作界面、管理內容等均不相同,所以要實現對全網進行高效地統一管理,就需要使用一種標準、通用的網絡管理協議(SNMP協議)
SNMP技術原理
SNMP的結構包括網管站NMS(Network Management Station)和Agent兩部分。SNMP協議就是規定NMS和Agent之間如何傳遞管理信息的應用層協議(UDP 162)
SNMP的版本
SNMPv1:方便實現,安全性弱
SNMPv2c:有一定的安全性,現在應用最爲廣泛
SNMPv3:定義了一種管理框架,引入了USM( User Security Model 用戶的安全模型),爲用戶提供了安全的訪問機制
Agent:運行在被管理設備上的代理進程。被管理設備在接收到網管設備側NMS發出的請求後,由Agent作出響應操作。主要功能包括:收集設備狀態信息、實現NMS對設備的遠程操作、向網管端發出告警消息。
MIB:是一個虛擬的數據庫,是在被管理設備端維護的設備狀態信息集。Agent通過查找MIB來收集設備狀態信息。MIB按照層次式樹形結構組織被管理對象,並使用ASN.1格式進行描述。網管中被管資源,而網絡管理中的資源是以對象來表示,每一個對象表示被管資源某一方面的屬性,這些對象的集合形成管理信息庫
MIB給出了一個網絡中所有可能的被管理對象的集合的數據結構。SNMP的管理信息庫採用和域名系統DNS相似的樹型結構,它的根在最上面,根沒有名字。下圖畫的是管理信息庫的一部分,它又稱爲對象命名(objectnamingtree)
SNMP報文交互過程
SNMPV1
SNMPv1定義了五種協議操作:
- Get-Request:NMS從代理進程的MIB中提取一個或多個參數值。
- Get-Next-Request:NMS從代理進程的MIB中按照字典式排序提取下一個參數值。
- Set-Request:NMS設置代理進程MIB中的一個或多個參數值。
- Response:代理進程返回一個或多個參數值。它是前三種操作的響應操作。
- Trap:代理進程主動向NMS發送報文,告知設備上發生的緊急或重要事件。
SNMPV2
SNMPv2c新增了2種協議操作:
- GetBulk:相當於連續執行多次GetNext操作。在NMS上可以設置被管理設備在一次GetBulk報文交互時,執行GetNext操作的次數。
- Inform:被管理設備向NMS主動發送告警。與trap告警不同的是,被管理設備發送Inform告警後,需要NMS進行接收確認。如果被管設備沒有收到確認信息則會將告警暫時保存在Inform緩存中,並且會重複發送該告警,直到NMS確認收到了該告警或者發送次數已經達到了最大重傳次數。
SNMPV3
SNMPv3的實現原理和SNMPv1/SNMPv2c基本一致,主要的區別是SNMPv3增加了身份驗證和加密處理。
- NMS向Agent發送不帶安全參數的Get請求報文,向Agent獲取安全參數等信息。
- Agent響應NMS的請求,向NMS反饋所請求的參數。
- NMS向Agent發送帶安全參數的Get請求報文。
- Agent對NMS發送的請求消息進行認證,認證通過後對消息進行解密,解密成功後,向NMS發送加密的響應。
SNMP配置命令
[Router]snmp-agent //啓動SNMP Agent服務 缺省情況下,未使能SNMP Agent功能 [Router]snmp-agent sys-info version v2c //配置SNMP的版本信息爲SNMPv2c [Router]snmp-agent sys-info contact //如果設備發生故障,設備維護人員可以利用系統維護聯繫信息,及時與設備生產廠商取得聯繫 [Router]snmp-agent sys-info location //配置管理節點的物理位置
snmp-agent community //命令用來配置SNMPv1、SNMPv2c的讀寫團體名
snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } | alias alias-name ]
使用read參數 希望網管在指定視圖下具有隻讀權限(比如級別比較低的管理員)
使用write參數 希望網管在指定視圖下具有讀寫權限時(比如級別比較高的管理員)
如果希望使用該團體名的某些網管,都能擁有視圖Viewdefault的權限,參數mib-view view-name可以省略
[Router] snmp-agent community read public mib-view iso-view //配置設備的讀寫團體名,並通過選擇是否配置mib-view view-name 或acl acl-number,限制網管對設備的訪問權限
[Router] snmp-agent community write private mib-view iso-view
[Router] snmp-agent mib-view iso-view include iso //用來創建MIB視圖 表示該MIB視圖包括該MIB子樹
[Router] snmp-agent target-host trap-paramsname trapnms v2c securityname adminnms //用於配置trap報文的發送參數信息 當需要配置發送trap報文的協議版本 對發送的trap報文是否進行加密參數時
[Router] snmp-agent target-host trap-hostname nms address 172.16.50.253 trap-paramsname Trapnms //用於設置trap報文目的主機的IP地址 那麼設備的trap報文將發送到此IP地址對應的主機上
[Router] snmp-agent trap enable //當用戶希望一次性打開所有模塊的告警開關
[Router] snmp-agent trap source GigabitEthernet0/0/0 //用來指定發送Trap的源接口 最好配置爲本地的loopback地址
eSight軟件
eSight系統是華爲公司研製的新一代面向企業網絡園區、企業分支的運維管理系統,實現對企業資源、業務、用戶的統一管理等功能。
- 輕量級系統,嚮導式安裝;免客戶端,通過瀏覽器隨時隨地管理網絡
- 面向不同客戶提供相應的解決方案
- 多廠商統一管理,採用被廣泛使用的標準網絡管理協議SNMP
eSight安裝
體驗eSight軟件:https://122.112.233.209:31943/portal/index.html?_=1576564942163
第一步:下載ESIGHT軟件
軟件獲取方法:
華爲企業網網站:http://enterprise.huawei.com/cn/
安裝軟件:選擇技術支持 >文檔與軟件下載 > 企業網絡 > 網管與控制器> 產品分類 > eSight > eSight Network > 軟件下載第二步:運行SETUP.BAT
第三步:安裝參數
- IP地址:當前服務器默認的IP地址。如果服務器存在多個IP地址,請在下拉列表中選擇對外可用的IP地址。
- 端口:默認爲8080,如果該端口被佔用,可修改成其他端口號。
- 安裝路徑:eSight軟件的安裝路徑,用戶可手工修改。
第四步:選擇安裝組件
第五步:數據庫服務器參數
- 當數據庫類型爲MySQL時,系統會默認輸入數據庫的用戶名爲root,密碼爲Changeme123。root是MySQL數據庫默認用戶帳戶,即數據庫系統管理員,具有數據庫的最高權限。
- 當數據庫類型爲SQLServer時,並且第一次安裝eSight時,需手工輸入用戶名爲sa,密碼爲Changme123。sa是SQL Server數據庫默認用戶帳戶,即數據庫系統管理員,具有數據庫的最高權限。
- 如果是增量安裝,密碼項爲灰化,無需再次輸入。
第六步:顯示安裝過程進度
第七步:安裝完成
第八步:啓動服務
第九步:IE9首次登錄
地址欄中輸入:http://服務器IP地址:端口號(8080),按Enter
如果是第一次登錄,頁面顯示網站安全證書有問題,繼續瀏覽此網站(不推薦)eSight實驗演示
組網拓撲圖
1.交換機和路由器SNMP配置如下
2.創建SNMP模板 自動發現我們網絡設備
自動發現功能
成功添加四臺網絡設備3.我們可以通過ACL來限制被管理的設備
用acl限制一個網絡設備被eSight發現4.我們可以通過圖形化界面監控網絡設備
以圖形的方式顯示拓撲結構5.在網絡設備上面使能LLDP功能 就可以在監控平臺上看到設備之間的連線
6.監控軟件可以定位我們網絡故障 也可以恢復我們網絡故障
出現故障信息
定位故障信息
定位故障拓撲信息
定位故障拓撲面板信息
定位故障拓撲面板接口信息
恢復故障後
故障告警信息清除7.查看實時性能監控功能
8.查看大屏功能和敏捷報表功能