0103 SNMP故障处理.docx
- 文档编号:12277035
- 上传时间:2023-04-17
- 格式:DOCX
- 页数:20
- 大小:72.11KB
0103 SNMP故障处理.docx
《0103 SNMP故障处理.docx》由会员分享,可在线阅读,更多相关《0103 SNMP故障处理.docx(20页珍藏版)》请在冰豆网上搜索。
0103SNMP故障处理
插图目录
表格目录
3SNMP故障处理
关于本章
本章描述内容如下表所示。
标题
内容
3.1SNMP简介
介绍了进行SNMP故障处理时用户所需的知识要点。
3.2网管无法通过SNMP连接设备故障处理过程
针对典型的SNMP组网环境,介绍配置SNMP遇到网管无法通过SNMP连接设备故障时,要注意的事项,故障处理的流程和详细的故障处理步骤。
3.3路由器无法向网管发送Trap
针对典型的SNMP组网环境,介绍配置SNMP遇到路由器无法向网管发送Trap故障时,要注意的事项,故障处理的流程和详细的故障处理步骤。
3.4故障处理案例
介绍了若干实际的故障处理案例。
3.5FAQ
列出了用户常问的问题,并给出了相应的解答。
3.6故障诊断工具
介绍了进行故障处理所需的故障诊断工具,包括使用display命令和debugging命令、告警信息、日志信息等。
3.1
SNMP简介
3.1.1SNMP基本概念
SNMP
简单网络管理协议(SNMP)是目前网络中应用最为广泛的网络管理协议。
SNMP的结构分为NMStation(NetworkManagementStation)和Agent两部分。
SNMP就是用来规定NMStation和Agent之间是如何传递管理信息的应用层协议。
NMStation
NMStation,是运行客户端程序的工作站。
网管站对网络设备发送各种查询报文,接收来自被管理设备的响应报文及Trap报文,并将结果显示出来。
Agent
Agent是驻留在被管理设备上的一个进程,负责接受、处理来自网管站的Request报文,根据报文类型对管理变量进行Read或Write操作,并生成Response报文,反送给网管站。
另一方面,Agent也会主动向网管站发送Trap报文报告所发生的事件。
3.1.2SNMP的运行过程
NMStation与Agent的关系如图3-1所示。
图3-1NMStation与Agent的关系
运行过程
驻留在被管理设备上的Agent从UDP端口161接受来自网管站的Request报文,经解码、团体名验证等过程,得到管理变量在管理信息库MIB(ManagementInformationBase)树中对应的节点,从相应的模块中得到管理变量的值,再形成Response报文,编码发送回网管站。
网管站得到响应报文后,再经同样的处理,最终显示结果。
Agent接收到报文后,其基本处理过程如下:
●首先解码生成用内部数据结构表示的报文,解码依据ASN.1的基本编码规则,如果在此过程中出现错误导致解码失败则丢弃该报文,不做进一步处理。
●将报文中的版本号取出,如果与本Agent支持的SNMP版本不一致,则丢弃该报文,不做进一步处理。
●将报文中的团体名取出,此团体名由发出请求的网管站填写。
如与本设备认可的团体名不符,则丢弃该报文,不做进一步处理,同时产生一个Trap报文。
●从通过验证的ASN.1对象中提出协议数据单元PDU(ProtocolDataUnit),如果失败,丢弃报文,不做进一不处理。
否则处理该PDU。
●根据不同的PDU,SNMP协议实体将做不同的处理。
通过搜索MIB树,找到管理变量在MIB树中对应的节点,从相应的模块中得到管理变量的值,形成Response报文,进行ASN.1编码后,发回网管站。
●网管站得到响应报文后,经过同样的处理,最终显示结果。
SNMP以Get-Set方式替代了复杂的命令集,利用基本操作演绎出全部操作。
用户可以采用管理信息库标准或按标准的方式来定义自己的MIB。
这样做的好处是:
通过降低占网管系统中大多数的代理部件的管理成,本来降低整个网管系统的成本。
SNMP的基本操作如表3-1所示。
表3-1SNMP的基本操作
操作
功能
Get-request
从某变量中取值
Get-next-request
在表格中取下一项值
Get-response
响应取操作
Set-request
设置具体变量的值
Trap
报告事件信息
3.1.3信息管理库MIB基本概念
MIB概念
管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。
MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。
每一个被管对象在MIB中有一个唯一的标识:
OID。
SNMP的管理信息库采用和域名系统DNS相似的树型结构,它的根在最上面,根没有名字。
MIB结构
MIB树结构如图3-2所示。
图3-1MIB树结构
对象命名树的顶级对象有三个,即ISO、ITU-T和这两个组织的联合体。
在ISO的下面有4个结点,其中的一个(标号3)是被标识的组织。
在其下面有一个美防部(DepartmentofDefense)的子树(标号是6),再下面就是Internet(标号是1)。
在只讨论Internet中的对象时,可只画出Internet以下的子树(图中带阴影的虚线方框),并在Internet结点旁边标注上{1.3.6.1}即可。
在Internet结点下面的第二个结点是mgmt(管理),标号是2。
再下面是管理信息库,原先的结点名是mib。
1991年定义了新的版本MIB-II,故结点名现改为mib-2,其标识为{1.3.6.1.2.1},或{Internet
(1).2.1}。
这种标识为对象标识符。
安全机制
SNMPv2在安全方面的改进被舍弃了,形成了现在常用的SNMPv2c,这显然是一个失误。
SNMPv2c仍然使用SNMPv1的消息包装及其团体(community)的概念。
与SNMPv1和SNMPv2相比,SNMPv3增加了三个新的安全机制:
身份验证,加密和访问控制。
其中,本地处理模块完成访问控制功能,而用户安全模块(UserSecurityModel)则提供身份验证和数据保密服务。
身份验证是指代理(管理站)接到信息时首先必须确认信息是否来自有权的管理站(代理)并且信息在传输过程中未被改变的过程。
实现这个功能要求管理站和代理必须共享同一密钥。
管理站使用密钥计算验证码(它是信息的函数),然后将其加入信息中,而代理则使用同一密钥从接收的信息中提取出验证码,从而得到信息。
加密的过程与身份验证类似,也需要管理站和代理共享同一密钥来实现信息的加密和解密。
下面简要介绍身份验证和加密的数学工具。
SNMPv3使用私钥(privKey)和验证密钥(authKey)来实现这两种功能。
身份验证:
RFC2104中定义了HMAC,这是一种使用安全哈希函数和密钥来产生信息验证码的有效工具,在互联网中得到了广泛的应用。
SNMP使用的HMAC可以分为两种:
HMAC-MD5-96和HMAC-SHA-96。
前者的哈希函数是MD5,使用128位authKey作为输入。
后者的哈希函数是SHA-1,使用160位authKey作为输入。
加密:
采用数据加密标准(DES)的密码组链接(CBC)码,使用128位的privKey作为输入。
3.2网管无法通过SNMP连接设备故障处理过程
本节介绍如下的内容:
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
3.2.1典型组网环境
SNMP典型组网如图3-3所示。
网管无法通过SNMP连接设备故障处理过程,将基于该网络。
图3-1SNMP组网图
●路由器与网管端路由可达。
●在网管站中安装华为网管软件iManagerN2000DMS(DatacommnetworkManagementSystem)组合包。
3.2.2配置注意事项
配置项
子项
注意事项
SNMPAgent
SNMP团体名
作为管理进程和代理进程之间的明文口令,限定网管对路由器操作的权限,并且路由器和网管设备之间需要设置相同的团体名才能实现正常通信。
配置SNMP组和用户
对一个特定的安全模型,一个用户只能属于一个组。
设置MIB视图信息
设置不同的视图实现对不同表的访问。
以下所列的配置命令只包含snmp-agent、community和sys-info相关部分的命令。
详细的配置请参见《VRP配置指南系统管理》。
步骤1配置路由器
#进入系统,启动SNMPAgent,配置版本为SNMPv2c。
[Quidway]snmp-agentsys-infoversionv2c
#设置团体名和访问权限。
[Quidway]snmp-agentcommunityreadpublic
[Quidway]snmp-agentcommunitywriteprivate
#设置管理员联系方法、路由器物理位置和主机名。
(可选)
[Quidway]snmp-agentsys-infocontactMr.Wang-Tel:
3306
[Quidway]snmp-agentsys-infolocationtelephone-closet,3rd-floor
[Quidway]sysnamesysadm
步骤2配置NMStation
在网管站中安装华为网管软件iManagerN2000DMS(DatacommnetworkManagementSystem)组合包,并在网管软件中进行SNMP协议的配置,之后就可以实现对路由器的管理。
iManagerN2000DMS组合包的配置和使用请参考《HUAWEIiManagerN2000DMS-组合包用户手册第二分册》。
----结束
3.2.3故障诊断流程
针对图3-3所示的网络,在配置路由器和网管后,网管无法连接代理。
请使用下面的故障诊断流程图如图3-4所示。
图3-1网管无法连接Agent故障处理流程图
3.2.4故障处理步骤
步骤1检查物理连接是否正常
步骤2检测链路工作是否正常
在命令行检查IP地址为10.1.1.1的接口是否进入UP状态。
*down:
administrativelydown
(l):
loopback
(s):
spoofing
InterfaceIPAddressPhysicalProtocolDescription
Atm1/1/0unassigneddowndownHUAWEI,Quidway
Atm2/1/03.3.3.3downdownHUAWEI,Quidway
Ethernet1/0/010.1.1.1upupHUAWEI,Quidway
Ethernet1/2/0unassigneddowndownHUAWEI,Quidway
Ethernet2/0/01.0.2.1upupHUAWEI,Quidway
Ethernet2/2/02.2.2.2downdownHUAWEI,Quidway
Ethernet3/2/0unassigneddowndownHUAWEI,Quidway
Ethernet4/2/0unassigneddowndownHUAWEI,Quidway
Pos3/1/0unassigneddowndownHUAWEI,Quidway
Pos4/1/0unassigneddowndownHUAWEI,Quidway
Serial3/0/0:
0unassigneddowndownHUAWEI,Quidway
步骤3使用Ping检测网管和路由器是否可达
在路由器端Ping网管地址是否可以连通;在网管端Ping路由器地址是否可以连通。
如无法Ping通需要检查路由器和网管之间的线路是否工作正常或路由配置是否正确。
步骤4检测路由器端是否正确配置SNMP
查看SNMP的相关配置信息。
如果配置的是SNPMv1或SNMPv2c版本
●请重新配置团体名。
●请重新配置MIB-VIEW。
●请重新配置ACL。
如果配置的是SNMPv3版本
●请重新配置团体名。
●请重新配置MIB-VIEW
●请重新配置ACL。
●请重新配置组名。
●请重新配置用户名。
●请重新配置验证的方式及密码。
步骤5检测网管软件的配置是否正确。
网管软件的配置请参见《HUAWEIiManagerN2000DMS-组合包用户手册第二分册》。
如果网管软件仍然无法连接路由器,此时需要联系华为的技术支持工程师。
----结束
3.3路由器无法向网管发送Trap
本节介绍如下的内容:
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
3.3.1典型组网环境
SNMP典型组网如图3-3所示。
路由器和网管端路由器可达,在网管站中安装华为网管软件iManagerN2000DMS(DatacommnetworkManagementSystem)组合包。
网管端路由器无法向网管发送Trap将基于该网络。
3.3.2配置注意事项
配置项
子项
注意事项
配置SNMPAgent
SNMP-AgentTrap使能
只有使能了SNMP的Trap功能后,路由器才能向网管发送Trap信息。
配置Trap主机
只有设置了正确的Trap地址后,路由器才能向正确的地址发送Trap信息。
以下所列的配置命令只包含SNMP-Agent、COMMUNITY和SYS-INFO相关部分的命令。
详细的配置请参见《VRP配置指南系统管理》。
步骤1配置路由器
#进入系统,启动SNMPAgent,配置版本为SNMPv2c。
[Quidway]snmp-agentsys-infoversionv2c
#设置团体名和访问权限。
[Quidway]snmp-agentcommunityreadpublic
[Quidway]snmp-agentcommunitywriteprivate
#设置管理员联系方法、路由器物理位置和主机名。
(可选)
[Quidway]snmp-agentsys-infocontactMr.Wang-Tel:
3306
[Quidway]snmp-agentsys-infolocationtelephone-closet,3rd-floor
[Quidway]sysnamesysadm
#配置Trap功能。
[Quidway]snmp-agentTrapenable
[Quidway]snmp-agentTrapsourceEthernet1/0/0
[Quidway]snmp-agenttarget-hosttrapaddressudp-domain129.102.149.23paramssecuritynamepublic
步骤2配置NMSStation
在网管站中安装华为网管软件iManagerN2000DMS(DatacommnetworkManagementSystem)组合包,并在网管软件中进行SNMP协议的配置,之后就可以实现对路由器的管理。
iManagerN2000DMS组合包的配置和使用请参见《HUAWEIiManagerN2000DMS-组合包用户手册第二分册》。
----结束
如果路由器仍然无法发送Trap信息,此时需要联系华为的技术支持工程师。
3.3.3故障诊断流程
路由器无法向网管发送Trap信息
针对图3-3所示的网络。
请使用下面的故障诊断流程图如图3-5所示。
图3-1路由器无法向网管发送Trap信息故障处理流程
3.3.4故障处理步骤
步骤1检测网络物理连接是否正常
步骤2检测链路工作是否正常
在命令行检查IP地址为10.1.1.1的接口是否进入UP状态。
*down:
administrativelydown
(l):
loopback
(s):
spoofing
InterfaceIPAddressPhysicalProtocolDescription
Atm1/1/0unassigneddowndownHUAWEI,Quidway
Atm2/1/03.3.3.3downdownHUAWEI,Quidway
Ethernet1/0/010.1.1.1upupHUAWEI,Quidway
Ethernet1/2/0unassigneddowndownHUAWEI,Quidway
Ethernet2/0/01.0.2.1upupHUAWEI,Quidway
Ethernet2/2/02.2.2.2downdownHUAWEI,Quidway
Ethernet3/2/0unassigneddowndownHUAWEI,Quidway
Ethernet4/2/0unassigneddowndownHUAWEI,Quidway
Pos3/1/0unassigneddowndownHUAWEI,Quidway
Pos4/1/0unassigneddowndownHUAWEI,Quidway
Serial3/0/0:
0unassigneddowndownHUAWEI,Quidway
步骤3使用Ping检测网管和路由器是否可达。
在路由器端Ping网管地址是否可以连通;在网管端PING路由器地址是否可以连通。
如无法Ping通需要检查路由器和网管之间的路由配置是否正确。
步骤4检测路由器端是否正确配置SNMP
查看SNMP的相关配置信息。
如果配置的是SNMPv1或SNMPv2c版本
●请重新配置团体名。
●请重新配置MIB-VIEW。
●请重新配置ACL。
如果配置的是SNMPv3版本
●请重新配置组名。
●请重新配置用户名。
●请重新配置验证的方式及密码。
●请重新配置MIB-VIEW。
●请重新配置ACL。
如果Trap没有使能,请使能Trap功能。
[Quidway]snmptrapenable
如果Trap主机配置地址配置错误,重新配置Trap主机地址。
[Quidway]snmp-agenttarget-hostTrapaddressudp-domain129.102.149.23paramssecuritynamepublic[v1|v2c|v3]
步骤5检测网管软件的配置是否正确
网管软件的配置请参见《HUAWEIiManagerN2000DMS-组合包用户手册第二分册》。
----结束
如果网管软件仍然无法连接路由器,此时需要联系华为的技术支持工程师。
3.4故障处理案例
本节介绍如下常见的故障处理案例。
●网络中的设备不能通过网管传输配置文件和映象文件
●网管端接收不到SNMPv2cTrap消息
●网管端接收不到SNMPv3Trap消息
3.4.1网络中的设备不能通过网管传输配置文件和映象文件
网络环境
路由器通过网管传输配置文件和映像文件。
组网图如下图3-6。
图3-1SNMPAgent案例组网图
在RouterA端和RouterB端配置的是SNMPv2c,在网管端进行了相应的配置后,发现路由器A无法通过网管传输配置文件和映像文件,路由器B可以正常进行配置文件和映像文件的传输。
故障分析
在路由器APing网管主机可以Ping通,在网管主机端Ping路由器A也可以Ping通,网络连接没有问题。
使用debuggingsnmp-agentpacket命令查看网管端进行的操作,网管端只是进行了GetRquest操作,没有进行SetRequest操作。
网管端如何来完成SetRequest操作呢?
需要在路由器端设置团体名为写,使用displaysnmp-agentcommunity查看只是设置了团体名为读,没有设置团体名为写,配置团体名为写后,可以正常传送文件。
路由器B使用此方法后可以正常传送文件。
处理步骤
在路由器A中执行如下的步骤。
步骤1在路由器端Ping网管主机地址可以Ping通,在网管主机Ping路由器A地址也可以Ping通。
步骤2执行命令debuggingsnmp-agentpacket,命令查看网管端进行的操作。
步骤3执行命令displaysnmp-agentcommunity,查看团体名的设置。
步骤4执行命令quit,退回到用户视图。
步骤5执行命令save,保存对配置的修改。
步骤6在网管端进行相应写团体名的设置。
----结束
完成上述操作后,路由器端A可以和网管软件正常传送文件,故障排除。
案例总结
在路由器端配置SNMPAgent时,需要根据网管端的需要对团体名进行相关配置。
3.4.2网管端接收不到SNMPv2cTrap消息
网络环境
网管端对路由器进行管理的典型组网图如图3-7所示。
图3-1SNMPTrap案例组网图
设备端和网管端都配置为SNMPv2c,网管端可以对设备进行正常的访问,在设备上由于端口状态的变化,致使主动向网管服务器发送Trap信息时,网管端无法接收到相应的告警信息。
故障分析
网管对路由器的有效监控,除了定期查询路由器的状态信息,路由器在出现重要的情况时如接口的状态变化,都会主动给网管发送报文信息,网管根据得到的情况,采取相应的措施。
在出现设备的接口的变化时,网管没有显示相应的告警信息的情况时,可以在登录到路由器,查看是否已经正确使能Trap,配置的Trap发送的目标地址是否是网管端的地址。
通过检测后,发现路由器配置的Trap发往的目的主机地址不是网管的地址,配置目的地址为网管端的地址后,网管仍然无法接收Trap信息;检测在网管端配置的路由器发送Trap报文的源端口和路由器中配置的发送Trap的源端口是否一致,发现设置的端口不一致,把网管端配置的端口和路由器配置的端口调整为一致,在Trap消息得到触发后,网管端可以正常接收路由器端发送的Trap消息,问题解决。
处理步骤
在路由器上执行以下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令snmp-agenttarget-hosttrapaddressudp-domainip-address[vpn-instancevpn-instance-name]paramssecuritynamesecurity-stringv2c,配置路由器发送Trap消息的目标地址为网管端地址。
步骤3退回到用户视图,执行命令save,保存对配置的修改。
步骤4在网管端配置网管接收路由器指定端口发送Trap的消息,所指定的端口需要路由器配置的发送消息的源端口保持一致。
----结束
完成上述操作后
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0103 SNMP故障处理 SNMP 故障 处理