资源描述
数据网主流设备配置指南
各厂商syslog配置的事件级别以及local设置见下表:
厂商
event级别
local设置
Juniper
info
1
cisco
warning
2
华为
warning
3
港湾
warning
5
一 CISCO设备
1.1设置IOS设备(路由器)
在IOS的Enable状态下,敲入config terminal 进入全局配置状态
Cdp run 启用CDP(Cisco Discovery Protocol)
snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXX
snmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置)
logging on 起动log机制
logging IP-address-server将log记录发送到本地采集器地址上
logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)
logging trap warning 将发送的记录事件定义为warning以上.
logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址,则请将该IP地址指向提供给综合网管的管理地址)
service timestamps log datetime 发送记录事件的时候包含时间标记
保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。
1.2设置CatOS设备(交换机)
在CatOS的Enable状态下,敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID,IP地址,子网掩码
Set cdp enable all 启用CDP
set snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXX
set snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXX
set logging enable 起动log机制
set logging server IP-address-server将log记录发送到本地采集器地址上
set logging level 4将发送的记录事件定义为warning以上.
set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)
set logging timestamp 发送记录事件的时候包含时间标记
保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。
a) Snmp和trap配置方法:
#config terminal
#snmp-server enable traps snmp
#snmp-server enable traps bgp
#snmp-server enable traps config
#snmp-server enable traps syslog
#snmp-server enable traps envomon
#snmp-server host 10.101.19.20 <ro community>
#snmp-server host 10.101.19.20<ro community>
#snmp-server community <ro community> RO xxx(此处xxx为接入控制列表号)
b) Syslog配置方法:
#conf t
#logging trap debugging
#logging 10.101.19.20
#logging facility local7
[注]具体设备的命令方法可能略有不同,可针对具体设备配置调整。
二 Juniper设备
# set system processes snmp enable
# set snmp community mysnmp clients X.X.X.X/掩码 使用如下命令来限制SNMP的访问客户端
# set snmp community XXXXX authorization read-only
# set system syslog host采集器地址any warning
# set system syslog host 采集器地址 interactive-commands
配好后能看到 host 采集器地址 {
any info;
interactive-commands any;
a) Snmp配置方法:
先执行 edit snmp,下文描述该层次下的配置命令
To configure SNMP, you include statements at the [edit snmp] hierarchy level of the
configuration.
snmp {
description description; #系统描述
location location; #位置信息(例如shijiazhuang)
contact contact; #联系信息
interface [ interface-names ]; #缺省为所有的接口都可访问
community community-name { #通信字串(相当于密码认证)
authorization authorization; #该通信字串的权限(可为read-only或read-write)
clients {
default restrict; #该句表明未在下面列出的IP都是被限制的
XXX.XXX.XXX.XXX/MaskLen #此处定义允许访问的IP,希望以下地址能够访#问到:211.137.82.163 10.101.19.20;
}
}
trap-group group-name { #定义组名
categories category; #定义trap类型,例如link startup …中间以空格分隔
targets {
address; #接受trap的主机地址(此处应为211.138.4.26)
}
version version; # 例如version v2
}
}
b) Syslog配置方法:
syslog {
file filename {
facility level ;
archive {
files number ;
size size ;
(world-readable | no-world-readable);
}
}
host hostname {
facility level ;
facility-override local5;
log-prefix string;
}
#只有该部分需要配置
user (username | *) {
facility level ;
}
console {
facility level ;
}
archive {
files number ;
size size ;
(world-readable | no-world-readable);
}
}
三 中兴设备
T16C
Snmp set target 采集器地址 community 采集字符串 status enable 版本号
如:snmp set target X.X.X.X community XXX status enable v2c
system set syslog level info buffer-size 200 server 127.0.0.1
T64G路由器
Snmp-server enable inform
Snmp-server host采集器地址 inform version 2c 采集字符串
Syslog on
Syslog level warnings
Syslog server 采集器地址
T160
snmp-server community 读串 view AllView ro
snmp-server host采集机地址 trap version 2c 读串 udp-port 162
ZXR10 ROS Version V4.6.02B
ZXR10 T160G Software, Version V2.6.02B.19.P01, RELEASE SOFTWARE
四 华为设备
Snmp-agent
Snmp-agent sys-info version all
snmp-agent community read/write XXXXX
Snmp-agent target-host address udp-domain 采集器地址 udp-port 161 params securityname public
a) Snmp和trap配置方法:
snmp-server community
设置团体名及访问权限。
snmp-server community { ro | rw } community-name (例如:ScCmCCNNMro)
【参数说明】
community-name为团体名,类型为字符串。
ro和rw表示该团体的访问权限有只读(read-only)和读写(read-write)两种。
snmp-server enable traps
禁止或允许系统发送Trap。
snmp-server host
设置Trap目标主机的IP地址。
snmp-server host 10.101.19.20
b) Syslog配置方法
logging on
用于设置系统日志功能。
(1)启动系统日志功能
logging host
用于设置向日志主机输出日志信息。
(2)设置日志主机的IP地址
logging host 10.101.19.20
(3)设置向日志主机输出日志信息的级别
logging host level (希望是4)
logging facility local3
表1-2 日志消息级别
级别
描述
0 - emergency
系统不可用
1 - alert
需要采取紧急行动
2 - critical
紧急的情况
3 - error
错误的情况
4 - warning
警告的情况
5 - notification
正常的,但是重要的情况
6 - informational
提示性的信息
7 - debugging
调试信息
五 MA5200E
1、增加一个工作站
MA5200E#nms
<name>:ZZNodeNMS //网管系统名称
<ip-address>:211.138.4.26 //网管机IP
<mask>:255.255.255.224 //子网掩码
<get-community>[public]:hebei_nmc //指定只读串
<set-community>[private]:private //指定写串
<style>{inband, outband}[outband]:inband //确保使用inband
2、激活网管工作站
MA5200E#active nms
<name>[<= 15 chars]: ZZNodeNMS
<style>{inband,outband}:inband
MA5200E#
或者不输入网管工作站的名字,输入IP 地址:
MA5200E#active nms
<name>[<= 15 chars]:
<ip-address>:211.138.4.26
<style>{inband,outband}:inband
MA5200E#
五 中泽设备
1. 打开IE浏览器,直接输入设备IP地址,以Web方式登录设备,(仅限IE浏览器5.5版本,6.0版本不能登录)
2. 在用户输入框输入“root”,在密码输入框输入“dx@8882156”;
3. 选择Snmp configuration
4. 配置3 SNMP Trap Setup: snmp trap 选enable;snmp trap severity选error
5. 配置4 SNMP Trap Manager IP Address Registration:add 10.135.84.3
六 NET DDN设备
1, 登陆系统
通过telnet 登录到NET DDN节点机网关所在节点;输入口令;如 netop/takecare
选择 6. Connect to a CPU in this node 后输入网关所在节点 如D0N2C 在输入一次口令就进入对控制卡的配置,选择1. Operator Interface就可以进行配置开发了。
2, 设置访问许可
要使访问工作站能够通过NET DDN节点机的网关访问NET 网络资源,必须在NET DDN网关节点机的上的访问接入列表上加入工作站的IP地址。
操作如下:命令模式下输入
NORMAL->选择1(CONFIGURATION)--〉再选择2(MODIFY)—〉再选择15,IPA (IP ACCESS) à 输入访问工作站的IP地址即可,也可根据如下步骤来查看你是否设置了该工作站的访问列表:
NORMAL->选择1(CONFIGURATION)--〉再选择1(QUERY)—〉再选择18,IPA (IP ACCESS)
通过这一步的设置,应该能够保证工作站对各个节点机之间的TCP/IP的访问了,但是如果要访问节点机的SNMP的agent 还必须如下的设置。
3, 设置对接点机snmp agent的访问。
命令模式下输入
>install snmp
选择节点机如: N22
选择参数:主要设置的参数有:
[ 1] AUTH MANAGER
[ 2] COMMUNITY STRINGS
选择<1>设置访问IP及要访问工作站的IP地址。如192.0.1.5
还需设置的参数有:
[ 1] MANAGER IP ADDRESS = 192.0.1.5
[ 2] USER-FRIENDLY NAME =
[ 3] THIRD PARTY MANAGER = N
[ 4] ENABLE REPORTING = N
[ 5] TRAP COMMUNITY STRING = PUBLIC
[ 6] RECEIVE ENTERPRISE-SPECIFIC TRAPS = NY
[ 7] TRAPS TO RECEIVE = T1S1-102 T37S1-4&10-18&40 T39S1-3
再分别选择各个参数进行设置。
其中[1]既为刚才你已设置的IP
[2]友好用户名称,可不管
[3]是否允许第三方管理,我们应该将它设置YN
[4]支持报告功能,可不理它
[5]TRAP也就是跟踪的一个访问字串,可根据你的需要设置,但是千万注意此访问字串并不是我们通常所说的通信字串。
[6][7]都可按默认设置。
保存退出到上一个功能,操作步骤为,回车,选择YES,再选择YES
选择<2>设置COMMUNITY STRINGS
这个才是我们所说的通信字串.但是设置之前最好先看看你刚才设置的工作地址在该节
点机访问列表的位置,根据位置设置该通信字串既可。操作步骤为选择98 察看所有访问列表。回到上一个功能设置,设置共有串à选择“i0”à选择“串名”—>选择“IP地址”à选择“read only”;à回车,回车后回到选择主菜单;
最后选择99退出后完成对promina400的配置。
其他常用命令有:
>? 得到命令的全集。
>?命令 得到命令的解释。
>QUERY SNMP 查询SNMP配置。
>MOD SNMP 修改SNMP配置。
>ENABLE FEA 厂商KEY:g2b1h1g
七 Shasta设备
登陆网管
编辑snmp profile,添加trap接受IP地址,并且enable。端口默认162,不必修改。
在设备管理选项中,确保设备使用的是对应的snmp profile。
八 DLINK设备
telnet到dlink设备上,输入用户和密码(sjtx/sjtx)后进入主界面,选择snmp manager configuration:
输入接收trap的服务器的地址后,按apply应用后起作用。
返回主界面,按“save changes”保存设置,配置完成。
九 瑞斯康达设备
进入瑞斯康达网管界面,右健点击控制卡,选择snmp的设置即可。
十 烽火设备
telnet到设备上,输入密码“12345”进入普通模式,在输入en进入超级用户模式
Fengine$en
Fengine#confi
Fengine(config)#snmp community XXX ro/rw
Fengine(config)#snmp trap A.B.C.D v1v2
Fengine(config)#exit
Fengine#wr t
完成配置并保存。
十一 主机设备
主机的配置根据操作系统的不同进行不同的配置,windows系列的采用系统自带的管理工具进行管理,UNIX操作系统上安装netsnmp这个agent来进行采集。配置如下:
Win2000操作系统
注:需要Windows pack4上的某些文件,预先准备好window安装盘。
1. 开始->设置->控制面板;
2. 进入“添加/删除程序”;
3. 选择“添加/删除Windows组件”,进入“windows组件向导”,选择“管理和监视工具”,点击详细信息;
4. 选中“简单网络管理协议”;
5. “确定”后点击“下一步”直至完成安装;
完成上述配置后,采集服务器通过161端口由SNMP协议进行采集。
UNIX操作系统
目录结构:
把netsnmp包放到/usr目录下
netsnmp/bin(包含应用程序snmpd和启动文件snmpd.start,启动前修改snmpd.start中的主机名和端口)
/etc(包含snmpd.conf,需要根据主机的实际情况做配置,见下实例)
/lib(包含libz.so.1)
snmpd.conf配置实例
###############################################################################
#
# snmpd.conf:
# An example configuration file for configuring the ucd-snmp snmpd agent.
#
###############################################################################
#
# This file is intended to only be as a starting point. Many more
# configuration directives exist than are mentioned in this file. For
# full details, see the snmpd.conf(5) manual page.
#
# All lines beginning with a '#' are comments and are intended for you
# to read. All other lines are configuration commands for the agent.
###############################################################################
# Access Control
###############################################################################
# As shipped, the snmpd demon will only respond to queries on the
# system mib group until this file is replaced or modified for
# security purposes. Examples are shown below about how to increase the
# level of access.
# By far, the most common question I get about the agent is "why won't
# it work?", when really it should be "how do I configure the agent to
# allow me to access it?"
#
# By default, the agent responds to the "public" community for read
# only access, if run out of the box without any configuration file in
# place. The following examples show you other ways of configuring
# the agent so that you can change the community names, and give
# yourself write access to the mib tree as well.
#
# For more information, read the FAQ as well as the snmpd.conf(5)
# manual page.
####
# First, map the community name "public" into a "security name"
限定某些IP地址的主机可以通过community字段采集部署了netsnmp程序。
# sec.name source community
com2sec public 202.96.103.49 public
com2sec public 202.96.103.50 public
com2sec public 172.16.10.3 public
com2sec public 172.16.10.4 public
####
# Second, map the security name into a group name:
将这些主机归属到组中分别对应不通的snmp版本。
# groupName securityModel securityName
group public v1 public
group public v2c public
####
# Third, create a view for us to let the group have rights to:
限制可以采集mib树中的那些值。
# Make at least snmpwalk -v 1 localhost -c public system fast again.
# name incl/excl subtree mask(optional)
view public included .1.3.6.1.4.1.2021
view public included .1.3.6.1.2.1
####
# Finally, grant the group read-only access to the systemview view.
批准以只读的方式访问
# group context sec.model sec.level prefix read write notif
access public "" any noauth exact public none none
###############################################################################
# disk checks
#
# The agent can check the amount of available disk space, and make
# sure it is above a set limit.
# disk PATH [MIN=100000]
#
# PATH: mount path to the disk in question.
# MIN: Disks with space below this value will have the Mib's errorFlag set.
# Default value = 100000.
# Check the / partition and make sure it contains at least 10 megs.
设定硬盘的mount点
disk / 10000
disk /export/home0 10000
###############################################################################
# load average checks
#
主机系统的采集通过在主机上安装netsnmp代理来获取主机的信息。
硬盘利用率,内存利用率以及cpu利用率,交换区利用率通过UCD-SNMP-MIB.MY文件进行采集,硬件利用率在采集之前对snmpd.conf文件进行配置,根据机器的配置情况,有几个硬盘就将几个硬盘配置上去,配置方式见配置文件。在配置好snmpd.conf文件后运行/usr/local/sbin/snmpd –L –c ../bin/snmpd.conf启动snmp代理。
由于监控的设备为用户的DNS服务器,怎么样做安全的限制是重要的因素,我们分三层来做限制,第一,只有我的采集器202.96.103.49和202.96.103.50可以通过net_snmp来采集信息,第二,限制采集器只能读所需的信息,对任何OID都没有修改的权限,第三,采集器只能采集有限的几颗树的OID,其它树没有采集的权限。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
