《网络系统建设与运维》课件-第9章 网络管理

第9章网络管理学习目标熟悉网络设备密码恢复熟悉SNMP基本概念掌握SNMP基本配置网络管理认识网络管理协议SNMP的简单应用网络设备的密码恢复Console登录密码的配置Console登录密码的恢复SNMP简介SNMP架构SNMP版本SNMP协议结构SNMP配置流程SNMP配置命令SNMPv1的简单应用SNMPv3的简单应用一、Console登录密码的配置1、Console密码的作用可网管网络设备通常都存在一个Console接口，默认情况下，用户无需验证即可通过Console用户界面登录网络设备并对网络设备进行配置。为确保设备的安全性，管理员会配置Console登录的密码。一、Console登录密码的配置1、配置案例（1）V100R002版本的S5700交换机设备，设置Console用户界面为密码验证且密码为12345678<Huawei>system-view[Huawei]user-interfaceconsole0[Huawei-ui-console0]authentication-modepassword[Huawei-ui-console0]setauthenticationpasswordcipher12345678进入Console用户界面视图设置Console用户验证方式为密码验证方式验证密码为12345678设置密码保存格式为密文一、Console登录密码的配置（2）V200R003版本的AR2220路由器设备，设置Console用户界面为密码验证且密码为12345678<Huawei>system-view[Huawei]user-interfaceconsole0[Huawei-ui-console0]authentication-modepasswordPleaseconfiguretheloginpassword(maximumlength16):进入Console用户界面视图设置Console用户验证方式为密码验证方式要求输入密码二、Console登录密码的恢复1、Console密码恢复的重要性丢失了预先设置好的Console登录密码，用户将无法通过本地方式登录设备。2、Console密码恢复的手段用户可通过BootROM（BootRead-OnlyMemory，启动程序只读存储器）菜单清除Console登录密码。3、Console登录密码恢复的注意事项对于不同内核版本的网络设备，BootROM管理界面中的选项会有所不同。二、Console登录密码的恢复4、配置案例（1）S5700交换机的Console登录密码恢复设备上电或重启进入设备启动过程。按【Ctrl+B】键进入BootROM菜单。选择“5.Enterfilesystemsubmenu”，进入文件系统子菜单。进入文件系统子菜单后，选择“4.Renamefilefromflash”，把默认配置文件vrpcfg.zip（存储设备配置的文件）改为其他名称，例如：vrptest.zip。重启后进入交换机，此时交换机恢复为出厂的默认配置。此时需要把改名后的文件vrptest解压缩为vrpcfg.bat。<Huawei>unzipvrptestvrpcfg.bat二、Console登录密码的恢复进入系统视图执行【executevrpcfg.bat】命令调用原有的配置。进入Console用户界面执行修改。通过【save】命令保存配置为vrpcfg.zip。<Huawei>system-view[Huawei]executevrpcfg.bat[Huawei]user-interfaceconsole0[Huawei-ui-console0]undoauthentication-mode//取消密码验证[Huawei-ui-console0]return//返回用户视图<Huawei>save//保存配置Thecurrentconfigurationwillbewrittentothedevice.Continue?[Y/N]:yInfo:Pleaseinputthefilename(*.cfg,*.zip)[vrpcfg.zip]:vrpcfg.zip确认是否保存输入要保存的名称二、Console登录密码的恢复通过【reboot】命令重启交换机，交换机将保持配置（除Control登录密码外）。<Huawei>rebootInfo:Thesystemiscomparingtheconfiguration,pleasewait.Warning:Alltheconfigurationwillbesavedtothenextstartupconfiguration.Continue?[y/n]:y

Itwilltakeseveralminutestosaveconfigurationfile,pleasewait.......ConfigurationfilehadbeensavedsuccessfullyNote:TheconfigurationfilewilltakeeffectafterbeingactivatedSystemwillreboot!Continue?[y/n]:yInfo:systemisrebooting,pleasewait...确认是否保存配置，这里选择y表示“是”确认是否重启，这里选择y表示“是”二、Console登录密码的恢复（2）AR2220路由器的Console登录密码恢复设备上电或重启进入设备启动过程。在启动过程中出现【PressCtrl+BtoenterBOOTROMmenu...0】提示后，按【Ctrl+B】键进入BootROM菜单。PressCtrl+BtoenterBOOTROMmenu...0password:密码输入BootROM密码，默认密码是Admin@二、Console登录密码的恢复选择“7.Clearpasswordforconsoleuser”菜单项，进入清除Console登录密码的程序。BOOTROMMENU1.Bootwithdefaultmode2.Enterserialsubmenu3.Enterstartupsubmenu4.Enterethernetsubmenu5.Enterfilesystemsubmenu6.ModifyBOOTROMpassword7.Clearpasswordforconsoleuser8.RebootEnteryourchoice(1-8):7

输入7表示选择第7个菜单项二、Console登录密码的恢复确认执行清除Console登录密码的程序。选择“1.Bootwithdefaultmode”菜单项，按默认模式启动设备，完成清除Console密码任务。Note:Clearpasswordforconsoleuser?YesorNo(Y/N):yClearpasswordforconsoleusersuccessfully.Choose"1"toboot,thensetanewpasswordNote:Donotchoose"Reboot"orpoweroffthedevice,otherwisethisoperationwillnottakeeffectEnteryourchoice(1-8):1这里需要按y表示确认

输入1表示选择第1个菜单项三、SNMP简介1、SNMP是什么SNMP是TCP/IP协议簇的一个应用层协议，它定义一个与网络设备交互的简单方法，业界几乎所有的网络设备都支持SNMP协议，被广泛应用于TCP/IP网络中管理和监控网络设备。因此，SNMP协议提供了一种通过网络管理系统（NMS，NetworkManagementSystem）来管理大量网络设备的方法。四、SNMP架构1、SNMP协议使用C/S（Client/Server）架构，具体包括网络管理软件NMS、代理进程Agent和管理信息库MIB。四、SNMP架构2、SNMP定义好的操作类型操作发起方作用GetRequestNMS此操作可以从Agent中提取一个或多个参数值。GetNextRequestNMS此操作可以从Agent中按照MIB字典序提取下一个参数值。SetRequestNMS此操作可以设置Agent的一个或多个参数值。GetBulkRequestNMSGetBulk操作可实现NMS对Agent设备的信息群查询。ResponseAgentResponse操作可以返回一个或多个参数值。这个操作是由Agent发出的，它是GetRequest、SetRequest、GetNextRequest和GetBulkRequest四种操作的响应操作。Agent接收到来自NMS的Get/Set指令后，通过MIB完成相应的查询/修改操作，然后利用Response操作将信息回应给NMS。TrapAgentAgent主动向NMS发出的信息，告知管理进程设备端出现的情况。InformRequestAgentAgent主动向NMS主动发送的告警信息。与Trap告警不同的是，Agent设备发送Inform告警后，需要NMS回复InformResponse来进行确认。四、SNMP架构3、管理信息库MIB与其结构

OID为.2.1.1

OID为.2.1.2五、SNMP版本1、SNMP有多个版本，分别是SNMPv1、SNMPv2c、SNMPv3。版本支持特性应用场景特点SNMPv1支持基于团体名和MIBView进行访问控制；支持基于团体名的认证；支持6个错误码；支持Trap告警；适用于小型网络，组网简单，对网络安全性要求不高或者网络环境本身比较安全，且比较稳定的网络，比如校园网，小型企业网。实现方便，安全性弱。SNMPv2c支持基于团体名和MIBView进行访问控制；支持基于团体名的认证；支持16个错误码；支持Trap告警；支持Inform告警；支持GetBulk；适用于大中型网络，对网络安全性要求不高或者网络环境本身比较安全（比如VPN网络），但业务比较繁忙，有可能发生流量拥塞的网络。可通过配置Inform告警可以确保Agent设备发送的告警能够被网管收到。有一定的安全性。应用最为广泛。SNMPv3支持基于用户、用户组和MIBview进行访问控制；支持认证和加密，包括MD5/SHA认证方式，DES56、AES128等加密方法；支持16个错误码；支持Trap告警；支持Inform告警；支持GetBulk；适用于各种规模的网络，尤其是对网络的安全性要求较高，确保合法的管理员才能对网络设备进行管理的网络。比如网管和Agent设备间的通信数据需要在公网上进行传输。定义了一种管理框架，为用户提供了安全的访问机制。六、SNMP协议结构1、SNMPv1/v2c的报文格式SNMPv1/SNMPv2报文主要由版本、团体名、SNMPPDU三部分构成。2、SNMPv3的报文格式在SNMPv3的版本中，定义了新的报文格式，主要包括版本、报头数据、安全参数、ContextEngineID、ContextName、SNMPPDU。七、SNMP报文交互过程1、SNMPv1/v2c报文交互过程在SNMP系统中，可以分为GetRequest、GetNextRequest、SetRequest、Trap的报文交互。七、SNMP报文交互过程2、SNMPv3报文交互过程SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致，唯一的区别是SNMPv3增加了身份验证和加密处理。八、SNMP配置流程1、SNMP的配置流程九、SNMP配置命令1、开启设备的SNMPAgent功能2、配置SNMP协议版本3、配置SNMP协议的读写团体名

[Huawei]snmp-agent[Huawei]snmp-agentsys-infoversionv1

[Huawei]snmp-agentcommunitywriteCommunityName设置SNMP版本，可选参数有v2c、v3设置团体名的权限为写团体名九、SNMP配置命令4、在SNMPv3的配置中，还需要对用户名、加密方式、认证方式等相关安全参数进行配置。[[Huawei]snmp-agentgroupv3group-nameauthentication[Huawei]snmp-agentusm-userv3user-namegroupgroup-name[Huawei]snmp-agentusm-userv3user-nameauthentication-modemd5[Huawei]snmp-agentusm-userv3user-nameprivacy-modedes56设置安全级别，可选参数还有privacy和noauthentication设置加密方式，可选参数还有sha设置认证方式，可选参数还有aes128，aes192，aes256，3des九、SNMP配置命令5、配置设备发送Trap报文的参数信息6、配置设备发送告警和错误码的目的主机[Huawei]snmp-agenttrapenable[Huawei]snmp-agenttarget-hosttrapaddressudp-domainip-address162paramssecuritynamesecuritynamev1设置告警的方式为trap

还可以设置为inform设置告警端口，默认是162设置版本号为v1，还可以设置为v2c或v3九、SNMP配置命令7、常用查看设备SNMP配置信息的命令（1）查看用户信息（2）查看用户组信息（3）查看SNMP团体名

<Huawei>displaysnmp-agentusm-user<Huawei>displaysnmp-agentgroup<Huawei>displaysnmp-agentcommunity九、SNMP配置命令（4）查看所有特性下所有Trap开关当前状态和缺省状态（5）查看Trap目标主机的信息<Huawei>displaysnmp-agenttrapall<Huawei>displaysnmp-agenttarget-host阶段总结SNMP的主要作用是什么？SNMP的版本有哪几个分别适合那些场景？SNMP的消息类型主要有哪些？SNMP的基本配置命令有哪些？十、SNMPv1的简单应用1、案例9-1SNMPv1简单应用在交换机SW1上配置SNMPv1和trap告警，trap的告警目标为NMS服务器。PC1为一台安装了CentOS的计算机，在PC1安装一个简单NMS，安装命令为：“yuminstallnet-snmpnet-snmp-utils”。在PC1通过测试能否通过“snmpwalk-v1-cHuawei12#$system”命令获取到交换机SW1的系统信息。在交换机SW1上拔出PC2的线缆，测试Centos能接收到交换机SW1上因拔出G0/0/20接口线缆产生的LinkDown类型的trap信息。十、SNMPv1的简单应用2、案例9-1配置思路（1）配置各设备IP地址实现互相通信（2）配置SNMPagent，包括版本号、团体名、目标trap告警主机等内容（3）配置NMS服务器，包括NMS软件的安装与配置十、SNMPv1的简单应用3、案例9-1配置过程（1）在交换机SW1配置接口地址[Huawei]system-view[Huawei]sysnameSW1[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]undoportswitch[SW1-GigabitEthernet0/0/1]ipaddress[SW1-GigabitEthernet0/0/1]quit十、SNMPv1的简单应用（2）在交换机SW1上配置SNMP-Agent包括配置版本号、只读的团体名、trap告警等信息

[SW1]snmp-agent[SW1]snmp-agentsys-infoversionv1[SW1]undosnmp-agentsys-infoversionv3[SW1]snmp-agentcommunityreadHuawei12#$[SW1]snmp-agenttrapenable[SW1]snmp-agenttarget-hosttrapaddressudp-domain53paramssecuritynameHuawei12#$十、SNMPv1的简单应用（3）在PC1的配置NMS#这里默认Centos的能正常上网且已经配置好IP地址[root@localhost~]#yuminstall-ynet-snmpnet-snmp-utils[root@localhost~]#echoauthCommunitylog,execute,netHuawei12#$>>/etc/snmp/snmptrapd.conf[root@localhost~]#snmptrapd-Cc/etc/snmp/snmptrapd.conf-df-Lo十、SNMPv1的简单应用4、案例9-1验证过程（1）查看交换机SW1的SNMP版本协议（2）查看交换机SW1团体名<SW1>displaysnmp-agentsys-infoThecontactpersonforthismanagednode:R&DBeijing,HuaweiTechnologiesco.,Ltd.Thephysicallocationofthisnode:BeijingChinaSNMPversionrunninginthesystem:SNMPv1<SW1>displaysnmp-agentcommunityCommunityname:%$%$/0@^6uO7^/O,FK5=|OkN;{s4>121C4T3SH]4F_+TQk`W{s7;\EtPL<vgX>J@YtOu>*q-s@;{%$%$十、SNMPv1的简单应用（3）查看交换机SW1的告警目标主机<SW1>displaysnmp-agenttarget-hostTarget-hostNO.1-----------------------------------------------------------IP-address:53Sourceinterface:-VPNinstance:-Securityname:@%@%R+B"T2xc=!3eknMI*ojD@jhp@%@%Port:162Type:trapVersion:v1Level:NoauthenticationandprivacyNMStype:NMSWithext-vb:No十、SNMPv1的简单应用（4）NMS执行“snmpwalk-v1-cHuawei12#$system”命令获取到SW1的系统信息[root@localhost~]#snmpwalk-v1-cHuawei12#$systemSNMPv2-MIB::sysDescr.0=STRING:S5700-28C-EIHuaweiVersatileRoutingPlatformSoftwareVRP(R)software,Version5.150(S5700V200R005C00SPC500)Copyright(C)2007HuaweiTechnologiesCo.,Ltd.SNMPv2-MIB::sysObjectID.0=OID:SNMPv2-SMI::enterprises.2040DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks:(33936)0:05:39.36SNMPv2-MIB::sysContact.0=STRING:R&DBeijing,HuaweiTechnologiesco.,Ltd.SNMPv2-MIB::sysName.0=STRING:SW1SNMPv2-MIB::sysLocation.0=STRING:BeijingChinaSNMPv2-MIB::sysServices.0=INTEGER:78十、SNMPv1的简单应用（5）断开PC2的链接，查看NMS接收到的trap信息，可以明显看到SNMP的发送了一个LinkDown的Trap告警信息。[root@localhost~]#snmptrapd-Cc/etc/snmp/snmptrapd.conf-df-LoNET-SNMPversion5.8……省略部分内容……2020-01-1004:41:47(viaUDP:[]:53851->[53]:162)TRAP,SNMPv1,communityHuawei12#$ SNMPv2-SMI::enterprises.20LinkDownTrap(0)Uptime:0:11:46.25 IF-MIB::ifIndex.25=INTEGER:25 IF-MIB::ifAdminStatus.25=INTEGER:up(1) IF-MIB::ifOperStatus.25=INTEGER:down(2) IF-MIB::ifDescr.25=STRING:GigabitEthernet0/0/20表示有LinkDown告警十一、SNMPv3的简单应用1、案例9-2案例背景与要求在交换机SW1上配置SNMPv3，配置只读用户组为SW1-Group，用户名为user1，认证密码为Huawei12#$，认证方式为sha，加密密码为Huawei!@34，加密方式为aes128。在PC1上读取交换机SW1的EngineID信息。十一、SNMPv3的简单应用2、案例9-2配置思路（1）配置各设备IP地址实现互相通信。（2）配置SNMPv3agent，包括版本号、SNMPv3用户等内容。（3）配置NMS服务器，包括NMS软件的安装与配置。十一、SNMPv3的简单应用3、案例9-2配置过程（1）在交换机SW1上配置接口地址<Huawei>system-view[Huawei]sysnameSW1[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]undoportswitch[SW1-GigabitEthernet0/0/1]ipaddress[SW1-GigabitEthernet0/0/1]quit十一、SNMPv3的简单应用（2）在交换机SW1上配置SNMPv3-Agent[SW1]snmp-agentsys-infoversionv3[SW1]snmp-agentgroupv3SW1-Groupprivacy[SW1]snmp-agentusm-userv3user1groupSW1-Group[SW1]snmp-agentusm-userv3user1authentication-modeshaPleaseconfiguretheauthenticationpassword(8-64)EnterPassword://输入加密密码这里填写为Huawei12#$ConfirmPassword://再次输入加密密码Huawei12#$[SW1]snmp-agentusm-userv3user1privacy-modeaes128Pleaseconfiguretheprivacypassword(8-64)EnterPassword://输入加密密码这里填写为Huawei!@34ConfirmPassword://再次输入加密密码十一、SNMPv3的简单应用（3）在PC1上安装NMS[root@localhost~]#yuminstall-ynet-snmpnet-snmp-utils十一、SNMPv3的简单应用4、案例9-2验证过程（1）查看交换机SW1的SNMP版本协议（2）查看交换机SW1上的用户组信息<SW1>displaysnmp-agentgroupGroupname:SW1-GroupSecuritymodel:v3AuthPrivReadview:ViewDefault<SW1>displaysnmp-agentsys-infoThecontactpersonforthismanagednode:R&DBeijing,HuaweiTechnologiesco.,Ltd.Thephysicallocationofthisnode:BeijingChinaSNMPversionrunninginthesystem:SNMPv3十一、SNMPv3的简单应用（3）查看交换机SW1上的用户信息（4）PC1使用snmpwalk命令查看交换机SW1的EngineID<SW1>displaysnmp-agentusm-userUsername:user1EngineID:800007DB03C81FBE462DC0active[root@localhost~]#snmpwalk-v3-uuser1-lauthPriv-asha-AHuawei12#$-xaes-XHuawei\!@34EngineID//在此命令中“\”是一个转义字符，无意义SNMP-FRAMEWORK-MIB::snmpEngineID.0=Hex-STRING:800007DB03C81FBE462DC0表示用户是启用的获取到的ID与在交换机中查看到的信息一致本章主要介绍了网络设备的密码恢复以及SNMP的基本概念，包括Console登录密码的配置与恢复、SNMP架构、SNMP协议版本对比、SNMP报文交互过程、SNMP配置流程等内容，然后进行了SNMP的基本配置与验证。通过对本章的学习，读者应该对SNMP有一定的了解，能够理解SNMPAgent与NMS网管系统的交互原理，并且熟练地配置SNMPAgent，并且掌握网络设备恢复Console密码的操作。SNMPv3的版本协议中共定义的几种SNMPPDU报文类型？（）A.5 B.3 C.4 D.7SNMPAgent与NMS通过哪个端口进行GetRequest和SetRequest报文交互？（）A.161 B.162 C.22 D.21创建名为Huawei-SW的只读团体的命令为哪个？（）A.displaysnmp-agentcommunityB.snmp-agentcommunitywriteHuawei-SWC.snmp-agentcommunityreadHuawei-SWD.snmp-agentgroupv3Huawei-SWprivacy如何配置启用所有trap告警？（）A.snmp-agenttrapenableB.snmp-agenttrapdisableC.snmp-agenttrapenablefeature-nameifnet下列哪些命令能查看到SNMPv3的用户信息？（）A.displaysnmp-agentB.displaysnmp-agentusm-userC.displaysnmp-agentcommunity下列哪些是SNMP协议的版本？（）A.SNMPv1 B.SNMPv2 C.SNMPv2c D.SNMPv3GetBulkRequest和InformRequest出现在下列哪些版本的SNMP协议中？（）A.SNMPv1 B.SNMPv3 C.SNMPv2c D.SNMPv4下列哪些认证和加密方式被SNMPv3所支持？（）A.MD5 B.SHA C.DES56 D.AES128 E.AES192实践拓展1.项目背景与要求Jan16公司在A园区申请了一栋楼作为公司基地，公司目前有商务部和销售部两个部门。目前计划进行网络接入和SNMP管理与监控。具体要求如下：商务部用户的VLAN为X,IP地址为192.168.X.0/24，X为短学号，网关在交换机SW1上；销售部用户的VLAN为X*2,IP为192.168.X*2.0/24，X为短学号，网关在交换机S