交换机配置DHCP
dhcp server ip-pool 1 :配置DHCP组1
network 1721510 mask 2552552550 :配置地址池
gateway-list 172151254 :配置网关
dns-list 20210344150 2021032468 :配置DNS
expired day 10 :配置DHCP过期时间(10天)
配置DHCP中继
#
dhcp-server 1 ip 19216831
interface Vlan-interface10
ip address 1721610254 2552552550
dhcp-server 1热门频道
首页
博客
研修院
VIP
APP
问答
下载
社区
推荐频道
活动
招聘
专题
打开CSDN APP
Copyright © 1999-2020, CSDNNET, All Rights Reserved
打开APP
华三SNMP配置详解 转载
2021-07-08 18:42:40
2点赞
Networker要开发
码龄5年
关注
一、SNMP配置
11 SNMP简介
SNMP(Simple Network Management Protocol,简单网络管理协议)是网络中管理设备和被管理设备之间的通信规则,它定义了一系列消息、方法和语法,用于实现管理设备对被管理设备的访问和管理。SNMP具有以下优势:
自动化网络管理。网络管理员可以利用SNMP平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。
屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集,使得管理任务分别与被管设备的物理特性和下层的联网技术相对独立,从而实现对不同厂商设备的管理,特别适合在小型、快速和低成本的环境中使用。
111 SNMP的工作机制
SNMP网络元素分为NMS和Agent两种。
NMS(Network Management Station,网络管理站)是运行SNMP客户端程序的工作站,能够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。
Agent是驻留在设备上的一个进程,负责接收、处理来自NMS的请求报文。在一些紧急情况下,如接口状态发生改变等,Agent也会主动通知NMS。
NMS是SNMP网络的管理者,Agent是SNMP网络的被管理者。NMS和Agent之间通过SNMP协议来交互管理信息。
SNMP提供四种基本 *** 作:
Get *** 作:NMS使用该 *** 作查询Agent的一个或多个对象的值。
Set *** 作:NMS使用该 *** 作重新设置Agent数据库(MIB,Management Information Base)中的一个或多个对象的值。
Trap *** 作:Agent使用该 *** 作向NMS发送报警信息。
Inform *** 作:NMS使用该 *** 作向其他NMS发送报警信息。
112 SNMP的协议版本
目前,设备的SNMP Agent支持SNMP v1、SNMP v2c和SNMP v3三种。
SNMP v1采用团体名(Community Name)认证。团体名用来定义SNMP NMS和SNMP Agent的关系。如果SNMP报文携带的团体名没有得到设备的认可,该报文将被丢弃。团体名起到了类似于密码的作用,用来限制SNMP NMS对SNMP Agent的访问。
SNMP v2c也采用团体名认证。它在兼容SNMP v1的同时又扩充了SNMP v1的功能:它提供了更多的 *** 作类型(GetBulk和InformRequest);它支持更多的数据类型(Counter64等);它提供了更丰富的错误代码,能够更细致地区分错误。
SNMP v3提供了基于用户的安全模型(USM,User-Based Security Model)的认证机制。用户可以设置认证和加密功能,认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。通过有无认证和有无加密等功能组合,可以为SNMP NMS和SNMP Agent之间的通信提供更高的安全性。
NMS和Agent的SNMP版本匹配,是它们之间成功互访的前提条件。Agent可以同时配置多个版本,与不同的NMS交互采用不同的版本。
113 MIB简介
任何一个被管理的资源都表示成一个对象,称为被管理的对象。MIB(Management Information Base,管理信息库)是被管理对象的集合。它定义了对象之间的层次关系以及对象的一系列属性,比如对象的名字、访问权限和数据类型等。每个Agent都有自己的MIB。NMS根据权限可以对MIB中的对象进行读/写 *** 作。
MIB是以树状结构进行存储的。树的节点表示被管理对象,它可以用从根开始的一条路径唯一地识别(OID)。如图1-2所示,被管理对象B可以用一串数字{1211}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
13 配置SNMP日志
131 SNMP日志介绍
SNMP日志功能将记录NMS对SNMP Agent的GET和SET *** 作。当进行GET *** 作时,Agent会记录NMS用户的IP地址、GET *** 作的节点名和节点的OID。当进行SET *** 作时,Agent会记录NMS用户的IP地址、SET *** 作的节点名、节点的OID、设置的值以及SET *** 作返回的错误码和错误索引。这些日志将被发送到设备的信息中心,级别为informational,即作为设备的一般提示信息。通过设置信息中心的参数,最终决定SNMP日志的输出规则(即是否允许输出以及输出方向)。
SNMP日志记录GET请求、SET请求和SET响应信息,不记录GET响应信息。
132 开启SNMP日志功能
[HX-A]snmp-agent log {all | get-operation | set-operation } 打开SNMP日志开关
[HX-A]info-center source ? 配置SNMP日志输出规则,缺省情况下,SNMP日志只会输出到日志主机(loghost)和日志文件(logfile)方向,如果要输出到别的方向(比如控制台、监视终端等)需要使用该命令配置
14 配置SNMP Trap
Trap是Agent主动向NMS发送的信息,用于报告一些紧急的重要事件(如被管理设备重新启动等)。Trap报文有两种:通用Trap和企业自定义Trap。设备支持的通用Trap包括authentication、coldstart、linkdown、linkup和warmstart五种,其它均为企业自定义Trap。企业自定义Trap由模块生成。因为Trap信息通常较多,会占用设备内存,从而影响设备性能,所以建议用户根据需要开启指定模块的Trap功能,生成相应的Trap报文。
开启Trap功能后,相应模块生成的Trap报文将被发送到设备的信息中心。信息中心有七个输出方向,缺省情况下,允许所有模块的所有Trap信息发往控制台(console)、监视终端(monitor)、日志主机(loghost)和日志文件(logfile);允许所有模块的高于等于warnings级别的Trap信息发往告警缓冲区(trapbuffer)和SNMP模块(snmpagent);日志缓冲区(logbuffer)方向不能发送Trap信息。可以根据各模块生成的Trap信息的级别设置信息中心参数,最终决定Trap报文的输出规则(即是否允许输出以及输出方向)。有关信息中心的配置请参见“信息中心配置”。
[HX-A]snmp-agent trap enable ?缺省情况下,各模块的Trap功能处于开启状态
[HX-A]int g1/0/20 进入接口视图
[HX-A-GigabitEthernet1/0/20]enable snmp trap updown缺省情况下,端口下端口状态变化的Trap功能处于开启状态
142 配置Trap报文发送参数
1 配置准备
如果要将Trap发送给NMS,则需要进行以下配置准备:
完成SNMP基本配置(包括版本设置,如果使用SNMP v1和v2c版本需要设置团体名;如果使用SNMP v3版本需要设置用户名和MIB视图)。
设备与NMS建立连接,能够互相 *** 作。
2 配置过程
当Trap报文发送到SNMP模块后,SNMP模块将Trap报文存在消息队列里,用户可以设置该队列的长度、Trap报文在队列里的保存时间,也可以将报文发送给指定的目标主机(通常为NMS)等。
如果要将Trap信息发送给NMS,该步骤为必选,并将ip-address指定为NMS的IP地址
[HX-A]snmp-agent target-host trap address udp-domain 1011254 udp-port 22 params securityname 32
[HX-A]snmp-agent trap source ?设置发送Trap报文中的源地址
[HX-A]snmp-agent trap if-mib link extended 对RFC定义的标准linkUp/linkDown Trap报文进行私有扩展
[HX-A]snmp-agent trap queue-size ? 设置Trap报文发送队列的长度
[HX-A]snmp-agent trap life 60 设置Trap报文的保存时间,缺省情况下,Trap报文的保存时间为120秒
15 SNMP显示和维护
在完成上述配置后,在任意视图下执行display命令,均可以显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。
复制代码
[HX-A]display snmp-agent sys-info [ contact | location | version ] 显示系统维护联络信息、系统位置信息及SNMP版本信息
[HX-A]display snmp-agent statistics 显示SNMP报文统计信息
[HX-A]display snmp-agent local-engineid 显示设备的SNMP实体引擎ID
[HX-A]display snmp-agent group 显示SNMP组信息
[HX-A]display snmp-agent trap queue显示Trap消息队列的基本信息
[HX-A]display snmp-agent trap-list 显示系统当前可以发送Trap消息的模块及其Trap消息的使能状态
[HX-A]display snmp-agent usm-user 显示SNMP v3用户信息
[HX-A]display snmp-agent community 显示SNMP v1或SNMP v2c团体信息
[HX-A]display snmp-agent mib-view 显示MIB视图的信息
复制代码
16 SNMP v1/v2c典型配置举例
1 组网需求
NMS与Agent通过以太网相连,NMS的IP地址为1112/24,Agent的IP地址为1111/24。
NMS通过SNMP v1或者SNMP v2c对Agent进行监控管理,Agent在故障或者出错的时候能够主动向NMS报告情况。
2 组网图
图1-3 配置SNMP v1/v2c组网图
复制代码
[H3C]int GE1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route 二层接口改成三层接口
[H3C-GigabitEthernet1/0/1]ip address 1111 24 配置IP地址和掩码
设置SNMP基本信息,包括版本、团体名。
[H3C]snmp-agent sys-info version v1 v2c
[H3C]snmp-agent community read public
[H3C]snmp-agent community write private
设置交换机的联系人和位置信息,以方便维护。
[H3C]snmp-agent sys-info contact Mrzeng-tel:0813
[H3C]snmp-agent sys-info location telephone-closet,3rd-floor
允许向网管工作站(NMS)1112/24发送Trap报文,使用的团体名为public。
[H3C]snmp-agent trap enable
[H3C]snmp-agent target-host trap address udp-domain 1112 params securityname public v1
snmp-agent target-host命令中的指定的版本必须和NMS上运行的SNMP版本一致,如果NMS上运行的是SNMP v2c版本,则需要将snmp-agent target-host命令中的版本参数设置为v2c。否则,网管站将收不到Trap信息。
复制代码
(2) 配置NMS
在使用SNMP v1/v2c版本的NMS上需要设置“只读团体名”和“读写团体名”。另外,还要设置“超时”时间和“重试次数”。用户可利用网管系统完成对设备的查询和配置 *** 作,查看上面配置命令。
17 SNMP v3典型配置举例
具体配置可以参考华三官网配置信息:
>
随着网络时代的来临,人们的生活中网络越来越普遍,而网络却离不开服务器,那么问题来了——你们的服务器稳定吗?壹基比观观来给你说。
1、性能要稳定
为了保证局域网能正常运转,小型企业选择的服务器首先要确保稳定,因为一个性能不稳定的服务器,即使配置再高、技术再先进,也不能保证局域网能正常工作。如果企业在服务器中存放了许多重要的数据,一旦服务器性能不好,就有可能出现服务器中的数据信息随时丢失或者整个系统瘫痪的危险,严重的话可能给企业造成难以估计的损失。另外一方面,性能稳定的服务器还可以为企业节省出一大笔维修和维护的费用,避免企业在经济上的损失。2、以够用为准则
由于小型企业处于刚刚起步和发展阶段,企业本身的信息资源以及资金实力有限,不可能一次性投资太多的经费去采购档次很高、技术很先进的服务器。对于中小企业而言,最重要的就是根据实际情况,并参考以后的发展规划,有针对性地选择满足目前信息化建设的需要又不投入太多资源的解决方法。如果我们片面去追求高、新、全的服务器,这些拥有先进功能、顶尖技术的服务器不但在价格上要远远高于市场上普通服务器,更重要的是这些先进的功能对小型企业来说,可能很少用到或者根本就用不着,例如有很多高性能的服务器提供了阵列功能,由于用户不了解或是使用不当,只采用单硬盘配置,况且小型企业的信息容量并不是很多,根本不需要带有磁盘阵列功能的服务器,这样就可能会白白花费了不少金钱。
H3C交换机端口安全模式配置
用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法!
在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 8021X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1 autoLearn模式与secure模式
在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
根据以上描述,可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。
图19-1 autoLearn和secure端口安全模式报文处理流程图
2 单一IEEE 8021X认证模式
采用单一IEEE 8021x认证方式的端口安全模式又包括以下几种:
l userlogin:对接入用户采用基于端口的IEEE 8021x认证,仅允许通过认证的用户接入。
l userLoginSecure:对接入用户采用基于用户MAC地址的IEEE 8021x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包,但也仅允许8021x认证成功的用户数据报文通过。此模式下,端口最多只允许接入一个经过8021x认证的用户(即IEEE 8021X单主机模式)。
l userLoginSecureExt:与userLoginSecure类似,但端口下的8021x认证用户可以有多个(即IEEE 8021X多主机模式)。
l userLoginWithOUI:与userLoginSecure类似,端口最多只允许一个8021x认证用户,但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。
因为H3C以太网交换机的IEEE 8021X认证将在本书第21章专门介绍,故在此不再赘述。
3 MAC地址认证模式
MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法,它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证 *** 作。认证过程中,不需要用户手动输入用户名或者密码,因为这是基于用户MAC地址进行的认证。如果该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时直接做丢弃处理,以防止非法MAC短时间内的重复认证。
目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍;有关MAC地址认证的配置方法将在本章195节介绍。
4 and模式
“and”是“和”的意思,就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式:
l macAddressAndUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户首先进行MAC地址认证,当MAC地址认证成功后再进行IEEE 8021x认证。只有在这两种认证都成功的`情况下,才允许该用户接入网络。此模式下,端口最多只允许一个用户接入网络,也就是最先通过全部这两种认证的用户。
l macAddressAndUserLoginSecureExt:与macAddressAndUserLoginSecure类似。但此模式下,端口允许接入网络的用户可以有多个。
根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。
图19-2 and端口安全模式的报文处理流程图
5 else模式
“else”是“另外”的意思,就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式:
l macAddressElseUserLoginSecure:当用户的MAC地址不在转发表中时,对接入用户首先进行MAC地址认证,如果认证成功则直接通过,如果MAC地址认证失败再尝试进行8021x认证。此模式下,端口下可以有多个用户通过MAC地址认证,但端口仅允许接入一个用户经过8021x认证,也就是最先通过8021x认证的用户。
l macAddressElseUserLoginSecureExt:与macAddressElseUserLoginSecure类似。但此模式下,端口允许经过多个用户通过IEEE 8021X认证。
根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。
图19-3 else端口安全模式报文处理流程图
6 or模式
“or”是“或者”的意思,也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式:
l macAddressOrUserLoginSecure:当用户的MAC地址不在转发表中时,接入用户通过MAC地址认证后,仍然可以进行IEEE 8021x认证;但接入用户通过IEEE 8021x认证后,不再进行MAC地址认证。此模式下,可以有多个经过基于MAC地址认证的用户,但端口仅允许接入一个经过认证的8021x用户,也就是最先通过8021x认证的用户。
l macAddressOrUserLoginSecureExt:与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 8021x认证的用户。
根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。
图19-4 or端口安全模式报文处理流程图
;浪潮与华三的AI服务器都是著名的服务器厂商,在市场上都有不错的口碑。从性能上来说,浪潮的AI服务器具有更高的性能,采用了先进的处理器,支持更多的计算资源,更多的存储空间,更高的带宽,更快的计算速度,更安全的系统,更完善的管理系统,更可靠的硬件系统,可以满足不同类型的应用场景。而华三的AI服务器也具有不错的性能,但是其处理器和存储容量比浪潮的服务器要低一些。总的来说,浪潮的AI服务器更好一些,可以更好的满足用户的需求。欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)