第9章網絡管理學習目標熟悉網絡設備密碼恢復熟悉SNMP基本概念掌握SNMP基本配置網絡管理認識網絡管理協議SNMP的簡單應用網絡設備的密碼恢復Console登錄密碼的配置Console登錄密碼的恢復SNMP簡介SNMP架構SNMP版本SNMP協議結構SNMP配置流程SNMP配置命令SNMPv1的簡單應用SNMPv3的簡單應用一、Console登錄密碼的配置1、Console密碼的作用可網管網絡設備通常都存在一個Console接口，默認情況下，用戶無需驗證即可通過Console用戶界面登錄網絡設備并對網絡設備進行配置。為確保設備的安全性，管理員會配置Console登錄的密碼。一、Console登錄密碼的配置1、配置案例（1）V100R002版本的S5700交換機設備，設置Console用戶界面為密碼驗證且密碼為12345678<Huawei>system-view[Huawei]user-interfaceconsole0[Huawei-ui-console0]authentication-modepassword[Huawei-ui-console0]setauthenticationpasswordcipher12345678進入Console用戶界面視圖設置Console用戶驗證方式為密碼驗證方式驗證密碼為12345678設置密碼保存格式為密文一、Console登錄密碼的配置（2）V200R003版本的AR2220路由器設備，設置Console用戶界面為密碼驗證且密碼為12345678<Huawei>system-view[Huawei]user-interfaceconsole0[Huawei-ui-console0]authentication-modepasswordPleaseconfiguretheloginpassword(maximumlength16):進入Console用戶界面視圖設置Console用戶驗證方式為密碼驗證方式要求輸入密碼二、Console登錄密碼的恢復1、Console密碼恢復的重要性丟失了預先設置好的Console登錄密碼，用戶將無法通過本地方式登錄設備。2、Console密碼恢復的手段用戶可通過BootROM（BootRead-OnlyMemory，啟動程序只讀存儲器）菜單清除Console登錄密碼。3、Console登錄密碼恢復的注意事項對于不同內核版本的網絡設備，BootROM管理界面中的選項會有所不同。二、Console登錄密碼的恢復4、配置案例（1）S5700交換機的Console登錄密碼恢復設備上電或重啟進入設備啟動過程。按【Ctrl+B】鍵進入BootROM菜單。選擇“5.Enterfilesystemsubmenu”，進入文件系統子菜單。進入文件系統子菜單后，選擇“4.Renamefilefromflash”，把默認配置文件vrpcfg.zip（存儲設備配置的文件）改為其他名稱，例如：vrptest.zip。重啟后進入交換機，此時交換機恢復為出廠的默認配置。此時需要把改名后的文件vrptest解壓縮為vrpcfg.bat。<Huawei>unzipvrptestvrpcfg.bat二、Console登錄密碼的恢復進入系統視圖執行【executevrpcfg.bat】命令調用原有的配置。進入Console用戶界面執行修改。通過【save】命令保存配置為vrpcfg.zip。<Huawei>system-view[Huawei]executevrpcfg.bat[Huawei]user-interfaceconsole0[Huawei-ui-console0]undoauthentication-mode//取消密碼驗證[Huawei-ui-console0]return//返回用戶視圖<Huawei>save//保存配置Thecurrentconfigurationwillbewrittentothedevice.Continue?[Y/N]:yInfo:Pleaseinputthefilename(*.cfg,*.zip)[vrpcfg.zip]:vrpcfg.zip確認是否保存輸入要保存的名稱二、Console登錄密碼的恢復通過【reboot】命令重啟交換機，交換機將保持配置（除Control登錄密碼外）。<Huawei>rebootInfo:Thesystemiscomparingtheconfiguration,pleasewait.Warning:Alltheconfigurationwillbesavedtothenextstartupconfiguration.Continue?[y/n]:y

Itwilltakeseveralminutestosaveconfigurationfile,pleasewait.......ConfigurationfilehadbeensavedsuccessfullyNote:TheconfigurationfilewilltakeeffectafterbeingactivatedSystemwillreboot!Continue?[y/n]:yInfo:systemisrebooting,pleasewait...確認是否保存配置，這里選擇y表示“是”確認是否重啟，這里選擇y表示“是”二、Console登錄密碼的恢復（2）AR2220路由器的Console登錄密碼恢復設備上電或重啟進入設備啟動過程。在啟動過程中出現【PressCtrl+BtoenterBOOTROMmenu...0】提示后，按【Ctrl+B】鍵進入BootROM菜單。PressCtrl+BtoenterBOOTROMmenu...0password:密碼輸入BootROM密碼，默認密碼是Admin@二、Console登錄密碼的恢復選擇“7.Clearpasswordforconsoleuser”菜單項，進入清除Console登錄密碼的程序。BOOTROMMENU1.Bootwithdefaultmode2.Enterserialsubmenu3.Enterstartupsubmenu4.Enterethernetsubmenu5.Enterfilesystemsubmenu6.ModifyBOOTROMpassword7.Clearpasswordforconsoleuser8.RebootEnteryourchoice(1-8):7

輸入7表示選擇第7個菜單項二、Console登錄密碼的恢復確認執行清除Console登錄密碼的程序。選擇“1.Bootwithdefaultmode”菜單項，按默認模式啟動設備，完成清除Console密碼任務。Note:Clearpasswordforconsoleuser?YesorNo(Y/N):yClearpasswordforconsoleusersuccessfully.Choose"1"toboot,thensetanewpasswordNote:Donotchoose"Reboot"orpoweroffthedevice,otherwisethisoperationwillnottakeeffectEnteryourchoice(1-8):1這里需要按y表示確認

輸入1表示選擇第1個菜單項三、SNMP簡介1、SNMP是什么SNMP是TCP/IP協議簇的一個應用層協議，它定義一個與網絡設備交互的簡單方法，業界幾乎所有的網絡設備都支持SNMP協議，被廣泛應用于TCP/IP網絡中管理和監控網絡設備。因此，SNMP協議提供了一種通過網絡管理系統（NMS，NetworkManagementSystem）來管理大量網絡設備的方法。四、SNMP架構1、SNMP協議使用C/S（Client/Server）架構，具體包括網絡管理軟件NMS、代理進程Agent和管理信息庫MIB。四、SNMP架構2、SNMP定義好的操作類型操作發起方作用GetRequestNMS此操作可以從Agent中提取一個或多個參數值。GetNextRequestNMS此操作可以從Agent中按照MIB字典序提取下一個參數值。SetRequestNMS此操作可以設置Agent的一個或多個參數值。GetBulkRequestNMSGetBulk操作可實現NMS對Agent設備的信息群查詢。ResponseAgentResponse操作可以返回一個或多個參數值。這個操作是由Agent發出的，它是GetRequest、SetRequest、GetNextRequest和GetBulkRequest四種操作的響應操作。Agent接收到來自NMS的Get/Set指令后，通過MIB完成相應的查詢/修改操作，然后利用Response操作將信息回應給NMS。TrapAgentAgent主動向NMS發出的信息，告知管理進程設備端出現的情況。InformRequestAgentAgent主動向NMS主動發送的告警信息。與Trap告警不同的是，Agent設備發送Inform告警后，需要NMS回復InformResponse來進行確認。四、SNMP架構3、管理信息庫MIB與其結構

OID為.2.1.1

OID為.2.1.2五、SNMP版本1、SNMP有多個版本，分別是SNMPv1、SNMPv2c、SNMPv3。版本支持特性應用場景特點SNMPv1支持基于團體名和MIBView進行訪問控制；支持基于團體名的認證；支持6個錯誤碼；支持Trap告警；適用于小型網絡，組網簡單，對網絡安全性要求不高或者網絡環境本身比較安全，且比較穩定的網絡，比如校園網，小型企業網。實現方便，安全性弱。SNMPv2c支持基于團體名和MIBView進行訪問控制；支持基于團體名的認證；支持16個錯誤碼；支持Trap告警；支持Inform告警；支持GetBulk；適用于大中型網絡，對網絡安全性要求不高或者網絡環境本身比較安全（比如VPN網絡），但業務比較繁忙，有可能發生流量擁塞的網絡。可通過配置Inform告警可以確保Agent設備發送的告警能夠被網管收到。有一定的安全性。應用最為廣泛。SNMPv3支持基于用戶、用戶組和MIBview進行訪問控制；支持認證和加密，包括MD5/SHA認證方式，DES56、AES128等加密方法；支持16個錯誤碼；支持Trap告警；支持Inform告警；支持GetBulk；適用于各種規模的網絡，尤其是對網絡的安全性要求較高，確保合法的管理員才能對網絡設備進行管理的網絡。比如網管和Agent設備間的通信數據需要在公網上進行傳輸。定義了一種管理框架，為用戶提供了安全的訪問機制。六、SNMP協議結構1、SNMPv1/v2c的報文格式SNMPv1/SNMPv2報文主要由版本、團體名、SNMPPDU三部分構成。2、SNMPv3的報文格式在SNMPv3的版本中，定義了新的報文格式，主要包括版本、報頭數據、安全參數、ContextEngineID、ContextName、SNMPPDU。七、SNMP報文交互過程1、SNMPv1/v2c報文交互過程在SNMP系統中，可以分為GetRequest、GetNextRequest、SetRequest、Trap的報文交互。七、SNMP報文交互過程2、SNMPv3報文交互過程SNMPv3的實現原理和SNMPv1/SNMPv2c基本一致，唯一的區別是SNMPv3增加了身份驗證和加密處理。八、SNMP配置流程1、SNMP的配置流程九、SNMP配置命令1、開啟設備的SNMPAgent功能2、配置SNMP協議版本3、配置SNMP協議的讀寫團體名

[Huawei]snmp-agent[Huawei]snmp-agentsys-infoversionv1

[Huawei]snmp-agentcommunitywriteCommunityName設置SNMP版本，可選參數有v2c、v3設置團體名的權限為寫團體名九、SNMP配置命令4、在SNMPv3的配置中，還需要對用戶名、加密方式、認證方式等相關安全參數進行配置。[[Huawei]snmp-agentgroupv3group-nameauthentication[Huawei]snmp-agentusm-userv3user-namegroupgroup-name[Huawei]snmp-agentusm-userv3user-nameauthentication-modemd5[Huawei]snmp-agentusm-userv3user-nameprivacy-modedes56設置安全級別，可選參數還有privacy和noauthentication設置加密方式，可選參數還有sha設置認證方式，可選參數還有aes128，aes192，aes256，3des九、SNMP配置命令5、配置設備發送Trap報文的參數信息6、配置設備發送告警和錯誤碼的目的主機[Huawei]snmp-agenttrapenable[Huawei]snmp-agenttarget-hosttrapaddressudp-domainip-address162paramssecuritynamesecuritynamev1設置告警的方式為trap

還可以設置為inform設置告警端口，默認是162設置版本號為v1，還可以設置為v2c或v3九、SNMP配置命令7、常用查看設備SNMP配置信息的命令（1）查看用戶信息（2）查看用戶組信息（3）查看SNMP團體名

<Huawei>displaysnmp-agentusm-user<Huawei>displaysnmp-agentgroup<Huawei>displaysnmp-agentcommunity九、SNMP配置命令（4）查看所有特性下所有Trap開關當前狀態和缺省狀態（5）查看Trap目標主機的信息<Huawei>displaysnmp-agenttrapall<Huawei>displaysnmp-agenttarget-host階段總結SNMP的主要作用是什么？SNMP的版本有哪幾個分別適合那些場景？SNMP的消息類型主要有哪些？SNMP的基本配置命令有哪些？十、SNMPv1的簡單應用1、案例9-1SNMPv1簡單應用在交換機SW1上配置SNMPv1和trap告警，trap的告警目標為NMS服務器。PC1為一臺安裝了CentOS的計算機，在PC1安裝一個簡單NMS，安裝命令為：“yuminstallnet-snmpnet-snmp-utils”。在PC1通過測試能否通過“snmpwalk-v1-cHuawei12#$system”命令獲取到交換機SW1的系統信息。在交換機SW1上拔出PC2的線纜，測試Centos能接收到交換機SW1上因拔出G0/0/20接口線纜產生的LinkDown類型的trap信息。十、SNMPv1的簡單應用2、案例9-1配置思路（1）配置各設備IP地址實現互相通信（2）配置SNMPagent，包括版本號、團體名、目標trap告警主機等內容（3）配置NMS服務器，包括NMS軟件的安裝與配置十、SNMPv1的簡單應用3、案例9-1配置過程（1）在交換機SW1配置接口地址[Huawei]system-view[Huawei]sysnameSW1[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]undoportswitch[SW1-GigabitEthernet0/0/1]ipaddress[SW1-GigabitEthernet0/0/1]quit十、SNMPv1的簡單應用（2）在交換機SW1上配置SNMP-Agent包括配置版本號、只讀的團體名、trap告警等信息

[SW1]snmp-agent[SW1]snmp-agentsys-infoversionv1[SW1]undosnmp-agentsys-infoversionv3[SW1]snmp-agentcommunityreadHuawei12#$[SW1]snmp-agenttrapenable[SW1]snmp-agenttarget-hosttrapaddressudp-domain53paramssecuritynameHuawei12#$十、SNMPv1的簡單應用（3）在PC1的配置NMS#這里默認Centos的能正常上網且已經配置好IP地址[root@localhost~]#yuminstall-ynet-snmpnet-snmp-utils[root@localhost~]#echoauthCommunitylog,execute,netHuawei12#$>>/etc/snmp/snmptrapd.conf[root@localhost~]#snmptrapd-Cc/etc/snmp/snmptrapd.conf-df-Lo十、SNMPv1的簡單應用4、案例9-1驗證過程（1）查看交換機SW1的SNMP版本協議（2）查看交換機SW1團體名<SW1>displaysnmp-agentsys-infoThecontactpersonforthismanagednode:R&DBeijing,HuaweiTechnologiesco.,Ltd.Thephysicallocationofthisnode:BeijingChinaSNMPversionrunninginthesystem:SNMPv1<SW1>displaysnmp-agentcommunityCommunityname:%$%$/0@^6uO7^/O,FK5=|OkN;{s4>121C4T3SH]4F_+TQk`W{s7;\EtPL<vgX>J@YtOu>*q-s@;{%$%$十、SNMPv1的簡單應用（3）查看交換機SW1的告警目標主機<SW1>displaysnmp-agenttarget-hostTarget-hostNO.1-----------------------------------------------------------IP-address:53Sourceinterface:-VPNinstance:-Securityname:@%@%R+B"T2xc=!3eknMI*ojD@jhp@%@%Port:162Type:trapVersion:v1Level:NoauthenticationandprivacyNMStype:NMSWithext-vb:No十、SNMPv1的簡單應用（4）NMS執行“snmpwalk-v1-cHuawei12#$system”命令獲取到SW1的系統信息[root@localhost~]#snmpwalk-v1-cHuawei12#$systemSNMPv2-MIB::sysDescr.0=STRING:S5700-28C-EIHuaweiVersatileRoutingPlatformSoftwareVRP(R)software,Version5.150(S5700V200R005C00SPC500)Copyright(C)2007HuaweiTechnologiesCo.,Ltd.SNMPv2-MIB::sysObjectID.0=OID:SNMPv2-SMI::enterprises.2040DISMAN-EVENT-MIB::sysUpTimeInstance=Timeticks:(33936)0:05:39.36SNMPv2-MIB::sysContact.0=STRING:R&DBeijing,HuaweiTechnologiesco.,Ltd.SNMPv2-MIB::sysName.0=STRING:SW1SNMPv2-MIB::sysLocation.0=STRING:BeijingChinaSNMPv2-MIB::sysServices.0=INTEGER:78十、SNMPv1的簡單應用（5）斷開PC2的鏈接，查看NMS接收到的trap信息，可以明顯看到SNMP的發送了一個LinkDown的Trap告警信息。[root@localhost~]#snmptrapd-Cc/etc/snmp/snmptrapd.conf-df-LoNET-SNMPversion5.8……省略部分內容……2020-01-1004:41:47(viaUDP:[]:53851->[53]:162)TRAP,SNMPv1,communityHuawei12#$ SNMPv2-SMI::enterprises.20LinkDownTrap(0)Uptime:0:11:46.25 IF-MIB::ifIndex.25=INTEGER:25 IF-MIB::ifAdminStatus.25=INTEGER:up(1) IF-MIB::ifOperStatus.25=INTEGER:down(2) IF-MIB::ifDescr.25=STRING:GigabitEthernet0/0/20表示有LinkDown告警十一、SNMPv3的簡單應用1、案例9-2案例背景與要求在交換機SW1上配置SNMPv3，配置只讀用戶組為SW1-Group，用戶名為user1，認證密碼為Huawei12#$，認證方式為sha，加密密碼為Huawei!@34，加密方式為aes128。在PC1上讀取交換機SW1的EngineID信息。十一、SNMPv3的簡單應用2、案例9-2配置思路（1）配置各設備IP地址實現互相通信。（2）配置SNMPv3agent，包括版本號、SNMPv3用戶等內容。（3）配置NMS服務器，包括NMS軟件的安裝與配置。十一、SNMPv3的簡單應用3、案例9-2配置過程（1）在交換機SW1上配置接口地址<Huawei>system-view[Huawei]sysnameSW1[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]undoportswitch[SW1-GigabitEthernet0/0/1]ipaddress[SW1-GigabitEthernet0/0/1]quit十一、SNMPv3的簡單應用（2）在交換機SW1上配置SNMPv3-Agent[SW1]snmp-agentsys-infoversionv3[SW1]snmp-agentgroupv3SW1-Groupprivacy[SW1]snmp-agentusm-userv3user1groupSW1-Group[SW1]snmp-agentusm-userv3user1authentication-modeshaPleaseconfiguretheauthenticationpassword(8-64)EnterPassword://輸入加密密碼這里填寫為Huawei12#$ConfirmPassword://再次輸入加密密碼Huawei12#$[SW1]snmp-agentusm-userv3user1privacy-modeaes128Pleaseconfiguretheprivacypassword(8-64)EnterPassword://輸入加密密碼這里填寫為Huawei!@34ConfirmPassword://再次輸入加密密碼十一、SNMPv3的簡單應用（3）在PC1上安裝NMS[root@localhost~]#yuminstall-ynet-snmpnet-snmp-utils十一、SNMPv3的簡單應用4、案例9-2驗證過程（1）查看交換機SW1的SNMP版本協議（2）查看交換機SW1上的用戶組信息<SW1>displaysnmp-agentgroupGroupname:SW1-GroupSecuritymodel:v3AuthPrivReadview:ViewDefault<SW1>displaysnmp-agentsys-infoThecontactpersonforthismanagednode:R&DBeijing,HuaweiTechnologiesco.,Ltd.Thephysicallocationofthisnode:BeijingChinaSNMPversionrunninginthesystem:SNMPv3十一、SNMPv3的簡單應用（3）查看交換機SW1上的用戶信息（4）PC1使用snmpwalk命令查看交換機SW1的EngineID<SW1>displaysnmp-agentusm-userUsername:user1EngineID:800007DB03C81FBE462DC0active[root@localhost~]#snmpwalk-v3-uuser1-lauthPriv-asha-AHuawei12#$-xaes-XHuawei\!@34EngineID//在此命令中“\”是一個轉義字符，無意義SNMP-FRAMEWORK-MIB::snmpEngineID.0=Hex-STRING:800007DB03C81FBE462DC0表示用戶是啟用的獲取到的ID與在交換機中查看到的信息一致本章主要介紹了網絡設備的密碼恢復以及SNMP的基本概念，包括Console登錄密碼的配置與恢復、SNMP架構、SNMP協議版本對比、SNMP報文交互過程、SNMP配置流程等內容，然后進行了SNMP的基本配置與驗證。通過對本章的學習，讀者應該對SNMP有一定的了解，能夠理解SNMPAgent與NMS網管系統的交互原理，并且熟練地配置SNMPAgent，并且掌握網絡設備恢復Console密碼的操作。SNMPv3的版本協議中共定義的幾種SNMPPDU報文類型？（）A.5 B.3 C.4 D.7SNMPAgent與NMS通過哪個端口進行GetRequest和SetRequest報文交互？（）A.161 B.162 C.22 D.21創建名為Huawei-SW的只讀團體的命令為哪個？（）A.displaysnmp-agentcommunityB.snmp-agentcommunitywriteHuawei-SWC.snmp-agentcommunityreadHuawei-SWD.snmp-agentgroupv3Huawei-SWprivacy如何配置啟用所有trap告警？（）A.snmp-agenttrapenableB.snmp-agenttrapdisableC.snmp-agenttrapenablefeature-nameifnet下列哪些命令能查看到SNMPv3的用戶信息？（）A.displaysnmp-agentB.displaysnmp-agentusm-userC.displaysnmp-agentcommunity下列哪些是SNMP協議的版本？（）A.SNMPv1 B.SNMPv2 C.SNMPv2c D.SNMPv3GetBulkRequest和InformRequest出現在下列哪些版本的SNMP協議中？（）A.SNMPv1 B.SNMPv3 C.SNMPv2c D.SNMPv4下列哪些認證和加密方式被SNMPv3所支持？（）A.MD5 B.SHA C.DES56 D.AES128 E.AES192實踐拓展1.項目背景與要求Jan16公司在A園區申請了一棟樓作為公司基地，公司目前有商務部和銷售部兩個部門。目前計劃進行網絡接入和SNMP管理與監控。具體要求如下：商務部用戶的VLAN為X,IP地址為192.168.X.0/24，X為短學號，網關在交換機SW1上；銷售部用戶的VLAN為X*2,IP為192.168.X*2.0/24，X為短學號，網關在交換機S