實驗3.3系統(tǒng)管理實驗

1、XXXXXX實驗實驗3.3 3.3 系統(tǒng)管理實驗系統(tǒng)管理實驗實驗背景實驗目的與內(nèi)容2實驗設備3實驗步驟4實驗背景實驗背景【實驗【實驗背景背景】SNMP網(wǎng)絡架構(gòu)由三部分組成：NMS、Agent和MIB。NMS（Network Management System，網(wǎng)絡管理系統(tǒng)）是SNMP網(wǎng)絡的管理者，能夠提供友好的人機交互界面，方便網(wǎng)絡管理員完成大多數(shù)的網(wǎng)絡管理工作；Agent是SNMP網(wǎng)絡的被管理者，負責接收、處理來自NMS的SNMP報文。在某些情況下，如接口狀態(tài)發(fā)生改變時，Agent也會主動向NMS發(fā)送告警信息；MIB（Management Information Base，管理信息庫）是被管

2、理對象的集合。NMS管理設備的時候，通常會關(guān)注設備的一些參數(shù)，比如接口狀態(tài)、CPU利用率等，這些參數(shù)就是被管理對象，在MIB中稱為節(jié)點。每個Agent都有自己的MIB。MIB定義了節(jié)點之間的層次關(guān)系以及對象的一系列屬性，比如對象的名字、訪問權(quán)限和數(shù)據(jù)類型等。被管理設備都有自己的MIB文件，在NMS上編譯這些MIB文件就能生成該設備的MIB。NMS根據(jù)訪問權(quán)限對MIB節(jié)點進行讀/寫操作，從而實現(xiàn)對Agent的管理。實驗背景實驗背景目前，設備支持SNMPv1、SNMPv2c和SNMPv3三種版本。只有NMS和Agent使用的SNMP版本相同，NMS才能和Agent建立連接。SNMPv1采用團體名（

3、Community Name）認證機制。團體名類似于密碼，用來限制NMS和Agent之間的通信。如果NMS設置的團體名和被管理設備上設置的團體名不同，則NMS和Agent不能建立SNMP連接，從而導致NMS無法訪問Agent，Agent發(fā)送的告警信息也會被NMS丟棄。SNMPv2c也采用團體名認證機制。SNMPv2c對SNMPv1的功能進行了擴展：提供了更多的操作類型；支持更多的數(shù)據(jù)類型；提供了更豐富的錯誤代碼，能夠更細致地區(qū)分錯誤。SNMPv3采用USM（User-Based Security Model，基于用戶的安全模型）認證機制。網(wǎng)絡管理員可以設置認證和加密功能。認證用于驗證報文發(fā)送方

4、的合法性，避免非法用戶的訪問；加密則是對NMS和Agent之間的傳輸報文進行加密，以免被竊聽。采用認證和加密功能可以為NMS和Agent之間的通信提供更高的安全性。實驗背景實驗背景為了網(wǎng)絡正常運行，防止非法訪問路由器，需要對路由器進行有效的管理。很多時候路由器放置距離較遠，不方便物理接觸，這時就需要建立遠程登錄用戶。還有的時候需要查看路由器的運行日志，可通過設定日志主機，路由器會自動將日志發(fā)送到日志主機上，便于管理員的管理。實驗目的實驗目的與內(nèi)容與內(nèi)容【實驗目的】【實驗目的】（1）掌握SNMPv1/SNMPv2c的配置方法。（2）掌握SNMPv3的配置方法。（3）掌握日志主機的配置方法。（4）

5、掌握命令行授權(quán)配置方法。（5）掌握命令行計費配置方法。（6）掌握定時執(zhí)行任務典型配置方法。實驗目的實驗目的與內(nèi)容與內(nèi)容【實驗內(nèi)容】【實驗內(nèi)容】（1）SNMPv1/SNMPv2c的配置。（2）SNMPv3的配置。（3）日志主機的配置。（4）命令行授權(quán)配置。（5）命令行計費配置。（6）定時執(zhí)行任務典型配置。實驗實驗設備設備H3C系列交換機和路由器各一臺，PC兩臺，其中一臺安裝網(wǎng)管軟件，直連雙絞線三根，專用配置電纜一根。網(wǎng)絡拓撲結(jié)構(gòu)如圖3.7所示?！緦嶒灐緦嶒炘O備設備】圖3.7 路由器系統(tǒng)管理拓撲結(jié)構(gòu)圖實驗實驗步驟步驟1將網(wǎng)絡搭建好并配置路由器接口地址H3C-GigabitEthernet0/0ip

6、 address 01 242SNMPv1/SNMPv2c的配置（1）配置路由器。設置H3C使用的SNMP版本為v1，只讀團體名為public，讀寫團體名為private。 system-viewH3C snmp-agent sys-info version v1H3C snmp-agent community read publicH3C snmp-agent community write private實驗實驗步驟步驟設置設備的聯(lián)系人和位置信息，以方便維護。H3C snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp

7、-agent sys-info location telephone-closet,3rd-floor設置允許向NMS發(fā)送告警信息，使用的團體名為public。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname public v1注意：snmp-agent target-host命令中指定的版本必須和NMS上運行的SNMP版本一致，因此需要將snmp-agent target-host命令中的版本參數(shù)設置為v1。否則，NMS無法

8、正確接收告警信息。實驗實驗步驟步驟（2）配置HWTACAS Server（NMS）。設置NMS使用的SNMP版本為SNMPv1，只讀團體名為public，讀寫團體名為private。另外，還可以根據(jù)需求設置“超時”時間和“重試次數(shù)”，具體配置請參考NMS的相關(guān)手冊。3SNMPv3的配置（1）配置路由器。設置訪問權(quán)限：用戶只能讀寫節(jié)點snmp（OID為.2.1.11）下的對象，不可以訪問其他MIB對象。 system-viewH3C undo snmp-agent mib-view ViewDefaultH3C snmp-agent mib-view included test s

9、nmpH3C snmp-agent group v3 managev3group privacy read-view test write-view test實驗實驗步驟步驟設置Agent使用的用戶名為managev3user，認證算法為MD5，認證密碼為authkey，加密算法為DES56，加密密碼是prikey。H3C snmp-agent usm-user v3 managev3user managev3group simple authentication-mode md5 authkey privacy-mode des56 prikey設置設備的聯(lián)系人和位置信息，以方便維護。H3C

10、 snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp-agent sys-info location telephone-closet,3rd-floor設置允許向NMS發(fā)送告警信息，使用的用戶名為managev3user。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname managev3user v3 privacy實驗實驗步驟步驟（2）配置HWTACAS Server（

11、NMS）。設置NMS使用的SNMP版本為SNMPv3，用戶名為managev3user，啟用認證和加密功能，認證算法為MD5，認證密碼為authkey，加密協(xié)議為DES56，加密密碼為prikey。另外，還可以根據(jù)需求設置“超時”時間和“重試次數(shù)”，具體配置請參考NMS的相關(guān)手冊4日志主機的配置（1）把日志發(fā)往控制臺的方法。 system-viewH3C info-center enable /開啟信息中心H3C info-center source default console deny/關(guān)閉控制臺方向所有模塊日志信息的輸出開關(guān)，由于系統(tǒng)對各方向允許輸出的日志信息的默認情況不一樣，因此配置

12、前必須將所有模塊指定方向（本例為console）上日志信息的輸出開關(guān)關(guān)閉，再根據(jù)當前的需求配置輸出規(guī)則，以免輸出太多不需要的信息。實驗實驗步驟步驟H3C info-center source ftp console level warning/配置輸出規(guī)則：允許FTP模塊的、等級高于等于warning的日志信息輸出H3C quit terminal logging level 6 terminal monitor /開啟終端顯示功能（2）把日志發(fā)往UNIX的方法。H3C上的配置。 system-viewH3C info-center enable /開啟信息中心H3C info-center

13、loghost 54 facility local4/配置發(fā)送日志信息到IP地址為54/24的日志主機，日志主機記錄工具為local4實驗實驗步驟步驟H3C info-center source default loghost deny/關(guān)閉loghost方向所有模塊日志信息的輸出開關(guān)H3C info-center source ftp loghost level informational/配置輸出規(guī)則：允許FTP模塊的、等級高于等于informational的日志信息輸出到日志主機（注意：允許輸出信息的模塊由產(chǎn)品決定）日志主機上的配置。下面以Sola

14、ris操作系統(tǒng)上的配置為例介紹日志主機上的配置，在其他廠商的UNIX操作系統(tǒng)上的配置操作基本類似。第一步：以超級用戶的身份登錄日志主機。第二步：在/var/log/路徑下為Device創(chuàng)建同名日志文件夾Device，在該文件夾創(chuàng)建文件info.log，用來存儲來自H3C的日志。# mkdir /var/log/Device# touch /var/log/Device/info.log實驗實驗步驟步驟第三步：編輯/etc/路徑下的文件syslog.conf，添加以下內(nèi)容。# Device configuration /var/log/Device/inf

15、o.log以上配置中，local4表示日志主機接收日志的工具名稱，info表示信息等級。UNIX系統(tǒng)會把等級高于等于informational的日志記錄到/var/log/Device/info.log文件中。第四步：查看系統(tǒng)守護進程syslogd的進程號，中止syslogd進程，并重新用-r選項在后臺啟動syslogd，使修改后配置生效。# ps -ae | grep syslogd147# kill -HUP 147# syslogd -r &進行以上操作之后，Device的日志信息會輸出到PC，PC會將這些日志信息存儲到相應的文件中。實驗實驗步驟步驟在編輯/etc/syslog.conf

16、時應注意以下問題：注釋必須獨立成行，并以字符#開頭。在文件名之后不得有多余的空格。/etc/syslog.conf中指定的工具名稱及信息等級與Device上info-center loghost和info-center source命令的相應參數(shù)的指定值要保持一致，否則日志信息可能無法正確輸出到日志主機上。5.命令行授權(quán)配置為了保證路由器的安全，需要對登錄用戶執(zhí)行命令的權(quán)限進行限制：用戶53登錄設備后，輸入的命令必須先獲得HWTACACS服務器的授權(quán)才能執(zhí)行；否則，不能執(zhí)行該命令。如果HWTACACS服務器故障導致授權(quán)失敗，則采用本地授權(quán)。實驗實驗步驟步驟在設備上配置IP地

17、址，以保證路由器、計算機和服務器之間互相路由可達（配置步驟略）。配置用戶登錄設備時需要輸入用戶名和密碼進行AAA認證，可以使用的命令由認證結(jié)果決定。 system-viewH3C telnet server enable /開啟設備的Telnet服務器功能，以便用戶訪問H3C line vty 0 4H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 command authorization/使能命令行授權(quán)功能，限制用戶只能使用授權(quán)成功的命令實驗實驗步驟步驟配置HWTACACS方案：授權(quán)服務器的IP地址:TCP端口號為10.0.

18、101.254:49（該端口號必須和HWTACACS服務器上的設置一致），報文的加密密碼是expert，登錄時不需要輸入域名，使用默認域。H3C-line-vty0-4 quitH3C hwtacacs scheme tacH3C-hwtacacs-tac primary authentication 54 49H3C-hwtacacs-tac primary authorization 54 49H3C-hwtacacs-tac key authentication expertH3C-hwtacacs-tac key authorization ex

19、pertH3C-hwtacacs-tac server-type standardH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit實驗實驗步驟步驟配置默認域的命令行授權(quán)AAA方案。使用HWTACACS方案。H3C domain systemH3C-isp-system authentication login hwtacacs-scheme tac localH3C-isp-system authorization command hwtacacs-scheme tac localH3C-isp-syst

20、em quit配置本地認證所需參數(shù)：創(chuàng)建本地用戶CQUT，密碼為123，可使用的服務類型為telnet，可使用默認級別等于或低于1（監(jiān)控級）的命令。H3C local-user CQUTH3C-luser-manage-CQUT password cipher 123H3C-luser-manage-CQUT service-type telnetH3C-luser-manage-CQUT authorization-attribute user-role level-1實驗實驗步驟步驟6.命令行計費配置為便于集中控制、監(jiān)控用戶對設備的操作，需要將登錄用戶執(zhí)行的命令發(fā)送到HWTACACS服務器

21、進行記錄。開啟設備的Telnet服務器功能，以便用戶訪問。 system-viewH3C telnet server enable配置使用Console口登錄設備的用戶執(zhí)行的命令需要發(fā)送到HWTACACS服務器進行記錄。H3C line console 0H3C-line-console0 command accountingH3C-line-console0 quit實驗實驗步驟步驟配置使用Telnet或者SSH登錄的用戶執(zhí)行的命令需要發(fā)送到HWTACACS服務器進行記錄。H3C line vty 0 4H3C-line-vty0-4 command accountingH3C-line-v

22、ty0-4 quit配置HWTACACS方案。計費服務器的IP地址：TCP端口號為54:49，報文的加密密碼是expert，登錄時不需要輸入域名，使用默認域。H3C hwtacacs scheme tacH3C-hwtacacs-tac primary accounting 54 49H3C-hwtacacs-tac key accounting expertH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit 實驗實驗步驟步驟配置默認域的命令行計費AAA方案，使用HW

23、TACACS方案。H3C domain systemH3C-isp-system accounting command hwtacacs-scheme tacH3C-isp-system quit實驗實驗步驟步驟10.、定時執(zhí)行任務典型配置對路由器進行配置，在星期一到星期五的上午8點到下午18點開啟GigabitEthernet0/0，其他時間關(guān)閉端口，以便起到有效節(jié)能的作用。 system-view創(chuàng)建關(guān)閉GigabitEthernet0/0的Job。H3C scheduler job shutdown-GigabitEthernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 1 system-viewH3C-job-shutdown-GigabitEthernet0/0 command 2 interface Gigabitethernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 3 shutdownH3C-j