排障流程图
1. 检查交换机与网管之间是否路由可达
操作步骤
- 在交换机上ping网管IP地址,检查是否能够ping通。
- 如果ping不通,请执行命令display ip routing-table是否有可达路由。
- 如果路由不可达,请检查路由部分的配置。如果路由可达,请用户参见《CloudEngine系列交换机 TOP故障快速定位指导 Ping不通》。
2. 检查网管IP是否在ACL允许访问的规则中
操作步骤
- 执行命令display current-configuration configuration snmp,查看交换机的SNMP配置信息。可以看出交换机的SNMP访问控制列表使用的是ACL2000。
- <HUAWEI> display current-configuration configuration snmp
- #
- snmp-agent
- snmp-agent acl 2000
- snmp-agent local-engineid 800007DB03AC948400DF01
- snmp-agent community read cipher %^%#kxEr)!^'|S>X%cI4emAS[j/)39Gb#W+8O!&#Py550d/v0#JUA$Y,i$Zb>wg3-mX*E1fI{Y^>-b2ad[)5%^%# mib-view alliso
- snmp-agent community write cipher %^%#csGnU=S5C!gk_D.7gO_AE>RS=kf"XMnPWh/>f3_;=8^p+jLDj1Y';o"Z@,1@b(`[Vj&8ANRLafGCWEGJ%^%# mib-view alliso
- #
- snmp-agent sys-info version all
10. #
11. snmp-agent mib-view included alliso iso
12. #
return
- 查看ACL2000中包含的规则信息,确认网管的IP地址是否在ACL2000允许访问的规则中。如果不在请将网管IP地址添加到ACL2000允许访问的规则中。
- <HUAWEI> system-view
- [~HUAWEI] acl 2000
- [~HUAWEI-acl4-basic-2000] display this
- #
- acl number 2000
- rule 10 permit source 10.138.109.114 0
- #
return
3. 检查网管访问的MIB节点是否在MIB视图中
操作步骤
- 执行命令display current-configuration configuration snmp,查看交换机的SNMP配置信息。重点关注交换机上SNMP团体名可以访问的MIB视图以及创建MIB视图时使用的是included还是excluded。
如果没有配置MIB视图,则团体名可以访问Viewdefault视图(OID:1.3.6.1),MIB子树中包括除了snmpVacmMIB、snmpUsmMIB和snmpCommunityMIB之外的其它internet子节点。
<HUAWEI> display current-configuration configuration snmp#snmp-agentsnmp-agent acl 2000snmp-agent local-engineid 800007DB03AC948400DF01snmp-agent community read cipher %^%#kxEr)!^'|S>X%cI4emAS[j/)39Gb#W+8O!&#Py550d/v0#JUA$Y,i$Zb>wg3-mX*E1fI{Y^>-b2ad[)5%^%# mib-view allisosnmp-agent community write cipher %^%#csGnU=S5C!gk_D.7gO_AE>RS=kf"XMnPWh/>f3_;=8^p+jLDj1Y';o"Z@,1@b(`[Vj&8ANRLafGCWEGJ%^%# mib-view alliso#snmp-agent sys-info version all#snmp-agent mib-view included alliso iso#return - 执行命令display snmp-agent mib-view,查看交换机当前配置的MIB视图。确认网管访问的MIB节点是否在SNMP团体名允许访问的MIB视图中,如果不在请修改MIB视图的范围,使MIB视图包含该MIB节点。
1. <HUAWEI> display snmp-agent mib-view
2. View name: alliso
3. MIB Subtree: iso
4. Subtree mask: 80(Hex)
5. Storage type: nonVolatile
6. View Type: included
7. View status: active
8.
9. View name: ViewDefault
10. MIB Subtree: internet
11. Subtree mask: F0(Hex)
12. Storage type: nonVolatile
13. View Type: included
14. View status: active
15.
16. View name: ViewDefault
17. MIB Subtree: snmpCommunityMIB
18. Subtree mask: FE(Hex)
19. Storage type: nonVolatile
20. View Type: excluded
21. View status: active
22.
23. View name: ViewDefault
24. MIB Subtree: snmpUsmMIB
25. Subtree mask: FE(Hex)
26. Storage type: nonVolatile
27. View Type: excluded
28. View status: active
29.
30. View name: ViewDefault
31. MIB Subtree: snmpVacmMIB
32. Subtree mask: FE(Hex)
33. Storage type: nonVolatile
34. View Type: excluded
35. View status: active
36.
Total count is 5
4. 检查网管导入的MIB文件是否为CE交换机的MIB文件
操作步骤
- 第三方网管不能自动识别CE交换机的MIB节点,请用户检查导入的MIB文件是否为CE交换机的MIB文件。
- 如果不是,请登录华为企业用户技术支持网站(http://support.huawei.com/enterprise)或运营商用户技术支持网站(http://support.huawei.com/carrier/),根据交换机的款型和版本,进入相应软件包的下载页面,选择下载MIB文件。将下载好的MIB文件导入网管。
5. 检查CE交换机上是否存在SNMP认证失败信息
操作步骤
- 执行命令display snmp-agent diagnose authentication-failures,查看交换机上是否存在SNMP认证失败信息。如果失败原因是Community is incorrect(网管和交换机配置的SNMP团体名不一致),请执行步骤2;如果失败原因是Version is incorrect(网管和交换机使用的SNMP协议版本不一致),请执行步骤3;如果是其他原因,请联系技术支持人员。
1. <HUAWEI> system-view
2. [~HUAWEI] diagnose
3. [~HUAWEI-diagnose] display snmp-agent diagnose authentication-failures
4.
5. *******************************************************************
6. DateTime: 2016-05-17, 15:55:06:152, IP: 10.138.109.114, Reason: Community is incorrect.
7. DateTime: 2016-05-17, 11:07:34:251, IP: 10.138.109.114, Reason: Version is incorrect.
*******************************************************************
-
交换机配置的SNMP团体名是以密文形式保存的,所以用户如果忘记配置的团体名,建议用户重新配置团体名,使之与网管侧保持一致。具体配置命令如下。1. <HUAWEI> system-view
2. [~HUAWEI] snmp-agent community read Public_NMS mib-view alliso
3. [*HUAWEI] snmp-agent community write Private_NMS mib-view alliso
[*HUAWEI] commit
6. 检查SNMP与CFG会话是否存在错误
操作步骤
- 执行命令display snmp-agent diagnose fail-operation operation-count,查看SNMP与CFG会话是否存在错误。如果不存在,请联系技术支持人员。
1. <HUAWEI> system-view
2. [~HUAWEI] diagnose
3. [~HUAWEI-diagnose] display snmp-agent diagnose fail-operation 10
4. -------------------------------------------------------------------
5. Total number of failure requests saved : 1000
6. Total number of failure requests: 3715
7. -------------------------------------------------------------------
8.
9. Failure Request No: 1
10. -------------------------------------------------------------------
11. Time: 2016-03-17, 07:46:27:193-06:00
12. Request VSID: 0
13. Agent Request ID: 116
14. PDU Request ID: 6917
15. CFG Session ID: 45
16. CFG Transaction ID: 11039265
17. Class ID: 0x0
18. Field ID: 0
19. CFG Info Code: 0
20. CFG Error Code: 0x0
21. SNMP Error Code: SNMP_ERR_TIMEOUT (0x2110007C)
22. Function Return Code: SNMPA_ERR_REQ_TIMEOUT (0x800B5C)
Operation Type: SNMP_GET (160)-------------------------------------------------------------------7. 查看交换机SNMP响应时间是否超过网管设置的SNMP超时时间
操作步骤
- 在网管上通过获取报文工具,获取SNMP报文。
- 分析交换机SNMP响应时间是否超过网管设置的SNMP超时时间,如果没有超过,则说明网管解析SNMP报文错误,请联系网管进行故障定位。
如图1所示,No.为11699的SNMP报文,是网管发送给交换机的SNMP请求报文,发送时间为:2016-05-23 19:22:44.755244。No.为11703的SNMP报文,是交换机发送给网管的SNMP响应报文,网管接收到的时间为:2016-05-23 19:22:44.774362。所以从网管上看,交换机SNMP响应时间为0.019118秒。
图1 获取的SNMP报文
8. 收集信息并寻求技术支持
如果上述步骤未能解决问题,请先按如下步骤收集相关信息,然后寻求技术支持。
操作步骤
- 收集上述步骤的操作结果,并记录到文件中。
- 一键式收集设备的所有诊断信息并导出文件。
- 在用户视图下,执行display diagnostic-information file-name命令,采集设备诊断信息并保存为文件。
b. <HUAWEI> display diagnostic-information dia-info.txt
c. Now saving the diagnostic information to the device
d. 100%
e. Info: The diagnostic information was saved to the device successfully.
生成的文本文件的缺省保存路径为flash:/,您可以在用户视图下使用dir命令可以确认文件是否正确生成。- 当诊断信息文件生成之后,您可以通过FTP、SFTP、SCP等方式将其从设备上导出,详细操作可参考“管理本地文件”。
您也可以直接执行display diagnostic-information命令,并通过终端日志存盘方式获取设备诊断信息文件,详细操作可参见“设备诊断信息文件获取指导”。
- 收集设备的日志和告警信息并导出文件。
-
执行以下命令,将缓冲区的日志和告警信息保存为文件。
a. <HUAWEI> save logfile //收集普通用户日志
b. <HUAWEI> system-view
c. [~HUAWEI] diagnose
d. [~HUAWEI-diagnose] save logfile diagnose-log //收集诊断日志
e. [~HUAWEI-diagnose] collect diagnostic information //收集操作系统诊断信息
- 当日志信息文件生成之后,您可以通过FTP、SFTP、SCP等方式将其从设备上导出,详细操作可参考“管理本地文件”。
您也可以直接执行display logbuffer和display trapbuffer命令查看设备的日志和告警信息,并通过终端日志存盘方式获取日志和告警信息文件,操作方法与设备诊断信息文件的获取方式相同,可参见“设备诊断信息文件获取指导”。
- 寻求技术支持。
- 请您参考如下网页链接信息http://e.huawei.com/cn/how-to-buy/contact-us,寻求技术支持。
说明:
在技术支持过程中,请按技术支持人员的指导,将收集的所有信息和文件完整提交,方便技术支持人员进行问题定位。
------------------------------------------------------------------- -
对接案例,请您参考
配置设备使用SNMPv2c与网管通信示例
组网需求
如图1所示,现有网络中网管NMS1和NMS2对网络中的设备进行监管。由于网络规模较大,安全性较高,但运行的业务较为繁忙,在规划时配置设备使用SNMPv2c版本与网管进行通信。现在由于扩容需要,新增一台交换机,并由网管对其进行监管。
用户希望通过利用现有的网络资源对交换机进行监管,并且在发生故障时能够快速对故障进行定位和排除。根据用户业务需要,网管站需要对交换机上除ISIS之外的节点进行管理。
图1 配置使用SNMPv2c与网管通信组网图
配置思路
考虑到用户所在网络规模较大,安全性较高,业务较繁忙等因素,因此新增设备依然使用SNMPv2c版本。为减轻网管站的负担,选取NMS2来监管交换机,NMS1不监管交换机。
采用如下的配置思路:
1. 配置交换机的SNMP版本为SNMPv2c。
2. 配置访问权限,使NMS2可以管理交换机上ISIS之外的节点。
3. 配置告警主机,使交换机产生的告警能够发送至NMS2。为了方便对告警信息进行定位,避免过多的无用告警对处理问题造成干扰,仅允许缺省打开的模块可以发送告警。
4. 配置网管站(仅NMS2)。
操作步骤
1. 配置交换机的接口IP地址
2. <HUAWEI> system-view
3. [~HUAWEI] sysname Switch
4. [*HUAWEI] commit
5. [~Switch] vlan batch 100
6. [*Switch] interface vlanif 100
7. [*Switch-Vlanif100] ip address 10.1.2.1 24
8. [*Switch-Vlanif100] quit
9. [*Switch] interface 10ge 1/0/1
10. [*Switch-10GE1/0/1] port link-type trunk
11. [*Switch-10GE1/0/1] port trunk allow-pass vlan 100
12. [*Switch-10GE1/0/1] quit
[*Switch] commit
13. 配置交换机和网管站之间路由可达
14. [~Switch] ospf
15. [*Switch-ospf-1] area 0
16. [*Switch-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
17. [*Switch-ospf-1-area-0.0.0.0] quit
18. [*Switch-ospf-1] quit
[*Switch] commit
19. 配置交换机的SNMP版本为SNMPv2c
[~Switch] snmp-agent sys-info version v2c
20. 配置访问权限
# 配置ACL,只允许NMS2可以管理交换机。
[*Switch] acl 2001
[*Switch-acl4-basic-2001] rule 5 permit source 10.1.1.2 0.0.0.0
[*Switch-acl4-basic-2001] quit
# 配置MIB视图,限制NMS2可以管理交换机上除ISIS之外的节点。
[*Switch] snmp-agent mib-view excluded allextisis 1.3.6.1.3.37
# 配置团体名并引用ACL和MIB视图。
[*Switch] snmp-agent community write adminNMS1234 mib-view allextisis acl 2001
21. 配置告警主机
22. [*Switch] snmp-agent target-host host-name NMS2 inform address udp-domain 10.1.1.2 params securityname adminNMS1234 v2c
23. [*Switch] snmp-agent inform timeout 5 resend-times 6 pending 7
24. [*Switch] commit
[~Switch] quit
25. 配置网管站(NMS2)
以eSight V300R005C00为例,说明网管侧的配置。
a. 在主菜单中选择“资源 > 资源添加 > 单个添加”,单击“网络设备”。
b. 单击“SNMP协议 > 手动编辑SNMP参数”,配置SNMP版本为V2c,读团体字为adminNMS1234,写团体字为adminNMS1234,端口号为161。
此处网管侧配置的团体名和端口号必须与设备侧保持一致,且设备侧需要使能网管侧配置的SNMP版本,否则将无法连接设备。
如果设备上只配置了write团体名,那么网管侧读和写团体名都用设备上配置的write团体名。
c. 单击“确定”。
图2 eSight网管SNMP配置界面
26. 验证配置结果
配置完成后,交换机和NMS2建立连接,在NMS2上可以对交换机进行管理,同时也可以接收到交换机发送的告警信息。
执行下面的命令,检查部分配置内容。
# 查看团体名的配置信息。
<Switch> display snmp-agent community
Community name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
Group name: %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%#
Acl: 2001
Storage-type: nonVolatile
# 查看告警主机。
<Switch> display snmp-agent target-host
Target host NO. 1
---------------------------------------------------------------------------
Host name : NMS2
IP address : 10.1.1.2
Source interface : -
VPN instance : -
Security name : %^%#.&h-$,1jCK-Vsk)}iAO'4oHASwPgq<2i^,6m7~IB%^%#
Port : 162
Type : inform
Version : v2c
Level : No authentication and privacy
NMS type : NMS
With ext vb : No
Notification filter profile name : -
Heart beat required : No
---------------------------------------------------------------------------
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 100
#
acl number 2001
rule 5 permit source 10.1.1.2 0
#
interface Vlanif100
ip address 10.1.2.1 255.255.255.0
#
interface 10GE1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ospf 1
area 0.0.0.0
network 10.1.2.0 0.0.0.255
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community write cipher %^%#K[&`Jc~_4H-~.>0:m%dK:*7s,{(3i02`R$>&n}+56Pb'@]rd}NT@o4.7RG'8ScPW0=d%O<1oU+7KHS[I%^%# mib-view allextisis acl 2001
#
snmp-agent sys-info version v2c v3
snmp-agent target-host host-name NMS2 inform address udp-domain 10.1.1.2 params securityname cipher %^%#.&h-$,1jCK-Vsk)}iAO'4oHASwPgq<2i^,6m7~IB%^%# v2c
#
snmp-agent mib-view excluded allextisis isisMIB
#
snmp-agent inform timeout 5
snmp-agent inform resend-times 6
snmp-agent inform pending 7
#
return
- 请您参考如下网页链接信息http://e.huawei.com/cn/how-to-buy/contact-us,寻求技术支持。
- 执行命令display snmp-agent diagnose fail-operation operation-count,查看SNMP与CFG会话是否存在错误。如果不存在,请联系技术支持人员。
- 执行命令display snmp-agent diagnose authentication-failures,查看交换机上是否存在SNMP认证失败信息。如果失败原因是Community is incorrect(网管和交换机配置的SNMP团体名不一致),请执行步骤2;如果失败原因是Version is incorrect(网管和交换机使用的SNMP协议版本不一致),请执行步骤3;如果是其他原因,请联系技术支持人员。
- 执行命令display current-configuration configuration snmp,查看交换机的SNMP配置信息。可以看出交换机的SNMP访问控制列表使用的是ACL2000。