實(shí)驗(yàn)3.3系統(tǒng)管理實(shí)驗(yàn)

1、XXXXXX實(shí)驗(yàn)實(shí)驗(yàn)3.3 3.3 系統(tǒng)管理實(shí)驗(yàn)系統(tǒng)管理實(shí)驗(yàn)實(shí)驗(yàn)背景實(shí)驗(yàn)?zāi)康呐c內(nèi)容2實(shí)驗(yàn)設(shè)備3實(shí)驗(yàn)步驟4實(shí)驗(yàn)背景實(shí)驗(yàn)背景【實(shí)驗(yàn)【實(shí)驗(yàn)背景背景】SNMP網(wǎng)絡(luò)架構(gòu)由三部分組成：NMS、Agent和MIB。NMS（Network Management System，網(wǎng)絡(luò)管理系統(tǒng)）是SNMP網(wǎng)絡(luò)的管理者，能夠提供友好的人機(jī)交互界面，方便網(wǎng)絡(luò)管理員完成大多數(shù)的網(wǎng)絡(luò)管理工作；Agent是SNMP網(wǎng)絡(luò)的被管理者，負(fù)責(zé)接收、處理來(lái)自NMS的SNMP報(bào)文。在某些情況下，如接口狀態(tài)發(fā)生改變時(shí)，Agent也會(huì)主動(dòng)向NMS發(fā)送告警信息；MIB（Management Information Base，管理信息庫(kù)）是被管

2、理對(duì)象的集合。NMS管理設(shè)備的時(shí)候，通常會(huì)關(guān)注設(shè)備的一些參數(shù)，比如接口狀態(tài)、CPU利用率等，這些參數(shù)就是被管理對(duì)象，在MIB中稱為節(jié)點(diǎn)。每個(gè)Agent都有自己的MIB。MIB定義了節(jié)點(diǎn)之間的層次關(guān)系以及對(duì)象的一系列屬性，比如對(duì)象的名字、訪問(wèn)權(quán)限和數(shù)據(jù)類型等。被管理設(shè)備都有自己的MIB文件，在NMS上編譯這些MIB文件就能生成該設(shè)備的MIB。NMS根據(jù)訪問(wèn)權(quán)限對(duì)MIB節(jié)點(diǎn)進(jìn)行讀/寫操作，從而實(shí)現(xiàn)對(duì)Agent的管理。實(shí)驗(yàn)背景實(shí)驗(yàn)背景目前，設(shè)備支持SNMPv1、SNMPv2c和SNMPv3三種版本。只有NMS和Agent使用的SNMP版本相同，NMS才能和Agent建立連接。SNMPv1采用團(tuán)體名（

3、Community Name）認(rèn)證機(jī)制。團(tuán)體名類似于密碼，用來(lái)限制NMS和Agent之間的通信。如果NMS設(shè)置的團(tuán)體名和被管理設(shè)備上設(shè)置的團(tuán)體名不同，則NMS和Agent不能建立SNMP連接，從而導(dǎo)致NMS無(wú)法訪問(wèn)Agent，Agent發(fā)送的告警信息也會(huì)被NMS丟棄。SNMPv2c也采用團(tuán)體名認(rèn)證機(jī)制。SNMPv2c對(duì)SNMPv1的功能進(jìn)行了擴(kuò)展：提供了更多的操作類型；支持更多的數(shù)據(jù)類型；提供了更豐富的錯(cuò)誤代碼，能夠更細(xì)致地區(qū)分錯(cuò)誤。SNMPv3采用USM（User-Based Security Model，基于用戶的安全模型）認(rèn)證機(jī)制。網(wǎng)絡(luò)管理員可以設(shè)置認(rèn)證和加密功能。認(rèn)證用于驗(yàn)證報(bào)文發(fā)送方

4、的合法性，避免非法用戶的訪問(wèn)；加密則是對(duì)NMS和Agent之間的傳輸報(bào)文進(jìn)行加密，以免被竊聽(tīng)。采用認(rèn)證和加密功能可以為NMS和Agent之間的通信提供更高的安全性。實(shí)驗(yàn)背景實(shí)驗(yàn)背景為了網(wǎng)絡(luò)正常運(yùn)行，防止非法訪問(wèn)路由器，需要對(duì)路由器進(jìn)行有效的管理。很多時(shí)候路由器放置距離較遠(yuǎn)，不方便物理接觸，這時(shí)就需要建立遠(yuǎn)程登錄用戶。還有的時(shí)候需要查看路由器的運(yùn)行日志，可通過(guò)設(shè)定日志主機(jī)，路由器會(huì)自動(dòng)將日志發(fā)送到日志主機(jī)上，便于管理員的管理。實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)?zāi)康呐c內(nèi)容與內(nèi)容【實(shí)驗(yàn)?zāi)康摹俊緦?shí)驗(yàn)?zāi)康摹浚?）掌握SNMPv1/SNMPv2c的配置方法。（2）掌握SNMPv3的配置方法。（3）掌握日志主機(jī)的配置方法。（4）

5、掌握命令行授權(quán)配置方法。（5）掌握命令行計(jì)費(fèi)配置方法。（6）掌握定時(shí)執(zhí)行任務(wù)典型配置方法。實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)?zāi)康呐c內(nèi)容與內(nèi)容【實(shí)驗(yàn)內(nèi)容】【實(shí)驗(yàn)內(nèi)容】（1）SNMPv1/SNMPv2c的配置。（2）SNMPv3的配置。（3）日志主機(jī)的配置。（4）命令行授權(quán)配置。（5）命令行計(jì)費(fèi)配置。（6）定時(shí)執(zhí)行任務(wù)典型配置。實(shí)驗(yàn)實(shí)驗(yàn)設(shè)備設(shè)備H3C系列交換機(jī)和路由器各一臺(tái)，PC兩臺(tái)，其中一臺(tái)安裝網(wǎng)管軟件，直連雙絞線三根，專用配置電纜一根。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3.7所示?！緦?shí)驗(yàn)【實(shí)驗(yàn)設(shè)備設(shè)備】圖3.7 路由器系統(tǒng)管理拓?fù)浣Y(jié)構(gòu)圖實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟1將網(wǎng)絡(luò)搭建好并配置路由器接口地址H3C-GigabitEthernet0/0ip

6、 address 01 242SNMPv1/SNMPv2c的配置（1）配置路由器。設(shè)置H3C使用的SNMP版本為v1，只讀團(tuán)體名為public，讀寫團(tuán)體名為private。 system-viewH3C snmp-agent sys-info version v1H3C snmp-agent community read publicH3C snmp-agent community write private實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟設(shè)置設(shè)備的聯(lián)系人和位置信息，以方便維護(hù)。H3C snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp

7、-agent sys-info location telephone-closet,3rd-floor設(shè)置允許向NMS發(fā)送告警信息，使用的團(tuán)體名為public。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname public v1注意：snmp-agent target-host命令中指定的版本必須和NMS上運(yùn)行的SNMP版本一致，因此需要將snmp-agent target-host命令中的版本參數(shù)設(shè)置為v1。否則，NMS無(wú)法

8、正確接收告警信息。實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟（2）配置HWTACAS Server（NMS）。設(shè)置NMS使用的SNMP版本為SNMPv1，只讀團(tuán)體名為public，讀寫團(tuán)體名為private。另外，還可以根據(jù)需求設(shè)置“超時(shí)”時(shí)間和“重試次數(shù)”，具體配置請(qǐng)參考NMS的相關(guān)手冊(cè)。3SNMPv3的配置（1）配置路由器。設(shè)置訪問(wèn)權(quán)限：用戶只能讀寫節(jié)點(diǎn)snmp（OID為.2.1.11）下的對(duì)象，不可以訪問(wèn)其他MIB對(duì)象。 system-viewH3C undo snmp-agent mib-view ViewDefaultH3C snmp-agent mib-view included test s

9、nmpH3C snmp-agent group v3 managev3group privacy read-view test write-view test實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟設(shè)置Agent使用的用戶名為managev3user，認(rèn)證算法為MD5，認(rèn)證密碼為authkey，加密算法為DES56，加密密碼是prikey。H3C snmp-agent usm-user v3 managev3user managev3group simple authentication-mode md5 authkey privacy-mode des56 prikey設(shè)置設(shè)備的聯(lián)系人和位置信息，以方便維護(hù)。H3C

10、 snmp-agent sys-info contact Mr.Wang-Tel:3306H3C snmp-agent sys-info location telephone-closet,3rd-floor設(shè)置允許向NMS發(fā)送告警信息，使用的用戶名為managev3user。H3C snmp-agent trap enableH3C snmp-agent target-host trap address udp-domain 54 params securityname managev3user v3 privacy實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟（2）配置HWTACAS Server（

11、NMS）。設(shè)置NMS使用的SNMP版本為SNMPv3，用戶名為managev3user，啟用認(rèn)證和加密功能，認(rèn)證算法為MD5，認(rèn)證密碼為authkey，加密協(xié)議為DES56，加密密碼為prikey。另外，還可以根據(jù)需求設(shè)置“超時(shí)”時(shí)間和“重試次數(shù)”，具體配置請(qǐng)參考NMS的相關(guān)手冊(cè)4日志主機(jī)的配置（1）把日志發(fā)往控制臺(tái)的方法。 system-viewH3C info-center enable /開(kāi)啟信息中心H3C info-center source default console deny/關(guān)閉控制臺(tái)方向所有模塊日志信息的輸出開(kāi)關(guān)，由于系統(tǒng)對(duì)各方向允許輸出的日志信息的默認(rèn)情況不一樣，因此配置

12、前必須將所有模塊指定方向（本例為console）上日志信息的輸出開(kāi)關(guān)關(guān)閉，再根據(jù)當(dāng)前的需求配置輸出規(guī)則，以免輸出太多不需要的信息。實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟H3C info-center source ftp console level warning/配置輸出規(guī)則：允許FTP模塊的、等級(jí)高于等于warning的日志信息輸出H3C quit terminal logging level 6 terminal monitor /開(kāi)啟終端顯示功能（2）把日志發(fā)往UNIX的方法。H3C上的配置。 system-viewH3C info-center enable /開(kāi)啟信息中心H3C info-center

13、loghost 54 facility local4/配置發(fā)送日志信息到IP地址為54/24的日志主機(jī)，日志主機(jī)記錄工具為local4實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟H3C info-center source default loghost deny/關(guān)閉loghost方向所有模塊日志信息的輸出開(kāi)關(guān)H3C info-center source ftp loghost level informational/配置輸出規(guī)則：允許FTP模塊的、等級(jí)高于等于informational的日志信息輸出到日志主機(jī)（注意：允許輸出信息的模塊由產(chǎn)品決定）日志主機(jī)上的配置。下面以Sola

14、ris操作系統(tǒng)上的配置為例介紹日志主機(jī)上的配置，在其他廠商的UNIX操作系統(tǒng)上的配置操作基本類似。第一步：以超級(jí)用戶的身份登錄日志主機(jī)。第二步：在/var/log/路徑下為Device創(chuàng)建同名日志文件夾Device，在該文件夾創(chuàng)建文件info.log，用來(lái)存儲(chǔ)來(lái)自H3C的日志。# mkdir /var/log/Device# touch /var/log/Device/info.log實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟第三步：編輯/etc/路徑下的文件syslog.conf，添加以下內(nèi)容。# Device configuration /var/log/Device/inf

15、o.log以上配置中，local4表示日志主機(jī)接收日志的工具名稱，info表示信息等級(jí)。UNIX系統(tǒng)會(huì)把等級(jí)高于等于informational的日志記錄到/var/log/Device/info.log文件中。第四步：查看系統(tǒng)守護(hù)進(jìn)程syslogd的進(jìn)程號(hào)，中止syslogd進(jìn)程，并重新用-r選項(xiàng)在后臺(tái)啟動(dòng)syslogd，使修改后配置生效。# ps -ae | grep syslogd147# kill -HUP 147# syslogd -r &進(jìn)行以上操作之后，Device的日志信息會(huì)輸出到PC，PC會(huì)將這些日志信息存儲(chǔ)到相應(yīng)的文件中。實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟在編輯/etc/syslog.conf

16、時(shí)應(yīng)注意以下問(wèn)題：注釋必須獨(dú)立成行，并以字符#開(kāi)頭。在文件名之后不得有多余的空格。/etc/syslog.conf中指定的工具名稱及信息等級(jí)與Device上info-center loghost和info-center source命令的相應(yīng)參數(shù)的指定值要保持一致，否則日志信息可能無(wú)法正確輸出到日志主機(jī)上。5.命令行授權(quán)配置為了保證路由器的安全，需要對(duì)登錄用戶執(zhí)行命令的權(quán)限進(jìn)行限制：用戶53登錄設(shè)備后，輸入的命令必須先獲得HWTACACS服務(wù)器的授權(quán)才能執(zhí)行；否則，不能執(zhí)行該命令。如果HWTACACS服務(wù)器故障導(dǎo)致授權(quán)失敗，則采用本地授權(quán)。實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟在設(shè)備上配置IP地

17、址，以保證路由器、計(jì)算機(jī)和服務(wù)器之間互相路由可達(dá)（配置步驟略）。配置用戶登錄設(shè)備時(shí)需要輸入用戶名和密碼進(jìn)行AAA認(rèn)證，可以使用的命令由認(rèn)證結(jié)果決定。 system-viewH3C telnet server enable /開(kāi)啟設(shè)備的Telnet服務(wù)器功能，以便用戶訪問(wèn)H3C line vty 0 4H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 command authorization/使能命令行授權(quán)功能，限制用戶只能使用授權(quán)成功的命令實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟配置HWTACACS方案：授權(quán)服務(wù)器的IP地址:TCP端口號(hào)為10.0.

18、101.254:49（該端口號(hào)必須和HWTACACS服務(wù)器上的設(shè)置一致），報(bào)文的加密密碼是expert，登錄時(shí)不需要輸入域名，使用默認(rèn)域。H3C-line-vty0-4 quitH3C hwtacacs scheme tacH3C-hwtacacs-tac primary authentication 54 49H3C-hwtacacs-tac primary authorization 54 49H3C-hwtacacs-tac key authentication expertH3C-hwtacacs-tac key authorization ex

19、pertH3C-hwtacacs-tac server-type standardH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟配置默認(rèn)域的命令行授權(quán)AAA方案。使用HWTACACS方案。H3C domain systemH3C-isp-system authentication login hwtacacs-scheme tac localH3C-isp-system authorization command hwtacacs-scheme tac localH3C-isp-syst

20、em quit配置本地認(rèn)證所需參數(shù)：創(chuàng)建本地用戶CQUT，密碼為123，可使用的服務(wù)類型為telnet，可使用默認(rèn)級(jí)別等于或低于1（監(jiān)控級(jí)）的命令。H3C local-user CQUTH3C-luser-manage-CQUT password cipher 123H3C-luser-manage-CQUT service-type telnetH3C-luser-manage-CQUT authorization-attribute user-role level-1實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟6.命令行計(jì)費(fèi)配置為便于集中控制、監(jiān)控用戶對(duì)設(shè)備的操作，需要將登錄用戶執(zhí)行的命令發(fā)送到HWTACACS服務(wù)器

21、進(jìn)行記錄。開(kāi)啟設(shè)備的Telnet服務(wù)器功能，以便用戶訪問(wèn)。 system-viewH3C telnet server enable配置使用Console口登錄設(shè)備的用戶執(zhí)行的命令需要發(fā)送到HWTACACS服務(wù)器進(jìn)行記錄。H3C line console 0H3C-line-console0 command accountingH3C-line-console0 quit實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟配置使用Telnet或者SSH登錄的用戶執(zhí)行的命令需要發(fā)送到HWTACACS服務(wù)器進(jìn)行記錄。H3C line vty 0 4H3C-line-vty0-4 command accountingH3C-line-v

22、ty0-4 quit配置HWTACACS方案。計(jì)費(fèi)服務(wù)器的IP地址：TCP端口號(hào)為54:49，報(bào)文的加密密碼是expert，登錄時(shí)不需要輸入域名，使用默認(rèn)域。H3C hwtacacs scheme tacH3C-hwtacacs-tac primary accounting 54 49H3C-hwtacacs-tac key accounting expertH3C-hwtacacs-tac user-name-format without-domainH3C-hwtacacs-tac quit 實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟配置默認(rèn)域的命令行計(jì)費(fèi)AAA方案，使用HW

23、TACACS方案。H3C domain systemH3C-isp-system accounting command hwtacacs-scheme tacH3C-isp-system quit實(shí)驗(yàn)實(shí)驗(yàn)步驟步驟10.、定時(shí)執(zhí)行任務(wù)典型配置對(duì)路由器進(jìn)行配置，在星期一到星期五的上午8點(diǎn)到下午18點(diǎn)開(kāi)啟GigabitEthernet0/0，其他時(shí)間關(guān)閉端口，以便起到有效節(jié)能的作用。 system-view創(chuàng)建關(guān)閉GigabitEthernet0/0的Job。H3C scheduler job shutdown-GigabitEthernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 1 system-viewH3C-job-shutdown-GigabitEthernet0/0 command 2 interface Gigabitethernet 0/0H3C-job-shutdown-GigabitEthernet0/0 command 3 shutdownH3C-j