实验3.3 系统管理实验

实验背景
为了网络正常运行，防止非法访问路由器，需要对路由器进行有效的管理 。很多时候路由器放置距离较远，不方便物理接触，这时就需要建立远程 登录用户。还有的时候需要查看路由器的运行日志，可通过设定日志主机 ，路由器会自动将日志发送到日志主机上，便于管理员的管理。
实验目的与内容
【实验目的】
（1）掌握SNMPv1/SNMPv2c的配置方法。 （2）掌握SNMPv3的配置方法。 （3）掌握日志主机的配置方法。 （4）掌握命令行授权配置方法。 （5）掌握命令行计费配置方法。 （6）掌握定时执行任务典型配置方法。
实验步骤
[H3C] info-center source ftp console level warning //配置输出规则：允许FTP模块的、等级高于等于warning的日志信息输出 [H3C] quit <H3C> terminal logging level 6 <H3C> terminal monitor //开启终端显示功能 （2）把日志发往UNIX的方法。 H3C上的配置。 <H3C> system-view [H3C] info-center enable //开启信息中心 [H3C] info-center loghost 10.0.101.254 facility local4 //配置发送日志信息到IP地址为10.0.101.254/24的日志主机，日志主机记录工具为 local4
实验步骤
第三步：编辑/etc/路径下的文件syslog.conf，添加以下内容。 # Device configuration messages local4.info /var/log/Device/info.log 以上配置中，local4表示日志主机接收日志的工具名称，info表示信息等级。UNIX系统 会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。 第四步：查看系统守护进程syslogd的进程号，中止syslogd进程，并重新用-r选项在后 台启动syslogd，使修改后配置生效。 # ps -ae | grep syslogd 147 # kill -HUP 147 # syslogd -r & 进行以上操作之后，Device的日志信息会输出到PC，PC会将这些日志信息存储到相应 的文件中。
实验步骤
（2）配置HWTACAS Server（NMS）。 设置NMS使用的SNMP版本为SNMPv3，用户名为managev3user，启用认证和加密功能 ，认证算法为MD5，认证密码为authkey，加密协议为DES56，加密密码为prikey。另外 ，还可以根据需求设置“超时”时间和“重试次数”，具体配置请参考NMS的相关手册 4．日志主机的配置 （1）把日志发往控制台的方法。 <H3C> system-view [H3C] info-center enable //开启信息中心 [H3C] info-center source default console deny //关闭控制台方向所有模块日志信息的输出开关，由于系统对各方向允许输出的日志信息 的默认情况不一样，因此配置前必须将所有模块指定方向（本例为console）上日志信息 的输出开关关闭，再根据当前的需求配置输出规则，以免输出太多不需要的信息。
实验背景
目前，设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有 NMS和Agent使用的SNMP版本相同，NMS才能和Agent建立连接。 SNMPv1采用团体名（Community Name）认证机制。团体名类似于密码 ，用来限制NMS和Agent之间的通信。如果NMS设置的团体名和被管理设 备上设置的团体名不同，则NMS和Agent不能建立SNMP连接，从而导致 NMS无法访问Agent，Agent发送的告警信息也会被NMS丢弃。SNMPv2c 也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展：提供了 更多的操作类型；支持更多的数据类型；提供了更丰富的错误代码，能够 更细致地区分错误。SNMPv3采用USM（User-Based Security Model，基 于用户的安全模型）认证机制。网络管理员可以设置认证和加密功能。认 证用于验证报文发送方的合法性，避免非法用户的访问；加密则是对NMS 和Agent之间的传输报文进行加密，以免被窃听。采用认证和加密功能可以 为NMS和Agent之间的通信提供更高的安全性。
实验步骤
（2）配置HWTACAS Server（NMS）。 设置NMS使用的SNMP版本为SNMPv1，只读团体名为public，读写团体名为private 。另外，还可以根据需求设置“超时”时间和“重试次数”，具体配置请参考NMS的 相关手册。 3．SNMPv3的配置 （1）配置路由器。 ①设置访问权限：用户只能读写节点snmp（OID为1.3.6.1.2.1.11）下的对象，不可以 访问其他MIB对象。 <H3C> system-view [H3C] undo snmp-agent mib-view ViewDefault [H3C] snmp-agent mib-view included test snmp [H3C] snmp-agent group v3 managev3group privacy read-view test write-view test
XXX
实验3.3
1
系统管理实验
实验背景
实验目的与内容
2
3
实验设备
实验步骤
4
实验背景
【实验背景】
SNMP网络架构由三部分组成：NMS、Agent和MIB。NMS（ Network Management System，网络管理系统）是SNMP网络的管理者， 能够提供友好的人机交互界面，方便网络管理员完成大多数的网络管理工 作；Agent是SNMP网络的被管理者，负责接收、处理来自NMS的SNMP报 文。在某些情况下，如接口状态发生改变时，Agent也会主动向NMS发送 告警信息；MIB（Management Information Base，管理信息库）是被管理 对象的集合。NMS管理设备的时候，通常会关注设备的一些参数，比如接 口状态、CPU利用率等，这些参数就是被管理对象，在MIB中称为节点。 每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一 系列属性，比如对象的名字、访问权限和数据类型等。被管理设备都有自 己的MIB文件，在NMS上编译这些MIB文件就能生成该设备的MIB。NMS 根据访问权限对MIB节点进行读/写操作，从而实现对Agent的管理。
பைடு நூலகம்
实验目的与内容
【实验内容】
（1）SNMPv1/SNMPv2c的配置。 （2）SNMPv3的配置。 （3）日志主机的配置。 （4）命令行授权配置。 （5）命令行计费配置。 （6）定时执行任务典型配置。
实验设备
【实验设备】
H3C系列交换机和路由器各一台，PC两台，其中一台安装网管软件， 直连双绞线三根，专用配置电缆一根。网络拓扑结构如图3.7所示。
实验步骤
在编辑/etc/syslog.conf时应注意以下问题： ①注释必须独立成行，并以字符#开头。 ②在文件名之后不得有多余的空格。 ③/etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghost和infocenter source命令的相应参数的指定值要保持一致，否则日志信息可能无法正确输出 到日志主机上。 5.命令行授权配置 为了保证路由器的安全，需要对登录用户执行命令的权限进行限制：用户 10.0.101.253登录设备后，输入的命令必须先获得HWTACACS服务器的授权才能执 行；否则，不能执行该命令。如果HWTACACS服务器故障导致授权失败，则采用本 地授权。
实验步骤
②设置设备的联系人和位置信息，以方便维护。 [H3C] snmp-agent sys-info contact Mr.Wang-Tel:3306 [H3C] snmp-agent sys-info location telephone-closet,3rd-floor ③设置允许向NMS发送告警信息，使用的团体名为public。 [H3C] snmp-agent trap enable [H3C] snmp-agent target-host trap address udp-domain 10.0.101.254 params securityname public v1 注意：snmp-agent target-host命令中指定的版本必须和NMS上运行的SNMP版本一致， 因此需要将snmp-agent target-host命令中的版本参数设置为v1。否则，NMS无法正确接 收告警信息。
实验步骤
[H3C] info-center source default loghost deny //关闭loghost方向所有模块日志信息的输出开关 [H3C] info-center source ftp loghost level informational //配置输出规则：允许FTP模块的、等级高于等于informational的日志信息输出到日志主 机（注意：允许输出信息的模块由产品决定） ②日志主机上的配置。 下面以Solaris操作系统上的配置为例介绍日志主机上的配置，在其他厂商的UNIX操作系 统上的配置操作基本类似。 第一步：以超级用户的身份登录日志主机。 第二步：在/var/log/路径下为Device创建同名日志文件夹Device，在该文件夹创建文件 info.log，用来存储来自H3C的日志。 # mkdir /var/log/Device # touch /var/log/Device/info.log
图3.7 路由器系统管理拓扑结构图
实验步骤
1．将网络搭建好并配置路由器接口地址 [H3C-GigabitEthernet0/0]ip address 10.0.101.101 24 2．SNMPv1/SNMPv2c的配置 （1）配置路由器。 ①设置H3C使用的SNMP版本为v1，只读团体名为public，读写团体名为private。 <H3C> system-view [H3C] snmp-agent sys-info version v1 [H3C] snmp-agent community read public [H3C] snmp-agent community write private
H3C G0/0:10.0.101.101/24 Comm口 Console口 配置电缆 Tacacs Source 地址：10.0.101.253/24 网关：10.0.101.101 G0/0 Loghost(NMS、 HWTACAS Server) 地址：10.0.101.254/24 网关：10.0.101.101
实验步骤
②设置Agent使用的用户名为managev3user，认证算法为MD5，认证密码为authkey， 加密算法为DES56，加密密码是prikey。 [H3C] snmp-agent usm-user v3 managev3user managev3group simple authentication-mode md5 authkey privacy-mode des56 prikey ③设置设备的联系人和位置信息，以方便维护。 [H3C] snmp-agent sys-info contact Mr.Wang-Tel:3306 [H3C] snmp-agent sys-info location telephone-closet,3rd-floor ④设置允许向NMS发送告警信息，使用的用户名为managev3user。 [H3C] snmp-agent trap enable [H3C] snmp-agent target-host trap address udp-domain 10.0.101.254 params securityname managev3user v3 privacy