马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
Huawei设备核查下令汇总---IPS6000F
实行下令display sysname,查看设备当前的主机名。
实行下令display version,查看设备当前的版本信息。
实行下令display clock,查看系统当前日期和时钟。
display current-configuration
对于某些正在生效的配置参数,如果与缺省参数雷同,则不显示。
display this
对于某些正在生效的配置参数,如果与缺省参数雷同,则不显示。
实行下令display history-command [ all-users ]
- 不指定all-users,显示当前用户键入的汗青下令。
- 指定all-users,显示的是全部登任命户键入的汗青下令。(3级及3级以上的用户才能实行此参数)
操作步调
| 下令
| 说明
| 进入系统视图
| system-view
| -
| 进入Console用户界面视图
| user-interface console interface-number
| -
| 设置用户超时断连功能
| idle-timeout minutes [ seconds ]
| 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。
缺省情况下,Console用户界面断连的超时时间为5分钟。
说明:
设置用户连接的超时时间过长大概为0会导致终端一直处于登录状态,存在安全风险,发起用户实行下令lock锁定当前连接。
| 设置汗青下令缓冲区巨细
| history-command max-size size-value
| 缺省情况下,用户界面汗青下令缓冲区巨细为10条汗青下令。
| 进入AAA视图
| aaa
| -
| 配置当地用户名和暗码
| local-user user-name password irreversible-cipher password
| 为充实保证设备安全,请用户定期修改暗码。
| 进入系统视图
| system-view
| -
| 进入Console用户界面视图
| user-interface console interface-number
| -
| 配置当地用户的接入类型为Console
| local-user user-name service-type terminal
| -
| 设置用户验证方式为暗码验证
| authentication-mode password
| -
| 设置验证暗码
| set authentication password [ cipher password ]
| 输入的暗码可以是显式大概密文,当不指定cipher password参数时,将采用交互方式输入显式暗码,当指定cipher password参数时,既可以输入显式暗码也可以输入密文暗码,但都将以密文形式保存在配置文件中。为充实保证设备安全,请用户定期修改暗码。
|
- console接口的配置,如果采用了authentication-mode password,代表无用户名,仅需要暗码登录;暗码配置一般仅有cipher模式。
- 缺省情况下,Console用户界面断连的超时时间为5分钟。
操作步调
| 下令
| 说明
| 进入系统视图
| system-view
| -
| 进入VTY用户界面视图
| user-interface vty first-ui-number [ last-ui-number ]
| -
| 设置用户超时断连功能
| idle-timeout minutes [ seconds ]
| 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。
缺省情况下,VTY用户界面断连的超时时间为10分钟。
| 设置汗青下令缓冲区巨细
| history-command max-size size-value
| 缺省情况下,用户界面汗青下令缓冲区巨细为10条汗青下令。
| 设置用户级别
| user privilege level level
| 缺省情况下,VTY用户界面的用户级别是0。
如果用户界面下配置的下令级别访问权限与用户名自己对应的操作权限冲突,以用户名自己对应的级别为准。
| 设置用户验证方式为AAA验证
| authentication-mode aaa
| -
| 进入AAA视图
| aaa
| -
| 配置当地用户名和暗码
| local-user user-name password irreversible-cipher password
| 为充实保证设备安全,请用户定期修改暗码。
| 配置当地用户的接入类型为Telnet或SSH
| local-user user-name service-type { telnet | ssh }
| -
|
|
|
| 也可以设置仅口令登录模式
| 设置用户验证方式为暗码验证
| authentication-mode password
| -
| 设置验证暗码
| set authentication password [ cipher password ]
| 输入的暗码可以是显式大概密文,当不指定cipher password参数时,将采用交互方式输入显式暗码,当指定cipher password参数时,既可以输入显式暗码也可以输入密文暗码,但都将以密文形式保存在配置文件中。为充实保证设备安全,请用户定期修改暗码。
| 使能VTY用户界面的安全策略
| undo user-interface vty security-policy disable
| 缺省情况下,VTY用户界面的安全策略使能。
| 进入VTY用户界面视图
| user-interface vty first-ui-number [ last-ui-number ]
| -
| 配置VTY类型用户界面的基于ACL的登录限定
| acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound }
| 当需要限定某个地址或地址段的用户登录到设备时,利用inbound。
当需要限定已经登录的用户登录到其他设备时,利用outbound。
说明:
用户界面支持根本访问控制列表(2000~2999)和高级访问控制列表(3000~3999)。
当ACL的rule配置为permit时,来自其他设备的报文匹配该规则时:
如果该ACL应用在inbound方向,则允许其他设备访问本设备。
如果该ACL应用在outbound方向,则允许本设备访问其他设备。
当ACL的rule配置为deny时,来自其他设备的报文匹配该规则时:
如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。
如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。
当ACL配置了rule,但来自其他设备的报文没有匹配该规则时:
如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。
如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。
当ACL未配置rule时:
如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。
如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。
关于ACL配置的更多内容,请拜见《CLI配置指南-IP地址与服务配置》中的“ACL配置”。
|
如果通过非管理口登录设备,则需要将非管理口加入安全区域,同时允许https方式访问该接口(service-manage https permit)大概关闭该接口访问控制功能(undo service-manage enable)并配置对应安全策略允许用户访问该接口。
- 新建当地帐号。首次登录设备没有缺省帐号,必须先创建帐号。
system-view
aaa
local-user user-name password { cipher | irreversible-cipher } password
local-user user-name service-type http
local-user user-name privilege level 3
用户级别为3的用户默认可以访问全部页面。如果想设置不同用户访问不同级别的页面,请参考《Web配置指南-系统-管理员》中的“创建管理员脚色”。
quit
web-manager enable [ port port-number ]
web-manager http forward enable
缺省情况下,该功能为开启状态。开启该功能后,如果利用HTTP协议访问Web界面,登录设备的管理接口IP地址“http://ip-address”,设备会自动利用安全性更高的HTTPS协议进入Web界面。如果未开启该功能,无法利用HTTP协议访问Web界面。
- 可选:配置客户端通过HTTPS协议登录设备时,设备向客户端发送的证书。
web-manager security server-certificate server-certificate-file
当不指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送默认的证书给客户端。当指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送指定的证书给客户端。客户端用户可以在设备web界面大概CA服务器上获取CA根证书并导入到欣赏器,然后通过该CA证书可以验证设备的正当性。
当地证书需向CA服务器申请。CA服务器生成证书后,管理员需要将当地证书下载至设备存储路径,并导入内存中使之生效。具体配置过程请拜见《CLI配置指南-安全防护配置》中的“PKI配置”。
颁发证书的机构可以是国际公认的证书机构,也可以是一台安装有证书服务的计算机。客户端是否信任证书,取决于客户端的欣赏器中是否导入了证书颁发者的CA证书。不将CA证书导入欣赏器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的正当性,容易受到攻击。
如果当地证书由多级CA机构颁发,则需要将当地证书和CA证书制作成证书链文件导入设备,不能分开单独导入设备,否则登录界面下载到的CA根证书无法消除访问设备时候产生的非安全告警。
- 可选:配置双向认证。启用该功能前,客户端需要将客户端证书导入欣赏器,服务器端需要导入客户端证书对应的CA证书。客户端通过HTTPS登录服务器端时,会将客户端证书发送给服务器端,服务器端则用CA证书校验客户端证书。
web-manager security verify-ssl-peer
web-manager security ca-certificate ca-certificate
web-manager { ipv4 | ipv6 } server-source -a ip-address vpn-instance vpn-instance
缺省情况下,没有配置用于访问Web界面的IP地址,即全部IP地址都可用于访问Web界面。
web-manager server-source -i interface-type interface-num
web-manager server-source all-interface
- 缺省情况下,可通过管理口MEth0/0/0访问Web界面。
- 将管理员PC网口与设备的登录接口通过网线大概二层交换机相连。
- 在管理员PC中打开网络欣赏器,访问需要登录设备的接口IP地址“https://ip-address :port”。利用步调1中配置的帐号暗码登录设备Web页面,首次登录时设备会提示修改暗码。
- 启用Web认证页面图形验证码功能。
web-manager captcha enable
web-manager timeout time-out
超时时间内,如果Web界面无任何操作,设备会自动登出Web界面。
web-manager max-user-number max-user-num
- 配置Web服务器的HTTP慢速攻击防御的异常报文检查参数。
web-manager slow-attack check [ content-length content-length | payload-length payload-length | packet-number packet-number ] *
- 开启IP地址锁定功能。在重试时间间隔内,如果某个IP地址连续登录失败到达限定次数,该IP地址将被锁定,并在锁定时间内禁止登录。
web-manager lock-ip retry-interval retry-interval retry-time retry-time block-time block-time
缺省情况下,IP地址锁定已开启,用户的重试时间间隔为15分钟,连续登录失败的限定次数为16次,IP锁定时间为5分钟。
- 在系统视图下实行下令display web-manager configuration查看是否开启HTTPS服务功能。如果HTTPS服务被人为关闭,用户可以在系统视图下实行下令web-manager enable,开启HTTPS服务。
- 检查设备上是否配置了对Web用户进行安全策略控制。
在系统视图下,实行下令display security-policy rule,查看是否有不允许HTTPS流量通行的配置。如果有,请修改安全策略。
在AAA视图下实行下令display this,查看Web用户的接入类型是否为HTTPS。如果配置中存在local-user user-name service-type http,则说明用户名为user-name的用户接入类型为HTTPS;如果没有该配置,请在AAA视图下实行下令local-user user-name service-type http,配置Web用户的接入类型为HTTPS。
在接口视图下实行下令display this,查看是否有service-manage https permit的配置。如果没有,则需要开启。
缺省情况下,管理口已经开启了HTTPS协议的访问控制功能且不支持配置,非管理口没有开启HTTPS协议的访问控制功能,可以实行下令service-manage开启HTTPS协议的访问控制功能。
查看配置的单板信息
| display device configuration
| 查看配置的单板信息。
| 查看设备的电源状态信息
| display device power [ verbose ]
| 当设备的供电出现异常时,用户可以实行该下令查看设备的电源状态信息,主要包括:电源模块的槽位号、电源模块在位状态、电源模块的工作模式等。
| 查看设备的当前温度值
| display device temperature [ slot slot-id ]
| 设备温度过高或过低可能会导致硬件的破坏,如果想了解设备的当前温度值,可以查看温度信息。
当单板温度到达告警阈值时,设备上会产生相应告警,提示设备维护人员对设备工作情况变量进行调整。
若要调整单板的温度告警阈值,请参考配置单板温度告警阈值。
| 查看CPU占用率
| display cpu-usage [ slot slot-id [ cpu cpu-id ] | all ]
| 查看CPU占用率的统计信息。
| display cpu-usage threshold [ slot slot-id [ cpu cpu-id ] ]
| 查看CPU占用率的阈值信息。
| display cpu-usage monitor { all | slot slot-id [ cpu cpu-id ] }
| 查看CPU占用率的过载状态。
| display cpu-usage monitor history [ slot slot-id [ cpu cpu-id ] ]
| 查看CPU占用率过载状态的汗青信息。
| 查看内存占用率
| display memory [ slot slot-id [ cpu cpu-id ] ]
| 查看内存占用率的统计信息。
| display memory threshold [ slot slot-id [ cpu cpu-id ] ]
| 查看内存占用率的阈值信息。
|
CPU占用率超过告警阈值时会产生告警,如果未能采取有效措施,CPU持续处于过载状态,会影响业务的正常运行。为了提拔CPU过载时业务的可靠性,可以配置单板的CPU过载的一级和二级关照阈值,对CPU过载水平分级,二级大于一级。当CPU占用率到达过载的关照阈值时,设备会将单板CPU占用率大于5%的组件信息(最多取10个)关照给全部组件。组件收到关照后,根据关照中的过载级别,实行自己的可靠性保证机制,以维持业务的运行。
操作步调
- 进入系统视图。
- system-view
- 配置CPU过载的一级和二级关照阈值以及检测周期:
set cpu-reliability first-recover first-recover-value first-alarm first-alarm-value second-recover second-recover-value second-alarm second-alarm-value period period-value [ slave | slot slotId ]
实行下令display current-configuration,查看CPU过载一级和二级关照阈值。
- 实行下令display cpu [ slot slot-id ],查看CPU占用率的统计信息。
- 实行下令display cpu monitor { all | slot slot-id },查看CPU过载状态。
- 实行下令display cpu monitor history [ slot slot-id ],查看CPU过载状态的汗青信息。
- 实行下令display cpu threshold [ slot slot-id ],查看CPU占用率的阈值信息。
显示值
| 严肃品级
| 形貌
| 0
| Emergency
| 设备致命的异常,系统已经无法恢复正常,必须重启设备,如程序异常导致设备重启、内存的利用被检测出错误等。
| 1
| Alert
| 设备庞大的异常,需要立即采取措施,如设备内存占用率到达极限。
| 2
| Critical
| 设备严肃的异常,需要采取措施进行处理或缘故原由分析,如设备温度超过低温告警线、BFD探测出设备不可达等。
| 3
| Error
| 错误的操作或设备的异常流程,不会影响后续业务,但是需要关注和缘故原由分析,如用户的错误指令、用户暗码错误、检测出错误协议报文等。
| 4
| Warning
| 设备运转的异常点,可能引起业务故障,需要引起注意,如用户关闭路由历程、BFD探测的一次报文丢失、检测出错误协议报文等。
| 5
| Notice
| 设备正常运转的关键操作信息,如用户对接口实行shutdown下令、邻居发现、协议状态机的正常跳转等。
| 6
| Informational
| 设备正常运转的一般性操作信息,如用户实行display下令。
| 7
| Debugging
| 设备正常运转产生的一般性信息,主要是设备内部运行状态的记录。
|
设备产生的信息可以向控制台、长途终端、Log缓冲区、日志文件、SNMP代理等方向输出信息。本节介绍信息的通道和输出方向、信息输出文件、信息输出的典范应用场景。
信息的通道和输出方向
为了便于各个方向信息的输出控制,信息管理定义了10条信息通道,通道之间独立输出,互不影响。利用信息通道前必须为信息通道指定信息源,缺省情况下指定了前6个通道(console,monitor,loghost,trapbuffer,logbuffer,snmpagent)和通道9(Logfile)的信息源,如图1所示。
用户可以根据自己的需要配置信息的输出规则,控制不同类别、不同级别的信息从不同的信息通道输出到不同的输出方向。例如,用户配置通道6的名称为user1,发往日志主机的信息利用通道6,则发往日志主机的信息都会从通道6输出,不再从通道2输出。
缺省情况下,Log信息、Trap信息、Debug信息都从缺省的信息通道输出。信息输出通道的缺省情况如表1所示。
图1 信息的输出通道
表1 信息输出通道的缺省情况
| | 通道号
| 缺省通道名
| 输出方向
| 形貌
| | 0
| console
| 控制台
| 当地控制台,即通过Console口登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便当地查看。
| | 1
| monitor
| 长途终端
| 长途终端,即通过VTY(Virtual Type Terminal)登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便长途维护。
| | 2
| loghost
| 日志主机
| 日志主机,可以接收Log信息、Trap信息,不可以接收Debug信息。信息在日志文件上以文件形式保存,供随时查看。
通过选择日志主机的IP地址、UDP端口号、信息记录设备和信息级别,可使信息往所指定的日志主机输出,以备存储和查阅,为网络管理员监控的运行情况和诊断网络故障提供依据。而且,可以设置不同的源接口信息,那么日志主机就可以通过源接口地址判定信息消息是从哪台设备发出的,从而便于日志主机对收到的信息消息检索。
| | 3
| trapbuffer
| Trap缓冲区
| Trap缓冲区,可以接收Trap信息,不可以接收Log信息、Debug信息。
| | 4
| logbuffer
| Log缓冲区
| Log缓冲区,可以接收Log信息,不可以接收Trap信息、Debug信息。
| | 5
| snmpagent
| SNMP代理
| SNMP代理,可以接收Trap信息,不可以接收Log信息、Debug信息。
| | 6
| channel6
| 未指定
| 保留,可由用户指定输出方向。
| | 7
| channel7
| 未指定
| 保留,可由用户指定输出方向。
| | 8
| channel8
| 未指定
| 保留,可由用户指定输出方向。
| | 9
| channel9
| 信息文件
| 日志文件,可以接收Log信息、Trap信息,不可以接收Debug信息。在设备的硬件存储设备上以文件形式保存。
|
通过为每个输出方向关联信息通道,信息将颠末指定通道发送到对应的输出方向。用户可以根据需要更改信息通道的名称,也可以更改信息通道与输出方向之间的对应关系。
信息的输出文件
信息可以以文件的形式保存在设备上,这种文件叫做日志文件。日志文件,如表2所示。
表2 日志文件
| | 定名方式
| 形貌
| | log.log和service.log
| 系统的当前日志文件,以log格式保存。
| | diag.log
| 系统启动和运行过程中的异常日志,称为诊断日志,以log格式保存。
| | pads.pads
| 设备启动后各业务运行中产生的日志,称为运维日志,以pads格式保存。
| | log_SlotID_time.log.zip
| 如果当前日志文件到达设置的文件巨细上限时,系统自动把当前信息文件转存为一个汗青压缩文件,并修改文件名为log_SlotID_time.log.zip。
文件中的SlotID代表槽位号,time是信息压缩转存时的时间。
| | diag_SlotID_time.log.zip
| 如果当前诊断日志文件到达设置的文件巨细上限时,系统自动把当前诊断日志文件转存为一个汗青压缩文件,并修改文件名为diag_SlotID_time.log.zip。
文件中的SlotID代表槽位号,time是信息压缩转存时的时间。
| | pads_SlotID_time.pads.zip
| 如果当前运维日志文件到达设置的文件巨细上限时,系统自动把当前运维日志文件转存为一个汗青压缩文件,并修改文件名为pads_SlotID_time.pads.zip。
文件中的SlotID代表槽位号,time是信息压缩转存时的时间。
|
信息管理缺省配置
信息管理常见参数的缺省配置如表1所示。
| 表1 信息管理的缺省配置
| | 参数
| 缺省值
| | 信息管理功能
| 已启用
| | Log缓冲区容纳Log信息的条数
| 512条
| | Trap缓冲区容纳Trap信息的条数
| 256条
| | 日志文件巨细
| 8M
| | 日志文件保存个数
| 200个
| | 日志主机IP地址
| 无
| | 时间戳格式
| date时间格式
|
配置Log信息输出到日志主机
通过配置Log信息输出到日志主机,用户可以在日志主机上查看Log信息,以便及时监控设备的运行情况。
操作步调
system-view
info-center loghost ipv4-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ip-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
info-center loghost ipv6 ipv6-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ipv6-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
info-center loghost domain domain-name [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *
info-center source { module-name | default } channel { channel-number | channel-name } log { state { off | on } | level severity } *
info-center loghost source { interface-name | interface-type interface-number }
缺省情况下,设备向日志主机发送信息的源接口就是实际发送信息的接口。
配置乐成后,如果设备向日志主机发送信息,日志主机就可以通过源接口地址判定信息是从此设备发出的,从而便于日志主机对收到的信息进行检索。
info-center loghost source-port source-port
缺省情况下,设备向日志主机发送信息的源端口是38514。
info-center loghost character-set characterset
缺省情况下,设备向日志主机发送消息利用的字符集为UTF-8。
检查配置结果
- 实行下令display info-center [ statistics ]查看信息管理记录的各项信息。
- 实行下令display info-center channel [ channel-number | channel-name ]查看信息通道的内容。
- 实行下令display logbuffer查看Log缓冲区的信息。
- 实行下令display logfile path [ offset ] *查看日志文件记录的信息。
- 实行下令display logfile [ log | diagnose ] list starttime starttime-value endtime endtime-value查看指定时间段的日志文件列表。
举例:配置SSL加密后的Log信息输出到日志主机
组网需求
如图1所示,DeviceA分别与四个日志主机相连且路由可达。网络管理员希望不同的日志主机接收不同类型和不同严肃级别的Log信息,以便对设备不同模块产生的信息进行实时监控,同时希望可以或许保证日志主机接收Log信息的可靠性。
图1 SSL加密后的Log信息输出到日志主机组网图
本例中interface1代表10GE0/0/1。
配置思绪
采用如下思绪进行本例的配置:
- 配置客户端型SSL策略,验证日志主机的身份,并保证日志信息传输的安全。
假设日志主机已从CA申请证书,其对应的信任机构文件为1_cacert_pem_rsa.pem、1_rootcert_pem_rsa.pem,并已上传到DeviceA的security子目录下。
- 启用信息管理功能。
- 配置向日志主机发送Log信息的信息通道和输出规则。
- 配置向日志主机发送信息的源接口信息。
- 配置日志主机。
操作步调
- 配置IP地址和路由协议,使DeviceA和日志主机之间有可达路由(略)。
- 配置客户端型SSL策略。
- <HUAWEI> system-view
- [HUAWEI] sysname DeviceA
- [DeviceA] ssl policy syslog_client
- [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_cacert_pem_rsa.pem
- [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_rootcert_pem_rsa.pem
[DeviceA-ssl-policy-syslog_client] quit
上述步调乐成配置后,在DeviceA上实行下令display ssl policy,可以看到加载的信任证书机构文件详细信息。
[DeviceA] display ssl policy
SSL Policy Name: syslog_client
Policy Applicants:
Key-pair Type:
Certificate File Type:
Certificate Type:
Certificate Filename:
Key-file Filename:
CRL File:
Trusted-CA File:
Trusted-CA File 1: Format = PEM, Filename = 1_cacert_pem_rsa.pem
Trusted-CA File 2: Format = PEM, Filename = 1_rootcert_pem_rsa.pem
[DeviceA] info-center enable
[DeviceA] firewall zone untrust
[DeviceA-zone-untrust] add interface 10ge0/0/1
[DeviceA-zone-untrust] quit
[DeviceA] security-policy
[DeviceA-policy-security] rule name sec_policy1
[DeviceA-policy-security-rule-sec_policy1] source-zone local
[DeviceA-policy-security-rule-sec_policy1] destination-zone untrust
[DeviceA-policy-security-rule-sec_policy1] destination-address 10.2.1.0 24
[DeviceA-policy-security-rule-sec_policy1] destination-address 10.1.1.0 24
[DeviceA-policy-security-rule-sec_policy1] action permit
[DeviceA-policy-security-rule-sec_policy1] quit
[DeviceA-policy-security] quit
- 配置向日志主机发送Log信息的信息通道和输出规则。
配置DeviceA向日志主机Server1发送由ARP模块产生、严肃品级为notification的Log信息;Server3作为Server1的备份设备。DeviceA向日志主机Server2发送由AAA模块产生、严肃品级为warning的日志信息;Server4作为Server2的备份设备。
# 配置信息通道。
[DeviceA] info-center channel 6 name loghost1
[DeviceA] info-center channel 7 name loghost2
# 配置Log信息输出到日志主机所利用的安全信息通道。
[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client
[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client
# 配置向日志主机通道输出Log信息的规则。
[DeviceA] info-center source arp channel loghost1 log level notification
[DeviceA] info-center source aaa channel loghost2 log level warning
[DeviceA] info-center loghost source 10ge0/0/1
日志主机可以是安装UNIX或LINUX操作系统的主机,也可以是安装第三方日志软件的主机,具体配置步调请拜见相关手册。
检查配置结果
# 查看已经记录的信息管理的各项信息。
[DeviceA] display info-center
Information Center:enabled
Log host:
10.1.1.1, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.1.1.2, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.2.1.1, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
10.2.1.2, channel number 6, channel name loghost1,
language English , host facility local7, transport tcp ssl-policy syslog_client
Console:
channel number : 0, channel name : console
Monitor:
channel number : 1, channel name : monitor
SNMP Agent:
channel number : 5, channel name : snmpagent
Log buffer:
enabled,max buffer size 10240, current buffer size 512,
current messages 316, channel number : 4, channel name : logbuffer
dropped messages 0, overwritten messages 53
Trap buffer:
enabled,max buffer size 1024, current buffer size 256,
current messages 256, channel number:3, channel name:trapbuffer
dropped messages 0, overwritten messages 0
logfile:
channel number : 9, channel name : channel9, language : English
Information timestamp setting:
log - date, trap - date, debug - date millisecond
# 在syslog服务器端查看接收到的信息。
- 实行下令display ntp status,查看NTP服务的状态信息。
- 实行下令display ntp sessions verbose,查看NTP服务维护的会话状态。
- 实行下令display ntp trace,查看从当地设备到参考时钟源的路径。
- 实行下令display ntp slot-status,查看设备的时钟系统的状态。
- 实行下令display clock,查看系统时间.
条件条件
在配置设备利用SNMPv3 USM用户与网管通信之前,配置路由协议,使设备和网管站之间可达。
配景信息
网管管理设备主要体现在两方面:
- 网管主动管理设备,进行GetRequest、GetNextRequest、GetResponse、GetBulk、SetRequest操作,获取需要的数据并进行相应设置。
- 网管被动接收被管理设备发送的Trap或Inform告警,根据告警定位和处理设备故障。
配置SNMP的根本功能后,网管即可与被管理设备间进行根本的监控和管理操作,比如GET和SET相关数据,被管理设备主动向网管发送告警。
配置SNMP的根本功能中,在完成必须的配置步调后网管和被管理设备之间可以进行根本通信。
snmp-agent usm-user下令中的md5、sha、sha2-224、DES56和3DES168参数需要实行下令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)后才能利用。
在开启弱暗码字典维护功能后,snmp-agent usm-user下令交互配置的暗码不能利用弱暗码字典中定义的暗码(可以通过下令display security weak-password-dictionary查看)。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
