配置 SNMP 陷阱并通知通知
Paragon Insights 支持设备在网络中发送的通知和陷阱通知,以便进行故障管理。 SNMP 管理器 (Paragon Insights) 和 SNMP 代理 (设备)发送陷阱,并将通知作为网络状态更改的通知。Paragon Insights 对陷阱执行触发评估并发出通知。仅当为指定设备运行包含 SNMP 通知规则的作指南时,Paragon Insights 才会处理来自已配置设备的陷阱和通知。在所有其他情况下,SNMP 管理器会丢弃陷阱或通知消息。
以下章节介绍相关术语、通过 CLI 配置陷阱和通知、端口配置以及通过 CLI 访问 SNMP 陷阱的状态。
您可以在 SNMPv2c 和 SNMPv3 中配置 SNMP 陷阱通知。仅当使用 SNMPv3 协议时,才能配置 SNMP 通知消息。
您可以执行的任务
在深入研究 SNMP 陷阱和通知配置之前,以下词汇表可以帮助您熟悉 SNMPv3 协议中的重要概念。
| The authoritative agent | 在两个实体(代理和管理员)之间的 SNMPv3 事务中,Paragon Insights 通过身份验证和隐私来验证通知的源设备。身份验证可识别并验证 SNMPv3 消息的来源。隐私功能可防止数据包分析器通过加密通知消息来窥探消息内容。控制通知流的实体称为权威代理。在 SNMPv3 中,非权威实体必须知道 <Engine ID> 权威代理才能成功通信。 |
| Traps or trap messages | 陷阱是发送给 SNMP 管理器的未确认通知。在陷阱消息中,SNMP 代理是权威代理。管理员必须在发送陷阱消息的设备上配置 SNMP v3 <user> (与本地 IAM 用户不同)。<Context Engine ID>对于陷阱,是唯一<Context Engine ID>Engine ID标识 SNMP 代理的。 |
| Informs or inform messages | 通知也是从 SNMP 代理发送给 SNMP 管理器的通知。在通知消息中,SNMP 管理器是权威代理。您可以配置需要使用远程权威代理 SNMP 管理器 (Paragon Insights) 的详细信息发送通知消息的设备。管理员必须在远程 SNMP 管理器中配置 <user> found。 |
| Engine ID | <Engine ID>是为给定代理生成的十六进制,用于唯一标识 SNMP 代理,并且需要在给定管理域中保持唯一。它还必须在重新启动或升级后保持稳定。 |
| Security Engine ID | 它是代理和管理器之间 SNMP 通信中的安全参数。 <Security Engine ID> 通常是 <Engine ID> 所涉及的权威代理人。陷阱消息由两部分组成:标头和陷阱协议数据单元 (PDU)。标头在陷阱配置中包含和 <Security Engine ID> 集 <username> 。当代理发送陷阱时,将根据 USM 表中的详细信息检查陷阱标头中的参数。仅当标头中的参数与 USM 表中的详细信息匹配时,才会进一步处理陷阱。 在通知通知中, <Security Engine ID> 是 Paragon Insight 的 Engine ID. |
| Context Engine ID | <Context Engine ID>是陷阱 PDU 的一部分。它唯一标识已发送原始陷阱消息的设备。<Context Engine ID>并且<Security Engine ID>在大多数情况下是相同的。 |
| USM Table | 接收陷阱的 SNMP 管理器需要维护 USM 表(基于用户的安全模型),该表具有 <Security Engine ID> 和 <username> 作为验证陷阱消息来源的关键。 |
以下各节详细介绍了如何:
查找引擎 ID
根据您是将设备配置为发送陷阱通知还是通知通知,您需要首先找到 <Engine ID> SNMP 代理的 。您可以参考以下示例命令,在 Junos 设备中查找引擎 ID。
要查找 <Engine ID> 的 CLI 命令因供应商而异。
要查找 <Engine ID> 属于 Junos 平台的 SNMP 代理(设备),请在 CLI 中输入以下命令。
show snmp v3 engine-id
您将收到一个十六进制输出作为设备 <Engine ID>。
配置陷阱通知
您可以将设备配置为使用 SNMPv2c 和 SNMPv3 发送陷阱通知。
源 IP 地址在所有设备中必须是唯一的,因为它唯一标识设备。您只能为设备配置源 IP 地址。
在 Paragon Insights 中,SNMPv2c 和 SNMPv3 提取和陷阱配置共享相同的工作流程。
要在设备级别配置 SNMP 陷阱通知,请执行以下作:
在设备组中,您可以配置陷阱的端口号并通知通知。您还可以为 SNMP 通知配置日志级别。
-
单击左侧导航栏中的 配置>设备组 选项。
-
选择设备组,然后单击编辑按钮(铅笔图标)。
此时将显示 Edit Device Group 页面。
-
单击 “高级>端口” ,为陷阱和通知配置通知端口。
-
单击 高级>日志记录>服务日志记录覆盖 以配置 SNMP 日志。
下表描述了 “添加设备组 ”窗口中的属性:
表 1:表 2:添加设备组页面详细信息 属性
描述
名字
设备组的名称。(必填)
描述
设备组的说明。
设备
从列表中将设备添加到设备组。(必填)
在 Paragon Insights 中,您可以为每个设备组添加 50 多个设备。但是,可以添加的设备数量的实际规模取决于可用的系统资源。
例如,假设您要创建一个包含 120 台设备的设备组。在低于 4.0.0 版本的版本中,建议创建三个设备组,分别使用 50、50 和 20 台设备。使用 Paragon Insights,您只需创建一个设备组。
日志记录配置
SNMP 通知
Paragon Insights 支持收集 SNMP 通知的日志数据。您可以在设备组中为 snmp-notification 服务收集不同严重级别的日志。
使用以下字段配置要收集的日志级别:
Global Setting Log Level 从列表中,选择要为设备组的每个正在运行的 Paragon Insights 服务收集的日志消息级别。默认情况下,该级别设置为 “无 ”。
Services Logging Overrides 从列表中选择要配置与 “全局设置 ”日志级别不同的任何特定服务的日志级别。您为特定服务选择的日志级别优先于 全局设置 日志配置。
港口
SNMP 通知端口
如果要配置多个端口,请输入用逗号分隔的端口号。Paragon Insights 会监听这些端口的陷阱和通知通知。
-
单击 “保存 ”以提交配置,或单击 “保存并部署 ”以在 Paragon Insights 中部署配置。
配置通知
要使设备能够发送通知,必须配置 SNMPv3 USM 用户。
要在 Paragon Insights 中创建 USM 用户,请执行以下作:
添加 USM 用户后,您可以在设备配置的“编辑 Device-Name ”页面和设备组配置的“编辑设备组”页面配置以下详细信息。
| 属性 |
描述 |
|---|---|
| SNMP |
|
| 版本 |
您可以在“SNMP 插入符号”下的“协议”下的“编辑Device-Name”页面>设置此字段。 从菜单中选择 v3 。 |
| 端口(仅限设备) |
您可以在“SNMP 插入符号下的”协议“下的”编辑Device-Name“页面>设置此字段。 SNMP 通知通知所需的端口号。陷阱和通知通知的标准端口号为 162。 |
| 通知端口(仅限设备组) |
您可以在“ 编辑设备组 ”页面的“ 高级>端口”>“SNMP 通知端口 ”字段下设置此字段。 输入以逗号分隔的通知端口。 Paragon Insights 监听通知端口是否存在陷阱,并通知来自设备组的消息。 |
| 上下文引擎 ID(仅限设备) |
您可以在“SNMP 插入符号”下的“协议”下的“编辑Device-Name”页面>设置此字段。 如果在 “版本 ”字段中选择“v3”,则会显示此字段。 Engine ID必须设置为 SNMP 代理的引擎 ID。 |
| 源 IP 地址(仅限设备) |
您可以在“设备详细信息 ID”下的“ 编辑 Device-Name ”页面 >SNMP 源 IP 插入符号下设置此字段。 如果在 SNMP 版本 字段中选择了 v3,则将显示此字段。 输入设备的。 source IP address 此字段为可选字段。 如果使用 NAT 或 SNMP 代理,则必须将为 SNMP 代理配置的虚拟 IP 地址设置为源 IP 地址。 |
配置通知端口
默认情况下,Paragon Insights 在标准 SNMP 陷阱端口 162 中侦听陷阱并发出通知。如果需要,可以在全局级别(适用于所有设备组)或适用于特定设备组的设备组级别更改此端口。
在“提取”下配置的端口将应用于所有设备组。通过任何其他端口接收的 Trap 和 Inform 消息将被丢弃。
要在提取级别配置端口号:
- 转到左侧导航栏中的配置>数据提取>设置。
- 选择 Ingest Settings 页面上的 SNMP Notification 选项卡。
- 在“端口”部分中,输入端口号。
- 单击“保存”以仅保存配置,单击“保存并部署”可在 Paragon Insights 中部署配置。
在设备组下配置的端口将仅适用于特定的设备组。通过任何其他端口接收的陷阱和通知将被丢弃。要在设备组级别配置端口号,请参阅 表 1。
配置 SNMP 通知规则
将设备配置为发送陷阱或通知通知后,您必须在设备上配置具有 SNMP 陷阱的规则,以便 Paragon Insights 可以处理来自设备的陷阱。在设备组中,您可以应用具有 snmp-notification 规则的 playbook 实例。在任何规则中配置 SNMP 通知时,必须选择要监控的 MIB 名称。转到 瞻博网络 MIB 资源管理器 以浏览 Junos OS 设备的 MIB 文件,以及转到 Cisco MIB 定位器 以浏览 Cisco 设备的 MIB 文件。
以下示例说明如何配置具有 SNMP 通知的规则,以便在 chassis.interfaces/ 主题出现接口时发送警报。
假定您已配置设备或设备组以发送 SNMP 陷阱通知。请参阅 配置陷阱通知 ,在设备或设备组中配置 SNMP 陷阱通知。
要在主题 chassis.interfaces/ 下配置规则:
您必须在 playbook 中包含此规则,并在设备或设备组中应用 playbook 的实例。
要检查设备组发送的新 SNMP 通知,请以 root 用户身份登录 Paragon Insights 服务器并键入以下命令。
/var/local/healthbot/healthbot cli --device-group healthbot -s influxdb
您可以跟踪 SNMP 陷阱通知的新条目。对于您配置的字段(例如,IfAdminStatus),通知将发送到 Paragon Insights 服务器。