تكوين SNMP في ACI

المقدمة

يصف هذا المستند تكوين بروتوكول إدارة الشبكة البسيط (SNMP) واختبارات SNMP في قائمة التحكم في الوصول (ACI).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• اكتمال اكتشاف البنية
• إمكانية اتصال داخل النطاق/خارج النطاق الترددي بوحدة التحكم الخاصة بالبنية الأساسية لسياسة التطبيق (APIC) ومحولات البنية
• العقود داخل النطاق/خارج النطاق التي تم تكوينها للسماح بحركة مرور SNMP (منافذ UDP 161 و 162)
• عناوين إدارة العقدة الثابتة التي تم تكوينها ل APICs ومحولات البنية الخاصة بك تحت مستأجر الإدارة الافتراضي (بدون هذا، يتم سحب معلومات SNMP من APIC يفشل)
• فهم سير عمل بروتوكول SNMP

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• APIC
• المستعرض
• البنية الأساسية المرتكزة على التطبيقات (ACI) التي تشغل الإصدار 5.2 (8e)
• Snmpwalk  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

توفر واجهة التحكم في الوصول (ACI) من Cisco دعم بروتوكولات SNMPv1 و v2c و v3، بما في ذلك قواعد معلومات الإدارة (MIBs) والإخطارات (إختبارات). يتيح معيار SNMP لأي تطبيقات من إنتاج جهات خارجية تدعم قواعد معلومات الإدارة (MIB) المختلفة إدارة ومراقبة المحولات الطرفية والمحولات الأساسية المرتكزة على التطبيقات ووحدات التحكم في واجهة برمجة التطبيقات (APIC).

ومع ذلك، لا يتم دعم أوامر كتابة SNMP (مجموعة) في واجهة التحكم في الوصول (ACI).

يتم تطبيق سياسة SNMP ويتم تشغيلها بشكل مستقل على المحولات الطرفية والمحولات الأساسية وعلى وحدات التحكم في APIC. بما أن كل جهاز من أجهزة قائمة التحكم في الوصول (ACI) له كيان SNMP الخاص به، فإن هذه هي العديد من وحدات APIC في مجموعة APIC يجب مراقبتها بشكل منفصل بالإضافة إلى المحولات. ومع ذلك، يتم إنشاء مصدر سياسة SNMP كسياسة إصلاح لنسيج واجهة التحكم في الوصول (ACI) بالكامل.

بشكل افتراضي، يستخدم SNMP منفذ UDP 161 للاقتراع والمنفذ 162 للملائمات.

فهم نطاقات SNMP

أحد المفاهيم الأساسية السريعة لبروتوكول SNMP في واجهة التحكم في الوصول (ACI) هو أنه يمكن سحب معلومات بروتوكول SNMP بنطاقين من:
1 - العالمية
2. سياق التوجيه وإعادة التوجيه الظاهري (VRF)


يتمثل النطاق العالمي في سحب قواعد معلومات الإدارة (MIB) الخاصة بالهيكل مثل عدد الواجهات وفهارس الواجهات وأسماء الواجهات وحالة الواجهة وما إلى ذلك الخاصة بالعقدة الطرفية/العمود الفقري.

تعمل قواعد معلومات الإدارة (MIB) الخاصة بنطاق سياق VRF على سحب معلومات خاصة ببروتوكول VRF مثل عناوين IP ومعلومات بروتوكول التوجيه.

هناك قائمة كاملة من APIC ومحولات البنية العامة و VRF سياق MIB في قائمة دعم Cisco ACI MIB.

خطوات التكوين (لكل من نطاقات السياق العامة و VRF)

الخطوة 1. تكوين سياسة بنية SNMP

تتمثل الخطوة الأولى في تكوين بروتوكول SNMP في إنشاء سياسات بنية SNMP الضرورية. من أجل إنشاء سياسات بنية SNMP، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) الخاصة بويب ل APIC؛ Fabric > Fabric Policies > Policies > Pod > SNMP.

يمكنك إنشاء سياسة SNMP جديدة أو تعديل سياسة SNMP الافتراضية.

في المستند، يسمى سياسة SNMP New-SNMP ويستخدم إصدار SNMP v2c لذلك فإن الحقول الوحيدة اللازمة هنا هي سياسات المجتمع وسياسات مجموعة العملاء.

يحدد حقل اسم سياسة المجتمع سلسلة مجتمع SNMP التي سيتم إستخدامها. في حالتنا، New-1. كما ترون أين تأتي سلسلتي المجتمع هذه لاحقا.

الاسم - اسم نهج SNMP. يمكن أن يتراوح هذا الاسم بين 1 و 64 حرفا ورقميا.

الوصف - وصف سياسة SNMP. يمكن أن يكون الوصف من 0 إلى 128 حرفا أبجديا رقميا.

حالة المسؤول - الحالة الإدارية لنهج SNMP. الدولة يستطيع كنت مكنت أو أعجزت. الولايات هي:

• ممكن - تم تمكين حالة المسؤول

• معطل - تم تعطيل حالة الإدارة

التقصير معأق.

جهة الاتصال - معلومات جهة الاتصال لنهج SNMP.

الموقع - موقع نهج SNMP.

مستخدمو SNMP v3 - يتم إستخدام ملف تعريف مستخدم SNMP لإقران المستخدمين بنهج SNMP لمراقبة الأجهزة في الشبكة.

سياسات المجتمع - يتيح ملف تعريف مجتمع SNMP إمكانية الوصول إلى إحصائيات الموجه أو المحول للمراقبة.

نهج مجموعة العملاء:

تتمثل الخطوة التالية في إضافة نهج/ملف تعريف مجموعة العملاء. الغرض من "سياسة/ملف تعريف مجموعة العملاء" هو تحديد ما يمكن أن تقوم IPs/الشبكات الفرعية بسحب بيانات SNMP من بطاقات واجهة برمجة التطبيقات (APICs) ومحولات البنية:

الاسم - اسم ملف تعريف مجموعة العملاء. يمكن أن يتراوح هذا الاسم بين 1 و 64 حرفا ورقميا.

الوصف - وصف ملف تعريف مجموعة العملاء. يمكن أن يكون الوصف من 0 إلى 128 حرفا أبجديا رقميا.

مجموعة نقطة نهاية الإدارة المقترنة (EPG) - الاسم المميز لمجموعة نقاط النهاية التي يمكن من خلالها الوصول إلى VRF. الحد الأقصى لطول السلسلة المدعومة هو 255 حرف ASCII. الإعداد الافتراضي هو EPG للوصول إلى إدارة مستأجر الإدارة خارج النطاق.

إدخالات العميل - عنوان IP الخاص بملف تعريف عميل SNMP.

في المستند، يسمى "نهج/ملف تعريف مجموعة العملاء" ب New-client.

في "نهج مجموعة العملاء/ملف التعريف" يجب إقران "EPG للإدارة المفضلة". أنت ينبغي ضمنت أن الإدارة EPG أنت تختار يتلقى العقود الضرورية أن يسمح حركة مرور SNMP (UDP ميناء 161 و 162). يتم إستخدام EPG الإدارة الافتراضية خارج النطاق في المستند لأغراض العرض التوضيحي.

تتمثل الخطوة الأخيرة في تحديد إدخالات العميل الخاصة بك للسماح بوصول عناوين IP معينة أو الشبكات الفرعية بالكامل إلى سحب بيانات ACI SNMP. هناك صياغة لتعريف عنوان IP محدد أو شبكة فرعية بأكملها:

• IP الخاص بالمضيف: 192.168.1.5
• الشبكة الفرعية بأكملها: 192.168.1.0/24

الخطوة 2. تطبيق سياسة SNMP على مجموعة نهج Pod (مجموعة سياسات البنية)

لتطبيق هذا التكوين، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Fabric > Fabric Policies > Pods > Policy Groups > POD_POLICY_GROUP) الخاصة بواجهة المستخدم الرسومية (APIC) على الويب؛ (الافتراضي في المستند).

في الجزء الأيمن، ترى حقل لنهج SNMP. من القائمة المنسدلة، أختر نهج SNMP الذي تم إنشاؤه حديثا وأرسل التغييرات الخاصة بك.

الخطوة 3. إقران مجموعة نهج POD بملف تعريف POD

في الوثيقة، أستخدم ملف تخصيص POD الافتراضي للبساطة. للقيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (APIC) عبر الويب؛ Fabric > Fabric Policies > Pods > Profiles > POD_PROFILE (الافتراضي في المستند).

في هذه المرحلة، قم بتكوين بروتوكول SNMP الأساسي ل قواعد معلومات الإدارة (MIB) العالمية.

الخطوة 4. تكوين نطاقات سياق VRF

بمجرد إقران سلسلة مجتمع بسياق VRF، لا يمكن إستخدام سلسلة المجتمع المحددة هذه لسحب بيانات SNMP على النطاق العالمي. لذلك، يلزم إنشاء سلاسل مجتمع SNMP إذا كنت تتطلع إلى سحب كل من بيانات SNMP الخاصة بنطاق النطاق العالمي وبسياق التردد اللاسلكي (VRF).

في هذه الحالة، فإن سلاسل المجتمع التي تم إنشاؤها مسبقا (في الخطوة 1.) وتحديدا (New-1)، أستخدم New-1 لنطاق سياق VRF وVRF-1 VRF المخصص في مثال المستأجر المخصص. من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Tenants > Example > Networking > VRFs > VRF-1 (right click) > Create SNMP Context ) الخاصة ب APIC.

بعد إرسال التكوين، يمكنك التحقق من تكوين سياق SNMP الذي قمت بتطبيقه بالنقر بزر الماوس الأيمن على VRF الخاص بك، والتنقل إلى علامة التبويب "سياسة" على VRF، والتمرير إلى أسفل الجزء:

لتعطيل سياق SNMP على VRF، يمكنك إلغاء تحديد خانة الاختيار إنشاء سياق SNMP (يظهر في لقطة الشاشة)، أو انقر بزر الماوس الأيمن فوق معرف فئة المورد (VRF) واختر حذف سياق SNMP.

تكوين رسائل بروتوكول SNMP باستخدام واجهة المستخدم الرسومية (GUI)

يتم إرسال رسائل تنبيه SNMP إلى خادم SNMP (وجهة SNMP/أنظمة إدارة الشبكة (NMS) دون فحص، وترسل عقدة ACI/APIC مصيدة SNMP بمجرد حدوث الخطأ/الحدث (الحالة المحددة).

يتم تمكين إختبارات SNMP استنادا إلى نطاق النهج ضمن سياسات مراقبة الوصول/البنية/المستأجر. تدعم واجهة التحكم في الوصول (ACI) 10 أجهزة إستقبال ملائمة كحد أقصى.

in order to شكلت SNMP الملائمة في ACI، أنت تحتاج الإثنان خطوة إضافة إلى الخطوة 1، 2، و 3 في القسم السابق.

الخطوة 1. تكوين خادم SNMP Trap

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Admin > Eternal Data Collectors > Monitoring Destinations > SNMP) الخاصة ب APIC.

اسم المضيف/IP - مضيف وجهة مصيدة SNMP.

المنفذ - منفذ الخدمة لوجهة مصيدة SNMP. النطاق هو 0 (غير محدد) إلى 65535؛ الافتراضي هو 162.

الإصدار - إصدار CDP المدعوم لوجهة مصيدة SNMP. يمكن أن يكون الإصدار:

• V1 - يستخدم مطابقة سلسلة مجتمع لمصادقة المستخدم.

• v2c - يستخدم مطابقة سلسلة مجتمع لمصادقة المستخدم.

• V3 - بروتوكول لإدارة الشبكة قائم على المعايير قابل للتشغيل البيني يوفر الوصول الآمن إلى الأجهزة من خلال مجموعة من إطارات المصادقة والتشفير عبر الشبكة.

الافتراضي هو v2c.

اسم الأمان - اسم أمان وجهة مصيدة SNMP (اسم المجتمع). لا يمكن أن يحتوي على رمز @.

مستوى الأمان v.3 - مستوى أمان SNMPv3 لمسار وجهة SNMP. المستوى يستطيع كنت:

• auth

• لاوث

• بريف

الافتراضي هو noauth.

Management EPG - اسم مجموعة نقطة نهاية الإدارة لوجهة SNMP التي يمكن من خلالها الوصول إلى المضيف البعيد.

الخطوة 2. تكوين مصدر مصيدة SNMP ضمن نهج مراقبة (الوصول/البنية/المستأجر)

يمكنك إنشاء سياسات مراقبة باستخدام النطاقات الثلاثة:

• الوصول - منافذ الوصول ومنفذ FEX ووحدات التحكم في الشبكة الافتراضية (VM)
• البنية - منافذ بنيوية وبطاقات وهيكل ومراوح

• المستأجر - EPGs، ملفات تعريف التطبيقات، الخدمات

الخيار 1. تعريف مصدر SNMP ضمن سياسات الوصول

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Fabric > Access Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS) الخاصة ب APIC.

الخيار 2. تعريف مصدر SNMP ضمن سياسات البنية

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Fabric > Fabric Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS) الخاصة ب APIC.

الخيار 3. تحديد مصدر SNMP ضمن سياسات المستأجر

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Tenant > (Tenant Name) > Polices > Monitoring > (Custom monitoring policy) > Callhome/Smart Callhome/SNMP/Syslog/TACACS) الخاصة ب APIC.

التحقق من الصحة

إستخدام الأمر snmpwalk للتحقق

أولا، انظر إلى سحب بيانات SNMP من النطاق العالمي لمحول طرفي. وباستخدام الأمر snmpwalk يمكن القيام بذلك؛ snmpwalk -v 2c -c New-1 x.x.x.x.

Snmpwalk = الملف التنفيذي Snmpwalk المثبت على MacOS/Linux/Windows
-v = يحدد إصدار بروتوكول SNMP الذي يريد الاستخدام
2c= تحديد المستخدمين ل SNMP الإصدار 2c
-c= يحدد أن سلسلة مجتمع معينة
New-1= تستخدم سلسلة المجتمع لسحب بيانات SNMP ذات النطاق العالمي
x.x.x.x= عنوان IP الخاص بإدارة المحول الطرفي خارج النطاق

نتيجة الأمر:

$ snmpwalk -v 2c -c New-1 x.x.x.x SNMPv2-MIB::sysDescr.0 = STRING: Cisco NX-OS(tm) aci, Software (aci-n9000-system), Version 15.2(8e), RELEASE SOFTWARE Copyright (c) 2002-2015 by Cisco Systems, Inc. Compiled 2018/07/26 09:34:42 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.12.3.1.3.1626 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (45013216) 5 days, 5:02:12.16 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: leaf1 SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 70 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (3) 0:00:00.03 SNMPv2-MIB::sysORID.1 = OID: SNMPv2-MIB::snmpMIB SNMPv2-MIB::sysORID.2 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance SNMPv2-MIB::sysORID.4 = OID: SNMP-MPD-MIB::snmpMPDCompliance SNMPv2-MIB::sysORID.5 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance SNMPv2-MIB::sysORDescr.1 = STRING: The MIB module for SNMPv2 entities SNMPv2-MIB::sysORDescr.2 = STRING: View-based Access Control Model for SNMP. SNMPv2-MIB::sysORDescr.3 = STRING: The SNMP Management Architecture MIB. SNMPv2-MIB::sysORDescr.4 = STRING: The MIB for Message Processing and Dispatching. SNMPv2-MIB::sysORDescr.5 = STRING: The management information definitions for the SNMP User-based Security Model.

في إخراج الأمر snipped، يمكنك أن ترى أن snmpwalk ناجح وتم سحب معلومات خاصة بالجهاز. إذا تركت الحركة البسيطة تستمر، سترى أسماء واجهات الأجهزة، وأوصافها، وما إلى ذلك.

والآن، قم بالمتابعة لاسترداد بيانات SNMP لسياق VRF، لسياقات SNMP التي تم إنشاؤها مسبقا، New-VRF-SNMP ل VRFs التي تستخدم سلسلة مجتمع SNMP، New-1.

منذ إستخدام سلسلة المجتمع نفسها، new-1، عبر سياقي SNMP مختلفين، يجب تحديد سياق SNMP الذي تريد سحب بيانات SNMP منه. هناك صياغة SnmpWalk التي تحتاج إلى إستخدامها لتحديد سياق SNMP معين؛ snmpwalk -v 2c -c New-1@New-VrF-SNMP 10.x.x.x.

يمكنك ملاحظة أنه لسحب التنسيق من سياق SNMP معين، يمكنك إستخدام التنسيق: COMMUNITY_NAME_HERE@SNMP_CONTEXT_NAME_HERE .

إستخدام أوامر show ل CLI

في APIC:

show snmp show snmp policy <SNMP_policy_name> show snmp summary show snmp clientgroups show snmp community show snmp hosts show snmp engineid

على المحول:

show snmp show snmp | grep "SNMP packets" show snmp summary show snmp community show snmp host show snmp engineID show snmp context show snmp user show snmp internal dump-internal-log show snmp internal globals show snmp internal trace log

إستخدام أوامر CLI Moquery

على APIC/المحول:

moquery -c snmpGroup #The SNMP destination group, which contains information needed to send traps or informs to a set of destinations. moquery -c snmpTrapDest #A destination to which traps and informs are sent. moquery -c snmpRtDestGroup #A target relation to SNMP destination group. This group contains information needed to send traps or informs to a set of destinations. moquery -c snmpPol #The SNMP policy, which enables you to monitor client group, v3 user, and/or community SNMP policies. moquery -c snmpClientGrpP #A client group, which is a group of client IP addresses that allows SNMP access to routers or switches. moquery -c snmpCommunityP #The SNMP community profile, which enables access to the router or switch statistics for monitoring. moquery -c snmpRtSnmpPol #A target relation to an SNMP policy that contains site information and general protocol configuration parameters. Note that this relation is an internal object. moquery -c snmpClientP #The client profile information. moquery -c snmpRsEpg #A source relation to the endpoint group VRF through which the clients can connect. The VRF is an in-band or out of-band management endpoint. moquery -c snmpSrc #The SNMP source profile, which determines the fault information, severity level, and destination for sending messages to the SNMP destination. moquery -c snmpCtxP #The SNMP context profile, which enables you to specify a context to monitor with a community profile.

إستخدام أوامر CLI CAT

في APIC:

cat /aci/tenants/mgmt/security-policies/out-of-band-contracts/summary cat /aci/tenants/mgmt/security-policies/filters/summary cat /aci/tenants/mgmt/node-management-epgs/default/out-of-band/default/summary cat /aci/admin/external-data-collectors/monitoring-destinations/snmp/*/snmp-trap-destinations/summary cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/summary cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/summary cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/client-group-policies/*/*/summary cat /aci/fabric/fabric-policies/pod-policies/policy-groups/summary cat /aci/fabric/fabric-policies/pod-policies/pod-selector-default-all/summary cat /aci/fabric/fabric-policies/monitoring-policies/monitoring-policy-default/callhome-snmp-syslog/all/snmp*/summary cat /aci/fabric/fabric-policies/monitoring-policies/common-policy/callhome-snmp-syslog/snmp/*/summary cat /aci/fabric/access-policies/monitoring-policies/default/callhome-snmp-syslog/all/snmp*/summary 

استكشاف الأخطاء وإصلاحها

التحقق من عملية SNMPd

على المحول:

ps aux | grep snmp pidof snmpd

في APIC:

ps aux | grep snmp

إن يكون العملية عادي، اتصل ب cisco TAC ل كثير مساعدة.