为CER配置SNMPv3并排除故障

简介

本文档介绍如何配置和排除Cisco Emergency Responder(CER)的简单网络管理协议(SNMP)第3版的故障。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科统一通信管理器 (CUCM)
• Cisco Emergency Responder
• SNMP协议

使用的组件

本文档中的信息基于以下软件和硬件版本：

• CUCM:11.5.1.14900-8
• CER:11.5.4.50000-6
• 交换机：WS-C3560CX-12PC-S

本文档中的信息都是基于特定实验室环境中的设备编写的。用于本文的所有设备始于初始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

Emergency Responder使用SNMP获取有关交换机端口的信息。获取信息后，CER管理员用户可以将端口分配到Emergency Response Locations(ERL)，以便Emergency Responder能够识别连接到端口的电话并更新其ERL分配。

SNMP V3提供其他安全功能，涵盖消息完整性、身份验证和加密。此外，SNMP V3控制用户对MIB树特定区域的访问。

Emergency Responder只读取SNMP信息，它不向交换机配置写入更改，因此您只需配置SNMP读取团体字符串。

在CER中，有一些条件可按交换机端口跟踪：

• CER获取交换机接口、端口和VLAN（仅用于CAM）、思科发现协议(CDP)信息。
• CER从CUCM获取注册电话。
• CER查看从CUCM发送的设备名称，并搜索MAC是否属于交换机端口。如果找到MAC，CER会使用电话的端口位置更新其数据库。

配置

为交换机配置SNMP字符串时，还必须为Unified Communications Manager服务器配置SNMP字符串。Emergency Responder必须能够对电话注册到的所有Unified CM服务器进行SNMP查询，以获取电话信息。

CER提供了使用模式的可能性，例如10.0.*.*或10.1.*.*。*对于IP以10.0或10.1开头的设备。如果要包含所有可能的地址，可以使用子网*.*.*.*。

CER配置

要在Cisco Emergency Responder中配置SNMPv3以进行电话跟踪，请执行以下步骤：

步骤1.如图所示，确保SNMP主代理、CER和Cisco电话跟踪引擎服务已启动。

步骤2.要配置用于交换机和CUCM节点的SNMP设置，请导航到CER Admin > Phone tracking > SNMPv2/v3。您可以配置SNMP用户名、身份验证和隐私信息，如图所示。

在本例中，10.1.61.10是交换机的IP，10.1.61.158是Call Manager的IP。CER中的SNMPv3配置如图所示。

注意：您可以在IP地址/主机名中指定*.*.*.*或其他通配符/范围，以包含多个服务器，否则，您可以配置特定IP地址。

步骤3.要在LAN交换机上配置交换机IP，请导航至CER Admin > Phone tracking > LAN switch detail > Add LAN Switch，如图所示。

通信管理器配置

在CUCM中，SNMP连接分为两个级别，即SNMP主代理和Cisco CallManager SNMP服务。您必须在激活了CallManager服务的所有这些节点中同时启用两个服务。要配置Cisco Unified Communications Manager服务器，请执行以下步骤。

步骤1.要检查Cisco CallManager SNMP服务的状态，请导航至Cisco Unified Serviceability > Tools > Feature services。选择服务器并确保Cisco CallManager SNMP服务的状态已激活，如图所示。

步骤2.要检查SNMP主代理的状态，请导航至Cisco Unified Serviceability > Tools > Network services。选择服务器并验证SNMP主代理服务是否运行如图所示。

步骤3.要在CUCM中配置SNMPv3，请导航至Cisco Unified Serviceability > SNMP > V3 > User。选择服务器并配置用户名、身份验证信息和隐私信息，如图所示。

交换机配置

为了通过交换机端口跟踪电话，交换机中的SNMP配置必须与CER服务器中的配置匹配。使用这些命令配置交换机。

snmp-server group <GroupName> v3 auth read <Name_of_View>

snmp-server user <User> <GroupName> v3 auth [sha/md5] <authentication_password> priv [DES/AES128] <privacy_password>

snmp-server view <Name_of_View> iso included

示例：

Switch(config)#snmp-server group Grouptest v3 auth read Viewtest
Switch(config)#snmp-server user cersnmpv3 Grouptest v3 auth md5 cisco123 priv des cisco123
Switch(config)#snmp-server view Viewtest iso included

要验证配置，请使用show run | s snmp，如示例所示。

Switch#show run | s snmp
snmp-server group Grouptest v3 auth read Viewtest
snmp-server view Viewtest iso included

验证

运行Cisco CallManager服务的每个CUCM还必须运行SNMP服务。如果所有节点都配置正确，则当您单击“Cisco Unified Communications Manager List”超链接时，您必须看到所有CallManager节点，并且电话必须通过交换机端口进行跟踪。

步骤1.要验证CUCM节点列表，请导航至CER Admin > Phone tracking > Cisco Unified Communications Manager。单击图中所示的超链接。

步骤2.要确认交换机端口跟踪电话，请导航至CER Admin > ERL Membership > Switchport > Filter >，然后单击Find。必须如图所示列出跟踪的交换机IP地址和电话。

故障排除

SNMP Walk版本3

为了确认CUCM和交换机都响应CER，您可以使用SNMP walk v3命令进行响应。建议的对象标识符(OID)为1.3.6.1.2.1.1.2.0，如示例所示。

从CER到CUCM的SNMPwalk第3版示例：

admin:utils snmp walk 3
Enter the user name:: cucmsnmpv3
Enter the authentication protocol [SHA]::
Enter the authentication protocol [SHA]:: MD5
Enter the authentication protocol pass phrase:: ********
Enter the privacy protocol [AES128]:: DES
Enter the privacy protocol pass phrase:: ********
Enter the ip address of the Server, use 127.0.0.1 for localhost.Note that you need to provide the IP address, not the hostname.:: 10.1.61.158
The Object ID (OID):: 1.3.6.1.2.1.1.2.0
Enter parameter as "file" to log the output to a file. [nofile]::
This command may temporarily impact CPU performance.
Continue (y/n)?y
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.1348

SNMP从CER到交换机的步行版本3示例：

admin:utils snmp walk 3
Enter the user name:: cersnmpv3
Enter the authentication protocol [SHA]:: MD5
Enter the authentication protocol pass phrase:: ********
Enter the privacy protocol [AES128]:: DES
Enter the privacy protocol pass phrase:: ********
Enter the ip address of the Server, use 127.0.0.1 for localhost.Note that you need to provide the IP address, not the hostname.:: 10.1.61.10
The Object ID (OID):: 1.3.6.1.2.1.1.2.0
Enter parameter as "file" to log the output to a file. [nofile]::
This command may temporarily impact CPU performance.
Continue (y/n)?y
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2134

在CER中具有根访问权限的SNMPwalk v3示例：

snmpwalk -v3 -u <User> -l authPriv –A <auth_password> –a [MD5/SHA]  -x [DES/AES128] -X <Priv_password> IP_Device <OID>

其中：
-u:是snmp v3用户。
-l :是身份验证模式[noAuthNoPriv|authNoPriv|authPriv]。
-A:是身份验证密码。
-a:是身份验证协议[MD5|SHA]。
-x:是隐私协议[DES/AES128]。
-X:是隐私协议密码。

输出示例如图所示。

如果收到以下错误“从提供的隐私密码短语生成密钥(Ku)时出错”，请尝试使用以下语法： 

snmpwalk -v3 -l authPriv -u <User> –a [MD5/SHA] –A <auth_password> -x [DES/AES128] -X <Priv_password> IP_Device <OID>

验证返回的OID是您版本的CER版本说明中支持的设备之一。

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/11_5_1/english/release_notes/guide/CER_BK_C838747F_00_cisco-emergency-responder-version-1151.html#CER0_CN_SE55891C_00

CER发送到交换机的一些OID包括：

• 1.3.6.1.2.1.1.1.0 — 系统设计
• 1.3.6.1.2.1.1.2.0 - sysObjectID
• 1.3.6.1.2.1.1.5.0 - sysName
• 1.3.6.1.2.1.1.3.0 - sysUpTime

CER发送到CUCM的OID包括：

• 1.3.6.1.4.1.9.156.1.1.2.1.7 - ccmEntry/ ccmInetAddress
• 1.3.6.1.2.1.1.2.0 - sysObjectID
• 1.3.6.1.4.1.9.9.156.1.1.2.1.2 - ccmName

数据包捕获

获取数据包捕获以隔离电话跟踪问题非常有用，这些步骤是在CER中获取数据包捕获的步骤。

步骤1.使用命令utils network capture eth0 file ExampleName size all count 10000通过CLI启动数据包捕获，其中ExampleName是数据包捕获的名称。

步骤2.复制问题（发出911呼叫、SNMP漫游、电话跟踪更新等）。

步骤3.使用Ctrl+C停止数据包捕获

步骤4.使用文件列表activevelog平台/cli/*命令确认数据包捕获已保存在CER中

步骤5.使用命令file get activelog platform/cli/ExampleName.cap检索数据包捕获（导出文件需要SFTP服务器）。

启用CER中的日志

要启用Emergency Responder Server中的日志，请导航至CER Admin > System > Server Settings。激活所有复选框，不会对服务器产生任何服务影响。

为了对交换机端口(CER > Admin > ERL membership > Switch Ports)中未显示的交换机进行故障排除，必须执行以下步骤：

1. 在Admin > Phone tracking > LAN Switch详细信息中验证配置。
2. 在Admin > Phone tracking > SNMP v2 / v3中检验配置。
3. 验证启用基于CAM的电话跟踪复选框。如果它是非思科交换机，或者CDP已禁用，请选中启用基于CAM的电话跟踪复选框。
4. 检验交换机上的SNMP配置。
5. 收集电话跟踪日志。

如果交换机端口显示，但电话未显示，则必须执行以下步骤：

1. CER和Communications Managers上的SNMP配置。
2. 确认Cisco Unified Communications Manager下的IP/主机名。
3. 确认电话是否未显示为属于特定通信管理器。
4. 确认在群集中的所有CallManager节点上都启动了两个SNMP服务（SNMP主代理/ CallManager SNMP服务）。
5. 通过SNMPwalk确认CUCM可达性。
6. 收集电话跟踪日志。

CER电话跟踪日志示例1:

305: Jun 30 12:05:17.385 EDT %CER-CER_PHONETRACKINGENGINE-7-DEBUG:SnmpSocketReader-47637:SnmpPrivacyParam encryptDESPrivParam Exception thrown while encrypting DES parameters :Cannot find any provider supporting DES/CBC/NoPadding

可能的原因：在SNMPv3隐私信息上配置错误。

CER电话跟踪日志示例2:

Snmp exception while reading ccmVersion on <IP address CCM Node>

可能的原因：Cisco CallManager SNMP服务在其中一个CUCM节点中停用。

相关信息

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/11_5_1/english/administration/guide/CER_BK_R00ED2C0_00_cisco-emergency-responder-administration-guide-1151/CER_BK_R00ED2C0_00_cisco-emergency-responder-administration-guide-1151_appendix_01101.html#CER0_RF_S51098E7_00

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/10_0_1/english/administration/guide/CER0_BK_CA66317A_00_cisco-emergency-responder-administration-10_0/CER0_BK_CA66317A_00_cisco-emergency-responder-administration-10_0_chapter_01100.pdf