配置用於CER的SNMPv3並對其進行故障排除

簡介

本檔案介紹如何設定和疑難排解Cisco Emergency Responder(CER)的簡單網路管理通訊協定(SNMP)第3版。

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合通訊管理員(CUCM)
• 思科緊急回應端
• SNMP通訊協定

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CUCM:11.5.1.14900-8
• CER:11.5.4.50000-6
• 交換器:WS-C3560CX-12PC-S

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

Emergency Responder使用SNMP獲取有關交換機埠的資訊。一旦獲取了此資訊，CER管理員使用者就可以將埠分配給緊急響應位置(ERL)，因此緊急響應人員可以識別連線到這些埠的電話並更新其ERL分配。

SNMP V3提供涵蓋消息完整性、身份驗證和加密的其他安全功能。此外，SNMP V3控制使用者對MIB樹特定區域的訪問。

Emergency Responder僅讀取SNMP資訊，它不會將更改寫入交換機配置，因此您只需配置SNMP讀取社群字串。

在CER中按交換機埠跟蹤有一些條件：

• CER讀取交換機介面、埠和VLAN（僅用於CAM）、Cisco Discovery Protocol(CDP)資訊。
• CER從CUCM獲取註冊電話。
• CER檢視從CUCM傳送的裝置名稱，並搜尋MAC是否屬於交換機埠。如果找到MAC，CER將使用電話的埠位置更新其資料庫。

設定

為交換機配置SNMP字串時，還必須為Unified Communications Manager伺服器配置SNMP字串。Emergency Responder必須能夠針對電話註冊到的所有Unified CM伺服器進行SNMP查詢，才能獲取電話資訊。

CER為IP以10.0或10.1開頭的裝置提供了使用模式，例如10.0.*.*或10.1.*.*。如果要包含所有可能的地址，可以使用子網*.*.*.*。

CER配置

要在Cisco Emergency Responder中為電話跟蹤配置SNMPv3，請執行以下步驟：

步驟1。如圖所示，確保SNMP主代理、CER和Cisco電話跟蹤引擎服務已啟動。

步驟2。若要設定用於交換器和CUCM節點的SNMP設定，請導覽至CER Admin > Phone tracking > SNMPv2/v3。您可以設定SNMP使用者名稱、驗證和隱私資訊，如下圖所示。

在本示例中，10.1.61.10是交換機的IP，10.1.61.158是呼叫管理器的IP。CER中的SNMPv3配置如圖所示。

附註：您可以在IP Address/Hostname 中指定*.*.*.*或其他萬用字元/範圍，以便包含多個伺服器，否則，您可以配置特定IP地址。

步驟3。若要在LAN交換器上設定交換器IP，請導覽至CER Admin > Phone tracking > LAN switch detail > Add LAN Switch，如下圖所示。

通訊管理器配置

在CUCM中，SNMP連線分為兩個級別：SNMP主代理和Cisco CallManager SNMP服務。必須在所有已啟用CallManager服務的節點中啟用這兩個服務。要配置Cisco Unified Communications Manager伺服器，請執行以下步驟。

步驟1。若要檢查Cisco CallManager SNMP服務的狀態，請導航至Cisco Unified Serviceability > Tools > Feature services。選擇伺服器，並確保Cisco CallManager SNMP服務的狀態已啟用，如下圖所示。

步驟2。若要檢查SNMP主代理的狀態，請導覽至Cisco Unified Serviceability > Tools > Network services。選擇伺服器並驗證SNMP主代理服務是否如圖所示。

步驟3.要在CUCM中配置SNMPv3，請導航至Cisco Unified Serviceability > SNMP > V3 > User。選擇伺服器並配置使用者名稱、身份驗證資訊和隱私資訊，如下圖所示。

交換器組態

為了按交換機埠跟蹤電話，交換機中的SNMP配置必須與CER伺服器中的配置相匹配。使用這些命令配置交換機。

snmp-server group <GroupName> v3 auth read <Name_of_View>

snmp-server user <User> <GroupName> v3 auth [sha/md5] <authentication_password> priv [DES/AES128] <privacy_password>

snmp-server view <Name_of_View> iso included

範例：

Switch(config)#snmp-server group Grouptest v3 auth read Viewtest
Switch(config)#snmp-server user cersnmpv3 Grouptest v3 auth md5 cisco123 priv des cisco123
Switch(config)#snmp-server view Viewtest iso included

若要驗證您的組態，請使用show run | s snmp，如示例所示。

Switch#show run | s snmp
snmp-server group Grouptest v3 auth read Viewtest
snmp-server view Viewtest iso included

驗證

運行Cisco CallManager服務的每個CUCM還必須運行SNMP服務。如果所有配置都正確，則當您按一下Cisco Unified Communications Manager List超連結時，必須看到所有CallManager節點，並且電話必須通過switchport進行跟蹤。

步驟1。若要驗證CUCM節點清單，請導航至CER Admin > Phone tracking > Cisco Unified Communications Manager。按一下超級連結，如下圖所示。

步驟2.若要確認是否按交換機埠跟蹤電話，請導航到CER Admin > ERL Membership > Switchport > Filter >，然後點選Find。必須列出跟蹤的交換機IP地址和電話，如下圖所示。

疑難排解

SNMP Walk版本3

為了確認CUCM和交換機都響應CER，您可以使用SNMP walk v3命令。建議的Object Identifier(OID)是1.3.6.1.2.1.1.2.0，如示例所示。

從CER到CUCM的SNMP walk第3版示例：

admin:utils snmp walk 3
Enter the user name:: cucmsnmpv3
Enter the authentication protocol [SHA]::
Enter the authentication protocol [SHA]:: MD5
Enter the authentication protocol pass phrase:: ********
Enter the privacy protocol [AES128]:: DES
Enter the privacy protocol pass phrase:: ********
Enter the ip address of the Server, use 127.0.0.1 for localhost.Note that you need to provide the IP address, not the hostname.:: 10.1.61.158
The Object ID (OID):: 1.3.6.1.2.1.1.2.0
Enter parameter as "file" to log the output to a file. [nofile]::
This command may temporarily impact CPU performance.
Continue (y/n)?y
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.1348

從CER到交換機的SNMP walk版本3示例：

admin:utils snmp walk 3
Enter the user name:: cersnmpv3
Enter the authentication protocol [SHA]:: MD5
Enter the authentication protocol pass phrase:: ********
Enter the privacy protocol [AES128]:: DES
Enter the privacy protocol pass phrase:: ********
Enter the ip address of the Server, use 127.0.0.1 for localhost.Note that you need to provide the IP address, not the hostname.:: 10.1.61.10
The Object ID (OID):: 1.3.6.1.2.1.1.2.0
Enter parameter as "file" to log the output to a file. [nofile]::
This command may temporarily impact CPU performance.
Continue (y/n)?y
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2134

在CER中具有根訪問許可權的SNMP walk v3示例：

snmpwalk -v3 -u <User> -l authPriv –A <auth_password> –a [MD5/SHA]  -x [DES/AES128] -X <Priv_password> IP_Device <OID>

其中：
-u :是snmp v3使用者。
-l :是身份驗證模式[noAuthNoPriv|authNoPriv|authPriv]。
-A :是身份驗證密碼。
-a :是身份驗證協定[MD5|SHA]。
-x :是隱私協定[DES/AES128]。
-X :是隱私協定密碼。

輸出的範例如圖所示。

如果收到以下錯誤「從提供的隱私密碼短語生成金鑰(Ku)時出錯」，請嘗試使用以下語法： 

snmpwalk -v3 -l authPriv -u <User> –a [MD5/SHA] –A <auth_password> -x [DES/AES128] -X <Priv_password> IP_Device <OID>

驗證返回的OID是否是您的版本CER發行說明中支援的裝置之一。

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/11_5_1/english/release_notes/guide/CER_BK_C838747F_00_cisco-emergency-responder-version-1151.html#CER0_CN_SE55891C_00

CER傳送到交換機的某些OID是：

• 1.3.6.1.2.1.1.1.0 - sysDescr
• 1.3.6.1.2.1.1.2.0 - sysObjectID
• 1.3.6.1.2.1.1.5.0 - sysName
• 1.3.6.1.2.1.1.3.0 - sysUpTime

CER傳送到CUCM的一些OID是：

• 1.3.6.1.4.1.9.9.156.1.1.2.1.7 - ccmEntry/ ccmInetAddress
• 1.3.6.1.2.1.1.2.0 - sysObjectID
• 1.3.6.1.4.1.9.9.156.1.1.2.1.2 - ccmName

封包擷取

獲取資料包捕獲對於隔離電話跟蹤問題非常有用，這些是在CER中獲取資料包捕獲的步驟。

步驟1.使用utils network capture eth0 file ExampleName size all count 1000命令，通過CLI開始資料包捕獲，其中ExampleName是資料包捕獲的名稱。

步驟2.重現問題（發出911呼叫、SNMP漫遊、電話跟蹤更新等）。

步驟3.使用Ctrl+C停止封包擷取

步驟4.使用命令file list activivelog platform/cli/*確認資料包捕獲已儲存在CER中

步驟5.使用file get activelog platform/cli/ExampleName.cap 指令擷取封包擷取（需有SFTP伺服器才能匯出檔案）。

啟用CER中的日誌

要在Emergency Responder Server中啟用日誌，請導航至CER Admin > System > Server Settings。啟用所有覈取方塊，不會對伺服器產生任何服務影響。

為了對交換機埠(CER > Admin > ERL成員資格> Switch Ports)中未顯示的交換機進行故障排除，必須執行以下步驟：

1. 在Admin > Phone tracking > LAN Switch details中驗證配置。
2. 在Admin > Phone tracking > SNMP v2 / v3中驗證配置。
3. 驗證「Enable CAM based Phone Tracking」覈取方塊。如果是非Cisco交換機或CDP被禁用，請選中Enable CAM based Phone Tracking覈取方塊。
4. 驗證交換機上的SNMP配置。
5. 收集電話跟蹤日誌。

如果交換機埠顯示但電話沒有顯示，則必須執行以下步驟：

1. CER和通訊管理器上的SNMP配置。
2. 在Cisco Unified Communications Manager下確認IP/主機名。
3. 確認未顯示的電話是否屬於特定通訊管理器。
4. 確認已在群集中的所有CallManager節點上啟動兩個SNMP服務（SNMP主代理/CallManager SNMP服務）。
5. 通過SNMP walk確認CUCM的可達性。
6. 收集電話跟蹤日誌。

CER電話跟蹤日誌示例1:

305: Jun 30 12:05:17.385 EDT %CER-CER_PHONETRACKINGENGINE-7-DEBUG:SnmpSocketReader-47637:SnmpPrivacyParam encryptDESPrivParam Exception thrown while encrypting DES parameters :Cannot find any provider supporting DES/CBC/NoPadding

可能的原因：SNMPv3隱私資訊配置錯誤。

CER電話跟蹤日誌示例2:

Snmp exception while reading ccmVersion on <IP address CCM Node>

可能的原因：Cisco CallManager SNMP服務在某個CUCM節點中停用。

相關資訊

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/11_5_1/english/administration/guide/CER_BK_R00ED2C0_00_cisco-emergency-responder-administration-guide-1151/CER_BK_R00ED2C0_00_cisco-emergency-responder-administration-guide-1151_appendix_01101.html#CER0_RF_S51098E7_00

https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cer/10_0_1/english/administration/guide/CER0_BK_CA66317A_00_cisco-emergency-responder-administration-10_0/CER0_BK_CA66317A_00_cisco-emergency-responder-administration-10_0_chapter_01100.pdf