تكوين SNMP في ACI

المقدمة

يصف هذا المستند تكوين بروتوكول إدارة الشبكة البسيط (SNMP) واختبارات SNMP في قائمة التحكم في الوصول (ACI).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• اكتمال اكتشاف البنية
• إمكانية اتصال داخل النطاق/خارج النطاق الترددي بوحدة التحكم الخاصة بالبنية الأساسية لسياسة التطبيق (APIC) ومحولات البنية
• العقود داخل النطاق/خارج النطاق التي تم تكوينها للسماح بحركة مرور SNMP (منافذ UDP 161 و 162)
• عناوين إدارة العقدة الثابتة التي تم تكوينها ل APICs ومحولات البنية الخاصة بك تحت مستأجر الإدارة الافتراضي (بدون هذا، يتم سحب معلومات SNMP من APIC يفشل)
• فهم سير عمل بروتوكول SNMP

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• APIC
• المستعرض
• البنية الأساسية المرتكزة على التطبيقات (ACI) التي تشغل الإصدار 5.2 (8e)
• Snmpwalk  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

توفر واجهة التحكم في الوصول (ACI) من Cisco دعم بروتوكولات SNMPv1 و v2c و v3، بما في ذلك قواعد معلومات الإدارة (MIBs) والإخطارات (إختبارات). يتيح معيار SNMP لأي تطبيقات من إنتاج جهات خارجية تدعم قواعد معلومات الإدارة (MIB) المختلفة إدارة ومراقبة المحولات الطرفية والمحولات الأساسية المرتكزة على التطبيقات ووحدات التحكم في واجهة برمجة التطبيقات (APIC).

ومع ذلك، لا يتم دعم أوامر كتابة SNMP (مجموعة) في واجهة التحكم في الوصول (ACI).

يتم تطبيق سياسة SNMP ويتم تشغيلها بشكل مستقل على المحولات الطرفية والمحولات الأساسية وعلى وحدات التحكم في APIC. بما أن كل جهاز من أجهزة قائمة التحكم في الوصول (ACI) له كيان SNMP الخاص به، فإن هذه هي العديد من وحدات APIC في مجموعة APIC يجب مراقبتها بشكل منفصل بالإضافة إلى المحولات. ومع ذلك، يتم إنشاء مصدر سياسة SNMP كسياسة إصلاح لنسيج واجهة التحكم في الوصول (ACI) بالكامل.

بشكل افتراضي، يستخدم SNMP منفذ UDP 161 للاقتراع والمنفذ 162 للملائمات.

فهم نطاقات SNMP

أحد المفاهيم الأساسية السريعة لبروتوكول SNMP في واجهة التحكم في الوصول (ACI) هو أنه يمكن سحب معلومات بروتوكول SNMP بنطاقين من:
1 - العالمية
2. سياق التوجيه وإعادة التوجيه الظاهري (VRF)

يتم على النطاق العام سحب قواعد معلومات الإدارة (MIB) الخاصة بالهيكل مثل عدد الواجهات وفهارس الواجهة وأسماء الواجهة وحالة الواجهة وما إلى ذلك الخاصة بالعقدة الطرفية/العمود الفقري.

تعمل قواعد معلومات الإدارة (MIB) الخاصة بنطاق سياق VRF على سحب معلومات خاصة ب VRF مثل عناوين IP ومعلومات بروتوكول التوجيه.

هناك قائمة كاملة من APIC ومحولات البنية العامة و VRF سياق MIB في قائمة دعم Cisco ACI MIB.

ملاحظة: قاعدة معلومات الإدارة (MIB) ذات النطاق العالمي لها مثيل واحد فقط في النظام. تتعلق البيانات في قاعدة معلومات الإدارة العالمية بالنظام العام.

يمكن أن تحتوي قاعدة معلومات الإدارة (MIB) ذات النطاق الخاص بعامل التردد اللاسلكي (VRF) على مثيلات لكل عامل تردد لاسلكي (VRF) في النظام. ولا تتعلق البيانات الموجودة في قاعدة معلومات الإدارة الخاصة بعامل التردد اللاسلكي إلا بذلك التردد اللاسلكي.

خطوات التكوين (لكل من نطاقات السياق العامة و VRF)

الخطوة 1. تكوين سياسة بنية SNMP

ملاحظة: هنا يتم تحديد إعدادات SNMP مثل سياسات مجتمع SNMP ونهج مجموعة عملاء SNMP.

تتمثل الخطوة الأولى في تكوين بروتوكول SNMP في إنشاء سياسات بنية SNMP الضرورية. من أجل إنشاء سياسات بنية SNMP، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) الخاصة بويب ل APIC؛ Fabric > Fabric Policies > Policies > Pod > SNMP.

يمكنك إنشاء سياسة SNMP جديدة أو تعديل سياسة SNMP الافتراضية.

في المستند، يسمى سياسة SNMP New-SNMP ويستخدم إصدار SNMP v2c لذلك فإن الحقول الوحيدة اللازمة هنا هي سياسات المجتمع وسياسات مجموعة العملاء.

يحدد حقل اسم سياسة المجتمع سلسلة مجتمع SNMP التي سيتم إستخدامها. في حالتنا، New-1. يمكنك أن ترى أين تأتي سلسلتي المجتمع هذه في وقت لاحق.

الاسم - اسم نهج SNMP. يمكن أن يتراوح هذا الاسم بين 1 و 64 حرفا ورقميا.

الوصف - وصف سياسة SNMP. يمكن أن يكون الوصف من 0 إلى 128 حرفا أبجديا رقميا.

حالة المسؤول - الحالة الإدارية لنهج SNMP. الدولة يستطيع كنت مكنت أو أعجزت. الولايات هي:

• ممكن - تم تمكين حالة المسؤول

• معطل - تم تعطيل حالة الإدارة

التقصير معأق.

جهة الاتصال - معلومات جهة الاتصال لنهج SNMP.

الموقع - موقع نهج SNMP.

مستخدمو SNMP v3 - يتم إستخدام ملف تعريف مستخدم SNMP لإقران المستخدمين بنهج SNMP لمراقبة الأجهزة في الشبكة.

سياسات المجتمع - يتيح ملف تعريف مجتمع SNMP إمكانية الوصول إلى إحصائيات الموجه أو المحول للمراقبة.

نهج مجموعة العملاء:

تتمثل الخطوة التالية في إضافة نهج/ملف تعريف مجموعة العملاء. الغرض من "سياسة/ملف تعريف مجموعة العملاء" هو تحديد ما يمكن أن تقوم IPs/الشبكات الفرعية بسحب بيانات SNMP من بطاقات واجهة برمجة التطبيقات (APICs) ومحولات البنية:

الاسم - اسم ملف تعريف مجموعة العملاء. يمكن أن يتراوح هذا الاسم بين 1 و 64 حرفا ورقميا.

الوصف - وصف ملف تعريف مجموعة العملاء. يمكن أن يكون الوصف من 0 إلى 128 حرفا أبجديا رقميا.

مجموعة نقطة نهاية الإدارة المقترنة (EPG) - الاسم المميز لمجموعة نقاط النهاية التي يمكن من خلالها الوصول إلى VRF. الحد الأقصى لطول السلسلة المدعومة هو 255 حرف ASCII. الإعداد الافتراضي هو EPG للوصول إلى إدارة مستأجر الإدارة خارج النطاق.

إدخالات العميل - عنوان IP الخاص بملف تعريف عميل SNMP.

في المستند، يسمى "نهج/ملف تعريف مجموعة العملاء" ب New-client.

في "نهج مجموعة العملاء/ملف التعريف" يجب إقران "EPG للإدارة المفضلة". أنت ينبغي ضمنت أن الإدارة EPG أنت تختار يتلقى العقود الضرورية أن يسمح حركة مرور SNMP (UDP ميناء 161 و 162). يتم إستخدام EPG الإدارة الافتراضية خارج النطاق في المستند لأغراض العرض التوضيحي.

تتمثل الخطوة الأخيرة في تحديد إدخالات العميل الخاصة بك للسماح بوصول عناوين IP معينة أو الشبكات الفرعية بالكامل إلى سحب بيانات ACI SNMP. هناك صياغة لتعريف عنوان IP محدد أو شبكة فرعية بأكملها:

• عنوان IP للمضيف المحدد: 192.168.1.5
• الشبكة الفرعية بأكملها: 192.168.1.0/24

ملاحظة: لا يمكنك إستخدام 0.0.0.0 في إدخال العميل للسماح لجميع الشبكات الفرعية (إذا كنت ترغب في السماح لجميع الشبكات الفرعية بالوصول إلى قاعدة معلومات الإدارة (MIB) لبروتوكول SNMP، فما عليك سوى ترك إدخالات العميل فارغة).

الخطوة 2. تطبيق سياسة SNMP على مجموعة نهج PoD (مجموعة سياسات البنية)

لتطبيق هذا التكوين، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Fabric > Fabric Policies > Pods > Policy Groups > POD_POLICY_GROUP) الخاصة بواجهة المستخدم الرسومية (APIC) على الويب؛ (الافتراضي في المستند).

في الجزء الأيمن، ترى حقل لنهج SNMP. من القائمة المنسدلة، أختر نهج SNMP الذي تم إنشاؤه حديثا وأرسل التغييرات الخاصة بك.

الخطوة 3. إقران مجموعة سياسات POD بملف تعريف POD

في الوثيقة، أستخدم ملف تخصيص POD الافتراضي للبساطة. للقيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (APIC) عبر الويب؛Fabric > Fabric Policies > Pods > Profiles > POD_PROFILE(الافتراضي في المستند).

في هذه المرحلة، قم بتكوين بروتوكول SNMP الأساسي ل قواعد معلومات الإدارة (MIB) العالمية.

ملاحظة: عند هذه النقطة، تم إكمال جميع الخطوات الضرورية (الخطوات 1-3) لتكوين SNMP، وتم إستخدام نطاق قاعدة معلومات الإدارة (MIB) العام ضمنيا. وهذا يسمح بإجراء عملية سير عبر بروتوكول SNMP لأي عقدة من عقدة واجهة التحكم في الوصول (ACI) أو واجهة برمجة التطبيقات (APIC).

الخطوة 4. تكوين نطاقات سياق VRF

بمجرد إقران سلسلة مجتمع بسياق VRF، لا يمكن إستخدام سلسلة المجتمع المحددة هذه لسحب بيانات SNMP على النطاق العالمي. لذلك، يلزم إنشاء سلاسل مجتمع SNMP إذا كنت تتطلع إلى سحب كل من بيانات SNMP الخاصة بنطاق النطاق العالمي وبسياق التردد اللاسلكي (VRF).

في هذه الحالة، فإن سلاسل المجتمع التي تم إنشاؤها مسبقا (في الخطوة 1.) وتحديدا (New-1)، أستخدم New-1 لنطاق سياق VRF وVRF-1 VRF المخصص في مثال المستأجر المخصص. للقيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Tenants > Example > Networking > VRFs > VRF-1 (right click) > Create SNMP Context) الخاصة بواجهة برمجة التطبيقات (APIC) عبر الويب .

بعد إرسال التكوين، يمكنك التحقق من تكوين سياق SNMP الذي قمت بتطبيقه بالنقر بزر الماوس الأيمن على VRF الخاص بك، والتنقل إلى علامة التبويب "سياسة" على VRF، والتمرير إلى أسفل الجزء:

لتعطيل سياق SNMP على VRF، يمكنك إلغاء تحديد خانة الاختيار إنشاء سياق SNMP (يظهر في لقطة الشاشة)، أو انقر بزر الماوس الأيمن فوق معرف فئة المورد (VRF) واختر حذف سياق SNMP.

تكوين رسائل بروتوكول SNMP باستخدام واجهة المستخدم الرسومية (GUI)

يتم إرسال رسائل تنبيه SNMP إلى خادم SNMP (وجهة SNMP/أنظمة إدارة الشبكة (NMS) دون فحص، وترسل عقدة ACI/APIC مصيدة SNMP بمجرد حدوث الخطأ/الحدث (الحالة المحددة).

يتم تمكين إختبارات SNMP استنادا إلى نطاق السياسة ضمن نهج مراقبة الوصول/البنية/المستأجر. يدعم ACI الحد الأقصى لعدد 10 مستقبلات مصيدة.

ملاحظة: بدون الخطوات 1-3 من المقطع السابق، لا يكون تكوين رسائل تنبيه SNMP كافيا. الخطوة 2. في تكوين مصيدة SNMP مرتبط بسياسات مراقبة (الوصول/البنية/المستأجر).

in order to شكلت SNMP الملائمة في ACI، أنت تحتاج الإثنان خطوة إضافة إلى الخطوة 1، 2، و 3 في القسم السابق.

الخطوة 1. تكوين خادم ملائمة SNMP

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة المستخدم الرسومية (Admin > Eternal Data Collectors > Monitoring Destinations > SNMP) الخاصة ببروتوكول APIC.

اسم المضيف/IP - مضيف وجهة مصيدة SNMP.

المنفذ - منفذ الخدمة لوجهة مصيدة SNMP. المدى هو 0 (غير محدد) إلى 65535؛ القيمة الافتراضية هي 162.

الإصدار - إصدار CDP المدعوم لوجهة مصيدة SNMP. يمكن أن يكون الإصدار:

• V1 - يستخدم مطابقة سلسلة مجتمع لمصادقة المستخدم.

• v2c - يستخدم مطابقة سلسلة مجتمع لمصادقة المستخدم.

• V3 - بروتوكول لإدارة الشبكة قائم على المعايير قابل للتشغيل البيني يوفر الوصول الآمن إلى الأجهزة من خلال مجموعة من إطارات المصادقة والتشفير عبر الشبكة.

الافتراضي هو v2c.

اسم الأمان - اسم أمان وجهة مصيدة SNMP (اسم المجتمع). لا يمكن أن يحتوي على رمز @.

مستوى الأمان v.3 - مستوى أمان SNMPv3 لمسار وجهة SNMP. المستوى يستطيع كنت:

• auth

• لاوث

• بريف

الافتراضي هو noauth.

Management EPG - اسم مجموعة نقطة نهاية الإدارة لوجهة SNMP التي يمكن من خلالها الوصول إلى المضيف البعيد.

الخطوة 2. تكوين مصدر مصيدة SNMP ضمن سياسة مراقبة (الوصول/البنية/المستأجر)

يمكنك إنشاء سياسات مراقبة باستخدام النطاقات الثلاثة:

• الوصول - منافذ الوصول ومنفذ FEX ووحدات التحكم في الشبكة الافتراضية (VM)
• البنية - منافذ بنيوية وبطاقات وهيكل ومراوح

• المستأجر - EPGs، ملفات تعريف التطبيقات، الخدمات

ملاحظة: يمكنك إختيار أي مجموعة منها أو أي مجموعة منها للتكوين وفقا لاحتياجاتك.

الخيار 1. تحديد مصدر SNMP ضمن سياسات الوصول

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة برمجة التطبيقات (APIC) عبر الويب؛ Fabric > Access Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

ملاحظة: يمكنك إستخدام نهج مراقبة معرف بشكل مخصص (في حالة تكوينه) بدلا من النهج الافتراضي، أستخدم النهج الافتراضي هنا. يمكنك تحديد كائن المراقبة الذي تريد مراقبته؛ كلها أستخدمت هنا.

الخيار 2. تحديد مصدر SNMP ضمن سياسات البنية

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة برمجة التطبيقات (APIC) عبر الويب؛ Fabric > Fabric Polices > Polices >  Monitoring > Default > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

الخيار 3. تحديد مصدر SNMP ضمن سياسات المستأجر

من أجل القيام بذلك، انتقل إلى مسار واجهة المستخدم الرسومية (GUI) لواجهة برمجة التطبيقات (APIC) عبر الويب؛ Tenant > (Tenant Name) > Polices > Monitoring > (Custom monitoring policy) > Callhome/Smart Callhome/SNMP/Syslog/TACACS.

التحقق من الصحة

إستخدام الأمر snmpwalk للتحقق

أولا، انظر إلى سحب بيانات SNMP من النطاق العالمي لمحول طرفي. وباستخدام الأمر snmpwalk يمكن القيام بذلك؛ snmpwalk -v 2c -c New-1 x.x.x.x.

Snmpwalk = الملف التنفيذي Snmpwalk المثبت على MacOS/Linux/Windows
-v = يحدد إصدار بروتوكول SNMP الذي يريد الاستخدام
2c= تحديد المستخدمين ل SNMP الإصدار 2c
-c= يحدد أن سلسلة مجتمع معينة
New-1= تستخدم سلسلة المجتمع لسحب بيانات SNMP ذات النطاق العالمي
x.x.x.x= عنوان IP الخاص بإدارة المحول الطرفي خارج النطاق

نتيجة الأمر:

$ snmpwalk -v 2c -c New-1 x.x.x.x
SNMPv2-MIB::sysDescr.0 = STRING: Cisco NX-OS(tm) aci, Software (aci-n9000-system), Version 15.2(8e), RELEASE SOFTWARE Copyright (c) 2002-2015 by Cisco Systems, Inc. Compiled 2018/07/26 09:34:42
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.12.3.1.3.1626
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (45013216) 5 days, 5:02:12.16
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: leaf1
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 70
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (3) 0:00:00.03
SNMPv2-MIB::sysORID.1 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.2 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORID.3 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.4 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.5 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
SNMPv2-MIB::sysORDescr.1 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.2 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORDescr.3 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.5 = STRING: The management information definitions for the SNMP User-based Security Model.

في إخراج الأمر snipped، يمكنك أن ترى أن snmpwalk ناجح وتم سحب معلومات خاصة بالجهاز. إذا تركت الحركة البسيطة تستمر، سترى أسماء واجهات الأجهزة، وأوصافها، وما إلى ذلك.

والآن، قم بالمتابعة لاسترداد بيانات SNMP لسياق VRF، لسياقات SNMP التي تم إنشاؤها مسبقا، New-VRF-SNMP ل VRFs التي تستخدم سلسلة مجتمع SNMP، New-1.

منذ إستخدام سلسلة المجتمع نفسها، new-1، عبر سياقي SNMP مختلفين، يجب تحديد سياق SNMP الذي تريد سحب بيانات SNMP منه. هناك صياغة SnmpWalk التي تحتاج إلى إستخدامها لتحديد سياق SNMP معين؛ snmpwalk -v 2c -c New-1@New-VrF-SNMP 10.x.x.x.

يمكنك ملاحظة أنه لسحب التنسيق من سياق SNMP معين، يمكنك إستخدام التنسيق: .

إستخدام أوامر show ل CLI

في APIC:

show snmp
show snmp policy 
show snmp summary
show snmp clientgroups
show snmp community
show snmp hosts
show snmp engineid

على المحول:

show snmp
show snmp | grep "SNMP packets"
show snmp summary
show snmp community
show snmp host
show snmp engineID
show snmp context
show snmp user
show snmp internal dump-internal-log
show snmp internal globals
show snmp internal trace log

إستخدام أوامر CLI Moquery

على APIC/المحول:

moquery -c snmpGroup         #The SNMP destination group, which contains information needed to send traps or informs to a set of destinations. 
moquery -c snmpTrapDest      #A destination to which traps and informs are sent.
moquery -c snmpRtDestGroup   #A target relation to SNMP destination group. This group contains information needed to send traps or informs to a set of destinations.
moquery -c snmpPol           #The SNMP policy, which enables you to monitor client group, v3 user, and/or community SNMP policies. 
moquery -c snmpClientGrpP    #A client group, which is a group of client IP addresses that allows SNMP access to routers or switches.
moquery -c snmpCommunityP    #The SNMP community profile, which enables access to the router or switch statistics for monitoring. 
moquery -c snmpRtSnmpPol     #A target relation to an SNMP policy that contains site information and general protocol configuration parameters. Note that this relation is an internal object.
moquery -c snmpClientP       #The client profile information.
moquery -c snmpRsEpg         #A source relation to the endpoint group VRF through which the clients can connect. The VRF is an in-band or out of-band management endpoint.
moquery -c snmpSrc           #The SNMP source profile, which determines the fault information, severity level, and destination for sending messages to the SNMP destination. 
moquery -c snmpCtxP          #The SNMP context profile, which enables you to specify a context to monitor with a community profile.

إستخدام أوامر CLI CAT

في APIC:

cat /aci/tenants/mgmt/security-policies/out-of-band-contracts/summary
cat /aci/tenants/mgmt/security-policies/filters/summary
cat /aci/tenants/mgmt/node-management-epgs/default/out-of-band/default/summary
cat /aci/admin/external-data-collectors/monitoring-destinations/snmp/*/snmp-trap-destinations/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/summary
cat /aci/fabric/fabric-policies/pod-policies/policies/snmp/*/client-group-policies/*/*/summary
cat /aci/fabric/fabric-policies/pod-policies/policy-groups/summary
cat /aci/fabric/fabric-policies/pod-policies/pod-selector-default-all/summary
cat /aci/fabric/fabric-policies/monitoring-policies/monitoring-policy-default/callhome-snmp-syslog/all/snmp*/summary
cat /aci/fabric/fabric-policies/monitoring-policies/common-policy/callhome-snmp-syslog/snmp/*/summary
cat /aci/fabric/access-policies/monitoring-policies/default/callhome-snmp-syslog/all/snmp*/summary

استكشاف الأخطاء وإصلاحها

التحقق من عملية SNMPd

على المحول:

ps aux | grep snmp
pidof snmpd

في APIC:

ps aux | grep snmp

إن يكون العملية عادي، اتصل ب cisco TAC ل كثير مساعدة.