在雲註冊的終端上配置SNMP

簡介

本檔案介紹如何在雲註冊終端上設定SNMP和對其進行疑難排解。

必要條件

需求

建議您熟悉以下主題：

• 控制中心平台
• 通過端點的圖形使用者介面(GUI)和控制中心裝置部分進行端點管理
• 以管理員使用者身份通過SSH連線到終端
• 會議室OS
• SNMP（SNMPv2c和SNMPv3）
• Snmpwalk或其他實用程式/工具或網路管理系統(NMS)測試SNMP配置

採用元件

此處列出的裝置已用於進行測試並產生本文檔中描述的結果：

• 控制中心組織
• Cisco會議室套件Pro
• Cisco會議室欄Pro
• Linux Server to host snmpwalk utility，用於測試SNMP配置。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

什麼是SNMP

SNMP代表簡單網路管理協定。該協定用於收集和管理有關網路內裝置的資訊、監控裝置狀態或進行配置更改。這些裝置可以是路由器、交換機、伺服器、印表機或任何其他型別的裝置。必須為這些裝置分配IP地址。SNMP有三個版本。房間作業系統支援SNMPv2c和SNMPv3。不支援SNMPv1。

本文重點介紹在運行雲註冊的Room OS（不使用面向裝置的Webex Edge）的合作終端上對SNMP進行配置和故障排除。

注意：本文僅從終端的角度探討SNMP配置。在網路端完成的任何配置以及用於請求/更新終端上的SNMP相關資訊的工具均不屬於本文的範圍。

TAC不支援對網路中的SNMP進行故障排除，也不能從網路角度提供有關SNMP未按預期運行的任何推斷。您的網路團隊必須參與進一步排除這些問題。 

SNMP的管理可以通過多種不同的工具來實現。TAC不支援這些工具。如果這些工具從終端收集的資訊中存在差異，則網路團隊必須首先解決該問題，如果存在足夠資訊證明這是一個終端相關的問題，則必須在TAC中上報。

可以請求哪些資訊

使用SNMP，您可以從終端請求有限數量的資訊。在NetworkService SNMP Mode命令說明的詳細信息下，可在此鏈接中看到OID和MiB:

NetworkService SNMP模式命令在會議室OS xAPI文檔中的說明

端點會暴露SNMPv2和SNMPv3的以下OID:

• SNMPv2-MIB::sysDescr（讀），
• SNMPv2 -MIB::sysObjectID（讀取），
• DISMAN-EVENT-MIB::sysUpTimeInstance（讀取），
• SNMPv2 -MIB::sysContact（讀/寫），
• SNMPv2 -MIB::sysName（讀/寫），
• SNMPv2 -MIB::sysLocation（讀/寫），
• SNMPv2 -MIB::sysServices（讀取）。

附註：如果只要使用SNMPv3，可以將NetworkServices SNMP CommunityName設定為空字串。

在雲註冊終端上配置SNMP

通常，終端上的配置更改可以通過四種不同方式進行：

1. 可用的Webex API
2. 終端GUI
3. 控制中心
4. SSH直接連線到終端

附註：要訪問終端GUI，請開啟瀏覽器，然後在URL欄中鍵入終端的IP地址。您需要與終端位於同一網路上，並且您需要具有使用者憑證才能登入。

並非所有配置都能以所有四種方式進行。在本檔案的場景中，可以採用四種方式啟用SNMP模式，但是為了建立能夠通過SNMP與裝置通訊的SNMP使用者，您需要通過SSH連線到終端，或者使用Webex API，或者在Customization部分下的Developer API使用終端的GUI。無法從終端的控制中心所有配置部分創建USM使用者。

終端GUI上的Developer API部分

注意：在執行命令和配置文本框中發出的命令不會返回任何結果。您只會看到命令是否已成功執行。這就是列出USM使用者的命令不會返回上一個螢幕截圖中的任何結果的原因。這表示您可以成功從終端的GUI的此部分建立USM使用者，但是為了再次檢查是否建立了使用者，您需要通過SSH連線到裝置。

對於配置SNMPv2c，不需要建立使用者。身份驗證使用在端點上配置的社群名稱（也稱為社群字串）進行。終端的SNMP代理（已存在於裝置上）響應與裝置上配置的社群名稱相匹配的請求。如果來自管理系統的SNMP請求不包含匹配的社群名稱（區分大小寫），則消息將被丟棄，並且影片裝置中的SNMP代理將不會傳送響應。

但是，SNMPv3要求配置USM使用者才能成功進行身份驗證。為此，必須使用網路SNMP USM使用者命令。這可以通過SSH直接連線到裝置，或者通過使用Developer API部分下的裝置GUI來實現。或者，可以使用Webex API。

注意：您需要決定是要啟用SNMPv2、SNMPv3還是同時啟用。思科終端不支援SNMPv1。任何使用SNMPv1的嘗試都將失敗。

在本文檔中，SNMPv2和SNMPv3協定將在控制中心啟用和配置，但SNMP3身份驗證所需的USM使用者是通過SSH配置的。

在控制中心啟用SNMPv2c模式

導航到admin.webex.com，然後使用管理員憑據登入。建議為完全管理員。導航到使用者介面左側Management部分下的Devices。在Devices頁籤下，選擇要配置的裝置。本範例中使用的是Cisco Room Kit Pro。 

「控制集線器裝置」部分

在開啟的新Control Hub頁中的裝置詳細資訊下，導航到Configurations部分並點選All Configurations:

Room Kit Pro的控制中心裝置詳細資訊

在搜尋欄中，輸入snmp，然後選擇NetworkServices > SNMP > Mode:

「控制中心所有配置」視窗

選擇需要在環境中啟用的模式。有三個可用選項：

1. Off:禁用SNMP網路服務。
2. 唯讀：僅為查詢啟用SNMP網路服務。
3. 讀取/寫入：為查詢和命令啟用SNMP網路服務。

在本示例中，ReadWrite處於選中狀態。然後，在設定導航部分按一下SNMP，如圖所示。這將使您返回到設定中的一個步驟，並且您可以檢視所有可以通過Control Hub在裝置上配置的SNMP相關設定：

Control Hub中所有配置下的SNMP模式設定

按一下SNMP後，系統會顯示所有可用的SNMP選項，如下圖所示。要成功設定SNMPv2，需要設定社群名稱。團體名稱用於在SNMP伺服器與終端上存在的SNMP代理之間進行身份驗證。在本例中， Community Name（社群名稱）設定為test123。按一下右下角的Next。

Control Hub中「所有配置」下的SNMP設定

檢視裝置配置並點選右下角的Apply:

在應用更改之前檢視配置

驗證配置更改是否已成功應用。然後按一下「Close」。

終端配置已成功應用於控制中心

在此階段，在終端上成功啟用SNMPv2c，並設定社群名稱。

在控制中心啟用SNMPv3模式

與SNMPv2c相比，SNMPv3提供了更多安全性，並且需要在終端上執行不同的配置。導航至Control Hub中Management部分下的Devices。繼續使用Devices頁籤，然後選擇要使用SNMPv3配置的其中一個終端。例如，使用思科會議室欄Pro。

在裝置詳細資訊下，導航到Configurations部分，然後按一下All Configurations。將會開啟「裝置配置」頁面。在搜尋欄中鍵入snmp，然後選擇NetworkServices > SNMP > Mode。在本例中，SNMP模式設定為ReadWrite。按一下SNMP檢視裝置上的所有可配置SNMP設定。

附註：在先前的範例中設定了SNMPv2c時，已對SNMPv3到目前為止提到的所有步驟進行了說明。因此，未提供步驟的螢幕截圖。如果對如何導航控制中心設定有任何疑問，請參閱在控制中心中啟用SNMPv2c模式部分。 

要僅支援SNMPv3，您需要將社群名稱設定為用引號括起來的空字符串：""。

Control Hub中「所有配置」下的SNMP設定

按一下「Next」，然後檢視組態變更，然後按一下「Apply」。按一下「Close」以關閉裝置組態頁面。

可在控制中心執行的配置到此結束。在這個階段，只啟用SNMPv3。 

終端GUI中的SNMP配置如何

可以從裝置GUI執行相同的配置。開啟瀏覽器頁籤並鍵入終端的IP地址（您需要與終端位於同一網路中）。 以admin 使用者身份登入，在終端GUI中，導航到SETUP部分下的Settings。在Configurations頁籤上，並在設定搜尋欄上鍵入snmp。  此圖顯示了在上一節的Room Bar Pro上完成的SNMPv3配置的SNMP設定是如何顯示的：

終端的GUI上的SNMPv3配置

為SNMPv3配置USM使用者

為了能夠使用SNMPv3，您需要建立一個USM使用者。執行此操作的可用命令可以在此處的Room OS文檔連結中找到。  使用SSH連線到裝置。為此，需要在裝置上擁有管理員帳戶。如果不是，則需要建立管理員帳戶。  這一部分貫穿整個過程。

導航至Control Hub中Management部分下的Devices。在Devices頁籤下並選擇要為其建立管理員使用者的終端之一。在本示例中，使用的是Cisco Room Bar Pro。

在裝置詳細資訊下，導航到支援部分，然後按一下本地裝置控制（您需要與終端位於同一網路中才能使用此功能）。 裝置GUI開啟。導覽至SETUP部分下的Users，然後按一下Create User。 

終端GUI中的Users部分

提供使用者名稱和密碼短語（密碼）。 確保使用者具有完全管理員許可權並且處於活動狀態：

從終端的GUI建立使用者

從Users頁面驗證使用者是否已建立且處於活動狀態：

在其他使用者之間建立並列出的新使用者

附註：在首次嘗試使用新建立的使用者進行SSH登入時，系統會要求您更改密碼。您會看到類似以下的提示：

首次使用SSH時更改密碼

更改密碼後，您將立即斷開連線，需要啟動新的SSH連線。

成功建立管理員使用者後，使用您選擇的SSH客戶端並連線到終端。使用管理員憑據登入。這是您看到的提示：

通過SSH成功登入終端嘗試

使用本文所述Network SNMP USM User Add命令。在本演示中，使用的命令為：

xCommand Network SNMP USM User Add AuthenticationPassword: testuser123 AuthenticationProtocol: SHA-256 Name: psitaras PrivacyPassword: test1234

此命令的結果是：

通過SSH建立USM使用者

要使命令執行時沒有錯誤，您需要遵守此連結中共用的命令文檔中所述的某些規則。為方便起見，在此圖片中貼上了編寫此命令時此文檔的當前要求，但您必須在建立使用者時參考此連結。在圖的最後，請注意該命令的確切語法。

xAPI文檔中的USM使用者建立命令語法

警告：如果出現拼寫錯誤或存在未滿足的要求，該命令將返回錯誤，並且不會建立使用者。此處提供了一個示例，其中不提供至少8個字元的隱私密碼，而是提供較短的7個字元密碼：

由於密碼短，USM使用者建立失敗

您可以使用Network SNMP USM User List命令測試您的使用者是否已建立。此命令列出裝置上儲存的所有USM使用者：

用於確認使用者建立的網路SNMP USM使用者清單命令

在此階段，已確認已成功建立使用者主題。SNMPv3配置已完成。

附註：在終端的GUI的Users部分下，USM使用者類別不可見。這是意料之中的。

在終端的GUI中，使用者下不可見USM使用者

測試SNMPv2c和SNMPv3配置

在這個階段，您可以繼續使用您的網路管理系統(NMS)測試SNMPv2c和/或SNMPv3配置。 本文的實驗配置不包含運行SNMP服務的任何NMS或SNMP伺服器。為了測試配置，使用名為snmpwalk的實用程式。此應用工具安裝在Linux伺服器上。

注意：建議不要使用Snmpwalk來測試合作終端上的SNMP配置。TAC工程師不支援該工具，您需要先熟悉該工具的使用方法，然後才能繼續測試。您可以使用任何其他SNMP工具或NMS來測試您的配置，而不是使用snmpwalk。本文使用Snmpwalk只是一個示例（需要工具測試配置以進行演示），並且沒有與其使用相關的承諾或促銷。

安裝snmpwalk不屬於本指南的一部分，因此省略。根據您用於測試的電腦的作業系統(OS)，安裝要求可能有所不同。在測試之前，必須設法成功安裝。

Snmpwalk是一個可用於驗證SNMP配置的工具。它執行終端的MiB遍歷並返回可用資訊。雲註冊的終端公開了7個對象識別符號(OID):

• SNMPv2-MIB::sysDescr（讀），
• SNMPv2 -MIB::sysObjectID（讀取），
• DISMAN-EVENT-MIB::sysUpTimeInstance（讀取），
• SNMPv2 -MIB::sysContact（讀/寫），
• SNMPv2 -MIB::sysName（讀/寫），
• SNMPv2 -MIB::sysLocation（讀/寫），
• SNMPv2 -MIB::sysServices（讀取）。

附註：用於所列舉的snmpwalk測試的內部IP是私有IP，不再使用。用於本指南的實驗室已停用，裝置已出廠重置。

Cisco Room Kit Pro端點配置了SNMPv2c。使用社群字串進行驗證。發出以下命令：

# '-c' option is used to provide the community string
# '-v' option is used to provide the SNMP version used
# The IP provided is the endpoint's IP

snmpwalk -c test123 -v 2c 172.16.5.9

iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Codec
SoftW: ce11.26.1.5.53ff615d0d9
MCU: Cisco Codec Pro
Date: 2025-02-28
S/N: FDO2706JG49"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.5596.150.6.4.1
iso.3.6.1.2.1.1.3.0 = Timeticks: (106770681) 12 days, 8:35:06.81
iso.3.6.1.2.1.1.4.0 = ""
iso.3.6.1.2.1.1.5.0 = ""
iso.3.6.1.2.1.1.6.0 = ""
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.7.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

Snmpwalk按預期返回7個結果。有三個管理學碩士是空的：

1. SNMPv2 -MIB::sysContact（讀/寫），(iso.3.6.1.2.1.1.4.0)
2. SNMPv2 -MIB::sysName（讀/寫），(iso.3.6.1.2.1.1.5.0)
3. SNMPv2 -MIB::sysLocation（讀/寫），(iso.3.6.1.2.1.6.0)

有三個xConfiguration命令可用於設定這些MiB的值。通過SSH連線到終端並發出以下命令：

xConfiguration NetworkServices SNMP SystemContact: testuser1
xConfiguration NetworkServices SNMP SystemLocation: Room1
xConfiguration SystemUnit Name: My_Room_Kit_Pro

附註：您可以從Control Hub、終端GUI或Webex API對這些設定進行更改，而不是使用這三種命令。

發出上述命令後，在同一端點上再次使用snmpwalk。您會注意到以前空的MiB填充了通過xConfiguration命令提供的值：

snmpwalk -c test123 -v 2c 172.16.5.9

iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Codec
SoftW: ce11.26.1.5.53ff615d0d9
MCU: Cisco Codec Pro
Date: 2025-02-28
S/N: FDO2706JG49"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.5596.150.6.4.1
iso.3.6.1.2.1.1.3.0 = Timeticks: (107047446) 12 days, 9:21:14.46
iso.3.6.1.2.1.1.4.0 = STRING: "testuser1"
iso.3.6.1.2.1.1.5.0 = STRING: "My_Room_Kit_Pro"
iso.3.6.1.2.1.1.6.0 = STRING: "Room1"
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.7.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

在此階段，確認在Room Kit Pro裝置上建立的SNMPv2c配置可正常運行。

Cisco Room Bar Pro端點配置了SNMPv3。對於SNMPv3，您需要確保使用正確的身份驗證。未使用社群字串。相反，SNMPv3使用使用者名稱和密碼。

# '-v3' option selects SNMPv3.
# '-u' option provides the USM username configured.
# '-x' option provides the privacy protocol (encryption algorithm). Options are DES and AES. Cloud-registered endpoints support only AES.
# '-l' option specifies the security level. Options are 'noAuthNoPriv', 'authNoPriv', and 'authPriv'. Cloud-registered endpoints support only 'authpriv'.
# '-a' option specifies the authentication protocol. Cloud-registered endpoints support only SHA-2 protocols.
# '-A' option specifies the authentication passphrase.
# '-X' specifies the privacy pass phrase for the encrypted SNMPv3 messages.

snmpwalk -v3 -u psitaras -x AES -l authPriv -a SHA-256 -A testuser123 -X test1234 172.16.5.23

iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Codec
SoftW: ce11.23.1.8.3963b07b5c5
MCU: Cisco Room Bar Pro
Date: 2024-12-12
S/N: FOC2732H1VU"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.5596.150.6.4.1
iso.3.6.1.2.1.1.3.0 = Timeticks: (112579044) 13 days, 0:43:10.44
iso.3.6.1.2.1.1.4.0 = ""
iso.3.6.1.2.1.1.5.0 = ""
iso.3.6.1.2.1.1.6.0 = ""
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.7.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

在此階段，確認在Room Bar Pro裝置上建立的SNMPv3配置可正常運行。

終端是否可以同時啟用SNMPv2c和SNMPv3

是的，這是可能的。但是，在SNMP配置期間，您需要設定社群名稱才能進行SNMPv2c身份驗證。對於此測試，使用前面示例中的Room Bar Pro。終端的控制中心所有配置部分中的當前配置為：

控制中心中的終端SNMP配置

請注意，團體名稱不為空。有兩個引號，表示團體名稱是一個空字串。通過將NetworkServices SNMP CommunityName設定為空字串("")，可以將SNMP支援限製為版本3。 您需要將此字串替換為團體名稱，例如testbothSNMPv2_v3。

在控制中心端點配置設定中新增SNMPv2c的社群名稱

已確認SNMPv3正在使用Room Bar Pro。Snmpwalk用於在設定社群名稱后，測試SNMPv2c是否也正常工作：

snmpwalk -c testbothSNMPv2_v3 -v 2c 172.16.5.23

iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Codec
SoftW: ce11.23.1.8.3963b07b5c5
MCU: Cisco Room Bar Pro
Date: 2024-12-12
S/N: FOC2732H1VU"
iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.5596.150.6.4.1
iso.3.6.1.2.1.1.3.0 = Timeticks: (112696957) 13 days, 1:02:49.57
iso.3.6.1.2.1.1.4.0 = ""
iso.3.6.1.2.1.1.5.0 = ""
iso.3.6.1.2.1.1.6.0 = ""
iso.3.6.1.2.1.1.7.0 = INTEGER: 72
iso.3.6.1.2.1.1.7.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

是否可以使用SNMP通過控制中心配置多個終端

可以，可以在控制中心中同時配置多個裝置。本文在配置多裝置一節中提供了有關如何逐步執行此操作的資訊。

需要記住的重要詳細資訊

• 只有特定的MiB可用。可用的MiB數量受到設計端點的工程團隊設計的限制。不能擴展或增強MiB以提供更多資訊。
• SNMPv2c使用社群名稱（也稱為社群字串）進行身份驗證，而SNMPv3使用使用者名稱和密碼進行身份驗證，並提供加密。測試時，請確保針對您配置的協定使用正確的身份驗證方法（使用snmpwalk或其他工具/NMS）。
• SNMPv3上始終啟用身份驗證和隱私。端點僅支援authPriv安全級別，並且隱私協定始終為高級加密標準(AES)。
• SNMPv3僅支援基於使用者的安全模型(USM)選項。不支援SMNPv3 over TLS。
• 用於配置使用者以進行SNMP身份驗證的USM使用者命令對SNMPv2c沒有影響。
• 端點上的SNMP CommunityName設定對SNMPv3配置沒有影響。
• SNMP CommunityName區分大小寫。
• 通過將NetworkServices SNMP CommunityName設定為空字串("")，可以將SNMP支援限製為僅v3。
• 不支援SNMPv1。
• 對於SNMPv2c和SNMPv3，終端公開相同的對象識別符號(OID)。
• 若是SNMPv3，驗證通訊協定必須位於SHA-2系列中（不支援MD或SHA-1）。 如果不是，則SNMP請求無法進行身份驗證，並且保持未應答狀態。
• 隱私密碼在裝置上儲存為本地化雜湊值(AES-128)。如果未在此引數中顯式設定隱私密碼，則將其設定為與身份驗證密碼相同（使用在Authentication Protocol引數中指定的雜湊函式）。
• 密碼/密碼和使用者名稱必須位於特定的長度界限內。例如，USM使用者名稱需要最多32個字元，身份驗證密碼需要最少8個字元，最多255個字元。如果未滿足這些要求，Network SNMP USM User Add命令無法建立使用者並返回錯誤。

聯絡TAC以解決終端上的SNMP問題

如果終端的SNMP配置已完成，但出現了問題，則需要聯絡TAC並共用以下資訊：

• 在Control Hub中提供您的組織ID以及受影響終端的序列號(SN)。
• 描述所面臨的場景。
• 提供您嘗試設定的SNMP版本。
• 提供出現的任何錯誤消息。
• 如果裝置的配置有問題，請清楚說明配置過程在哪個步驟停止並提供螢幕截圖。共用返回錯誤的配置命令。
• 收集終端日誌並將其上傳到您的案例。
• 共用用於測試SNMP配置的實用程式\NMS或其他工具。如果使用實用程式測試終端的SNMP代理，請提供使用的完整命令。

相關資訊

會議室OS xAPI文檔 — SNMP相關命令

主機板、案頭和房間系列裝置的裝置配置