华为设备核查命令下

avatar
作者
筋斗云
阅读量:0
  1. 配置CPU过载可靠性

CPU占用率超过告警阈值时会产生告警,如果未能采取有效措施,CPU持续处于过载状态,会影响业务的正常运行。为了提升CPU过载时业务的可靠性,可以配置单板的CPU过载的一级和二级通知阈值,对CPU过载程度分级,二级大于一级。当CPU占用率达到过载的通知阈值时,设备会将单板CPU占用率大于5%的组件信息(最多取10个)通知给所有组件。组件收到通知后,根据通知中的过载级别,执行自己的可靠性保证机制,以维持业务的运行。

操作步骤

  1. 进入系统视图。
  2. system-view
  3. 配置CPU过载的一级和二级通知阈值以及检测周期:

set cpu-reliability first-recover first-recover-value first-alarm first-alarm-value second-recover second-recover-value second-alarm second-alarm-value period period-value [ slave | slot slotId ]

  1. 检查配置结果

执行命令display current-configuration,查看CPU过载一级和二级通知阈值。

  • 执行命令display cpu [ slot slot-id ],查看CPU占用率的统计信息。
  • 执行命令display cpu monitor { all | slot slot-id },查看CPU过载状态。
  • 执行命令display cpu monitor history [ slot slot-id ],查看CPU过载状态的历史信息。
  • 执行命令display cpu threshold [ slot slot-id ],查看CPU占用率的阈值信息。

  1. 信息的等级

显示值

严重等级

描述

0

Emergency

设备致命的异常,系统已经无法恢复正常,必须重启设备,如程序异常导致设备重启、内存的使用被检测出错误等。

1

Alert

设备重大的异常,需要立即采取措施,如设备内存占用率达到极限。

2

Critical

设备严重的异常,需要采取措施进行处理或原因分析,如设备温度超过低温告警线、BFD探测出设备不可达等。

3

Error

错误的操作或设备的异常流程,不会影响后续业务,但是需要关注和原因分析,如用户的错误指令、用户密码错误、检测出错误协议报文等。

4

Warning

设备运转的异常点,可能引起业务故障,需要引起注意,如用户关闭路由进程、BFD探测的一次报文丢失、检测出错误协议报文等。

5

Notice

设备正常运转的关键操作信息,如用户对接口执行shutdown命令、邻居发现、协议状态机的正常跳转等。

6

Informational

设备正常运转的一般性操作信息,如用户执行display命令。

7

Debugging

设备正常运转产生的一般性信息,主要是设备内部运行状态的记录。

  1. 信息的输出

设备产生的信息可以向控制台、远程终端、Log缓冲区、日志文件、SNMP代理等方向输出信息。本节介绍信息的通道和输出方向、信息输出文件、信息输出的典型应用场景。

信息的通道和输出方向

为了便于各个方向信息的输出控制,信息管理定义了10条信息通道,通道之间独立输出,互不影响。使用信息通道前必须为信息通道指定信息源,缺省情况下指定了前6个通道(console,monitor,loghost,trapbuffer,logbuffer,snmpagent)和通道9(Logfile)的信息源,如图1所示。

用户可以根据自己的需要配置信息的输出规则,控制不同类别、不同级别的信息从不同的信息通道输出到不同的输出方向。例如,用户配置通道6的名称为user1,发往日志主机的信息使用通道6,则发往日志主机的信息都会从通道6输出,不再从通道2输出。

缺省情况下,Log信息、Trap信息、Debug信息都从缺省的信息通道输出。信息输出通道的缺省情况

图1 信息的输出通道

表1 信息输出通道的缺省情况

通道号

缺省通道名

输出方向

描述

0

console

控制台

本地控制台,即通过Console口登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便本地查看。

1

monitor

远程终端

远程终端,即通过VTY(Virtual Type Terminal)登录设备的方式,可以接收Log信息、Trap信息、Debug信息,方便远程维护。

2

loghost

日志主机

日志主机,可以接收Log信息、Trap信息,不可以接收Debug信息。信息在日志文件上以文件形式保存,供随时查看。

通过选择日志主机的IP地址、UDP端口号、信息记录设备和信息级别,可使信息往所指定的日志主机输出,以备存储和查阅,为网络管理员监控的运行情况和诊断网络故障提供依据。而且,可以设置不同的源接口信息,那么日志主机就可以通过源接口地址判断信息消息是从哪台设备发出的,从而便于日志主机对收到的信息消息检索。

3

trapbuffer

Trap缓冲区

Trap缓冲区,可以接收Trap信息,不可以接收Log信息、Debug信息。

4

logbuffer

Log缓冲区

Log缓冲区,可以接收Log信息,不可以接收Trap信息、Debug信息。

5

snmpagent

SNMP代理

SNMP代理,可以接收Trap信息,不可以接收Log信息、Debug信息。

6

channel6

未指定

保留,可由用户指定输出方向。

7

channel7

未指定

保留,可由用户指定输出方向。

8

channel8

未指定

保留,可由用户指定输出方向。

9

channel9

信息文件

日志文件,可以接收Log信息、Trap信息,不可以接收Debug信息。在设备的硬件存储设备上以文件形式保存。

通过为每个输出方向关联信息通道,信息将经过指定通道发送到对应的输出方向。用户可以根据需要更改信息通道的名称,也可以更改信息通道与输出方向之间的对应关系。

信息的输出文件

信息可以以文件的形式保存在设备上,这种文件叫做日志文件。日志文件,如表2所示。

表2 日志文件

命名方式

描述

log.log和service.log

系统的当前日志文件,以log格式保存。

diag.log

系统启动和运行过程中的异常日志,称为诊断日志,以log格式保存。

pads.pads

设备启动后各业务运行中产生的日志,称为运维日志,以pads格式保存。

log_SlotID_time.log.zip

如果当前日志文件达到设置的文件大小上限时,系统自动把当前信息文件转存为一个历史压缩文件,并修改文件名为log_SlotID_time.log.zip。

文件中的SlotID代表槽位号,time是信息压缩转存时的时间。

diag_SlotID_time.log.zip

如果当前诊断日志文件达到设置的文件大小上限时,系统自动把当前诊断日志文件转存为一个历史压缩文件,并修改文件名为diag_SlotID_time.log.zip。

文件中的SlotID代表槽位号,time是信息压缩转存时的时间。

pads_SlotID_time.pads.zip

如果当前运维日志文件达到设置的文件大小上限时,系统自动把当前运维日志文件转存为一个历史压缩文件,并修改文件名为pads_SlotID_time.pads.zip。

文件中的SlotID代表槽位号,time是信息压缩转存时的时间。

信息管理缺省配置

信息管理常见参数的缺省配置如表1所示。

表1 信息管理的缺省配置

参数

缺省值

信息管理功能

已启用

Log缓冲区容纳Log信息的条数

512条

Trap缓冲区容纳Trap信息的条数

256条

日志文件大小

8M

日志文件保存个数

200个

日志主机IP地址

时间戳格式

date时间格式

配置Log信息输出到日志主机

通过配置Log信息输出到日志主机,用户可以在日志主机上查看Log信息,以便及时监控设备的运行情况。

操作步骤
  1. 进入系统视图。

system-view

  1. 配置向日志主机输出Log信息。
    • 配置向IPv4日志主机输出Log信息。

info-center loghost ipv4-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ip-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *

    • 配置向IPv6日志主机输出Log信息。

info-center loghost ipv6 ipv6-address [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | source-ip source-ipv6-address | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *

    • 配置向指定域名的日志主机输出Log信息。

info-center loghost domain domain-name [ { local-time | utc } | channel { channel-number | channel-name } | { public-net | vpn-instance vpn-instance-name } | facility local-num | level level-num | port server-port | transport { udp | tcp [ ssl-policy policy-name [ [ security ] | [ verify-dns-name dns-name ] ] * ] } | brief ] *

  1. 配置向信息通道输出Log信息的规则。

info-center source { module-name | default } channel { channel-number | channel-name } log { state { off | on } | level severity } *

  1. (可选)配置设备向日志主机发送消息的源接口信息。

info-center loghost source { interface-name | interface-type interface-number }

缺省情况下,设备向日志主机发送信息的源接口就是实际发送信息的接口。

配置成功后,如果设备向日志主机发送信息,日志主机就可以通过源接口地址判断信息是从此设备发出的,从而便于日志主机对收到的信息进行检索。

  1. (可选)配置设备向日志主机发送信息的源端口。

info-center loghost source-port source-port

缺省情况下,设备向日志主机发送信息的源端口是38514

  1. (可选)配置设备向日志主机发送消息使用的字符集。

info-center loghost character-set characterset

缺省情况下,设备向日志主机发送消息使用的字符集为UTF-8

检查配置结果
  • 执行命令display info-center [ statistics ]查看信息管理记录的各项信息。
  • 执行命令display info-center channel [ channel-number | channel-name ]查看信息通道的内容。
  • 执行命令display logbuffer查看Log缓冲区的信息。
  • 执行命令display logfile path [ offset ] *查看日志文件记录的信息。
  • 执行命令display logfile [ log | diagnose ] list starttime starttime-value endtime endtime-value查看指定时间段的日志文件列表。

举例:配置SSL加密后的Log信息输出到日志主机

组网需求

图1所示,DeviceA分别与四个日志主机相连且路由可达。网络管理员希望不同的日志主机接收不同类型和不同严重级别的Log信息,以便对设备不同模块产生的信息进行实时监控,同时希望能够保证日志主机接收Log信息的可靠性。

interface1代表10GE0/0/1。

配置思路

采用如下思路进行本例的配置:

  1. 配置客户端型SSL策略,验证日志主机的身份,并保证日志信息传输的安全。

假设日志主机已从CA申请证书,其对应的信任机构文件为1_cacert_pem_rsa.pem、1_rootcert_pem_rsa.pem,并已上传到DeviceA的security子目录下。

  1. 启用信息管理功能。
  2. 配置向日志主机发送Log信息的信息通道和输出规则。
  3. 配置向日志主机发送信息的源接口信息。
  4. 配置日志主机。
操作步骤
  1. 配置IP地址和路由协议,使DeviceA和日志主机之间有可达路由(略)。
  2. 配置客户端型SSL策略。
  3. <HUAWEI> system-view
  4. [HUAWEI] sysname DeviceA
  5. [DeviceA] ssl policy syslog_client
  6. [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_cacert_pem_rsa.pem
  7. [DeviceA-ssl-policy-syslog_client] trusted-ca load pem-ca 1_rootcert_pem_rsa.pem

[DeviceA-ssl-policy-syslog_client] quit

上述步骤成功配置后,在DeviceA上执行命令display ssl policy,可以看到加载的信任证书机构文件详细信息。

[DeviceA] display ssl policy

       SSL Policy Name: syslog_client

     Policy Applicants:

         Key-pair Type:

 Certificate File Type:

      Certificate Type:

  Certificate Filename:

     Key-file Filename:

              CRL File:

       Trusted-CA File:

     Trusted-CA File 1: Format = PEM, Filename = 1_cacert_pem_rsa.pem

     Trusted-CA File 2: Format = PEM, Filename = 1_rootcert_pem_rsa.pem

  1. 启用信息管理功能。

[DeviceA] info-center enable

  1. 将接口加入安全区域并配置安全策略。

[DeviceA] firewall zone untrust

[DeviceA-zone-untrust] add interface 10ge0/0/1

[DeviceA-zone-untrust] quit

[DeviceA] security-policy

[DeviceA-policy-security] rule name sec_policy1

[DeviceA-policy-security-rule-sec_policy1] source-zone local

[DeviceA-policy-security-rule-sec_policy1] destination-zone untrust

[DeviceA-policy-security-rule-sec_policy1] destination-address 10.2.1.0 24

[DeviceA-policy-security-rule-sec_policy1] destination-address 10.1.1.0 24

[DeviceA-policy-security-rule-sec_policy1] action permit

[DeviceA-policy-security-rule-sec_policy1] quit

[DeviceA-policy-security] quit

  1. 配置向日志主机发送Log信息的信息通道和输出规则。

配置DeviceA向日志主机Server1发送由ARP模块产生、严重等级为notification的Log信息;Server3作为Server1的备份设备。DeviceA向日志主机Server2发送由AAA模块产生、严重等级为warning的日志信息;Server4作为Server2的备份设备。

# 配置信息通道。

[DeviceA] info-center channel 6 name loghost1

[DeviceA] info-center channel 7 name loghost2

# 配置Log信息输出到日志主机所使用的安全信息通道。

[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client

[DeviceA] info-center loghost 10.1.1.1 channel loghost1 transport tcp ssl-policy syslog_client

[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client

[DeviceA] info-center loghost 10.2.1.2 channel loghost2 transport tcp ssl-policy syslog_client

# 配置向日志主机通道输出Log信息的规则。

[DeviceA] info-center source arp channel loghost1 log level notification

[DeviceA] info-center source aaa channel loghost2 log level warning

  1. 配置向日志主机发送信息的源接口信息。

[DeviceA] info-center loghost source 10ge0/0/1

  1. 配置日志主机。

日志主机可以是安装UNIX或LINUX操作系统的主机,也可以是安装第三方日志软件的主机,具体配置步骤请参见相关手册。

检查配置结果

# 查看已经记录的信息管理的各项信息。

[DeviceA] display info-center

Information Center:enabled

Log host:

        10.1.1.1, channel number 6, channel name loghost1,

language English , host facility local7, transport tcp ssl-policy syslog_client

        10.1.1.2, channel number 6, channel name loghost1,

language English , host facility local7, transport tcp ssl-policy syslog_client

        10.2.1.1, channel number 6, channel name loghost1,

language English , host facility local7, transport tcp ssl-policy syslog_client

        10.2.1.2, channel number 6, channel name loghost1,

language English , host facility local7, transport tcp ssl-policy syslog_client

Console:

        channel number : 0, channel name : console

Monitor:

        channel number : 1, channel name : monitor

SNMP Agent:

        channel number : 5, channel name : snmpagent

Log buffer:

        enabled,max buffer size 10240, current buffer size 512,

current messages 316, channel number : 4, channel name : logbuffer

dropped messages 0, overwritten messages 53

Trap buffer:

        enabled,max buffer size 1024, current buffer size 256,

current messages 256, channel number:3, channel name:trapbuffer

dropped messages 0, overwritten messages 0

logfile:

        channel number : 9, channel name : channel9, language : English

Information timestamp setting:

        log - date, trap - date, debug - date millisecond

# 在syslog服务器端查看接收到的信息。

  1. NTP检查配置
  • 执行命令display ntp status,查看NTP服务的状态信息。
  • 执行命令display ntp sessions verbose,查看NTP服务维护的会话状态。
  • 执行命令display ntp trace,查看从本地设备到参考时钟源的路径。
  • 执行命令display ntp slot-status,查看设备的时钟系统的状态。
  • 执行命令display clock,查看系统时间.

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!