先写锐捷网络设备，后面续写h3c、huawei网络设备，我写文章注重详细，新手看了都会

注意：确保zabbix server处于正常运行状态，如果还未搭建好zabbix，请参照我上篇文章lnmp架构搭建zabbix，链接https://blog.csdn.net/weixin_43838503/article/details/112917878

1.下载各个厂商OID值工具，下载完先安装好，等会在打开，我会说怎么用这个工具来获取OID值，以下链接10年内有效
http://itityunwei.cn/network/snmp%E8%8E%B7%E5%8F%96OID%E5%80%BC%E5%B7%A5%E5%85%B7/OV_R45.exe
安装完后长这样

2.登录锐捷设备，我这里以锐捷S2910-24GT4XS-E为例，该文章适用锐捷大部分网络设备（含路由器）

3.配置snmp
不需要过多配置，两条即可，如下
con 进入特权模式
snmp-server community ruijie rw
备注：community是团体的意思，后面是团体名，团体名随便写，rw是让它具备读写权限
snmp-server host 172.30.90.125 traps version 2c ruijie
备注：ip地址是zabbix server地址，不能填错，版本用snmpv2c版本，ruijie是团体名字，可以自己定义，但和上面的团体名字要对的上，不能写错
配置完后保存一下配置

4.打开刚刚安装的软件，注意看，以下是关键操作




如果发现连不上，肯定是交换机上面配置错误，或者你安装这款软件的机器ping不通交换机，这个时候就只有你能解决了，看看acl什么的有没有放行，一般讲，zabbix server的ip地址要让大部分网段能访问到，zabbix server 的ip要能访问所有网络设备，仔细检查一下还是很容易解决这些问题的，我隔着屏幕是解决不了的

出现以上界面，就代表连上交换机了，点一下ok即可

等待…


出现这个界面就是加载OID值成功了
如果刚开始运行软件的时候不小心把登录界面叉掉了，按以下操作重新调出登录界面，也是登录别的设备方法

这样就出现登录界面了

5.步入正题（非常重要）
SNMP协议来监控网络设备，主要监控CPU、内存、接口流量、接口状态（up/down），简单监控我这里就不介绍了，有时间的话我会在文章末尾写一下简单监控，比如监控摄像头、ap这些，都用简单监控就可以了，监控Windows、linux、mac等凡是能安装agent的都比较简单，本篇文章主要介绍如何通过snmp协议监控网络设备（较复杂）
下面按我写的操作，先监控接口流量




第一个监控项，入方向流量（下载流量）

第二个监控项，出方向流量（上传流量）

6.数据看完以后，开始登录zabbix，监控网络设备，再次确认zabbix server处于运行状态

7.写完了设备监控模板
时间关系，我只写交换机上面接口是up的，摸鱼up的就不写了，原理是一样的，你们有时间就全部写，写成完整的模板，同型号的交换机直接能用


信息填写完后点一下添加即可
说一下创建组怎么创建，以下

返回到模板，输一下可见名称里面任意字符就能快速找到

然后点进去，再点一下应用集



创建四次，主要介绍监控以下四项

然后点一下监控项

创建监控项前，先添加主机


点一下更新即可

创建监控项

以下是重点，我这里监控up的接口，没有up的接口就先不监控了，你们有时间可以写一下，自动发现也可以写，后面介绍，但还是自己写的模板好使，需要什么写什么，写好后面别的设备往里套就好

登录要监控的交换机，我只监控up的接口，所以查看一下up的接口
sh int usage 此命令能看到所有在跑流量的接口

这里的接口状态肯定是与下面这张图能对应起来的

直接复制接口，养成习惯，然后填进去
键值怕打错也可以直接复制


注意：这里是复制的一行，多余的信息自己删掉即可，最好不要手敲，容易打错
先写入方向的，看下图，仔细核对每一项，是不是和我上面写的一样





确认信息无误后点添加
继续下一个接口

刚刚创建完的这个再点进去，直接克隆，就不要一个一个写了


克隆后只需要改这三项即可，就是改改数字，记得点添加
继续下一个接口
继续使用克隆


我只监控有流量的接口
继续下一个接口

后面接口的配置省略…添加完后如下


下面开始添加出方向接口监控,依然使用克隆，但是键值和OID要改掉了
我把键值和OID贴出来吧，好复制
ifOutOctets.1
1.3.6.1.2.1.2.2.1.16.1

继续下一个接口，克隆
小技巧，直接再名称那里输入out，方便你克隆，不然还要找


其余接口我就不演试了，都添加完后如下

注意：10G口最好写成10G，上面忘了修改，更正一下
，都添加完以后，开始链接到主机，看一下SNMP能否绿
现在肯定是灰色的

点进去，链接刚刚创建好的新模板


然后点一下更新即可

我有链接其它模板，这里不用管，点完更新后等差不多一分钟左右，看一下snmp绿了没有，多刷新几次

绿了以后，为了方便查看流量，添加到主页展示，如下




点一下主机样式右边的选择，选中刚创建的主机



一般一行只添加入出流量（in和out），看个人习惯
不一一演示了，如下

然后添加即可

刚过凌晨的原因，数据刷新了，看起来有点别扭。。。
今天先写到这里，后面写cpu、内存、接口状态监控，最后写触发器，邮件告警简单，可以百度一下，我这里就不写了

下面写一下内存和cpu监控，还是以锐捷为例
我们首先要知道几个参数
1.cpu对应的OID值
2.内存对应的OID值
3.zabbix server上面测试cpu、内存OID值能否被返回值

锐捷交换机对应的CPU、内存 OID值如下，这个是私有OID，知名厂商都有自己的私有OID，这个可以去官网找客服拿
获取CPU使用率的OID：
1.3.6.1.4.1.4881.1.1.10.2.36.1.1.1.0 过去5秒中CPU使用率
1.3.6.1.4.1.4881.1.1.10.2.36.1.1.2.0 过去1分钟CPU使用率
1.3.6.1.4.1.4881.1.1.10.2.36.1.1.3.0 过去5分钟CPU使用率

获取内存使用率的OID：
1.3.6.1.4.1.4881.1.1.10.2.35.1.1.1.3.1 当前内存使用率
1.3.6.1.4.1.4881.1.1.10.2.35.1.1.1.4.1 最小内存使用率
1.3.6.1.4.1.4881.1.1.10.2.35.1.1.1.5.1 最大内存使用率

在操作前如果zabbix server上面没有snmpwalk命令，请先安装
yum -y install net-snmp-libs net-snmp net-snmp-utils
snmpwalk + -c SNMP读密码 + -v 1或2(SNMP版本) + 交换机或路由器IP地址 + OID(对象标示符)

在zabbix server上验证cpu、内存的OID值，看看能都和实际值对应起来，这句话的意思就是，比如我输入cpu的OID值，得出的结果要与实际交换机的cpu使用率要对的上，如下

这个是zabbix server上面获取的对应cpu的数据（最近5秒），等于符号后边的数子7，就代表cpu使用率7%的意思，再到交换机上面看看
直接用 sh cpu命令即可查看cpu当前使用率

由于zabbix server上面取的是整数，所以和实际交换机上面的cpu使用率是能对上的，我们到时候在zabbix server上面监控cpu和内存使用率的时候，取值取浮点数，也就是小数，下面看图

cpu和内存可以写成一个模板，我这里之前是分开创建的，就不再创建了，搞到一个模板里面方便些


如上，大家先把cpu、内存的模板创建好，可以创建到一个里面，如cpu_内存使用率，我是分开创建的，但最好放到一个里面，方便直接链接到主机

先看cpu的

先创建应用集，如上

创建监控项，如上
下面看第一个监控项配置，团体名大家就写自己的就好，我这个是有设置，可以理解为变量的意思，snmp community一定要写自己交换机上面配置的

其它的不用配置，点击添加即可
再看第二个监控项

同样，其它不用填，点击添加即可
下面再看内存

如果大家cpu、内存在一个模板里面，再创建一个内存即可，如果是分开的，那么就需要再创建一个内存的模板，建议放一个里面

和cpu一样，先创建好应用集，如上

看第一个内存监控项配置，注意团体名要填正确

看第二个监控项配置

名称自己定义，不一定要和我的一样，但是键值不能写和系统本身已占用的，不然会报错让你修改，没有问题点击添加即可

下面介绍触发器，先介绍内存的

先创建两个触发器
先看第一个
重点看添加里面的信息




最后一个这里可以随便写个数字，尽量写小点即可，比你实际内存使用率小点即可
间隔写60s就好，根据实际填写
结果这里写大于等于，就是说大于等于这个值得时候触发警告，我这里写的80，就是说5分钟内最大使用率超过80%即告警，告警事件定义为严重

下面看第二个内存触发器

和第一个一个原理，我这里不过多介绍了

下面看cpu的触发器，也和内存一样原理，取值根据自己的设备来定义，不一定和我一样

先看第一个

第二个

然后添加首页图形，方便看，上面设定完以后大家也可以改个值，看一下能否触发

添加首页图形和之前流量图一样，不再介绍

中继器（RP Repeater）

1、工作在物理层上的连接设备，OSI模型的物理层设备。

2、适用于完全相同的两类网络的互连，主要功能是通过对数据信号的重 新发送或者转发，来扩大网络传输的距离。

3、中继器是对信号进行再生和还原的网络设备。

4、即使数据在链路层出现错误，中继器依然转发数据。

5、不改变传输速度。

6、不能在传输速度不一致的媒介之间转发。

7、 有些中继器提供多个端口服务，这种中继器被称为中继集线器或集线器。

集线器 （hub）

1、集线器在物理层运行，基本上是一个多端口中继器。

2、集线器连接来自不同分支的多条电线，例如连接星形拓扑中的不同节点。

3、集线器不能过滤数据，因此数据包将发送到所有连接的设备（广播）。

4、集线器都有碰撞检测功能，每次只允许一个设备发送广播信号，效率低。

网桥 （bridge）

1、工作在OSI模型的第二层-数据链路层连接两个网络的设备。

2、根据数据帧内容转发数据给其他相邻的网络。

3、 基本只用于连接相同类型的网络，有时候也连接传输速率不一致的网络。

4、跟集线器相比，网桥可以通过读取源和目的地的 MAC 地址来过滤内容，从而隔离网络。

5、网桥为每个端口维护了一张 MAC 地址表，表中包含所有连接到这个端口的设备的 MAC 地址。

6、具备“自学习”机制，网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。

7、 以太网中常用的交换集线器也是网桥的一种。

下图中，LAN1 这个局域网中的主机发送数据后，LAN1 中的集线器会向所有连接到这个集线器的设备广播这个数据，包括网桥。当网桥的左侧端口收到数据后：

提取数据中的目的地的 MAC 地址
    如果这个地址在左侧端口的 MAC 地址表中，则丢弃数据
    如果这个地址在右侧端口的 MAC 地址表中，则将数据转发到右侧的集线器，由其广播给所有主机
提取数据中的源 MAC 地址
    如果左侧端口的 MAC 地址表中包含这个 MAC 地址，则忽略。否则，将这个地址写入左侧端口的 MAC 地址表中。

网桥刚开机时，每个端口的 MAC 地址表都是空的，这时收到数据时会转发到另一个端口，同时把数据中的 MAC 地址记录到收到数据的端口对于的 MAC 地址表。工作一段时候后，两个端口的 MAC 地址表就会建立完成。当再有数据从 LAN1 发送给网桥时，网桥会先看看数据包的目的 MAC 地址是属于 LAN1 还是 LAN2，从而决定数据是否转发。同时再检查数据的源 MAC 地址，如果在 LAN1 的地址表中不存在这条记录，则写入。

网桥将一个局域网分成两个，可以减少碰撞。

交换机（switch）

作用

a – 学习
以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中.

b – 转发/过滤
当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口)

c – 消除回路
当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。

交换机工作于OSI参考模型的第二层，即数据链路层。交换机内部的CPU会在每个端口成功连接时，通过ARP协议学习它的MAC地址，保存成一张 ARP表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。因此，交换机可用于划分数据链路层广播，即冲突域；但它不 能划分网络层广播，即广播域。

交换机的分类：

1.根据传输介质和传输速率分类：

百兆以太网交换机、千兆以太网交换机：这个式我们接触最多
ATM交换机
FDDI交换机

2.根据交换环境端口结构分类：
固定端口交换
模块化交换机：主要用于企业级，可以增加板卡

3.根据交换机端口数量分类：
5口交换机：适用于小办公室。
8口交换机/16口
24口/48口：是用得最多得交换机。

4.根据工作层协议分类：
二层交换机：也是我们接触最多的
三层交接：一般都是企业机用的
四层交换、七层交换机。

5.根据网络中层次结构分类：
接入层交换机
汇聚层交换机
核心层交换机

6.根据是否支持网管功能分为：
网管型交换机：可以进行配置和VLAN的划分
非网管型交换机：傻瓜式的交换机，只做数据收发。

交换机工作原理

交换机在数据链路层运行，是一个多端口网桥。

交换机中维护一张 Port-MAC 映射表，记录每个端口上的主机的 MAC 地址。

跟集线器相比，交换机记录每个端口上主机的 MAC 地址，每次转发数据时都只会发送到指定的端口，而不是广播到所有主机，效率高。

路由器（router）：

1、运行在OSI7层模型的第三层。网络层。
所谓路由：指的是把数据从一个地方传到另一个地方的行为和动作；
路由器就是执行这些行为和动作的机器。

路由器在网络中起到的是网关的作用。

2、路由器的作用：

连通不同的网络，实现不同网络之间的互联，同时还可以隔离广播域。
路由器可以连接不同介质的链路（网线、无线、光纤等网络介质）
路由器能够选择信息传输送的路线，对报文执行寻找和转发操作，同时交换和维护路由表中的路由信息（OSPF）

3、选择路由器时，参考指标：

1、 CPU

CPU是路由器最核心的bai组成部分。不同系列、不同型du号的路由器，其中的CPU也不zhi尽相同。处理器的好坏直接影响路由器的吞吐量（路由表查找时间）和路由计算能力（影响网络路由收敛时间）。

一般来说，处理器主频在100M或以下的属于较低主频，这样的低端路由器适合普通家庭和SOHO用户的使用。100M到200M属于中等主频，200M以上则属于较高主频，适合网吧、中小企业用户以及大型企业的分支机构。

2、内存

内存可以用Byte（字节）做单位，也可以用Bit（位）做单位，两者一音之差，容量却相差8倍(1Byte = 8 Bit)。目前的路由器内存中，1M到4MB属于低等，8MB属于中等，16MB或以上就属于较大内存了。

3、吞吐量

网络中的数据是由一个个数据包组成，对每个数据包的处理都要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过的数据包数量，也就是指设备整机数据包转发的能力，是设备性能的重要指标。路由器吞吐量表示的是路由器每秒能处理的数据量，是路由器性能的一个直观上的反映。

4、支持网络协议

在网络上的各台计算机之间也有一种语言，这就是网络协议，不同的计算机之间必须共同遵守一个相同的网络协议才能进行通信。常见的协议有：TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是IPX/SPX。用户如果访问Internet，就必须在网络协议中添加TCP/IP协议。

5、 线速转发能力

线速转发能力，指在达到端口最大速率的时候，路由器传输的数据没有丢包。路由器最基本且最重要的功能就是数据包转发，在同样端口速率下转发小包是对路由器包转发能力的最大考验，全双工线速转发能力是指以最小包长（以太网64字节、POS口40字节）和最小包间隔（符合协议规定）在路由器端口上双向传输同时不引起丢包。

线速转发是路由器性能的一个重要指标。简单的说就是进来多大的流量，就出去多大的流量，不会因为设备处理能力的问题而造成吞吐量下降。

6、带机数量

带机数量就是路由器能负载的计算机数量。在厂商介绍的性能参数表上经常可以看到标称自己的路由器能带200台PC、300台PC的，但是很多时候路由器的表现与标称的值都有很大的差别。这是因为路由器的带机数量直接受实际使用环境的网络繁忙程度影响，不同的网络环境带机数量相差很大。

路由器工作原理

1、路由器在网络层运行，类似交换机，但是根据 IP 地址发送数据包。家庭路由器通常将局域网和广域网连接在一起。路由器中有一个动态更新的路由表，以此作为决策依据。

2、现在的路由器通常集成了多个功能，包括有 4 个端口的集线器、NAT（Network Address Translator 网络地址转换）、DHCP（Dynamic Host Configuration Protocol 动态主机配置协议）、DNS（Domain Name Service 域名服务）代理服务器和硬件防火墙。

3、路由器有一个 WAN 端口，可以连接到电信或联通的网络。通过路由器内部的集线器可以方便的创建 LAN。借助 DHCP 和 NAT，这个 LAN 中的所有设备都可以使用唯一的 IP 地址访问网络。

网关（getway）

网关是将两个网络连接在一起的通道，可以在不同的网络协议下工作。网关也称为协议转换器，可以在任何网络层运行。网关通常比交换机或路由器更复杂。

路由器可以在相同网络间移动数据，相当于特殊的网关（IP 网关）。

网卡

网卡在数据链路层工作，是连接计算机和传输介质的接口，实现与传输介质的物理连接和电信号匹配，同时还负责帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。

一、环境准备

**（下载并安装好以下工具软件，注：以下版本的工具在win10-64位专业版下正常测试通过）

1、安装ENSP

（1）安装winpcap4.13
（2）安装wireshark_64位3.2.2
（3）安装virtualbox5.2.16
（4）安装ENSP1.3.100

2、打开ENSP，拖出拓扑图如下：

（1）从ENSP中拖出2台AR路由器，型号分别为AR3260作为主设备（需要备份配置的网络设备），1台AR201作为客户端（通常工业环境是PC机上用secureCRT工具作为客户端）
（2）习惯性的把需要部署的IP地址与子网掩码标识在拓扑之中（绿色框中的为主要命令）
（3）连线并将各接口显示出来（方便后面配置）
（4）启动各设备

二、开始配置

1、双击AR201进入配置模式

上图中主要输入的3条指令如下：
undo terminal monitor #本人一般习惯性禁止类的输出，一般多设备启动时会显示很多类的输出，看着有点烦
system-view #进入系统视图，注意指令输入时，像linux一样，可只输入每个命令的前几个字母用TAB键补全
sysname client #给本AR201设备命名为client
interface Ethernet0/0/0 #进入接口视图
undo portswitch #将二层接口改为三层模式，二层接口不能直接给它配置IP地址，大家都知道IP是网络层的
ip address 10.1.1.1 255.255.255.0 #给三层接口配置IP地址和子网掩码

2、配置AR3260服务端的SFTP与用户名、密码

system-view
interface GigabitEthernet0/0/0 #进入接口视图，配置G0/0/0
ip address 10.1.1.254 255.255.255.0 #配置接口的IP地址，用于局域网内访问本路由器
quit #返回到上一级
user-interface vty 0 4 #进入用户视图
authentication-mode aaa #指定登录本路由器的认证模式为AAA，即需要用户名和密码都认证正确方可登录
protocol inbound ssh #配置登录本路由器时使用SSH协议，该协议为加密传输，不像上一个实验的明文传输被抓包后能分析出用户名和密码，所以本实验我们提高了传输过程中的安全性
quit #返回上一级
aaa #配置AAA认证
local-user huawei password cipher huawei #创建用户huawei并配置一个密码为huawei
local-user huawei privilege level 15 #指定用户的权限等级为15，可为3-15之间的管理员级，数值越大，用户权限越高
local-user huawei ftp-directory flash:/ #配置用户huawei的访问根目录为设备的根目录
local-user huawei service-type ssh #配置用户huawei的认证类型为ssh
quit #返回上一级
sftp server enable #开始SFTP服务，该服务较FTP服务更为安全，即加密传输
stelnet server enable #开启加密远程登录服务stelnet
ssh user huawei authentication-type password-rsa/password/rsa #为用户配置认证加密时为rsa非对称加密，大家都知道对称加密安全性比非对称加密低
配置完成后，使用命令检查配置是否正确，如下：

三、回到客户端AR201上验证

1、配置与服务端的RSA非对称加密生成密钥对，

使用指令如下：
ssh client 10.1.1.254 assign rsa-key 10.1.1.254 #通过客户端连接服务器的IP，生成RSA密钥对
ssh client first-time enable #客户端第一次登录到服务端时，使用该命令

2、在系统视图下配置命令如下：

上面的提示应该不用我多解释吧，提示username与password时输入用户名和密码，是否进行认证访问，是否更新密钥

3、查看根目录下的文件，找出刚登录到AR3260上的配置文件，再备份到本路由器AR201上

四、工业环境中的实战

1、打开运行框，输入CMD

2、通过以下指令备份网络设备保存的配置文件到PC上

3、在PC机上找到刚才保存的网络设备的配置文件