zhiliao_Gixe
四段
对应OID(基于H3C私有MIB:H3C-MACSEC-MIB,你所列的设备版本均支持):
1. 端口MACsec协商状态:h3cMACsecSecYState,OID:1.3.6.1.4.1.2011.10.2.152.1.1.1.1.6
返回值:1=初始化、2=协商中、3=协商成功、4=协商失败
2. 端口加密使能状态:h3cMACsecSecYEncryptEnable,OID:1.3.6.1.4.1.2011.10.2.152.1.1.1.1.7
返回值:1=关闭、2=开启
3. CAK密钥状态:h3cMACsecCAKStatus,OID:1.3.6.1.4.1.2011.10.2.152.1.2.1.1.5
返回值:1=未使用、2=活跃、3=过期
注意事项:
1. 采集服务器需提前导入对应版本的H3C-MACSEC-MIB文件
2. 需确保SNMP团体名/V3用户配置了该MIB节点的访问权限,测试可执行snmpwalk -v 2c -c 团体字 设备IP 上述OID验证
3. 节点索引关联端口ifIndex,可映射到具体物理端口的MACsec状态。
1. 端口MACsec协商状态:h3cMACsecSecYState,OID:1.3.6.1.4.1.2011.10.2.152.1.1.1.1.6
返回值:1=初始化、2=协商中、3=协商成功、4=协商失败
2. 端口加密使能状态:h3cMACsecSecYEncryptEnable,OID:1.3.6.1.4.1.2011.10.2.152.1.1.1.1.7
返回值:1=关闭、2=开启
3. CAK密钥状态:h3cMACsecCAKStatus,OID:1.3.6.1.4.1.2011.10.2.152.1.2.1.1.5
返回值:1=未使用、2=活跃、3=过期
注意事项:
1. 采集服务器需提前导入对应版本的H3C-MACSEC-MIB文件
2. 需确保SNMP团体名/V3用户配置了该MIB节点的访问权限,测试可执行snmpwalk -v 2c -c 团体字 设备IP 上述OID验证
3. 节点索引关联端口ifIndex,可映射到具体物理端口的MACsec状态。
要使用 SNMP 采集您提到的这两款 H3C 交换机的 MACsec 状态,主要依赖的是 H3C 私有 MIB 库 HH3C-MACSEC-MIB 和标准 MIB 库 IEEE8021-SECY-MIB。采集时,需要重点关注hh3cMACsecDeviceRole和hh3cMACsecTimeout这两个 OID。
为了帮你清晰梳理,我把相关的关键 OID 整理了一下:
| 类别 | 对象 (Object) | OID (格式: 点分十进制) | 功能说明 |
|---|---|---|---|
| 根节点 | hh3cMACsec | 1.3.6.1.4.1.25506.2.163 | 整个 MACsec MIB 模块的根节点 |
| 配置表 | hh3cMACsecCFGPortTable | 1.3.6.1.4.1.25506.2.163.1.1 | MACsec 端口配置表,可读取端口相关的 PSK 配置信息 |
| 状态/统计 | secyIfTable | 1.0.8802.1.1.3.1.1 | IEEE 标准 MIB,提供接口的安全连接(SecY)状态和统计信息 |
| 状态/统计 | secyTxSCStatsTable | 1.0.8802.1.1.3.1.4 | IEEE 标准 MIB,提供发送通道(SC)的统计信息,可用于分析加密状态 |
| 设备角色 | hh3cMACsecDeviceRole | 1.3.6.1.4.1.25506.2.163.2.1.1 | 标识本地设备在 MACsec 会话中的角色(server, client 等),是判断协商是否成功的基础 |
| 告警信息 | hh3cMACsecTimeout | 1.3.6.1.4.1.25506.2.163.2.0.1 | 当接口的 MKA 会话超时,未收到对端报文时触发告警 |
| 告警信息 | hh3cMACsecTimeoutResume | 1.3.6.1.4.1.25506.2.163.2.0.2 | 当接口的 MKA 会话恢复正常时触发告警 |
注意:私有 OID 的企业 ID
25506是 H3C 的正式 IANA 企业号,可作为该私有 MIB 的可靠根节点标识。
📝 配置注意事项
设备软件版本差异:关于 S9850 (Release 6632 / 6715) 和 S9855 (Release 9323) 之间的差异,由于这两个版本之间跨度较大,MACsec 功能所依赖的 MIB 库可能存在细微差别。
验证与建议:建议在实际采集前,用 MIB 浏览器等工具进行验证,或联系 H3C 官方技术支持进行确认。
暂无评论
H3C S9850/9855 支持通过 IEEE8021-SECY-MIB(标准)与 HH3C-MACSEC-MIB(厂商私有)采集 MACsec 状态,以下是精准 OID 与配置示例,兼容 Release 6632/6715、9323 版本H3C。
核心 OID 清单(按场景)
表格
| 信息类型 | 节点名称 | OID | 说明 |
|---|---|---|---|
| 接口使能状态 | secyIfProtectFramesEnable | 1.0.8802.1.1.3.1.1.1.1.5 | 帧保护使能(true=1/false=2)H3C |
| 校验模式 | secyIfValidateFrames | 1.0.8802.1.1.3.1.1.1.1.6 | disabled(1)/check(2)/strict(3)H3C |
| 重播保护使能 | secyIfReplayProtectEnable | 1.0.8802.1.1.3.1.1.1.1.7 | true(1)/false(2)H3C |
| 重播窗口 | secyIfReplayProtectWindow | 1.0.8802.1.1.3.1.1.1.1.8 | 数值(帧数量)H3C |
| 加密套件 | secyIfCurrentCipherSuite | 1.0.8802.1.1.3.1.1.1.1.9 | 如 GCM-AES-128/256H3C |
| 发送 SCI | secyTxSCI | 1.0.8802.1.1.3.1.1.2.1.1 | 发送端安全通道标识(十六进制)H3C |
| 发送 SC 状态 | secyTxSCState | 1.0.8802.1.1.3.1.1.2.1.2 | inUse(1)/notInUse(2)H3C |
| 接收 SCI | secyRxSCI | 1.0.8802.1.1.3.1.1.4.1.1 | 接收端安全通道标识H3C |
| 接收 SC 状态 | secyRxSCState | 1.0.8802.1.1.3.1.1.4.1.2 | inUse(1)/notInUse(2)H3C |
| 厂商告警:会话超时 | hh3cMACsecTimeout | 1.3.6.1.4.1.25506.2.163.2.0.1 | 故障 Trap |
| 厂商告警:会话恢复 | hh3cMACsecTimeoutResume | 1.3.6.1.4.1.25506.2.163.2.0.2 | 恢复 Trap |
设备端配置(必做)
plaintext
# 1. 启用 SNMP(v2c 示例)
snmp-agent community read public
snmp-agent sys-info version v2c
# 2. 加载 MACsec 相关 MIB(自动加载,确认即可)
snmp-agent mib-view included iso-view iso
snmp-agent community read public mib-view iso-view
# 3. 验证 MIB 节点
display snmp-agent mib-node details | include secy
display snmp-agent mib-node details | include hh3cMACsec
采集命令示例(NMS / 服务器侧)
- 按接口索引(ifIndex)查询单接口状态:bash运行
# 例:ifIndex=100 对应 Ten-GigabitEthernet1/1/1 snmpwalk -v 2c -c public 设备IP 1.0.8802.1.1.3.1.1.1.1.5.100 snmpwalk -v 2c -c public 设备IP 1.0.8802.1.1.3.1.1.2.1.1.100 - 批量查询所有接口 MACsec 状态:bash运行
snmpwalk -v 2c -c public 设备IP 1.0.8802.1.1.3.1.1.1 snmpwalk -v 2c -c public 设备IP 1.3.6.1.4.1.25506.2.163
关键说明与注意事项
- 索引关联:secyIfInterfaceIndex 与 ifIndex 一一对应,需先通过
ifIndex定位接口H3C。 - 版本兼容:S9850(6632/6715)、S9855(9323)均支持标准 SECY-MIB 与厂商 MACSEC-MIBH3C。
- 状态含义:
inUse(1)= 已协商 / 加密中;notInUse(2)= 未启用 / 协商失败H3C。- 校验模式
strict(3)为严格校验,check(2)为仅检查不丢弃H3C。
- 常见排障:
- 无返回:检查 SNMP 社区 / 视图权限、接口 MACsec 已启用(
macsec enable)H3C。 - 状态异常:核对 MKA 策略、对端 SCI、密钥一致性H3C。
- 无返回:检查 SNMP 社区 / 视图权限、接口 MACsec 已启用(
快速验证命令(设备侧)
plaintext
display macsec interface 接口名 verbose # 查看运行状态
display mka session interface 接口名 # 查看 MKA 会话暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论