海光主板如何通过IPMI获取BMC信息？

一、IPMI远程获取海光主板BMC系统健康状态的基础原理

智能平台管理接口（IPMI）是一种独立于操作系统和CPU的硬件级管理协议，广泛应用于服务器远程监控与维护。海光（Hygon）主板集成的BMC（Baseboard Management Controller）通过IPMI协议暴露系统健康信息，包括温度、电压、风扇转速等关键指标。

要获取这些数据，通常使用开源工具ipmitool，通过LAN连接至BMC的专用网络接口。其底层依赖RMCP+（Remote Management Control Protocol Plus）协议实现安全会话认证与加密通信。

基本命令格式如下：

ipmitool -I lanplus -H <bmc_ip> -U <username> -P <password> sensor list

该命令将返回所有传感器读数，是诊断系统健康的第一步。

二、常见错误分析：“Unable to establish IPMI v2 / RMCP+ session”

此错误提示表明客户端无法与BMC建立基于IPMI 2.0规范的安全RMCP+会话。可能原因包括：

• 1. BMC未启用IPMI over LAN功能
• 2. 用户权限不足或认证算法不匹配
• 3. 网络连通性问题或防火墙阻断UDP端口623
• 4. RMCP+协议被禁用或加密套件不兼容
• 5. BIOS中未正确配置LAN信道或Privilege Limit设置过低

这些问题在海光主板上尤为常见，因其默认BIOS配置倾向于关闭非必要管理功能以提升安全性。

三、BIOS层级配置：开启BMC LAN信道与权限控制

进入海光主板BIOS设置界面（通常按Del或F2键），需定位到“BMC Configuration”或“Server Management”相关菜单。

关键配置项如下表所示：

保存并重启后，BMC应开始响应外部IPMI请求。

四、BMC网络参数配置与验证

通过本地串口或KVM登录BMC Web界面或CLI，检查网络配置是否正确：

ipmitool mc info

查看BMC固件版本及支持的IPMI版本。确认输出包含“IPMI Version: 2.0”以及“RMCP+”支持。

设置静态IP地址示例：

ipmitool lan set 1 ipsrc static
ipmitool lan set 1 ipaddr 192.168.1.100
ipmitool lan set 1 netmask 255.255.255.0
ipmitool lan set 1 defgw ipaddr 192.168.1.1

确保该IP与管理网络在同一子网内，并可通过ping测试连通性。

五、用户权限与认证机制调优

BMC默认用户如root或ADMIN需具备足够权限执行sensor读取操作。使用以下命令检查用户状态：

ipmitool user list 1

若发现权限等级低于“Operator”，则需提升：

ipmitool channel setaccess 1 2 privilege-level=4

其中4代表Administrator权限。同时确认使用的认证方式支持RAKP-HMAC-SHA256：

ipmitool lan print 1

关注“Cipher Suite Privileges”字段是否允许对应操作。

六、故障排查流程图

当遭遇连接失败时，可依据以下Mermaid流程图进行系统化诊断：

graph TD
    A[开始] --> B{能否Ping通BMC IP?}
    B -- 否 --> C[检查网线/BMC网卡状态]
    B -- 是 --> D{是否返回'Unable to establish RMCP+ session'?}
    D -- 是 --> E[检查BIOS: BMC LAN Enabled?]
    E --> F[检查RMCP+ Cipher Suites]
    F --> G[验证用户名/密码及权限]
    G --> H[尝试降级测试: 使用-I lan而非lanplus]
    H --> I{成功?}
    I -- 是 --> J[逐步恢复安全配置]
    I -- 否 --> K[抓包分析UDP 623端口通信]
    D -- 否 --> L[正常获取sensor数据]
    L --> M[结束]
    

七、完整健康状态采集脚本示例

为自动化监控，可编写Shell脚本定期采集数据：

#!/bin/bash
BMC_IP="192.168.1.100"
USER="admin"
PASS="password"

OUTPUT=$(ipmitool -I lanplus -H $BMC_IP -U $USER -P $PASS -C 17 sensor list 2>/dev/null)

if [ $? -eq 0 ]; then
    echo "$OUTPUT" | while read line; do
        echo "$(date '+%Y-%m-%d %H:%M:%S') - $line" >> /var/log/bmc_health.log
    done
else
    echo "ERROR: Failed to connect to BMC at $BMC_IP" | tee -a /var/log/bmc_error.log
fi

其中-C 17指定使用Cipher Suite ID 17（AES-128 + HMAC-SHA256），适用于多数海光主板BMC固件。

八、高级调试手段：Wireshark抓包分析

当常规方法无效时，可在客户端使用Wireshark捕获UDP 623端口流量，观察RMCP+握手过程。

重点关注以下阶段：

1. RMCP Presence Ping（UDP 623入站）
2. Open Session Request/Response
3. RACP Message Exchange（含认证挑战）
4. Session Establishment Confirmation

若停留在Open Session Response且返回“Unavailable (invalid role)”，说明用户角色或权限受限；若无响应，则可能是防火墙或BMC服务未启动。