U2000使用SNMP V3版本添加NE设备提示合法性验证失败

发布时间:  2014-04-20 浏览次数:  738 下载次数:  0
问题描述
设备SNMP配置:
snmp-agent sys-info version all
snmp-agent group v3 snmpgroup privacy  read-view View_ALL write-view View_ALL notify-view View_ALL
snmp-agent target-host trap  address udp-domain 192.168.108.99 params securityname user v3
snmp-agent usm-user v3 user snmpgroup  authentication-mode md5 Admin_123 privacy-mode des56 Admin_123
snmp-agent trap source GigabitEthernet0/0/0
snmp-agent trap enable
配置后网管添加设备提示合法性验证失败,使用SNMP v2c版本可以正常添加设备
告警信息
添加设备提示合法性验证失败
处理过程
使用mibbroswer工具连接设备测试。
snmp-agent sys-info version all
snmp-agent group v3 snmpgroup privacy  read-view View_ALL write-view View_ALL notify-view View_ALL
snmp-agent target-host trap  address udp-domain 192.168.108.99 params securityname user v3
snmp-agent usm-user v3 user snmpgroup  authentication-mode md5 Admin_123 privacy-mode des56 Admin_123
snmp-agent trap source GigabitEthernet0/0/0
snmp-agent trap enable
设备SNMP做如此配置,使用mibbroswer连接设备时会提示认证授权失败
Response:
User profile name: user
Context name: (zero-length)
Context engine ID: 80.00.07.DB.03.DC.D2.FC.23.6B.FB (hex)
Security user name: user
Security engine ID: 80.00.07.DB.03.DC.D2.FC.23.6B.FB (hex)
Authentication protocol: HMAC MD5
Privacy protocol: CBC DES
Security level: Authentication And Privacy
Security model: USM
Error: Authorization error
Error index: 1
1: sysUpTime (null) null

加上snmp-agent mib-view included View_ALL iso命令后提示连接设备成功
snmp-agent sys-info version all
snmp-agent group v3 snmpgroup privacy  read-view View_ALL write-view View_ALL notify-view View_ALL
snmp-agent target-host trap  address udp-domain 192.168.108.99 params securityname user v3
snmp-agent usm-user v3 user snmpgroup  authentication-mode md5 Admin_123 privacy-mode des56 Admin_123
snmp-agent mib-view included View_ALL iso
snmp-agent trap source GigabitEthernet0/0/0
snmp-agent trap enable

Response:
User profile name: user
Context name: (zero-length)
Context engine ID: 80.00.07.DB.03.DC.D2.FC.23.6B.FB (hex)
Security user name: user
Security engine ID: 80.00.07.DB.03.DC.D2.FC.23.6B.FB (hex)
Authentication protocol: HMAC MD5
Privacy protocol: CBC DES
Security level: Authentication And Privacy
Security model: USM
1: sysUpTime.0 (timeticks) 69 days 05h:51m:36s.40th (598269640)

正确配置相关参数后,U2000添加NE40E成功。
根因
设备提示合法性验证失败一般由以下原因导致:
1、设备加密认证方式或钥匙不一致。
2、设备SNMP访问安全认证mib节点的权限不够。
建议与总结
SNMP V3版本推荐配置:
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 10.137.61.81 params securityname user v3 //target-host为网管IP, SNMP V3版本securityname必须为用户自定义名称与usm-user名称一致。对于SNMPv1和SNMPv2c版本,不需要通过securityname参数的校验,网管可以接收所有告警主机发送的告警信息。
snmp-agent group v3 snmpgroup privacy  read-view View_ALL write-view View_ALL notify-view View_ALL //配置SNMP组的MIB视图权限。
snmp-agent usm-user v3 user snmpgroup authentication-mode md5 Admin_123 privacy-mode des56 Admin_123 //配置用户组的加密认证方式及密钥,建议配置该用户的鉴权密码和加密密码。否则,该用户只能查询MIB-2子树下的节点。
snmp-agent mib-view include View_ALL iso //配置MIB视图,SNMPv3不存在缺省视图,必须进行手工配置,如不配置可能会导致SNMP无法访问相关MIB节点信息。
snmp-agent trap source MEth0/0/1 //此处应该配置的是网管添加该设备的接口
snmp-agent trap enable //使能trap上传告警功能

END