USG6300 V100R001C20SPC200SNMP协议对接Esight网管失败

发布时间:  2015-02-02 浏览次数:  238 下载次数:  0
问题描述

组网如下图,上海做为中心和其他三个地址建立点对点的IPSEC VPN,在中心部署了一台Esight网管,安装ipsec vpn组件用对监控和管理ipsec业务,网管安装后发现总部可以正常接入网管,而另外三个分行无法接入Esight网管。


告警信息

Esight网管提示发现设备失败,可能是设备正忙,SNMP协议错误等信息。

处理过程

1、由于三个地市都是通过loopback地址(在感兴趣数据流中),通过ipsec隧道接入到总部网管,所以首先检查ipsec 建立情况,通过查看发现ipsec邻居建立正常;
2
ping 测试三个分行的loopback地址,发现都可以正常ping通;
3
、将分行的SNMP模版删除,通过总部的模版拷贝粘贴,保证SNMP配置没有问题;
4
、检查中心和分部的域间策略,保证相关策略都已经放行;
5
、对比中心和分部的配置发现中心的接口下相对比分部多开启了一个service SNMP permit参数,在分部公网接口下添加该参数后,对接成功。

根因

下一代防火墙缺省情况下,接口开启了访问控制管理功能,在接口上启用访问管理功能后,即使没有开启该接口所在区域和Local区域之间的安全策略,管理员也能通过该接口对设备实施管理。缺省情况下,非管理接口不允许管理员通过HTTPHTTPSPingSSHSNMP以及Telnet访问设备。所以需要放行SNMP协议,否则即使在域间放行了相关策略,也由于接口访问控制管理优先级较高而无法匹配,导致SNMP对接失败。

解决方案

1、开启了访问控制管理功能的情况下,在接口下执行service SNMP permit,放行SNMP协议;

2、关闭接口的访问控制管理功能,放行必要的域间策略。

建议与总结

1、接口开启了访问控制管理功能,可以比较简便的开启部分协议的管理功能,若要求不是太高,可以针对这些协议不配置域间策略;比较严谨的场景也可以在加上域间策略限制源和目的。

2、访问控制功能的优先级优先于域间策略,若想单独通过域间策略来控制相关协议,需要通过undo service-manage enable命令用来关闭接口的访问控制管理功能;

3
、开启访问控制功能仅仅对HTTPHTTPSPingSSHSNMP以及Telnet协议生效,其他协议仍然需要通过域间策略控制。

END