U2000-IP无法添加NE40E-X8设备

发布时间:  2017-03-26 浏览次数:  112 下载次数:  0
问题描述

U2000-IP无法添加NE40E-X8设备,U2000 的版本为V200R015C60SPC200

告警信息


处理过程

1、首先复现该故障及报错现象,在U2000上添加该设备时报错:获取网元信息错误

2、其次在U2000服务器上ping设备的Loopback地址,该地址为U2000用来添加并管理设备的管理地址。结果:可以ping通,说明U2000和设备之间路由可达,该问题可能性排除;

3、检查服务器是否开启了软件防火墙,如开启,需要关闭;

4、检查网络当中是否有存在硬件防火墙,如有,需要检查安全策略等是否放行,如若未放行,需要放行相关安全区域及地址的安全策略;

5、检查U2000侧的snmp参数模板,用户名为user,认证方式为sha,但是加密方式为none,因为网管侧参数要和设备侧参数一致,检查设备侧参数

6、检查设备侧的配置,设备侧的snmp信息截取如下

snmp-agent
snmp-agent local-engineid 800007DB03AC4E91672024
snmp-agent sys-info version all
snmp-agent group v3 v3group privacy read-view v3view notify-view v3view
snmp-agent mib-view included v3view iso
snmp-agent usm-user v3 user
snmp-agent usm-user v3 user group v3group
snmp-agent usm-user v3 user authentication-mode sha cipher xxxxxxx
snmp-agent trap source LoopBack0
snmp-agent trap enable

通过以上可以发现,设备侧的snmp v3的用户名user未配置加密方式。但是snmp-agent group v3 v3group privacy read-view v3view notify-view v3view这一条显示,v3group组的方式是既认证又加密,而v3group组关联的用户user仅仅配置了认证方式是不对的,需要配置加密方式。


根因

设备侧的snmp v3的用户user未配置加密方式。

解决方案
1、登陆NE40E-X8设备,在系统视图下执行命令 snmp-agent usm-user v3 user privacy-mode aes128 cipher  xxxxx
2、登陆u2000客户端,
在主菜单中选择系统 > 网元通讯参数 > 网元SNMP参数模板管理”,选择对应模板,修改数据加密协议为aes128,并且配置和设备侧一致的密钥。
建议与总结
1、SNMP用户组通过SNMP组名和安全级别共同确定一个SNMP用户组。SNMPv3定义了3个安全级别:
  • 无认证无加密(noAuthNoPriv)
  • 有认证无加密(authNoPriv)
  • 有认证有加密(authPriv)

如果需要通过snmp v3的版本添加设备,一定要注意用户的认证及加密方式:
  • authentication:指定对报文进行认证但不加密。
  • privacy:指定对报文进行认证和加密。
  • noauthentication:不认证不加密。


PS:命令参考:
snmp-agent group命令用来创建一个新的SNMP组(即将SNMP用户映射到SNMP视图),并对该SNMP组进行配置

snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ] * [ acl { acl-number | acl-name } ]

参数选取原则:

为了加强安全性,用户可以选择配置authenticationprivacy参数。

    • 配置noauthentication参数:不认证不加密。适用于网络环境安全,且管理员比较固定的情况下。
    • 配置authentication参数:只认证不加密。适用于网络环境安全,但管理员比较多,管理员对设备交叉操作比较频繁的情况下。通过认证可以限制拥有权限的管理员才可以访问该设备。

    • 配置privacy参数:既认证又加密。适用于网络环境不太安全,管理员交叉操作多的情况下。通过认证和加密既可以限制特定的管理员访问设备,并且使网络数据以加密形式发送,避免网络数据被窃取,造成关键数据泄露。

  • 如果希望网管在指定视图下具有只读权限时(比如级别比较低的管理员),使用read-view参数。希望网管在指定视图下具有读写权限时(比如级别比较高的管理员),使用write-view参数。

    用户希望筛选部分重要告警,过滤掉无关告警时,选择配置notify-view参数,限制被管理设备向网管发送告警的MIB节点。配置该参数后,设备产生的告警中匹配notify-view指定的MIB节点的告警才能发送到该用户的网管。

    缺省情况下,创建SNMP组的只读视图为ViewDefault且未指定该组的读写视图名和通知视图名。

  • 如果需要使相同SNMPv3用户组的某些网管能够访问设备,请选择参数acl

2、如果无法获取到设备配置,建议通过抓包,可以根据抓包信息排查是否是设备侧问题。

3、通过SNMPV3方式添加设备时,不仅仅是NE设备,其他设备也需要注意SNMPV3用户的认证及加密方式。


END