NE40E-X8配置SNMPV3,U2000网关添加设备失败

发布时间:  2017-03-26 浏览次数:  291 下载次数:  0
问题描述
NE40E-X8配置SNMPV3,U2000网关添加设备失败,在U2000网管上面显示无法发现设备
告警信息
处理过程

1、ping测试可以互通的,排除网络问题,在U2000网管上面添加设备操作,在设备侧通过命令<HUAWEI> display snmp-agent statistics查看报文收发情况,发现输入和输出的snmp报文数都有计数,多次添加都有增长,说明设备处理snmp报文正常且给U2000回包了,

2、U2000服务器抓包不方便,在U2000服务器直连的交换机抓包发现设备侧发送的snmp报文已经发送到U2000服务器;

3、检查u2000和设备侧的配置信息,发现设备侧没有配置加密且U2000使用的模板也没有配置加密;

snmp-agent
snmp-agent local-engineid 800007DB03AC4E91672024
snmp-agent community read cipher %$%$mb6Z#}Yjq#w;V6XbD!u$V4H#>4-B8cE$MWn1AMAW&=)64H&VTh,d(,E5"VNFGD$-b77VH/V4%$%$
snmp-agent community write cipher %$%$$)bnBI(0BZ|Uz,7'Q%`5V4H7K9*>Y{`5\L;]5OMnEtoD4H:Vj&+i$z];`Sc5My.mh8$MHCV4%$%$
snmp-agent sys-info version all
snmp-agent group v3 v3group privacy read-view v3view notify-view v3view
snmp-agent target-host trap address udp-domain 10.219.176.36 params securityname cipher %@%@wi&QOBZZd$\xzy,&57HHQtgt%@%@ v2c
snmp-agent target-host trap address udp-domain 10.219.176.52 params securityname cipher %@%@8^-R@bt|XPh.G9/*(S,~Q'8,%@%@ v2c
snmp-agent target-host trap address udp-domain 172.24.129.3 udp-port 161 params securityname user v3 privacy
snmp-agent target-host trap address udp-domain 10.220.226.250 params securityname cipher %@%@@Y%9&w20P%~-O9NTzqlGJo,y%@%@
snmp-agent mib-view included v3view iso
snmp-agent usm-user v3 user
snmp-agent usm-user v3 user group v3group
snmp-agent usm-user v3 user authentication-mode sha cipher %@%@Nc}n/ZT,ZT&\>+@;50I6c'0g%@%@
snmp-agent trap source LoopBack0
snmp-agent trap enable

4、发现设备侧的配置snmp-agent group v3 v3group privacy read-view v3view notify-view v3view 配置的V3用户组使用的是privacy,既认证有加密;但是针对V3的user只配置了认证没有配置加密,将U2000的模板和设备侧的加密配置上,在u2000网管上面重新添加网元,添加成功。

配置privacy参数:既认证又加密。适用于网络环境不太安全,管理员交叉操作多的情况下。通过认证和加密既可以限制特定的管理员访问设备,并且使网络数据以加密形式发送,避免网络数据被窃取,造成关键数据泄露。

根因
配置的V3用户组使用的是privacy,既认证又加密;但是针对V3的user只配置了认证没有配置加密;
解决方案
U2000的模板和设备侧添加加密配置
建议与总结
目前针对使用SNMPV3协议,网管无法添加网元的故障,排除网络问题,基本都是配置错误,碰到此类问题先检查配置,因为V3比V1 V2C的配置复杂

END