No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para aplicar ACL a SNMP para filtrar NMS

Ejemplo para aplicar ACL a SNMP para filtrar NMS

Descripción general de ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una ACL básica.

En este ejemplo, se aplica una ACL básica al módulo SNMP para que solo el NMS especificado pueda acceder al switch. Esto mejora la seguridad del switch.

Notas de configuración

Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.

Requisitos de red

Como se muestra en Figura 12-9, se agrega un nuevo switch en el mismo segmento de red como NMS a la red de una empresa, y usa SNMPv1 para comunicarse con el NMS. Para mejorar la seguridad del switch, el switch solo puede ser gestionado por el NMS existente en la red.

Figura 12-9  Aplicación de ACL básicas a SNMP para filtrar NMS

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda administrar el switch.

  2. Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda realizar operaciones de leer/escribir en los objetos MIB especificados del switch.

  3. Configure un nombre de comunidad según el cual el switch permite el acceso del NMS.

  4. Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.

  5. Agregue el switch al NMS. El nombre de la comunidad configurado en el switch debe ser el mismo que el utilizado por el NMS; de lo contrario, el NMS no puede gestionar el cambio.

Procedimiento

  1. Configure SNMPv1 en el switch para que el NMS que ejecuta SNMPv1 pueda administrar el switch.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] snmp-agent sys-info version v1   //Por defecto, SNMPv3 es compatible.

  2. Configure el control de acceso para que solo el NMS con la dirección IP especificada pueda realizar operaciones de leer/escribir en los objetos MIB especificados del switch.

    # Configure una ACL para permitir que solo el NMS 10.1.1.1 acceda al switch.

    [Switch] acl 2001
    [Switch-acl-basic-2001] rule permit source 10.1.1.1 0
    [Switch-acl-basic-2001] rule deny
    [Switch-acl-basic-2001] quit

    # Configure la vista de MIB para especificar los objetos MIB a los que puede acceder el NMS.

    [Switch] snmp-agent mib-view included isoview01 system   //Configure la vista de MIB isoview01 para acceder al subárbol del sistema.
    [Switch] snmp-agent mib-view included isoview02 interfaces   //Configure la vista de MIB isoview02 para acceder al subárbol de interfaces.

  3. Configure un nombre de comunidad según el cual el switch permite el acceso del NMS, aplique la ACL para que la función de control de acceso se ponga en vigor.

    [Switch] snmp-agent community read adminnms01 mib-view isoview01 acl 2001   //Otorgue adminnms01 con el permiso de solo leer en el subárbol del sistema.
    [Switch] snmp-agent community write adminnms02 mib-view isoview02 acl 2001   //Otorgue adminnms02 con el permiso de leer/escribir en el subárbol de interfaz.

  4. Configure un host de trap y habilite el switch para enviar traps automáticamente al NMS.

    [Switch] snmp-agent trap enable
    Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y   //Habilite todas las funciones de trap en el switch. Por defecto, solo algunas funciones de trap están habilitadas. Puede ejecutar el el comando display snmp-agent trap all para comprobar el estado del trap.
    [Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname adminnms01 v1

  5. Agregue el switch al NMS.

    # Inicie sesión en eSight y seleccione Resource > Add Resource > Add Resource. Establezca los parámetros de SNMP basados en Tabla 12-1 y haga clic en OK. Se agrega un switch y se puede administrar con eSight. El switch enviará proactivamente mensajes de trap a eSight.

    Tabla 12-1  Parámetros de SNMP
    Parámetro Configuración
    Select discovery protocol SNMP
    IP address 10.1.1.2
    SNMP Editar parámetros de SNMP
    Version V1
    Read community adminnms01
    Write community adminnms02
    Port 161
    NOTA:

    La configuración de los parámetros en el NMS y el switch debe ser la misma; de lo contrario, el switch no se puede agregar al NMS.

    Si se requiere autenticación para inicios de sesión remotos en el switch, los parámetros de Telnet deben configurarse para que el NMS pueda administrar el switch. En este ejemplo, los administradores pueden iniciar sesión remotamente en el switch utilizando Telnet, se usa autenticación de contraseña y la contraseña es huawei2012.

Archivos de configuración

Archivo de configuración del switch

#
sysname Switch
#
acl number 2001
 rule 5 permit source 10.1.1.1 0
 rule 10 deny
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community read cipher %^%#Pqp'RXi))/y\KgEtwP9A3x2z5_FgxG1v'D/8>=G,D9<yMC^RAM_YB:F0BZlF="bHXg%lH*L"Jq'lea`S%^%# mib-view isoview acl 2001
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view isoview acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view included isoview01 system
snmp-agent mib-view included isoview02 interfaces
snmp-agent trap enable
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15459

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente