所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-网络管理与监控

本文档介绍了设备支持的网络管理与监控相关配置。主要内容包括:SNMP配置、RMON和RMON2配置、LLDP配置、性能管理、iPCA配置、NQA配置、业务诊断配置、镜像配置、报文捕获配置、分流配置、NetStream配置、sFlow配置、TWAMP Light配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)限制网管对设备的管理权限

(可选)限制网管对设备的管理权限

背景信息

当有多个属于同一SNMPv3用户组的网管管理同一设备时,请用户根据实际场景选择执行步骤。

场景

步骤

拥有访问设备Viewdefault视图的权限

所有网管访问设备的Viewdefault视图:

无需操作

基于设备SNMP Agent过滤:1、2

基于用户组过滤:1、3、5

基于用户过滤:1、6、7

基于用户组和用户过滤:1、3、5、6、7

基于设备SNMP Agent和用户组过滤:1、2、3、5

基于设备SNMP Agent和用户过滤:1、2、6、7

基于设备SNMP Agent、用户组和用户过滤:1、2、3、5、6、7

拥有访问设备上的指定节点

所有网管访问设备上的指定节点:

1、4、5

基于设备SNMP Agent过滤:1、2、4、5

基于用户组过滤:1、3、4、5

基于用户过滤:1、4、5、6、7

基于用户组和用户过滤:1、3、4、5、6、7

基于设备SNMP Agent和用户组过滤:1、2、3、4、5

基于设备SNMP Agent和用户过滤:1、2、4、5、6、7

基于设备SNMP Agent、用户组和用户过滤:1、2、3、4、5、6、7

使用ACL控制网管的访问权限时,有如下约定:
  • 当ACL的rule配置为permit时,则允许匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL的rule配置为deny时,则拒绝匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL已配置rule时,如果报文未匹配上任何规则,则拒绝发送该报文的网管访问本设备。

  • 当ACL未配置rule时,则允许任何其他网管访问本设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置基于SNMP Agent过滤网管。
    1. 配置ACL。

      在配置访问控制权限之前需要先配置ACL,具体配置步骤请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置。

    2. 执行命令snmp-agent acl { acl-number | acl-name },配置SNMP的访问控制列表。
  3. 为SNMP用户组配置ACL,用于过滤管理设备的网管。

    具体配置步骤请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置。

  4. 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree,创建MIB视图并限定网管监控和管理的MIB节点。

    缺省情况下,网管无任何权限。

    可以多次执行本命令,如果配置的view-nameoid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-nameoid-tree参数值不同,则新旧配置均生效。系统最多可保存256条MIB视图配置,其中缺省视图的配置占四条。

    当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。

  5. 执行命令snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* [ acl { acl-number | basic-acl-name } ] ,配置用户组的读写权限。

    缺省情况下,创建SNMP组的只读视图为ViewDefault且未指定该组的读写视图名和通知视图名。

    如果要求网管收到notify-view中指定的trap消息,请先配置告警目的主机。

  6. 为SNMP用户配置基本ACL或高级ACL,用于过滤管理设备的网管。

    具体配置步骤请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置。

  7. 执行命令snmp-agent usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *,配置SNMPv3用户。

    • 如果需要使相同SNMPv3用户名的所有网管都能访问Agent,则参数acl可以省略。

    • 如果需要允许指定的网管使用该用户名访问Agent,则需要配置acl参数。

后续处理

限制网管对设备的访问权限后,尤其是限制网管的IP地址后,当网管的IP地址发生变更时(比如位置变更、网络调整IP地址重新分配等),请修改ACL中相关IP地址的配置,否则导致网管无法继续访问。

翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000141529

浏览量:20347

下载量:402

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页