所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-网络管理与监控

本文档介绍了设备支持的网络管理与监控相关配置。主要内容包括:SNMP配置、RMON和RMON2配置、LLDP配置、性能管理、iPCA配置、NQA配置、业务诊断配置、镜像配置、报文捕获配置、分流配置、NetStream配置、sFlow配置、TWAMP Light配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)限制网管对设备的管理权限

(可选)限制网管对设备的管理权限

背景信息

当有多个网管使用同一个团体名管理同一设备时,请用户根据实际场景选择执行步骤。

场景

步骤

网管访问设备的Viewdefault视图

所有网管访问设备的Viewdefault视图:无需操作
基于设备SNMP Agent过滤:1、2
基于团体名的过滤:1、4
基于设备SNMP Agent和团体名过滤:1、2、4

网管访问设备上的指定节点

所有网管访问设备上的指定节点:1、3
基于设备SNMP Agent过滤:1、2、3
基于团体名过滤:1、3、4
基于设备SNMP Agent和团体名过滤:1、2、3、4
说明:

Viewdefault视图即1.3.6.1视图。

使用ACL控制网管的访问权限时,有如下约定:
  • 当ACL的rule配置为permit时,则允许匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL的rule配置为deny时,则拒绝匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL已配置rule时,如果报文未匹配上任何规则,则拒绝发送该报文的网管访问本设备。

  • 当ACL未配置rule时,则允许任何其他网管访问本设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置基于SNMP Agent过滤网管。
    1. 配置ACL。

      在配置访问控制权限之前需要先配置ACL,具体配置步骤请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置。

    2. 执行命令snmp-agent acl { acl-number | acl-name },配置SNMP的访问控制列表。
  3. 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree,创建MIB视图并限定网管监控和管理的MIB节点。

    缺省情况下,网管拥有视图Viewdefault的权限。

    可以多次执行本命令,如果配置的view-nameoid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-nameoid-tree参数值不同,则新旧配置均生效。系统最多可保存256条MIB视图配置,其中缺省视图的配置占四条。

    当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。

  4. 配置基于团体名过滤网管。
    1. (可选)配置基本ACL或高级ACL。

      在配置访问控制权限之前需要先配置基本ACL或高级ACL,具体配置步骤请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置。

    2. 执行命令snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } | alias alias-name ] *,限制网管对设备的访问权限。

      缺省情况下,创建的团体名拥有视图Viewdefault的权限。

      • 希望网管在指定视图下具有只读权限时(比如级别比较低的管理员),使用read参数。希望网管在指定视图下具有读写权限时(比如级别比较高的管理员),使用write参数。

      • 为了加强安全性,用户可以选择配置cipher参数,使团体名以密文形式显示。该形式下,需要管理员妥善保管团体名称,否则忘记团体名时将无法通过设备查看获得。

      • 如果需要使用该团体名的某些网管拥有视图viewdefault的权限,参数mib-view view-name可以省略。

      • 如果需要使用该团体名的所有网管管理设备上的某些节点,参数acl acl-number可以省略。

      • 如果需要使用该团体名的某些网管管理设备上的某些节点,aclmib-view都需要配置。

      说明:

      当团体名和ACL同时配置时,网管对设备进行访问前先检查团体名,然后再检查ACL。

后续处理

限制网管对设备的访问权限后,尤其是限制网管的IP地址后,当网管的IP地址发生变更时(比如位置变更、网络调整IP地址重新分配等),请修改ACL中相关IP地址的配置,否则导致网管无法继续访问。

翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000141529

浏览量:20148

下载量:402

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页