配置SNMPv3的基本功能
注意事项
在配置安全级别时,要确保告警主机的安全级别高于用户的安全级别,且用户的安全级别高于用户组的安全级别。
- privacy:鉴权且加密
- authentication:只鉴权
- None:不鉴权不加密
即如果用户组是privacy级别,用户和告警主机就必须是privacy级别;用户组是authentication级别,用户和告警主机可以是privacy或者authentication级别。
操作步骤
- 执行命令system-view,进入系统视图。
- (可选)执行命令snmp-agent server-source { -a [ ipv6 ] source-ip-address | -i [ ipv6 ] interface-type interface-number },配置SNMP服务器发送报文的源地址。
缺省情况下,SNMP服务器发送报文的源地址为0.0.0.0。
如果没有指定服务器发送报文的源地址(即为缺省值0.0.0.0),设备将采用路由决定的源地址进行通信。配置ACL规则实现对设备进出报文的过滤时会因接口IP地址的差异而配置不同的ACL规则,同时通信易受接口状态的影响。用户可选择设备上状态稳定的接口配置为源接口,如Loopback接口。该配置简化了ACL规则和安全策略的配置,只要将ACL规则的源地址或目的地址指定为该地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对设备进出报文的过滤,达到进行安全校验的目的。
- (可选)执行命令snmp-agent,使能SNMP
Agent服务。
缺省情况下,SNMP Agent服务未使能。执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务使能。
- (可选)执行命令snmp-agent sys-info version v3,配置SNMP的协议版本。
缺省情况下,SNMP的协议版本为SNMPv3。
- (可选)执行命令snmp-agent
local-engineid { engineid | sysname },配置本地SNMP实体的引擎ID。
缺省情况下,设备采用内部算法自动生成一个设备引擎ID,包含公司的“企业号+设备信息”。
若改变本地引擎ID,则已存在的SNMPv3用户将被删除。
- 执行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ notify-view notify-view ],配置SNMPv3用户组。
当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等,建议用户配置参数authentication或privacy,使能数据的认证或加密功能。
- 当需要向网管发送Trap告警,请配置notify-view notify-view参数。
- 允许用户配置组名相同的用户组,即同名组。同名组的认证方式可以不相同,如认证方式可以是认证加密方式和不认证不加密方式。实际认证方式将由用户选择而确定。
- 配置不同认证方式同名组时,存在用户误操作而配置非期望认证方式情况,当配置认证方式为不认证不加密方式时将存在安全风险。
- 执行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-number ] *,配置SNMPv3用户。
- 执行命令snmp-agent usm-user
v3 user-name authentication-mode { md5 | sha },配置SNMPv3用户认证密码。
在使用中需要注意,MD5和SHA属于不安全的加密算法。
- 执行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 },配置SNMPv3用户加密密码。
用户组和用户配置完成后,使用该用户名的网管拥有Viewdefault视图(即1.3.6.1和1.2.840.10006.300.43)的权限。
用户组使能认证和加密功能后,用户可以选择认证和加密的方式,对网络传输的数据进行认证和加密。若设置或者改变本地引擎ID,则已存在的SNMPv3用户将被删除。
在使用中需要注意,DES56属于不安全的加密算法。
- 执行命令snmp-agent target-host trap-paramsname paramsname v3 securityname securityname { authentication | noauthnopriv | privacy } [ binding-private-value ][ private-netmanager ],配置设备发送Trap报文的参数信息。
- 执行命令snmp-agent
target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname [ notify-filter-profile profile-name ],配置设备发送告警和错误码的目的主机。
配置设备发送告警前,需要先确认信息中心已经使能。如未使能,需要执行info-center enable命令。
请参考下面的说明对参数进行选取:
目的UDP端口号缺省是162,如果有特殊需求(比如避免知名端口号被攻击配置了端口镜像),可以配置udp-port将UDP端口号更改为非知名端口号,保证网管和被管理设备的正常通信。
如果被管理设备发送的告警需要通过公网传递给网管时,选择参数public-net;如果被管理设备发送的告警需要通过私网传递给网管时,选择参数vpn-instance vpn-instance-name,指定告警需要穿越的VPN实例。
- (可选)执行命令snmp-agent sys-info { contact contact | location location },配置设备管理员的联系方式和位置。
缺省情况下,系统维护联系信息为“R&D Shenzhen, Huawei Technologies Co.,Ltd.”,物理位置信息为“Shenzhen China”。
当网管管理多个设备时,为了方便网管管理员记录设备管理员的联系方式和位置,在设备异常时快速联系设备管理员进行故障排除和定位,可配置该命令。
如果需要同时配置设备管理员的联系方式和位置,请执行两次该命令分别配置管理员的联系方式和位置。