配置SNMPv3的基本功能

操作步骤

1. 执行命令system-view，进入系统视图。
2. （可选）执行命令snmp-agent server-source { -a [ ipv6 ] source-ip-address | -i [ ipv6 ] interface-type interface-number }，配置SNMP服务器发送报文的源地址。

   缺省情况下，SNMP服务器发送报文的源地址为0.0.0.0。

   如果没有指定服务器发送报文的源地址（即为缺省值0.0.0.0），设备将采用路由决定的源地址进行通信。配置ACL规则实现对设备进出报文的过滤时会因接口IP地址的差异而配置不同的ACL规则，同时通信易受接口状态的影响。用户可选择设备上状态稳定的接口配置为源接口，如Loopback接口。该配置简化了ACL规则和安全策略的配置，只要将ACL规则的源地址或目的地址指定为该地址，就可以屏蔽接口IP地址的差异以及接口状态的影响，实现对设备进出报文的过滤，达到进行安全校验的目的。

3. （可选）执行命令snmp-agent，使能SNMP Agent服务。

   缺省情况下，SNMP Agent服务未使能。执行任意snmp-agent的配置命令（无论是否含参数）都可以触发SNMP Agent服务使能。

4. （可选）执行命令snmp-agent sys-info version v3，配置SNMP的协议版本。

   缺省情况下，SNMP的协议版本为SNMPv3。

5. （可选）执行命令snmp-agent local-engineid { engineid | sysname }，配置本地SNMP实体的引擎ID。

   缺省情况下，设备采用内部算法自动生成一个设备引擎ID，包含公司的“企业号＋设备信息”。

   若改变本地引擎ID，则已存在的SNMPv3用户将被删除。

6. 执行命令snmp-agent group v3 group-name { authentication | noauth | privacy } [ notify-view notify-view ]，配置SNMPv3用户组。

   当网管和设备处在不安全的网络环境中时，比如容易遭受攻击等，建议用户配置参数authentication或privacy，使能数据的认证或加密功能。

   • 当需要向网管发送Trap告警，请配置notify-view notify-view参数。
   • 允许用户配置组名相同的用户组，即同名组。同名组的认证方式可以不相同，如认证方式可以是认证加密方式和不认证不加密方式。实际认证方式将由用户选择而确定。
   • 配置不同认证方式同名组时，存在用户误操作而配置非期望认证方式情况，当配置认证方式为不认证不加密方式时将存在安全风险。

7. 执行命令snmp-agent usm-user v3 user-name [ group group-name | acl acl-number ] ^*，配置SNMPv3用户。
8. 执行命令snmp-agent usm-user v3 user-name authentication-mode { md5 | sha }，配置SNMPv3用户认证密码。

   在使用中需要注意，MD5和SHA属于不安全的加密算法。

9. 执行命令snmp-agent usm-user v3 user-name privacy-mode { aes128 | des56 }，配置SNMPv3用户加密密码。

   用户组和用户配置完成后，使用该用户名的网管拥有Viewdefault视图（即1.3.6.1和1.2.840.10006.300.43）的权限。

   用户组使能认证和加密功能后，用户可以选择认证和加密的方式，对网络传输的数据进行认证和加密。若设置或者改变本地引擎ID，则已存在的SNMPv3用户将被删除。

   在使用中需要注意，DES56属于不安全的加密算法。

10. 执行命令snmp-agent target-host trap-paramsname paramsname v3 securityname securityname { authentication | noauthnopriv | privacy } [ binding-private-value ][ private-netmanager ]，配置设备发送Trap报文的参数信息。
11. 执行命令snmp-agent target-host trap-hostname hostname address { ipv4-addr [ udp-port udp-portid ] [ public-net | vpn-instance vpn-instance-name ] | ipv6 ipv6-addr [ udp-port udp-portid ] } trap-paramsname paramsname [ notify-filter-profile profile-name ]，配置设备发送告警和错误码的目的主机。

    配置设备发送告警前，需要先确认信息中心已经使能。如未使能，需要执行info-center enable命令。

    请参考下面的说明对参数进行选取：

    • 目的UDP端口号缺省是162，如果有特殊需求（比如避免知名端口号被攻击配置了端口镜像），可以配置udp-port将UDP端口号更改为非知名端口号，保证网管和被管理设备的正常通信。

    • 如果被管理设备发送的告警需要通过公网传递给网管时，选择参数public-net；如果被管理设备发送的告警需要通过私网传递给网管时，选择参数vpn-instance vpn-instance-name，指定告警需要穿越的VPN实例。

12. （可选）执行命令snmp-agent sys-info { contact contact | location location }，配置设备管理员的联系方式和位置。

    缺省情况下，系统维护联系信息为“R&D Shenzhen, Huawei Technologies Co.,Ltd.”，物理位置信息为“Shenzhen China”。

    当网管管理多个设备时，为了方便网管管理员记录设备管理员的联系方式和位置，在设备异常时快速联系设备管理员进行故障排除和定位，可配置该命令。

    如果需要同时配置设备管理员的联系方式和位置，请执行两次该命令分别配置管理员的联系方式和位置。