所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
CloudEngine 8800, 7800, 6800, 5800 V200R003C00 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SNMPv3的基本功能

配置SNMPv3的基本功能

背景信息

网管侧配置的安全名、鉴权加密参数和端口号必须与设备侧配置用户名、鉴权加密参数和端口号保持一致,且设备侧需要使能网管侧配置的SNMP版本,否则将无法连接设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令snmp-agent,使能SNMP Agent服务。

    缺省情况下,没有使能SNMP Agent服务。执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务使能。

  3. (可选)执行命令snmp-agent udp-port port-num,修改SNMP Agent与网管连接所使用的端口号。

    缺省情况下,SNMP Agent与网管连接所使用的端口号为161。

    为了提升设备的安全性,请执行snmp-agent udp-port命令修改SNMP Agent的端口号。修改SNMP Agent与网管连接所使用的端口号以后,通过网管管理设备时,网管端指定的端口号必须与该端口号保持一致,否则无法连接设备。

  4. (可选)配置基于SNMP Agent过滤网管。
    1. 配置基本ACL。

      具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

    2. 执行命令snmp-agent acl { acl-number | acl-name },配置SNMP的访问控制。

      缺省情况下,SNMP没有配置访问控制。

  5. (可选)执行命令snmp-agent sys-info version v3,配置SNMP的协议版本。

    缺省情况下,SNMP的协议版本为SNMPv3。

  6. (可选)执行命令undo snmp-agent local-user password complexity-check disable,使能本地用户认证和加密密码的复杂度检查功能。

    缺省情况下,对SNMPv3本地用户的认证密码和加密密码进行复杂度检查,若检查不通过,则配置不成功。为了保证系统安全性,建议使能密码复杂度检查功能。

  7. (可选)执行命令snmp-agent password min-length min-length,配置SNMP密码的最小长度。

    缺省情况下,SNMP密码的最小长度为8。

    配置了该命令后,用户配置SNMPv3本地用户的认证密码或加密密码时,密码长度必须大于等于配置的SNMP密码的最小长度。

  8. 执行命令snmp-agent local-user v3 user-name { authentication-mode { md5 | sha } privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } | authentication-mode { md5 | sha } cipher password privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } cipher password },配置SNMPv3本地用户信息。

    缺省情况下,未配置SNMPv3本地用户。

    当网管和设备处在不安全的网络环境中时,比如容易遭受攻击等。建议用户配置不同的认证密码和加密密码来提高安全性。

    SNMPv3使用AAA本地用户后,可以配置与AAA本地用户不同的认证和加密密码。删除AAA本地用户会导致SNMPv3本地用户被同步删除,然而删除SNMPv3本地用户对AAA本地用户无影响。

    SNMPv3本地用户和SNMPv3 USM用户可以配置相同的用户名。SNMPv3 USM用户的优先级高于SNMPv3本地用户的优先级,即当SNMPv3本地用户和SNMPv3 USM用户的用户名相同,配置的认证或加密密码不同时,将采用SNMPv3 USM用户的认证和加密密码登录。

    为了保证更好的安全性,建议不要使用MD5算法作为SNMPv3的认证算法,不要使用DES56或3DES168算法或作为SNMPv3的加密算法。

  9. (可选)配置设备侦听网管SNMP请求报文的源接口或源IPv6地址。

    • 在IPv4网络中,执行命令snmp-agent protocol source-interface interface-type interface-number,配置SNMP接收和响应网管请求报文的源接口信息。

      缺省情况下,未配置SNMP协议接收和响应网管请求报文的源接口信息。

      SNMP协议绑定源接口配置生效后,SNMP协议将只侦听该接口下的IP地址,网管只能通过此IP地址与设备通信。源接口IP地址变更后,网管只能通过新的IP地址与设备通信。

    • 在IPv6网络中,执行命令snmp-agent protocol ipv6 source-ip ipv6-address,配置设备侦听网管SNMP请求报文的IPv6地址。

      缺省情况下,未配置源IPv6地址,设备使用任意可达IPv6地址进行通信。

  10. (可选)执行命令snmp-agent protocol [ ipv6 ] { vpn-instance vpn-instance-name | public-net },配置SNMP从VPN或者公网接收和响应网管请求报文。

    缺省情况下,SNMP从全局VPN和公网接收和响应网管请求报文。

  11. (可选)执行命令snmp-agent protocol get-bulk timeout time,配置网管get-bulk操作超时返回的时间阈值。

    缺省情况下,网管get-bulk超时返回的时间是2秒。

    建议不要修改网管get-bulk超时返回的时间,使用缺省2秒即可。如果需要重新配置,配置的阈值时间必须小于网管的超时时间。

  12. (可选)执行命令snmp-agent sys-info { contact contact | location location },配置设备管理员的联系方式和位置。

    缺省情况下,系统维护联系信息为“R&D Beijing, Huawei Technologies co.,Ltd. ”,物理位置信息为“Beijing China”。

    当网管管理多个设备时,为了方便网管管理员记录设备管理员的联系方式和位置,在设备异常时快速联系设备管理员进行故障排除和定位,可配置该命令。

  13. 执行命令commit,提交配置。
翻译
下载文档
更新时间:2019-05-05

文档编号:EDOC1100004380

浏览量:19847

下载量:322

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页