所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
NE20E-S2 V800R010C10SPC500 配置指南 - 系统管理 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - 系统管理

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备使用SNMPv3本地用户与网管通信

配置设备使用SNMPv3本地用户与网管通信

配置SNMPv3功能后,网管和设备之间将使用SNMPv3进行通信。为了保证网管和设备之间的正常通信,需要配置网管侧和Agent侧,本节只介绍Agent侧的配置,网管侧的配置请参考网管的操作手册。

应用场景

AAA(Authentication Authorization Accounting)是一种提供认证、授权和计费的技术。网络管理员可以配置AAA本地用户通过FTP、TELNET、SSH等多种方式登录设备,而目前SNMPv3只支持SNMP用户登录,给网络管理员统一管理网络设备带来不便。

为了解决这一问题,实现SNMP支持AAA用户,AAA用户不仅可以访问网管,方便网络管理员对设备的统一管理,而且实现了基于任务对不同的MIB节点进行鉴权。对网管来说,AAA用户登录和SNMP用户登录一样,没有任何差别。

AAA用户通过SNMP登录网管如图16-7所示。

图16-7 AAA用户通过SNMP登录网管示意图

下面的配置过程中,进行基本功能配置后,网管就可以和被管理设备进行通信了。如果希望进一步的精细化管理,可以参考后面的配置步骤。

前置任务

在配置设备使用SNMPv3本地用户与网管通信之前,配置路由协议,使路由器和网管站之间可达。

配置步骤

图16-8 配置设备使用SNMPv3本地用户与网管通信的流程图

配置SNMPv3的基本功能

配置SNMPv3的基本功能后,网管即可与被管理设备进行基本的监控和管理操作。

背景信息

当设备使用SNMP本地用户和网管通信时,需要将用户在AAA侧加入某一用户组,将用户组和某一任务组关联,任务组中可以配置多个任务,通过对不同的任务配置不同的MIB节点读写权限,来实现用户基于Task对MIB节点的鉴权。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa使能AAA并进入AAA视图。
  3. 执行命令task-group task-group-name,创建一个新的任务组并进入任务组视图。
  4. 执行命令task snmp { debug | execute | read | write } *,将指定任务添加到当前任务组中并配置任务的权限。

    不同的MIB节点和不同的TASK相关联,通过执行本步骤可以为SNMP的MIB节点分配权限。

  5. 执行命令quit,退回到AAA视图。
  6. 执行命令user-group user-group-name,创建一个新的用户组或进入用户组视图。
  7. 执行命令task-group task-group-name,将当前的用户组和指定的任务组相关联。
  8. 执行命令quit,退回到AAA视图。
  9. 执行命令local-user user-name password [ cipher password | irreversible-cipher irreversible-cipher-password ],创建一个本地用户并配置该用户的登录口令。

    当AAA用户配置成SNMP本地用户时,user-name的取值范围必须是1~32。

  10. 执行命令local-user user-name user-group user-group-name,将创建的本地用户加入指定用户组。

    一个用户组可被多个本地用户引用,但一个本地用户只能属于一个用户组。

  11. 执行命令local-user user-name service-type snmp,设置本地用户的接入类型为SNMP。
  12. 执行命令quit,退回到系统视图。
  13. (可选)执行命令snmp-agent,启动SNMP Agent服务。

    执行任意snmp-agent的配置命令(无论是否含参数)都可以触发SNMP Agent服务启动,故该步骤可选。

  14. 执行命令snmp-agent password min-length min-length,配置SNMP密码的最小长度。

    配置了该命令后,用户配置SNMP密码时,密码长度必须大于等于配置的SNMP密码的最小长度。

  15. (可选)执行命令snmp-agent udp-port port-number修改SNMP Agent侦听的端口号。

    如果不执行此步骤,会使用缺省端口号进行侦听。

  16. (可选)执行命令snmp-agent sys-info version v3,配置SNMP的协议版本。
  17. 执行命令snmp-agent local-user v3 user-name authentication-mode { md5 | sha } { privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } | cipher encrypt-password privacy-mode { 3des168 | aes128 | aes192 | aes256 | des56 } cipher encrypt-password },配置SNMP本地用户信息。

    AAA用户和SNMP用户可以配置不同的认证加密密码,删除AAA本地用户会导致SNMP用户被同步删除,删除SNMP用户对AAA用户无影响。

    SNMP USM用户的优先级高于本地用户的优先级,即当SNMP本地用户和USM用户的用户名相同,配置的认证或加密密码不同时,将采用USM用户的认证和加密密码登录。

    缺省情况下,对配置的本地用户的认证密码或加密密码进行复杂度检查,若检查不通过,则配置不成功。可以使用snmp-agent local-user password complexity-check disable命令关闭密码复杂度功能。但是为了保证系统安全性,建议开启此功能。

    为了提高系统安全性,建议为同一SNMP本地用户配置不同的认证和加密密码。

  18. (可选)执行命令snmp-agent sys-info { contact contact | location location },配置设备管理员的联系方法和位置。

    当网管管理多台设备时,为了方便网管管理员记录设备管理员的联系方式和位置,在设备异常时快速联系设备管理员进行故障排除和定位,可配置该功能。

  19. (可选)执行命令snmp-agent packet max-size byte-count,配置设备接收或发送的SNMP消息包的最大值。

    配置SNMP报文的最大尺寸后,当SNMP报文尺寸大于配置的最大尺寸时,设备将丢弃该报文。

  20. (可选)配置SNMP接收和响应网管请求报文,用户可以根据需要选择执行如下命令中的一个或者多个:

    • 执行命令snmp-agent protocol source-interface interface-type interface-number,配置SNMP接收和响应网管请求报文的源接口信息。
    • 执行命令snmp-agent protocol ipv6 source-ip ip–address,配置SNMP接收和响应网管请求报文的源IPv6地址。
    • 配置SNMP从VPN或者公网接收和响应网管请求报文。
      • 对于IPv4网络,执行命令snmp-agent protocol { vpn-instance vpn-instance-name | public-net }。
      • 对于IPv6网络,执行命令snmp-agent protocol ipv6 { vpn-instance vpn-instance-name | public-net }。

  21. (可选)执行命令snmp-agent local-engineid engineid,设置本地SNMP实体的引擎ID。

    其中,系统采用主控板的管理网口MAC地址作为引擎ID的“设备信息”。

    说明:
    为了提高系统安全性,建议执行snmp-agent packet contextengineid-check enable命令对contextEngineID和本地的引擎ID进行一致性检查。

  22. (可选)执行命令snmp-agent set-cache enable,使能SET回应报文缓冲功能。
  23. (可选)执行命令snmp-agent get-cache disable,关闭GET回应报文缓冲功能。
  24. (可选)执行命令snmp-agent get-cache age-out age-out,配置GET回应报文缓冲功能的老化时间。
  25. (可选)执行命令snmp-agent protocol server [ ipv4 | ipv6 ] disable,关闭SNMP IPv4或IPv6的侦听端口。

    执行snmp-agent protocol server disable命令关闭SNMP IPv4或IPv6的侦听端口后,SNMP将不再处理对应的SNMP报文,因此请慎重操作。

  26. 执行命令commit,提交配置。

(可选)配置SNMP防攻击功能

为了提高安全性,SNMP支持黑名单功能,防止恶意用户攻击,破坏用户密码。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令undo snmp-agent blacklist ip-block disable,使能IP地址黑名单功能。
  3. 执行命令undo snmp-agent blacklist user-block disable,使能用户黑名单功能。
  4. 执行命令commit,提交配置。

检查配置结果

配置SNMPv3成功后,用户可以查看到SNMPv3的配置情况。

前提条件

已经完成SNMPv3基本功能的所有配置。

操作步骤

  • 执行display snmp-agent sys-info version命令查看SNMP使能的版本信息。
  • 执行display snmp-agent sys-info contact命令查看管理员的联系方式。
  • 执行display snmp-agent sys-info location命令查看路由器的位置。
  • 执行display current-configuration | include max-size命令查看SNNP报文的最大尺寸。
  • 执行display snmp-agent local-user [ username user-name ]命令查看SNMP本地用户信息。

任务示例

执行display snmp-agent sys-info version命令,查看当前代理中运行的SNMP版本号。
<HUAWEI> display snmp-agent sys-info version
 SNMP version running in the system:
           SNMPv3
执行display snmp-agent sys-info contact命令查看管理员的联系方式。
<HUAWEI> display snmp-agent sys-info contact
   The contact person for this managed node:
           R&D Beijing, Huawei Technologies co.,Ltd.
执行display snmp-agent sys-info location命令,查看当前设备的位置信息。
<HUAWEI> display snmp-agent sys-info location
   The physical location of this node:
           Beijing China
执行display current-configuration | include max-size命令查看SNNP报文的最大尺寸。
<HUAWEI> display current-configuration | include max-size
 snmp-agent packet max-size 1800
执行display snmp-agent local-user命令查看SNMP本地用户信息。
<HUAWEI> display snmp-agent local-user
   User name: myuser
       Engine ID: 800007DB0338BA5B718601
       Authentication Protocol: md5
       Privacy Protocol: des56
       State: Active
翻译
English
下载文档
更新时间:2019-01-02

文档编号:EDOC1100058323

浏览量:12920

下载量:37

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: