所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R005C10 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、Packet trace、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)限制网管对设备的管理权限

(可选)限制网管对设备的管理权限

背景信息

当有多个网管使用同一个团体名管理同一设备时,请用户根据实际场景选择执行步骤。

场景

步骤

网管访问设备的Viewdefault视图即1.3.6.1视图

所有网管访问设备的Viewdefault视图:无需操作
基于设备SNMP Agent过滤:125
基于团体名的过滤:145
基于设备SNMP Agent和团体名过滤:1245

网管访问设备上的指定节点

所有网管访问设备上的指定节点:135
基于设备SNMP Agent过滤:1235
基于团体名过滤:1345
基于设备SNMP Agent和团体名过滤:12345
使用ACL控制网管的访问权限时,有如下约定:
  • 当ACL的rule配置为permit时,则允许匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL的rule配置为deny时,则拒绝匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL已配置rule时,如果报文未匹配上任何规则,则拒绝发送该报文的网管访问本设备。

  • 当ACL未配置rule时,则允许任何其他网管访问本设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置基于SNMP Agent过滤网管。
    1. 配置基本ACL。

      具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

    2. 执行命令snmp-agent acl { acl-number | acl-name },配置SNMP的访问控制。

      缺省情况下,SNMP没有配置访问控制。

  3. 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree,创建MIB视图并限定网管监控和管理的MIB节点。

    缺省情况下,网管拥有视图Viewdefault的权限。

    对于excludedincluded使用有以下特点:

    • 需要网管管理设备上的绝大部分MIB节点,只有一少部分节点不允许网管管理时,或者在现有的MIB视图中希望取消网管对某些节点的访问权限时,使用参数excluded,排除这些MIB节点。

    • 需要网管管理设备上的一少部分MIB节点,绝大部分节点不允许网管管理时,或者在现有的MIB视图中添加网管对某些节点的访问权限时,使用参数included,添加这些允许管理的MIB节点。

    可以多次执行本命令,如果配置的view-nameoid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-nameoid-tree参数值不同,则新旧配置均生效。

    当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。

  4. 配置基于团体名过滤网管。
    1. (可选)配置基本ACL。

      在配置访问控制权限之前需要先配置基本ACL,具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

    2. 执行命令snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } ] *,限制网管对设备的访问权限。

      缺省情况下,创建的团体名拥有视图Viewdefault的权限。

      希望网管在指定视图下具有只读权限时(比如级别比较低的管理员),使用read参数。希望网管在指定视图下具有读写权限时(比如级别比较高的管理员),使用write参数。

      当团体名和ACL同时配置时,网管对设备进行访问前先检查团体名,然后再检查ACL。

  5. 执行命令commit,提交配置。

后续处理

限制网管对设备的访问权限后,尤其是限制网管的IP地址后,当网管的IP地址发生变更时(比如位置变更、网络调整IP地址重新分配等),请修改ACL中相关IP地址的配置,否则导致网管无法继续访问。

翻译
下载文档
更新时间:2020-01-09

文档编号:EDOC1100075464

浏览量:13716

下载量:225

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页