配置SNMPv3的基本功能

操作步骤

1. 执行命令system-view，进入系统视图。
2. （可选）执行命令snmp-agent，使能SNMP Agent服务。

   缺省情况下，没有使能SNMP Agent服务。执行任意snmp-agent的配置命令（无论是否含参数）都可以触发SNMP Agent服务使能。

3. （可选）执行命令snmp-agent udp-port port-num，修改SNMP Agent与网管连接所使用的端口号。

   缺省情况下，SNMP Agent与网管连接所使用的端口号为161。

   为了提升设备的安全性，请执行snmp-agent udp-port命令修改SNMP Agent的端口号。修改SNMP Agent与网管连接所使用的端口号以后，通过网管管理设备时，网管端指定的端口号必须与该端口号保持一致，否则无法连接设备。

4. （可选）执行命令snmp-agent sys-info version v3，配置SNMP的协议版本。

   缺省情况下，SNMP的协议版本为SNMPv3。

5. （可选）执行命令snmp-agent local-engineid engineid ，配置本地SNMP实体的引擎ID。

   缺省情况下，设备采用内部算法自动生成一个设备引擎ID，包含公司的“企业号＋设备信息”。

   若改变本地引擎ID，则已存在的SNMPv3用户将被删除。

   为了提高系统安全性，建议执行snmp-agent packet contextengineid-check enable命令对contextEngineID和本地的引擎ID进行一致性检查。

6. 执行命令snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]^* [ acl { acl-number | acl-name } ]、 snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]^* acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ]或snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]^* acl-ipv6 { acl-number | acl-name }，配置SNMPv3用户组。

   当网管和设备处在不安全的网络环境中时，比如容易遭受攻击等，建议用户配置参数authentication或privacy，使能数据的认证或加密功能。

7. 配置SNMPv3用户。
   1. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] ^*、snmp-agent [ remote-engineid engineid ] usm-user v3 user-name group group-name acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ]或snmp-agent [ remote-engineid engineid ] usm-user v3 user-name group group-name acl-ipv6 { acl-number | acl-name }，配置SNMPv3用户。
   2. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name authentication-mode { md5 | sha | sha2-256 } [ cipher password ]，配置SNMPv3用户认证密码。
   3. 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name privacy-mode { des56 | aes128 |aes192 | aes256 | 3des } [ cipher password ]，配置SNMPv3用户加密密码。

   当网管和设备处在不安全的网络环境中时，比如容易遭受攻击等。建议用户配置认证和加密功能，且配置不同的认证密码和加密密码来提高安全性。缺省情况下，创建的SNMPv3用户为不认证不加密。

   为了保证更好的安全性，建议不要使用MD5算法作为SNMPv3的认证算法，不要使用DES56或3DES168算法作为SNMPv3的加密算法，不要为同一SNMPv3用户配置相同的认证和加密密码。

   缺省情况下，设备对配置的SNMPv3用户的密码进行复杂度检查，若检查不通过，则配置不成功。为充分保证设备安全，不建议使用snmp-agent usm-user password complexity-check disable命令去使能SNMPv3用户密码复杂度检查功能，并定期修改密码。

8. 请根据网络需要选择下面的命令配置设备发送告警和错误码的目的IP地址：

   配置设备发送告警前，需要先确认信息中心已经使能。如未使能，需要执行info-center enable命令。

   • 如果是IPv4网络，请根据需要选择配置Trap方式告警或Inform方式告警：

     • 配置设备发送Trap告警和错误码的目的IP地址，请执行命令：

       snmp-agent target-host trap address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ public-net | vpn-instance vpn-instance-name ] ] ^* params securityname security-name v3 [ authentication | privacy ] [ private-netmanager | notify-filter-profile profile-name | ext-vb ] ^*

     • 配置设备发送Inform告警和错误码的目的IP地址，请执行命令：

       snmp-agent target-host inform address udp-domain ip-address [ udp-port port-number | source interface-type interface-number | [ vpn-instance vpn-instance-name | public-net ] ]^* params securityname security-name v3 [ authentication | privacy ] [ notify-filter-profile profile-name | ext-vb ] ^*

   • 如果是IPv6网络，请执行以下命令：

     snmp-agent target-host trap ipv6 address udp-domain ipv6-address [ udp-port port-number | vpn-instance vpn-instance-name ] ^* params securityname security-name [ v3 [ authentication | privacy ] | private-netmanager | notify-filter-profile profile-name | ext-vb ] ^*

     IPv6网络只支持Trap方式告警，不支持Inform方式告警。

   请参考下面的说明对参数进行选取：

   • 目的UDP端口号缺省是162，如果有特殊需求（比如避免知名端口号被攻击），可以配置udp-port将UDP端口号更改为非知名端口号，保证网管和被管理设备的正常通信。
   • security-name用来在网管上标识和区别发送告警的源设备，方便用户识别告警的发送方。
   • 当网管和被管理设备是华为设备时，可以选择配置private-netmanager，使告警中携带更丰富的信息，比如告警的类型、发送告警的序号和告警发送的时间，以便能更加快速的定位和解决问题。

   配置的security-name必须和创建的用户名保持一致，否则网管将无法访问设备。

9. （可选）执行命令snmp-agent sys-info { contact contact | location location }，配置设备管理员的联系方式和位置。

   缺省情况下，系统维护联系信息为“R&D Beijing, Huawei Technologies Co., Ltd.”，物理位置信息为“Beijing China”。

   当网管管理多个设备时，为了方便网管管理员记录设备管理员的联系方式和位置，在设备异常时快速联系设备管理员进行故障排除和定位，可配置该命令。

10. （可选）执行命令snmp-agent packet max-size byte-count，配置设备接收或发送的SNMP消息包的最大值。

    缺省情况下，SNMP报文最大尺寸为12000字节。

    配置SNMP报文的最大尺寸后，当SNMP报文尺寸大于配置的最大尺寸时，设备将丢弃该报文。该报文尺寸根据网管能够处理的最大报文尺寸进行设定，否则将导致网管无法处理该报文。

11. （可选）执行命令snmp-agent protocol source-interface interface-type interface-number，配置设备接收和响应网管请求报文的源接口信息。

    缺省情况下，设备对网管请求报文的接收和响应源接口是随机的，任意可用的接口都可以接收和响应网管请求报文。

12. （可选）执行命令snmp-agent protocol ipv6 source-ip ipv6-address，配置设备接收和响应网管请求报文的源IPv6地址。

    缺省情况下，设备对网管请求报文的接收和响应源IPv6地址是随机的，任意可用的源IPv6地址都可以接收和响应网管请求报文。

13. （可选）执行命令snmp-agent protocol server [ ipv4 | ipv6 ] disable，关闭SNMP IPv4或IPv6的侦听端口。

    缺省情况下，SNMP IPv4或IPv6的侦听端口处于关闭状态。

    当不选择ipv4或ipv6参数时，将同时关闭SNMP IPv4和IPv6的侦听端口。

    当只需要向网管发送告警不需要执行Get/Set等操作时，将不需要对SNMP的端口进行侦听，可以通过执行snmp-agent protocol server disable命令关闭SNMP IPv4或IPv6的侦听端口。关闭SNMP IPv4或IPv6的侦听端口后，SNMP将不再处理对应的SNMP报文，因此请慎重操作。