H3C交换机SNMP网管识别配置实例
这是“H3C交换机中小企业运维实战”专栏的第 8 篇。交换机完成 SSH 远程管理后,下一步通常是接入公司的网管系统,让平台读取设备名称、型号、运行时间和端口状态。
本文以 H3C S5570S 和 Comware V7 为例,配置只读 SNMPv3 用户、认证与加密、设备识别信息以及 IPv4/IPv6 来源 ACL。文中的地址、账号、密码、ACL 编号和设备位置都是示例,实际使用时必须按现场规划替换。
一、为什么使用 SNMPv3
SNMPv1 和 SNMPv2c 主要依靠团体名验证,安全性较低。新接入的网管设备建议使用 SNMPv3,并同时满足下面三个条件:
- 使用身份认证和数据加密;
- 网管账号只有读取权限,不允许修改交换机配置;
- 通过 IPv4/IPv6 ACL 只允许指定网管服务器访问。
本文示例:
| 项目 | 示例值 |
|---|---|
| 交换机 | HQ-Access-01 |
| 网管服务器 IPv4 | 192.168.100.20 |
| 网管服务器 IPv6 | 2001:db8:100::20 |
| SNMPv3 用户 | nms_hq01 |
| SNMPv3 组 | NMS_ReadOnly |
| IPv4 ACL | 2010 |
| IPv6 ACL | 2011 |
| SNMP 端口 | 161/UDP |
二、配置前检查
# 查看设备版本,并检查到网管服务器的双栈路径。 <HQ-Access-01> display version <HQ-Access-01> ping 192.168.100.20 <HQ-Access-01> ping ipv6 2001:db8:100::20 # 查看现有 SNMP 版本、组、用户和团体名。 <HQ-Access-01> display snmp-agent sys-info <HQ-Access-01> display snmp-agent group <HQ-Access-01> display snmp-agent usm-user <HQ-Access-01> display snmp-agent community # 确认 ACL 2010、2011 没有被其他业务占用。 <HQ-Access-01> display acl 2010 <HQ-Access-01> display acl ipv6 2011如果现有网管仍在使用 SNMPv1 或 SNMPv2c,应先在平台配置 SNMPv3 并完成采集测试,再停用旧版本。直接删除旧团体名可能导致现有监控全部中断。
三、配置设备识别信息
代码块中以#开头的是说明,不需要输入交换机。
<HQ-Access-01> system-view # 配置机房和机柜位置,便于网管平台定位设备。 [HQ-Access-01] snmp-agent sys-info location HQ_3F_Network_Room_Rack_A03 # 配置维护团队联系方式,不建议填写私人信息。 [HQ-Access-01] snmp-agent sys-info contact Network_Team_Ext_8001 [HQ-Access-01] return设备名称来自交换机当前的sysname。位置和联系人应与资产表一致,不能只写“机房”这种无法准确定位的描述。
四、限制网管服务器来源
先创建 IPv4 和 IPv6 基本 ACL,只允许指定网管服务器访问。
<HQ-Access-01> system-view # IPv4 ACL 只允许 192.168.100.20。 [HQ-Access-01] acl basic 2010 [HQ-Access-01-acl-ipv4-basic-2010] description Permit_IPv4_SNMP_NMS [HQ-Access-01-acl-ipv4-basic-2010] rule 5 permit source 192.168.100.20 0 [HQ-Access-01-acl-ipv4-basic-2010] rule 100 deny source any [HQ-Access-01-acl-ipv4-basic-2010] quit # IPv6 ACL 只允许 2001:db8:100::20。 [HQ-Access-01] acl ipv6 basic 2011 [HQ-Access-01-acl-ipv6-basic-2011] description Permit_IPv6_SNMP_NMS [HQ-Access-01-acl-ipv6-basic-2011] rule 5 permit source 2001:db8:100::20 128 [HQ-Access-01-acl-ipv6-basic-2011] rule 100 deny source any [HQ-Access-01-acl-ipv6-basic-2011] quit [HQ-Access-01] return # 应用前检查允许地址和 permit、deny 动作。 <HQ-Access-01> display acl 2010 <HQ-Access-01> display acl ipv6 2011五、创建只读 SNMPv3 用户
下面使用privacy安全级别,表示同时进行身份认证和数据加密。组没有配置写视图,因此网管用户只能读取信息。
<HQ-Access-01> system-view # 创建要求认证和加密的只读 SNMPv3 组。 [HQ-Access-01] snmp-agent group v3 NMS_ReadOnly privacy # 下一条是一整条命令,不能在中间回车。 # 使用 SHA 认证和 AES128 加密,并绑定 IPv4/IPv6 ACL。 # 两个密码均为占位符,必须替换且不能使用相同密码。 [HQ-Access-01] snmp-agent usm-user v3 nms_hq01 NMS_ReadOnly simple authentication-mode sha AuthPassword_Replace_Before_Input privacy-mode aes128 PrivPassword_Replace_Before_Input acl 2010 acl ipv6 2011 # 只启用 SNMPv3,然后开启 SNMP Agent。 [HQ-Access-01] snmp-agent sys-info version v3 [HQ-Access-01] snmp-agent [HQ-Access-01] return认证密码和加密密码应分别保存到公司的密码管理工具中,不能写入文章、普通聊天记录或工单截图。
六、在网管平台添加设备
网管平台中填写:
| 网管参数 | 示例值 |
|---|---|
| SNMP 版本 | SNMPv3 |
| 安全级别 | authPriv |
| 用户名 | nms_hq01 |
| 认证算法 | SHA |
| 加密算法 | AES128或AES |
| 端口 | 161/UDP |
版本、用户名、认证算法、加密算法和两个密码必须与交换机一致。保存后执行“测试凭据”或“立即采集”,确认平台能够读取:
- 设备名称和型号;
- 系统运行时间;
- 端口列表和端口状态;
- 设备位置和维护联系人。
七、验证来源限制
在交换机上检查:
# 核对 SNMPv3 组、用户、系统信息和 ACL。 <HQ-Access-01> display snmp-agent group <HQ-Access-01> display snmp-agent usm-user <HQ-Access-01> display snmp-agent sys-info <HQ-Access-01> display acl 2010 <HQ-Access-01> display acl ipv6 2011 # 查看 SNMP 报文收发和错误统计。 <HQ-Access-01> display snmp-agent statistics最终还要完成允许和拒绝测试:
- 网管服务器通过 IPv4 查询,应成功;
- 网管服务器通过 IPv6 查询,应成功;
- 未加入 ACL 的电脑即使知道用户名和密码,也应无法采集;
- 使用错误密码时,应认证失败;
- SNMPv1 或 SNMPv2c 查询应失败。
允许来源能采集、未允许来源不能采集,才说明访问限制真正生效。验证完成后再执行save force保存配置。
八、小结
网管平台能够发现设备,不代表 SNMP 配置已经安全。SNMPv3 还要同时检查认证、加密、只读权限和来源 ACL,并在平台上实际读取设备名称、运行时间和端口状态。
网站完整版还包括 Comware V5 差异、旧版本迁移、常见问题、详细回退方法和完整配置汇总:
H3C交换机SNMP网管识别配置实例
