- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
摘 要:當NMS采用SNMPv3協議對多台設備(Agent)進行管理時,需要在設備上配置SNMPv3組、用戶、用戶的認證算法/加密算法和認證密碼/加密密碼。為了避免在多台設備上重複相同的配置操作,可以先在一台設備上創建SNMPv3用戶,再使用SNMPv3用戶拷貝/粘貼特性在其他設備上快速地創建相同的用戶。本文將結合具體的示例,給出SNMPv3用戶拷貝/粘貼的配置步驟。
縮略語:
| 縮略語 | 英文全名 | 中文解釋 |
| AES | Advanced Encryption Standard | 高級加密標準 |
| DES | Data Encryption Standard | 數據加密標準 |
| MD5 | Message Digest 5 | MD5算法 |
| NMS | Network Management Station | 網絡管理站 |
| SNMP | Simple Network Management Protocol | 簡單網絡管理協議 |
目 錄
在設備上創建SNMPv3用戶時,認證密碼/加密密碼有兩種輸入方式:
l 明文方式:在創建SNMPv3用戶時輸入的參數是明文形式(比如123),為了安全起見,係統在執行命令時,會將明文密碼經過加密處理後存儲在設備緩存中,當用戶使用命令查看當前有效配置時,看到的不再是配置時的參數而是參數對應的密文形式(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18)。
l 密文方式:先通過別的途徑將明文密碼加密成密文密碼(設備提供了專門的命令行實現該功能),在創建SNMPv3用戶時輸入密文密碼(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18),係統執行命令時,不再對該參數進行加密處理,當用戶使用命令查看當前有效配置時,看到的就是配置時的參數(還是ED68BDD3A0AC7A5E459F6EB3D4B35B18)。
簡而言之,明文方式是在創建用戶時進行加密,輸入的參數是明文密碼;密文方式是在創建用戶前完成了加密,輸入的參數是密文密碼。在實際應用中,
l 如果將明文方式的SNMPv3用戶配置進行拷貝、粘貼(即再次執行),由於密碼的輸入方式還是明文方式,因此,這個密碼會被當成明文密碼,再次被加密。比如:原配置用戶名為A、明文密碼為B,拷貝和粘貼後等效於用戶名為A、明文密碼為C。明文方式的SNMPv3用戶配置拷貝、粘貼後用戶名不變,但對應的明文密碼已經改變。
l 如果將密文方式的SNMPv3用戶配置進行拷貝、粘貼(即再次執行),由於密碼的輸入方式還是密文方式,因此,這個密文密碼不會被再次加密。比如:原配置用戶名為A、明文密碼為B,拷貝和粘貼後用戶名仍為A、明文密碼仍為B。密文方式的SNMPv3用戶配置拷貝、粘貼後用戶名和對應的明文密碼均不變。
因此,如果需要將SNMPv3用戶配置進行拷貝/粘貼,認證密碼/加密密碼的輸入方式請使用密文方式。
& 說明:
l 由於NMS在訪問設備時,必須輸入明文密碼,因此如果采用密文方式配置SNMPv3用戶,則管理員必須清楚密文方式配置的用戶密碼所對應的明文形式。
l 請使用配置終端的“複製/粘貼”功能來完成SNMPv3用戶配置的拷貝/粘貼,比如使用<Ctrl+C>和<Ctrl+V>快捷鍵,但具體方式由配置終端的類型決定。本文使用的是支持<Ctrl+C>和<Ctrl+V>快捷鍵方式的配置終端。
當兩台設備的本地SNMP實體引擎ID相同時,用戶可以直接將一台設備上密文方式的SNMPv3用戶配置拷貝、粘貼到另一台設備上執行,這樣在另一台設備上將使用相同的參數(主要是相同的密碼)創建相同的用戶,方便對網絡設備進行批量配置。
l 密文方式配置時,其密文密碼參數可以用命令snmp-agent calculate-password獲得。要使計算所得的密文密碼能夠用於snmp-agent usm-user v3 cipher命令且等效,必須保證兩個命令使用的加密算法相同,而且執行snmp-agent usm-user v3 cipher命令時設備的本地SNMP實體引擎ID與snmp-agent calculate-password命令中指定的SNMP實體引擎ID一致。
l 將SNMPv3用戶配置拷貝、粘貼時,必須保證A設備上創建用戶時的本地SNMP實體引擎ID和B設備上創建用戶時的本地SNMP實體引擎ID相同。設備出廠的時候都會有各自的本地SNMP實體引擎ID,要使兩個設備的一樣,需要通過snmp-agent local-engineid命令來修改。
l 用戶創建後是否有效,與設備本地SNMP實體引擎ID有關。如果用戶創建時的引擎ID和當前的引擎ID不同,則當前該用戶將被認為是非法用戶,NMS使用該用戶名和密碼訪問設備時,不能通過認證。
l 網絡中有兩台設備:NMS、Agent 1,NMS監控管理Agent 1,NMS與Agent 1互相訪問的用戶名為v3User,認證協議為SHA,認證明文密碼為abcd,加密協議為DES56,加密明文密碼為1234。
l 由於網絡擴容,增加了兩台設備Agent 2、Agent 3,Agent 2、Agent 3與Agent 1同型號。為了減小網絡管理的負擔,NMS訪問Agent 2、Agent 3的用戶名、認證方式/密碼、加密方式/密碼均與Agent 1相同。請以最簡潔、快速的方式實現NMS對Agent 2、Agent 3的監控管理。
圖1 SNMPv3用戶拷貝/粘貼典型配置舉例組網圖
通過在Agent 1上創建用戶,在其他Agent上執行拷貝、粘貼操作,就可簡潔快速地實現NMS對所有Agent的管理。
l 在Agent 1上以密文方式創建SNMPv3用戶v3User。其中,配置所用的密文密碼可以由明文密碼、認證模式和SNMP實體引擎ID計算可得。
l 從Agent 1上拷貝配置文件,並在Agent2、Agent3上分別粘貼。
本舉例是在COMWAREV500R002B49D001版本上進行配置和驗證的。
& 說明:
以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。
# 配置本地SNMP實體引擎ID。
<Agent1> system-view
[Agent1] snmp-agent local-engineid 800063A203000056000000
# 配置SNMPv3組(安全級別為認證加密)。
[Agent1] snmp-agent group v3 v3Group privacy
# 使用SHA算法、結合本地引擎,計算abcd對應的密文密碼。
[Agent1] snmp-agent calculate-password abcd mode sha local-engineid
The secret key is: 5496DF6FEB168CF60DEC15479F921F9CC7A15478
# 使用SHA算法、結合本地引擎,計算1234對應的密文密碼。
[Agent1] snmp-agent calculate-password 1234 mode sha local-engineid
The secret key is: BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 使用密文方式創建SNMPv3用戶v3User(安全級別為認證加密),認證協議為SHA,認證明文密碼為abcd,加密協議為DES56,加密明文密碼為1234。
[Agent1] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 顯示配置後的配置文件
[Agent1] display current-configuration | include snmp-agent
snmp-agent local-engineid 800063A203000056000000
snmp-agent group v3 v3Group privacy
snmp-agent calculate-password abcd mode sha local-engineid
snmp-agent calculate-password 1234 mode sha local-engineid
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 使用<Ctrl+C>快捷鍵將SNMPv3用戶相關配置進行拷貝,即以上顯示信息中灰色底紋標識的內容。
# 進入係統視圖。
<Agent2> system-view
# 使用<Ctrl+V>快捷鍵粘貼4.4.1小節裏拷貝的配置。
[Agent2] snmp-agent local-engineid 800063A203000056000000
[Agent2] snmp-agent group v3 v3Group privacy
[Agent2] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
[Agent2]
# 進入係統視圖。
<Agent3> system-view
# 使用<Ctrl+V>快捷鍵粘貼4.4.1小節裏拷貝的配置。
[Agent3] snmp-agent local-engineid 800063A203000056000000
[Agent3] snmp-agent group v3 v3Group privacy
[Agent3] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
[Agent3]
# 在Agent 1上查看當前SNMPv3用戶的配置。
[Agent1] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 在Agent 2上查看當前SNMPv3用戶的配置。
[Agent2] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 在Agent 3上查看當前SNMPv3用戶的配置。
[Agent3] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
l RFC2574
l “係統分冊”的“SNMP配置”
l “係統分冊”的“SNMP命令”
Copyright ©2008 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
