- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
摘 要:当NMS采用SNMPv3协议对多台设备(Agent)进行管理时,需要在设备上配置SNMPv3组、用户、用户的认证算法/加密算法和认证密码/加密密码。为了避免在多台设备上重复相同的配置操作,可以先在一台设备上创建SNMPv3用户,再使用SNMPv3用户拷贝/粘贴特性在其他设备上快速地创建相同的用户。本文将结合具体的示例,给出SNMPv3用户拷贝/粘贴的配置步骤。
缩略语:
| 缩略语 | 英文全名 | 中文解释 |
| AES | Advanced Encryption Standard | 高级加密标准 |
| DES | Data Encryption Standard | 数据加密标准 |
| MD5 | Message Digest 5 | MD5算法 |
| NMS | Network Management Station | 网络管理站 |
| SNMP | Simple Network Management Protocol | 简单网络管理协议 |
目 录
在设备上创建SNMPv3用户时,认证密码/加密密码有两种输入方式:
l 明文方式:在创建SNMPv3用户时输入的参数是明文形式(比如123),为了安全起见,系统在执行命令时,会将明文密码经过加密处理后存储在设备缓存中,当用户使用命令查看当前有效配置时,看到的不再是配置时的参数而是参数对应的密文形式(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18)。
l 密文方式:先通过别的途径将明文密码加密成密文密码(设备提供了专门的命令行实现该功能),在创建SNMPv3用户时输入密文密码(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18),系统执行命令时,不再对该参数进行加密处理,当用户使用命令查看当前有效配置时,看到的就是配置时的参数(还是ED68BDD3A0AC7A5E459F6EB3D4B35B18)。
简而言之,明文方式是在创建用户时进行加密,输入的参数是明文密码;密文方式是在创建用户前完成了加密,输入的参数是密文密码。在实际应用中,
l 如果将明文方式的SNMPv3用户配置进行拷贝、粘贴(即再次执行),由于密码的输入方式还是明文方式,因此,这个密码会被当成明文密码,再次被加密。比如:原配置用户名为A、明文密码为B,拷贝和粘贴后等效于用户名为A、明文密码为C。明文方式的SNMPv3用户配置拷贝、粘贴后用户名不变,但对应的明文密码已经改变。
l 如果将密文方式的SNMPv3用户配置进行拷贝、粘贴(即再次执行),由于密码的输入方式还是密文方式,因此,这个密文密码不会被再次加密。比如:原配置用户名为A、明文密码为B,拷贝和粘贴后用户名仍为A、明文密码仍为B。密文方式的SNMPv3用户配置拷贝、粘贴后用户名和对应的明文密码均不变。
因此,如果需要将SNMPv3用户配置进行拷贝/粘贴,认证密码/加密密码的输入方式请使用密文方式。
& 说明:
l 由于NMS在访问设备时,必须输入明文密码,因此如果采用密文方式配置SNMPv3用户,则管理员必须清楚密文方式配置的用户密码所对应的明文形式。
l 请使用配置终端的“复制/粘贴”功能来完成SNMPv3用户配置的拷贝/粘贴,比如使用<Ctrl+C>和<Ctrl+V>快捷键,但具体方式由配置终端的类型决定。本文使用的是支持<Ctrl+C>和<Ctrl+V>快捷键方式的配置终端。
当两台设备的本地SNMP实体引擎ID相同时,用户可以直接将一台设备上密文方式的SNMPv3用户配置拷贝、粘贴到另一台设备上执行,这样在另一台设备上将使用相同的参数(主要是相同的密码)创建相同的用户,方便对网络设备进行批量配置。
l 密文方式配置时,其密文密码参数可以用命令snmp-agent calculate-password获得。要使计算所得的密文密码能够用于snmp-agent usm-user v3 cipher命令且等效,必须保证两个命令使用的加密算法相同,而且执行snmp-agent usm-user v3 cipher命令时设备的本地SNMP实体引擎ID与snmp-agent calculate-password命令中指定的SNMP实体引擎ID一致。
l 将SNMPv3用户配置拷贝、粘贴时,必须保证A设备上创建用户时的本地SNMP实体引擎ID和B设备上创建用户时的本地SNMP实体引擎ID相同。设备出厂的时候都会有各自的本地SNMP实体引擎ID,要使两个设备的一样,需要通过snmp-agent local-engineid命令来修改。
l 用户创建后是否有效,与设备本地SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则当前该用户将被认为是非法用户,NMS使用该用户名和密码访问设备时,不能通过认证。
l 网络中有两台设备:NMS、Agent 1,NMS监控管理Agent 1,NMS与Agent 1互相访问的用户名为v3User,认证协议为SHA,认证明文密码为abcd,加密协议为DES56,加密明文密码为1234。
l 由于网络扩容,增加了两台设备Agent 2、Agent 3,Agent 2、Agent 3与Agent 1同型号。为了减小网络管理的负担,NMS访问Agent 2、Agent 3的用户名、认证方式/密码、加密方式/密码均与Agent 1相同。请以最简洁、快速的方式实现NMS对Agent 2、Agent 3的监控管理。
图1 SNMPv3用户拷贝/粘贴典型配置举例组网图
通过在Agent 1上创建用户,在其他Agent上执行拷贝、粘贴操作,就可简洁快速地实现NMS对所有Agent的管理。
l 在Agent 1上以密文方式创建SNMPv3用户v3User。其中,配置所用的密文密码可以由明文密码、认证模式和SNMP实体引擎ID计算可得。
l 从Agent 1上拷贝配置文件,并在Agent2、Agent3上分别粘贴。
本举例是在COMWAREV500R002B49D001版本上进行配置和验证的。
& 说明:
以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。
# 配置本地SNMP实体引擎ID。
<Agent1> system-view
[Agent1] snmp-agent local-engineid 800063A203000056000000
# 配置SNMPv3组(安全级别为认证加密)。
[Agent1] snmp-agent group v3 v3Group privacy
# 使用SHA算法、结合本地引擎,计算abcd对应的密文密码。
[Agent1] snmp-agent calculate-password abcd mode sha local-engineid
The secret key is: 5496DF6FEB168CF60DEC15479F921F9CC7A15478
# 使用SHA算法、结合本地引擎,计算1234对应的密文密码。
[Agent1] snmp-agent calculate-password 1234 mode sha local-engineid
The secret key is: BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 使用密文方式创建SNMPv3用户v3User(安全级别为认证加密),认证协议为SHA,认证明文密码为abcd,加密协议为DES56,加密明文密码为1234。
[Agent1] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 显示配置后的配置文件
[Agent1] display current-configuration | include snmp-agent
snmp-agent local-engineid 800063A203000056000000
snmp-agent group v3 v3Group privacy
snmp-agent calculate-password abcd mode sha local-engineid
snmp-agent calculate-password 1234 mode sha local-engineid
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 使用<Ctrl+C>快捷键将SNMPv3用户相关配置进行拷贝,即以上显示信息中灰色底纹标识的内容。
# 进入系统视图。
<Agent2> system-view
# 使用<Ctrl+V>快捷键粘贴4.4.1小节里拷贝的配置。
[Agent2] snmp-agent local-engineid 800063A203000056000000
[Agent2] snmp-agent group v3 v3Group privacy
[Agent2] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
[Agent2]
# 进入系统视图。
<Agent3> system-view
# 使用<Ctrl+V>快捷键粘贴4.4.1小节里拷贝的配置。
[Agent3] snmp-agent local-engineid 800063A203000056000000
[Agent3] snmp-agent group v3 v3Group privacy
[Agent3] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
[Agent3]
# 在Agent 1上查看当前SNMPv3用户的配置。
[Agent1] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 在Agent 2上查看当前SNMPv3用户的配置。
[Agent2] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
# 在Agent 3上查看当前SNMPv3用户的配置。
[Agent3] display current-configuration | include v3User
snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767
l RFC2574
l “系统分册”的“SNMP配置”
l “系统分册”的“SNMP命令”
Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
售前咨询
售后咨询
人工在线咨询
