• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

SNMPv3用户拷贝粘贴典型配置举例

关键词:SNMP、拷贝、粘贴

  要:NMS采用SNMPv3协议对多台设备(Agent)进行管理时,需要在设备上配置SNMPv3组、用户、用户的认证算法/加密算法和认证密码/加密密码。为了避免在多台设备上重复相同的配置操作,可以先在一台设备上创建SNMPv3用户,再使用SNMPv3用户拷贝/粘贴特性在其他设备上快速地创建相同的用户。本文将结合具体的示例,给出SNMPv3用户拷贝/粘贴的配置步骤。

缩略语

缩略语

英文全名

中文解释

AES

Advanced Encryption Standard

高级加密标准

DES

Data Encryption Standard

数据加密标准

MD5

Message Digest 5

MD5算法

NMS

Network Management Station

网络管理站

SNMP

Simple Network Management Protocol

简单网络管理协议

 



特性简介

在设备上创建SNMPv3用户时,认证密码/加密密码有两种输入方式:

l              明文方式:在创建SNMPv3用户时输入的参数是明文形式(比如123),为了安全起见,系统在执行命令时,会将明文密码经过加密处理后存储在设备缓存中,当用户使用命令查看当前有效配置时,看到的不再是配置时的参数而是参数对应的密文形式(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18)。

l              密文方式:先通过别的途径将明文密码加密成密文密码(设备提供了专门的命令行实现该功能),在创建SNMPv3用户时输入密文密码(比如ED68BDD3A0AC7A5E459F6EB3D4B35B18),系统执行命令时,不再对该参数进行加密处理,当用户使用命令查看当前有效配置时,看到的就是配置时的参数(还是ED68BDD3A0AC7A5E459F6EB3D4B35B18)。

简而言之,明文方式是在创建用户时进行加密,输入的参数是明文密码;密文方式是在创建用户前完成了加密,输入的参数是密文密码。在实际应用中,

l              如果将明文方式的SNMPv3用户配置进行拷贝、粘贴(即再次执行),由于密码的输入方式还是明文方式,因此,这个密码会被当成明文密码,再次被加密。比如:原配置用户名为A、明文密码为B,拷贝和粘贴后等效于用户名为A、明文密码为C。明文方式的SNMPv3用户配置拷贝、粘贴后用户名不变,但对应的明文密码已经改变。

l              如果将密文方式的SNMPv3用户配置进行拷贝、粘贴(即再次执行),由于密码的输入方式还是密文方式,因此,这个密文密码不会被再次加密。比如:原配置用户名为A、明文密码为B,拷贝和粘贴后用户名仍为A、明文密码仍为B。密文方式的SNMPv3用户配置拷贝、粘贴后用户名和对应的明文密码均不变。

因此,如果需要将SNMPv3用户配置进行拷贝/粘贴,认证密码/加密密码的输入方式请使用密文方式。

&  说明:

l      由于NMS在访问设备时,必须输入明文密码,因此如果采用密文方式配置SNMPv3用户,则管理员必须清楚密文方式配置的用户密码所对应的明文形式。

l      请使用配置终端的“复制/粘贴”功能来完成SNMPv3用户配置的拷贝/粘贴,比如使用<Ctrl+C><Ctrl+V>快捷键,但具体方式由配置终端的类型决定。本文使用的是支持<Ctrl+C><Ctrl+V>快捷键方式的配置终端。

 

应用场合

当两台设备的本地SNMP实体引擎ID相同时,用户可以直接将一台设备上密文方式的SNMPv3用户配置拷贝、粘贴到另一台设备上执行,这样在另一台设备上将使用相同的参数(主要是相同的密码)创建相同的用户,方便对网络设备进行批量配置。

注意事项

l              密文方式配置时,其密文密码参数可以用命令snmp-agent calculate-password获得。要使计算所得的密文密码能够用于snmp-agent usm-user v3 cipher命令且等效,必须保证两个命令使用的加密算法相同,而且执行snmp-agent usm-user v3 cipher命令时设备的本地SNMP实体引擎IDsnmp-agent calculate-password命令中指定的SNMP实体引擎ID一致。

l              SNMPv3用户配置拷贝、粘贴时,必须保证A设备上创建用户时的本地SNMP实体引擎IDB设备上创建用户时的本地SNMP实体引擎ID相同。设备出厂的时候都会有各自的本地SNMP实体引擎ID,要使两个设备的一样,需要通过snmp-agent local-engineid命令来修改。

l              用户创建后是否有效,与设备本地SNMP实体引擎ID有关。如果用户创建时的引擎ID和当前的引擎ID不同,则当前该用户将被认为是非法用户,NMS使用该用户名和密码访问设备时,不能通过认证。

配置举例

4.1  组网需求

l              网络中有两台设备:NMSAgent 1NMS监控管理Agent 1NMSAgent 1互相访问的用户名为v3User,认证协议为SHA,认证明文密码为abcd,加密协议为DES56,加密明文密码为1234

l              由于网络扩容,增加了两台设备Agent 2Agent 3Agent 2Agent 3Agent 1同型号。为了减小网络管理的负担,NMS访问Agent 2Agent 3的用户名、认证方式/密码、加密方式/密码均与Agent 1相同。请以最简洁、快速的方式实现NMSAgent 2Agent 3的监控管理。

图1  SNMPv3用户拷贝/粘贴典型配置举例组网图

4.2  配置思路

通过在Agent 1上创建用户,在其他Agent上执行拷贝、粘贴操作,就可简洁快速地实现NMS对所有Agent的管理。

l              Agent 1上以密文方式创建SNMPv3用户v3User。其中,配置所用的密文密码可以由明文密码、认证模式和SNMP实体引擎ID计算可得。

l              Agent 1上拷贝配置文件,并在Agent2Agent3上分别粘贴。

4.3  使用版本

本举例是COMWAREV500R002B49D001本上进行配置和验证的。

4.4  配置步骤

&  说明:

以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。

 

4.4.1  Agent 1的配置

1. 配置步骤

(1)        以密文方式创建SNMPv3用户v3User

# 配置本地SNMP实体引擎ID

<Agent1> system-view

[Agent1] snmp-agent local-engineid 800063A203000056000000

# 配置SNMPv3组(安全级别为认证加密)。

[Agent1] snmp-agent group v3 v3Group privacy

# 使用SHA算法、结合本地引擎,计算abcd对应的密文密码。

[Agent1] snmp-agent calculate-password abcd mode sha local-engineid

The secret key is: 5496DF6FEB168CF60DEC15479F921F9CC7A15478

# 使用SHA算法、结合本地引擎,计算1234对应的密文密码。

[Agent1] snmp-agent calculate-password 1234 mode sha local-engineid

The secret key is: BCC979BC3FB858A7A98B2AB79D163FA5D3918767

# 使用密文方式创建SNMPv3用户v3User(安全级别为认证加密),认证协议为SHA,认证明文密码为abcd,加密协议为DES56,加密明文密码为1234

[Agent1] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

(2)        拷贝SNMPv3用户配置。

# 显示配置后的配置文件

[Agent1] display current-configuration | include snmp-agent

snmp-agent local-engineid 800063A203000056000000

snmp-agent group v3 v3Group privacy

snmp-agent calculate-password abcd mode sha local-engineid

snmp-agent calculate-password 1234 mode sha local-engineid

snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

# 使用<Ctrl+C>快捷键将SNMPv3用户相关配置进行拷贝,即以上显示信息中灰色底纹标识的内容。

4.4.2  Agent 2Agent 3的配置

1. Agent 2的配置步骤

# 进入系统视图。

<Agent2> system-view

# 使用<Ctrl+V>快捷键粘贴4.4.1小节里拷贝的配置。

[Agent2] snmp-agent local-engineid 800063A203000056000000

[Agent2] snmp-agent group v3 v3Group privacy

[Agent2] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

[Agent2]

2. Agent 3的配置步骤

# 进入系统视图。

<Agent3> system-view

# 使用<Ctrl+V>快捷键粘贴4.4.1小节里拷贝的配置。

[Agent3] snmp-agent local-engineid 800063A203000056000000

[Agent3] snmp-agent group v3 v3Group privacy

[Agent3] snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

[Agent3]

4.4.3  验证结果

(1)        分别在Agent 1Agent 2Agent 3上查看当前SNMPv3用户的配置,显示的用户名和密码应该一致。

# Agent 1上查看当前SNMPv3用户的配置。

[Agent1] display current-configuration | include v3User

snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

# Agent 2上查看当前SNMPv3用户的配置。

[Agent2] display current-configuration | include v3User

snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

# Agent 3上查看当前SNMPv3用户的配置。

[Agent3] display current-configuration | include v3User

snmp-agent usm-user v3 v3User v3Group cipher authentication-mode sha 5496DF6FEB168CF60DEC15479F921F9CC7A15478 privacy-mode des56 BCC979BC3FB858A7A98B2AB79D163FA5D3918767

(2)        NMS上使用SNMPv3版本、用户名v3User、认证算法SHA、认证密码abcd、加密算法DES、加密密码1234,可以访问Agent 1Agent 2Agent 3

相关资料

5.1  相关协议和标准

l              RFC2574

5.2  其它相关资料

l              “系统分册”的“SNMP配置”

l              “系统分册”的“SNMP命令”

 

 

 

 

 

Copyright ©2008 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

新华三官网
联系我们