组网需求
数据规划
| 项目 | 数据 | 说明 | |
|---|---|---|---|
| DeviceA | 接口 | 接口号:10GE0/0/1 IP地址:1.1.1.1/24 安全区域:Untrust | 连接外网的接口。 假设此接口连接Internet的下一跳地址为1.1.1.2。 |
| 接口号:10GE0/0/2 IP地址:10.2.0.1/24 安全区域:DMZ | 与eSight服务器通信的接口。 | ||
| 接口号:10GE0/0/3 IP地址:10.3.0.1/24 安全区域:Trust | 连接企业内部网络的接口。 | ||
| SNMP参数 | 用户名:V3user SNMP协议版本:v3 认证协议:HMAC-SHA2-256 认证密码:Admin@123 加密协议:AES128 加密密码:Admin@1234 | DeviceA和eSight的SNMP参数保持一致。 | |
| eSight | IP地址 | 10.2.0.10/24 | 集中式部署在DMZ区域。 |
| SNMP参数 | 用户名:V3user 参数类型:v3 鉴权协议:HMAC-SHA2-256 认证密码:Admin@123 私有协议:AES128 加密密码:Admin@1234 | eSight的SNMP参数和DeviceA保持一致。 | |
配置思路
-
使DeviceA与eSight之间能够互通,配置DeviceA接口的IP地址、将接口加入安全区域、并配置接口访问管理功能允许SNMP协议通过。
如果不使用接口访问管理功能,需要配置相关安全策略。关闭接口访问管理前需要为远程管理协议配置相关安全策略,以免出现无法远程管理DeviceA的情况。
-
使eSight能够管理DeviceA并接收DeviceA的告警,配置DeviceA的SNMP参数和Trap告警功能,在eSight上配置与DeviceA一致的SNMP参数并添加DeviceA。 DeviceA向eSight发送告警时,还需要配置相关安全策略。
本举例主要关注DeviceA与eSight对接部分的配置,其余配置略。请注意在实际环境中配置相应的路由以保证设备之间的路由可达。eSight网管侧其他的配置请参见对应的手册。
DeviceA和eSight的系统时间和时区请确认保持一致。
操作步骤
- 配置DeviceA。
- 配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。
# 配置接口10GE0/0/1的IP地址。
<span style="color:#333333"><span style="background-color:#dddddd"><HUAWEI> <strong>system-view</strong> [HUAWEI] <strong>sysname DeviceA</strong> [DeviceA] <strong>interface 10ge 0/0/1 </strong> [DeviceA-10GE0/0/1] <strong>ip address 1.1.1.1 24</strong> [DeviceA-10GE0/0/1] <strong>quit</strong></span></span># 配置接口10GE0/0/2的IP地址并配置接口访问管理。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/2</strong> [DeviceA-10GE0/0/2] <strong>ip address 10.2.0.1 24</strong> [DeviceA-10GE0/0/2] <strong>service-manage enable</strong> [DeviceA-10GE0/0/2] <strong>service-manage snmp permit</strong> [DeviceA-10GE0/0/2] <strong>quit</strong></span></span># 配置接口10GE0/0/3的IP地址。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/3</strong> [DeviceA-10GE0/0/3] <strong>ip address 10.3.0.1 24</strong> [DeviceA-10GE0/0/3] <strong>quit</strong></span></span># 将接口10GE0/0/1加入Untrust区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone untrust</strong> [DeviceA-zone-untrust] <strong>add interface 10ge 0/0/1</strong> [DeviceA-zone-untrust] <strong>quit</strong></span></span># 将接口10GE0/0/2加入DMZ区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone dmz</strong> [DeviceA-zone-dmz] <strong>add interface 10ge 0/0/2</strong> [DeviceA-zone-dmz] <strong>quit</strong></span></span># 将接口10GE0/0/3加入Trust区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone trust</strong> [DeviceA-zone-trust] <strong>add interface 10ge 0/0/3</strong> [DeviceA-zone-trust] <strong>quit</strong></span></span> - 配置安全策略。
# 在Trust和Untrust域间配置安全策略。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA-policy-security] <strong>rule name trust_untrust_outbound</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>source-zone trust</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>destination-zone untrust</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>source-address 10.3.0.0 mask 255.255.255.0</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>action permit</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>quit</strong></span></span># 在Local和DMZ域间配置安全策略。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA-policy-security] <strong>rule name local_dmz</strong> [DeviceA-policy-security-local_dmz] <strong>source-zone local</strong> [DeviceA-policy-security-local_dmz] <strong>destination-zone </strong><strong>dmz</strong> [DeviceA-policy-security-local_dmz] <strong>source-address 10.2.0.1 </strong> [DeviceA-policy-security-local_dmz] <strong>action permit</strong> [DeviceA-policy-security-local_dmz] <strong>quit</strong></span></span> - 配置路由。
# 配置缺省路由到连接Internet的下一跳地址。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>ip route-static 0.0.0.0 0.0.0.0 1.1.1.2</strong></span></span> - 配置DeviceA的SNMP参数,并配置将DeviceA产生的告警发送到eSight。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>snmp-agent sys-info version v3</strong> [DeviceA] <strong>snmp-agent mib-view include iso iso</strong> [DeviceA] <strong>snmp-agent group v3 v3group privacy</strong> [DeviceA] <strong>snmp-agent usm-user v3 V3user authentication-mode </strong><strong>SHA2-256</strong> Please configure the authentication password (8-255) Enter Password: Confirm Password: [DeviceA] <strong>snmp-agent usm-user v3 V3user privacy-mode aes128</strong> Please configure the privacy password (8-255) Enter Password: Confirm Password: [DeviceA] <strong>snmp-agent usm-user v3 V3user group v3group</strong> [DeviceA] <strong>snmp-agent group v3 v3group privacy</strong> <strong>write-view iso notify-view iso</strong> [DeviceA] <strong>snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname V3user v3 privacy private-netmanager</strong> [DeviceA] <strong>snmp-agent trap enable</strong></span></span>本文以配置snmp-agent mib-view include iso iso命令为例,可以查看iso节点下的所有告警,请根据自己的实际需求去配置要包含的oid节点或节点名称。
- 指定SNMP协议接收和响应网管请求报文的源接口。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA]<strong> snmp-agent protocol source-interface </strong><strong>10ge 0/0/2</strong> [DeviceA]<strong> snmp-agent</strong> <strong>trap</strong> <strong>source </strong><strong>10ge 0/0/2</strong></span></span>
- 配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。
- 配置eSight。
- 创建SNMP协议模板。
- 选择“资源 > 公共 > 资源添加 > 协议模板 > SNMP协议模板”。
- 单击“SNMP协议模板”页签下“创建”,按如下参数新建SNMP协议模板。
模板名称
snmpv3_template
参数类型
V3
鉴权协议
HMAC-SHA2-256
认证密码
Admin@123
私有协议
AES_128
加密密码
Admin@1234
用户名
V3user
端口
161
超时时间(秒)
3
重试次数
3
eSight侧的用户名、鉴权协议的认证密码、私有协议的加密密码分别和DeviceA侧的安全用户名、认证密码、加密密码保持一致。
- 将DeviceA添加到eSight中。
- 选择“资源 > 公共 > 资源添加 > 单个添加”。
- 在“发现协议”中选择“SNMP协议”。
- 在“IP地址”中输入DeviceA与eSight对接的IP地址10.2.0.1。
- 单击“SNMP协议”中的“手动选择SNMP参数模板”,选择步骤1创建的协议模板“snmpv3_template”添加设备。
- 单击“确定”。
- 创建SNMP协议模板。
检查配置结果
- 验证eSight中是否能接收告警信息。
-
将物理链路状态为Up的接口状态配置为Down。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/4</strong> [DeviceA-10GE0/0/4] <strong>shutdown</strong></span></span> - 在eSight中选择“告警 > 当前告警”,可以查看到相应的告警信息。
-
配置脚本
<span style="color:#333333"><span style="background-color:#dddddd">#
sysname DeviceA
#
interface 10GE0/0/1 undo shutdown ip address 1.1.1.1 255.255.255.0
#
interface 10GE0/0/2 undo shutdown ip address 10.2.0.1 255.255.255.0 service-manage enableservice-manage snmp permit
#
interface 10GE0/0/3 undo shutdown ip address 10.3.0.1 255.255.255.0
#
firewall zone untrust set priority 5add interface 10GE0/0/1
#
firewall zone dmz set priority 50add interface 10GE0/0/2
#
firewall zone trust set priority 85add interface 10GE0/0/3
#
security-policyrule name trust_untrust_outboundsource-zone trustdestination-zone Untrustsource-address 10.3.0.0 mask 255.255.255.0action permit rule name local_dmzsource-zone localdestination-zone dmzsource-address 10.2.0.1action permit
# ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 # snmp-agent snmp-agent local-engineid 000007DB7FFFFFFF000077D0 snmp-agent sys-info version v3 snmp-agent mib-view include iso isosnmp-agent group v3 v3group privacy snmp-agent group v3 v3group privacy write-view iso notify-view iso
snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname %$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager snmp-agent usm-user v3 V3user authentication-mode sha2-256 cipher %+%#]lck/kEvSA'=g^WsIwEI~rf&=qHpDEhhB\3Dmt1(%+%#snmp-agent usm-user v3 V3user privacy-mode aes128 cipher %+%#Ow4n$dQvbD:^-Asnmp-agent usm-user v3 V3user group v3groupsnmp-agent trap enable
#snmp-agent protocol source-interface 10GE0/0/2snmp-agent trap source 10GE0/0/2
#
return</span></span>
