组网需求
数据规划
项目 |
数据 |
说明 |
|
---|---|---|---|
DeviceA |
接口 |
接口号:10GE0/0/1 IP地址:1.1.1.1/24 安全区域:Untrust |
连接外网的接口。 假设此接口连接Internet的下一跳地址为1.1.1.2。 |
接口号:10GE0/0/2 IP地址:10.2.0.1/24 安全区域:DMZ |
与eSight服务器通信的接口。 |
||
接口号:10GE0/0/3 IP地址:10.3.0.1/24 安全区域:Trust |
连接企业内部网络的接口。 |
||
SNMP参数 |
用户名:V3user SNMP协议版本:v3 认证协议:HMAC-SHA2-256 认证密码:Admin@123 加密协议:AES128 加密密码:Admin@1234 |
DeviceA和eSight的SNMP参数保持一致。 |
|
eSight |
IP地址 |
10.2.0.10/24 |
集中式部署在DMZ区域。 |
SNMP参数 |
用户名:V3user 参数类型:v3 鉴权协议:HMAC-SHA2-256 认证密码:Admin@123 私有协议:AES128 加密密码:Admin@1234 |
eSight的SNMP参数和DeviceA保持一致。 |
配置思路
使DeviceA与eSight之间能够互通,配置DeviceA接口的IP地址、将接口加入安全区域、并配置接口访问管理功能允许SNMP协议通过。
如果不使用接口访问管理功能,需要配置相关安全策略。关闭接口访问管理前需要为远程管理协议配置相关安全策略,以免出现无法远程管理DeviceA的情况。
使eSight能够管理DeviceA并接收DeviceA的告警,配置DeviceA的SNMP参数和Trap告警功能,在eSight上配置与DeviceA一致的SNMP参数并添加DeviceA。 DeviceA向eSight发送告警时,还需要配置相关安全策略。
本举例主要关注DeviceA与eSight对接部分的配置,其余配置略。请注意在实际环境中配置相应的路由以保证设备之间的路由可达。eSight网管侧其他的配置请参见对应的手册。
DeviceA和eSight的系统时间和时区请确认保持一致。
操作步骤
- 配置DeviceA。
- 配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。
# 配置接口10GE0/0/1的IP地址。
<span style="color:#333333"><span style="background-color:#dddddd"><HUAWEI> <strong>system-view</strong> [HUAWEI] <strong>sysname DeviceA</strong> [DeviceA] <strong>interface 10ge 0/0/1 </strong> [DeviceA-10GE0/0/1] <strong>ip address 1.1.1.1 24</strong> [DeviceA-10GE0/0/1] <strong>quit</strong></span></span>
# 配置接口10GE0/0/2的IP地址并配置接口访问管理。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/2</strong> [DeviceA-10GE0/0/2] <strong>ip address 10.2.0.1 24</strong> [DeviceA-10GE0/0/2] <strong>service-manage enable</strong> [DeviceA-10GE0/0/2] <strong>service-manage snmp permit</strong> [DeviceA-10GE0/0/2] <strong>quit</strong></span></span>
# 配置接口10GE0/0/3的IP地址。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/3</strong> [DeviceA-10GE0/0/3] <strong>ip address 10.3.0.1 24</strong> [DeviceA-10GE0/0/3] <strong>quit</strong></span></span>
# 将接口10GE0/0/1加入Untrust区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone untrust</strong> [DeviceA-zone-untrust] <strong>add interface 10ge 0/0/1</strong> [DeviceA-zone-untrust] <strong>quit</strong></span></span>
# 将接口10GE0/0/2加入DMZ区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone dmz</strong> [DeviceA-zone-dmz] <strong>add interface 10ge 0/0/2</strong> [DeviceA-zone-dmz] <strong>quit</strong></span></span>
# 将接口10GE0/0/3加入Trust区域。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>firewall zone trust</strong> [DeviceA-zone-trust] <strong>add interface 10ge 0/0/3</strong> [DeviceA-zone-trust] <strong>quit</strong></span></span>
- 配置安全策略。
# 在Trust和Untrust域间配置安全策略。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA-policy-security] <strong>rule name trust_untrust_outbound</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>source-zone trust</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>destination-zone untrust</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>source-address 10.3.0.0 mask 255.255.255.0</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>action permit</strong> [DeviceA-policy-security-trust_untrust_outbound] <strong>quit</strong></span></span>
# 在Local和DMZ域间配置安全策略。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA-policy-security] <strong>rule name local_dmz</strong> [DeviceA-policy-security-local_dmz] <strong>source-zone local</strong> [DeviceA-policy-security-local_dmz] <strong>destination-zone </strong><strong>dmz</strong> [DeviceA-policy-security-local_dmz] <strong>source-address 10.2.0.1 </strong> [DeviceA-policy-security-local_dmz] <strong>action permit</strong> [DeviceA-policy-security-local_dmz] <strong>quit</strong></span></span>
- 配置路由。
# 配置缺省路由到连接Internet的下一跳地址。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>ip route-static 0.0.0.0 0.0.0.0 1.1.1.2</strong></span></span>
- 配置DeviceA的SNMP参数,并配置将DeviceA产生的告警发送到eSight。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>snmp-agent sys-info version v3</strong> [DeviceA] <strong>snmp-agent mib-view include iso iso</strong> [DeviceA] <strong>snmp-agent group v3 v3group privacy</strong> [DeviceA] <strong>snmp-agent usm-user v3 V3user authentication-mode </strong><strong>SHA2-256</strong> Please configure the authentication password (8-255) Enter Password: Confirm Password: [DeviceA] <strong>snmp-agent usm-user v3 V3user privacy-mode aes128</strong> Please configure the privacy password (8-255) Enter Password: Confirm Password: [DeviceA] <strong>snmp-agent usm-user v3 V3user group v3group</strong> [DeviceA] <strong>snmp-agent group v3 v3group privacy</strong> <strong>write-view iso notify-view iso</strong> [DeviceA] <strong>snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname V3user v3 privacy private-netmanager</strong> [DeviceA] <strong>snmp-agent trap enable</strong></span></span>
本文以配置snmp-agent mib-view include iso iso命令为例,可以查看iso节点下的所有告警,请根据自己的实际需求去配置要包含的oid节点或节点名称。
- 指定SNMP协议接收和响应网管请求报文的源接口。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA]<strong> snmp-agent protocol source-interface </strong><strong>10ge 0/0/2</strong> [DeviceA]<strong> snmp-agent</strong> <strong>trap</strong> <strong>source </strong><strong>10ge 0/0/2</strong></span></span>
- 配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。
- 配置eSight。
- 创建SNMP协议模板。
- 选择“资源 > 公共 > 资源添加 > 协议模板 > SNMP协议模板”。
- 单击“SNMP协议模板”页签下“创建”,按如下参数新建SNMP协议模板。
模板名称
snmpv3_template
参数类型
V3
鉴权协议
HMAC-SHA2-256
认证密码
Admin@123
私有协议
AES_128
加密密码
Admin@1234
用户名
V3user
端口
161
超时时间(秒)
3
重试次数
3
eSight侧的用户名、鉴权协议的认证密码、私有协议的加密密码分别和DeviceA侧的安全用户名、认证密码、加密密码保持一致。
- 将DeviceA添加到eSight中。
- 选择“资源 > 公共 > 资源添加 > 单个添加”。
- 在“发现协议”中选择“SNMP协议”。
- 在“IP地址”中输入DeviceA与eSight对接的IP地址10.2.0.1。
- 单击“SNMP协议”中的“手动选择SNMP参数模板”,选择步骤1创建的协议模板“snmpv3_template”添加设备。
- 单击“确定”。
- 创建SNMP协议模板。
检查配置结果
- 验证eSight中是否能接收告警信息。
将物理链路状态为Up的接口状态配置为Down。
<span style="color:#333333"><span style="background-color:#dddddd">[DeviceA] <strong>interface 10ge 0/0/4</strong> [DeviceA-10GE0/0/4] <strong>shutdown</strong></span></span>
- 在eSight中选择“告警 > 当前告警”,可以查看到相应的告警信息。
配置脚本
<span style="color:#333333"><span style="background-color:#dddddd">#
sysname DeviceA
#
interface 10GE0/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface 10GE0/0/2
undo shutdown
ip address 10.2.0.1 255.255.255.0
service-manage enable
service-manage snmp permit
#
interface 10GE0/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface 10GE0/0/1
#
firewall zone dmz
set priority 50
add interface 10GE0/0/2
#
firewall zone trust
set priority 85
add interface 10GE0/0/3
#
security-policy
rule name trust_untrust_outbound
source-zone trust
destination-zone Untrust
source-address 10.3.0.0 mask 255.255.255.0
action permit
rule name local_dmz
source-zone local
destination-zone dmz
source-address 10.2.0.1
action permit
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
snmp-agent
snmp-agent local-engineid 000007DB7FFFFFFF000077D0
snmp-agent sys-info version v3
snmp-agent mib-view include iso iso
snmp-agent group v3 v3group privacy
snmp-agent group v3 v3group privacy write-view iso notify-view iso
snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname %
$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager
snmp-agent usm-user v3 V3user authentication-mode sha2-256 cipher %+%#]lck/kEvSA'=g^
WsIwEI~rf&=qHpDEhhB\3Dmt1(%+%#
snmp-agent usm-user v3 V3user privacy-mode aes128 cipher %+%#Ow4n$dQvbD:^-A
snmp-agent usm-user v3 V3user group v3group
snmp-agent trap enable
#
snmp-agent protocol source-interface 10GE0/0/2
snmp-agent trap source 10GE0/0/2
#
return</span></span>