Maison >Opération et maintenance >Sécurité >Comment analyser H3C iMC combiné au protocole SNMPv3 pour gérer les équipements de différents fabricants
Les logiciels de gestion de réseau sont appréciés par de plus en plus de clients, et les fabricants informatiques lancent également activement leur propre logiciel de gestion de réseau. Quant à l'effet d'utilisation et à l'expérience, chacun le ressent par lui-même et tout le monde dans le cercle informatique le sait. Sur la base de mon récent projet d'implémentation, j'ai déployé la plateforme de gestion d'exploitation et de maintenance iMC développée par H3C (on dit qu'elle s'appelle désormais « New H3C »), qui implique des équipements de différents fabricants. Je vais la partager brièvement avec vous.
La plupart des logiciels de gestion de réseau gèrent les périphériques réseau via le protocole SNMP. La question est donc la suivante : SNMP est-il une chose étrange ?
SNMPIntroduction au protocole
SNMP (Simple Network Management Protocol, Simple Network Management Protocol) est un protocole standard de gestion de réseau sur Internet. Il est largement utilisé pour permettre aux appareils de gestion d'accéder et de gérer les appareils gérés.
L'environnement réseau SNMP contient deux éléments : NMS et Agent :
NMS (Network Management Station, système de gestion de réseau) est le gestionnaire du réseau SNMP et peut fournir une interface d'interaction homme-machine conviviale pour permettre aux administrateurs réseau de compléter le réseau. travail de gestion.
Dans l'environnement réseau SNMP, l'agent, en tant qu'objet géré, reçoit et traite les messages de demande du système de gestion de réseau. Lorsque l'état de l'interface change ou que d'autres situations d'urgence se produisent, le programme agent envoie automatiquement des informations d'avertissement au système de gestion du réseau.
SNMPMécanisme de fonctionnement du protocole
NMS gère l'appareil via MIB (Management Information Base) lors de la gestion de l'appareil. La relation hiérarchique entre les nœuds et les attributs des objets sont définis par MIB. Ces attributs incluent les noms d'objets, les droits d'accès et les types de données. Chaque agent possède sa propre MIB. Le NMS peut compiler les fichiers MIB respectifs des appareils gérés pour générer la MIB de l'appareil correspondant. Grâce à l'autorisation d'accès, NMS gère l'agent et effectue les opérations de lecture et d'écriture des nœuds MIB.
SNMP fournit les opérations de base suivantes pour réaliser l'interaction entre NMS et l'agent :
Opération GET : NMS utilise cette opération pour interroger la valeur d'un ou plusieurs nœuds dans la MIB de l'agent.
Opération SET : NMS utilise cette opération pour définir la valeur d'un ou plusieurs nœuds dans l'Agent MIB.
Opération Trap : l'agent utilise cette opération pour envoyer des informations d'alarme au NMS.
SNMPVersion du protocole
Actuellement, l'agent prend en charge trois versions de SNMPv1, SNMPv2c et SNMPv3 :
Le mécanisme d'authentification du nom de communauté est utilisé pour SNMPv1. Le nom de communauté est similaire à un mot de passe et est utilisé pour restreindre l'accès du NMS à l'agent. Si le nom de communauté porté par NMS lors de l'accès au périphérique géré est différent du nom de communauté défini sur le périphérique géré, la connexion SNMP ne peut pas être établie, ce qui entraîne un échec d'accès.
SNMPv2c utilise également le mécanisme d'authentification du nom de groupe. SNMPv2c étend les fonctions de SNMPv1 : en fournissant davantage de types d'opérations ; en prenant en charge davantage de types de données ; en fournissant des codes d'erreur plus riches pour distinguer les erreurs plus en détail.
SNMPv3 adopte le mécanisme d'authentification USM (User-Based Security Model, modèle de sécurité basé sur l'utilisateur). Les administrateurs réseau peuvent configurer des fonctionnalités d'authentification et de cryptage. L'authentification est utilisée pour vérifier la légitimité de l'expéditeur du message afin d'éviter l'accès par des utilisateurs illégaux ; le cryptage consiste à crypter les messages de transmission entre le NMS et l'agent pour éviter les écoutes clandestines. L'activation des fonctions d'authentification et de chiffrement peut améliorer la sécurité des communications entre le NMS et l'agent.
La principale différence entre les trois versions est que les versions V1 et V2C doivent uniquement configurer les mots de la communauté de lecture et d'écriture pour réaliser la gestion des appareils. La version V3 doit configurer l'utilisateur, l'authentification, le cryptage et d'autres facteurs associés. iMC et appareils de différents fabricants, différentes configurations sont données. Configurez le boîtier.
H3CDeviceSNMPv3Configuration
# Configurez l'adresse IP de l'agent et assurez-vous que la route entre l'agent et le NMS (H3C iMC) est accessible.
[Agent] snmp-agent group v3 h4c */v3 fait référence à la version SNMP, h4c est le nom du groupe, qui peut être modifié
# Définissez le nom d'utilisateur utilisé par l'agent vers h4c, algorithme d'authentification C'est MD5, le mot de passe d'authentification est h4c, l'algorithme de cryptage est DES56, le mot de passe de cryptage est h4c
[Agent] snmp-agent usm-user v3 h4ch4cauthentication-modemd5 h4c confidentialité-mode des56 h4c
# Définir le contact de l'appareil
[Agent] snmp-agent sys-info contact h4c
[Agent]snmp-agent sys-infoversion v3
# Configurer l'utilisateur nom pour permettre l'envoi de messages d'interruption à NMS h4c.
[Agent] snmp-agent trap activate
[Agent] snmp-agent target-host trap addressudp-domain 1.1.1.2params securitynameh4cv3privacy */L'adresse est l'adresse du serveur iMC
Configuration Huawei et Équipement H3C La configuration est fondamentalement la même, avec des différences mineures.
CiscoConfiguration du périphérique
switch(config)#snmp-servercommunity
switch(config)#snmp-serveruser
switch(config)#snmp-servergroup
switch(config)#snmp- serverhost x.x.x.xtraps version 3 privé
switch(config)#snmp-serverenable traps
Pour la configuration de ZTE, Lenovo, Maipu et d'autres appareils, veuillez vous référer à Cisco. Il est recommandé de sélectionner l'algorithme de cryptage privé comme des56 lors de la configuration, car les commutateurs Cisco Layer 2 ne prennent pas en charge l'algorithme de cryptage AES128.
H3C iMCConfiguration de la plateforme
Il est recommandé de configurer le modèle SNMPv3 dans la plateforme iMC. Par la suite, il vous suffit de définir les paramètres dans le fichier de configuration SNMPv3 sur le périphérique réseau pour qu'ils correspondent au modèle :
. Configurez les paramètres pertinents
Remplissez le nom du modèle, sélectionnez "SNMPv3 Priv-DesAuth-Md5" pour le type de paramètre, remplissez "h4c" pour le nom d'utilisateur, remplissez "h4c" pour le mot de passe d'authentification et le mot de passe de cryptage , puis cliquez sur OK.
Lors de l'ajout d'un appareil, entrez l'adresse de gestion de l'appareil et sélectionnez le modèle SNMP pour ajouter l'appareil
Une fois l'ajout terminé, vous pouvez afficher et gérer les informations sur l'appareil
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!