SNMPv3 プロトコルと組み合わせた H3C iMC を分析して、さまざまなメーカーの機器を管理する方法

ネットワーク管理ソフトウェアはますます多くの顧客に歓迎されており、ITメーカーも自社のネットワーク管理ソフトウェアを積極的に投入しており、その使用効果や使用感は誰もが実感しており、IT関係者なら誰もが知っています。最近の導入プロジェクトに基づいて、H3C (現在は「New H3C」と呼ばれているそうです) が開発した、さまざまなメーカーの機器を含む iMC 運用保守管理プラットフォームを導入しましたので、簡単に共有します。

ほとんどのネットワーク管理ソフトウェアは、SNMP プロトコルを通じてネットワーク デバイスを管理します。そこで問題は、SNMP は奇妙なものなのでしょうか?

SNMPプロトコルの概要

SNMP (簡易ネットワーク管理プロトコル、Simple Network Management Protocol) は、インターネットの標準ネットワーク管理プロトコルです。は、管理デバイスが管理対象デバイスにアクセスして管理できるようにするために広く使用されています。

SNMP ネットワーク環境には、NMS とエージェントの 2 つの要素が含まれています。

NMS (ネットワーク管理ステーション、ネットワーク管理システム) は、SNMP ネットワークのマネージャーであり、人間とコンピューターのフレンドリーな対話を提供します。ネットワーク管理者がネットワーク管理作業を完了するのに便利です。

SNMP ネットワーク環境では、エージェントは管理オブジェクトとして機能し、ネットワーク管理システムからの要求メッセージを受信して​​処理します。インターフェースのステータスが変化したり、その他の緊急事態が発生した場合、エージェント プログラムは警告情報をネットワーク管理システムに自動的に送信します。

SNMPプロトコル動作メカニズム

NMS がデバイスを管理する場合、MIB (管理情報ベース) を通じてデバイスを管理します。ノード間の階層関係とオブジェクトの属性 (オブジェクト名、アクセス権、データ型など) は MIB によって定義されます。各エージェントには独自の MIB があります。 NMS は、管理対象デバイスのそれぞれの MIB ファイルをコンパイルして、対応するデバイスの MIB を生成できます。アクセス許可を通じて、NMS はエージェントを管理し、MIB ノードの読み取りおよび書き込み操作を完了します。

SNMP は、NMS とエージェント間の対話を実現するために、次の基本操作を提供します。

GET 操作: NMS は、この操作を使用して、エージェント MIB 内の 1 つ以上のノードの値をクエリします。

SET 操作: NMS はこの操作を使用して、エージェント MIB 内の 1 つ以上のノードの値を設定します。

トラップ操作: エージェントはこの操作を使用してアラーム情報を NMS に送信します。

SNMPプロトコル バージョン

現在、エージェントは SNMPv1、SNMPv2c、および SNMPv3 の 3 つのバージョンをサポートしています:

コミュニティ名) 認証メカニズムSNMPv1に使用されます。コミュニティ名はパスワードに似ており、NMS のエージェントへのアクセスを制限するために使用されます。管理対象装置にアクセスするときに NMS が保持するコミュニティ名が、管理対象装置に設定されているコミュニティ名と異なる場合、SNMP 接続を確立できず、アクセスが失敗します。

SNMPv2c はコミュニティ名認証メカニズムも使用します。 SNMPv2c は SNMPv1 の機能を拡張し、より多くの操作タイプを提供し、より多くのデータ タイプをサポートし、エラーをより詳細に区別するためのより豊富なエラー コードを提供します。

SNMPv3はUSM(User-Based Security Model、ユーザーベースのセキュリティモデル)認証機構を採用しています。ネットワーク管理者は、認証および暗号化機能を設定できます。認証は、不正なユーザーによるアクセスを避けるためにメッセージ送信者の正当性を検証するために使用され、暗号化は盗聴を避けるために NMS とエージェント間の送信メッセージを暗号化するために使用されます。認証および暗号化機能を有効にすると、NMS とエージェント間の通信のセキュリティを強化できます。

3 つのバージョンの主な違いは、V1 バージョンと V2C バージョンでは、デバイス管理を実現するために読み取りおよび書き込みコミュニティ ワードを構成するだけでよいことです。V3 バージョンでは、関連するユーザー、認証、暗号化などの要素を構成する必要があることです。 、H3C iMC およびさまざまなメーカーの機器と組み合わせた、さまざまな構成例が示されています。

H3CデバイスSNMPv3構成

# エージェントの IP アドレスを構成し、エージェントが NMS (H3C iMC) へのルートに到達可能であること。

system-view

[Agent] snmp-agent group v3 h4c */v3 は SNMP バージョンを指し、h4c はグループ名であり、変更される可能性があります

# エージェントが使用するユーザー名を h4c に、認証アルゴリズムを MD5 に、認証パスワードを h4c に、暗号化アルゴリズムを DES56 に、暗号化パスワードを h4c

[エージェント] snmp-agent usm-user v3 h4ch4cauthentication-modemd5 h4c プライバシー モード des56 h4c

# デバイスの連絡先を設定します

[エージェント] snmp-agent sys-info contact h4c

[Agent]snmp-agent sys-infoversion v3

#トラップ メッセージを NMS に送信できるように設定します。使用されるユーザー名は h4c です。

[エージェント] snmp-agent トラップ有効化

[エージェント] snmp-agent ターゲットホストトラップアドレス udp-domain 1.1.1.2params securitynameh4cv3privacy */アドレスは IMC サーバーのアドレスです

Huawei の構成は基本的に H3C デバイスの構成と同じですが、若干の違いがあります。

Ciscoデバイス構成

switch(config)#snmp-servercommunity RO/RW

switch(config)#snmp-serveruser v3 authen md5 priva des56 <秘密のパスワード>

switch(config)#snmp-servergroup <グループ名>v3authen/priva

switch(config)#snmp -serverhost x.x.x.xtraps バージョン 3 プライベート <ユーザー名>

switch(config)#snmp-serverenable Traps

ZTE、Lenovo、Maipu、およびその他のデバイスの構成については、Cisco を参照してください。Cisco レイヤ 2 スイッチは AES128 暗号化アルゴリズムをサポートしていないため、構成中にプライベート暗号化アルゴリズムとして des56 を選択することをお勧めします。

H3C iMCプラットフォーム構成

iMC プラットフォームで SNMPv3 テンプレートを構成することをお勧めします。その後はパラメーターを設定するだけです。ネットワーク デバイス上の SNMPv3 構成ファイルで、テンプレートと一致するように設定するだけです:

関連パラメータを設定します

テンプレート名を入力し、「SNMPv3 Priv-DesAuth-Md5」を選択しますパラメータの種類に「」を入力し、ユーザー名に「h4c」を入力して認証します。パスワードと暗号化パスワードに「h4c」を入力して、「OK」をクリックします。

デバイスを追加する場合、デバイス管理アドレスを入力し、SNMP テンプレートを選択してデバイスを追加します。

追加が完了すると、デバイス情報を表示および管理できるようになります

以上がSNMPv3 プロトコルと組み合わせた H3C iMC を分析して、さまざまなメーカーの機器を管理する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。