公司动态

H3C交换机SNMP网管识别配置实例

📅 2026/7/19 18:12:38
H3C交换机SNMP网管识别配置实例
这是“H3C交换机中小企业运维实战”专栏的第 8 篇。交换机完成 SSH 远程管理后下一步通常是接入公司的网管系统让平台读取设备名称、型号、运行时间和端口状态。本文以 H3C S5570S 和 Comware V7 为例配置只读 SNMPv3 用户、认证与加密、设备识别信息以及 IPv4/IPv6 来源 ACL。文中的地址、账号、密码、ACL 编号和设备位置都是示例实际使用时必须按现场规划替换。一、为什么使用 SNMPv3SNMPv1 和 SNMPv2c 主要依靠团体名验证安全性较低。新接入的网管设备建议使用 SNMPv3并同时满足下面三个条件使用身份认证和数据加密网管账号只有读取权限不允许修改交换机配置通过 IPv4/IPv6 ACL 只允许指定网管服务器访问。本文示例项目示例值交换机HQ-Access-01网管服务器 IPv4192.168.100.20网管服务器 IPv62001:db8:100::20SNMPv3 用户nms_hq01SNMPv3 组NMS_ReadOnlyIPv4 ACL2010IPv6 ACL2011SNMP 端口161/UDP二、配置前检查# 查看设备版本并检查到网管服务器的双栈路径。 HQ-Access-01 display version HQ-Access-01 ping 192.168.100.20 HQ-Access-01 ping ipv6 2001:db8:100::20 # 查看现有 SNMP 版本、组、用户和团体名。 HQ-Access-01 display snmp-agent sys-info HQ-Access-01 display snmp-agent group HQ-Access-01 display snmp-agent usm-user HQ-Access-01 display snmp-agent community # 确认 ACL 2010、2011 没有被其他业务占用。 HQ-Access-01 display acl 2010 HQ-Access-01 display acl ipv6 2011如果现有网管仍在使用 SNMPv1 或 SNMPv2c应先在平台配置 SNMPv3 并完成采集测试再停用旧版本。直接删除旧团体名可能导致现有监控全部中断。三、配置设备识别信息代码块中以#开头的是说明不需要输入交换机。HQ-Access-01 system-view # 配置机房和机柜位置便于网管平台定位设备。 [HQ-Access-01] snmp-agent sys-info location HQ_3F_Network_Room_Rack_A03 # 配置维护团队联系方式不建议填写私人信息。 [HQ-Access-01] snmp-agent sys-info contact Network_Team_Ext_8001 [HQ-Access-01] return设备名称来自交换机当前的sysname。位置和联系人应与资产表一致不能只写“机房”这种无法准确定位的描述。四、限制网管服务器来源先创建 IPv4 和 IPv6 基本 ACL只允许指定网管服务器访问。HQ-Access-01 system-view # IPv4 ACL 只允许 192.168.100.20。 [HQ-Access-01] acl basic 2010 [HQ-Access-01-acl-ipv4-basic-2010] description Permit_IPv4_SNMP_NMS [HQ-Access-01-acl-ipv4-basic-2010] rule 5 permit source 192.168.100.20 0 [HQ-Access-01-acl-ipv4-basic-2010] rule 100 deny source any [HQ-Access-01-acl-ipv4-basic-2010] quit # IPv6 ACL 只允许 2001:db8:100::20。 [HQ-Access-01] acl ipv6 basic 2011 [HQ-Access-01-acl-ipv6-basic-2011] description Permit_IPv6_SNMP_NMS [HQ-Access-01-acl-ipv6-basic-2011] rule 5 permit source 2001:db8:100::20 128 [HQ-Access-01-acl-ipv6-basic-2011] rule 100 deny source any [HQ-Access-01-acl-ipv6-basic-2011] quit [HQ-Access-01] return # 应用前检查允许地址和 permit、deny 动作。 HQ-Access-01 display acl 2010 HQ-Access-01 display acl ipv6 2011五、创建只读 SNMPv3 用户下面使用privacy安全级别表示同时进行身份认证和数据加密。组没有配置写视图因此网管用户只能读取信息。HQ-Access-01 system-view # 创建要求认证和加密的只读 SNMPv3 组。 [HQ-Access-01] snmp-agent group v3 NMS_ReadOnly privacy # 下一条是一整条命令不能在中间回车。 # 使用 SHA 认证和 AES128 加密并绑定 IPv4/IPv6 ACL。 # 两个密码均为占位符必须替换且不能使用相同密码。 [HQ-Access-01] snmp-agent usm-user v3 nms_hq01 NMS_ReadOnly simple authentication-mode sha AuthPassword_Replace_Before_Input privacy-mode aes128 PrivPassword_Replace_Before_Input acl 2010 acl ipv6 2011 # 只启用 SNMPv3然后开启 SNMP Agent。 [HQ-Access-01] snmp-agent sys-info version v3 [HQ-Access-01] snmp-agent [HQ-Access-01] return认证密码和加密密码应分别保存到公司的密码管理工具中不能写入文章、普通聊天记录或工单截图。六、在网管平台添加设备网管平台中填写网管参数示例值SNMP 版本SNMPv3安全级别authPriv用户名nms_hq01认证算法SHA加密算法AES128或AES端口161/UDP版本、用户名、认证算法、加密算法和两个密码必须与交换机一致。保存后执行“测试凭据”或“立即采集”确认平台能够读取设备名称和型号系统运行时间端口列表和端口状态设备位置和维护联系人。七、验证来源限制在交换机上检查# 核对 SNMPv3 组、用户、系统信息和 ACL。 HQ-Access-01 display snmp-agent group HQ-Access-01 display snmp-agent usm-user HQ-Access-01 display snmp-agent sys-info HQ-Access-01 display acl 2010 HQ-Access-01 display acl ipv6 2011 # 查看 SNMP 报文收发和错误统计。 HQ-Access-01 display snmp-agent statistics最终还要完成允许和拒绝测试网管服务器通过 IPv4 查询应成功网管服务器通过 IPv6 查询应成功未加入 ACL 的电脑即使知道用户名和密码也应无法采集使用错误密码时应认证失败SNMPv1 或 SNMPv2c 查询应失败。允许来源能采集、未允许来源不能采集才说明访问限制真正生效。验证完成后再执行save force保存配置。八、小结网管平台能够发现设备不代表 SNMP 配置已经安全。SNMPv3 还要同时检查认证、加密、只读权限和来源 ACL并在平台上实际读取设备名称、运行时间和端口状态。网站完整版还包括 Comware V5 差异、旧版本迁移、常见问题、详细回退方法和完整配置汇总H3C交换机SNMP网管识别配置实例