Creare una community SNMP e assegnarla a una LIF
Suggerisci modifiche
PDF
È possibile creare una community SNMP che funga da meccanismo di autenticazione tra la stazione di gestione e la macchina virtuale di storage (SVM) quando si utilizzano SNMPv1 e SNMPv2c.
Creando community SNMP in una SVM di dati, è possibile eseguire comandi come snmpwalk e. snmpget Sulle LIF dei dati.
-
Nelle nuove installazioni di ONTAP, SNMPv1 e SNMPv2c sono disattivati per impostazione predefinita.
SNMPv1 e SNMPv2c vengono attivati dopo la creazione di una community SNMP.
-
ONTAP supporta le community di sola lettura.
-
Per impostazione predefinita, il servizio SNMP è impostato su per il criterio firewall "dati" assegnato alle LIF dati
deny.È necessario creare un nuovo criterio firewall con il servizio SNMP impostato su
allowQuando si crea un utente SNMP per un SVM dati.
A partire da ONTAP 9.10.1, le policy firewall sono obsolete e completamente sostituite con le policy di servizio LIF. Per ulteriori informazioni, vedere "Configurare le policy firewall per le LIF". -
È possibile creare community SNMP per gli utenti SNMPv1 e SNMPv2c sia per SVM admin che per SVM dati.
-
Poiché una SVM non fa parte dello standard SNMP, le query sulle LIF dei dati devono includere l'OID root di NetApp (1.3.6.1.4.1.789), ad esempio
snmpwalk -v 2c -c snmpNFS 10.238.19.14 1.3.6.1.4.1.789.
-
Creare una community SNMP utilizzando
system snmp community addcomando. Il seguente comando mostra come creare una community SNMP nel cluster SVM di amministrazione-1:system snmp community add -type ro -community-name comty1 -vserver cluster-1
Il seguente comando mostra come creare una community SNMP nei dati SVM vs1:
system snmp community add -type ro -community-name comty2 -vserver vs1
-
Verificare che le community siano state create utilizzando il comando di visualizzazione della community snmp di sistema.
Il seguente comando mostra le due community create per SNMPv1 e SNMPv2c:
system snmp community show cluster-1 rocomty1 vs1 rocomty2
-
Verificare se SNMP è consentito come servizio nella policy firewall "dati" utilizzando
system services firewall policyshowcomando.Il seguente comando indica che il servizio snmp non è consentito nella policy firewall "dati" predefinita (il servizio snmp è consentito solo nella policy firewall "mgmt"):
system services firewall policy show Vserver Policy Service Allowed ------- ------------ ---------- ------------------- cluster-1 data dns 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 intercluster https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 cluster-1 mgmt dns 0.0.0.0/0 http 0.0.0.0/0 https 0.0.0.0/0 ndmp 0.0.0.0/0 ndmps 0.0.0.0/0 ntp 0.0.0.0/0 snmp 0.0.0.0/0 ssh 0.0.0.0/0 -
Creare un nuovo criterio firewall che consenta l'accesso tramite
snmputilizzandosystem services firewall policy createcomando.I seguenti comandi creano una nuova policy di firewall dati denominata "data1" che consente
snmpsystem services firewall policy create -policy data1 -service snmp -vserver vs1 -allow-list 0.0.0.0/0 cluster-1::> system services firewall policy show -service snmp Vserver Policy Service Allowed ------- ------------ ---------- ------------------- cluster-1 mgmt snmp 0.0.0.0/0 vs1 data1 snmp 0.0.0.0/0 -
Applicare il criterio firewall a una LIF dati utilizzando il comando `network interface modify `(modifica interfaccia di rete) con il parametro -firewall-policy.
Il seguente comando assegna il nuovo criterio firewall "data1" a "datalif1" LIF:
network interface modify -vserver vs1 -lif datalif1 -firewall-policy data1