在集群中配置 SNMPv3 用户
建议更改
PDF
与 SNMPv1 和 SNMPv2c 相比, SNMPv3 是一种安全协议。要使用 SNMPv3 ,必须将 SNMPv3 用户配置为从 SNMP 管理器运行 SNMP 实用程序。
使用 security login create 命令创建 SNMPv3 用户。
系统将提示您提供以下信息:
-
引擎 ID :默认值和建议值为本地引擎 ID
-
身份验证协议
-
身份验证密码
-
隐私协议
-
隐私协议密码
SNMPv3 用户可以使用用户名和密码从 SNMP 管理器登录并运行 SNMP 实用程序命令。
SNMPv3 安全参数
SNMPv3 包括一项身份验证功能,如果选择此功能,则要求用户在调用命令时输入其名称,身份验证协议,身份验证密钥以及所需的安全级别。
下表列出了 SNMPv3 安全参数:
参数 |
命令行选项 |
Description |
引擎 ID |
-e 引擎 ID |
SNMP 代理的引擎 ID 。默认值为 local EngineID (建议)。 |
securityName |
-u 名称 |
用户名不得超过 32 个字符。 |
authProtocol |
-a { none |
md5 |
SHA |
SHA-256 } |
身份验证类型可以为 none , MD5 , SHA 或 SHA-256 。 |
authkey |
-A 密码短语 |
至少包含八个字符的密码短语。 |
安全性级别 |
-l { authNoPriv |
AuthPriv |
noAuthNoPriv } |
安全级别可以是 " 身份验证 " , " 无隐私 " , " 身份验证 " , " 隐私 " 或 " 无身份验证 " , 无隐私。 |
特权协议 |
-x { none |
des |
aes128 } |
隐私协议可以是 none , DES 或 aes128 |
privPassword |
-X 密码 |
不同安全级别的示例
此示例显示了使用不同安全级别创建的SNMPv3用户如何使用SNMP客户端命令、例如 snmpwalk,以查询群集对象。
为了提高性能,您应检索表中的所有对象,而不是表中的单个对象或几个对象。
|
您必须使用 snmpwalk 5.3.1或更高版本(如果身份验证协议为SHA)。
|
安全级别: AuthPriv
以下输出显示了使用 authPriv 安全级别创建 SNMPv3 用户的过程。
security login create -user-or-group-name snmpv3user -application snmp -authentication-method usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha, sha2-256) [none]: md5 Enter the authentication protocol password (minimum 8 characters long): Enter the authentication protocol password again: Which privacy protocol do you want to choose (none, des, aes128) [none]: des Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
FIPS 模式
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (sha, sha2-256) [sha] Enter authentication protocol password (minimum 8 characters long): Enter authentication protocol password again: Which privacy protocol do you want to choose (aes128) [aes128]: Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
snmpwalk 测试
以下输出显示了运行 snmpwalk 命令的 SNMPv3 用户:
为了提高性能,您应检索表中的所有对象,而不是表中的单个对象或几个对象。
$ snmpwalk -v 3 -u snmpv3user -a SHA -A password1! -x DES -X password1! -l authPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
安全级别: AuthNoPriv
以下输出显示了使用 authNoPriv 安全级别创建 SNMPv3 用户的过程。
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: md5
FIPS 模式
FIPS不允许您为隐私协议选择*无*。因此、无法在FIPS模式下配置authNo特权SNMPv3用户。
snmpwalk 测试
以下输出显示了运行 snmpwalk 命令的 SNMPv3 用户:
为了提高性能,您应检索表中的所有对象,而不是表中的单个对象或几个对象。
$ snmpwalk -v 3 -u snmpv3user1 -a MD5 -A password1! -l authNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
安全级别: noAuthNoPriv
以下输出显示了创建具有 noAuthNoPriv 安全级别的 SNMPv3 用户的过程。
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: none
FIPS 模式
FIPS不允许您为隐私协议选择*无*。
snmpwalk 测试
以下输出显示了运行 snmpwalk 命令的 SNMPv3 用户:
为了提高性能,您应检索表中的所有对象,而不是表中的单个对象或几个对象。
$ snmpwalk -v 3 -u snmpv3user2 -l noAuthNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"