目录
管理员可以通过eSight网管系统对FW进行监控和管理,接收FW的告警。
组网需求
如图1所示,某企业在网络边界处部署了FW作为安全网关,并部署了eSight网管系统对网络设备进行集中管理。现需要使eSight能够监控和管理FW,接收FW的告警。
图1通过eSight管理FW
数据规划
| 项目 | 数据 | 说明 | |
|---|---|---|---|
| FW | 接口 | 接口号:GigabitEthernet 0/0/1 IP地址:1.1.1.1/24 安全区域:Untrust | 连接外网的接口。 假设此接口连接Internet的下一跳地址为1.1.1.2。 |
| FW | 接口 | 接口号:GigabitEthernet 0/0/2 IP地址:10.2.0.1/24 安全区域:DMZ | 与eSight服务器通信的接口。 |
| FW | 接口 | 接口号:GigabitEthernet 0/0/3 IP地址:10.3.0.1/24 安全区域:Trust | 连接企业内部网络的接口。 |
| FW | SNMP参数 | 安全用户组名:v3group 安全用户名:V3user 版本:v3 认证协议:HMAC_SHA 认证密码:Admin@123 加密协议:AES128 加密密码:Admin@1234 | FW和eSight的SNMP参数保持一致。 |
| eSight | IP地址 | 10.2.0.10/24 | 集中式部署在DMZ区域。 |
| eSight | SNMP参数 | 安全用户名:V3user 版本:v3 鉴权协议:HMAC_SHA 密码:Admin@123 私有协议:AES128 密码:Admin@1234 | eSight的SNMP参数和FW保持一致。 |
配置思路
-
使FW与eSight之间能够互通,配置FW接口GigabitEthernet 0/0/2的IP地址、将接口加入DMZ安全区域、并配置接口访问管理功能允许SNMP协议通过。
如果不使用接口访问管理功能,需要配置相关安全策略。关闭接口访问管理前需要为远程管理协议配置相关安全策略,以免出现无法远程管理FW的情况。
-
使eSight能够管理FW并接收FW的告警,配置FW的SNMP参数和Trap告警功能,在eSight上配置与FW一致的SNMP参数并添加FW。
本举例主要关注FW与eSight对接部分的配置,其余配置略去。请注意在实际环境中配置相应的路由以保证设备之间的路由可达。eSight网管侧其他的配置请参见对应的手册。
操作步骤
-
配置FW。
-
配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。
bash# 配置接口GE0/0/1的IP地址。 <sysname> system-view [sysname] interface GigabitEthernet 0/0/1 [sysname-GigabitEthernet0/0/1] ip address 1.1.1.1 24 [sysname-GigabitEthernet0/0/1] quit # 配置接口GE0/0/2的IP地址并配置接口访问管理。 [sysname] interface GigabitEthernet 0/0/2 [sysname-GigabitEthernet0/0/2] ip address 10.2.0.1 24 [sysname-GigabitEthernet0/0/2] service-manage snmp permit [sysname-GigabitEthernet0/0/2] quit # 配置接口GE0/0/3的IP地址。 [sysname] interface GigabitEthernet 0/0/3 [sysname-GigabitEthernet0/0/3] ip address 10.3.0.1 24 [sysname-GigabitEthernet0/0/3] quit # 将接口GE0/0/1加入Untrust区域。 [sysname] firewall zone untrust [sysname-zone-untrust] add interface GigabitEthernet 0/0/1 [sysname-zone-untrust] quit # 将接口GE0/0/2加入DMZ区域。 [sysname] firewall zone dmz [sysname-zone-dmz] add interface GigabitEthernet 0/0/2 [sysname-zone-dmz] quit # 将接口GE0/0/3加入Trust区域。 [sysname] firewall zone trust [sysname-zone-trust] add interface GigabitEthernet 0/0/3 [sysname-zone-trust] quit -
配置安全策略。
bash# 在Trust和Untrust域间配置安全策略 [sysname-policy-security] rule name trust_untrust_outbound [sysname-policy-security-trust_untrust_outbound] source-zone trust [sysname-policy-security-trust_untrust_outbound] destination-zone untrust [sysname-policy-security-trust_untrust_outbound] source-address 10.3.0.0 mask 255.255.255.0 [sysname-policy-security-trust_untrust_outbound] action permit [sysname-policy-security-trust_untrust_outbound] quit -
配置路由。
bash# 配置缺省路由到连接Internet的下一跳地址。 [sysname] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 # 配置黑洞路由,防止产生路由环路。 [sysname] ip route-static 1.1.1.10 32 NULL 0 [sysname] ip route-static 1.1.1.11 32 NULL 0 [sysname] ip route-static 1.1.1.12 32 NULL 0 -
配置FW的SNMP参数,并配置将FW产生的告警发送到eSight。
bash[sysname] snmp-agent sys-info version v3 [sysname] snmp-agent mib-view include mib2view iso [sysname] snmp-agent group v3 v3group privacy [sysname] snmp-agent usm-user v3 V3user authentication-mode sha Please configure the authentication password (8-64) Enter Password: Confirm Password: [sysname] snmp-agent usm-user v3 V3user privacy-mode aes128 Please configure the privacy password (8-64) Enter Password: Confirm Password: [sysname] snmp-agent usm-user v3 V3user group v3group [sysname] snmp-agent group v3 v3group privacy write-view mib2view notify-view mib2view [sysname] snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname V3user v3 privacy private-netmanager [sysname] snmp-agent trap enable Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y
-
-
配置eSight。
-
创建SNMP协议模板。
-
选择"资源 > 资源管理 > 协议模板"。
-
单击"SNMP协议模板"页签下"创建",按如下参数新建SNMP协议模板。
| 模板名称 | snmpv3_template |
| SNMP协议版本 | V3 |
| 网元端口 | 161 |
| 超时时间(秒) | 3 |
| 重发次数 | 3 |
| 安全名 | V3user |
| 鉴权协议 | HMAC_SHA |
| 密码 | Admin@123 |
| 私有协议 | AES_128 |密码 Admin@1234 eSight侧的安全名、鉴权协议密码、私有协议密码分别和FW侧的安全名、认证密码、加密密码保持一致。
-
-
将FW添加到eSight中。
- 选择"资源 > 资源添加 > 单个添加"。
- 在"发现协议"中选择"SNMP协议"。
- 在"IP地址"中输入FW与eSight对接的IP地址10.2.0.1。
- 在"选择协议模板"中选择步骤1创建的协议模板"snmpv3_template"添加设备。
- 单击"确定"。
-
结果验证
bash
将物理链路状态为Up的接口状态配置为Down
[sysname] interface GigabitEthernet 0/0/4
[sysname-GigabitEthernet0/0/4] shutdown
在eSight中选择"监控 > 故障管理 > 当前告警",可以查看到相应的告警信息。配置脚本
bash
sysname sysname
#
interface GigabitEthernet0/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
undo shutdown
ip address 10.2.0.1 255.255.255.0
service-manage snmp permit
#
interface GigabitEthernet0/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/2
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/3
#
security-policy
rule name trust_untrust_outbound1
source-zone trust
destination-zone Untrust
source-address 10.14.10.1 32
destination-address 10.3.0.0 mask 255.255.255.0
action permit
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
ip route-static 1.1.1.12 255.255.255.255 NULL0
#
snmp-agent
snmp-agent local-engineid 000007DB7FFFFFFF000077D0
snmp-agent sys-info version v3
snmp-agent mib-view include mib2view iso
snmp-agent group v3 v3group privacy
snmp-agent group v3 v3group privacy write-view mib2view notify-view mib2view
snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname %
$%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3 privacy private-netmanager
snmp-agent usm-user v3 V3user authentication-mode sha cipher %^%#]lck/kEvSA'=g^
WsIwEI~rf&=qHpDEhhB\3Dmt1(%^%#
snmp-agent usm-user v3 V3user privacy-mode aes128 cipher %^%#Ow4n$dQvbD:^-A
snmp-agent usm-user v3 V3user group v3group
snmp-agent trap enable
#
return