华为网络管理配置实例

目录

组网需求

数据规划

配置思路

操作步骤

结果验证

配置脚本


管理员可以通过eSight网管系统对FW进行监控和管理,接收FW的告警。

组网需求

图1所示,某企业在网络边界处部署了FW作为安全网关,并部署了eSight网管系统对网络设备进行集中管理。现需要使eSight能够监控和管理FW,接收FW的告警。
图1通过eSight管理FW

数据规划
项目 数据 说明
FW 接口 接口号:GigabitEthernet 0/0/1 IP地址:1.1.1.1/24 安全区域:Untrust 连接外网的接口。 假设此接口连接Internet的下一跳地址为1.1.1.2。
FW 接口 接口号:GigabitEthernet 0/0/2 IP地址:10.2.0.1/24 安全区域:DMZ 与eSight服务器通信的接口。
FW 接口 接口号:GigabitEthernet 0/0/3 IP地址:10.3.0.1/24 安全区域:Trust 连接企业内部网络的接口。
FW SNMP参数 安全用户组名:v3group 安全用户名:V3user 版本:v3 认证协议:HMAC_SHA 认证密码:Admin@123 加密协议:AES128 加密密码:Admin@1234 FW和eSight的SNMP参数保持一致。
eSight IP地址 10.2.0.10/24 集中式部署在DMZ区域。
eSight SNMP参数 安全用户名:V3user 版本:v3 鉴权协议:HMAC_SHA 密码:Admin@123 私有协议:AES128 密码:Admin@1234 eSight的SNMP参数和FW保持一致。
配置思路
  1. 使FW与eSight之间能够互通,配置FW接口GigabitEthernet 0/0/2的IP地址、将接口加入DMZ安全区域、并配置接口访问管理功能允许SNMP协议通过。

    如果不使用接口访问管理功能,需要配置相关安全策略。关闭接口访问管理前需要为远程管理协议配置相关安全策略,以免出现无法远程管理FW的情况。

  2. 使eSight能够管理FW并接收FW的告警,配置FW的SNMP参数和Trap告警功能,在eSight上配置与FW一致的SNMP参数并添加FW。

本举例主要关注FW与eSight对接部分的配置,其余配置略去。请注意在实际环境中配置相应的路由以保证设备之间的路由可达。eSight网管侧其他的配置请参见对应的手册。

操作步骤
  • 配置FW。

    1. 配置接口IP地址,将接口加入安全区域并配置接口访问管理功能允许SNMP协议通过。

      bash 复制代码
      # 配置接口GE0/0/1的IP地址。
      
      <sysname> system-view
      [sysname] interface GigabitEthernet 0/0/1
      [sysname-GigabitEthernet0/0/1] ip address 1.1.1.1 24
      [sysname-GigabitEthernet0/0/1] quit
      # 配置接口GE0/0/2的IP地址并配置接口访问管理。
      
      [sysname] interface GigabitEthernet 0/0/2
      [sysname-GigabitEthernet0/0/2] ip address 10.2.0.1 24
      [sysname-GigabitEthernet0/0/2] service-manage snmp permit
      [sysname-GigabitEthernet0/0/2] quit
      # 配置接口GE0/0/3的IP地址。
      
      [sysname] interface GigabitEthernet 0/0/3
      [sysname-GigabitEthernet0/0/3] ip address 10.3.0.1 24
      [sysname-GigabitEthernet0/0/3] quit
      # 将接口GE0/0/1加入Untrust区域。
      
      [sysname] firewall zone untrust
      [sysname-zone-untrust] add interface GigabitEthernet 0/0/1
      [sysname-zone-untrust] quit
      # 将接口GE0/0/2加入DMZ区域。
      
      [sysname] firewall zone dmz
      [sysname-zone-dmz] add interface GigabitEthernet 0/0/2
      [sysname-zone-dmz] quit
      # 将接口GE0/0/3加入Trust区域。
      
      [sysname] firewall zone trust
      [sysname-zone-trust] add interface GigabitEthernet 0/0/3
      [sysname-zone-trust] quit
    2. 配置安全策略。

      bash 复制代码
      # 在Trust和Untrust域间配置安全策略
      
      [sysname-policy-security] rule name trust_untrust_outbound
      [sysname-policy-security-trust_untrust_outbound] source-zone trust 
      [sysname-policy-security-trust_untrust_outbound] destination-zone untrust
      [sysname-policy-security-trust_untrust_outbound] source-address 10.3.0.0 mask 255.255.255.0
      [sysname-policy-security-trust_untrust_outbound] action permit
      [sysname-policy-security-trust_untrust_outbound] quit
    3. 配置路由。

      bash 复制代码
      # 配置缺省路由到连接Internet的下一跳地址。
      
      [sysname] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
      # 配置黑洞路由,防止产生路由环路。
      
      [sysname] ip route-static 1.1.1.10 32 NULL 0
      [sysname] ip route-static 1.1.1.11 32 NULL 0
      [sysname] ip route-static 1.1.1.12 32 NULL 0
    4. 配置FW的SNMP参数,并配置将FW产生的告警发送到eSight。

      bash 复制代码
      [sysname] snmp-agent sys-info version v3
      [sysname] snmp-agent mib-view include mib2view iso
      [sysname] snmp-agent group v3 v3group privacy
      [sysname] snmp-agent usm-user v3 V3user authentication-mode sha
      Please configure the authentication password (8-64)                             
      Enter Password:                                                                 
      Confirm Password: 
      [sysname] snmp-agent usm-user v3 V3user privacy-mode aes128
      Please configure the privacy password (8-64)                                    
      Enter Password:                                                                 
      Confirm Password: 
      [sysname] snmp-agent usm-user v3 V3user group v3group
      [sysname] snmp-agent group v3 v3group privacy write-view mib2view notify-view mib2view
      [sysname] snmp-agent target-host trap address udp-domain 10.2.0.10 params securityname V3user v3 privacy private-netmanager
      [sysname] snmp-agent trap enable
      Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y
  • 配置eSight。

    1. 创建SNMP协议模板。

      1. 选择"资源 > 资源管理 > 协议模板"。

      2. 单击"SNMP协议模板"页签下"创建",按如下参数新建SNMP协议模板。

        | 模板名称 | snmpv3_template |
        | SNMP协议版本 | V3 |
        | 网元端口 | 161 |
        | 超时时间(秒) | 3 |
        | 重发次数 | 3 |
        | 安全名 | V3user |
        | 鉴权协议 | HMAC_SHA |
        | 密码 | Admin@123 |
        | 私有协议 | AES_128 |

        密码 Admin@1234

        eSight侧的安全名、鉴权协议密码、私有协议密码分别和FW侧的安全名、认证密码、加密密码保持一致。

    2. 将FW添加到eSight中。

      1. 选择"资源 > 资源添加 > 单个添加"。
      2. 在"发现协议"中选择"SNMP协议"。
      3. 在"IP地址"中输入FW与eSight对接的IP地址10.2.0.1
      4. 在"选择协议模板"中选择步骤1创建的协议模板"snmpv3_template"添加设备。
      5. 单击"确定"。
结果验证
bash 复制代码
将物理链路状态为Up的接口状态配置为Down

[sysname] interface GigabitEthernet 0/0/4
[sysname-GigabitEthernet0/0/4] shutdown
在eSight中选择"监控 > 故障管理 > 当前告警",可以查看到相应的告警信息。
配置脚本
bash 复制代码
                                                                               
sysname sysname               
                                                    
#                                                                               
interface GigabitEthernet0/0/1                                                  
 undo shutdown                                                               
 ip address 1.1.1.1 255.255.255.0                                             
#                                                                               
interface GigabitEthernet0/0/2                                                  
 undo shutdown                                                               
 ip address 10.2.0.1 255.255.255.0                                             
 service-manage snmp permit
#                                                                               
interface GigabitEthernet0/0/3                                                 
 undo shutdown                                                               
 ip address 10.3.0.1 255.255.255.0                                             
#                                                                               
firewall zone untrust                                                             
 set priority 5
 add interface GigabitEthernet0/0/1                                             
#                                                                               
firewall zone dmz                                                           
 set priority 50
 add interface GigabitEthernet0/0/2                                             
#                                                                               
firewall zone trust                                                               
 set priority 85
 add interface GigabitEthernet0/0/3                                            
#
security-policy
 rule name trust_untrust_outbound1
  source-zone trust
  destination-zone Untrust
  source-address 10.14.10.1 32
  destination-address 10.3.0.0 mask 255.255.255.0
  action permit  
                                               

#                                                                                
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2                                                                                            
 ip route-static 1.1.1.10 255.255.255.255 NULL0                                                                                     
 ip route-static 1.1.1.11 255.255.255.255 NULL0
 ip route-static 1.1.1.12 255.255.255.255 NULL0
#                                                                               
 snmp-agent                                                                     
 snmp-agent local-engineid 000007DB7FFFFFFF000077D0                             
 snmp-agent sys-info version v3                                                 
 snmp-agent mib-view include mib2view iso
 snmp-agent group v3 v3group privacy                                            
 snmp-agent group v3 v3group privacy write-view mib2view notify-view mib2view
 snmp-agent target-host trap  address udp-domain 10.2.0.10 params securityname %
 $%$Lch*5Z>Q0:BIj9Nv<&^W(>5,%$%$ v3  privacy  private-netmanager                 
 snmp-agent usm-user v3 V3user authentication-mode sha cipher %^%#]lck/kEvSA'=g^
 WsIwEI~rf&=qHpDEhhB\3Dmt1(%^%#
 snmp-agent usm-user v3 V3user privacy-mode aes128 cipher %^%#Ow4n$dQvbD:^-A
 snmp-agent usm-user v3 V3user group v3group
 snmp-agent trap enable                                                         
#                                                                                 
return
相关推荐
风吹落叶花飘荡2 分钟前
从零开始的 vue项目部署到服务器详细步骤(vue项目build打包+nginx部署+配置ssl证书)
服务器·vue.js·nginx
很楠不爱4 分钟前
Qt——信号和槽
服务器·数据库·qt
神技圈子7 分钟前
【linux经典工具】作为一个合格的开发人员怎能不会tmux
linux·运维·服务器
Bold!20 分钟前
最新ubuntu22.04 下列软件包有未满足的依赖关系 解决方案
linux·运维·服务器
xy.Ren22 分钟前
【C++】`->` 符号
网络·c++
engchina27 分钟前
Oracle SQL Developer 同时打开多个table的设置
数据库·sql·oracle
你的月亮和太阳31 分钟前
EXPLAIN 针对性优化 SQL 查询
数据库·sql·oracle
追风少年亚索32 分钟前
[极客大挑战 2019]FinalSQL
数据库·sql
lipviolet36 分钟前
MySQL系列---sql优化
数据库·sql·mysql
free_girl_fang38 分钟前
夯实根基之MySql从入门到精通(一)
java·数据结构·数据库·mysql