跳到主要内容

创建 SNMP 团体并分配给 LIF

您可以创建 SNMP 团体,充当管理工作站和存储虚拟机(SVM)(使用 SNMPv1 和 SNMPv2c 时)之间的认证机制。通过在数据 SVM 中创建 SNMP 团体,可在数据 LIF 上执行如 snmpwalksnmpget 等命令。

关于本任务

  • 在 ONTAP 的新安装中,默认情况下禁用 SNMPv1 和 SNMPv2c。

    创建 SNMP 团体后,将启用 SNMPv1 和 SNMPv2c。

  • ONTAP 支持只读的团体。

  • 默认情况下,分配给数据 LIF 的数据防火墙策略已将 SNMP 服务设置为 deny

    为数据 SVM 创建 SNMP 用户时,必须创建 SNMP 服务设置为 allow 的新防火墙策略。

  • 可以为管理 SVM 和数据 SVM 两者创建 SNMPv1 和 SNMPv2c 用户的 SNMP 团体。

  • 由于 SVM 不属于 SNMP 标准,对数据 LIF 的查询必须包括 NetApp 根 OID (1.3.6.1.4.1.789)— 例如,snmpwalk -v 2c -c snmpNFS 10.238.19.14 1.3.6.1.4.1.789

  1. 使用 system snmp community add 命令创建 SNMP 团体。

    示例

    以下命令说明如何在管理 SVM cluster-1 中创建 SNMP 团体:

    cluster-1::> system snmp community add -type ro -community-name comty1 -vserver cluster-1
    以下命令说明如何在数据 SVM vs1 中创建 SNMP 团体:
    cluster-1::> system snmp community add -type ro -community-name comty2 -vserver vs1
  2. 使用 system snmp community show 命令验证团体是否已创建。

    示例

    以下命令显示为 SNMPv1 和 SNMPv2c 创建的两个团体:

    cluster-1::> system snmp community show

    cluster-1
              ro  comty1
    vs1
              ro  comty2

  3. 使用 system services firewall policy show 命令检查数据防火墙策略中是否允许 SNMP 服务。

    示例

    以下命令显示在默认的数据防火墙策略中不允许 snmp 服务(仅 mgmt 防火墙策略允许 snmp 服务):

    cluster-1::> system services firewall policy show
    Vserver Policy       Service    Allowed
    ------- ------------ ---------- -------------------
    cluster-1
            data
                         dns        0.0.0.0/0
                         ndmp       0.0.0.0/0
                         ndmps      0.0.0.0/0
    cluster-1
            intercluster
                         https      0.0.0.0/0
                         ndmp       0.0.0.0/0
                         ndmps      0.0.0.0/0
    cluster-1
            mgmt
                         dns        0.0.0.0/0
                         http       0.0.0.0/0
                         https      0.0.0.0/0
                         ndmp       0.0.0.0/0
                         ndmps      0.0.0.0/0
                         ntp        0.0.0.0/0
                         snmp       0.0.0.0/0
                         ssh        0.0.0.0/0

  4. 使用 system services firewall policy create 命令创建允许使用 snmp 服务访问的新防火墙策略。

    示例

    以下命令将创建名为 data1 的新数据防火墙策略,允许任何 IP 地址的 snmp 服务,并验证已成功创建策略:

    cluster-1::> system services firewall policy create -policy data1 -service snmp -vserver  vs1 -allow-list 0.0.0.0/0
            
    cluster-1::> system services firewall policy show -service snmp
    Vserver  Policy       Service    Allowed
    -------  ------------ ---------- -------------------
    cluster-1
             mgmt
                          snmp       0.0.0.0/0
    <strong className="ph b">vs1
             data1
                          snmp       0.0.0.0/0</strong>

  5. 使用带 -firewall-policy 参数的 network interface modify 命令将防火墙策略应用到数据 LIF。

    示例

    以下命令将新的 data1 防火墙策略分配给 LIF datalif1:

    cluster-1::> network interface modify -vserver vs1 -lif datalif1 -firewall-policy data1