添加路由器用于与NFA2000V设备联动。
操作步骤
- 选择。
- 单击
。
- 在“基本信息”区域框中,配置路由器名称和设备IP地址,“设备类型”选择“路由器”。
- 设置Flow参数,参数说明请参见表1
- 设置SNMP参数。
说明: SNMP参数是可选配置,如果不配置SNMP参数,会影响路由器的监控的接口检测数据和设备同步。
选择“SNMPv1”和“SNMPv2c”时,设置读团体字和写团体字。
“读团体字”是有读权限的团体名称,“写团体字”是有写权限的团体名称。
- 选择“SNMPv3”时,参数说明请参见表2。 说明:
- SNMPv1和SNMPv2c方式有一定安全风险,如果对安全性要求很高,建议使用SNMPv3方式。
- 当管理员选择SNMPv3时,建议管理员不要将同一个v3用户组配置多个安全级别,避免认证被绕过的安全漏洞。
- “类型”为“SNMPv3”时,才支持“用户名”、“环境名称”、“环境引擎ID”、“数据加密协议”、“数据加密密码”、“授权认证协议”、“授权认证密码”参数。
表2 “SNMPv3”的参数说明 参数
说明
取值建议
用户名
访问采集源设备时所使用的用户名。
-
环境名称
环境引擎名称。
与采集源设备上的环境名称相同或为空。
环境引擎ID
代表一个SNMP引擎的管理性唯一标识符,和环境名称一起使用,确定一个唯一地标识一个SNMP实体的环境。只有发送端的环境和接收端的环境完全匹配才对SNMP消息包进行处理,否则SNMP消息包被丢弃。
与采集源设备上环境引擎ID相同。
授权认证协议
用于消息验证时采用的协议。
可选择“HMACMD5”、“HMACSHA”协议或不使用协议。选择了HMACMD5或HMACSHA协议时,需要设置授权认证密码。
密码可以由字母、数字(0~9)、特殊字符(如!、#、$、%等)组成,请定期修改密码。
HMACMD5对任意顺序的字符串进行Hash变换,生成一个128位的消息摘要,是一个128位的整数。
HMACSHA比HMACMD5安全性高,对长度不超过264二进制位的消息产生160位的消息摘要输出。
说明:使用HMAC-MD5或者空协议存在安全风险,推荐使用更安全的HMAC-SHA协议。授权认证密码
消息验证时采用授权认证协议后,需要设置授权认证密码。
密码可以由字母、数字(0~9)、特殊字符(如!、#、$、%等)组成,请定期修改密码。
-
数据加密协议
数据封装时所采用的加密协议。
可选择“DES”、“AES128”、“AES256”加密协议或不加密。选择了DES、AES128或AES256加密协议时需要设置加密密码。
密码可以由字母、数字(0~9)、特殊字符(如!、#、$、%等)组成,请定期修改密码。
- DES,表示数据加密标准DES,是国际通用的加密算法,密钥长度为56位。
- AES256,表示高级加密标准AES256,密钥长度为128位。
- AES128,表示高级加密标准AES128。
说明:使用DES或者空协议存在安全风险,推荐使用更安全的AES128、AES256协议。
ATIC管理中心配置要与路由器配置保持一致。
数据加密密码
数据封装时采用加密算法后,需要设置数据加密密码。
密码可以由字母、数字(0~9)、特殊字符(如!、#、$、%等)组成,请定期修改密码。
-
- 设置SNMP OID定制参数
因为不同厂商的SNMP监控节点可能不同,所以需要定制监控节点,此处定制监控CPU和内存的MIB节点。
说明: 如果不配置SNMP OID参数,则会影响路由器性能监控的CPU使用率和内存使用率。
- 单击“确定”,开始添加路由器。
添加成功的路由器显示在“设备列表”界面中。
- 配置路由器接口过滤功能。
- 在“设备列表”界面中,单击路由器对应的
,进入“修改管理协议”界面。 在“修改管理协议”界面,单击“Flow参数”页签,配置接口过滤功能。
在现网中,路由器的接口通常缺省都开启Flow流统计功能,NFA2000V在接收Flow流时可能会收到多个路由器接口发送的Flow流,为防止NFA2000V对流量重复统计,需要将相应的路由器接口过滤,只接收指定接口发送的Flow流。在“Inbound接口索引”或“Outbound接口索引”中添加相应的接口索引,NFA2000V就只接收此接口发送的Flow流,有效的防止了流量的重复统计。接口索引请根据路由器的实际接口索引进行填写。
“Inbound接口索引”应用在Inbound防护场景中;“Outbound接口索引”应用在Outbound防护场景中,请根据网络实际部署选择配置。
- 单击“保存Flow源配置”。
- 在“设备列表”界面中,单击路由器对应的