【微|信|公|众|号:厦门微思网络】
安全典型配置(一)使用ACL限制FTP访问权限案例
安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限
安全典型配置(三)使用ACL禁止特定用户上网案例
安全典型配置(四)使用自反ACL实现单向访问控制案例
SNMP中应用ACL过滤非法网管案例
ACL简介
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。
本例就是将基本ACL应用在SNMP模块,实现只允许指定网管能够对交换机进行访问,以提高安全性。
配置注意事项
本举例适用于S系列交换机的所有版本。
组网需求
如图1所示,某企业新增一台交换机,与网管在同一网段,规划使用SNMPv3版本与网管进行通信。为了提高安全性,只允许现有的网管对交换机进行管理。
图1 SNMP中应用基本ACL过滤非法网管组网图
配置思路
采用如下思路配置SNMP:
-
配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。
-
配置访问控制,只允许指定的IP地址读写交换机指定的MIB。
-
配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。
-
配置告警主机,并使能交换机主动发送Trap消息的功能。
-
在网管上添加交换机,网管上使用的用户组和用户与交换机保持一致,才能正常管理交换机。
操作步骤
1、配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。
<HUAWEI>system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本,当交换机未去使能SNMPv3版本时,该命令可以不配置。
2、配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤,否则交换机将无法与网管正常连接。
[Switch] snmp-agent protocol source-interface vlanif 10
3、配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。
配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。
[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。
[Switch] snmp-agent mib-view included isoview iso //配置MIB视图isoview能够访问iso子树。
4、配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。
配置用户组名为group001,安全级别为privacy,并应用访问控制,限制网管对交换机的管理。
[Switch] snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view isoview acl 2001
配置一个SNMPv3用户,用户名为user001,归属于group001组。
[Switch] snmp-agent usm-user v3 user001 group group001
配置用户的认证算法为sha(HMAC-SHA-96),认证密码为Authe@1234。
[Switch] snmp-agent usm-user v3 user001 authentication-mode sha
Please configure the authentication password (8-64)
Enter Password: //输入认证密码
Confirm Password: //确认认证密码
配置用户的加密算法为aes256(AES-256),加密密码为Priva@1234。
[Switch] snmp-agent usm-user v3 user001 privacy-mode aes128
Please configure the privacy password (8-64)
Enter Password: //输入加密密码
Confirm Password: //确认加密密码
5、配置告警主机,并使能交换机主动发送Trap消息的功能。
[Switch] snmp-agent trap enable
Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。
[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则网管无法管理设备。