安全典型配置(五)
发布作者:微思网络 发布时间:2023-10-20 浏览量:0次
SNMP中应用ACL过滤非法网管案例
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤,可以配置基本ACL。 本例就是将基本ACL应用在SNMP模块,实现只允许指定网管能够对交换机进行访问,以提高安全性。 本举例适用于S系列交换机的所有版本。 如图1所示,某企业新增一台交换机,与网管在同一网段,规划使用SNMPv3版本与网管进行通信。为了提高安全性,只允许现有的网管对交换机进行管理。 图1 SNMP中应用基本ACL过滤非法网管组网图 采用如下思路配置SNMP: 配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。 配置访问控制,只允许指定的IP地址读写交换机指定的MIB。 配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。 配置告警主机,并使能交换机主动发送Trap消息的功能。 在网管上添加交换机,网管上使用的用户组和用户与交换机保持一致,才能正常管理交换机。 1、配置交换机的SNMP版本为v3,允许版本为v3的网管管理交换机。 <HUAWEI>system-view 2、配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤,否则交换机将无法与网管正常连接。 [Switch] snmp-agent protocol source-interface vlanif 10 3、配置访问控制,只允许指定的IP地址的网管读写交换机指定的MIB。 配置ACL,通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。 [Switch] acl 2001 配置MIB视图,通过MIB视图限制网管仅能访问指定的MIB。 [Switch] snmp-agent mib-view included isoview iso //配置MIB视图isoview能够访问iso子树。 4、配置用户组和用户,在网管上添加交换机时,使用用户组和用户进行认证。 配置用户组名为group001,安全级别为privacy,并应用访问控制,限制网管对交换机的管理。 [Switch] snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view isoview acl 2001 配置一个SNMPv3用户,用户名为user001,归属于group001组。 [Switch] snmp-agent usm-user v3 user001 group group001 配置用户的认证算法为sha(HMAC-SHA-96),认证密码为Authe@1234。 [Switch] snmp-agent usm-user v3 user001 authentication-mode sha 配置用户的加密算法为aes256(AES-256),加密密码为Priva@1234。 [Switch] snmp-agent usm-user v3 user001 privacy-mode aes128 Please configure the privacy password (8-64) Enter Password: //输入加密密码 Confirm Password: //确认加密密码 5、配置告警主机,并使能交换机主动发送Trap消息的功能。 [Switch] snmp-agent trap enable Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。 [Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则网管无法管理设备。
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v3 //缺省情况下支持SNMPv3版本,当交换机未去使能SNMPv3版本时,该命令可以不配置。
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
Please configure the authentication password (8-64)
Enter Password: //输入认证密码
Confirm Password: //确认认证密码
