安全典型配置（五）SNMP中应用ACL过滤非法网管案例

【微|信|公|众|号：厦门微思网络】

安全典型配置（一）使用ACL限制FTP访问权限案例 

安全典型配置（二）使用ACL限制用户在特定时间访问特定服务器的权限

安全典型配置（三）使用ACL禁止特定用户上网案例

安全典型配置（四）使用自反ACL实现单向访问控制案例

---

 

SNMP中应用ACL过滤非法网管案例

ACL简介

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例就是将基本ACL应用在SNMP模块，实现只允许指定网管能够对交换机进行访问，以提高安全性。

配置注意事项

本举例适用于S系列交换机的所有版本。

组网需求

如图1所示，某企业新增一台交换机，与网管在同一网段，规划使用SNMPv3版本与网管进行通信。为了提高安全性，只允许现有的网管对交换机进行管理。

图1 SNMP中应用基本ACL过滤非法网管组网图

配置思路

采用如下思路配置SNMP：

1. 配置交换机的SNMP版本为v3，允许版本为v3的网管管理交换机。

2. 配置访问控制，只允许指定的IP地址读写交换机指定的MIB。

3. 配置用户组和用户，在网管上添加交换机时，使用用户组和用户进行认证。

4. 配置告警主机，并使能交换机主动发送Trap消息的功能。

5. 在网管上添加交换机，网管上使用的用户组和用户与交换机保持一致，才能正常管理交换机。

操作步骤

1、配置交换机的SNMP版本为v3，允许版本为v3的网管管理交换机。

system-view
[HUAWEI] sysname Switch
[Switch] snmp-agent sys-info version v3   //缺省情况下支持SNMPv3版本，当交换机未去使能SNMPv3版本时，该命令可以不配置。

2、配置交换机可以接收和响应网管请求报文的接口。V200R020及以后版本必须配置该步骤，否则交换机将无法与网管正常连接。

[Switch] snmp-agent protocol source-interface vlanif 10

3、配置访问控制，只允许指定的IP地址的网管读写交换机指定的MIB。

    配置ACL，通过ACL限制仅IP地址为10.1.1.1网管能够对交换机进行访问。

[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.1 0
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit

配置MIB视图，通过MIB视图限制网管仅能访问指定的MIB。

[Switch] snmp-agent mib-view included isoview iso   //配置MIB视图isoview能够访问iso子树。

4、配置用户组和用户，在网管上添加交换机时，使用用户组和用户进行认证。

配置用户组名为group001，安全级别为privacy，并应用访问控制，限制网管对交换机的管理。

[Switch] snmp-agent group v3 group001 privacy read-view isoview write-view isoview notify-view isoview acl 2001

配置一个SNMPv3用户，用户名为user001，归属于group001组。

[Switch] snmp-agent usm-user v3 user001 group group001

配置用户的认证算法为sha（HMAC-SHA-96），认证密码为Authe@1234。

[Switch] snmp-agent usm-user v3 user001 authentication-mode sha
Please configure the authentication password (8-64)
Enter Password:                  //输入认证密码
Confirm Password:                //确认认证密码

配置用户的加密算法为aes256（AES-256），加密密码为Priva@1234。

[Switch] snmp-agent usm-user v3 user001 privacy-mode aes128

Please configure the privacy password (8-64)                                    

Enter Password:                  //输入加密密码

Confirm Password:                //确认加密密码

5、配置告警主机，并使能交换机主动发送Trap消息的功能。

[Switch] snmp-agent trap enable

Warning: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y   //打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关，可通过display snmp-agent trap all命令查看。

[Switch] snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy   //配置告警主机，缺省情况发送Trap的UDP端口号为162，安全名和用户名必须保持一致，否则网管无法管理设备。