出于远程管理路由器的基本需要,每一个网络管理员都必须配置路由器使之可以使用简单网络管理协议(SNMP)。简单网络管理协议(SNMP)提供了远程监控功能,在Cisco路由器中包含了一个SNMP代理和管理信息库(MIB)。它使用网管服务器作为入口点实行网络管理控制,可以配置路由器向网管服务器发送管理信息。因为需要通过网络远程访问管理路由器,因此带来了许多的安全风险。对此,在进行配置时必须确保仅有授权用户能够使用它。
1.配置路由器能够使用SNMP的基本命令
snmp-server community public RO
允许任何提交共用字符串(community string)为public的服务器端软件进行读访问。
snmp-server community private RW
允许任何提交共用字符串为private的服务器端软件进行读和写访问。
为共用字符串选择强壮的口令是非常重要的。上述例子中的public和private这样的共用字符串是十分普遍的口令,用户在配置自己的设备时应放弃使用它们。此外,如果可能的话,应该避免对所有的路由器使用相同的共用字符串,尽量为每一个设备使用不同的共用字符串。不要让只读共用字符串与读/写的共用字符串相同,同时还要定期更改口令。
2.配置能访问路由器的管理服务器
通过访问控制列表,限制能访问到路由器上的管理服务器范围是一个比较有效的安全方法,尤其是当该路由器直接与INTERNET连接时。此处假设可信任的C类网络地址段为159.226.244.0。
access-list 100 permit 159.226.244.0 0.0.0.255
创建一个编号为100的访问列表,仅允许来自网段159.226.244.0的流量。
snmp-server community private RW 100
对来自于159.226.244.0网段请求,如果软件提交的共用字符串为private允许其进行读、写访问。
3.配置路由器向网管服务器发送报警信息
使用SNMP的trap性能,当有人试图用不正确的共用字符串发送SNMP指令时,路由器可以向网管服务器发送报警信息,但需要网管服务器上安装有CiscoWorks或类似的软件。
snmp-server enable traps
配置路由器使用trap,如果不被激活,没有trap向前转发。
snmp-server trap-authentication
配置路由器如果共用字符串的验证失败,发送一个trap。
snmp-server host 159.226.244.20
配置路由器向指定主机发送trap。
1.配置路由器能够使用SNMP的基本命令
snmp-server community public RO
允许任何提交共用字符串(community string)为public的服务器端软件进行读访问。
snmp-server community private RW
允许任何提交共用字符串为private的服务器端软件进行读和写访问。
为共用字符串选择强壮的口令是非常重要的。上述例子中的public和private这样的共用字符串是十分普遍的口令,用户在配置自己的设备时应放弃使用它们。此外,如果可能的话,应该避免对所有的路由器使用相同的共用字符串,尽量为每一个设备使用不同的共用字符串。不要让只读共用字符串与读/写的共用字符串相同,同时还要定期更改口令。
2.配置能访问路由器的管理服务器
通过访问控制列表,限制能访问到路由器上的管理服务器范围是一个比较有效的安全方法,尤其是当该路由器直接与INTERNET连接时。此处假设可信任的C类网络地址段为159.226.244.0。
access-list 100 permit 159.226.244.0 0.0.0.255
创建一个编号为100的访问列表,仅允许来自网段159.226.244.0的流量。
snmp-server community private RW 100
对来自于159.226.244.0网段请求,如果软件提交的共用字符串为private允许其进行读、写访问。
3.配置路由器向网管服务器发送报警信息
使用SNMP的trap性能,当有人试图用不正确的共用字符串发送SNMP指令时,路由器可以向网管服务器发送报警信息,但需要网管服务器上安装有CiscoWorks或类似的软件。
snmp-server enable traps
配置路由器使用trap,如果不被激活,没有trap向前转发。
snmp-server trap-authentication
配置路由器如果共用字符串的验证失败,发送一个trap。
snmp-server host 159.226.244.20
配置路由器向指定主机发送trap。
7856
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
