FAQ-snmp团体属性和snmp关联的ACL之间处理先后关系

发布时间:  2014-09-11 浏览次数:  408 下载次数:  0
问题描述
Q:
snmp团体属性和snmp关联的ACL之间处理先后关系?什么告警日志中非法IP地址1XX.138.33.150连接设备失败原因是团体名错误,而不是先被acl deny原因?
告警信息
告警信息:
Aug 25 2013 09:11:57 XXXXXXXXXXX %%01SNMP/4/authenticationFailure(t):CID=0x80d503fc-OID=1.3.6.1.6.3.1.1.5.5;Failed to login through SNMP.(IPAddress=1xx.xx.xx.150, ReasonInfo=Community is incorrect.)
处理过程
根因
Q:
1、设备配置:
snmp-agent
snmp-agent local-engineid 80000xxxxxAC4E915CA4F1
snmp-agent community read cipher %@%@xxxxxxxxxxxxxxxx%@%@ mib-view iso-view acl 2000
snmp-agent sys-info version v2c v3

Basic ACL 2000, 3 rules
WangGuan
ACL's step is 5
rule 5 permit vpn-instance vrf3 source 10.xxx.xx.9 0 (311615 times matched)
rule 10 permit vpn-instance vrf3 source 10.xxx.xx.10 0 (121573 times matched)
rule 15 deny vpn-instance vrf3 (0 times matched)

2、ACL规则与团体名认证有先后顺序,先进行团体名认证,如果认证通过,则再去检查ACL规则,所以在设备上看到的告警是团体名错误,而非ACL deny。这样的先后顺序实现是因为CE交换机支持配置25个团体名,可以给每个团体名绑定不同的ACL规则,当网管使用SNMP协议去连接设备时,先团体名认证,认证通过后,设备获取到是哪个团体名,然后去匹配相应的ACL规则,从而达到访问控制效果,如果先去检查ACL规则,则在多个团体名和多个ACL同时存在情况下,无法一一对应上。
建议与总结

END