所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SNMP中应用基本ACL过滤非法网管示例

SNMP中应用基本ACL过滤非法网管示例

组网需求

图1-14所示,网络中存在两个网管可以对网络中的设备进行监管。由于网络规模较小、安全性较高,管理员希望Switch使用SNMPv1版本与网管进行通信,并且只有可信任的网管(NMS2)才能管理Switch,禁止非法网管管理Switch。此外,根据业务需要,管理员希望网管站只对交换机的除RMON的之外的节点进行管理,并且通过网管站的管理,可以让管理员能够快速的进行故障定位和排除。

图1-14  SNMP中应用基本ACL过滤非法网管组网图

配置思路

采用如下的配置思路:

  1. 配置Switch的SNMP版本为SNMPv1。

  2. 配置ACL、MIB视图和团体名,控制网管站的访问权限,使NMS2可以管理Switch上RMON之外的节点,NMS1不能管理Switch

  3. 配置告警主机,使Switch产生的告警能够发送至NMS2。为了方便对告警信息进行定位,避免过多的无用告警对处理问题造成干扰,仅允许缺省打开的模块可以发送告警。

  4. 配置网管NMS2。

操作步骤

  1. 配置Switch的接口IP地址,使其和网管站之间路由可达

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan 100
    [Switch-vlan100] quit
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type hybrid
    [Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100
    [Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface vlanif 100
    [Switch-Vlanif100] ip address 10.1.2.1 24
    [Switch-Vlanif100] quit

  2. 配置Switch的SNMP版本为SNMPv1

    [Switch] snmp-agent sys-info version v1

  3. 配置访问权限

    # 配置ACL,使NMS2可以管理Switch,NMS1不允许管理Switch

    [Switch] acl 2001
    [Switch-acl-basic-2001] rule 5 permit source 10.1.1.2 0.0.0.0
    [Switch-acl-basic-2001] rule 6 deny source 10.1.1.1 0.0.0.0
    [Switch-acl-basic-2001] quit

    # 配置MIB视图,限制NMS2可以管理Switch上除RMON之外的节点。

    [Switch] snmp-agent mib-view excluded allextrmon 1.3.6.1.2.1.16

    # 配置团体名并引用ACL和MIB视图。

    [Switch] snmp-agent community write adminnms2 mib-view allextrmon acl 2001

  4. 配置告警主机

    [Switch] snmp-agent target-host trap address udp-domain 10.1.1.2 params securityname adminnms2 

  5. 配置网管站(NMS2)

    网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。如果设备上只配置了write团体名,那么网管端读和写团体名都用设备上配置的write团体名。

    说明:

    网管系统的认证参数配置必须和设备上保持一致,否则网管系统无法管理设备。

  6. 验证配置结果

    配置完成后,可以执行下面的命令,检查配置内容是否生效。

    # 查看SNMP版本。

    [Switch] display snmp-agent sys-info version
       SNMP version running in the system:                                          
               SNMPv1 SNMPv3 

    # 查看告警的目标主机。

    [Switch] display snmp-agent target-host
    Target-host NO. 1                                                               
    -----------------------------------------------------------                     
      IP-address    : 10.1.1.2                                                       
      Source interface : - 
      VPN instance  : -                                                             
      Security name : %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#                                        
      Port          : 162                                                           
      Type          : trap                                                          
      Version       : v1                                                            
      Level         : No authentication and privacy                                 
      NMS type      : NMS                                                           
      With ext-vb   : No                                                            
    ----------------------------------------------------------- 

配置文件

Switch的配置文件

#
sysname Switch
#
vlan batch 100
#
acl number 2001
 rule 5 permit source 10.1.1.2 0
 rule 6 deny source 10.1.1.1 0
#                                                                               
interface Vlanif100                                                             
 ip address 10.1.2.1 255.255.255.0                                               
#
interface GigabitEthernet0/0/1
 port link-type hybrid
 port hybrid pvid vlan 100                                                      
 port hybrid untagged vlan 100     
#
snmp-agent
snmp-agent local-engineid 800007DB03360102101100
snmp-agent community write cipher %^%#.T|&Whvyf$<Gd"I,wXi5SP_6~Nakk6<<+3H:N-h@aJ6d,l0md%HCeAY8~>X=>xV\JKNAL=124r839v<*%^%# mib-view allextrmon acl 2001
snmp-agent sys-info version v1 v3
snmp-agent target-host trap address udp-domain 10.1.1.2 params securityname cipher %^%#uq/!YZfvW4*vf[~C|.:Cl}UqS(vXd#wwqR~5M(rU%%^%#
snmp-agent mib-view excluded allextrmon rmon 
#
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33470

下载量:966

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页