2012年(366)
分类: 系统运维
2012-03-02 13:38:23
现在的绝大多数网络设备都支持snmp,利用snmp一些可以更好的运维如cisco 交换机,路由器等:下面将具体的配置方法共享.
一、配置Cisco设备的SNMP代理:
#snmp-server community public ro 配置本路由器的只读字串为public
#snmp-server community public rw 配置本路由器的读写字串为public
#snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去
#snmp-server host IP-address traps trapbhodc 指定路由器SNMP Trap的接收者IP-address发送Trap时采用trapbjodc作为字串
#snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址
二、配置Cisco设备的SNMP代理:
启用SNMP:
#snmp-server community public rw/ro
#end
启用陷阱:
#configure terminal
#snmp-server enable traps snmp authentication
#end
配置snmp
#conf t
#snmp-server community cisco ro(只读) 配置只读通信字符串
#snmp-server community secret rw(读写) 配置读写通信字符串
#snmp-server enable traps 配置网关SNMP TRAP
#snmp-server host 10.254.190.1 rw 配置网关工作站地址
如果用户不需要SNMP,最好取消;如果要使用SNMP,最好正确配置Cisco 路由器。但是,如果用户一定要使用SNMP,可以对其进行保护。首先,SNMP有两种模式:只读模式(RO)和读写模式(RW)。如果可能,使用只读模式,这样可以最大限度的控制用户的操作,即使在攻击者发现了通信中的字符串时,也能限制其利用SNMP进行侦察的目的,还能阻止攻击者利用其修改配置。如果必须使用读写模式,最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。
摘自:黑鹰小子 blog
