CISCO 지정한 호스트에게만 SNMP 제공하기

SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있습니다.

관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있습니다.

여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 적을까 합니다.

 
 

 
 

허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정

포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며 

log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용합니다

Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 됩니다. Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 됩니다(위험) 마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용입니다.

 
 

 (config)# access-list 75 permit host xxx.xxx.xxx.xxx

 (config)# access-list 75 deny any log

 (config)# snmp-server community Password ro 75


예)

 (config)# access-list 75 permit host 192.168.0.5

 (config)# access-list 75 deny any log

 (config)# snmp-server community N3T-manag3m3nt ro 75

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.