Маршрутизатор Cisco может выполнить саму команду?
Я испытываю проблему со своим маршрутизатором Cisco 1 900 Рядов, маршрутизатор иногда прекращает направлять пакеты, и когда я вхожу в него и показываю рабочую конфигурацию, я вижу, что никакой IP направить выполняющуюся IP команду маршрутизации не решает проблему, я должен перезагрузить маршрутизатор, чтобы заставить его работать снова. Я думал, что это было нападением, но проблема сохраняется даже после изменения всех паролей, и временной интервал между каждым возникновением очень случаен! иногда 15 минут иногда связывают часы или дни.
Я видел обсуждение форума поддержки Cisco, который удивительно запустился 6 дней назад, (моя проблема является также недавним, приблизительно 2 недели),
До настоящего времени они не сделали разработал его, я хотел иметь Ваши мнения и идеи, можете, маршрутизатор при некоторых обстоятельствах или по некоторым причинам отключает его маршрутизацию? Вы когда-либо испытывали такую проблему? как Вы решали его?
Спасибо!
Теперь ответ на этот вопрос есть в теме форума поддержки Cisco. Это ваша SNMP-конфигурация со строкой сообщества и RW доступом.
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc50
Это ответ с форума поддержки Cisco, в случае, если ссылка сломается. Очевидно, что это как-то связано с настройкой SNMP, оно должно быть более безопасным.
Fortify the Simple Network Management Protocol
В этом разделе описаны несколько методов, которые могут быть использованы для обеспечения безопасности развертывания SNMP в IOS-устройствах. Очень важно, чтобы SNMP был должным образом защищен, чтобы защитить конфиденциальность, целостность и доступность как сетевых данных, так и сетевых устройств, через которые эти данные проходят. SNMP предоставляет вам массу информации о здоровье сетевых устройств. Эта информация должна быть защищена от злоумышленников, которые хотят использовать эти данные для проведения атак на сеть.
- Строки сообщества SNMP
Строки сообщества - это пароли, которые применяются к IOS-устройству для ограничения доступа, как на чтение, так и на запись, к данным SNMP на устройстве. Эти строки сообщества, как и все пароли, должны быть тщательно подобраны, чтобы гарантировать, что они не тривиальны. Строки сообщества должны меняться через регулярные промежутки времени и в соответствии с политиками сетевой безопасности. Например, строки сообщества должны быть изменены, когда сетевой администратор меняет роли или покидает компанию.
Эти строки конфигурации конфигурируют строку сообщества READONLY (только для чтения) и строку сообщества READWRITE (только для чтения):
!
snmp-server community READONLY RO
snmp-server community READWRITE RW
!
Примечание: Предыдущие примеры строк сообщества были выбраны в порядке чтобы четко объяснить использование этих строк. Для производства окружение, общественные строки должны выбираться с осторожностью и должен состоять из ряда алфавитных, числовых и не буквенно-цифровые символы. См. рекомендации по созданию сильных Пароли для получения дополнительной информации по выбору нетривиальных Пароли.
См. дополнительные сведения об этой функции в разделе Ссылка на команду IOS SNMP.
- Строки сообщества SNMP с ACL
В дополнение к строке сообщества следует применять ACL, который еще больше ограничивает доступ к SNMP для выбранной группы IP-адресов источника. Эта конфигурация ограничивает доступ по протоколу SNMP только для чтения для конечных хост-устройств, находящихся в адресном пространстве 192.168.100.0/24, и ограничивает доступ по протоколу SNMP для чтения-записи только для конечного хост-устройства по адресу 192.168.100.1.
Примечание: Устройствам, которым разрешены эти ACL, для доступа к запрашиваемому SNMP требуется соответствующая строка сообщества. информация.
!
access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!
snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!
См. дополнительные сведения об этой функции в сообществе snmp-серверов в команде сетевого управления Cisco IOS См. дополнительные сведения об этой функции.
- Можно развертывать ACLs инфраструктуры (iACLs), чтобы гарантировать, что только конечные узлы с доверенными IP-адресами могут посылать SNMP-трафик на IOS-устройство. В iACL должна содержаться политика, запрещающая несанкционированные SNMP-пакеты на UDP-порту 161.
См. раздел Ограничение доступа к сети с ACL инфраструктуры в этом документе для получения дополнительной информации об использовании iACL.
- SNMP-виды
SNMP-виды - это функция безопасности, которая может разрешить или запретить доступ к определенным SNMP- MIB-ам. После создания представления и его применения к строке сообщества с командами глобальной конфигурации вида сообщества snmp-сервера, если вы получаете доступ к данным MIB, вы ограничиваетесь разрешениями, которые определяются представлением. При необходимости рекомендуется использовать представления, чтобы ограничить пользователей SNMP данными, которые им необходимы.
Этот пример конфигурации ограничивает доступ к SNMP с помощью строки сообщества LIMITED для данных MIB, которая находится в группе системы:
! snmp-server view VIEW-SYSTEM-ONLY system include ! snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO ! Refer to Configuring SNMP Support for more information.- SNMP версии 3
SNMP версии 3 (SNMPv3) определено RFC3410, RFC3411, RFC3412, RFC3413, RFC3414 и RFC3415 и является протоколом, основанным на совместимых стандартах для управления сетью. SNMPv3 обеспечивает безопасный доступ к устройствам, поскольку он аутентифицирует и опционально шифрует пакеты по сети. Там, где это поддерживается, SNMPv3 можно использовать для добавления еще одного уровня безопасности при развертывании SNMP. SNMPv3 состоит из трех основных опций конфигурации:
no auth - Этот режим не требует ни аутентификации, ни шифрования SNMP-пакетов. auth - этот режим требует аутентификации SNMP-пакета без шифрования. priv - этот режим требует как аутентификации, так и шифрования (конфиденциальности) каждого SNMP-пакета. Для использования механизмов безопасности SNMPv3 - аутентификации или аутентификации и шифрования - для обработки SNMP-пакетов должен существовать авторитетный идентификатор механизма; по умолчанию идентификатор механизма генерируется локально. Идентификатор механизма может быть отображен с помощью команды show snmp engineID, как показано в этом примере:
router#show snmp engineID Local SNMP engineID: 80000009030000152BD35496 Remote Engine ID IP-addr PortПримечание: Если ID engineID изменен, все учетные записи пользователей SNMP должны быть следующими перенастроена.
Следующим шагом является настройка группы SNMPv3. Данная команда конфигурирует IOS-устройство Cisco для SNMPv3 с группой серверов SNMP AUTHGROUP и разрешает аутентификацию только для этой группы с помощью ключевого слова auth:
! snmp-server group AUTHGROUP v3 auth ! This command configures a Cisco IOS device for SNMPv3 with an SNMP server group PRIVGROUP and enables both authentication and encryption for this group with the priv keyword: ! snmp-server group PRIVGROUP v3 priv ! This command configures an SNMPv3 user snmpv3user with an MD5 authentication password of authpassword and a 3DES encryption password of privpassword: ! snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des privpassword !Обратите внимание, что команды конфигурации пользователя snmp-сервера не отображаются в выводе конфигурации устройства, как того требует RFC 3414; поэтому пароль пользователя не отображается из конфигурации. Для просмотра сконфигурированных пользователей введите команду show snmp user command, как показано в данном примере:
router#show snmp user User name: snmpv3user Engine ID: 80000009030000152BD35496 storage-type: nonvolatile active Authentication Protocol: MD5 Privacy Protocol: 3DES Group-name: PRIVGROUPОбратитесь к разделу Настройка поддержки SNMP для получения дополнительной информации об этой функции.
- Защита полосы управления
Функция защиты полосы управления (MPP) в программном обеспечении Cisco IOS может быть использована для обеспечения безопасности SNMP, поскольку она ограничивает интерфейсы, через которые SNMP-трафик может прерываться на устройстве. Функция MPP позволяет администратору назначить один или несколько интерфейсов в качестве интерфейсов управления. Управление трафиком разрешено только через эти интерфейсы управления. После включения MPP никакие интерфейсы, кроме назначенных интерфейсов управления, не принимают трафик сетевого управления, предназначенный для устройства.
Обратите внимание, что MPP является подмножеством функции CPPr и требует версии IOS, поддерживающей CPPr. Дополнительные сведения о CPPr см. в разделе Понимание защиты плоскости управления
В этом примере MPP используется для ограничения доступа по протоколам SNMP и SSH только для интерфейса FastEthernet 0/0:
! control-plane host management-interface FastEthernet0/0 allow ssh snmp !См. дополнительные сведения в руководстве "Функция защиты плоскости управления"
Однако я обнаружил, что это также может быть связано с уязвимостью, вот ссылка, по которой об этом говорят, и как ее исправить: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010227-ios-snmp-ilmi