آموزش SNMP در روتر و سوئیچ های سیسکو

آموزش SNMP در روتر و سوئیچ های سیسکو Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای جمع‌آوری اطلاعات شبکه و مدیریت شبکه است. از SNMP برای جمع‌آوری اطلاعات مربوط به کانفیگ و تجهیزات شبکه مثل سرور، پرینتر، سوئیچ و روتر بر اساس یک IP، استفاده می‌شود. نکته دیگر این است که به ساختمان داده این پروتکل MIB یا Management Information Base می‌گویند.

دراین مقاله می‌خواهیم روش‌های کنترل دسترسی به SNMP را در سوئیچ سیسکو و روترهای این کمپانی بررسی کنیم.

معرفی SNMP

SNMP به طور پیش‌فرض از پورت‌های UDP 161 برای پیام‌های عمومی و از پورت UDP 162 برای پیام‌های trap استفاده می‌کند. متأسفانه در حال حاضر SNMP ورژن 1 به طور گسترده استفاده می‌شود که خیلی ایمن نیست. در این ورژن، اطلاعات به صورت Clear-text ارسال می‌شود و یکی از ضعف‌های اصلی آن است.

توصیه می‌شود اگر از سیستم‌های مانیتورینگ یا پروتکل SNMP استفاده نمی‌کنید؛ می‌توانید با دستورات زیر این سرویس را غیرفعال کنید:

Switch(config)# no snmp-server community
Switch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

اگر سرویس SNMP را برای سوئیچ‌ها و روترهای داخل شبکه نیاز دارید؛ بهتر است از SNMP ورژن 3 استفاده کنید. این ورژن بسیار امن‌تر از ورژن 1 خواهد بود. ورژن 3 از یک رمزنگاری Hash برای احراز هویت و محافظت از Community String استفاده می‌کند. پیش از کار با دستورات این نسخه، بهتر است تنظیمات ورژن قدیم پاکسازی شود. دستوراتی که در پایین آورده شده است، نشان می‌دهد یک مدل امنیتی برای SNMP V3 چگونه ایجاد می‌شود.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3

تعریف گروه Admin با دسترسی خواندن و نوشتن MIB

Switch(config)# snmp-server group admins v3 auth read adminview write adminview

سپس یک کاربر به عنوان مثال root با یک کلمه عبور برای این گروه تعریف می‌کنیم. این پسوورد می‌تواند با MD5 هش شود. در انتهای دستور اکسس لیست 12 به این کاربر اعمال می‌کنیم:

Switch(config)# snmp-server user root admins v3 auth md5 MyP@ssw0rd access 12

سرانجام می‌توان مشخص کرد adminview به کدام قسمت‌های MIB دسترسی داشته باشد. در دستورات زیر دسترسی به شاخه‌های Internet از MIB وجود دارد. اما به شاخه‌هایی که آدرس‌های IP و اطلاعات مسیریابی را شامل می‌شود خیر.

Switch(config)# snmp-server view adminview internet included
Switch(config)# snmp-server view adminview ipAddrEntry excluded
Switch(config)# snmp-server view adminview ipRouteEntry excluded

اگر فقط snmp ورژن 1 بر روی سوئیچ یا روتر قابل دسترس است؛ با دستورات زیر و با یک اکسس لیست می‌توانیم دسترسی فقط خواندن را به یک سری IP ها اعمال کنیم.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3
Switch(config)# snmp-server community Hash-960301 ro 12

در انتها سرویس SNMP Trap برای مدیریت سوئیچ با دستورات زیر تنظیم می‌شود:

Switch(config)# snmp-server host 172.30.100.2 traps Hash-960301
Switch(config)# snmp-server host 172.30.100.3 traps Hash-960301
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps

آموزش SNMP در روتر و سوئیچ های سیسکو

آموزش SNMP در روتر و سوئیچ های سیسکو

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

12 + 2 =