r3830 如何修改SNMP缺省口令

针对漏扫报告中的SNMP高危漏洞（可通过SNMP获取路由信息等问题），请按照以下步骤排查和修复：

---

1. 漏洞原因
SNMP默认配置存在安全隐患：
- 弱团体名（Community String）：默认或简单团体名（如 `public`/`private`）易被猜测。
- 未限制访问源IP：任意主机均可查询设备信息。
- 敏感信息泄露：SNMP可能暴露路由表、接口状态、设备配置等。

---

2. 修复方案
（1）加固SNMP访问控制

删除默认团体名，创建高强度团体名并绑定ACL
system-view
undo snmp-agent community read public 删除默认读权限
undo snmp-agent community write private 删除默认写权限
snmp-agent community read cipher YourStrongReadPass acl 2000 绑定ACL限制读权限
snmp-agent community write cipher YourStrongWritePass acl 2000 绑定写权限

配置ACL，仅允许可信网管IP访问
acl advanced 2000
rule 5 permit udp source 10.1.1.100 0 destination-port eq snmp 允许网管服务器IP
rule 10 deny udp destination-port eq snmp 拒绝其他所有SNMP访问


（2）启用SNMPv3（推荐）

创建SNMPv3用户，使用认证+加密
snmp-agent usm-user v3 snmpv3_user authentication-mode sha auth-pass cipher AuthPass123 privacy-mode aes128 priv-pass cipher PrivPass123
snmp-agent group v3 snmpv3_group privacy read-view iso 限制可访问的MIB视图


（3）关闭非必要SNMP服务

禁用SNMPv1/v2c（若无需兼容旧网管）
undo snmp-agent sys-info version v1 v2c
snmp-agent sys-info version v3 仅启用SNMPv3


（4）全局ACL过滤（增强防护）

全局过滤非信任IP的SNMP流量
snmp-agent acl 2000


（5）验证配置

display snmp-agent community 检查团体名和ACL绑定
display snmp-agent usm-user 确认SNMPv3用户
display snmp-agent sys-info 查看启用的SNMP版本


---

3. 关键操作说明
- 高强度凭证：团体名/密码长度≥12位，包含大小写字母、数字及符号。
- 最小化权限：读权限仅开放必要MIB节点（如通过 `read-view` 限制）。
- 日志监控：开启SNMP Trap告警，监控异常访问：

snmp-agent trap enable
snmp-agent target-host trap address udp 10.1.1.100 params securityname snmpv3_user v3 privacy


---

4. 影响评估
- 业务影响：修复后非法主机无法获取路由信息，但需确保网管服务器IP已被ACL放行。
- 兼容性：若网管系统仅支持SNMPv2c，需逐步迁移至SNMPv3。

> ⚠️ 操作建议：在业务低峰期执行变更，并提前备份配置。修改后使用漏扫工具复测确认漏洞关闭。

通过以上措施可彻底修复SNMP信息泄露漏洞，提升设备安全性。若需进一步协助，请提供设备型号及软件版本。