路由器snmp在ipv6环境访问
- 0关注
- 0收藏,51浏览
问题描述:
snmp配置:
snmp-agent
snmp-agent local-engineid
snmp-agent community read SnmpCj@26 acl 2003
snmp-agent community write SnmpWR@26 acl 2004
snmp-agent sys-info version v2c
display acl 2003
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 permit source 172.16.2.0 0.0.0.255
rule 1000 deny
display acl 2004
rule 10 permit source 192.168.100.0 0.0.0.255
rule 20 permit source 172.16.3.0 0.0.0.255
rule 1000 deny
以上配置只是针对了ipv4地址做snmp团体字ACl访问限制。
设备上有ipv6地址,通过display ipv6 udp查看ipv6有监听161端口
LAddr->port FAddr->port CPU PCB
::->161 ::->0 Oxffffffffffffff9f
在snmp没有配置团体字和ipv6的acl情况下,snmp的161端口能通过设备ipv6地址访问通吗?
1. 配置IPv6 ACL(对应SNMP读写的IPv6源段):
acl ipv6 number 2003
rule 10 permit source 2001:db8:1::/64 // 替换为实际读权限IPv6源段
rule 1000 deny
acl ipv6 number 2004
rule 10 permit source 2001:db8:100::/64 // 替换为实际写权限IPv6源段
rule 1000 deny
2. 绑定SNMP团体名与IPv6 ACL:
undo snmp-agent community read SnmpCj@26 acl 2003
snmp-agent community read SnmpCj@26 acl ipv6 2003
undo snmp-agent community write SnmpWR@26 acl 2004
snmp-agent community write SnmpWR@26 acl ipv6 2004
3. 确保设备开启IPv6转发、接口配置IPv6地址,且IPv6路由可达。
snmp的实际使用环境只是ipv4,在当前环境下是否会被ipv6访问到snmp端口。
结论先行
原理详解
- 你当前配置
snmp-agent community read xxx acl 2003
snmp-agent community write xxx acl 2004
acl 2003、2004都是IPv4 标准 ACL,只过滤 IPv4 报文- IPv6 SNMP 报文完全不受这两条 ACL 约束
- 设备现状
- 已全局开启
snmp-agent - 开启 v2c 版本
- IPv6 协议栈正常,
::->161全局监听 UDP161 IPv6 端口 - 未配置任何 IPv6 侧 SNMP 访问策略、未绑定 IPv6 ACL
- 访问逻辑
- IPv4 侧:只有 ACL2003 放行网段,才能用读团体字读取
- IPv6 侧:无任何访问控制,任意 IPv6 地址都能携带你的读团体字,访问设备 IPv6 地址:161 获取 MIB 信息
风险点
- 内网 / 外网 IPv6 网段所有人,知道你的
SnmpCj@26读团体字,就能遍历设备 CPU、流量、接口、路由等所有监控数据 - 写团体字同理,IPv6 无限制可尝试写入配置
两种解决办法(按需选择)
方式 1:禁止 IPv6 访问 SNMP(推荐收紧安全)
# 新建IPv6 ACL
acl ipv6 number 3000
rule deny ipv6 any
# 读团体字绑定IPv6 ACL
snmp-agent community read SnmpCj@26 ipv6 acl 3000
# 写团体字绑定IPv6 ACL
snmp-agent community write SnmpWR@26 ipv6 acl 3000
方式 2:仅放行指定 IPv6 网管网段访问
acl ipv6 number 3000
rule permit ipv6 source 2001:db8::/32 # 填写你的网管IPv6网段
rule deny ipv6 any
snmp-agent community read SnmpCj@26 ipv6 acl 3000
snmp-agent community write SnmpWR@26 ipv6 acl 3000
补充验证命令
# 查看SNMP IPv6绑定情况
display snmp-agent community
# 查看IPv6监听端口确认
display ipv6 udp
根据你提供的配置,当前从IPv6地址无法访问设备的SNMP服务。
这是因为设备的ACL和SNMP配置都是针对IPv4的,而IPv6和IPv4的访问控制在H3C设备上是完全独立的两套体系。
关键机制:IPv4与IPv6的访问控制相互独立
你配置的 acl (如 acl 2003 和 acl 2004) 是用于IPv4流量的访问控制列表(ACL)。当把它应用到SNMP社区时,它只会检查来自IPv4地址的管理站。
对于IPv6的管理站,需要在SNMP团体命令中显式地关联一个IPv6 ACL,才能进行访问控制。如果没配置,则遵循H3C设备的默认行为。
为什么当前IPv6能访问?
根据H3C官方解释,SNMP访问控制的规则如下,你的情况适用第一条:
未引用ACL 或 引用的ACL不存在/无规则: 允许所有NMS(网络管理站)访问设备。
引用的ACL下配置了规则: 只有规则中明确
permit的NMS才能访问。
在你的 snmp-agent community 命令配置中,只关联了IPv4的ACL,并没有关联任何IPv6 ACL。因此,对于IPv6的管理站来说,设备会认为没有配置访问限制,默认行为就是允许所有访问。
如何验证与配置?
1. 验证当前配置
要确认这一点,可以在设备上使用 display current-configuration | include snmp-agent community 命令。如果输出类似如下,就说明只关联了IPv4 ACL:snmp-agent community write SnmpWR@26 acl 2004(无 ipv6 关键字)
2. 验证IPv6可达性
你通过 display ipv6 udp 看到 ::->161 在监听,这表明SNMP Agent已成功绑定到所有IPv6地址,但最终能否访问,仍取决于上述的访问控制逻辑,而非服务是否监听。
3. 配置IPv6访问控制(如需限制)
若需要对IPv6管理地址进行限制,配置方法如下:
创建一个IPv6 ACL:
假设需要允许地址2001:db8:1::1/128访问,并拒绝其他所有地址。acl ipv6 basic 2005 rule 5 permit source 2001:db8:1::1/128 rule 10 deny source any quitsystem-view在SNMP社区中关联IPv6 ACL:
使用acl ipv6关键字将此IPv6 ACL应用到SNMP团体。snmp-agent community write SnmpWR@26 acl ipv6 2005关于这条命令,官方文档给出了明确的格式说明,其中snmp-agent community read SnmpCj@26 acl 2005acl ipv6 { ipv6-acl-number ... }是可选的。你的display acl输出中只有IPv4的acl 2003和acl 2004,也反证了没有配置IPv6 ACL
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
snmp的实际使用环境只是ipv4,在当前环境下是否会被ipv6访问到snmp端口。