S12508G-AF如何关掉SNMP IPV6监听的161
- 0关注
- 0收藏,38浏览
一、 为什么 V4/V6 双栈都会监听 161 端口?
snmp-agent 命令开启 SNMP 服务时,设备的底层协议栈会默认同时创建 IPv4 和 IPv6 的 UDP 161 端口监听(即显示为 ::->161)。即使您的网络环境中完全没有配置或使用 IPv6 地址,只要 SNMP Agent 处于开启状态,IPv6 侧的 161 端口也会保持监听。二、 如何关闭或限制 IPv6 侧的 161 端口访问?
步骤 1:创建拒绝所有的 IPv6 ACL
1system-view
2acl ipv6 number 3000
3 rule deny ipv6 any
4 quit步骤 2:将 IPv6 ACL 绑定到 SNMP 团体字
1# 绑定只读团体字(请将 SnmpCj@26 替换为您实际的只读团体名)
2snmp-agent community read SnmpCj@26 acl ipv6 3000
3
4# 绑定读写团体字(请将 SnmpWR@26 替换为您实际的读写团体名)
5snmp-agent community write SnmpWR@26 acl ipv6 3000snmp-agent group 或 snmp-agent usm-user 命令下附加 ipv6 acl 3000 参数。步骤 3:验证与生效
::->161 监听状态可能依然保留,但任何来自外部的 IPv6 SNMP 请求报文都会被 ACL 直接丢弃,无法获取任何 MIB 信息。您可以使用非授权主机的 IPv6 地址尝试进行 snmpwalk 测试,确认访问已被成功阻断。
S12508G-AF(V7 平台)SNMP 默认双栈监听 161、关闭 IPv6 侧 161 完整方案
一、原理说明
H3C Comware V7(S1250 全系列)只要执行snmp-agent开启 SNMP,系统底层自动同时监听 IPv4 UDP161、IPv6 UDP161(:::161),整机没配置任何 IPv6 地址、没使能全局 ipv6,照样监听 IPv6 161;H3C 无单命令直接关闭 IPv6 SNMP 端口监听,无法彻底抹除端口监听状态,分两种落地方案:ACL 逻辑封禁(推荐,生产首选)、全局关闭设备 IPv6(极端方案)。
核查监听端口命令:
plaintext
display udp verbose | include 161
回显[::]:161=IPv6 监听开启。
二、方案 1:IPv6 ACL 绑定 SNMP,彻底拦截所有 IPv6 访问 161(不关闭端口、仅拒收报文,生产最优)
1、创建 IPv6 高级 ACL,全拒绝所有 IPv6 访问 SNMP
plaintext
system-view
acl ipv6 advanced 3000
rule deny udp any eq 161
quit
2、按 SNMP 版本绑定 ACL(二选一配置)
① 使用 SNMPv1/v2c(团体字模式)
逐个在读写团体绑定 ipv6-acl 3000
plaintext
snmp-agent community read XXX acl ipv6 3000
snmp-agent community write XXX acl ipv6 3000
XXX 替换现有实际团体名;新增团体字必须同步绑定此 ACL。
② 使用 SNMPv3(用户 + 组模式)
SNMPv3 没有团体绑定 ACL,全局配置 SNMP IPv6 接入黑名单,所有 IPv6 源全部拒绝访问:
plaintext
snmp-agent acl ipv6 3000
3、效果
端口依旧显示:::161 监听,但所有 IPv6 协议的 SNMP 请求全部丢弃,外网 / 内网 IPv6 无法连通 161,满足等保扫描关闭 IPv6 SNMP 需求。
三、方案 2:整机全局禁用 IPv6(彻底消失 IPv6 161 监听,无 IPv6 业务再用)
设备全程无任何 IPv6 地址、ND、IPv6 业务才可执行
plaintext
system-view
undo ipv6
执行后保存,重启 SNMP:
plaintext
undo snmp-agent
snmp-agent
再次display udp verbose | include 161,:::161 监听条目直接消失,只剩 IPv4 0.0.0.0:161。
⚠️ 缺点:整机所有接口 IPv6 协议全部关闭,后续如需 IPv6 业务需要重新全局使能ipv6。
四、补充优化:IPv4 SNMP 也加固(按需)
IPv4 侧 SNMP 只放行网管固定 IP,创建 ACL 绑定团体:
plaintext
acl number 3000
rule permit ip source 网管IP
rule deny ip
snmp-agent community read XXX acl 3000
不用 SNMPv1/v2c 就关闭老旧版本:
plaintext
undo snmp-agent sys-info version v1 v2c
五、最终验证命令
plaintext
#查看端口监听
display udp verbose | include 161
#查看SNMP绑定ACL
display snmp-agent community
display snmp-agent | include acl
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论