CISCO - 지정한 호스트에게만 SNMP 제공하기

SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있다.

관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있다.

여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 정리해 봤다.

허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정

포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며 log는 거부시에 기록을 남긴다는 옵션이다. 

이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용할 수 있다.

Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환하는 snmp 패스워드로 생각하면 된다. 

Ro는 읽기 전용이라는 의미이며 rw로 지정시 snmp 관리도구를 통해 제어가 가능하게 된다(위험) 

마지막 75는 좀전에 만든 ACL 75번을 적용하겠다는 내용이다.

 (config)# access-list 75 permit host xxx.xxx.xxx.xxx
 (config)# access-list 75 deny any log
 (config)# snmp-server community Password ro 75

예) 만약 snmp 서버가 192.168.0.5이고, 비밀번호가 N3T-manag3m3nt 경우

 (config)# access-list 75 permit host 192.168.0.5 
 (config)# access-list 75 deny any log 
 (config)# snmp-server community N3T-manag3m3nt ro 75