《SNMP的安全性配置》word版
SNMPv网络管理协议的安全性
SNMPv网络管理协议的安全性SNMPv3网络管理协议的安全性概述SNMP(Simple Network Management Protocol)是一种用于网络管理的协议,它允许管理员监控和管理网络设备。
SNMPv3是SNMP协议的第三个版本,相比之前的版本,SNMPv3具有更高的安全性。
本文将探讨SNMPv3协议的安全性以及相关的保护机制。
SNMPv3协议的安全特性SNMPv3协议引入了多项安全机制来加强网络管理的安全性,主要包括身份验证、访问控制和数据加密等方面的改进。
1. 身份验证SNMPv3支持多种身份验证方法,包括密码身份验证和基于公钥基础设施(PKI)的身份验证。
密码身份验证基于加密密码,确保只有经过身份验证的用户才能访问网络设备。
PKI身份验证使用数字证书来验证用户身份,提供更高的安全性。
2. 访问控制SNMPv3引入了访问控制列表(ACL)来限制对网络设备的访问。
管理员可以根据需要定义ACL规则,只允许特定的用户或主机进行访问。
这样可以有效地控制对网络设备的管理权限,减少潜在的安全威胁。
3. 数据加密SNMPv3通过使用加密算法对传输的数据进行加密,保护数据的机密性。
管理员可以选择使用DES、3DES、AES等加密算法对SNMPv3报文进行加密,防止未经授权的用户获取敏感信息。
SNMPv3安全协议SNMPv3引入了三个安全协议来实现上述的安全特性,分别是身份验证协议(Authentication Protocol)、访问控制协议(Access Control Protocol)和加密协议(Encryption Protocol)。
1. 身份验证协议SNMPv3的身份验证协议用于验证消息的发送者身份,并保护消息的完整性。
常见的身份验证协议有MD5和SHA。
其中,MD5基于消息摘要算法,提供较低的安全性,而SHA提供更高的安全性,但也导致了更大的计算开销。
2. 访问控制协议访问控制协议用于定义ACL规则,并决定哪些用户拥有访问网络设备的权限。
SNMP配置说明
SNMP配置说明一.配置说明修改配置文件的目的是为了添加代理用户1.MIB version说明:net-snmp代理支持v1, v2c, v3版本,可根据管理侧的版本信息自适应回复相同版本格式的回复。
无需配置。
Mib节点项:无2.Trap community说明:trap共同体,适用于v1/v2c版本。
管理侧侧只有在配置了相同的参数后才能接收到trap.配置方法:trapsink localhost public 162trap2sink 172.18.100.148 public 162以上两条配置项中,共同体名均为public。
其中第一条配置项适用于发送v1版本trap,第二条配置项适用于发送v2c版本trapMib节点项:无3.RO/RW community说明:只读/读写共同体,适用于v1/v2c版本。
管理侧和代理侧在配置了相同的共同体参数后,管理侧才可以对代理侧进行读取或者设置操作。
配置方法:com2sec get default publiccom2sec set default netman只读共同体设置为public, 读写共同体设置为netman。
此配置需要与group和access配置共同使用实现只读/读写功能。
Mib节点项:无4.SNMP Engine ID说明:SNMP引擎标识,适用于v3版本。
SnmpEngineID值可指定也通过某种算法计算得到,目的是为了标识唯一一个SNMP实体。
在net-snmp中是通过计算生成的,使用如下的方法:SnmpEnglineID长度为12个字节,最高bit设置为1,表示使用框架定义的方法(如果为0表示企业定义)。
前4个字节设为生产代理的企业标识(prvate.enterprise下的企业标识,同IANA分配),如ECI的企业标识为1286。
其他8个字节通过使用IP地址并在地址后面增补随机数来确定。
配置方法:修改net-snmp源代码,将NETSNMP_ENTERPRISE_OID更改为1286.Mib节点项:snmpEngineID(1.3.6.1.6.3.10.2.1.1)5.View name, oid name, include说明:VACM配置相关,适用于v1/v2c/v3版本。
SNMP安全配置建议与最佳实践
SNMP安全配置建议与最佳实践SNMP(Simple Network Management Protocol)是一种常用于网络管理的协议,它可以用于监控和管理网络上的设备。
然而,由于SNMP的安全性问题,恶意攻击者可能利用其漏洞来获取网络的敏感信息甚至控制网络设备。
因此,为了保障网络的安全,下面是一些建议与最佳实践,旨在配置SNMP的安全性。
1. 使用版本3SNMP有三个主要版本,分别是SNMPv1、SNMPv2c和SNMPv3。
然而,SNMPv1和SNMPv2c使用了较弱的社区字符串(community string)来进行身份验证,容易受到攻击。
相比之下,SNMPv3引入了更强大的安全机制,如消息完整性验证、消息机密性和用户身份验证等,因此在配置SNMP时应尽量使用SNMPv3来提高安全性。
2. 强化用户身份验证在配置SNMPv3时,需要创建用户并为其配置相应的安全参数。
为了实现强化的用户身份验证,应该遵循以下几点:- 选择强密码:确保选择足够复杂和难以猜测的密码,建议包含大小写字母、数字和特殊字符。
- 定期更换密码:定期更换用户的密码,以减少密码泄露的风险。
- 启用安全通信:使用安全协议(如SHA(Secure Hash Algorithm)或MD5(Message Digest Algorithm 5))对传输的消息进行完整性验证和加密,以防止信息窃听和篡改。
3. 限制访问权限为了确保只有授权用户可以访问SNMP设备,应该限制SNMP的访问权限。
以下是一些限制访问权限的建议:- IP地址过滤:通过配置访问控制列表(ACL)或网络访问控制(NAC)设备,只允许特定IP地址或IP地址范围的设备访问SNMP。
- SNMP组配置:将用户分组,为每个组配置特定的读写权限,只允许特定组的用户访问和管理设备。
- 授权访问:根据用户的职责和需要,分配相应的权限,控制用户能够访问和配置的设备和数据。
4. 监控和审计SNMP活动监控和审计SNMP活动可以帮助及时发现异常行为并采取相应的措施。
SNMP配置
网络管理软件使用网络管理软件思科官方: Cisco Works for Windows惠普官方:Open View NNM AE pk 7.01IBM 官方:IBM Tivoli NetView第三方软件如:Falconet网络管理软件的作用对于企业网络管理来说,网管软件必须为用户带来实实在在的好处,奇作用主要体现在一下几个方面:1.准确地反应网络故障网管软件必须能迅速反映问题,还要有一定推理故障根源的能力。
另外,还要具备将专家系统、人工智能系统、神经元技术和网络故障和性能管理相结合,使网管系统逐步具备分析决策的能力。
2.整合系统管理科技发展至今,计算机系统管理与网络管理之间的关系已经越来越密切了。
站在最终用户的角度,科学地从网络和应用层衡量、监测系统的总体性能和故障,是网络管理员迫切需要的。
这就要求网络管理软件整合系统管理功能。
3.支持Web网管基于Web的网管模式WBM (Web-Based Management)可以让网管人员随时了解企业网络状况。
其实现包括两种方式,即代理方式和嵌入方式。
第一种可以在任意网内计算机上运行Web服务器,并轮流与端点设备通信、浏览器用户与代理通信以及代理端点设备之间通信;第二种是嵌入式,它将Web功能嵌入到网络设备中,每个设备有自己的Web地址,管理员可通过浏览器访问并管理该设备。
另外,以Web Server为中心,降低了维护费用,对系统的修改只需在Web Server上进行,无须在客户端做任何修改。
4.面向业务的网管新一代的网络管理系统,已开始从面向网络设备的管理向面向网络业务的管理过度。
这种网管思想把网络服务、业务作为网管对象,通过实时监测与网络业务相关的设备、应用,通过模拟客户实时测量网络业务的服务质量,通过收集网络业务的业务资料,实现全方位、多视角监测网络业务运行情况的目的,从而实现网络业务的故障管理、性能管理和配置管理。
网络管理软件产品根据调查数据指出,80%以上的企业用户使用了网管软件。
SNMP的配置
SNMP配置1.1概述SNMP是Simple Network Manger Protocol(简单网络管理协议)的缩写,在1988年8月就成为一个网络管理标准RFC1157。
到目前,因众多厂家对该协议的支持,SNMP已成为事实上的网管标准,适合于在多厂家系统的互连环境中使用。
利用SNMP协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划,网络监控和管理是SNMP的基本功能。
SNMP是一个应用层协议,为客户机/服务器模式,包括三个部分:z SNMP网络管理器z SNMP代理z MIB管理信息库SNMP网络管理器,是采用SNMP来对网络进行控制和监控的系统,也称为NMS(Network Management System)。
常用的运行在NMS上的网管平台有HPOpenView 、CiscoView、CiscoWorks 2000,锐捷网络针对自己的网络设备,开发了一套网管软件--Star View。
这些常用的网管软件可以方便的对网络设备进行监控和管理。
SNMP代理(SNMP Agent)是运行在被管理设备上的软件,负责接受、处理并且响应来自NMS的监控和控制报文,也可以主动发送一些消息报文给NMS。
NMS和Agent的关系可以用如下的图来表示:图1 网络管理站(NMS)与网管代理(Agent)的关系图MIB(Management Information Base)是一个虚拟的网络管理信息库。
被管理的网络设备中包含了大量的信息,为了能够在SNMP报文中唯一的标识某个特定的管理单元,MIB采用树形层次结构来描述网络设备中的管理单元。
树的节点表示某个特定的管理单元。
如下图MIB对象命名树,为了唯一标识网络设备中的某个管理单元System,可以采用一串的数字来表示,如{1.3.6.1.2.1.1}这一串数字即为管理单元的Object Identifier(单元标识符),MIB则是网络设备的单元标识符的集合。
snmp配置协议书
snmp配置协议书甲方(配置方):_______________________乙方(接受方):_______________________签订日期:____年____月____日鉴于甲方拥有网络管理系统和相应的SNMP(简单网络管理协议)配置能力,乙方需要对网络设备进行有效管理,双方本着平等互利的原则,就SNMP配置事宜达成如下协议:## 第一条定义1. SNMP:简单网络管理协议,是一种网络管理的标准,用于网络设备的监控和管理。
2. MIB:管理信息库,是SNMP中用于存储网络设备信息的数据结构。
## 第二条配置目的甲方将根据乙方的需求,对乙方的网络设备进行SNMP配置,以实现网络监控、故障诊断、性能分析等网络管理功能。
## 第三条配置范围1. 配置乙方网络中的路由器、交换机等网络设备,使其支持SNMP协议。
2. 设置SNMP版本,包括但不限于SNMPv1、SNMPv2c、SNMPv3。
3. 配置SNMP访问权限,包括读/写权限、访问控制列表(ACL)等。
## 第四条配置要求1. 甲方应根据乙方提供的网络设备型号、版本等信息,选择合适的SNMP配置方案。
2. 甲方应确保配置过程中不会影响到乙方网络的正常运行。
3. 乙方应提供必要的网络设备访问权限和技术支持。
## 第五条配置流程1. 乙方提供网络设备信息及管理需求。
2. 甲方制定SNMP配置方案,并与乙方确认。
3. 甲方实施配置,乙方提供必要的协助。
4. 配置完成后,双方共同进行测试,确保配置正确无误。
## 第六条保密条款1. 双方应对在本协议履行过程中知悉的对方商业秘密和技术秘密予以保密。
2. 未经对方书面同意,任何一方不得向第三方披露、泄露或使用上述保密信息。
## 第七条违约责任1. 如甲方未能按照约定完成配置任务,应承担相应的违约责任。
2. 如乙方未能提供必要的信息或协助,导致配置无法进行或失败,乙方应承担相应的责任。
## 第八条协议的变更和解除1. 本协议的任何变更或补充,需经双方协商一致,并以书面形式确认。
SNMP网络管理安全性研究与应用
SNMP网络管理安全性研究与应用一、引言随着互联网的快速发展,网络管理变得愈发重要。
SNMP(Simple Network Management Protocol,简单网络管理协议)是一种用于监控和管理网络设备的协议,被广泛应用于各类网络环境中。
然而,由于其设计之初并未考虑安全性问题,使得SNMP协议本身存在一些安全隐患。
因此,研究和应用SNMP网络管理安全性显得尤为重要。
二、SNMP简介SNMP是一种基于消息的协议,用于网络管理系统和网络设备之间的通信。
它使用客户端/服务器模式,将网络设备视为服务端,网络管理系统视为客户端。
通过SNMP,网络管理员可以获取设备状态信息、配置设备参数、监控设备性能等。
SNMP协议定义了管理信息库(MIB)和相应的数据结构。
MIB是一组管理信息的集合,描述了在特定设备上管理的对象和相关属性。
每一个MIB对象都有一个唯一的标识符(OID),用于在网络中唯一标识该对象。
三、SNMP网络管理安全性问题1.明文传输:SNMP协议在传输过程中使用明文传输,导致信息容易被窃取和篡改。
2.认证机制不足:SNMPv1和SNMPv2c版本的安全机制较为简单,只提供了基本的身份认证,容易受到中间人攻击。
3.安全配置困难:SNMP协议本身并没有提供明确的安全配置指南,使得管理员往往难以正确配置安全参数。
4.数据完整性及机密性问题:由于SNMP协议的数据未加密保护,因此容易遭遇数据篡改和泄露隐私信息的风险。
四、SNMP网络管理安全性的研究与解决方案1.加密传输:对SNMP协议进行加密处理,使用HTTPS、SSH等安全传输层协议保护数据的机密性。
2.身份认证增强:使用较为安全的SNMPv3版本,并配备强大的身份认证机制,如SHA算法和AES加密算法等。
3.访问控制:合理配置访问控制列表(ACL),只允许受信任的管理系统访问受管设备,限制未授权的访问。
4.安全配置指南:提供详尽的安全配置指南,指导管理员正确配置SNMP协议的安全参数。
SNMP配置手册
1交换机部分Cisco交换机使用以下配置命令前,均需要执行以下步骤:1.登陆交换机。
(可以使用串口线直接连接,如果交换机配置有管理IP并且允许telnet登陆,则也可以通过telnet进行登陆。
)2.输入enable命令进入特权模式。
3.输入config terminal进行配置模式。
使用完配置命令后,均需要执行以下步骤进行保存:1.输入end命令退出配置模式。
2. copy running start保存配置文件。
SNMP配置1.配置snmp 只读communitysnmp-server community public ro配置交换机的只读community为public2.配置snmp 读写communitysnmp-server community public rw配置交换机的读写community为publicTRAP配置1.配置交换机允许发送trapsnmp-server enable traps2.配置交换机接收trap的主机snmp-server host traps public指定交换机SNMP Trap的接收者为,发送Trap时采用public作为字串Syslog配置1.打开交换机的syslog功能logging on2. 直接配置相应的syslog发送到的接收主机,为该主机的ip地址。
logging3.配置发送syslog的主机格式类型。
logging facility local44.选择发送warning以上级别的log信息。
logging trap warnings华为交换机使用以下配置命令前,均需要执行以下步骤:1.登陆交换机。
(可以使用串口线直接连接,如果交换机配置有管理IP并且允许telnet登陆,则也可以通过telnet进行登陆。
)2.输入system命令进入配置模式。
使用完配置命令后,均需要执行以下步骤进行保存:1.输入return命令退出配置模式。
2. Save保存配置文件。
SNMP协议中的安全性考虑
SNMP协议中的安全性考虑在计算机网络管理中,Simple Network Management Protocol(简单网络管理协议,简称SNMP)是一种常用的管理协议,用于监控和控制网络设备。
然而,由于其通信方式的特性,SNMP协议存在一些安全性方面的考虑。
1. 认证机制SNMP协议的安全性考虑之一是认证机制。
由于SNMP使用了明文传输,使得数据容易受到篡改或者伪装攻击。
为了解决这个问题,SNMP引入了认证机制,通过使用密钥(或密码)来验证通信的两端。
认证机制的一种常见方式是使用基于口令的共同体字符串(community string)进行验证。
这个共同体字符串可以是只读(read-only)或读写(read-write)权限。
然而,这种方式并不具备强大的安全性,容易受到猜测或拦截攻击。
因此,在更高级别的认证机制中,可以使用基于用户的SNMPv3协议,通过用户名和加密的密码进行认证。
这样可以确保通信的安全性和真实性。
2. 访问控制列表为了进一步增强SNMP协议的安全性,可以使用访问控制列表(Access Control Lists,ACLs)。
ACLs允许管理员对SNMP的操作进行精确的控制,包括限制哪些主机可以访问SNMP代理,以及对不同主机的访问权限进行配置。
通过ACLs,管理员可以设置允许或拒绝特定主机的SNMP请求,以及指定允许或拒绝特定主机的特定操作。
这种精确的控制可以有效地减少未授权访问和恶意操作对SNMP网络的威胁。
3. 安全协议SNMP协议的数据传输是通过UDP协议实现的,而UDP本身是不可靠和不安全的。
为了解决这个问题,可以使用安全协议来加密SNMP传输的数据。
其中一种常见的安全协议是基于传输层安全性(Transport Layer Security,TLS)的安全传输。
TLS使用公钥/私钥加密技术来确保传输的数据在互联网上是安全的。
对于SNMP,TLS可以用于保护SNMP 通信的机密性和完整性。
SNMPv3的安全性分析
SNMPv3的安全性分析在网络管理协议的世界中,简单网络管理协议(SNMP)是不可或缺的一员。
随着技术的不断进步,我们迎来了其最新版本——SNMPv3。
然而,在这片充满创新与机遇的土地上,安全性问题却如影随形,成为了我们必须直面的挑战。
首先,让我们将SNMPv3比作一艘航行在信息海洋中的巨轮。
这艘巨轮拥有先进的导航系统,能够高效地收集和传输网络设备的信息。
然而,正如海上航行需要面对风浪和暗礁,SNMPv3在传递这些珍贵数据时也必须警惕潜在的安全威胁。
那么,SNMPv3的安全性究竟如何呢?它是否像一座坚固的堡垒,能够抵御外界的攻击?或者,它更像是一扇未上锁的门,让不法之徒有机可乘?首先,我们必须承认SNMPv3在安全性方面取得了显著的进步。
它引入了加密和认证机制,就像为数据传输加上了一把锁和一把钥匙。
这些机制确保了数据的完整性和机密性,使得未经授权的访问变得更加困难。
然而,尽管有了这些安全措施,SNMPv3仍然面临着一些挑战。
其中之一就是密钥管理问题。
在SNMPv3中,密钥的管理和分发至关重要。
如果密钥被泄露或不当管理,那么整个安全体系就会受到威胁。
这就好比一个金库的密码被多人知晓,金库的安全性自然大打折扣。
此外,我们还应该关注到SNMPv3可能遭受的中间人攻击。
在这种攻击模式下,攻击者会截获并篡改传输中的数据,就像一位狡猾的海盗在海上拦截并替换货物一样。
虽然SNMPv3提供了消息完整性码来防止这种攻击,但如果攻击者能够获取到密钥,那么这种防御措施也将变得无效。
那么,我们该如何应对这些挑战呢?首先,加强密钥管理是关键。
我们应该采用强密码策略,并定期更换密钥,以防止密钥被破解或泄露。
同时,我们还应该使用安全的通道来传输密钥,以确保其不会被截获。
其次,我们可以借助其他安全技术来增强SNMPv3的安全性。
例如,使用IPSec等VPN技术可以为SNMPv3通信提供额外的保护层,使其更加安全可靠。
此外,我们还应该定期对网络进行安全审计和风险评估,以便及时发现并修复潜在的安全漏洞。
SNMP安全协议
SNMP安全协议SNMP(Simple Network Management Protocol)是一种用于网络设备管理的协议,在网络管理中起着重要的作用。
然而,由于其历史悠久,一开始并没有考虑到安全性的问题,因此存在一定的安全风险。
为了解决这个问题,SNMP安全协议应运而生。
本文将介绍SNMP安全协议的定义、原理以及其在网络安全中的应用。
一、SNMP安全协议的定义SNMP安全协议是为了增强SNMP协议的安全性而制定的协议,主要用于防止未授权的访问、信息泄露以及篡改等安全威胁。
它提供了认证(Authentication)和加密(Encryption)的机制,确保网络设备管理的可靠性和保密性。
其核心是通过使用安全相关的各种协议、算法和机制,对SNMP协议进行改进和扩展,以满足网络安全的要求。
二、SNMP安全协议的原理1. 认证机制SNMP安全协议通过认证机制来验证网络管理系统与被管理设备之间的身份,防止未授权的访问。
常用的认证方式有基于口令的认证(Community-Based Authentication)和基于用户的认证(User-Based Authentication)。
基于口令的认证是最简单的一种认证方式,它通过设置共同的密码来验证访问者的身份。
然而,这种方式的安全性较低,容易受到口令猜测和嗅探攻击。
基于用户的认证则更加安全可靠,它通过用户ID、口令和安全选项共同来验证用户的身份。
在认证过程中,还可以使用哈希算法来对口令进行加密,提高了认证的安全性。
2. 加密机制SNMP安全协议通过加密机制来保护传输的数据,在数据传输过程中对数据进行加密,防止信息泄露和篡改的风险。
常用的加密算法有DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等。
加密机制的实现方式一般包括对整个消息进行加密、对整个消息的部分字段进行加密、以及对整个报文进行加密。
常见网络设备SNMP配置指南
常见网络设备SNMP配置指南SNMP(Simple Network Management Protocol)是一种网络管理协议,它允许网络管理员监视和管理网络中的设备和应用程序。
在配置SNMP时,需要指定设备的管理信息库(MIB)文件,以便SNMP管理系统可以识别和监控设备。
本文将介绍常见网络设备的SNMP配置指南。
以下是一个通用的配置步骤:步骤1:安装SNMP管理系统首先,您需要选择并安装一个SNMP管理系统。
有很多可用的选项,例如Zabbix、OpenNMS和Nagios等。
这些系统可以轻松地对SNMP设备进行配置、监控和管理。
步骤2:选择SNMP版本SNMP有几个不同的版本,包括SNMPv1、SNMPv2c和SNMPv3、每个版本都有不同的特性和安全性级别。
在选择版本时,需要考虑设备和管理系统的兼容性以及安全性需求。
步骤3:配置SNMP社区字符串SNMP社区字符串是设备与SNMP管理系统之间进行身份验证的凭据。
它类似于密码,用于防止未经授权的访问。
默认情况下,SNMP社区字符串为"public"或"private",但强烈建议修改为更安全的字符串。
要配置SNMP社区字符串,可以通过设备的管理界面或命令行界面进行操作。
步骤4:配置SNMP权限SNMP有几个级别的权限,包括只读和读写。
只读权限允许管理系统获取设备的信息,而读写权限则允许管理系统修改设备的设置。
您可以根据要求设置适当的权限级别。
步骤5:配置SNMP陷阱SNMP陷阱是设备在特定事件发生时发送给管理系统的通知。
您可以配置陷阱来监控设备的状态并及时采取行动。
要配置SNMP陷阱,您需要指定陷阱的目的地(即管理系统的IP地址)以及触发陷阱的条件。
步骤6:测试SNMP设置在完成SNMP配置后,最好进行测试以确保一切正常。
您可以使用SNMP管理系统来获取设备的状态和信息,确保它与实际情况一致。
除了以上通用的配置步骤外,不同的网络设备可能还有一些特定的配置要求。
SNMP配置手册
精心整理1交换机部分1.1Cisco交换机使用以下配置命令前,均需要执行以下步骤:1.登陆交换机。
(可以使用串口线直接连接,如果交换机配置有管理IP并且允许telnet登陆,则也可以通过telnet进行登陆。
)231212配置交换机的读写community为public1.1.2TRAP配置1.配置交换机允许发送trapsnmp-serverenabletraps2.配置交换机接收trap的主机snmp-serverhosttraps public指定交换机SNMPTrap的接收者为,发送Trap时采用public作为字串1.1.3Syslog配置1.打开交换机的syslog功能2.341.21登2.输入system命令进入配置模式。
使用完配置命令后,均需要执行以下步骤进行保存:1.输入return命令退出配置模式。
2.Save保存配置文件。
1.2.1SNMP配置1.启用SNMPsnmp-agent2.配置snmp协议的版本号snmp-agentsys-infoversionall上面的命令是指对SNMPV1、V2C、V3都支持。
3.配置snmp只读community41.2.2TRAP121.2.3Syslog配置1.启用交换机的syslog功能info-centerenable2.指定接收syslog的主机,为该主机的ip地址。
info-centerloghostlanguageEnglish以上命令是配置接收syslog,syslog的语言为英文。
3.选择发送warning以上级别的syslog信息。
info-centersourcedefaultchannelloghostloglevelwarning1.3中兴交换机1.登2.3.1.1.3.1SNMP1snmp-serverviewAllViewinternetincludedsnmp-serverviewtestzxr10IPAddrTableincludedsnmp-serverviewtestzteincludedsnmp-serverviewtestmib-2included1.3.2TRAP配置1.配置交换机允许发送trapsnmp-serverenabletrap2.配置交换机接收trap的主机snmp-serverhosttrapversion2cpublic1.3.3Syslog12.3.2在操作系统缺省的SNMP团体名。
SNMP协议安全性分析
尤其 是 安全 性 能 没有 得 到提 高 ,如 :身份 验 证 、加 密 、授 权 和访 问控 制 、适 当的远 程 安 全配 置 和管 理
能力 等都 没 有实现 。1 9 9 6年 发布 了 S NMP 2 版 本 , vc
gt st 文 ,而 在管 理进 程端 是用端 口 12来 接 e 或 e报 6
的 响应操 作 。 ta r p操 作 :代理 进程 主动 发 出的报 文 ,通 知 管
理 ;() 展 了数 据类 型 ;() 以实 现 大量 数 据 的 2扩 3可 同 时 传 输 ,提 高 了效 率 和性 能 ;() 富 了故 障 处 4丰 理 能 力 ;() 加 了集 合 处 理 功能 ;() 强 了数 据 5增 6加
(i ln t r ma a e n p oo o )的第一 个 版 smpe ewo k n g me t rt c 1
本 S NMP 1 v 以来 。 简单 网络 管理协 议 (NMP)是 S
目前 TC / P网络 中应用最 为 广泛 的 网络管理 协 议 。 P I RFCl 5 17和 另一 个 关于 管理 信 息 的文件 RFCl 5 15
定义 语 言 。
但 是 ,S NM Pv 2并 没 有 完 全 实现 预 期 的 目标 ,
理 进程 有某 些事情 发 生 。
前 面 的 三种 操 作 是 由管 理 进程 向代理 进 程 发 出 的 ,后 面 的 两 个 操 作 是 代理 进 程 发 给 管理 进程 的 ,
为 了简化 起 见 ,前 面三 个操 作今 后叫做 g t e 、ge - t n x 和 s t 作 。在代 理进程 端 是用端 口 1 1 收 et e操 6接
收 ta r p报 文 。是封 装 成 UDP数 据报 的五 种操 作的 S NM P报文 格式 。可 见一 个 S NM P报 文 共有 三个 部分 组 成 ,即公共 S NMP首部 、g t st e/ e 首部 ta rp 首 部 、变 量 绑定 。
SNMPv网络管理安全
SNMPv网络管理安全SNMPv(Simple Network Management Protocol version)是一种用于管理和监控网络设备的应用层协议。
它为网络管理员提供了一种方便的方式来收集设备的状态信息,并进行故障诊断和性能监测。
然而,由于SNMPv的设计初衷并不是为了提供安全性,因此在实际应用中存在一些安全风险。
本文将探讨SNMPv网络管理的安全问题,并介绍了几种常见的安全措施。
1. SNMPv的安全问题在SNMPv的通信过程中,该协议使用了不加密的明文传输方式。
这使得网络管理员在获取设备信息的同时,可能会受到非法访问或数据篡改的风险。
此外,SNMPv还存在密码管理的问题,例如使用弱密码容易被破解,并导致未授权的远程访问和控制。
2. SNMPv的安全加固为了解决SNMPv存在的安全问题,以下是几种常见的安全加固方法:2.1 使用SNMPv版本3SNMPv3是SNMP协议的最新版本,在安全性方面有了很大的改进。
它提供了身份鉴别、加密和访问控制等功能,能够有效地保护SNMPv通信过程的安全性。
因此,网络管理员应该优先使用SNMPv3协议。
2.2 启用身份鉴别和访问控制对于SNMPv3协议以外的版本,可以通过启用身份鉴别和访问控制来提高安全性。
网络管理员可以设置访问控制列表(Access Control List,ACL)来限制SNMPv通信的受信任主机和授权操作。
此外,使用复杂、强密码也是保护访问安全的重要措施。
2.3 配置安全通信为了防止非法访问和数据篡改,可以通过配置SNMPv通信的安全性选项来加固。
例如,启用消息完整性检查可以确保接收到的消息未被篡改。
启用安全通信模式也可以加密SNMPv通信过程中的数据,从而保护敏感信息的隐私和机密性。
2.4 监控和审计SNMPv活动对于SNMPv网络管理的安全性,网络管理员还应该实时监控和审计SNMPv活动,及时发现和应对潜在的安全威胁。
监控和审计工具可以帮助管理员识别异常行为,并及时采取相应的安全措施。
《配置端口安全性》word版
配置端口安全性未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。
交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。
因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。
在部署交换机之前,应保护所有交换机端口或接口。
端口安全性限制端口上所允许的有效MAC地址的数量。
如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。
如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。
如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。
下面总结了这些要点。
总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。
在端口上指定一组允许的有效MAC地址。
在任一时刻只允许一个MAC地址访问端口。
指定端口在检测到未经授权的MAC地址时自动关闭。
配置端口安全性有很多方法。
下面描述可在Cisco交换机上配置端口安全性的方法。
静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。
以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。
动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。
以此方式配置的MAC地址在交换机重新启动时将被移除。
粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地址保存到运行配置中。
粘滞安全MAC地址有以下特性。
当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运行配置。
SNMP配置
Cisco网络设备的SNMP及Syslog配置参考设置IOS设备在IOS的Enable状态下,敲入config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server community gsunion ro 配置本路由器的只读字串为gsunionsnmp-server community gsunion rw 配置本路由器的读写字串为gsunionsnmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17,发送Trap时采用trapcomm 作为字串snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址logging on 起动log机制logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog serverlogging facility local7 将记录事件类型定义为local7logging trap warning 将记录事件严重级别定义为从warningl开始,一直到最紧急级别的事件全部记录到前边指定的syslog server. logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址service timestamps log datetime 发送记录事件的时候包含时间标记enable password ******line tty 0 4password ******login local 设置Enable口令和Telnet口令show runningcopy running start或write terminal 显示并检查配置保存配置设置CatOS设备在CatOS的Enable状态下,敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID,IP地址,子网掩码Set cdp enable all 启用CDPset snmp community read-only gsunion 配置本交换机的只读字串为publicset snmp community read-write-all gsunion 配置本交换机的读写字串为privateset snmp trap server-ip gsunion 指定交换机SNMP Trap的接收者为网管服务器,发送Trap时采用gsunion作为字串set snmp trap enable all 将全部类型的SNMP Trap发送出去set snmp rmon enable 激活交换机的SNMP RMON功能set logging server IP-address-server 将log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog serverset logging level 6 将记录事件严重级别定义为从informational开始,一直到最紧急级别的事件全部记录到前边指定的syslog server set logging server facility local7 将记录事件类型定义为local7set logging timestamp 发送记录事件的时候包含时间标记set logging enable 起动log机制set password ******set enablepass ******设置Enable口令和Telnet口令show runningwrite terminal 显示并检查配置保存配置配置PIX设备Logging on 在PIX上面启用日志记录Snmp-server community gsunion 为PIX设备配置共同体串gsunionSnmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器Logging history warning为PIX设备SNMP系统日志消息设置warning级别华为SNMP配置snmp的配置包括:启动或关闭snmp agent服务使能或禁止snmp协议的相应版本配置团体名(community name)配置一个snmp的组为一个snmp组添加或删除用户配置syscontact允许/禁止发送trap报文配置本地设备的引擎id配置trap目标主机的地址配置syslocation指定发送trap报文的源地址创建或者更新视图的信息配置发往目的主机(host)的trap报文的消息队列的长度配置trap报文的保存时间配置agent能接收/发送的snmp消息包的大小4.2.1 启动或关闭snmp agent服务该配置任务用来启动snmp agent服务。
SNMP协议中的安全通信配置
SNMP协议中的安全通信配置SNMP(Simple Network Management Protocol,简单网络管理协议)是一种用于网络设备管理的通信协议。
在网络中,SNMP被广泛应用于监控、管理和配置网络设备,如路由器、交换机和服务器等。
然而,由于SNMP传输的信息是明文的,存在被恶意攻击者截取和篡改的风险。
因此,在SNMP协议中配置安全通信是至关重要的。
一、SNMP协议概述SNMP协议旨在提供一种简单和有效的方法来管理网络设备。
它主要由三个组成部分组成:管理站、代理和设备。
管理站用于监控和管理网络设备,代理则位于被管理设备上,用于与管理站进行通信。
管理站通过发送请求消息到代理来获取设备的状态信息,并对设备进行配置和管理。
二、SNMP协议的安全性问题由于SNMP协议最初设计时并没有考虑到安全性问题,因此存在以下安全隐患:1. 明文传输:SNMP协议传输的信息是明文的,容易被攻击者获取并篡改。
2. 弱认证:SNMP v1和SNMP v2c使用基于口令的简单身份验证(Community-Based String),容易受到字典攻击。
3. 弱加密:SNMP v3引入了加密机制,但使用DES等弱加密算法,安全性较低。
三、SNMP协议的加固措施为了提高SNMP协议的安全性,可以采取以下配置措施:1. 使用SNMP v3:SNMP v3相对于SNMP v1和SNMP v2c来说,提供了更好的安全性,包括认证、加密和访问控制等功能。
建议使用SNMP v3协议来保护通信的安全。
2. 确保安全的认证信息:SNMP v3支持基于用户名和密码的认证,可使用强密码策略来确保认证信息的安全性。
避免使用弱口令来设置SNMP的认证密码。
3. 使用强加密算法:为了保护SNMP协议传输的信息,应该使用强加密算法,如AES进行数据加密,避免使用DES等弱加密算法。
4. 配置访问控制列表:通过配置访问控制列表(ACL),限制对SNMP服务的访问权限。
SNMP协议安全性评估
SNMP协议安全性评估SNMP(简单网络管理协议)是一种用于管理网络设备的标准协议,它允许网络管理员监控和管理网络设备的性能和配置。
然而,由于SNMP协议的设计和实现存在一些安全漏洞,使得网络设备容易受到未经授权的访问和攻击。
因此,对SNMP协议的安全性进行评估显得尤为重要。
首先,针对SNMP协议的身份验证机制进行评估是必要的。
SNMP协议在身份验证方面提供了基于社区字符串的简单验证机制,这种机制并不安全,容易遭受字典攻击等方式的入侵。
一个更加安全的方式是使用基于用户名和密码的安全认证协议(如SNMPv3)来替代社区字符串。
SNMPv3协议不仅提供了加密机制保护数据的机密性,还能够确保数据的完整性和身份验证的安全性。
其次,对SNMP协议的访问控制机制进行评估也是必要的。
SNMP协议在访问控制方面存在一些安全漏洞,如默认的团体字符串(community string)被滥用的风险。
为了提高访问控制的安全性,可以采用以下措施:首先,定期更改团体字符串,避免使用过于简单的字符串;其次,限制对SNMP管理系统的访问,只允许授权用户和管理者进行管理操作;此外,可以通过配置访问控制列表(ACL)来限制网络设备响应SNMP协议的请求,仅允许特定IP地址的主机进行SNMP操作。
此外,加密数据传输的安全性也是SNMP协议安全性评估的重点之一。
SNMPv3支持消息的加密功能,可以使用基于密码的加密算法(如AES)对SNMP消息进行加密,确保消息在传输过程中的机密性。
从而,防止分类信息被未经授权的第三方非法窃取和篡改。
通过使用加密功能,可以保护管理帧的机密性,提供更高的数据安全性。
最后,对SNMP协议的日志记录和监控机制进行评估也是必要的。
SNMP协议的日志记录功能可以记录每一个管理员操作的细节信息,这对于追踪攻击者和监控网络设备的安全事件非常重要。
同时,建立一个有效的监控机制,及时检测和警报异常事件,有助于减少潜在的安全风险,提高对SNMP协议的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验8 SNMP的安全性配置一、实验目的1、掌握Windows操作系统的SNMP服务的安装;2、理解SNMP协议的工作原理;3、理解SNMP协议的作用二、实验环境装有windows 2003操作系统的计算机三、实验原理1.什么是网络管理?网络管理分为两类。
第一类是网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理。
它们都是与软件有关的网络管理问题。
网络管理的第二类是由构成网络的硬件所组成。
这一类包括工作站、服务器、网卡、路由器、网桥和集线器等等。
通常情况下这些设备都离你所在的地方很远。
正是由于这个原因,如果当设备有问题发生时网络管理员可以自动地被通知的话,那么一切事情都好办。
但是你的路由器不会象你的用户那样,当有一个应用程序问题发生时就可以打电话通知你,而当路由器拥挤时它并不能够通知你。
为了解决这个问题,厂商们已经在一些设备中设立了网络管理的功能,这样你就可以远程地询问它们的状态,同样能够让它们在有一种特定类型的事件发生时能够向你发出警告。
这些设备通常被称为"智能"设备。
网络管理通常被分为四类:当设计和构造网络管理的基础结构时,你需要记住下列两条网络管理的原则:1.由于管理信息而带来的通信量不应明显的增加网络的通信量。
2.被管理设备上的协议代理不应明显得增加系统处理的额外开销,以致于该设备的主要功能都被削弱了。
2.什么是SNMP?简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。
许多人认为 SNMP在IP上运行的原因是Internet运行的是TCP/IP协议,然而事实并不是这样。
SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。
SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。
SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
名字说明MIB 管理信息库SMI 管理信息的结构和标识SNMP 简单网络管理协议从被管理设备中收集数据有两种方法:一种是只轮询(polling-only)的方法,另一种是基于中断(interrupt-based)的方法。
如果你只使用只轮询的方法,那么网络管理工作站总是在控制之下。
而这种方法的缺陷在于信息的实时性,尤其是错误的实时性。
你多久轮询一次,并且在轮询时按照什么样的设备顺序呢?如果轮询间隔太小,那么将产生太多不必要的通信量。
如果轮询间隔太大,并且在轮询时顺序不对,那么关于一些大的灾难性的事件的通知又会太馒。
这就违背了积极主动的网络管理目的。
当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站(在这里假设该设备还没有崩溃,并且在被管理设备和管理工作站之间仍有一条可用的通信途径)。
然而,这种方法也不是没有他的缺陷的,首先,产生错误或自陷需要系统资源。
如果自陷必须转发大量的信息,那么被管理设备可能不得不消耗更多的时间和系统资源来产生自陷,从而影响了它执行主要的功能(违背了网络管理的原则2)。
而且,如果几个同类型的自陷事件接连发生,那么大量网络带宽可能将被相同的信息所占用(违背了网络管理的原则1)。
尤其是如果自陷是关于网络拥挤问题的时候,事情就会变得特别糟糕。
克服这一缺陷的一种方法就是对于被管理设备来说,应当设置关于什么时候报告问题的阈值(threshold)。
但不幸的是这种方法可能再一次违背了网络管理的原则2,因为设备必须消耗更多的时间和系统资源,来决定一个自陷是否应该被产生。
结果,以上两种方法的结合:面向自陷的轮询方法(trap-directed polling)可能是执行网络管理最为有效的方法了。
一般来说,网络管理工作站轮询在被管理设备中的代理来收集数据,并且在控制台上用数字或图形的表示方式来显示这些数据。
这就允许网络管理员分析和管理设备以及网络通信量了。
被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况,例如预制定阈值越界程度等等。
代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。
这些错误情况就是众所周知的SNMP自陷(trap)。
在这种结合的方法中,当一个设备产生了一个自陷时,你可以使用网络管理工作站来查询该设备(假设它仍然是可到达的),以获得更多的信息。
3.什么是被管理设备?你可能听说过许多关于“SNMP可管理设备”、“与SNMP兼容的设备”或者“被SNMP 管理的设备”的说法。
但是它们到底什么?它们与“智能设备”又是怎么区别的呢?简单地说,以上所有说法的意思都是“一个包含网络管理代理实现的网络设备”。
这些话也意味着这种代理支持SNMP协议来进行信息交换。
正如前面所提到的,一个智能设备可能并不需要使用或支持SNMP协议。
那么什么是一个代理呢?代理管理代理(agent)是一种特殊的软件(或固件),它包含了关于一个特殊设备和/或该设备所处环境的信息。
当一个代理被安装到一个设备上时,上述的设备就被列为“被管理的”。
换句话说,代理就是一个数据库。
数据库中所包含的数据随被安装设备的不同而不同。
举例来说,在一个路由器上,代理将包含关于路由选择表、接收和发送包的总数等信息。
而对于一个网桥来说,数据库可能包含关于转发包数目和过滤表等信息。
代理是与网络管理控制台通信的软件或固件。
在这个控制台的“链路”上可以执行以下任务:● 网络管理工作站可以从代理中获得关于设备的信息。
● 网络管理工作站可以修改、增加或者删除代理中的表项,例如在由代理所维护的数据库中的路由选择表表项。
● 网络管理工作站可以为一个特定的自陷设置阈值。
● 可以向网络管理工作站发送自陷。
请记住,在被管理设备中的代理并不是自愿提供信息的,除非当有一个阈值被超过的事件发生时。
在一些偶然的情况下,在一个特定的设备上可能因为系统资源的缺乏,或者因为该设备不支持SNMP代理所需要的传输协议,而不能实现一个SNMP代理。
这是否就意味着你不能监视这个设备呢?答案并不是这样的,在这种情况下并不是完全没有办法的。
你可以使用受托代理(proxy agent),它相当于外部设备(foreign device)。
受托代理并非在被管理的外部设备上运行,而是在另一个设备上运行。
网络管理工作站首先与受托代理联系,并且指出(通过某种方法)受托代理与外部设备的一致性。
然后受托代理把它接收到的协议命令翻译成任何一种外部设备所支持的管理协议。
在这种情况下,受托代理就被称为应用程序网关(application gateway)。
如果外部设备不支持任何管理协议,那么受托代理必须使用一些被动的方法来监视这个设备。
举例来说,一个令牌环网桥的受托代理可以监视它的性能,并且如果它检测到任何由网桥所报告的拥挤错误时,它就会产生自陷。
幸运的是,目前大多数网际互联设备类型都是支持SNMP可管理设备的,所以你可以很容易地使用一个SNMP可管理设备,例如集线器、网桥和路由器。
有一些厂商甚至还在他们的网卡上提供SNMP代理。
MIB我们通常很少把在一个被管理设备中的数据库称为一个数据库。
在SNMP术语中它通常被称为管理信息库(MIB)。
一个MIB描述了包含在数据库中的对象或表项。
每一个对象或表项都有以下四个属性:● 对象类型(Object Type)● 语法(Syntax)● 存取(Access)● 状态(Status)在SNMP规范之一的管理信息结构与标识(SMI;RFC 1155/1065)规范中定义了这些属性。
SMI对于MIB来说就相当于模式对于数据库。
SMI定义了每一个对象“看上去象什么”。
对象类型这个属性定义了一个特定对象的名字,例如sysUpTime。
它只不过是一个标记。
在表示数据时,SMI使用了ASN.1(Abstract Syntax Notation One)。
对象必须被“标识”。
对于互联网络管理MIB来说,用ASN.1记法来表示的标识符开头如下:internet OBJECT IDENTIFIER : : = { iso org(3) dod(6) 1 }或者用一种简单的格式:1.3.6.1这是从ASN.1文档中抽取的。
它为标识符定义了一个树形的格式。
该树是由一个根及与之相连接的许多被标记的节点组成。
每一个节点由一个非负整数值和尽可能简明的文字说明所标识。
每一个节点可能也拥有同样被标记的子节点。
当描述一个对象标识符(OBJECT INDENTIFIER)时,你可以使用几种格式,最简单的格式是列出由根开始到所讨论的对象遍历该树所找到的整数值。
从根一级开始,这里有三个节点(如图):● ccitt(0)● iso(1)● joint-iso-cci四、实验步骤:1、snmp的安装详细步骤参考课本P180。
2、snmp的网管代理设置详细步骤参考课本P182。
3、snmp的安全性配置Windows 2003 SNMP 充当着一个代理,它会将可以报告给 SNMP 管理站或控制台的信息收集起来。
可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。
通过将共享的社区名称分配给代理和管理站,通常可以保护 SNMP 代理和 SNMP 管理站之间的通讯。
当 SNMP 管理站将查询发送到 SNMP 服务时,会将请求者的社区名称与代理的社区名称进行比较。
如果这两个名称是匹配的,则表明 SNMP 管理站通过了身份验证。
如果这两个名称不匹配,则 SNMP 代理会认为该请求是失败的访问尝试,并可能发送 SNMP 陷阱消息。
SNMP 消息是以明文发送的。
“Mic rosoft 网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。
未经授权的人员可以捕获和使用社区名称,以获得有关网络资源的重要信息。
IPSec 可用于保护 SNMP 通讯。
您可以创建 IPSec 策略以保护 TCP 和 UDP 端口 161 和162 上的通讯,从而保护 SNMP 事务。
(1)创建筛选器列表要创建 IPSec 策略以保护 SNMP 消息,首先执行以下步骤来创建筛选器列表:1.单击开始,指向管理工具,然后单击本地安全策略。
2.展开安全设置,右键单击“IP 安全策略,在本地计算机上”,然后单击“管理 IP 筛选器表和筛选器操作”。
3.单击“管理 IP 筛选器列表”选项卡,然后单击添加。
4.在IP 筛选器列表对话框的名称框中键入SNMP 消息 (161/162),然后在描述框中键入TCP 和 UDP 端口 161 筛选器。
5.单击以清除使用“添加向导”复选框,然后单击添加。
6.在出现的IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。