SNMP SET с ACL и набором имени сообщества

Мне нужно выполнить операцию установки SNMP на принтере в сети, который настроен как список управления доступом (ACL), а IP-адрес моего хоста отсутствует в таблице ACL. Я получаю странное поведение: когда у меня настроено имя сообщества набора SNMPv1, я могу выполнить набор SNMP ТОЛЬКО, если мой IP-адрес хоста находится в таблице ACL. Если имя сообщества SNMPSet не настроено, я могу нормально выполнить настройку SNMP, даже если мой IP-адрес отсутствует в таблице ACL. Итак, кто-нибудь знает, есть ли какая-либо связь между таблицей ACL и именем сообщества SNMP Set? Я имею в виду, что ACL «работает» только тогда, когда настроено заданное имя сообщества. Имеет ли это смысл?

Спасибо за любую помощь


acl snmp
person Community    schedule 29.09.2008    source источник
comment
Вы уверены, что имя сообщества не отправляется? Что показывает Wireshark? Кроме того, имена сообществ отправляются в открытом виде, верно? Вам вообще нужен ACL?   -  person Brian    schedule 16.05.2009

Ответы (3)


arrow_upward
1
arrow_downward

ACL находится на самом принтере. Мы подключены через сеть, а принтер находится в другой подсети. ACL содержит только одну запись и не содержит правила блокировки. Сама проблема связана с поведением, связанным с самим сообществом SNMP Set, и я хотел бы понять, есть ли между ними какая-либо связь.

person Community    schedule 01.10.2008
comment
Если ваш диспетчер SNMP и агент SNMP принтера находятся в разных подсетях, возможно, что устройство между ними (например, маршрутизатор) меняет IP-адрес источника пакета SNMP SET на свой собственный. Если это так и ACL разрешает IP-адрес этого устройства, такое поведение можно объяснить. ACL на основе IP-адреса не так безопасен, как на основе имени сообщества (но не забывайте использовать сложные имена) - person Lex Li; 01.11.2009

arrow_upward
0
arrow_downward

Итак, ACL находится на локальном маршрутизаторе или на самом принтере? Какая это модель принтера и как вы к нему подключены, находитесь ли вы в той же сети или используете маршрутизатор, чтобы добраться до принтера, который находится в отдельном сетевом диапазоне?

Я бы проверил полный список ACL, так как, возможно, есть правило блокировки всех, которое мешает вам получить доступ к банкомату.

person Omegatron    schedule 30.09.2008

arrow_upward
0
arrow_downward

Насколько я знаю, такой ACL не является частью SNMP по умолчанию, и его функция может варьироваться производителем.

Как показал ваш тест, это может быть брешь в системе безопасности. Рассмотрите возможность сообщить об этой проблеме поставщику. Если у них есть исправление, они пришлют вам.

person Lex Li    schedule 16.05.2009