LTP-8X snmp access_control
Добавлено: 25 дек 2015 17:03
Понемногу знакомлюсь с Eltex LTP-8X
Eltex LTP-8X:rev.B software version 2.14.0 build 1034 on 29.12.2014 19:53
Разбираюсь с возможностью мониторинга по snmp.
На LTP-8X настроил влан управления
ip: 10.1.1.164
в vlan acs
ip: 192.168.200.1
Вланы управления и acs выложил на front-port. создал на своей машине адреса в данных вланах
10.1.1.2 и 192.168.200.2 соответственно.
С конфигурацией snmp по уморлчанию получаю ответ по обоим адресам.
snmpwalk -v2c -c public 10.1.1.164
snmpwalk -v2c -c public 192.168.200.1
Далее возникает вопрос, теоретически же возможно, что абонент каким-то образом пошлет запрос на адрес 192.168.200.1 и сможет в выводе snmp узнать ключ и сеть от wifi, логин и пароль pppoe и возможно другую информация.
Попробовал ограничить доступ с определенных ip к snmp
И по обоим ip адресам OLT становится недоступным.
Парамерт Ipv2 вроде бы обозначает на каком адресе будет отвечать служба snmp, на всякий случай добавил - ничего не изменилось.
В мануалах этот вопрос практически не расскрыт, что посоветуете сделать чтобы snmp отвечать только на определенный ip c определенного ip?
Изменение имени Communityro тоже вариант, но хотелось бы более надежно - иметь возможность опрашивать только с определенных ip.
Eltex LTP-8X:rev.B software version 2.14.0 build 1034 on 29.12.2014 19:53
Разбираюсь с возможностью мониторинга по snmp.
На LTP-8X настроил влан управления
ip: 10.1.1.164
в vlan acs
ip: 192.168.200.1
Вланы управления и acs выложил на front-port. создал на своей машине адреса в данных вланах
10.1.1.2 и 192.168.200.2 соответственно.
С конфигурацией snmp по уморлчанию получаю ответ по обоим адресам.
snmpwalk -v2c -c public 10.1.1.164
snmpwalk -v2c -c public 192.168.200.1
Далее возникает вопрос, теоретически же возможно, что абонент каким-то образом пошлет запрос на адрес 192.168.200.1 и сможет в выводе snmp узнать ключ и сеть от wifi, логин и пароль pppoe и возможно другую информация.
Попробовал ограничить доступ с определенных ip к snmp
Код: Выделить всё
LTP-8X> system
LTP-8X(system)> add services snmp allow_ip 10.1.1.2
LTP-8X(system)> set services snmp access_control true
LTP-8X(system)> config commit
LTP-8X(system)> show services snmp
Snmp:
Enabled: true
Access control: true
Allow ip [0]:
Ip: 10.1.1.2
Mask: 32
Ipv1: 0.0.0.0
Ipv2: 0.0.0.0
Ipinform: 0.0.0.0
Version: v2
Trapv1: disabled
Trapv2: disabled
Trapinforms: disabled
Communityro: 'public'
Communityrw: 'private'
Trap community: 'public'
Location: 'unknown'
Contact: 'admin'
Alias: <for showing use separate command>
EngineID: 0x00000000000000000000000000И по обоим ip адресам OLT становится недоступным.
Код: Выделить всё
snmpwalk -v2c -c public 10.1.1.2
Timeout: No Response from 10.1.1.2
snmpwalk -v2c -c public 192.168.200.1
Timeout: No Response from 192.168.200.1Парамерт Ipv2 вроде бы обозначает на каком адресе будет отвечать служба snmp, на всякий случай добавил - ничего не изменилось.
Код: Выделить всё
LTP-8X(system)> set services snmp ipv2 10.1.1.164
LTP-8X(system)> config commit В мануалах этот вопрос практически не расскрыт, что посоветуете сделать чтобы snmp отвечать только на определенный ip c определенного ip?
Изменение имени Communityro тоже вариант, но хотелось бы более надежно - иметь возможность опрашивать только с определенных ip.