引言:
随着网络技术的飞跃发展,现在像Nortel 8006这种交换机已经很少还在使用,加上Nortel公司已经申请破产,相应的技术支持也得不到保障,在此有必要对Nortel 8006交换机安全管理方面的工作进行一些学习,更好的应付平时的网络安全检查和内控审计检查工作。在这里就Nortel 8006交换机安全访问控制策略及相应的DM软件设置跟大家交流下。
   我们知道在Nortel 8006配置里面有一条默认的访问控制策略,其id号为1 ,它默认是允许所有的主机访问,并且像telnet、snmp等服务默认也是开启的,使用默认accessLevel RO 的字符串来进行相应的通信。DM软件主要是使用snmp服务,并且需要设置read community和write community来进行相互之间的通信,而read 和write这两个字符串就是新建访问策略设置accesslevel时所对应的snmp community,下面详细讲解id号为2的访问策略的具体配置。
一、访问策略的新建及服务的开启
config sys access-policy policy 2 create命令是用来新建一个id号为2的访问策略,如果你想让某一条访问策略失效,如id号为2的策略,可以使用config sys access-policy policy 2 disable命令。新建完后默认情况下是执行allow操作,而config sys access-policy policy 2 mode deny命令则执行拒绝操作,并且默认是开启了telnet、snmp 、http和ssh服务,如果你要开启rlogin服务,使用命令config sys access-policy policy 2 service rlogin enable,如果你想停止其中的一项服务,如snmp服务,使用config sys access-policy policy 2 service snmp disable命令,由于DM软件需要使用snmp服务,所以在这里就不要停止snmp服务。
二、设置accesslevel
使用config sys access-policy policy 2 accesslevel  ro|rw|rwa命令来设置访问策略2的具体访问权限,等下我们会讲到这个accesslevel权限所对应的snmp community的设置,也即是DM软件使用所需要设置的read community和write community,设置完后使用config sys access-policy policy 2 access-strict true命令来使具体的accesslevel生效。
三、配置允许访问的主机或网络
接下来就是配置允许访问的主机或网络,比如允许IP地址为192.168.1.1的主机和地址范围段为192.168.1.33--192.168.1.62的网络访问,则使用命令config sys access-policy policy 2 host 192.168.1.1 和config sys access-policy policy 2 network 192.168.1.32 255.255.255.224。前面曾讲到系统存在默认id号为1的访问策略,所以在这里要把它删除,要不就还是允许所有的访问,那样上面配置的允许访问的主机或网络就不起作用,命令config sys access-policy policy 1 delete就是删除id号为1的访问策略。
四、启用访问策略及设置DM字符串
要使所配置的访问策略生效,使用命令config sys access-policy enable true就可以,到这里也就完成了Nortel 8006交换机的安全管理工作。前面说到在使用DM软件时需要设置read community和write community,而这两个字符串是accesslevel的具体权限所设置的字符串,比如在前面设置的accesslevel 为rwa,则使用config sys set snmp community rwa abcd1234命令就设置了访问权限为rwa的字符串为abcd1234,这个字符串也即是DM软件设置所需要的read community和write community。
网络设备的安全管理涉及到方方面面,上面只是其中的一小部分,由于安全管理是一项复杂、非常重要的工作,希望以后有机会和大家作进一步的探讨。

文章如转载,请注明转载自:http://www.5iadmin.com/post/966.html