cisco 路由器可以自己执行命令吗？

这是来自 Cisco 支持论坛的答案，以防链接损坏。显然它与SNMP配置有关，它应该更安全。

强化简单网络管理协议

本节重点介绍可用于保护 IOS 设备内 SNMP 部署的几种方法。为了保护网络数据和传输该数据的网络设备的机密性、完整性和可用性，正确保护 SNMP 至关重要。SNMP 为您提供有关网络设备运行状况的大量信息。应保护此信息免受想要利用此数据对网络进行攻击的恶意用户。

• SNMP 社区字符串

团体字符串是应用于 IOS 设备的密码，用于限制对设备上 SNMP 数据的只读和读写访问。与所有密码一样，应仔细选择这些社区字符串，以确保它们不是微不足道的。应根据网络安全策略定期更改社区字符串。例如，当网络管理员更改角色或离开公司时，应更改字符串。

这些配置行配置只读社区字符串 READONLY 和读写社区字符串 READWRITE：

!

snmp-server community READONLY RO
snmp-server community READWRITE RW  
!

注意：选择前面的社区字符串示例是为了清楚地解释这些字符串的使用。对于生产环境，应谨慎选择社区字符串，并应由一系列字母、数字和非字母数字符号组成。有关选择重要密码的更多信息，请参阅创建强密码的建议。

有关此功能的详细信息，请参阅 IOS SNMP 命令参考。

• 带有 ACL 的 SNMP 社区字符串

除了社区字符串之外，还应应用 ACL，进一步将 SNMP 访问限制为一组选定的源 IP 地址。此配置限制 SNMP 只读访问位于 192.168.100.0/24 地址空间的终端主机设备，并将 SNMP 读写访问限制为仅位于 192.168.100.1 的终端主机设备。

注意：这些 ACL 允许的设备需要正确的社区字符串才能访问请求的 SNMP 信息。

!

access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!

snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!

有关此功能的详细信息，请参阅 Cisco IOS 网络管理命令参考中的 snmp-server 社区。

• 基础架构 ACL

可以部署基础架构 ACL (iACL) 以确保只有具有可信 IP 地址的终端主机才能将 SNMP 流量发送到 IOS 设备。iACL 应包含拒绝 UDP 端口 161 上未经授权的 SNMP 数据包的策略。

有关使用 iACL 的更多信息，请参阅本文档的使用基础架构 ACL 限制对网络的访问部分。

• SNMP 视图

SNMP 视图是一种安全功能，可以允许或拒绝对某些 SNMP MIB 的访问。使用 snmp-server community community-string view 全局配置命令创建视图并将其应用于社区字符串后，如果您访问 MIB 数据，您将受限于视图定义的权限。适当时，建议您使用视图将 SNMP 用户限制为他们需要的数据。

此配置示例使用社区字符串 LIMITED 将 SNMP 访问限制为位于系统组中的 MIB 数据：

!

snmp-server view VIEW-SYSTEM-ONLY system include
!

snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO
!
Refer to Configuring SNMP Support for more information.

• SNMP 版本 3

SNMP 版本 3 (SNMPv3) 由 RFC3410、RFC3411、RFC3412、RFC3413、RFC3414 和 RFC3415 定义，是一种可互操作的基于标准的网络管理协议。SNMPv3 提供对设备的安全访问，因为它对网络上的数据包进行身份验证和加密。在支持的情况下，可以使用 SNMPv3 在部署 SNMP 时添加另一层安全性。SNMPv3 包含三个主要配置选项：

no auth - 此模式不需要任何身份验证或对 SNMP 数据包进行任何加密 auth - 此模式需要对 SNMP 数据包进行身份验证而不加密 priv - 此模式需要对每个 SNMP 数据包进行身份验证和加密（隐私） 必须存在权威引擎 ID为了使用 SNMPv3 安全机制 - 身份验证或身份验证和加密 - 来处理 SNMP 数据包；默认情况下，引擎 ID 是在本地生成的。可以使用 show snmp engineID 命令显示引擎 ID，如下例所示：

   router#show snmp engineID 
   Local SNMP engineID: 80000009030000152BD35496
   Remote Engine ID          IP-addr    Port

注意：如果 engineID 改变，所有 SNMP 用户帐户必须重新配置。

下一步是配置 SNMPv3 组。此命令使用 SNMP 服务器组 AUTHGROUP 为 SNMPv3 配置 Cisco IOS 设备，并仅使用 auth 关键字启用此组的身份验证：

!
snmp-server group AUTHGROUP v3 auth
!
This command configures a Cisco IOS device for SNMPv3 with an SNMP server group PRIVGROUP and enables both authentication and encryption for this group with the priv keyword:

!
snmp-server group PRIVGROUP v3 priv
!
This command configures an SNMPv3 user snmpv3user with an MD5 authentication password of authpassword and a 3DES encryption password of privpassword:

!

snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des 
     privpassword
!

请注意，snmp-server 用户配置命令不会按照 RFC 3414 的要求显示在设备的配置输出中；因此，无法从配置中查看用户密码。为了查看配置的用户，输入 show snmp user 命令，如本例所示：

router#show snmp user 
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile        active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP

有关此功能的详细信息，请参阅配置 SNMP 支持。

• 管理平面保护

Cisco IOS 软件中的管理平面保护 (MPP) 功能可用于帮助保护 SNMP，因为它限制了 SNMP 流量可以在设备上终止的接口。MPP 功能允许管理员指定一个或多个接口作为管理接口。管理流量只能通过这些管理接口进入设备。启用 MPP 后，除指定管理接口外，其他接口均不接受发往设备的网络管理流量。

请注意，MPP 是 CPPr 功能的子集，需要支持 CPPr 的 IOS 版本。有关 CPPr 的更多信息，请参阅了解控制平面保护。

在此示例中，使用 MPP 将 SNMP 和 SSH 访问限制为仅 FastEthernet 0/0 接口：

!
control-plane host
 management-interface FastEthernet0/0 allow ssh snmp 
!

有关详细信息，请参阅管理平面保护功能指南。

但是我发现这也可能与漏洞有关，这里是他们谈论的链接以及如何修复它： http ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco- sa-20010227-ios-snmp-ilmi

思科支持论坛线程现在有了答案。这是您的 SNMP 配置，具有易于猜测的社区字符串和 RW 访问权限。

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc50