如图所示,SNMP 在进行监控和故障排除时非常有用,但同时也会造成安全漏洞。 因此,在实施 SNMP 之前,请考虑安全最佳实践。

SNMPv1 和 SNMPv2c 都依靠明文形式的 SNMP 社区字符串验证对 MIB 对象的访问。 这些社区字符串与所有密码一样,应仔细选择以确保它们不被轻松破解。 此外,应根据网络安全策略定期更换社区字符串。 例如,当网络管理员更换职位或离开公司后,应更改此字符串。 如果 SNMP 仅用于监控设备,则使用只读社区字符串。

确保 SNMP 消息不会扩散到管理控制台之外。 应使用 ACL 来防止 SNMP 消息超过需要的设备范围。 受监控设备上还应使用 ACL 来限制仅访问管理网络。

建议使用 SNMPv3,因为它提供安全验证和加密。 网络管理员还可实施许多其他全局配置模式命令,以便充分利用 SNMPv3 中的身份验证和加密支持:

注意:SNMPv3 配置不属于本 CCNA 课程的范围。