[背景]
SNMPクライアント利用時に、ISE側で管理アクセスIPを許可設定も忘れないよう注意喚起という主旨で本文を公開しました。
[説明]
ISEは管理アクセス用のクライアントIPアドレスを制御することが可能です。
設定箇所は以下となります。
Administration>System>>Admin Access>Setting>Access
そこでAccess Restrictionタブに以下オプションがあります。
Allow all IP addresses to connect (こちらに選択すれば、全てのIPアドレスを許可します)
Allow only listed IP addresses to connect(こちらに選択すれば、リストに記載したIPアドレスのみ管理アクセス許可されることになります。)
Allow only listed IP addresses to connectで設定した場合、GUIアクセスやSSHだけではなく、SNMPのRequestも制御されることになります。
管理者ガイドに注意書きとして記載しております。
|
Note |
Connection on Port 161 (SNMP) is used for Administrative access. However, when IP Access restrictions are configured, the snmpwalk fails if the node from which it was performed is not configured for Administrative access. |
[注意事項]
過去事例では、管理者ガイドに記載した挙動と違い、SNMPクライアンドのIPアドレスを管理IPアドレス許可しなくても、SNMPリクエストに応答することが確認されております。
なお、本文公開した時点で、確認した範囲では、以下バージョンは管理者ガイドに記載した通りの動作と確認済みです。
2.4 Patch 12とそれ以降
2.6 Patch 3 とそれ以降
2.7 Patch 1とそれ以降
3.0 とそれ以降
そのため、もし現在はSNMPクライアントIPは本文に紹介した管理アクセスの許可されたIPアドレスに入れていなく、最新パッチをインストールしたら、SNMPクライアントからのリクエストに応答しなくなることも考えられますので、パッチインストールする前に、一度管理IPアドレス許可設定を確認して置くことを推奨します。
[参考資料]
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
