引言：
随着网络技术的飞跃发展，现在像Nortel 8006这种交换机已经很少还在使用，加上Nortel公司已经申请破产，相应的技术支持也得不到保障，在此有必要对Nortel 8006交换机安全管理方面的工作进行一些学习，更好的应付平时的网络安全检查和内控审计检查工作。在这里就Nortel 8006交换机安全访问控制策略及相应的DM软件设置跟大家交流下。
   我们知道在Nortel 8006配置里面有一条默认的访问控制策略，其id号为1 ，它默认是允许所有的主机访问，并且像telnet、snmp等服务默认也是开启的，使用默认accessLevel RO 的字符串来进行相应的通信。DM软件主要是使用snmp服务，并且需要设置read community和write community来进行相互之间的通信，而read 和write这两个字符串就是新建访问策略设置accesslevel时所对应的snmp community，下面详细讲解id号为2的访问策略的具体配置。
一、访问策略的新建及服务的开启
config sys access-policy policy 2 create命令是用来新建一个id号为2的访问策略，如果你想让某一条访问策略失效，如id号为2的策略，可以使用config sys access-policy policy 2 disable命令。新建完后默认情况下是执行allow操作，而config sys access-policy policy 2 mode deny命令则执行拒绝操作，并且默认是开启了telnet、snmp 、http和ssh服务，如果你要开启rlogin服务，使用命令config sys access-policy policy 2 service rlogin enable，如果你想停止其中的一项服务，如snmp服务，使用config sys access-policy policy 2 service snmp disable命令，由于DM软件需要使用snmp服务，所以在这里就不要停止snmp服务。
二、设置accesslevel
使用config sys access-policy policy 2 accesslevel  ro|rw|rwa命令来设置访问策略2的具体访问权限，等下我们会讲到这个accesslevel权限所对应的snmp community的设置，也即是DM软件使用所需要设置的read community和write community，设置完后使用config sys access-policy policy 2 access-strict true命令来使具体的accesslevel生效。
三、配置允许访问的主机或网络
接下来就是配置允许访问的主机或网络，比如允许IP地址为192.168.1.1的主机和地址范围段为192.168.1.33--192.168.1.62的网络访问，则使用命令config sys access-policy policy 2 host 192.168.1.1 和config sys access-policy policy 2 network 192.168.1.32 255.255.255.224。前面曾讲到系统存在默认id号为1的访问策略，所以在这里要把它删除，要不就还是允许所有的访问，那样上面配置的允许访问的主机或网络就不起作用，命令config sys access-policy policy 1 delete就是删除id号为1的访问策略。
四、启用访问策略及设置DM字符串
要使所配置的访问策略生效，使用命令config sys access-policy enable true就可以，到这里也就完成了Nortel 8006交换机的安全管理工作。前面说到在使用DM软件时需要设置read community和write community，而这两个字符串是accesslevel的具体权限所设置的字符串，比如在前面设置的accesslevel 为rwa，则使用config sys set snmp community rwa abcd1234命令就设置了访问权限为rwa的字符串为abcd1234，这个字符串也即是DM软件设置所需要的read community和write community。
网络设备的安全管理涉及到方方面面，上面只是其中的一小部分，由于安全管理是一项复杂、非常重要的工作，希望以后有机会和大家作进一步的探讨。

文章如转载，请注明转载自：http://www.5iadmin.com/post/966.html