(可选)限制网管对设备的管理权限
背景信息
场景 |
步骤 |
|---|---|
拥有访问设备Viewdefault视图的权限 |
所有网管访问设备的Viewdefault视图: 无需操作 |
基于设备SNMP Agent过滤:1、2 |
|
基于用户组过滤:1、3、5 |
|
基于用户过滤:1、6、7 |
|
基于用户组和用户过滤:1、3、5、6、7 |
|
基于设备SNMP Agent和用户组过滤:1、2、3、5 |
|
基于设备SNMP Agent和用户过滤:1、2、6、7 |
|
基于设备SNMP Agent、用户组和用户过滤:1、2、3、5、6、7 |
|
拥有访问设备上的指定节点 |
所有网管访问设备上的指定节点: 1、4、5 |
基于设备SNMP Agent过滤:1、2、4、5 |
|
基于用户组过滤:1、3、4、5 |
|
基于用户过滤:1、4、5、6、7 |
|
基于用户组和用户过滤:1、3、4、5、6、7 |
|
基于设备SNMP Agent和用户组过滤:1、2、3、4、5 |
|
基于设备SNMP Agent和用户过滤:1、2、4、5、6、7 |
|
基于设备SNMP Agent、用户组和用户过滤:1、2、3、4、5、6、7 |
当ACL的rule配置为permit时,则允许匹配该规则中指定源IP地址的网管访问本设备。
当ACL的rule配置为deny时,则拒绝匹配该规则中指定源IP地址的网管访问本设备。
当ACL已配置rule时,如果报文未匹配上任何规则,则拒绝发送该报文的网管访问本设备。
当ACL未配置rule时,则允许任何其他网管访问本设备。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置基于SNMP Agent过滤网管。
- 为SNMP用户组配置ACL,用于过滤管理设备的网管。
具体配置步骤请参见《S9300, S9300X V200R019C10 配置指南-安全》 ACL配置。
- 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree,创建MIB视图并限定网管监控和管理的MIB节点。
缺省情况下,网管无任何权限。
可以多次执行本命令,如果配置的view-name和oid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-name和oid-tree参数值不同,则新旧配置均生效。系统最多可保存256条MIB视图配置,其中缺省视图的配置占四条。
当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。
- 执行命令snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* [ acl { acl-number | acl-name } ]、snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ]或snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* acl-ipv6 { acl-number | acl-name },配置用户组的读写权限。
缺省情况下,创建SNMP组的只读视图为ViewDefault且未指定该组的读写视图名和通知视图名。
如果要求网管收到notify-view中指定的trap消息,请先配置告警目的主机。
- 为SNMP用户配置基本ACL或高级ACL,用于过滤管理设备的网管。
具体配置步骤请参见《S9300, S9300X V200R019C10 配置指南-安全》 ACL配置。
- 执行命令snmp-agent [ remote-engineid engineid ] usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *、snmp-agent [ remote-engineid engineid ] usm-user v3 user-name group group-name acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ]或snmp-agent [ remote-engineid engineid ] usm-user v3 user-name group group-name acl-ipv6 { acl-number | acl-name },配置SNMPv3用户。
如果需要使相同SNMPv3用户名的所有网管都能访问Agent,则参数acl可以省略。
- 如果需要允许指定的网管使用该用户名访问Agent,则需要配置acl参数。
