（可选）限制网管对设备的管理权限

操作步骤

1. 执行命令system-view，进入系统视图。
2. 配置基于SNMP Agent过滤网管。
   1. 配置ACL。

      在配置访问控制权限之前需要先配置ACL，具体配置步骤请参见《S9300, S9300X V200R019C10 配置指南-安全》 ACL配置。

   2. 执行命令snmp-agent acl { acl-number | acl-name }、snmp-agent acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ]或snmp-agent acl-ipv6 { acl-number | acl-name }，配置SNMP访问控制列表。
3. 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree，创建MIB视图并限定网管监控和管理的MIB节点。

   缺省情况下，网管拥有视图Viewdefault的权限。

   可以多次执行本命令，如果配置的view-name和oid-tree参数值相同，则新配置将覆盖旧配置；如果配置的view-name和oid-tree参数值不同，则新旧配置均生效。系统最多可保存256条MIB视图配置，其中缺省视图的配置占四条。

   当执行include和exclude操作时，若所操作的对象存在包含关系，则以最末端的节点操作权限为准。例如，snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系，若先对snmpUsmMIB节点执行exclude操作，再对snmpV2节点执行include操作，则最终的结果仍然会排除snmpUsmMIB节点，因为操作对象存在包含关系，以最末端的节点操作权限为准。

4. 配置基于团体名过滤网管。
   1. （可选）配置基本ACL或高级ACL。

      在配置访问控制权限之前需要先配置基本ACL或高级ACL，具体配置步骤请参见《S9300, S9300X V200R019C10 配置指南-安全》 ACL配置。

   2. 执行命令snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl { acl-number | acl-name } | alias alias-name ] ^*、snmp-agent community { read | write } [ cipher ] community-name [ mib-view view-name ] acl-ipv4 { acl-number | acl-name } [ acl-ipv6 { acl-number | acl-name } ] [ alias alias-name ]或snmp-agent community { read | write } [ cipher ] community-name [ mib-view view-name ] acl-ipv6 { acl-number | acl-name } [ alias alias-name ]，限制网管对设备的访问权限。

      缺省情况下，创建的团体名拥有视图Viewdefault的权限。

      • 希望网管在指定视图下具有只读权限时（比如级别比较低的管理员），使用read参数。希望网管在指定视图下具有读写权限时（比如级别比较高的管理员），使用write参数。

      • 为了加强安全性，用户可以选择配置cipher参数，使团体名以密文形式显示。该形式下，需要管理员妥善保管团体名称，否则忘记团体名时将无法通过设备查看获得。

      • 如果需要使用该团体名的某些网管拥有视图viewdefault的权限，参数mib-view view-name可以省略。

      • 如果需要使用该团体名的所有网管管理设备上的某些节点，参数acl acl-number可以省略。

      • 如果需要使用该团体名的某些网管管理设备上的某些节点，acl和mib-view都需要配置。

      当团体名和ACL同时配置时，网管对设备进行访问前先检查团体名，然后再检查ACL。