通过源ip对网管用户进行控制需要下面两个步骤:
定义访问控制列表
引用访问控制列表,对通过snmp访问交换机的用户进行控制
6.3.1 配置准备
确定了对网管用户的控制策略,包括对哪些源ip进行控制,控制的动作是允许访问还是拒绝访问。
6.3.2 通过源ip对网管用户进行控制
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。
配置snmp团体名、组名和用户名的命令中引用的访问控制列表可以是不同的访问控制列表。
snmp团体名属性是snmpv1、snmpv2c版本的一个特性,所以在配置snmp团体名的命令中引用访问控制列表对使用snmpv1、snmpv2c的网管系统起到了过滤作用。
snmp组名、用户名属性是snmpv2c及以上版本的一个特性,所以在配置snmp组名、用户名的命令中引用访问控制列表对使用snmpv2c及以上版本的网管系统起到过滤作用。如果同时在这两个命令中配置了acl控制功能,则交换机会对网管用户的这两个属性都进行过滤。
6.3.3 配置举例
1. 组网需求
仅允许来自10.110.100.52和10.110.100.46的snmp用户访问交换机。
2. 组网图
3. 配置步骤
# 定义基本访问控制列表。
[h3c] system-view
[h3c] acl number 2000 match-order config
[h3c-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[h3c-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[h3c-acl-basic-2000] rule 3 deny source any
[h3c-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的snmp用户访问交换机。
[h3c] snmp-agent community read aaa acl 2000
[h3c] snmp-agent group v2c groupa acl 2000
[h3c] snmp-agent usm-user v2c usera groupa acl 2000