对通过SNMP 访问交换机的用户的ACL 控制
h3c s9500 系列路由交换机支持通过网管软件进行远程管理。网管用户可以通过snmp 访问交换机,对这些用户的acl 控制功能可以过滤掉不合法的网管用户,使其不能登录本交换机。
4.3.1 配置准备
用户对snmp 方式登录交换机进行了正确配置。
4.3.2 配置过程
snmp-agent community、snmp-agent group、snmp-agent usm-use 三个命令中引用的访问控制列表可以是不同的访问控制列表。
网管用户的acl 控制功能只能引用基于数字标识的基本访问控制列表。
关于命令的详细描述请参见命令手册。
4.3.3 配置举例
1. 组网需求
仅允许来自10.110.100.52 和10.110.100.46 的snmp 用户访问交换机。
2. 组网图
3. 配置步骤
# 定义基本访问控制列表和子规则。
[h3c] system-view
system view: return to user view with ctrl+z.
[h3c] acl number 2000 match-order config
[h3c-acl-baisc-2000] rule 1 permit source 10.110.100.52 0
[h3c-acl-baisc-2000] rule 2 permit source 10.110.100.46 0
[h3c-acl-basic-2000] rule 3 deny source any
[h3c-acl-baisc-2000] quit
# 引用访问控制列表。
[h3c] snmp-agent community read huawei-3com acl 2000
[h3c] snmp-agent group v3 huawei-3comgroup acl 2000
[h3c] snmp-agent usm-user v3 huawei-3comuser huawei-3comgroup acl 2000
阅读(1648) | 评论(0) | 转发(0) |