Можно ли на cisco ограничить доступ по snmp к одной конкретной ветке MIB-а? Я привык на свичах/роутерах опрашивать по SNMP разные данные. Выставлял community string, резал видимость акцес-листами и имел доступ ко всей информации. Теперь возникла потребность отдать "третьим лицам" ограниченный доступ для чтения определенного MIB-а. Можно ли ограничить одной из учеток SNMP доступ к ветке MIB-а? Конкретно интересует состояние портов (OID 1.3.6.1.2.1.2.2.1.8.XXX)

Предыдущий
вопрос Следующий
вопрос

Да, на устройствах Cisco можно ограничить доступ по SNMP к определенной ветке MIB-а. Для этого можно использовать функционал SNMP view и access control list (ACL).

Для ограничения доступа к определенной ветке MIB-а, например, к состоянию портов (OID 1.3.6.1.2.1.2.2.1.8.XXX), можно создать SNMP view, который будет содержать только нужные OID, и затем создать акцес-лист, который будет разрешать или запрещать доступ к этой view.

Ниже представлен пример конфигурации на устройстве Cisco IOS, который позволит ограничить доступ к состоянию портов для определенной учетной записи SNMP:

snmp-server view VIEW-PORTS iso included
snmp-server view VIEW-PORTS 1.3.6.1.2.1.2.2.1.8.XXX
!
access-list 10 permit host 10.1.1.1
!
snmp-server community COMMUNITY-STRING view VIEW-PORTS RO 10

В данном примере мы создаем SNMP view VIEW-PORTS, который включает только OID состояния портов. Затем создаем ACL с номером 10, который разрешает доступ только с хоста 10.1.1.1. Наконец, указываем, что учетная запись SNMP с community string COMMUNITY-STRING имеет доступ только для чтения (RO) к SNMP view VIEW-PORTS для хоста 10.1.1.1.

Пожалуйста, обратитесь к документации Cisco для более подробной информации о конфигурации SNMP на устройствах Cisco.