MSR3610-XS通过设置用户组策略来实现一般的用户无法访问设备的管理ip,怎么实现呢？

ssh server acl

ssh server acl命令用来设置对IPv4 SSH客户端的访问控制。

undo ssh server acl命令用来恢复缺省情况。

【命令】

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

undo ssh server acl

【缺省情况】

允许所有IPv4 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

advanced-acl-number：指定IPv4高级ACL，取值范围为3000～3999。

basic-acl-number：指定IPv4基本ACL，取值范围为2000～2999。

mac acl-number：指定二层ACL。acl-number是二层ACL的编号，取值范围为4000～4999。

【使用指导】

对IPv4 SSH客户端的访问控制通过引用ACL来实现，具体情况如下：

·     当引用的ACL不存在或者引用的ACL为空时，不允许IPv4 SSH客户端访问设备。

·     当引用的ACL非空时，则只有匹配ACL中permit规则的IPv4 SSH客户端可以访问设备，其他客户端不可以访问设备。

·     在引用的ACL中，若某规则指定了vpn-instance参数，则表示该规则仅对VPN报文有效；若规则未指定vpn-instance参数，则表示该规则仅对公网报文有效。

该配置生效后，只会过滤新建立的SSH连接，不会影响已建立的SSH连接。

对于IPv4 SSH客户端，本命令不能设置对NETCONF over SSH客户端的访问控制。如果用户需要设置对NETCONF over SSH客户端的访问控制，请使用netconf ssh acl命令设置访问控制。有关netconf ssh acl命令的详细介绍，请参见“网络管理和监控命令参考”中的“NETCONF”。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 只允许IPv4地址为1.1.1.1的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ssh server acl 2001

【相关命令】

·     display ssh server