准备配置F1070防火墙，输入命令snmp-agent community read cipher ssnss后，提示命令行后面的ssnss错误，并用上三角标出。

cipher：表示以密文方式配置团体名并以密文方式保存到配置文件中。

snmp-agent community

snmp-agent community命令用来创建SNMP团体。

undo snmp-agent community命令用来删除SNMP团体。

【命令】

VACM方式：

snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

undo snmp-agent community [ cipher ] community-name

RBAC方式：

snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

undo snmp-agent community [ cipher ] community-name

【缺省情况】

不存在SNMP团体。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

read：表示对MIB对象的访问权限为只读。NMS使用该团体名访问Agent时只能执行读操作。

write：表示对MIB对象的访问权限为读写。NMS使用该团体名访问Agent时可以执行读、写操作。

simple：表示以明文方式配置团体名并以密文方式保存到配置文件中。

cipher：表示以密文方式配置团体名并以密文方式保存到配置文件中。

community-name：配置明文团体名或密文团体名，是限制NMS访问Agent时所使用的团体名。区分大小写，需要转义的字符请加“\”后输入。当以明文方式配置时，团体名为1～32个字符的字符串；当以密文方式配置时，团体名为33～73个字符的字符串。

mib-view view-name：用来指定NMS可以访问的MIB对象的范围，view-name表示MIB视图名，为1～32个字符的字符串，区分大小写。不指定参数时，缺省视图为ViewDefault。

user-role role-name：该团体对应的角色名称，role-name为1～63个字符的字符串，区分大小写。

acl：将团体名与基本/高级IPv4 ACL绑定。

ipv4-acl-number：表示基本或高级IPv4 ACL的编号，其中基本IPv4 ACL的取值范围为2000～2999，高级IPv4 ACL的取值范围为3000～3999。

name ipv4-acl-name：表示基本或高级IPv4 ACL的名称，为1～63个字符的字符串，不区分大小写。

acl ipv6：将团体名与基本/高级IPv6 ACL绑定。

ipv6-acl-number：表示基本或高级IPv6 ACL的编号，其中基本IPv6 ACL的取值范围为2000～2999，高级IPv6 ACL的取值范围为3000～3999。

name ipv6-acl-name：表示基本或高级IPv6 ACL的名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

为了安全起见，只有具有network-admin、context-admin或者level-15用户角色的用户登录设备后才能执行本命令。其它角色的用户，即使授权了SNMP特性或本命令的操作权限，也不能执行本命令。

该命令用于SNMPv1和SNMPv2c组网环境。

团体是NMS和Agent的集合，用团体名来标志。团体名相当于密码，团体内的设备通信使用团体名来进行认证。只有NMS和Agent上配置的团体名相同时，才能互相访问。通常情况下，“public”被用来作为读权限团体名、“private”被用来作为写权限团体名。为了增强安全性，网络管理员也可以配置其它团体名。

用户有两种方式创建团体：

·     使用snmp-agent community命令来创建团体。

·     配置snmp-agent usm-user { v1 | v2c }和snmp-agent group { v1 | v2c }命令成功创建SNMPv1或SNMPv2c用户以及相应的组后，系统会以用户名为团体名自动创建一个团体。

display snmp-agent community会显示这两种方式创建的、以明文方式配置并以明文方式保存到配置文件中的团体的信息。

使用snmp-agent community命令创建团体时，可以通过两种配置方式来控制团体的访问：

·     VACM（View-based Access Control Model，基于视图的访问控制模型）的配置方式：该方式通过指定MIB视图来限定NMS可以访问的MIB节点，访问的动作包括只读和读写两种。

·     RBAC（Role Based Access Control，基于角色的访问控制）的配置方式：该方式使用用户角色来限定NMS的访问权限。缺省情况下，用户角色network-admin、context-admin和level-15可以读写所有的MIB节点，network-operator和context-operator可以只读所有的MIB节点。有关用户角色的详细信息，请参见“基础配置指导”中的“RBAC”。

推荐使用RBAC配置方式，安全性更高。

多次执行本命令最多可创建10个团体名。

多次执行该命令，指定的团体名相同，其它参数不同时，新配置生效。

不指定simple和cipher参数时，表示以明文方式配置团体名，并以明文方式保存到配置文件。

使用acl参数可以限制非法NMS访问设备。引用ACL时，需要注意的是：

·     若引用的ACL不存在，或者引用的ACL中没有配置规则，则允许所有NMS访问设备。

·     在引用的ACL中，若某规则指定了vpn-instance参数，则表示该规则仅对VPN报文有效；若规则未指定vpn-instance参数，则表示该规则仅对公网报文有效。

·     当引用的ACL下配置了规则时，则只有规则中permit的NMS才能访问设备，其他NMS不允许访问设备。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

【举例】

# 以明文方式创建SNMP团体readaccess，并且允许NMS使用该团体名对设备上缺省视图内的MIB对象进行只读访问。

<Sysname> system-view

[Sysname] snmp-agent sys-info version v1 v2c

[Sysname] snmp-agent community read simple readaccess

# 以明文方式配置团体名writeaccess，并且只允许IP地址为1.1.1.1的NMS使用该团体名对设备上缺省视图内的MIB对象进行读写操作，禁止其它NMS使用该团体名执行写操作。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0.0.0.0

[Sysname-acl-ipv4-basic-2001] rule deny source any

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] snmp-agent sys-info version v2c

[Sysname] snmp-agent community write simple writeaccess acl 2001

# 以明文方式配置团体名writeaccess，并且只允许IP地址为1.1.1.2的NMS使用该团体名对设备上缺省视图内的MIB对象进行读写操作，禁止其它NMS使用该团体名执行写操作。

<Sysname> system-view

[Sysname] acl basic name testacl

[Sysname-acl-ipv4-basic-testacl] rule permit source 1.1.1.2 0.0.0.0

[Sysname-acl-ipv4-basic-testacl] rule deny source any

[Sysname-acl-ipv4-basic-testacl] quit

[Sysname] snmp-agent sys-info version v2c

[Sysname] snmp-agent community write simple writeaccess acl name testacl

# 以明文方式创建团体名wr-sys-acc，使用该团体名访问设备时只能对system（OID为1.3.6.1.2.1.1）子树下的MIB对象执行写操作。

<Sysname> system-view

[Sysname] snmp-agent sys-info version v1 v2c

[Sysname] undo snmp-agent mib-view ViewDefault

[Sysname] snmp-agent mib-view included test system

[Sysname] snmp-agent community write simple wr-sys-acc mib-view test