Leaflet
11-42
思科 ASA 系列命令参考,A 至 H 命令
第 11 章 database path 至 dhcp-server 命令
deny version
deny version
要拒绝特定版本的 SNMP 流量,请在 snmp-map 配置模式下使用 deny version 命令。要禁用此命
令,请使用此命令的 no 形式。
deny version version
no deny version version
语法说明
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 使用 deny version 命令将流量限定为特定的 SNMP 版本。SNMP 的早期版本不够安全,因此您的
安全策略可能指定将 SNMP 流量限定为版本 2。在 SNMP 映射(使用 snmp-map 命令配置,可通
过在全局配置模式下输入 snmp-map 命令来访问)中使用 deny version 命令。创建 SNMP 映射
后,您可以使用 inspect snmp 命令启用映射,然后使用 service-policy 命令将其应用到一个或多
个接口。
示例 以下示例展示如何标识 SNMP 流量、定义 SNMP 映射、定义策略以及将策略应用到外部接口:
ciscoasa(config)# access-list snmp-acl permit tcp any any eq 161
ciscoasa(config)# access-list snmp-acl permit tcp any any eq 162
ciscoasa(config)# class-map snmp-port
ciscoasa(config-cmap)# match access-list snmp-acl
ciscoasa(config-cmap)# exit
ciscoasa(config)# snmp-map inbound_snmp
ciscoasa(config-snmp-map)# deny version 1
ciscoasa(config-snmp-map)# exit
ciscoasa(config)# policy-map inbound_policy
ciscoasa(config-pmap)# class snmp-port
ciscoasa(config-pmap-c)# inspect snmp inbound_snmp
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
ciscoasa(config)# service-policy inbound_policy interface outside
version
指定 ASA 丢弃的 SNMP 流量的版本。允许的值是 1、2、2c 和 3。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
Snmp-map 配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。