Доброго времени суток !
Такой вопрос - есть ли возможность ограничить доступ к snmp версий 1 или 2 только с определенных узлов или подсетей ? Если можно - с примером.

Воспользуйтесь функцией trusted_host.

_________________
LiveComm

Или просто настройте SNMP Host.

Эммм, Иван, SNMP Host же не блокирует доступ доступ с других хостов, а только отвечает за то, на какие хосты посылать трапы... Или есть какие-то интересные нюансы ?

_________________
LiveComm

Правильно, это тоже в добавление к ограничениям. Правильней было бы сказать и а не или.

trusted_host крайне слабо подходит для означенных целей, поскольку доступ нужно организовать с достаточно большого числа хостов/сетей. Да и доступ по телнету и чтение/запись снмп тоже может не совпадать.
Вопрос - а можно ли с помощью access_profile добиться требуемого ?
Примечание diagnet - влан, приходящий тегом, в котором находятся все интерфейсы управления всех коммутаторов.
x.x.x.x - сеть, откуда разрешаем управление
y.y.y.y - сеть diagnet, коммутатор в этой сети
create access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip vlan diagnet source_ip x.x.x.0 destination_ip y.y.0.0 port 1-26 permit

create access_profile ip vlan source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 255
config access_profile profile_id 255 add access_id 1 ip vlan diagnet source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-26 deny

- в результате пропускает все подряд. Убираем привязку к влан - рубит все подряд.

create access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip vlan diagnet source_ip x.x.x.0 destination_ip ip_if_switch port 1-26 permit

create access_profile ip vlan source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255 profile_id 255
config access_profile profile_id 255 add access_id 1 ip vlan diagnet source_ip 0.0.0.0 destination_ip ip_if_switch port 1-26 deny

ip_if_switch - думаю понятно, что это такое

А почему нельзя в качестве ip_if_switch указать сеть ?

я написал, что к интерфейсу свича ip_if_switch может обращаться подсеть x.x.x.0
весь остальной трафик, обращаемый к этому интерфейсу, дропается.

а так указывать можете всё, что захотите.

так в этом то и дело, что если заменить конкретный адрес на сеть, получится ровно то, что я привел выше. и оно не работает.

ps. оно и для хоста, как в предложенном варианте не работает

В целом логика верная но нужно использовать CPU Access Profile. Но это не совсем правильно потому что у Вас же маршрутизации и ARP-ы должны обрабатываться процессором. Лучший вариант это Trusted Host/Trusted Subnet. Неужели Вам десяти подсетей не хватит? Укажите в личку Ваш телефон пожалуйста.