Configure o SNMP no Junos OS
Configure SNMP
Você pode implementar o SNMP no software Junos OS em execução nos produtos da Série QFX e da Série OCX. Por padrão, o SNMP não está habilitado. Para habilitar o SNMP, você deve incluir as declarações de configuração de SNMP no nível de [edit] hierarquia.
Para configurar os requisitos mínimos para SNMP, inclua community public a declaração no nível de [edit snmp] hierarquia.
- Declarações de configuração no nível de hierarquia [editar]
- Configure configurações básicas para SNMP
Para configurar recursos SNMP completos, veja snmp.
- Declarações de configuração no nível de hierarquia [editar]
- Configure configurações básicas para SNMP
Declarações de configuração no nível de hierarquia [editar]
Este tópico mostra todas as declarações de configuração no nível de [edit snmp] hierarquia e seu nível na hierarquia de configuração. Quando você está configurando o Junos OS, seu nível de hierarquia atual é mostrado no banner na linha que precede o user@host# prompt.
[edit] snmp { alarm-management { alarm-list-name list-name { alarm-id id { alarm-state state { description alarm-description; notification-id notification-id-of-alarm; resource-prefix alarm-resource-prefix; varbind-index varbind-index-in-alarm-varbind-list; varbind-subtree alarm-varbind-subtree; varbind-value alarm-varbind-value; } } } } client-list client-list-name { ip-addresses; } community community-name { authorization authorization; client-list-name client-list-name; clients { address <restrict>; } logical-system logical-system-name { routing-instance routing-instance-name; clients { address <restrict>; } } routing-instance routing-instance-name { clients { address <restrict>; } } view view-name; } contact contact; description description; engine-id { (local engine-id | use-default-ip-address | use-mac-address); } filter-duplicates; interface [ interface-names ]; location location; name name; nonvolatile { commit-delay seconds; } {rmon { alarm index { description description; falling-event-index index; falling-threshold integer; falling-threshold-interval seconds; interval seconds; request-type (get-next-request | get-request | walk-request); rising-event-index index; rising-threshold integer; sample-type type; startup-alarm alarm; syslog-subtag syslog-subtag; variable oid-variable; } event index { community community-name; description description; type type; } } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable> <match regular-expression>; flag flag; memory-trace; no-remote-trace; no-default-memory-trace; } trap-group group-name { categories { category; } destination-port port-number; routing-instance instance; logical-system logical-system-name; targets { address; } version (all | v1 | v2); } trap-options { agent-address outgoing-interface; source-address address; enterprise-oid; logical-system logical-system-name { routing-instance routing-instance-name { source-address address; } } routing-instance routing-instance-name { source-address address; } } v3 { notify name { tag tag-name; type (trap | inform); } notify-filter profile-name { oid oid (include | exclude); } snmp-community community-index { community-name community-name; security-name security-name; tag tag-name; } target-address target-address-name { address address; address-mask address-mask; logical-system logical-system; port port-number; retry-count number; routing-instance instance; tag-list tag-list; target-parameters target-parameters-name; timeout seconds; } target-parameters target-parameters-name { notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; } } usm { local-engine { user username { authentication-md5 { authentication-password authentication-password; } authentication-none; authentication-sha { authentication-password authentication-password; } privacy-3des { privacy-password privacy-password; } privacy-aes128 { privacy-password privacy-password; } privacy-des { privacy-password privacy-password; } privacy-none; } } } vacm { access { group group-name { (default-context-prefix | context-prefix context-prefiix){ security-model (any | usm | v1 | v2c) { security-level (authentication | none | privacy) { notify-view view-name; read-view view-name; write-view view-name; } } } } } security-to-group { security-model (usm | v1 | v2c) { security-name security-name { group group-name; } } } } } view view-name { oid object-identifier (include | exclude); } }
A partir do Junos OS e junos OS Evolved Release 22.2R1, a opção de tamanho de pacote é habilitada na CLI sob [edit snmp] hierarquia.
Configure configurações básicas para SNMP
As seções a seguir contêm informações sobre a configuração básica do SNMP e alguns exemplos de configuração das operações básicas de SNMP em dispositivos que executam o Junos OS:
Configure configurações básicas para SNMPv1 e SNMPv2
Você não pode habilitar o SNMP em dispositivos que executam o Junos OS por padrão. Para habilitar o SNMP em dispositivos que executam o Junos OS, inclua a community public declaração no nível de [edit snmp] hierarquia.
Habilitando as operações SNMPv1 e SNMPv2 Get and GetNext
[edit]
snmp {
community public;
}
Uma comunidade definida como concessões públicas dá acesso a todos os dados do MIB a qualquer cliente.
Para habilitar as operações SNMPv1 e SNMPv2 Set no dispositivo, você deve incluir as seguintes declarações no nível de [edit snmp] hierarquia:
Habilitação das operações do conjunto SNMPv1 e SNMPv2
[edit snmp]
view all {
oid .1;
}
community private {
view all;
authorization read-write;
}
O exemplo a seguir mostra a configuração mínima básica para armadilhas SNMPv1 e SNMPv2 em um dispositivo:
Configuração de armadilhas SNMPv1 e SNMPv2
[edit snmp]
trap-group jnpr {
targets {
192.168.69.179;
}
}
Configure configurações básicas para SNMPv3
O exemplo a seguir mostra a configuração mínima do SNMPv3 para habilitação Get, GetNexte Set operações em um dispositivo (observe que a configuração tem configuração definida md5 e privacidade para none):
Habilitando operações de get, GetNext e Set SNMPv3
[edit snmp]
v3 {
usm {
local-engine {
user jnpruser {
authentication-md5 {
authentication-key "$9$guaDiQFnAuOQzevMWx7ikqP"; ## SECRET-DATA
}
privacy-none;
}
}
}
vacm {
security-to-group {
security-model usm {
security-name jnpruser {
group grpnm;
}
}
}
access {
group grpnm {
default-context-prefix {
security-model any {
security-level authentication {
read-view all;
write-view all;
}
}
}
}
}
}
}
view all {
oid .1;
}
O exemplo a seguir mostra a configuração básica para o SNMPv3 informa em um dispositivo (a configuração tem configurações de autenticação e privacidade para none):
Configuração de informações do SNMPv3
[edit snmp]
v3 {
usm {
remote-engine 00000063200133a2c0a845c3 {
user RU2_v3_sha_none {
authentication-none;
privacy-none;
}
}
}
vacm {
security-to-group {
security-model usm {
security-name RU2_v3_sha_none {
group g1_usm_auth;
}
}
}
access {
group g1_usm_auth {
default-context-prefix {
security-model usm {
security-level authentication {
read-view all;
write-view all;
notify-view all;
}
}
}
}
}
}
target-address TA2_v3_sha_none {
address 192.168.69.179;
tag-list tl1;
address-mask 255.255.252.0;
target-parameters TP2_v3_sha_none;
}
target-parameters TP2_v3_sha_none {
parameters {
message-processing-model v3;
security-model usm;
security-level none;
security-name RU2_v3_sha_none;
}
notify-filter nf1;
}
notify N1_all_tl1_informs {
type inform; # Replace inform with trap to convert informs to traps.
tag tl1;
}
notify-filter nf1 {
oid .1 include;
}
}
view all {
oid .1 include;
}
Você pode converter as informações do SNMPv3 em armadilhas configurando o valor da type declaração no nível de [edit snmp v3 notify N1_all_tl1_informs] hierarquia, conforme trap mostrado no exemplo a seguir:
Conversão de informações em armadilhas
user@host# set snmp v3 notify N1_all_tl1_informs type trap
Consulte também
Configure os detalhes do SNMP
Você pode usar o SNMP para armazenar detalhes administrativos básicos, como um nome de contato e a localização do dispositivo. Seu sistema de gerenciamento pode então recuperar essas informações remotamente quando você está solucionando um problema ou realizando uma auditoria. No SNMP, estes são os objetos sysName, sysContact, sysDescription e sysLocation encontrados no grupo de sistema do MIB-2 (conforme definido no RFC 1213, Base de informações de gerenciamento para gerenciamento de rede de internets baseadas em TCP/IP: MIB-II). Você pode definir valores iniciais diretamente na configuração do Junos OS para cada sistema que está sendo gerenciado pelo SNMP.
Para os dispositivos gerenciados pelo SNMP, mantenha sempre as informações de nome, localização, contato e descrição configuradas e atualizadas.
Para definir os detalhes do SNMP:
Configure o timer de atraso de confirmação
Quando um roteador ou switch recebe pela primeira vez uma solicitação não revolucionário Set de SNMP, uma sessão de protocolo Junos OS XML é aberta e impede que outros usuários ou aplicativos alterem a configuração do candidato (equivalente ao comando da interface de linha de comando [CLI] configure exclusive ). Se o roteador receber novas solicitações de SNMP Set enquanto a configuração do candidato estiver sendo comprometida, a solicitação de SNMP Set será recusada e um erro é gerado. Se o roteador receber novas solicitações de SNMP Set antes de 5 segundos tiver passado, o temporizador de atraso de confirmação (o tempo entre quando a última solicitação de SNMP é recebida e o commit é solicitado) será redefinido para 5 segundos.
Por padrão, o timer é definido para 5 segundos. Para configurar o temporizador para a resposta SNMP Set e o início do commit, inclua a commit-delay declaração no nível de [edit snmp nonvolatile] hierarquia:
[edit snmp nonvolatile] commit-delay seconds;
seconds é a duração do tempo entre quando a solicitação de SNMP é recebida e o compromisso é solicitado para a configuração do candidato. Para obter mais informações sobre o configure exclusive comando e o bloqueio da configuração, consulte o Guia de usuário do Junos OS CLI .
Configure o SNMP em um dispositivo que executa o Junos OS
Por padrão, o SNMP é desativado em dispositivos que executam o Junos OS. Para habilitar o SNMP em um roteador ou switch, você deve incluir as declarações de configuração de SNMP no nível hierárquico [edit snmp] .
Para configurar os requisitos mínimos para SNMP, inclua community public a declaração no nível de [edit snmp] hierarquia.
A comunidade definida aqui como public subsídios leia o acesso a todos os dados do MIB a qualquer cliente.
Para configurar recursos SNMP completos, inclua as seguintes declarações no nível de [edit snmp] hierarquia:
snmp { client-list client-list-name { ip-addresses; } community community-name { authorization authorization; client-list-name client-list-name; clients { address restrict; } routing-instance routing-instance-name { clients { addresses; } } logical-system logical-system-name { routing-instance routing-instance-name { clients { addresses; } } } view view-name; } contact contact; description description; engine-id { (local engine-id | use-mac-address | use-default-ip-address); } filter-duplicates; health-monitor { falling-threshold integer; interval seconds; rising-threshold integer; } interface [ interface-names ]; location location; name name; nonvolatile { commit-delay seconds; } rmon { alarm index { description text-description; falling-event-index index; falling-threshold integer; falling-threshold-interval seconds; interval seconds; request-type (get-next-request | get-request | walk-request); rising-event-index index; sample-type type; startup-alarm alarm; syslog-subtag syslog-subtag; variable oid-variable; } event index { community community-name; description text-description; type type; } } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable> <match regular-expression>; flag flag; } trap-group group-name { categories { category; } destination-port port-number; routing-instance instance; targets { address; } version (all | v1 | v2); } trap-options { agent-address outgoing-interface; source-address address; } view view-name { oid object-identifier (include | exclude); } }
Consulte também
Exemplo: Configure o SNMP no QFabric System
Por padrão, o SNMP é desativado em dispositivos que executam o Junos OS. Este exemplo descreve as etapas para configurar o SNMP no sistema QFabric.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão Junos OS 12.2
Sistema de gerenciamento de rede (NMS) (executando o gerente de SNMP)
Sistema QFabric (executando o agente SNMP) com vários dispositivos de nós
Visão geral
Você deve habilitar o SNMP em seu dispositivo, incluindo declarações de configuração no nível de [edit snmp] hierarquia. No mínimo, você deve configurar a community public declaração. A comunidade definida como subvenções públicas acesso somente de leitura aos dados do MIB a qualquer cliente.
Se nenhuma clients declaração estiver configurada, todos os clientes serão permitidos. Recomendamos que você sempre inclua a opção de limitar o restrict acesso do cliente SNMP ao switch.
Topologia
A topologia de rede neste exemplo inclui um NMS, um sistema QFabric com quatro dispositivos de nós e servidores SNMP externos que estão configurados para receber armadilhas.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
set snmp name “snmp qfabric” description “qfabric0 switch” set snmp location “Lab 4 Row 11” contact “qfabric-admin@qfabric0” set snmp community public authorization read-only set snmp client-list list0 192.168.0.0/24 set snmp community public client-list-name list0 set snmp community public clients 192.170.0.0/24 restrict set snmp trap-group “qf-traps” destination-port 155 targets 192.168.0.100
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI .
Para configurar o SNMP no sistema QFabric:
Se o nome, descrição, localização, contato ou nome da comunidade conter espaços, coloque o texto entre aspas (" ").
Configure o nome do sistema SNMP:
[edit snmp] user@switch# set name “snmp qfabric”
Nota:Você pode acessar o nome do sistema SNMP configurado acima:
-
Ao fazer uma consulta com o SNMPGet no sysName.0 do identificador de objetos de política (OID).
-
Do jnxSyslogTrap genérico. Para enviar o jnxSyslogTrap, configure os eventos de armadilha na
[edit event-options policy]hierarquia.
-
Especifique uma descrição.
[edit snmp] user@switch# set description “qfabric0 system”
Esta corda é colocada no objeto de sysDescription MIB II.
Especifique a localização física do sistema QFabric.
[edit snmp] user@switch# set location “Lab 4 Row 11”
Esta corda é colocada no objeto de sysLocation MIB II.
Especifique um contato administrativo para o sistema SNMP.
[edit snmp] user@switch# set contact “qfabric-admin@qfabric0”
Este nome é colocado no objeto sysContact MIB II.
Especifique um nome exclusivo da comunidade SNMP e o nível de autorização somente para leitura.
Nota:A opção
read-writenão é suportada no sistema QFabric.[edit snmp] user@switch# set community public authorization read-only
Crie uma lista de clientes com um conjunto de endereços IP que podem usar a comunidade SNMP.
[edit snmp] user@switch# set client-list list0 192.168.0.0/24 user@switch# set community public client-list-name list0
Especifique endereços IP de clientes que estão impedidos de usar a comunidade.
[edit snmp] user@switch# set community public clients 198.51.100.0/24 restrict
Configure um grupo de armadilhas, uma porta de destino e um alvo para receber as armadilhas SNMP no grupo trap.
[edit snmp] user@switch# set trap-group “qf-traps” destination-port 155 targets 192.168.0.100
Nota:Você não precisa incluir a
destination-portdeclaração se usar a porta padrão 162.O grupo trap qf-traps está configurado para enviar armadilhas para 192.168.0.100.
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@switch# show
snmp {
name "snmp qfabric";
description "qfabric0 system";
location "Lab 4 Row 11";
contact "qfabric-admin@qfabric0";
client-list list0 {
192.168.0.0/24;
}
community public {
authorization read-only;
clients {
198.51.100.0/24 restrict;
}
}
trap-group qf-traps {
destination-port 155;
targets {
192.168.0.100;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.