Configure SNMPv3
O switch QFX3500 oferece suporte ao SNMP versão 3 (SNMPv3). O SNMPv3 melhora a funcionalidade do SNMPv1 e SNMPv2c com suporte à autenticação do usuário e criptografia de dados. O SNMPv3 usa o modelo de segurança baseado no usuário (USM) para fornecer segurança para mensagens SNMP e o modelo de controle de acesso baseado em visualização (VACM) para controle de acesso do usuário.
Os recursos do SNMPv3 incluem:
-
Com o USM, as mensagens SNMP entre o gerente SNMP e o agente podem ter a origem da mensagem autenticada e a integridade dos dados verificada. O USM reduz atrasos nas mensagens e repetições de mensagens aplicando limites de tempo limite e verificando se há IDs de solicitação de mensagens duplicadas.
-
O VACM complementa o USM fornecendo controle de acesso ao usuário para consultas SNMP ao agente. Você define privilégios de acesso que deseja estender a um grupo de um ou mais usuários. Os privilégios de acesso são determinados pelos parâmetros do modelo de segurança (
usmv1ou)v2e parâmetros de nível de segurança (authenticationprivacyounone). Para cada nível de segurança, você deve associar uma visão de MIB para o grupo. Associar uma visão de MIB a um grupo concede a permissão de leitura, gravação ou notificá-lo a um conjunto de objetos MIB para o grupo. -
Você configura parâmetros de segurança para cada usuário, incluindo o nome de usuário, tipo de autenticação e senha de autenticação, e tipo de privacidade e senha de privacidade. O nome de usuário dado a cada usuário está em um formato que depende do modelo de segurança configurado para esse usuário.
-
Para garantir a segurança das mensagens, outro tipo de nome de usuário, chamado de nome de segurança, está incluído nos dados de mensagens que são enviados entre o servidor SNMP local e o servidor SNMP de destino. Cada nome de usuário é mapeado para um nome de segurança, mas o nome de segurança está em um formato que é independente do modelo de segurança.
-
As entradas de armadilha no SNMPv3 são criadas configurando a notificar, notificar o filtro, o endereço alvo e os parâmetros alvo. A
notifydeclaração especifica o tipo de notificação (armadilha) e contém uma única tag que define um conjunto de endereços-alvo para receber uma armadilha. O filtro de notificar define o acesso a uma coleção de identificadores de objetos de armadilha (OIDs). O endereço-alvo define o endereço de um aplicativo de gerenciamento SNMP e outros atributos usados no envio de notificações. Os parâmetros-alvo definem os parâmetros de processamento e segurança de mensagem usados no envio de notificações a um determinado alvo.
Para configurar o SNMPv3, execute as seguintes tarefas:
O SNMPv3 garante segurança aprimorada para mensagens SNMP usando USM com chaves de autenticação e criptografia. Como resultado, você não precisa restringir máquinas externas ao usar o SNMPv3 para consultar um roteador ou switch. Portanto, a configuração do SNMPv3 no Junos OS ou Junos OS Evolved não oferece suporte à lista de clientes para restrição de acesso.
No entanto, o SNMPv2 requer o uso da lista de clientes para permitir que máquinas de clientes específicas enviem consultas SNMP, pois depende do acesso baseado em strings da comunidade.
Criar usuários SNMPv3
Para cada usuário SNMPv3, você pode especificar o nome de usuário, tipo de autenticação, senha de autenticação, tipo de privacidade e senha de privacidade. Após um usuário digitar uma senha, uma chave baseada no ID e senha do mecanismo é gerada e escrita no arquivo de configuração. Após a geração da chave, você pode excluir a senha deste arquivo de configuração.
Você pode configurar apenas um tipo de criptografia para cada usuário SNMPv3.
Para criar usuários, inclua a user declaração no nível de [edit snmp v3 usm local-engine] hierarquia.
Para configurar a autenticação e a criptografia do usuário, inclua as seguintes declarações no nível de [edit snmp v3 usm local-engine user username] hierarquia.
Configuração mínima do SNMPv3 em um dispositivo que executa o Junos OS
Para configurar os requisitos mínimos para o SNMPv3, inclua as seguintes declarações nos [edit snmp v3] níveis de hierarquia e [edit snmp] hierarquia.
Você deve configurar pelo menos uma visualização (notificar, ler ou escrever) no nível de [edit snmp view-name] hierarquia.
Consulte também
Exemplo: Configuração do SNMPv3
Definir uma configuração SNMPv3:
[edit snmp]
engine-id {
use-mac-address;
}
view jnxAlarms {
oid 1.3.6.1.4.1.2636.3.4 include;
}
view interfaces {
oid 1.3.6.1.2.1.2 include;
}
view ping-mib {
oid 1.3.6.1.2.1.80 include;
}
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap;# Defines type of notification
}
notify n2 {
tag host1;
type trap;
}
notify-filter nf1 {
oid .1 include; # Defines which traps to send
} # In this case, includes all traps
notify-filter nf2 {
oid 1.3.6.1.4.1 include; # Sends enterprise-specific traps only
}
notify-filter nf3 {
oid 1.3.6.1.2.1.1.5 include; # Sends BGP traps only
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; # SECRET-DATA
security-name john; # Matches the security name at the target parameters
tag host1; # Finds the addresses that are allowed to be used with
}
target-address ta1 {# Associates the target address with the group
# san-francisco.
address 10.1.1.1;
address-mask 255.255.255.0; # Defines the range of addresses
port 162;
tag-list router1;
target-parameters tp1; # Applies configured target parameters
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list host1;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 host1”;
target-parameters tp3;
}
target-parameters tp1 { # Defines the target parameters
notify-filter nf1; # Specifies which notify filter to apply
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john; # Matches the security name configured at the
} # [edit snmp v3 snmp-community community-index hierarchy level.
}
target-parameters tp2 {
notify-filter nf2;
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john;
}
}
target-parameters tp3 {
notify-filter nf3;
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john;
}
}
usm {
local-engine { # Defines authentication and encryption for SNMPv3 users
user john { # security-name john is defined here
authentication-md5 {
authentication-password authentication-password;
}
privacy-des {
privacy-password privacy-password;
}
}
user bob { # security-name bob is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-none;
}
user julia { # security-name julia is defined here
authentication-none;
privacy-none;
}
user lauren { # security-name lauren is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-aes128 {
privacy-password privacy-password;
}
}
user richard { # security-name richard is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-none;
}
}
}
vacm {
access {
group san-francisco { #Defines the access privileges for the group
default-context-prefix { # called san-francisco
security-model v1 {
security-level none {
notify-view ping-mib;
read-view interfaces;
write-view jnxAlarms;
}
}
}
}
}
security-to-group {
security-model v1 {
security-name john { # Assigns john to security group san-fancisco
group san-francisco;
}
security-name bob { # Assigns bob to security group new-york
group new-york;
}
security-name julia {# Assigns julia to security group chicago
group chicago;
}
security-name lauren {# Assigns lauren to security group paris
group paris;
}
security-name richard {# Assigns richard to security group geneva
group geneva;
}
}
}
}