Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração do SNMPv3

Configuração SNMPv3 mínima em um dispositivo que executa o Junos OS

Para configurar os requisitos mínimos para o SNMPv3, inclua as seguintes declarações nos [edit snmp v3] níveis de hierarquia e [edit snmp] :

Nota:

Você deve configurar pelo menos uma visualização (notificar, ler ou escrever) no nível de [edit snmp view-name] hierarquia.

Exemplo: Configuração do SNMPv3

Definir uma configuração SNMPv3:

Criação de usuários SNMPv3

Para cada usuário SNMPv3, você pode especificar o nome de usuário, tipo de autenticação, senha de autenticação, tipo de privacidade e senha de privacidade. Depois que um usuário insira uma senha, uma chave baseada no ID e senha do mecanismo é gerada e é escrita no arquivo de configuração. Após a geração da chave, a senha é excluída deste arquivo de configuração.

Nota:

Você pode configurar apenas um tipo de criptografia para cada usuário SNMPv3.

Para criar usuários, inclua a user declaração no nível hierárquica [edit snmp v3 usm local-engine] :

username é o nome que identifica o usuário SNMPv3.

Para configurar a autenticação e a criptografia do usuário, inclua as seguintes declarações no nível de [edit snmp v3 usm local-engine user username] hierarquia:

Exemplo: Criação de usuários SNMPv3

Definir usuários do SNMPv3:

Configuração do tipo de autenticação SNMPv3

Por padrão, em uma configuração do Junos OS, o tipo de autenticação SNMPv3 é definido para nenhum.

Este tópico inclui as seguintes seções:

Configuração da autenticação MD5

Para configurar o algoritmo de digestão de mensagem (MD5) como o tipo de autenticação para um usuário SNMPv3, inclua a authentication-md5 declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

authentication-password é a senha usada para gerar a chave usada para autenticação.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração da autenticação SHA

Para configurar o algoritmo de hash seguro (SHA) como o tipo de autenticação para um usuário SNMPv3, inclua a authentication-sha declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

authentication-password é a senha usada para gerar a chave usada para autenticação.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração sem autenticação

Para configurar nenhuma autenticação para um usuário SNMPv3, inclua a authentication-none declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

Configuração do tipo de criptografia SNMPv3

Por padrão, a criptografia é definida para nenhuma.

Nota:

Antes de configurar a criptografia, você deve configurar a autenticação MD5 ou SHA.

Este tópico inclui as seguintes seções:

Configuração do algoritmo padrão de criptografia avançada

Para configurar o algoritmo Advanced Encryption Standard (AES) para um usuário SNMPv3, inclua a privacy-aes128 declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

privacy-password é a senha usada para gerar a chave usada para criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração do algoritmo de criptografia de dados

Para configurar o algoritmo de criptografia de dados (DES) para um usuário SNMPv3, inclua a privacy-des declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

privacy-password é a senha usada para gerar a chave usada para criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração de DES triplo

Para configurar o DES triplo para um usuário SNMPv3, inclua a privacy-3des declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

privacy-password é a senha usada para gerar a chave usada para criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração sem criptografia

Para configurar nenhuma criptografia para um usuário SNMPv3, inclua a privacy-none declaração no nível de [edit snmp v3 usm local-engine user username] hierarquia:

Definindo privilégios de acesso para um grupo de SNMP

A SNMP versão 3 (SNMPv3) usa o modelo de controle de acesso baseado em visualização (VACM), que permite configurar os privilégios de acesso concedidos a um grupo. O acesso é controlado filtrando os objetos MIB disponíveis para uma operação específica por meio de uma visualização predefinida. Você atribui visualizações para determinar os objetos visíveis para ler, escrever e notificar as operações para um determinado grupo, usando um contexto específico, um modelo de segurança específico (v1, v2c ou usm) e um nível de segurança específico (autenticado, privacidade ou nenhum). Para obter informações sobre como configurar visualizações, consulte Configuração de visualizações do MIB.

Você define o acesso do usuário às informações de gerenciamento no nível hierárquica [edit snmp v3 vacm] . Todo o controle de acesso dentro do VACM opera em grupos, que são coleções de usuários conforme definido pela USM, ou strings da comunidade conforme definido nos modelos de segurança SNMPv1 e SNMPv2c. O termo security-name refere-se a esses usuários finais genéricos. O grupo ao qual um nome de segurança específico pertence está configurado no nível de [edit snmp v3 vacm security-to-group] hierarquia. Esse nome de segurança pode ser associado a um grupo definido no nível de [edit snmp v3 vacm security-to-group] hierarquia. Um grupo identifica uma coleção de usuários de SNMP que compartilham a mesma política de acesso. Em seguida, você define os privilégios de acesso associados a um grupo no nível de [edit snmp v3 vacm access] hierarquia. Os privilégios de acesso são definidos usando visualizações. Para cada grupo, você pode aplicar opiniões diferentes dependendo da operação de SNMP; por exemplo, getNextleia (getou getBulk) escreva (set), notificações, o nível de segurança usado (autenticação, privacidade ou nenhum) e o modelo de segurança (v1, v2c ou usm) usado em uma solicitação de SNMP.

Você configura membros de um grupo com a security-name declaração. Para pacotes v3 usando USM, o nome de segurança é o mesmo que o nome de usuário. Para pacotes SNMPv1 ou SNMPv2c, o nome de segurança é determinado com base na cadeia da comunidade. Os nomes de segurança são específicos de um modelo de segurança. Se você também estiver configurando políticas de acesso VACM para pacotes SNMPv1 ou SNMPv2c, você deve atribuir nomes de segurança a grupos para cada modelo de segurança (SNMPv1 ou SNMPv2c) no nível de [edit snmp v3 vacm security-to-group] hierarquia. Você também deve associar um nome de segurança a uma comunidade SNMP no nível de [edit snmp v3 snmp-community community-index] hierarquia.

Para configurar os privilégios de acesso para um grupo SNMP, inclua declarações no nível de [edit snmp v3 vacm] hierarquia:

Configuração dos privilégios de acesso concedidos a um grupo

Este tópico inclui as seguintes seções:

Configuração do grupo

Para configurar os privilégios de acesso concedidos a um grupo, inclua a group declaração no nível hierárquica [edit snmp v3 vacm access] :

group-name é uma coleção de usuários de SNMP que pertencem a uma lista SNMP comum que define uma política de acesso. Usuários pertencentes a um determinado grupo SNMP herdam todos os privilégios de acesso concedidos a esse grupo.

Configuração do modelo de segurança

Para configurar o modelo de segurança, inclua a security-model declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] hierarquia:

  • any— Qualquer modelo de segurança

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPV1

  • v2c— modelo de segurança SNMPv2c

Configurando o nível de segurança

Para configurar os privilégios de acesso concedidos a pacotes com um nível de segurança específico, inclua a security-level declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] hierarquia:

  • none— Não fornece autenticação nem criptografia.

  • authentication— Fornece autenticação, mas sem criptografia.

  • privacy— Fornece autenticação e criptografia.

    Nota:

    Os privilégios de acesso são concedidos a todos os pacotes com um nível de segurança igual ou superior ao configurado. Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPv2c, use none como nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use o authenticationnível de , noneou privacy segurança.

Associação de visualizações de MIB com um grupo de usuários SNMP

As opiniões do MIB definem privilégios de acesso para membros de um grupo. Visualizações separadas podem ser aplicadas para cada operação de SNMP (ler, escrever e notificar) em cada modelo de segurança (usm, v1 e v2c) e em cada nível de segurança (autenticação, nenhum e privacidade) suportado pelo SNMP.

Para associar visualizações de MIB a um grupo de usuários SNMP, inclua as seguintes declarações no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia:

Nota:

Você deve associar pelo menos uma visualização (notificar, ler ou escrever) no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia.

Você deve configurar a visualização MIB no nível de [edit snmp view view-name] hierarquia. Para obter informações sobre como configurar visualizações do MIB, consulte Configuração de visualizações do MIB.

Esta seção descreve os seguintes tópicos relacionados a esta configuração:

Configuração da visualização notificar

Para o associado notificar o acesso com um grupo de usuários SNMP, inclua a notify-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia:

view-name especifica o acesso de notificar, que é uma lista de notificações que podem ser enviadas a cada usuário em um grupo de SNMP. Um nome de visualização não pode exceder 32 caracteres.

Configuração da visualização de leitura

Para associar uma visão de leitura a um grupo SNMP, inclua a read-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia:

view-name especifica o acesso lido para um grupo de usuários SNMP. Um nome de visualização não pode exceder 32 caracteres.

Configuração da visualização de gravação

Para associar uma visão de gravação a um grupo de usuários SNMP, inclua a write-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia:

view-name especifica o acesso de gravação para um grupo de usuários SNMP. Um nome de visualização não pode exceder 32 caracteres.

Exemplo: Configuração dos privilégios de acesso concedidos a um grupo

Definir privilégios de acesso:

Atribuição do modelo de segurança e nome de segurança a um grupo

Para atribuir nomes de segurança a grupos, inclua as seguintes declarações no nível de [edit snmp v3 vacm security-to-group] hierarquia:

Este tópico inclui as seguintes seções:

Configuração do modelo de segurança

Para configurar o modelo de segurança, inclua a security-model declaração no nível de [edit snmp v3 vacm security-to-group] hierarquia:

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPv1

  • v2c— modelo de segurança SNMPv2

Atribuição de nomes de segurança a grupos

Para associar um nome de segurança a um usuário SNMPv3, ou uma string da comunidade v1 ou v2, inclua a security-name declaração no nível de [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] hierarquia:

Para SNMPv3, o security-name nome de usuário é configurado no nível de [edit snmp v3 usm local-engine user username] hierarquia. Para SNMPv1 e SNMPv2c, o nome de segurança é a cadeia de comunidade configurada no nível de [edit snmp v3 snmp-community community-index] hierarquia. Para obter informações sobre a configuração de nomes de usuário, consulte a criação de usuários SNMPv3. Para obter informações sobre a configuração de uma cadeia de comunidades, consulte Configuração da Comunidade SNMPv3.

Nota:

O nome de segurança USM é separado do nome de segurança SNMPv1 e SNMPv2c. Se você aceita SNMPv1 e SNMPv2c, além do SNMPv3, você deve configurar nomes de segurança separados na configuração de segurança para grupo no nível de [edit snmp v3 vacm access] hierarquia.

Configuração do grupo

Depois de criar usuários SNMPv3, ou nomes de segurança v1 ou v2, você os associa a um grupo. Um grupo é um conjunto de nomes de segurança pertencentes a um determinado modelo de segurança. Um grupo define os direitos de acesso para todos os usuários pertencentes a ele. Os direitos de acesso definem quais objetos SNMP podem ser lidos, escritos ou criados. Um grupo também define quais notificações um usuário pode receber.

Se você já tiver um grupo configurado com todas as permissões de visualização e acesso que deseja dar a um usuário, você pode adicionar o usuário a esse grupo. Se você quiser dar a uma visão do usuário e às permissões de acesso que nenhum outro grupo tem, ou se você não tiver nenhum grupo configurado, crie um grupo e adicione o usuário a ele.

Para configurar os privilégios de acesso concedidos a um grupo, inclua a group declaração no nível hierárquica [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] :

group-name identifica uma coleção de nomes de segurança SNMP que compartilham a mesma política de acesso. Para obter mais informações sobre grupos, consulte Definindo privilégios de acesso para um grupo de SNMP.

Exemplo: Configuração de grupo de segurança

Atribuir nomes de segurança a grupos:

Configuração de armadilhas SNMPv3 em um dispositivo que executa o Junos OS

No SNMPv3, você cria armadilhas e informações configurando os notifyparâmetros target-address, e target-parameters os parâmetros. As armadilhas são notificações não confirmadas, enquanto as informações são notificações confirmadas. Esta seção descreve como configurar armadilhas SNMP. Para obter informações sobre a configuração de informações de SNMP, consulte Configuração de informações de SNMP.

O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento a serem usados no envio de notificações. Parâmetros-alvo definem os parâmetros de processamento de mensagens e segurança que são usados no envio de notificações a um determinado alvo de gerenciamento. O SNMPv3 também permite definir armadilhas SNMPv1 e SNMPv2c.

Nota:

Ao configurar armadilhas SNMP, certifique-se de que seus privilégios de acesso configurados permitam que as armadilhas sejam enviadas. Os privilégios de acesso estão configurados nos níveis de [edit snmp v3 vacm access][edit snmp v3 vacm security-to-group] hierarquia.

Para configurar armadilhas SNMP, inclua as seguintes declarações no nível de [edit snmp v3] hierarquia:

Configuração da notificação de armadilhas SNMPv3

A notify declaração especifica o tipo de notificação (armadilha) e contém uma única tag. A tag define um conjunto de endereços-alvo para receber uma armadilha. A lista de tags contém uma ou mais tags e está configurada no nível de [edit snmp v3 target-address target-address-name] hierarquia. Se a lista de tags contiver esta tag, o Junos OS enviará uma notificação a todos os endereços-alvo associados a esta tag.

Para configurar as notificações de armadilha, inclua a notify declaração no nível de [edit snmp v3] hierarquia:

name é o nome atribuído à notificação.

tag-name define os endereços-alvo aos quais essa notificação é enviada. Esta notificação é enviada a todos os endereços-alvo que têm essa tag em sua lista de tags. Não tag-name está incluído na notificação.

trap é o tipo de notificação.

Nota:

Cada nome de entrada de notificá-lo deve ser único.

O Junos OS oferece suporte a dois tipos de notificação: trap e inform. .

Para obter informações sobre como configurar a lista de tags, consulte Configurando o endereço alvo da armadilha.

Exemplo: Configuração da notificação de armadilhas SNMPv3

Especifique três conjuntos de destinos para enviar armadilhas:

Configuração do filtro de notificação de armadilhas

O SNMPv3 usa o filtro de notificar para definir quais armadilhas (ou quais objetos de quais armadilhas) são enviadas ao sistema de gerenciamento de rede (NMS). O filtro de notificação de armadilhas limita o tipo de armadilhas que são enviadas para o NMS.

Cada identificador de objeto representa uma sub-árvore da hierarquia de objetos MIB. A sub-árvore pode ser representada por uma sequência de inteiros pontilhados (como 1,3,6,1,2,1,1,2) ou por seu nome de sub-árvore (como interfaces). Você também pode usar o asterisco de caracteres wildcard (*) no identificador de objetos (OID) para especificar identificadores de objetos que correspondem a um padrão específico.

Para configurar o filtro de notificações de armadilha, inclua a notify-filter declaração no nível de [edit snmp v3] hierarquia:

profile-name é o nome atribuído ao filtro de notificar.

Por padrão, o OID está definido para include. Para definir o acesso a armadilhas (ou objetos de armadilhas), inclua a oid declaração no nível hierárquico [edit snmp v3 notify-filter profile-name] :

oid é o identificador de objetos. Todos os objetos MIB representados por esta declaração têm o OID especificado como um prefixo. Ele pode ser especificado por uma sequência de inteiros pontilhados ou por um nome de sub-árvore.

  • include— Inclua a sub-árvore de objetos MIB representados pelo OID especificado.

  • exclude— Exclua a sub-árvore de objetos MIB representados pelo OID especificado.

Configuração do endereço-alvo da armadilha

O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento que são usados no envio de notificações. Ele também pode identificar estações de gerenciamento que podem usar strings específicos da comunidade. Quando você recebe um pacote com uma cadeia de comunidade reconhecida e uma tag está associada a ele, o Junos OS olha todos os endereços-alvo com esta tag e verifica se o endereço de origem deste pacote corresponde a um dos endereços-alvo configurados.

Nota:

Você deve configurar a máscara de endereço quando configurar a comunidade SNMP.

Para especificar onde você deseja que as armadilhas sejam enviadas e definir quais pacotes SNMPv1 e SNMPv2cc são permitidos, inclua a target-address declaração no nível de [edit snmp v3] hierarquia:

target-address-name é a cadeia que identifica o endereço alvo.

Para configurar as propriedades do endereço-alvo, inclua as seguintes declarações no nível de [edit snmp v3 target-address target-address-name] hierarquia:

Ao contrário do SNMP v2, no SNMPv3, não há opção de configuração para limitar a votação de entrada. Mas você pode configurar um filtro lo0 para limitar a votação de entrada, criando uma regra para permitir SNMP a partir de seus IPs do sistema de monitoramento. Por exemplo:

Configuração do endereço

Para configurar o endereço, inclua a address declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

address é o endereço-alvo SNMP.

Configuração da máscara de endereço

A máscara de endereço especifica um conjunto de endereços que podem usar uma cadeia de comunidade e verifica os endereços de origem para um grupo de endereços-alvo.

Para configurar a máscara de endereço, inclua a address-mask declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

address-mask combinado com o endereço define uma variedade de endereços. Para obter informações sobre como configurar o string da comunidade, consulte Configurar a Comunidade SNMPv3.

Configuração da porta

Por padrão, a porta UDP está definida para 162. Para configurar um número de porta diferente, inclua a port declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

port-number é o número da porta-alvo SNMP.

Configuração da instância de roteamento

As armadilhas são enviadas pela instância de roteamento padrão. Para configurar a instância de roteamento para o envio de armadilhas, inclua a routing-instance declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

instance é o nome da instância de roteamento. Para configurar uma instância de roteamento em um sistema lógico, especifique o nome do sistema lógico seguido do nome da instância de roteamento. Use uma barra ( / ) para separar os dois nomes (por exemplo test-lr/test-ri). Para configurar a instância de roteamento padrão em um sistema lógico, especifique o nome do sistema lógico seguido por default (por exemplo). test-lr/default

Configuração do endereço-alvo da armadilha

Cada target-address declaração pode ter uma ou mais tags configuradas em sua lista de tags. Cada tag pode aparecer em mais de uma lista de tags. Quando um evento significativo ocorre no dispositivo de rede, a lista de tags identifica os alvos aos quais uma notificação é enviada.

Para configurar a lista de tags, inclua a tag-list declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

tag-list especifica uma ou mais tags como uma lista separada por espaço fechada em cotações duplas.

Para um exemplo de configuração de lista de tags, veja Exemplo: Configurando a lista de etiquetas.

Para obter informações sobre como especificar uma tag no nível de [edit snmp v3 notify notify-name] hierarquia, consulte Configurando a notificação de armadilhaS SNMPv3.

Nota:

Ao configurar armadilhas SNMP, certifique-se de que seus privilégios de acesso configurados permitam que as armadilhas sejam enviadas. Configure privilégios de acesso no nível de [edit snmp v3 vacm access] hierarquia.

Aplicação de parâmetros-alvo

A target-parameters declaração no nível de [edit snmp v3] hierarquia aplica os parâmetros-alvo configurados no nível de [edit snmp v3 target-parameters target-parameters-name] hierarquia.

Para referência a parâmetros de alvo configurados, inclua a target-parameters declaração no nível de [edit snmp v3 target-address target-address-name] hierarquia:

target-parameters-name é o nome associado aos parâmetros de processamento de mensagens e segurança usados no envio de notificações a um determinado alvo de gerenciamento.

Exemplo: Configuração da lista de etiquetas

No exemplo a seguir, duas entradas de tag (router1 e router2) são definidas no nível de [edit snmp v3 notify notify-name] hierarquia. Quando um evento aciona uma notificação, o Junos OS envia uma armadilha para todos os endereços-alvo que tenham router1 ou router2 configurados em sua lista de tags de endereço-alvo. Isso resulta nos dois primeiros alvos recebendo uma armadilha cada, e o terceiro alvo recebendo duas armadilhas.

Definindo e configurando os parâmetros de destino da armadilha

Parâmetros-alvo definem os parâmetros de processamento de mensagens e segurança que são usados no envio de notificações a um determinado alvo de gerenciamento.

Para definir um conjunto de parâmetros-alvo, inclua a target-parameters declaração no nível de [edit snmp v3] hierarquia:

target-parameters-name é o nome atribuído aos parâmetros-alvo.

Para configurar as propriedades do parâmetro-alvo, inclua as seguintes declarações no nível de [edit snmp v3 target-parameters target-parameter-name] hierarquia:

Nota:

Ao configurar notificações de armadilha de SNMP para política de segurança de assinantes em roteadores da Série MX, você deve configurar os parâmetros da seguinte forma:

  • Modelo de processamento de mensagens: v3

  • Nível de segurança: privacy

  • Modelo de segurança: usm

Para obter mais informações sobre a configuração de políticas seguras de assinantes, consulte a visão geral da política segura do assinante.

Este tópico inclui as seguintes seções:

Aplicando o filtro de notificação de armadilhas

Para aplicar o filtro de notificação de armadilhas, inclua a notify-filter declaração no nível de [edit snmp v3 target-parameters target-parameter-name] hierarquia:

profile-name é o nome de um filtro de notificar configurado. Para obter informações sobre a configuração de filtros de notificar, consulte Configurar o filtro de notificação de armadilhas.

Configuração dos parâmetros-alvo

Para configurar as propriedades do parâmetro-alvo, inclua as seguintes declarações no nível de [edit snmp v3 target-parameters target-parameter-name parameters] hierarquia:

Esta seção inclui os seguintes tópicos:

Configuração do modelo de processamento de mensagens

O modelo de processamento de mensagens define qual versão do SNMP usar ao gerar notificações de SNMP. Para configurar o modelo de processamento de mensagens, inclua a message-processing-model declaração no nível de [edit snmp v3 target-parameters target-parameter-name parameters] hierarquia:

  • v1— modelo de processamento de mensagens SNMPv1

  • v2c— modelo de processamento de mensagens SNMPv2c

  • v3— modelo de processamento de mensagens SNMPV3

Nota:

O v3 modelo de processamento de mensagens é necessário para a política de segurança de assinantes nos roteadores da Série MX. Consulte a visão geral da política segura do assinante para obter mais informações.

Configuração do modelo de segurança

Para definir o modelo de segurança a ser usado ao gerar notificações de SNMP, inclua a security-model declaração no nível hierárquico [edit snmp v3 target-parameters target-parameter-name parameters] :

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPv1

  • v2c— modelo de segurança SNMPv2c

Nota:

O usm modelo de segurança é necessário para a política de segurança de assinantes nos roteadores da Série MX. Consulte a visão geral da política segura do assinante para obter mais informações.

Configurando o nível de segurança

A security-level declaração especifica se a armadilha é autenticada e criptografada antes de ser enviada.

Para configurar o nível de segurança a ser usado ao gerar notificações de SNMP, inclua a security-level declaração no nível de [edit snmp v3 target-parameters target-parameter-name parameters] hierarquia:

  • authentication— Fornece autenticação, mas sem criptografia.

  • none— Sem segurança. Não fornece autenticação nem criptografia.

  • privacy— Fornece autenticação e criptografia.

    Nota:

    Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPV2c, use none como nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use o nível de segurança ou privacy o authentication nível de segurança.

    O privacy nível de segurança é necessário para a política de segurança de assinantes nos roteadores da Série MX. Consulte a visão geral da política segura do assinante para obter mais informações.

Configurando o nome de segurança

Para configurar o nome de segurança a ser usado ao gerar notificações de SNMP, inclua a security-name declaração no nível de [edit snmp v3 target-parameters target-parameter-name parameters] hierarquia:

Se o modelo de segurança USM for usado, ele security-name identifica o usuário que é usado quando a notificação é gerada. Se os modelos de segurança v1 ou v2c forem usados, security-name identifique a comunidade SNMP usada quando a notificação é gerada.

Nota:

Os privilégios de acesso para o grupo associado a um nome de segurança devem permitir que essa notificação seja enviada.

Se você estiver usando os modelos de segurança v1 ou v2, o nome de segurança no nível de [edit snmp v3 vacm security-to-group] hierarquia deve corresponder ao nome de segurança no nível de [edit snmp v3 snmp-community community-index] hierarquia.

Configuração de SNMP informa

O Junos OS oferece suporte a dois tipos de notificações: armadilhas e informações. Com armadilhas, o receptor não envia nenhum reconhecimento quando recebe uma armadilha. Portanto, o remetente não pode determinar se a armadilha foi recebida. Uma armadilha pode ser perdida porque um problema ocorreu durante a transmissão. Para aumentar a confiabilidade, um informe é semelhante a uma armadilha, exceto que o informe é armazenado e retransmitido em intervalos regulares até que uma dessas condições ocorra:

  • O receptor (alvo) do informe devolve um reconhecimento ao agente SNMP.

  • Um número especificado de retransmissões mal sucedidas foi tentado e o agente descarta a mensagem de informação.

Se o remetente nunca receber uma resposta, o informe pode ser enviado novamente. Assim, as informações são mais propensas a chegar ao destino pretendido do que as armadilhas. Informa usar o mesmo canal de comunicações que armadilhas (mesmo soquete e porta), mas ter diferentes tipos de unidade de dados de protocolo (PDU).

As informações são mais confiáveis do que as armadilhas, mas consomem mais recursos de rede, roteador e switch (ver Figura 1). Ao contrário de uma armadilha, um informe é mantido na memória até que uma resposta seja recebida ou o tempo limite seja alcançado. Além disso, as armadilhas são enviadas apenas uma vez, enquanto uma informação pode ser revalada várias vezes. Use informações quando é importante que o gerente de SNMP receba todas as notificações. No entanto, se você estiver mais preocupado com o tráfego de rede, ou memória de roteador e switch, use armadilhas.

Figura 1: Informe solicitação e respostaInforme solicitação e resposta

Configurando o tipo de notificação de informação e o endereço-alvo

Para configurar o tipo de notificação de informação e as informações de alvo, inclua as seguintes declarações no nível de [edit snmp v3] hierarquia:

notify name é o nome atribuído à notificação. Cada nome de entrada de notificá-lo deve ser único.

tag tag-name define os endereços-alvo enviados nesta notificação. A notificação é enviada a todos os endereços-alvo que têm essa tag em sua lista de tags. Não tag-name está incluído na notificação. Para obter informações sobre como configurar a lista de tags, consulte Configurando o endereço alvo da armadilha.

type inform é o tipo de notificação.

target-address target-address-name identifica o endereço alvo. O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento que são usados para responder às informações.

timeout seconds é o número de segundos para esperar por um reconhecimento. Se nenhum reconhecimento for recebido dentro do período de intervalo, o informe será retransmitido. O tempo limite padrão é 15 de segundos.

retry-count number é o número máximo de vezes que um informe é transmitido se nenhum reconhecimento for recebido. O padrão é 3. Se nenhum reconhecimento for recebido após a transmissão do informe o número máximo de vezes, a mensagem de informação será descartada.

message-processing-model define qual versão do SNMP usará quando as notificações de SNMP forem geradas. As informações exigem um v3 modelo de processamento de mensagens.

security-model define o modelo de segurança a ser usado quando as notificações de SNMP são geradas. As informações exigem um modelo de usm segurança.

security-model define o modelo de segurança a ser usado quando as notificações de SNMP são geradas. As informações exigem um modelo de usm segurança.

security-level especifica se o informe é autenticado e criptografado antes de ser enviado. Para o usm modelo de segurança, o nível de segurança deve ser um dos seguintes:

  • authentication— Fornece autenticação, mas sem criptografia.

  • privacy— Fornece autenticação e criptografia.

security-name identifica o nome de usuário usado ao gerar o informe.

Exemplo: Configurando o tipo de notificação de informação e o endereço-alvo

No exemplo a seguir, a meta 172.17.20.184 está configurada para responder às informações. O tempo limite de informação é de 30 segundos e a contagem máxima de retransmissão é 3. O informe é enviado a todos os alvos da lista tl1. O modelo de segurança para o usuário remoto é usm e o nome de usuário remoto do mecanismo é u10.

Configuração do mecanismo remoto e do usuário remoto

Para enviar mensagens de informação a um usuário SNMPv3 em um dispositivo remoto, você deve primeiro especificar o identificador do motor para o agente SNMP no dispositivo remoto onde o usuário reside. O ID remoto do mecanismo é usado para computar a digestão de segurança para autenticar e criptografar pacotes enviados a um usuário no host remoto. Ao enviar uma mensagem de informação, o agente usa as credenciais do usuário configuradas no mecanismo remoto (informe o alvo).

Para configurar um mecanismo remoto e um usuário remoto para receber e responder às informações do SNMP, inclua as seguintes declarações no nível de [edit snmp v3] hierarquia:

Para informações, remote-engine engine-id é o identificador do agente SNMP no dispositivo remoto onde o usuário reside.

Para informações, user username o usuário está em um mecanismo SNMP remoto que recebe as informações.

As informações geradas podem ser unauthenticated, authenticatedou authenticated_and_encrypted, dependendo do nível de segurança do usuário SNMPv3 configurado no mecanismo remoto (o receptor de informação). A chave de autenticação é usada para gerar código de autenticação de mensagens (MAC). A chave de privacidade é usada para criptografar a parte PDU informada da mensagem.

Exemplo: Configuração do ID do mecanismo remoto e do usuário remoto

Este exemplo mostra como configurar um mecanismo remoto e um usuário remoto para que você possa receber e responder a notificações de informação de SNMP. Informar notificações pode ser autenticada e criptografada. Eles também são mais confiáveis do que armadilhas, outro tipo de notificação que o Junos OS oferece suporte. Ao contrário das armadilhas, as notificações de informação são armazenadas e retransmitidas em intervalos regulares até que uma dessas condições ocorra:

  • O alvo da notificação informante devolve um reconhecimento ao agente SNMP.

  • Um número especificado de retransmissões mal sucedidas foram tentados.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Esse recurso requer o uso de senhas de texto simples válidas para o SNMPv3. O SNMPv3 tem os seguintes requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres de comprimento.

  • A senha pode incluir caracteres alfabetos, numéricos e especiais, mas não pode incluir caracteres de controle.

Embora nem sempre as cotações sejam necessárias para incluir senhas, é melhor usá-las. Você precisa de cotações se a senha contiver espaços ou possivelmente no caso de determinados caracteres especiais ou pontuação.

Visão geral

As notificações de informação são suportadas no SNMPv3 para aumentar a confiabilidade. Por exemplo, um agente de SNMP que recebe uma notificação informa reconhece o recebimento.

Para notificações informadas, o ID do mecanismo remoto identifica o agente SNMP no dispositivo remoto onde o usuário reside, e o nome de usuário identifica o usuário em um mecanismo SNMP remoto que recebe as notificações de informação.

Considere um cenário no qual você tem os valores a serem usados na Tabela 1 configuração do ID do mecanismo remoto e do usuário remoto neste exemplo.

Tabela 1: Valores a serem usados no exemplo

Nome da variável

Value

Username

u10

ID remoto do motor

800007E5804089071BC6D10A41

tipo de autenticação

authentication-md5

senha de autenticação

qol67R%?

tipo de criptografia

des de privacidade

senha de privacidade

m*72Jl9v

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos e cole-os em um arquivo de texto, remova todas as quebras de linha e altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar esses comandos no CLI no nível de [edit snmp v3] hierarquia e, em seguida, entrar no commit modo de configuração.

Configuração do mecanismo remoto e do usuário remoto

Procedimento passo a passo

O exemplo a seguir exige que você navegue até vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o ID remoto do motor e o usuário remoto:

  1. Configure o ID do mecanismo remoto, nome de usuário e tipo e senha de autenticação.

  2. Configure o tipo de criptografia e a senha de privacidade.

    Você pode configurar apenas um tipo de criptografia por usuário SNMPv3.

Resultados

No modo de configuração, confirme sua configuração entrando no show comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Depois de confirmar que a configuração está correta, entre no commit modo de configuração.

Verificação

Verificando a configuração do ID do mecanismo remoto e do nome de usuário

Propósito

Verifique o status do ID do motor e das informações do usuário.

Ação

Exibir informações sobre o SNMPv3 engine ID e o usuário.

Significado

A saída exibe as seguintes informações:

  • Identificação do mecanismo local e detalhes sobre o mecanismo

  • ID remoto do motor (rotulado Engine ID)

  • Username

  • Tipo de autenticação e criptografia (privacidade) configurada para o usuário

  • Tipo de armazenamento para o nome de usuário, não complicado (configuração economizada) ou volátil (não salvo)

  • Status do novo usuário; apenas usuários com um status ativo podem usar o SNMPv3

Configuração do ID do mecanismo local

Por padrão, o ID do mecanismo local usa o endereço IP padrão do roteador. O ID do mecanismo local é o identificador administrativamente único para o mecanismo SNMPv3. Esta declaração é opcional. Para configurar o ID local do mecanismo, inclua a engine-id declaração no nível de [edit snmp] hierarquia:

  • local engine-id-suffix— O suffix ID do motor está explicitamente configurado.

  • use-default-ip-address— O suffix ID do mecanismo é gerado a partir do endereço IP padrão.

  • use-mac-address— O identificador do mecanismo SNMP é gerado a partir do endereço de controle de acesso de mídia (MAC) da interface de gerenciamento no roteador.

Nota:

Se você estiver usando o SNMPv3 e se o ID do motor for baseado no endereço MAC e você atualizar de uma versão anterior para uma dessas versões (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), você deve reconfigurar o SNMPv3 porque a ID do motor é alterada pela atualização. Se você não reconfigurar o SNMPv3, verá um erro de autenticação para a votação do SNMPv3 porque o ID do motor é alterado após a atualização. Você só precisa reconfigurar o SNMPv3 na primeira atualização desse tipo. Se você atualizar de uma das versões mencionadas para outra dessas versões, você não precisa atualizar o SNMPv3 novamente.

Para reconfigurar o SNMPv3, use o seguinte procedimento. Não use o rollback 1 comando.

Para reconfigurar o SNMPv3:

  1. Verifique qual é a configuração do SNMPv3.
  2. Exclua a configuração SNMPv3.
  3. Reconfigure a configuração SNMPv3 (ver ouput da Etapa 1).

O ID do mecanismo local é definido como o identificador administrativamente único de um mecanismo SNMPv3, e é usado para identificação, não para endereçamento. Existem duas partes de um ID do motor: prefixo e suffix. O prefixo é formatado de acordo com as especificações definidas na RFC 3411, uma arquitetura para descrever estruturas de gerenciamento simples de gerenciamento de rede (SNMP). Você pode configurar o suffix aqui.

Nota:

As chaves de autenticação e criptografia SNMPv3 são geradas com base nas senhas associadas e no ID do mecanismo. Se você configurar ou alterar o ID do motor, você deve comprometer o novo ID do mecanismo antes de configurar usuários SNMPv3. Caso contrário, as chaves geradas a partir das senhas configuradas são baseadas no ID do mecanismo anterior. Para o ID do motor, recomendamos o uso do endereço IP principal do dispositivo se o dispositivo tiver vários mecanismos de roteamento e tiver o endereço IP principal configurado. Como alternativa, você pode usar o endereço MAC da porta de gerenciamento se o dispositivo tiver apenas um mecanismo de roteamento.

Configuração da comunidade SNMPv3

A comunidade de SNMP define a relação entre um sistema de servidor SNMP e os sistemas do cliente. Esta declaração é opcional.

Para configurar a comunidade SNMP, inclua a snmp-community declaração no nível de [edit snmp v3] hierarquia:

community-index é o índice da comunidade SNMP.

Para configurar as propriedades da comunidade SNMP, inclua as seguintes declarações no nível de [edit snmp v3 snmp-community community-index] hierarquia:

Esta seção inclui os seguintes tópicos:

Configuração do nome da comunidade

O nome da comunidade define a comunidade SNMP. A comunidade SNMP autoriza clientes SNMPv1 ou SNMPv2c. Os privilégios de acesso associados ao nome de segurança configurado definem quais objetos MIB estão disponíveis e as operações (ler, escrever ou notificar) permitidas nesses objetos.

Para configurar o nome da comunidade SNMP, inclua a community-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia:

community-name é a cadeia da comunidade para uma comunidade SNMPv1 ou SNMPv2c.

Se não for desfigurado, é o mesmo que o índice da comunidade.

Se o nome da comunidade contiver espaços, inclua-o entre aspas (" ").

Nota:

Os nomes da comunidade devem ser únicos. Você não pode configurar o mesmo nome da comunidade nos níveis de [edit snmp community][edit snmp v3 snmp-community community-index] hierarquia. O nome da comunidade configurado no nível de [edit snmp v3 snmp-community community-index] hierarquia é criptografado. Você não pode ver o nome da comunidade depois de configurá-lo e cometer suas mudanças. Na interface de linha de comando (CLI), o nome da comunidade está escondido.

Configuração do contexto

Um contexto SNMP define uma coleção de informações de gerenciamento acessíveis a uma entidade SNMP. Normalmente, uma entidade SNMP tem acesso a vários contextos. Um contexto pode ser um sistema físico ou lógico, uma coleção de vários sistemas ou até mesmo um subconjunto de um sistema. Cada contexto em um domínio de gerenciamento tem um identificador único.

Para configurar um contexto SNMP, inclua a context context-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia:

Nota:

Para consultar uma instância de roteamento ou um sistema lógico,

Configuração dos nomes de segurança

Para atribuir uma string da comunidade a um nome de segurança, inclua a security-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia:

security-name é usado quando o controle de acesso é configurado. A security-to-group configuração no nível de [edit snmp v3 vacm] hierarquia identifica o grupo.

Nota:

Esse nome de segurança deve combinar com o nome de segurança configurado no nível de [edit snmp v3 target-parameters target-parameters-name parameters] hierarquia quando você configura armadilhas.

Configuração da tag

Para configurar a tag, inclua a tag declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia:

tag-name identifica o endereço dos gerentes que podem usar uma cadeia de comunidade.

Exemplo: Configuração de uma comunidade SNMPv3

Este exemplo mostra como configurar uma comunidade SNMPv3.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Este exemplo demonstra como criar uma comunidade SNMPv3. Defina o nome da comunidade SNMP, especifique o nome de segurança para executar o controle de acesso e defina o nome da tag que identifica o endereço dos gerentes que podem usar uma string da comunidade. O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento que são usados no envio de notificações.

Quando o dispositivo recebe um pacote com uma cadeia de comunidade reconhecida e uma tag está associada a esse pacote, o software Junos olha todos os endereços-alvo com esta tag e verifica se o endereço de origem deste pacote corresponde a um dos endereços-alvo configurados.

Especifique onde você deseja que as armadilhas sejam enviadas e defina quais pacotes SNMPv1 e SNMPv2c são permitidos. Especifique o nome do endereço-alvo que identifica o endereço alvo, defina o endereço alvo, faixa de máscara de endereço, número de porta, lista de tags e parâmetro de alvo.

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit snmp v3] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI .

  1. Configure o nome da comunidade SNMP.

    Nota:

    O nome da comunidade SNMP deve ser único.

  2. Configure o nome de segurança para executar o controle de acesso.

  3. Defina o nome da tag. O nome da tag identifica o endereço dos gerentes que podem usar uma cadeia comunitária.

  4. Configure o endereço-alvo SNMP.

  5. Configure a faixa de máscara do endereço para o controle de acesso de strings da comunidade.

  6. Configure o número da porta-alvo SNMPv3.

  7. Configure a lista de tags SNMPv3 para selecionar os endereços-alvo.

  8. Configure o nome do parâmetro-alvo SNMPv3 na tabela de parâmetros de alvo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show snmp v3 comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo.

Verificação

Verificação da comunidade SNMPv3

Propósito

Verifique se a comunidade SNMPv3 está ativada.

Ação

Para verificar a configuração da comunidade SNMPv3, entre em show snmp v3 community comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Significado

A saída exibe as informações sobre a habilitação da comunidade SNMPv3 no sistema.