Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de SNMPv3

Configuração mínima de SNMPv3 em um dispositivo que executa o Junos OS

Para configurar os requisitos mínimos para SNMPv3, inclua as seguintes declarações nos níveis [edit snmp v3] e [edit snmp] na hierarquia:

Nota:

Você deve configurar pelo menos uma visualização (notificar, ler ou escrever) no nível [edit snmp view-name] da hierarquia.

Exemplo: Configuração SNMPv3

Defina uma configuração de SNMPv3:

Criação de usuários SNMPv3

Para cada usuário SNMPv3, você pode especificar o nome de usuário, tipo de autenticação, senha de autenticação, tipo de privacidade e senha de privacidade. Depois que um usuário entra em uma senha, uma chave baseada na ID do mecanismo e na senha é gerada e é escrita no arquivo de configuração. Após a geração da chave, a senha é eliminada deste arquivo de configuração.

Nota:

Você pode configurar apenas um tipo de criptografia para cada usuário SNMPv3.

Para criar usuários, inclua a user instrução em nível [edit snmp v3 usm local-engine] de hierarquia:

username é o nome que identifica o usuário SNMPv3.

Para configurar a autenticação e a criptografia do usuário, inclua as seguintes declarações em nível [edit snmp v3 usm local-engine user username] de hierarquia:

Exemplo: Criação de usuários SNMPv3

Definir usuários SNMPv3:

Configurando o tipo de autenticação SNMPv3

Por padrão, em uma configuração do Junos OS, o tipo de autenticação SNMPv3 não está definido como nenhum.

Este tópico inclui as seguintes seções:

Configuração da autenticação MD5

Para configurar o algoritmo de digestão de mensagens (MD5) como o tipo de autenticação de um usuário SNMPv3, inclua a authentication-md5 declaração em nível de [edit snmp v3 usm local-engine user username] hierarquia:

authentication-password é a senha usada para gerar a chave usada para autenticação.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração da autenticação DE SHA

Para configurar o algoritmo de hash seguro (SHA) como o tipo de autenticação de um usuário SNMPv3, inclua a authentication-sha declaração em nível de [edit snmp v3 usm local-engine user username] hierarquia:

authentication-password é a senha usada para gerar a chave usada para autenticação.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração sem autenticação

Para não configurar nenhuma autenticação para um usuário SNMPv3, inclua a authentication-none instrução no nível [edit snmp v3 usm local-engine user username] da hierarquia:

Configurando o tipo de criptografia SNMPv3

Por padrão, a criptografia é definida como nenhuma.

Nota:

Antes de configurar a criptografia, você deve configurar a autenticação MD5 ou SHA.

Antes de configurar as declarações e as declarações, você deve instalar o pacote e reinicializar o privacy-desprivacy-3des processo de privacy-aes128jcrypto SNMP ou reinicializar o roteador.

Este tópico inclui as seguintes seções:

Configuração do Algoritmo Padrão de Criptografia Avançada

Para configurar o algoritmo Advanced Encryption Standard (AES) para um usuário SNMPv3, inclua a privacy-aes128 declaração em nível de [edit snmp v3 usm local-engine user username] hierarquia:

privacy-password é a senha usada para gerar a chave usada na criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração do algoritmo de criptografia de dados

Para configurar o algoritmo de criptografia de dados (DES) para um usuário SNMPv3, inclua a privacy-des declaração em nível de [edit snmp v3 usm local-engine user username] hierarquia:

privacy-password é a senha usada para gerar a chave usada na criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração de DES triplo

Para configurar DES triplo para um usuário SNMPv3, inclua a privacy-3des instrução no nível [edit snmp v3 usm local-engine user username] da hierarquia:

privacy-password é a senha usada para gerar a chave usada na criptografia.

O SNMPv3 tem requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Configuração sem criptografia

Para não configurar nenhuma criptografia para um usuário SNMPv3, inclua a privacy-none instrução em nível [edit snmp v3 usm local-engine user username] de hierarquia:

Definindo privilégios de acesso para um grupo SNMP

O SNMP versão 3 (SNMPv3) usa o modelo de controle de acesso baseado em visualização (VACM), que permite configurar os privilégios de acesso concedidos a um grupo. O acesso é controlado filtrando os MIB disponíveis para uma operação específica por meio de uma visualização predefinida. Você atribua visualizações para determinar os objetos que são visíveis para ler, escrever e notificar operações para um grupo em especial, usando um contexto específico, um modelo de segurança específico (v1, v2c ou usm) e nível de segurança específico (autenticado, privacidade ou nenhum). Para obter informações sobre como configurar visualizações, consulte Configuração de MIB visualizações.

Você define o acesso do usuário às informações de gerenciamento em [edit snmp v3 vacm] nível de hierarquia. Todo o controle de acesso dentro do VACM opera em grupos, que são coletas de usuários definidas por USM ou strings de comunidade definidas nos modelos de segurança SNMPv1 e SNMPv2c. O termo security-name refere-se a esses usuários finais genéricas. O grupo ao qual um nome de segurança específico pertence está configurado em [edit snmp v3 vacm security-to-group] nível de hierarquia. Esse nome de segurança pode ser associado a um grupo definido em [edit snmp v3 vacm security-to-group] nível de hierarquia. Um grupo identifica uma coleção de usuários de SNMP que compartilham a mesma política de acesso. Em seguida, você define os privilégios de acesso associados a um grupo no [edit snmp v3 vacm access] nível da hierarquia. Privilégios de acesso são definidos usando visualizações. Para cada grupo, você pode aplicar diferentes visualizações dependendo da operação SNMP; por exemplo, ler ( , ou ) escrever ( ), notificações, o nível de segurança usado (autenticação, privacidade ou nenhuma) e o modelo de segurança getgetNextgetBulk (v1, v2c ou usm) usado dentro de uma solicitação set de SNMP.

Você configura membros de um grupo com a security-name declaração. Para pacotes v3 que usam USM, o nome de segurança é o mesmo do nome de usuário. Para pacotes SNMPv1 ou SNMPv2c, o nome de segurança é determinado com base na string da comunidade. Os nomes de segurança são específicos para um modelo de segurança. Se você também estiver configurando políticas de acesso VACM para pacotes SNMPv1 ou SNMPv2c, você deve designar nomes de segurança a grupos de cada modelo de segurança (SNMPv1 ou SNMPv2c) em nível [edit snmp v3 vacm security-to-group] de hierarquia. Você também deve associar um nome de segurança a uma comunidade SNMP em [edit snmp v3 snmp-community community-index] nível de hierarquia.

Para configurar os privilégios de acesso para um grupo SNMP, inclua declarações em nível [edit snmp v3 vacm] de hierarquia:

Configuração dos privilégios de acesso concedidos a um grupo

Este tópico inclui as seguintes seções:

Configuração do grupo

Para configurar os privilégios de acesso concedidos a um grupo, inclua a group instrução no nível [edit snmp v3 vacm access] da hierarquia:

group-name é uma coleção de usuários de SNMP que pertencem a uma lista de SNMP comum que define uma política de acesso. Os usuários de um grupo SNMP específico herdam todos os privilégios de acesso concedidos a esse grupo.

Configuração do modelo de segurança

Para configurar o modelo de segurança, inclua a security-model declaração em nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] hierarquia:

  • any— Qualquer modelo de segurança

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPV1

  • v2c— Modelo de segurança SNMPv2c

Configurando o nível de segurança

Para configurar os privilégios de acesso concedidos a pacotes com um nível de segurança específico, inclua a security-level instrução no nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] da hierarquia:

  • none— Não fornece autenticação nem criptografia.

  • authentication— Fornece autenticação, mas sem criptografia.

  • privacy— Fornece autenticação e criptografia.

    Nota:

    Privilégios de acesso são concedidos a todos os pacotes com um nível de segurança igual ou maior do que o configurado. Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPv2c, none use-o em seu nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use authentication o nível , ou de noneprivacy segurança.

Associar visualizações MIB a um grupo de usuários de SNMP

MIB definem privilégios de acesso para membros de um grupo. Exibições diferentes podem ser aplicadas para cada operação de SNMP (ler, escrever e notificar) em cada modelo de segurança (usm, v1 e v2c) e em cada nível de segurança (autenticação, nenhum e privacidade) suportado por SNMP.

Para associar MIB visualizações com um grupo de usuários SNMP, inclua as seguintes declarações em nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] de hierarquia:

Nota:

Você deve associar pelo menos uma visualização (notificar, ler ou escrever) no nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] da hierarquia.

Você deve configurar a visualização MIB no nível [edit snmp view view-name] da hierarquia. Para obter informações sobre como configurar MIB visualizações, consulte Configurando MIB visualizações.

Esta seção descreve os seguintes tópicos relacionados a esta configuração:

Configurando a visualização Notificar

Para associar o acesso de notificação a um grupo de usuários SNMP, inclua a notify-view instrução no nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] da hierarquia:

view-name especifica o acesso de notificação, que é uma lista de notificações que pode ser enviada a cada usuário em um grupo de SNMP. Um nome de exibição não pode exceder 32 caracteres.

Configurando a visualização de leitura

Para associar uma visualização de leitura a um grupo SNMP, inclua a read-view instrução no nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] da hierarquia:

view-name especifica o acesso de leitura para um grupo de usuários SNMP. Um nome de exibição não pode exceder 32 caracteres.

Configurando a visualização de gravação

Para associar uma visualização de gravação a um grupo de usuários SNMP, inclua a write-view instrução no nível [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] da hierarquia:

view-name especifica o acesso de gravação para um grupo de usuários SNMP. Um nome de exibição não pode exceder 32 caracteres.

Exemplo: Configuração dos privilégios de acesso concedidos a um grupo

Defina privilégios de acesso:

Atribuição de nome e modelo de segurança a um grupo

Para designar nomes de segurança a grupos, inclua as seguintes declarações no nível [edit snmp v3 vacm security-to-group] da hierarquia:

Este tópico inclui as seguintes seções:

Configuração do modelo de segurança

Para configurar o modelo de segurança, inclua a security-model declaração em nível de [edit snmp v3 vacm security-to-group] hierarquia:

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPv1

  • v2c— modelo de segurança SNMPv2

Designação de nomes de segurança para grupos

Para associar um nome de segurança a um usuário SNMPv3 ou a uma string da comunidade v1 ou v2, inclua a security-name instrução no nível [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] da hierarquia:

Para SNMPv3, o nome de usuário está security-name configurado no nível da [edit snmp v3 usm local-engine user username] hierarquia. Para SNMPv1 e SNMPv2c, o nome da segurança é a cadeia de caracteres da comunidade configurada em [edit snmp v3 snmp-community community-index] nível de hierarquia. Para obter informações sobre a configuração de nomes de usuário, consulte Como criar usuários SNMPv3. Para obter informações sobre a configuração de uma string da comunidade, consulte Configurar a comunidade SNMPv3.

Nota:

O nome de segurança do USM está separado do nome de segurança SNMPv1 e SNMPv2c. Se você tiver suporte para SNMPv1 e SNMPv2c, além do SNMPv3, você deve configurar nomes de segurança separados na configuração de segurança para grupo no nível [edit snmp v3 vacm access] da hierarquia.

Configuração do grupo

Depois de criar usuários SNMPv3 ou nomes de segurança v1 ou v2, você os associará a um grupo. Um grupo é um conjunto de nomes de segurança pertencentes a um modelo de segurança específico. Um grupo define os direitos de acesso para todos os usuários que nele pertencem. Os direitos de acesso definem quais objetos SNMP podem ser lidos, escritos ou criados. Um grupo também define quais notificações um usuário pode receber.

Se você já tiver um grupo configurado com todas as permissões de visualização e acesso que deseja dar a um usuário, você pode adicionar o usuário a esse grupo. Se você quiser dar a uma visualização do usuário e permissões de acesso que nenhum outro grupo tenha ou se não tiver nenhum grupo configurado, crie um grupo e adicione o usuário a ele.

Para configurar os privilégios de acesso concedidos a um grupo, inclua a group instrução no nível [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] da hierarquia:

group-name identifica uma coleção de nomes de segurança SNMP que compartilham a mesma política de acesso. Para obter mais informações sobre grupos, consulte Definindo privilégios de acesso para um grupo SNMP.

Exemplo: Configuração de grupo de segurança

Atribua nomes de segurança a grupos:

Configuração de armadilhas de SNMPv3 em um dispositivo em execução no Junos OS

No SNMPv3, você cria armadilhas e informa configurando notify os target-address parâmetros e . target-parameters As armadilhas são notificações não confirmadas, enquanto as notificações são confirmadas. Esta seção descreve como configurar armadilhas de SNMP. Para obter informações sobre a configuração de SNMP, consulte Configurar informações sobre SNMP.

O endereço alvo define o endereço e os parâmetros de um aplicativo de gerenciamento a serem usados no envio de notificações. Os parâmetros alvo definem os parâmetros de segurança e processamento de mensagens usados no envio de notificações para um alvo de gerenciamento específico. O SNMPv3 também permite definir armadilhas de SNMPv1 e SNMPv2c.

Nota:

Ao configurar armadilhas de SNMP, certifique-se de que seus privilégios de acesso configurados permitem que as armadilhas sejam enviadas. Os privilégios de acesso estão configurados nos níveis [edit snmp v3 vacm access] e [edit snmp v3 vacm security-to-group] na hierarquia.

Para configurar armadilhas de SNMP, inclua as seguintes declarações no nível [edit snmp v3] da hierarquia:

Configuração da notificação de armadilhaS SNMPv3

A notify instrução especifica o tipo de notificação (armadilha) e contém uma única etiqueta. A etiqueta define um conjunto de endereços alvos para receber uma armadilha. A lista de tags contém uma ou mais tags e está configurada no nível [edit snmp v3 target-address target-address-name] da hierarquia. Se a lista de tags contiver essa etiqueta, o Junos OS enviará uma notificação para todos os endereços alvos associados a esta etiqueta.

Para configurar as notificações de trap, inclua a notify declaração em nível de [edit snmp v3] hierarquia:

name é o nome atribuído à notificação.

tag-name define os endereços alvo para os quais essa notificação é enviada. Essa notificação é enviada a todos os endereços alvos que têm essa etiqueta em sua lista de tags. Ele tag-name não está incluído na notificação.

trap é o tipo de notificação.

Nota:

Cada nome de entrada de notificação deve ser exclusivo.

O Junos OS tem suporte para dois tipos de notificação: trap e inform .

Para obter informações sobre como configurar a lista de tags, consulte Configurar o endereço alvo da armadilha.

Exemplo: Configuração da notificação de armadilhaS SNMPv3

Especifique três conjuntos de destinos para enviar armadilhas:

Configuração do filtro de notificação de trap

O SNMPv3 usa o filtro de notificação para definir quais armadilhas (ou quais objetos de quais armadilhas) são enviadas ao sistema de gerenciamento de rede (NMS). O filtro de notificação de captura limita o tipo de armadilhas enviadas ao NMS.

Cada identificador de objeto representa uma subárva da MIB de objetos. A subárvore pode ser representada por uma sequência de inteiros pontilhados (como 1.3.6.1.2.1.2) ou por seu nome de subárva (como interfaces ). Você também pode usar o asterisco de caracteres curinga (*) no identificador de objeto (OID) para especificar identificadores de objeto que se igualam a um padrão específico.

Para configurar o filtro de notificações de trap, inclua a notify-filter instrução no nível [edit snmp v3] da hierarquia:

profile-name é o nome atribuído ao filtro de notificação.

Por padrão, o OID está definido como include . Para definir o acesso a armadilhas (ou objetos a partir de armadilhas), inclua a oid instrução no nível [edit snmp v3 notify-filter profile-name] da hierarquia:

oid é o identificador de objeto. Todos os MIB representados por esta instrução têm o OID especificado como prefixo. Ele pode ser especificado por uma sequência de inteiros pontilhados ou por um nome de subárvore.

  • include— Inclua a subárvore de MIB os objetos representados pelo OID especificado.

  • exclude— Exclua a subárvore de MIB de objetos representados pelo OID especificado.

Configurando o endereço alvo da armadilha

O endereço alvo define o endereço e os parâmetros de um aplicativo de gerenciamento usados no envio de notificações. Ele também pode identificar estações de gerenciamento que podem usar strings de comunidade específicas. Quando você recebe um pacote com uma string da comunidade reconhecida e uma etiqueta está associada a ela, o Junos OS verifica todos os endereços alvos com esta etiqueta e verifica se o endereço de origem deste pacote atende a um dos endereços alvo configurados.

Nota:

Você deve configurar a máscara de endereço quando configurar a comunidade SNMP.

Para especificar onde você deseja que as armadilhas sejam enviadas e definir quais pacotes SNMPv1 e SNMPv2cc são permitidos, inclua a instrução no nível target-address[edit snmp v3] da hierarquia:

target-address-name é a string que identifica o endereço alvo.

Para configurar as propriedades do endereço alvo, inclua as seguintes declarações no nível [edit snmp v3 target-address target-address-name] da hierarquia:

Ao contrário do SNMP v2, no SNMPv3, não há opção de configuração para limitar a pesquisa de entrada. Mas você pode configurar um filtro lo0 para limitar a pesquisa de entrada criando uma regra para permitir SNMP a partir de seus IPs do sistema de monitoramento. Por exemplo:

Configuração do endereço

Para configurar o endereço, inclua a address declaração em nível de [edit snmp v3 target-address target-address-name] hierarquia:

address é o endereço alvo SNMP.

Configuração da máscara de endereço

A máscara de endereço especifica um conjunto de endereços autorizados a usar uma string da comunidade e verifica os endereços de origem de um grupo de endereços alvo.

Para configurar a máscara de endereço, inclua a address-mask declaração em nível de [edit snmp v3 target-address target-address-name] hierarquia:

address-mask combinada com o endereço define uma variedade de endereços. Para obter informações sobre como configurar a string da comunidade, consulte Configurar a comunidade SNMPv3.

Configuração da porta

Por padrão, a porta UDP está definida como 162. Para configurar um número de porta diferente, inclua a port instrução no nível [edit snmp v3 target-address target-address-name] da hierarquia:

port-number é o número de porta alvo SNMP.

Configurando a instância do roteamento

As armadilhas são enviadas na instância de roteamento padrão. Para configurar a instância de roteamento para envio de armadilhas, inclua a routing-instance instrução no nível [edit snmp v3 target-address target-address-name] da hierarquia:

instance é o nome da instância do roteamento. Para configurar uma instância de roteamento em um sistema lógico, especifique o nome do sistema lógico seguido pelo nome da instância do roteamento. Use uma barra / () para separar os dois nomes (por exemplo). test-lr/test-ri Para configurar a instância de roteamento padrão em um sistema lógico, especifique o nome do sistema lógico seguido default por (por test-lr/default exemplo).

Configurando o endereço alvo da armadilha

Cada target-address instrução pode ter uma ou mais tags configuradas em sua lista de tags. Cada etiqueta pode aparecer em mais de uma lista de tags. Quando ocorre um evento significativo no dispositivo de rede, a lista de tags identifica as metas para as quais uma notificação é enviada.

Para configurar a lista de tags, inclua a tag-list instrução no nível [edit snmp v3 target-address target-address-name] da hierarquia:

tag-list especifica uma ou mais tags como uma lista separada por espaço fechada entre aspas duplas.

Para um exemplo da configuração da lista de tags, consulte Exemplo: Configurando a lista de tags.

Para obter informações sobre como especificar uma etiqueta em nível de hierarquia, consulte [edit snmp v3 notify notify-name]Configurando a notificação de captura SNMPv3.

Nota:

Ao configurar armadilhas de SNMP, certifique-se de que seus privilégios de acesso configurados permitem que as armadilhas sejam enviadas. Configure privilégios de acesso em nível [edit snmp v3 vacm access] de hierarquia.

Aplicação de parâmetros alvo

A target-parameters instrução em [edit snmp v3] nível de hierarquia aplica os parâmetros alvo configurados no [edit snmp v3 target-parameters target-parameters-name] nível da hierarquia.

Para referenciar os parâmetros de alvo configurados, inclua a target-parameters instrução no nível [edit snmp v3 target-address target-address-name] da hierarquia:

target-parameters-name é o nome associado aos parâmetros de segurança e processamento de mensagens usados no envio de notificações para um alvo de gerenciamento específico.

Exemplo: Configurando a lista de tags

No exemplo a seguir, duas entradas de tags router1router2 (e) são definidas no nível [edit snmp v3 notify notify-name] da hierarquia. Quando um evento aciona uma notificação, o Junos OS envia uma armadilha para todos os endereços alvo que tenham ou configurados em sua lista de router1router2 tags de endereço alvo. Com isso, os dois primeiros alvos têm uma armadilha, e o terceiro alvo tem duas armadilhas.

Definindo e configurando os parâmetros alvo da armadilha

Os parâmetros alvo definem os parâmetros de segurança e processamento de mensagens usados no envio de notificações para um alvo de gerenciamento específico.

Para definir um conjunto de parâmetros alvo, inclua a target-parameters instrução no nível [edit snmp v3] da hierarquia:

target-parameters-name é o nome atribuído aos parâmetros alvo.

Para configurar as propriedades do parâmetro alvo, inclua as seguintes declarações no nível [edit snmp v3 target-parameters target-parameter-name] da hierarquia:

Nota:

Ao configurar notificações de armadilha de SNMP para política de segurança do assinante nos roteadores da série MX, você deve configurar os parâmetros da seguinte forma:

  • Modelo de processamento de mensagens: v3

  • Nível de segurança: privacy

  • Modelo de segurança: usm

Para obter mais informações sobre a configuração de políticas seguras do assinante, consulte Visão geral da política segura do assinante.

Este tópico inclui as seguintes seções:

Aplicação do filtro de notificação de trap

Para aplicar o filtro de notificação de trap, inclua a notify-filter declaração no nível da [edit snmp v3 target-parameters target-parameter-name] hierarquia:

profile-name é o nome de um filtro de notificação configurado. Para obter informações sobre a configuração de filtros de notificação, consulte Configurar o filtro de notificação de trap.

Configuração dos parâmetros alvo

Para configurar as propriedades do parâmetro alvo, inclua as seguintes declarações no nível [edit snmp v3 target-parameters target-parameter-name parameters] da hierarquia:

Esta seção inclui os seguintes tópicos:

Configurando o modelo de processamento de mensagens

O modelo de processamento de mensagens define qual versão do SNMP deve ser usada ao gerar notificações de SNMP. Para configurar o modelo de processamento de mensagens, inclua a message-processing-model instrução no nível [edit snmp v3 target-parameters target-parameter-name parameters] da hierarquia:

  • v1— Modelo de processamento de mensagens SNMPv1

  • v2c— Modelo de processamento de mensagens SNMPv2c

  • v3— Modelo de processamento de mensagens SNMPV3

Nota:

O modelo de processamento de mensagens é necessário para garantir a política de segurança do v3 assinante nos roteadores da série MX. Consulte Visão geral da política segura do assinante para obter mais informações.

Configuração do modelo de segurança

Para definir o modelo de segurança a ser usado ao gerar notificações de SNMP, inclua a security-model instrução no nível [edit snmp v3 target-parameters target-parameter-name parameters] da hierarquia:

  • usm— modelo de segurança SNMPv3

  • v1— modelo de segurança SNMPv1

  • v2c— Modelo de segurança SNMPv2c

Nota:

O usm modelo de segurança é necessário para a política de segurança do assinante nos roteadores da série MX. Consulte Visão geral da política segura do assinante para obter mais informações.

Configurando o nível de segurança

A declaração especifica se a armadilha é autenticada e security-level criptografada antes de ser enviada.

Para configurar o nível de segurança a ser usado ao gerar notificações de SNMP, inclua a security-level instrução no nível [edit snmp v3 target-parameters target-parameter-name parameters] da hierarquia:

  • authentication— Fornece autenticação, mas sem criptografia.

  • none— Sem segurança. Não fornece autenticação nem criptografia.

  • privacy— Fornece autenticação e criptografia.

    Nota:

    Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPV2c, none use-o em seu nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use authentication o nível ou o nível de privacy segurança.

    O privacy nível de segurança é necessário para a política de segurança do assinante nos roteadores da série MX. Consulte Visão geral da política segura do assinante para obter mais informações.

Configuração do nome da segurança

Para configurar o nome de segurança a ser usado ao gerar notificações de SNMP, inclua a security-name instrução no nível [edit snmp v3 target-parameters target-parameter-name parameters] da hierarquia:

Caso o modelo de segurança de USM seja usado, o usuário identificará o usuário que security-name é usado quando a notificação é gerada. Caso os modelos de segurança v1 ou v2c sejam usados, identifique a comunidade security-name SNMP usada quando a notificação é gerada.

Nota:

Os privilégios de acesso para o grupo associado a um nome de segurança devem permitir que essa notificação seja enviada.

Se você está usando os modelos de segurança v1 ou v2, o nome de segurança no nível da hierarquia deve combinar o nome de [edit snmp v3 vacm security-to-group] segurança no nível da [edit snmp v3 snmp-community community-index] hierarquia.

Configuração de SNMP informa

O Junos OS tem suporte para dois tipos de notificações: armadilhas e informações. Com armadilhas, o receptor não envia qualquer reconhecimento quando recebe uma armadilha. Portanto, o remetente não pode determinar se a armadilha foi recebida. Uma armadilha pode ser perdida porque ocorreu um problema durante a transmissão. Para aumentar a confiabilidade, um inform é semelhante a uma armadilha, exceto que o inform é armazenado e retransmitido em intervalos regulares até que uma dessas condições ocorra:

  • O receptor (alvo) do inform retorna um reconhecimento ao agente SNMP.

  • Um número especificado de retransmissões mal-sucedidas foi tentado e o agente descarta a mensagem de informação.

Caso o remetente nunca receba uma resposta, o informe pode ser enviado novamente. Assim, os informes têm mais probabilidade de chegar ao destino desejado do que as armadilhas. Informa que usa o mesmo canal de comunicações que as armadilhas (mesmo soquete e porta), mas tem diferentes tipos de unidade de dados de protocolo (PDU).

As informações são mais confiáveis do que armadilhas, mas elas consomem mais recursos de rede, roteador e switch (consulte Figura 1 ). Ao contrário de uma armadilha, um informador é mantido na memória até que uma resposta seja recebida ou o tempo de saída seja atingido. Além disso, as armadilhas são enviadas apenas uma vez, enquanto um informador pode ser novamente. O uso informa quando é importante que o gerente de SNMP receba todas as notificações. No entanto, se você está mais preocupado com o tráfego da rede ou a memória do roteador e do switch, use armadilhas.

Figura 1: Informar solicitação e respostaInformar solicitação e resposta

Configurando o tipo de notificação e o endereço alvo de notificação

Para configurar o tipo de notificação e as informações alvo de notificação, inclua as seguintes declarações no nível [edit snmp v3] da hierarquia:

notify name é o nome atribuído à notificação. Cada nome de entrada de notificação deve ser exclusivo.

tag tag-name define os endereços alvos que são enviados a essa notificação. A notificação é enviada a todos os endereços alvos que tenham essa etiqueta em sua lista de tags. Ele tag-name não está incluído na notificação. Para obter informações sobre como configurar a lista de tags, consulte Configurar o endereço alvo da armadilha.

type inform é o tipo de notificação.

target-address target-address-name identifica o endereço alvo. O endereço alvo define o endereço e os parâmetros de um aplicativo de gerenciamento usados para responder a informações.

timeout seconds é o número de segundos para esperar por um reconhecimento. Caso nenhum reconhecimento seja recebido no prazo de transferência, o inform é retransmitido. O tempo de saída padrão é 15 de segundos.

retry-count number é o número máximo de vezes que um informador é transmitido caso nenhum reconhecimento seja recebido. O padrão é 3 . Caso nenhum reconhecimento seja recebido após a transmissão do informo o número máximo de vezes, a mensagem de informação será descartada.

message-processing-model define qual versão do SNMP deve ser usada quando as notificações de SNMP são geradas. As informações exigem um v3 modelo de processamento de mensagens.

security-model define o modelo de segurança a ser usado quando as notificações de SNMP são geradas. As informações exigem um usm modelo de segurança.

security-model define o modelo de segurança a ser usado quando as notificações de SNMP são geradas. As informações exigem um usm modelo de segurança.

security-level especifica se o inform é autenticado e criptografado antes de ser enviado. Para o usm modelo de segurança, o nível de segurança deve ser um dos seguintes:

  • authentication— Fornece autenticação, mas sem criptografia.

  • privacy— Fornece autenticação e criptografia.

security-name identifica o nome de usuário usado ao gerar o inform.

Exemplo: Configurando o tipo de notificação e o endereço alvo de notificação

No exemplo a seguir, a meta 172.17.20.184 está configurada para responder a informações. O tempo de transferência de informação é de 30 segundos e a conta de retransmissão máxima é de 3. O informe é enviado a todos os alvos da lista tl1. O modelo de segurança para o usuário remoto é usm e o nome de usuário do mecanismo remoto é u10.

Configurando o mecanismo remoto e o usuário remoto

Para enviar mensagens de informação a um usuário SNMPv3 em um dispositivo remoto, primeiro você deve especificar o identificador de mecanismo do agente SNMP no dispositivo remoto onde o usuário reside. A ID do mecanismo remoto é usada para computar o digestão de segurança para autenticar e criptografar pacotes enviados a um usuário no host remoto. Ao enviar uma mensagem de informação, o agente usa as credenciais do usuário configuradas no mecanismo remoto (informar o alvo).

Para configurar um mecanismo remoto e um usuário remoto para receber e responder ao SNMP, inclua as seguintes declarações em nível [edit snmp v3] de hierarquia:

Para informações, remote-engine engine-id é o identificador do agente SNMP no dispositivo remoto onde o usuário reside.

Para informações, user username o usuário está em um mecanismo SNMP remoto que recebe as informações.

Informações geradas podem ser, ou, dependendo do nível de segurança do usuário unauthenticated SNMPv3 configurado no mecanismo remoto authenticatedauthenticated_and_encrypted (o receptor de informações). A chave de autenticação é usada para gerar código de autenticação de mensagens (MAC). A chave de privacidade é usada para criptografar a parte da PDU informadora da mensagem.

Exemplo: Configurando a ID do mecanismo remoto e o usuário remoto

Este exemplo mostra como configurar um mecanismo remoto e um usuário remoto para que você possa receber e responder a SNMP informar as notificações. Informar que as notificações podem ser autenticadas e criptografadas. Eles também são mais confiáveis do que armadilhas, outro tipo de notificação compatível com o Junos OS. Ao contrário das armadilhas, as notificações de informação são armazenadas e retransmitidas em intervalos regulares até que uma dessas condições ocorra:

  • O alvo da notificação de informações retorna um reconhecimento ao agente SNMP.

  • Um número especificado de retransmissões mal-sucedidas foi tentado.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Esse recurso requer o uso de senhas de texto simples validas para SNMPv3. O SNMPv3 tem os seguintes requisitos especiais quando você cria senhas de texto simples em um roteador ou switch:

  • A senha deve ter pelo menos oito caracteres.

  • A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.

Embora nem sempre seja necessário incluir senhas, é melhor usá-las. Você precisa de marcas de citação se a senha contiver algum espaço ou, possivelmente, no caso de determinados caracteres ou pontuações especiais.

Visão geral

Informe que as notificações são suportadas no SNMPv3 para aumentar a confiabilidade. Por exemplo, um agente SNMP que recebeu uma notificação informando reconhece o recebimento.

Para notificações de informações, a ID do mecanismo remoto identifica o agente SNMP no dispositivo remoto onde o usuário reside, e o nome de usuário identifica o usuário em um mecanismo SNMP remoto que recebe as notificações de informação.

Considere um cenário no qual você tem os valores a usar na configuração da ID do mecanismo remoto e do usuário Tabela 1 remoto neste exemplo.

Tabela 1: Valores a usar no exemplo

Nome da variável

Valor

Username

u10

ID do mecanismo remoto

800007E5804089071BC6D10A41

tipo de autenticação

authentication-md5

senha de autenticação

qol67R%?

tipo de criptografia

privacy-des

senha de privacidade

m*72Jl9v

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir e os confique em um arquivo de texto, remova quaisquer quebras de linha e altere quaisquer detalhes necessários para combinar com a configuração da rede, copie e confie esses comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit snmp v3]commit configuração.

Configurando o mecanismo remoto e o usuário remoto

Procedimento passo a passo

O exemplo a seguir requer que você navegue até vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.

Para configurar a ID do mecanismo remoto e o usuário remoto:

  1. Configure a ID do mecanismo remoto, nome de usuário e tipo de autenticação e senha.

  2. Configure o tipo de criptografia e a senha de privacidade.

    Você pode configurar apenas um tipo de criptografia por usuário SNMPv3.

Resultados

No modo de configuração, confirme sua configuração ao entrar no show comando. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Depois de confirmar se a configuração está correta, entre commit no modo de configuração.

Verificação

Verificação da configuração do ID e nome de usuário do mecanismo remoto

Propósito

Verificar o status das informações de ID do mecanismo e do usuário.

Ação

Exibir informações sobre a ID e o usuário do mecanismo SNMPv3.

Significado

A saída exibe as seguintes informações:

  • ID do mecanismo local e detalhes sobre o mecanismo

  • ID do mecanismo remoto Engine ID (rótulo)

  • Username

  • Tipo de autenticação e criptografia (privacidade) configuradas para o usuário

  • Tipo de armazenamento para o nome de usuário, ou não (configuração salva) ou volátil (não salvo)

  • Status do novo usuário; somente usuários com status ativo podem usar SNMPv3

Configurando a ID do mecanismo local

Por padrão, a ID do mecanismo local usa o endereço IP padrão do roteador. A ID do mecanismo local é o identificador administrativomente exclusivo do mecanismo SNMPv3. Esta declaração é opcional. Para configurar a ID do mecanismo local, inclua a engine-id instrução em nível [edit snmp] de hierarquia:

  • local engine-id-suffix— O sufixo de ID do mecanismo está configurado explicitamente.

  • use-default-ip-address— O sufixo de ID do mecanismo é gerado a partir do endereço IP padrão.

  • use-mac-address— O identificador de mecanismo de SNMP é gerado a partir do endereço MAC (Media Access Control) da interface de gerenciamento do roteador.

Nota:

Se você estiver usando SNMPv3 e se a ID do mecanismo for baseada no endereço MAC e você atualizar de uma versão anterior para uma dessas versões (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), você deve reconfigurar o SNMPv3 porque a ID do mecanismo é mudada pela atualização. Caso você não reconfigure o SNMPv3, verá erro de autenticação na pesquisa do SNMPv3 porque a ID do mecanismo foi mudada após a atualização. Você só precisa reconfigurar o SNMPv3 no primeiro upgrade. Se você fizer o upgrade de uma das versões citadas para outra dessas versões, você não precisa atualizar o SNMPv3 novamente.

Para reconfigurar o SNMPv3, use o seguinte procedimento. Não use o rollback 1 comando.

Para reconfigurar o SNMPv3:

  1. Veja qual é a configuração SNMPv3.
  2. Elimine a configuração SNMPv3.
  3. Reconfigure a configuração de SNMPv3 (consulte a transferência a partir da Etapa 1).

A ID do mecanismo local é definida como o identificador administrativomente exclusivo de um mecanismo SNMPv3, e é usada para identificação, não para endereçamento. Existem duas partes de uma ID do mecanismo: prefixo e sufixo. O prefixo é formatado de acordo com as especificações definidas na RFC 3411, Uma Arquitetura para Descrever Estruturas de Gerenciamento de Rede Simples (SNMP). Você pode configurar o sufixo aqui.

Nota:

As chaves de autenticação e criptografia SNMPv3 são geradas com base nas senhas associadas e na ID do mecanismo. Caso configure ou altere a ID do mecanismo, você deve cometer a nova ID do mecanismo antes de configurar usuários SNMPv3. Caso contrário, as chaves geradas das senhas configuradas são baseadas na ID do mecanismo anterior. Para a ID do mecanismo, recomendamos usar o endereço IP principal do dispositivo se o dispositivo tiver vários mecanismos de roteamento e tiver o endereço IP principal configurado. Como alternativa, você pode usar o endereço MAC da porta de gerenciamento se o dispositivo tiver apenas um Mecanismo de Roteamento.

Configuração da comunidade SNMPv3

A comunidade SNMP define a relação entre um sistema de servidor SNMP e os sistemas do cliente. Esta declaração é opcional.

Para configurar a comunidade SNMP, inclua a snmp-community declaração em nível de [edit snmp v3] hierarquia:

community-index é o índice da comunidade SNMP.

Para configurar as propriedades da comunidade SNMP, inclua as seguintes declarações em nível [edit snmp v3 snmp-community community-index] de hierarquia:

Esta seção inclui os seguintes tópicos:

Configuração do nome da comunidade

O nome da comunidade define a comunidade SNMP. A comunidade SNMP autoriza clientes SNMPv1 ou SNMPv2c. Os privilégios de acesso associados ao nome de segurança configurado definem quais MIB os objetos estão disponíveis e as operações (ler, escrever ou notificar) permitidas nesses objetos.

Para configurar o nome da comunidade SNMP, inclua a community-name instrução no nível [edit snmp v3 snmp-community community-index] da hierarquia:

community-name é a cadeia de caracteres da comunidade para uma comunidade SNMPv1 ou SNMPv2c.

Se não estiver configurado, ele é o mesmo do índice de comunidade.

Se o nome da comunidade contiver espaços, contive-o entre aspas (" ").

Nota:

Os nomes da comunidade devem ser exclusivos. Você não pode configurar o mesmo nome da comunidade nos níveis [edit snmp community] e [edit snmp v3 snmp-community community-index] na hierarquia. O nome da comunidade configurada em nível [edit snmp v3 snmp-community community-index] de hierarquia é criptografado. Você não pode ver o nome da comunidade depois de configurá-lo e cometer as suas alterações. Na interface de linha de comando (CLI), o nome da comunidade está oculto.

Configurando o contexto

Um contexto de SNMP define uma coleção de informações de gerenciamento acessíveis a uma entidade SNMP. Normalmente, uma entidade SNMP tem acesso a vários contextos. Um contexto pode ser um sistema físico ou lógico, uma coleção de vários sistemas ou mesmo um subconjunto de um sistema. Cada contexto em um domínio de gerenciamento tem um identificador exclusivo.

Para configurar um contexto de SNMP, inclua a context context-name instrução em nível [edit snmp v3 snmp-community community-index] de hierarquia:

Nota:

Para consultar uma instância de roteamento ou um sistema lógico,

Configuração dos nomes de segurança

Para designar uma string da comunidade a um nome de segurança, inclua a security-name instrução no nível [edit snmp v3 snmp-community community-index] da hierarquia:

security-name é usado quando o controle de acesso é criado. A security-to-group configuração em [edit snmp v3 vacm] nível de hierarquia identifica o grupo.

Nota:

Esse nome de segurança deve combinar com o nome de segurança configurado no nível [edit snmp v3 target-parameters target-parameters-name parameters] da hierarquia ao configurar armadilhas.

Configurando a etiqueta

Para configurar a etiqueta, inclua a tag instrução em nível [edit snmp v3 snmp-community community-index] de hierarquia:

tag-name identifica o endereço dos gerentes autorizados a usar uma string da comunidade.

Exemplo: Configurando uma comunidade SNMPv3

Este exemplo mostra como configurar uma comunidade SNMPv3.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Este exemplo demonstra como criar uma comunidade SNMPv3. Defina o nome da comunidade SNMP, especifique o nome de segurança para realizar o controle de acesso e defina o nome da marca que identifica o endereço dos gerentes autorizados a usar uma string da comunidade. O endereço alvo define o endereço e os parâmetros de um aplicativo de gerenciamento usados no envio de notificações.

Quando o dispositivo recebe um pacote com uma string da comunidade reconhecida e uma etiqueta está associada a esse pacote, o software Junos verifica todos os endereços alvos com esta etiqueta e verifica se o endereço de origem deste pacote atende a um dos endereços alvo configurados.

Especifique onde você deseja que as armadilhas sejam enviadas e defina quais pacotes SNMPv1 e SNMPv2c são permitidos. Especifique o nome do endereço alvo que identifique o endereço alvo, defina o endereço alvo, a variedade de endereços da máscara, o número de porta, a lista de tags e o parâmetro de alvo.

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit snmp v3]commit configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário do Junos OS CLI.

  1. Configure o nome da comunidade SNMP.

    Nota:

    O nome da comunidade SNMP deve ser exclusivo.

  2. Configure o nome da segurança para realizar o controle de acesso.

  3. Defina o nome da etiqueta. O nome da marca identifica o endereço dos gerentes autorizados a usar uma string da comunidade.

  4. Configure o endereço alvo de SNMP.

  5. Configure a variedade de máscaras do endereço para o controle de acesso às cadeias de caracteres da comunidade.

  6. Configure o número de porta alvo do SNMPv3.

  7. Configure a lista de tags SNMPv3 para selecionar os endereços alvo.

  8. Configure o nome do parâmetro alvo SNMPv3 na tabela de parâmetros alvo.

Resultados

A partir do modo de configuração, confirme sua configuração ao entrar no show snmp v3 comando. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo.

Verificação

Verificação da comunidade de SNMPv3

Propósito

Verificar se a comunidade SNMPv3 está habilitada.

Ação

Para verificar a configuração da comunidade SNMPv3, show snmp v3 community insira o comando. Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Significado

A saída exibe as informações sobre a comunidade SNMPv3 sendo habilitada no sistema.