Visualizações do MIB
O SNMPv3 define o conceito de visualizações de MIB no RFC 3415, Modelo de controle de acesso baseado em vista (VACM) para o protocolo de gerenciamento de rede simples (SNMP). As visualizações do MIB oferecem a um agente um melhor controle sobre quem pode acessar galhos e objetos específicos dentro de sua árvore MIB. Uma vista consiste em um nome e uma coleção de identificadores de objetos SNMP, que estão explicitamente incluídos ou excluídos. Uma vez definida, uma visão é então atribuída a um grupo SNMPv3 ou à comunidade SNMPv1/v2c (ou várias comunidades), mascarando automaticamente quais partes dos membros da árvore MIB do agente do grupo ou comunidade podem (ou não podem) acessar.
Configure visualizações do MIB
Por padrão, uma comunidade SNMP concede acesso lido e nega acesso de gravação a todos os objetos MIB suportados (mesmo comunidades configuradas como authorization read-write
). Para restringir ou conceder acesso à leitura ou gravação de um conjunto de objetos MIB, você deve configurar uma visão de MIB e associar a vista a uma comunidade.
Para configurar as visualizações do MIB, veja view (Configuring a MIB View).
Para remover completamente uma OID, use o delete view all oid oid-number
comando, mas omite o include
parâmetro.
[edit snmp] user@host# set view view-name oid object-identifier (include | exclude)
O exemplo a seguir cria uma visão MIB chamada ping-mib-view. A oid
declaração não requer um ponto no início do identificador de objetos. A snmp view
declaração inclui a filial sob o identificador de objetos .1.3.6.1.2.1.80. Isso inclui toda a sub-árvore DISMAN-PINGMIB (conforme definido na RFC 2925, Definições de objetos gerenciados para operações remotas de ping, traceroute e lookup), que efetivamente permite o acesso a qualquer objeto sob essa filial.
[edit snmp] user@host# set view ping-mib-view oid 1.3.6.1.2.1.80 include
O exemplo a seguir adiciona uma segunda filial na mesma visão do MIB.
[edit snmp] user@host# set view ping-mib-view oid jnxPingMIB include
Atribua uma visão MIB a uma comunidade que você deseja controlar.
Para associar as opiniões do MIB a uma comunidade, veja view (SNMP Community).
Para obter mais informações sobre o Ping MIB, consulte RFC 2925 e PING MIB.
Consulte também
Configure Ping Proxy MIB
Restrinja a ping-mib comunidade para ler e escrever o acesso do Ping MIB e jnxpingMIB
apenas. Não é permitido ler ou escrever acesso a qualquer outro MIB usando esta comunidade.
[edit snmp] view ping-mib-view { oid 1.3.6.1.2.1.80 include; #pingMIB oid jnxPingMIB include; #jnxPingMIB } community ping-mib { authorization read-write; view ping-mib-view; }
A configuração a seguir impede que a no-ping-mib comunidade acesse Ping MIB e jnxPingMIB
objetos. No entanto, essa configuração não impede a no-ping-mib comunidade de acessar nenhum outro objeto MIB que seja suportado no dispositivo.
[edit snmp] view no-ping-mib-view { oid 1.3.6.1.2.1.80 exclude; # deny access to pingMIB objects oid jnxPingMIB exclude; # deny access to jnxPingMIB objects } community no-ping-mib { authorization read-write; view ping-mib-view; }