Comunidades SNMP
Uma comunidade SNMP define o nível de autorização concedido a seus membros, como os objetos MIB disponíveis, as operações (somente leitura ou leitura) válidas para esses objetos e os clientes SNMP autorizados, com base em seus endereços IP de origem.
Configure comunidades SNMP
Configurar o agente SNMP no Junos OS é uma tarefa simples que compartilha configurações familiares com outros dispositivos gerenciados em sua rede. Por exemplo, você precisa configurar o Junos OS com uma cadeia de comunidade SNMP e um destino para armadilhas. Strings da comunidade são nomes administrativos que agrupam coleções de dispositivos e os agentes que estão executando juntos em domínios de gerenciamento comuns. Se um gerente e um agente compartilham a mesma comunidade, eles podem se comunicar entre si.
A cadeia da comunidade SNMP define a relação entre um sistema de servidor SNMP e o sistema cliente. Essa string é uma senha para controlar o acesso do cliente ao servidor.
Para criar uma comunidade SNMP somente para leitura:
Para criar uma comunidade SNMP de leitura:
-
Insira a comunidade SNMP usada em sua rede.
[edit] user@host# set snmp community name
Este exemplo de string
privatepadrão da comunidade para identificar o acesso de read-write concedido à comunidade ao agente SNMP em execução no dispositivo.[edit] user@host# set snmp community private
-
Definir o nível de autorização para a comunidade.
[edit snmp community name] user@host# set authorization authorization
Este exemplo limita a comunidade pública ao acesso somente para leitura. Qualquer cliente SNMP (por exemplo, um sistema de gerenciamento de SNMP) que pertence à comunidade pública pode ler variáveis de MIB, mas não pode defini-las (alterá-las).
[edit snmp community public] user@host# set authorization read-write
-
Definir uma lista de clientes da comunidade que estão autorizados a fazer alterações no agente SNMP no Junos OS.
Liste os clientes por endereço IP e prefixo.
[edit snmp community name] user@host# set clients address
Por exemplo:
[edit snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Defina os clientes que não estão autorizados dentro da comunidade especificando seu endereço IP, seguido da
restrictdeclaração.[edit snmp community name] user@host# set clients address resrict
A declaração a seguir define todos os outros hosts como sendo restringidos da comunidade pública.
[edit snmp community private] user@host# set clients 0/0 restrict
-
Confirmar a configuração.
user@host# commit
Adicione um grupo de clientes a uma comunidade SNMP
O Junos OS permite que você adicione um ou mais grupos de clientes a uma comunidade SNMP. Você pode incluir a client-list-name name declaração no nível de [edit snmp community community-name] hierarquia para adicionar todos os membros da lista de clientes ou lista de prefixo a uma comunidade SNMP.
Para definir uma lista de clientes, use a set snmp client-list client-list-name declaração seguida pelos endereços IP dos clientes.
Você pode configurar uma lista de prefixo no nível de [edit policy options] hierarquia. O suporte a listas de prefixo na configuração da comunidade SNMP permite que você use uma lista única para configurar o SNMP e as políticas de roteamento. Para obter mais informações sobre a prefix-list declaração, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.
Para adicionar uma lista de clientes ou lista de prefixo a uma comunidade SNMP, use a set snmp commmunity community-name client-list-name declaração.
A lista de clientes e a lista de prefixos não devem ter o mesmo nome.
O exemplo a seguir mostra como definir uma lista de clientes:
[edit]
snmp {
client-list clentlist1 {
10.1.1.1/32;
10.2.2.2/32;
}
}
O exemplo a seguir mostra como adicionar uma lista de clientes a uma comunidade SNMP:
[edit]
snmp {
community community1 {
authorization read-only;
client-list-name clientlist1;
}
}
O exemplo a seguir mostra como adicionar uma lista de prefixo a uma comunidade SNMP:
[edit]
policy-options {
prefix-list prefixlist {
10.3.3.3/32;
10.5.5.5/32;
}
}
snmp {
community community2 {
client-list-name prefixlist;
}
}
Configure a string da comunidade SNMP
A cadeia da comunidade SNMP define a relação entre um sistema de servidor SNMP e o sistema cliente. Essa string funciona como uma senha para controlar o acesso do cliente ao servidor.
Para configurar uma string da comunidade em uma configuração do Junos OS, use a set snmp community declaração.
Se o nome da comunidade contém espaços, coloque-o entre aspas (" ").
O nível de autorização padrão para uma comunidade é read-only. Para permitir Set solicitações em uma comunidade, você precisa definir essa comunidade como authorization read-write. Para Set solicitações, você também precisa incluir os objetos específicos do MIB que são acessíveis com privilégios de leitura usando a view declaração. A visualização padrão inclui todos os objetos MIB suportados que são acessíveis com privilégios somente de leitura; nenhum objeto MIB é acessível com privilégios de leitura. Para obter mais informações sobre a view declaração, consulte Configure visualizações do MIB.
Os endereços IP dos clientes (membros da comunidade) que podem usar esta comunidade estão listados nas clients listas de declarações. Se nenhuma clients declaração estiver presente, todos os clientes serão autorizados. Para address, você deve especificar um endereço IPv4, não um nome de host. Inclua a opção default restrict de negar acesso a todos os clientes SNMP para os quais o acesso não é concedido. Recomendamos que você sempre inclua a opção de limitar o default restrict acesso do cliente SNMP ao switch local.
Os nomes da comunidade devem ser exclusivos em cada sistema SNMP.
Consulte também
Exemplos: Configure a string da comunidade SNMP
Grant acesso somente lido a todos os clientes. Com a configuração a seguir, o sistema responde ao SNMP GetGetNexte GetBulk solicitações que contêm a string publicda comunidade:
[edit]
snmp {
community public {
authorization read-only;
}
}
Conceda a todos os clientes acesso read-write ao ping MIB e jnxPingMIB. Com a configuração a seguir, o sistema responde ao SNMP, e Set solicitações que contêm a string private da comunidade e especificam uma OID contida no ping MIB ou jnxPingMIB hierarquia: GetBulkGetNextGet
[edit]
snmp {
view ping-mib-view {
oid pingMIB include;
oid jnxPingMIB include;
community private {
authorization read-write;
view ping-mib-view;
}
}
}
A configuração a seguir permite o acesso somente de leitura a clientes com endereços IP na faixa1.2.3.4/24, e nega o acesso a sistemas na faixa fe80::1:2:3:4/64:
[edit]
snmp {
community field-service {
authorization read-only;
clients {
default restrict; # Restrict access to all SNMP clients not explicitly
# listed on the following lines.
1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except
fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64.
}
}
}
Configure a comunidade SNMPv3
A comunidade SNMP define a relação entre um sistema de servidor SNMP e os sistemas de cliente. Esta declaração é opcional.
Para configurar a comunidade SNMP, inclua a snmp-community declaração no nível de [edit snmp v3] hierarquia:
[edit snmp v3] snmp-community community-index;
community-index é o índice para a comunidade SNMP.
Para configurar as propriedades da comunidade SNMP, inclua as seguintes declarações no nível de [edit snmp v3 snmp-community community-index] hierarquia:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
O seguinte é um conjunto mínimo de configuração de amostra que é necessário para snmp v3 snmp-community a configuração:
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
A comunidade usada pelo usuário que não oferece suporte ao SNMPv3 continuará a usar o SNMPv2.
Para obter mais informações, veja a seguinte configuração:
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
Esta seção inclui os seguintes tópicos:
- Configuração do nome da comunidade
- Configuração do contexto
- Configuração dos nomes de segurança
- Configuração da tag
Configuração do nome da comunidade
O nome da comunidade define a comunidade SNMP. A comunidade SNMP autoriza clientes SNMPv1 ou SNMPv2c. Os privilégios de acesso associados ao nome de segurança configurado definem quais objetos MIB estão disponíveis e as operações (leia, escreva ou notifique) permitidas nesses objetos.
Para configurar o nome da comunidade SNMP, inclua a community-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia. Para obter mais informações sobre esta declaração, veja community-name.
Configuração do contexto
Um contexto SNMP define uma coleção de informações de gerenciamento acessíveis a uma entidade SNMP. Normalmente, uma entidade SNMP tem acesso a vários contextos. Um contexto pode ser um sistema físico ou lógico, uma coleção de vários sistemas ou até mesmo um subconjunto de um sistema. Cada contexto em um domínio de gerenciamento tem um identificador único.
Para configurar um contexto SNMP, inclua a context context-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia. Para obter mais informações sobre esta declaração, veja context (SNMPv3).
Para consultar uma instância de roteamento ou um sistema lógico,
Configuração dos nomes de segurança
Para atribuir uma string da comunidade a um nome de segurança, inclua a security-name declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name é usado quando o controle de acesso é configurado. A security-to-group configuração no nível de [edit snmp v3 vacm] hierarquia identifica o grupo.
Esse nome de segurança deve combinar com o nome de segurança configurado no nível de [edit snmp v3 target-parameters target-parameters-name parameters] hierarquia quando você configura armadilhas.
Configuração da tag
Para configurar a tag, inclua a tag declaração no nível de [edit snmp v3 snmp-community community-index] hierarquia. Para obter mais informações sobre esta declaração, veja tag.
Exemplo: Configure a comunidade SNMPv3
Este exemplo mostra como configurar uma comunidade SNMPv3.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Este exemplo demonstra como criar uma comunidade SNMPv3. Defina o nome da comunidade SNMP, especifique o nome de segurança para executar o controle de acesso e defina o nome da tag que identifica o endereço dos gerentes que podem usar uma string da comunidade. O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento que são usados no envio de notificações.
Quando o dispositivo recebe um pacote com uma cadeia de comunidade reconhecida e uma tag está associada a esse pacote, o software Junos analisa todos os endereços-alvo com esta tag e verifica se o endereço de origem deste pacote corresponde a um dos endereços alvo configurados.
Especifique onde você deseja que as armadilhas sejam enviadas e defina quais pacotes SNMPv1 e SNMPv2c são permitidos. Especifique o nome do endereço alvo que identifica o endereço alvo, defina o endereço-alvo, o intervalo de máscara de endereços, número de porta, lista de tags e parâmetro de alvo.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit snmp v3] hierarquia e, em seguida, entrar no commit modo de configuração.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI .
Configure o nome da comunidade SNMP.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
Nota:O nome da comunidade SNMP deve ser único.
Configure o nome de segurança para executar o controle de acesso.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Definir o nome da tag. O nome da tag identifica o endereço dos gerentes que podem usar uma string da comunidade.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Configure o endereço-alvo do SNMP.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Configure a gama de máscaras do endereço para o controle de acesso de strings da comunidade.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Configure o número de porta-alvo SNMPv3.
[edit snmp v3] user@host#set target-address ta1 port 162
Configure a lista de tags SNMPv3 para selecionar os endereços-alvo.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Configure o nome do parâmetro-alvo SNMPv3 na tabela de parâmetros alvo.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show snmp v3 comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo.
[edit]
user@host# show snmp v3
target-address ta1 {
address 10.1.1.1;
port 162;
tag-list router1;
address-mask 255.255.255.0;
target-parameters tp1;
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA
security-name john;
tag router1;
}
Verificação
Verificando a comunidade SNMPv3
Propósito
Verifique se a comunidade SNMPv3 está habilitada.
Ação
Para verificar a configuração da comunidade SNMPv3, entre em show snmp v3 community comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Significado
A saída exibe as informações sobre a habilitação da comunidade SNMPv3 no sistema.