SNMPv3 informa
O Junos OS oferece suporte a dois tipos de notificações: armadilhas e informações.
Com armadilhas, o receptor não envia nenhum reconhecimento quando recebe uma armadilha. Portanto, o remetente não pode determinar se a armadilha foi recebida. Uma armadilha pode ser perdida porque um problema ocorreu durante a transmissão. Para aumentar a confiabilidade, um informe é semelhante a uma armadilha, exceto que o informe é armazenado e retransmitido em intervalos regulares até que ocorra uma dessas condições:
-
O receptor (alvo) do informe retorna um reconhecimento ao agente SNMP.
-
Um número especificado de retransmissões mal sucedidas foi tentado e o agente descarta a mensagem de informação.
Se o remetente nunca receber uma resposta, o informe pode ser enviado novamente. Assim, é mais provável que os informes cheguem ao destino desejado do que as armadilhas. Os informes usam o mesmo canal de comunicações que as armadilhas (mesmo soquete e porta), mas têm tipos diferentes de unidade de dados de protocolo (PDU).
As informações são mais confiáveis do que as armadilhas, mas consomem mais recursos de rede, roteador e switch. Ao contrário de uma armadilha, um informe é mantido na memória até que uma resposta seja recebida ou o tempo limite seja alcançado. Além disso, as armadilhas são enviadas apenas uma vez, enquanto uma informação pode ser revalada várias vezes. Use informações quando é importante que o gerente de SNMP receba todas as notificações. No entanto, se você estiver mais preocupado com o tráfego de rede, ou memória de roteador e switch, use armadilhas.
Exemplo: Configure o tipo de notificação de informação e o endereço alvo
No exemplo a seguir, a meta 172.17.20.184 está configurada para responder às informações. O tempo limite de informação é de 30 segundos e a contagem máxima de retransmissão é de 3. O informe é enviado a todos os alvos da lista tl1. O modelo de segurança para o usuário remoto é usm e o nome de usuário remoto do mecanismo é u10.
[edit snmp v3] notify n1 { type inform; tag tl1; } notify-filter nf1 { oid .1.3 include; } target-address ta1 { address 172.17.20.184; retry-count 3; tag-list tl1; address-mask 255.255.255.0; target-parameters tp1; timeout 30; } target-parameters tp1 { parameters { message-processing-model v3; security-model usm; security-level privacy; security-name u10; } notify-filter nf1; }
Exemplo: Configure a ID do mecanismo remoto e o usuário remoto
Este exemplo mostra como configurar um mecanismo remoto e um usuário remoto para que você possa receber e responder a notificações informativas do SNMP. As notificações de informação podem ser autenticadas e criptografadas. Eles também são mais confiáveis do que armadilhas, outro tipo de notificação que o Junos OS oferece suporte. Ao contrário das armadilhas, as notificações de informação são armazenadas e retransmitidas em intervalos regulares até que uma dessas condições ocorra:
O alvo da notificação de informação retorna um reconhecimento ao agente SNMP.
Um número especificado de retransmissões mal sucedidas foi tentado.
Requisitos
Esse recurso requer o uso de senhas de texto simples válidas para o SNMPv3. O SNMPv3 tem os seguintes requisitos ao criar senhas de texto simples em um roteador ou switch:
A senha deve ter pelo menos oito caracteres de comprimento.
A senha pode incluir caracteres alfabéticos, numéricos e especiais, mas não pode incluir caracteres de controle.
É melhor usar aspas para utilizar senhas fechadas, embora não seja necessário. Você precisa de cotações se a senha contém algum espaço ou no caso de determinados caracteres especiais ou pontuação.
Visão geral
As notificações de informação são suportadas no SNMPv3 para aumentar a confiabilidade. Por exemplo, um agente SNMP que recebe uma notificação informante reconhece o recebimento.
Para notificações informadas, a ID do mecanismo remoto identifica o agente SNMP no dispositivo remoto onde o usuário reside, e o nome de usuário identifica o usuário em um mecanismo SNMP remoto que recebe as notificações de informação.
Considere um cenário em que você tenha os valores a serem usados na Tabela 1 configuração da ID do mecanismo remoto e do usuário remoto neste exemplo.
Para enviar mensagens de informação a um usuário SNMPv3 em um dispositivo remoto, você deve primeiro especificar o identificador do mecanismo para o agente SNMP no dispositivo remoto onde o usuário reside. A ID remota do mecanismo é usada para computar a digestão de segurança para autenticar e criptografar pacotes enviados a um usuário no host remoto. Ao enviar uma mensagem de informação, o agente usa as credenciais do usuário configurada no mecanismo remoto (informe o alvo).
Para informações, remote-engine engine-id
é o identificador do agente SNMP no dispositivo remoto onde o usuário reside.
Para informações, user username
está o usuário em um mecanismo SNMP remoto que recebe as informações.
As informações geradas podem ser unauthenticated
, authenticated
ou authenticated_and_encrypted
, dependendo do nível de segurança do usuário SNMPv3 configurado no mecanismo remoto (o receptor de informação). A chave de autenticação é usada para gerar código de autenticação de mensagens (MAC). A chave de privacidade é usada para criptografar a parte PDU informativa da mensagem.
Nome da variável |
Value |
---|---|
nome de usuário |
u10 |
ID remota do motor |
800007E5804089071BC6D10A41 |
tipo de autenticação |
autenticação-md5 |
senha de autenticação |
qol67R%? |
tipo de criptografia |
des de privacidade |
senha de privacidade |
m*72Jl9v |
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos e cole-os em um arquivo de texto, remova qualquer quebra de linha e altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar esses comandos no CLI no nível de [edit snmp v3]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?" set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Configuração do mecanismo remoto e do usuário remoto
Procedimento passo a passo
O exemplo a seguir exige que você navegue a vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar a ID do mecanismo remoto e o usuário remoto:
Configure o ID do mecanismo remoto, o nome de usuário e o tipo e senha de autenticação.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?"
Configure o tipo de criptografia e a senha de privacidade.
Você pode configurar apenas um tipo de criptografia por usuário SNMPv3.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Resultados
No modo de configuração, confirme sua configuração inserindo o show
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit snmp v3] user@ host# show usm { remote-engine 800007E5804089071BC6D10A41 { user u10 { authentication-md5 { authentication-key "$9$hagSyKNdbY2acyvLN-2g69CtpBRhSvMX/CLx-V4oZUjkqfQz69CuF36Apu1Idbw2ZUiHm3/C.mF/CA1IVws4oGkqf6CtzF";## SECRET-DATA } privacy-des { privacy-key "$9$GJDmf3nCtO1zFnCu0hcrevM87bs2oaUbwqmP5F3Ap0O1hrevMLxcSYgoaUDqmf5n/Ap0REyk.BIREyr4aJZUHfTz9tu5T";## SECRET-DATA } } } }
Depois de confirmar que a configuração está correta, entre no commit
modo de configuração.
Verificação
Verificando a configuração do ID e nome de usuário do mecanismo remoto
Propósito
Verifique a situação da ID do motor e das informações do usuário.
Ação
Exibir informações sobre o ID do mecanismo SNMPv3 e o usuário.
user@host> show snmp v3 Local engine ID: 80 00 0a 4c 01 0a ff 03 e3 Engine boots: 3 Engine time: 769187 seconds Max msg size: 65507 bytes Engine ID: 80 00 07 e5 80 40 89 07 1b c6 d1 0a 41 User Auth/Priv Storage Status u10 md5/des nonvolatile active
Significado
A saída exibe as seguintes informações:
ID local do motor e detalhes sobre o mecanismo
ID remota do motor (rotulado
Engine ID
)Nome de usuário
Tipo de tipo de autenticação e criptografia (privacidade) configurado para o usuário
Tipo de armazenamento para o nome de usuário, não revolucionário (configuração salva) ou volátil (não economizado)
Status do novo usuário; apenas usuários com um status ativo podem usar o SNMPv3