Armadilhas SNMPv3
No SNMPv3, você cria armadilhas e informações configurando os notify
parâmetros e target-parameters
os parâmetrostarget-address
. As armadilhas são notificações não confirmadas, enquanto as informações são notificações confirmadas. Esta seção descreve como configurar armadilhas SNMP.
Configure as armadilhas SNMPv3 em um dispositivo que executa o Junos OS
O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento usados no envio de notificações. Os parâmetros-alvo definem os parâmetros de processamento e segurança de mensagem usados no envio de notificações a um determinado alvo de gerenciamento. O SNMPv3 também permite definir as armadilhas SNMPv1 e SNMPv2c.
Ao configurar armadilhas SNMP, garanta que seus privilégios de acesso configurados permitam que as armadilhas sejam enviadas. Você pode configurar privilégios de acesso nos [edit snmp v3 vacm access]
níveis de [edit snmp v3 vacm security-to-group]
hierarquia.
Para obter mais informações sobre a tradução de SNMP v1 ou v2 para a tradução OID e detalhes da armadilha que são enviados por cada categoria, veja MIB Explorer.
Configure a notificação da armadilha SNMPv3
A notify
declaração especifica o tipo de notificação (armadilha) e contém uma única tag. A tag define um conjunto de endereços-alvo para receber uma armadilha. A lista de tags contém uma ou mais tags e está configurada no nível de [edit snmp v3 target-address target-address-name]
hierarquia. Se a lista de tags contém essa tag, o Junos OS envia uma notificação para todos os endereços-alvo associados a esta tag.
Para configurar as notificações de armadilha, inclua a notify
declaração no nível de [edit snmp v3]
hierarquia.
Cada nome de inscrição de notificação deve ser exclusivo.
O Junos OS oferece suporte a dois tipos de notificação: trap
e inform
...
Consulte também
Exemplo: Configure a notificação da armadilha SNMPv3
Especifique três conjuntos de destinos para enviar armadilhas:
[edit snmp v3] notify n1 { tag router1; type trap; } notify n2 { tag router2; type trap } notify n3 { tag router3; type trap; }
Configure o filtro de notificação de armadilhas
O SNMPv3 usa o filtro de notificar para definir quais armadilhas (ou quais objetos de quais armadilhas) são enviadas para o sistema de gerenciamento de rede (NMS). O filtro de notificação de armadilha limita o tipo de armadilhas que são enviadas para o NMS.
Cada identificador de objetos representa uma sub-árvore da hierarquia de objetos MIB. Você pode representar a sub-árvore por uma sequência de inteiros pontilhados (como 1,3,6,1,2,1,1,2) ou pelo nome de sub-árvore (como interfaces
). Você também pode usar o asterisco de caractere curinga (*) no identificador de objetos (OID) para especificar identificadores de objetos que correspondam a um padrão específico.
Para configurar o filtro de notificações de armadilha, inclua a notify-filter
declaração no nível de [edit snmp v3]
hierarquia.
Por padrão, a OID está definida para include
. Para definir o acesso a armadilhas (ou objetos de armadilhas), inclua a oid
declaração no nível hierárquico [edit snmp v3 notify-filter profile-name]
. Para obter mais informações sobre esta declaração, veja notify-filter (Configuring the Profile Name).
Configure o endereço-alvo da armadilha
O endereço-alvo define o endereço e os parâmetros de um aplicativo de gerenciamento que são usados no envio de notificações. Ele também pode identificar estações de gerenciamento que podem usar strings de comunidade específicas. Quando você recebe um pacote com uma cadeia de comunidade reconhecida e uma tag está associada a ele, o Junos OS analisa todos os endereços-alvo com esta tag e verifica se o endereço de origem deste pacote corresponde a um dos endereços alvo configurados.
Você deve configurar a máscara de endereço quando configurar a comunidade SNMP.
Para especificar onde você deseja que as armadilhas sejam enviadas e definir quais pacotes SNMPv1 e SNMPv2cc são permitidos, inclua a target-address
declaração no nível de [edit snmp v3]
hierarquia.
Para configurar as propriedades do endereço-alvo, inclua as seguintes declarações no nível de [edit snmp v3 target-address target-address-name]
hierarquia:
Ao contrário do SNMP v2, no SNMPv3, não há opção de configuração para limitar a votação de entrada. No entanto, você pode configurar um filtro lo0 para limitar a votação de entrada, criando uma regra para permitir o SNMP a partir de IPs do seu sistema de monitoramento. Por exemplo:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
- Configure o endereço
- Configure a máscara de endereço
- Configure a porta
- Configure a instância de roteamento
- Configure o endereço-alvo da armadilha
- Aplicar parâmetros-alvo
Configure o endereço
Para configurar o endereço, inclua a address
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia. Para obter mais informações sobre esta declaração, veja address (SNMP).
address
é o endereço-alvo SNMP.
Configure a máscara de endereço
A máscara de endereço especifica um conjunto de endereços que podem usar uma string da comunidade e verifica os endereços de origem para um grupo de endereços-alvo.
Para configurar a máscara de endereço, inclua a address-mask
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia. . address-mask
address-mask
combinado com o endereço define uma variedade de endereços.
Configure a porta
Por padrão, a porta UDP está definida para 162. Para configurar um número de porta diferente, inclua a port
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia. Para obter mais informações sobre esta declaração, veja port.
Configure a instância de roteamento
As armadilhas são enviadas pela instância de roteamento padrão. Para configurar a instância de roteamento para o envio de armadilhas, inclua a routing-instance
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia. Para obter mais informações sobre esta declaração, veja routing-instance (SNMPv3).
Configure o endereço-alvo da armadilha
Cada target-address
declaração pode ter uma ou mais tags configuradas em sua lista de tags. Cada tag pode aparecer em mais de uma lista de tags. Quando um evento significativo ocorre no dispositivo de rede, a lista de tags identifica os alvos aos quais uma notificação é enviada.
Para configurar a lista de tags, inclua a tag-list
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia. Para obter mais informações sobre esta declaração, veja tag-list.
tag-list
especifica uma ou mais tags como uma lista separada por espaço em cotações duplas.
Ao configurar armadilhas SNMP, certifique-se de que seus privilégios de acesso configurados permitam que as armadilhas sejam enviadas. Configure privilégios de acesso no nível de [edit snmp v3 vacm access]
hierarquia.
Aplicar parâmetros-alvo
A target-parameters
declaração no nível de [edit snmp v3]
hierarquia aplica os parâmetros-alvo configurados no nível de [edit snmp v3 target-parameters target-parameters-name]
hierarquia.
Para fazer referência aos parâmetros de alvo configurados, inclua a target-parameters
declaração no nível de [edit snmp v3 target-address target-address-name]
hierarquia:
Exemplo: Configure a lista de tags
No exemplo a seguir, duas entradas de tag (router1
e router2
) são definidas no nível de [edit snmp v3 notify notify-name]
hierarquia. Quando um evento aciona uma notificação, o Junos OS envia uma armadilha para todos os endereços-alvo que tenham router1
ou router2
configurados em sua lista de tags de endereço alvo. Isso resulta em dois primeiros alvos recebendo uma armadilha cada, e o terceiro alvo recebendo duas armadilhas.
[edit snmp v3] notify n1 { tag router1; # Identifies a set of target addresses type trap; # Defines the type of notification } notify n2 { tag router2; type trap; } target-address ta1 { address 10.1.1.1; address-mask 255.255.255.0; port 162; tag-list router1; target-parameters tp1; } target-address ta2 { address 10.1.1.2; address-mask 255.255.255.0; port 162; tag-list router2; target-parameters tp2; } target-address ta3 { address 10.1.1.3; address-mask 255.255.255.0; port 162; tag-list “router1 router2”; #Define multiple tags in the target address tag list target-parameters tp3; }
Definir e configurar os parâmetros-alvo da armadilha
Os parâmetros-alvo definem os parâmetros de processamento de mensagem e segurança que são usados no envio de notificações a um determinado alvo de gerenciamento.
Para definir um conjunto de parâmetros-alvo, inclua a target-parameters
declaração no nível de [edit snmp v3]
hierarquia:
Para obter mais informações sobre a configuração de políticas seguras para assinantes, consulte a visão geral da Política segura do assinante.
Este tópico inclui as seguintes seções:
Aplicar o filtro de notificação de armadilhas
Para aplicar o filtro de notificação de armadilha, inclua a notify-filter
declaração no nível de [edit snmp v3 target-parameters target-parameter-name]
hierarquia. Para obter mais informações sobre esta declaração, veja notify-filter (Applying to the Management Target).
Configure os parâmetros-alvo
Para configurar as propriedades do parâmetro-alvo, inclua as seguintes declarações no nível de [edit snmp v3 target-parameters target-parameter-name parameters]
hierarquia.
Esta seção inclui os seguintes tópicos:
- Configure o modelo de processamento de mensagens
- Configure o modelo de segurança
- Configure o nível de segurança
- Configure o nome da segurança
Configure o modelo de processamento de mensagens
O modelo de processamento de mensagem define qual versão do SNMP usar ao gerar notificações SNMP. Para configurar o modelo de processamento de mensagem, inclua a message-processing-model
declaração no nível de [edit snmp v3 target-parameters target-parameter-name parameters]
hierarquia. Para obter mais informações sobre esta declaração, veja message-processing-model.
A política de segurança do assinante nos roteadores da Série MX requer o v3
modelo de processamento de mensagens. Veja a visão geral da política segura do assinante.
Configure o modelo de segurança
Para definir o modelo de segurança a ser usado ao gerar notificações SNMP, inclua a security-model
declaração no nível hierárquico [edit snmp v3 target-parameters target-parameter-name parameters]
. Para obter mais informações sobre esta declaração, veja security-model (SNMP Notifications).
A política de segurança do assinante nos roteadores da Série MX requer o usm
modelo de segurança. Veja a visão geral da política segura do assinante.
Configure o nível de segurança
A security-level
declaração especifica se a armadilha é autenticada e criptografada antes de ser enviada.
Para configurar o nível de segurança a ser usado ao gerar notificações SNMP, inclua a security-level
declaração no nível de [edit snmp v3 target-parameters target-parameter-name parameters]
hierarquia. Para obter mais informações sobre esta declaração, veja security-level (Generating SNMP Notifications).
Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPV2c, use none
como nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use o nível de segurança ou privacy
o authentication
nível de segurança.
A política de segurança do assinante nos roteadores da Série MX requer o nível de privacy
segurança. Veja a visão geral da política segura do assinante para obter mais informações.
Configure o nome da segurança
Para configurar o nome de segurança a ser usado ao gerar notificações SNMP, inclua a security-name
declaração no nível hierárquico [edit snmp v3 target-parameters target-parameter-name parameters]
. Para obter mais informações sobre esta declaração, veja security-name (SNMP Notifications).
Se você usar o USM como modelo de segurança, ele security-name
identifica o usuário que é usado quando a notificação é gerada. Se você usa v1 ou v2c como modelos de segurança, security-name
identifica a comunidade SNMP usada quando a notificação é gerada.
Os privilégios de acesso para o grupo associado a um nome de segurança devem permitir que essa notificação seja enviada.
Se você estiver usando os modelos de segurança v1 ou v2, o nome de segurança no nível de [edit snmp v3 vacm security-to-group]
hierarquia deve corresponder ao nome de segurança no nível hierárquico [edit snmp v3 snmp-community community-index]
.