Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SNMP 陷阱

配置 SNMP 陷阱

陷阱是从 SNMP 代理发送到远程网络管理系统或陷阱接收器的未经请求的消息。除了系统日志记录之外,企业还使用 SNMP 陷阱作为故障监控解决方案的一部分。在 Junos OS 中, 如果要使用 SNMP 陷阱,则必须配置陷阱组。

您可以创建和命名一组由一种或多种类型的 SNMP 陷阱组成,并定义哪些系统接收该组 SNMP 陷阱。陷阱组的名称作为称为社区名称的变量绑定 (varbind) 嵌入到 SNMP 陷阱通知数据包中。

要配置 SNMP 陷阱:

  1. 创建一个一致的源地址,Junos OS 将其应用于设备中的所有传出陷阱。

    源地址很有用,因为尽管大多数 Junos OS 设备具有多个出站接口,但使用一个源地址有助于远程 NMS 将陷阱源与单个设备相关联

    此示例使用环路接口 (lo0) 的 IP 地址作为源自设备的所有 SNMP 陷阱的源地址。

  2. 创建一个陷阱组,您可以在其中列出要转发的陷阱类型和接收远程管理系统的目标(地址)。

    此示例创建一个名为 managers的陷阱组,允许将 SNMP 版本 2 格式的通知(陷阱)发送到地址为 192.168.1.15 的主机。此语句转发所有类别的陷阱。

  3. 定义要转发的陷阱类别的特定子集。

    有关类别的列表,请参见 配置 SNMP 陷阱组

    以下语句配置代理(设备)上的标准 MIB-II 身份验证失败。

  4. 在配置的顶层,应用配置组。

    如果您使用配置群组,则必须应用该群组才能使其生效。

  5. 提交配置。
  6. 要验证配置,请生成身份验证失败陷阱。

    这意味着 SNMP 代理收到了来自未知社区的请求。其他陷阱类型也可以被欺骗。

    此功能使您能够从路由器触发 SNMP 陷阱,并确保在现有网络管理基础架构中正确处理这些陷阱。这对于测试和调试交换机或 NMS 上的 SNMP 行为也很有用。

    monitor traffic使用该命令,可以验证陷阱是否已发送到网络管理系统。

配置 SNMP 陷阱选项

使用 SNMP 陷阱选项,您可以将路由器发送的每个 SNMP 陷阱数据包的源地址设置为单个地址,而不考虑传出接口。此外,您还可以设置 SNMPv1 陷阱的代理地址。有关 SNMPv1 陷阱内容的详细信息,请参阅 RFC 1157。

注:

您只能将 SNMP 与主路由实例关联。

要配置 SNMP 陷阱选项,请参阅 trap-options

还必须配置陷阱组才能使陷阱选项生效。有关陷阱组的信息,请参见 配置 SNMP 陷阱组

本主题包含以下部分:

配置 SNMP 陷阱的源地址

您可以通过多种方式配置陷阱数据包的源地址:lo0,在其中一个路由器接口上配置的有效 IPv4 地址或 IPv6 地址、逻辑系统地址或路由实例的地址。值 lo0 表示 SNMP 陷阱数据包的源地址设置为接口 lo0 上配置的最低环路地址。

注:

仅当源地址是有效的 IPv4 或 IPv6 地址或已配置时,才能生成 SNMP 陷阱。

您可以采用以下格式之一配置陷阱数据包的源地址:

  • 在其中一个路由器接口上配置的有效 IPv4 地址

  • 在其中一个路由器接口上配置的有效 IPv6 地址

  • lo0;即接口 lo0 上配置的最低环路地址

  • 逻辑系统名称

  • 路由实例名称

有效的 IPv4 地址作为源地址

要将有效的 IPv4 接口地址指定为其中一个路由器接口上 SNMP 陷阱的源地址,请在层次结构级别包含 source-address 以下语句 [edit snmp trap-options]

address 是在其中一个路由器接口上配置的有效 IPv4 地址。

有效的 IPv6 地址作为源地址

要将有效的 IPv6 接口地址指定为其中一个路由器接口上 SNMP 陷阱的源地址,请在层次结构级别包含 source-address 以下语句 [edit snmp trap-options]

address 是在其中一个路由器接口上配置的有效 IPv6 地址。

作为源地址的最低环路地址

要指定 SNMP 陷阱的源地址,以便它们使用接口 lo0 上配置的最低环路地址作为源地址,请在层次结构级别包含 source-address 以下语句 [edit snmp trap-options]

要启用和配置环路地址,请在层次结构级别包含 address 语句 [edit interfaces lo0 unit 0 family inet]

要将环路地址配置为陷阱数据包的源地址:

在此示例中,IP 地址 10.0.0.1 是从此路由器发送的每个陷阱的源地址。

逻辑系统名称作为源地址

要将逻辑系统名称指定为 SNMP 陷阱的源地址,请在层次结构级别包含logical-system logical-system-name[edit snmp trap-options]该语句。

例如,以下配置将逻辑系统名称 ls1 设置为 SNMP 陷阱的源地址:

路由实例名称作为源地址

要将路由实例名称指定为 SNMP 陷阱的源地址,请在层次结构级别包含 routing-instance routing-instance-name 该语句 [edit snmp trap-options]

例如,以下配置将路由实例名称 ri1 设置为 SNMP 陷阱的源地址:

配置 SNMP 陷阱的代理地址

代理地址仅在 SNMPv1 陷阱数据包中可用(请参阅 RFC 1157)。默认情况下,不会在 SNMPv1 陷阱的代理地址字段中指定路由器的默认本地地址。要配置代理地址,请在层次结构级别包含agent-address[edit snmp trap-options]语句。目前,代理地址只能是传出接口的地址:

要将传出接口配置为代理地址,请执行以下操作:

在此示例中,发送的每个 SNMPv1 陷阱数据包的代理地址值都设置为传出接口的 IP 地址。

将 snmpTrapEnterprise 对象标识符添加到标准 SNMP 陷阱

snmpTrapEnterprise 对象可帮助您识别已定义陷阱的企业。通常,snmpTrapEnterprise 对象显示为企业特定 SNMP 版本 2 陷阱中的最后一个变量绑定。但是,从 10.0 版开始,Junos OS 允许您将 snmpTrapEnterprise 对象标识符也添加到标准 SNMP 陷阱中。

要将 snmpTrapEnterprise 添加到标准陷阱,请在层次结构级别包含enterprise-oid[edit snmp trap-options]语句。如果配置中未包含该 enterprise-oid 语句,则仅针对特定于企业的陷阱添加 snmpTrapEnterprise。

配置 SNMP 陷阱组

您可以创建并命名一组由一种或多种类型的 SNMP 陷阱组成,然后定义哪些系统接收该组 SNMP 陷阱。您必须配置陷阱组以发送 SNMP 陷阱。要创建 SNMP 陷阱组,请参见 trap-group

对于您定义的每个陷阱组,必须包含语句以 target 将至少一个系统定义为陷阱组中 SNMP 陷阱的接收者。指定每个收件人的 IPv4 或 IPv6 地址,而不是其主机名。

指定陷阱组可以在语句中 categories 接收的陷阱类型。有关陷阱所属类别的信息,请参阅 Junos OS 支持的标准 SNMP 陷阱Junos OS 支持的特定于企业的 SNMP 陷阱 主题。

在语句中 routing-instance 指定陷阱组使用的路由实例。陷阱组中配置的所有目标都使用此路由实例。

陷阱组可以接收以下类别:

  • authentication- 身份验证失败

  • chassis—机箱或环境通知

  • chassis-cluster- 群集通知

  • configuration—配置通知

  • link—链路相关通知(上下转换、DS-3 和 DS-1 线路状态更改、IPv6 接口状态更改和被动监控 PIC 过载)

    注:

    要发送被动监控 PIC 过载接口陷阱,请选择 link 陷阱类别。

  • otn-alarms— OTN 报警陷阱子类别

  • remote-operations—远程操作通知

  • rmon-alarm— RMON 事件警报

  • routing—路由协议通知

  • services— 服务通知,例如电路关闭或启动、连接中断或启动、CPU 超出、报警和状态更改。

  • sonet-alarms—SONET/SDH 告警

    注:

    如果省略 SONET/SDH 子类别,则所有 SONET/SDH 陷阱报警类型都将包含在陷阱通知中。

    • loss-of-light—失光报警通知

    • pll-lock—PLL 锁定报警通知

    • loss-of-frame—帧丢失告警通知

    • loss-of-signal—信号丢失告警通知

    • severely-errored-frame—严重错误帧告警通知

    • line-ais—线路报警指示信号 (AIS) 报警通知

    • path-ais—路径 AIS 报警通知

    • loss-of-pointer- 指针丢失告警通知

    • ber-defect—SONET/SDH 误码率报警缺陷通知

    • ber-fault—SONET/SDH 错误率告警故障通知

    • line-remote-defect-indication—线路远程缺陷指示报警通知

    • path-remote-defect-indication—路径远程缺陷指示报警通知

    • remote-error-indication—远程错误指示报警通知

    • unequipped- 未配备的报警通知

    • path-mismatch—路径不匹配报警通知

    • loss-of-cell—细胞描述丢失报警通知

    • vt-ais—虚拟支流 (VT) AIS 报警通知

    • vt-loss-of-pointer- VT 指针丢失告警通知

    • vt-remote-defect-indication—VT远程缺陷指示报警通知

    • vt-unequipped—VT 未配备报警通知

    • vt-label-mismatch—VT 标签不匹配错误通知

    • vt-loss-of-cell—VT 细胞描述丢失通知

  • startup—系统热启动和冷启动

  • timing-events- 计时事件和缺陷通知

  • vrrp-events—虚拟路由器冗余协议 (VRRP) 事件,例如新主节点或身份验证失败

如果包括 SONET/SDH 子类别,则陷阱通知中仅包含这些 SONET/SDH 陷阱报警类型。

version 语句允许您指定发送到陷阱组目标的陷阱的 SNMP 版本。如果仅指定 v1 ,则会发送 SNMPv1 陷阱。如果仅指定 v2 ,则会发送 SNMPv2 陷阱。如果指定 all,则会为每个陷阱条件发送 SNMPv1 和 SNMPv2 陷阱。有关该version语句的详细信息,请参阅版本 (SNMP)。

在运行 Junos OS 的设备上配置 SNMP 陷阱选项和组

一些运营商有多个陷阱接收器,用于将陷阱转发到中央 NMS。这允许 SNMP 陷阱通过不同的陷阱接收器从路由器到中央 NMS 的多条路径。您可以将运行 Junos OS 的设备配置为将每个 SNMP 陷阱的相同副本发送到陷阱组中配置的每个陷阱接收器。

默认情况下,每个 SNMP 陷阱数据包的 IP 报头中的源地址设置为传出接口的地址。当陷阱接收器将数据包转发到中央 NMS 时,将保留源地址。中央 NMS 仅查看每个 SNMP 陷阱数据包的源地址,假定每个 SNMP 陷阱来自不同的来源。

实际上,SNMP 陷阱来自同一路由器,但每个陷阱都通过不同的传出接口离开路由器。

提供以下各节中讨论的语句是为了允许 NMS 识别重复的陷阱,并根据传出接口区分 SNMPv1 陷阱。

要配置 SNMP 陷阱选项和陷阱组,请在层次结构级别包含 trap-options[edit snmp] and trap-group 语句:

示例:配置 SNMP 陷阱组

设置为链接和启动陷阱命名的 urgent-dispatcher 陷阱通知列表。此列表用于标识应将本地路由器生成的陷阱发送到的网络管理主机(1.2.3.4fe80::1:2:3:4)。当代理向列出的目标发送陷阱时,为陷阱组指定的名称将用作 SNMP 公共组字符串。

管理陷阱

下面提供了有关管理 SNMP 通知的详细信息:

  • 根据系统日志事件生成陷阱:

    事件策略可以包括根据系统日志消息引发事件陷阱的操作。此功能可在出现重要的系统日志消息时通知基于 SNMP 陷阱的应用程序。您可以将没有相应陷阱的任何系统日志消息转换为陷阱。如果使用网络管理系统陷阱而不是系统日志消息来监视网络,则可以使用此功能来确保收到所有重大事件的通知。

    要配置在收到事件时引发陷阱的策略,请在层次结构级别包含以下语句 [edit event-options policy policy-name]

    以下示例显示了为事件 ui_mgd_terminate引发陷阱的示例配置:

  • 根据疏水阀类别过滤疏水阀:

    SNMP 陷阱分为许多类别。Junos OS 在层次结构级别提供了一个[edit snmp trap-group trap-group]配置选项categories,使您能够指定要在特定主机上接收的陷阱类别。当您只想监控 Junos OS 的特定模块时,可以使用此选项。

    以下示例显示了仅 link接收 、 vrrp-eventsservicesotn-alarms 陷阱的示例配置:

  • 基于对象标识符的过滤器陷阱:

    Junos OS 还提供了更高级的过滤器选项,使您能够根据对象标识符过滤掉特定的陷阱。可以使用该 notify-filter 选项过滤掉特定的陷阱或一组陷阱。

    以下示例显示了排除瞻博网络企业特定配置管理陷阱的示例配置(请注意,SNMPv3 配置还支持过滤 SNMPv1 和 SNMPv2 陷阱,如以下示例所示):