SNMPv3 陷阱
在 SNMPv3 中,您可以通过配置 notify、 target-address和 target-parameters 参数来创建陷阱和通知。陷阱是未确认的通知,而通知是已确认的通知。本节介绍如何配置 SNMP 陷阱。
在运行 Junos OS 的设备上配置 SNMPv3 陷阱
目标地址定义用于发送通知的管理应用程序的地址和参数。目标参数定义在向特定管理目标发送通知时使用的消息处理和安全参数。SNMPv3 还允许您定义 SNMPv1 和 SNMPv2c 陷阱。
配置 SNMP 陷阱时,请确保配置的访问权限允许发送陷阱。您可以在层次结构级别配置访问权限[edit snmp v3 vacm access][edit snmp v3 vacm security-to-group]。
有关 SNMP v1 或 v2 陷阱到 OID 的转换以及每个类别发送的陷阱详细信息的详细信息,请参阅 MIB 资源管理器。
配置 SNMPv3 陷阱通知
该 notify 语句指定通知(陷阱)的类型并包含单个标记。该标记定义一组要接收陷阱的目标地址。标记列表包含一个或多个标记,并在层次结构级别进行 [edit snmp v3 target-address target-address-name] 配置。如果标记列表包含此标记,Junos OS 会向与此标记关联的所有目标地址发送通知。
要配置陷阱通知,请在层次结构级别包含notify[edit snmp v3]该语句。
每个通知条目名称必须是唯一的。
Junos OS 支持两种类型的通知: trap 和 inform。
也可以看看
示例:配置 SNMPv3 陷阱通知
指定三组要发送陷阱的目标:
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
配置陷阱通知过滤器
SNMPv3 使用通知过滤器来定义将哪些陷阱(或从哪些陷阱发送哪些对象)到网络管理系统 (NMS)。陷阱通知过滤器限制发送到 NMS 的陷阱类型。
每个对象标识符表示 MIB 对象层次结构的子树。您可以通过点整数序列(例如 1.3.6.1.2.1.2)或其子树名称(例如 interfaces)来表示子树。还可以在对象标识符 (OID) 中使用通配符星号 (*) 来指定与特定模式匹配的对象标识符。
要配置陷阱通知过滤器,请在层次结构级别包含notify-filter[edit snmp v3]该语句。
默认情况下,OID 设置为 include。要定义对陷阱(或陷阱中的对象)的访问,请在层次结构级别包含[edit snmp v3 notify-filter profile-name]该oid语句。有关此语句的详细信息,请参阅 notify-filter(配置配置文件名称)。
配置陷阱目标地址
目标地址定义用于发送通知的管理应用程序的地址和参数。它还可以识别允许使用特定社区字符串的管理站。当您收到一个包含已识别社区字符串且与之关联的标记的数据包时,Junos OS 会查找使用此标记的所有目标地址,并验证此数据包的源地址是否与配置的目标地址之一匹配。
配置 SNMP 公共组时,必须配置地址掩码。
要指定陷阱的发送位置并定义允许哪些 SNMPv1 和 SNMPv2cc 数据包,请在层次结构级别包含[edit snmp v3]该target-address语句。
要配置目标地址属性,请在 [edit snmp v3 target-address target-address-name] 层次结构级别包含以下语句:
与 SNMP v2 不同,在 SNMPv3 中,没有限制入站轮询的配置选项。但是,您可以通过创建规则来配置 lo0 过滤器来限制入站轮询,以允许来自监控系统 IP 的 SNMP。例如:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
配置地址
要配置地址,请在层次结构级别包含address[edit snmp v3 target-address target-address-name]该语句。有关此语句的更多信息,请参阅地址 (SNMP)。
address 是 SNMP 目标地址。
配置地址掩码
地址掩码指定一组允许使用社区字符串的地址,并验证一组目标地址的源地址。
要配置地址掩码,请在层次结构级别包含[edit snmp v3 target-address target-address-name]该address-mask语句。address-mask。
address-mask 与地址结合定义地址范围。
配置端口
默认情况下,UDP 端口设置为 162。要配置其他端口号,请在层次结构级别包含port[edit snmp v3 target-address target-address-name]该语句。有关此语句的更多信息,请参阅 port。
配置路由实例
陷阱通过默认路由实例发送。要配置用于发送陷阱的路由实例,请在层次结构级别包含routing-instance[edit snmp v3 target-address target-address-name]该语句。有关此语句的详细信息,请参阅 routing-instance (SNMPv3)。
配置陷阱目标地址
每个 target-address 语句的标记列表中都可以配置一个或多个标记。每个标记可以显示在多个标记列表中。当网络设备上发生重大事件时,标记列表标识向其发送通知的目标。
要配置标记列表,请在层次结构级别包含tag-list[edit snmp v3 target-address target-address-name]该语句。有关此语句的更多信息,请参阅 tag-list。
tag-list 将一个或多个标记指定为用双引号括起来的空格分隔列表。
配置 SNMP 陷阱时,请确保配置的访问权限允许发送陷阱。在层次结构级别配置 [edit snmp v3 vacm access] 访问权限。
应用目标参数
target-parameters层级的[edit snmp v3]语句应用在层级配置的[edit snmp v3 target-parameters target-parameters-name]目标参数。
要引用配置的目标参数,请在层次结构级别包含[edit snmp v3 target-address target-address-name]该target-parameters语句:
示例:配置标记列表
在以下示例中,在层次结构级别定义[edit snmp v3 notify notify-name]了两个标记条目(router1 和 router2)。当事件触发通知时,Junos OS 会向在其目标地址标记列表中具有router1或router2配置的所有目标地址发送陷阱。这导致前两个目标各获得一个陷阱,而第三个目标获得两个陷阱。
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
定义和配置陷阱目标参数
目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。
要定义一组目标参数,请在层次结构级别包含[edit snmp v3]以下target-parameters语句:
有关配置用户安全策略的详细信息,请参阅 用户安全策略概述。
本主题包含以下部分:
应用陷阱通知过滤器
要应用陷阱通知过滤器,请在层次结构级别包含[edit snmp v3 target-parameters target-parameter-name]该notify-filter语句。有关此语句的更多信息,请参阅 notify-filter(应用于管理目标)。
配置目标参数
要配置目标参数属性,请在 [edit snmp v3 target-parameters target-parameter-name parameters] 层次结构级别包含以下语句。
本部分包含以下主题:
配置消息处理模型
消息处理模型定义了在生成 SNMP 通知时要使用的 SNMP 版本。要配置消息处理模型,请在层次结构级别包含message-processing-model[edit snmp v3 target-parameters target-parameter-name parameters]该语句。有关此语句的更多信息,请参阅 message-processing-model。
MX 系列路由器上的用户安全策略需要 v3 消息处理模型。请参阅 订阅者安全策略概述。
配置安全性模型
要定义生成 SNMP 通知时要使用的安全模型,请在层次结构级别包含[edit snmp v3 target-parameters target-parameter-name parameters]该security-model语句。有关此语句的详细信息,请参阅 security-model(SNMP 通知)。
MX 系列路由器上的用户安全策略需要 usm 安全模型。请参阅 订阅者安全策略概述。
配置安全性级别
该语句指定 security-level 在发送陷阱之前是否对其进行身份验证和加密。
要配置生成 SNMP 通知时要使用的安全级别,请在层次结构级别包含security-level[edit snmp v3 target-parameters target-parameter-name parameters]该语句。有关此语句的详细信息,请参阅安全级别(生成 SNMP 通知)。
如果配置 SNMPv1 或 SNMPV2c 安全模型,请用作 none 安全级别。如果配置 SNMPv3 (USM) 安全模型,请使用 authentication OR privacy 安全级别。
MX 系列路由器上的用户安全策略需要 privacy 安全级别 。有关详细信息,请参阅 订阅者安全策略概述 。
配置安全性名称
要配置生成 SNMP 通知时要使用的安全名称,请在层次结构级别包含[edit snmp v3 target-parameters target-parameter-name parameters]该security-name语句。有关此语句的详细信息,请参阅 security-name(SNMP 通知)。
如果使用 USM 作为安全模型,则标识 security-name 生成通知时使用的用户。如果使用 v1 或 v2c 作为安全模型, security-name 请标识生成通知时使用的 SNMP 社区。
与安全名称关联的组的访问权限必须允许发送此通知。
如果使用 v1 或 v2 安全模型,则层级的安全 [edit snmp v3 vacm security-to-group] 名称必须与层级的安全 [edit snmp v3 snmp-community community-index] 名称匹配。