Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SNMPv3 陷阱

在 SNMPv3 中,您可以通过配置 、 和参数来创建陷阱和 通知。notifytarget-addresstarget-parameters 陷阱是未确认的通知,而通知是已确认的通知。本节介绍如何配置 SNMP 陷阱。

在运行 Junos OS 的设备上配置 SNMPv3 陷阱

目标地址定义用于发送通知的管理应用程序的地址和参数。目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。SNMPv3 还允许您定义 SNMPv1 和 SNMPv2c 陷阱。

注:

配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。您可以在和层次结构级别配置访问权限。[edit snmp v3 vacm access][edit snmp v3 vacm security-to-group]

有关 SNMP v1 或 v2 陷阱到 OID 转换以及每个类别发送的陷阱详细信息的详细信息,请参阅 MIB 资源管理器。https://apps.juniper.net/mib-explorer/

配置 SNMPv3 陷阱通知

该 语句指定通知的类型(陷阱)并包含单个标记。notify 标记定义一组用于接收陷阱的目标地址。标记列表包含一个或多个标记,并在层次结构级别进行配置 。[edit snmp v3 target-address target-address-name] 如果标记列表包含此标记,Junos OS 会向与此标记关联的所有目标地址发送通知。

要配置陷阱通知,请在层次结构级别包含语句。notify[edit snmp v3]

每个通知条目名称必须是唯一的。

Junos OS 支持两种类型的通知:trapinform

示例:配置 SNMPv3 陷阱通知

指定三组要发送陷阱的目标:

配置陷阱通知过滤器

SNMPv3 使用通知过滤器来定义将哪些陷阱(或从哪些陷阱发送哪些对象)发送到网络管理系统 (NMS)。陷阱通知过滤器限制发送到 NMS 的陷阱类型。

每个对象标识符表示 MIB 对象层次结构的一个子树。可以用一系列虚线整数(如 1.3.6.1.2.1.2)或其子树名称(如 )来表示子树。interfaces 还可以在对象标识符 (OID) 中使用通配符星号 (*) 来指定与特定模式匹配的对象标识符。

要配置陷阱通知过滤器,请在层次结构级别包含 语句 。notify-filter[edit snmp v3]

默认情况下,OID 设置为 。include 要定义对陷阱(或陷阱中的对象)的访问,请在层次结构级别包含语句。oid[edit snmp v3 notify-filter profile-name] 有关此语句的详细信息,请参见 。notify-filter (Configuring the Profile Name)

配置陷阱目标地址

目标地址定义用于发送通知的管理应用程序的地址和参数。它还可以识别允许使用特定社区字符串的管理站。当您收到具有可识别的社区字符串且标记与之关联的数据包时,Junos OS 会使用此标记查找所有目标地址,并验证此数据包的源地址是否与某个配置的目标地址匹配。

配置 SNMP 公共组时,必须配置地址掩码。

要指定陷阱的发送位置并定义允许哪些 SNMPv1 和 SNMPv2cc 数据包,请在层次结构级别包含 该语句 。target-address[edit snmp v3]

要配置目标地址属性,请在层次结构级别包含以下语句 :[edit snmp v3 target-address target-address-name]

与 SNMP v2 不同,在 SNMPv3 中,没有用于限制入站轮询的配置选项。但是,您可以配置 lo0 过滤器,通过创建规则以允许来自监控系统 IP 的 SNMP,来限制入站轮询。例如:

配置地址

要配置地址,请在层次结构级别包含 语句 。address[edit snmp v3 target-address target-address-name] 有关此语句的详细信息,请参见 。address

address 是 SNMP 目标地址。

配置地址掩码

地址掩码指定一组允许使用社区字符串的地址,并验证一组目标地址的源地址。

要配置地址掩码,请在层次结构级别包含语句。 address-mask[edit snmp v3 target-address target-address-name]address-mask

address-mask 与地址结合定义地址范围。

配置端口

默认情况下,UDP 端口设置为 162。要配置其他端口号,请在层次结构级别包含语句。port[edit snmp v3 target-address target-address-name] 有关此语句的详细信息,请参见 。port

配置路由实例

陷阱通过默认路由实例发送。要配置用于发送陷阱的路由实例,请在层次结构级别包含 语句 。routing-instance[edit snmp v3 target-address target-address-name] 有关此语句的详细信息,请参见 。routing-instance

配置陷阱目标地址

每个 语句都可以在其标签列表中配置一个或多个标签。target-address 每个标记可以出现在多个标记列表中。当网络设备上发生重大事件时,标记列表标识要向其发送通知的目标。

要配置标记列表,请在层次结构级别包含 语句 。tag-list[edit snmp v3 target-address target-address-name] 有关此语句的详细信息,请参见 。tag-list

tag-list 将一个或多个标记指定为括在双引号内的空格分隔列表。

配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。在 层次结构级别配置访问权限。[edit snmp v3 vacm access]

应用目标参数

层次结构级别的语句应用在层次结构级别配置的目标参数。target-parameters[edit snmp v3][edit snmp v3 target-parameters target-parameters-name]

要引用配置的目标参数,请在层次结构级别包含语句:target-parameters[edit snmp v3 target-address target-address-name]

示例:配置标签列表

在以下示例中,在层次结构级别定义了两个标记条目( 和 )。router1router2[edit snmp v3 notify notify-name] 当事件触发通知时,Junos OS 会向在其目标地址标记列表中已 配置或 配置的所有目标地址发送陷阱。router1router2 这会导致前两个目标各获得一个陷阱,第三个目标获得两个陷阱。

定义和配置陷阱目标参数

目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。

要定义一组目标参数,请在层次结构级别包含 语句 :target-parameters[edit snmp v3]

有关配置订阅者安全策略的详细信息,请参阅 订阅者安全策略概述。Subscriber Secure Policy Overview

本主题包含以下部分:

应用陷阱通知过滤器

要应用陷阱通知过滤器,请在层次结构级别包含语句。notify-filter[edit snmp v3 target-parameters target-parameter-name] 有关此语句的详细信息,请参见 。notify-filter (Applying to the Management Target)

配置目标参数

要配置目标参数属性,请在层次结构级别包含以下语句 。[edit snmp v3 target-parameters target-parameter-name parameters]

本节包括以下主题:

配置消息处理模型

消息处理模型定义在生成 SNMP 通知时使用哪个版本的 SNMP。要配置消息处理模型,请在层次结构级别包含语句。message-processing-model[edit snmp v3 target-parameters target-parameter-name parameters] 有关此语句的详细信息,请参见 。message-processing-model

MX 系列路由器上的订阅者安全策略需要 消息处理模型。v3 请参阅 订阅者安全策略概述。Subscriber Secure Policy Overview

配置安全模型

要定义生成 SNMP 通知时要使用的安全模型,请在层次结构级别包含语句。security-model[edit snmp v3 target-parameters target-parameter-name parameters] 有关此语句的详细信息,请参见 。security-model (SNMP Notifications)

MX 系列路由器上的订阅者安全策略需要安全 模型。usm 请参阅 订阅者安全策略概述。Subscriber Secure Policy Overview

配置安全级别

该 语句指定在发送陷阱之前是否对其进行身份验证和加密。security-level

要配置生成 SNMP 通知时要使用的安全级别,请在层次结构级别包含语句。security-level[edit snmp v3 target-parameters target-parameter-name parameters] 有关此语句的详细信息,请参见 。security-level (Generating SNMP Notifications)

如果要配置 SNMPv1 或 SNMPV2c 安全模型,请使用 作为 安全级别。none 如果要配置 SNMPv3 (USM) 安全模型,请使用 或 安全级别。authenticationprivacy

MX 系列路由器上的订阅者安全策略需要 安全级别 。privacy 有关详细信息 ,请参阅订阅者安全策略概述 。Subscriber Secure Policy Overview

配置安全名称

要配置生成 SNMP 通知时要使用的安全名称,请在层次结构级别包含 该语句 。security-name[edit snmp v3 target-parameters target-parameter-name parameters] 有关此语句的详细信息,请参见 。security-name (SNMP Notifications)

如果使用 USM 作为安全模型,则标识 生成通知时使用的用户。security-name 如果使用 v1 或 v2c 作为安全模型,则标识 生成通知时使用的 SNMP 公共组。security-name

与安全名称关联的组的访问权限必须允许发送此通知。

如果使用 v1 或 v2 安全模型,则层次结构级别的安全名称必须与层次结构级别的安全名称匹配。[edit snmp v3 vacm security-to-group][edit snmp v3 snmp-community community-index]