Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SNMPv3 陷阱

在 SNMPv3 中,您可以通过配置 notifytarget-addresstarget-parameters 参数来创建陷阱和通知。陷阱是未确认的通知,而通知是已确认的通知。本节介绍如何配置 SNMP 陷阱。

在运行 Junos OS 的设备上配置 SNMPv3 陷阱

目标地址定义用于发送通知的管理应用程序的地址和参数。目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。SNMPv3 还允许您定义 SNMPv1 和 SNMPv2c 陷阱。

注:

配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。您可以在和[edit snmp v3 vacm access][edit snmp v3 vacm security-to-group]层次结构级别配置访问权限。

有关 SNMP v1 或 v2 陷阱到 OID 转换以及每个类别发送的陷阱详细信息的详细信息,请参阅 MIB 资源管理器

配置 SNMPv3 陷阱通知

notify 语句指定通知的类型(陷阱)并包含单个标记。标记定义一组用于接收陷阱的目标地址。标记列表包含一个或多个标记,并在层次结构级别进行配置 [edit snmp v3 target-address target-address-name] 。如果标记列表包含此标记,Junos OS 会向与此标记关联的所有目标地址发送通知。

要配置陷阱通知,请在层次结构级别包含notify[edit snmp v3]语句。

每个通知条目名称必须是唯一的。

Junos OS 支持两种类型的通知:trapinform

示例:配置 SNMPv3 陷阱通知

指定三组要发送陷阱的目标:

配置陷阱通知过滤器

SNMPv3 使用通知过滤器来定义将哪些陷阱(或从哪些陷阱发送哪些对象)发送到网络管理系统 (NMS)。陷阱通知过滤器限制发送到 NMS 的陷阱类型。

每个对象标识符表示 MIB 对象层次结构的一个子树。可以用一系列虚线整数(如 1.3.6.1.2.1.2)或其子树名称(如 interfaces)来表示子树。还可以在对象标识符 (OID) 中使用通配符星号 (*) 来指定与特定模式匹配的对象标识符。

要配置陷阱通知过滤器,请在层次结构级别包含 notify-filter 语句 [edit snmp v3]

默认情况下,OID 设置为 include。要定义对陷阱(或陷阱中的对象)的访问,请在层次结构级别包含oid[edit snmp v3 notify-filter profile-name]语句。有关此语句的详细信息,请参见 notify-filter (Configuring the Profile Name)

配置陷阱目标地址

目标地址定义用于发送通知的管理应用程序的地址和参数。它还可以识别允许使用特定社区字符串的管理站。当您收到具有可识别的社区字符串且标记与之关联的数据包时,Junos OS 会使用此标记查找所有目标地址,并验证此数据包的源地址是否与某个配置的目标地址匹配。

配置 SNMP 公共组时,必须配置地址掩码。

要指定陷阱的发送位置并定义允许哪些 SNMPv1 和 SNMPv2cc 数据包,请在层次结构级别包含 target-address 该语句 [edit snmp v3]

要配置目标地址属性,请在层次结构级别包含以下语句 [edit snmp v3 target-address target-address-name]

与 SNMP v2 不同,在 SNMPv3 中,没有用于限制入站轮询的配置选项。但是,您可以配置 lo0 过滤器,通过创建规则以允许来自监控系统 IP 的 SNMP,来限制入站轮询。例如:

配置地址

要配置地址,请在层次结构级别包含 address 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 address (SNMP)

address 是 SNMP 目标地址。

配置地址掩码

地址掩码指定一组允许使用社区字符串的地址,并验证一组目标地址的源地址。

要配置地址掩码,请在层次结构级别包含address-mask语句[edit snmp v3 target-address target-address-name]address-mask

address-mask 与地址结合定义地址范围。

配置端口

默认情况下,UDP 端口设置为 162。要配置其他端口号,请在层次结构级别包含port[edit snmp v3 target-address target-address-name]语句。有关此语句的详细信息,请参见 port

配置路由实例

陷阱通过默认路由实例发送。要配置用于发送陷阱的路由实例,请在层次结构级别包含 routing-instance 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 routing-instance (SNMPv3)

配置陷阱目标地址

每个 target-address 语句都可以在其标签列表中配置一个或多个标签。每个标记可以出现在多个标记列表中。当网络设备上发生重大事件时,标记列表标识要向其发送通知的目标。

要配置标记列表,请在层次结构级别包含 tag-list 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 tag-list

tag-list 将一个或多个标记指定为括在双引号内的空格分隔列表。

配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。在 [edit snmp v3 vacm access] 层次结构级别配置访问权限。

应用目标参数

target-parameters层次结构级别的语句[edit snmp v3]应用在层次结构级别配置[edit snmp v3 target-parameters target-parameters-name]的目标参数。

要引用配置的目标参数,请在层次结构级别包含target-parameters[edit snmp v3 target-address target-address-name]语句:

示例:配置标签列表

在以下示例中,在层次结构级别定义了[edit snmp v3 notify notify-name]两个标记条目(router1router2)。当事件触发通知时,Junos OS 会向在其目标地址标记列表中已 router1 配置或 router2 配置的所有目标地址发送陷阱。这会导致前两个目标各获得一个陷阱,第三个目标获得两个陷阱。

定义和配置陷阱目标参数

目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。

要定义一组目标参数,请在层次结构级别包含 target-parameters 语句 [edit snmp v3]

有关配置订阅者安全策略的详细信息,请参阅 订阅者安全策略概述

本主题包含以下部分:

应用陷阱通知过滤器

要应用陷阱通知过滤器,请在层次结构级别包含notify-filter[edit snmp v3 target-parameters target-parameter-name]语句。有关此语句的详细信息,请参见 notify-filter (Applying to the Management Target)

配置目标参数

要配置目标参数属性,请在层次结构级别包含以下语句 [edit snmp v3 target-parameters target-parameter-name parameters]

本节包括以下主题:

配置消息处理模型

消息处理模型定义在生成 SNMP 通知时使用哪个版本的 SNMP。要配置消息处理模型,请在层次结构级别包含message-processing-model[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 message-processing-model

MX 系列路由器上的订阅者安全策略需要 v3 消息处理模型。请参阅 订阅者安全策略概述

配置安全模型

要定义生成 SNMP 通知时要使用的安全模型,请在层次结构级别包含security-model[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 security-model (SNMP Notifications)

MX 系列路由器上的订阅者安全策略需要安全 usm 模型。请参阅 订阅者安全策略概述

配置安全级别

security-level 语句指定在发送陷阱之前是否对其进行身份验证和加密。

要配置生成 SNMP 通知时要使用的安全级别,请在层次结构级别包含security-level[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 security-level (Generating SNMP Notifications)

如果要配置 SNMPv1 或 SNMPV2c 安全模型,请使用 作为 none 安全级别。如果要配置 SNMPv3 (USM) 安全模型,请使用 authenticationprivacy 安全级别。

MX 系列路由器上的订阅者安全策略需要 privacy 安全级别 。有关详细信息 ,请参阅订阅者安全策略概述

配置安全名称

要配置生成 SNMP 通知时要使用的安全名称,请在层次结构级别包含 security-name 该语句 [edit snmp v3 target-parameters target-parameter-name parameters] 。有关此语句的详细信息,请参见 security-name (SNMP Notifications)

如果使用 USM 作为安全模型,则标识 security-name 生成通知时使用的用户。如果使用 v1 或 v2c 作为安全模型,则标识 security-name 生成通知时使用的 SNMP 公共组。

与安全名称关联的组的访问权限必须允许发送此通知。

如果使用 v1 或 v2 安全模型,则层次结构级别的安全名称 [edit snmp v3 vacm security-to-group] 必须与层次结构级别的安全名称 [edit snmp v3 snmp-community community-index] 匹配。