SNMPv3 陷阱
在 SNMPv3 中,您可以通过配置 notify
、 target-address
和 target-parameters
参数来创建陷阱和通知。陷阱是未确认的通知,而通知是已确认的通知。本节介绍如何配置 SNMP 陷阱。
在运行 Junos OS 的设备上配置 SNMPv3 陷阱
目标地址定义用于发送通知的管理应用程序的地址和参数。目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。SNMPv3 还允许您定义 SNMPv1 和 SNMPv2c 陷阱。
配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。您可以在和[edit snmp v3 vacm access]
[edit snmp v3 vacm security-to-group]
层次结构级别配置访问权限。
有关 SNMP v1 或 v2 陷阱到 OID 转换以及每个类别发送的陷阱详细信息的详细信息,请参阅 MIB 资源管理器。
配置 SNMPv3 陷阱通知
该 notify
语句指定通知的类型(陷阱)并包含单个标记。标记定义一组用于接收陷阱的目标地址。标记列表包含一个或多个标记,并在层次结构级别进行配置 [edit snmp v3 target-address target-address-name]
。如果标记列表包含此标记,Junos OS 会向与此标记关联的所有目标地址发送通知。
要配置陷阱通知,请在层次结构级别包含notify
[edit snmp v3]
语句。
每个通知条目名称必须是唯一的。
Junos OS 支持两种类型的通知:trap
和 inform
。
另请参阅
示例:配置 SNMPv3 陷阱通知
指定三组要发送陷阱的目标:
[edit snmp v3] notify n1 { tag router1; type trap; } notify n2 { tag router2; type trap } notify n3 { tag router3; type trap; }
配置陷阱通知过滤器
SNMPv3 使用通知过滤器来定义将哪些陷阱(或从哪些陷阱发送哪些对象)发送到网络管理系统 (NMS)。陷阱通知过滤器限制发送到 NMS 的陷阱类型。
每个对象标识符表示 MIB 对象层次结构的一个子树。可以用一系列虚线整数(如 1.3.6.1.2.1.2)或其子树名称(如 interfaces
)来表示子树。还可以在对象标识符 (OID) 中使用通配符星号 (*) 来指定与特定模式匹配的对象标识符。
要配置陷阱通知过滤器,请在层次结构级别包含 notify-filter
语句 [edit snmp v3]
。
默认情况下,OID 设置为 include
。要定义对陷阱(或陷阱中的对象)的访问,请在层次结构级别包含oid
[edit snmp v3 notify-filter profile-name]
语句。有关此语句的详细信息,请参见 notify-filter (Configuring the Profile Name)。
配置陷阱目标地址
目标地址定义用于发送通知的管理应用程序的地址和参数。它还可以识别允许使用特定社区字符串的管理站。当您收到具有可识别的社区字符串且标记与之关联的数据包时,Junos OS 会使用此标记查找所有目标地址,并验证此数据包的源地址是否与某个配置的目标地址匹配。
配置 SNMP 公共组时,必须配置地址掩码。
要指定陷阱的发送位置并定义允许哪些 SNMPv1 和 SNMPv2cc 数据包,请在层次结构级别包含 target-address
该语句 [edit snmp v3]
。
要配置目标地址属性,请在层次结构级别包含以下语句 [edit snmp v3 target-address target-address-name]
:
与 SNMP v2 不同,在 SNMPv3 中,没有用于限制入站轮询的配置选项。但是,您可以配置 lo0 过滤器,通过创建规则以允许来自监控系统 IP 的 SNMP,来限制入站轮询。例如:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
配置地址
要配置地址,请在层次结构级别包含 address
语句 [edit snmp v3 target-address target-address-name]
。有关此语句的详细信息,请参见 address (SNMP)。
address
是 SNMP 目标地址。
配置地址掩码
地址掩码指定一组允许使用社区字符串的地址,并验证一组目标地址的源地址。
要配置地址掩码,请在层次结构级别包含address-mask
语句[edit snmp v3 target-address target-address-name]
。 address-mask
address-mask
与地址结合定义地址范围。
配置端口
默认情况下,UDP 端口设置为 162。要配置其他端口号,请在层次结构级别包含port
[edit snmp v3 target-address target-address-name]
语句。有关此语句的详细信息,请参见 port。
配置路由实例
陷阱通过默认路由实例发送。要配置用于发送陷阱的路由实例,请在层次结构级别包含 routing-instance
语句 [edit snmp v3 target-address target-address-name]
。有关此语句的详细信息,请参见 routing-instance (SNMPv3)。
配置陷阱目标地址
每个 target-address
语句都可以在其标签列表中配置一个或多个标签。每个标记可以出现在多个标记列表中。当网络设备上发生重大事件时,标记列表标识要向其发送通知的目标。
要配置标记列表,请在层次结构级别包含 tag-list
语句 [edit snmp v3 target-address target-address-name]
。有关此语句的详细信息,请参见 tag-list。
tag-list
将一个或多个标记指定为括在双引号内的空格分隔列表。
配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。在 [edit snmp v3 vacm access]
层次结构级别配置访问权限。
应用目标参数
target-parameters
层次结构级别的语句[edit snmp v3]
应用在层次结构级别配置[edit snmp v3 target-parameters target-parameters-name]
的目标参数。
要引用配置的目标参数,请在层次结构级别包含target-parameters
[edit snmp v3 target-address target-address-name]
语句:
示例:配置标签列表
在以下示例中,在层次结构级别定义了[edit snmp v3 notify notify-name]
两个标记条目(router1
和 router2
)。当事件触发通知时,Junos OS 会向在其目标地址标记列表中已 router1
配置或 router2
配置的所有目标地址发送陷阱。这会导致前两个目标各获得一个陷阱,第三个目标获得两个陷阱。
[edit snmp v3] notify n1 { tag router1; # Identifies a set of target addresses type trap; # Defines the type of notification } notify n2 { tag router2; type trap; } target-address ta1 { address 10.1.1.1; address-mask 255.255.255.0; port 162; tag-list router1; target-parameters tp1; } target-address ta2 { address 10.1.1.2; address-mask 255.255.255.0; port 162; tag-list router2; target-parameters tp2; } target-address ta3 { address 10.1.1.3; address-mask 255.255.255.0; port 162; tag-list “router1 router2”; #Define multiple tags in the target address tag list target-parameters tp3; }
定义和配置陷阱目标参数
目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。
要定义一组目标参数,请在层次结构级别包含 target-parameters
语句 [edit snmp v3]
:
有关配置订阅者安全策略的详细信息,请参阅 订阅者安全策略概述。
本主题包含以下部分:
应用陷阱通知过滤器
要应用陷阱通知过滤器,请在层次结构级别包含notify-filter
[edit snmp v3 target-parameters target-parameter-name]
语句。有关此语句的详细信息,请参见 notify-filter (Applying to the Management Target)。
配置目标参数
要配置目标参数属性,请在层次结构级别包含以下语句 [edit snmp v3 target-parameters target-parameter-name parameters]
。
本节包括以下主题:
配置消息处理模型
消息处理模型定义在生成 SNMP 通知时使用哪个版本的 SNMP。要配置消息处理模型,请在层次结构级别包含message-processing-model
[edit snmp v3 target-parameters target-parameter-name parameters]
语句。有关此语句的详细信息,请参见 message-processing-model。
MX 系列路由器上的订阅者安全策略需要 v3
消息处理模型。请参阅 订阅者安全策略概述。
配置安全模型
要定义生成 SNMP 通知时要使用的安全模型,请在层次结构级别包含security-model
[edit snmp v3 target-parameters target-parameter-name parameters]
语句。有关此语句的详细信息,请参见 security-model (SNMP Notifications)。
MX 系列路由器上的订阅者安全策略需要安全 usm
模型。请参阅 订阅者安全策略概述。
配置安全级别
该 security-level
语句指定在发送陷阱之前是否对其进行身份验证和加密。
要配置生成 SNMP 通知时要使用的安全级别,请在层次结构级别包含security-level
[edit snmp v3 target-parameters target-parameter-name parameters]
语句。有关此语句的详细信息,请参见 security-level (Generating SNMP Notifications)。
如果要配置 SNMPv1 或 SNMPV2c 安全模型,请使用 作为 none
安全级别。如果要配置 SNMPv3 (USM) 安全模型,请使用 authentication
或 privacy
安全级别。
MX 系列路由器上的订阅者安全策略需要 privacy
安全级别 。有关详细信息 ,请参阅订阅者安全策略概述 。
配置安全名称
要配置生成 SNMP 通知时要使用的安全名称,请在层次结构级别包含 security-name
该语句 [edit snmp v3 target-parameters target-parameter-name parameters]
。有关此语句的详细信息,请参见 security-name (SNMP Notifications)。
如果使用 USM 作为安全模型,则标识 security-name
生成通知时使用的用户。如果使用 v1 或 v2c 作为安全模型,则标识 security-name
生成通知时使用的 SNMP 公共组。
与安全名称关联的组的访问权限必须允许发送此通知。
如果使用 v1 或 v2 安全模型,则层次结构级别的安全名称 [edit snmp v3 vacm security-to-group]
必须与层次结构级别的安全名称 [edit snmp v3 snmp-community community-index]
匹配。