Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von SNMPv3

Mindestkonfiguration von SNMPv3 auf einem Gerät, auf dem Junos OS ausgeführt wird

Um die Mindestanforderungen für SNMPv3 zu konfigurieren, fügen Sie die folgenden Anweisungen auf der [edit snmp v3] Undhierarchieebene [edit snmp] ein:

Anmerkung:

Sie müssen mindestens eine Ansicht (benachrichtigen, lesen oder schreiben) auf Hierarchieebene [edit snmp view-name] konfigurieren.

Beispiel: SNMPv3-Konfiguration

Definieren einer SNMPv3-Konfiguration:

Erstellen von SNMPv3-Benutzern

Für jeden SNMPv3-Benutzer können Sie Benutzername, Authentifizierungstyp, Authentifizierungskennwort, Datenschutztyp und Datenschutzkennwort angeben. Nachdem ein Benutzer ein Kennwort eingibt, wird ein Schlüssel basierend auf der Engine-ID und dem Kennwort generiert und in die Konfigurationsdatei geschrieben. Nach der Generierung des Schlüssels wird das Kennwort aus dieser Konfigurationsdatei gelöscht.

Anmerkung:

Sie können für jeden SNMPv3-Benutzer nur einen Verschlüsselungstyp konfigurieren.

Zum Erstellen von Benutzern fügen Sie die user Anweisung auf der [edit snmp v3 usm local-engine] Hierarchieebene ein:

username ist der Name, der den SNMPv3-Benutzer identifiziert.

Um die Benutzerauthentifizierung und -verschlüsselung zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 usm local-engine user username] ein:

Beispiel: Erstellen von SNMPv3-Benutzern

Definieren von SNMPv3-Benutzern:

Konfigurieren des SNMPv3-Authentifizierungstyps

In einer Junos OS-Konfiguration ist der Authentifizierungstyp SNMPv3 standardmäßig auf none festgelegt.

Dieses Thema umfasst die folgenden Abschnitte:

Konfigurieren der MD5-Authentifizierung

Um den Message Digest-Algorithmus (MD5) als Authentifizierungstyp für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die authentication-md5 Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

authentication-password ist das Kennwort zum Generieren des Schlüssels, der für die Authentifizierung verwendet wird.

SNMPv3 hat besondere Anforderungen, wenn Sie Einfache-Text-Passwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Konfigurieren der SHA-Authentifizierung

Um den sicheren Hash-Algorithmus (SHA) als Authentifizierungstyp für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die authentication-sha Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

authentication-password ist das Kennwort zum Generieren des Schlüssels, der für die Authentifizierung verwendet wird.

SNMPv3 hat besondere Anforderungen, wenn Sie Einfache-Text-Passwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Keine Authentifizierung konfigurieren

Um keine Authentifizierung für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die authentication-none Anweisung auf Hierarchieebene [edit snmp v3 usm local-engine user username] ein:

Konfigurieren des SNMPv3-Verschlüsselungstyps

Standardmäßig ist die Verschlüsselung auf keine festgelegt.

Anmerkung:

Bevor Sie die Verschlüsselung konfigurieren, müssen Sie die MD5- oder SHA-Authentifizierung konfigurieren.

Dieses Thema umfasst die folgenden Abschnitte:

Konfigurieren des erweiterten Verschlüsselungsstandardalgorithmus

Um den AES-Algorithmus (Advanced Encryption Standard) für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die privacy-aes128 Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

privacy-password ist das Kennwort zum Generieren des Schlüssels, der für die Verschlüsselung verwendet wird.

SNMPv3 hat besondere Anforderungen, wenn Sie Einfache-Text-Passwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Konfigurieren des Datenverschlüsselungsalgorithmus

Um den Datenverschlüsselungsalgorithmus (DES) für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die privacy-des Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

privacy-password ist das Kennwort zum Generieren des Schlüssels, der für die Verschlüsselung verwendet wird.

SNMPv3 hat besondere Anforderungen, wenn Sie Einfache-Text-Passwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Konfiguration von Triple DES

Um triple DES für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die privacy-3des Anweisung auf Hierarchieebene [edit snmp v3 usm local-engine user username] ein:

privacy-password ist das Kennwort zum Generieren des Schlüssels, der für die Verschlüsselung verwendet wird.

SNMPv3 hat besondere Anforderungen, wenn Sie Einfache-Text-Passwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Keine Verschlüsselung konfigurieren

Um keine Verschlüsselung für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die privacy-none Anweisung auf Hierarchieebene [edit snmp v3 usm local-engine user username] ein:

Definieren von Zugriffsrechten für eine SNMP-Gruppe

Die SNMP-Version 3 (SNMPv3) verwendet das ansichtsbasierte Zugriffssteuerungsmodell (VACM), mit dem Sie die einer Gruppe gewährten Zugriffsrechte konfigurieren können. Der Zugriff wird gesteuert, indem die für einen bestimmten Vorgang verfügbaren MIB-Objekte über eine vordefinierte Ansicht gefiltert werden. Sie weisen Ansichten zu, um die Objekte zu bestimmen, die für Lese-, Schreib- und Benachrichtigensvorgänge für eine bestimmte Gruppe sichtbar sind, unter Verwendung eines bestimmten Kontexts, eines bestimmten Sicherheitsmodells (v1, v2c oder usm) und einer bestimmten Sicherheitsebene (authentifiziert, Datenschutz oder keine). Informationen zur Konfiguration von Ansichten finden Sie unter Konfigurieren von MIB-Ansichten.

Sie definieren den Benutzerzugriff auf Verwaltungsinformationen auf Hierarchieebene [edit snmp v3 vacm] . Die gesamte Zugriffssteuerung innerhalb von VACM wird auf Gruppen ausgeführt, bei denen es sich um Sammlungen von Benutzern handelt, die von USM definiert sind, oder Community-Zeichenfolgen, wie sie in den Sicherheitsmodellen SNMPv1 und SNMPv2c definiert sind. Der Begriff security-name bezieht sich auf diese generischen Endbenutzer. Die Gruppe, zu der ein bestimmter Sicherheitsname gehört, wird auf der [edit snmp v3 vacm security-to-group] Hierarchieebene konfiguriert. Dieser Sicherheitsname kann einer auf Hierarchieebene definierten [edit snmp v3 vacm security-to-group] Gruppe zugeordnet werden. Eine Gruppe identifiziert eine Sammlung von SNMP-Benutzern, die dieselbe Zugriffsrichtlinie verwenden. Anschließend definieren Sie die Zugriffsrechte, die einer Gruppe auf der [edit snmp v3 vacm access] Hierarchieebene zugewiesen sind. Zugriffsrechte werden mithilfe von Ansichten definiert. Für jede Gruppe können Sie je nach SNMP-Betrieb unterschiedliche Ansichten anwenden. zum Beispiel Lesen (get, getNextoder getBulk) Schreiben (set), Benachrichtigungen, die verwendete Sicherheitsstufe (Authentifizierung, Datenschutz oder keine) und das innerhalb einer SNMP-Anforderung verwendete Sicherheitsmodell (v1, v2c oder usm).

Sie konfigurieren Mitglieder einer Gruppe mit der security-name Anweisung. Bei v3-Paketen mit USM entspricht der Sicherheitsname dem Benutzernamen. Bei SNMPv1- oder SNMPv2c-Paketen wird der Sicherheitsname basierend auf der Community-Zeichenfolge festgelegt. Sicherheitsnamen sind spezifisch für ein Sicherheitsmodell. Wenn Sie auch VACM-Zugriffsrichtlinien für SNMPv1- oder SNMPv2c-Pakete konfigurieren, müssen Sie Gruppen für jedes Sicherheitsmodell (SNMPv1 oder SNMPv2c) auf [edit snmp v3 vacm security-to-group] Hierarchieebene Sicherheitsnamen zuweisen. Sie müssen auf Hierarchieebene auch einen Sicherheitsnamen einer SNMP-Community [edit snmp v3 snmp-community community-index] zuordnen.

Um die Zugriffsrechte für eine SNMP-Gruppe zu konfigurieren, fügen Sie Anweisungen auf Hierarchieebene [edit snmp v3 vacm] ein:

Konfigurieren der einer Gruppe gewährten Zugriffsrechte

Dieses Thema umfasst die folgenden Abschnitte:

Konfiguration der Gruppe

Um die einer Gruppe gewährten Zugriffsrechte zu konfigurieren, fügen Sie die group Anweisung auf Hierarchieebene [edit snmp v3 vacm access] ein:

group-name ist eine Sammlung von SNMP-Benutzern, die zu einer gemeinsamen SNMP-Liste gehören, die eine Zugriffsrichtlinie definiert. Benutzer einer bestimmten SNMP-Gruppe erben alle zugriffsberechtigungen, die dieser Gruppe gewährt werden.

Konfiguration des Sicherheitsmodells

Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] ein:

  • any— Jedes Sicherheitsmodell

  • usm— SNMPv3-Sicherheitsmodell

  • v1– SNMPV1-Sicherheitsmodell

  • v2c— SNMPv2c-Sicherheitsmodell

Konfiguration der Sicherheitsebene

Um die Zugriffsrechte zu konfigurieren, die Paketen mit einer bestimmten Sicherheitsstufe gewährt werden, fügen Sie die security-level Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] ein:

  • none— Bietet keine Authentifizierung und keine Verschlüsselung.

  • authentication— Bietet Authentifizierung, aber keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

    Anmerkung:

    Zugriffsrechte werden allen Paketen mit einer Sicherheitsstufe gewährt, die der konfigurierten entspricht oder größer ist. Wenn Sie das Sicherheitsmodell SNMPv1 oder SNMPv2c konfigurieren, verwenden Sie none als Sicherheitsstufe. Wenn Sie das SNMPv3-Sicherheitsmodell (USM) konfigurieren, verwenden Sie die authentication, noneoder privacy Sicherheitsstufe.

Zuordnen von MIB-Ansichten zu einer SNMP-Benutzergruppe

MIB-Ansichten definieren Zugriffsrechte für Mitglieder einer Gruppe. Für jeden SNMP-Vorgang können separate Ansichten (Lesen, Schreiben und Benachrichtigen) innerhalb jedes Sicherheitsmodells (usm, v1 und v2c) und jeder von SNMP unterstützten Sicherheitsebene (Authentifizierung, keine und Datenschutz) angewendet werden.

Um MIB-Ansichten einer SNMP-Benutzergruppe zuzuordnen, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein:

Anmerkung:

Sie müssen mindestens eine Ansicht (benachrichtigen, lesen oder schreiben) auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] zuordnen.

Sie müssen die MIB-Ansicht auf Hierarchieebene [edit snmp view view-name] konfigurieren. Informationen zur Konfiguration von MIB-Ansichten finden Sie unter Konfigurieren von MIB-Ansichten.

In diesem Abschnitt werden die folgenden Themen in Bezug auf diese Konfiguration beschrieben:

Konfigurieren der Notify View

Um den Zugriff mit einer SNMP-Benutzergruppe zu verknüpfen, fügen Sie die notify-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein:

view-name gibt den Benachrichtigungszugriff an, bei dem es sich um eine Liste von Benachrichtigungen handelt, die an jeden Benutzer in einer SNMP-Gruppe gesendet werden können. Ein Ansichtsname darf 32 Zeichen nicht überschreiten.

Konfigurieren der Leseansicht

Um eine Leseansicht einer SNMP-Gruppe zuzuordnen, fügen Sie die read-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein:

view-name gibt den Lesezugriff für eine SNMP-Benutzergruppe an. Ein Ansichtsname darf 32 Zeichen nicht überschreiten.

Konfigurieren der Schreibansicht

Um eine Schreibansicht einer SNMP-Benutzergruppe zuzuordnen, fügen Sie die write-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein:

view-name gibt den Schreibzugriff für eine SNMP-Benutzergruppe an. Ein Ansichtsname darf 32 Zeichen nicht überschreiten.

Beispiel: Konfigurieren der einer Gruppe gewährten Zugriffsrechte

Zugriffsrechte definieren:

Zuweisen des Sicherheitsmodells und des Sicherheitsnamens zu einer Gruppe

Um Gruppen Sicherheitsnamen zuzuweisen, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 vacm security-to-group] ein:

Dieses Thema umfasst die folgenden Abschnitte:

Konfiguration des Sicherheitsmodells

Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf Hierarchieebene [edit snmp v3 vacm security-to-group] ein:

  • usm— SNMPv3-Sicherheitsmodell

  • v1— SNMPv1-Sicherheitsmodell

  • v2c— SNMPv2-Sicherheitsmodell

Gruppen Sicherheitsnamen zuweisen

Um einem SNMPv3-Benutzer oder einer v1- oder v2-Community-Zeichenfolge einen Sicherheitsnamen zuzuordnen, fügen Sie die security-name Anweisung auf der [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] Hierarchieebene ein:

Bei SNMPv3 ist der security-name Benutzername auf Hierarchieebene [edit snmp v3 usm local-engine user username] konfiguriert. Für SNMPv1 und SNMPv2c ist der Sicherheitsname die Community-Zeichenfolge, die auf Hierarchieebene [edit snmp v3 snmp-community community-index] konfiguriert wurde. Informationen zur Konfiguration von Benutzernamen finden Sie unter Erstellen von SNMPv3-Benutzern. Informationen zur Konfiguration einer Community-Zeichenfolge finden Sie unter Konfigurieren der SNMPv3 Community.

Anmerkung:

Der USM-Sicherheitsname ist vom Sicherheitsnamen SNMPv1 und SNMPv2c getrennt. Wenn Sie neben SNMPv3 auch SNMPv1 und SNMPv2c unterstützen, müssen Sie innerhalb der Security-to-Group-Konfiguration auf [edit snmp v3 vacm access] Hierarchieebene separate Sicherheitsnamen konfigurieren.

Konfiguration der Gruppe

Nachdem Sie SNMPv3-Benutzer oder v1- oder v2-Sicherheitsnamen erstellt haben, weisen Sie diese einer Gruppe zu. Eine Gruppe ist eine Gruppe von Sicherheitsnamen, die zu einem bestimmten Sicherheitsmodell gehören. Eine Gruppe definiert die Zugriffsrechte für alle Benutzer, die dazu gehören. Zugriffsrechte definieren, welche SNMP-Objekte gelesen, geschrieben oder erstellt werden können. Eine Gruppe definiert auch, welche Benachrichtigungen ein Benutzer empfangen darf.

Wenn Sie bereits über eine Gruppe verfügen, die mit allen Ansichts- und Zugriffsrechten konfiguriert ist, die Sie einem Benutzer erteilen möchten, können Sie den Benutzer dieser Gruppe hinzufügen. Wenn Sie eine Benutzeransicht und Zugriffsberechtigungen gewähren möchten, die keine anderen Gruppen haben, oder wenn keine Gruppen konfiguriert sind, erstellen Sie eine Gruppe, und fügen Sie den Benutzer hinzu.

Um die einer Gruppe gewährten Zugriffsrechte zu konfigurieren, fügen Sie die group Anweisung auf Hierarchieebene [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] ein:

group-name identifiziert eine Sammlung von SNMP-Sicherheitsnamen, die dieselbe Zugriffsrichtlinie verwenden. Weitere Informationen zu Gruppen finden Sie unter Definieren von Zugriffsrechten für eine SNMP-Gruppe.

Beispiel: Konfiguration von Sicherheitsgruppen

Gruppen Sicherheitsnamen zuweisen:

Konfigurieren von SNMPv3-Traps auf einem Gerät, auf dem Junos OS ausgeführt wird

In SNMPv3 erstellen Sie Traps und informieren durch Konfigurieren von notify, target-addressund target-parameters Parametern. Traps sind unbestätigte Benachrichtigungen, während Informs bestätigte Benachrichtigungen sind. In diesem Abschnitt wird die Konfiguration von SNMP-Traps beschrieben. Informationen zur Konfiguration von SNMP-Informationen finden Sie unter Konfigurieren von SNMP-Informationen.

Die Zieladresse definiert die Adresse einer Verwaltungsanwendung und die Parameter, die beim Senden von Benachrichtigungen verwendet werden sollen. Zielparameter definieren die Nachrichtenverarbeitungs- und Sicherheitsparameter, die zum Senden von Benachrichtigungen an ein bestimmtes Managementziel verwendet werden. Mit SNMPv3 können Sie auch SNMPv1- und SNMPv2c-Traps definieren.

Anmerkung:

Stellen Sie beim Konfigurieren von SNMP-Traps sicher, dass die konfigurierten Zugriffsrechte es ermöglichen, die Traps zu senden. Die Zugriffsrechte werden auf den [edit snmp v3 vacm access] Undhierarchieebenen [edit snmp v3 vacm security-to-group] konfiguriert.

Zum Konfigurieren von SNMP-Traps fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3] ein:

Konfigurieren der SNMPv3-Trap-Benachrichtigung

Die notify Anweisung gibt den Typ der Benachrichtigung (Trap) an und enthält ein einzelnes Tag. Das Tag definiert eine Gruppe von Zieladressen, um eine Trap zu erhalten. Die Tag-Liste enthält mindestens ein Tags und ist auf Hierarchieebene [edit snmp v3 target-address target-address-name] konfiguriert. Wenn die Tag-Liste dieses Tag enthält, sendet Junos OS eine Benachrichtigung an alle Zieladressen, die diesem Tag zugeordnet sind.

Um die Trap-Benachrichtigungen zu konfigurieren, fügen Sie die notify Anweisung auf Hierarchieebene [edit snmp v3] ein:

name ist der der Benachrichtigung zugewiesene Name.

tag-name definiert die Zieladressen, an die diese Benachrichtigung gesendet wird. Diese Benachrichtigung wird an alle Zieladressen gesendet, die dieses Tag in ihrer Tag-Liste haben. Die tag-name Ist in der Benachrichtigung nicht enthalten.

trap ist die Art der Benachrichtigung.

Anmerkung:

Jeder Name des Anmeldeeintrags muss eindeutig sein.

Junos OS unterstützt zwei Arten von Benachrichtigungen: trap und inform.

Informationen zur Konfiguration der Tag-Liste finden Sie unter Konfigurieren der Trap-Zieladresse.

Beispiel: Konfigurieren der SNMPv3-Trap-Benachrichtigung

Geben Sie drei Ziele an, um Traps zu senden:

Konfigurieren des Trap-Benachrichtigungsfilters

SNMPv3 verwendet den Notify-Filter, um festzulegen, welche Traps (oder welche Objekte von welchen Traps) an das Network Management System (NMS) gesendet werden. Der Filter für Trap-Benachrichtigungen begrenzt die Art der Traps, die an das NMS gesendet werden.

Jeder Objektbezeichner repräsentiert einen Teilbaum der MIB-Objekthierarchie. Das Subtree kann entweder durch eine Sequenz gestrichelter Ganzzahl (z. B. 1.3.6.1.2.1.2) oder durch seinen Subtreenamen (z interfaces. B. ) dargestellt werden. Sie können auch das Platzhalterzeichensternchen (*) im Objektbezeichner (OID) verwenden, um Objektkennungen anzugeben, die einem bestimmten Muster entsprechen.

Um den Filter für Trap-Benachrichtigungen zu konfigurieren, fügen Sie die notify-filter Anweisung auf Hierarchieebene [edit snmp v3] ein:

profile-name ist der Dem Benachrichtigen-Filter zugewiesene Name.

Standardmäßig ist die OID auf include. Um den Zugriff auf Traps (oder Objekte aus Traps) zu definieren, fügen Sie die oid Anweisung auf Hierarchieebene [edit snmp v3 notify-filter profile-name] ein:

oid ist die Objektkennung. Alle MIB-Objekte, die durch diese Anweisung dargestellt werden, haben die angegebene OID als Präfix. Sie kann entweder durch eine Sequenz gestrichelter Ganzzahl oder durch einen Subtree-Namen angegeben werden.

  • include— Geben Sie das Subtree der MIB-Objekte an, die von der angegebenen OID dargestellt werden.

  • exclude— Schließen Sie das Subtree von MIB-Objekten aus, die von der angegebenen OID dargestellt werden.

Konfigurieren der Trap-Zieladresse

Die Zieladresse definiert die Adresse einer Verwaltungsanwendung und die Parameter, die beim Senden von Benachrichtigungen verwendet werden. Es kann auch Verwaltungsstationen identifizieren, die bestimmte Community-Zeichenfolgen verwenden dürfen. Wenn Sie ein Paket mit einer erkannten Community-Zeichenfolge erhalten und ein Tag damit verknüpft ist, prüft Junos OS alle Zieladressen mit diesem Tag und überprüft, ob die Quelladresse dieses Pakets mit einer der konfigurierten Zieladressen übereinstimmt.

Anmerkung:

Sie müssen die Adressmaske konfigurieren, wenn Sie die SNMP-Community konfigurieren.

Um festzulegen, wo die Traps gesendet werden sollen, und festzulegen, welche SNMPv1- und SNMPv2cc-Pakete zulässig sind, fügen Sie die target-address Anweisung auf Hierarchieebene [edit snmp v3] ein:

target-address-name ist die Zeichenfolge, die die Zieladresse identifiziert.

Um die Eigenschaften der Zieladresse zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

Im Gegensatz zu SNMP v2 gibt es in SNMPv3 keine Konfigurationsoption zur Begrenzung der eingehenden Abfrage. Sie können jedoch einen Lo0-Filter konfigurieren, um die eingehende Abfrage zu begrenzen, indem Sie eine Regel erstellen, die SNMP von Ihren IPs des Überwachungssystems zulässt. Zum Beispiel:

Konfigurieren der Adresse

Um die Adresse zu konfigurieren, fügen Sie die address Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

address ist die SNMP-Zieladresse.

Konfigurieren der Adressmaske

Die Adressmaske gibt eine Gruppe von Adressen an, die eine Community-Zeichenfolge verwenden dürfen, und überprüft die Quelladressen für eine Gruppe von Zieladressen.

Um die Adressmaske zu konfigurieren, fügen Sie die address-mask Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

address-mask in Verbindung mit der Adresse definiert eine Reihe von Adressen. Informationen zur Konfiguration der Community-Zeichenfolge finden Sie unter Konfigurieren der SNMPv3 Community.

Portkonfiguration

Standardmäßig ist der UDP-Port auf 162 festgelegt. Um eine andere Portnummer zu konfigurieren, fügen Sie die port Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

port-number ist die SNMP-Zielportnummer.

Konfigurieren der Routing-Instanz

Traps werden über die Standardroutinginstanz gesendet. Um die Routing-Instanz für Senden-Traps zu konfigurieren, fügen Sie die routing-instance Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

instance ist der Name der Routing-Instanz. Um eine Routing-Instanz in einem logischen System zu konfigurieren, geben Sie den Logischen Systemnamen gefolgt vom Namen der Routing-Instanz an. Verwenden Sie einen Slash ( / ), um die beiden Namen zu trennen (z. B test-lr/test-ri. ). Um die Standardroutinginstanz in einem logischen System zu konfigurieren, geben Sie den Namen des logischen Systems an, test-lr/defaultgefolgt von default (z. B. ).

Konfigurieren der Trap-Zieladresse

Jede target-address Anweisung kann in ihrer Tag-Liste einen oder mehrere Tags konfigurieren lassen. Jedes Tag kann in mehr als einer Tag-Liste angezeigt werden. Wenn ein bedeutendes Ereignis auf dem Netzwerkgerät auftritt, identifiziert die Tag-Liste die Ziele, an die eine Benachrichtigung gesendet wird.

Um die Tag-Liste zu konfigurieren, fügen Sie die tag-list Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] hinzu:

tag-list gibt einen oder mehrere Tags als platzsparende Liste an, die in doppelten Anführungszeichen eingeschlossen ist.

Ein Beispiel für die Taglistenkonfiguration finden Sie unter Beispiel: Konfigurieren der Tag-Liste.

Informationen zur Angabe eines Tags auf Hierarchieebene [edit snmp v3 notify notify-name] finden Sie unter Konfigurieren der SNMPv3-Trap-Benachrichtigung.

Anmerkung:

Stellen Sie beim Konfigurieren von SNMP-Traps sicher, dass die konfigurierten Zugriffsrechte es ermöglichen, die Traps zu senden. Konfigurieren Sie Zugriffsrechte auf Hierarchieebene [edit snmp v3 vacm access] .

Anwenden von Zielparametern

Die target-parameters Anweisung auf Hierarchieebene [edit snmp v3] wendet die auf der [edit snmp v3 target-parameters target-parameters-name] Hierarchieebene konfigurierten Zielparameter an.

Um auf konfigurierte Zielparameter zu verweisen, fügen Sie die target-parameters Anweisung auf Hierarchieebene [edit snmp v3 target-address target-address-name] ein:

target-parameters-name ist der Name der Nachrichtenverarbeitungs- und Sicherheitsparameter, die zum Senden von Benachrichtigungen an ein bestimmtes Managementziel verwendet werden.

Beispiel: Konfigurieren der Tag-Liste

Im folgenden Beispiel werden zwei Tag-Einträge (router1 und router2) auf der [edit snmp v3 notify notify-name] Hierarchieebene definiert. Wenn ein Ereignis eine Benachrichtigung auslöst, sendet Junos OS eine Trap an alle Zieladressen, die in ihrer Zieladressen-Tag-Liste enthalten oder router2 konfiguriert sindrouter1. Dies führt dazu, dass die ersten beiden Ziele jeweils eine Falle und das dritte Ziel zwei Fallen bekommen.

Definieren und Konfigurieren der Trap-Zielparameter

Zielparameter definieren die Nachrichtenverarbeitungs- und Sicherheitsparameter, die zum Senden von Benachrichtigungen an ein bestimmtes Managementziel verwendet werden.

Um eine Gruppe von Zielparametern zu definieren, fügen Sie die target-parameters Anweisung auf Hierarchieebene [edit snmp v3] ein:

target-parameters-name ist der den Zielparametern zugewiesene Name.

Um die Eigenschaften von Zielparametern zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 target-parameters target-parameter-name] ein:

Anmerkung:

Wenn Sie SNMP-Trap-Benachrichtigungen für sichere Anwenderrichtlinien auf Routern der MX-Serie konfigurieren, müssen Sie die Parameter wie folgt konfigurieren:

  • Nachrichtenverarbeitungsmodell: v3

  • Sicherheitsstufe: privacy

  • Sicherheitsmodell: usm

Weitere Informationen zur Konfiguration sicherer Anwenderrichtlinien finden Sie unter Anwenderübersicht über sichere Richtlinien.

Dieses Thema umfasst die folgenden Abschnitte:

Anwenden des Trap-Benachrichtigungsfilters

Um den Trap-Benachrichtigungsfilter anzuwenden, fügen Sie die notify-filter Anweisung auf Hierarchieebene [edit snmp v3 target-parameters target-parameter-name] ein:

profile-name ist der Name eines konfigurierten Benachrichtigen-Filters. Informationen zur Konfiguration von Benachrichtigungsfiltern finden Sie unter Konfigurieren des Trap-Benachrichtigungsfilters.

Konfigurieren der Zielparameter

Um die Eigenschaften von Zielparametern zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 target-parameters target-parameter-name parameters] ein:

Dieser Abschnitt enthält die folgenden Themen:

Konfigurieren des Nachrichtenverarbeitungsmodells

Das Nachrichtenverarbeitungsmodell definiert, welche SNMP-Version beim Generieren von SNMP-Benachrichtigungen verwendet werden soll. Um das Nachrichtenverarbeitungsmodell zu konfigurieren, fügen Sie die message-processing-model Anweisung auf Hierarchieebene [edit snmp v3 target-parameters target-parameter-name parameters] ein:

  • v1— SNMPv1-Nachrichtenverarbeitungsmodell

  • v2c— SNMPv2c-Nachrichtenverarbeitungsmodell

  • v3– SNMPV3-Nachrichtenverarbeitungsmodell

Anmerkung:

Das v3 Modell für die Nachrichtenverarbeitung ist für die sichere Anwenderrichtlinie auf Routern der MX-Serie erforderlich. Weitere Informationen finden Sie unter Anwenderübersicht über sichere Richtlinien .

Konfiguration des Sicherheitsmodells

Um das Sicherheitsmodell zu definieren, das beim Generieren von SNMP-Benachrichtigungen verwendet werden soll, fügen Sie die security-model Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene ein:

  • usm— SNMPv3-Sicherheitsmodell

  • v1— SNMPv1-Sicherheitsmodell

  • v2c— SNMPv2c-Sicherheitsmodell

Anmerkung:

Das usm Sicherheitsmodell ist für die sichere Anwenderrichtlinie auf Routern der MX-Serie erforderlich. Weitere Informationen finden Sie unter Anwenderübersicht über sichere Richtlinien .

Konfiguration der Sicherheitsebene

Die security-level Anweisung gibt an, ob die Trap authentifiziert und verschlüsselt ist, bevor sie gesendet wird.

Zum Konfigurieren der Sicherheitsebene, die beim Generieren von SNMP-Benachrichtigungen verwendet wird, fügen Sie die security-level Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene ein:

  • authentication— Bietet Authentifizierung, aber keine Verschlüsselung.

  • none— Keine Sicherheit. Bietet keine Authentifizierung und keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

    Anmerkung:

    Wenn Sie das Sicherheitsmodell SNMPv1 oder SNMPV2c konfigurieren, verwenden Sie none als Sicherheitsstufe. Wenn Sie das SNMPv3 (USM)-Sicherheitsmodell konfigurieren, verwenden Sie die authentication Sicherheitsstufe bzw privacy . Sicherheitsstufe.

    Die privacy Sicherheitsstufe ist für sichere Anwenderrichtlinien auf Routern der MX-Serie erforderlich. Weitere Informationen finden Sie unter Anwenderübersicht über sichere Richtlinien .

Konfigurieren des Sicherheitsnamens

Um den beim Generieren von SNMP-Benachrichtigungen verwendeten Sicherheitsnamen zu konfigurieren, fügen Sie die security-name Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene ein:

Wenn das USM-Sicherheitsmodell verwendet wird, identifiziert der security-name Benutzer, der verwendet wird, wenn die Benachrichtigung generiert wird. Wenn die v1- oder v2c-Sicherheitsmodelle verwendet werden, identifiziert die SNMP-Community, security-name die beim Generieren der Benachrichtigung verwendet wird.

Anmerkung:

Die Zugriffsrechte für die Gruppe, die mit einem Sicherheitsnamen verknüpft ist, müssen das Senden dieser Benachrichtigung ermöglichen.

Wenn Sie die Sicherheitsmodelle v1 oder v2 verwenden, muss der Sicherheitsname auf [edit snmp v3 vacm security-to-group] Hierarchieebene dem Sicherheitsnamen auf Hierarchieebene [edit snmp v3 snmp-community community-index] entsprechen.

Konfigurieren von SNMP Informs

Junos OS unterstützt zwei Arten von Benachrichtigungen: fallen und informieren. Bei Traps sendet der Empfänger keine Bestätigung, wenn er eine Falle empfängt. Daher kann der Sender nicht bestimmen, ob die Falle empfangen wurde. Eine Falle kann verloren gehen, weil während der Übertragung ein Problem aufgetreten ist. Um die Zuverlässigkeit zu erhöhen, ist ein Inform ähnlich wie eine Falle, außer dass die Information in regelmäßigen Abständen gespeichert und erneut übertragen wird, bis eine dieser Bedingungen auftritt:

  • Der Empfänger (Ziel) der Information gibt eine Bestätigung an den SNMP-Agent zurück.

  • Es wurde eine bestimmte Anzahl erfolgloser Retransmissionen versucht, und der Agent verwirft die Inform-Nachricht.

Wenn der Absender niemals eine Antwort erhält, kann die Information erneut gesendet werden. Informanten erreichen also mit höherer Wahrscheinlichkeit ihr beabsichtigtes Ziel als Fallen. Informs verwenden den gleichen Kommunikationskanal wie Traps (gleiche Steckplatz und Port), verfügen jedoch über unterschiedliche Protokolldateneinheiten (PDU).

Informs sind zuverlässiger als Fallen, aber sie verbrauchen mehr Netzwerk-, Router- und Switch-Ressourcen (siehe Abbildung 1). Im Gegensatz zu einer Falle wird eine Information im Arbeitsspeicher gespeichert, bis eine Antwort empfangen oder das Timeout erreicht ist. Außerdem werden Fallen nur ein einziges Mal gesendet, während eine Information mehrmals wiederholt werden kann. Verwenden Sie Informationen, wenn es wichtig ist, dass der SNMP-Manager alle Benachrichtigungen empfängt. Wenn Sie sich jedoch mehr Sorgen um den Netzwerkverkehr oder Router- und Switch-Speicher machen, verwenden Sie Traps.

Abbildung 1: Anfrage und Antwort informierenAnfrage und Antwort informieren

Konfigurieren des Inform-Benachrichtigungstyps und der Zieladresse

Um den Inform-Benachrichtigungstyp und die Zielinformationen zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3] ein:

notify name ist der der Benachrichtigung zugewiesene Name. Jeder Name des Anmeldeeintrags muss eindeutig sein.

tag tag-name definiert die Zieladressen, die an diese Benachrichtigung gesendet werden. Die Benachrichtigung wird an alle Zieladressen gesendet, die dieses Tag in ihrer Tag-Liste haben. Die tag-name Ist in der Benachrichtigung nicht enthalten. Informationen zur Konfiguration der Tag-Liste finden Sie unter Konfigurieren der Trap-Zieladresse.

type inform ist die Art der Benachrichtigung.

target-address target-address-name identifiziert die Zieladresse. Die Zieladresse definiert die Adresse einer Verwaltungsanwendung und die Parameter, die zur Reaktion auf Informationen verwendet werden.

timeout seconds die Anzahl der Sekunden, die auf eine Bestätigung warten. Wird innerhalb des Timeout-Zeitraums keine Bestätigung erhalten, wird die Information erneut übertragen. Die Standardzeitüberschreitung beträgt 15 Sekunden.

retry-count number ist die maximale Anzahl der Übertragungen einer Information, wenn keine Bestätigung empfangen wird. Standard ist 3. Wenn nach der Übermittlung der Information keine Bestätigung empfangen wird, wird die Informationsnachricht verworfen.

message-processing-model definiert, welche SNMP-Version verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Informs erfordern ein v3 Nachrichtenverarbeitungsmodell.

security-model definiert das Sicherheitsmodell, das verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Informs erfordern ein usm Sicherheitsmodell.

security-model definiert das Sicherheitsmodell, das verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Informs erfordern ein usm Sicherheitsmodell.

security-level gibt an, ob die Information authentifiziert und verschlüsselt ist, bevor sie gesendet wird. Für das usm Sicherheitsmodell muss die Sicherheitsstufe eine der folgenden Sein:

  • authentication— Bietet Authentifizierung, aber keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

security-name identifiziert den Benutzernamen, der beim Generieren der Information verwendet wird.

Beispiel: Konfigurieren des Inform-Benachrichtigungstyps und der Zieladresse

Im folgenden Beispiel wird Ziel 172.17.20.184 so konfiguriert, dass informs reagiert. Das Inform-Timeout beträgt 30 Sekunden und die maximale Retransmit-Zahl 3. Die Information wird an alle Ziele in der TL1-Liste gesendet. Das Sicherheitsmodell für den Remotebenutzer ist USM und der Remote-Engine-Benutzername u10.

Konfigurieren der Remote-Engine und des Remotebenutzers

Um Inform-Nachrichten an einen SNMPv3-Benutzer auf einem Remotegerät zu senden, müssen Sie zunächst den Engine-Identifikator für den SNMP-Agenten auf dem Remotegerät angeben, auf dem sich der Benutzer befindet. Die Remote-Engine-ID wird zur Berechnung des Sicherheits-Digests für die Authentifizierung und Verschlüsselung von Paketen verwendet, die an einen Benutzer auf dem Remote-Host gesendet werden. Beim Senden einer Inform-Nachricht verwendet der Agent die Anmeldeinformationen des auf der Remote-Engine konfigurierten Benutzers (inform target).

Um eine Remote-Engine und einen Remotebenutzer so zu konfigurieren, dass sie SNMP-Informationen empfangen und darauf reagieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3] ein:

Informs remote-engine engine-id ist die Kennung für den SNMP-Agenten auf dem Remotegerät, auf dem sich der Benutzer befindet.

Für Informs user username ist der Benutzer auf einer Remote-SNMP-Engine, der die Informationen empfängt.

Generierte Informationen können abhängig von der Sicherheitsstufe des auf der Remote-Engine konfigurierten SNMPv3-Benutzers (inform receiver) seinunauthenticatedauthenticatedauthenticated_and_encrypted. Der Authentifizierungsschlüssel wird zum Generieren von Nachrichtenauthentifizierungscode (MAC) verwendet. Der Datenschutzschlüssel wird verwendet, um den inform PDU-Teil der Nachricht zu verschlüsseln.

Beispiel: Konfigurieren der Remote-Engine-ID und des Remotebenutzers

Dieses Beispiel zeigt, wie Sie eine Remote-Engine und einen Remotebenutzer so konfigurieren, dass Sie SNMP-Inform-Benachrichtigungen empfangen und darauf reagieren können. Inform-Benachrichtigungen können authentifiziert und verschlüsselt werden. Sie sind auch zuverlässiger als Traps, eine andere Art von Benachrichtigung, die Junos OS unterstützt. Im Gegensatz zu Traps werden Inform-Benachrichtigungen in regelmäßigen Abständen gespeichert und erneut übertragen, bis eine dieser Bedingungen auftritt:

  • Das Ziel der Inform-Benachrichtigung gibt eine Bestätigung an den SNMP-Agent zurück.

  • Es wurde eine bestimmte Anzahl erfolgloser Rückübertragungen versucht.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.

Diese Funktion erfordert die Verwendung von Klartext-Kennwörtern, die für SNMPv3 gültig sind. Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 folgende besondere Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, aber keine Steuerzeichen.

Anführungszeichen sind zwar nicht immer erforderlich, um Passwörter beizulegen, es ist jedoch am besten, sie zu verwenden. Sie benötigen Anführungszeichen, wenn das Kennwort Leerzeichen enthält oder möglicherweise bei bestimmten Sonderzeichen oder Interpunktion.

Überblick

Inform-Benachrichtigungen werden in SNMPv3 unterstützt, um die Zuverlässigkeit zu erhöhen. Beispielsweise erkennt ein SNMP-Agent, der eine Inform-Benachrichtigung empfängt, den Empfang.

Für Inform-Benachrichtigungen identifiziert die Remote-Engine-ID den SNMP-Agent auf dem Remotegerät, auf dem sich der Benutzer befindet, und der Benutzername identifiziert den Benutzer auf einer Remote-SNMP-Engine, der die Inform-Benachrichtigungen empfängt.

Stellen Sie sich in diesem Beispiel ein Szenario vor, in Tabelle 1 dem Sie die Werte haben, die bei der Konfiguration der Remote-Engine-ID und des Remotebenutzers verwendet werden sollen.

Tabelle 1: Zu verwendene Werte in Beispiel

Name der Variable

Wert

Nutzername

u10

Remote-Engine-ID

800007E5804089071BC6D10A41

Authentifizierungstyp

authentication-md5

Authentifizierungskennwort

qol67R%?

Verschlüsselungstyp

privacy-des

Datenschutzkennwort

m*72Jl9v

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche und ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie diese Befehle auf Hierarchieebene in die [edit snmp v3] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Konfigurieren der Remote-Engine und des Remotebenutzers

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie zu verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS.

So konfigurieren Sie die Remote-Engine-ID und den Remotebenutzer:

  1. Konfigurieren Sie die Remote-Engine-ID, den Benutzernamen sowie den Authentifizierungstyp und das Kennwort.

  2. Konfigurieren Sie den Verschlüsselungstyp und das Datenschutzkennwort.

    Sie können pro SNMPv3-Benutzer nur einen Verschlüsselungstyp konfigurieren.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nachdem Sie bestätigt haben, dass die Konfiguration korrekt ist, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Überprüfen der Konfiguration der Remote-Engine-ID und des Benutzernamens

Zweck

Überprüfen Sie den Status der Engine-ID und der Benutzerinformationen.

Aktion

Zeigen Sie Informationen über die SNMPv3-Engine-ID und den Benutzer an.

Bedeutung

Die Ausgabe zeigt die folgenden Informationen an:

  • Lokale Engine-ID und Details zum Modul

  • Remote-Engine-ID (gekennzeichnet Engine ID)

  • Nutzername

  • Authentifizierungstyp und Verschlüsselungstyp (Datenschutz), der für den Benutzer konfiguriert ist

  • Art des Speichers für den Benutzernamen, entweder nicht flüchtig (Konfiguration gespeichert) oder flüchtig (nicht gespeichert)

  • Status des neuen Benutzers; nur Benutzer mit einem aktiven Status können SNMPv3 verwenden

Konfigurieren der lokalen Engine-ID

Standardmäßig verwendet die lokale Engine-ID die Standard-IP-Adresse des Routers. Die lokale Engine-ID ist die administrativ eindeutige Kennung für die SNMPv3-Engine. Diese Erklärung ist optional. Um die lokale Engine-ID zu konfigurieren, fügen Sie die engine-id Anweisung auf Hierarchieebene [edit snmp] ein:

  • local engine-id-suffix— Das Suffix der Engine-ID ist explizit konfiguriert.

  • use-default-ip-address— Das Engine-ID-Suffix wird aus der Standard-IP-Adresse generiert.

  • use-mac-address— Die SNMP-Engine-Kennung wird von der MAC-Adresse (Media Access Control) der Verwaltungsschnittstelle auf dem Router generiert.

Anmerkung:

Wenn Sie SNMPv3 verwenden und die Engine-ID auf der MAC-Adresse basiert und Sie von einer früheren Version auf eine dieser Versionen (14.1X53-D50) aktualisieren, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), Sie müssen SNMPv3 neu konfigurieren, da die Engine-ID durch das Upgrade geändert wird. Wenn Sie SNMPv3 nicht neu konfigurieren, sehen Sie Authentifizierungsfehler beim Abfragen von SNMPv3, da die Engine-ID nach dem Upgrade geändert wird. Sie müssen SNMPv3 nur beim ersten solchen Upgrade neu konfigurieren. Wenn Sie dann ein Upgrade von einer der genannten Versionen auf eine andere dieser Versionen durchführen, müssen Sie SNMPv3 nicht erneut aktualisieren.

Um SNMPv3 neu zu konfigurieren, verwenden Sie das folgende Verfahren. Verwenden Sie den rollback 1 Befehl nicht.

So konfigurieren Sie SNMPv3 neu:

  1. Überprüfen Sie, was die SNMPv3-Konfiguration ist.
  2. Löschen Sie die SNMPv3-Konfiguration.
  3. SNMPv3-Konfiguration neu konfigurieren (siehe Ouput aus Schritt 1).

Die lokale Engine-ID wird als administrativ eindeutige Kennung einer SNMPv3-Engine definiert und zur Identifizierung und nicht zur Adressierung verwendet. Es gibt zwei Teile einer Engine-ID: Prefix und Suffix. Das Präfix wird gemäß den in RFC 3411, An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks definierten Spezifikationen formatiert. Sie können das Suffix hier konfigurieren.

Anmerkung:

SNMPv3-Authentifizierung und Verschlüsselungsschlüssel werden basierend auf den zugehörigen Kennwörtern und der Engine-ID generiert. Wenn Sie die Engine-ID konfigurieren oder ändern, müssen Sie die neue Engine-ID bestätigen, bevor Sie SNMPv3-Benutzer konfigurieren. Andernfalls basieren die aus den konfigurierten Kennwörtern generierten Schlüssel auf der vorherigen Engine-ID. Für die Engine-ID empfehlen wir die Verwendung der primären IP-Adresse des Geräts, wenn das Gerät über mehrere Routing-Engines verfügt und die primäre IP-Adresse konfiguriert ist. Alternativ können Sie die MAC-Adresse des Verwaltungsports verwenden, wenn das Gerät nur über eine Routing-Engine verfügt.

Konfigurieren der SNMPv3 Community

Die SNMP-Community definiert die Beziehung zwischen einem SNMP-Serversystem und den Clientsystemen. Diese Erklärung ist optional.

Um die SNMP-Community zu konfigurieren, fügen Sie die snmp-community Anweisung auf Hierarchieebene [edit snmp v3] ein:

community-index ist der Index für die SNMP-Community.

Um die Eigenschaften der SNMP-Community zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:

Dieser Abschnitt enthält die folgenden Themen:

Community-Name konfigurieren

Der Community-Name definiert die SNMP-Community. Die SNMP-Community autorisiert SNMPv1- oder SNMPv2c-Clients. Die mit dem konfigurierten Sicherheitsnamen verbundenen Zugriffsrechte definieren, welche MIB-Objekte verfügbar sind und welche Vorgänge (Lesen, Schreiben oder Benachrichtigen) für diese Objekte zulässig sind.

Um den Namen der SNMP-Community zu konfigurieren, fügen Sie die community-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:

community-name ist die Community-Zeichenfolge für eine SNMPv1- oder SNMPv2c-Community.

Wenn sie nicht konfiguriert ist, ist sie identisch mit dem Community-Index.

Wenn der Gemeinschaftsname Leerzeichen enthält, umschließen Sie ihn in Anführungszeichen ("").

Anmerkung:

Gemeinschaftsnamen müssen eindeutig sein. Sie können nicht den gleichen Community-Namen auf den [edit snmp community] Hierarchieebenen konfigurieren [edit snmp v3 snmp-community community-index] . Der konfigurierte Community-Name auf Hierarchieebene [edit snmp v3 snmp-community community-index] ist verschlüsselt. Sie können den Community-Namen nicht anzeigen, nachdem Sie ihn konfiguriert und Ihre Änderungen vorgenommen haben. In der Befehlszeilenschnittstelle (CLI) wird der Community-Name verdeckt.

Kontextkonfiguration

Ein SNMP-Kontext definiert eine Sammlung von Verwaltungsinformationen, auf die eine SNMP-Entität zugreifen kann. Normalerweise hat eine SNMP-Entität Zugriff auf mehrere Kontexte. Ein Kontext kann ein physisches oder logisches System, eine Sammlung mehrerer Systeme oder sogar eine Teilmenge eines Systems sein. Jeder Kontext in einer Managementdomäne hat eine eindeutige Kennung.

Um einen SNMP-Kontext zu konfigurieren, fügen Sie die context context-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:

Anmerkung:

Wenn Sie eine Routinginstanz oder ein logisches System abfragen möchten,

Konfigurieren der Sicherheitsnamen

Um einem Sicherheitsnamen eine Community-Zeichenfolge zuzuweisen, fügen Sie die security-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:

security-name wird beim Einrichten der Zugriffssteuerung verwendet. Die security-to-group Konfiguration auf Hierarchieebene [edit snmp v3 vacm] identifiziert die Gruppe.

Anmerkung:

Dieser Sicherheitsname muss dem auf Hierarchieebene [edit snmp v3 target-parameters target-parameters-name parameters] konfigurierten Sicherheitsnamen entsprechen, wenn Sie Traps konfigurieren.

Tag-Konfiguration

Um das Tag zu konfigurieren, fügen Sie die tag Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] hinzu:

tag-name identifiziert die Adresse von Managern, die eine Community-Zeichenfolge verwenden dürfen.

Beispiel: Konfigurieren einer SNMPv3-Community

In diesem Beispiel wird die Konfiguration einer SNMPv3-Community veranschaulicht.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel wird veranschaulicht, wie eine SNMPv3-Community erstellt wird. Definieren Sie den Namen der SNMP-Community, geben Sie den Sicherheitsnamen an, um die Zugriffssteuerung durchzuführen, und definieren Sie den Tag-Namen, der die Adresse von Managern identifiziert, die eine Community-Zeichenfolge verwenden dürfen. Die Zieladresse definiert die Adresse einer Verwaltungsanwendung und die Parameter, die beim Senden von Benachrichtigungen verwendet werden.

Wenn das Gerät ein Paket mit einer erkannten Community-Zeichenfolge empfängt und ein Tag mit diesem Paket verknüpft ist, überprüft die Junos-Software alle Zieladressen mit diesem Tag und überprüft, ob die Quelladresse dieses Pakets mit einer der konfigurierten Zieladressen übereinstimmt.

Geben Sie an, wo die Traps gesendet werden sollen, und definieren Sie, welche SNMPv1- und SNMPv2c-Pakete zulässig sind. Geben Sie den Zieladressennamen an, der die Zieladresse identifiziert, definieren Sie die Zieladresse, den Maskenbereich der Adresse, die Portnummer, die Tag-Liste und den Zielparameter.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit snmp v3] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Cli-Benutzerhandbuch von Junos OS .

  1. Konfigurieren Sie den Snmp-Community-Namen.

    Anmerkung:

    Der Name der SNMP-Community muss eindeutig sein.

  2. Konfigurieren Sie den Sicherheitsnamen für die Zugriffskontrolle.

  3. Definieren Sie den Tag-Namen. Der Tag-Name gibt die Adresse von Managern an, die eine Community-Zeichenfolge verwenden dürfen.

  4. Konfigurieren Sie die SNMP-Zieladresse.

  5. Konfigurieren Sie den Maskenbereich der Adresse für die Community-String-Zugriffskontrolle.

  6. Konfigurieren Sie die SNMPv3-Zielportnummer.

  7. Konfigurieren Sie die SNMPv3-Tagliste, um die Zieladressen auszuwählen.

  8. Konfigurieren Sie den SNMPv3-Zielparameternamen in der Zielparametertabelle.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show snmp v3 Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel.

Überprüfung

Überprüfung der SNMPv3-Community

Zweck

Überprüfen Sie, ob die SNMPv3-Community aktiviert ist.

Aktion

Um die Konfiguration der SNMPv3 Community zu überprüfen, geben Sie den Befehl ein show snmp v3 community . Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Bedeutung

Die Ausgabe zeigt die Informationen zur SNMPv3-Community an, die im System aktiviert werden.