Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von SNMPv3

Minimale SNMPv3-Konfiguration auf einem Gerät, auf dem eine Junos OS

Um die Mindestanforderungen für SNMPv3 zu konfigurieren, fügen Sie die folgenden Anweisungen auf den [edit snmp v3] und auf den [edit snmp] Hierarchieebenen ein:

Anmerkung:

Sie müssen mindestens eine Ansicht (benachrichtigen, lesen oder schreiben) auf der [edit snmp view-name] Hierarchieebene konfigurieren.

Beispiel: SNMPv3-Konfiguration

Definieren einer SNMPv3-Konfiguration:

Erstellen von SNMPv3-Benutzern

Sie können für jeden SNMPv3-Benutzer Benutzername, Authentifizierungstyp, Authentifizierungskennwort, Datenschutztyp und Datenschutzkennwort angeben. Nachdem ein Benutzer ein Kennwort eingegeben hat, wird ein Schlüssel basierend auf der Engine-ID und dem Kennwort generiert und in die Konfigurationsdatei geschrieben. Nach der Schlüsselgenerierung wird das Kennwort aus dieser Konfigurationsdatei gelöscht.

Anmerkung:

Sie können für jeden SNMPv3-Benutzer nur einen Verschlüsselungstyp konfigurieren.

Um Benutzer zu erstellen, fügen Sie die user Anweisung auf der [edit snmp v3 usm local-engine] Hierarchieebene hinzu:

username ist der Name, der den SNMPv3-Benutzer identifiziert.

Um die Benutzerauthentifizierung und -verschlüsselung zu konfigurieren, müssen sie die folgenden Anweisungen auf der [edit snmp v3 usm local-engine user username] Hierarchieebene beinhalten:

Beispiel: Erstellen von SNMPv3-Benutzern

Definition von SNMPv3-Benutzern:

Konfigurieren des SNMPv3-Authentifizierungstyps

Standardmäßig wird in einer konfigurationsbasierten Junos OS SNMPv3-Authentifizierungstyp auf keine festgelegt.

Dieses Thema umfasst die folgenden Abschnitte:

Konfigurieren der MD5-Authentifizierung

Um den Md5-Message Digest-Algorithmus (MD5) als Authentifizierungstyp für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die Anweisung authentication-md5 auf der [edit snmp v3 usm local-engine user username] Hierarchieebene hinzu:

authentication-password ist das Kennwort zur Generierung des Authentifizierungsschlüssels.

Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 spezielle Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Konfiguration der SHA-Authentifizierung

Um den Secure Hash Algorithm (SHA) als Authentifizierungstyp für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die Anweisung authentication-sha auf der [edit snmp v3 usm local-engine user username] Hierarchieebene hinzu:

authentication-password ist das Kennwort zur Generierung des Authentifizierungsschlüssels.

Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 spezielle Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Keine Authentifizierung konfigurieren

Um keine Authentifizierung für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die authentication-none Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene hinzu:

Konfigurieren des SNMPv3-Verschlüsselungstyps

Standardmäßig ist die Verschlüsselung auf keine festgelegt.

Anmerkung:

Bevor Sie die Verschlüsselung konfigurieren, müssen Sie die MD5- oder SHA-Authentifizierung konfigurieren.

Bevor Sie das Paket und die Anweisungen konfigurieren, müssen Sie das Paket installieren und entweder den privacy-desprivacy-3des SNMP-Prozess neu starten oder privacy-aes128jcrypto den Router neu starten.

Dieses Thema umfasst die folgenden Abschnitte:

Konfigurieren des erweiterten Verschlüsselungsstandard-Algorithmus

Um den AES-Algorithmus (Advanced Encryption Standard) für einen SNMPv3-Benutzer zu konfigurieren, include privacy-aes128 die Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

privacy-password ist das Kennwort zur Generierung des Schlüssels zur Verschlüsselung.

Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 spezielle Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Konfigurieren des Datenverschlüsselungsalgorithmus

Um den Datenverschlüsselungsalgorithmus (DES) für einen SNMPv3-Benutzer zu konfigurieren, include privacy-des die Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene ein:

privacy-password ist das Kennwort zur Generierung des Schlüssels zur Verschlüsselung.

Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 spezielle Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Konfigurieren von Triple DES

Um Triple DES für einen SNMPv3-Benutzer zu konfigurieren, fügen Sie die privacy-3des Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene hinzu:

privacy-password ist das Kennwort zur Generierung des Schlüssels zur Verschlüsselung.

Bei der Erstellung von Klartext-Kennwörtern auf einem Router oder Switch hat SNMPv3 spezielle Anforderungen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Konfiguration ohne Verschlüsselung

Um für einen SNMPv3-Benutzer keine Verschlüsselung zu konfigurieren, fügen Sie die privacy-none Anweisung auf der [edit snmp v3 usm local-engine user username] Hierarchieebene hinzu:

Definieren von Zugriffsberechtigungen für eine SNMP-Gruppe

Die SNMP-Version 3 (SNMPv3) verwendet das ansichtsbasierte Zugriffssteuerungsmodell (VACM), das Ihnen die Konfiguration der einer Gruppe gewährten Zugriffsberechtigungen ermöglicht. Der Zugriff wird gesteuert, indem die MIB Objekte, die für einen bestimmten Betrieb verfügbar sind, über eine vordefinierte Ansicht gefiltert werden. Sie weisen Ansichten zu, um die Objekte zu bestimmen, die für Lese-, Schreib- und Benachrichtigungsvorgänge für eine bestimmte Gruppe sichtbar sind. Dabei werden ein bestimmter Kontext, ein bestimmtes Sicherheitsmodell (v1, v2c oder USM) und eine bestimmte Sicherheitsebene (authentifiziert, Datenschutz oder keine) verwendet. Informationen zum Konfigurieren von Ansichten finden Sie unter Konfigurieren MIB Anzeigen.

Sie definieren den Benutzerzugriff auf Verwaltungsinformationen auf [edit snmp v3 vacm] Hierarchieebene. Die Zugriffssteuerung innerhalb von VACM wird in Gruppen betrieben, bei denen es sich um Benutzersammlungen wie von USM definiert handelt, oder um Community-Zeichenfolgen, wie in den SNMPv1- und SNMPv2c-Sicherheitsmodellen definiert. Der Begriff security-name wird für diese allgemeinen Endbenutzer bezeichnet. Die Gruppe, zu der ein bestimmter Sicherheitsname gehört, wird auf der [edit snmp v3 vacm security-to-group] Hierarchieebene konfiguriert. Dieser Sicherheitsname kann einer auf der Hierarchieebene definierten [edit snmp v3 vacm security-to-group] Gruppe zugeordnet werden. Eine Gruppe identifiziert eine Gruppe von SNMP-Benutzern, die die gleiche Zugriffsrichtlinie gemeinsam haben. Definieren Sie dann die Zugriffsberechtigungen, die einer Gruppe auf der [edit snmp v3 vacm access] Hierarchieebene zugeordnet werden. Zugriffsberechtigungen werden mithilfe von Ansichten definiert. Für jede Gruppe können Sie je nach SNMP-Betrieb unterschiedliche Ansichten anwenden. So werden beispielsweise Benachrichtigungen, die verwendete Sicherheitsebene (Authentifizierung, Datenschutz oder keine) und das in einer SNMP-Anfrage verwendete Sicherheitsmodell getgetNextgetBulkset (v1, v2c oder USM) angezeigt.

Sie konfigurieren Elemente einer Gruppe mit der security-name Anweisung. Bei v3-Paketen mit USM ist der Sicherheitsname derselbe wie der Benutzername. Bei SNMPv1- oder SNMPv2c-Paketen wird der Sicherheitsname anhand der Community-Zeichenfolge ermittelt. Der Name eines Sicherheitsmodells ist spezifisch für ein Sicherheitsmodell. Wenn Sie außerdem VACM-Zugriffsrichtlinien für SNMPv1- oder SNMPv2c-Pakete konfigurieren, müssen Sie Sicherheitsnamen Gruppen für jedes Sicherheitsmodell (SNMPv1 oder SNMPv2c) auf der Hierarchieebene [edit snmp v3 vacm security-to-group] zuweisen. Sie müssen auch einen Sicherheitsnamen mit einer SNMP-Community auf der [edit snmp v3 snmp-community community-index] Hierarchieebene verknüpfen.

Um die Zugriffsberechtigungen für eine SNMP-Gruppe zu konfigurieren, umfassen Anweisungen auf [edit snmp v3 vacm] der Hierarchieebene:

Konfigurieren der einer Gruppe gewährten Zugriffsberechtigungen

Dieses Thema umfasst die folgenden Abschnitte:

Konfiguration der Gruppe

Um die einer Gruppe gewährten Zugriffsberechtigungen zu konfigurieren, fügen Sie die group Anweisung auf der [edit snmp v3 vacm access] Hierarchieebene hinzu:

group-name ist eine Sammlung von SNMP-Benutzern, die einer gemeinsamen SNMP-Liste gehören, die eine Zugriffsrichtlinie definiert. Benutzer, die zu einer bestimmten SNMP-Gruppe gehören, übernehmen alle Deren Zugriffsberechtigungen.

Konfigurieren des Sicherheitsmodells

Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] Hierarchieebene hinzu:

  • any— Jedes Sicherheitsmodell

  • usmSNMPv3-Sicherheitsmodell

  • v1SNMPV1-Sicherheitsmodell

  • v2cSNMPv2c-Sicherheitsmodell

Konfigurieren der Sicherheitsebene

Um die Zugriffsberechtigungen zu konfigurieren, die Paketen mit einer bestimmten Sicherheitsebene eingeräumt werden, fügen Sie die security-level Anweisung auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] Hierarchieebene hinzu:

  • noneBietet keine Authentifizierung und keine Verschlüsselung.

  • authenticationBietet Authentifizierung, aber keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

    Anmerkung:

    Zugriffsberechtigungen werden allen Paketen mit einer Sicherheitsstufe eingeräumt, die der konfigurierten entspricht oder höher ist. Wenn Sie das Sicherheitsmodell SNMPv1 oder SNMPv2c konfigurieren, verwenden Sie none diese als Sicherheitsstufe. Wenn Sie das SNMPv3-Sicherheitsmodell (USM) konfigurieren, verwenden Sie die authenticationnoneprivacy bzw. die Sicherheitsebene.

Verknüpfen MIB mit einer SNMP-Benutzergruppe

MIB von Ansichten definieren Zugriffsberechtigungen für Mitglieder einer Gruppe. Für jeden SNMP-Betrieb (Lesen, Schreiben und Benachrichtigen) können separate Ansichten innerhalb jedes Sicherheitsmodells (USM, v1 und v2c) und jeder von SNMP unterstützten Sicherheitsebene (Authentifizierung, Keine und Datenschutz) angewendet werden.

Um MIB mit einer SNMP-Benutzergruppe zu verknüpfen, fügen Sie die folgenden Anweisungen auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] Hierarchieebene hinzu:

Anmerkung:

Sie müssen mindestens eine Ansicht (benachrichtigen, lesen oder schreiben) auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] Hierarchieebene zuordnen.

Sie müssen die MIB [edit snmp view view-name] Hierarchieebene konfigurieren. Informationen zur Konfiguration MIB Anzeigen finden Sie unter Konfigurieren MIB Anzeigen.

In diesem Abschnitt werden die folgenden Themen in Bezug auf diese Konfiguration beschrieben:

Konfigurieren der Notify View

Um den Zugriff mit einer SNMP-Benutzergruppe zu verknüpfen, fügen Sie die notify-view Anweisung auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] Hierarchieebene hinzu:

view-name gibt den Benachrichtigungszugriff an. Dabei handelt es sich um eine Liste von Benachrichtigungen, die an jeden Benutzer in einer SNMP-Gruppe gesendet werden können. Ein Anzeigename darf 32 Zeichen nicht übersteigen.

Konfigurieren der Leseansicht

Um eine Leseansicht mit einer SNMP-Gruppe zu verknüpfen, fügen Sie die read-view Anweisung auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] Hierarchieebene hinzu:

view-name gibt den Lesezugriff für eine SNMP-Benutzergruppe an. Ein Anzeigename darf 32 Zeichen nicht übersteigen.

Konfigurieren der Schreibansicht

Um eine Schreibansicht mit einer SNMP-Benutzergruppe zu verknüpfen, fügen Sie die write-view Anweisung auf der [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] Hierarchieebene hinzu:

view-name gibt den Schreibzugriff für eine SNMP-Benutzergruppe an. Ein Anzeigename darf 32 Zeichen nicht übersteigen.

Beispiel: Konfigurieren der einer Gruppe gewährten Zugriffsberechtigungen

Zugriffsberechtigungen definieren:

Einer Gruppe Sicherheitsmodell und Sicherheitsname zuweisen

Um Gruppen Sicherheitsnamen zu zuweisen, fügen Sie die folgenden Anweisungen auf der [edit snmp v3 vacm security-to-group] Hierarchieebene hinzu:

Dieses Thema umfasst die folgenden Abschnitte:

Konfigurieren des Sicherheitsmodells

Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf der [edit snmp v3 vacm security-to-group] Hierarchieebene hinzu:

  • usmSNMPv3-Sicherheitsmodell

  • v1SNMPv1-Sicherheitsmodell

  • v2cSNMPv2-Sicherheitsmodell

Zuweisen von Sicherheitsnamen zu Gruppen

Um einen Sicherheitsnamen mit einem SNMPv3-Benutzer oder einer v1- oder v2-Community-Zeichenfolge zu verknüpfen, enthält die Anweisung security-name auf der [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] Hierarchieebene:

Für SNMPv3 ist der in der Hierarchieebene konfigurierte security-name[edit snmp v3 usm local-engine user username] Benutzername. Bei SNMPv1 und SNMPv2c ist der Sicherheitsname der auf der Hierarchieebene konfigurierte [edit snmp v3 snmp-community community-index] Community-String. Informationen zur Konfiguration von Benutzernamen finden Sie unter Erstellen von SNMPv3-Benutzern. Informationen zum Konfigurieren einer Community-Datei finden Sie unter Konfigurieren der SNMPv3 Community.

Anmerkung:

Der Name der USM-Sicherheit ist von dem Sicherheitsnamen SNMPv1 und SNMPv2c getrennt. Wenn Sie neben SNMPv3 auch SNMPv1 und SNMPv2c unterstützen, müssen Sie in der Konfiguration von Security-to-Group auf der Hierarchieebene separate Sicherheitsnamen [edit snmp v3 vacm access] konfigurieren.

Konfiguration der Gruppe

Nachdem Sie SNMPv3-Benutzer oder v1- oder v2-Sicherheitsnamen erstellt haben, verknüpfen Sie sie mit einer Gruppe. Eine Gruppe ist eine Gruppe von Sicherheitsnamen, die zu einem bestimmten Sicherheitsmodell gehören. Eine Gruppe definiert die Zugriffsrechte für alle Benutzer, die dazu gehören. Über Zugriffsrechte wird definiert, welche SNMP-Objekte gelesen, geschrieben oder erstellt werden können. Eine Gruppe definiert außerdem, welche Benachrichtigungen ein Benutzer empfangen darf.

Wenn Sie bereits über eine Gruppe verfügen, die mit allen Ansichts- und Zugriffsberechtigungen konfiguriert ist, die einem Benutzer gewährt werden soll, können Sie den Benutzer dieser Gruppe hinzufügen. Wenn Sie benutzern eine Ansicht und Zugriffsrechte gewähren möchten, die keine anderen Gruppen besitzen, oder wenn keine Gruppen konfiguriert sind, erstellen Sie eine Gruppe, und fügen Sie den Benutzer hinzu.

Um die einer Gruppe gewährten Zugriffsberechtigungen zu konfigurieren, fügen Sie die group Anweisung auf der [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] Hierarchieebene hinzu:

group-name identifiziert eine Sammlung von SNMP-Sicherheitsnamen, die die gleiche Zugriffsrichtlinie verwenden. Weitere Informationen zu Gruppen finden Sie unter Definieren von Zugriffsberechtigungen für eine SNMP-Gruppe.

Beispiel: Konfiguration von Sicherheitsgruppen

Personengruppen Sicherheitsnamen zuweisen:

Konfigurieren von SNMPv3-Traps auf einem Gerät, auf dem eine Junos OS

In SNMPv3 erstellen Sie Traps und informieren über die Konfiguration der notify , target-address und target-parameters Parameter. Traps sind nicht bestätigte Benachrichtigungen, während Mitteilungen bestätigt werden. In diesem Abschnitt wird die Konfiguration von SNMP-Traps beschrieben. Informationen zur Konfiguration von Informationen zu SNMP finden Sie unter Informationen zur Konfiguration von SNMP.

Die Zieladresse definiert die Adresse und Parameter einer Verwaltungsanwendung, die beim Senden von Benachrichtigungen verwendet werden sollen. Zielparameter definieren die Nachrichtenverarbeitung und Sicherheitsparameter, die beim Senden von Benachrichtigungen an ein bestimmtes Verwaltungsziel verwendet werden. Mit SNMPv3 können Sie auch SNMPv1- und SNMPv2c-Traps definieren.

Anmerkung:

Achten Sie beim Konfigurieren von SNMP-Traps darauf, dass die Traps über Ihre konfigurierten Zugriffsberechtigungen gesendet werden können. Zugriffsberechtigungen werden auf den [edit snmp v3 vacm access] Hierarchieebenen [edit snmp v3 vacm security-to-group] konfiguriert.

Um SNMP-Traps zu konfigurieren, müssen Sie die folgenden Anweisungen auf der [edit snmp v3] Hierarchieebene beinhalten:

Konfigurieren der SNMPv3-Trap-Benachrichtigung

Die notify Anweisung gibt den Typ der Benachrichtigung (Trap) an und enthält ein einzelnes Tag. Das Tag definiert eine Gruppe von Zieladressen zum Empfang einer Trap. Die Tag-Liste enthält mindestens eine Tags und ist auf [edit snmp v3 target-address target-address-name] Hierarchieebene konfiguriert. Wenn die Tag-Liste dieses Tag enthält, sendet Junos OS Benachrichtigung an alle mit diesem Tag verknüpften Zieladressen.

Um die Trap-Benachrichtigungen zu konfigurieren, fügen Sie die notify Anweisung auf der [edit snmp v3] Hierarchieebene hinzu:

name ist der Name der Benachrichtigung.

tag-name definiert die Zieladressen, an die diese Benachrichtigung gesendet wird. Diese Benachrichtigung wird an alle Zieladressen gesendet, die dieses Tag in der Tagliste enthalten. Der tag-name ist nicht in der Benachrichtigung enthalten.

trap ist die Art der Benachrichtigung.

Anmerkung:

Jeder Name der Benachrichtigungen muss eindeutig sein.

Junos OS unterstützt zwei Benachrichtigungstypen: trap und inform .

Informationen zur Konfiguration der Tag-Liste finden Sie unter Konfigurieren der Trap-Zieladresse.

Beispiel: Konfigurieren von SNMPv3-Trap-Benachrichtigungen

Zum Senden von Traps drei Sätze von Zielen angeben:

Konfigurieren des Trap-Benachrichtigungsfilters

SNMPv3 verwendet den Notify-Filter, um zu definieren, welche Traps (oder Objekte, von welchen Traps) an das Netzwerkverwaltungssystem (NMS) gesendet werden. Der Trap-Benachrichtigungsfilter beschränkt die Art von Traps, die an das NMS gesendet werden.

Jede Objektkennung stellt eine Unterstruktur der Objekthierarchie MIB Objekt dar. Der Unterwert kann entweder durch eine Folge von gepunkteten ganzen Zahlen (wie 1.3.6.1.2.1.2) oder durch seinen Subtree-Namen (z. B. ) dargestellt interfaces werden. Sie können auch das Wildcard-Zeichen sternsk (*) in der Object Identifier (OID) verwenden, um Objektkennungen anzugeben, die einem bestimmten Muster entsprechen.

Um den Trap-Benachrichtigungsfilter zu konfigurieren, fügen Sie die notify-filter Anweisung auf der [edit snmp v3] Hierarchieebene hinzu:

profile-name ist der Name, dem der Benachrichtigungsfilter zugewiesen wurde.

Standardmäßig wird die OID auf include festgelegt. Um den Zugriff auf Traps (oder Objekte aus Traps) zu definieren, schließen Sie die oid Anweisung auf der [edit snmp v3 notify-filter profile-name] Hierarchieebene ein:

oid ist die Objektkennung. Alle MIB, die in dieser Anweisung dargestellt werden, verfügen über die angegebene OID als Präfix. Sie kann entweder durch eine Folge von gepunkteten Ganzeinungen oder durch einen Subtree-Namen festgelegt werden.

  • include—Geben Sie die Unterstruktur der MIB Objekte an, die von der angegebenen OID dargestellt werden.

  • exclude—Schließen Sie die Unterstruktur MIB Objekte aus, die von der angegebenen OID dargestellt werden.

Konfigurieren der Trap-Zieladresse

Die Zieladresse definiert die Adresse und Parameter einer Verwaltungsanwendung, die beim Senden von Benachrichtigungen verwendet werden. Er kann auch Verwaltungsstationen identifizieren, für die bestimmte Community-Zeichenfolgen verwendet werden dürfen. Wenn Sie ein Paket mit einer anerkannten Community-Zeichenfolge und einem Zugehörigen Tag erhalten, Junos OS alle Zieladressen mit diesem Tag hoch und überprüft, ob die Quelladresse dieses Pakets mit einer der konfigurierten Zieladressen entspricht.

Anmerkung:

Beim Konfigurieren der SNMP-Community muss die Adressmaske konfiguriert werden.

Um festzulegen, wo die Traps gesendet werden sollen, und festzulegen, welche SNMPv1- und SNMPv2cc-Pakete zulässig sind, fügen Sie die Anweisung auf target-address der [edit snmp v3] Hierarchieebene hinzu:

target-address-name ist die Zeichenfolge zur Identifizierung der Zieladresse.

Um die Zieladresseneigenschaften zu konfigurieren, fügen Sie die folgenden Anweisungen auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

Im Gegensatz zu SNMP v2 gibt es in SNMPv3 keine Konfigurationsoption, um die eingehenden Abrufe zu beschränken. Sie können jedoch einen Lo0-Filter konfigurieren, um eingehende Abrufe zu begrenzen, indem Sie eine Regel erstellen, die SNMP von Ihren Überwachungssystem-IPs zu ermöglicht. Zum Beispiel:

Adresse konfigurieren

Um die Adresse zu konfigurieren, fügen Sie die address Anweisung auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

address ist die SNMP-Zieladresse.

Adressmaske konfigurieren

Die Adressenmaske gibt eine Gruppe von Adressen an, die eine Community-Zeichenfolge verwenden dürfen, und überprüft die Quelladressen für eine Gruppe von Zieladressen.

Um die Adressmaske zu konfigurieren, fügen Sie die address-mask Anweisung auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

address-mask in Kombination mit der Adresse eine Reihe von Adressen definiert. Informationen zur Konfiguration der Community-Zeichenfolge finden Sie unter Konfigurieren der SNMPv3 Community.

Portkonfiguration

Standardmäßig ist der UDP-Port auf 162 festgelegt. Um eine andere Portnummer zu konfigurieren, fügen Sie die port Anweisung auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

port-number ist die SNMP-Ziel-Portnummer.

Konfigurieren der Routing-Instanz

Traps werden über die Standard-Routinginstanz gesendet. Um die Routinginstanz für das Senden von Traps zu konfigurieren, fügen Sie die routing-instance Anweisung auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

instance ist der Name der Routing-Instanz. Um eine Routinginstanz in einem logischen System zu konfigurieren, geben Sie den logischen Systemnamen an, gefolgt von dem Namen der Routinginstanz. Verwenden Sie einen Slash ( ), um die beiden Namen zu trennen / (z. test-lr/test-ri B.). Um die Standard-Routinginstanz in einem logischen System zu konfigurieren, geben Sie den folgenden logischen Systemnamen an default (z. test-lr/default B.).

Konfigurieren der Trap-Zieladresse

Für target-address jede Anweisung kann eine oder mehrere Tags in der Tag-Liste konfiguriert sein. Jedes Tag kann in mehr als einer Tag-Liste angezeigt werden. Wenn ein signifikantes Ereignis auf dem Netzwerkgerät auftritt, identifiziert die Tag-Liste die Ziele, an die eine Benachrichtigung gesendet wird.

Um die Tag-Liste zu konfigurieren, fügen Sie die tag-list Anweisung auf der [edit snmp v3 target-address target-address-name] Hierarchieebene hinzu:

tag-list gibt eine oder mehrere Tags als platzgetrennte Liste in doppelten Anführungszeichen an.

Ein Beispiel für die Tag-Listenkonfiguration finden Sie unter dem Beispiel: Tag-Liste konfigurieren .

Informationen zur Angabe eines Tags in der Hierarchieebene finden Sie [edit snmp v3 notify notify-name] unter Konfigurieren der SNMPv3-Trap-Benachrichtigung.

Anmerkung:

Achten Sie beim Konfigurieren von SNMP-Traps darauf, dass die Traps über Ihre konfigurierten Zugriffsberechtigungen gesendet werden können. Konfigurieren Sie Zugriffsberechtigungen auf [edit snmp v3 vacm access] der Hierarchieebene.

Anwenden von Zielparametern

Die Anweisung auf Hierarchieebene wendet die auf der Hierarchieebene konfigurierten target-parameters[edit snmp v3] Zielparameter [edit snmp v3 target-parameters target-parameters-name] an.

Um auf konfigurierte Zielparameter zu verweisen, include the target-parameters Statement auf der [edit snmp v3 target-address target-address-name] Hierarchieebene:

target-parameters-name ist der Name, der mit der Nachrichtenverarbeitung und den Sicherheitsparametern verknüpft wird, die beim Senden von Benachrichtigungen an ein bestimmtes Verwaltungsziel verwendet werden.

Beispiel: Tag-Liste konfigurieren

Im folgenden Beispiel werden zwei Tag-Einträge ( router1 und ) auf der router2[edit snmp v3 notify notify-name] Hierarchieebene definiert. Wenn eine Veranstaltung eine Benachrichtigung auslösen soll, sendet Junos OS Trap an alle Zieladressen, die in ihrer router1router2 Ziel-Tag-Liste konfiguriert wurden bzw. konfiguriert wurden. Das Ergebnis: Bei den ersten beiden Zielen werden jeweils eine Falle und das dritte Ziel zwei Traps.

Definieren und Konfigurieren der Trap-Zielparameter

Zielparameter definieren die Nachrichtenverarbeitung und Sicherheitsparameter, die beim Senden von Benachrichtigungen an ein bestimmtes Verwaltungsziel verwendet werden.

Um eine Gruppe von Zielparametern zu definieren, include the target-parameters Statement auf der [edit snmp v3] Hierarchieebene:

target-parameters-name ist der Name, der den Zielparametern zugewiesen wird.

Um Zielparameter-Eigenschaften zu konfigurieren, müssen Sie die folgenden Anweisungen auf der [edit snmp v3 target-parameters target-parameter-name] Hierarchieebene angeben:

Anmerkung:

Wenn Sie die SNMP-Trap-Benachrichtigungen für die Sicherheitsrichtlinie für Abonnenten auf Routern der MX-Serie konfigurieren, müssen Sie die Parameter wie folgt konfigurieren:

  • Modell der Nachrichtenverarbeitung: v3

  • Sicherheitsstufe: privacy

  • Sicherheitsmodell: usm

Weitere Informationen zur Konfiguration von sicheren Richtlinien für Abonnenten finden Sie unter Übersicht über die Sicherheitsrichtlinien für Abonnenten.

Dieses Thema umfasst die folgenden Abschnitte:

Anwenden des Trap-Benachrichtigungsfilters

Um den Trap-Benachrichtigungsfilter anzuwenden, fügen Sie die notify-filter Anweisung auf der [edit snmp v3 target-parameters target-parameter-name] Hierarchieebene hinzu:

profile-name ist der Name eines konfigurierten Benachrichtigungsfilters. Informationen zum Konfigurieren von Benachrichtigungsfiltern finden Sie unter Konfigurieren des Trap-Benachrichtigungsfilters.

Konfigurieren der Zielparameter

Um Zielparameter-Eigenschaften zu konfigurieren, müssen Sie die folgenden Anweisungen auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene angeben:

Dieser Abschnitt enthält die folgenden Themen:

Konfigurieren des Nachrichtenverarbeitungsmodells

Das Modell zur Nachrichtenverarbeitung definiert, welche Version von SNMP beim Generieren von SNMP-Benachrichtigungen verwendet werden soll. Um das Nachrichtenverarbeitungsmodell zu konfigurieren, fügen Sie die message-processing-model Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene hinzu:

  • v1— SNMPv1-Nachrichtenverarbeitungsmodell

  • v2c— SNMPv2c-Nachrichtenverarbeitungsmodell

  • v3— SNMPV3-Nachrichtenverarbeitungsmodell

Anmerkung:

Für die Sicherheit der Abonnentenrichtlinien auf Routern der MX-Serie ist ein Modell der v3 Nachrichtenverarbeitung erforderlich. Weitere Informationen finden Sie in der Übersicht über die Sicherheitsrichtlinien für Abonnenten.

Konfigurieren des Sicherheitsmodells

Um das Sicherheitsmodell zu definieren, das bei der Erzeugung von SNMP-Benachrichtigungen verwendet werden soll, include die security-model Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene ein:

  • usmSNMPv3-Sicherheitsmodell

  • v1SNMPv1-Sicherheitsmodell

  • v2cSNMPv2c-Sicherheitsmodell

Anmerkung:

Für die sichere Kundenrichtlinie auf Routern der MX-Serie ist das usm Sicherheitsmodell erforderlich. Weitere Informationen finden Sie in der Übersicht über die Sicherheitsrichtlinien für Abonnenten.

Konfigurieren der Sicherheitsebene

Die security-level Aussage gibt an, ob die Trap authentifiziert und verschlüsselt wurde, bevor sie gesendet wird.

Um die beim Generieren von SNMP-Benachrichtigungen zu verwendende Sicherheitsebene zu konfigurieren, fügen Sie die security-level Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene hinzu:

  • authenticationBietet Authentifizierung, aber keine Verschlüsselung.

  • none— Keine Sicherheit. Keine Authentifizierung und keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

    Anmerkung:

    Wenn Sie das Sicherheitsmodell SNMPv1 oder SNMPV2c konfigurieren, verwenden Sie none diese als Sicherheitsstufe. Wenn Sie das SNMPv3 (USM)-Sicherheitsmodell konfigurieren, verwenden Sie die authentication oder privacy die Sicherheitsebene.

    Die privacy Sicherheitsstufe ist für die sichere Richtlinie für Abonnenten auf Routern der MX-Serie erforderlich. Weitere Informationen finden Sie in der Übersicht über die Sicherheitsrichtlinien für Abonnenten.

Konfigurieren des Sicherheitsnamens

Um den beim Generieren von SNMP-Benachrichtigungen zu verwendenden Sicherheitsnamen zu konfigurieren, fügen Sie die security-name Anweisung auf der [edit snmp v3 target-parameters target-parameter-name parameters] Hierarchieebene hinzu:

Wenn das USM-Sicherheitsmodell verwendet wird, identifiziert der Benutzer, der nach der security-name Benachrichtigung verwendet wird. Wenn die v1- oder v2c-Sicherheitsmodelle verwendet werden, identifiziert sie die SNMP-Community, die beim Generiert security-name der Benachrichtigung verwendet wird.

Anmerkung:

Die Zugriffsberechtigungen der Gruppe, die mit einem Sicherheitsnamen verknüpft ist, müssen die Benachrichtigungen zulassen.

Wenn Sie das Sicherheitsmodell v1 oder v2 verwenden, muss der Sicherheitsname auf der Hierarchieebene dem [edit snmp v3 vacm security-to-group] Sicherheitsnamen auf der [edit snmp v3 snmp-community community-index] Hierarchieebene übereinstimmen.

SNMP-Konfiguration informiert

Junos OS unterstützt zwei Arten von Benachrichtigungen: Traps und Informationen. Mit Traps sendet der Empfänger keine Bestätigung, wenn er eine Falle empfängt. Der Sender kann daher nicht bestimmen, ob die Falle empfangen wurde. Eine Falle kann aufgrund eines Problems während der Übertragung verloren gehen. Für eine höhere Zuverlässigkeit ist die Information ähnlich wie eine Falle, außer dass die Information gespeichert und in regelmäßigen Abständen übermittelt wird, bis eine dieser Bedingungen eintritt:

  • Der Empfänger (Ziel) der Information gibt eine Bestätigung an den SNMP-Agenten zurück.

  • Es wurde eine bestimmte Anzahl erfolgloser erneuter Übertragungen versucht, und der Agent verwirft die Inform-Nachricht.

Falls der Sender keine Antwort erhält, können Sie dies nochmals senden. Diese Informationen erreichen also das angestrebte Ziel häufiger als Traps. Verwendet denselben Kommunikationskanal wie Traps (gleiche Steckdose und Port), verwendet aber verschiedene Protokolldateneinheitstypen (PDU).

Informationen sind zuverlässiger als Traps, sie verbrauchen jedoch mehr Netzwerk-, Router- und Switch-Ressourcen (siehe Abbildung 1 ). Im Gegensatz zu einer Trap wird eine Information im Arbeitsspeicher gespeichert, bis eine Antwort empfangen oder die Timeout erreicht wurde. Außerdem werden Traps nur ein einziges Mal gesendet, während ein Inform möglicherweise mehrmals erneutgefangen werden kann. Verwenden Sie Informationen, wenn es wichtig ist, dass der SNMP-Manager alle Benachrichtigungen erhält. Wenn Sie jedoch mehr Bedenken wegen Netzwerkdatenverkehr, Router und Switch-Speicher haben, verwenden Sie Traps.

Abbildung 1: Informieren Sie die Anfrage und AntwortInformieren Sie die Anfrage und Antwort

Konfigurieren von Benachrichtigungstyp und Zieladresse

Um den Benachrichtigungstyp und die Zielinformationen zu konfigurieren, fügen Sie die folgenden Anweisungen auf [edit snmp v3] Hierarchieebene hinzu:

notify name ist der Name der Benachrichtigung. Jeder Name der Benachrichtigungen muss eindeutig sein.

tag tag-name definiert die Zieladressen, die diese Benachrichtigung erhalten haben. Die Benachrichtigung wird an alle Zieladressen gesendet, die dieses Tag in der Tagliste enthalten. Der tag-name ist nicht in der Benachrichtigung enthalten. Informationen zur Konfiguration der Tag-Liste finden Sie unter Konfigurieren der Trap-Zieladresse.

type inform ist die Art der Benachrichtigung.

target-address target-address-name identifiziert die Zieladresse. Die Zieladresse definiert die Adresse einer Verwaltungsanwendung und die Parameter, die verwendet werden, um auf Informationen zu reagieren.

timeout seconds ist die Anzahl von Sekunden, die man auf eine Bestätigung warten muss. Wenn innerhalb der Timeout kein Bestätigungsschein empfangen wird, wird die Information erneut übertragen. Die Standard-Timeouts sind 15 Sekunden.

retry-count number ist die maximale Anzahl von Informationen, die übertragen werden, wenn kein Bestätigungs empfangen wurde. Sie müssen standardmäßig 3 ... Wenn nach der Übertragung der Information keine Bestätigung empfangen wird, wird die Inform-Nachricht verworfen.

message-processing-model definiert, welche Version von SNMP verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Information erfordert ein Modell v3 der Nachrichtenverarbeitung.

security-model definiert das Sicherheitsmodell, das verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Informationen erfordern ein usm Sicherheitsmodell.

security-model definiert das Sicherheitsmodell, das verwendet werden soll, wenn SNMP-Benachrichtigungen generiert werden. Informationen erfordern ein usm Sicherheitsmodell.

security-level gibt an, ob die Information authentifiziert und verschlüsselt ist, bevor sie gesendet wird. Beim usm Sicherheitsmodell muss die Sicherheitsebene eine der folgenden sein:

  • authenticationBietet Authentifizierung, aber keine Verschlüsselung.

  • privacy— Bietet Authentifizierung und Verschlüsselung.

security-name identifiziert den Benutzernamen, der für die Generierung des Informationens verwendet wird.

Beispiel: Konfigurieren von Benachrichtigungstyp und Zieladresse

Im folgenden Beispiel wird Ziel 172.17.20.184 konfiguriert, um auf Informationen zu reagieren. Die Zeit bis zur erneuten Übertragung beträgt 30 Sekunden und die maximale Anzahl der erneuten Übertragungen beträgt 3. Der Inform wird an alle Ziele in der tl1-Liste gesendet. Das Sicherheitsmodell für den Remotebenutzer ist USM und der Benutzername der Remote-Engine ist u10.

Konfigurieren der Remote-Engine und des Remotebenutzers

Zum Senden von Nachrichten an einen SNMPv3-Benutzer auf einem Remotegerät müssen Sie zuerst die Engine-Kennung für den SNMP-Agenten auf dem Remotegerät, auf dem sich der Benutzer befindet, angeben. Die Remote-Engine-ID wird zur Berechnung der Digest-Sicherheit zur Authentifizierung und Verschlüsselung von Paketen verwendet, die an einen Benutzer auf dem Remote-Host gesendet werden. Beim Senden einer Meldung nutzt der Agent die Anmeldeinformationen des auf der Remote-Engine konfigurierten Benutzers (informieren Sie das Ziel).

Um eine Remote-Engine und einen Remotebenutzer zu konfigurieren, der über SNMP-Informationen erhält und darauf reagiert, müssen Sie die folgenden Anweisungen auf [edit snmp v3] Hierarchieebene beinhalten:

Dies wird mit remote-engine engine-id der Kennung des SNMP-Agenten auf dem Remotegerät, auf dem sich der Benutzer befindet, bezeichnet.

Um informationen zu erhalten, user username ist der Benutzer auf einer SNMP-Remote-Engine, der die Informationen erhält.

Generierte Informationen können oder , abhängig von der Sicherheitsebene des auf der Remote-Engine unauthenticatedauthenticatedauthenticated_and_encrypted konfigurierten SNMPv3-Benutzers (der Inform-Empfänger) sein. Der Authentifizierungsschlüssel wird zum Generieren von MAC (Message Authentication Code) verwendet. Der Datenschutzschlüssel wird zur Verschlüsselung des PDU-Teils der Nachricht verwendet.

Beispiel: Konfigurieren der Remote-Engine-ID und des Remotebenutzers

In diesem Beispiel wird veranschaulicht, wie eine Remote-Engine und ein Remotebenutzer konfiguriert werden, damit Sie Benachrichtigungen über SNMP erhalten und auf diese reagieren können. Die Benachrichtigungen können authentifiziert und verschlüsselt werden. Sie sind auch zuverlässiger als Traps – eine weitere Art von Benachrichtigung, die Junos OS unterstützt. Im Gegensatz zu Traps werden Benachrichtigungen in regelmäßigen Abständen gespeichert und übermittelt, bis eine dieser Bedingungen eintritt:

  • Das Ziel der Benachrichtigung wird an den SNMP-Agenten zurückgibt.

  • Es wurde eine bestimmte Anzahl erfolgloser erneuter Übertragungen versucht.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Für diese Funktion müssen Nur-Text-Kennwörter verwendet werden, die für SNMPv3 gültig sind. SNMPv3 hat die folgenden besonderen Anforderungen, wenn Sie Klartext-Kennwörter auf einem Router oder Switch erstellen:

  • Das Kennwort muss mindestens acht Zeichen lang sein.

  • Das Kennwort kann alphabetische, numerische und Sonderzeichen enthalten, kann aber keine Steuerungszeichen enthalten.

Obwohl nicht immer Anführungszeichen zum Beigefügten von Kennwörtern erforderlich sind, ist es am besten, sie zu verwenden. Sie benötigen Anführungszeichen, wenn das Kennwort Leerzeichen oder ggf. im Fall bestimmter Sonderzeichen oder eines Sichtungsbruchs enthält.

Überblick

Benachrichtigungen werden in SNMPv3 unterstützt, um die Zuverlässigkeit zu erhöhen. Ein SNMP-Agent, der eine Inform-Benachrichtigung erhält, erkennt den Erhalt beispielsweise.

Als Grundlage für diese Benachrichtigungen identifiziert die SNMP-ID den SNMP-Agenten auf dem Remote-Gerät, auf dem sich der Benutzer befindet. Der Benutzername identifiziert den Benutzer auf einer SNMP-Remote-Engine, der die Inform-Benachrichtigungen empfängt.

Stellen Sie sich ein Szenario vor, bei dem Sie die bei der Konfiguration der Remotemodul-ID und des Remotebenutzers zu verwendenden Werte Tabelle 1 in diesem Beispiel haben.

Tabelle 1: Als Beispiel zu verwendende Werte

Name der Variable

Wert

Nutzername

u10

Remote-Engine-ID

800007E5804089071BC6D10A41

Authentifizierungstyp

authentication-md5

Authentifizierungskennwort

qol67R%?

Verschlüsselungstyp

privacy-des

Datenschutzkennwort

m*72Jl9v

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle und fügen Sie sie in eine Textdatei ein. Entfernen Sie alle Zeilenbrüche, und ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind. Kopieren Sie diese Befehle, kopieren Sie sie, und fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann im Konfigurationsmodus [edit snmp v3]commit ein.

Konfigurieren der Remote-Engine und des Remotebenutzers

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie zu verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.

So konfigurieren Sie die Remote-Engine-ID und den Remotebenutzer:

  1. Konfigurieren Sie Engine-ID, Benutzername, Authentifizierungstyp und -kennwort für die Remote-Engine.

  2. Konfigurieren Sie Verschlüsselungstyp und Datenschutzkennwort.

    Sie können pro SNMPv3-Benutzer nur einen Verschlüsselungstyp konfigurieren.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nachdem Sie bestätigt haben, dass die Konfiguration korrekt ist, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Überprüfen der Konfiguration der Remote-Engine-ID und des Benutzernamens

Zweck

Überprüfen Sie den Status der Engine-ID und Benutzerinformationen.

Aktion

Anzeige von Informationen über die SNMPv3-Engine-ID und den Benutzer.

Bedeutung

Die Ausgabe zeigt die folgenden Informationen an:

  • ID der lokalen Engine und Detaillierte Informationen zum Modul

  • Remote-Engine-ID Engine ID (gekennzeichnet)

  • Nutzername

  • Der für den Benutzer konfigurierte Authentifizierungstyp und die Verschlüsselung (Datenschutz)

  • Speichertyp für den Benutzernamen, entweder nichtvolatile (Konfiguration gespeichert) oder unbeständig (nicht gespeichert)

  • Status des neuen Benutzers; Nur Benutzer mit einem aktiven Status können SNMPv3 verwenden

Konfigurieren der lokalen Engine-ID

Standardmäßig verwendet die lokale Engine-ID die Standard-IP-Adresse des Routers. Die lokale Engine-ID ist die administrative eindeutige Kennung für die SNMPv3-Engine. Diese Aussage ist optional. Um die lokale Engine-ID zu konfigurieren, fügen Sie die engine-id Anweisung auf der [edit snmp] Hierarchieebene hinzu:

  • local engine-id-suffix— Das Präfix "Engine ID" wurde explizit konfiguriert.

  • use-default-ip-address— Das Suffix "Engine ID" wird von der Standard-IP-Adresse generiert.

  • use-mac-address— Die SNMP-Engine-Kennung wird von der MAC-Adresse (Media Access Control) der Verwaltungsschnittstelle auf dem Router generiert.

Anmerkung:

Wenn Sie SNMPv3 verwenden und die Engine-ID auf der MAC-Adresse basiert, und Sie ein Upgrade von einer früheren Version auf eine dieser Versionen durchführen (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), müssen Sie SNMPv3 neu konfigurieren, da die Engine-ID durch das Upgrade geändert wird. Wenn Sie SNMPv3 nicht neu konfigurieren, wird ein Authentifizierungsfehler bei der SNMPv3-Abfrage angezeigt, da die Engine-ID nach dem Upgrade geändert wird. Sie müssen SNMPv3 nur beim ersten Upgrade neu konfigurieren. Wenn Sie dann ein Upgrade von einer der erwähnten Versionen auf eine andere dieser Versionen durchführen, müssen Sie SNMPv3 nicht erneut aktualisieren.

Verwenden Sie für die Neukonfiguration von SNMPv3 das folgende Verfahren. Verwenden Sie den Befehl rollback 1 nicht.

So konfigurieren Sie SNMPv3 neu:

  1. Überprüfen Sie, was die SNMPv3-Konfiguration ist.
  2. Die SNMPv3-Konfiguration löschen.
  3. Reconfigure SNMPv3-Konfiguration (siehe ouput aus Schritt 1).

Die lokale Engine-ID wird als die administrative eindeutige Kennung einer SNMPv3-Engine definiert und zur Identifizierung und nicht zur Adressierung verwendet. Eine Engine-ID besteht aus zwei Teilen: Prefix und Präfix. Das Prefix ist entsprechend den in RFC 3411, An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks definierten Spezifikationen formatiert. Sie können das Suffix hier konfigurieren.

Anmerkung:

SNMPv3-Authentifizierungs- und Verschlüsselungsschlüssel werden anhand der dazugehörigen Passwörter und der Engine-ID generiert. Wenn Sie die Engine-ID konfigurieren oder ändern, müssen Sie die neue Engine-ID festlegen, bevor Sie SNMPv3-Benutzer konfigurieren. Andernfalls basieren die von den konfigurierten Passwörtern generierten Schlüssel auf der vorherigen Engine-ID. Für die Engine-ID empfehlen wir die Verwendung der primären IP-Adresse des Geräts, wenn das Gerät über mehrere Routingmodule verfügt und über die primäre IP-Adresse konfiguriert ist. Alternativ können Sie auch die MAC-Adresse des Management-Ports verwenden, wenn das Gerät nur über einen Routing-Engine.

Konfigurieren der SNMPv3-Community

Die SNMP-Community definiert die Beziehung zwischen einem SNMP-Serversystem und den Clientsystemen. Diese Aussage ist optional.

Um die SNMP-Community zu konfigurieren, fügen Sie die snmp-community Anweisung auf der [edit snmp v3] Hierarchieebene hinzu:

community-index ist der Index für die SNMP-Community.

Um die Eigenschaften der SNMP-Community zu konfigurieren, fügen Sie die folgenden Anweisungen auf der [edit snmp v3 snmp-community community-index] Hierarchieebene hinzu:

Dieser Abschnitt enthält die folgenden Themen:

Konfiguration des Community-Namens

Der Community-Name definiert die SNMP-Community. Die SNMP-Community autorisiert SNMPv1- oder SNMPv2c-Clients. Die mit dem konfigurierten Sicherheitsnamen verknüpften Zugriffsberechtigungen definieren, welche MIB Objekte verfügbar sind und für diese Objekte die Vorgänge (Lesen, Schreiben oder Benachrichtigen) zulässig sind.

Um den Namen der SNMP-Community zu konfigurieren, fügen Sie die community-name Anweisung auf der [edit snmp v3 snmp-community community-index] Hierarchieebene hinzu:

community-name ist die Community-Zeichenfolge für eine SNMPv1- oder SNMPv2c-Community.

Wenn sie nicht konfiguriert sind, ist sie genauso wie der Community-Index.

Wenn der Community-Name Bereiche enthält, schließen Sie sie in Anführungszeichen ein (" ").

Anmerkung:

Community-Bezeichnungen müssen eindeutig sein. Es ist nicht möglich, den gleichen Community-Namen auf den [edit snmp community] Hierarchieebenen [edit snmp v3 snmp-community community-index] zu konfigurieren. Der konfigurierte Community-Name auf [edit snmp v3 snmp-community community-index] Hierarchieebene wird verschlüsselt. Sie können den Community-Namen nicht anzeigen, nachdem Sie ihn konfiguriert und Ihre Änderungen vorgenommen haben. Im Befehlszeilenschnittstelle (CLI) (CLI) ist der Name der Community nicht enthalten.

Konfigurieren des Kontextes

Ein SNMP-Kontext definiert eine Sammlung von Verwaltungsinformationen, auf die eine SNMP-Einheit zugegriffen werden kann. Normalerweise hat eine SNMP-Einheit Zugriff auf mehrere Kontexte. Ein Kontext kann ein physisches oder logisches System, eine Gruppe mehrerer Systeme oder sogar eine Untergruppe eines Systems sein. Jeder Kontext in einer Verwaltungsdomäne verfügt über eine eindeutige Kennung.

Um einen SNMP-Kontext zu konfigurieren, fügen Sie die context context-name Anweisung auf der [edit snmp v3 snmp-community community-index] Hierarchieebene hinzu:

Anmerkung:

Zur Abfrage einer Routing-Instanz oder eines logischen Systems müssen

Konfigurieren der Sicherheitsnamen

Um einem Sicherheitsnamen eine Community-Zeichenfolge zu zuweisen, geben Sie die security-name Anweisung auf der [edit snmp v3 snmp-community community-index] Hierarchieebene ein:

security-name bei der Einrichtung der Zugriffssteuerung verwendet wird. Die security-to-group Konfiguration auf [edit snmp v3 vacm] Hierarchieebene identifiziert die Gruppe.

Anmerkung:

Dieser Sicherheitsname muss dem in der Hierarchieebene konfigurierten Sicherheitsnamen [edit snmp v3 target-parameters target-parameters-name parameters] übereinstimmen, wenn Sie Traps konfigurieren.

Tag konfigurieren

Um das Tag zu konfigurieren, fügen Sie die tag Anweisung auf der [edit snmp v3 snmp-community community-index] Hierarchieebene hinzu:

tag-name identifiziert die Adresse der Manager, die eine Community-String verwenden dürfen.

Beispiel: Konfigurieren einer SNMPv3-Community

In diesem Beispiel wird die Konfiguration einer SNMPv3-Community veranschaulicht.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel wird veranschaulicht, wie eine SNMPv3-Community erstellt wird. Definieren Sie den Namen der SNMP-Community, geben Sie den Sicherheitsnamen für die Zugriffskontrolle an und definieren Sie den Tag-Namen, der die Adresse der Manager identifiziert, die einen Community-String verwenden dürfen. Die Zieladresse definiert die Adresse und Parameter einer Verwaltungsanwendung, die beim Senden von Benachrichtigungen verwendet werden.

Wenn das Gerät ein Paket mit einer erkannten Community-Zeichenfolge und einem Tag mit diesem Paket empfängt, sucht die Junos-Software alle Zieladressen mit diesem Tag hoch und überprüft, ob die Quelladresse dieses Pakets zu einer der konfigurierten Zieladressen passt.

Geben Sie an, wo die Traps gesendet werden sollen, und definieren Sie, welche SNMPv1- und SNMPv2c-Pakete zulässig sind. Geben Sie den Zieladressennamen an, um die Zieladresse zu identifizieren, den Adressbereich, die Portnummer, die Tag-Liste und den Zielparameter zu definieren.

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit snmp v3]commit ein.

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.

  1. Konfigurieren Sie den Namen der SNMP-Community.

    Anmerkung:

    Der Name der SNMP-Community muss eindeutig sein.

  2. Konfigurieren Sie den Sicherheitsnamen zur Zugriffssteuerung.

  3. Tag-Name definieren. Der Tag-Name identifiziert die Adresse von Managern, die eine Community-Zeichenfolge verwenden dürfen.

  4. SNMP-Zieladresse konfigurieren

  5. Konfigurieren Sie den Maskenbereich der Adresse für die Community String Access Control.

  6. SNMPv3-Ziel-Portnummer konfigurieren.

  7. Konfigurieren Sie die SNMPv3-Tag-Liste, um die Zieladressen auszuwählen.

  8. Konfigurieren Sie den SNMPv3-Zielparameternamen in der Zielparametertabelle.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show snmp v3 eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel.

Überprüfung

Verifizierung der SNMPv3-Community

Zweck

Überprüfen Sie, ob die SNMPv3-Community aktiviert ist.

Aktion

Geben Sie den Befehl "Command" ein, um die SNMPv3-Community-Konfiguration zu show snmp v3 community überprüfen. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Bedeutung

Die Ausgabe zeigt die Informationen zur Aktivierung der SNMPv3-Community im System an.