Auf dieser Seite
MIB-Ansichten
SNMPv3 definiert das Konzept der MIB-Ansichten in RFC 3415, View-based Access Control Model (VACM) für das Simple Network Management Protocol (SNMP). MIB-Ansichten bieten einem Agenten eine bessere Kontrolle darüber, wer auf bestimmte Verzweigungen und Objekte in seiner MIB-Struktur zugreifen kann. Eine Ansicht besteht aus einem Namen und einer Auflistung von SNMP-Objektbezeichnern, die entweder explizit eingeschlossen oder ausgeschlossen werden. Nach der Definition wird eine Ansicht einer SNMPv3-Gruppe oder SNMPv1/v2c-Community (oder mehreren Communities) zugewiesen, wobei automatisch maskiert wird, auf welche Teile des MIB-Baums des Agenten Mitglieder der Gruppe oder Community zugreifen können (und welche nicht).
Konfigurieren von MIB-Ansichten
Standardmäßig gewährt eine SNMP-Community Lesezugriff und verweigert den Schreibzugriff auf alle unterstützten MIB-Objekte (auch auf Communities, die als konfiguriert sind authorization read-write). Um Lese- oder Schreibzugriff auf eine Gruppe von MIB-Objekten einzuschränken oder zu gewähren, müssen Sie eine MIB-Ansicht konfigurieren und die Ansicht einer Community zuordnen.
Informationen zum Konfigurieren von MIB-Ansichten finden Sie unter view (Configuring a MIB View).
Um eine OID vollständig zu entfernen, verwenden Sie den delete view all oid oid-number Befehl, aber lassen Sie den include Parameter weg.
[edit snmp] user@host# set view view-name oid object-identifier (include | exclude)
Im folgenden Beispiel wird eine MIB-Ansicht mit dem Namen ping-mib-view erstellt. Die oid Anweisung erfordert keinen Punkt am Anfang des Objektbezeichners. Die snmp view Anweisung enthält die Verzweigung unter dem Objektbezeichner .1.3.6.1.2.1.80. Dies schließt den gesamten DISMAN-PINGMIB-Unterbaum (wie in RFC 2925, Definitionen verwalteter Objekte für Remote-Ping-, Traceroute- und Lookup-Vorgänge definiert) ein,der effektiv den Zugriff auf jedes Objekt unter diesem Zweig ermöglicht.
[edit snmp] user@host# set view ping-mib-view oid 1.3.6.1.2.1.80 include
Im folgenden Beispiel wird eine zweite Verzweigung in derselben MIB-Ansicht hinzugefügt.
[edit snmp] user@host# set view ping-mib-view oid jnxPingMIB include
Weisen Sie einer Community, die Sie steuern möchten, eine MIB-Ansicht zu.
Informationen zum Zuordnen von MIB-Ansichten zu einer Community finden Sie unter view (SNMP Community).
Weitere Informationen zur Ping MIB finden Sie unter RFC 2925 und PING MIB.
Siehe auch
Konfigurieren der Ping-Proxy-MIB
Beschränken Sie die ping-mib Community auf Lese- und Schreibzugriff auf die Ping-MIB und jnxpingMIB nur. Lese- oder Schreibzugriff auf andere MIBs, die diese Community verwenden, sind nicht zulässig.
[edit snmp]
view ping-mib-view {
oid 1.3.6.1.2.1.80 include; #pingMIB
oid jnxPingMIB include; #jnxPingMIB
}
community ping-mib {
authorization read-write;
view ping-mib-view;
}
Die folgende Konfiguration verhindert, dass die no-ping-mib Community auf Ping MIB und jnxPingMIB Objekte zugreift. Diese Konfiguration hindert die no-ping-mib Community jedoch nicht daran, auf andere MIB-Objekte zuzugreifen, die auf dem Gerät unterstützt werden.
[edit snmp]
view no-ping-mib-view {
oid 1.3.6.1.2.1.80 exclude; # deny access to pingMIB objects
oid jnxPingMIB exclude; # deny access to jnxPingMIB objects
}
community no-ping-mib {
authorization read-write;
view ping-mib-view;
}