SNMP-Communities
Eine SNMP-Community definiert die Berechtigungsstufe, die ihren Mitgliedern gewährt wird, z. B. die verfügbaren MIB-Objekte, die für diese Objekte gültigen Vorgänge (schreibgeschützt oder mit Lese-/Schreibzugriff) und die autorisierten SNMP-Clients basierend auf ihren Quell-IP-Adressen.
Konfigurieren von SNMP-Communities
Die Konfiguration des SNMP-Agenten in Junos OS ist eine unkomplizierte Aufgabe, bei der vertraute Einstellungen mit anderen verwalteten Geräten in Ihrem Netzwerk geteilt werden. Beispielsweise müssen Sie Junos OS mit einer SNMP-Community-Zeichenfolge und einem Ziel für Traps konfigurieren. Community-Zeichenfolgen sind administrative Namen, die Sammlungen von Geräten und die Agents, die auf ihnen ausgeführt werden, in gemeinsamen Verwaltungsdomänen zusammenfassen. Wenn ein Manager und ein Agent dieselbe Community teilen, können sie miteinander kommunizieren.
Der SNMP-Community-String definiert die Beziehung zwischen einem SNMP-Serversystem und dem Client-System. Bei dieser Zeichenfolge handelt es sich um ein Kennwort, mit dem der Zugriff des Clients auf den Server gesteuert wird.
So erstellen Sie eine schreibgeschützte SNMP-Community:
So erstellen Sie eine SNMP-Community mit Lese-/Schreibzugriff:
-
Geben Sie die SNMP-Community ein, die in Ihrem Netzwerk verwendet wird.
[edit] user@host# set snmp community name
Dieses Beispiel für eine Standard-Community-Zeichenfolge
privatezur Identifizierung des von der Community gewährten Lese-/Schreibzugriffs auf den SNMP-Agenten, der auf dem Gerät ausgeführt wird.[edit] user@host# set snmp community private
-
Definieren Sie die Berechtigungsstufe für die Community.
[edit snmp community name] user@host# set authorization authorization
In diesem Beispiel wird die öffentliche Community auf den schreibgeschützten Zugriff beschränkt. Jeder SNMP-Client (z. B. ein SNMP-Verwaltungssystem), der zur öffentlichen Community gehört, kann MIB-Variablen lesen, aber nicht setzen (ändern).
[edit snmp community public] user@host# set authorization read-write
-
Definieren Sie eine Liste der Clients in der Community, die berechtigt sind, Änderungen am SNMP-Agenten in Junos OS vorzunehmen.
Listen Sie die Clients nach IP-Adresse und Präfix auf.
[edit snmp community name] user@host# set clients address
Zum Beispiel:
[edit snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Definieren Sie die Clients, die innerhalb der Community nicht autorisiert sind, indem Sie ihre IP-Adresse gefolgt von der
restrictAnweisung angeben.[edit snmp community name] user@host# set clients address resrict
Die folgende Anweisung definiert, dass alle anderen Hosts von der öffentlichen Community ausgeschlossen sind.
[edit snmp community private] user@host# set clients 0/0 restrict
-
Bestätigen Sie die Konfiguration.
user@host# commit
Hinzufügen einer Gruppe von Clients zu einer SNMP-Community
Mit Junos OS können Sie eine oder mehrere Clientgruppen zu einer SNMP-Community hinzufügen. Sie können die client-list-name name Anweisung auf Hierarchieebene [edit snmp community community-name] einfügen, um alle Mitglieder der Client- oder Präfixliste zu einer SNMP-Community hinzuzufügen.
Um eine Liste von Clients zu definieren, verwenden Sie die set snmp client-list client-list-name Anweisung gefolgt von den IP-Adressen der Clients.
Sie können eine Präfixliste auf Hierarchieebene [edit policy options] konfigurieren. Die Unterstützung von Präfixlisten in der SNMP-Community-Konfiguration ermöglicht es Ihnen, eine einzige Liste zum Konfigurieren der SNMP- und Routing-Richtlinien zu verwenden. Weitere Informationen zu dieser prefix-list Anweisung finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
Verwenden Sie die set snmp commmunity community-name client-list-name Anweisung, um einer SNMP-Community eine Clientliste oder Präfixliste hinzuzufügen.
Die Clientliste und die Präfixliste dürfen nicht denselben Namen haben.
Das folgende Beispiel zeigt, wie eine Clientliste definiert wird:
[edit]
snmp {
client-list clentlist1 {
10.1.1.1/32;
10.2.2.2/32;
}
}
Das folgende Beispiel zeigt, wie eine Clientliste zu einer SNMP-Community hinzugefügt wird:
[edit]
snmp {
community community1 {
authorization read-only;
client-list-name clientlist1;
}
}
Das folgende Beispiel zeigt, wie eine Präfixliste zu einer SNMP-Community hinzugefügt wird:
[edit]
policy-options {
prefix-list prefixlist {
10.3.3.3/32;
10.5.5.5/32;
}
}
snmp {
community community2 {
client-list-name prefixlist;
}
}
SNMP-Community-Zeichenfolge konfigurieren
Der SNMP-Community-String definiert die Beziehung zwischen einem SNMP-Serversystem und dem Client-System. Diese Zeichenfolge fungiert wie ein Kennwort, um den Zugriff des Clients auf den Server zu steuern.
Verwenden Sie die set snmp community Anweisung, um eine Community-Zeichenfolge in einer Junos OS-Konfiguration zu konfigurieren.
Wenn der Community-Name Leerzeichen enthält, schließen Sie ihn in Anführungszeichen (" ") ein.
Die Standardautorisierungsstufe für eine Community ist read-only. Um Anfragen innerhalb einer Community zuzulassen Set , müssen Sie diese Community als authorization read-writedefinieren. Bei Set Anforderungen müssen Sie auch die spezifischen MIB-Objekte einschließen, auf die mit Lese-/Schreibberechtigungen mithilfe der view Anweisung zugegriffen werden kann. Die Standardansicht enthält alle unterstützten MIB-Objekte, auf die mit schreibgeschützten Berechtigungen zugegriffen werden kann. Auf MIB-Objekte kann nicht mit Lese-/Schreibberechtigungen zugegriffen werden. Weitere Informationen zu dieser view Anweisung finden Sie unter Konfigurieren von MIB-Ansichten.
Die IP-Adressen der Clients (Community-Mitglieder), die diese Community nutzen dürfen, werden in den clients Anweisungslisten aufgelistet. Wenn keine clients Anweisung vorhanden ist, sind alle Clients zulässig. Für addressmüssen Sie eine IPv4-Adresse und keinen Hostnamen angeben. Fügen Sie die default restrict Option hinzu, den Zugriff auf alle SNMP-Clients zu verweigern, für die der Zugriff nicht gewährt wird. Es wird empfohlen, immer die Option zum Beschränken des default restrict SNMP-Clientzugriffs auf den lokalen Switch einzuschließen.
Community-Namen müssen innerhalb jedes SNMP-Systems eindeutig sein.
Siehe auch
Beispiele: Konfigurieren der SNMP-Communityzeichenfolge
Gewähren Sie allen Clients schreibgeschützten Zugriff. Mit der folgenden Konfiguration antwortet das System auf SNMP Get, GetNextund GetBulk Anforderungen, die den Community-String publicenthalten:
[edit]
snmp {
community public {
authorization read-only;
}
}
Gewähren Sie allen Clients Lese-/Schreibzugriff auf die Ping-MIB und jnxPingMIB. Mit der folgenden Konfiguration antwortet das System auf SNMP , , und Anforderungen, die die Community-Zeichenfolge private enthalten und eine OID angeben, die in der Ping-MIB oder jnxPingMIB -Hierarchie enthalten ist:SetGetBulkGetNextGet
[edit]
snmp {
view ping-mib-view {
oid pingMIB include;
oid jnxPingMIB include;
community private {
authorization read-write;
view ping-mib-view;
}
}
}
Die folgende Konfiguration erlaubt den schreibgeschützten Zugriff auf Clients mit IP-Adressen im Bereich 1.2.3.4/24und verweigert den Zugriff auf Systeme im Bereich fe80::1:2:3:4/64:
[edit]
snmp {
community field-service {
authorization read-only;
clients {
default restrict; # Restrict access to all SNMP clients not explicitly
# listed on the following lines.
1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except
fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64.
}
}
}
Konfigurieren der SNMPv3-Community
Die SNMP-Community definiert die Beziehung zwischen einem SNMP-Serversystem und den Client-Systemen. Diese Anweisung ist optional.
Um die SNMP-Community zu konfigurieren, fügen Sie die snmp-community Anweisung auf Hierarchieebene [edit snmp v3] ein:
[edit snmp v3] snmp-community community-index;
community-index ist der Index für die SNMP-Community.
Um die SNMP-Community-Eigenschaften zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
Im Folgenden finden Sie einen minimalen Satz von Beispielkonfigurationen, die für snmp v3 snmp-community die Konfiguration erforderlich sind:
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
Die vom Benutzer verwendete Community, die SNMPv3 nicht unterstützt, verwendet weiterhin SNMPv2.
Weitere Informationen finden Sie in der folgenden Konfiguration:
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
Dieser Abschnitt enthält die folgenden Themen:
- Konfigurieren des Community-Namens
- Konfigurieren des Kontexts
- Konfigurieren der Sicherheitsnamen
- Konfigurieren des Tags
Konfigurieren des Community-Namens
Der Community-Name definiert die SNMP-Community. Die SNMP-Community autorisiert SNMPv1- oder SNMPv2c-Clients. Die Zugriffsberechtigungen, die dem konfigurierten Sicherheitsnamen zugeordnet sind, definieren, welche MIB-Objekte verfügbar sind und welche Vorgänge (Lesen, Schreiben oder Benachrichtigen) für diese Objekte zulässig sind.
Um den SNMP-Community-Namen zu konfigurieren, fügen Sie die community-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein. Weitere Informationen zu dieser Anweisung finden Sie unter community-name.
Konfigurieren des Kontexts
Ein SNMP-Kontext definiert eine Sammlung von Verwaltungsinformationen, auf die eine SNMP-Entität zugreifen kann. In der Regel hat eine SNMP-Entität Zugriff auf mehrere Kontexte. Ein Kontext kann ein physisches oder logisches System, eine Sammlung mehrerer Systeme oder sogar eine Teilmenge eines Systems sein. Jeder Kontext in einer Verwaltungsdomäne verfügt über einen eindeutigen Bezeichner.
Um einen SNMP-Kontext zu konfigurieren, schließen Sie die context context-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein. Weitere Informationen zu dieser Anweisung finden Sie unter context (SNMPv3).
Um eine Routinginstanz oder ein logisches System abzufragen,
Konfigurieren der Sicherheitsnamen
Um einem Sicherheitsnamen eine Community-Zeichenfolge zuzuweisen, fügen Sie die security-name Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name wird verwendet, wenn die Zugriffssteuerung eingerichtet ist. Die security-to-group Konfiguration auf Hierarchieebene [edit snmp v3 vacm] identifiziert die Gruppe.
Dieser Sicherheitsname muss mit dem Sicherheitsnamen übereinstimmen, der beim Konfigurieren von Traps auf Hierarchieebene [edit snmp v3 target-parameters target-parameters-name parameters] konfiguriert wurde.
Konfigurieren des Tags
Um das Tag zu konfigurieren, schließen Sie die tag Anweisung auf Hierarchieebene [edit snmp v3 snmp-community community-index] ein. Weitere Informationen zu dieser Anweisung finden Sie unter tag.
Beispiel: SNMPv3-Community konfigurieren
In diesem Beispiel wird gezeigt, wie eine SNMPv3-Community konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel wird veranschaulicht, wie eine SNMPv3-Community erstellt wird. Definieren Sie den SNMP-Community-Namen, geben Sie den Sicherheitsnamen für die Zugriffssteuerung an und definieren Sie den Tag-Namen, der die Adresse von Managern identifiziert, die eine Community-Zeichenfolge verwenden dürfen. Die Zieladresse definiert die Adresse und die Parameter einer Verwaltungsanwendung, die zum Senden von Benachrichtigungen verwendet werden.
Wenn das Gerät ein Paket mit einer erkannten Community-Zeichenfolge empfängt und diesem Paket ein Tag zugeordnet ist, sucht die Junos-Software nach allen Zieladressen mit diesem Tag und überprüft, ob die Quelladresse dieses Pakets mit einer der konfigurierten Zieladressen übereinstimmt.
Geben Sie an, wohin die Traps gesendet werden sollen, und legen Sie fest, welche SNMPv1- und SNMPv2c-Pakete zulässig sind. Geben Sie den Namen der Zieladresse an, der die Zieladresse identifiziert, definieren Sie die Zieladresse, den Adressbereich der Maske, die Portnummer, die Tag-Liste und den Zielparameter.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit snmp v3] Konfigurationsmodus ein commit .
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch .
Konfigurieren Sie den Namen der SNMP-Community.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
HINWEIS:Der Name der SNMP-Community muss eindeutig sein.
Konfigurieren Sie den Sicherheitsnamen für die Zugriffssteuerung.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Definieren Sie den Tag-Namen. Der Tag-Name gibt die Adresse von Managern an, die einen Community-String verwenden dürfen.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Konfigurieren Sie die SNMP-Zieladresse.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Konfigurieren Sie den Maskenbereich der Adresse für die Community-Zeichenfolgenzugriffssteuerung.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Konfigurieren Sie die SNMPv3-Zielportnummer.
[edit snmp v3] user@host#set target-address ta1 port 162
Konfigurieren Sie die SNMPv3-Tag-Liste, um die Zieladressen auszuwählen.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Konfigurieren Sie den SNMPv3-Zielparameternamen in der Zielparametertabelle.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show snmp v3 Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel.
[edit]
user@host# show snmp v3
target-address ta1 {
address 10.1.1.1;
port 162;
tag-list router1;
address-mask 255.255.255.0;
target-parameters tp1;
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA
security-name john;
tag router1;
}
Verifizierung
Verifizieren der SNMPv3-Community
Zweck
Überprüfen Sie, ob die SNMPv3-Community aktiviert ist.
Action!
Um die SNMPv3-Community-Konfiguration zu überprüfen, geben Sie show snmp v3 community command ein. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Bedeutung
Die Ausgabe zeigt die Informationen über die SNMPv3-Community an, die auf dem System aktiviert ist.