SNMPv3 informiert
Junos OS unterstützt zwei Arten von Benachrichtigungen: Fallen und informiert.
Bei Traps sendet der Empfänger keine Bestätigung, wenn er einen Trap empfängt. Daher kann der Absender nicht feststellen, ob der Trap empfangen wurde. Ein Trap kann verloren gehen, weil während der Übertragung ein Problem aufgetreten ist. Um die Zuverlässigkeit zu erhöhen, ähnelt eine Information einer Trap, mit der Ausnahme, dass die Information gespeichert und in regelmäßigen Abständen erneut übertragen wird, bis eine der folgenden Bedingungen eintritt:
-
Der Empfänger (Ziel) der inform gibt eine Bestätigung an den SNMP-Agenten zurück.
-
Es wurde eine bestimmte Anzahl erfolgloser Neuübertragungen versucht, und der Agent verwirft die Inform-Nachricht.
Wenn der Absender nie eine Antwort erhält, kann die Information erneut gesendet werden. Daher ist es wahrscheinlicher, dass Informationen ihr beabsichtigtes Ziel erreichen als Fallen. Informs verwenden denselben Kommunikationskanal wie Traps (gleicher Socket und Port), haben jedoch unterschiedliche PDU-Typen (Protocol Data Unit).
Informs sind zuverlässiger als Traps, verbrauchen aber mehr Netzwerk-, Router- und Switch-Ressourcen. Im Gegensatz zu einem Trap wird eine Information so lange im Speicher gehalten, bis eine Antwort empfangen wird oder das Timeout erreicht ist. Außerdem werden Traps nur einmal gesendet, während eine Information mehrmals wiederholt werden kann. Verwenden Sie diese Option, wenn es wichtig ist, dass der SNMP-Manager alle Benachrichtigungen erhält. Wenn Sie sich jedoch mehr Sorgen um den Netzwerkverkehr oder den Router- und Switch-Speicher machen, verwenden Sie Traps.
Beispiel: Konfigurieren des Inform-Benachrichtigungstyps und der Zieladresse
Im folgenden Beispiel ist das Ziel 172.17.20.184 so konfiguriert, dass es auf Informationen reagiert. Das Inform-Timeout beträgt 30 Sekunden und die maximale Anzahl der erneuten Übertragungen beträgt 3. Die Information wird an alle Ziele in der tl1-Liste gesendet. Das Sicherheitsmodell für den Remotebenutzer ist usm, und der Benutzername des Remotemoduls lautet u10.
[edit snmp v3]
notify n1 {
type inform;
tag tl1;
}
notify-filter nf1 {
oid .1.3 include;
}
target-address ta1 {
address 172.17.20.184;
retry-count 3;
tag-list tl1;
address-mask 255.255.255.0;
target-parameters tp1;
timeout 30;
}
target-parameters tp1 {
parameters {
message-processing-model v3;
security-model usm;
security-level privacy;
security-name u10;
}
notify-filter nf1;
}
Beispiel: Konfigurieren der Remote-Engine-ID und des Remote-Benutzers
In diesem Beispiel wird gezeigt, wie Sie eine Remote-Engine und einen Remote-Benutzer so konfigurieren, dass Sie SNMP-Inform-Benachrichtigungen empfangen und darauf antworten können. Inform-Benachrichtigungen können authentifiziert und verschlüsselt werden. Sie sind auch zuverlässiger als Traps, eine andere Art von Benachrichtigung, die von Junos OS unterstützt wird. Im Gegensatz zu Traps werden Inform-Benachrichtigungen gespeichert und in regelmäßigen Abständen erneut gesendet, bis eine der folgenden Bedingungen eintritt:
Das Ziel der Inform-Benachrichtigung gibt eine Bestätigung an den SNMP-Agenten zurück.
Es wurde eine bestimmte Anzahl erfolgloser Wiederholungsversuche unternommen.
Anforderungen
Diese Funktion erfordert die Verwendung von Nur-Text-Kennwörtern, die für SNMPv3 gültig sind. Für SNMPv3 gelten die folgenden Anforderungen, wenn Sie Nur-Text-Kennwörter auf einem Router oder Switch erstellen:
Das Passwort muss mindestens acht Zeichen lang sein.
Das Kennwort kann alphabetische, numerische und Sonderzeichen, jedoch keine Steuerzeichen enthalten.
Es ist am besten, Passwörter in Anführungszeichen zu setzen, obwohl dies nicht erforderlich ist. Sie benötigen Anführungszeichen, wenn das Passwort Leerzeichen oder bestimmte Sonderzeichen oder Satzzeichen enthält.
Überblick
Inform-Benachrichtigungen werden in SNMPv3 unterstützt, um die Zuverlässigkeit zu erhöhen. Beispiel: Ein SNMP-Agent, der eine Inform-Benachrichtigung empfängt, bestätigt den Eingang.
Bei Inform-Benachrichtigungen identifiziert die Remote-Engine-ID den SNMP-Agenten auf dem Remote-Gerät, auf dem sich der Benutzer befindet, und der Benutzername identifiziert den Benutzer auf einem Remote-SNMP-Modul, der die Inform-Benachrichtigungen empfängt.
Stellen Sie sich ein Szenario vor, in dem Sie über die Werte Tabelle 1 verfügen, die für die Konfiguration der Remote-Modul-ID und des Remotebenutzers in diesem Beispiel verwendet werden sollen.
Um Inform-Nachrichten an einen SNMPv3-Benutzer auf einem Remote-Gerät zu senden, müssen Sie zunächst die Modul-ID für den SNMP-Agenten auf dem Remote-Gerät angeben, auf dem sich der Benutzer befindet. Die Remote-Engine-ID wird verwendet, um den Sicherheitsdigest für die Authentifizierung und Verschlüsselung von Paketen zu berechnen, die an einen Benutzer auf dem Remote-Host gesendet werden. Beim Senden einer Inform-Nachricht verwendet der Agent die Anmeldeinformationen des Benutzers, der auf der Remote-Engine (Inform-Ziel) konfiguriert ist.
Bei "informiert" handelt es sich um die Kennung für den SNMP-Agenten auf dem Remote-Gerät, remote-engine engine-id auf dem sich der Benutzer befindet.
Bei informs ist dies der Benutzer auf einer Remote-SNMP-Engine, user username der die Informationen empfängt.
Generierte Informationen können unauthenticated, oder authenticated_and_encryptedsein, abhängig von der Sicherheitsstufe des SNMPv3-Benutzers, authenticatedder auf der Remote-Engine (dem Inform-Empfänger) konfiguriert ist. Der Authentifizierungsschlüssel wird zum Generieren von MAC (Message Authentication Code) verwendet. Der Datenschutzschlüssel wird verwendet, um den PDU-Teil der Nachricht zu verschlüsseln.
Name der Variablen |
Wert |
|---|---|
Nutzername |
u10 |
Remote-Engine-ID |
800007E5804089071BC6D10A41 |
Authentifizierungstyp |
Authentifizierung-MD5 |
Authentifizierungskennwort |
qol67R%? |
Verschlüsselungstyp |
privacy-des |
Datenschutz-Passwort |
m*72Jl9v |
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche und ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Sie diese Befehle und fügen Sie sie auf Hierarchieebene [edit snmp v3] in die CLI ein, und rufen Sie dann den Konfigurationsmodus auf commit .
set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?" set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Konfigurieren der Remote-Engine und des Remote-Benutzers
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie zu verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Remote-Engine-ID und den Remote-Benutzer:
Konfigurieren Sie die Remote-Engine-ID, den Benutzernamen sowie den Authentifizierungstyp und das Kennwort.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?"
Konfigurieren Sie den Verschlüsselungstyp und das Datenschutzkennwort.
Sie können nur einen Verschlüsselungstyp pro SNMPv3-Benutzer konfigurieren.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit snmp v3]
user@ host# show
usm {
remote-engine 800007E5804089071BC6D10A41 {
user u10 {
authentication-md5 {
authentication-key "$9$hagSyKNdbY2acyvLN-2g69CtpBRhSvMX/CLx-V4oZUjkqfQz69CuF36Apu1Idbw2ZUiHm3/C.mF/CA1IVws4oGkqf6CtzF";## SECRET-DATA
}
privacy-des {
privacy-key "$9$GJDmf3nCtO1zFnCu0hcrevM87bs2oaUbwqmP5F3Ap0O1hrevMLxcSYgoaUDqmf5n/Ap0REyk.BIREyr4aJZUHfTz9tu5T";## SECRET-DATA
}
}
}
}
Nachdem Sie sich vergewissert haben, dass die Konfiguration korrekt ist, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen der Konfiguration der ID und des Benutzernamens des Remote-Moduls
Zweck
Überprüfen Sie den Status der Modul-ID und der Benutzerinformationen.
Action!
Zeigen Sie Informationen über die SNMPv3-Engine-ID und den Benutzer an.
user@host> show snmp v3
Local engine ID: 80 00 0a 4c 01 0a ff 03 e3
Engine boots: 3
Engine time: 769187 seconds
Max msg size: 65507 bytes
Engine ID: 80 00 07 e5 80 40 89 07 1b c6 d1 0a 41
User Auth/Priv Storage Status
u10 md5/des nonvolatile active
Bedeutung
In der Ausgabe werden die folgenden Informationen angezeigt:
Lokale Engine-ID und Details zum Motor
Remote-Motor-ID (beschriftet
Engine ID)Nutzername
Authentifizierungstyp und Verschlüsselungstyp (Datenschutz), der für den Benutzer konfiguriert ist
Speichertyp für den Benutzernamen, entweder nicht flüchtig (Konfiguration gespeichert) oder flüchtig (nicht gespeichert)
Status des neuen Benutzers; Nur Benutzer mit aktivem Status können SNMPv3 verwenden