Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration du SNMPv3

Configuration SNMPv3 minimale sur un équipement s’exécutant Junos OS

Pour configurer les exigences minimales pour SNMPv3, inclure les instructions suivantes aux niveaux [edit snmp v3][edit snmp] hiérarchiques et suivants:

Remarque :

Vous devez configurer au moins une vue (notifier, lire ou écrire) au niveau [edit snmp view-name] de la hiérarchie.

Exemple: SNMPv3 Configuration

Définir une configuration SNMPv3:

Création d’utilisateurs SNMPv3

Pour chaque utilisateur SNMPv3, vous pouvez spécifier le nom d’utilisateur, le type d’authentification, le mot de passe d’authentification, le type de confidentialité et le mot de passe de confidentialité. Une fois le mot de passe entré, une clé basée sur l’ID et le mot de passe du moteur est générée et écrite dans le fichier de configuration. Après la génération de la clé, le mot de passe est supprimé de ce fichier de configuration.

Remarque :

Vous pouvez configurer un seul type de chiffrement pour chaque utilisateur SNMPv3.

Pour créer des utilisateurs, inclure user l’instruction au niveau [edit snmp v3 usm local-engine] de la hiérarchie:

username est le nom qui identifie l’utilisateur SNMPv3.

Pour configurer l’authentification et le chiffrement des utilisateurs, inclure les instructions suivantes au niveau [edit snmp v3 usm local-engine user username] de la hiérarchie:

Exemple: Création d’utilisateurs SNMPv3

Définir les utilisateurs SNMPv3:

Configuration du type d’authentification SNMPv3

Par défaut, dans une configuration Junos OS, le type d’authentification SNMPv3 n’est pas prêt.

Cette rubrique comprend les sections suivantes :

Configuration de l’authentification MD5

Pour configurer l’algorithme de digeste de message (MD5) en tant que type d’authentification pour un utilisateur SNMPv3, inclure l’instruction au niveau authentication-md5[edit snmp v3 usm local-engine user username] de la hiérarchie:

authentication-password est le mot de passe utilisé pour générer la clé d’authentification.

Le SNMPv3 a des exigences spéciales pour créer des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Configuration de l’authentification SHA

Pour configurer l’algorithme de hachage sécurisé (SHA) comme type d’authentification pour un utilisateur SNMPv3, inclure l’instruction au niveau authentication-sha[edit snmp v3 usm local-engine user username] de la hiérarchie:

authentication-password est le mot de passe utilisé pour générer la clé d’authentification.

Le SNMPv3 a des exigences spéciales pour créer des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Configuration d’aucune authentification

Pour ne configurer aucune authentification pour un utilisateur SNMPv3, inclure l’instruction au niveau authentication-none[edit snmp v3 usm local-engine user username] de la hiérarchie:

Configuration du type de chiffrement SNMPv3

Par défaut, le chiffrement n’est pas prêt.

Remarque :

Avant de configurer le chiffrement, vous devez configurer l’authentification MD5 ou SHA.

Avant de configurer le , et les instructions, vous devez installer le package, puis redémarrer le processus privacy-desprivacy-3des SNMP ou privacy-aes128jcrypto redémarrer le routeur.

Cette rubrique comprend les sections suivantes :

Configuration de l’algorithme Advanced Encryption Standard

Pour configurer l’algorithme AES (Advanced Encryption Standard) pour un utilisateur SNMPv3, inclure l’énoncé au niveau privacy-aes128[edit snmp v3 usm local-engine user username] de la hiérarchie:

privacy-password est le mot de passe utilisé pour générer la clé de chiffrement utilisée.

Le SNMPv3 a des exigences spéciales pour créer des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Configuration de l’algorithme de chiffrement des données

Pour configurer l’algorithme de chiffrement des données (DES) pour un utilisateur SNMPv3, inclure l’énoncé au niveau privacy-des[edit snmp v3 usm local-engine user username] de la hiérarchie:

privacy-password est le mot de passe utilisé pour générer la clé de chiffrement utilisée.

Le SNMPv3 a des exigences spéciales pour créer des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Configuration de triple DES

Pour configurer trois DES pour un utilisateur SNMPv3, inclure l’instruction au niveau privacy-3des[edit snmp v3 usm local-engine user username] de la hiérarchie:

privacy-password est le mot de passe utilisé pour générer la clé de chiffrement utilisée.

Le SNMPv3 a des exigences spéciales pour créer des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Configuration sans cryptage

Pour ne pas configurer de chiffrement pour un utilisateur SNMPv3, inclure l’instruction au niveau privacy-none[edit snmp v3 usm local-engine user username] de la hiérarchie:

Définition des privilèges d’accès pour un groupe SNMP

La version 3 du SNMP (SNMPv3) utilise le modèle de contrôle d’accès basé sur la vue (VACM), qui vous permet de configurer les privilèges d’accès accordés à un groupe. L’accès est contrôlé par le filtrage des MIB objets disponibles pour une opération spécifique via une vue prédéfinde. Vous attribuez des vues pour déterminer les objets visibles pour la lecture, l’écriture et la notification des opérations pour un groupe particulier, en utilisant un contexte particulier, un modèle de sécurité particulier (v1, v2c ou usm) et un niveau de sécurité particulier (authentifié, confidentialité ou aucun). Pour plus d’informations sur la configuration des vues, consultez Configuring MIB Views.

Vous définissez l’accès des utilisateurs aux informations de gestion au [edit snmp v3 vacm] niveau hiérarchique. Tous les contrôles d’accès au sein de VACM fonctionnent sur des groupes (ensembles d’utilisateurs définis par USM) ou des chaînes de communautés telles que définies dans les modèles de sécurité SNMPv1 et SNMPv2c. Le terme security-name désigne ces utilisateurs finaux génériques. Le groupe auquel appartient un nom de sécurité spécifique est configuré au niveau [edit snmp v3 vacm security-to-group] hiérarchique. Ce nom de sécurité peut être associé à un groupe défini au niveau [edit snmp v3 vacm security-to-group] de la hiérarchie. Un groupe identifie un ensemble d’utilisateurs SNMP qui partagent la même stratégie d’accès. Vous définissez ensuite les privilèges d’accès associés à un groupe au niveau [edit snmp v3 vacm access] de la hiérarchie. Les droits d’accès sont définis selon des vues. Pour chaque groupe, vous pouvez appliquer des vues différentes selon le fonctionnement de SNMP. par exemple, lire ( ou ) écrire ( ), les notifications, le niveau de sécurité utilisé (authentification, confidentialité, ou aucun) et le modèle de sécurité getgetNextgetBulk (v1, v2c ou usm) utilisé dans une demande set SNMP.

Vous configurez l’instruction pour les membres d’un security-name groupe. Pour les paquets v3 utilisant USM, le nom de sécurité est le même que le nom d’utilisateur. Pour les paquets SNMPv1 ou SNMPv2c, le nom de sécurité est déterminé en fonction de la chaîne de la communauté. Les noms de sécurité sont spécifiques à un modèle de sécurité. Si vous configurez également des stratégies d’accès VACM pour les paquets SNMPv1 ou SNMPv2c, vous devez attribuer des noms de sécurité à des groupes pour chaque modèle de sécurité (SNMPv1 ou SNMPv2c) au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Vous devez également associer un nom de sécurité à une communauté SNMP au niveau [edit snmp v3 snmp-community community-index] hiérarchique.

Pour configurer les privilèges d’accès d’un groupe SNMP, inclure des instructions au niveau [edit snmp v3 vacm] de la hiérarchie:

Configuration des privilèges d’accès accordés à un groupe

Cette rubrique comprend les sections suivantes :

Configuration du groupe

Pour configurer les privilèges d’accès accordés à un groupe, inclure l’instruction au niveau group[edit snmp v3 vacm access] de la hiérarchie:

group-name est un ensemble d’utilisateurs SNMP qui appartiennent à une liste SNMP commune qui définit une stratégie d’accès. Les utilisateurs appartenant à un groupe SNMP particulier héritent de tous les privilèges d’accès accordés à ce groupe.

Configuration du modèle de sécurité

Pour configurer le modèle de sécurité, inclure security-model l’instruction au niveau [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] de la hiérarchie:

  • any— Tous les modèles de sécurité

  • usm—Modèle de sécurité SNMPv3

  • v1—Modèle de sécurité SNMPV1

  • v2c—Modèle de sécurité SNMPv2c

Configuration du niveau de sécurité

Pour configurer les privilèges d’accès accordés aux paquets d’un niveau de sécurité particulier, inclure l’instruction au niveau security-level[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] de la hiérarchie:

  • none— Ne fournit aucune authentification et aucun chiffrement.

  • authentication— Fournit une authentification mais aucun chiffrement.

  • privacy— Fournit l’authentification et le chiffrement.

    Remarque :

    Les privilèges d’accès sont accordés à tous les paquets dont le niveau de sécurité est égal ou supérieur à celui configuré. Si vous configurez le modèle de sécurité SNMPv1 ou SNMPv2c, none utilisez-le comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le authentication niveau , ou de noneprivacy sécurité.

Association de MIB vues avec un groupe d’utilisateurs SNMP

MIB vues définissent les privilèges d’accès pour les membres d’un groupe. Des vues distinctes peuvent être appliquées pour chaque opération SNMP (lire, écrire et notifier) au sein de chaque modèle de sécurité (usm, v1 et v2c) et de chaque niveau de sécurité (authentification, aucune et confidentialité) pris en charge par SNMP.

Pour associer MIB vues d’un groupe d’utilisateurs SNMP, inclure les instructions suivantes au niveau [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] de la hiérarchie:

Remarque :

Vous devez associer au moins une vue (notifier, lire ou écrire) au niveau [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] de la hiérarchie.

Vous devez configurer l’MIB au niveau [edit snmp view view-name] de la hiérarchie. Pour plus d’informations sur la configuration MIB vues, consultez Configuring MIB Views.

Cette section décrit les sujets suivants relatifs à cette configuration:

Configuration de l’affichage Notifié

Pour associer l’accès notifié à un groupe d’utilisateurs SNMP, inclure notify-view l’instruction au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie:

view-name indique l’accès notifié, c’est-à-dire une liste de notifications qui peuvent être envoyées à chaque utilisateur dans un groupe SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Configuration de l’affichage lisez

Pour associer une vue de lecture à un groupe SNMP, inclure l’instruction au niveau read-view[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] de la hiérarchie:

view-name spécifie un accès en lecture pour un groupe d’utilisateurs SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Configuration de la vue Écrire

Pour associer une vue d’écriture à un groupe d’utilisateurs SNMP, inclure l’instruction au niveau write-view[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] de la hiérarchie:

view-name spécifie un accès d’écriture pour un groupe d’utilisateurs SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Exemple: Configuration des privilèges d’accès accordés à un groupe

Définir les privilèges d’accès:

Attribuer un modèle de sécurité et un nom de sécurité à un groupe

Pour attribuer des noms de sécurité à des groupes, inclure les instructions suivantes au niveau [edit snmp v3 vacm security-to-group] de la hiérarchie:

Cette rubrique comprend les sections suivantes :

Configuration du modèle de sécurité

Pour configurer le modèle de sécurité, inclure security-model l’instruction au niveau [edit snmp v3 vacm security-to-group] de la hiérarchie:

  • usm—Modèle de sécurité SNMPv3

  • v1—Modèle de sécurité SNMPv1

  • v2c—Modèle de sécurité SNMPv2

Attribuer des noms de sécurité à des groupes

Pour associer un nom de sécurité à un utilisateur SNMPv3 ou à une chaîne de communauté v1 ou v2, inclure l’instruction au niveau security-name[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] de la hiérarchie:

Pour SNMPv3, le security-name nom d’utilisateur est configuré au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie. Pour SNMPv1 et SNMPv2c, le nom de sécurité est la chaîne de communauté configurée au niveau [edit snmp v3 snmp-community community-index] de la hiérarchie. Pour plus d’informations sur la configuration des nom d’utilisateur, consultez Creating SNMPv3 Users. Pour plus d’informations sur la configuration d’une chaîne de communautés, consultez Configuring the SNMPv3 Community.

Remarque :

Le nom de sécurité USM est distinct des noms de sécurité SNMPv1 et SNMPv2c. Si vous êtes en charge des SNMPv1 et SNMPv2c en plus de SNMPv3, vous devez configurer des noms de sécurité différents au niveau de la configuration de sécurité à groupe au niveau de la [edit snmp v3 vacm access] hiérarchie.

Configuration du groupe

Après avoir créé des utilisateurs SNMPv3 ou des noms de sécurité v1 ou v2, vous les associez à un groupe. Un groupe est un ensemble de noms de sécurité appartenant à un modèle de sécurité particulier. Un groupe définit les droits d’accès de tous les utilisateurs qui y appartiennent. Les droits d’accès définissent les objets SNMP à lire, à écrire ou à créer. Un groupe définit également les notifications qu’un utilisateur est autorisé à recevoir.

Si vous avez déjà un groupe configuré avec toutes les autorisations d’accès et de vue que vous souhaitez donner à un utilisateur, vous pouvez l’ajouter à ce groupe. Si vous souhaitez donner une vue utilisateur et accéder aux autorisations qu’aucun autre groupe n’a, ou si vous ne faites pas configurer de groupes, créez un groupe et ajoutez-le à l’utilisateur.

Pour configurer les privilèges d’accès accordés à un groupe, inclure l’instruction au niveau group[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] de la hiérarchie:

group-name identifie un ensemble de noms de sécurité SNMP qui partagent la même stratégie d’accès. Pour plus d’informations sur les groupes, consultez la liste Defining Access Privileges for an SNMP Group.

Exemple: Configuration des groupes de sécurité

Attribuez des noms de sécurité à des groupes:

Configuration de traps SNMPv3 sur un équipement s’exécutant Junos OS

Dans SNMPv3, vous créez des traps et vous les informez en configurant notifytarget-address les paramètres et les target-parameters paramètres. Les traps sont des notifications non confirmées, alors que les informations sont des notifications confirmées. Cette section décrit comment configurer les traps SNMP. Pour plus d’informations sur la configuration des informations de SNMP, consultez configuring SNMP Informs.

L’adresse cible définit l’adresse et les paramètres d’une application de gestion pour l’envoi de notifications. Les paramètres de cible définissent le traitement des messages et les paramètres de sécurité utilisés pour l’envoi de notifications à une cible de gestion particulière. Le SNMPv3 vous permet également de définir les traps SNMPv1 et SNMPv2c.

Remarque :

Lorsque vous configurez des traps SNMP, assurez-vous que vos privilèges d’accès configurés permettent l’envoi de traps. Les privilèges d’accès sont configurés aux niveaux [edit snmp v3 vacm access][edit snmp v3 vacm security-to-group] hiérarchiques et inférieurs.

Pour configurer les traps SNMP, inclure les instructions suivantes au niveau [edit snmp v3] de la hiérarchie:

Configuration de la notification du piège SNMPv3

notifyL’instruction spécifie le type de notification (trap) et contient une balise unique. La balise définit un ensemble d’adresses cibles pour recevoir un piège. La liste de balises contient une ou plusieurs balises et est configurée au niveau [edit snmp v3 target-address target-address-name] de la hiérarchie. Si la liste de balises contient cette balise, Junos OS envoie une notification à toutes les adresses cibles associées à cette balise.

Pour configurer les notifications de piège, inclure notify l’instruction au niveau de la [edit snmp v3] hiérarchie:

name est le nom attribué à la notification.

tag-name définit les adresses cibles à lesquelles cette notification est envoyée. Cette notification est envoyée à toutes les adresses cibles qui ont cette balise dans leur liste de balises. La tag-name notification n’en est pas un.

trap est le type de notification.

Remarque :

Chaque nom d’entrée notifié doit être unique.

Junos OS prend en charge deux types de notification: trap et inform .

Pour plus d’informations sur la configuration de la liste de balises, consultez Configuring the Trap Target Address.

Exemple: Configuration des notifications des pièges SNMPv3

Indiquez trois ensembles de destinations pour envoyer des traps:

Configuration du filtre de notification de piège

SNMPv3 utilise le filtre d’alerte pour définir les pièges (ou les objets à partir des quels traps) sont envoyés au système de gestion du réseau (NMS). Le filtre de notification de piège limite le type de pièges envoyés au NMS.

Chaque identifiant d’objet représente un sous-tree de la hiérarchie MIB objet. Le sous-tree peut être représenté par une séquence d’tegers en pointillés (comme 1.3.6.1.2.1.2) ou par son nom sous-tree (par interfaces exemple). Vous pouvez également utiliser le caractère générique astérisque (*) de l’identifiant d’objet (OID) pour spécifier les identificateurs d’objets qui correspondent à un motif particulier.

Pour configurer le filtre de notifications piège, inclure l’instruction au niveau notify-filter[edit snmp v3] de la hiérarchie:

profile-name est le nom attribué au filtre d’alerte.

Par défaut, l’option OID est définie sur include . Pour définir l’accès aux traps (ou aux objets à partir de traps), inclure l’instruction au niveau oid[edit snmp v3 notify-filter profile-name] de la hiérarchie:

oid est l’identifiant de l’objet. Tous MIB représentés par cette instruction sont identifiés comme préfixe par l’OID spécifié. Il peut être spécifié soit par une séquence d’tegers en pointillés, soit par un nom sous-tree.

  • include—Inclure le sous-tree MIB objets représentés par l’OID spécifié.

  • exclude—Exclure le sous-tree MIB objets représentés par l’OID spécifié.

Configuration de l’adresse cible du piège

L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour l’envoi de notifications. Il identifie également les stations de gestion autorisées à utiliser des chaînes communautaires spécifiques. Lorsque vous recevez un paquet contenant une chaîne de communauté reconnue et qu’une balise lui est associée, Junos OS examine toutes les adresses cibles à l’aide de cette balise et vérifie que l’adresse source de ce paquet est associée à l’une des adresses cibles configurées.

Remarque :

Vous devez configurer le masque d’adresse lors de la configuration de la communauté SNMP.

Pour spécifier l’endroit où vous souhaitez envoyer les traps et définir les paquets SNMPv1 et SNMPv2cc autorisés, inclure l’instruction au niveau de la target-address[edit snmp v3] hiérarchie:

target-address-name est la chaîne qui identifie l’adresse cible.

Pour configurer les propriétés d’adresse cible, inclure les instructions suivantes au niveau [edit snmp v3 target-address target-address-name] de la hiérarchie:

Contrairement à SNMP v2, dans SNMPv3, il n’existe aucune option de configuration pour limiter les interrogations entrantes. Cependant, vous pouvez configurer un filtre lo0 pour limiter les interrogations entrantes en créant une règle permettant l’accès au SNMP à partir des IPs de votre système de surveillance. Quelques chiffres clés :

Configuration de l’adresse

Pour configurer l’adresse, inclure address l’instruction au niveau [edit snmp v3 target-address target-address-name] de la hiérarchie:

address est l’adresse cible de SNMP.

Configuration du masque d’adresse

Le masque d’adresse spécifie un ensemble d’adresses autorisées à utiliser une chaîne de communautés et vérifie les adresses source pour un groupe d’adresses cibles.

Pour configurer le masque d’adresse, inclure address-mask l’instruction au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie:

address-mask associées à l’adresse définissent une gamme d’adresses. Pour savoir comment configurer la chaîne de la communauté, consultez configuring the SNMPv3 Community.

Configuration du port

Par défaut, le port UDP est placé sur 162. Pour configurer un autre numéro de port, inclure port l’instruction au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie:

port-number est le port cible de SNMP.

Configuration de l’instance de routage

Des pièges sont envoyés sur l’instance de routage par défaut. Pour configurer l’instance de routage pour l’envoi de traps, inclure l’instruction au niveau routing-instance[edit snmp v3 target-address target-address-name] de la hiérarchie:

instance est le nom de l’instance de routage. Pour configurer une instance de routage dans un système logique, indiquez le nom du système logique suivi du nom de l’instance de routage. Utilisez une barre d' / slash () pour séparer les deux noms (par exemple, test-lr/test-ri ). Pour configurer l’instance de routage par défaut sur un système logique, indiquez le nom du système logique suivi default (par test-lr/default exemple).

Configuration de l’adresse cible du piège

Chaque target-address instruction peut avoir une ou plusieurs balises configurées dans sa liste de balises. Chaque balise peut s’apparaître dans plusieurs listes de balises. Lorsqu’un événement important se produit sur l’équipement réseau, la liste de balises identifie les cibles vers lesquelles une notification est envoyée.

Pour configurer la liste de balises, inclure tag-list l’instruction au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie:

tag-list spécifie une ou plusieurs balises comme une liste séparée par l’espace, répertoriée dans des citations doubles.

Pour un exemple de configuration de liste de balises, consultez l’exemple: Configuration de la liste de balises .

Pour savoir comment spécifier une balise au niveau de la hiérarchie, consultez la notification de trap [edit snmp v3 notify notify-name]SNMPv3.

Remarque :

Lorsque vous configurez des traps SNMP, assurez-vous que vos privilèges d’accès configurés permettent l’envoi de traps. Configurez les privilèges d’accès au [edit snmp v3 vacm access] niveau hiérarchique.

Application des paramètres cibles

target-parametersL’instruction au niveau de la hiérarchie applique les paramètres cibles [edit snmp v3] configurés au niveau de la [edit snmp v3 target-parameters target-parameters-name] hiérarchie.

Pour référence les paramètres de cible configurés, inclure target-parameters l’instruction au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie:

target-parameters-name est le nom associé au traitement des messages et aux paramètres de sécurité utilisés pour envoyer des notifications à une cible de gestion particulière.

Exemple: Configuration de la liste de balises

Dans l’exemple suivant, deux entrées de balise ( et router1router2 ) sont définies au niveau de la [edit snmp v3 notify notify-name] hiérarchie. Lorsqu’un événement déclenche une notification, Junos OS envoie un piège à toutes les adresses cibles qui ont ou configurées dans leur liste de balises router1router2 d’adresse cible. Ainsi, les deux premières ciblent un piège chacun, et la troisième cible deux pièges.

Définition et configuration des paramètres cibles du piège

Les paramètres de cible définissent le traitement des messages et les paramètres de sécurité utilisés pour l’envoi de notifications à une cible de gestion particulière.

Pour définir un ensemble de paramètres cibles, inclure l’instruction au target-parameters niveau [edit snmp v3] de la hiérarchie:

target-parameters-name est le nom attribué aux paramètres cibles.

Pour configurer les propriétés des paramètres cibles, inclure les instructions suivantes au niveau [edit snmp v3 target-parameters target-parameter-name] de la hiérarchie:

Remarque :

Lorsque vous configurez les notifications de trap SNMP pour la stratégie de sécurité des abonnés sur les routeurs MX Series, vous devez configurer les paramètres comme suit:

  • Modèle de traitement des messages: v3

  • Niveau de sécurité: privacy

  • Modèle de sécurité: usm

Pour plus d’informations sur la configuration des stratégies sécurisées pour les abonnés, consultez la présentation de la stratégie Subscriber Secure.

Cette rubrique comprend les sections suivantes :

Application du filtre de notification de piège

Pour appliquer le filtre de notification piège, inclure notify-filter l’énoncé au niveau de la [edit snmp v3 target-parameters target-parameter-name] hiérarchie:

profile-name est le nom d’un filtre d’alerte configuré. Pour plus d’informations sur la configuration des filtres d’alertes, consultez configuring the Trap Notification Filter.

Configuration des paramètres cibles

Pour configurer les propriétés des paramètres cibles, inclure les instructions suivantes au niveau [edit snmp v3 target-parameters target-parameter-name parameters] de la hiérarchie:

Cette section comprend les sujets suivants:

Configuration du modèle de traitement des messages

Le modèle de traitement des messages définit la version de SNMP à utiliser lors de la génération de notifications SNMP. Pour configurer le modèle de traitement des messages, inclure l’instruction au message-processing-model niveau [edit snmp v3 target-parameters target-parameter-name parameters] de la hiérarchie:

  • v1—Modèle de traitement des messages SNMPv1

  • v2c—Modèle de traitement des messages SNMPv2c

  • v3—Modèle de traitement des messages SNMPV3

Remarque :

Le modèle de traitement des messages est requis pour la stratégie de sécurité des abonnés v3 MX Series routeurs. Pour plus d’informations, consultez la présentation des stratégies s’à l’heure de la sécurité des abonnés.

Configuration du modèle de sécurité

Pour définir le modèle de sécurité à utiliser lors de la génération de notifications SNMP, inclure l’instruction au niveau security-model[edit snmp v3 target-parameters target-parameter-name parameters] de la hiérarchie:

  • usm—Modèle de sécurité SNMPv3

  • v1—Modèle de sécurité SNMPv1

  • v2c—Modèle de sécurité SNMPv2c

Remarque :

Le modèle de sécurité est requis pour la stratégie de sécurité des abonnés usm sur MX Series routeurs. Pour plus d’informations, consultez la présentation des stratégies s’à l’heure de la sécurité des abonnés.

Configuration du niveau de sécurité

L’instruction spécifie si le piège est authentifié et chiffré avant security-level son envoi.

Pour configurer le niveau de sécurité à utiliser lors de la génération de notifications SNMP, inclure l’instruction au niveau security-level[edit snmp v3 target-parameters target-parameter-name parameters] de la hiérarchie:

  • authentication— Fournit une authentification mais aucun chiffrement.

  • none— Pas de sécurité. Ne fournit aucune authentification et aucun chiffrement.

  • privacy— Fournit l’authentification et le chiffrement.

    Remarque :

    Si vous configurez le modèle de sécurité SNMPv1 ou SNMPV2c, none utilisez-le comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le authentication niveau de sécurité ou le niveau de privacy sécurité.

    Le niveau de sécurité est requis pour la stratégie de sécurité des abonnés privacy sur MX Series routeurs. Pour plus d’informations, consultez la présentation des stratégies s’à l’heure de la sécurité des abonnés.

Configuration du nom de la sécurité

Pour configurer le nom de sécurité à utiliser lors de la génération de notifications SNMP, inclure l’instruction au niveau security-name[edit snmp v3 target-parameters target-parameter-name parameters] de la hiérarchie:

Si le modèle de sécurité USM est utilisé, l’utilisateur qui est utilisé lorsque security-name la notification est générée. Si les modèles de sécurité v1 ou v2c sont utilisés, identifie la communauté SNMP utilisée lorsque la security-name notification est générée.

Remarque :

Les privilèges d’accès du groupe associé à un nom de sécurité doivent permettre l’envoi de cette notification.

Si vous utilisez des modèles de sécurité v1 ou v2, le nom de sécurité au niveau de la hiérarchie doit correspondre au nom de sécurité au niveau [edit snmp v3 vacm security-to-group][edit snmp v3 snmp-community community-index] de la hiérarchie.

Configuration des informations SNMP

Junos OS prend en charge deux types de notifications: pièges et informations. Avec des traps, le récepteur n’envoie aucune reconnaissance lorsqu’il reçoit un piège. L’expéditeur ne peut donc pas déterminer si le piège a été reçu. Un piège peut être perdu en raison d’un problème au cours de la transmission. Pour améliorer la fiabilité, une information est similaire à un piège, sauf que l’information est stockée et retransmise à intervalles réguliers jusqu’à ce que l’une de ces conditions se produise:

  • Le récepteur (cible) de l’informateur renvoie une reconnaissance à l’agent SNMP.

  • Un nombre spécifié de retransmissions réussies ont été tentées et l’agent écarte le message d’information.

Si l’expéditeur n’reçoit jamais de réponse, l’expéditeur peut être de nouveau envoyé. Ainsi, les informations sont plus susceptibles d’atteindre leur destination que les pièges. Les informations utilisent le même canal de communication que les traps (même connecteur et port), mais ils ont différents types d’unités de données de protocole (PDU).

Les informations sont plus fiables que les pièges, mais elles consomment plus de ressources réseau, routeur et commutateur Figure 1 (voir). Contrairement à un piège, un inform est maintenu en mémoire jusqu’à ce qu’une réponse soit reçue ou que le délai d’intervention soit atteint. En outre, les pièges ne sont envoyés qu’une fois, alors qu’une information peut être resserée plusieurs fois. Utiliser les informations lorsqu’il est important que le responsable SNMP reçoit toutes les notifications. Toutefois, si vous vous préoccupez davantage du trafic réseau ou du routeur et de la mémoire de commuter, utilisez des pièges.

Figure 1 : Informer la demande et la réponseInformer la demande et la réponse

Configuration du type de notification informateur et de l’adresse cible

Pour configurer le type de notification et les informations ciblées, inclure les instructions suivantes au niveau [edit snmp v3] de la hiérarchie:

notify name est le nom attribué à la notification. Chaque nom d’entrée notifié doit être unique.

tag tag-name définit les adresses cibles qui ont reçu cette notification. La notification est envoyée à toutes les adresses cibles qui ont cette balise dans leur liste de balises. La tag-name notification n’en est pas un. Pour plus d’informations sur la configuration de la liste de balises, consultez Configuring the Trap Target Address.

type inform est le type de notification.

target-address target-address-name identifie l’adresse cible. L’adresse cible définit l’adresse et les paramètres d’une application de gestion qui sont utilisés pour répondre aux informations d’information.

timeout seconds le nombre de secondes avant l’accusé de réception. Si aucune reconnaissance n’est reçue dans le délai d’attente, l’information est retransmise. Le délai d’avance par défaut est de 15 quelques secondes.

retry-count number est le nombre maximal de fois qu’une information est transmise si aucune accusé de réception n’est reçue. Le paramètre par défaut 3 est . Si aucune reconnaissance n’est reçue après la transmission du nombre maximal de fois qu’elle a été transmise, le message d’information est écarté.

message-processing-model définit la version de SNMP à utiliser lorsque des notifications SNMP sont générées. Les informations nécessitent un v3 modèle de traitement des messages.

security-model définit le modèle de sécurité à utiliser lorsque des notifications SNMP sont générées. Les informations nécessitent un usm modèle de sécurité.

security-model définit le modèle de sécurité à utiliser lorsque des notifications SNMP sont générées. Les informations nécessitent un usm modèle de sécurité.

security-level indique si l’information est authentifiée et chiffrée avant son envoi. Pour le modèle de sécurité, le niveau usm de sécurité doit faire partie des mesures suivantes:

  • authentication— Fournit une authentification mais aucun chiffrement.

  • privacy— Fournit l’authentification et le chiffrement.

security-name identifie le nom d’utilisateur utilisé lors de la génération des informations.

Exemple: Configuration du type de notification informateur et de l’adresse cible

Dans l’exemple suivant, la cible 172.17.20.184 est configurée pour répondre aux informations. Le délai d’information est de 30 secondes et le nombre maximal de retransmitage est de 3. L’information est envoyée à toutes les cibles dans la liste tl1. Le modèle de sécurité de l’utilisateur distant est usm et le nom d’utilisateur du moteur distant est u10.

Configuration du moteur distant et de l’utilisateur distant

Pour envoyer des messages informant un utilisateur SNMPv3 sur un équipement distant, vous devez d’abord spécifier l’identifiant moteur de l’agent SNMP de l’équipement distant où réside l’utilisateur. L’ID de moteur distant est utilisé pour informatiquer le digest de sécurité pour authentifier et chiffrer les paquets envoyés à un utilisateur sur l’hôte distant. Lors de l’envoi d’un message informatif, l’agent utilise les informations d’identification de l’utilisateur configurés sur le moteur distant (informez la cible).

Pour configurer un moteur distant et un utilisateur distant pour recevoir et répondre aux informations du SNMP, inclure les instructions suivantes au niveau de [edit snmp v3] la hiérarchie:

Pour informations, est l’identifiant de l’agent SNMP sur l’équipement remote-engine engine-id distant où réside l’utilisateur.

Pour informations, l’utilisateur d’un moteur SNMP distant reçoit user username les informations.

Les informations générées peuvent être, ou, en fonction du niveau de sécurité de l’utilisateur unauthenticatedauthenticated SNMPv3 configuré sur le moteur distant (le récepteur authenticated_and_encrypted informez). La clé d’authentification est utilisée pour générer du code d’authentification des messages (MAC). La clé de confidentialité est utilisée pour chiffrer la partie PDU informée du message.

Exemple: Configuration de l’ID de moteur distant et de l’utilisateur distant

Cet exemple montre comment configurer un moteur distant et un utilisateur distant afin de recevoir et de répondre aux notifications SNMP et d’informer. Informez que les notifications peuvent être authentifiées et chiffrées. Ils sont également plus fiables que les traps, un autre type de notification que Junos OS prend en charge. Contrairement aux pièges, les notifications informez sont stockées et retransmises à intervalles réguliers jusqu’à ce que l’une de ces conditions se produise:

  • La cible de la notification informée renvoie une reconnaissance à l’agent SNMP.

  • Un nombre donné de retransmissions ont été tentées, sans succès.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Cette fonctionnalité nécessite l’utilisation de mots de passe en texte clair et valides pour SNMPv3. Le SNMPv3 dispose des exigences spéciales suivantes lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur:

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et des caractères spéciaux, mais il ne peut pas inclure les caractères de contrôle.

Bien que les guillemets ne soient pas toujours nécessaires pour joindre les mots de passe, il est préférable de les utiliser. Vous avez besoin de guillemets si le mot de passe contient des espaces ou si le contenu contient des caractères spéciaux ou une ation.

Présentation

Informez que les notifications sont prise en charge dans SNMPv3 afin d’améliorer la fiabilité. Par exemple, un agent SNMP qui reçoit une notification avertie reconnaît la réception.

Pour obtenir des notifications informées, l’ID de moteur distant identifie l’agent SNMP sur l’équipement distant où se trouve l’utilisateur, et le nom d’utilisateur identifie l’utilisateur sur un moteur SNMP distant qui reçoit les notifications les plus avisées.

Prenons un scénario dans lequel vous avez les valeurs à utiliser pour configurer l’ID de moteur distant et l’utilisateur distant Tableau 1 dans cet exemple.

Tableau 1 : Valeurs à utiliser par exemple

Nom de la variable

Valeur

nom d'utilisateur

u10

ID de moteur à distance

800007E5804089071BC6D10A41

type d’authentification

authentication-md5

mot de passe d’authentification

qol67R%?

type de chiffrement

respect de la vie privée

mot de passe de confidentialité

m*72Jl9v

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes et collez-les dans un fichier texte, supprimez les interruptions de ligne et modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez ces commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le mode de [edit snmp v3]commit configuration.

Configuration du moteur distant et de l’utilisateur distant

Procédure étape par étape

L’exemple suivant exige que vous accédiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer l’ID du moteur distant et l’utilisateur distant:

  1. Configurez l’ID, le nom d’utilisateur et le type d’authentification du moteur distant et le mot de passe.

  2. Configurez le type de chiffrement et le mot de passe de confidentialité.

    Vous pouvez configurer un seul type de chiffrement par utilisateur SNMPv3.

Résultats

En mode de configuration, confirmez votre configuration en entrant la show commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Une fois que vous avez confirmé que la configuration est correcte, saisissez commit le mode de configuration.

Vérification

Vérification de la configuration de l’ID et du nom d’utilisateur du moteur distant

But

Vérifier l’état de l’ID du moteur et des informations utilisateur.

Action

Affichez les informations sur l’ID et l’utilisateur du moteur SNMPv3.

Sens

La sortie affiche les informations suivantes:

  • ID de moteur local et détails sur le moteur

  • ID de moteur distant (marqué Engine ID )

  • Nom d’utilisateur

  • Type d’authentification et type de chiffrement (confidentialité) configurés pour l’utilisateur

  • Type de stockage pour le nom d’utilisateur, nonvolat (configuration enregistrée) ou volatile (non enregistré)

  • Statut du nouvel utilisateur ; seuls les utilisateurs ayant un statut actif peuvent utiliser SNMPv3

Configuration de l’ID du moteur local

Par défaut, l’ID du moteur local utilise l’adresse IP par défaut du routeur. L’ID de moteur local est l’identifiant unique sur le plan administratif du moteur SNMPv3. Cet énoncé est facultatif. Pour configurer l’ID du moteur local, inclure l’instruction au engine-id niveau [edit snmp] de la hiérarchie:

  • local engine-id-suffix—Le suffix d’ID de moteur est configuré de manière explicite.

  • use-default-ip-address—Le suffix d’ID de moteur est généré à partir de l’adresse IP par défaut.

  • use-mac-address—L’identifiant du moteur SNMP est généré à partir de l’adresse MAC (Media Access Control) de l’interface de gestion du routeur.

Remarque :

Si vous utilisez SNMPv3 et que l’ID du moteur est basé sur l’adresse MAC et que vous avez mis à niveau depuis une version antérieure à l’une de ces dernières (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), vous devez reconfigurer SNMPv3 car l’ID du moteur est modifié par la mise à niveau. Si vous ne reconfigurez pas le SNMPv3, vous constaterez une erreur d’authentification lors de la méthode d’interrogation SNMPv3, car l’ID du moteur est modifié après la mise à niveau. Il vous suffit de reconfigurer SNMPv3 lors de la première mise à niveau de ce type. Si vous pouvez passer de l’une de ces mises à jour à une autre de ces mises à jour, il n’est plus besoin de le mettre à niveau.

Pour reconfigurer SNMPv3, utilisez la procédure suivante. N’utilisez pas la rollback 1 commande.

Pour reconfigurer SNMPv3:

  1. Découvrez la configuration SNMPv3.
  2. Supprimez la configuration SNMPv3.
  3. Reconfigurer la configuration SNMPv3 (voir débit à partir de l’étape 1).

L’ID de moteur local est défini comme l’identifiant unique d’un moteur SNMPv3 d’un point de contrôle administratif et est utilisé pour l’identification et non pour l’adressamage. Il existe deux parties d’un ID de moteur: préfixe et suffix. Le préfixe est formaté conformément aux spécifications définies dans le RFC 3411, An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks. Vous pouvez configurer le suffix ici.

Remarque :

Les clés d’authentification et de chiffrement SNMPv3 sont générées à partir des mots de passe associés et de l’ID du moteur. Si vous configurez ou modifiez l’ID du moteur, vous devez valider le nouvel ID de moteur avant de configurer les utilisateurs SNMPv3. Sinon, les clés générées à partir des mots de passe configurés sont basées sur l’ID du moteur précédent. Pour l’ID du moteur, il est recommandé d’utiliser l’adresse IP principale de l’équipement si l’équipement dispose de plusieurs moteurs de routage et que l’adresse IP principale est configurée. Vous pouvez également utiliser l’adresse MAC du port de gestion si l’équipement ne dispose que d’moteur de routage.

Configuration de la communauté SNMPv3

La communauté SNMP définit la relation entre un système de serveur SNMP et les systèmes clients. Cet énoncé est facultatif.

Pour configurer la communauté SNMP, inclure l’instruction au snmp-community niveau [edit snmp v3] de la hiérarchie:

community-index est l’index de la communauté SNMP.

Pour configurer les propriétés de la communauté SNMP, inclure les instructions suivantes au niveau [edit snmp v3 snmp-community community-index] de la hiérarchie:

Cette section comprend les sujets suivants:

Configuration du nom de la communauté

Le nom de la communauté définit la communauté SNMP. La communauté SNMP autorise les clients SNMPv1 ou SNMPv2c. Les privilèges d’accès associés au nom de sécurité configuré définissent les objets MIB disponibles et les opérations (lire, écrire ou notifier) autorisées sur ces objets.

Pour configurer le nom de la communauté SNMP, inclure l’instruction au niveau community-name[edit snmp v3 snmp-community community-index] de la hiérarchie:

community-name est la chaîne de la communauté pour une communauté SNMPv1 ou SNMPv2c.

S’il n’est pas configuré, il est identique à l’index de la communauté.

Si le nom de la communauté contient des espaces, joints aux guillemets ( » « ).

Remarque :

Les noms de communauté doivent être uniques. Vous ne pouvez pas configurer le même nom de communauté au niveau [edit snmp community] des niveaux [edit snmp v3 snmp-community community-index] hiérarchiques. Le nom de la communauté configuré au niveau [edit snmp v3 snmp-community community-index] hiérarchique est chiffré. Vous ne pouvez pas afficher le nom de la communauté une fois que vous l’avez configuré et que vous avez committed vos modifications. Dans l interface de ligne de commande (CLI), le nom de la communauté est masqué.

Configuration du contexte

Un contexte SNMP définit un ensemble d’informations de gestion accessibles à une entité SNMP. En règle générale, une entité SNMP a accès à plusieurs contextes. Un contexte peut être un système physique ou logique, un ensemble de systèmes multiples, voire un sous-ensemble d’un système. Chaque contexte d’un domaine de gestion dispose d’un identifiant unique.

Pour configurer un contexte SNMP, inclure l’instruction au context context-name niveau [edit snmp v3 snmp-community community-index] de la hiérarchie:

Remarque :

Pour interroger une instance de routage ou un système logique,

Configuration des noms de sécurité

Pour attribuer une chaîne de communauté à un nom de sécurité, inclure l’instruction au niveau security-name[edit snmp v3 snmp-community community-index] de la hiérarchie:

security-name est utilisée lors de la mise en place du contrôle d’accès. La security-to-group configuration au niveau hiérarchique identifie le [edit snmp v3 vacm] groupe.

Remarque :

Ce nom de sécurité doit correspondre au nom de sécurité configuré au niveau de la hiérarchie [edit snmp v3 target-parameters target-parameters-name parameters] lorsque vous configurez des traps.

Configuration de la balise

Pour configurer la balise, inclure tag l’instruction au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie:

tag-name identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communautés.

Exemple: Configuration d’une communauté SNMPv3

Cet exemple montre comment configurer une communauté SNMPv3.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Cet exemple illustre comment créer une communauté SNMPv3. Définissez le nom de la communauté SNMP, spécifiez le nom de sécurité pour effectuer le contrôle des accès et définissez un nom de balise qui identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de la communauté. L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour l’envoi de notifications.

Lorsque l’équipement reçoit un paquet avec une chaîne de communauté reconnue et qu’une balise est associée à ce paquet, le logiciel Junos recherche toutes les adresses cibles à l’aide de cette balise et vérifie que l’adresse source de ce paquet est associée à l’une des adresses cibles configurées.

Indiquez l’endroit où vous souhaitez envoyer les traps et définissez les paquets SNMPv1 et SNMPv2c autorisés. Indiquez le nom de l’adresse cible qui identifie l’adresse cible, définissez l’adresse cible, la gamme de masques, le numéro de port, la liste de balises et les paramètres de la cible.

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit snmp v3]commit mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

  1. Configurez le nom de la communauté SNMP.

    Remarque :

    Le nom de la communauté SNMP doit être unique.

  2. Configurez le nom de sécurité pour effectuer le contrôle des accès.

  3. Définir le nom du tag. Le nom du tag identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communautés.

  4. Configurer l’adresse cible SNMP.

  5. Configurez la plage de masques de l’adresse pour le contrôle d’accès à la chaîne de la communauté.

  6. Configurer le numéro de port cible de SNMPv3.

  7. Configurez la liste de balises SNMPv3 pour sélectionner les adresses cibles.

  8. Configurez le nom des paramètres de la cible SNMPv3 dans le tableau des paramètres cibles.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show snmp v3 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple.

Vérification

Vérification de la communauté SNMPv3

But

Vérifiez si la communauté SNMPv3 est activée.

Action

Pour vérifier la configuration de la communauté SNMPv3, saisissez show snmp v3 community le commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Sens

La sortie affiche les informations sur la communauté SNMPv3 activées sur le système.