Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration de SNMPv3

Configuration SNMPv3 minimale sur un équipement exécutant Junos OS

Pour configurer les exigences minimales pour SNMPv3, incluez les instructions suivantes aux niveaux hiérarchiques et [edit snmp] suivants [edit snmp v3] :

Remarque :

Vous devez configurer au moins une vue (notifier, lire ou écrire) au niveau de la [edit snmp view-name] hiérarchie.

Exemple : SNMPv3 Configuration

Définir une configuration SNMPv3 :

Création d’utilisateurs SNMPv3

Pour chaque utilisateur SNMPv3, vous pouvez spécifier le nom d’utilisateur, le type d’authentification, le mot de passe d’authentification, le type de confidentialité et le mot de passe de confidentialité. Une fois qu’un utilisateur saisit un mot de passe, une clé basée sur l’ID et le mot de passe du moteur est générée et écrite dans le fichier de configuration. Après la génération de la clé, le mot de passe est supprimé de ce fichier de configuration.

Remarque :

Vous ne pouvez configurer qu’un seul type de chiffrement pour chaque utilisateur SNMPv3.

Pour créer des utilisateurs, incluez l’instruction user au niveau de la [edit snmp v3 usm local-engine] hiérarchie :

username est le nom qui identifie l’utilisateur SNMPv3.

Pour configurer l’authentification et le chiffrement des utilisateurs, incluez les instructions suivantes au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

Exemple : Création d’utilisateurs SNMPv3

Définir les utilisateurs SNMPv3 :

Configuration du type d’authentification SNMPv3

Par défaut, dans une configuration Junos OS, le type d’authentification SNMPv3 n’est défini sur aucune.

Cette rubrique comprend les sections suivantes :

Configuration de l’authentification MD5

Pour configurer l’algorithme MD5 (Message Digest Algorithm) comme type d’authentification pour un utilisateur SNMPv3, incluez l’instruction authentication-md5 au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

authentication-password est le mot de passe utilisé pour générer la clé utilisée pour l’authentification.

SNMPv3 a des exigences particulières lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Configuration de l’authentification SHA

Pour configurer l’algorithme de hachage sécurisé (SHA) comme type d’authentification pour un utilisateur SNMPv3, incluez l’instruction authentication-sha au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

authentication-password est le mot de passe utilisé pour générer la clé utilisée pour l’authentification.

SNMPv3 a des exigences particulières lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Configuration sans authentification

Pour configurer aucune authentification pour un utilisateur SNMPv3, incluez l’instruction authentication-none au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

Configuration du type de chiffrement SNMPv3

Par défaut, le chiffrement n’est défini sur aucune.

Remarque :

Avant de configurer le chiffrement, vous devez configurer l’authentification MD5 ou SHA.

Cette rubrique comprend les sections suivantes :

Configuration de l’algorithme standard de chiffrement avancé

Pour configurer l’algorithme AES (Advanced Encryption Standard) pour un utilisateur SNMPv3, incluez l’instruction privacy-aes128 au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

privacy-password est le mot de passe utilisé pour générer la clé utilisée pour le chiffrement.

SNMPv3 a des exigences particulières lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Configuration de l’algorithme de chiffrement des données

Pour configurer l’algorithme de chiffrement des données (DES) pour un utilisateur SNMPv3, incluez l’instruction privacy-des au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

privacy-password est le mot de passe utilisé pour générer la clé utilisée pour le chiffrement.

SNMPv3 a des exigences particulières lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Configuration de Triple DES

Pour configurer trois DES pour un utilisateur SNMPv3, incluez l’instruction privacy-3des au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

privacy-password est le mot de passe utilisé pour générer la clé utilisée pour le chiffrement.

SNMPv3 a des exigences particulières lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Configuration sans chiffrement

Pour configurer aucun chiffrement pour un utilisateur SNMPv3, incluez l’instruction privacy-none au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie :

Définition des privilèges d’accès pour un groupe SNMP

Le snmp version 3 (SNMPv3) utilise le modèle VACM (View-Based Access Control Model), qui vous permet de configurer les privilèges d’accès accordés à un groupe. L’accès est contrôlé par le filtrage des objets MIB disponibles pour une opération spécifique via une vue prédéfinie. Vous attribuez des vues pour déterminer les objets visibles en lecture, en écriture et en notification pour un groupe particulier, à l’aide d’un contexte particulier, d’un modèle de sécurité particulier (v1, v2c ou usm) et d’un niveau de sécurité particulier (authentifié, confidentialité ou aucune). Pour plus d’informations sur la configuration des vues, consultez Configuration des vues MIB.

Vous définissez l’accès des utilisateurs aux informations de gestion au niveau de la [edit snmp v3 vacm] hiérarchie. Tous les contrôles d’accès au sein de VACM fonctionnent sur des groupes, qui sont des collections d’utilisateurs telles que définies par USM, ou des chaînes de communauté telles que définies dans les modèles de sécurité SNMPv1 et SNMPv2c. Le terme security-name désigne ces utilisateurs finaux génériques. Le groupe auquel appartient un nom de sécurité spécifique est configuré au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Ce nom de sécurité peut être associé à un groupe défini au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Un groupe identifie un ensemble d’utilisateurs SNMP partageant la même stratégie d’accès. Vous définissez ensuite les privilèges d’accès associés à un groupe au niveau de la [edit snmp v3 vacm access] hiérarchie. Les droits d’accès sont définis à l’aide de vues. Pour chaque groupe, vous pouvez appliquer des vues différentes en fonction du fonctionnement du protocole SNMP ; par exemple, lisez (get, getNextou getBulk) écrivez (set), les notifications, le niveau de sécurité utilisé (authentification, confidentialité, ou aucun) et le modèle de sécurité (v1, v2c ou usm) utilisé dans une requête SNMP.

Vous configurez des membres d’un groupe à l’aide de l’instruction security-name . Pour les paquets v3 utilisant USM, le nom de sécurité est le même que le nom d’utilisateur. Pour les paquets SNMPv1 ou SNMPv2c, le nom de sécurité est déterminé en fonction de la chaîne de communauté. Les noms de sécurité sont spécifiques à un modèle de sécurité. Si vous configurez également des stratégies d’accès VACM pour les paquets SNMPv1 ou SNMPv2c, vous devez attribuer des noms de sécurité à des groupes pour chaque modèle de sécurité (SNMPv1 ou SNMPv2c) au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Vous devez également associer un nom de sécurité à une communauté SNMP au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie.

Pour configurer les privilèges d’accès d’un groupe SNMP, incluez des instructions au niveau de la [edit snmp v3 vacm] hiérarchie :

Configuration des privilèges d’accès accordés à un groupe

Cette rubrique comprend les sections suivantes :

Configuration du groupe

Pour configurer les privilèges d’accès accordés à un groupe, incluez l’instruction group au niveau de la [edit snmp v3 vacm access] hiérarchie :

group-name est un ensemble d’utilisateurs SNMP faisant partie d’une liste SNMP commune qui définit une stratégie d’accès. Les utilisateurs appartenant à un groupe SNMP particulier héritent de tous les privilèges d’accès accordés à ce groupe.

Configuration du modèle de sécurité

Pour configurer le modèle de sécurité, incluez l’instruction security-model au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] hiérarchie :

  • any— Tous les modèles de sécurité

  • usm— Modèle de sécurité SNMPv3

  • v1— Modèle de sécurité SNMPV1

  • v2c— Modèle de sécurité SNMPv2c

Configuration du niveau de sécurité

Pour configurer les privilèges d’accès accordés aux paquets ayant un niveau de sécurité particulier, incluez l’instruction security-level au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] hiérarchie :

  • none— Fournit aucune authentification et aucun chiffrement.

  • authentication: fournit l’authentification, mais pas de chiffrement.

  • privacy: fournit l’authentification et le chiffrement.

    Remarque :

    Tous les paquets dotés d’un niveau de sécurité égal ou supérieur à celui configuré bénéficient de privilèges d’accès. Si vous configurez le modèle de sécurité SNMPv1 ou SNMPv2c, utilisez-le none comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le authenticationniveau de sécurité none, ou privacy de niveau de sécurité.

Association de vues MIB à un groupe d’utilisateurs SNMP

Les vues MIB définissent les privilèges d’accès pour les membres d’un groupe. Des vues distinctes peuvent être appliquées pour chaque opération SNMP (lecture, écriture et notification) au sein de chaque modèle de sécurité (usm, v1 et v2c) et de chaque niveau de sécurité (authentification, aucune et confidentialité) pris en charge par SNMP.

Pour associer les vues MIB à un groupe d’utilisateurs SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie :

Remarque :

Vous devez associer au moins une vue (notifier, lire ou écrire) au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie.

Vous devez configurer la vue MIB au niveau de la [edit snmp view view-name] hiérarchie. Pour plus d’informations sur la configuration des vues MIB, consultez La configuration des vues MIB.

Cette section décrit les sujets suivants liés à cette configuration :

Configuration de l’affichage Notification

Pour associer l’accès au notification à un groupe d’utilisateurs SNMP, incluez l’instruction notify-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie :

view-name spécifie l’accès notifier, qui est une liste de notifications pouvant être envoyées à chaque utilisateur d’un groupe SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Configuration de la vue Lire

Pour associer une vue de lecture à un groupe SNMP, incluez l’instruction read-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie :

view-name spécifie l’accès en lecture pour un groupe d’utilisateurs SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Configuration de la vue Écriture

Pour associer une vue d’écriture à un groupe d’utilisateurs SNMP, incluez l’instruction write-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie :

view-name spécifie l’accès en écriture pour un groupe d’utilisateurs SNMP. Un nom de vue ne peut pas dépasser 32 caractères.

Exemple : Configuration des privilèges d’accès accordés à un groupe

Définir les privilèges d’accès :

Attribution d’un modèle de sécurité et d’un nom de sécurité à un groupe

Pour attribuer des noms de sécurité à des groupes, incluez les instructions suivantes au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie :

Cette rubrique comprend les sections suivantes :

Configuration du modèle de sécurité

Pour configurer le modèle de sécurité, incluez l’instruction security-model au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie :

  • usm— Modèle de sécurité SNMPv3

  • v1— Modèle de sécurité SNMPv1

  • v2c— Modèle de sécurité SNMPv2

Attribution de noms de sécurité à des groupes

Pour associer un nom de sécurité à un utilisateur SNMPv3, ou à une chaîne de communauté v1 ou v2, incluez l’instruction security-name au niveau de la [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] hiérarchie :

Pour SNMPv3, il s’agit du security-name nom d’utilisateur configuré au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie. Pour SNMPv1 et SNMPv2c, le nom de sécurité est la chaîne de communauté configurée au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie. Pour plus d’informations sur la configuration des noms d’utilisateur, consultez Création d’utilisateurs SNMPv3. Pour plus d’informations sur la configuration d’une chaîne de communauté, consultez La configuration de la communauté SNMPv3.

Remarque :

Le nom de sécurité USM est distinct du nom de sécurité SNMPv1 et SNMPv2c. Si vous prendz en charge SNMPv1 et SNMPv2c en plus de SNMPv3, vous devez configurer des noms de sécurité distincts au sein de la configuration de sécurité à groupe au niveau de la [edit snmp v3 vacm access] hiérarchie.

Configuration du groupe

Une fois que vous avez créé des utilisateurs SNMPv3 ou des noms de sécurité v1 ou v2, vous les associez à un groupe. Un groupe est un ensemble de noms de sécurité appartenant à un modèle de sécurité particulier. Un groupe définit les droits d’accès pour tous les utilisateurs qui lui appartiennent. Les droits d’accès définissent les objets SNMP pouvant être lus, écrits ou créés. Un groupe définit également les notifications qu’un utilisateur est autorisé à recevoir.

Si vous disposez déjà d’un groupe configuré avec toutes les autorisations d’accès et d’affichage que vous souhaitez accorder à un utilisateur, vous pouvez l’ajouter à ce groupe. Si vous souhaitez donner une vue utilisateur et des autorisations d’accès dont aucun autre groupe ne dispose, ou si aucun groupe n’est configuré, créez un groupe et ajoutez-le à celui-ci.

Pour configurer les privilèges d’accès accordés à un groupe, incluez l’instruction group au niveau de la [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] hiérarchie :

group-name identifie un ensemble de noms de sécurité SNMP partageant la même stratégie d’accès. Pour plus d’informations sur les groupes, consultez La définition des privilèges d’accès pour un groupe SNMP.

Exemple : Configuration des groupes de sécurité

Attribuez des noms de sécurité à des groupes :

Configuration des traps SNMPv3 sur un équipement exécutant Junos OS

Dans SNMPv3, vous créez des traps et informez en configurant le , target-addresset target-parameters les notifyparamètres. Les traps sont des notifications non confirmées, tandis que les notifications sont confirmées. Cette section explique comment configurer les traps SNMP. Pour plus d’informations sur la configuration de SNMP, reportez-vous à La configuration du protocole SNMP informe.

L’adresse cible définit l’adresse et les paramètres d’une application de gestion à utiliser pour envoyer des notifications. Les paramètres cibles définissent les paramètres de traitement des messages et de sécurité utilisés pour envoyer des notifications à une cible de gestion spécifique. SNMPv3 vous permet également de définir des traps SNMPv1 et SNMPv2c.

Remarque :

Lorsque vous configurez des traps SNMP, assurez-vous que vos privilèges d’accès configurés permettent d’envoyer des traps. Les privilèges d’accès sont configurés au niveau de [edit snmp v3 vacm security-to-group] la [edit snmp v3 vacm access] hiérarchie.

Pour configurer les traps SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3] hiérarchie :

Configuration de la notification de trap SNMPv3

L’instruction notify spécifie le type de notification (trap) et contient une seule balise. La balise définit un ensemble d’adresses cibles pour recevoir un piège. La liste de balises contient une ou plusieurs balises et est configurée au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Si la liste de balises contient cette balise, Junos OS envoie une notification à toutes les adresses cibles associées à cette balise.

Pour configurer les notifications de trap, incluez l’instruction notify au niveau de la [edit snmp v3] hiérarchie :

name est le nom attribué à la notification.

tag-name définit les adresses cible auxquelles cette notification est envoyée. Cette notification est envoyée à toutes les adresses cibles qui ont cette balise dans leur liste de balises. Ce tag-name n’est pas inclus dans la notification.

trap est le type de notification.

Remarque :

Chaque nom d’entrée du notifications doit être unique.

Junos OS prend en charge deux types de notification : trap et inform.

Pour savoir comment configurer la liste de balises, consultez La configuration de l’adresse cible de trap.

Exemple : Configuration de la notification de trap SNMPv3

Spécifiez trois ensembles de destinations pour envoyer des pièges :

Configuration du filtre de notification d’interruption

SNMPv3 utilise le filtre d’alerte pour définir les traps (ou les objets à partir desquels des traps) sont envoyés au système de gestion du réseau (NMS). Le filtre de notification de trap limite le type de traps envoyés au système NMS.

Chaque identificateur d’objet représente un sous-arborescence de la hiérarchie d’objets MIB. Le sous-arbre peut être représenté soit par une séquence d’entiers pointillés (comme 1.3.6.1.2.1.2) soit par son nom de sous-arborescence (tel que interfaces). Vous pouvez également utiliser le caractère générique astérisque (*) dans l’identificateur d’objet (OID) pour spécifier les identifiants d’objet correspondant à un modèle particulier.

Pour configurer le filtre de notifications de trap, incluez l’instruction notify-filter au niveau de la [edit snmp v3] hiérarchie :

profile-name est le nom attribué au filtre d’alerte.

Par défaut, l’OID est défini sur include. Pour définir l’accès aux traps (ou aux objets provenant de traps), incluez l’instruction oid au niveau de la [edit snmp v3 notify-filter profile-name] hiérarchie :

oid est l’identificateur d’objet. Tous les objets MIB représentés par cette instruction comportent l’OID spécifié comme préfixe. Il peut être spécifié soit par une séquence d’entiers pointillés, soit par un sous-nom de sous-arborescence.

  • include— Inclure le sous-arborescence d’objets MIB représentés par l’OID spécifié.

  • exclude— Exclut le sous-arborescence d’objets MIB représentés par l’OID spécifié.

Configuration de l’adresse cible de trap

L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour envoyer des notifications. Il peut également identifier les stations de gestion qui sont autorisées à utiliser des chaînes de communauté spécifiques. Lorsque vous recevez un paquet avec une chaîne de communauté reconnue et qu’une balise y est associée, Junos OS recherche toutes les adresses cibles à l’aide de cette balise et vérifie que l’adresse source de ce paquet correspond à l’une des adresses cible configurées.

Remarque :

Vous devez configurer le masque d’adresse lorsque vous configurez la communauté SNMP.

Pour spécifier l’emplacement d’envoi des traps et définir les paquets SNMPv1 et SNMPv2cc autorisés, incluez l’instruction target-address au niveau de la [edit snmp v3] hiérarchie :

target-address-name est la chaîne qui identifie l’adresse cible.

Pour configurer les propriétés de l’adresse cible, incluez les instructions suivantes au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

Contrairement à SNMP v2, dans SNMPv3, il n’existe aucune option de configuration permettant de limiter l’interrogation entrante. Mais vous pouvez configurer un filtre lo0 pour limiter l’interrogation entrante en créant une règle permettant le SNMP à partir de vos ADRESSES IP du système de surveillance. Par exemple :

Configuration de l’adresse

Pour configurer l’adresse, incluez l’instruction address au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

address est l’adresse cible SNMP.

Configuration du masque d’adresse

Le masque d’adresse spécifie un ensemble d’adresses qui sont autorisées à utiliser une chaîne de communauté et vérifie les adresses source pour un groupe d’adresses cibles.

Pour configurer le masque d’adresse, incluez l’instruction address-mask au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

address-mask combinée à l’adresse définit une gamme d’adresses. Pour plus d’informations sur la configuration de la chaîne de communauté, consultez La configuration de la communauté SNMPv3.

Configuration du port

Par défaut, le port UDP est défini sur 162. Pour configurer un autre numéro de port, incluez l’instruction port au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

port-number est le numéro de port cible SNMP.

Configuration de l’instance de routage

Des traps sont envoyés via l’instance de routage par défaut. Pour configurer l’instance de routage pour l’envoi de traps, incluez l’instruction routing-instance au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

instance est le nom de l’instance de routage. Pour configurer une instance de routage dans un système logique, spécifiez le nom du système logique suivi du nom de l’instance de routage. Utilisez une barre oblique ( / ) pour séparer les deux noms (par exemple, test-lr/test-ri). Pour configurer l’instance de routage par défaut sur un système logique, spécifiez le nom du système logique suivi default (par exemple, test-lr/default).

Configuration de l’adresse cible de trap

Chaque target-address instruction peut avoir une ou plusieurs balises configurées dans sa liste de balises. Chaque balise peut apparaître dans plusieurs listes de balises. Lorsqu’un événement important se produit sur l’équipement réseau, la liste de balises identifie les cibles auxquelles une notification est envoyée.

Pour configurer la liste de balises, incluez l’instruction tag-list au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

tag-list spécifie une ou plusieurs balises en tant que liste séparée par l’espace incluse dans des citations doubles.

Pour un exemple de configuration de liste de balises, reportez-vous à l’exemple : Configuration de la liste de balises.

Pour savoir comment spécifier une balise au niveau de la [edit snmp v3 notify notify-name] hiérarchie, reportez-vous à La notification de trap SNMPv3.

Remarque :

Lorsque vous configurez des traps SNMP, assurez-vous que vos privilèges d’accès configurés permettent d’envoyer des traps. Configurez les privilèges d’accès au niveau de la [edit snmp v3 vacm access] hiérarchie.

Application des paramètres cibles

L’instruction target-parameters au niveau de la [edit snmp v3] hiérarchie applique les paramètres de cible configurés au niveau de la [edit snmp v3 target-parameters target-parameters-name] hiérarchie.

Pour faire référence aux paramètres cibles configurés, incluez l’instruction target-parameters au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :

target-parameters-name est le nom associé au traitement des messages et aux paramètres de sécurité utilisés pour envoyer des notifications à une cible de gestion spécifique.

Exemple : Configuration de la liste de balises

Dans l’exemple suivant, deux entrées de balise (router1 et router2) sont définies au niveau de la [edit snmp v3 notify notify-name] hiérarchie. Lorsqu’un événement déclenche une notification, Junos OS envoie un piège à toutes les adresses cibles qui ont router1 ou router2 ont été configurées dans leur liste de balises d’adresses cibles. Il en résulte les deux premières cibles recevant un piège chacune, et la troisième cible obtenir deux pièges.

Définition et configuration des paramètres de la cible de trap

Les paramètres cibles définissent les paramètres de traitement des messages et de sécurité utilisés pour envoyer des notifications à une cible de gestion spécifique.

Pour définir un ensemble de paramètres cibles, incluez l’instruction target-parameters au niveau de la [edit snmp v3] hiérarchie :

target-parameters-name est le nom attribué aux paramètres cibles.

Pour configurer les propriétés des paramètres cibles, incluez les instructions suivantes au niveau de la [edit snmp v3 target-parameters target-parameter-name] hiérarchie :

Remarque :

Lorsque vous configurez les notifications de trap SNMP pour la stratégie de sécurité des abonnés sur les routeurs MX Series, vous devez configurer les paramètres comme suit :

  • Modèle de traitement des messages : v3

  • Niveau de sécurité : privacy

  • Modèle de sécurité : usm

Pour plus d’informations sur la configuration des stratégies de sécurité pour les abonnés, consultez la présentation de la stratégie De sécurité pour les abonnés.

Cette rubrique comprend les sections suivantes :

Appliquer le filtre de notification de trap

Pour appliquer le filtre de notification de trap, incluez l’instruction notify-filter au niveau de la [edit snmp v3 target-parameters target-parameter-name] hiérarchie :

profile-name est le nom d’un filtre d’alerte configuré. Pour plus d’informations sur la configuration des filtres d’notifications, reportez-vous à La configuration du filtre de notification de trap.

Configuration des paramètres cibles

Pour configurer les propriétés des paramètres cibles, incluez les instructions suivantes au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie :

Cette section inclut les rubriques suivantes :

Configuration du modèle de traitement des messages

Le modèle de traitement des messages définit la version du protocole SNMP à utiliser pour générer des notifications SNMP. Pour configurer le modèle de traitement des messages, incluez l’instruction message-processing-model au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie :

  • v1— Modèle de traitement des messages SNMPv1

  • v2c— Modèle de traitement des messages SNMPv2c

  • v3— Modèle de traitement des messages SNMPV3

Remarque :

Le v3 modèle de traitement des messages est requis pour la stratégie de sécurité des abonnés sur les routeurs MX Series. Pour plus d’informations, consultez la présentation de la stratégie De sécurité pour les abonnés.

Configuration du modèle de sécurité

Pour définir le modèle de sécurité à utiliser pour la génération de notifications SNMP, incluez l’instruction security-model au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie :

  • usm— Modèle de sécurité SNMPv3

  • v1— Modèle de sécurité SNMPv1

  • v2c— Modèle de sécurité SNMPv2c

Remarque :

Le usm modèle de sécurité est requis pour la stratégie de sécurité des abonnés sur les routeurs MX Series. Pour plus d’informations, consultez la présentation de la stratégie De sécurité pour les abonnés.

Configuration du niveau de sécurité

L’instruction security-level spécifie si le trap est authentifié et chiffré avant de l’envoyer.

Pour configurer le niveau de sécurité à utiliser lors de la génération de notifications SNMP, incluez l’instruction security-level au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie :

  • authentication: fournit l’authentification, mais pas de chiffrement.

  • none- Pas de sécurité. Fournit aucune authentification et aucun chiffrement.

  • privacy: fournit l’authentification et le chiffrement.

    Remarque :

    Si vous configurez le modèle de sécurité SNMPv1 ou SNMPV2c, utilisez-le none comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le niveau ou privacy le authentication niveau de sécurité.

    Le privacy niveau de sécurité est requis pour la stratégie de sécurité des abonnés sur les routeurs MX Series. Pour plus d’informations, consultez la présentation de la stratégie De sécurité pour les abonnés.

Configuration du nom de la sécurité

Pour configurer le nom de sécurité à utiliser lors de la génération de notifications SNMP, incluez l’instruction security-name au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie :

Si le modèle de sécurité USM est utilisé, l’utilisateur security-name utilisé lors de la génération de la notification. Si les modèles de sécurité v1 ou v2c sont utilisés, security-name identifie la communauté SNMP utilisée lors de la génération de la notification.

Remarque :

Les privilèges d’accès du groupe associé à un nom de sécurité doivent permettre l’envoi de cette notification.

Si vous utilisez les modèles de sécurité v1 ou v2, le nom de sécurité au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie doit correspondre au nom de sécurité au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie.

La configuration du protocole SNMP informe

Junos OS prend en charge deux types de notifications : piège et informe. Avec des pièges, le récepteur n’envoie aucun accusé de réception lorsqu’il reçoit un piège. Par conséquent, l’expéditeur ne peut pas déterminer si le piège a été reçu. Un piège peut être perdu parce qu’un problème s’est produit pendant la transmission. Pour accroître la fiabilité, un inform ressemble à un piège, sauf que l’information est stockée et retransmise à intervalles réguliers jusqu’à ce qu’une de ces conditions se produise :

  • Le destinataire (cible) de l’inform renvoie un accusé de réception à l’agent SNMP.

  • Un nombre spécifié de retransmissions infructueuses ont été tentées et l’agent rejette le message d’information.

Si l’expéditeur ne reçoit jamais de réponse, l’information peut être envoyée à nouveau. Ainsi, les informations sont plus susceptibles d’atteindre leur destination que les pièges. Informe utiliser le même canal de communication que les traps (même connecteur et port) mais a différents types d’unité de données de protocole (PDU).

Les informations sont plus fiables que les pièges, mais elles consomment plus de ressources réseau, de routeur et de commutateur (voir Figure 1). Contrairement à un piège, un inform est maintenu en mémoire jusqu’à ce qu’une réponse soit reçue ou que le délai d’expiration soit atteint. En outre, les pièges ne sont envoyés qu’une seule fois, alors qu’un inform peut être retrié plusieurs fois. L’utilisation informe lorsqu’il est important que le gestionnaire SNMP reçoive toutes les notifications. Toutefois, si vous êtes davantage préoccupé par le trafic réseau, ou par la mémoire du routeur et du commutateur, utilisez des pièges.

Figure 1 : Informer la demande et la réponseInformer la demande et la réponse

Configuration du type de notification inform et de l’adresse cible

Pour configurer le type de notification informé et les informations cibles, incluez les instructions suivantes au niveau de la [edit snmp v3] hiérarchie :

notify name est le nom attribué à la notification. Chaque nom d’entrée du notifications doit être unique.

tag tag-name définit les adresses cibles qui sont envoyées à cette notification. La notification est envoyée à toutes les adresses cibles qui ont cette balise dans leur liste de balises. Ce tag-name n’est pas inclus dans la notification. Pour savoir comment configurer la liste de balises, consultez La configuration de l’adresse cible de trap.

type inform est le type de notification.

target-address target-address-name identifie l’adresse cible. L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour répondre aux informations.

timeout seconds est le nombre de secondes pour attendre une reconnaissance. Si aucune accusé de réception n’est reçue dans le délai d’expiration, l’information est retransmise. Le délai d’expiration par défaut est 15 de quelques secondes.

retry-count number est le nombre maximal de fois qu’un avis est transmis en l’absence d’accusé de réception. La valeur par défaut est 3. Si aucune accusé de réception n’est reçue après la transmission de l’information le nombre maximal de fois, le message d’information est écarté.

message-processing-model définit la version de SNMP à utiliser lorsque les notifications SNMP sont générées. Informs nécessitent un v3 modèle de traitement des messages.

security-model définit le modèle de sécurité à utiliser lorsque des notifications SNMP sont générées. Informs nécessitent un usm modèle de sécurité.

security-model définit le modèle de sécurité à utiliser lorsque des notifications SNMP sont générées. Informs nécessitent un usm modèle de sécurité.

security-level spécifie si l’information est authentifiée et chiffrée avant son envoi. Pour le usm modèle de sécurité, le niveau de sécurité doit être l’un des éléments suivants :

  • authentication: fournit l’authentification, mais pas de chiffrement.

  • privacy: fournit l’authentification et le chiffrement.

security-name identifie le nom d’utilisateur utilisé lors de la génération de l’information.

Exemple : Configuration du type de notification inform et de l’adresse cible

Dans l’exemple suivant, la cible 172.17.20.184 est configurée pour répondre aux informations. Le délai d’expiration d’information est de 30 secondes et le nombre maximal de retransmets est de 3. L’information est envoyée à toutes les cibles de la liste tl1. Le modèle de sécurité de l’utilisateur distant est usm et le nom d’utilisateur du moteur distant u10.

Configuration du moteur distant et de l’utilisateur distant

Pour envoyer des messages d’information à un utilisateur SNMPv3 sur un équipement distant, vous devez d’abord spécifier l’identifiant moteur de l’agent SNMP sur l’équipement distant où réside l’utilisateur. L’ID du moteur distant permet de calculer le niveau de sécurité utilisé pour authentifier et chiffrer les paquets envoyés à un utilisateur sur l’hôte distant. Lors de l’envoi d’un message d’information, l’agent utilise les informations d’identification de l’utilisateur configuré sur le moteur distant (informer la cible).

Pour configurer un moteur distant et un utilisateur distant pour qu’ils reçoivent et répondent aux informations SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3] hiérarchie :

Pour information, remote-engine engine-id est l’identifiant de l’agent SNMP sur l’équipement distant où réside l’utilisateur.

Pour les informations, user username l’utilisateur d’un moteur SNMP distant reçoit-il les informations.

Les informations générées peuvent être unauthenticated, authenticatedou authenticated_and_encrypted, en fonction du niveau de sécurité de l’utilisateur SNMPv3 configuré sur le moteur distant (le récepteur inform). La clé d’authentification permet de générer du code d’authentification des messages (MAC). La clé de confidentialité permet de chiffrer la partie PDU du message.

Exemple : Configuration de l’ID du moteur distant et de l’utilisateur distant

Cet exemple montre comment configurer un moteur distant et un utilisateur distant pour que vous puissiez recevoir et répondre aux notifications snmp d’information. Les notifications peuvent être authentifiées et chiffrées. Ils sont également plus fiables que les traps, un autre type de notification pris en charge par Junos OS. Contrairement aux pièges, les notifications sont stockées et retransmises à intervalles réguliers jusqu’à ce qu’une de ces conditions se produise :

  • La cible de la notification inform renvoie un accusé de réception à l’agent SNMP.

  • Un certain nombre de retransmissions infructueuses ont été tentées.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Cette fonctionnalité nécessite l’utilisation de mots de passe en texte clair valides pour SNMPv3. Lorsque vous créez des mots de passe en texte clair sur un routeur ou un commutateur, le protocole SNMPv3 présente les exigences spéciales suivantes :

  • Le mot de passe doit être d’au moins huit caractères.

  • Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.

Même si les guillemets ne sont pas toujours requis pour joindre les mots de passe, il est préférable de les utiliser. Vous avez besoin de guillemets si le mot de passe contient des espaces ou, éventuellement, en cas de caractères spéciaux ou de ponctuation.

Présentation

Pour améliorer la fiabilité, les notifications sont prises en charge dans SNMPv3. Par exemple, un agent SNMP recevant une notification accuse réception d’une notification.

Pour informer les notifications, l’ID du moteur distant identifie l’agent SNMP sur l’équipement distant où réside l’utilisateur, et le nom d’utilisateur identifie l’utilisateur sur un moteur SNMP distant qui reçoit les notifications d’information.

Prenons l’exemple d’un scénario dans lequel vous disposez des valeurs Tableau 1 à utiliser pour configurer l’ID du moteur distant et l’utilisateur distant.

Tableau 1 : Valeurs à utiliser dans l’exemple

Nom de la variable

Valeur

nom d'utilisateur

u10

ID du moteur distant

800007E5804089071BC6D10A41

type d’authentification

authentication-md5

mot de passe d’authentification

qol67R%?

type de chiffrement

confidentialité des

mot de passe de confidentialité

m*72Jl9v

Configuration

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes et collez-les dans un fichier texte, supprimez les sauts de ligne et modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez ces commandes dans l’interface de ligne de commande au niveau de la [edit snmp v3] hiérarchie, puis entrez commit du mode de configuration.

Configuration du moteur distant et de l’utilisateur distant

Procédure étape par étape

L’exemple suivant exige que vous accédiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer l’ID du moteur distant et l’utilisateur distant :

  1. Configurez l’ID du moteur distant, le nom d’utilisateur et le type d’authentification et le mot de passe.

  2. Configurez le type de chiffrement et le mot de passe de confidentialité.

    Vous ne pouvez configurer qu’un seul type de chiffrement par utilisateur SNMPv3.

Résultats

En mode configuration, confirmez votre configuration en entrant la show commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Une fois que vous avez confirmé que la configuration est correcte, entrez commit à partir du mode de configuration.

Vérification

Vérification de la configuration de l’ID du moteur distant et de son nom d’utilisateur

But

Vérifiez l’état de l’ID moteur et des informations utilisateur.

Action

Affichez les informations sur l’ID du moteur SNMPv3 et sur l’utilisateur.

Sens

La sortie affiche les informations suivantes :

  • ID du moteur local et détails sur le moteur

  • ID du moteur distant (étiqueté Engine ID)

  • Nom d’utilisateur

  • Type d’authentification et type de chiffrement (confidentialité) configurés pour l’utilisateur

  • Type de stockage pour le nom d’utilisateur, nonvolatile (configuration enregistrée) ou volatile (non enregistré)

  • Statut du nouvel utilisateur ; seuls les utilisateurs ayant un état actif peuvent utiliser SNMPv3

Configuration de l’ID du moteur local

Par défaut, l’ID du moteur local utilise l’adresse IP par défaut du routeur. L’ID du moteur local est l’identifiant administrativement unique du moteur SNMPv3. Cette instruction est facultative. Pour configurer l’ID du moteur local, incluez l’instruction engine-id au niveau de la [edit snmp] hiérarchie :

  • local engine-id-suffix— Le suffix de l’ID du moteur est explicitement configuré.

  • use-default-ip-address— Le suffix de l’ID du moteur est généré à partir de l’adresse IP par défaut.

  • use-mac-address— L’identifiant du moteur SNMP est généré à partir de l’adresse MAC (Media Access Control) de l’interface de gestion du routeur.

Remarque :

Si vous utilisez SNMPv3 et que l’ID du moteur est basé sur l’adresse MAC et que vous passez d’une version antérieure à l’une de ces versions (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), vous devez reconfigurer SNMPv3 car l’ID du moteur est modifié par la mise à niveau. Si vous ne reconfigurez pas SNMPv3, une erreur d’authentification s’affiche lors de l’interrogation SNMPv3, car l’ID du moteur est modifié après la mise à niveau. Il vous suffit de reconfigurer SNMPv3 lors de la première mise à niveau de ce type. Si vous effectuez ensuite une mise à niveau d’une des versions mentionnées vers une autre de ces versions, vous n’avez plus besoin de mettre à niveau SNMPv3 à nouveau.

Pour reconfigurer SNMPv3, utilisez la procédure suivante. N’utilisez pas la rollback 1 commande.

Pour reconfigurer SNMPv3 :

  1. Vérifiez ce qu’est la configuration SNMPv3.
  2. Supprimez la configuration SNMPv3.
  3. Reconfigurer la configuration SNMPv3 (voir débit à partir de l’étape 1).

L’ID du moteur local est défini comme l’identifiant administrativement unique d’un moteur SNMPv3 et est utilisé pour l’identification, et non pour l’adressage. Il existe deux parties d’un ID de moteur : préfixe et suffix. Le préfixe est formaté conformément aux spécifications définies dans le document RFC 3411, An Architecture for Descriptioning Simple Network Management Protocol (SNMP) Management Frameworks. Vous pouvez configurer le suffix ici.

Remarque :

Les clés de chiffrement et d’authentification SNMPv3 sont générées en fonction des mots de passe associés et de l’ID du moteur. Si vous configurez ou modifiez l’ID du moteur, vous devez valider le nouvel ID du moteur avant de configurer les utilisateurs SNMPv3. Dans le cas contraire, les clés générées par les mots de passe configurés sont basées sur l’ID moteur précédent. Pour l’ID du moteur, nous vous recommandons d’utiliser l’adresse IP principale de l’unité si elle comporte plusieurs moteurs de routage et que l’adresse IP principale est configurée. Vous pouvez également utiliser l’adresse MAC du port de gestion si l’équipement ne dispose que d’un seul moteur de routage.

Configuration de la communauté SNMPv3

La communauté SNMP définit la relation entre un système de serveur SNMP et les systèmes clients. Cette instruction est facultative.

Pour configurer la communauté SNMP, incluez l’instruction snmp-community au niveau de la [edit snmp v3] hiérarchie :

community-index est l’index de la communauté SNMP.

Pour configurer les propriétés de la communauté SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :

Cette section inclut les rubriques suivantes :

Configuration du nom de la communauté

Le nom de la communauté définit la communauté SNMP. La communauté SNMP autorise les clients SNMPv1 ou SNMPv2c. Les privilèges d’accès associés au nom de sécurité configuré définissent les objets MIB disponibles et les opérations (lire, écrire ou notifier) autorisées sur ces objets.

Pour configurer le nom de la communauté SNMP, incluez l’instruction community-name au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :

community-name est la chaîne de communauté pour une communauté SNMPv1 ou SNMPv2c.

Si elle n’est pas configurée, elle est la même que l’index de la communauté.

Si le nom de la communauté contient des espaces, les joindre entre guillemets (« »).

Remarque :

Les noms des communautés doivent être uniques. Vous ne pouvez pas configurer le même nom de communauté aux [edit snmp community] niveaux hiérarchiques [edit snmp v3 snmp-community community-index] . Le nom de la communauté configuré au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie est chiffré. Vous ne pouvez pas afficher le nom de la communauté après l’avoir configuré et engagé vos modifications. Dans l’interface de ligne de commande (CLI), le nom de la communauté est masqué.

Configuration du contexte

Un contexte SNMP définit un ensemble d’informations de gestion accessibles à une entité SNMP. En règle générale, une entité SNMP a accès à plusieurs contextes. Un contexte peut être un système physique ou logique, un ensemble de systèmes multiples, voire un sous-ensemble d’un système. Chaque contexte d’un domaine de gestion dispose d’un identifiant unique.

Pour configurer un contexte SNMP, incluez l’instruction context context-name au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :

Remarque :

Pour interroger une instance de routage ou un système logique,

Configuration des noms de la sécurité

Pour attribuer une chaîne de communauté à un nom de sécurité, incluez l’instruction security-name au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :

security-name est utilisée lors de la configuration du contrôle d’accès. La security-to-group configuration au niveau de la [edit snmp v3 vacm] hiérarchie identifie le groupe.

Remarque :

Ce nom de sécurité doit correspondre au nom de sécurité configuré au niveau de la [edit snmp v3 target-parameters target-parameters-name parameters] hiérarchie lorsque vous configurez des traps.

Configuration de la balise

Pour configurer la balise, incluez l’instruction tag au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :

tag-name identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communauté.

Exemple : Configuration d’une communauté SNMPv3

Cet exemple montre comment configurer une communauté SNMPv3.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Cet exemple montre comment créer une communauté SNMPv3. Définissez le nom de la communauté SNMP, spécifiez le nom de sécurité pour effectuer le contrôle d’accès et définissez le nom de la balise qui identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communauté. L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour envoyer des notifications.

Lorsque l’équipement reçoit un paquet avec une chaîne de communauté reconnue et qu’une balise est associée à ce paquet, le logiciel Junos recherche toutes les adresses cibles à l’aide de cette balise et vérifie que l’adresse source de ce paquet correspond à l’une des adresses cible configurées.

Indiquez où vous souhaitez que les traps soient envoyés et définissez les paquets SNMPv1 et SNMPv2c autorisés. Indiquez le nom de l’adresse cible qui identifie l’adresse cible, définissez son adresse, sa plage d’adresses, son numéro de port, sa liste de balises et ses paramètres.

Configuration

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit snmp v3] hiérarchie, puis entrez commit du mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide .

  1. Configurez le nom de la communauté SNMP.

    Remarque :

    Le nom de la communauté SNMP doit être unique.

  2. Configurez le nom de la sécurité pour effectuer le contrôle des accès.

  3. Définissez le nom de la balise. Le nom de la balise identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communauté.

  4. Configurez l’adresse cible SNMP.

  5. Configurez la plage de masques de l’adresse pour le contrôle d’accès de chaîne de la communauté.

  6. Configurez le numéro de port cible SNMPv3.

  7. Configurez la liste de balises SNMPv3 pour sélectionner les adresses cibles.

  8. Configurez le nom des paramètres cibles SNMPv3 dans la table des paramètres de la cible.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show snmp v3 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple.

Vérification

Vérification de la communauté SNMPv3

But

Vérifiez si la communauté SNMPv3 est activée.

Action

Pour vérifier la configuration de la communauté SNMPv3, saisissez la show snmp v3 community commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Sens

La sortie affiche les informations sur la communauté SNMPv3 activées sur le système.