Communautés SNMP
Une communauté SNMP définit le niveau d’autorisation accordé à ses membres, comme les objets MIB disponibles, les opérations (en lecture seule ou en lecture-écriture) valides pour ces objets et les clients SNMP autorisés, en fonction de leurs adresses IP sources.
Configurer les communautés SNMP
La configuration de l’agent SNMP dans Junos OS est une tâche simple qui partage des paramètres familiers avec d’autres périphériques gérés de votre réseau. Par exemple, vous devez configurer Junos OS avec une chaîne de communauté SNMP et une destination pour les interruptions. Les chaînes de communauté sont des noms administratifs qui regroupent des collections d’appareils et les agents qui s’exécutent sur eux dans des domaines de gestion communs. Si un manager et un agent partagent la même communauté, ils peuvent communiquer entre eux.
La chaîne de communauté SNMP définit la relation entre un système de serveur SNMP et le système client. Cette chaîne est un mot de passe pour contrôler l’accès du client au serveur.
Pour créer une communauté SNMP en lecture seule :
Pour créer une communauté SNMP en lecture-écriture :
-
Saisissez la communauté SNMP utilisée dans votre réseau.
[edit] user@host# set snmp community name
Cet exemple de chaîne de communauté
privatestandard permettant d’identifier la communauté a accordé un accès en lecture-écriture à l’agent SNMP en cours d’exécution sur le périphérique.[edit] user@host# set snmp community private
-
Définissez le niveau d’autorisation pour la communauté.
[edit snmp community name] user@host# set authorization authorization
Cet exemple confine la communauté publique à un accès en lecture seule. Tout client SNMP (par exemple, un système de gestion SNMP) appartenant à la communauté publique peut lire les variables MIB, mais ne peut pas les définir (les modifier).
[edit snmp community public] user@host# set authorization read-write
-
Définissez une liste de clients de la communauté autorisés à apporter des modifications à l’agent SNMP dans Junos OS.
Répertoriez les clients par adresse IP et préfixe.
[edit snmp community name] user@host# set clients address
Par exemple :
[edit snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Définissez les clients qui ne sont pas autorisés au sein de la communauté en spécifiant leur adresse IP, suivie de l’instruction
restrict.[edit snmp community name] user@host# set clients address resrict
L’énoncé suivant définit tous les autres hôtes comme étant restreints à la communauté publique.
[edit snmp community private] user@host# set clients 0/0 restrict
-
Validez la configuration.
user@host# commit
Ajouter un groupe de clients à une communauté SNMP
Junos OS vous permet d’ajouter un ou plusieurs groupes de clients à une communauté SNMP. Vous pouvez inclure l’instruction client-list-name name au niveau de la [edit snmp community community-name] hiérarchie pour ajouter tous les membres de la liste de clients ou de la liste de préfixes à une communauté SNMP.
Pour définir une liste de clients, utilisez l’instruction set snmp client-list client-list-name suivie des adresses IP des clients.
Vous pouvez configurer une liste de préfixes au niveau de la [edit policy options] hiérarchie. La prise en charge des listes de préfixes dans la configuration de la communauté SNMP vous permet d’utiliser une liste unique pour configurer les stratégies SNMP et de routage. Pour plus d’informations sur l’instruction prefix-list , reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Pour ajouter une liste de clients ou une liste de préfixes à une communauté SNMP, utilisez l’instruction set snmp commmunity community-name client-list-name .
La liste des clients et la liste des préfixes ne doivent pas porter le même nom.
L’exemple suivant montre comment définir une liste de clients :
[edit]
snmp {
client-list clentlist1 {
10.1.1.1/32;
10.2.2.2/32;
}
}
L’exemple suivant montre comment ajouter une liste de clients à une communauté SNMP :
[edit]
snmp {
community community1 {
authorization read-only;
client-list-name clientlist1;
}
}
L’exemple suivant montre comment ajouter une liste de préfixes à une communauté SNMP :
[edit]
policy-options {
prefix-list prefixlist {
10.3.3.3/32;
10.5.5.5/32;
}
}
snmp {
community community2 {
client-list-name prefixlist;
}
}
Configurer la chaîne de communauté SNMP
La chaîne de communauté SNMP définit la relation entre un système de serveur SNMP et le système client. Cette chaîne agit comme un mot de passe pour contrôler l’accès du client au serveur.
Pour configurer une chaîne de communauté dans une configuration Junos OS, utilisez l’instruction set snmp community .
Si le nom de la communauté contient des espaces, mettez-le entre guillemets ( » « ).
Le niveau d’autorisation par défaut d’une communauté est read-only. Pour autoriser Set les requêtes au sein d’une communauté, vous devez définir cette communauté comme authorization read-write. Pour Set les requêtes, vous devez également inclure les objets MIB spécifiques qui sont accessibles avec des privilèges de lecture-écriture à l’aide de l’instruction view . La vue par défaut inclut tous les objets MIB pris en charge qui sont accessibles avec des privilèges en lecture seule ; aucun objet MIB n’est accessible avec des privilèges de lecture-écriture. Pour plus d’informations sur l’instruction, consultez Configurer les viewvues MIB.
Les adresses IP des clients (membres de la communauté) qui sont autorisés à utiliser cette communauté sont répertoriées dans les clients listes de relevés. Si aucune instruction n’est clients présente, tous les clients sont autorisés. Pour address, vous devez spécifier une adresse IPv4, et non un nom d’hôte. Incluez la possibilité de refuser l’accès default restrict à tous les clients SNMP pour lesquels l’accès n’est pas accordé. Nous vous recommandons de toujours inclure l’option permettant de limiter l’accès default restrict des clients SNMP au commutateur local.
Les noms de communauté doivent être uniques au sein de chaque système SNMP.
Voir également
Exemples: Configurer la chaîne de communauté SNMP
Accordez un accès en lecture seule à tous les clients. Avec la configuration suivante, le système répond à SNMP Get, GetNextet GetBulk aux requêtes qui contiennent la chaîne de communauté public:
[edit]
snmp {
community public {
authorization read-only;
}
}
Accordez à tous les clients un accès en lecture-écriture à la MIB ping et jnxPingMIB. Avec la configuration suivante, le système répond aux requêtes SNMP , , et aux requêtes qui contiennent la chaîne private de communauté et spécifient un OID contenu dans la MIB ou jnxPingMIB la hiérarchie ping :SetGetBulkGetNextGet
[edit]
snmp {
view ping-mib-view {
oid pingMIB include;
oid jnxPingMIB include;
community private {
authorization read-write;
view ping-mib-view;
}
}
}
La configuration suivante autorise l’accès en lecture seule aux clients dont les adresses IP sont comprises dans la plage 1.2.3.4/24et refuse l’accès aux systèmes compris dans la plage fe80::1:2:3:4/64:
[edit]
snmp {
community field-service {
authorization read-only;
clients {
default restrict; # Restrict access to all SNMP clients not explicitly
# listed on the following lines.
1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except
fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64.
}
}
}
Configurer la communauté SNMPv3
La communauté SNMP définit la relation entre un système de serveur SNMP et les systèmes clients. Cette déclaration est facultative.
Pour configurer la communauté SNMP, incluez l’instruction au snmp-community niveau de la [edit snmp v3] hiérarchie :
[edit snmp v3] snmp-community community-index;
community-index est l’index de la communauté SNMP.
Pour configurer les propriétés de la communauté SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
Voici un ensemble minimal d’exemples de configuration nécessaires à la snmp v3 snmp-community configuration :
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
La communauté utilisée par l’utilisateur qui ne prend pas en charge SNMPv3 continuera à utiliser SNMPv2.
Pour plus d’informations, consultez la configuration suivante :
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
Cette section aborde les sujets suivants :
- Configuration du nom de la communauté
- Configuration du contexte
- Configuration des noms de sécurité
- Configuration de la balise
Configuration du nom de la communauté
Le nom de la communauté définit la communauté SNMP. La communauté SNMP autorise les clients SNMPv1 ou SNMPv2c. Les privilèges d’accès associés au nom de sécurité configuré définissent les objets MIB disponibles et les opérations (lecture, écriture ou notification) autorisées sur ces objets.
Pour configurer le nom de la communauté SNMP, incluez l’instruction community-name au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section community-name.
Configuration du contexte
Un contexte SNMP définit un ensemble d’informations de gestion accessibles à une entité SNMP. En règle générale, une entité SNMP a accès à plusieurs contextes. Un contexte peut être un système physique ou logique, une collection de plusieurs systèmes ou même un sous-ensemble d’un système. Chaque contexte d’un domaine de gestion possède un identifiant unique.
Pour configurer un contexte SNMP, incluez l’instruction context context-name au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section context (SNMPv3).
Pour interroger une instance de routage ou un système logique,
Configuration des noms de sécurité
Pour affecter une chaîne de communauté à un nom de sécurité, incluez l’instruction au security-name niveau de la [edit snmp v3 snmp-community community-index] hiérarchie :
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name est utilisé lors de la configuration du contrôle d’accès. La security-to-group configuration au niveau hiérarchique [edit snmp v3 vacm] permet d’identifier le groupe.
Ce nom de sécurité doit correspondre au nom de sécurité configuré au niveau de la [edit snmp v3 target-parameters target-parameters-name parameters] hiérarchie lorsque vous configurez des interruptions.
Configuration de la balise
Pour configurer la balise, incluez l’instruction tag au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section tag.
Exemple : Configurer la communauté SNMPv3
Cet exemple montre comment configurer une communauté SNMPv3.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Cet exemple montre comment créer une communauté SNMPv3. Définissez le nom de la communauté SNMP, spécifiez le nom de sécurité pour effectuer le contrôle d’accès et définissez le nom de la balise qui identifie l’adresse des gestionnaires autorisés à utiliser une chaîne de communauté. L’adresse cible définit l’adresse et les paramètres d’une application de gestion qui sont utilisés pour envoyer des notifications.
Lorsque l’équipement reçoit un paquet avec une chaîne de communauté reconnue et qu’une balise est associée à ce paquet, le logiciel Junos recherche toutes les adresses cibles avec cette balise et vérifie que l’adresse source de ce paquet correspond à l’une des adresses cibles configurées.
Spécifiez l’endroit où vous souhaitez que les interruptions soient envoyées et définissez quels paquets SNMPv1 et SNMPv2c sont autorisés. Spécifiez le nom de l’adresse cible qui identifie l’adresse cible, définissez l’adresse cible, masquez la plage d’adresses, le numéro de port, la liste des balises et le paramètre cible.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit snmp v3] hiérarchie, puis passez commit en mode de configuration.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur CLI Junos OS .
Configurez le nom de la communauté SNMP.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
REMARQUE :Le nom de la communauté SNMP doit être unique.
Configurez le nom de sécurité pour effectuer le contrôle d’accès.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Définissez le nom de la balise. Le nom de la balise identifie l’adresse des gestionnaires qui sont autorisés à utiliser une chaîne de communauté.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Configurez l’adresse cible SNMP.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Configurez la plage de masque de l’adresse pour le contrôle d’accès de chaîne de communauté.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Configurez le numéro de port cible SNMPv3.
[edit snmp v3] user@host#set target-address ta1 port 162
Configurez la liste des balises SNMPv3 pour sélectionner les adresses cibles.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Configurez le nom du paramètre cible SNMPv3 dans la table des paramètres cibles.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show snmp v3 commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple.
[edit]
user@host# show snmp v3
target-address ta1 {
address 10.1.1.1;
port 162;
tag-list router1;
address-mask 255.255.255.0;
target-parameters tp1;
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA
security-name john;
tag router1;
}
Vérification
Vérification de la communauté SNMPv3
But
Vérifiez si la communauté SNMPv3 est activée.
Action
Pour vérifier la configuration de la communauté SNMPv3, entrez show snmp v3 community la commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Sens
La sortie affiche les informations sur l’activation de la communauté SNMPv3 sur le système.