SNMPv3 informe
Junos OS prend en charge deux types de notifications : piège et informe.
Avec les interruptions, le récepteur n’envoie aucun accusé de réception lorsqu’il reçoit une interruption. Par conséquent, l’expéditeur ne peut pas déterminer si l’interruption a été reçue. Un piège peut être perdu parce qu’un problème est survenu lors de la transmission. Pour augmenter la fiabilité, un inform est similaire à un trap, sauf qu’il est stocké et retransmis à intervalles réguliers jusqu’à ce que l’une des conditions suivantes se produise :
-
Le récepteur (cible) de l’information renvoie un accusé de réception à l’agent SNMP.
-
Un certain nombre de retransmissions infructueuses ont été tentées et l’agent ignore le message d’information.
Si l’expéditeur ne reçoit jamais de réponse, l’information peut être envoyée à nouveau. Ainsi, les informations ont plus de chances d’atteindre leur destination prévue que les pièges. Les informations utilisent le même canal de communication que les interruptions (même socket et même port), mais ont des types d’unités de données de protocole (PDU) différents.
Les informations sont plus fiables que les interruptions, mais elles consomment davantage de ressources réseau, routeur et commutateur. Contrairement à une interruption, une notification est conservée en mémoire jusqu’à ce qu’une réponse soit reçue ou que le délai d’expiration soit atteint. De plus, les pièges ne sont envoyés qu’une seule fois, alors qu’une information peut être réessayée plusieurs fois. L’utilisation informe lorsqu’il est important que le gestionnaire SNMP reçoive toutes les notifications. Toutefois, si vous êtes plus préoccupé par le trafic réseau ou par la mémoire des routeurs et des commutateurs, utilisez des interruptions.
Exemple : Configurer le type de notification d’information et l’adresse cible
Dans l’exemple suivant, la cible 172.17.20.184 est configurée pour répondre aux informations. Le délai d’expiration d’information est de 30 secondes et le nombre maximal de retransmissions est de 3. L’information est envoyée à toutes les cibles de la liste tl1. Le modèle de sécurité de l’utilisateur distant est usm et le nom d’utilisateur du moteur distant est u10.
[edit snmp v3]
notify n1 {
type inform;
tag tl1;
}
notify-filter nf1 {
oid .1.3 include;
}
target-address ta1 {
address 172.17.20.184;
retry-count 3;
tag-list tl1;
address-mask 255.255.255.0;
target-parameters tp1;
timeout 30;
}
target-parameters tp1 {
parameters {
message-processing-model v3;
security-model usm;
security-level privacy;
security-name u10;
}
notify-filter nf1;
}
Exemple : Configurer l’ID du moteur distant et l’utilisateur distant
Cet exemple montre comment configurer un moteur distant et un utilisateur distant afin que vous puissiez recevoir et répondre aux notifications d’information SNMP. Les notifications Inform peuvent être authentifiées et chiffrées. Elles sont également plus fiables que les interruptions, un autre type de notification pris en charge par Junos OS. Contrairement aux interruptions, les notifications d’information sont stockées et retransmises à intervalles réguliers jusqu’à ce que l’une des conditions suivantes se produise :
La cible de la notification d’information renvoie un accusé de réception à l’agent SNMP.
Un certain nombre de retransmissions infructueuses ont été tentées.
Conditions préalables
Cette fonctionnalité nécessite l’utilisation de mots de passe en texte brut valides pour SNMPv3. SNMPv3 a les exigences suivantes lorsque vous créez des mots de passe en texte brut sur un routeur ou un commutateur :
Le mot de passe doit comporter au moins huit caractères.
Le mot de passe peut inclure des caractères alphabétiques, numériques et spéciaux, mais il ne peut pas inclure de caractères de contrôle.
Il est préférable d’utiliser des guillemets pour encadrer les mots de passe, même si ce n’est pas nécessaire. Vous avez besoin de guillemets si le mot de passe contient des espaces ou dans le cas de certains caractères spéciaux ou de la ponctuation.
Présentation
Les notifications Inform sont prises en charge dans SNMPv3 pour augmenter la fiabilité. Par exemple, un agent SNMP recevant une notification d’information accuse réception de la notification.
Pour les notifications d’information, l’ID du moteur distant identifie l’agent SNMP sur le périphérique distant où réside l’utilisateur, et le nom d’utilisateur identifie l’utilisateur sur un moteur SNMP distant qui reçoit les notifications d’information.
Prenons l’exemple d’un scénario dans lequel vous disposez des valeurs à Tableau 1 utiliser pour configurer l’ID de moteur distant et l’utilisateur distant.
Pour envoyer des messages d’information à un utilisateur SNMPv3 sur un périphérique distant, vous devez d’abord spécifier l’identificateur de moteur de l’agent SNMP sur le périphérique distant sur lequel réside l’utilisateur. L’ID du moteur distant est utilisé pour calculer le résumé de sécurité pour authentifier et chiffrer les paquets envoyés à un utilisateur sur l’hôte distant. Lors de l’envoi d’un message d’information, l’agent utilise les informations d’identification de l’utilisateur configurées sur le moteur distant (cible d’information).
Pour informe, remote-engine engine-id il s’agit de l’identificateur de l’agent SNMP sur le périphérique distant où réside l’utilisateur.
Pour informs, user username c’est l’utilisateur sur un moteur SNMP distant qui reçoit les informes.
Les informations générées peuvent être unauthenticated, authenticatedou authenticated_and_encrypted, en fonction du niveau de sécurité de l’utilisateur SNMPv3 configuré sur le moteur distant (le récepteur d’information). La clé d’authentification est utilisée pour générer le code d’authentification de message (MAC). La clé de confidentialité est utilisée pour chiffrer la partie inform PDU du message.
Nom de la variable |
Valeur |
|---|---|
nom d’utilisateur |
u10 |
ID du moteur à distance |
800007E5804089071BC6D10A41 |
Type d’authentification |
authentification-MD5 |
mot de passe d’authentification |
qol67R% ? |
Type de chiffrement |
privacy-des |
Mot de passe de confidentialité |
m*72Jl9v |
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration du moteur distant et de l’utilisateur distant
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes et collez-les dans un fichier texte, supprimez les sauts de ligne et modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez ces commandes dans l’interface de ligne de commande au niveau de la [edit snmp v3] hiérarchie, puis passez commit en mode de configuration.
set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?" set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Configuration du moteur distant et de l’utilisateur distant
Procédure étape par étape
L’exemple suivant nécessite que vous accédiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’ID du moteur distant et l’utilisateur distant :
Configurez l’ID du moteur distant, le nom d’utilisateur, le type d’authentification et le mot de passe.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-password "qol67R%?"
Configurez le type de cryptage et le mot de passe de confidentialité.
Vous ne pouvez configurer qu’un seul type de chiffrement par utilisateur SNMPv3.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-password "m*72Jl9v"
Résultats
En mode configuration, confirmez votre configuration en entrant la show commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit snmp v3]
user@ host# show
usm {
remote-engine 800007E5804089071BC6D10A41 {
user u10 {
authentication-md5 {
authentication-key "$9$hagSyKNdbY2acyvLN-2g69CtpBRhSvMX/CLx-V4oZUjkqfQz69CuF36Apu1Idbw2ZUiHm3/C.mF/CA1IVws4oGkqf6CtzF";## SECRET-DATA
}
privacy-des {
privacy-key "$9$GJDmf3nCtO1zFnCu0hcrevM87bs2oaUbwqmP5F3Ap0O1hrevMLxcSYgoaUDqmf5n/Ap0REyk.BIREyr4aJZUHfTz9tu5T";## SECRET-DATA
}
}
}
}
Une fois que vous avez confirmé que la configuration est correcte, passez en commit mode de configuration.
Vérification
Vérification de la configuration de l’ID et du nom d’utilisateur du moteur distant
But
Vérifiez l’état de l’ID du moteur et des informations sur l’utilisateur.
Action
Affichez des informations sur l’ID et l’utilisateur du moteur SNMPv3.
user@host> show snmp v3
Local engine ID: 80 00 0a 4c 01 0a ff 03 e3
Engine boots: 3
Engine time: 769187 seconds
Max msg size: 65507 bytes
Engine ID: 80 00 07 e5 80 40 89 07 1b c6 d1 0a 41
User Auth/Priv Storage Status
u10 md5/des nonvolatile active
Sens
La sortie affiche les informations suivantes :
ID du moteur local et détails sur le moteur
ID du moteur à distance (étiqueté
Engine ID)Nom d’utilisateur
Type d’authentification et type de chiffrement (confidentialité) configurés pour l’utilisateur
Type de stockage pour le nom d’utilisateur, non volatile (configuration enregistrée) ou volatile (non enregistrée)
Statut du nouvel utilisateur ; seuls les utilisateurs ayant un statut actif peuvent utiliser SNMPv3