Interruptions SNMPv3
Dans SNMPv3, vous créez des interruptions et des informations en configurant les notifyparamètres , target-addresset target-parameters . Les interruptions sont des notifications non confirmées, tandis que les informations sont des notifications confirmées. Cette section décrit comment configurer les interruptions SNMP.
Configurer les interruptions SNMPv3 sur un périphérique exécutant Junos OS
L’adresse cible définit l’adresse et les paramètres d’une application de gestion utilisés pour l’envoi de notifications. Les paramètres de cible définissent les paramètres de traitement et de sécurité des messages utilisés pour envoyer des notifications à une cible de gestion particulière. SNMPv3 vous permet également de définir des interruptions SNMPv1 et SNMPv2c.
Lorsque vous configurez des interruptions SNMP, assurez-vous que les droits d’accès que vous avez configurés autorisent l’envoi des interruptions. Vous pouvez configurer les privilèges d’accès au niveau et de la [edit snmp v3 vacm access][edit snmp v3 vacm security-to-group] hiérarchie.
Pour plus d’informations sur la traduction de l’interruption SNMP v1 ou v2 vers l’OID et les détails des interruptions envoyées par chaque catégorie, consultez Explorateur MIB.
Configurer la notification d’interruption SNMPv3
L’instruction notify spécifie le type de notification (interruption) et contient une seule balise. La balise définit un ensemble d’adresses cibles pour recevoir une interruption. La liste des balises contient une ou plusieurs balises et est configurée au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Si la liste des balises contient cette balise, Junos OS envoie une notification à toutes les adresses cibles associées à cette balise.
Pour configurer les notifications d’interruption, incluez l’instruction notify au niveau de la [edit snmp v3] hiérarchie.
Le nom de chaque entrée de notification doit être unique.
Junos OS prend en charge deux types de notification : trap et inform.
Voir également
Exemple : Configurer la notification d’interruption SNMPv3
Spécifiez trois ensembles de destinations pour l’envoi d’interruptions :
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
Configurer le filtre de notification d’interruption
SNMPv3 utilise le filtre notify pour définir les interruptions (ou les objets à partir desquels elles sont envoyées) au système de gestion du réseau (NMS). Le filtre de notification des interruptions limite le type d’interruptions qui sont envoyées au DDN.
Chaque identificateur d’objet représente une sous-arborescence de la hiérarchie des objets MIB. Vous pouvez représenter la sous-arborescence soit par une séquence d’entiers pointillés (par exemple, 1.3.6.1.2.1.2), soit par le nom de sa sous-arborescence (par exemple interfaces). Vous pouvez également utiliser l’astérisque générique (*) dans l’identificateur d’objet (OID) pour spécifier des identificateurs d’objet qui correspondent à un modèle particulier.
Pour configurer le filtre de notifications d’interruption, incluez l’instruction notify-filter au niveau de la [edit snmp v3] hiérarchie.
Par défaut, l’OID est défini sur include. Pour définir l’accès aux recouvrements (ou aux objets des recouvrements), incluez l’instruction oid au niveau de la [edit snmp v3 notify-filter profile-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section notify-filter (Configuring the Profile Name).
Configurer l’adresse cible de l’interruption
L’adresse cible définit l’adresse et les paramètres d’une application de gestion qui sont utilisés pour envoyer des notifications. Il peut également identifier les stations de gestion qui sont autorisées à utiliser des chaînes communautaires spécifiques. Lorsque vous recevez un paquet avec une chaîne de communauté reconnue et qu’une balise lui est associée, Junos OS recherche toutes les adresses cibles avec cette balise et vérifie que l’adresse source de ce paquet correspond à l’une des adresses cibles configurées.
Vous devez configurer le masque d’adresse lorsque vous configurez la communauté SNMP.
Pour spécifier l’emplacement d’envoi des interruptions et définir les paquets SNMPv1 et SNMPv2cc autorisés, incluez l’instruction target-address au niveau de la [edit snmp v3] hiérarchie.
Pour configurer les propriétés de l’adresse cible, incluez les instructions suivantes au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :
Contrairement à SNMP v2, SNMPv3 n’a pas d’option de configuration pour limiter l’interrogation entrante. Mais vous pouvez configurer un filtre lo0 pour limiter l’interrogation entrante en créant une règle pour autoriser SNMP à partir des adresses IP de votre système de surveillance. Par exemple :
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
- Configurer l’adresse
- Configurer le masque d’adresse
- Configurer le port
- Configurer l’instance de routage
- Configurer l’adresse cible de l’interruption
- Appliquer les paramètres cibles
Configurer l’adresse
Pour configurer l’adresse, incluez l’instruction address au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section address (SNMP).
address est l’adresse cible SNMP.
Configurer le masque d’adresse
Le masque d’adresse spécifie un ensemble d’adresses autorisées à utiliser une chaîne de communauté et vérifie les adresses source d’un groupe d’adresses cibles.
Pour configurer le masque d’adresse, incluez l’instruction address-mask au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. address-mask.
address-mask combiné avec l’adresse définit une plage d’adresses.
Configurer le port
Par défaut, le port UDP est défini sur 162. Pour configurer un autre numéro de port, incluez l’instruction port au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section port.
Configurer l’instance de routage
Les interruptions sont envoyées via l’instance de routage par défaut. Pour configurer l’instance de routage pour l’envoi d’interruptions, incluez l’instruction routing-instance au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section routing-instance (SNMPv3).
Configurer l’adresse cible de l’interruption
Chaque target-address instruction peut avoir une ou plusieurs balises configurées dans sa liste de balises. Chaque balise peut apparaître dans plusieurs listes de balises. Lorsqu’un événement important se produit sur l’équipement réseau, la liste des balises identifie les cibles auxquelles une notification est envoyée.
Pour configurer la liste des balises, incluez l’instruction tag-list au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section tag-list.
tag-list Spécifie une ou plusieurs balises sous la forme d’une liste séparée par des espaces, entre guillemets.
Lorsque vous configurez des interruptions SNMP, assurez-vous que les droits d’accès que vous avez configurés autorisent l’envoi des interruptions. Configurez les privilèges d’accès au niveau de la [edit snmp v3 vacm access] hiérarchie.
Appliquer les paramètres cibles
L’instruction target-parameters au niveau de la [edit snmp v3] hiérarchie applique les paramètres cibles configurés au niveau de la [edit snmp v3 target-parameters target-parameters-name] hiérarchie.
Pour référencer les paramètres cibles configurés, incluez l’instruction target-parameters au niveau de la [edit snmp v3 target-address target-address-name] hiérarchie :
Exemple : Configurer la liste des balises
Dans l’exemple suivant, deux entrées de balise (router1 et router2) sont définies au niveau de la [edit snmp v3 notify notify-name] hiérarchie. Lorsqu’un événement déclenche une notification, Junos OS envoie une interruption à toutes les adresses cibles qui ont ou router2 sont configurées dans leur liste de balises d’adresses router1 cibles. Ainsi, les deux premières cibles reçoivent un piège chacune, et la troisième cible reçoit deux pièges.
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
Définition et configuration des paramètres de la cible de recouvrement
Les paramètres de cible définissent les paramètres de traitement et de sécurité des messages qui sont utilisés pour envoyer des notifications à une cible de gestion particulière.
Pour définir un ensemble de paramètres cibles, incluez l’instruction target-parameters au niveau de la [edit snmp v3] hiérarchie :
Pour plus d’informations sur la configuration des stratégies de sécurité des abonnés, consultez Présentation des stratégies de sécurité des abonnés.
Cette rubrique comprend les sections suivantes :
Appliquer le filtre de notification d’interruption
Pour appliquer le filtre de notification d’interruption, incluez l’instruction notify-filter au niveau de la [edit snmp v3 target-parameters target-parameter-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section notify-filter (Applying to the Management Target).
Configurer les paramètres cibles
Pour configurer les propriétés des paramètres cibles, incluez les instructions suivantes au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie.
Cette section aborde les sujets suivants :
- Configurer le modèle de traitement des messages
- Configurer le modèle de sécurité
- Configurer le niveau de sécurité
- Configurer le nom de sécurité
Configurer le modèle de traitement des messages
Le modèle de traitement des messages définit la version de SNMP à utiliser lors de la génération des notifications SNMP. Pour configurer le modèle de traitement des messages, incluez l’instruction message-processing-model au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section message-processing-model.
La stratégie de sécurité de l’abonné sur les routeurs MX Series nécessite le v3 modèle de traitement des messages. Reportez-vous à la section Présentation de la stratégie de sécurité des abonnés.
Configurer le modèle de sécurité
Pour définir le modèle de sécurité à utiliser lors de la génération de notifications SNMP, incluez l’instruction security-model au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section security-model (SNMP Notifications).
La stratégie de sécurité de l’abonné sur les routeurs MX Series nécessite le modèle de usm sécurité. Reportez-vous à la section Présentation de la stratégie de sécurité des abonnés.
Configurer le niveau de sécurité
L’instruction security-level spécifie si l’interruption est authentifiée et chiffrée avant d’être envoyée.
Pour configurer le niveau de sécurité à utiliser lors de la génération de notifications SNMP, incluez l’instruction security-level au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section security-level (Generating SNMP Notifications).
Si vous configurez le modèle de sécurité SNMPv1 ou SNMPV2c, utilisez-le none comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le niveau de authentication sécurité ou privacy .
La stratégie de sécurité de l’abonné sur les routeurs MX Series requiert le privacy niveau de sécurité . Pour plus d’informations, reportez-vous à la section Présentation de la stratégie Subscriber Secure .
Configurer le nom de sécurité
Pour configurer le nom de sécurité à utiliser lors de la génération de notifications SNMP, incluez l’instruction security-name au niveau de la [edit snmp v3 target-parameters target-parameter-name parameters] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section security-name (SNMP Notifications).
Si vous utilisez USM comme modèle de sécurité, le security-name identifie l’utilisateur utilisé lors de la génération de la notification. Si vous utilisez v1 ou v2c comme modèles de sécurité, security-name identifie la communauté SNMP utilisée lors de la génération de la notification.
Les privilèges d’accès du groupe associé à un nom de sécurité doivent permettre l’envoi de cette notification.
Si vous utilisez les modèles de sécurité v1 ou v2, le nom de sécurité au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie doit correspondre au nom de sécurité au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie.