SNMPv3 トラップ
SNMPv3 では、 notify、 target-address、 target-parameters パラメーターを設定することで、トラップやインフォームを作成します。トラップは確認されていない通知ですが、インフォームは確認された通知です。このセクションでは、SNMPトラップの設定方法について説明します。
Junos OSを実行するデバイスでSNMPv3トラップを設定する
ターゲットアドレスは、通知の送信に使用する管理アプリケーションのアドレスとパラメーターを定義します。ターゲットパラメータは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメータを定義します。SNMPv3 では、SNMPv1 および SNMPv2c トラップを定義することもできます。
SNMPトラップを設定する際には、設定したアクセス権限でトラップの送信が許可されることを確認してください。アクセス権限は、 [edit snmp v3 vacm access] 階層と [edit snmp v3 vacm security-to-group] 階層レベルで設定できます。
SNMP v1またはv2トラップからOID変換への変換と、各カテゴリから送信されるトラップの詳細については、 MIBエクスプローラを参照してください。
SNMPv3トラップ通知を設定する
notifyステートメントは、通知(トラップ)のタイプを指定し、単一のタグを含めます。タグは、トラップを受信するターゲットアドレスのセットを定義します。タグリストには1つ以上のタグが含まれ、[edit snmp v3 target-address target-address-name]階層レベルで設定されます。タグリストにこのタグが含まれている場合、Junos OSはこのタグに関連するすべてのターゲットアドレスに通知を送信します。
トラップ通知を設定するには、[edit snmp v3]階層レベルでnotifyステートメントを含めます。
各通知エントリー名は一意である必要があります。
Junos OSは、 trap と informの2種類の通知をサポートしています。
関連項目
例:SNMPv3トラップ通知を設定する
トラップを送信する宛先の 3 セットを指定します。
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
トラップ通知フィルターを設定する
SNMPv3 は、通知フィルターを使用して、どのトラップ(またはどのトラップからのどのオブジェクト)がネットワーク管理システム(NMS)に送信されるかを定義します。トラップ通知フィルターは、NMSに送信されるトラップのタイプを制限します。
各オブジェクト識別子は、MIB オブジェクト階層のサブツリーを表します。サブツリーは、一連の点で区切られた整数(1.3.6.1.2.1.2など)、またはそのサブツリーの名前( interfacesなど)で表すことができます。オブジェクト識別子(OID)でワイルドカード文字アスタリスク(*)を使用して、特定のパターンに一致するオブジェクト識別子を指定することもできます。
トラップ通知フィルターを設定するには、[edit snmp v3]階層レベルでnotify-filterステートメントを含めます。
デフォルトでは、OIDはincludeに設定されています。トラップ(またはトラップからオブジェクト)へのアクセスを定義するには、[edit snmp v3 notify-filter profile-name]階層レベルでoidステートメントを含めます。このステートメントの詳細については、notify-filter(プロファイル名の設定)を参照してください。
トラップターゲットアドレスを設定する
ターゲットアドレスは、通知の送信に使用する管理アプリケーションのアドレスとパラメーターを定義します。また、特定のコミュニティ文字列の使用が許可されている管理ステーションを特定することもできます。認識したコミュニティ文字列を持つパケットを受信し、それにタグが関連付けられている場合、Junos OS はこのタグを持つすべてのターゲット アドレスを検索し、このパケットの送信元アドレスが構成済みターゲット アドレスのいずれかと一致するかどうかを検証します。
アドレスマスクは、SNMPコミュニティを設定する際に設定する必要があります。
トラップの送信先を指定し、許可される SNMPv1 および SNMPv2cc パケットを定義するには、[edit snmp v3]階層レベルで target-address ステートメントを含めます。
ターゲット アドレス プロパティを設定するには、 [edit snmp v3 target-address target-address-name] 階層レベルで以下のステートメントを含めます。
SNMP v2 とは異なり、SNMPv3 では、着信ポーリングを制限する構成オプションはありません。ただし、監視システムIPからのSNMPを許可するルールを作成することで、着信ポーリングを制限するようにlo0フィルターを設定できます。次に例を示します。
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
アドレスを設定する
アドレスを設定するには、[edit snmp v3 target-address target-address-name]階層レベルでaddressステートメントを含めます。このステートメントの詳細については、アドレス(SNMP)を参照してください。
address は、SNMP ターゲット アドレスです。
アドレスマスクを設定する
アドレス マスクは、コミュニティ文字列の使用が許可されるアドレスのセットを指定し、ターゲット アドレスのグループの送信元アドレスを検証します。
アドレスマスクを設定するには、[edit snmp v3 target-address target-address-name]階層レベルでaddress-maskステートメントを含めます。address-maskです。
address-mask と組み合わせることで、アドレスの範囲が定義されます。
ポートを設定する
デフォルトでは、UDPポートは162に設定されています。別のポート番号を設定するには、[edit snmp v3 target-address target-address-name]階層レベルでportステートメントを含めます。このステートメントの詳細については、portを参照してください。
ルーティングインスタンスを設定する
トラップは、デフォルトのルーティングインスタンスを介して送信されます。トラップを送信するルーティングインスタンスを設定するには、[edit snmp v3 target-address target-address-name]階層レベルでrouting-instanceステートメントを含めます。このステートメントの詳細については、ルーティングインスタンス(SNMPv3)を参照してください。
トラップターゲットアドレスを設定する
各 target-address ステートメントのタグリストに1つ以上のタグを設定できます。各タグは、複数のタグリストに表示できます。ネットワーク デバイスで重要なイベントが発生した場合、タグ リストにより通知の送信先が特定されます。
タグリストを設定するには、[edit snmp v3 target-address target-address-name]階層レベルでtag-listステートメントを含めます。このステートメントの詳細については、tag-listを参照してください。
tag-list 1 つ以上のタグを、二重引用符で囲んだスペース区切りのリストとして指定します。
SNMPトラップを設定する際には、設定したアクセス権限でトラップの送信が許可されることを確認してください。 [edit snmp v3 vacm access] 階層レベルでアクセス権限を設定します。
ターゲットパラメータを適用する
[edit snmp v3]階層レベルのtarget-parametersステートメントは、[edit snmp v3 target-parameters target-parameters-name]階層レベルで設定されたターゲットパラメーターを適用します。
設定されたターゲットパラメータを参照するには、[edit snmp v3 target-address target-address-name]階層レベルでtarget-parametersステートメントを含めます。
例:タグリストを設定する
次の例では、[edit snmp v3 notify notify-name]階層レベルで 2 つのタグ エントリ(router1 と router2)が定義されています。イベントが通知をトリガーすると、Junos OSは、ターゲットアドレスタグリストでrouter1またはrouter2が設定されているすべてのターゲットアドレスにトラップを送信します。これにより、最初の 2 つのターゲットがそれぞれ 1 つのトラップを取得し、3 番目のターゲットが 2 つのトラップを取得します。
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
トラップターゲットパラメータの定義と設定
ターゲットパラメータは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメータを定義します。
一連のターゲットパラメータを定義するには、[edit snmp v3]階層レベルでtarget-parametersステートメントを含めます。
加入者セキュアポリシーの設定の詳細については、 加入者セキュアポリシーの概要を参照してください。
このトピックでは、次のセクションについて説明します。
トラップ通知フィルターを適用する
トラップ通知フィルターを適用するには、[edit snmp v3 target-parameters target-parameter-name]階層レベルでnotify-filterステートメントを含めます。このステートメントの詳細については、notify-filter(管理ターゲットへの適用)を参照してください。
ターゲットパラメータを設定する
ターゲットパラメータプロパティを設定するには、 [edit snmp v3 target-parameters target-parameter-name parameters] 階層レベルで次のステートメントを含めます。
このセクションでは、以下のトピックについて説明します。
メッセージ処理モデルを設定する
メッセージ処理モデルは、SNMP 通知を生成する際に使用する SNMP のバージョンを定義します。メッセージ処理モデルを設定するには、[edit snmp v3 target-parameters target-parameter-name parameters]階層レベルでmessage-processing-modelステートメントを含めます。このステートメントの詳細については、メッセージ処理モデルを参照してください。
MXシリーズルーターの加入者セキュアポリシーでは、 v3 メッセージ処理モデルが必要です。 加入者セキュアポリシーの概要を参照してください。
セキュリティモデルを設定する
SNMP 通知を生成する際に使用するセキュリティ モデルを定義するには、[edit snmp v3 target-parameters target-parameter-name parameters]階層レベルで security-model ステートメントを含めます。このステートメントの詳細については、セキュリティモデル(SNMP通知)を参照してください。
MXシリーズルーターの加入者セキュアポリシーには、 usm セキュリティモデルが必要です。 加入者セキュアポリシーの概要を参照してください。
セキュリティレベルを設定する
security-levelステートメントは、トラップが送信される前に、トラップが認証および暗号化されるかどうかを指定します。
SNMP 通知を生成する際に使用するセキュリティ レベルを設定するには、[edit snmp v3 target-parameters target-parameter-name parameters]階層レベルで security-level ステートメントを含めます。このステートメントの詳細については、セキュリティレベル(SNMP通知の生成)を参照してください。
SNMPv1 または SNMPv2c セキュリティ モデルを設定している場合、セキュリティ レベルとして none を使用します。SNMPv3(USM)セキュリティ モデルを設定する場合は、 authentication または privacy セキュリティ レベルを使用します。
MXシリーズルーターの加入者セキュアポリシーには、 privacy セキュリティレベルが必要です。詳細については、 加入者の安全ポリシーの概要 を参照してください。
セキュリティ名を設定する
SNMP 通知を生成する際に使用するセキュリティ名を設定するには、[edit snmp v3 target-parameters target-parameter-name parameters] 階層レベルで security-name ステートメントを含めます。このステートメントの詳細については、security-name(SNMP通知)を参照してください。
USMをセキュリティモデルとして使用する場合、 security-name は通知が生成されるときに使用されるユーザーを識別します。v1またはv2cをセキュリティモデルとして使用する場合、通知が生成されるときに使用されるSNMPコミュニティを security-name 識別します。
セキュリティ名に関連付けられているグループのアクセス権限が、この通知の送信を許可する必要があります。
v1またはv2セキュリティモデルを使用している場合、 [edit snmp v3 vacm security-to-group] 階層レベルのセキュリティ名が [edit snmp v3 snmp-community community-index] 階層レベルのセキュリティ名と一致する必要があります。