SNMPv3 トラップ
SNMPv3 では、notify、target-address、target-parameters の各パラメーターを構成することで、トラップやインフォームを作成します。トラップは確認されていない通知ですが、インフォームは確認された通知です。このセクションでは、SNMP トラップの構成方法について説明します。
Junos OSを搭載したデバイスでSNMPv3トラップを設定する
ターゲットアドレスは、通知の送信に使用する管理アプリケーションのアドレスとパラメーターを定義します。ターゲットパラメータは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメータを定義します。SNMPv3 で、SNMPv1 および SNMPv2c のトラップを定義することもできます。
SNMPトラップを構成する際には、構成したアクセス権限でトラップの送信が許可されることを確認してください。アクセス権限は、[edit snmp v3 vacm access]および[edit snmp v3 vacm security-to-group]階層レベルで設定できます
SNMP v1またはv2トラップからOID変換への変換と、各カテゴリから送信されるトラップの詳細については、MIBエクスプローラを参照してください。
SNMPv3 トラップ通知の設定
notify ステートメントは通知 (トラップ) のタイプを指定し、単一のタグを含めます。タグは、トラップを受信するターゲット アドレスのセットを定義します。タグ リストには 1 つ以上のタグが含まれ、[edit snmp v3 target-address target-address-name] 階層レベルで構成されます。タグリストにこのタグが含まれる場合、Junos OSは、このタグに関連するすべてのターゲットアドレスに通知を送信します。
トラップ通知フィルターを適用するには、notify階層レベルで[edit snmp v3]ステートメントを記述します。
各通知エントリー名は一意である必要があります。
Junos OS 、2 種類の通知をサポートしています。trap と inform があります。
関連項目
例:SNMPv3 トラップ通知の設定
トラップを送信する宛先の 3 セットを指定します。
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
トラップ通知フィルターを設定する
SNMPv3 は、通知フィルターを使用して、どのトラップ(またはどのトラップからのどのオブジェクト)がネットワーク管理システム(NMS)に送信されるかを定義します。トラップ通知フィルターは、NMSに送信されるトラップのタイプを制限します。
各オブジェクト識別子は、MIBオブジェクト階層のサブツリーを表しています。サブツリーは、一連の点で区切られた整数(1.3.6.1.2.1.2など)、もしくはそのサブツリーの名前( interfacesなど)で表すことができます。オブジェクト識別(OID)でワイルドカード文字アスタリスク(*)を使用して、特定のパターンに一致するオブジェクト識別子を指定することもできます。
トラップ通知フィルターを適用するには、[edit snmp v3]階層レベルでnotify-filterステートメントを記述します。
デフォルトでは、OIDはinclude に設定されています。トラップ(またはトラップからオブジェクト)へのアクセスを定義するには、階[edit snmp v3 notify-filter profile-name]層レベルでステートoidメントを記述します。このステートメントの詳細については、notify-filter (Configuring the Profile Name)を参照してください。
トラップ ターゲット アドレスを構成する
ターゲット アドレスは、通知の送信に使用する管理アプリケーションのアドレスとパラメーターを定義します。また、特定のコミュニティ文字列の使用が許可されている管理ステーションを特定することもできます。認識したコミュニティ文字列を持つパケットを受信し、それにタグが関連付けられている場合、Junos OS はこのタグを持つすべてのターゲット アドレスを検索し、このパケットの送信元アドレスが構成済みターゲット アドレスのいずれかと一致するかどうかを検証します。
アドレスマスクの構成は、SNMPコミュニティの構成時に行う必要があります。
トラップが送信される場所を指定し、SNMPv1およびSNMPv2ccパケットが許可されるものを定義するには、[edit snmp v3]階層レベルでtarget-addressステートメントを含めます。
ターゲット アドレス プロパティーを構成するには、以下のステートメントを [edit snmp v3 target-address target-address-name] 階層レベルで含めます。
SNMP v2 とは異なり、SNMPv3 では、着信ポーリングを制限する構成オプションはありません。ただし、監視システム IP からの SNMP を許可するルールを作成することで、着信ポーリングを制限するための lo0 フィルターを構成できます。以下はその一例です。
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
アドレスを設定する
アドレスを設定するには、 階[edit snmp v3 target-address target-address-name]層レベルに ステートaddressメントを記述します。このステートメントの詳細については、address (SNMP)を参照してください。
address は、SNMP ターゲット アドレスです。
アドレスマスクを設定する
アドレス マスクは、コミュニティ文字列の使用が許可されるアドレスのセットを指定し、ターゲット アドレスのグループに対してソース アドレスを検証します。
アドレス マスクを構成するには、 ステートaddress-maskメントを 階[edit snmp v3 target-address target-address-name]層レベルで記述しますaddress-mask。
address-mask とアドレスを組み合わせることで、アドレスの範囲を定義します。
ポートを設定する
デフォルトでは、UDP ポートは 162 に設定されています。別のポート番号を構成するには、 ステートportメントを 階[edit snmp v3 target-address target-address-name]層レベルで記述します。このステートメントの詳細については、portを参照してください。
ルーティングインスタンスを設定する
トラップは、デフォルトのルーティング インスタンスを介して送信されます。トラップを送信するルーティング インスタンスを構成するには、 routing-instanceステートメントを [edit snmp v3 target-address target-address-name]階層レベルで記述します。このステートメントの詳細については、routing-instance (SNMPv3)を参照してください。
トラップ ターゲット アドレスを構成する
各 ステートtarget-addressメントで、タグリストに 1 つ以上のタグを構成できます。各タグは、複数のタグ リストに表示できます。ネットワーク デバイスに重大なイベントが発生した場合、タグ リストにより通知の送信先が特定されます。
タグ リストを構成するには、 ステートtag-listメントを 階[edit snmp v3 target-address target-address-name]層レベルで記述します。このステートメントの詳細については、tag-listを参照してください。
tag-list は、1 つ以上のタグを、二重引用符で囲んだスペース区切りのリストとして指定します。
SNMP トラップを構成する際には、構成したアクセス権限でトラップの送信が許可されることを確認してください。アクセス権限を [edit snmp v3 vacm access] 階層レベルで構成します。
ターゲットパラメータを適用する
階[edit snmp v3]層レベルの ステートtarget-parametersメントは、 階[edit snmp v3 target-parameters target-parameters-name]層レベルで構成されたターゲット パラメーターを適用します。
構成されたターゲット パラメーターを参照するには、target-parameters ステートメントを [edit snmp v3 target-address target-address-name] 階層レベルで記述します。
例:タグリストを設定する
次の例では、 階[edit snmp v3 notify notify-name]層レベルで 2 つのタグ エントリ( router1と router2)が定義されます。イベントが通知をトリガーすると、Junos OS はそのターゲット アドレス タグ リストで router1また が設定router2されているすべてのターゲット アドレスにトラップを送信します。これにより、最初の 2 つのターゲットがそれぞれ 1 つのトラップを取得し、3 つ 目のターゲットが 2 つのトラップを取得します。
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
トラップターゲットパラメータを定義して設定する
ターゲットパラメータは、特定の管理ターゲットに通知を送信する際に使用されるメッセージ処理およびセキュリティパラメータを定義します。
一連のターゲット パラメータを定義するには、階[edit snmp v3]層レベルでステートtarget-parametersメントを含めます。
加入者の安全ポリシーに関する詳細については、加入者の安全ポリシーの概要を参照してください。
このトピックは、以下のセクションで構成されています。
トラップ通知フィルターを適用する
トラップ通知フィルターを適用するには、階[edit snmp v3 target-parameters target-parameter-name]層レベルでステートnotify-filterメントを記述します。このステートメントの詳細については、notify-filter (Applying to the Management Target)を参照してください。
ターゲットパラメータを設定する
ターゲットパラメータプロパティを設定するには、[edit snmp v3 target-parameters target-parameter-name parameters]階層レベルに次のステートメントを記述します。
このセクションには、以下のトピックが含まれています。
メッセージ処理モデルを設定する
メッセージ処理モデルは、SNMP 通知を生成する際に使用する SNMP のバージョンを定義します。メッセージ処理モデルを設定するには、階[edit snmp v3 target-parameters target-parameter-name parameters]層レベルでステートmessage-processing-modelメントを記述します。このステートメントの詳細については、message-processing-modelを参照してください。
MXシリーズルーターの加入者セキュアポリシーは、v3メッセージ処理モデルを必要とします。加入者セキュアポリシーの概要を参照してください。
セキュリティモデルを設定する
SNMP 通知を生成する際に使用するセキュリティ モデルを定義するには、階[edit snmp v3 target-parameters target-parameter-name parameters]層レベルでステートsecurity-modelメントを記述します。このステートメントの詳細については、security-model (SNMP Notifications)を参照してください。
MXシリーズルーターの加入者セキュアポリシーは、usmセキュリティモデルを必要とします。加入者セキュアポリシーの概要を参照してください。
セキュリティレベルを設定する
security-levelステートメントは、トラップが送信される前に、それが認証し、暗号化されるかどうかを指定します。
SNMP 通知を生成する際に使用するセキュリティ レベルを設定するには、階[edit snmp v3 target-parameters target-parameter-name parameters]層レベルでステートsecurity-levelメントを記述します。このステートメントの詳細については、security-level (Generating SNMP Notifications)を参照してください。
SNMPv1 または SNMPv2c セキュリティ モデルを設定する場合、セキュリティ レベルとしてnoneを使用します。SNMPv3(USM)セキュリティ モデルを設定する場合、authenticationまたはprivacyセキュリティ レベルを使用します。
MXシリーズルーターの加入者セキュアポリシーは、privacyセキュリティレベルを必要とします。詳細については、加入者の安全ポリシーの概要を参照してください。
セキュリティ名を設定する
SNMP 通知を生成する際に使用するセキュリティ名を設定するには、階[edit snmp v3 target-parameters target-parameter-name parameters]層レベルでステートsecurity-nameメントを記述します。このステートメントの詳細については、security-name (SNMP Notifications)を参照してください。
USMをセキュリティモデルとして使用する場合、通知が生成されるときに使用されるユーザーをsecurity-name特定します。v1またはv2cをセキュリティモデルとして使用する場合、通知が生成されるときに使用されるSNMPコミュニティをsecurity-name特定します。
セキュリティ名に関連づけられているグループのアクセス権限は、この通知の送信を許可する必要があります。
v1またはv2セキュリティモデルを使用する場合、[edit snmp v3 vacm security-to-group]階層レベルにあるセキュリティ名が[edit snmp v3 snmp-community community-index]階層レベルにあるセキュリティ名と一致する必要があります。