EN ESTA PÁGINA
Optimice la configuración del sistema de administración de red para obtener los mejores resultados
Configurar opciones en dispositivos administrados para un mejor tiempo de respuesta SNMP
Configurar grupos y opciones de captura SNMP en un dispositivo que ejecuta Junos OS
Configure las interfaces en las que se pueden aceptar solicitudes SNMP
Ejemplo: Configurar la comprobación de la lista de acceso seguro
Filtrar la información de interfaz de SNMP Obtener y obtener salida siguiente
Configurar SNMP básico
Configurar SNMP
Puede implementar SNMP en el software Junos OS que se ejecuta en los productos serie QFX y OCX. De forma predeterminada, SNMP no está habilitado. Para habilitar SNMP, debe incluir las instrucciones de configuración SNMP en el [edit]
nivel jerárquico.
Para configurar los requisitos mínimos para SNMP, incluya las siguientes instrucciones en el [edit]
nivel jerárquico de la configuración:
[edit] snmp { community public; }
- Instrucciones de configuración en el nivel jerárquico de [edit snmp]
- Configurar opciones básicas para SNMP
Para configurar funciones SNMP completas, consulte snmp.
- Instrucciones de configuración en el nivel jerárquico de [edit snmp]
- Configurar opciones básicas para SNMP
Instrucciones de configuración en el nivel jerárquico de [edit snmp]
En este tema, se muestran todas las instrucciones de configuración en el [edit snmp]
nivel de jerarquía y su nivel en la jerarquía de configuración. Cuando configure Junos OS, el nivel de jerarquía actual se muestra en el banner en la línea que precede al user@host#
indicador.
[edit] snmp { alarm-management { alarm-list-name list-name { alarm-id id { alarm-state state { description alarm-description; notification-id notification-id-of-alarm; resource-prefix alarm-resource-prefix; varbind-index varbind-index-in-alarm-varbind-list; varbind-subtree alarm-varbind-subtree; varbind-value alarm-varbind-value; } } } } client-list client-list-name { ip-addresses; } community community-name { authorization authorization; client-list-name client-list-name; clients { address <restrict>; } logical-system logical-system-name { routing-instance routing-instance-name; clients { address <restrict>; } } routing-instance routing-instance-name { clients { address <restrict>; } } view view-name; } contact contact; description description; engine-id { (local engine-id | use-default-ip-address | use-mac-address); } filter-duplicates; interface [ interface-names ]; location location; name name; nonvolatile { commit-delay seconds; } rmon { alarm index { description description; falling-event-index index; falling-threshold integer; falling-threshold-interval seconds; interval seconds; request-type (get-next-request | get-request | walk-request); rising-event-index index; rising-threshold integer; sample-type type; startup-alarm alarm; syslog-subtag syslog-subtag; variable oid-variable; } event index { community community-name; description description; type type; } } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable> <match regular-expression>; flag flag; memory-trace; no-remote-trace; no-default-memory-trace; } trap-group group-name { categories { category; } destination-port port-number; routing-instance instance; logical-system logical-system-name; targets { address; } version (all | v1 | v2); } trap-options { agent-address outgoing-interface; source-address address; enterprise-oid; logical-system logical-system-name { routing-instance routing-instance-name { source-address address; } } routing-instance routing-instance-name { source-address address; } } v3 { notify name { tag tag-name; type (trap | inform); } notify-filter profile-name { oid oid (include | exclude); } snmp-community community-index { community-name community-name; security-name security-name; tag tag-name; } target-address target-address-name { address address; address-mask address-mask; logical-system logical-system; port port-number; retry-count number; routing-instance instance; tag-list tag-list; target-parameters target-parameters-name; timeout seconds; } target-parameters target-parameters-name { notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; } } usm { local-engine { user username { authentication-md5 { authentication-password authentication-password; } authentication-none; authentication-sha { authentication-password authentication-password; } privacy-3des { privacy-password privacy-password; } privacy-aes128 { privacy-password privacy-password; } privacy-des { privacy-password privacy-password; } privacy-none; } } } vacm { access { group group-name { (default-context-prefix | context-prefix context-prefiix){ security-model (any | usm | v1 | v2c) { security-level (authentication | none | privacy) { notify-view view-name; read-view view-name; write-view view-name; } } } } } security-to-group { security-model (usm | v1 | v2c) { security-name security-name { group group-name; } } } } } view view-name { oid object-identifier (include | exclude); } }
Configurar opciones básicas para SNMP
Las siguientes secciones contienen información acerca de la configuración básica de SNMP y algunos ejemplos de configuración de las operaciones SNMP básicas en dispositivos que ejecutan Junos OS:
- Configurar la configuración básica para SNMPv1 y SNMPv2
- Configurar la configuración básica para SNMPv3
Configurar la configuración básica para SNMPv1 y SNMPv2
No puede habilitar SNMP en dispositivos que ejecutan Junos OS de forma predeterminada. Para habilitar SNMP en dispositivos que ejecutan Junos OS, incluya la community public
instrucción en el [edit snmp]
nivel jerárquico.
Habilitar las operaciones de obten y obten de SNMPv1 y SNMPv2
[edit] snmp { community public; }
Una comunidad que se define como pública otorga acceso a todos los datos MIB a cualquier cliente.
Para habilitar las operaciones de SNMPv1 y SNMPv2 Set
en el dispositivo, debe incluir las siguientes instrucciones en el [edit snmp]
nivel de jerarquía:
Habilitación de operaciones de conjunto de SNMPv1 y SNMPv2
[edit snmp] view all { oid .1; } community private { view all; authorization read-write; }
En el siguiente ejemplo, se muestra la configuración mínima básica para las capturas de SNMPv1 y SNMPv2 en un dispositivo:
Configuración de trampas de SNMPv1 y SNMPv2
[edit snmp] trap-group jnpr { targets { 192.168.69.179; } }
Configurar la configuración básica para SNMPv3
En el siguiente ejemplo, se muestra la configuración mínima de SNMPv3 para habilitarGet
, y Set
operaciones en un dispositivo (tenga en cuenta que la configuración tiene la autenticación establecida en md5
y privacidad anone
): GetNext
Habilitación de operaciones get, getnext y set de SNMPv3
[edit snmp] v3 { usm { local-engine { user jnpruser { authentication-md5 { authentication-key "$9$guaDiQFnAuOQzevMWx7ikqP"; ## SECRET-DATA } privacy-none; } } } vacm { security-to-group { security-model usm { security-name jnpruser { group grpnm; } } } access { group grpnm { default-context-prefix { security-model any { security-level authentication { read-view all; write-view all; } } } } } } } view all { oid .1; }
En el siguiente ejemplo, se muestra la configuración básica para la información de SNMPv3 en un dispositivo (la configuración tiene configuración de autenticación y privacidad para none
):
Configuración de información de SNMPv3
[edit snmp] v3 { usm { remote-engine 00000063200133a2c0a845c3 { user RU2_v3_sha_none { authentication-none; privacy-none; } } } vacm { security-to-group { security-model usm { security-name RU2_v3_sha_none { group g1_usm_auth; } } } access { group g1_usm_auth { default-context-prefix { security-model usm { security-level authentication { read-view all; write-view all; notify-view all; } } } } } } target-address TA2_v3_sha_none { address 192.168.69.179; tag-list tl1; address-mask 255.255.252.0; target-parameters TP2_v3_sha_none; } target-parameters TP2_v3_sha_none { parameters { message-processing-model v3; security-model usm; security-level none; security-name RU2_v3_sha_none; } notify-filter nf1; } notify N1_all_tl1_informs { type inform; # Replace inform with trap to convert informs to traps. tag tl1; } notify-filter nf1 { oid .1 include; } } view all { oid .1 include; }
Puede convertir las informa de SNMPv3 en capturas estableciendo el valor de la instrucción en el type
[edit snmp v3 notify N1_all_tl1_informs]
nivel de jerarquía en trap
como se muestra en el siguiente ejemplo:
Convertir los informes en trampas
user@host# set snmp v3 notify N1_all_tl1_informs type trap
Consulte también
Configurar detalles de SNMP
Puede usar SNMP para almacenar detalles administrativos básicos, como un nombre de contacto y la ubicación del dispositivo. Luego, su sistema de administración puede recuperar esta información de forma remota cuando esté solucionando un problema o realizando una auditoría. En la terminología SNMP, estos son los objetos sysName, sysContact, sysDescription y sysLocation que se encuentran dentro del grupo de sistemas de MIB-2 (tal como se define en RFC 1213, Base de información de administración para la administración de red de internetes basados en TCP/IP: MIB-II). Puede establecer valores iniciales directamente en la configuración de Junos OS para cada sistema administrado por SNMP.
En el caso de los dispositivos administrados por SNMP, mantenga siempre configurada y actualizada la información de nombre, ubicación, contacto y descripción.
Para establecer los detalles de SNMP:
Optimice la configuración del sistema de administración de red para obtener los mejores resultados
Puede modificar la configuración del sistema de administración de red para optimizar el tiempo de respuesta para consultas SNMP. Las siguientes secciones contienen algunos consejos sobre cómo configurar el sistema de administración de red:
- Cambie el método de sondeo de columna por columna a fila por fila
- Reduzca la cantidad de enlaces de variables por PDU
- snmp bulk- obtener la cantidad recomendada de OID y el máximo de repeticiones
- Aumente los valores de tiempo de espera en intervalos de sondeo y descubrimiento
- Reduzca la velocidad de paquetes entrantes en el snmpd
Cambie el método de sondeo de columna por columna a fila por fila
Puede configurar el sistema de administración de red para que utilice el método fila por fila para la sondeo de datos SNMP. Es evidente que los métodos de sondeo fila a fila y varios fila por fila son más eficientes que los sondeos columna por columna.
Al configurar el sistema de administración de red para usar el método de sondeo de datos fila a fila, puede:
-
Sondear los datos para una sola interfaz en una solicitud en lugar de una sola solicitud de datos de sondeo para varias interfaces, como en el caso de la encuesta columna por columna.
-
Reduce el riesgo de temporización de las solicitudes.
Reduzca la cantidad de enlaces de variables por PDU
Puede mejorar el tiempo de respuesta de las solicitudes SNMP reduciendo el número de enlaces de variable por unidad de datos de protocolo (PDU). Una solicitud que sonda datos relacionados con varios objetos asignados a diferentes entradas de índice, se traduce en varias solicitudes al final del dispositivo. Esto se debe a que es posible que el subagente tenga que sondear diferentes módulos para obtener datos vinculados a diferentes entradas de índice.
El método recomendado es asegurarse de que una solicitud solo tenga objetos vinculados a una entrada de índice en lugar de varios objetos vinculados a diferentes entradas de índice.
Si las respuestas de un dispositivo son lentas, evite usar la GetBulk
opción para el dispositivo, ya que una GetBulk
solicitud podría contener objetos vinculados a varias entradas de índice y podría aumentar aún más el tiempo de respuesta.
snmp bulk- obtener la cantidad recomendada de OID y el máximo de repeticiones
Una solicitud de obtención masiva SNMP responde con un total de (máx. repeticiones * número de OID) de enlaces de variable. Cuando los objetos de estadísticas de interfaz (como ifInOctets, ifOutOctets, etc.) están presentes en una consulta, las solicitudes se envían a las capas inferiores. Por lo tanto, hay un impacto en las respuestas por un aumento en las repeticiones máximas que envía en una solicitud de obtención masiva. En el caso de las consultas de obtención masiva para objetos de estadísticas de interfaz, se recomienda usar el valor de 'repeticiones máximas' de 10, y el número máximo de OIDs por solicitud es de 10.
Aumente los valores de tiempo de espera en intervalos de sondeo y descubrimiento
Al aumentar los valores de tiempo de espera para los intervalos de sondeo y descubrimiento, puede:
-
Aumente el tiempo de cola al final del dispositivo.
-
Reduzca la cantidad de caídas de acelerador que se producen debido al tiempo de salida de la solicitud.
Reduzca la velocidad de paquetes entrantes en el snmpd
Los métodos siguientes reducen el riesgo de que las solicitudes SNMP se acumulen en cualquier dispositivo.
-
Reduzca la frecuencia de envío de solicitudes SNMP a un dispositivo.
-
Aumente el intervalo de sondeo.
-
Controle el uso de
GetNext
solicitudes. -
Reduzca la cantidad de mesas de votación por dispositivo.
Configurar opciones en dispositivos administrados para un mejor tiempo de respuesta SNMP
Las siguientes secciones contienen información acerca de las opciones de configuración en los dispositivos administrados que pueden mejorar el rendimiento SNMP:
- Habilite la opción de duración de la memoria caché de estadísticas
- Filtrar solicitudes SNMP duplicadas
- Excluir interfaces que tardan en responder a las consultas SNMP
Habilite la opción de duración de la memoria caché de estadísticas
Junos OS le ofrece una opción para configurar la longitud de tiempo (en segundos) que se almacenan en caché las estadísticas de la interfaz. Si el NMS vuelve a consultar para la misma interfaz dentro del tiempo de caché, se devuelven los mismos datos. Si el NMS consulta después del tiempo de caché, la caché ya no es válida, se obtienen datos frescos de las capas inferiores y se actualiza la marca de hora de la caché. El valor predeterminado stats-cache-lifetime
es de 5 segundos. Esto se puede sintonizar según la frecuencia de sondeo.
La reducción del valor de la opción de duración de la memoria caché de estadísticas da lugar a más consultas y puede afectar el rendimiento. Para obtener estadísticas vivas sin fallas, establezca el valor de la opción stats-cache-lifetime en 0. Sin embargo, esto no se recomienda, ya que deshabilita completamente la función de almacenamiento en caché y afecta el rendimiento.
Filtrar solicitudes SNMP duplicadas
Si una estación de administración de red retransmite una Get
solicitud , GetNext
o GetBulk
SNMP con demasiada frecuencia a un dispositivo, esa solicitud podría interferir con el procesamiento de solicitudes anteriores y ralentizar el tiempo de respuesta del agente. El filtrado de estas solicitudes duplicadas mejora el tiempo de respuesta del agente SNMP. Junos OS le permite filtrar solicitudes duplicadas Get
GetNext
y GetBulk
SNMP. Junos OS utiliza la siguiente información para determinar si una solicitud SNMP es un duplicado:
Dirección IP de origen de la solicitud SNMP
Puerto UDP de origen de la solicitud SNMP
ID de solicitud de la solicitud SNMP
De forma predeterminada, el filtrado de solicitudes SNMP duplicadas está deshabilitado en dispositivos que ejecutan Junos OS.
Para habilitar el filtrado de solicitudes SNMP duplicadas en dispositivos que ejecutan Junos OS, incluya la filter-duplicates
instrucción en el [edit snmp]
nivel jerárquico:
[edit snmp] filter-duplicates;
Excluir interfaces que tardan en responder a las consultas SNMP
Una interfaz que responda con lentitud a las solicitudes SNMP de estadísticas de interfaz puede retrasar las respuestas del kernel a las solicitudes SNMP. Puede revisar el archivo de registro mib2d para averiguar cuánto tiempo tarda el kernel en responder a varias solicitudes SNMP. Para obtener más información acerca de cómo revisar el archivo de registro para los datos de respuesta del kernel, consulte "Comprobación de la respuesta del motor de reenvío de paquetes" en Monitoreo de la actividad SNMP y problemas de seguimiento que afectan al rendimiento de SNMP en un dispositivo que ejecuta Junos OS.
Si observa que una interfaz determinada responde lentamente y cree que está disminuyendo la velocidad del kernel para no responder a las solicitudes SNMP, excluya esa interfaz de las consultas SNMP al dispositivo. Puede excluir una interfaz de las consultas SNMP configurando la filter-interface
instrucción o modificando la configuración de vista SNMP.
En el siguiente ejemplo, se muestra una configuración de ejemplo para excluir interfaces de SNMP Get
GetNext
y Set
operaciones:
[edit] snmp { filter-interfaces { interfaces { # exclude the specified interfaces interface1; interface2; } all-internal-interfaces; # exclude all internal interfaces } }
En el siguiente ejemplo, se muestra la configuración de la vista SNMP para excluir la interfaz con un valor de índice de interfaz (siIndex) de 312 de una solicitud de información relacionada con los objetos ifTable y ifXtable:
[edit snmp] view test { oid .1 include; oid ifTable.1.*.312 exclude; oid ifXTable.1.*.312 exclude }
De forma alternativa, puede desconectar la interfaz que responde lentamente.
Configurar SNMP en un dispositivo que ejecuta Junos OS
De forma predeterminada, SNMP está deshabilitado en dispositivos que ejecutan Junos OS. Para habilitar SNMP en un enrutador o conmutador, debe incluir las instrucciones de configuración SNMP en el [edit snmp]
nivel jerárquico.
Para configurar los requisitos mínimos para SNMP, incluya las siguientes instrucciones en el [edit snmp]
nivel jerárquico de la configuración:
[edit] snmp { community public; }
La comunidad se define aquí como public
otorga acceso de lectura a todos los datos MIB a cualquier cliente.
Para configurar funciones SNMP completas, incluya las siguientes instrucciones en el [edit snmp]
nivel jerárquico:
snmp { client-list client-list-name { ip-addresses; } community community-name { authorization authorization; client-list-name client-list-name; clients { address restrict; } routing-instance routing-instance-name { clients { addresses; } } logical-system logical-system-name { routing-instance routing-instance-name { clients { addresses; } } } view view-name; } contact contact; description description; engine-id { (local engine-id | use-mac-address | use-default-ip-address); } filter-duplicates; health-monitor { falling-threshold integer; interval seconds; rising-threshold integer; } interface [ interface-names ]; location location; name name; nonvolatile { commit-delay seconds; } rmon { alarm index { description text-description; falling-event-index index; falling-threshold integer; falling-threshold-interval seconds; interval seconds; request-type (get-next-request | get-request | walk-request); rising-event-index index; sample-type type; startup-alarm alarm; syslog-subtag syslog-subtag; variable oid-variable; } event index { community community-name; description text-description; type type; } } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable> <match regular-expression>; flag flag; } trap-group group-name { categories { category; } destination-port port-number; routing-instance instance; targets { address; } version (all | v1 | v2); } trap-options { agent-address outgoing-interface; source-address address; } view view-name { oid object-identifier (include | exclude); } }
Consulte también
Ejemplo: Configurar SNMP en el sistema QFabric
De forma predeterminada, SNMP está deshabilitado en dispositivos que ejecutan Junos OS. En este ejemplo se describen los pasos para configurar SNMP en el sistema QFabric.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 12.2
Sistema de administración de red (NMS) (que ejecuta el administrador SNMP)
Sistema QFabric (que ejecuta el agente SNMP) con varios dispositivos Nodo
Descripción general
Dado que SNMP está deshabilitado de forma predeterminada en dispositivos que ejecutan Junos OS, debe habilitar SNMP en su dispositivo incluyendo instrucciones de configuración en el [edit snmp]
nivel de jerarquía. Como mínimo, debe configurar la community public
instrucción. La comunidad definida como pública otorga acceso de solo lectura a los datos de MIB a cualquier cliente.
Si no se configura ninguna clients
instrucción, se permiten todos los clientes. Recomendamos que siempre incluya la opción de limitar el restrict
acceso del cliente SNMP al conmutador.
Topología
La topología de red de este ejemplo incluye un NMS, un sistema QFabric con cuatro dispositivos Node y servidores SNMP externos configurados para recibir capturas.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit]
nivel de jerarquía.
set snmp name “snmp qfabric” description “qfabric0 switch” set snmp location “Lab 4 Row 11” contact “qfabric-admin@qfabric0” set snmp community public authorization read-only set snmp client-list list0 192.168.0.0/24 set snmp community public client-list-name list0 set snmp community public clients 192.170.0.0/24 restrict set snmp trap-group “qf-traps” destination-port 155 targets 192.168.0.100
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de la CLI de Junos OS .
Para configurar SNMP en el sistema QFabric:
Si el nombre, descripción, ubicación, contacto o nombre de la comunidad contiene espacios, encierre el texto entre comillas (" ").
Configure el nombre del sistema SNMP:
[edit snmp] user@switch# set name “snmp qfabric”
Nota:Se puede acceder al nombre de sistema SNMP configurado anteriormente:
Al hacer una consulta con el SNMPGet en el identificador de objeto de política (OID) sysName.0.
Del jnxSyslogTrap genérico. Para enviar el jnxSyslogTrap, configure los eventos de captura en
[edit event-options policy]
la jerarquía.
Especifique una descripción.
[edit snmp] user@switch# set description “qfabric0 system”
Esta cadena se coloca en el objeto sysDescription MIB II.
Especifique la ubicación física del sistema QFabric.
[edit snmp] user@switch# set location “Lab 4 Row 11”
Esta cadena se coloca en el objeto sysLocation MIB II.
Especifique un contacto administrativo para el sistema SNMP.
[edit snmp] user@switch# set contact “qfabric-admin@qfabric0”
Este nombre se coloca en el objeto sysContact MIB II.
Especifique un nombre de comunidad SNMP único y el nivel de autorización de solo lectura.
Nota:La
read-write
opción no es compatible con el sistema QFabric.[edit snmp] user@switch# set community public authorization read-only
Cree una lista de clientes con un conjunto de direcciones IP que pueda usar la comunidad SNMP.
[edit snmp] user@switch# set client-list list0 192.168.0.0/24 user@switch# set community public client-list-name list0
Especifique las direcciones IP de los clientes que tienen restringido el uso de la comunidad.
[edit snmp] user@switch# set community public clients 198.51.100.0/24 restrict
Configure un grupo de captura, un puerto de destino y un destino para recibir las capturas SNMP en el grupo de capturas.
[edit snmp] user@switch# set trap-group “qf-traps” destination-port 155 targets 192.168.0.100
Nota:No es necesario incluir la
destination-port
instrucción si utiliza el puerto predeterminado 162.El grupo de captura qf-traps está configurado para enviar capturas a 192.168.0.100.
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@switch# show snmp { name "snmp qfabric"; description "qfabric0 system"; location "Lab 4 Row 11"; contact "qfabric-admin@qfabric0"; client-list list0 { 192.168.0.0/24; } community public { authorization read-only; clients { 198.51.100.0/24 restrict; } } trap-group qf-traps { destination-port 155; targets { 192.168.0.100; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configurar el temporizador de confirmación de retraso
Cuando un enrutador o conmutador recibe por primera vez una solicitud snmp no volátil Set
, se abre una sesión de protocolo XML de Junos OS e impide que otros usuarios o aplicaciones cambien la configuración del candidato (equivalente al comando de interfaz de línea de comandos [CLI] configure exclusive
). Si el enrutador no recibe nuevas solicitudes SNMP Set
en un plazo de 5 segundos (el valor predeterminado), la configuración del candidato se confirma y se cierra la sesión del protocolo XML de Junos OS (se libera el bloqueo de configuración). Si el enrutador recibe nuevas solicitudes SNMP Set
mientras se confirma la configuración del candidato, la solicitud SNMP Set
se rechaza y se genera un error. Si el enrutador recibe nuevas solicitudes SNMP Set
antes de que hayan transcurrido 5 segundos, el temporizador de confirmación de retraso (el tiempo entre que se recibe la última solicitud SNMP y se solicita la confirmación) se restablece a 5 segundos.
De forma predeterminada, el temporizador se establece en 5 segundos. Para configurar el temporizador para la respuesta SNMP Set
y el inicio de la confirmación, incluya la commit-delay
instrucción en el [edit snmp nonvolatile]
nivel de jerarquía:
[edit snmp nonvolatile] commit-delay seconds;
seconds
es la duración del tiempo entre cuando se recibe la solicitud SNMP y se solicita la confirmación para la configuración del candidato. Para obtener más información acerca del configure exclusive
comando y el bloqueo de la configuración, consulte la Guía del usuario de la CLI de Junos OS .
Configurar comunidades SNMP
Configurar el agente SNMP en Junos OS es una tarea sencilla que comparte la configuración familiar con otros dispositivos administrados de su red. Por ejemplo, debe configurar Junos OS con una cadena de comunidad SNMP y un destino para las capturas. Las cadenas de comunidad son nombres administrativos que agrupan colecciones de dispositivos y los agentes que se ejecutan en ellos juntos en dominios de administración comunes. Si un administrador y un agente comparten la misma comunidad, pueden comunicarse entre sí.
Una comunidad SNMP define el nivel de autorización concedida a sus miembros, como los objetos MIB disponibles, las operaciones (de solo lectura o lectura-escritura) que son válidas para esos objetos y los clientes SNMP autorizados, según sus direcciones IP de origen.
La cadena de comunidad SNMP define la relación entre un sistema de servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.
Para crear una comunidad SNMP de solo lectura:
Para crear una comunidad SNMP de lectura y escritura:
-
Ingrese a la comunidad SNMP que se utiliza en su red.
[edit groups global] user@host# set snmp community name
En este ejemplo, la cadena
private
de comunidad estándar para identificar la comunidad que ha concedido acceso de lectura y escritura al agente SNMP que se ejecuta en el dispositivo.[edit groups global] user@host# set snmp community private
-
Defina el nivel de autorización para la comunidad.
[edit groups global snmp community name] user@host# set authorization authorization
En este ejemplo, la comunidad pública se limita al acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de administración SNMP) que pertenezca a la comunidad pública puede leer variables MIB, pero no puede establecerlas (cambiarlas).
[edit groups global snmp community public] user@host# set authorization read-write
-
Defina una lista de clientes de la comunidad que están autorizados para realizar cambios en el agente SNMP en Junos OS.
Enumerar los clientes por dirección IP y prefijo.
[edit groups global snmp community name] user@host# set clients address
Por ejemplo:
[edit groups global snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Defina los clientes que no están autorizados dentro de la comunidad especificando su dirección IP, seguido de la
restrict
instrucción.[edit groups global snmp community name] user@host# set clients address resrict
La siguiente instrucción define a todos los demás hosts como restringidos de la comunidad pública.
[edit groups global snmp community private] user@host# set clients 0/0 restrict
-
En el nivel superior de la configuración, aplique el grupo de configuración.
Si utiliza un grupo de configuración, debe aplicarlo para que tenga efecto.
[edit] user@host# set apply-groups global
-
Confirme la configuración.
user@host# commit
Agregar un grupo de clientes a una comunidad SNMP
Junos OS le permite agregar uno o más grupos de clientes a una comunidad SNMP. Puede incluir la instrucción en el client-list-name name
[edit snmp community community-name]
nivel de jerarquía para agregar todos los miembros de la lista de clientes o de la lista de prefijos a una comunidad SNMP.
Para definir una lista de clientes, incluya la client-list
instrucción seguida de las direcciones IP de los clientes en el [edit snmp]
nivel jerárquico:
[edit snmp] client-list client-list-name { ip-addresses; }
Puede configurar una lista de prefijos en el [edit policy options]
nivel de jerarquía. La compatibilidad con listas de prefijos en la configuración de comunidad SNMP le permite usar una lista única para configurar las políticas SNMP y de enrutamiento. Para obtener más información acerca de la prefix-list
instrucción, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.
Para agregar una lista de clientes o una lista de prefijos a una comunidad SNMP, incluya la client-list-name
instrucción en el [edit snmp community community-name]
nivel de jerarquía:
[edit snmp community community-name] client-list-name client-list-name;
La lista de clientes y la lista de prefijos no deben tener el mismo nombre.
En el ejemplo siguiente se muestra cómo definir una lista de clientes:
[edit] snmp { client-list clentlist1 { 10.1.1.1/32; 10.2.2.2/32; } }
En el siguiente ejemplo, se muestra cómo agregar una lista de clientes a una comunidad SNMP:
[edit] snmp { community community1 { authorization read-only; client-list-name clientlist1; } }
En el siguiente ejemplo, se muestra cómo agregar una lista de prefijos a una comunidad SNMP:
[edit] policy-options { prefix-list prefixlist { 10.3.3.3/32; 10.5.5.5/32; } } snmp { community community2 { client-list-name prefixlist; } }
Configurar cadena de comunidad SNMP
La cadena de comunidad SNMP define la relación entre un sistema de servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.
Para configurar una cadena de comunidad en una configuración de Junos OS, incluya la community
instrucción en el [edit snmp]
nivel de jerarquía:
[edit snmp] community name { authorization authorization; clients { default restrict; address restrict; } viewview-name; }
Si el nombre de la comunidad contiene espacios, colóclolo entre comillas (" ").
El nivel de autorización predeterminado para una comunidad es read-only
. Para permitir Set
solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write
. Para Set
las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view
instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura; no se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view
instrucción, consulte Configurar vistas MIB.
Las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad se enumeran en las listas de insciones clients
. Si no hay ninguna clients
instrucción presente, se permite a todos los clientes. Para address
, debe especificar una dirección IPv4, no un nombre de host. Incluya la default restrict
opción de denegar el acceso a todos los clientes SNMP para los que no se concede acceso. Recomendamos que siempre incluya la opción de limitar el default restrict
acceso del cliente SNMP al conmutador local.
Los nombres de comunidad deben ser únicos en cada sistema SNMP.
Ejemplos: Configurar la cadena de comunidad SNMP
Conceda acceso de solo lectura a todos los clientes. Con la siguiente configuración, el sistema responde a SNMP Get
y GetNext
GetBulk
a las solicitudes que contienen la cadena de comunidadpublic
:
[edit] snmp { community public { authorization read-only; } }
Conceda a todos los clientes acceso de lectura y escritura al ping MIB y jnxPingMIB
. Con la siguiente configuración, el sistema responde a SNMPGet
, GetNext
GetBulk
y Set
a las solicitudes que contienen la cadena private
de comunidad y especifican una OID contenida en la MIB o jnxPingMIB
jerarquía de ping:
[edit] snmp { view ping-mib-view { oid pingMIB include; oid jnxPingMIB include; community private { authorization read-write; view ping-mib-view; } } }
La siguiente configuración permite el acceso de solo lectura a clientes con direcciones IP en el rango1.2.3.4/24
, y niega el acceso a sistemas en el rango fe80::1:2:3:4/64
:
[edit] snmp { community field-service { authorization read-only; clients { default restrict; # Restrict access to all SNMP clients not explicitly # listed on the following lines. 1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64. } } }
Configurar un agente SNMP de proxy
A partir de la versión 12.3, Junos OS le permite asignar uno de los dispositivos de la red como un agente SNMP proxy mediante el cual el sistema de administración de red (NMS) puede consultar a otros dispositivos de la red. Cuando configure un proxy, puede especificar los nombres de los dispositivos que se administrarán a través del agente SNMP de proxy.
Cuando el NMS consulta el agente SNMP de proxy, el NMS especifica el nombre de la comunidad (para SNMPv1 y SNMPv2) o el contexto y nombre de seguridad (para SNMPv3) asociados con el dispositivo desde el que requiere la información.
Si ha configurado métodos de autenticación y privacidad y contraseñas para SNMPv3, esos parámetros también se especifican en la consulta para la información de SNMPv3.
Para configurar un agente SNMP proxy y especificar los dispositivos que administrará el agente SNMP proxy, consulte proxy (snmp).
A partir de Junos OS versión 15.2, debe configurar la instrucción en el interface <interface-name>
[edit snmp]
nivel jerárquico para el agente SNMP de proxy.
La comunidad y las configuraciones de seguridad para el proxy deben coincidir con las configuraciones correspondientes en el dispositivo que se va a administrar.
Los dispositivos administrados por el agente SNMP proxy envían las capturas directamente al sistema de administración de red, ya que el agente SNMP proxy no tiene capacidades de reenvío de capturas.
Puede usar el comando de show snmp proxy
modo operativo para ver los detalles del proxy en un dispositivo. El show snmp proxy
comando devuelve los nombres de proxy, nombres de dispositivos, versión SNMP, comunidad/seguridad e información de contexto.
Configurar capturas SNMP
Las capturas son mensajes no solicitados que se envían desde un agente SNMP a sistemas de administración de red remotos o receptores de trampa. Las empresas usan capturas SNMP como parte de una solución de monitoreo de fallas, además del registro del sistema. En Junos OS, debe configurar un grupo de captura si desea usar capturas SNMP.
Puede crear y nombrar un grupo de uno o más tipos de capturas SNMP y definir qué sistemas reciben el grupo de capturas SNMP. El nombre del grupo de captura está incrustado en paquetes de notificación de captura SNMP como un enlace de variable (varbind) conocido como nombre de comunidad.
Para configurar una captura SNMP:
Configurar las opciones de captura de SNMP
Con las opciones de captura SNMP, puede establecer la dirección de origen de cada paquete de captura SNMP enviado por el enrutador a una sola dirección, independientemente de la interfaz de salida. Además, puede establecer la dirección del agente de las capturas de SNMPv1. Para obtener más información acerca del contenido de las capturas de SNMPv1, consulte RFC 1157.
SNMP no se puede asociar a ninguna instancia de enrutamiento que no sea la instancia de enrutamiento principal.
Para configurar las opciones de captura snmp, consulte trap-options.
También debe configurar un grupo de captura para que las opciones de captura tengan efecto. Para obtener más información acerca de los grupos de captura, consulte Configuración de grupos de captura SNMP.
Este tema contiene las siguientes secciones:
- Configurar la dirección de origen para capturas SNMP
- Configurar la dirección del agente para capturas SNMP
- Agregar snmpTrapEmpprise Object Identifier a capturas SNMP estándar
Configurar la dirección de origen para capturas SNMP
Puede configurar la dirección de origen de los paquetes de captura de muchas maneras: lo0, una dirección IPv4 o IPv6 válida configurada en una de las interfaces del enrutador, una dirección de sistema lógico o la dirección de una instancia de enrutamiento. El valor lo0 indica que la dirección de origen de los paquetes de captura SNMP está establecida en la dirección de circuito cerrado más bajo configurada en el lo0 de interfaz.
Si la dirección de origen es una dirección IPv4 o IPv6 no válida o no está configurada, no se generan capturas SNMP.
Puede configurar la dirección de origen de los paquetes de captura en uno de los siguientes formatos:
Una dirección IPv4 válida configurada en una de las interfaces del enrutador
Una dirección IPv6 válida configurada en una de las interfaces del enrutador
lo0
; es decir, la dirección de circuito cerrado más bajo configurada en la interfaz lo0Un nombre de sistema lógico
Un nombre de instancia de enrutamiento
Una dirección IPv4 válida como dirección de origen
Para especificar una dirección de interfaz IPv4 válida como dirección de origen para capturas SNMP en una de las interfaces del enrutador, incluya la source-address
instrucción en el [edit snmp trap-options]
nivel de jerarquía:
[edit snmp trap-options] source-address address;
address
es una dirección IPv4 válida configurada en una de las interfaces del enrutador.
Una dirección IPv6 válida como dirección de origen
Para especificar una dirección de interfaz IPv6 válida como dirección de origen para capturas SNMP en una de las interfaces de enrutador, incluya la source-address
instrucción en el [edit snmp trap-options]
nivel de jerarquía:
[edit snmp trap-options] source-address address;
address
es una dirección IPv6 válida configurada en una de las interfaces del enrutador.
La dirección de circuito cerrado más baja como dirección de origen
Para especificar la dirección de origen de las capturas SNMP de modo que usen la dirección de circuito cerrado más bajo configurada en la lo0 de interfaz como dirección de origen, incluya la source-address
instrucción en el [edit snmp trap-options]
nivel de jerarquía:
[edit snmp trap-options] source-address lo0;
Para habilitar y configurar la dirección de circuito cerrado, incluya la address
instrucción en el [edit interfaces lo0 unit 0 family inet]
nivel jerárquico:
[edit interfaces] lo0 { unit 0 { family inet { address ip-address; } } }
Para configurar la dirección de circuito cerrado como la dirección de origen de los paquetes de captura:
[edit snmp] trap-options { source-address lo0; } trap-group "urgent-dispatcher" { version v2; categories link startup; targets { 192.168.10.22; 172.17.1.2; } } [edit interfaces] lo0 { unit 0 { family inet { address 10.0.0.1/32; address 127.0.0.1/32; } } }
En este ejemplo, la dirección IP 10.0.0.1 es la dirección de origen de cada captura enviada desde este enrutador.
Nombre del sistema lógico como dirección de origen
Para especificar un nombre de sistema lógico como la dirección de origen de las capturas SNMP, incluya la logical-system logical-system-name
instrucción en el [edit snmp trap-options]
nivel de jerarquía.
Por ejemplo, la siguiente configuración establece el nombre ls1
lógico del sistema como la dirección de origen de las capturas SNMP:
[edit snmp] trap-options{ logical-system ls1; }
Nombre de instancia de enrutamiento como dirección de origen
Para especificar un nombre de instancia de enrutamiento como la dirección de origen de las capturas SNMP, incluya la routing-instance routing-instance-name
instrucción en el [edit snmp trap-options]
nivel de jerarquía.
Por ejemplo, la siguiente configuración establece el nombre ri1
de instancia de enrutamiento como la dirección de origen de las capturas SNMP:
[edit snmp] trap-options { routing-instance ri1; }
Configurar la dirección del agente para capturas SNMP
La dirección del agente solo está disponible en paquetes de captura SNMPv1 (consulte RFC 1157). De forma predeterminada, la dirección local predeterminada del enrutador no se especifica en el campo de dirección del agente de la captura de SNMPv1. Para configurar la dirección del agente, incluya la agent-address
instrucción en el [edit snmp trap-options]
nivel de jerarquía. Actualmente, la dirección del agente solo puede ser la dirección de la interfaz de salida:
[edit snmp] trap-options { agent-address outgoing-interface; }
Para configurar la interfaz de salida como dirección del agente:
[edit snmp] trap-options { agent-address outgoing-interface; } trap-group “ urgent-dispatcher” { version v1; categories link startup; targets { 192.168.10.22; 172.17.1.2; } }
En este ejemplo, cada paquete de captura SNMPv1 enviado tiene su valor de dirección de agente establecido en la dirección IP de la interfaz de salida.
Agregar snmpTrapEmpprise Object Identifier a capturas SNMP estándar
El snmpTrapEnterprise objeto le ayuda a identificar la empresa que ha definido la captura. Normalmente, el objeto snmpTrapEnterprise aparece como el último varbind en las capturas SNMP versión 2 específicas de la empresa. Sin embargo, a partir de la versión 10.0, Junos OS le permite agregar el identificador de objeto snmpTrapEnterprise a las capturas SNMP estándar también.
Para agregar snmpTrapEnterprise a las capturas estándar, incluya la enterprise-oid
instrucción en el [edit snmp trap-options]
nivel de jerarquía. Si la enterprise-oid
instrucción no se incluye en la configuración, snmpTrapEnterprise se agrega solo para capturas específicas de la empresa.
[edit snmp] trap-options { enterprise-oid; }
Configurar grupos de captura SNMP
Puede crear y nombrar un grupo de uno o más tipos de capturas SNMP y, luego, definir qué sistemas reciben el grupo de capturas SNMP. Debe configurar el grupo de capturas para enviar las capturas SNMP. Para crear un grupo de captura SNMP, consulte trap-group.
Para cada grupo de captura que defina, debe incluir la target
instrucción para definir al menos un sistema como el destinatario de las capturas SNMP en el grupo de capturas. Especifique la dirección IPv4 o IPv6 de cada destinatario, no su nombre de host.
Especifique los tipos de capturas que el grupo de capturas puede recibir en la categories
instrucción. Para obtener más información acerca de la categoría a la que pertenecen las capturas, consulte los temas Trampas SNMP estándar compatibles con Junos OS y capturas SNMP específicas para la empresa compatibles con Junos OS .
Especifique la instancia de enrutamiento que usa el grupo de captura en la routing-instance
instrucción. Todos los destinos configurados en el grupo de captura usan esta instancia de enrutamiento.
Un grupo de trampa puede recibir las siguientes categorías:
authentication
—Errores de autenticaciónchassis
—Notificaciones de chasis o entornochassis-cluster
—Notificaciones de agrupación en clústeresconfiguration
—Notificaciones de configuraciónlink
—Notificaciones relacionadas con el vínculo (transiciones ascendentes y descendentes, cambio de estado de las líneas DS-3 y DS-1, cambio de estado de interfaz IPv6 y sobrecarga de PIC de monitoreo pasivo)Nota:Para enviar capturas de interfaz de sobrecarga de PIC de supervisión pasiva, seleccione la categoría de
link
captura.otn-alarms
—Subcategorías de trampa de alarmaS OTNremote-operations
—Notificaciones de operación remotarmon-alarm
—Alarma para eventos de RMONrouting
—Notificaciones de protocolo de enrutamientoservices
— Notificaciones de servicios como circuito descendente o ascendente, conexión hacia abajo o hacia arriba, CPU superada, alarmas y cambios de estado.sonet-alarms
—Alarmas SONET/SDHNota:Si omite las subcategorías SONET/SDH, todos los tipos de alarma de trampa SONET/SDH se incluyen en las notificaciones de captura.
loss-of-light
—Notificación de pérdida de alarma ligerapll-lock
—Notificación de alarma de bloqueo PLLloss-of-frame
—Notificación de pérdida de alarma de tramaloss-of-signal
—Notificación de alarma por pérdida de señalseverely-errored-frame
— Notificación de alarma de marco con errores gravesline-ais
—Notificación de alarma de indicación de alarma de línea (AIS)path-ais
—Notificación de alarma AIS de rutaloss-of-pointer
—Notificación de pérdida de alarma de punterober-defect
—Notificación de alarma de defectos de velocidad de error de bits SONET/SDHber-fault
—Notificación de alarma de tasa de error de SONET/SDHline-remote-defect-indication
—Notificación de alarma de indicación remota de defectos en líneapath-remote-defect-indication
—Notificación de alarma de indicación remota de defectos de rutaremote-error-indication
—Notificación de alarma de indicación de error remotaunequipped
—Notificación de alarma no equipadapath-mismatch
—Notificación de alarma de discordancia de rutaloss-of-cell
—Notificación de alarma de pérdida de delineación de celdasvt-ais
—Notificación de alarma de AIS afluente virtual (VT)vt-loss-of-pointer
—Notificación de pérdida de alarma de puntero VTvt-remote-defect-indication
—Notificación de alarma de indicación remota de defectos de VTvt-unequipped
—Notificación de alarma no equipada de VTvt-label-mismatch
—Notificación de error de discordancia de etiqueta VTvt-loss-of-cell
—Notificación de pérdida de VT de delineación de celdas
startup
—Sistema de arranque caliente y fríotiming-events
—Notificación de eventos de temporización y defectosvrrp-events
—Eventos del protocolo de redundancia de enrutador virtual (VRRP), como errores de autenticación o de nuevo principal
Si incluye las subcategorías DE SONET/SDH, en las notificaciones de captura solo se incluyen aquellos tipos de alarma de trampa SONET/SDH.
La version
instrucción permite especificar la versión SNMP de las capturas enviadas a los destinos del grupo de capturas. Si solo especifica v1
, se envían capturas de SNMPv1. Si solo especifica v2
, se envían capturas de SNMPv2. Si especifica all
, se envían tanto una captura SNMPv1 como una trampa SNMPv2 para cada condición de captura. Para obtener más información acerca de la version
instrucción, consulte la versión (SNMP).
Configurar grupos y opciones de captura SNMP en un dispositivo que ejecuta Junos OS
Algunas operadoras tienen más de un receptor de trampa que reenvía las trampas a un NMS central. Esto permite que más de una ruta para las capturas SNMP desde un enrutador hasta el NMS central a través de diferentes receptores de captura. Puede configurar un dispositivo que ejecuta Junos OS para enviar la misma copia de cada captura SNMP a cada receptor de captura configurado en el grupo de capturas.
La dirección de origen en el encabezado IP de cada paquete de captura SNMP se establece en la dirección de la interfaz de salida de forma predeterminada. Cuando un receptor de trampa reenvía el paquete al NMS central, se conserva la dirección de origen. El NMS central, mirando solo la dirección de origen de cada paquete de captura SNMP, asume que cada captura SNMP vino de un origen diferente.
En realidad, las capturas SNMP provenían del mismo enrutador, pero cada una salió del enrutador a través de una interfaz de salida diferente.
Las instrucciones analizadas en las siguientes secciones se proporcionan para permitir que el NMS reconozca las capturas duplicadas y distinga las capturas de SNMPv1 según la interfaz de salida.
Para configurar las opciones de captura y los grupos de captura de SNMP, incluya las trap-options
instrucciones y trap-group
en el [edit snmp]
nivel jerárquico:
[edit snmp] trap-options { agent-address outgoing-interface; source-address address; } trap-group group-name { categories { category; } destination-port port-number; targets { address; } version (all | v1 | v2); }
Ejemplo: Configurar grupos de captura SNMP
Configure una lista de notificaciones de capturas denominada para urgent-dispatcher
las trampas de enlace y inicio. Esta lista se utiliza para identificar los hosts de administración de red (1.2.3.4
y fe80::1:2:3:4
) a los que se deben enviar las trampas generadas por el enrutador local. El nombre especificado para un grupo de captura se utiliza como cadena de comunidad SNMP cuando el agente envía capturas a los destinos enumerados.
[edit] snmp { trap-group "urgent-dispatcher" { version v2; categories link startup; targets { 1.2.3.4; fe80::1:2:3:4; } } }
Configure las interfaces en las que se pueden aceptar solicitudes SNMP
De forma predeterminada, todas las interfaces de enrutador o conmutador tienen privilegios de acceso SNMP. Para limitar el acceso solo a través de ciertas interfaces, incluya la interface
instrucción en el [edit snmp]
nivel jerárquico:
[edit snmp] interface [ interface-names ];
Especifique los nombres de cualquier interfaz lógica o física que tenga privilegios de acceso SNMP. Se descartan todas las solicitudes SNMP que ingresan en el enrutador o conmutador desde interfaces no enumeradas.
Ejemplo: Configurar la comprobación de la lista de acceso seguro
Los privilegios de acceso SNMP solo se conceden a dispositivos en interfaces so-0/0/0
y at-1/0/1
. En el ejemplo siguiente, se configura una lista de interfaces lógicas:
[edit] snmp { interface [ so-0/0/0.0 so-0/0/0.1 at-1/0/1.0 at-1/0/1.1 ]; }
En el ejemplo siguiente se concede el mismo acceso mediante la configuración de una lista de interfaces físicas:
[edit] snmp { interface [ so-0/0/0 at-1/0/1 ]; }
Filtrar la información de interfaz de SNMP Obtener y obtener salida siguiente
Junos OS le permite filtrar la información relacionada con interfaces específicas a partir de la salida de SNMP Get
y GetNext
las solicitudes. Puede realizar esto en MIB relacionados con interfaz, como IF MIB, ATM MIB, RMON MIB y el MIB de IF específico para la empresa de Juniper Networks.
Puede usar las siguientes opciones de la instrucción en el filter-interfaces
[edit snmp]
nivel de jerarquía para especificar las interfaces que desea excluir de SNMP Get
y GetNext
consultas:
interfaces
—Interfaces que coincidan con las expresiones regulares especificadas.all-internal-interfaces
—Interfaces internas.
[edit] snmp { filter-interfaces { interfaces { interface-name 1; interface-name 2; } all-internal-interfaces; } }
A partir de la versión 12.1, Junos OS ofrece una opción except (!
operador) que le permite filtrar todas las interfaces, excepto aquellas que coincidan con todas las expresiones regulares prefijos con la !
marca.
Por ejemplo, para filtrar todas las interfaces, excepto las ge
interfaces del SNMP get
y get-next
los resultados, escriba el siguiente comando:
[edit snmp] user@host# set filter-interfaces interfaces “!^ge-.*” user@host# commit
Cuando esto está configurado, Junos OS filtra todas las interfaces, excepto las ge
interfaces del SNMP get
y get-next
los resultados.
La !
marca solo se admite como el primer carácter de la expresión regular. Si aparece en cualquier otro lugar de una expresión regular, Junos OS considera que la expresión regular no es válida y devuelve un error.
Sin embargo, tenga en cuenta que esta configuración solo se aplica a las operaciones SNMP. Los usuarios pueden seguir accediendo a la información relacionada con las interfaces (incluidas las ocultas mediante las filter-interfaces
opciones) mediante los comandos adecuados de interfaz de línea de comandos (CLI) de Junos OS.
Configurar vistas DE MIB
SNMPv3 define el concepto de vistas MIB en RFC 3415, modelo de control de acceso basado en vistas (VACM) para el Protocolo simple de administración de red (SNMP). Las vistas MIB proporcionan un mejor control a un agente sobre quién puede acceder a ramas y objetos específicos dentro de su árbol MIB. Una vista consta de un nombre y una colección de identificadores de objeto SNMP, que se incluyen o excluyen explícitamente. Una vez definida, se asigna una vista a un grupo SNMPv3 o una comunidad SNMPv1/v2c (o varias comunidades), enmascarando automáticamente a qué partes del árbol MIB del agente los miembros del grupo o comunidad pueden (o no pueden) acceder.
De forma predeterminada, una comunidad SNMP concede acceso de lectura y niega el acceso de escritura a todos los objetos MIB compatibles (incluso las comunidades configuradas como authorization read-write
). Para restringir o conceder acceso de lectura o escritura a un conjunto de objetos MIB, debe configurar una vista MIB y asociarla con una comunidad.
Para configurar las vistas MIB, consulte view (Configuring a MIB View).
Para eliminar un OID por completo, utilice el delete view all oid oid-number
comando pero omita el include
parámetro.
[edit groups global snmp] user@host# set view view-name oid object-identifier (include | exclude)
En el ejemplo siguiente se crea una vista MIB llamada ping-mib-view. La oid
instrucción no requiere un punto al principio del identificador de objeto. La snmp view
instrucción incluye la sucursal bajo el identificador de objeto .1.3.6.1.2.1.80. Esto incluye el subárbol completo de DISMAN-PINGMIB (como se define en RFC 2925, Definiciones de objetos administrados para operaciones de ping remoto, Traceroute y búsqueda), lo que efectivamente permite el acceso a cualquier objeto bajo esa sucursal.
[edit groups global snmp] user@host# set view ping-mib-view oid 1.3.6.1.2.1.80 include
En el siguiente ejemplo, se agrega una segunda sucursal en la misma vista MIB.
[edit groups global snmp] user@host# set view ping-mib-view oid jnxPingMIB include
Asigne una vista MIB a una comunidad que desee controlar.
Para asociar las vistas de MIB con una comunidad, consulte view (SNMP Community).
Para obtener más información acerca de Ping MIB, consulte RFC 2925 y PING MIB.
Consulte también
Configurar MIB de proxy ping
Restrinja la ping-mib comunidad para leer y escribir el acceso de Ping MIB y jnxpingMIB
solo. No se permite el acceso de lectura o escritura a cualquier otro MIB que use esta comunidad.
[edit snmp] view ping-mib-view { oid 1.3.6.1.2.1.80 include; #pingMIB oid jnxPingMIB include; #jnxPingMIB } community ping-mib { authorization read-write; view ping-mib-view; }
La siguiente configuración impide que la no-ping-mib comunidad acceda a Ping MIB y jnxPingMIB
a los objetos. Sin embargo, esta configuración no impide que la no-ping-mib comunidad acceda a cualquier otro objeto MIB que se admita en el dispositivo.
[edit snmp] view no-ping-mib-view { oid 1.3.6.1.2.1.80 exclude; # deny access to pingMIB objects oid jnxPingMIB exclude; # deny access to jnxPingMIB objects } community no-ping-mib { authorization read-write; view ping-mib-view; }