Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de SNMPv3

Configuración mínima de SNMPv3 en un dispositivo que ejecuta Junos OS

Para configurar los requisitos mínimos para SNMPv3, incluya las siguientes instrucciones en los [edit snmp v3] niveles de jerarquía y [edit snmp] :

Nota:

Debe configurar al menos una vista (notificar, leer o escribir) en el [edit snmp view-name] nivel jerárquico.

Ejemplo: Configuración de SNMPv3

Defina una configuración SNMPv3:

Creación de usuarios de SNMPv3

Para cada usuario de SNMPv3, puede especificar el nombre de usuario, el tipo de autenticación, la contraseña de autenticación, el tipo de privacidad y la contraseña de privacidad. Después de que un usuario ingresa una contraseña, se genera una clave basada en el ID y la contraseña del motor y se escribe en el archivo de configuración. Después de la generación de la clave, la contraseña se elimina de este archivo de configuración.

Nota:

Solo puede configurar un tipo de cifrado para cada usuario SNMPv3.

Para crear usuarios, incluya la user instrucción en el [edit snmp v3 usm local-engine] nivel de jerarquía:

username es el nombre que identifica al usuario SNMPv3.

Para configurar la autenticación y el cifrado de usuario, incluya las siguientes instrucciones en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

Ejemplo: Creación de usuarios de SNMPv3

Defina a los usuarios de SNMPv3:

Configuración del tipo de autenticación SNMPv3

De forma predeterminada, en una configuración de Junos OS, el tipo de autenticación SNMPv3 se establece en ninguno.

En este tema se incluyen las siguientes secciones:

Configuración de autenticación MD5

Para configurar el algoritmo de síntesis de mensajes (MD5) como el tipo de autenticación para un usuario de SNMPv3, incluya la authentication-md5 instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

authentication-password es la contraseña utilizada para generar la clave utilizada para la autenticación.

El SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración de autenticación SHA

Para configurar el algoritmo hash seguro (SHA) como el tipo de autenticación para un usuario SNMPv3, incluya la authentication-sha instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

authentication-password es la contraseña utilizada para generar la clave utilizada para la autenticación.

El SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración sin autenticación

Para configurar ninguna autenticación para un usuario SNMPv3, incluya la authentication-none instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

Configuración del tipo de cifrado SNMPv3

De forma predeterminada, el cifrado se establece en ninguno.

Nota:

Antes de configurar el cifrado, debe configurar la autenticación MD5 o SHA.

En este tema se incluyen las siguientes secciones:

Configuración del algoritmo estándar de cifrado avanzado

Para configurar el algoritmo estándar de cifrado avanzado (AES) para un usuario de SNMPv3, incluya la privacy-aes128 instrucción en el [edit snmp v3 usm local-engine user username] nivel jerárquico:

privacy-password es la contraseña utilizada para generar la clave utilizada para el cifrado.

El SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración del algoritmo de cifrado de datos

Para configurar el algoritmo de cifrado de datos (DES) para un usuario SNMPv3, incluya la privacy-des instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

privacy-password es la contraseña utilizada para generar la clave utilizada para el cifrado.

El SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración de triple DES

Para configurar triple DES para un usuario SNMPv3, incluya la privacy-3des instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

privacy-password es la contraseña utilizada para generar la clave utilizada para el cifrado.

El SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración sin cifrado

Para configurar ningún cifrado para un usuario SNMPv3, incluya la privacy-none instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

Definición de privilegios de acceso para un grupo SNMP

La versión 3 de SNMP (SNMPv3) utiliza el modelo de control de acceso basado en vista (VACM), el cual le permite configurar los privilegios de acceso otorgados a un grupo. El acceso se controla mediante el filtrado de los objetos MIB disponibles para una operación específica mediante una vista predefinida. Se asignan vistas para determinar los objetos que son visibles para operaciones de lectura, escritura y notificación para un grupo determinado, mediante un contexto determinado, un modelo de seguridad determinado (v1, v2c o usm) y un nivel de seguridad determinado (autenticado, privacidad o ninguno). Para obtener más información sobre cómo configurar vistas, consulte Configurar vistas MIB.

El acceso del usuario a la información de administración se define en el [edit snmp v3 vacm] nivel de jerarquía. Todo el control de acceso dentro del VACM funciona en grupos, que son colecciones de usuarios según lo definido por USM, o cadenas de comunidad según se define en los modelos de seguridad SNMPv1 y SNMPv2c. El término security-name se refiere a estos usuarios finales genéricos. El grupo al que pertenece un nombre de seguridad específico está configurado en el [edit snmp v3 vacm security-to-group] nivel jerárquico. Ese nombre de seguridad se puede asociar a un grupo definido en el [edit snmp v3 vacm security-to-group] nivel jerárquico. Un grupo identifica una colección de usuarios SNMP que comparten la misma política de acceso. A continuación, defina los privilegios de acceso asociados a un grupo en el [edit snmp v3 vacm access] nivel jerárquico. Los privilegios de acceso se definen mediante vistas. Para cada grupo, puede aplicar vistas diferentes según la operación SNMP; por ejemplo, leer (get, getNexto getBulk) escribir (set), las notificaciones, el nivel de seguridad utilizado (autenticación, privacidad o ninguno) y el modelo de seguridad (v1, v2c o usm) que se usa en una solicitud SNMP.

Configure miembros de un grupo con la security-name instrucción. Para los paquetes v3 que utilizan USM, el nombre de seguridad es el mismo que el nombre de usuario. Para los paquetes SNMPv1 o SNMPv2c, el nombre de seguridad se determina en función de la cadena de comunidad. Los nombres de seguridad son específicos de un modelo de seguridad. Si también está configurando políticas de acceso VACM para paquetes SNMPv1 o SNMPv2c, debe asignar nombres de seguridad a grupos para cada modelo de seguridad (SNMPv1 o SNMPv2c) en el [edit snmp v3 vacm security-to-group] nivel jerárquico. También debe asociar un nombre de seguridad a una comunidad SNMP en el [edit snmp v3 snmp-community community-index] nivel jerárquico.

Para configurar los privilegios de acceso para un grupo SNMP, incluya instrucciones en el [edit snmp v3 vacm] nivel de jerarquía:

Configuración de los privilegios de acceso otorgados a un grupo

En este tema se incluyen las siguientes secciones:

Configuración del grupo

Para configurar los privilegios de acceso otorgados a un grupo, incluya la group instrucción en el [edit snmp v3 vacm access] nivel de jerarquía:

group-name es una colección de usuarios SNMP que pertenecen a una lista SNMP común que define una política de acceso. Los usuarios que pertenecen a un grupo SNMP determinado heredan todos los privilegios de acceso otorgados a ese grupo.

Configuración del modelo de seguridad

Para configurar el modelo de seguridad, incluya la security-model instrucción en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] nivel de jerarquía:

  • any— Cualquier modelo de seguridad

  • usm— Modelo de seguridad SNMPv3

  • v1—Modelo de seguridad SNMPV1

  • v2c— Modelo de seguridad SNMPv2c

Configuración del nivel de seguridad

Para configurar los privilegios de acceso otorgados a paquetes con un nivel de seguridad determinado, incluya la security-level instrucción en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] nivel jerárquico:

  • none: no proporciona autenticación ni cifrado.

  • authentication: proporciona autenticación, pero no encriptación.

  • privacy: proporciona autenticación y cifrado.

    Nota:

    Los privilegios de acceso se conceden a todos los paquetes con un nivel de seguridad igual o mayor que el configurado. Si está configurando el modelo de seguridad SNMPv1 o SNMPv2c, utilice none como nivel de seguridad. Si está configurando el modelo de seguridad SNMPv3 (USM), utilice el authenticationnivel de noneseguridad o privacy .

Asociación de vistas MIB con un grupo de usuarios SNMP

Las vistas MIB definen privilegios de acceso para los miembros de un grupo. Se pueden aplicar vistas separadas para cada operación SNMP (leer, escribir y notificar) dentro de cada modelo de seguridad (usm, v1 y v2c) y cada nivel de seguridad (autenticación, ninguno y privacidad) compatibles con SNMP.

Para asociar vistas MIB a un grupo de usuarios SNMP, incluya las siguientes instrucciones en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel jerárquico:

Nota:

Debe asociar al menos una vista (notificar, leer o escribir) en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel jerárquico.

Debe configurar la vista MIB en el [edit snmp view view-name] nivel de jerarquía. Para obtener más información sobre cómo configurar vistas MIB, consulte Configurar vistas MIB.

En esta sección se describen los siguientes temas relacionados con esta configuración:

Configuración de la vista notificar

Para asociar el acceso de notificación con un grupo de usuarios SNMP, incluya la notify-view instrucción en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel de jerarquía:

view-name especifica el acceso de notificación, que es una lista de notificaciones que se pueden enviar a cada usuario en un grupo SNMP. Un nombre de vista no puede superar los 32 caracteres.

Configuración de la vista de lectura

Para asociar una vista de lectura a un grupo SNMP, incluya la read-view instrucción en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel de jerarquía:

view-name especifica el acceso de lectura para un grupo de usuarios SNMP. Un nombre de vista no puede superar los 32 caracteres.

Configuración de la vista de escritura

Para asociar una vista de escritura a un grupo de usuarios SNMP, incluya la write-view instrucción en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel de jerarquía:

view-name especifica el acceso de escritura para un grupo de usuarios SNMP. Un nombre de vista no puede superar los 32 caracteres.

Ejemplo: Configuración de los privilegios de acceso otorgados a un grupo

Definir privilegios de acceso:

Asignación de un modelo de seguridad y un nombre de seguridad a un grupo

Para asignar nombres de seguridad a grupos, incluya las siguientes instrucciones en el [edit snmp v3 vacm security-to-group] nivel jerárquico:

En este tema se incluyen las siguientes secciones:

Configuración del modelo de seguridad

Para configurar el modelo de seguridad, incluya la security-model instrucción en el [edit snmp v3 vacm security-to-group] nivel de jerarquía:

  • usm— Modelo de seguridad SNMPv3

  • v1— Modelo de seguridad SNMPv1

  • v2c— Modelo de seguridad SNMPv2

Asignación de nombres de seguridad a grupos

Para asociar un nombre de seguridad a un usuario SNMPv3 o una cadena de comunidad v1 o v2, incluya la security-name instrucción en el [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] nivel de jerarquía:

Para SNMPv3, el es el security-name nombre de usuario configurado en el [edit snmp v3 usm local-engine user username] nivel jerárquico. Para SNMPv1 y SNMPv2c, el nombre de seguridad es la cadena de comunidad configurada en el [edit snmp v3 snmp-community community-index] nivel jerárquico. Para obtener información acerca de cómo configurar nombres de usuario, consulte Creación de usuarios SNMPv3. Para obtener información acerca de cómo configurar una cadena de comunidad, consulte Configurar la comunidad SNMPv3.

Nota:

El nombre de seguridad de USM es independiente del nombre de seguridad SNMPv1 y SNMPv2c. Si admite SNMPv1 y SNMPv2c además de SNMPv3, debe configurar nombres de seguridad independientes dentro de la configuración de seguridad a grupo en el [edit snmp v3 vacm access] nivel de jerarquía.

Configuración del grupo

Después de crear usuarios SNMPv3 o nombres de seguridad v1 o v2, los asocia con un grupo. Un grupo es un conjunto de nombres de seguridad que pertenecen a un modelo de seguridad determinado. Un grupo define los derechos de acceso para todos los usuarios que pertenecen a él. Los derechos de acceso definen qué objetos SNMP se pueden leer, escribir o crear. Un grupo también define qué notificaciones puede recibir un usuario.

Si ya tiene un grupo configurado con todos los permisos de vista y acceso que desea otorgar a un usuario, puede agregar el usuario a ese grupo. Si desea dar a un usuario vista y permisos de acceso que no tienen otros grupos, o si no tiene ningún grupo configurado, cree un grupo y agregue el usuario a él.

Para configurar los privilegios de acceso otorgados a un grupo, incluya la group instrucción en el [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] nivel de jerarquía:

group-name identifica una colección de nombres de seguridad SNMP que comparten la misma política de acceso. Para obtener más información acerca de los grupos, consulte Definición de privilegios de acceso para un grupo SNMP.

Ejemplo: Configuración de grupo de seguridad

Asignar nombres de seguridad a grupos:

Configuración de trampas SNMPv3 en un dispositivo que ejecuta Junos OS

En SNMPv3, puede crear trampas e informes mediante la configuración de los notifyparámetros , target-addressy target-parameters . Las trampas son notificaciones no confirmadas, mientras que los informes son notificaciones confirmadas. En esta sección se describe cómo configurar las trampas SNMP. Para obtener información acerca de cómo configurar informes SNMP, consulte Configurar informes SNMP.

La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizarán para enviar notificaciones. Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un destino de administración determinado. SNMPv3 también le permite definir trampas SNMPv1 y SNMPv2c.

Nota:

Cuando configure las trampas SNMP, asegúrese de que sus privilegios de acceso configurados permiten que se envíen las trampas. Los privilegios de acceso se configuran en los [edit snmp v3 vacm access] niveles de jerarquía y [edit snmp v3 vacm security-to-group] .

Para configurar capturas SNMP, incluya las siguientes instrucciones en el [edit snmp v3] nivel jerárquico:

Configuración de la notificación de trampa de SNMPv3

La notify instrucción especifica el tipo de notificación (trampa) y contiene una sola etiqueta. La etiqueta define un conjunto de direcciones de destino para recibir una trampa. La lista de etiquetas contiene una o más etiquetas y está configurada en el [edit snmp v3 target-address target-address-name] nivel jerárquico. Si la lista de etiquetas contiene esta etiqueta, Junos OS envía una notificación a todas las direcciones de destino asociadas con esta etiqueta.

Para configurar las notificaciones de desvío, incluya la notify instrucción en el [edit snmp v3] nivel de jerarquía:

name es el nombre asignado a la notificación.

tag-name define las direcciones de destino a las que se envía esta notificación. Esta notificación se envía a todas las direcciones de destino que tienen esta etiqueta en su lista de etiquetas. El tag-name no se incluye en la notificación.

trap es el tipo de notificación.

Nota:

Cada nombre de entrada de notificación debe ser único.

Junos OS admite dos tipos de notificación: trap y inform.

Para obtener información acerca de cómo configurar la lista de etiquetas, consulte Configurar la dirección de destino de trampa.

Ejemplo: Configuración de notificación de trampa de SNMPv3

Especifique tres conjuntos de destinos para enviar trampas:

Configuración del filtro de notificación de trampa

El SNMPv3 utiliza el filtro de notificación para definir qué trampas (o qué objetos desde los cuales se envían las trampas) al sistema de administración de red (NMS). El filtro de notificación de trampa limita el tipo de trampas que se envían al NMS.

Cada identificador de objeto representa un subárbol de la jerarquía de objetos MIB. El subárbol se puede representar mediante una secuencia de enteros con puntos (como 1.3.6.1.2.1.2) o por su nombre de subárbol (como interfaces). También puede usar el asterisco de carácter comodín (*) en el identificador de objeto (OID) para especificar identificadores de objeto que coincidan con un patrón determinado.

Para configurar el filtro de notificaciones de trampa, incluya la notify-filter instrucción en el [edit snmp v3] nivel de jerarquía:

profile-name es el nombre asignado al filtro de notificación.

De forma predeterminada, la OID se establece en include. Para definir el acceso a trampas (u objetos de trampas), incluya la oid instrucción en el [edit snmp v3 notify-filter profile-name] nivel de jerarquía:

oid es el identificador de objeto. Todos los objetos MIB representados por esta instrucción tienen el OID especificado como prefijo. Se puede especificar mediante una secuencia de enteros de puntos o por un nombre de subárbol.

  • include: incluya el subárbol de objetos MIB representados por el OID especificado.

  • exclude: permite excluir el subárbol de objetos MIB representados por el OID especificado.

Configuración de la dirección de destino de trampa

La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan en el envío de notificaciones. También puede identificar estaciones de administración a las que se les permite usar cadenas de comunidad específicas. Cuando recibe un paquete con una cadena de comunidad reconocida y una etiqueta está asociada con él, Junos OS busca todas las direcciones de destino con esta etiqueta y verifica que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.

Nota:

Debe configurar la máscara de dirección cuando configure la comunidad SNMP.

Para especificar dónde desea que se envíen las trampas y definir qué paquetes SNMPv1 y SNMPv2cc están permitidos, incluya la target-address instrucción en el [edit snmp v3] nivel de jerarquía:

target-address-name es la cadena que identifica la dirección de destino.

Para configurar las propiedades de dirección de destino, incluya las siguientes instrucciones en el [edit snmp v3 target-address target-address-name] nivel jerárquico:

A diferencia de SNMP v2, en SNMPv3, no hay ninguna opción de configuración para limitar el sondeo entrante. Sin embargo, puede configurar un filtro lo0 para limitar el sondeo entrante mediante la creación de una regla para permitir SNMP desde las IP del sistema de supervisión. Por ejemplo:

Configuración de la dirección

Para configurar la dirección, incluya la address instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

address es la dirección de destino SNMP.

Configuración de la máscara de dirección

La máscara de dirección especifica un conjunto de direcciones que se les permite usar una cadena de comunidad y verifica las direcciones de origen de un grupo de direcciones de destino.

Para configurar la máscara de dirección, incluya la address-mask instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

address-mask combinada con la dirección define un rango de direcciones. Para obtener información acerca de cómo configurar la cadena de comunidad, consulte Configurar la comunidad SNMPv3.

Configuración del puerto

De forma predeterminada, el puerto UDP se establece en 162. Para configurar un número de puerto diferente, incluya la port instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

port-number es el número de puerto de destino SNMP.

Configuración de la instancia de enrutamiento

Las trampas se envían a través de la instancia de enrutamiento predeterminada. Para configurar la instancia de enrutamiento para enviar desvíos, incluya la routing-instance instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

instance es el nombre de la instancia de enrutamiento. Para configurar una instancia de enrutamiento dentro de un sistema lógico, especifique el nombre del sistema lógico seguido del nombre de instancia de enrutamiento. Utilice una barra diagonal ( / ) para separar los dos nombres (por ejemplo, test-lr/test-ri). Para configurar la instancia de enrutamiento predeterminada en un sistema lógico, especifique el nombre del sistema lógico seguido de default (por ejemplo, test-lr/default).

Configuración de la dirección de destino de trampa

Cada target-address instrucción puede tener una o más etiquetas configuradas en su lista de etiquetas. Cada etiqueta puede aparecer en más de una lista de etiquetas. Cuando se produce un evento significativo en el dispositivo de red, la lista de etiquetas identifica los destinos a los que se envía una notificación.

Para configurar la lista de etiquetas, incluya la tag-list instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

tag-list especifica una o más etiquetas como una lista separada por espacio entre comillas dobles.

Para obtener un ejemplo de configuración de lista de etiquetas, consulte Ejemplo: Configuración de la lista de etiquetas.

Para obtener información acerca de cómo especificar una etiqueta en el [edit snmp v3 notify notify-name] nivel de jerarquía, consulte Configurar la notificación de trampa de SNMPv3.

Nota:

Cuando configure las trampas SNMP, asegúrese de que sus privilegios de acceso configurados permiten que se envíen las trampas. Configure los privilegios de acceso en el [edit snmp v3 vacm access] nivel jerárquico.

Aplicación de parámetros de destino

La target-parameters instrucción en el [edit snmp v3] nivel de jerarquía aplica los parámetros de destino configurados en el [edit snmp v3 target-parameters target-parameters-name] nivel jerárquico.

Para hacer referencia a los parámetros de destino configurados, incluya la target-parameters instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

target-parameters-name es el nombre asociado con el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un destino de administración determinado.

Ejemplo: Configuración de la lista de etiquetas

En el ejemplo siguiente, se definen dos entradas de etiqueta (router1 y router2) en el [edit snmp v3 notify notify-name] nivel jerárquico. Cuando un evento activa una notificación, Junos OS envía una trampa a todas las direcciones de destino que tienen router1 o router2 están configuradas en su lista de etiquetas de dirección de destino. Esto da como resultado que los dos primeros objetivos obtienen una trampa cada uno y el tercer objetivo obtiene dos trampas.

Definición y configuración de los parámetros de destino de trampa

Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un destino de administración determinado.

Para definir un conjunto de parámetros de destino, incluya la target-parameters instrucción en el [edit snmp v3] nivel de jerarquía:

target-parameters-name es el nombre asignado a los parámetros de destino.

Para configurar las propiedades de parámetro de destino, incluya las siguientes instrucciones en el [edit snmp v3 target-parameters target-parameter-name] nivel de jerarquía:

Nota:

Cuando configure notificaciones de trampa SNMP para la política de suscriptor seguro en enrutadores serie MX, debe configurar los parámetros de la siguiente manera:

  • Modelo de procesamiento de mensajes: v3

  • Nivel de seguridad: privacy

  • Modelo de seguridad: usm

Para obtener más información acerca de cómo configurar políticas seguras para suscriptores, consulte Descripción general de la política de suscriptor seguro.

En este tema se incluyen las siguientes secciones:

Aplicación del filtro de notificación de trampa

Para aplicar el filtro de notificación de desvío, incluya la notify-filter instrucción en el [edit snmp v3 target-parameters target-parameter-name] nivel de jerarquía:

profile-name es el nombre de un filtro de notificación configurado. Para obtener información acerca de cómo configurar filtros de notificación, consulte Configurar el filtro de notificación de trampa.

Configuración de los parámetros de destino

Para configurar las propiedades de parámetro de destino, incluya las siguientes instrucciones en el [edit snmp v3 target-parameters target-parameter-name parameters] nivel de jerarquía:

Esta sección incluye los siguientes temas:

Configuración del modelo de procesamiento de mensajes

El modelo de procesamiento de mensajes define qué versión de SNMP usar al generar notificaciones SNMP. Para configurar el modelo de procesamiento de mensajes, incluya la message-processing-model instrucción en el [edit snmp v3 target-parameters target-parameter-name parameters] nivel de jerarquía:

  • v1— Modelo de procesamiento de mensajes SNMPv1

  • v2c: modelo de procesamiento de mensajes SNMPv2c

  • v3—Modelo de procesamiento de mensajes SNMPV3

Nota:

El v3 modelo de procesamiento de mensajes es necesario para la política segura de suscriptores en enrutadores de la serie MX. Consulte Descripción general de la política de suscriptor seguro para obtener más información.

Configuración del modelo de seguridad

Para definir el modelo de seguridad que se va a utilizar al generar notificaciones SNMP, incluya la security-model instrucción en el [edit snmp v3 target-parameters target-parameter-name parameters] nivel de jerarquía:

  • usm— Modelo de seguridad SNMPv3

  • v1— Modelo de seguridad SNMPv1

  • v2c— Modelo de seguridad SNMPv2c

Nota:

El usm modelo de seguridad es necesario para la política segura de suscriptores en enrutadores de la serie MX. Consulte Descripción general de la política de suscriptor seguro para obtener más información.

Configuración del nivel de seguridad

La security-level instrucción especifica si la trampa está autenticada y cifrada antes de enviarla.

Para configurar el nivel de seguridad que se usará al generar notificaciones SNMP, incluya la security-level instrucción en el [edit snmp v3 target-parameters target-parameter-name parameters] nivel de jerarquía:

  • authentication: proporciona autenticación, pero no encriptación.

  • none— Sin seguridad. No proporciona autenticación ni cifrado.

  • privacy: proporciona autenticación y cifrado.

    Nota:

    Si está configurando el modelo de seguridad SNMPv1 o SNMPV2c, utilice none como nivel de seguridad. Si está configurando el modelo de seguridad SNMPv3 (USM), utilice el authentication nivel de seguridad o privacy .

    El privacy nivel de seguridad es necesario para la política segura de suscriptores en enrutadores de la serie MX. Consulte Descripción general de la política de suscriptor seguro para obtener más información.

Configuración del nombre de seguridad

Para configurar el nombre de seguridad que se usará al generar notificaciones SNMP, incluya la security-name instrucción en el [edit snmp v3 target-parameters target-parameter-name parameters] nivel de jerarquía:

Si se utiliza el modelo de seguridad USM, el security-name identifica al usuario que se utiliza cuando se genera la notificación. Si se utilizan los modelos de seguridad v1 o v2c, security-name identifica la comunidad SNMP utilizada cuando se genera la notificación.

Nota:

Los privilegios de acceso para el grupo asociado con un nombre de seguridad deben permitir que se envíe esta notificación.

Si usa los modelos de seguridad v1 o v2, el nombre de seguridad en el [edit snmp v3 vacm security-to-group] nivel de jerarquía debe coincidir con el nombre de seguridad en el [edit snmp v3 snmp-community community-index] nivel de jerarquía.

Configuración de informes SNMP

Junos OS admite dos tipos de notificaciones: trampas e información. Con las trampas, el receptor no envía ninguna confirmación cuando recibe una trampa. Por lo tanto, el remitente no puede determinar si se recibió la trampa. Se puede perder una trampa porque se produjo un problema durante la transmisión. Para aumentar la confiabilidad, una información es similar a una trampa, excepto que la información se almacena y retransmite a intervalos regulares hasta que se produce una de estas condiciones:

  • El receptor (destino) de la información devuelve una confirmación al agente SNMP.

  • Se ha intentado realizar una cantidad especificada de retransmisiones no satisfactorias y el agente descarta el mensaje de informe.

Si el remitente nunca recibe una respuesta, la información se puede enviar de nuevo. Por lo tanto, es más probable que los informadores lleguen a su destino deseado que las trampas. Los informadores utilizan el mismo canal de comunicaciones que las trampas (el mismo puerto y socket), pero tienen diferentes tipos de unidad de datos de protocolo (PDU).

Los datos son más confiables que las trampas, pero consumen más recursos de red, enrutadores y conmutadores (consulte Figura 1). A diferencia de una trampa, una información se mantiene en memoria hasta que se recibe una respuesta o se alcanza el tiempo de espera. Además, las trampas se envían solo una vez, mientras que una información puede ser reintegrada varias veces. El uso informa cuando es importante que el administrador SNMP reciba todas las notificaciones. Sin embargo, si le preocupa más el tráfico de red o la memoria del enrutador y del conmutador, utilice trampas.

Figura 1: Informar solicitud y respuestaInformar solicitud y respuesta

Configuración del tipo de notificación de informe y la dirección de destino

Para configurar el tipo de notificación de informe y la información de destino, incluya las siguientes instrucciones en el [edit snmp v3] nivel jerárquico:

notify name es el nombre asignado a la notificación. Cada nombre de entrada de notificación debe ser único.

tag tag-name define las direcciones de destino que se envían esta notificación. La notificación se envía a todas las direcciones de destino que tengan esta etiqueta en su lista de etiquetas. El tag-name no se incluye en la notificación. Para obtener información acerca de cómo configurar la lista de etiquetas, consulte Configurar la dirección de destino de trampa.

type inform es el tipo de notificación.

target-address target-address-name identifica la dirección de destino. La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan para responder a las notificaciones.

timeout seconds es la cantidad de segundos para esperar una confirmación. Si no se recibe ninguna confirmación dentro del período de tiempo de espera, la información se retransmite. El tiempo de espera predeterminado es de 15 segundos.

retry-count number es la cantidad máxima de veces que se transmite una información si no se recibe ninguna confirmación. El valor predeterminado es 3. Si no se recibe ninguna confirmación después de que se transmita la información el número máximo de veces, el mensaje de información se descarta.

message-processing-model define qué versión de SNMP usar cuando se generan notificaciones SNMP. Los informes requieren un modelo de v3 procesamiento de mensajes.

security-model define el modelo de seguridad que se va a utilizar cuando se generan notificaciones SNMP. Los datos requieren un modelo de usm seguridad.

security-model define el modelo de seguridad que se va a utilizar cuando se generan notificaciones SNMP. Los datos requieren un modelo de usm seguridad.

security-level especifica si la información está autenticada y cifrada antes de enviarla. Para el usm modelo de seguridad, el nivel de seguridad debe ser uno de los siguientes:

  • authentication: proporciona autenticación, pero no encriptación.

  • privacy: proporciona autenticación y cifrado.

security-name identifica el nombre de usuario que se utiliza al generar la información.

Ejemplo: Configuración del tipo de notificación de informe y la dirección de destino

En el ejemplo siguiente, el destino 172.17.20.184 está configurado para responder a los informes. El tiempo de espera de la información es de 30 segundos y el recuento máximo de retransmisión es 3. La información se envía a todos los objetivos de la lista tl1. El modelo de seguridad para el usuario remoto es usm y el nombre de usuario del motor remoto es u10.

Configuración del motor remoto y del usuario remoto

Para enviar mensajes de información a un usuario SNMPv3 en un dispositivo remoto, primero debe especificar el identificador del motor para el agente SNMP en el dispositivo remoto donde reside el usuario. El ID del motor remoto se utiliza para calcular el resumen de seguridad para autenticar y cifrar paquetes enviados a un usuario en el host remoto. Cuando se envía un mensaje de información, el agente utiliza las credenciales del usuario configurado en el motor remoto (informar al destino).

Para configurar un motor remoto y un usuario remoto para que reciban y respondan a los informes SNMP, incluya las siguientes instrucciones en el [edit snmp v3] nivel jerárquico:

En el caso de las informaciones, remote-engine engine-id es el identificador del agente SNMP del dispositivo remoto en el que reside el usuario.

En el caso de los informes, user username es el usuario de un motor SNMP remoto que recibe los informes.

Las notificaciones generadas pueden ser unauthenticated, authenticatedo authenticated_and_encrypted, dependiendo del nivel de seguridad del usuario SNMPv3 configurado en el motor remoto (el receptor de información). La clave de autenticación se utiliza para generar código de autenticación de mensajes (MAC). La clave de privacidad se usa para cifrar la parte de la PDU informada del mensaje.

Ejemplo: Configuración del ID de motor remoto y del usuario remoto

En este ejemplo, se muestra cómo configurar un motor remoto y un usuario remoto para que pueda recibir y responder a las notificaciones snmp inform. Las notificaciones de información se pueden autenticar y cifrar. También son más confiables que las trampas, otro tipo de notificación que Admite Junos OS. A diferencia de las trampas, las notificaciones de notificación se almacenan y retransmiten a intervalos regulares hasta que se produce una de estas condiciones:

  • El destino de la notificación de informe devuelve una confirmación al agente SNMP.

  • Se ha intentado una cantidad especificada de retransmisiones no exitosas.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Esta función requiere el uso de contraseñas de texto sin formato válidas para SNMPv3. SNMPv3 tiene los siguientes requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Aunque las comillas no siempre son necesarias para incluir contraseñas, lo mejor es usarlas. Necesita comillas si la contraseña contiene algún espacio o, posiblemente, en el caso de ciertos caracteres especiales o puntuación.

Descripción general

Las notificaciones de informe se admiten en SNMPv3 para aumentar la confiabilidad. Por ejemplo, un agente SNMP que recibe una notificación de notificación reconoce el recibo.

Para notificaciones de informes, el ID del motor remoto identifica al agente SNMP en el dispositivo remoto donde reside el usuario, y el nombre de usuario identifica al usuario en un motor SNMP remoto que recibe las notificaciones de notificación.

Considere una situación en la que tenga los valores Tabla 1 que se deben usar para configurar el ID de motor remoto y el usuario remoto en este ejemplo.

Tabla 1: Valores que se deben usar en el ejemplo

Nombre de variable

valor

nombre de usuario

u10

ID de motor remoto

800007E5804089071BC6D10A41

tipo de autenticación

authentication-md5

contraseña de autenticación

qol67R%?

tipo de cifrado

privacidad-des

contraseña de privacidad

m*72Jl9v

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos y péguelos en un archivo de texto, elimine los saltos de línea y cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue estos comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit snmp v3] modo de configuración.

Configuración del motor remoto y del usuario remoto

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar a varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar el ID del motor remoto y el usuario remoto:

  1. Configure el ID del motor remoto, el nombre de usuario y el tipo de autenticación y la contraseña.

  2. Configure el tipo de cifrado y la contraseña de privacidad.

    Solo puede configurar un tipo de cifrado por usuario SNMPv3.

Resultados

En el modo de configuración, escriba el comando para confirmar la show configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Después de confirmar que la configuración es correcta, ingrese commit desde el modo de configuración.

Verificación

Verificar la configuración del ID del motor remoto y el nombre de usuario

Propósito

Verifique el estado del ID del motor y la información del usuario.

Acción

Muestra información sobre el ID del motor SNMPv3 y el usuario.

Significado

El resultado muestra la siguiente información:

  • ID del motor local y detalles sobre el motor

  • ID de motor remoto (etiquetado Engine ID)

  • Nombre de usuario

  • Tipo de autenticación y tipo de cifrado (privacidad) configurados para el usuario

  • Tipo de almacenamiento para el nombre de usuario, ya sea no volátil (configuración guardada) o volátil (no guardado)

  • Estado del nuevo usuario; solo los usuarios con un estado activo pueden usar SNMPv3

Configuración del ID de motor local

De forma predeterminada, el ID del motor local utiliza la dirección IP predeterminada del enrutador. El ID del motor local es el identificador administrativo único para el motor SNMPv3. Esta instrucción es opcional. Para configurar el ID del motor local, incluya la engine-id instrucción en el [edit snmp] nivel de jerarquía:

  • local engine-id-suffix: el sufijo id del motor está configurado explícitamente.

  • use-default-ip-address: el sufijo de ID del motor se genera a partir de la dirección IP predeterminada.

  • use-mac-address: el identificador del motor SNMP se genera a partir de la dirección de control de acceso de medios (MAC) de la interfaz de administración del enrutador.

Nota:

Si usa SNMPv3 y si el ID del motor se basa en la dirección MAC y actualiza desde una versión anterior a una de estas versiones (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), debe reconfigurar SNMPv3 porque la actualización cambia el ID del motor. Si no reconfigura SNMPv3, verá un error de autenticación para el sondeo de SNMPv3 porque el ID del motor se cambia después de la actualización. Solo necesita reconfigurar SNMPv3 en la primera actualización de este tipo. Si luego actualiza de una de las versiones mencionadas a otra de estas versiones, no tendrá que actualizar SNMPv3 de nuevo.

Para reconfigurar SNMPv3, utilice el siguiente procedimiento. No utilice el rollback 1 comando.

Para reconfigurar SNMPv3:

  1. Compruebe cuál es la configuración de SNMPv3.
  2. Elimine la configuración de SNMPv3.
  3. Reconfigurar la configuración de SNMPv3 (consulte ouput del paso 1).

El ID del motor local se define como el identificador único administrativo de un motor SNMPv3 y se utiliza para la identificación, no para la direccionamiento. Hay dos partes de un ID de motor: prefijo y sufijo. El prefijo se formatea de acuerdo con las especificaciones definidas en RFC 3411, An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks.An Architecture for Describeing Simple Network Management Protocol (SNMP). Puede configurar el sufijo aquí.

Nota:

Las claves de autenticación y cifrado SNMPv3 se generan en función de las contraseñas asociadas y el ID del motor. Si configura o cambia el ID del motor, debe confirmar el NUEVO ID del motor antes de configurar los usuarios de SNMPv3. De lo contrario, las claves generadas a partir de las contraseñas configuradas se basan en el ID del motor anterior. Para el ID del motor, recomendamos usar la dirección IP principal del dispositivo si el dispositivo tiene varios motores de enrutamiento y tiene configurada la dirección IP principal. Como alternativa, puede usar la dirección MAC del puerto de administración si el dispositivo solo tiene un motor de enrutamiento.

Configuración de la comunidad SNMPv3

La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.

Para configurar la comunidad SNMP, incluya la snmp-community instrucción en el [edit snmp v3] nivel de jerarquía:

community-index es el índice de la comunidad SNMP.

Para configurar las propiedades de la comunidad SNMP, incluya las siguientes instrucciones en el [edit snmp v3 snmp-community community-index] nivel jerárquico:

Esta sección incluye los siguientes temas:

Configuración del nombre de la comunidad

El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza a los clientes SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos MIB están disponibles y las operaciones (leer, escribir o notificar) permitidas en esos objetos.

Para configurar el nombre de comunidad SNMP, incluya la community-name instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

community-name es la cadena de comunidad para una comunidad SNMPv1 o SNMPv2c.

Si no está configurado, es el mismo que el índice de la comunidad.

Si el nombre de la comunidad contiene espacios, encierre entre comillas (" ").

Nota:

Los nombres de la comunidad deben ser únicos. No puede configurar el mismo nombre de comunidad en los [edit snmp community] niveles de jerarquía y [edit snmp v3 snmp-community community-index] . El nombre de comunidad configurado en el [edit snmp v3 snmp-community community-index] nivel de jerarquía está cifrado. No puede ver el nombre de la comunidad después de configurarlo y confirmar los cambios. En la interfaz de línea de comandos (CLI), el nombre de la comunidad se oculta.

Configuración del contexto

Un contexto SNMP define una recopilación de información de administración a la que puede acceder una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto de un dominio de administración tiene un identificador único.

Para configurar un contexto SNMP, incluya la context context-name instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

Nota:

Para consultar una instancia de enrutamiento o un sistema lógico,

Configuración de los nombres de seguridad

Para asignar una cadena de comunidad a un nombre de seguridad, incluya la security-name instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

security-name se utiliza cuando se configura el control de acceso. La security-to-group configuración en el [edit snmp v3 vacm] nivel de jerarquía identifica el grupo.

Nota:

Este nombre de seguridad debe coincidir con el nombre de seguridad configurado en el [edit snmp v3 target-parameters target-parameters-name parameters] nivel de jerarquía cuando configure trampas.

Configuración de la etiqueta

Para configurar la etiqueta, incluya la tag instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

tag-name identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.

Ejemplo: Configuración de una comunidad SNMPv3

En este ejemplo, se muestra cómo configurar una comunidad SNMPv3.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para realizar el control de acceso y defina el nombre de etiqueta que identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad. La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan en el envío de notificaciones.

Cuando el dispositivo recibe un paquete con una cadena de comunidad reconocida y una etiqueta está asociada con ese paquete, el software Junos busca todas las direcciones de destino con esta etiqueta y verifica que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.

Especifique dónde desea que se envíen las trampas y defina qué paquetes SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de dirección de destino que identifica la dirección de destino, defina la dirección de destino, el intervalo de máscaras de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit snmp v3] modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de la CLI de Junos OS .

  1. Configure el nombre de la comunidad SNMP.

    Nota:

    El nombre de la comunidad SNMP debe ser único.

  2. Configure el nombre de seguridad para realizar el control de acceso.

  3. Defina el nombre de la etiqueta. El nombre de la etiqueta identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.

  4. Configure la dirección de destino SNMP.

  5. Configure el intervalo de máscara de la dirección para el control de acceso de cadena de comunidad.

  6. Configure el número de puerto de destino SNMPv3.

  7. Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.

  8. Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show snmp v3 configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo.

Verificación

Verificar la comunidad SNMPv3

Propósito

Verifique si la comunidad SNMPv3 está habilitada.

Acción

Para comprobar la configuración de la comunidad SNMPv3, escriba el show snmp v3 community comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Significado

El resultado muestra la información sobre la comunidad SNMPv3 que se está habilitando en el sistema.