Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de SNMPv3

Configuración mínima de SNMPv3 en un dispositivo que ejecuta Junos OS

Para configurar los requisitos mínimos para SNMPv3, incluya las siguientes declaraciones en los [edit snmp v3] niveles [edit snmp] de jerarquía y:

Nota:

Debe configurar al menos una vista (notificar, leer o escribir) en el nivel [edit snmp view-name] de jerarquía.

Ejemplo Configuración de SNMPv3

Defina una configuración de SNMPv3:

Crear usuarios SNMPv3

Para cada usuario SNMPv3, puede especificar el nombre de usuario, el tipo de autenticación, la contraseña de autenticación, el tipo de privacidad y la contraseña de privacidad. Una vez que un usuario introduce una contraseña, se genera una clave basada en el ID del motor y la contraseña, que se escribe en el archivo de configuración. Después de generar la clave, la contraseña se elimina de este archivo de configuración.

Nota:

Solo puede configurar un tipo de cifrado para cada usuario SNMPv3.

Para crear usuarios, incluya el user extracto en el [edit snmp v3 usm local-engine] nivel de jerarquía:

usernamees el nombre que identifica al usuario SNMPv3.

Para configurar la autenticación de usuario y el cifrado, incluya las [edit snmp v3 usm local-engine user username] siguientes instrucciones en el nivel de jerarquía:

Ejemplo Crear usuarios SNMPv3

Defina a los usuarios de SNMPv3:

Configuración del tipo de autenticación SNMPv3

De forma predeterminada, en una configuración Junos OS el tipo de autenticación SNMPv3 se establece en none.

Este tema incluye las siguientes secciones:

Configurar la autenticación MD5

Para configurar el algoritmo de síntesis del mensaje (MD5) como el tipo de autenticación para un usuario de authentication-md5 SNMPv3, incluya [edit snmp v3 usm local-engine user username] la instrucción en el nivel de jerarquía:

authentication-passwordes la contraseña utilizada para generar la clave utilizada para la autenticación.

SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración de la autenticación SHA

Para configurar el algoritmo de hash seguro (SHA) como el tipo de autenticación para un usuario de SNMPv3 authentication-sha , incluya la [edit snmp v3 usm local-engine user username] instrucción en el nivel de jerarquía:

authentication-passwordes la contraseña utilizada para generar la clave utilizada para la autenticación.

SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configurar sin autenticación

Para no configurar ninguna autenticación para un usuario de SNMPv3, authentication-none incluya la instrucción [edit snmp v3 usm local-engine user username] en el nivel de jerarquía:

Configurando el tipo de cifrado SNMPv3

De forma predeterminada, el cifrado se establece en ninguno.

Nota:

Antes de configurar el cifrado, debe configurar la autenticación MD5 o SHA.

Antes de configurar el privacy-desprivacy-3des y privacy-aes128 las sentencias, debe instalar el jcrypto paquete y reiniciar el proceso SNMP o reiniciar el enrutador.

Este tema incluye las siguientes secciones:

Configuración del algoritmo estándar de cifrado avanzado

Para configurar el algoritmo del estándar de cifrado avanzado (AES) para un usuario de privacy-aes128 SNMPv3, incluya [edit snmp v3 usm local-engine user username] la instrucción en el nivel de jerarquía:

privacy-passwordes la contraseña utilizada para generar la clave utilizada para el cifrado.

SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración del algoritmo de cifrado de datos

Para configurar el algoritmo de cifrado de datos (DES) para un usuario de privacy-des SNMPv3, incluya [edit snmp v3 usm local-engine user username] la instrucción en el nivel de jerarquía:

privacy-passwordes la contraseña utilizada para generar la clave utilizada para el cifrado.

SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configuración de triple DES

Para configurar triple DES para un usuario SNMPv3, incluya la privacy-3des instrucción en el [edit snmp v3 usm local-engine user username] nivel de jerarquía:

privacy-passwordes la contraseña utilizada para generar la clave utilizada para el cifrado.

SNMPv3 tiene requisitos especiales cuando crea contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Configurar sin cifrado

Para no configurar ningún cifrado para un usuario de SNMPv3 privacy-none , incluya la [edit snmp v3 usm local-engine user username] instrucción en el nivel de jerarquía:

Definición de privilegios de acceso para un grupo SNMP

La versión 3 de SNMP (SNMPv3) utiliza el modelo de control de acceso basado en la vista (VACM), que permite configurar los privilegios de acceso concedidos a un grupo. El acceso se controla mediante el filtrado de los BIA objetos disponibles para una operación específica a través de una vista predefinida. Las vistas se asignan para determinar los objetos que son visibles para operaciones de lectura, escritura y notificación para un grupo determinado, utilizando un contexto determinado, un modelo de seguridad determinado (v1, V2C o USM), y un nivel de seguridad determinado (autenticado, privacidad o ninguno). Para obtener más información sobre cómo configurar vistas, consulte configuring BIA views.

Defina el acceso de los usuarios a la información [edit snmp v3 vacm] de administración en el nivel de jerarquía. Todo el control de acceso dentro de VACM funciona en grupos, que son conjuntos de usuarios definidos por USM, o cadenas de comunidad, como se define en los modelos de seguridad SNMPv1 y SNMPv2c. El término security-name se refiere a estos usuarios finales genéricos. El grupo al que pertenece un nombre de seguridad específico se configura en [edit snmp v3 vacm security-to-group] el nivel de la jerarquía. Ese nombre de seguridad se puede asociar a un grupo definido [edit snmp v3 vacm security-to-group] en el nivel jerárquico. Un grupo identifica una colección de usuarios SNMP que comparten la misma directiva de acceso. A continuación, defina los privilegios de acceso asociados a un grupo [edit snmp v3 vacm access] en el nivel de la jerarquía. Los privilegios de acceso se definen mediante vistas. Para cada grupo, puede aplicar distintas vistas según la operación SNMP; por ejemplo, leer ( , o ) escribir ( ), las notificaciones, el nivel de seguridad utilizado (autenticación, privacidad o ninguno) y el modelo de seguridad getgetNextgetBulkset (v1, v2c o usm) usado dentro de una solicitud SNMP.

Los miembros de un grupo se configuran con la security-name instrucción. Para los paquetes V3 que usan USM, el nombre de seguridad es el mismo que el de username. Para paquetes de SNMPv1 o SNMPv2c, el nombre de seguridad se determina basándose en la cadena de comunidad. Los nombres de seguridad son específicos de un modelo de seguridad. Si también está configurando directivas de acceso VACM para paquetes SNMPv1 o SNMPv2c, debe asignar nombres de seguridad a los grupos de cada modelo de seguridad (SNMPv1 o SNMPv2c [edit snmp v3 vacm security-to-group] ) en el nivel de jerarquía. También debe asociar un nombre de seguridad con una comunidad SNMP en el [edit snmp v3 snmp-community community-index] nivel de jerarquía.

Para configurar los privilegios de acceso para un grupo SNMP, incluya las instrucciones [edit snmp v3 vacm] en el nivel de jerarquía:

Configuración de los privilegios de acceso concedidos a un grupo

Este tema incluye las siguientes secciones:

Configuración del grupo

Para configurar los privilegios de acceso concedidos a un grupo group , incluya la [edit snmp v3 vacm access] instrucción en el nivel de jerarquía:

group-namees un conjunto de usuarios SNMP que pertenecen a una lista SNMP común que define una directiva de acceso. Los usuarios que pertenezcan a un determinado grupo SNMP heredarán todos los privilegios de acceso concedidos a dicho grupo.

Configuración del modelo de seguridad

Para configurar el modelo de seguridad, incluya security-model la instrucción en [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] el nivel de jerarquía:

  • any: cualquier modelo de seguridad

  • usm— Modelo de seguridad SNMPv3

  • v1— modelo de seguridad SNMPV1

  • v2c—Modelo de seguridad SNMPv2c

Configuración del nivel de seguridad

Para configurar los privilegios de acceso concedidos a los paquetes con un nivel de seguridad security-level determinado, incluya [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] la instrucción en el nivel de jerarquía:

  • none: no proporciona autenticación ni cifrado.

  • authentication: proporciona autenticación, pero no cifrado.

  • privacy: proporciona autenticación y cifrado.

    Nota:

    Los privilegios de acceso se conceden a todos los paquetes con un nivel de seguridad igual o mayor que el configurado. Si va a configurar el modelo de seguridad SNMPv1 o SNMPv2c, none utilice su nivel de seguridad. Si va a configurar el modelo de seguridad SNMPv3 (USM), utilice authenticationel nonenivel de privacy seguridad, o.

Asociación de vistas de BIA con un grupo de usuarios SNMP

Las vistas BIA definen privilegios de acceso para los miembros de un grupo. Se pueden aplicar vistas independientes para cada operación SNMP (lectura, escritura y notificación) dentro de cada modelo de seguridad (USM, V1 y v2c) y cada nivel de seguridad (autenticación, ninguna, privacidad) compatible con SNMP.

Para asociar BIA vistas a un grupo de usuarios SNMP, incluya las siguientes declaraciones [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] en el nivel de jerarquía:

Nota:

Debe asociar al menos una vista (notificar, leer o escribir) en el [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] nivel de jerarquía.

Debe configurar la vista de BIA en el [edit snmp view view-name] nivel de jerarquía. Para obtener más información sobre cómo configurar las vistas de BIA, consulte configuring BIA views.

En esta sección se describen los siguientes temas relacionados con esta configuración:

Configuración de la vista notificación

Para asociar la notificación de acceso a un grupo de usuarios notify-view SNMP, incluya [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] la instrucción en el nivel de jerarquía:

view-nameespecifica el acceso Notify, que es una lista de notificaciones que se pueden enviar a cada usuario en un grupo SNMP. Un nombre de vista no puede superar los 32 caracteres.

Configuración de la vista de lectura

Para asociar una vista de lectura con un grupo SNMP, read-view incluya la instrucción [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] en el nivel de jerarquía:

view-nameespecifica el acceso de lectura para un grupo de usuarios SNMP. Un nombre de vista no puede superar los 32 caracteres.

Configuración de la vista de escritura

Para asociar una vista de escritura a un grupo de usuarios SNMP write-view , incluya la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] instrucción en el nivel de jerarquía:

view-nameespecifica el acceso de escritura para un grupo de usuarios SNMP. Un nombre de vista no puede superar los 32 caracteres.

Ejemplo Configuración de los privilegios de acceso concedidos a un grupo

Definir los privilegios de acceso:

Asignación de un modelo de seguridad y un nombre de seguridad a un grupo

Para asignar nombres de seguridad a grupos, incluya las siguientes instrucciones en [edit snmp v3 vacm security-to-group] el nivel de jerarquía:

Este tema incluye las siguientes secciones:

Configuración del modelo de seguridad

Para configurar el modelo de seguridad, incluya security-model la instrucción en [edit snmp v3 vacm security-to-group] el nivel de jerarquía:

  • usm— Modelo de seguridad SNMPv3

  • v1—Modelo de seguridad SNMPv1

  • v2c—Modelo de seguridad S NMPV2

Asignación de nombres de seguridad a grupos

Para asociar un nombre de seguridad a un usuario SNMPv3 o una cadena de comunidad V1 o V2, security-name incluya la instrucción [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] en el nivel de jerarquía:

Para SNMPv3, el security-name es el nombre de usuario configurado [edit snmp v3 usm local-engine user username] en el nivel de jerarquía. Para SNMPv1 y SNMPv2c, el nombre de seguridad es la cadena de comunidad configurada en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información sobre cómo configurar nombres de usuario, consulte Creating SNMPv3 users. Para obtener información sobre cómo configurar una cadena de comunidad, vea Configuring the SNMPv3 Community.

Nota:

El nombre de seguridad USM es independiente del nombre de seguridad SNMPv1 y SNMPv2c. Si admite SNMPv1 y SNMPv2c, además de SNMPv3, debe configurar nombres de seguridad independientes dentro de la configuración de seguridad a grupo en el nivel [edit snmp v3 vacm access] de jerarquía.

Configuración del grupo

Después de haber creado usuarios SNMPv3 o nombres de seguridad V1 o V2, debe asociarlos con un grupo. Un grupo es un conjunto de nombres de seguridad que pertenecen a un modelo de seguridad determinado. Un grupo define los derechos de acceso de todos los usuarios que pertenecen a él. Los derechos de acceso definen qué objetos SNMP se pueden leer, escribir o crear. Un grupo también define qué notificaciones puede recibir un usuario.

Si ya tiene un grupo configurado con todos los permisos de acceso y vista que desea conceder a un usuario, puede Agregar el usuario a dicho grupo. Si desea conceder a un usuario permisos de vista y de acceso que no tienen otros grupos, o si no tiene configurado ningún grupo, cree un y agréguele el usuario.

Para configurar los privilegios de acceso concedidos a un grupo group , incluya la [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] instrucción en el nivel de jerarquía:

group-nameidentifica una colección de nombres de seguridad SNMP que comparten la misma directiva de acceso. Para obtener más información acerca de los grupos, consulte definición de privilegios de acceso para un grupo SNMP.

Ejemplo Configuración del grupo de seguridad

Asignar nombres de seguridad a los grupos:

Configuración de capturas SNMPv3 en un dispositivo que ejecuta Junos OS

En SNMPv3, las capturas y los informes se crean mediante la configuración notifyde target-addresslos parámetros target-parameters , y. Las capturas son notificaciones no confirmadas, mientras que los informes de notificaciones se confirman. En esta sección se describe cómo configurar capturas SNMP. Para obtener información acerca de la configuración de informes SNMP, consulte configuración de informes SNMP.

La dirección de destino define la dirección y los parámetros de una aplicación de administración que se usarán para enviar notificaciones. Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un determinado destino de administración. SNMPv3 también le permite definir las trampas de SNMPv1 y SNMPv2c.

Nota:

Cuando configure capturas SNMP, asegúrese de que los privilegios de acceso configurados permiten enviar las capturas. Los privilegios de acceso se configuran en los [edit snmp v3 vacm access] niveles y [edit snmp v3 vacm security-to-group] jerarquía.

Para configurar capturas SNMP, incluya las siguientes declaraciones en el [edit snmp v3] nivel de jerarquía:

Configuración de la notificación de captura SNMPv3

La notify instrucción especifica el tipo de notificación (TRAP) y contiene una sola etiqueta. La etiqueta define un conjunto de direcciones de destino en las que se va a recibir un reventado. La lista de etiquetas contiene una o más etiquetas y está configurada en el nivel de la [edit snmp v3 target-address target-address-name] jerarquía. Si la lista de etiquetas contiene esta etiqueta, Junos OS enviará una notificación a todas las direcciones de destino asociadas a esta etiqueta.

Para configurar las notificaciones de capturas, notify incluya la instrucción [edit snmp v3] en el nivel de jerarquía:

namees el nombre asignado a la notificación.

tag-namedefine las direcciones de destino a las que se envía esta notificación. Esta notificación se envía a todas las direcciones de destino que tengan esta etiqueta en su lista de etiquetas. El tag-name no se incluye en la notificación.

trapes el tipo de notificación.

Nota:

Cada nombre de entrada de notificación debe ser único.

Junos OS admite dos tipos de notificación: trapy inform.

Para obtener más información sobre cómo configurar la lista de etiquetas, consulte Configurar la dirección de destino de captura.

Ejemplo Configuración de la notificación de captura SNMPv3

Especifique tres conjuntos de destinos para enviar capturas:

Configuración del filtro de notificación de captura

SNMPv3 utiliza el filtro de notificación para definir qué capturas se envían al sistema de administración de red (NMS) o qué objetos desde los cuales se enviarán interrupciones. El filtro de notificación de captura limita el tipo de capturas que se envían a la NMS.

Cada identificador de objeto representa un subárbol del BIA jerarquía de objetos. El subárbol puede estar representado por una secuencia de enteros con puntos (como 1.3.6.1.2.1.2) o por el nombre interfacesdel subárbol (como). También puede utilizar el carácter comodín asterisco (*) en el identificador de objeto (OID) para especificar los identificadores de objeto que coinciden con un modelo determinado.

Para configurar el filtro de notificaciones de capturas notify-filter , incluya la [edit snmp v3] instrucción en el nivel de jerarquía:

profile-namees el nombre asignado al filtro de notificación.

De forma predeterminada, el OID se establece includeen. Para definir el acceso a las capturas (o objetos de capturas), oid incluya la instrucción [edit snmp v3 notify-filter profile-name] en el nivel de jerarquía:

oides el identificador de objeto. Todos los objetos BIA representados por esta instrucción tienen el OID especificado como prefijo. Puede especificarse por medio de una secuencia de enteros punteados o de un nombre de subárbol.

  • include: incluye el subárbol BIA objetos representados por la OID especificada.

  • exclude: permite excluir el subárbol BIA objetos representados por la OID especificada.

Configuración de la dirección de destino de captura

La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan para enviar notificaciones. También puede identificar estaciones de administración a las que se les permita usar cadenas de comunidad específicas. Cuando recibe un paquete con una cadena comunitaria reconocida y se asocia una etiqueta, Junos OS busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincide con una de las direcciones de destino configuradas.

Nota:

Cuando configure la comunidad SNMP, debe configurar la máscara de dirección.

Para especificar dónde desea que se envíen las capturas y definir qué paquetes de SNMPv1 y SNMPv2cc se permiten, incluya la target-address instrucción en el [edit snmp v3] nivel de jerarquía:

target-address-namees la cadena que identifica la dirección de destino.

Para configurar las propiedades de la dirección de destino, incluya las siguientes [edit snmp v3 target-address target-address-name] instrucciones en el nivel de jerarquía:

A diferencia de snmp v2, en S NMPV3, no hay opción de configuración para limitar los sondeos entrantes. Sin embargo, puede configurar un filtro lo0 para limitar los sondeos entrantes mediante la creación de una regla para permitir SNMP desde las IP del sistema de supervisión. Por ejemplo:

Configuración de la dirección

Para configurar la dirección, incluya la address instrucción en el [edit snmp v3 target-address target-address-name] nivel de jerarquía:

addresses la dirección de destino SNMP.

Configuración de la máscara de dirección

La máscara de dirección especifica un conjunto de direcciones que pueden usar una cadena de comunidad y comprueba las direcciones de origen de un grupo de direcciones de destino.

Para configurar la máscara de dirección, incluya address-mask la instrucción en [edit snmp v3 target-address target-address-name] el nivel de jerarquía:

address-maskjunto con la dirección se define un rango de direcciones. Para obtener más información sobre cómo configurar la cadena de comunidad, vea Configuring the SNMPv3 Community.

Configuración del puerto

De forma predeterminada, el puerto UDP está configurado como 162. Para configurar un número de puerto diferente, incluya port la instrucción en [edit snmp v3 target-address target-address-name] el nivel de jerarquía:

port-numberes el número de puerto de destino SNMP.

Configuración de la instancia de enrutamiento

Las capturas se envían a través de la instancia de enrutamiento predeterminada. Para configurar la instancia de enrutamiento para el envío de capturas routing-instance , incluya la [edit snmp v3 target-address target-address-name] instrucción en el nivel de jerarquía:

instancees el nombre de la instancia de enrutamiento. Para configurar una instancia de enrutamiento dentro de un sistema lógico, especifique el nombre lógico del sistema seguido del nombre de instancia de enrutamiento. Utilice una barra diagonal / () para separar los dos nombres (por ejemplo test-lr/test-ri,). Para configurar la instancia de enrutamiento predeterminada en un sistema lógico, especifique el nombre lógico del sistema default seguido de (por test-lr/defaultejemplo,).

Configuración de la dirección de destino de captura

Cada target-address instrucción puede tener una o varias etiquetas configuradas en su lista de etiquetas. Cada etiqueta puede aparecer en más de una lista de etiquetas. Cuando se produce un suceso significativo en el dispositivo de red, la lista de etiquetas identifica los destinos a los que se envía una notificación.

Para configurar la lista de etiquetas, incluya tag-list la instrucción en [edit snmp v3 target-address target-address-name] el nivel de jerarquía:

tag-listespecifica una o más etiquetas como una lista separada por espacios delimitada entre comillas dobles.

Para obtener un ejemplo de configuración de lista de etiquetas, consulte el ejemplo: Configurando lalista de etiquetas.

Para obtener más información sobre cómo especificar una etiqueta en [edit snmp v3 notify notify-name] el nivel jerárquico, consulte Configuring the SNMPv3 Trap Notification.

Nota:

Cuando configure capturas SNMP, asegúrese de que los privilegios de acceso configurados permiten enviar las capturas. Configure los privilegios de [edit snmp v3 vacm access] acceso en el nivel de jerarquía.

Aplicación de parámetros de destino

La target-parameters instrucción en el [edit snmp v3] nivel jerárquico aplica los parámetros de destino configurados en el nivel de [edit snmp v3 target-parameters target-parameters-name] jerarquía.

Para hacer referencia a los parámetros de destino target-parameters configurados [edit snmp v3 target-address target-address-name] , incluya la instrucción en el nivel de jerarquía:

target-parameters-namees el nombre asociado al procesamiento de mensajes y a los parámetros de seguridad que se utilizan para enviar notificaciones a un determinado destino de administración.

Ejemplo Configuración de la lista de etiquetas

En el ejemplo siguiente, se definen dos entradasrouter1 de router2etiqueta (y) en [edit snmp v3 notify notify-name] el nivel jerárquico. Cuando un suceso activa una notificación, Junos OS envía un reventado a todas las direcciones router1 de router2 destino que tengan o configuradas en su lista de direcciones de destino. Esto da como resultado que los dos primeros destinos tengan una captura cada uno, y que el tercer destino Obtenga dos capturas.

Definición y configuración de los parámetros de destinos de capturas

Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un determinado destino de administración.

Para definir un conjunto de parámetros de destino, incluya target-parameters la instrucción en [edit snmp v3] el nivel de jerarquía:

target-parameters-namees el nombre asignado a los parámetros de destino.

Para configurar las propiedades del parámetro de destino, incluya las siguientes [edit snmp v3 target-parameters target-parameter-name] instrucciones en el nivel de jerarquía:

Nota:

Cuando configure notificaciones de capturas SNMP para la Directiva segura del suscriptor en enrutadores serie MX, debe configurar los parámetros de la manera siguiente:

  • Modelo de procesamiento de mensajes: v3

  • Nivel de seguridad: privacy

  • Modelo de seguridad: usm

Para obtener más información sobre cómo configurar las directivas de seguridad del suscriptor, consulte Subscriber Secured Policy Overview.

Este tema incluye las siguientes secciones:

Aplicar el filtro de notificación de captura

Para aplicar el filtro de notificación de captura, notify-filter incluya la instrucción [edit snmp v3 target-parameters target-parameter-name] en el nivel de jerarquía:

profile-namees el nombre de un filtro de notificación configurado. Para obtener más información sobre cómo configurar filtros de notificación, consulte Configuring the Trap Notification Filter.

Configuración de los parámetros de destino

Para configurar las propiedades del parámetro de destino, incluya las siguientes [edit snmp v3 target-parameters target-parameter-name parameters] instrucciones en el nivel de jerarquía:

Esta sección incluye los siguientes temas:

Configurar el modelo de procesamiento de mensajes

El modelo de procesamiento de mensajes define qué versión de SNMP debe utilizarse al generar notificaciones SNMP. Para configurar el modelo de procesamiento de mensajes, message-processing-model incluya la instrucción [edit snmp v3 target-parameters target-parameter-name parameters] en el nivel de jerarquía:

  • v1— Modelo de procesamiento de mensajes SNMPv1

  • v2c— Modelo de procesamiento de mensajes S NMPV2c

  • v3— modelo de procesamiento de mensajes SNMPV3

Nota:

El v3 modelo de procesamiento de mensajes es necesario para la Directiva segura del suscriptor en enrutadores serie mx. Consulte información general sobre el suscriptor de la Directiva segura para obtener más información.

Configuración del modelo de seguridad

Para definir el modelo de seguridad que se utilizará al generar notificaciones SNMP security-model , incluya la [edit snmp v3 target-parameters target-parameter-name parameters] instrucción en el nivel de jerarquía:

  • usm— Modelo de seguridad SNMPv3

  • v1—Modelo de seguridad SNMPv1

  • v2c—Modelo de seguridad S NMPV2c

Nota:

El usm modelo de seguridad es necesario para la Directiva segura del suscriptor en enrutadores serie mx. Consulte información general sobre el suscriptor de la Directiva segura para obtener más información.

Configuración del nivel de seguridad

La security-level instrucción especifica si la captura se autentica y se cifra antes de enviarla.

Para configurar el nivel de seguridad que se utilizará al generar notificaciones SNMP security-level , incluya la [edit snmp v3 target-parameters target-parameter-name parameters] instrucción en el nivel de jerarquía:

  • authentication: proporciona autenticación, pero no cifrado.

  • none— Sin seguridad. No proporciona autenticación ni cifrado.

  • privacy: proporciona autenticación y cifrado.

    Nota:

    Si va a configurar el modelo de seguridad SNMPv1 o SNMPV2c, none utilice su nivel de seguridad. Si va a configurar el modelo de seguridad SNMPv3 (USM), utilice authentication el privacy nivel de seguridad o.

    El privacy nivel de seguridad es necesario para la Directiva segura del suscriptor en enrutadores serie mx. Consulte información general sobre el suscriptor de la Directiva segura para obtener más información.

Configuración del nombre de seguridad

Para configurar el nombre de seguridad que se utilizará al generar notificaciones SNMP security-name , incluya la [edit snmp v3 target-parameters target-parameter-name parameters] instrucción en el nivel de jerarquía:

Si se usa el modelo de seguridad USM, security-name el identifica al usuario que se utiliza cuando se genera la notificación. Si se utilizan los modelos de seguridad V1 o v2c security-name , identifica la comunidad SNMP utilizada cuando se genera la notificación.

Nota:

Los privilegios de acceso del grupo asociado a un nombre de seguridad deben permitir que se envíe esta notificación.

Si utiliza los modelos de seguridad V1 o V2, el nombre de seguridad en el [edit snmp v3 vacm security-to-group] nivel de jerarquía debe coincidir con el nombre [edit snmp v3 snmp-community community-index] de seguridad en el nivel de jerarquía.

Configuración de informes SNMP

Junos OS admite dos tipos de notificaciones: interrupciones e informes. Con las capturas, el receptor no envía ninguna confirmación cuando recibe una captura. Por lo tanto, el remitente no puede determinar si se recibió la captura. Puede que se haya perdido una captura porque se produjo un problema durante la transmisión. Para aumentar la confiabilidad, un informe es similar a un reventado, con la diferencia de que el informe se almacena y retransmite a intervalos regulares hasta que se da una de estas condiciones:

  • El receptor (destino) del informe devuelve una confirmación al agente SNMP.

  • Se ha intentado un número especificado de retransmisiones fallidas y el agente descarta el mensaje de informe.

Si el remitente nunca recibe una respuesta, el informe puede volver a enviarse. Por lo tanto, es más probable que los informes lleguen a su destino previsto que las trampas. Los informes de informativos utilizan el mismo canal de comunicaciones que las capturas (el mismo socket y puerto) pero tienen distintos tipos de unidades de datos de protocolo (PDU).

Los informes son más fiables que las capturas, pero consumen más recursos de red, enrutador Figura 1y conmutador (consulte). A diferencia de un reventado, un informe se almacena en memoria hasta que se recibe una respuesta o hasta que llega el tiempo de espera. Además, las capturas se envían sólo una vez, mientras que es posible volver a intentar un informe varias veces. Utilice informes cuando sea importante que el administrador de SNMP reciba todas las notificaciones. Sin embargo, si está más preocupado acerca del tráfico de red, o en la memoria de enrutadores y conmutadores, utilice capturas.

Figura 1: Solicitud de informe y respuestaSolicitud de informe y respuesta

Configuración del tipo de notificación informar y la dirección de destino

Para configurar el tipo de notificación e información de destino, incluya las siguientes declaraciones en [edit snmp v3] el nivel de jerarquía:

notify namees el nombre asignado a la notificación. Cada nombre de entrada de notificación debe ser único.

tag tag-namedefine las direcciones de destino a las que se envía esta notificación. La notificación se envía a todas las direcciones de destino que tienen esta etiqueta en su lista de etiquetas. El tag-name no se incluye en la notificación. Para obtener más información sobre cómo configurar la lista de etiquetas, consulte Configurar la dirección de destino de captura.

type informes el tipo de notificación.

target-address target-address-nameidentifica la dirección de destino. La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan para responder a los informantes.

timeout secondses el número de segundos de espera en el caso de una confirmación. Si no se recibe ninguna confirmación durante el periodo de tiempo de espera, el informe se retransmite. El tiempo de espera 15 predeterminado es segundos.

retry-count numberes el número máximo de veces que se transmite un informe si no se recibe ninguna confirmación. El valor predeterminado 3es. Si no se recibe ninguna confirmación después de que el informe se haya transmitido el número máximo de veces, se descarta el mensaje de informe.

message-processing-model define la versión de SNMP que se utilizará cuando se generen las notificaciones SNMP. Los informes requieren un modelo v3 de procesamiento de mensajes.

security-modeldefine el modelo de seguridad que debe utilizarse cuando se generen notificaciones SNMP. Los informes requieren un modelo usm de seguridad.

security-modeldefine el modelo de seguridad que debe utilizarse cuando se generen notificaciones SNMP. Los informes requieren un modelo usm de seguridad.

security-levelEspecifica si el informe se autentica y se cifra antes de enviarse. Para el usm modelo de seguridad, el nivel de seguridad debe ser uno de los siguientes:

  • authentication: proporciona autenticación, pero no cifrado.

  • privacy: proporciona autenticación y cifrado.

security-nameidentifica el nombre de usuario que se usa al generar el informe.

Ejemplo Configuración del tipo de notificación informar y la dirección de destino

En el siguiente ejemplo, el destino 172.17.20.184 está configurado para responder a informes. El tiempo de espera de informe es de 30 segundos y el número máximo de retransmisión es 3. El informe se envía a todos los objetivos de la lista de TL1. El modelo de seguridad del usuario remoto es USM y el nombre de usuario del motor remoto es U10.

Configurar el motor remoto y el usuario remoto

Para enviar mensajes de informe a un usuario de SNMPv3 en un dispositivo remoto, debe especificar primero el identificador del motor para el agente SNMP en el dispositivo remoto en el que reside el usuario. El ID de motor remoto se utiliza para calcular la síntesis de seguridad para autenticar y cifrar los paquetes que se envían a un usuario en el host remoto. Cuando se envía un mensaje INFORM, el agente utiliza las credenciales del usuario configurado en el motor remoto (informar al destino).

Para configurar un motor remoto y un usuario remoto para que reciba y responda a informes SNMP, incluya las siguientes declaraciones en el [edit snmp v3] nivel de jerarquía:

Para informes, remote-engine engine-id es el identificador del agente SNMP en el dispositivo remoto en el que reside el usuario.

Para informes, user username es el usuario de un motor SNMP remoto que recibe los informes.

Los informes generados pueden ser unauthenticated, authenticatedo authenticated_and_encrypted, dependiendo del nivel de seguridad del usuario SNMPv3 configurado en el motor remoto (informar al receptor). La clave de autenticación se utiliza para generar código de autenticación de mensajes (MAC). La clave de privacidad se utiliza para cifrar la parte de la PDU para informar del mensaje.

Ejemplo Configuración del ID del motor remoto y usuario remoto

En este ejemplo se muestra cómo configurar un motor remoto y un usuario remoto de forma que pueda recibir notificaciones del SNMP e informar de ellas. Informar a las notificaciones se pueden autenticar y cifrar. También son más confiables que las capturas, otro tipo de notificación que admite Junos OS. A diferencia de las trampas, las notificaciones se almacenan y se retransmiten a intervalos regulares hasta que se cumpla una de estas condiciones:

  • El destino de la notificación informar devuelve una confirmación al agente SNMP.

  • Se ha intentado un número especificado de retransmisiones con errores.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Esta característica requiere el uso de contraseñas de texto sin formato válidas para SNMPv3. SNMPv3 presenta los siguientes requisitos especiales cuando se crean contraseñas de texto sin formato en un enrutador o conmutador:

  • La contraseña debe tener al menos ocho caracteres de longitud.

  • La contraseña puede incluir caracteres alfabéticos, numéricos y especiales, pero no puede incluir caracteres de control.

Si bien las comillas no siempre son necesarias para incluir contraseñas, es mejor utilizarlas. Las comillas se deben hacer si la contraseña contiene algún espacio o, posiblemente, en el caso de ciertos caracteres especiales o signos de puntuación.

Descripción general

Informe de que las notificaciones se admiten en SNMPv3 para aumentar la confiabilidad. Por ejemplo, un agente SNMP que recibe una notificación de informe confirma la recepción.

En el caso de las notificaciones, el ID de motor remoto identifica al agente SNMP en el dispositivo remoto en el que reside el usuario, y el nombre de usuario identifica a éste en un motor SNMP remoto que recibe las notificaciones de informe.

Considere un escenario en el que tiene los valores de Tabla 1 que dispone para configurar el ID del motor remoto y el usuario remoto en este ejemplo.

Tabla 1: Valores que se utilizarán en el ejemplo

Nombre de la variable

Valor

usuario

u10

ID. de motor remoto

800007E5804089071BC6D10A41

tipo de autenticación

authentication-md5

contraseña de autenticación

qol67R%?

tipo de cifrado

privacidad-des

contraseña de privacidad

m*72Jl9v

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos y péguelos en un archivo de texto, quite los saltos de línea y cambie los detalles necesarios para que coincida con la configuración de la red, copie y pegue estos [edit snmp v3] comandos en la CLI en el nivel de jerarquía, y, a commit continuación, entrar desde el modo de configuración.

Configurar el motor remoto y el usuario remoto

Procedimiento paso a paso

El ejemplo siguiente requiere que se navegue a varios niveles de la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar el ID del motor remoto y el usuario remoto:

  1. Configure el ID de motor remoto, el nombre de usuario y el tipo y contraseña de autenticación.

  2. Configure el tipo de cifrado y la contraseña de privacidad.

    Solo puede configurar un tipo de cifrado por usuario SNMPv3.

Resultados

En el modo de configuración, escriba el show comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Después de haber confirmado que la configuración es correcta, entre commit en el modo de configuración.

Comproba

Verificación de la configuración del ID de motor remoto y el nombre de usuario

Purpose

Compruebe el estado del ID de motor y la información de usuario.

Intervención

Muestra información sobre el ID del motor SNMPv3 y el usuario.

Efectos

El resultado muestra la siguiente información:

  • ID del motor local e información detallada sobre el motor

  • ID. de motor remoto ( Engine IDetiquetado)

  • Usuario

  • Tipo de autenticación y tipo de cifrado (privacidad) configurado para el usuario

  • Tipo de almacenamiento para el nombre de usuario, ya sea no volátil (configuración guardada) o volátil (no guardada)

  • Estado del nuevo usuario; solo los usuarios con el estado activo pueden usar SNMPv3

Configuración del ID del motor local

De forma predeterminada, el ID del motor local utiliza la dirección IP predeterminada del enrutador. El identificador de motor local es el identificador único de administración para el motor SNMPv3. Esta instrucción es opcional. Para configurar el identificador del motor local, incluya engine-id la instrucción en [edit snmp] el nivel de jerarquía:

  • local engine-id-suffix: el sufijo ID del motor está configurado explícitamente.

  • use-default-ip-address: el sufijo ID del motor se genera a partir de la dirección IP predeterminada.

  • use-mac-address: el identificador del motor SNMP se genera desde la dirección MAC de la interfaz de administración del enrutador.

Nota:

Si utiliza SNMPv3 y el ID del motor se basa en el dirección MAC y se actualiza desde una versión anterior a una de estas versiones (14,1 X53-D50, 16.1 R5, 17.1 R2, 17.2 R1, 15.1 X53-D231, 14,1 X53-D43, 15.1 X53-D232), debe volver a configurar SNMPv3, ya que el ID de motor la actualización cambia. Si no reconfigura SNMPv3, verá un error de autenticación del sondeo SNMPv3 porque el identificador del motor se cambia después de la actualización. Sólo necesita volver a configurar SNMPv3 en la primera actualización. Si, a continuación, realiza la actualización de una de las versiones mencionadas a otra de estas versiones, no tendrá que volver a actualizar SNMPv3.

Para reconfigurar SNMPv3, utilice el siguiente procedimiento. No utilice el rollback 1 comando.

Para reconfigurar SNMPv3:

  1. Compruebe cuál es la configuración de SNMPv3.
  2. Elimine la configuración SNMPv3.
  3. Reconfigure la configuración de SNMPv3 (consulte la salida del paso 1).

El identificador del motor local se define como el identificador único de administración de un motor SNMPv3, y se utiliza para la identificación, no para el direccionamiento. Hay dos partes de un ID de motor: prefijo y un sufijo. El prefijo se formatee de acuerdo con las especificaciones definidas en RFC 3411, An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks. Puede configurar el sufijo aquí.

Nota:

Las claves de autenticación y cifrado SNMPv3 se generan basándose en las contraseñas asociadas y el ID del motor. Si configura o cambia el ID del motor, debe confirmar el nuevo ID de motor antes de configurar a los usuarios de SNMPv3. De lo contrario, las claves generadas a partir de las contraseñas configuradas se basan en el ID del motor anterior. Para el ID del motor, recomendamos usar la dirección IP principal del dispositivo si el dispositivo tiene varios motores de enrutamiento y tiene la dirección IP principal configurada. De manera alternativa, puede usar el dirección MAC del puerto de administración si el dispositivo solo tiene un motor de enrutamiento.

Configurando la comunidad SNMPv3

La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.

Para configurar la comunidad SNMP, incluya la snmp-community instrucción en el [edit snmp v3] nivel de jerarquía:

community-indexes el índice de la comunidad SNMP.

Para configurar las propiedades de la comunidad SNMP, incluya las siguientes instrucciones [edit snmp v3 snmp-community community-index] en el nivel de jerarquía:

Esta sección incluye los siguientes temas:

Configuración del nombre de la comunidad

El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza a los clientes de SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos de BIA están disponibles y si se permiten operaciones (leer, escribir o notificar) en esos objetos.

Para configurar el nombre de la comunidad SNMP, community-name incluya la instrucción [edit snmp v3 snmp-community community-index] en el nivel de jerarquía:

community-namees la cadena de comunidad para una comunidad SNMPv1 o SNMPv2c.

Si no está configurado, es el mismo que el índice de la comunidad.

Si el nombre de comunidad contiene espacios, enciérrenlo entre comillas (" ").

Nota:

Los nombres de comunidad deben ser únicos. No puede configurar el mismo nombre de comunidad en [edit snmp community] los [edit snmp v3 snmp-community community-index] niveles de jerarquía y. El nombre de comunidad configurado en [edit snmp v3 snmp-community community-index] el nivel de jerarquía está cifrado. No puede ver el nombre de la comunidad después de configurarlo y confirmar los cambios. En la interfaz de línea de comandos (CLI), se oculta el nombre de la comunidad.

Configuración del contexto

Un contexto SNMP define una recopilación de información de administración a la que puede tener acceso una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto de un dominio de administración tiene un identificador único.

Para configurar un contexto SNMP, incluya la context context-name instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

Nota:

Para consultar una instancia de enrutamiento o un sistema lógico,

Configuración de los nombres de seguridad

Para asignar una cadena de comunidad a un nombre de seguridad, security-name incluya la instrucción [edit snmp v3 snmp-community community-index] en el nivel de jerarquía:

security-namese utiliza cuando se configura el control de acceso. La security-to-group configuración en el [edit snmp v3 vacm] nivel de jerarquía identifica el grupo.

Nota:

Este nombre de seguridad debe coincidir con el nombre de [edit snmp v3 target-parameters target-parameters-name parameters] seguridad configurado en el nivel de jerarquía cuando configure las capturas.

Configuración de la etiqueta

Para configurar la etiqueta, incluya la tag instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía:

tag-nameidentifica la dirección de los administradores que pueden utilizar una cadena de comunidad.

Ejemplo Configuración de una comunidad SNMPv3

En este ejemplo se muestra cómo configurar una comunidad SNMPv3.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para llevar a cabo el control de acceso y defina el nombre de etiqueta que identifica la dirección de los administradores a los que se les permite utilizar una cadena de comunidad. La dirección de destino define la dirección y los parámetros de una aplicación de administración que se usan para enviar notificaciones.

Cuando el dispositivo recibe un paquete con una cadena comunitaria reconocida y se asocia una etiqueta a ese paquete, el Junos software busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincide con uno de los destinos configurados corrige.

Especifique dónde desea que se envíen las capturas y defina qué paquetes de SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de la dirección de destino que identifica a la dirección de destino, defina la dirección de destino, el rango de máscara de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit snmp v3] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Modalidades

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Junos OS CLI usuario .

  1. Configure el nombre de comunidad SNMP.

    Nota:

    El nombre de comunidad SNMP debe ser único.

  2. Configure el nombre de seguridad para que realice el control de acceso.

  3. Defina el nombre de etiqueta. El nombre de etiqueta identifica la dirección de los administradores a los que se les permite utilizar una cadena de comunidad.

  4. Configure la dirección de destino SNMP.

  5. Configure el rango de máscara de la dirección para el control de acceso a cadenas de la comunidad.

  6. Configure el número de puerto de destino SNMPv3.

  7. Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.

  8. Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.

Resultados

Desde el modo de configuración, escriba el show snmp v3 comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo.

Comproba

Verificación de la comunidad SNMPv3

Purpose

Comprueba si la comunidad SNMPv3 está habilitada.

Intervención

Para comprobar la configuración de comunidad SNMPv3 show snmp v3 community , escriba el comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Efectos

El resultado muestra la información sobre la comunidad SNMPv3 que está habilitada en el sistema.