Comunidades SNMP
Una comunidad SNMP define el nivel de autorización concedido a sus miembros, como los objetos MIB disponibles, las operaciones (de solo lectura o lectura-escritura) que son válidas para esos objetos y los clientes SNMP autorizados, en función de sus direcciones IP de origen.
Configurar comunidades SNMP
Configurar el agente SNMP en Junos OS es una tarea sencilla que comparte la configuración familiar con otros dispositivos administrados de la red. Por ejemplo, debe configurar Junos OS con una cadena de comunidad SNMP y un destino para las capturas. Las cadenas de comunidad son nombres administrativos que agrupan colecciones de dispositivos y los agentes que se ejecutan en ellos juntos en dominios de administración comunes. Si un gerente y un agente comparten la misma comunidad, pueden comunicarse entre sí.
La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena es una contraseña para controlar el acceso del cliente al servidor.
Para crear una comunidad SNMP de solo lectura:
Para crear una comunidad SNMP de lectura y escritura:
-
Ingrese la comunidad SNMP utilizada en su red.
[edit groups global] user@host# set snmp community name
En este ejemplo, se describe una cadena
private
de comunidad estándar para identificar la comunidad a la que se concedió acceso de lectura y escritura al agente SNMP que se ejecuta en el dispositivo.[edit groups global] user@host# set snmp community private
-
Defina el nivel de autorización para la comunidad.
[edit groups global snmp community name] user@host# set authorization authorization
En este ejemplo, se limita la comunidad pública al acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de gestión SNMP) que pertenezca a la comunidad pública puede leer variables MIB pero no puede establecerlas (cambiarlas).
[edit groups global snmp community public] user@host# set authorization read-write
-
Defina una lista de clientes de la comunidad que están autorizados a realizar cambios en el agente SNMP en Junos OS.
Enumere los clientes por dirección IP y prefijo.
[edit groups global snmp community name] user@host# set clients address
Por ejemplo:
[edit groups global snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Defina los clientes que no están autorizados dentro de la comunidad especificando su dirección IP, seguida de la
restrict
instrucción.[edit groups global snmp community name] user@host# set clients address resrict
La siguiente instrucción define todos los demás hosts como restringidos de la comunidad pública.
[edit groups global snmp community private] user@host# set clients 0/0 restrict
-
En el nivel superior de la configuración, aplique el grupo de configuración.
Si utiliza un grupo de configuración, debe aplicarlo para que surta efecto.
[edit] user@host# set apply-groups global
-
Confirme la configuración.
user@host# commit
Agregar un grupo de clientes a una comunidad SNMP
Junos OS permite agregar uno o varios grupos de clientes a una comunidad SNMP. Puede incluir la client-list-name name
instrucción en el [edit snmp community community-name]
nivel jerárquico para agregar todos los miembros de la lista de clientes o de la lista de prefijos a una comunidad SNMP.
Para definir una lista de clientes, utilice la set snmp client-list client-list-name
instrucción seguida de las direcciones IP de los clientes.
Puede configurar una lista de prefijos en el nivel jerárquico [edit policy options]
. La compatibilidad con listas de prefijos en la configuración de la comunidad SNMP permite utilizar una sola lista para configurar las directivas SNMP y de enrutamiento. Para obtener más información acerca de la prefix-list
instrucción, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Para agregar una lista de clientes o una lista de prefijos a una comunidad SNMP, utilice la set snmp commmunity community-name client-list-name
instrucción.
La lista de clientes y la lista de prefijos no deben tener el mismo nombre.
En el ejemplo siguiente se muestra cómo definir una lista de clientes:
[edit] snmp { client-list clentlist1 { 10.1.1.1/32; 10.2.2.2/32; } }
En el ejemplo siguiente se muestra cómo agregar una lista de clientes a una comunidad SNMP:
[edit] snmp { community community1 { authorization read-only; client-list-name clientlist1; } }
En el ejemplo siguiente se muestra cómo agregar una lista de prefijos a una comunidad SNMP:
[edit] policy-options { prefix-list prefixlist { 10.3.3.3/32; 10.5.5.5/32; } } snmp { community community2 { client-list-name prefixlist; } }
Configurar cadena de comunidad SNMP
La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.
Para configurar una cadena de comunidad en una configuración de Junos OS, utilice la set snmp community
instrucción.
Si el nombre de la comunidad contiene espacios, escríbalo entre comillas (" ").
El nivel de autorización predeterminado para una comunidad es read-only
. Para permitir Set
solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write
. Para Set
las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view
instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura; no se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view
instrucción, vea Configurar vistas MIB.
Las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad se enumeran en las listas de clients
instrucciones. Si no hay ninguna clients
instrucción presente, se permiten todos los clientes. Para address
, debe especificar una dirección IPv4, no un nombre de host. Incluya la opción de denegar el default restrict
acceso a todos los clientes SNMP para los que no se haya concedido acceso. Se recomienda incluir siempre la opción de limitar el default restrict
acceso del cliente SNMP al conmutador local.
Los nombres de comunidad deben ser únicos dentro de cada sistema SNMP.
Consulte también
Ejemplos: Configurar la cadena de comunidad SNMP
Conceda acceso de solo lectura a todos los clientes. Con la siguiente configuración, el sistema responde a SNMP Get
, GetNext
y GetBulk
a las solicitudes que contienen la cadena public
de comunidad:
[edit] snmp { community public { authorization read-only; } }
Conceda a todos los clientes acceso de lectura y escritura a ping MIB y jnxPingMIB
. Con la siguiente configuración, el sistema responde a SNMP , , y a las solicitudes que contienen la cadena private
de comunidad y especifican un OID contenido en la MIB o jnxPingMIB
jerarquía de ping:Set
GetBulk
GetNext
Get
[edit] snmp { view ping-mib-view { oid pingMIB include; oid jnxPingMIB include; community private { authorization read-write; view ping-mib-view; } } }
La siguiente configuración permite el acceso de sólo lectura a clientes con direcciones IP en el intervalo 1.2.3.4/24
y deniega el acceso a los sistemas del intervalo fe80::1:2:3:4/64
:
[edit] snmp { community field-service { authorization read-only; clients { default restrict; # Restrict access to all SNMP clients not explicitly # listed on the following lines. 1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64. } } }
Configurar la comunidad SNMPv3
La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.
Para configurar la comunidad SNMP, incluya la snmp-community
instrucción en el nivel jerárquico [edit snmp v3]
:
[edit snmp v3] snmp-community community-index;
community-index
es el índice de la comunidad SNMP.
Para configurar las propiedades de la comunidad SNMP, incluya las siguientes instrucciones en el nivel de [edit snmp v3 snmp-community community-index]
jerarquía:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
A continuación se muestra un conjunto mínimo de configuración de ejemplo necesario para snmp v3 snmp-community
la configuración:
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
La comunidad utilizada por el usuario que no admite SNMPv3, seguirá utilizando SNMPv2.
Para obtener más información, consulte la siguiente configuración:
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
Esta sección incluye los siguientes temas:
- Configuración del nombre de la comunidad
- Configuración del contexto
- Configuración de los nombres de seguridad
- Configuración de la etiqueta
Configuración del nombre de la comunidad
El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza clientes SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos MIB están disponibles y las operaciones (lectura, escritura o notificación) permitidas en esos objetos.
Para configurar el nombre de comunidad SNMP, incluya la community-name
instrucción en el nivel jerárquico [edit snmp v3 snmp-community community-index]
. Para obtener más información acerca de esta instrucción, consulte community-name.
Configuración del contexto
Un contexto SNMP define una colección de información de administración a la que puede acceder una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto en un dominio de administración tiene un identificador único.
Para configurar un contexto SNMP, incluya la context context-name
instrucción en el nivel de [edit snmp v3 snmp-community community-index]
jerarquía. Para obtener más información acerca de esta instrucción, consulte context (SNMPv3).
Para consultar una instancia de enrutamiento o un sistema lógico,
Configuración de los nombres de seguridad
Para asignar una cadena de comunidad a un nombre de seguridad, incluya la security-name
instrucción en el nivel de [edit snmp v3 snmp-community community-index]
jerarquía:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name
se utiliza cuando se configura el control de acceso. La security-to-group
configuración en el nivel de [edit snmp v3 vacm]
jerarquía identifica el grupo.
Este nombre de seguridad debe coincidir con el nombre de seguridad configurado en el nivel de [edit snmp v3 target-parameters target-parameters-name parameters]
jerarquía al configurar capturas.
Configuración de la etiqueta
Para configurar la etiqueta, incluya la tag
instrucción en el nivel de [edit snmp v3 snmp-community community-index]
jerarquía. Para obtener más información acerca de esta instrucción, consulte tag.
Ejemplo: Configurar la comunidad SNMPv3
En este ejemplo se muestra cómo configurar una comunidad SNMPv3.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para realizar el control de acceso y defina el nombre de la etiqueta que identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad. La dirección de destino define la dirección de una aplicación de administración y los parámetros que se utilizan para enviar notificaciones.
Cuando el dispositivo recibe un paquete con una cadena de comunidad reconocida y se asocia una etiqueta a ese paquete, el software de Junos busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.
Especifique dónde desea que se envíen las capturas y defina qué paquetes SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de la dirección de destino que identifica la dirección de destino, defina la dirección de destino, el intervalo de máscara de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit snmp v3]
y, luego, ingrese commit
desde el modo de configuración.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS .
Configure el nombre de la comunidad SNMP.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
Nota:El nombre de la comunidad SNMP debe ser único.
Configure el nombre de seguridad para realizar el control de acceso.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Defina el nombre de la etiqueta. El nombre de la etiqueta identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Configure la dirección de destino SNMP.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Configure el intervalo de máscaras de la dirección para el control de acceso de cadenas de comunidad.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Configure el número de puerto de destino SNMPv3.
[edit snmp v3] user@host#set target-address ta1 port 162
Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Resultados
Desde el modo de configuración, confírmela con el comando show snmp v3
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo.
[edit] user@host# show snmp v3 target-address ta1 { address 10.1.1.1; port 162; tag-list router1; address-mask 255.255.255.0; target-parameters tp1; } snmp-community index1 { community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA security-name john; tag router1; }
Verificación
Comprobación de la comunidad SNMPv3
Propósito
Compruebe si la comunidad SNMPv3 está habilitada.
Acción
Para comprobar la configuración de la comunidad SNMPv3, escriba show snmp v3 community
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Significado
El resultado muestra la información sobre la comunidad SNMPv3 que se habilita en el sistema.