Comunidades SNMP
Una comunidad SNMP define el nivel de autorización concedido a sus miembros, como los objetos MIB disponibles, las operaciones (de solo lectura o de lectura y escritura) que son válidas para esos objetos y los clientes SNMP autorizados, en función de sus direcciones IP de origen.
Configurar comunidades SNMP
Configurar el agente SNMP en Junos OS es una tarea sencilla que comparte configuraciones familiares con otros dispositivos administrados en su red. Por ejemplo, debe configurar Junos OS con una cadena de comunidad SNMP y un destino para las capturas. Las cadenas de comunidad son nombres administrativos que agrupan conjuntos de dispositivos y los agentes que se ejecutan en ellos en dominios de administración comunes. Si un gerente y un agente comparten la misma comunidad, pueden comunicarse entre sí.
La cadena de comunidad SNMP define la relación entre un sistema de servidor SNMP y el sistema cliente. Esta cadena es una contraseña para controlar el acceso del cliente al servidor.
Para crear una comunidad SNMP de solo lectura:
Para crear una comunidad SNMP de lectura y escritura:
-
Ingrese la comunidad SNMP utilizada en su red.
[edit] user@host# set snmp community name
Esta cadena
privatede comunidad estándar de ejemplo identifica a la comunidad a la que se le ha concedido acceso de lectura y escritura al agente SNMP que se ejecuta en el dispositivo.[edit] user@host# set snmp community private
-
Defina el nivel de autorización para la comunidad.
[edit snmp community name] user@host# set authorization authorization
En este ejemplo, la comunidad pública limita el acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de administración SNMP) que pertenezca a la comunidad pública puede leer variables MIB, pero no puede configurarlas (cambiarlas).
[edit snmp community public] user@host# set authorization read-write
-
Defina una lista de clientes de la comunidad que están autorizados a realizar cambios en el agente SNMP en Junos OS.
Enumere los clientes por dirección IP y prefijo.
[edit snmp community name] user@host# set clients address
Por ejemplo:
[edit snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
-
Defina los clientes que no están autorizados en la comunidad especificando su dirección IP, seguida de la
restrictinstrucción.[edit snmp community name] user@host# set clients address resrict
La siguiente instrucción define que todos los demás hosts están restringidos a la comunidad pública.
[edit snmp community private] user@host# set clients 0/0 restrict
-
Confirmar la configuración.
user@host# commit
Agregar un grupo de clientes a una comunidad SNMP
Junos OS le permite agregar uno o más grupos de clientes a una comunidad SNMP. Puede incluir la client-list-name name instrucción en el [edit snmp community community-name] nivel de jerarquía para agregar todos los miembros de la lista de clientes o la lista de prefijos a una comunidad SNMP.
Para definir una lista de clientes, utilice la set snmp client-list client-list-name instrucción seguida de las direcciones IP de los clientes.
Puede configurar una lista de prefijos en el [edit policy options] nivel jerárquico. La compatibilidad con listas de prefijos en la configuración de comunidad SNMP le permite utilizar una sola lista para configurar las políticas SNMP y de enrutamiento. Para obtener más información acerca de la prefix-list instrucción, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.
Para agregar una lista de clientes o una lista de prefijos a una comunidad SNMP, utilice la set snmp commmunity community-name client-list-name instrucción.
La lista de clientes y la lista de prefijos no deben tener el mismo nombre.
En el ejemplo siguiente se muestra cómo definir una lista de clientes:
[edit]
snmp {
client-list clentlist1 {
10.1.1.1/32;
10.2.2.2/32;
}
}
En el siguiente ejemplo, se muestra cómo agregar una lista de clientes a una comunidad SNMP:
[edit]
snmp {
community community1 {
authorization read-only;
client-list-name clientlist1;
}
}
En el siguiente ejemplo, se muestra cómo agregar una lista de prefijos a una comunidad SNMP:
[edit]
policy-options {
prefix-list prefixlist {
10.3.3.3/32;
10.5.5.5/32;
}
}
snmp {
community community2 {
client-list-name prefixlist;
}
}
Configurar cadena de comunidad SNMP
La cadena de comunidad SNMP define la relación entre un sistema de servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.
Para configurar una cadena de comunidad en una configuración de Junos OS, utilice la set snmp community instrucción.
Si el nombre de la comunidad tiene espacios, escríbalo entre comillas (" ").
El nivel de autorización predeterminado para una comunidad es read-only. Para permitir Set solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write. En el caso Set de las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura; no se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view instrucción, consulte Configurar vistas MIB.
Las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad se enumeran en las clients listas de instrucciones. Si no hay ninguna clients instrucción presente, se permiten todos los clientes. Para address, debe especificar una dirección IPv4, no un nombre de host. Incluye la opción de denegar el default restrict acceso a todos los clientes SNMP para los que no se ha concedido acceso. Recomendamos que siempre incluya la opción de limitar el default restrict acceso del cliente SNMP al conmutador local.
Los nombres de comunidad deben ser únicos dentro de cada sistema SNMP.
Ver también
Ejemplos: Configurar la cadena de comunidad SNMP
Otorgue acceso de solo lectura a todos los clientes. Con la siguiente configuración, el sistema responde a SNMP Get, GetNexty GetBulk a las solicitudes que contienen la cadena publicde comunidad:
[edit]
snmp {
community public {
authorization read-only;
}
}
Otorgue a todos los clientes acceso de lectura y escritura a ping MIB y jnxPingMIB. Con la siguiente configuración, el sistema responde a las solicitudes SNMP Get, GetNext, GetBulky Set que contienen la cadena private de comunidad y especifican un OID contenido en la MIB ping o jnxPingMIB la jerarquía:
[edit]
snmp {
view ping-mib-view {
oid pingMIB include;
oid jnxPingMIB include;
community private {
authorization read-write;
view ping-mib-view;
}
}
}
La siguiente configuración permite el acceso de solo lectura a los clientes con direcciones IP en el rango 1.2.3.4/24y deniega el acceso a los sistemas en el rango fe80::1:2:3:4/64:
[edit]
snmp {
community field-service {
authorization read-only;
clients {
default restrict; # Restrict access to all SNMP clients not explicitly
# listed on the following lines.
1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except
fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64.
}
}
}
Configure la comunidad SNMPv3
La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.
Para configurar la comunidad SNMP, incluya la snmp-community instrucción en el [edit snmp v3] nivel de jerarquía:
[edit snmp v3] snmp-community community-index;
community-index es el índice de la comunidad SNMP.
Para configurar las propiedades de comunidad SNMP, incluya las siguientes instrucciones en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
A continuación, se muestra un conjunto mínimo de configuraciones de ejemplo necesarias para la snmp v3 snmp-community configuración:
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
La comunidad utilizada por el usuario que no admite SNMPv3, continuará usando SNMPv2.
Para obtener más información, consulte la siguiente configuración:
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
En esta sección se incluyen los temas siguientes:
- Configuración del nombre de la comunidad
- Configuración del contexto
- Configuración de los nombres de seguridad
- Configuración de la etiqueta
Configuración del nombre de la comunidad
El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza clientes SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos MIB están disponibles y las operaciones (lectura, escritura o notificación) permitidas en esos objetos.
Para configurar el nombre de comunidad SNMP, incluya la community-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, vea community-name.
Configuración del contexto
Un contexto SNMP define una colección de información de administración a la que puede acceder una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto de un dominio de administración tiene un identificador único.
Para configurar un contexto SNMP, incluya la context context-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, consulte contexto (SNMPv3).
Para consultar una instancia de enrutamiento o un sistema lógico,
Configuración de los nombres de seguridad
Para asignar una cadena de comunidad a un nombre de seguridad, incluya la security-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name se utiliza cuando se configura el control de acceso. La security-to-group configuración en el nivel de [edit snmp v3 vacm] jerarquía identifica al grupo.
Este nombre de seguridad debe coincidir con el nombre de seguridad configurado en el nivel de [edit snmp v3 target-parameters target-parameters-name parameters] jerarquía al configurar las capturas.
Configuración de la etiqueta
Para configurar la etiqueta, incluya la tag instrucción en el [edit snmp v3 snmp-community community-index] nivel de jerarquía. Para obtener más información acerca de esta instrucción, consulte tag (SNMP).
Ejemplo: Configurar comunidad SNMPv3
En este ejemplo, se muestra cómo configurar una comunidad SNMPv3.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para realizar el control de acceso y defina el nombre de la etiqueta que identifica la dirección de los administradores a los que se les permite utilizar una cadena de comunidad. La dirección de destino define la dirección y los parámetros de una aplicación de administración que se utilizan para enviar notificaciones.
Cuando el dispositivo recibe un paquete con una cadena de comunidad reconocida y se asocia una etiqueta con ese paquete, el software de Junos busca todas las direcciones de destino con esta etiqueta y verifica que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.
Especifique dónde desea que se envíen las capturas y defina qué paquetes SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de la dirección de destino que identifica la dirección de destino, defina la dirección de destino, el rango de máscara de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit snmp v3] modo de configuración.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS .
Configure el nombre de comunidad SNMP.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
Nota:El nombre de comunidad SNMP debe ser único.
Configure el nombre de seguridad para realizar el control de acceso.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Defina el nombre de la etiqueta. El nombre de la etiqueta identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Configure la dirección de destino SNMP.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Configure el rango de máscara de la dirección para el control de acceso de cadena de comunidad.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Configure el número de puerto de destino SNMPv3.
[edit snmp v3] user@host#set target-address ta1 port 162
Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show snmp v3 configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo.
[edit]
user@host# show snmp v3
target-address ta1 {
address 10.1.1.1;
port 162;
tag-list router1;
address-mask 255.255.255.0;
target-parameters tp1;
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA
security-name john;
tag router1;
}
Verificación
Verificación de la comunidad SNMPv3
Propósito
Compruebe si la comunidad SNMPv3 está habilitada.
Acción
Para comprobar la configuración de la comunidad SNMPv3, ingrese show snmp v3 community comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Significado
El resultado muestra la información sobre la comunidad SNMPv3 que se está habilitando en el sistema.