Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comunidades SNMP

Una comunidad SNMP define el nivel de autorización concedido a sus miembros, como los objetos MIB disponibles, las operaciones (de solo lectura o lectura-escritura) que son válidas para esos objetos y los clientes SNMP autorizados, en función de sus direcciones IP de origen.

Configurar comunidades SNMP

Configurar el agente SNMP en Junos OS es una tarea sencilla que comparte la configuración familiar con otros dispositivos administrados de la red. Por ejemplo, debe configurar Junos OS con una cadena de comunidad SNMP y un destino para las capturas. Las cadenas de comunidad son nombres administrativos que agrupan colecciones de dispositivos y los agentes que se ejecutan en ellos juntos en dominios de administración comunes. Si un gerente y un agente comparten la misma comunidad, pueden comunicarse entre sí.

La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena es una contraseña para controlar el acceso del cliente al servidor.

Para crear una comunidad SNMP de solo lectura:

  1. Ingrese la comunidad SNMP utilizada en su red.

    Si el nombre de la comunidad contiene espacios, escríbalo entre comillas (" ").

    Los nombres de las comunidades deben ser únicos.

    No puede configurar el mismo nombre de comunidad en los niveles de [edit snmp community] jerarquía y [edit snmp v3 snmp-community community-index] .

    En este ejemplo se usa el nombre public estándar para crear una comunidad que ofrece acceso limitado de solo lectura.

  2. Defina el nivel de autorización para la comunidad.

    El nivel de autorización predeterminado para una comunidad es read-only.

    Para permitir Set solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write. Para Set las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura. No se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view instrucción, vea Configurar vistas MIB.

    En este ejemplo, se limita la comunidad pública al acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de gestión SNMP) que pertenezca a la comunidad pública puede leer variables MIB pero no puede establecerlas (cambiarlas).

  3. Defina una lista de clientes de la comunidad que están autorizados para comunicarse con el agente SNMP en Junos OS.

    La clients instrucción enumera las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad. Enumere los clientes por dirección IP y prefijo. Normalmente, la lista incluye el sistema de administración de red SNMP en su red o la dirección de su red de administración. Si no hay ninguna clients instrucción presente, se permiten todos los clientes. Para address, debe especificar una dirección IPv4 o IPv6, no un nombre de host.

    La siguiente instrucción define los hosts de la red 192.168.1.0/24 como autorizados en la comunidad pública.

  4. Defina los clientes que no están autorizados dentro de la comunidad especificando su dirección IP, seguida de la restrict instrucción.

    La siguiente instrucción define todos los demás hosts como restringidos de la comunidad pública.

  5. En el nivel superior de la configuración, aplique el grupo de configuración.

    Si utiliza un grupo de configuración, debe aplicarlo para que surta efecto.

  6. Confirme la configuración.

Para crear una comunidad SNMP de lectura y escritura:

  1. Ingrese la comunidad SNMP utilizada en su red.

    En este ejemplo, se describe una cadena private de comunidad estándar para identificar la comunidad a la que se concedió acceso de lectura y escritura al agente SNMP que se ejecuta en el dispositivo.

  2. Defina el nivel de autorización para la comunidad.

    En este ejemplo, se limita la comunidad pública al acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de gestión SNMP) que pertenezca a la comunidad pública puede leer variables MIB pero no puede establecerlas (cambiarlas).

  3. Defina una lista de clientes de la comunidad que están autorizados a realizar cambios en el agente SNMP en Junos OS.

    Enumere los clientes por dirección IP y prefijo.

    Por ejemplo:

  4. Defina los clientes que no están autorizados dentro de la comunidad especificando su dirección IP, seguida de la restrict instrucción.

    La siguiente instrucción define todos los demás hosts como restringidos de la comunidad pública.

  5. En el nivel superior de la configuración, aplique el grupo de configuración.

    Si utiliza un grupo de configuración, debe aplicarlo para que surta efecto.

  6. Confirme la configuración.

Agregar un grupo de clientes a una comunidad SNMP

Junos OS permite agregar uno o varios grupos de clientes a una comunidad SNMP. Puede incluir la client-list-name name instrucción en el [edit snmp community community-name] nivel jerárquico para agregar todos los miembros de la lista de clientes o de la lista de prefijos a una comunidad SNMP.

Para definir una lista de clientes, utilice la set snmp client-list client-list-name instrucción seguida de las direcciones IP de los clientes.

Puede configurar una lista de prefijos en el nivel jerárquico [edit policy options] . La compatibilidad con listas de prefijos en la configuración de la comunidad SNMP permite utilizar una sola lista para configurar las directivas SNMP y de enrutamiento. Para obtener más información acerca de la prefix-list instrucción, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

Para agregar una lista de clientes o una lista de prefijos a una comunidad SNMP, utilice la set snmp commmunity community-name client-list-name instrucción.

La lista de clientes y la lista de prefijos no deben tener el mismo nombre.

En el ejemplo siguiente se muestra cómo definir una lista de clientes:

En el ejemplo siguiente se muestra cómo agregar una lista de clientes a una comunidad SNMP:

En el ejemplo siguiente se muestra cómo agregar una lista de prefijos a una comunidad SNMP:

Configurar cadena de comunidad SNMP

La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.

Para configurar una cadena de comunidad en una configuración de Junos OS, utilice la set snmp community instrucción.

Si el nombre de la comunidad contiene espacios, escríbalo entre comillas (" ").

El nivel de autorización predeterminado para una comunidad es read-only. Para permitir Set solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write. Para Set las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura; no se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view instrucción, vea Configurar vistas MIB.

Las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad se enumeran en las listas de clients instrucciones. Si no hay ninguna clients instrucción presente, se permiten todos los clientes. Para address, debe especificar una dirección IPv4, no un nombre de host. Incluya la opción de denegar el default restrict acceso a todos los clientes SNMP para los que no se haya concedido acceso. Se recomienda incluir siempre la opción de limitar el default restrict acceso del cliente SNMP al conmutador local.

Los nombres de comunidad deben ser únicos dentro de cada sistema SNMP.

Ejemplos: Configurar la cadena de comunidad SNMP

Conceda acceso de solo lectura a todos los clientes. Con la siguiente configuración, el sistema responde a SNMP Get, GetNexty GetBulk a las solicitudes que contienen la cadena publicde comunidad:

Conceda a todos los clientes acceso de lectura y escritura a ping MIB y jnxPingMIB. Con la siguiente configuración, el sistema responde a SNMP , , y a las solicitudes que contienen la cadena private de comunidad y especifican un OID contenido en la MIB o jnxPingMIB jerarquía de ping:SetGetBulkGetNextGet

La siguiente configuración permite el acceso de sólo lectura a clientes con direcciones IP en el intervalo 1.2.3.4/24y deniega el acceso a los sistemas del intervalo fe80::1:2:3:4/64:

Configurar la comunidad SNMPv3

La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.

Para configurar la comunidad SNMP, incluya la snmp-community instrucción en el nivel jerárquico [edit snmp v3] :

community-index es el índice de la comunidad SNMP.

Para configurar las propiedades de la comunidad SNMP, incluya las siguientes instrucciones en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:

A continuación se muestra un conjunto mínimo de configuración de ejemplo necesario para snmp v3 snmp-community la configuración:

Nota:

La comunidad utilizada por el usuario que no admite SNMPv3, seguirá utilizando SNMPv2.

Para obtener más información, consulte la siguiente configuración:

Esta sección incluye los siguientes temas:

Configuración del nombre de la comunidad

El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza clientes SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos MIB están disponibles y las operaciones (lectura, escritura o notificación) permitidas en esos objetos.

Para configurar el nombre de comunidad SNMP, incluya la community-name instrucción en el nivel jerárquico [edit snmp v3 snmp-community community-index] . Para obtener más información acerca de esta instrucción, consulte community-name.

Configuración del contexto

Un contexto SNMP define una colección de información de administración a la que puede acceder una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto en un dominio de administración tiene un identificador único.

Para configurar un contexto SNMP, incluya la context context-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, consulte context (SNMPv3).

Nota:

Para consultar una instancia de enrutamiento o un sistema lógico,

Configuración de los nombres de seguridad

Para asignar una cadena de comunidad a un nombre de seguridad, incluya la security-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:

security-name se utiliza cuando se configura el control de acceso. La security-to-group configuración en el nivel de [edit snmp v3 vacm] jerarquía identifica el grupo.

Nota:

Este nombre de seguridad debe coincidir con el nombre de seguridad configurado en el nivel de [edit snmp v3 target-parameters target-parameters-name parameters] jerarquía al configurar capturas.

Configuración de la etiqueta

Para configurar la etiqueta, incluya la tag instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, consulte tag.

Ejemplo: Configurar la comunidad SNMPv3

En este ejemplo se muestra cómo configurar una comunidad SNMPv3.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para realizar el control de acceso y defina el nombre de la etiqueta que identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad. La dirección de destino define la dirección de una aplicación de administración y los parámetros que se utilizan para enviar notificaciones.

Cuando el dispositivo recibe un paquete con una cadena de comunidad reconocida y se asocia una etiqueta a ese paquete, el software de Junos busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.

Especifique dónde desea que se envíen las capturas y defina qué paquetes SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de la dirección de destino que identifica la dirección de destino, defina la dirección de destino, el intervalo de máscara de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit snmp v3] y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS .

  1. Configure el nombre de la comunidad SNMP.

    Nota:

    El nombre de la comunidad SNMP debe ser único.

  2. Configure el nombre de seguridad para realizar el control de acceso.

  3. Defina el nombre de la etiqueta. El nombre de la etiqueta identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.

  4. Configure la dirección de destino SNMP.

  5. Configure el intervalo de máscaras de la dirección para el control de acceso de cadenas de comunidad.

  6. Configure el número de puerto de destino SNMPv3.

  7. Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.

  8. Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.

Resultados

Desde el modo de configuración, confírmela con el comando show snmp v3 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo.

Verificación

Comprobación de la comunidad SNMPv3

Propósito

Compruebe si la comunidad SNMPv3 está habilitada.

Acción

Para comprobar la configuración de la comunidad SNMPv3, escriba show snmp v3 community comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Significado

El resultado muestra la información sobre la comunidad SNMPv3 que se habilita en el sistema.