Настройка SNMPv3
Минимальная конфигурация SNMPv3 на устройстве, на Junos OS
Для настройки минимальных требований для SNMPv3 следует включить следующие утверждения на уровне и [edit snmp v3]
[edit snmp]
иерархии:
Необходимо настроить по крайней мере один вид (оповещать, читать или записывать) на [edit snmp view-name]
уровне иерархии.
[edit snmp] view view-name { oid object-identifier (include | exclude); } [edit snmp v3] notify name { tag tag-name; } notify-filter profile-name { oid object-identifier (include | exclude); } snmp-community community-index { security-name security-name; } target-address target-address-name { address address; target-parameters target-parameters-name; } target-parameters target-parameters-name { notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; } } usm { local-engine { user username { } } } vacm { access { group group-name { (default-context-prefix | context-prefix context-prefix){ security-model (any | usm | v1 | v2c) { security-level (authentication | none | privacy) { notify-view view-name; read-view view-name; write-view view-name; } } } } } security-to-group { security-model (usm | v1 | v2c) { security-name security-name { group group-name; } } } }
Примере: Конфигурация SNMPv3
Определение конфигурации SNMPv3:
[edit snmp] engine-id { use-mac-address; } view jnxAlarms { oid 1.3.6.1.4.1.2636.3.4 include; } view interfaces { oid 1.3.6.1.2.1.2 include; } view ping-mib { oid 1.3.6.1.2.1.80 include; } [edit snmp v3] notify n1 { tag router1; # Identifies a set of target addresses type trap;# Defines type of notification } notify n2 { tag host1; type trap; } notify-filter nf1 { oid .1 include; # Defines which traps to send } # In this case, includes all traps notify-filter nf2 { oid 1.3.6.1.4.1 include; # Sends enterprise-specific traps only } notify-filter nf3 { oid 1.3.6.1.2.1.1.5 include; # Sends BGP traps only } snmp-community index1 { community-name "$9$JOZi.QF/AtOz3"; # SECRET-DATA security-name john; # Matches the security name at the target parameters tag host1; # Finds the addresses that are allowed to be used with } target-address ta1 {# Associates the target address with the group # san-francisco. address 10.1.1.1; address-mask 255.255.255.0; # Defines the range of addresses port 162; tag-list router1; target-parameters tp1; # Applies configured target parameters } target-address ta2 { address 10.1.1.2; address-mask 255.255.255.0; port 162; tag-list host1; target-parameters tp2; } target-address ta3 { address 10.1.1.3; address-mask 255.255.255.0; port 162; tag-list “router1 host1”; target-parameters tp3; } target-parameters tp1 { # Defines the target parameters notify-filter nf1; # Specifies which notify filter to apply parameters { message-processing-model v1; security-model v1; security-level none; security-name john; # Matches the security name configured at the } # [edit snmp v3 snmp-community community-index hierarchy level. } target-parameters tp2 { notify-filter nf2; parameters { message-processing-model v1; security-model v1; security-level none; security-name john; } } target-parameters tp3 { notify-filter nf3; parameters { message-processing-model v1; security-model v1; security-level none; security-name john; } } usm { local-engine { # Defines authentication and encryption for SNMPv3 users user john { # security-name john is defined here authentication-md5 { authentication-password authentication-password; } privacy-des { privacy-password privacy-password; } } user bob { # security-name bob is defined here authentication-sha { authentication-password authentication-password; } privacy-none; } user julia { # security-name julia is defined here authentication-none; privacy-none; } user lauren { # security-name lauren is defined here authentication-sha { authentication-password authentication-password; } privacy-aes128 { privacy-password privacy-password; } } user richard { # security-name richard is defined here authentication-sha { authentication-password authentication-password; } privacy-none; } } } vacm { access { group san-francisco { #Defines the access privileges for the group default-context-prefix { # called san-francisco security-model v1 { security-level none { notify-view ping-mib; read-view interfaces; write-view jnxAlarms; } } } } } security-to-group { security-model v1 { security-name john { # Assigns john to security group san-fancisco group san-francisco; } security-name bob { # Assigns bob to security group new-york group new-york; } security-name julia {# Assigns julia to security group chicago group chicago; } security-name lauren {# Assigns lauren to security group paris group paris; } security-name richard {# Assigns richard to security group geneva group geneva; } } } }
Создание пользователей SNMPv3
Для каждого пользователя SNMPv3 можно указать имя пользователя, тип аутентификации, пароль аутентификации, тип конфиденциальности и пароль конфиденциальности. После ввода пользователем пароля генерируется ключ, основанный на коде и пароле я могу ее сгенерирована и записана в файле конфигурации. После генерации ключа пароль удаляется из этого файла конфигурации.
Каждый пользователь SNMPv3 может настроить только один тип шифрования.
Чтобы создать пользователей, включив user
в него утверждение [edit snmp v3 usm local-engine]
иерархии:
[edit snmp v3 usm local-engine] user username;
username
это имя, которое идентифицирует пользователя SNMPv3.
Чтобы настроить аутентификацию пользователя и шифрование, включим следующие утверждения на [edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] authentication-md5 { authentication-password authentication-password; } authentication-sha { authentication-password authentication-password; } authentication-none; privacy-aes128 { privacy-password privacy-password; } privacy-des { privacy-password privacy-password; } privacy-3des { privacy-password privacy-password; } privacy-none;
Примере: Создание пользователей SNMPv3
Определение пользователей SNMPv3:
[edit] snmp { v3 { usm { local-engine { user user1 { authentication-md5 { authentication-password authentication-password; } privacy-des { privacy-password password; } } user user2 { authentication-sha { authentication-password authentication-password; } privacy-none; } user user3 { authentication-none; privacy-none; } user user4 { authentication-md5 { authentication-password authentication-password; } privacy-des { privacy-password authentication-password; } } user user5 { authentication-sha { authentication-password authentication-password; } privacy-aes128 { privacy-password authentication-password; } } } } } }
Настройка типа аутентификации SNMPv3
По умолчанию в конфигурации Junos OS для типа аутентификации SNMPv3 установлено значение none.
Данная тема включает в себя следующие разделы:
Настройка аутентификации MD5
Чтобы настроить алгоритм дайджеста сообщений (MD5) в качестве типа аутентификации для пользователя SNMPv3, введите утверждение на authentication-md5
[edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] authentication-md5 { authentication-password authentication-password; }
authentication-password
– пароль, используемый для генерации ключа, используемго для аутентификации.
SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Настройка аутентификации SHA
Чтобы настроить безопасный алгоритм hash (SHA) в качестве типа аутентификации для пользователя SNMPv3, включите утверждение на authentication-sha
[edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] authentication-sha { authentication-password authentication-password; }
authentication-password
– пароль, используемый для генерации ключа, используемго для аутентификации.
SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Настройка без аутентификации
Чтобы настроить аутентификацию для пользователя SNMPv3, необходимо включить утверждение authentication-none
на [edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] authentication-none;
Настройка типа шифрования SNMPv3
По умолчанию шифрование настроено на none.
Перед настройкой шифрования необходимо настроить аутентификацию MD5 или SHA.
Данная тема включает в себя следующие разделы:
- Настройка стандартного алгоритма усовершенствования шифрования
- Настройка алгоритма шифрования данных
- Настройка тройного DES
- Настройка no encryption
Настройка стандартного алгоритма усовершенствования шифрования
Для настройки алгоритма Advanced Encryption Standard (AES) для пользователя SNMPv3 включите утверждение на privacy-aes128
[edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] privacy-aes128 { privacy-password privacy-password; }
privacy-password
– пароль, используемый для генерации ключа, используемго для шифрования.
SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Настройка алгоритма шифрования данных
Чтобы настроить алгоритм шифрования данных (DES) для пользователя SNMPv3, включите в него утверждение на privacy-des
[edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] privacy-des { privacy-password privacy-password; }
privacy-password
– пароль, используемый для генерации ключа, используемго для шифрования.
SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Настройка тройного DES
Чтобы настроить тройной DES для пользователя SNMPv3, включите утверждение privacy-3des
на [edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] privacy-3des { privacy-password privacy-password; }
privacy-password
– пароль, используемый для генерации ключа, используемго для шифрования.
SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Настройка no encryption
Чтобы настроить шифрование для пользователя SNMPv3, необходимо включить утверждение privacy-none
на [edit snmp v3 usm local-engine user username]
уровне иерархии:
[edit snmp v3 usm local-engine user username] privacy-none;
Определение привилегий доступа для группы SNMP
SNMP версии 3 (SNMPv3) использует модель контроля доступа на основе представления (VACM), которая позволяет настраивать привилегии доступа, предоставленные группе. Доступ контролируется посредством фильтрации MIB объектов, доступных для конкретной операции с помощью предварительно определенного представления. Необходимо назначить виды для определения объектов, которые видны для чтения, записи и уведомления операций для конкретной группы с использованием определенного контекста, конкретной модели безопасности (v1, v2c или usm) и конкретного уровня безопасности (аутентификации, конфиденциальности или нет). Для получения сведений о настройке точки зрения см. "Настройка MIB просмотра".
Доступ пользователей к управляющей информации определяется на [edit snmp v3 vacm]
уровне иерархии. Весь контроль доступа в VACM действует на группах, которые являются наборами пользователей в режиме, определенном USM, или строками сообщества, как определено в моделях безопасности SNMPv1 и SNMPv2c. Термин security-name
отсылает к этим обобщенным конечным пользователям. Группа, которой принадлежит определенное имя системы безопасности, настроена на [edit snmp v3 vacm security-to-group]
уровне иерархии. Это имя безопасности может быть связано с группой, определенной на [edit snmp v3 vacm security-to-group]
уровне иерархии. Группа идентифицирует набор пользователей SNMP, которые совместно имеют ту же политику доступа. Затем определяются привилегии доступа, связанные с группой на [edit snmp v3 vacm access]
уровне иерархии. Привилегии доступа определяются с помощью представлений. Для каждой группы можно применить разные виды в зависимости от функционирования SNMP; например, читать ( или) записывать ( или) уведомления, уровень безопасности, используемый (аутентификация, конфиденциальность или нет) и модель безопасности get
getNext
getBulk
set
(v1, v2c или usm), используемая в запросе SNMP.
Члены группы настраиваются с помощью security-name
утверждения. Для пакетов v3, использующих USM, имя системы безопасности такое же, как и имя пользователя. Для пакетов SNMPv1 или SNMPv2c имя безопасности определяется на основе строки сообщества. Имена безопасности являются специфическими для модели безопасности. Если также настраиваются политики доступа VACM для пакетов SNMPv1 или SNMPv2c, необходимо назначить имена безопасности группам для каждой модели безопасности (SNMPv1 или SNMPv2c) на уровне [edit snmp v3 vacm security-to-group]
иерархии. Также необходимо связать имя системы безопасности с сообществом SNMP на [edit snmp v3 snmp-community community-index]
уровне иерархии.
Для настройки привилегий доступа для группы SNMP, включаем в него утверждения уровня [edit snmp v3 vacm]
иерархии:
[edit snmp v3 vacm] access { group group-name { (default-context-prefix | context-prefix context-prefix){ security-model (any | usm | v1 | v2c) { security-level (authentication | none | privacy) { notify-view view-name; read-view view-name; write-view view-name; } } } } } security-to-group { security-model (usm | v1 | v2c) { security-name security-name { group group-name; } } }
Настройка привилегий доступа, предоставленных группе
Данная тема включает в себя следующие разделы:
- Настройка группы
- Настройка модели безопасности
- Настройка уровня безопасности
- Связывание MIB с группой пользователей SNMP
Настройка группы
Для настройки привилегий доступа, предоставленных группе, включаем утверждение group
на [edit snmp v3 vacm access]
уровне иерархии:
[edit snmp v3 vacm access] group group-name;
group-name
это набор пользователей SNMP, которые принадлежат к общему списку SNMP, определяя политику доступа. Пользователи, принадлежащие к определенной группе SNMP, наследуют все привилегии доступа, предоставленные этой группе.
Настройка модели безопасности
Чтобы настроить модель безопасности, включим в нее утверждение security-model
уровня [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)]
иерархии:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] security-model (any | usm | v1 | v2c);
any
— Любая модель безопасностиusm
— модель безопасности SNMPv3v1
— модель безопасности SNMPV1v2c
— модель безопасности SNMPv2c
Настройка уровня безопасности
Чтобы настроить привилегии доступа, предоставленные пакетам с определенным уровнем безопасности, включим в него утверждение security-level
на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)]
уровне иерархии:
[edit snmp v3 vacm access group group-name default-context-prefix security-model (any | usm | v1 | v2c)] security-level (authentication | none | privacy);
none
- Не обеспечивает аутентификацию и шифрование.authentication
-Обеспечивает аутентификацию, но не шифрование.privacy
—Обеспечивает аутентификацию и шифрование.Прим.:Привилегии доступа предоставлены всем пакетам с уровнем безопасности, равным или выше настроенного. При настройке модели безопасности SNMPv1 или SNMPv2c используйте
none
в качестве уровня безопасности. При настройке модели безопасности SNMPv3 (USM), используйтеauthentication
либоnone
уровеньprivacy
безопасности.
Связывание MIB с группой пользователей SNMP
MIB мнениями определяются привилегии доступа для членов группы. Для каждой операции SNMP (чтение, написание и уведомление) в каждой модели безопасности (usm, v1 и v2c) и каждого уровня безопасности (аутентификация, нет и конфиденциальность), поддерживаемых SNMP, могут применяться раздельные мнения.
Чтобы связать MIB с группой пользователей SNMP, следует включить следующие утверждения на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]
уровне иерархии:
[edit snmp v3 vacm accessgroup group-name (default-context-prefix | context-prefix context-prefix)security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] notify-view view-name; read-view view-name; write-view view-name;
Необходимо связать как минимум одно представление (оповещать, читать или записывать) на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]
уровне иерархии.
Необходимо настроить вид MIB на уровне [edit snmp view view-name]
иерархии. Для получения сведений о настройке MIB просмотров см. "Настройка MIB просмотра".
В этом разделе описываются следующие темы, относящиеся к данной конфигурации:
Настройка уведомления о представлении
Чтобы ассоциировать уведомление о доступе с группой пользователей SNMP, включите утверждение notify-view
на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]
уровне иерархии:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] notify-view view-name;
view-name
определяет доступ с уведомлением, который является списком уведомлений, которые могут быть переданы каждому пользователю в группе SNMP. Имя представления не может превышать 32 символов.
Настройка представления чтения
Чтобы ассоциировать просмотр с группой SNMP, включив в него утверждение read-view
на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]
уровне иерархии:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] read-view view-name;
view-name
определяет доступ для чтения для группы пользователей SNMP. Имя представления не может превышать 32 символов.
Настройка представления записи
Чтобы связать вид записи с группой пользователей SNMP, включив в него утверждение write-view
на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)]
уровне иерархии:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] write-view view-name;
view-name
определяет доступ для записи для группы пользователей SNMP. Имя представления не может превышать 32 символов.
Примере: Настройка привилегий доступа, предоставленных группе
Определение привилегий доступа:
[edit snmp v3 vacm] access { group group1 { default-context-prefix { security-model usm { #Define an SNMPv3 security model security-level privacy { notify-view nv1; read-view rv1; write-view wv1; } } } context-prefix lr1/ri1{ # routing instance ri1 in logical system lr1 security-model usm { security-level privacy { notify-view nv1; read-view rv1; write-view wv1; } } } } group group2 { default-context-prefix { security-model usm { #Define an SNMPv3 security model security-level authentication { read-view rv2; write-view wv2; } } } } group group3 { default-context-prefix { security-model v1 { #Define an SNMPv3 security model security-level none { read-view rv3; write-view wv3; } } } } }
Назначение модели безопасности и имени безопасности группе
Чтобы присвоить имена безопасности группам, включите следующие утверждения на [edit snmp v3 vacm security-to-group]
уровне иерархии:
[edit snmp v3 vacm security-to-group] security-model (usm | v1 | v2c) { security-name security-name { group group-name; } }
Данная тема включает в себя следующие разделы:
Настройка модели безопасности
Чтобы настроить модель безопасности, включим в нее утверждение security-model
уровня [edit snmp v3 vacm security-to-group]
иерархии:
[edit snmp v3 vacm security-to-group] security-model (usm | v1 | v2c);
usm
— модель безопасности SNMPv3v1
— модель безопасности SNMPv1v2c
— модель безопасности SNMPv2
Назначение имен безопасности группам
Чтобы ассоциировать имя системы безопасности с пользователем SNMPv3 или строкой сообщества v1 или v2, включите утверждение на security-name
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)]
уровне иерархии:
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] security-name security-name;
Для SNMPv3 security-name
это имя пользователя, настроенном на [edit snmp v3 usm local-engine user username]
уровне иерархии. Для SNMPv1 и SNMPv2c имя системы безопасности — это строка сообщества, настроенная на [edit snmp v3 snmp-community community-index]
уровне иерархии. Для получения сведений о настройке имен пользователей см. "Создание пользователей SNMPv3". Для получения сведений о настройке строки сообщества см. "Настройка сообщества SNMPv3".
Имя безопасности USM отделено от имени безопасности SNMPv1 и SNMPv2c. Если помимо SNMPv3 поддерживаются SNMPv1 и SNMPv2c, необходимо настроить отдельные имена безопасности в рамках конфигурации "безопасность в группу" на уровне [edit snmp v3 vacm access]
иерархии.
Настройка группы
После создания пользователей SNMPv3, имен безопасности v1 или v2, они связываются с группой. Группа – это набор имен безопасности, относящаяся к определенной модели безопасности. Группа определяет права доступа для всех пользователей, принадлежащих к ней. Права доступа определяют, какие объекты SNMP могут быть считаны, записаны или созданы. Группа определяет также, какие уведомления может получать пользователь.
Если у вас уже имеется группа, настроенная со всеми разрешениями доступа и представлением, которые необходимо предоставить пользователю, можно добавить пользователя в эту группу. Если необходимо предоставить пользователю представление и разрешения доступа, которые не имеют других групп или если у вас нет настроенных групп, создайте группу и добавьте в нее пользователя.
Для настройки привилегий доступа, предоставленных группе, включаем утверждение group
на [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name]
уровне иерархии:
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] group group-name;
group-name
определяет набор имен безопасности SNMP с одной и той же политикой доступа. Дополнительные сведения о группах см. в "Определение привилегий доступа для группы SNMP".
Примере: Конфигурация группы безопасности
Назначьте имена безопасности группам:
vacm { security-to-group { security-model usm { security-name user1 { group group1; } security-name user2 { group group2; } security-name user3 { group group3; } } } }
Настройка ловушек SNMPv3 на устройстве, на Junos OS
В SNMPv3 создаются ловушки и информирования путем настройки notify
параметров и их target-address
target-parameters
параметров. Ловушки – это неподтвержденные уведомления, в то время как уведомления – подтвержденные. В данном разделе описана настройка ловушек SNMP. Для получения сведений о настройке SNMP см. "Настройка информационных сообщений SNMP".
Целевой адрес определяет адрес и параметры управляющей программы, которые будут использоваться при отправке уведомлений. Целевые параметры определяют параметры обработки сообщений и безопасности, используемые при отправке уведомлений определенной цели управления. SNMPv3 также позволяет определять ловушки SNMPv1 и SNMPv2c.
При настройке trap-ловушек SNMP убедитесь, что настроенные привилегии доступа позволяют отослать ловушки. Привилегии доступа настраиваются на уровне [edit snmp v3 vacm access]
[edit snmp v3 vacm security-to-group]
иерархии и на уровне иерархии.
Для настройки trap-сообщений SNMP, включаем следующие утверждения на [edit snmp v3]
уровне иерархии:
[edit snmp v3] notify name { tag tag-name; type trap; } notify-filter name { oid object-identifier (include | exclude); } target-address target-address-name { address address; address-mask address-mask; logical-system logical-system; port port-number; routing-instance instance; tag-list tag-list; target-parameters target-parameters-name; } target-parameters target-parameters-name { notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; } }
Настройка уведомления ловушки SNMPv3
Утверждение notify
указывает тип уведомления (trap) и содержит одну метку. Метка определяет набор целевых адресов для получения trap-адреса. Список тегов содержит одну или несколько меток и настроен на [edit snmp v3 target-address target-address-name]
уровне иерархии. Если список тегов содержит этот тег, Junos OS всем адресам целевых объектов, связанным с этим тегом.
Для настройки уведомлений ловушки включите notify
утверждение на уровне [edit snmp v3]
иерархии:
[edit snmp v3] notify name { tag tag-name; type trap; }
name
это имя, назначенное уведомлению.
tag-name
определяет адреса целевых объектов, на которые отправляется это уведомление. Это уведомление отправляется всем адресам целевых адресов, которые имеют эту метку в их списке тегов. Уведомление tag-name
не включено.
trap
тип уведомления.
Каждое имя уведомляемой записи должно быть уникальным.
Junos OS поддерживает два типа уведомлений: trap
и inform
.
Для получения сведений о настройке списка тегов см. "Настройка целевого адреса ловушки".
Примере: Настройка уведомлений ловушки SNMPv3
Укажите три набора мест назначения для отправки ловушек:
[edit snmp v3] notify n1 { tag router1; type trap; } notify n2 { tag router2; type trap } notify n3 { tag router3; type trap; }
Настройка фильтра уведомлений ловушки
SNMPv3 использует фильтр-оповещает, чтобы определить, какие ловушки (или какие объекты, из которых были ловушки) отправляются в систему управления сетью (NMS). Фильтр уведомлений ловушки ограничивает тип trap-сообщений, которые отправляются на NMS.
Каждый идентификатор объекта представляет подсеть иерархии MIB объектов. Подtree может быть представлен либо последовательностью точечно-разных точек (например, 1.3.6.1.2.2) или его именем подtree interfaces
(например). Для указания идентификаторов объектов, которые соответствуют определенному шаблону, можно также использовать символ под шаблона звездочки (*) в идентификаторе объекта (OID).
Для настройки фильтра уведомлений ловушки включите утверждение notify-filter
на [edit snmp v3]
уровне иерархии:
[edit snmp v3] notify-filter profile-name;
profile-name
это имя, назначенное фильтру-оповещать.
По умолчанию OID установлен в значение include
. Чтобы определить доступ к ловушкам (или объектам из trap-сообщений), включим утверждение oid
на [edit snmp v3 notify-filter profile-name]
уровне иерархии:
[edit snmp v3 notify-filter profile-name] oid oid (include | exclude);
oid
является идентификатором объекта. Все MIB объекты, представленные этим утверждением, имеют указанный OID в качестве префикса. Он может быть задан либо последовательностью точек вмещений, либо именем подtree.
include
-Включите подtree MIB объектов, представленных указанным OID.exclude
- Исключите подtree всех MIB объектов, представленных указанным OID.
Настройка целевого адреса ловушки
Целевой адрес определяет адрес и параметры управляющей программы, используемые при отправке уведомлений. Она также позволяет определить станции управления, на которые разрешено использовать определенную строку сообщества. При приеме пакета с распознаемой строкой сообщества и связанной с ней меткой, Junos OS ищет все целевые адреса с помощью этой метки и проверяет, совпадает ли адрес источника этого пакета с одним из настроенных целевых адресов.
При настройке сообщества SNMP необходимо настроить маску адреса.
Чтобы указать место, куда следует отправить ловушки и определить допустимые пакеты SNMPv1 и SNMPv2cc, включив в себя утверждение на target-address
[edit snmp v3]
уровне иерархии:
[edit snmp v3] target-address target-address-name;
target-address-name
– строка, определяемая адрес целевого адреса.
Чтобы настроить свойства целевого адреса, включим в себя следующие утверждения на [edit snmp v3 target-address target-address-name]
уровне иерархии:
[edit snmp v3 target-address target-address-name] address address; address-mask address-mask; logical-system logical-system; port port-number; routing-instance instance; tag-list tag-list; target-parameters target-parameters-name;
В отличие от SNMP v2, в SNMPv3 нет параметра настройки для ограничения входящие опросы. Однако можно настроить фильтр lo0 для ограничения входящие опросы, создав правило разрешить SNMP из IPs системы мониторинга. Например:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
- Настройка адреса
- Настройка маски адреса
- Настройка порта
- Настройка экземпляра маршрутов
- Настройка целевого адреса ловушки
- Применение целевых параметров
Настройка адреса
Чтобы настроить адрес, включив в него утверждение address
уровня [edit snmp v3 target-address target-address-name]
иерархии:
[edit snmp v3 target-address target-address-name] address address;
address
является целевым адресом SNMP.
Настройка маски адреса
Маска адреса определяет набор адресов, разрешенных для использования строки сообщества, и проверяет адреса источника для группы целевых адресов.
Чтобы настроить маску адреса, включим в нее утверждение address-mask
уровня [edit snmp v3 target-address target-address-name]
иерархии:
[edit snmp v3 target-address target-address-name] address-mask address-mask;
address-mask
в совокупности с адресом определяет диапазон адресов. Для получения сведений о настройке строки сообщества см. "Настройка сообщества SNMPv3".
Настройка порта
По умолчанию для порта UDP установлено значение 162. Чтобы настроить другой номер порта, включив в него утверждение port
уровня [edit snmp v3 target-address target-address-name]
иерархии:
[edit snmp v3 target-address target-address-name] port port-number;
port-number
является номером целевого порта SNMP.
Настройка экземпляра маршрутов
Ловушки отправляются через экземпляр маршрутов по умолчанию. Чтобы настроить экземпляр маршрутов для отправки trap-сообщений, включите утверждение routing-instance
на [edit snmp v3 target-address target-address-name]
уровне иерархии:
[edit snmp v3 target-address target-address-name] routing-instance instance;
instance
– имя экземпляра маршрутов. Для настройки экземпляра маршрутов в пределах логической системы укажите логическое имя системы, за которым следует имя экземпляра маршрутов. Использование косой черты /
(например, для разлики двух test-lr/test-ri
имен). Для настройки экземпляра маршрутов по умолчанию в логической системе укажите логическое имя системы, за которым следует default
(например, test-lr/default
).
Настройка целевого адреса ловушки
Для target-address
каждого утверждения в списке тегов может быть настроено как одна, так и несколько меток. Каждая метка может отображаться в более чем одном списке тегов. При важном событии на сетевом устройстве список тегов определяет целевые объекты, на которые отправляется уведомление.
Чтобы настроить список тегов, включите tag-list
утверждение на [edit snmp v3 target-address target-address-name]
уровне иерархии:
[edit snmp v3 target-address target-address-name] tag-list “tag-list”;
tag-list
определяет одну или несколько меток в качестве списка с разделенным пространством списка, заключенного в двойные кавычках.
Пример конфигурации списка тегов см. в примере: Настройка списка тегов.
Информацию о том, как указать метку на иерархии, см. в "Настройка уведомления ловушки [edit snmp v3 notify notify-name]
SNMPv3".
При настройке trap-ловушек SNMP убедитесь, что настроенные привилегии доступа позволяют отослать ловушки. Настройте привилегии доступа на уровне [edit snmp v3 vacm access]
иерархии.
Применение целевых параметров
Утверждение на уровне иерархии применяет целевые параметры, target-parameters
[edit snmp v3]
настроенные на уровне [edit snmp v3 target-parameters target-parameters-name]
иерархии.
Чтобы со ссылкой на настроенные целевые параметры, включим утверждение target-parameters
на [edit snmp v3 target-address target-address-name]
уровне иерархии:
[edit snmp v3 target-address target-address-name] target-parameters target-parameters-name;
target-parameters-name
это имя, связанное с параметрами обработки сообщений и безопасности, которые используются при отправке уведомлений определенной цели управления.
Примере: Настройка списка тегов
В следующем примере две записи тега router1
router2
(и) определены на уровне [edit snmp v3 notify notify-name]
иерархии. Если событие инициирует уведомление, Junos OS trap-сообщение на все целевые адреса, которые имеют или настроены в списке меток router1
router2
целевого адреса. Это приводит к том, что первые два целевых объектам получают по одной ловушке каждый, а третья цель получает две ловушки.
[edit snmp v3] notify n1 { tag router1; # Identifies a set of target addresses type trap; # Defines the type of notification } notify n2 { tag router2; type trap; } target-address ta1 { address 10.1.1.1; address-mask 255.255.255.0; port 162; tag-list router1; target-parameters tp1; } target-address ta2 { address 10.1.1.2; address-mask 255.255.255.0; port 162; tag-list router2; target-parameters tp2; } target-address ta3 { address 10.1.1.3; address-mask 255.255.255.0; port 162; tag-list “router1 router2”; #Define multiple tags in the target address tag list target-parameters tp3; }
Определение и настройка параметров целевого ловушки
Целевые параметры определяют параметры обработки сообщений и безопасности, используемые при отправке уведомлений определенной цели управления.
Чтобы определить набор целевых параметров, включим в себя утверждение target-parameters
на [edit snmp v3]
уровне иерархии:
[edit snmp v3] target-parameters target-parameters-name;
target-parameters-name
это имя, назначенное для целевых параметров.
Чтобы настроить свойства целевого параметра, включим следующие утверждения на [edit snmp v3 target-parameters target-parameter-name]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name] notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; }
При настройке уведомлений ловушки SNMP для политики безопасности серия MX маршрутизаторов необходимо настроить параметры следующим образом:
Модель обработки сообщений:
v3
Уровень безопасности:
privacy
Модель безопасности:
usm
Дополнительные сведения о настройке защищенных политик абонента см. в обзоре политики безопасности абонента.
Данная тема включает в себя следующие разделы:
Применение фильтра уведомлений ловушки
Для применения фильтра уведомлений ловушки включите утверждение notify-filter
на [edit snmp v3 target-parameters target-parameter-name]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name] notify-filter profile-name;
profile-name
это имя настроенного фильтра уведомления. Для получения сведений о настройке фильтров уведомлений см. "Настройка фильтра уведомлений ловушки".
Настройка целевых параметров
Чтобы настроить свойства целевого параметра, включим следующие утверждения на [edit snmp v3 target-parameters target-parameter-name parameters]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name parameters] message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name;
В данном разделе содержатся следующие темы:
- Настройка модели обработки сообщений
- Настройка модели безопасности
- Настройка уровня безопасности
- Настройка имени системы безопасности
Настройка модели обработки сообщений
Модель обработки сообщений определяет, какую версию SNMP использовать при генерации уведомлений SNMP. Чтобы настроить модель обработки сообщений, включите message-processing-model
утверждение на [edit snmp v3 target-parameters target-parameter-name parameters]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name parameters] message-processing-model (v1 | v2c | v3);
v1
— модель обработки сообщений SNMPv1v2c
- Модель обработки сообщений SNMPv2cv3
— Модель обработки сообщений SNMPV3
Модель обработки сообщений необходима для политики безопасности абонента на v3
серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.
Настройка модели безопасности
Чтобы определить модель безопасности, используемую при генерации уведомлений SNMP, включим утверждение security-model
на [edit snmp v3 target-parameters target-parameter-name parameters]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name parameters] security-model (usm | v1 | v2c);
usm
— модель безопасности SNMPv3v1
— модель безопасности SNMPv1v2c
— модель безопасности SNMPv2c
Эта usm
модель безопасности необходима для политики безопасности абонента на серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.
Настройка уровня безопасности
В этом сообщении указывается, аутентификация и шифрование ловушки перед security-level
ее отправлением.
Чтобы настроить уровень безопасности для использования при генерировании уведомлений SNMP, включите утверждение security-level
на [edit snmp v3 target-parameters target-parameter-name parameters]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name parameters] security-level (authentication | none | privacy);
authentication
-Обеспечивает аутентификацию, но не шифрование.none
— Без обеспечения безопасности. Не обеспечивает аутентификацию и шифрование.privacy
—Обеспечивает аутентификацию и шифрование.Прим.:При настройке модели безопасности SNMPv1 или SNMPV2c используйте
none
в качестве уровня безопасности. При настройке модели безопасности SNMPv3 (USM), используйтеauthentication
уровень безопасности или уровеньprivacy
безопасности.Уровень безопасности требуется для политики безопасности абонента
privacy
на серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.
Настройка имени системы безопасности
Чтобы настроить имя системы безопасности, используемую при генерировании уведомлений SNMP, включим утверждение на security-name
[edit snmp v3 target-parameters target-parameter-name parameters]
уровне иерархии:
[edit snmp v3 target-parameters target-parameter-name parameters] security-name security-name;
Если используется модель безопасности USM, она идентифицирует пользователя, который используется при security-name
генерировании уведомления. Если используются модели безопасности v1 или v2c, идентифицирует security-name
сообщество SNMP, используемого при генерировании уведомления.
Полномочия доступа для группы, связанной с именем системы безопасности, должны разрешить отправление этого уведомления.
При использовании моделей безопасности v1 или v2 имя системы безопасности на уровне иерархии должно соответствовать имени безопасности на [edit snmp v3 vacm security-to-group]
[edit snmp v3 snmp-community community-index]
уровне иерархии.
Настройка сообщений SNMP
Junos OS поддерживает два типа уведомлений: ловушки и информирует. В случае ловушек приемник не отправляет никакого подтверждения при его приеме. Таким образом, отправитель не может определить, было ли получено trap-сообщение. Ловушка может быть потеряна из-за проблемы во время передачи. Для повышения надежности информационное информирование подобно trap-сообщению, за исключением того, что информационное информирование сохраняется и ретранслется с регулярными интервалами до возникновения одного из этих условий:
Приемник (целевой) информации возвращает агенту SNMP подтверждение.
Было попрошено определенное число неудачных повторной передачи, и агент отбрасывается из этого сообщения.
Если отправитель не получит ответ, сообщение может быть отправлено еще раз. Таким образом, наиболее вероятно, что информирование достигнет пункта назначения, чем т.е. ловушки. Информирование использует тот же канал связи, что и ловушки (тот же самый socket и порт), но имеет разные типы блоков данных протокола (PDU).
Данные являются более надежными, чем ловушки, но они потребляют больше сети, маршрутизатора и ресурсов коммутатора Рис. 1 (см.). В отличие от trap-сообщений, информация удерживается в памяти до тех пор, пока не будет получен ответ или не будет достигнут срок действия. Ловушки посылаются только один раз, в то время как запросы на информирование могут повторяться несколько раз. Используйте уведомления, когда важно, чтобы менеджер SNMP получил все уведомления. Однако если вас больше беспокоит сетевой трафик, или память маршрутизатора и коммутатора, используйте ловушки.

Настройка типа уведомления и целевого адреса
Для настройки типа уведомления и целевой информации следует включить следующие утверждения на [edit snmp v3]
уровне иерархии:
[edit snmp v3] notify name { tag tag-name; type (trap | inform); } target-address target-address-name { address address; address-mask address-mask; logical-system logical-system; port port-number; retry-count number; routing-instance instance; tag-list tag-list; target-parameters target-parameters-name; timeout seconds; } target-parameters target-parameters-name { notify-filter profile-name; parameters { message-processing-model (v1 | v2c | v3); security-level (authentication | none | privacy); security-model (usm | v1 | v2c); security-name security-name; } }
notify name
это имя, назначенное уведомлению. Каждое имя уведомляемой записи должно быть уникальным.
tag tag-name
определяет адреса целевых объектов, через которые отправляется это уведомление. Уведомление отправляется на все целевые адреса, которые имеют эту метку в своем списке тегов. Уведомление tag-name
не включено. Для получения сведений о настройке списка тегов см. "Настройка целевого адреса ловушки".
type inform
тип уведомления.
target-address target-address-name
определяет адрес целевого адреса. Целевой адрес определяет адрес и параметры управляющей программы, которые используются для реагирования на запросы.
timeout seconds
– это время в секундах, в течение нескольких секунд, необходимое для подтверждения. Если в течение периода ожидания подтверждение не получено, информация ретранслирована. Время по умолчанию — 15
секунда.
retry-count number
– это максимальное количество раз передачи информации в случае, если подтверждение не получено. Значение по умолчанию 3
. Если после передачи информации подтверждение не получено, то это сообщение отбрасывается.
message-processing-model
определяет версию SNMP, используемую при генерировании уведомлений SNMP. Для информирования требуется v3
модель обработки сообщений.
security-model
определяет модель безопасности, используемую при генерировании уведомлений SNMP. Для информирования нужна usm
модель безопасности.
security-model
определяет модель безопасности, используемую при генерировании уведомлений SNMP. Для информирования нужна usm
модель безопасности.
security-level
определяет, аутентификация и шифрование запроса перед его отправлением. Для usm
модели безопасности уровень безопасности должен быть одним из следующих:
authentication
-Обеспечивает аутентификацию, но не шифрование.privacy
—Обеспечивает аутентификацию и шифрование.
security-name
определяет имя пользователя, используемую для генерации информации.
Примере: Настройка типа уведомления и целевого адреса
В следующем примере целевой адрес 172.17.20.184 настроен на реагирование на запросы. Время простоя информатора составляет 30 секунд, максимальное число повторной пересылки — 3. Информирование отправляется всем целевым объектам в списке tl1. Модель безопасности для удаленного пользователя – usm, а имя пользователя удаленного двигателя – u10.
[edit snmp v3] notify n1 { type inform; tag tl1; } notify-filter nf1 { oid .1.3 include; } target-address ta1 { address 172.17.20.184; retry-count 3; tag-list tl1; address-mask 255.255.255.0; target-parameters tp1; timeout 30; } target-parameters tp1 { parameters { message-processing-model v3; security-model usm; security-level privacy; security-name u10; } notify-filter nf1; }
Настройка удаленного и удаленного пользователя
Чтобы отправить inform messages пользователю SNMPv3 на удаленном устройстве, необходимо сначала указать идентификатор устройства для агента SNMP на удаленном устройстве, где находится пользователь. Удаленный код яда используется для вычисления дайджеста безопасности для аутентификации и шифрования пакетов, отправленных пользователю на удаленном хосте. При отправке inform message агент использует учетные данные пользователя, настроенного на удаленном механизме (inform target).
Чтобы настроить удаленный механизм и удаленного пользователя для получения и ответа на запросы SNMP, следует включить следующие утверждения на [edit snmp v3]
иерархическом уровне:
[edit snmp v3] usm { remote-engine engine-id { user username { authentication-md5 { authentication-key key; } authentication-none; authentication-sha { authentication-key key; } privacy-3des { privacy-key key; } privacy-aes128 { privacy-key key; } privacy-des { privacy-key key; } privacy-none; } } }
Для информации это идентификатор SNMP-агента на удаленном устройстве, remote-engine engine-id
где находится пользователь.
Для получения информации user username
пользователь на удаленном SNMP-механизме, который получает информацию.
Генерируемые данные могут быть (или, в зависимости от уровня безопасности пользователя SNMPv3), настроенного на удаленном механизме unauthenticated
authenticated
authenticated_and_encrypted
(информационном приемнике). Ключ аутентификации используется для генерации кода аутентификации сообщений (MAC). Ключ конфиденциальности используется для шифрования части сообщения inform PDU.
Примере: Настройка ID удаленного яда и удаленного пользователя
В этом примере показано, как настроить удаленный механизм и удаленного пользователя, чтобы можно было получать и реагировать на уведомления SNMP. Уведомления можно аутентификацией и шифрованием. Кроме того, они являются более надежными, чем ловушки — другой тип уведомлений, поддерживаемый Junos OS ловушками. В отличие от trap-уведомлений, уведомления сохраняются и повторно передается через определенные промежутки времени до возникновения одного из этих условий:
Целевой объект уведомления возвращает агенту SNMP подтверждение.
Было предпринято определенное число попыток неуспешной повторной передачи.
Требования
Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.
Для данной функции необходимо использовать простые пароли, действительные для SNMPv3. SNMPv3 предъявляет следующие особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:
Пароль должен иметь длину не менее восьми символов.
Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.
Хотя кавыки не всегда требуются для вложения паролей, лучше всего их использовать. Кавычка нужна, если пароль содержит пробелы или, возможно, в случае определенных специальных символов или знака препинания.
Обзор
Для повышения надежности в SNMPv3 поддерживаются inform notifications. Например, агент SNMP, получающие inform notification, подтверждает получение.
Для получения уведомлений идентификатор удаленного устройства идентифицирует агент SNMP на удаленном устройстве, в котором находится пользователь, и имя пользователя на удаленном устройстве SNMP, которое получает уведомления.
Рассмотрим сценарий, в котором имеются значения, которые используются при настройке идентификации удаленного яда и удаленного пользователя Табл. 1 в этом примере.
Имя переменной |
Значение |
---|---|
Пользователя |
u10 |
ID удаленного яда |
800007E5804089071BC6D10A41 |
тип аутентификации |
authentication-md5 |
аутентификация пароля |
qol67R%? |
тип шифрования |
privacy-des |
пароль конфиденциальности |
m*72Jl9v |
Конфигурации
- интерфейс командной строки быстрой конфигурации
- Настройка удаленного и удаленного пользователя
- Результаты
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды и введите их в текстовый файл, удалите все разрывы строки и измените все данные, необходимые для настройки сети, скопируйте и введите эти команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit snmp v3]
commit
конфигурации.
set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-key "qol67R%?" set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-key "m*72Jl9v"
Настройка удаленного и удаленного пользователя
Пошаговая процедура
В следующем примере иерархия конфигурации требует переходить к различным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.
Для настройки идентификации удаленного яда и удаленного пользователя:
Настройте удаленный код, имя пользователя и тип аутентификации и пароль.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 authentication-md5 authentication-key "qol67R%?"
Настройте тип шифрования и пароль конфиденциальности.
Можно настроить только один тип шифрования для каждого пользователя SNMPv3.
[edit snmp v3] user@host# set usm remote-engine 800007E5804089071BC6D10A41 user u10 privacy-des privacy-key "m*72Jl9v"
Результаты
В режиме конфигурации подтвердите конфигурацию путем ввода show
команды. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit snmp v3] user@ host# show usm { remote-engine 800007E5804089071BC6D10A41 { user u10 { authentication-md5 { authentication-key "$9$Tz/teK8NdsLXk.f5n6p0ORev"; ## SECRET-DATA } privacy-des { privacy-key "$9$/gyNCu1KvWdwYMWw2gJHkRhcrWx"; ## SECRET-DATA } } } }
После подтверждения правильности конфигурации войдите commit
в режим настройки.
Проверки
Проверка конфигурации удаленного ID и имени пользователя
Цель
Проверьте состояние ID яда и пользовательские данные.
Действий
Отображение информации об ID и пользователе Яда SNMPv3.
user@host> show snmp v3 Local engine ID: 80 00 0a 4c 01 0a ff 03 e3 Engine boots: 3 Engine time: 769187 seconds Max msg size: 65507 bytes Engine ID: 80 00 07 e5 80 40 89 07 1b c6 d1 0a 41 User Auth/Priv Storage Status u10 md5/des nonvolatile active
Смысл
В выходных данных отображается следующая информация:
Локальный ID и подробная информация об этом механизме
Удаленный ID
Engine ID
(помечен)Пользователя
Тип аутентификации и шифрования (конфиденциальности), настроенный для пользователя
Тип хранилища для имени пользователя, неволелого (сохраненная конфигурация) или не сохраненного (не сохраненного)
состояние нового пользователя; только пользователи с активным состоянием могут использовать SNMPv3
Настройка локального engine ID
По умолчанию локальный engine ID использует IP-адрес маршрутизатора по умолчанию. Идентификатор локального яда является административно уникальным идентификатором для ЯмА SNMPv3. Это утверждение необязательно. Чтобы настроить локальный engine ID, включите утверждение engine-id
на [edit snmp]
уровне иерархии:
[edit snmp] engine-id { (local engine-id-suffix | use-default-ip-address | use-mac-address); }
local engine-id-suffix
— Суффикс ID ядра явно конфигурирован.use-default-ip-address
— Суффикс ID ядра генерируется из IP-адреса по умолчанию.use-mac-address
— Идентификатор яда SNMP генерируется с адреса управляющих интерфейсов маршрутизатора: Media Access Control (MAC) маршрутизатора.
Если используется SNMPv3 и если ID MAC-адрес ядер основан на версии MAC-адрес и вы модернизировали более ранние выпуски до одной из этих версий (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), необходимо перенастроить SNMPv3, так как при обновлении ID 17.1R2. Если не перенастроить SNMPv3, то при опросе SNMPv3 будет отображена ошибка аутентификации, так как ID ядер был изменен после обновления. После первого такого обновления потребуется перенастроить SNMPv3. Если после этого обновление с одного из упомянутых выпусков будет обновлено до одного из этих выпусков, то повторного обновления SNMPv3 не будет.
Для перенастройки SNMPv3 используйте следующую процедуру. Не используйте rollback 1
эту команду.
Для перенастройки SNMPv3:
Идентификатор локального яда определяется как административно уникальный идентификатор SNMPv3 engine и используется для идентификации, а не для адресов. Существует две части ID яда: префикс и суффикс. Префикс отформатирован в соответствии со спецификациями, определенными в RFC 3411 ,Архитектура для описания простых протоколов управления сетью (SNMP) Управленческих структур. Суффикс можно настроить здесь.
Аутентификация SNMPv3 и ключи шифрования создаются на основе связанных паролей и идентификации яда. При настройке или изменении ID для Яма необходимо сфиксировать ID нового яда перед настройкой пользователей SNMPv3. В противном случае ключи, созданные с помощью настроенных паролей, основаны на предыдущем ID яда. Для ID устройства рекомендуется использовать первичный IP-адрес устройства, если в устройстве установлено несколько я устройств маршрутов и первичный IP-адрес настроен. Кроме того, можно использовать MAC-адрес порта управления, если устройство имеет только один модуль маршрутизации.
Настройка сообщества SNMPv3
Сообщество SNMP определяет взаимосвязь между серверной системой SNMP и клиентской системой. Это утверждение необязательно.
Чтобы настроить сообщество SNMP, включив в него утверждение snmp-community
на [edit snmp v3]
уровне иерархии:
[edit snmp v3] snmp-community community-index;
community-index
является индексом для сообщества SNMP.
Чтобы настроить свойства сообщества SNMP, включим следующие утверждения на [edit snmp v3 snmp-community community-index]
уровне иерархии:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
В данном разделе содержатся следующие темы:
Настройка имени сообщества
Имя сообщества определяет сообщество SNMP. Сообщество SNMP авторизирует клиентов SNMPv1 или SNMPv2c. Привилегии доступа, связанные с настроенным именем безопасности, определяют доступные MIB объекты и операции (чтение, написание или уведомление) разрешены на этих объектах.
Чтобы настроить имя сообщества SNMP, включив в него утверждение community-name
на [edit snmp v3 snmp-community community-index]
уровне иерархии:
[edit snmp v3 snmp-community community-index] community-name community-name;
community-name
является строкой сообщества для сообщества SNMPv1 или SNMPv2c.
Если она ненастроена, она такая же, как индекс сообщества.
Если имя сообщества содержит пробелы, завеждая его в кавычках ( «).
Имена сообществ должны быть уникальными. Нельзя настроить одно и то же имя сообщества на уровне [edit snmp community]
[edit snmp v3 snmp-community community-index]
иерархии и на уровне иерархии. Настроенное имя сообщества на уровне [edit snmp v3 snmp-community community-index]
иерархии зашифровано. Имя сообщества нельзя будет увидеть после того, как оно настроено и внося изменения. В интерфейс командной строки (интерфейс командной строки) имя сообщества скрыто.
Настройка контекста
Контекст SNMP определяет набор управляющей информации, доступной объекту SNMP. Обычно объект SNMP имеет доступ к нескольким контекстам. Контекст может быть физической или логической системой, набором нескольких систем или даже подмножеством системы. Каждый контекст в управляющем домене имеет уникальный идентификатор.
Чтобы настроить контекст SNMP, включив в него утверждение context context-name
уровня [edit snmp v3 snmp-community community-index]
иерархии:
[edit snmp v3 snmp-community community-index] context context-name;
Запрос экземпляра маршрутов или логической системы,
Настройка имен безопасности
Чтобы назначить строку сообщества имени безопасности, включите утверждение security-name
на [edit snmp v3 snmp-community community-index]
уровне иерархии:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name
используется при настройках управления доступом. Конфигурация security-to-group
на [edit snmp v3 vacm]
иерархической уровне идентифицирует группу.
Имя безопасности должно совпадать с именем безопасности, настроенным на уровне иерархии [edit snmp v3 target-parameters target-parameters-name parameters]
при настройке trap-ловушек.
Настройка тега
Для настройки тега включите tag
утверждение [edit snmp v3 snmp-community community-index]
иерархической структуры:
[edit snmp v3 snmp-community community-index] tag tag-name;
tag-name
определяет адрес администраторов, которые могут использовать строку сообщества.
Примере: Настройка сообщества SNMPv3
В данном примере показано, как настроить сообщество SNMPv3.
Требования
Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.
Обзор
В этом примере показано, как создать сообщество SNMPv3. Определите имя сообщества SNMP, укажите имя безопасности для выполнения контроля доступа, а также определите имя тега, которое идентифицирует адрес менеджеров, которым разрешено использовать строку сообщества. Целевой адрес определяет адрес и параметры управляющей программы, используемые при отправке уведомлений.
Когда устройство получает пакет с распознаемой строкой сообщества и меткой, связанной с этим пакетом, программное обеспечение Junos ищет все целевые адреса с помощью этой метки и проверяет, совпадает ли исходный адрес этого пакета с одним из настроенных целевых адресов.
Укажите место, куда следует отправить ловушки, и определите допустимые пакеты SNMPv1 и SNMPv2c. Укажите имя целевого адреса, которое идентифицирует целевой адрес, определите целевой адрес, диапазон масок адреса, номер порта, список меток и параметр целевого адреса.
Конфигурации
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit snmp v3]
commit
конфигурации.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Процедуры
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.
Настройте имя сообщества SNMP.
[edit snmp v3] user@host# set snmp-community index1 community-name "public"
Прим.:Имя сообщества SNMP должно быть уникальным.
Настройте имя системы безопасности для выполнения контроля доступа.
[edit snmp v3] user@host# set snmp-community index1 security-name john
Определите имя метки. Имя метки определяет адрес менеджеров, которые имеют право использовать строку сообщества.
[edit snmp v3] user@host# set snmp-community index1 tag router1
Настройте целевой адрес SNMP.
[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Настройте диапазон маски адреса для управления доступом со строкой сообщества.
[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Настройте номер конечного порта SNMPv3.
[edit snmp v3] user@host#set target-address ta1 port 162
Настройте список тегов SNMPv3 для выбора целевых адресов.
[edit snmp v3] user@host#set target-address ta1 tag-list router1
Настройте имя целевого параметра SNMPv3 в таблице параметров целевого параметра.
[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show snmp v3
команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции по конфигурации, показанные в этом примере.
[edit] user@host# show snmp v3 target-address ta1 { address 10.1.1.1; port 162; tag-list router1; address-mask 255.255.255.0; target-parameters tp1; } snmp-community index1 { community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA security-name john; tag router1; }
Проверки
Проверка сообщества SNMPv3
Цель
Проверьте, включено ли сообщество SNMPv3.
Действий
Чтобы проверить конфигурацию сообщества SNMPv3, введите show snmp v3 community
команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Смысл
Выходные данные показывают сведения о сообществе SNMPv3, включенном в системе.