Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Настройка SNMPv3

Минимальная конфигурация SNMPv3 на устройстве, на Junos OS

Для настройки минимальных требований для SNMPv3 следует включить следующие утверждения на уровне и [edit snmp v3][edit snmp] иерархии:

Прим.:

Необходимо настроить по крайней мере один вид (оповещать, читать или записывать) на [edit snmp view-name] уровне иерархии.

Примере: Конфигурация SNMPv3

Определение конфигурации SNMPv3:

Создание пользователей SNMPv3

Для каждого пользователя SNMPv3 можно указать имя пользователя, тип аутентификации, пароль аутентификации, тип конфиденциальности и пароль конфиденциальности. После ввода пользователем пароля генерируется ключ, основанный на коде и пароле я могу ее сгенерирована и записана в файле конфигурации. После генерации ключа пароль удаляется из этого файла конфигурации.

Прим.:

Каждый пользователь SNMPv3 может настроить только один тип шифрования.

Чтобы создать пользователей, включив user в него утверждение [edit snmp v3 usm local-engine] иерархии:

username это имя, которое идентифицирует пользователя SNMPv3.

Чтобы настроить аутентификацию пользователя и шифрование, включим следующие утверждения на [edit snmp v3 usm local-engine user username] уровне иерархии:

Примере: Создание пользователей SNMPv3

Определение пользователей SNMPv3:

Настройка типа аутентификации SNMPv3

По умолчанию в конфигурации Junos OS для типа аутентификации SNMPv3 установлено значение none.

Данная тема включает в себя следующие разделы:

Настройка аутентификации MD5

Чтобы настроить алгоритм дайджеста сообщений (MD5) в качестве типа аутентификации для пользователя SNMPv3, введите утверждение на authentication-md5[edit snmp v3 usm local-engine user username] уровне иерархии:

authentication-password – пароль, используемый для генерации ключа, используемго для аутентификации.

SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Настройка аутентификации SHA

Чтобы настроить безопасный алгоритм hash (SHA) в качестве типа аутентификации для пользователя SNMPv3, включите утверждение на authentication-sha[edit snmp v3 usm local-engine user username] уровне иерархии:

authentication-password – пароль, используемый для генерации ключа, используемго для аутентификации.

SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Настройка без аутентификации

Чтобы настроить аутентификацию для пользователя SNMPv3, необходимо включить утверждение authentication-none на [edit snmp v3 usm local-engine user username] уровне иерархии:

Настройка типа шифрования SNMPv3

По умолчанию шифрование настроено на none.

Прим.:

Перед настройкой шифрования необходимо настроить аутентификацию MD5 или SHA.

Данная тема включает в себя следующие разделы:

Настройка стандартного алгоритма усовершенствования шифрования

Для настройки алгоритма Advanced Encryption Standard (AES) для пользователя SNMPv3 включите утверждение на privacy-aes128[edit snmp v3 usm local-engine user username] уровне иерархии:

privacy-password – пароль, используемый для генерации ключа, используемго для шифрования.

SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Настройка алгоритма шифрования данных

Чтобы настроить алгоритм шифрования данных (DES) для пользователя SNMPv3, включите в него утверждение на privacy-des[edit snmp v3 usm local-engine user username] уровне иерархии:

privacy-password – пароль, используемый для генерации ключа, используемго для шифрования.

SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Настройка тройного DES

Чтобы настроить тройной DES для пользователя SNMPv3, включите утверждение privacy-3des на [edit snmp v3 usm local-engine user username] уровне иерархии:

privacy-password – пароль, используемый для генерации ключа, используемго для шифрования.

SNMPv3 предъявляет особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Настройка no encryption

Чтобы настроить шифрование для пользователя SNMPv3, необходимо включить утверждение privacy-none на [edit snmp v3 usm local-engine user username] уровне иерархии:

Определение привилегий доступа для группы SNMP

SNMP версии 3 (SNMPv3) использует модель контроля доступа на основе представления (VACM), которая позволяет настраивать привилегии доступа, предоставленные группе. Доступ контролируется посредством фильтрации MIB объектов, доступных для конкретной операции с помощью предварительно определенного представления. Необходимо назначить виды для определения объектов, которые видны для чтения, записи и уведомления операций для конкретной группы с использованием определенного контекста, конкретной модели безопасности (v1, v2c или usm) и конкретного уровня безопасности (аутентификации, конфиденциальности или нет). Для получения сведений о настройке точки зрения см. "Настройка MIB просмотра".

Доступ пользователей к управляющей информации определяется на [edit snmp v3 vacm] уровне иерархии. Весь контроль доступа в VACM действует на группах, которые являются наборами пользователей в режиме, определенном USM, или строками сообщества, как определено в моделях безопасности SNMPv1 и SNMPv2c. Термин security-name отсылает к этим обобщенным конечным пользователям. Группа, которой принадлежит определенное имя системы безопасности, настроена на [edit snmp v3 vacm security-to-group] уровне иерархии. Это имя безопасности может быть связано с группой, определенной на [edit snmp v3 vacm security-to-group] уровне иерархии. Группа идентифицирует набор пользователей SNMP, которые совместно имеют ту же политику доступа. Затем определяются привилегии доступа, связанные с группой на [edit snmp v3 vacm access] уровне иерархии. Привилегии доступа определяются с помощью представлений. Для каждой группы можно применить разные виды в зависимости от функционирования SNMP; например, читать ( или) записывать ( или) уведомления, уровень безопасности, используемый (аутентификация, конфиденциальность или нет) и модель безопасности getgetNextgetBulkset (v1, v2c или usm), используемая в запросе SNMP.

Члены группы настраиваются с помощью security-name утверждения. Для пакетов v3, использующих USM, имя системы безопасности такое же, как и имя пользователя. Для пакетов SNMPv1 или SNMPv2c имя безопасности определяется на основе строки сообщества. Имена безопасности являются специфическими для модели безопасности. Если также настраиваются политики доступа VACM для пакетов SNMPv1 или SNMPv2c, необходимо назначить имена безопасности группам для каждой модели безопасности (SNMPv1 или SNMPv2c) на уровне [edit snmp v3 vacm security-to-group] иерархии. Также необходимо связать имя системы безопасности с сообществом SNMP на [edit snmp v3 snmp-community community-index] уровне иерархии.

Для настройки привилегий доступа для группы SNMP, включаем в него утверждения уровня [edit snmp v3 vacm] иерархии:

Настройка привилегий доступа, предоставленных группе

Данная тема включает в себя следующие разделы:

Настройка группы

Для настройки привилегий доступа, предоставленных группе, включаем утверждение group на [edit snmp v3 vacm access] уровне иерархии:

group-name это набор пользователей SNMP, которые принадлежат к общему списку SNMP, определяя политику доступа. Пользователи, принадлежащие к определенной группе SNMP, наследуют все привилегии доступа, предоставленные этой группе.

Настройка модели безопасности

Чтобы настроить модель безопасности, включим в нее утверждение security-model уровня [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] иерархии:

  • any— Любая модель безопасности

  • usm— модель безопасности SNMPv3

  • v1— модель безопасности SNMPV1

  • v2c— модель безопасности SNMPv2c

Настройка уровня безопасности

Чтобы настроить привилегии доступа, предоставленные пакетам с определенным уровнем безопасности, включим в него утверждение security-level на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] уровне иерархии:

  • none- Не обеспечивает аутентификацию и шифрование.

  • authentication-Обеспечивает аутентификацию, но не шифрование.

  • privacy—Обеспечивает аутентификацию и шифрование.

    Прим.:

    Привилегии доступа предоставлены всем пакетам с уровнем безопасности, равным или выше настроенного. При настройке модели безопасности SNMPv1 или SNMPv2c используйте none в качестве уровня безопасности. При настройке модели безопасности SNMPv3 (USM), используйте authentication либо none уровень privacy безопасности.

Связывание MIB с группой пользователей SNMP

MIB мнениями определяются привилегии доступа для членов группы. Для каждой операции SNMP (чтение, написание и уведомление) в каждой модели безопасности (usm, v1 и v2c) и каждого уровня безопасности (аутентификация, нет и конфиденциальность), поддерживаемых SNMP, могут применяться раздельные мнения.

Чтобы связать MIB с группой пользователей SNMP, следует включить следующие утверждения на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] уровне иерархии:

Прим.:

Необходимо связать как минимум одно представление (оповещать, читать или записывать) на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] уровне иерархии.

Необходимо настроить вид MIB на уровне [edit snmp view view-name] иерархии. Для получения сведений о настройке MIB просмотров см. "Настройка MIB просмотра".

В этом разделе описываются следующие темы, относящиеся к данной конфигурации:

Настройка уведомления о представлении

Чтобы ассоциировать уведомление о доступе с группой пользователей SNMP, включите утверждение notify-view на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] уровне иерархии:

view-name определяет доступ с уведомлением, который является списком уведомлений, которые могут быть переданы каждому пользователю в группе SNMP. Имя представления не может превышать 32 символов.

Настройка представления чтения

Чтобы ассоциировать просмотр с группой SNMP, включив в него утверждение read-view на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] уровне иерархии:

view-name определяет доступ для чтения для группы пользователей SNMP. Имя представления не может превышать 32 символов.

Настройка представления записи

Чтобы связать вид записи с группой пользователей SNMP, включив в него утверждение write-view на [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] уровне иерархии:

view-name определяет доступ для записи для группы пользователей SNMP. Имя представления не может превышать 32 символов.

Примере: Настройка привилегий доступа, предоставленных группе

Определение привилегий доступа:

Назначение модели безопасности и имени безопасности группе

Чтобы присвоить имена безопасности группам, включите следующие утверждения на [edit snmp v3 vacm security-to-group] уровне иерархии:

Данная тема включает в себя следующие разделы:

Настройка модели безопасности

Чтобы настроить модель безопасности, включим в нее утверждение security-model уровня [edit snmp v3 vacm security-to-group] иерархии:

  • usm— модель безопасности SNMPv3

  • v1— модель безопасности SNMPv1

  • v2c— модель безопасности SNMPv2

Назначение имен безопасности группам

Чтобы ассоциировать имя системы безопасности с пользователем SNMPv3 или строкой сообщества v1 или v2, включите утверждение на security-name[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] уровне иерархии:

Для SNMPv3 security-name это имя пользователя, настроенном на [edit snmp v3 usm local-engine user username] уровне иерархии. Для SNMPv1 и SNMPv2c имя системы безопасности — это строка сообщества, настроенная на [edit snmp v3 snmp-community community-index] уровне иерархии. Для получения сведений о настройке имен пользователей см. "Создание пользователей SNMPv3". Для получения сведений о настройке строки сообщества см. "Настройка сообщества SNMPv3".

Прим.:

Имя безопасности USM отделено от имени безопасности SNMPv1 и SNMPv2c. Если помимо SNMPv3 поддерживаются SNMPv1 и SNMPv2c, необходимо настроить отдельные имена безопасности в рамках конфигурации "безопасность в группу" на уровне [edit snmp v3 vacm access] иерархии.

Настройка группы

После создания пользователей SNMPv3, имен безопасности v1 или v2, они связываются с группой. Группа – это набор имен безопасности, относящаяся к определенной модели безопасности. Группа определяет права доступа для всех пользователей, принадлежащих к ней. Права доступа определяют, какие объекты SNMP могут быть считаны, записаны или созданы. Группа определяет также, какие уведомления может получать пользователь.

Если у вас уже имеется группа, настроенная со всеми разрешениями доступа и представлением, которые необходимо предоставить пользователю, можно добавить пользователя в эту группу. Если необходимо предоставить пользователю представление и разрешения доступа, которые не имеют других групп или если у вас нет настроенных групп, создайте группу и добавьте в нее пользователя.

Для настройки привилегий доступа, предоставленных группе, включаем утверждение group на [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] уровне иерархии:

group-name определяет набор имен безопасности SNMP с одной и той же политикой доступа. Дополнительные сведения о группах см. в "Определение привилегий доступа для группы SNMP".

Примере: Конфигурация группы безопасности

Назначьте имена безопасности группам:

Настройка ловушек SNMPv3 на устройстве, на Junos OS

В SNMPv3 создаются ловушки и информирования путем настройки notify параметров и их target-addresstarget-parameters параметров. Ловушки – это неподтвержденные уведомления, в то время как уведомления – подтвержденные. В данном разделе описана настройка ловушек SNMP. Для получения сведений о настройке SNMP см. "Настройка информационных сообщений SNMP".

Целевой адрес определяет адрес и параметры управляющей программы, которые будут использоваться при отправке уведомлений. Целевые параметры определяют параметры обработки сообщений и безопасности, используемые при отправке уведомлений определенной цели управления. SNMPv3 также позволяет определять ловушки SNMPv1 и SNMPv2c.

Прим.:

При настройке trap-ловушек SNMP убедитесь, что настроенные привилегии доступа позволяют отослать ловушки. Привилегии доступа настраиваются на уровне [edit snmp v3 vacm access][edit snmp v3 vacm security-to-group] иерархии и на уровне иерархии.

Для настройки trap-сообщений SNMP, включаем следующие утверждения на [edit snmp v3] уровне иерархии:

Настройка уведомления ловушки SNMPv3

Утверждение notify указывает тип уведомления (trap) и содержит одну метку. Метка определяет набор целевых адресов для получения trap-адреса. Список тегов содержит одну или несколько меток и настроен на [edit snmp v3 target-address target-address-name] уровне иерархии. Если список тегов содержит этот тег, Junos OS всем адресам целевых объектов, связанным с этим тегом.

Для настройки уведомлений ловушки включите notify утверждение на уровне [edit snmp v3] иерархии:

name это имя, назначенное уведомлению.

tag-name определяет адреса целевых объектов, на которые отправляется это уведомление. Это уведомление отправляется всем адресам целевых адресов, которые имеют эту метку в их списке тегов. Уведомление tag-name не включено.

trap тип уведомления.

Прим.:

Каждое имя уведомляемой записи должно быть уникальным.

Junos OS поддерживает два типа уведомлений: trap и inform .

Для получения сведений о настройке списка тегов см. "Настройка целевого адреса ловушки".

Примере: Настройка уведомлений ловушки SNMPv3

Укажите три набора мест назначения для отправки ловушек:

Настройка фильтра уведомлений ловушки

SNMPv3 использует фильтр-оповещает, чтобы определить, какие ловушки (или какие объекты, из которых были ловушки) отправляются в систему управления сетью (NMS). Фильтр уведомлений ловушки ограничивает тип trap-сообщений, которые отправляются на NMS.

Каждый идентификатор объекта представляет подсеть иерархии MIB объектов. Подtree может быть представлен либо последовательностью точечно-разных точек (например, 1.3.6.1.2.2) или его именем подtree interfaces (например). Для указания идентификаторов объектов, которые соответствуют определенному шаблону, можно также использовать символ под шаблона звездочки (*) в идентификаторе объекта (OID).

Для настройки фильтра уведомлений ловушки включите утверждение notify-filter на [edit snmp v3] уровне иерархии:

profile-name это имя, назначенное фильтру-оповещать.

По умолчанию OID установлен в значение include . Чтобы определить доступ к ловушкам (или объектам из trap-сообщений), включим утверждение oid на [edit snmp v3 notify-filter profile-name] уровне иерархии:

oid является идентификатором объекта. Все MIB объекты, представленные этим утверждением, имеют указанный OID в качестве префикса. Он может быть задан либо последовательностью точек вмещений, либо именем подtree.

  • include-Включите подtree MIB объектов, представленных указанным OID.

  • exclude- Исключите подtree всех MIB объектов, представленных указанным OID.

Настройка целевого адреса ловушки

Целевой адрес определяет адрес и параметры управляющей программы, используемые при отправке уведомлений. Она также позволяет определить станции управления, на которые разрешено использовать определенную строку сообщества. При приеме пакета с распознаемой строкой сообщества и связанной с ней меткой, Junos OS ищет все целевые адреса с помощью этой метки и проверяет, совпадает ли адрес источника этого пакета с одним из настроенных целевых адресов.

Прим.:

При настройке сообщества SNMP необходимо настроить маску адреса.

Чтобы указать место, куда следует отправить ловушки и определить допустимые пакеты SNMPv1 и SNMPv2cc, включив в себя утверждение на target-address[edit snmp v3] уровне иерархии:

target-address-name – строка, определяемая адрес целевого адреса.

Чтобы настроить свойства целевого адреса, включим в себя следующие утверждения на [edit snmp v3 target-address target-address-name] уровне иерархии:

В отличие от SNMP v2, в SNMPv3 нет параметра настройки для ограничения входящие опросы. Однако можно настроить фильтр lo0 для ограничения входящие опросы, создав правило разрешить SNMP из IPs системы мониторинга. Например:

Настройка адреса

Чтобы настроить адрес, включив в него утверждение address уровня [edit snmp v3 target-address target-address-name] иерархии:

address является целевым адресом SNMP.

Настройка маски адреса

Маска адреса определяет набор адресов, разрешенных для использования строки сообщества, и проверяет адреса источника для группы целевых адресов.

Чтобы настроить маску адреса, включим в нее утверждение address-mask уровня [edit snmp v3 target-address target-address-name] иерархии:

address-mask в совокупности с адресом определяет диапазон адресов. Для получения сведений о настройке строки сообщества см. "Настройка сообщества SNMPv3".

Настройка порта

По умолчанию для порта UDP установлено значение 162. Чтобы настроить другой номер порта, включив в него утверждение port уровня [edit snmp v3 target-address target-address-name] иерархии:

port-number является номером целевого порта SNMP.

Настройка экземпляра маршрутов

Ловушки отправляются через экземпляр маршрутов по умолчанию. Чтобы настроить экземпляр маршрутов для отправки trap-сообщений, включите утверждение routing-instance на [edit snmp v3 target-address target-address-name] уровне иерархии:

instance – имя экземпляра маршрутов. Для настройки экземпляра маршрутов в пределах логической системы укажите логическое имя системы, за которым следует имя экземпляра маршрутов. Использование косой черты / (например, для разлики двух test-lr/test-ri имен). Для настройки экземпляра маршрутов по умолчанию в логической системе укажите логическое имя системы, за которым следует default (например, test-lr/default ).

Настройка целевого адреса ловушки

Для target-address каждого утверждения в списке тегов может быть настроено как одна, так и несколько меток. Каждая метка может отображаться в более чем одном списке тегов. При важном событии на сетевом устройстве список тегов определяет целевые объекты, на которые отправляется уведомление.

Чтобы настроить список тегов, включите tag-list утверждение на [edit snmp v3 target-address target-address-name] уровне иерархии:

tag-list определяет одну или несколько меток в качестве списка с разделенным пространством списка, заключенного в двойные кавычках.

Пример конфигурации списка тегов см. в примере: Настройка списка тегов.

Информацию о том, как указать метку на иерархии, см. в "Настройка уведомления ловушки [edit snmp v3 notify notify-name]SNMPv3".

Прим.:

При настройке trap-ловушек SNMP убедитесь, что настроенные привилегии доступа позволяют отослать ловушки. Настройте привилегии доступа на уровне [edit snmp v3 vacm access] иерархии.

Применение целевых параметров

Утверждение на уровне иерархии применяет целевые параметры, target-parameters[edit snmp v3] настроенные на уровне [edit snmp v3 target-parameters target-parameters-name] иерархии.

Чтобы со ссылкой на настроенные целевые параметры, включим утверждение target-parameters на [edit snmp v3 target-address target-address-name] уровне иерархии:

target-parameters-name это имя, связанное с параметрами обработки сообщений и безопасности, которые используются при отправке уведомлений определенной цели управления.

Примере: Настройка списка тегов

В следующем примере две записи тега router1router2 (и) определены на уровне [edit snmp v3 notify notify-name] иерархии. Если событие инициирует уведомление, Junos OS trap-сообщение на все целевые адреса, которые имеют или настроены в списке меток router1router2 целевого адреса. Это приводит к том, что первые два целевых объектам получают по одной ловушке каждый, а третья цель получает две ловушки.

Определение и настройка параметров целевого ловушки

Целевые параметры определяют параметры обработки сообщений и безопасности, используемые при отправке уведомлений определенной цели управления.

Чтобы определить набор целевых параметров, включим в себя утверждение target-parameters на [edit snmp v3] уровне иерархии:

target-parameters-name это имя, назначенное для целевых параметров.

Чтобы настроить свойства целевого параметра, включим следующие утверждения на [edit snmp v3 target-parameters target-parameter-name] уровне иерархии:

Прим.:

При настройке уведомлений ловушки SNMP для политики безопасности серия MX маршрутизаторов необходимо настроить параметры следующим образом:

  • Модель обработки сообщений: v3

  • Уровень безопасности: privacy

  • Модель безопасности: usm

Дополнительные сведения о настройке защищенных политик абонента см. в обзоре политики безопасности абонента.

Данная тема включает в себя следующие разделы:

Применение фильтра уведомлений ловушки

Для применения фильтра уведомлений ловушки включите утверждение notify-filter на [edit snmp v3 target-parameters target-parameter-name] уровне иерархии:

profile-name это имя настроенного фильтра уведомления. Для получения сведений о настройке фильтров уведомлений см. "Настройка фильтра уведомлений ловушки".

Настройка целевых параметров

Чтобы настроить свойства целевого параметра, включим следующие утверждения на [edit snmp v3 target-parameters target-parameter-name parameters] уровне иерархии:

В данном разделе содержатся следующие темы:

Настройка модели обработки сообщений

Модель обработки сообщений определяет, какую версию SNMP использовать при генерации уведомлений SNMP. Чтобы настроить модель обработки сообщений, включите message-processing-model утверждение на [edit snmp v3 target-parameters target-parameter-name parameters] уровне иерархии:

  • v1— модель обработки сообщений SNMPv1

  • v2c- Модель обработки сообщений SNMPv2c

  • v3— Модель обработки сообщений SNMPV3

Прим.:

Модель обработки сообщений необходима для политики безопасности абонента на v3 серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.

Настройка модели безопасности

Чтобы определить модель безопасности, используемую при генерации уведомлений SNMP, включим утверждение security-model на [edit snmp v3 target-parameters target-parameter-name parameters] уровне иерархии:

  • usm— модель безопасности SNMPv3

  • v1— модель безопасности SNMPv1

  • v2c— модель безопасности SNMPv2c

Прим.:

Эта usm модель безопасности необходима для политики безопасности абонента на серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.

Настройка уровня безопасности

В этом сообщении указывается, аутентификация и шифрование ловушки перед security-level ее отправлением.

Чтобы настроить уровень безопасности для использования при генерировании уведомлений SNMP, включите утверждение security-level на [edit snmp v3 target-parameters target-parameter-name parameters] уровне иерархии:

  • authentication-Обеспечивает аутентификацию, но не шифрование.

  • none— Без обеспечения безопасности. Не обеспечивает аутентификацию и шифрование.

  • privacy—Обеспечивает аутентификацию и шифрование.

    Прим.:

    При настройке модели безопасности SNMPv1 или SNMPV2c используйте none в качестве уровня безопасности. При настройке модели безопасности SNMPv3 (USM), используйте authentication уровень безопасности или уровень privacy безопасности.

    Уровень безопасности требуется для политики безопасности абонента privacy на серия MX маршрутизаторах. Дополнительные сведения см. в обзоре политики безопасности абонента.

Настройка имени системы безопасности

Чтобы настроить имя системы безопасности, используемую при генерировании уведомлений SNMP, включим утверждение на security-name[edit snmp v3 target-parameters target-parameter-name parameters] уровне иерархии:

Если используется модель безопасности USM, она идентифицирует пользователя, который используется при security-name генерировании уведомления. Если используются модели безопасности v1 или v2c, идентифицирует security-name сообщество SNMP, используемого при генерировании уведомления.

Прим.:

Полномочия доступа для группы, связанной с именем системы безопасности, должны разрешить отправление этого уведомления.

При использовании моделей безопасности v1 или v2 имя системы безопасности на уровне иерархии должно соответствовать имени безопасности на [edit snmp v3 vacm security-to-group][edit snmp v3 snmp-community community-index] уровне иерархии.

Настройка сообщений SNMP

Junos OS поддерживает два типа уведомлений: ловушки и информирует. В случае ловушек приемник не отправляет никакого подтверждения при его приеме. Таким образом, отправитель не может определить, было ли получено trap-сообщение. Ловушка может быть потеряна из-за проблемы во время передачи. Для повышения надежности информационное информирование подобно trap-сообщению, за исключением того, что информационное информирование сохраняется и ретранслется с регулярными интервалами до возникновения одного из этих условий:

  • Приемник (целевой) информации возвращает агенту SNMP подтверждение.

  • Было попрошено определенное число неудачных повторной передачи, и агент отбрасывается из этого сообщения.

Если отправитель не получит ответ, сообщение может быть отправлено еще раз. Таким образом, наиболее вероятно, что информирование достигнет пункта назначения, чем т.е. ловушки. Информирование использует тот же канал связи, что и ловушки (тот же самый socket и порт), но имеет разные типы блоков данных протокола (PDU).

Данные являются более надежными, чем ловушки, но они потребляют больше сети, маршрутизатора и ресурсов коммутатора Рис. 1 (см.). В отличие от trap-сообщений, информация удерживается в памяти до тех пор, пока не будет получен ответ или не будет достигнут срок действия. Ловушки посылаются только один раз, в то время как запросы на информирование могут повторяться несколько раз. Используйте уведомления, когда важно, чтобы менеджер SNMP получил все уведомления. Однако если вас больше беспокоит сетевой трафик, или память маршрутизатора и коммутатора, используйте ловушки.

Рис. 1: Inform Request and ResponseInform Request and Response

Настройка типа уведомления и целевого адреса

Для настройки типа уведомления и целевой информации следует включить следующие утверждения на [edit snmp v3] уровне иерархии:

notify name это имя, назначенное уведомлению. Каждое имя уведомляемой записи должно быть уникальным.

tag tag-name определяет адреса целевых объектов, через которые отправляется это уведомление. Уведомление отправляется на все целевые адреса, которые имеют эту метку в своем списке тегов. Уведомление tag-name не включено. Для получения сведений о настройке списка тегов см. "Настройка целевого адреса ловушки".

type inform тип уведомления.

target-address target-address-name определяет адрес целевого адреса. Целевой адрес определяет адрес и параметры управляющей программы, которые используются для реагирования на запросы.

timeout seconds – это время в секундах, в течение нескольких секунд, необходимое для подтверждения. Если в течение периода ожидания подтверждение не получено, информация ретранслирована. Время по умолчанию — 15 секунда.

retry-count number – это максимальное количество раз передачи информации в случае, если подтверждение не получено. Значение по умолчанию 3 . Если после передачи информации подтверждение не получено, то это сообщение отбрасывается.

message-processing-model определяет версию SNMP, используемую при генерировании уведомлений SNMP. Для информирования требуется v3 модель обработки сообщений.

security-model определяет модель безопасности, используемую при генерировании уведомлений SNMP. Для информирования нужна usm модель безопасности.

security-model определяет модель безопасности, используемую при генерировании уведомлений SNMP. Для информирования нужна usm модель безопасности.

security-level определяет, аутентификация и шифрование запроса перед его отправлением. Для usm модели безопасности уровень безопасности должен быть одним из следующих:

  • authentication-Обеспечивает аутентификацию, но не шифрование.

  • privacy—Обеспечивает аутентификацию и шифрование.

security-name определяет имя пользователя, используемую для генерации информации.

Примере: Настройка типа уведомления и целевого адреса

В следующем примере целевой адрес 172.17.20.184 настроен на реагирование на запросы. Время простоя информатора составляет 30 секунд, максимальное число повторной пересылки — 3. Информирование отправляется всем целевым объектам в списке tl1. Модель безопасности для удаленного пользователя – usm, а имя пользователя удаленного двигателя – u10.

Настройка удаленного и удаленного пользователя

Чтобы отправить inform messages пользователю SNMPv3 на удаленном устройстве, необходимо сначала указать идентификатор устройства для агента SNMP на удаленном устройстве, где находится пользователь. Удаленный код яда используется для вычисления дайджеста безопасности для аутентификации и шифрования пакетов, отправленных пользователю на удаленном хосте. При отправке inform message агент использует учетные данные пользователя, настроенного на удаленном механизме (inform target).

Чтобы настроить удаленный механизм и удаленного пользователя для получения и ответа на запросы SNMP, следует включить следующие утверждения на [edit snmp v3] иерархическом уровне:

Для информации это идентификатор SNMP-агента на удаленном устройстве, remote-engine engine-id где находится пользователь.

Для получения информации user username пользователь на удаленном SNMP-механизме, который получает информацию.

Генерируемые данные могут быть (или, в зависимости от уровня безопасности пользователя SNMPv3), настроенного на удаленном механизме unauthenticatedauthenticatedauthenticated_and_encrypted (информационном приемнике). Ключ аутентификации используется для генерации кода аутентификации сообщений (MAC). Ключ конфиденциальности используется для шифрования части сообщения inform PDU.

Примере: Настройка ID удаленного яда и удаленного пользователя

В этом примере показано, как настроить удаленный механизм и удаленного пользователя, чтобы можно было получать и реагировать на уведомления SNMP. Уведомления можно аутентификацией и шифрованием. Кроме того, они являются более надежными, чем ловушки — другой тип уведомлений, поддерживаемый Junos OS ловушками. В отличие от trap-уведомлений, уведомления сохраняются и повторно передается через определенные промежутки времени до возникновения одного из этих условий:

  • Целевой объект уведомления возвращает агенту SNMP подтверждение.

  • Было предпринято определенное число попыток неуспешной повторной передачи.

Требования

Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.

Для данной функции необходимо использовать простые пароли, действительные для SNMPv3. SNMPv3 предъявляет следующие особые требования при создании нелишрутных паролей на маршрутизаторе или коммутаторе:

  • Пароль должен иметь длину не менее восьми символов.

  • Пароль может включать буквенные, численные и специальные символы, но не может включать символы управления.

Хотя кавыки не всегда требуются для вложения паролей, лучше всего их использовать. Кавычка нужна, если пароль содержит пробелы или, возможно, в случае определенных специальных символов или знака препинания.

Обзор

Для повышения надежности в SNMPv3 поддерживаются inform notifications. Например, агент SNMP, получающие inform notification, подтверждает получение.

Для получения уведомлений идентификатор удаленного устройства идентифицирует агент SNMP на удаленном устройстве, в котором находится пользователь, и имя пользователя на удаленном устройстве SNMP, которое получает уведомления.

Рассмотрим сценарий, в котором имеются значения, которые используются при настройке идентификации удаленного яда и удаленного пользователя Табл. 1 в этом примере.

Табл. 1: Значения, которые необходимо использовать в примере

Имя переменной

Значение

Пользователя

u10

ID удаленного яда

800007E5804089071BC6D10A41

тип аутентификации

authentication-md5

аутентификация пароля

qol67R%?

тип шифрования

privacy-des

пароль конфиденциальности

m*72Jl9v

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды и введите их в текстовый файл, удалите все разрывы строки и измените все данные, необходимые для настройки сети, скопируйте и введите эти команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit snmp v3]commit конфигурации.

Настройка удаленного и удаленного пользователя

Пошаговая процедура

В следующем примере иерархия конфигурации требует переходить к различным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Для настройки идентификации удаленного яда и удаленного пользователя:

  1. Настройте удаленный код, имя пользователя и тип аутентификации и пароль.

  2. Настройте тип шифрования и пароль конфиденциальности.

    Можно настроить только один тип шифрования для каждого пользователя SNMPv3.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show команды. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После подтверждения правильности конфигурации войдите commit в режим настройки.

Проверки

Проверка конфигурации удаленного ID и имени пользователя

Цель

Проверьте состояние ID яда и пользовательские данные.

Действий

Отображение информации об ID и пользователе Яда SNMPv3.

Смысл

В выходных данных отображается следующая информация:

  • Локальный ID и подробная информация об этом механизме

  • Удаленный ID Engine ID (помечен)

  • Пользователя

  • Тип аутентификации и шифрования (конфиденциальности), настроенный для пользователя

  • Тип хранилища для имени пользователя, неволелого (сохраненная конфигурация) или не сохраненного (не сохраненного)

  • состояние нового пользователя; только пользователи с активным состоянием могут использовать SNMPv3

Настройка локального engine ID

По умолчанию локальный engine ID использует IP-адрес маршрутизатора по умолчанию. Идентификатор локального яда является административно уникальным идентификатором для ЯмА SNMPv3. Это утверждение необязательно. Чтобы настроить локальный engine ID, включите утверждение engine-id на [edit snmp] уровне иерархии:

  • local engine-id-suffix— Суффикс ID ядра явно конфигурирован.

  • use-default-ip-address— Суффикс ID ядра генерируется из IP-адреса по умолчанию.

  • use-mac-address— Идентификатор яда SNMP генерируется с адреса управляющих интерфейсов маршрутизатора: Media Access Control (MAC) маршрутизатора.

Прим.:

Если используется SNMPv3 и если ID MAC-адрес ядер основан на версии MAC-адрес и вы модернизировали более ранние выпуски до одной из этих версий (14.1X53-D50, 16.1R5, 17.1R2, 17.2R1, 15.1X53-D231, 14.1X53-D43, 15.1X53-D232), необходимо перенастроить SNMPv3, так как при обновлении ID 17.1R2. Если не перенастроить SNMPv3, то при опросе SNMPv3 будет отображена ошибка аутентификации, так как ID ядер был изменен после обновления. После первого такого обновления потребуется перенастроить SNMPv3. Если после этого обновление с одного из упомянутых выпусков будет обновлено до одного из этих выпусков, то повторного обновления SNMPv3 не будет.

Для перенастройки SNMPv3 используйте следующую процедуру. Не используйте rollback 1 эту команду.

Для перенастройки SNMPv3:

  1. Проверьте конфигурацию SNMPv3.
  2. Удалите конфигурацию SNMPv3.
  3. Перенастройка конфигурации SNMPv3 (см. ouput в шаге 1).

Идентификатор локального яда определяется как административно уникальный идентификатор SNMPv3 engine и используется для идентификации, а не для адресов. Существует две части ID яда: префикс и суффикс. Префикс отформатирован в соответствии со спецификациями, определенными в RFC 3411 ,Архитектура для описания простых протоколов управления сетью (SNMP) Управленческих структур. Суффикс можно настроить здесь.

Прим.:

Аутентификация SNMPv3 и ключи шифрования создаются на основе связанных паролей и идентификации яда. При настройке или изменении ID для Яма необходимо сфиксировать ID нового яда перед настройкой пользователей SNMPv3. В противном случае ключи, созданные с помощью настроенных паролей, основаны на предыдущем ID яда. Для ID устройства рекомендуется использовать первичный IP-адрес устройства, если в устройстве установлено несколько я устройств маршрутов и первичный IP-адрес настроен. Кроме того, можно использовать MAC-адрес порта управления, если устройство имеет только один модуль маршрутизации.

Настройка сообщества SNMPv3

Сообщество SNMP определяет взаимосвязь между серверной системой SNMP и клиентской системой. Это утверждение необязательно.

Чтобы настроить сообщество SNMP, включив в него утверждение snmp-community на [edit snmp v3] уровне иерархии:

community-index является индексом для сообщества SNMP.

Чтобы настроить свойства сообщества SNMP, включим следующие утверждения на [edit snmp v3 snmp-community community-index] уровне иерархии:

В данном разделе содержатся следующие темы:

Настройка имени сообщества

Имя сообщества определяет сообщество SNMP. Сообщество SNMP авторизирует клиентов SNMPv1 или SNMPv2c. Привилегии доступа, связанные с настроенным именем безопасности, определяют доступные MIB объекты и операции (чтение, написание или уведомление) разрешены на этих объектах.

Чтобы настроить имя сообщества SNMP, включив в него утверждение community-name на [edit snmp v3 snmp-community community-index] уровне иерархии:

community-name является строкой сообщества для сообщества SNMPv1 или SNMPv2c.

Если она ненастроена, она такая же, как индекс сообщества.

Если имя сообщества содержит пробелы, завеждая его в кавычках ( «).

Прим.:

Имена сообществ должны быть уникальными. Нельзя настроить одно и то же имя сообщества на уровне [edit snmp community][edit snmp v3 snmp-community community-index] иерархии и на уровне иерархии. Настроенное имя сообщества на уровне [edit snmp v3 snmp-community community-index] иерархии зашифровано. Имя сообщества нельзя будет увидеть после того, как оно настроено и внося изменения. В интерфейс командной строки (интерфейс командной строки) имя сообщества скрыто.

Настройка контекста

Контекст SNMP определяет набор управляющей информации, доступной объекту SNMP. Обычно объект SNMP имеет доступ к нескольким контекстам. Контекст может быть физической или логической системой, набором нескольких систем или даже подмножеством системы. Каждый контекст в управляющем домене имеет уникальный идентификатор.

Чтобы настроить контекст SNMP, включив в него утверждение context context-name уровня [edit snmp v3 snmp-community community-index] иерархии:

Прим.:

Запрос экземпляра маршрутов или логической системы,

Настройка имен безопасности

Чтобы назначить строку сообщества имени безопасности, включите утверждение security-name на [edit snmp v3 snmp-community community-index] уровне иерархии:

security-name используется при настройках управления доступом. Конфигурация security-to-group на [edit snmp v3 vacm] иерархической уровне идентифицирует группу.

Прим.:

Имя безопасности должно совпадать с именем безопасности, настроенным на уровне иерархии [edit snmp v3 target-parameters target-parameters-name parameters] при настройке trap-ловушек.

Настройка тега

Для настройки тега включите tag утверждение [edit snmp v3 snmp-community community-index] иерархической структуры:

tag-name определяет адрес администраторов, которые могут использовать строку сообщества.

Примере: Настройка сообщества SNMPv3

В данном примере показано, как настроить сообщество SNMPv3.

Требования

Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.

Обзор

В этом примере показано, как создать сообщество SNMPv3. Определите имя сообщества SNMP, укажите имя безопасности для выполнения контроля доступа, а также определите имя тега, которое идентифицирует адрес менеджеров, которым разрешено использовать строку сообщества. Целевой адрес определяет адрес и параметры управляющей программы, используемые при отправке уведомлений.

Когда устройство получает пакет с распознаемой строкой сообщества и меткой, связанной с этим пакетом, программное обеспечение Junos ищет все целевые адреса с помощью этой метки и проверяет, совпадает ли исходный адрес этого пакета с одним из настроенных целевых адресов.

Укажите место, куда следует отправить ловушки, и определите допустимые пакеты SNMPv1 и SNMPv2c. Укажите имя целевого адреса, которое идентифицирует целевой адрес, определите целевой адрес, диапазон масок адреса, номер порта, список меток и параметр целевого адреса.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit snmp v3]commit конфигурации.

Процедуры

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве Junos OS интерфейс командной строки пользователя.

  1. Настройте имя сообщества SNMP.

    Прим.:

    Имя сообщества SNMP должно быть уникальным.

  2. Настройте имя системы безопасности для выполнения контроля доступа.

  3. Определите имя метки. Имя метки определяет адрес менеджеров, которые имеют право использовать строку сообщества.

  4. Настройте целевой адрес SNMP.

  5. Настройте диапазон маски адреса для управления доступом со строкой сообщества.

  6. Настройте номер конечного порта SNMPv3.

  7. Настройте список тегов SNMPv3 для выбора целевых адресов.

  8. Настройте имя целевого параметра SNMPv3 в таблице параметров целевого параметра.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show snmp v3 команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции по конфигурации, показанные в этом примере.

Проверки

Проверка сообщества SNMPv3

Цель

Проверьте, включено ли сообщество SNMPv3.

Действий

Чтобы проверить конфигурацию сообщества SNMPv3, введите show snmp v3 community команду. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

Смысл

Выходные данные показывают сведения о сообществе SNMPv3, включенном в системе.