SNMPv3 陷阱
在 SNMPv3 中,您可以通过配置 notify、 target-address和 target-parameters 参数来创建陷阱和通知。陷阱是未确认的通知,而通知是已确认的通知。本节介绍如何配置 SNMP 陷阱。
在运行 Junos OS 的设备上配置 SNMPv3 陷阱
目标地址定义用于发送通知的管理应用程序的地址和参数。目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。SNMPv3 还允许您定义 SNMPv1 和 SNMPv2c 陷阱。
配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。您可以在和[edit snmp v3 vacm access][edit snmp v3 vacm security-to-group]层次结构级别配置访问权限。
有关 SNMP v1 或 v2 陷阱到 OID 转换以及每个类别发送的陷阱详细信息的详细信息,请参阅 MIB 资源管理器。
配置 SNMPv3 陷阱通知
该 notify 语句指定通知的类型(陷阱)并包含单个标记。标记定义一组用于接收陷阱的目标地址。标记列表包含一个或多个标记,并在层次结构级别进行配置 [edit snmp v3 target-address target-address-name] 。如果标记列表包含此标记,Junos OS 会向与此标记关联的所有目标地址发送通知。
要配置陷阱通知,请在层次结构级别包含notify[edit snmp v3]语句。
每个通知条目名称必须是唯一的。
Junos OS 支持两种类型的通知:trap 和 inform。
另请参阅
示例:配置 SNMPv3 陷阱通知
指定三组要发送陷阱的目标:
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
配置陷阱通知过滤器
SNMPv3 使用通知过滤器来定义将哪些陷阱(或从哪些陷阱发送哪些对象)发送到网络管理系统 (NMS)。陷阱通知过滤器限制发送到 NMS 的陷阱类型。
每个对象标识符表示 MIB 对象层次结构的一个子树。可以用一系列虚线整数(如 1.3.6.1.2.1.2)或其子树名称(如 interfaces)来表示子树。还可以在对象标识符 (OID) 中使用通配符星号 (*) 来指定与特定模式匹配的对象标识符。
要配置陷阱通知过滤器,请在层次结构级别包含 notify-filter 语句 [edit snmp v3] 。
默认情况下,OID 设置为 include。要定义对陷阱(或陷阱中的对象)的访问,请在层次结构级别包含oid[edit snmp v3 notify-filter profile-name]语句。有关此语句的详细信息,请参见 notify-filter (Configuring the Profile Name)。
配置陷阱目标地址
目标地址定义用于发送通知的管理应用程序的地址和参数。它还可以识别允许使用特定社区字符串的管理站。当您收到具有可识别的社区字符串且标记与之关联的数据包时,Junos OS 会使用此标记查找所有目标地址,并验证此数据包的源地址是否与某个配置的目标地址匹配。
配置 SNMP 公共组时,必须配置地址掩码。
要指定陷阱的发送位置并定义允许哪些 SNMPv1 和 SNMPv2cc 数据包,请在层次结构级别包含 target-address 该语句 [edit snmp v3] 。
要配置目标地址属性,请在层次结构级别包含以下语句 [edit snmp v3 target-address target-address-name] :
与 SNMP v2 不同,在 SNMPv3 中,没有用于限制入站轮询的配置选项。但是,您可以配置 lo0 过滤器,通过创建规则以允许来自监控系统 IP 的 SNMP,来限制入站轮询。例如:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
配置地址
要配置地址,请在层次结构级别包含 address 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 address (SNMP)。
address 是 SNMP 目标地址。
配置地址掩码
地址掩码指定一组允许使用社区字符串的地址,并验证一组目标地址的源地址。
要配置地址掩码,请在层次结构级别包含address-mask语句[edit snmp v3 target-address target-address-name]。 address-mask
address-mask 与地址结合定义地址范围。
配置端口
默认情况下,UDP 端口设置为 162。要配置其他端口号,请在层次结构级别包含port[edit snmp v3 target-address target-address-name]语句。有关此语句的详细信息,请参见 port。
配置路由实例
陷阱通过默认路由实例发送。要配置用于发送陷阱的路由实例,请在层次结构级别包含 routing-instance 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 routing-instance (SNMPv3)。
配置陷阱目标地址
每个 target-address 语句都可以在其标签列表中配置一个或多个标签。每个标记可以出现在多个标记列表中。当网络设备上发生重大事件时,标记列表标识要向其发送通知的目标。
要配置标记列表,请在层次结构级别包含 tag-list 语句 [edit snmp v3 target-address target-address-name] 。有关此语句的详细信息,请参见 tag-list。
tag-list 将一个或多个标记指定为括在双引号内的空格分隔列表。
配置 SNMP 陷阱时,请确保您配置的访问权限允许发送陷阱。在 [edit snmp v3 vacm access] 层次结构级别配置访问权限。
应用目标参数
target-parameters层次结构级别的语句[edit snmp v3]应用在层次结构级别配置[edit snmp v3 target-parameters target-parameters-name]的目标参数。
要引用配置的目标参数,请在层次结构级别包含target-parameters[edit snmp v3 target-address target-address-name]语句:
示例:配置标签列表
在以下示例中,在层次结构级别定义了[edit snmp v3 notify notify-name]两个标记条目(router1 和 router2)。当事件触发通知时,Junos OS 会向在其目标地址标记列表中已 router1 配置或 router2 配置的所有目标地址发送陷阱。这会导致前两个目标各获得一个陷阱,第三个目标获得两个陷阱。
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
定义和配置陷阱目标参数
目标参数定义用于向特定管理目标发送通知的消息处理和安全参数。
要定义一组目标参数,请在层次结构级别包含 target-parameters 语句 [edit snmp v3] :
有关配置订阅者安全策略的详细信息,请参阅 订阅者安全策略概述。
本主题包含以下部分:
应用陷阱通知过滤器
要应用陷阱通知过滤器,请在层次结构级别包含notify-filter[edit snmp v3 target-parameters target-parameter-name]语句。有关此语句的详细信息,请参见 notify-filter (Applying to the Management Target)。
配置目标参数
要配置目标参数属性,请在层次结构级别包含以下语句 [edit snmp v3 target-parameters target-parameter-name parameters] 。
本节包括以下主题:
配置消息处理模型
消息处理模型定义在生成 SNMP 通知时使用哪个版本的 SNMP。要配置消息处理模型,请在层次结构级别包含message-processing-model[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 message-processing-model。
MX 系列路由器上的订阅者安全策略需要 v3 消息处理模型。请参阅 订阅者安全策略概述。
配置安全模型
要定义生成 SNMP 通知时要使用的安全模型,请在层次结构级别包含security-model[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 security-model (SNMP Notifications)。
MX 系列路由器上的订阅者安全策略需要安全 usm 模型。请参阅 订阅者安全策略概述。
配置安全级别
该 security-level 语句指定在发送陷阱之前是否对其进行身份验证和加密。
要配置生成 SNMP 通知时要使用的安全级别,请在层次结构级别包含security-level[edit snmp v3 target-parameters target-parameter-name parameters]语句。有关此语句的详细信息,请参见 security-level (Generating SNMP Notifications)。
如果要配置 SNMPv1 或 SNMPV2c 安全模型,请使用 作为 none 安全级别。如果要配置 SNMPv3 (USM) 安全模型,请使用 authentication 或 privacy 安全级别。
MX 系列路由器上的订阅者安全策略需要 privacy 安全级别 。有关详细信息 ,请参阅订阅者安全策略概述 。
配置安全名称
要配置生成 SNMP 通知时要使用的安全名称,请在层次结构级别包含 security-name 该语句 [edit snmp v3 target-parameters target-parameter-name parameters] 。有关此语句的详细信息,请参见 security-name (SNMP Notifications)。
如果使用 USM 作为安全模型,则标识 security-name 生成通知时使用的用户。如果使用 v1 或 v2c 作为安全模型,则标识 security-name 生成通知时使用的 SNMP 公共组。
与安全名称关联的组的访问权限必须允许发送此通知。
如果使用 v1 或 v2 安全模型,则层次结构级别的安全名称 [edit snmp v3 vacm security-to-group] 必须与层次结构级别的安全名称 [edit snmp v3 snmp-community community-index] 匹配。