了解 Junos OS 中的 SNMP 实施
Junos OS 上的 SNMP
在 Junos OS 上,SNMP 同时使用标准(由 IETF 开发并记录在 RFC 中)和瞻博网络企业特定 MIB。
默认情况下,运行 Junos OS 的设备上不启用 SNMP。
在 Junos OS 中,维护 SNMP 管理数据的进程包括:
-
主 SNMP 代理驻留在受管设备上,由 NMS 或主机管理。
Junos OS SNMP 代理软件由一个 SNMP 主代理(称为 SNMP 进程,或 snmpd)组成。它驻留在受管设备上,并由 NMS 或主机管理。
-
驻留在 Junos OS 不同模块(如路由引擎)上的各种子代理。主 SNMP 代理将所有 SNMP 请求委托给子代理。每个子代理负责支持一组特定的 MIB。
-
Junos OS 处理在轮询 SNMP 数据时与子代理共享数据(例如,与接口相关的 MIB)。
社区字符串是由 SNMP 代理在 Junos OS 中实现的第一级管理身份验证。
有关详细信息,请参阅以下部分。
Junos OS 对 SNMP 版本的支持
Junos OS 支持以下版本的 SNMP。有关更多详细信息,请参阅表 1。
| SNMP 版本 | Description |
|---|---|
| SNMPv1 | 定义 SNMP 架构和框架的 SNMP 的初始实现。 |
| SNMPv2c |
修订后的协议,改进了绩效和经理之间的沟通。具体而言,SNMPv2c 实现了社区字符串,在确定 SNMP 客户端可以访问 SNMP 代理中的数据的人员、内容和方式时,这些字符串充当密码。社区字符串包含在 SNMP |
| SNMPv3 |
SNMPv3 — 最新的协议侧重于安全性。SNMPv3 定义安全模型、基于用户的安全模型 (USM) 和基于视图的访问控制模型 (VACM)。SNMPv3 USM 提供数据完整性、数据源身份验证、消息重放保护和消息有效负载泄露保护。SNMPv3 VACM 提供访问控制,以确定是否允许对管理信息进行特定类型的访问(读取或写入)。 |
此外,Junos OS SNMP 代理软件接受通过 IPv4 和 IPv6 传输的 IPv4 和 IPv6 地址。对于 IPv6,Junos OS 支持以下功能:
-
通过 IPv6 网络的 SNMP 数据
-
特定于 IPv6 的 MIB 数据
-
适用于 IPv6 的 SNMP 代理
SNMP 陷阱的系统日志记录严重性级别
对于某些陷阱,当陷阱情况发生时,无论 SNMP 代理是否向 NMS 发送陷阱,如果系统日志记录配置为记录具有该系统日志记录严重性级别的事件,则会记录陷阱。
有关标准陷阱的系统日志记录严重性级别的详细信息,请参见 Junos OS 支持的标准 SNMP 陷阱 。有关企业特定陷阱的系统日志记录严重性级别的详细信息,请参阅 Junos OS 支持的企业特定 SNMP 陷阱。
SNMP 通信流
当 NMS 轮询主代理以获取数据时,如果请求的数据可从主代理或其中一个子代理获得,则主代理会立即与 NMS 共享数据。但是,如果请求的数据不属于由主代理或子代理维护的类别,则子代理将轮询 Junos OS 内核或维护该数据的进程。收到所需数据后,子代理会将响应传递回主代理,而主代理又将其传递给 NMS。
图 1 显示了 NMS、SNMP 主代理 (SNMP)、SNMP 子代理、Junos OS 内核和数据包转发引擎之间的通信流。
当网络设备上发生重大事件(通常是错误或故障)时,SNMP 代理会向 SNMP 管理器发送通知。Junos OS 中的 SNMP 实现支持两种类型的通知:陷阱和通知。陷阱 是未确认的通知,而 通知 是已确认的通知。仅在支持 SNMP 版本 3 (SNMPv3) 配置的设备上支持通知。
陷阱队列
Junos OS 支持陷阱队列,以确保陷阱不会因路由暂时不可用而丢失。形成两种类型的队列, 目标队列 和 限制队列,以确保陷阱的传递和控制陷阱流量。
您无法在 Junos OS 中配置陷阱队列。您无法查看有关陷阱队列的信息,系统日志中提供的信息除外。
当由于无法访问主机而返回特定目标的陷阱时,Junos OS 会形成目标队列,并将后续陷阱添加到队列中的同一目标。Junos OS 每 30 秒检查一次路由的可用性,并以循环方式从目标队列发送陷阱。
如果陷阱传递失败,则会将陷阱添加回队列,并重置队列的传递尝试计数器和下一次传递尝试计时器。后续尝试以 1 分钟、2 分钟、4 分钟和 8 分钟的渐进间隔进行。两次尝试之间的最大延迟为 8 分钟,最大尝试次数为 10。尝试 10 次失败后,将删除目标队列和队列中的所有陷阱。
Junos OS 还具有限制机制,用于控制在特定时间段(限制间隔;默认为 5 秒)内发送的陷阱数量(限制阈值;默认值为 500 个陷阱),并确保陷阱流量的一致性,尤其是当由于接口状态更改而生成大量陷阱时。油门间隔期从第一个陷阱到达油门时开始。将处理陷阱阈值内的所有陷阱,超出阈值限制的陷阱将排队。
陷阱队列(即限制队列和目标队列组合在一起)的最大大小为 40,000。但是,在 EX 系列以太网交换机上,陷阱队列的最大大小为 1,000。对于 EX 系列交换机以外的设备,任何一个队列的最大大小为 20,000。在 EX 系列交换机上,一个队列的最大大小为 500。将陷阱添加到限制队列时,或者如果限制队列已超过最大大小,则会将陷阱添加回目标队列的顶部,并且来自目标队列的所有后续尝试都将停止 30 秒,之后目标队列将重新开始发送陷阱。
将 MIB 文件加载到网络管理系统
要使网络管理系统 (NMS) 识别和理解 Junos OS 使用的 MIB 对象,必须先使用 MIB 编译器将 MIB 文件加载到 NMS。MIB 编译器是一种实用程序,用于分析 MIB 信息,例如 NMS 的 MIB 对象名称、ID 和数据类型。
您可以从 https://www.juniper.net/documentation/en_US/release-independent/junos/mibs/mibs.html 的 Junos OS 企业 MIB 索引下载 Junos MIB 软件包。Junos MIB 软件包在和.tar软件包中.zip提供。您可以根据需要下载适当的格式。
Junos MIB 软件包包含两个文件夹:StandardMibs 和 JuniperMibs。该 StandardMibs 文件夹包含运行 Junos OS 的设备支持的标准 MIB 和 RFC,而 JuniperMibs 该文件夹包含瞻博网络企业特定的 MIB。
要加载管理和监控运行 Junos OS 的设备所需的 MIB 文件,请执行以下操作:
加载 MIB 文件时,如果编译器返回一条错误消息,指出任何对象 未 定义,请使用文本编辑器打开 MIB 文件,并确保在编译器上加载本节中 IMPORT 列出的所有 MIB 文件。如果编译器上未加载本节IMPORT中列出的任何 MIB 文件,请加载该 MIB 文件,然后尝试加载加载失败的 MIB 文件。
例如,特定于企业的 PING MIB 依赖于 mib-jnx-ping.txtRFC 2925 DiSMAN-PING-MIB mib-rfc2925a.txt。如果尝试在加载mib-rfc2925a.txt前加载mib-jnx-ping.txt,编译器会返回一条错误消息,指出中的mib-jnx-ping.txt某些对象未定义。加载 mib-rfc2925a.txt,然后尝试加载 mib-jnx-ping.txt。然后加载特定于企业的 PING MIB, mib-jnx-ping.txt没有任何问题。
了解集成的本地管理界面
集成本地管理接口 (ILMI) 为异步传输模式 (ATM) 连接的设备(如主机、路由器和 ATM 交换机)提供了一种传输管理信息的机制。ILMI 通过物理连接在两个 ATM 接口之间提供管理信息的双向交换。ILMI 信息使用虚拟路径标识符/虚拟通道标识符 (VPI/VCI) 值 (VPI=0, VCI=16) 通过 ATM 适配层 5 (AAL5) 上的 SNMP 版本 1(RFC 1157, 一种简单网络管理协议)的直接封装进行交换。
Junos OS 仅支持两个 ILMI MIB 变量:
-
atmfMYIPNmAddress -
atmfPortMyIfname
对于 ATM1 和 ATM2 智能排队 (IQ) 接口,您可以将 ILMI 配置为直接与连接的 ATM 交换机通信,以查询交换机的 IP 地址和端口号。
有关 ILMI MIB 的详细信息,请参阅 atmfMYIPNmAddress 或 atmfPortMyIfname在 SNMP MIB 资源管理器中。