Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

SNMPv3 구성

QFX3500 스위치는 SNMP 버전 3(SNMPv3)을 지원합니다. SNMPv3는 사용자 인증 및 데이터 암호화를 지원하여 SNMPv1 및 SNMPv2c의 기능을 향상시킵니다. SNMPv3는 USM(user-based security model)을 사용하여 SNMP 메시지에 대한 보안을 제공하며, 사용자 액세스 제어를 위한 VACM(view-based access control model)을 사용합니다.

SNMPv3의 기능은 다음과 같습니다.

  • USM을 사용하면 SNMP 관리자와 에이전트 간 SNMP 메시지의 메시지 소스를 인증하고 데이터 무결성을 확인할 수 있습니다. USM은 시간초과 제한을 적용하고 중복된 메시지 요청 ID를 확인하여 메시지 지연 및 메시지 반복을 줄입니다.

  • VACM은 SNMP 쿼리에 대한 사용자 액세스 제어를 에이전트에 제공하여 USM을 보완합니다. 사용자는 한 명 이상의 사용자 그룹으로 확장하려는 액세스 권한을 정의합니다. 액세스 권한은 보안 모델 매개변수(usm, v1, 또는 v2) 및 보안 수준 매개변수(authentication, privacy, 또는 none)에 따라 결정됩니다. 각 보안 수준에 대해 하나의 MIB 뷰를 그룹에 연결해야 합니다. MIB 뷰를 그룹과 연결하면 그룹의 MIB 개체 집합에 대한 읽기, 쓰기, 또는 알림 권한이 부여됩니다.

  • 사용자는 사용자 이름, 인증 유형 및 인증 비밀 번호를 비롯한 각 사용자의 보안 매개변수를 구성합니다. 각 사용자에게 지정된 사용자 이름은 해당 사용자에 대해 구성된 보안 모델에 따라 달라지는 형식으로 되어 있습니다.

  • 메시징 보안을 보장하기 위해 로컬 SNMP 서버와 대상 SNMP 간에 전송되는 메시징 데이터에 보안 이름이라는 다른 유형의 사용자 이름이 포함되어 있습니다. 각 사용자 이름은 보안 이름에 매핑되지만 보안 이름은 보안 모델과는 독립적인 형식입니다.

  • SNMPv3의 트랩 항목은 알림, 알림 필터, 대상 주소, 및 대상 매개변수를 구성하여 생성됩니다. notify 문은 알림 유형(트랩)을 지정하며 트랩을 수신할 대상 주소 집합을 정의하는 단일 태그를 포함합니다. 알림 필터는 트랩 개체 식별자((OID) 집합에 대한 액세스를 정의합니다. 대상 주소는 알림을 전송하는 데 사용되는 SNMP 관리 애플리케이션의 주소 및 기타 속성을 정의합니다. 대상 매개변수는 특정 대상에 알림을 전송하는 데 사용되는 메시지 처리 및 보안 매개변수를 정의합니다.

SNMPv3을 구성하려면 다음 작업을 수행하십시오.

주:

SNMPv3은 인증 및 암호화 키와 함께 USM을 사용하여 SNMP 메시지에 대한 보안을 강화합니다. 따라서 SNMPv3를 사용하여 라우터 또는 스위치를 쿼리할 때 외부 시스템을 제한할 필요가 없습니다. 따라서 Junos OS 또는 Junos OS Evolved의 SNMPv3 구성은 액세스 제한을 위한 클라이언트 목록을 지원하지 않습니다.

그러나 SNMPv2는 커뮤니티 문자열 기반 액세스에 의존하므로 특정 클라이언트 시스템이 SNMP 쿼리를 보낼 수 있도록 클라이언트 목록을 사용해야 합니다.

SNMPv3 사용자 생성

각 SNMPv3 사용자에 대해 사용자 이름, 인증 유형, 인증 패스워드, 개인 정보 보호 유형 및 개인 정보 보호 암호를 지정할 수 있습니다. 사용자가 패스워드에 입력한 후 엔진 ID 및 패스워드를 기반으로 한 키가 생성되고 구성 파일에 써집니다. 키 생성 후에는 이 구성 파일에서 패스워드를 삭제할 수 있습니다.

각 SNMPv3 사용자에 대해 한 개의 암호화 형식만 구성할 수 있습니다.

사용자를 생성하려면 user명령문을 [edit snmp v3 usm local-engine] 계층 수준에 포함합니다.

사용자 인증 및 암호화를 구성하려면 [edit snmp v3 usm local-engine user username] 계층 수준에 다음 명령문을 포함합니다.

Junos OS를 실행하는 디바이스의 최소 SNMPv3 구성

SNMPv3에 대한 최소 요구 사항을 구성하려면 [edit snmp v3][edit snmp]계층 수준에 다음 명령문을 포함합니다.

[edit snmp view-name] 계층 레벨에서 하나 이상의 보기(알림, 읽기 또는 쓰기)를 구성해야 합니다.

  1. 사용자를 생성하고 인증을 구성합니다.
    user@host# set snmp v3 usm local-engine user superuser authentication-md5 authentication-password 12345678
    user@host#set snmp v3 usm local-engine user superuser privacy-aes128 privacy-password 12345678
  2. 그룹에 대한 액세스 권한을 구성합니다.
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication context-match exact
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication read-view readview
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication write-view writeview
    user@host# set snmp v3 vacm access group supergroup default-context-prefix security-model usm security-level authentication notify-view notifyview
    user@host# set snmp v3 vacm security-to-group security-model usm security-name superuser group supergroup
  3. (선택 사항) 트랩 알림이 전송되는 대상 주소 속성을 구성합니다.
    user@host# set snmp v3 target-address TA address <nms-ipaddress> tag-list trap_recv target-parameters tp1
    user@host# set snmp v3 target-parameters tp1 parameters message-processing-model v3 security-model usm security-level authentication security-name superuser
    user@host# set snmp v3 target-parameters tp1 notify-filter nfilter1
    user@host# set snmp v3 notify-filter nfilter1 oid .1 include
    user@host# set snmp v3 notify notify1 type trap tag trap_recv
  4. MIB에 대한 액세스를 읽기, 쓰기 및 알리기 위해 snmp 보기를 구성합니다.
    user@host# set snmp view readview oid .1 include
    user@host# set snmp view writeview oid .1 include
    user@host# set snmp view notifyview oid .1 include

참조

예: SNMPv3 구성

SNMPv3 구성을 정의합니다.