- play_arrow Descripción general
- play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- Introducción a la administración de errores de conectividad (CFM) de OAM
- Configurar la administración de errores de conectividad (CFM)
- Perfil de acción de CFM
- Interfaz de administración local Ethernet
- Soporte CFM para paquetes encapsulados CCC
- Configurar ISSU unificada para 802.1ag CFM
- Monitoreo CFM entre dispositivos CE y PE
- Configurar mensajes de comprobación de continuidad
- Ejemplo: Configurar Ethernet CFM en interfaces físicas
- Ejemplo: Configurar Ethernet CFM en conexiones de puente
- Ejemplo: Configurar Ethernet CFM a través de VPLS
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- Mediciones de retardo de trama Ethernet en conmutadores
- Configurar interfaces MEP en conmutadores para que admitan mediciones de retardo de trama Ethernet (procedimiento de CLI)
- Configuración de mediciones de retardo de trama Ethernet unidireccional en conmutadores (procedimiento de CLI)
- Configurar un perfil de iterador en un conmutador (procedimiento de CLI)
- Activar una sesión de medición de retardo de trama Ethernet en un conmutador
- Configuración de mediciones de retardo de trama Ethernet bidireccional en conmutadores (procedimiento de CLI)
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
- Visión general de OAM del servicio Ethernet ITU-T Y.1731
- Configurar sesiones de medición de retardo de trama Ethernet
- Configuración de interfaces MEP para admitir mediciones de retardo de trama Ethernet
- Configurar la medición de pérdida de tramas Ethernet
- Configurar un perfil de iterador
- Configurar mediciones de pérdida sintética Ethernet
- Indicación de alarma Ethernet
- Modo de transmisión en línea
-
- play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
- play_arrow Opciones de contabilidad
- play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
-
- play_arrow Supervisión de características de seguridad comunes
- play_arrow Gestión del rendimiento
- play_arrow Imitación de puerto
- play_arrow Duplicación de puertos y analizadores
- Duplicación de puertos y analizadores
- Configuración de analizadores y duplicación de puertos
- Configuración de instancias de creación de reflejo de puertos
- Configuración de la duplicación de puertos en interfaces físicas
- Configuración de la creación de reflejo de puertos en interfaces lógicas
- Configuración de la duplicación de puertos para varios destinos
- Configuración de la duplicación de puertos para destinos remotos
- Configuración del análisis local y remoto de creación de reflejo de puertos
- Duplicación de puerto 1:N a múltiples destinos en conmutadores
- Ejemplo: Configurar la creación de reflejo de puertos con familia cualquiera y un filtro de firewall
- Supervisión de la duplicación de puertos
- Configurar la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3
- Solución de problemas de duplicación de puertos
-
- play_arrow Mensajes de registro del sistema
- Información general sobre el registro del sistema
- Registro del sistema en un sistema de chasis único
- Dirija los mensajes de registro del sistema a un destino remoto
- Comprobar los comandos que introducen los usuarios
- Mostrar archivos de registro del sistema
- Configurar el registro del sistema para dispositivos de seguridad
- Configurar Syslog a través de TLS
- Supervisar mensajes de registro
- play_arrow Administración de red y solución de problemas
- Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
- Monitoreo y solución de problemas
- Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
- Configuración de las opciones de depuración y rastreo de rutas de datos
- Uso de MPLS para diagnosticar LSP, VPN y circuitos de capa 2
- Uso de la captura de paquetes para analizar el tráfico de red
- Descripción general de On-Box Packet Sniffer
- Solución de problemas de dispositivos de seguridad
- play_arrow Instrucciones de configuración y comandos operativos
Configurar SNMPv3
El conmutador QFX3500 admite SNMP versión 3 (SNMPv3). SNMPv3 mejora la funcionalidad de SNMPv1 y SNMPv2c al admitir la autenticación de usuarios y el cifrado de datos. SNMPv3 usa el modelo de seguridad basado en el usuario (USM) para proporcionar seguridad a los mensajes SNMP y el modelo de control de acceso basado en la vista (VACM) para el control de acceso de los usuarios.
Las características de SNMPv3 incluyen:
Con USM, los mensajes SNMP entre el administrador SNMP y el agente pueden tener el origen del mensaje autenticado y la integridad de los datos comprobada. USM reduce los retrasos de mensajería y las repeticiones de mensajes mediante la aplicación de límites de tiempo de espera y la comprobación de ID de solicitud de mensajes duplicados.
VACM complementa USM proporcionando control de acceso de usuario para consultas SNMP al agente. Defina los privilegios de acceso que desea extender a un grupo de uno o más usuarios. Los privilegios de acceso vienen determinados por los parámetros del modelo de seguridad (
usm, , ov2) y los parámetros de nivel de seguridad (authentication,privacy, ononev1). Para cada nivel de seguridad, debe asociar una vista MIB para el grupo. La asociación de una vista MIB con un grupo concede permiso de lectura, escritura o notificación a un conjunto de objetos MIB para el grupo.Los parámetros de seguridad se configuran para cada usuario, incluidos el nombre de usuario, el tipo de autenticación y la contraseña de autenticación, así como el tipo de privacidad y la contraseña de privacidad. El nombre de usuario asignado a cada usuario está en un formato que depende del modelo de seguridad configurado para ese usuario.
Para garantizar la seguridad de la mensajería, se incluye otro tipo de nombre de usuario, denominado nombre de seguridad, en los datos de mensajería que se envían entre el servidor SNMP local y el servidor SNMP de destino. Cada nombre de usuario se asigna a un nombre de seguridad, pero el nombre de seguridad tiene un formato que es independiente del modelo de seguridad.
Las entradas de captura en SNMPv3 se crean configurando los parámetros notify, notify filter, target address y target. La
notifyinstrucción especifica el tipo de notificación (interrupción) y contiene una sola etiqueta que define un conjunto de direcciones de destino para recibir una interrupción. El filtro de notificación define el acceso a una colección de identificadores de objetos de captura (OID). La dirección de destino define la dirección de una aplicación de administración SNMP y otros atributos utilizados en el envío de notificaciones. Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad utilizados para enviar notificaciones a un destino determinado.
Para configurar SNMPv3, realice las siguientes tareas:
SNMPv3 garantiza una seguridad mejorada para los mensajes SNMP mediante el uso de USM con claves de autenticación y cifrado. Como resultado, no es necesario restringir las máquinas externas cuando utiliza SNMPv3 para consultar un enrutador o conmutador. Por lo tanto, la configuración de SNMPv3 en Junos OS o Junos OS evolucionado no admite la lista de clientes para la restricción de acceso.
Sin embargo, SNMPv2 requiere el uso de lista de clientes para permitir que equipos cliente específicos envíen consultas SNMP, ya que depende del acceso basado en cadenas de comunidad.
Crear usuarios de SNMPv3
Para cada usuario SNMPv3, puede especificar el nombre de usuario, el tipo de autenticación, la contraseña de autenticación, el tipo de privacidad y la contraseña de privacidad. Después de que un usuario introduce una contraseña, se genera una clave basada en el ID del motor y la contraseña y se escribe en el archivo de configuración. Después de generar la clave, puede eliminar la contraseña de este archivo de configuración.
Solo puede configurar un tipo de cifrado para cada usuario SNMPv3.
Para crear usuarios, incluya la user instrucción en el nivel jerárquico [edit snmp v3 usm local-engine] .
Para configurar la autenticación y el cifrado de usuarios, incluya las siguientes instrucciones en el nivel de [edit snmp v3 usm local-engine user username] jerarquía.
Configuración mínima de SNMPv3 en un dispositivo que ejecuta Junos OS
Para configurar los requisitos mínimos para SNMPv3, incluya las siguientes instrucciones en los niveles de [edit snmp v3] jerarquía y [edit snmp] .
Debe configurar al menos una vista (notificar, leer o escribir) en el nivel jerárquico [edit snmp view-name] .
Consulte también
Ejemplo: Configuración de SNMPv3
Defina una configuración de SNMPv3:
[edit snmp]
engine-id {
use-mac-address;
}
view jnxAlarms {
oid 1.3.6.1.4.1.2636.3.4 include;
}
view interfaces {
oid 1.3.6.1.2.1.2 include;
}
view ping-mib {
oid 1.3.6.1.2.1.80 include;
}
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap;# Defines type of notification
}
notify n2 {
tag host1;
type trap;
}
notify-filter nf1 {
oid .1 include; # Defines which traps to send
} # In this case, includes all traps
notify-filter nf2 {
oid 1.3.6.1.4.1 include; # Sends enterprise-specific traps only
}
notify-filter nf3 {
oid 1.3.6.1.2.1.1.5 include; # Sends BGP traps only
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; # SECRET-DATA
security-name john; # Matches the security name at the target parameters
tag host1; # Finds the addresses that are allowed to be used with
}
target-address ta1 {# Associates the target address with the group
# san-francisco.
address 10.1.1.1;
address-mask 255.255.255.0; # Defines the range of addresses
port 162;
tag-list router1;
target-parameters tp1; # Applies configured target parameters
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list host1;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 host1”;
target-parameters tp3;
}
target-parameters tp1 { # Defines the target parameters
notify-filter nf1; # Specifies which notify filter to apply
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john; # Matches the security name configured at the
} # [edit snmp v3 snmp-community community-index hierarchy level.
}
target-parameters tp2 {
notify-filter nf2;
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john;
}
}
target-parameters tp3 {
notify-filter nf3;
parameters {
message-processing-model v1;
security-model v1;
security-level none;
security-name john;
}
}
usm {
local-engine { # Defines authentication and encryption for SNMPv3 users
user john { # security-name john is defined here
authentication-md5 {
authentication-password authentication-password;
}
privacy-des {
privacy-password privacy-password;
}
}
user bob { # security-name bob is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-none;
}
user julia { # security-name julia is defined here
authentication-none;
privacy-none;
}
user lauren { # security-name lauren is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-aes128 {
privacy-password privacy-password;
}
}
user richard { # security-name richard is defined here
authentication-sha {
authentication-password authentication-password;
}
privacy-none;
}
}
}
vacm {
access {
group san-francisco { #Defines the access privileges for the group
default-context-prefix { # called san-francisco
security-model v1 {
security-level none {
notify-view ping-mib;
read-view interfaces;
write-view jnxAlarms;
}
}
}
}
}
security-to-group {
security-model v1 {
security-name john { # Assigns john to security group san-fancisco
group san-francisco;
}
security-name bob { # Assigns bob to security group new-york
group new-york;
}
security-name julia {# Assigns julia to security group chicago
group chicago;
}
security-name lauren {# Assigns lauren to security group paris
group paris;
}
security-name richard {# Assigns richard to security group geneva
group geneva;
}
}
}
}
