- play_arrow Descripción general
- play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- Introducción a la administración de errores de conectividad (CFM) de OAM
- Configurar la administración de errores de conectividad (CFM)
- Perfil de acción de CFM
- Interfaz de administración local Ethernet
- Soporte CFM para paquetes encapsulados CCC
- Configurar ISSU unificada para 802.1ag CFM
- Monitoreo CFM entre dispositivos CE y PE
- Configurar mensajes de comprobación de continuidad
- Ejemplo: Configurar Ethernet CFM en interfaces físicas
- Ejemplo: Configurar Ethernet CFM en conexiones de puente
- Ejemplo: Configurar Ethernet CFM a través de VPLS
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- Mediciones de retardo de trama Ethernet en conmutadores
- Configurar interfaces MEP en conmutadores para que admitan mediciones de retardo de trama Ethernet (procedimiento de CLI)
- Configuración de mediciones de retardo de trama Ethernet unidireccional en conmutadores (procedimiento de CLI)
- Configurar un perfil de iterador en un conmutador (procedimiento de CLI)
- Activar una sesión de medición de retardo de trama Ethernet en un conmutador
- Configuración de mediciones de retardo de trama Ethernet bidireccional en conmutadores (procedimiento de CLI)
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
- Visión general de OAM del servicio Ethernet ITU-T Y.1731
- Configurar sesiones de medición de retardo de trama Ethernet
- Configuración de interfaces MEP para admitir mediciones de retardo de trama Ethernet
- Configurar la medición de pérdida de tramas Ethernet
- Configurar un perfil de iterador
- Configurar mediciones de pérdida sintética Ethernet
- Indicación de alarma Ethernet
- Modo de transmisión en línea
-
- play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
- play_arrow Opciones de contabilidad
- play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
-
- play_arrow Supervisión de características de seguridad comunes
- play_arrow Gestión del rendimiento
- play_arrow Imitación de puerto
- play_arrow Duplicación de puertos y analizadores
- Duplicación de puertos y analizadores
- Configuración de analizadores y duplicación de puertos
- Configuración de instancias de creación de reflejo de puertos
- Configuración de la duplicación de puertos en interfaces físicas
- Configuración de la creación de reflejo de puertos en interfaces lógicas
- Configuración de la duplicación de puertos para varios destinos
- Configuración de la duplicación de puertos para destinos remotos
- Configuración del análisis local y remoto de creación de reflejo de puertos
- Duplicación de puerto 1:N a múltiples destinos en conmutadores
- Ejemplo: Configurar la creación de reflejo de puertos con familia cualquiera y un filtro de firewall
- Supervisión de la duplicación de puertos
- Configurar la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3
- Solución de problemas de duplicación de puertos
-
- play_arrow Mensajes de registro del sistema
- Información general sobre el registro del sistema
- Registro del sistema en un sistema de chasis único
- Dirija los mensajes de registro del sistema a un destino remoto
- Comprobar los comandos que introducen los usuarios
- Mostrar archivos de registro del sistema
- Configurar el registro del sistema para dispositivos de seguridad
- Configurar Syslog a través de TLS
- Supervisar mensajes de registro
- play_arrow Administración de red y solución de problemas
- Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
- Monitoreo y solución de problemas
- Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
- Configuración de las opciones de depuración y rastreo de rutas de datos
- Uso de MPLS para diagnosticar LSP, VPN y circuitos de capa 2
- Uso de la captura de paquetes para analizar el tráfico de red
- Descripción general de On-Box Packet Sniffer
- Solución de problemas de dispositivos de seguridad
- play_arrow Instrucciones de configuración y comandos operativos
Comunidades SNMP
Una comunidad SNMP define el nivel de autorización concedido a sus miembros, como los objetos MIB disponibles, las operaciones (de solo lectura o lectura-escritura) que son válidas para esos objetos y los clientes SNMP autorizados, en función de sus direcciones IP de origen.
Configurar comunidades SNMP
Configurar el agente SNMP en Junos OS es una tarea sencilla que comparte la configuración familiar con otros dispositivos administrados de la red. Por ejemplo, debe configurar Junos OS con una cadena de comunidad SNMP y un destino para las capturas. Las cadenas de comunidad son nombres administrativos que agrupan colecciones de dispositivos y los agentes que se ejecutan en ellos juntos en dominios de administración comunes. Si un gerente y un agente comparten la misma comunidad, pueden comunicarse entre sí.
La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena es una contraseña para controlar el acceso del cliente al servidor.
Para crear una comunidad SNMP de solo lectura:
Para crear una comunidad SNMP de lectura y escritura:
Ingrese la comunidad SNMP utilizada en su red.
content_copy zoom_out_map[edit] user@host# set snmp community name
En este ejemplo, se describe una cadena
privatede comunidad estándar para identificar la comunidad a la que se concedió acceso de lectura y escritura al agente SNMP que se ejecuta en el dispositivo.content_copy zoom_out_map[edit] user@host# set snmp community private
Defina el nivel de autorización para la comunidad.
content_copy zoom_out_map[edit snmp community name] user@host# set authorization authorization
En este ejemplo, se limita la comunidad pública al acceso de solo lectura. Cualquier cliente SNMP (por ejemplo, un sistema de gestión SNMP) que pertenezca a la comunidad pública puede leer variables MIB pero no puede establecerlas (cambiarlas).
content_copy zoom_out_map[edit snmp community public] user@host# set authorization read-write
Defina una lista de clientes de la comunidad que están autorizados a realizar cambios en el agente SNMP en Junos OS.
Enumere los clientes por dirección IP y prefijo.
content_copy zoom_out_map[edit snmp community name] user@host# set clients address
Por ejemplo:
content_copy zoom_out_map[edit snmp community private] user@host# set clients 192.168.1.15/24 user@host# set clients 192.168.1.18/24
Defina los clientes que no están autorizados dentro de la comunidad especificando su dirección IP, seguida de la
restrictinstrucción.content_copy zoom_out_map[edit snmp community name] user@host# set clients address resrict
La siguiente instrucción define todos los demás hosts como restringidos de la comunidad pública.
content_copy zoom_out_map[edit snmp community private] user@host# set clients 0/0 restrict
Confirme la configuración.
content_copy zoom_out_mapuser@host# commit
Agregar un grupo de clientes a una comunidad SNMP
Junos OS permite agregar uno o varios grupos de clientes a una comunidad SNMP. Puede incluir la client-list-name name instrucción en el [edit snmp community community-name] nivel jerárquico para agregar todos los miembros de la lista de clientes o de la lista de prefijos a una comunidad SNMP.
Para definir una lista de clientes, utilice la set snmp client-list client-list-name instrucción seguida de las direcciones IP de los clientes.
Puede configurar una lista de prefijos en el nivel jerárquico [edit policy options] . La compatibilidad con listas de prefijos en la configuración de la comunidad SNMP permite utilizar una sola lista para configurar las directivas SNMP y de enrutamiento. Para obtener más información acerca de la prefix-list instrucción, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Para agregar una lista de clientes o una lista de prefijos a una comunidad SNMP, utilice la set snmp commmunity community-name client-list-name instrucción.
La lista de clientes y la lista de prefijos no deben tener el mismo nombre.
En el ejemplo siguiente se muestra cómo definir una lista de clientes:
[edit]
snmp {
client-list clentlist1 {
10.1.1.1/32;
10.2.2.2/32;
}
}
En el ejemplo siguiente se muestra cómo agregar una lista de clientes a una comunidad SNMP:
[edit]
snmp {
community community1 {
authorization read-only;
client-list-name clientlist1;
}
}
En el ejemplo siguiente se muestra cómo agregar una lista de prefijos a una comunidad SNMP:
[edit]
policy-options {
prefix-list prefixlist {
10.3.3.3/32;
10.5.5.5/32;
}
}
snmp {
community community2 {
client-list-name prefixlist;
}
}
Configurar cadena de comunidad SNMP
La cadena de comunidad SNMP define la relación entre un sistema servidor SNMP y el sistema cliente. Esta cadena actúa como una contraseña para controlar el acceso del cliente al servidor.
Para configurar una cadena de comunidad en una configuración de Junos OS, utilice la set snmp community instrucción.
Si el nombre de la comunidad contiene espacios, escríbalo entre comillas (" ").
El nivel de autorización predeterminado para una comunidad es read-only. Para permitir Set solicitudes dentro de una comunidad, debe definir esa comunidad como authorization read-write. Para Set las solicitudes, también debe incluir los objetos MIB específicos a los que se puede acceder con privilegios de lectura y escritura mediante la view instrucción. La vista predeterminada incluye todos los objetos MIB compatibles a los que se puede acceder con privilegios de solo lectura; no se puede acceder a ningún objeto MIB con privilegios de lectura y escritura. Para obtener más información acerca de la view instrucción, vea Configurar vistas MIB.
Las direcciones IP de los clientes (miembros de la comunidad) a los que se les permite usar esta comunidad se enumeran en las listas de clients instrucciones. Si no hay ninguna clients instrucción presente, se permiten todos los clientes. Para address, debe especificar una dirección IPv4, no un nombre de host. Incluya la opción de denegar el default restrict acceso a todos los clientes SNMP para los que no se haya concedido acceso. Se recomienda incluir siempre la opción de limitar el default restrict acceso del cliente SNMP al conmutador local.
Los nombres de comunidad deben ser únicos dentro de cada sistema SNMP.
Consulte también
Ejemplos: Configurar la cadena de comunidad SNMP
Conceda acceso de solo lectura a todos los clientes. Con la siguiente configuración, el sistema responde a SNMP Get, GetNexty GetBulk a las solicitudes que contienen la cadena publicde comunidad:
[edit]
snmp {
community public {
authorization read-only;
}
}
Conceda a todos los clientes acceso de lectura y escritura a ping MIB y jnxPingMIB. Con la siguiente configuración, el sistema responde a SNMP , , y a las solicitudes que contienen la cadena private de comunidad y especifican un OID contenido en la MIB o jnxPingMIB jerarquía de ping:SetGetBulkGetNextGet
[edit]
snmp {
view ping-mib-view {
oid pingMIB include;
oid jnxPingMIB include;
community private {
authorization read-write;
view ping-mib-view;
}
}
}
La siguiente configuración permite el acceso de sólo lectura a clientes con direcciones IP en el intervalo 1.2.3.4/24y deniega el acceso a los sistemas del intervalo fe80::1:2:3:4/64:
[edit]
snmp {
community field-service {
authorization read-only;
clients {
default restrict; # Restrict access to all SNMP clients not explicitly
# listed on the following lines.
1.2.3.4/24; # Allow access by all clients in 1.2.3.4/24 except
fe80::1:2:3:4/64 restrict;# fe80::1:2:3:4/64.
}
}
}
Configurar la comunidad SNMPv3
La comunidad SNMP define la relación entre un sistema de servidor SNMP y los sistemas cliente. Esta instrucción es opcional.
Para configurar la comunidad SNMP, incluya la snmp-community instrucción en el nivel jerárquico [edit snmp v3] :
[edit snmp v3] snmp-community community-index;
community-index es el índice de la comunidad SNMP.
Para configurar las propiedades de la comunidad SNMP, incluya las siguientes instrucciones en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:
[edit snmp v3 snmp-community community-index] community-name community-name; context context-name; security-name security-name; tag tag-name;
A continuación se muestra un conjunto mínimo de configuración de ejemplo necesario para snmp v3 snmp-community la configuración:
set snmp v3 vacm security-to-group security-model v2c security-name NOSNMPV3 group SNMPV3GROUP set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none read-view SNMPVIEW set snmp v3 vacm access group SNMPV3GROUP default-context-prefix security-model any security-level none write-view SNMPVIEW set snmp v3 snmp-community SNMPV3COMMUNITY community-name JTACCOMMUNITY set snmp v3 snmp-community SNMPV3COMMUNITY security-name NOSNMPV3 set snmp view SNMPVIEW oid .1 include
La comunidad utilizada por el usuario que no admite SNMPv3, seguirá utilizando SNMPv2.
Para obtener más información, consulte la siguiente configuración:
snmpget -v 2c -c JTACCOMMUNITY 10.52.170.100 sysUpTime.0
Esta sección incluye los siguientes temas:
- Configuración del nombre de la comunidad
- Configuración del contexto
- Configuración de los nombres de seguridad
- Configuración de la etiqueta
Configuración del nombre de la comunidad
El nombre de la comunidad define la comunidad SNMP. La comunidad SNMP autoriza clientes SNMPv1 o SNMPv2c. Los privilegios de acceso asociados con el nombre de seguridad configurado definen qué objetos MIB están disponibles y las operaciones (lectura, escritura o notificación) permitidas en esos objetos.
Para configurar el nombre de comunidad SNMP, incluya la community-name instrucción en el nivel jerárquico [edit snmp v3 snmp-community community-index] . Para obtener más información acerca de esta instrucción, consulte community-name.
Configuración del contexto
Un contexto SNMP define una colección de información de administración a la que puede acceder una entidad SNMP. Normalmente, una entidad SNMP tiene acceso a varios contextos. Un contexto puede ser un sistema físico o lógico, una colección de varios sistemas o incluso un subconjunto de un sistema. Cada contexto en un dominio de administración tiene un identificador único.
Para configurar un contexto SNMP, incluya la context context-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, consulte context (SNMPv3).
Para consultar una instancia de enrutamiento o un sistema lógico,
Configuración de los nombres de seguridad
Para asignar una cadena de comunidad a un nombre de seguridad, incluya la security-name instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía:
[edit snmp v3 snmp-community community-index] security-name security-name;
security-name se utiliza cuando se configura el control de acceso. La security-to-group configuración en el nivel de [edit snmp v3 vacm] jerarquía identifica el grupo.
Este nombre de seguridad debe coincidir con el nombre de seguridad configurado en el nivel de [edit snmp v3 target-parameters target-parameters-name parameters] jerarquía al configurar capturas.
Configuración de la etiqueta
Para configurar la etiqueta, incluya la tag instrucción en el nivel de [edit snmp v3 snmp-community community-index] jerarquía. Para obtener más información acerca de esta instrucción, consulte tag.
Ejemplo: Configurar la comunidad SNMPv3
En este ejemplo se muestra cómo configurar una comunidad SNMPv3.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo se muestra cómo crear una comunidad SNMPv3. Defina el nombre de la comunidad SNMP, especifique el nombre de seguridad para realizar el control de acceso y defina el nombre de la etiqueta que identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad. La dirección de destino define la dirección de una aplicación de administración y los parámetros que se utilizan para enviar notificaciones.
Cuando el dispositivo recibe un paquete con una cadena de comunidad reconocida y se asocia una etiqueta a ese paquete, el software de Junos busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.
Especifique dónde desea que se envíen las capturas y defina qué paquetes SNMPv1 y SNMPv2c están permitidos. Especifique el nombre de la dirección de destino que identifica la dirección de destino, defina la dirección de destino, el intervalo de máscara de dirección, el número de puerto, la lista de etiquetas y el parámetro de destino.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit snmp v3] y, luego, ingrese commit desde el modo de configuración.
set snmp-community index1 community-name "public" set snmp-community index1 security-name john set snmp-community index1 tag router1 set target-address ta1 address 10.1.1.1 set target-address ta1 address-mask 255.255.255.0 set target-address ta1 port 162 set target-address ta1 tag-list router1 set target-address ta1 target-parameters tp1
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS .
Configure el nombre de la comunidad SNMP.
content_copy zoom_out_map[edit snmp v3] user@host# set snmp-community index1 community-name "public"
Nota:El nombre de la comunidad SNMP debe ser único.
Configure el nombre de seguridad para realizar el control de acceso.
content_copy zoom_out_map[edit snmp v3] user@host# set snmp-community index1 security-name john
Defina el nombre de la etiqueta. El nombre de la etiqueta identifica la dirección de los administradores a los que se les permite usar una cadena de comunidad.
content_copy zoom_out_map[edit snmp v3] user@host# set snmp-community index1 tag router1
Configure la dirección de destino SNMP.
content_copy zoom_out_map[edit snmp v3] user@host# set target-address ta1 address 10.1.1.1
Configure el intervalo de máscaras de la dirección para el control de acceso de cadenas de comunidad.
content_copy zoom_out_map[edit snmp v3] user@host#set target-address ta1 address-mask 255.255.255.0
Configure el número de puerto de destino SNMPv3.
content_copy zoom_out_map[edit snmp v3] user@host#set target-address ta1 port 162
Configure la lista de etiquetas SNMPv3 para seleccionar las direcciones de destino.
content_copy zoom_out_map[edit snmp v3] user@host#set target-address ta1 tag-list router1
Configure el nombre del parámetro de destino SNMPv3 en la tabla de parámetros de destino.
content_copy zoom_out_map[edit snmp v3] user@host#set target-address ta1 target-parameters tp1
Resultados
Desde el modo de configuración, confírmela con el comando show snmp v3 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo.
[edit]
user@host# show snmp v3
target-address ta1 {
address 10.1.1.1;
port 162;
tag-list router1;
address-mask 255.255.255.0;
target-parameters tp1;
}
snmp-community index1 {
community-name "$9$JOZi.QF/AtOz3"; ## SECRET-DATA
security-name john;
tag router1;
}
Verificación
Comprobación de la comunidad SNMPv3
Propósito
Compruebe si la comunidad SNMPv3 está habilitada.
Acción
Para comprobar la configuración de la comunidad SNMPv3, escriba show snmp v3 community comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
Community Security Context Tag Storage Status index1 john router1 nonvolatile active
Significado
El resultado muestra la información sobre la comunidad SNMPv3 que se habilita en el sistema.
