Capturas SNMPv3
En SNMPv3, se crean capturas e informes mediante la configuración de los notifyparámetros, target-address, y target-parameters . Las trampas son notificaciones no confirmadas, mientras que los informes son notificaciones confirmadas. En esta sección se describe cómo configurar capturas SNMP.
Configurar capturas SNMPv3 en un dispositivo que ejecute Junos OS
La dirección de destino define la dirección y los parámetros de una aplicación de administración utilizados en el envío de notificaciones. Los parámetros de destino definen los parámetros de procesamiento de mensajes y seguridad utilizados para enviar notificaciones a un destino de administración determinado. SNMPv3 también permite definir capturas SNMPv1 y SNMPv2c.
Cuando configure capturas SNMP, asegúrese de que los privilegios de acceso configurados permiten el envío de las capturas. Puede configurar privilegios de acceso en los niveles jerárquico [edit snmp v3 vacm access] y [edit snmp v3 vacm security-to-group] .
Para obtener más información sobre la traducción de la captura SNMP v1 o v2 al OID y los detalles de las capturas enviadas por cada categoría, consulte el Explorador de MIB.
Configurar la notificación de captura SNMPv3
La notify instrucción especifica el tipo de notificación (interrupción) y contiene una sola etiqueta. La etiqueta define un conjunto de direcciones de destino para recibir una captura. La lista de etiquetas contiene una o más etiquetas y se configura en el nivel jerárquico [edit snmp v3 target-address target-address-name] . Si la lista de etiquetas contiene esta etiqueta, Junos OS envía una notificación a todas las direcciones de destino asociadas a esta etiqueta.
Para configurar las notificaciones de captura, incluya la notify instrucción en el nivel jerárquico [edit snmp v3] .
Cada nombre de entrada de notificación debe ser único.
Junos OS admite dos tipos de notificación: trap y inform.
Consulte también
Ejemplo: Configurar la notificación de captura SNMPv3
Especifique tres conjuntos de destinos para enviar capturas:
[edit snmp v3]
notify n1 {
tag router1;
type trap;
}
notify n2 {
tag router2;
type trap
}
notify n3 {
tag router3;
type trap;
}
Configurar el filtro de notificación de captura
SNMPv3 utiliza el filtro de notificación para definir qué capturas (o qué objetos desde qué capturas) se envían al sistema de administración de red (NMS). El filtro de notificación de capturas limita el tipo de capturas que se envían al NMS.
Cada identificador de objeto representa un subárbol de la jerarquía de objetos MIB. Puede representar el subárbol mediante una secuencia de enteros punteados (como 1.3.6.1.2.1.2) o mediante su nombre de subárbol (como interfaces). También puede utilizar el asterisco de carácter comodín (*) en el identificador de objeto (OID) para especificar identificadores de objeto que coincidan con un patrón determinado.
Para configurar el filtro de notificaciones de capturas, incluya la notify-filter instrucción en el nivel jerárquico [edit snmp v3] .
De forma predeterminada, el OID se establece en include. Para definir el acceso a las capturas (u objetos de las capturas), incluya la oid instrucción en el nivel de [edit snmp v3 notify-filter profile-name] jerarquía. Para obtener más información acerca de esta instrucción, consulte notify-filter (Configuring the Profile Name).
Configuración de la dirección de destino de captura
La dirección de destino define la dirección de una aplicación de administración y los parámetros que se utilizan para enviar notificaciones. También puede identificar estaciones de administración a las que se les permite usar cadenas de comunidad específicas. Cuando recibe un paquete con una cadena de comunidad reconocida y se asocia una etiqueta, Junos OS busca todas las direcciones de destino con esta etiqueta y comprueba que la dirección de origen de este paquete coincida con una de las direcciones de destino configuradas.
Debe configurar la máscara de dirección al configurar la comunidad SNMP.
Para especificar dónde desea que se envíen las capturas y definir qué paquetes SNMPv1 y SNMPv2cc están permitidos, incluya la target-address instrucción en el nivel de [edit snmp v3] jerarquía.
Para configurar las propiedades de la dirección de destino, incluya las siguientes instrucciones en el nivel de [edit snmp v3 target-address target-address-name] jerarquía:
A diferencia de SNMP v2, en SNMPv3 no hay ninguna opción de configuración para limitar el sondeo entrante. Sin embargo, puede configurar un filtro lo0 para limitar el sondeo entrante creando una regla que permita SNMP desde las IP del sistema de supervisión. Por ejemplo:
set policy-options prefix-list SNMP 10.1.1.1/32 set policy-options prefix-list SNMP 192.168.1.0/24 set firewall family inet filter CoPP term SNMP from source-prefix-list SNMP set firewall family inet filter CoPP term SNMP from protocol udp set firewall family inet filter CoPP term SNMP from destination-port snmp set firewall family inet filter CoPP term SNMP then accept set firewall family inet filter CoPP term SNMP then count SNMP
- Configurar la dirección
- Configurar la máscara de dirección
- Configurar el puerto
- Configurar la instancia de enrutamiento
- Configuración de la dirección de destino de captura
- Aplicar parámetros de destino
Configurar la dirección
Para configurar la dirección, incluya la address instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía. Para obtener más información acerca de esta instrucción, consulte address (SNMP).
address es la dirección de destino SNMP.
Configurar la máscara de dirección
La máscara de direcciones especifica un conjunto de direcciones a las que se permite usar una cadena de comunidad y comprueba las direcciones de origen para un grupo de direcciones de destino.
Para configurar la máscara de dirección, incluya la address-mask instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía. address-mask.
address-mask combinado con la dirección define un rango de direcciones.
Configurar el puerto
De forma predeterminada, el puerto UDP se establece en 162. Para configurar un número de puerto diferente, incluya la port instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía. Para obtener más información acerca de esta instrucción, consulte port.
Configurar la instancia de enrutamiento
Las capturas se envían a través de la instancia de enrutamiento predeterminada. Para configurar la instancia de enrutamiento para enviar capturas, incluya la routing-instance instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía. Para obtener más información acerca de esta instrucción, consulte routing-instance (SNMPv3).
Configuración de la dirección de destino de captura
Cada target-address instrucción puede tener una o más etiquetas configuradas en su lista de etiquetas. Cada etiqueta puede aparecer en más de una lista de etiquetas. Cuando se produce un evento significativo en el dispositivo de red, la lista de etiquetas identifica los destinos a los que se envía una notificación.
Para configurar la lista de etiquetas, incluya la tag-list instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía. Para obtener más información acerca de esta instrucción, consulte tag-list.
tag-list Especifica una o más etiquetas como una lista separada por espacios entre comillas dobles.
Cuando configure capturas SNMP, asegúrese de que los privilegios de acceso configurados permiten el envío de las capturas. Configure los privilegios de acceso en el nivel jerárquico [edit snmp v3 vacm access] .
Aplicar parámetros de destino
La target-parameters instrucción en el nivel de [edit snmp v3] jerarquía aplica los parámetros de destino configurados en el nivel de [edit snmp v3 target-parameters target-parameters-name] jerarquía.
Para hacer referencia a los parámetros de destino configurados, incluya la target-parameters instrucción en el nivel de [edit snmp v3 target-address target-address-name] jerarquía:
Ejemplo: Configurar la lista de etiquetas
En el ejemplo siguiente, se definen dos entradas de etiqueta (router1 y router2) en el nivel de [edit snmp v3 notify notify-name] jerarquía. Cuando un evento activa una notificación, Junos OS envía una captura a todas las direcciones de destino que tienen router1 o router2 configuradas en su lista de etiquetas de direcciones de destino. Esto da como resultado que los dos primeros objetivos obtengan una trampa cada uno, y el tercer objetivo obtenga dos trampas.
[edit snmp v3]
notify n1 {
tag router1; # Identifies a set of target addresses
type trap; # Defines the type of notification
}
notify n2 {
tag router2;
type trap;
}
target-address ta1 {
address 10.1.1.1;
address-mask 255.255.255.0;
port 162;
tag-list router1;
target-parameters tp1;
}
target-address ta2 {
address 10.1.1.2;
address-mask 255.255.255.0;
port 162;
tag-list router2;
target-parameters tp2;
}
target-address ta3 {
address 10.1.1.3;
address-mask 255.255.255.0;
port 162;
tag-list “router1 router2”; #Define multiple tags in the target address tag list
target-parameters tp3;
}
Definir y configurar los parámetros de destino de captura
Los parámetros de destino definen el procesamiento de mensajes y los parámetros de seguridad que se utilizan para enviar notificaciones a un destino de administración determinado.
Para definir un conjunto de parámetros de destino, incluya la target-parameters instrucción en el nivel de [edit snmp v3] jerarquía:
Para obtener más información acerca de cómo configurar directivas de seguridad de suscriptores, consulte Descripción general de políticas de seguridad de suscriptores.
En este tema, se incluyen las siguientes secciones:
Aplicar el filtro de notificación de captura
Para aplicar el filtro de notificación de capturas, incluya la notify-filter instrucción en el nivel jerárquico [edit snmp v3 target-parameters target-parameter-name] . Para obtener más información acerca de esta instrucción, consulte notify-filter (Applying to the Management Target).
Configurar los parámetros de destino
Para configurar las propiedades de los parámetros de destino, incluya las siguientes instrucciones en el nivel de [edit snmp v3 target-parameters target-parameter-name parameters] jerarquía.
Esta sección incluye los siguientes temas:
- Configurar el modelo de procesamiento de mensajes
- Configurar el modelo de seguridad
- Configurar el nivel de seguridad
- Configurar el nombre de seguridad
Configurar el modelo de procesamiento de mensajes
El modelo de procesamiento de mensajes define qué versión de SNMP se debe usar al generar notificaciones SNMP. Para configurar el modelo de procesamiento de mensajes, incluya la message-processing-model instrucción en el nivel de [edit snmp v3 target-parameters target-parameter-name parameters] jerarquía. Para obtener más información acerca de esta instrucción, consulte message-processing-model.
La política de seguridad de suscriptores de los enrutadores de la serie MX requiere el v3 modelo de procesamiento de mensajes. Consulte Descripción general de la política de suscripción Secure.
Configurar el modelo de seguridad
Para definir el modelo de seguridad que se utilizará al generar notificaciones SNMP, incluya la security-model instrucción en el nivel de [edit snmp v3 target-parameters target-parameter-name parameters] jerarquía. Para obtener más información acerca de esta instrucción, consulte security-model (SNMP Notifications).
La política de seguridad del suscriptor en los enrutadores de la serie MX requiere el modelo de usm seguridad. Consulte Descripción general de la política de suscripción Secure.
Configurar el nivel de seguridad
La security-level instrucción especifica si la captura se autentica y cifra antes de enviarse.
Para configurar el nivel de seguridad que se utilizará al generar notificaciones SNMP, incluya la security-level instrucción en el nivel de [edit snmp v3 target-parameters target-parameter-name parameters] jerarquía. Para obtener más información acerca de esta instrucción, consulte security-level (Generating SNMP Notifications).
Si está configurando el modelo de seguridad SNMPv1 o SNMPV2c, utilícelo none como nivel de seguridad. Si está configurando el modelo de seguridad SNMPv3 (USM), utilice el nivel de authentication seguridad o privacy .
La política de seguridad del suscriptor en los enrutadores de la serie MX requiere el nivel de privacy seguridad. Consulte Descripción general de la política de seguridad del suscriptor para obtener más información.
Configurar el nombre de seguridad
Para configurar el nombre de seguridad que se utilizará al generar notificaciones SNMP, incluya la security-name instrucción en el nivel de [edit snmp v3 target-parameters target-parameter-name parameters] jerarquía. Para obtener más información acerca de esta instrucción, consulte security-name (SNMP Notifications).
Si utiliza USM como modelo de seguridad, el identifica al security-name usuario que se utiliza cuando se genera la notificación. Si utiliza v1 o v2c como modelos de seguridad, security-name identifica la comunidad SNMP utilizada cuando se genera la notificación.
Los privilegios de acceso para el grupo asociado a un nombre de seguridad deben permitir el envío de esta notificación.
Si utiliza los modelos de seguridad v1 o v2, el nombre de seguridad en el nivel de [edit snmp v3 vacm security-to-group] jerarquía debe coincidir con el nombre de seguridad en el nivel de [edit snmp v3 snmp-community community-index] jerarquía.