harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

infra Juniper network 運用

[juniper] SRX(JunOS) SNMP設定

投稿日:2014年4月27日

Last Updated on 2021年7月4日 by かんりにん

 
参考:お世話になっております。
SRX Getting Started – Configure SNMP Agent

Todoとしては

・snmpコミュニティの設定
・snmpコミュニティに許可するオプション
read-writeを許可するか、read-onlyで許可するか、などなど。
・snmp接続を許可するネットワークの指定
同時に、指定したネットワーク以外は許可しない設定も追加。
・セキュリティゾーンにも、インターフェース指定でsnmpのアクセスを許可する設定を追加。
またchassis clusterの有無によりSNMPのアクセスを許可するインターフェースが変わるのがポイントです
(chassis clusterの場合は仮想インターフェース”reth*.*”に許可を与える)

といった感じ。
以下にchassis cluster環境のあり、なしでそれぞれの設定例をdisplay set形式で記載してみました。

1)設定内容

– SNMP接続を許可するインターフェース

set snmp interface <インターフェース名>

– SNMPコミュニティの指定とオプション指定

set snmp community local_network authorization <パーミッションの指定>

– SNMPコミュニティに紐づいた、接続を許可するクライアントのIPレンジ

set snmp community <SNMPコミュニティ名> clients <クライアントの接続許可IPアドレス、サブネット>

– 上記で指定したクライアントのIPレンジ以外からはアクセスを許可しない設定

set snmp community <SNMPコミュニティ名> clients 0.0.0.0/0 restrict

– 指定したセキュリティゾーンにSNMPサービスのアクセスを許可する設定

set security zones security-zone <ゾーン名> interfaces <インターフェース名>0 host-inbound-traffic system-services snmp

2)chassis clusterなしの場合

SNMP接続をge-0/0/3.0のみ許可している場合の設定例。

set snmp interface ge-0/0/3.0
set snmp community local_network authorization read-only
set snmp community local_network clients 192.168.128.0/24
set snmp community local_network clients 0.0.0.0/0 restrict
set security zones security-zone Trust interfaces ge-0/0/3.0 host-inbound-traffic system-services snmp

3)chassis clusterありの場合

chassis clusterを構成している場合は、所属しているHAクラスタインターフェース(reth**)を指定すること。
下記はSNMP接続を複数のインターフェース、reth0.0、reth3.0から許可している場合の設定例。

set snmp interface reth0.0
set snmp interface reth3.0
set snmp community local_network authorization read-only
set snmp community local_network clients 192.168.128.0/24
set snmp community local_network clients 0.0.0.0/0 restrict
set security zones security-zone Trust interfaces reth0.0 host-inbound-traffic system-services snmp
set security zones security-zone Trust interfaces reth3.0 host-inbound-traffic system-services snmp

設定後、いつものとおりcommit check、およびcommitを実行して適用、リモートホストからsnmpwalkなどで応答確認をしてみましょう。
レスポンスを確認できればOKです。
 

 

-infra, Juniper, network, 運用
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

no image

サーバ運用でよく使うスクリプト(netstat)

最近ご無沙汰なのでシェルの書式を忘れてきた…ということで自分用に備忘録。 – netstatでステータスが”ESTABLISHED”のセッションを一覧表示し、1秒更 …

no image

[rsync]タイムスタンプについてメモ

同期元ホストのディレクトリのタイムスタンプ(last update)を同期先で合わせる場合のちょっとしたメモ。 rsyncを実行するホストがデータの同期元か同期先(バックアップ先)かでオプションが変わ …

no image

postfix + pop before SMTP

[pukiwiki]   &topicpath; *▼dracインストールとローカルでの動作確認 2004/10/20 dracはpop before SMTPを実装するためのアプリです。 …

nagios​/tipやメモ

  [pukiwiki] nagiosのtipやメモを色々と。 **1)var/以下のファイル [#m741522d] var/以下はログと監視ステータスの状態、設定情報などのキャッシュなど 各種の運 …

[nagios] nagios plugin downtime_sched(ダウンタイムスケジューラ)

  以前設定した、Recurring scheduleのアップデート版”downtime_sched”のインストール。 前回インストール後に全然アップデートしてなかった。 ちゃ …