harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

infra Juniper network 運用

[juniper] SRX(JunOS) SNMP設定

投稿日:2014年4月27日

Last Updated on 2021年7月4日 by かんりにん

 
参考:お世話になっております。
SRX Getting Started – Configure SNMP Agent

Todoとしては

・snmpコミュニティの設定
・snmpコミュニティに許可するオプション
read-writeを許可するか、read-onlyで許可するか、などなど。
・snmp接続を許可するネットワークの指定
同時に、指定したネットワーク以外は許可しない設定も追加。
・セキュリティゾーンにも、インターフェース指定でsnmpのアクセスを許可する設定を追加。
またchassis clusterの有無によりSNMPのアクセスを許可するインターフェースが変わるのがポイントです
(chassis clusterの場合は仮想インターフェース”reth*.*”に許可を与える)

といった感じ。
以下にchassis cluster環境のあり、なしでそれぞれの設定例をdisplay set形式で記載してみました。

1)設定内容

– SNMP接続を許可するインターフェース

set snmp interface <インターフェース名>

– SNMPコミュニティの指定とオプション指定

set snmp community local_network authorization <パーミッションの指定>

– SNMPコミュニティに紐づいた、接続を許可するクライアントのIPレンジ

set snmp community <SNMPコミュニティ名> clients <クライアントの接続許可IPアドレス、サブネット>

– 上記で指定したクライアントのIPレンジ以外からはアクセスを許可しない設定

set snmp community <SNMPコミュニティ名> clients 0.0.0.0/0 restrict

– 指定したセキュリティゾーンにSNMPサービスのアクセスを許可する設定

set security zones security-zone <ゾーン名> interfaces <インターフェース名>0 host-inbound-traffic system-services snmp

2)chassis clusterなしの場合

SNMP接続をge-0/0/3.0のみ許可している場合の設定例。

set snmp interface ge-0/0/3.0
set snmp community local_network authorization read-only
set snmp community local_network clients 192.168.128.0/24
set snmp community local_network clients 0.0.0.0/0 restrict
set security zones security-zone Trust interfaces ge-0/0/3.0 host-inbound-traffic system-services snmp

3)chassis clusterありの場合

chassis clusterを構成している場合は、所属しているHAクラスタインターフェース(reth**)を指定すること。
下記はSNMP接続を複数のインターフェース、reth0.0、reth3.0から許可している場合の設定例。

set snmp interface reth0.0
set snmp interface reth3.0
set snmp community local_network authorization read-only
set snmp community local_network clients 192.168.128.0/24
set snmp community local_network clients 0.0.0.0/0 restrict
set security zones security-zone Trust interfaces reth0.0 host-inbound-traffic system-services snmp
set security zones security-zone Trust interfaces reth3.0 host-inbound-traffic system-services snmp

設定後、いつものとおりcommit check、およびcommitを実行して適用、リモートホストからsnmpwalkなどで応答確認をしてみましょう。
レスポンスを確認できればOKです。
 

 

-infra, Juniper, network, 運用
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

no image

備忘録:logrotateのデバッグモード

logrotateのデバッグモード 実際の処理をトレースする。 オプション”-dv”を忘れやすいのでメモ… # logrotate -dv <logrotate.conf …

no image

[rsync]タイムスタンプについてメモ

同期元ホストのディレクトリのタイムスタンプ(last update)を同期先で合わせる場合のちょっとしたメモ。 rsyncを実行するホストがデータの同期元か同期先(バックアップ先)かでオプションが変わ …

no image

ZABBIXインストール(1.0)

[pukiwiki]   システム監視ツールzabbixのインストールドキュメント。 【本家サイト】 http://www.zabbix.com/ 日本語の情報はほとんどないので、サイトからダウンロー …

no image

OpenSSHのMatchディレクティブを利用したアクセスコントロール

OpenSSH4.4以上で利用できるようになったMatch(条件分岐)ディレクティブを使った、アクセスコントロールを検証。 参考:お世話になっております! OpenSSH-5.9p1 日本語マニュアル …

no image

[メモ]メモリ調査上での疑問

[pukiwiki] お客様のHP DL360 G5へのメモリ増設を調査する際、シングルランク、デュアルランクという明記が あったので、気になって調査。 **1)シングルランク、デュアルランクの違い …

宅麺