SNMP機能を用いた監視設定¶
| 動作確認バージョン: | vSRX Version20.4R2, vSRX Version22.4R1 |
|---|
ここでは、SNMP機能を用いた運用管理設定について紹介します。 SNMP機能を利用することで、SNMPエージェントからMIBなどの情報取得や装置のさまざまなイベントや異変を検知しSNMPトラップを送出させることが可能です。
注釈
- vSRX Version15.1X49-D105.1, vSRX Version19.2R1.8をご利用いただく際に、特定のシナリオでコントロールプレーンのCPU値が高くなる傾向があることが確認されております。発生条件や留意事項詳細は、 バージョン固有の留意事項について をご確認ください。
複数のコミュニティ値を設定¶
SNMPマネージャからsnmpwalkなどを利用してSNMPエージェントの情報取得が可能ですが、その際にコミュニティ値を設定する必要があります。ここではコミュニティ値を複数設定する方法を紹介します。
サンプル設定のシナリオ
- SNMPマネージャ(192.168.2.15)からsnmpwalk でvSRX-02の情報取得したい
- 利用するコミュニティ値を test と test2 を設定したい
CLIにて入力するコマンド
user01@vSRX-02# set snmp community test authorization read-only
user01@vSRX-02# set snmp community test2 authorization read-only
正しく設定が完了したときのコンフィグレーションは次のとおりです。
snmp {
community test {
authorization read-only;
}
community test2 {
authorization read-only;
}
}
注釈
インターフェイス(ge-0/0/x)でSNMP通信を利用するためには、インターフェイスがゾーンに割り当てられており、ゾーンで host-inbound-traffic 配下の system-services にてsnmp,snmp-trapが許可されている必要があります。
trustゾーンでsnmpを利用可能にするゾーン設定
user01@vSRX-02# set security zones security-zone trust host-inbound-traffic system-services snmp
user01@vSRX-02# set security zones security-zone trust host-inbound-traffic system-services snmp-trap
ご利用いただくゾーンで設定をお願い致します。
動作確認結果
以下の検証結果ログから、SNMPマネージャ(192.168.2.15)からコミュニティ test と test2 をそれぞれ設定してsnmpwalkコマンドでSNMPエージェントの情報取得ができました。
コミュニティ値 test を使ってsnmpwalk実行結果
[user01@centsv-02 ~]$ snmpwalk -v 2c -c test 192.168.2.102
SNMPv2-MIB::sysDescr.0 = STRING: Juniper Networks, Inc. vsrx internet router, kernel JUNOS 15.1X49-D100.6, Build date: 2017-06-28 07:39:27 UTC Copyright (c) 1996-2017 Juniper Networks, Inc.
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.2636.1.1.1.2.129
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (33273843) 3 days, 20:25:38.43
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: vSRX-02
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
IF-MIB::ifNumber.0 = INTEGER: 40
IF-MIB::ifIndex.1 = INTEGER: 1
IF-MIB::ifIndex.4 = INTEGER: 4
IF-MIB::ifIndex.5 = INTEGER: 5
(省略)
コミュニティ値 test2 を使ってsnmpwalk実行結果
[user01@centsv-02 ~]$ snmpwalk -v 2c 192.168.2.102 -c test2
SNMPv2-MIB::sysDescr.0 = STRING: Juniper Networks, Inc. vsrx internet router, kernel JUNOS 15.1X49-D100.6, Build date: 2017-06-28 07:39:27 UTC Copyright (c) 1996-2017 Juniper Networks, Inc.
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.2636.1.1.1.2.129
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (25820487) 2 days, 23:43:24.87
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: vSRX-02
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
IF-MIB::ifNumber.0 = INTEGER: 40
IF-MIB::ifIndex.1 = INTEGER: 1
IF-MIB::ifIndex.4 = INTEGER: 4
IF-MIB::ifIndex.5 = INTEGER: 5
(省略)
SNMPトラップの送信先・送信元IPアドレスの設定¶
SNMPエージェントとして動作可能なためSNMPトラップをSNMPマネージャに送出することが可能です。 SNMPマネージャの設定とSNMPトラップの送信元IPアドレスに利用するIPアドレスの指定方法について紹介します。
サンプル設定のシナリオ
- SNMPマネージャ(10.0.0.16)を送出先に設定したい
- SNMPトラップを送出する際に、送出元のIPアドレスを設定したい
CLIにて入力するコマンド
user01@vSRX-02# set snmp trap-options source-address 10.0.0.102
user01@vSRX-02# set snmp trap-group TRAP-GROUP version all
user01@vSRX-02# set snmp trap-group TRAP-GROUP categories authentication
user01@vSRX-02# set snmp trap-group TRAP-GROUP targets 10.0.0.16
注釈
SNMPトラップのカテゴリ設定は、障害発生時もしくはイベント発生時に必要になるカテゴリを選択・設定をお願いします。
正しく設定が完了したときのコンフィグレーションは次のとおりです。
snmp {
community test {
authorization read-only;
}
community test2 {
authorization read-only;
}
trap-options {
source-address 10.0.0.102;
}
trap-group TRAP-GROUP {
version all;
categories {
authentication;
}
targets {
10.0.0.16;
}
}
}
動作確認結果
以下のパケットキャプチャからSNMPマネージャ(10.0.0.16)へのSNMPトラップが送信元IPアドレス(10.0.0.102)を利用しており、送信元IPアドレスを選択してSNMPトラップを送出できていることが確認できました。
注釈
vSRXでは、SNMPトラップを試験的に送出するコマンドがサポートされています。
user01@vSRX-02> request snmp spoof-trap <名称>
以下の動作確認結果は、次のコマンドを実行し試験的にSNMPトラップを送出しています。 SNMPマネージャはvSRXが送出したSNMPトラップが受信できたことをパケットキャプチャで確認したため SNMPトラップに必要なネットワーク設定ができていることを確認しています。
user01@vSRX-02> request snmp spoof-trap authenticationFailure
- SNMPマネージャ(10.0.0.16)でのパケットキャプチャ
