瞻博网络 EX4300 / MAC 限制 SNMP 陷阱

网络工程 杜松 MAC地址 snmp 杜松
2021-07-18 03:06:39

我有以下设备和配置:

型号: ex4300-32f

朱诺斯: 17.3R3-S3.3

显示配置组 

GLOBAL-SNMP {
snmp {
client-list MANAGERS {
10.8.9.0/28;
}
community TEST-COMMUNITY {
authorization read-only;
client-list-name MANAGERS;
}
trap-options {
source-address 10.8.7.2;
context-oid;
}
trap-group TEST-COMMUNITY {
version v2;

targets {
10.8.9.2;
}
}
}
}

显示配置应用组 

## Last changed: 2019-02-28 09:36:59 UTC
apply-groups GLOBAL-SNMP;

# show switch-options

interface ge-0/0/31.0 {
interface-mac-limit {
24;
packet-action shutdown;
}
}
interface-shutdown-action hard-shutdown;

当超出 MAC 限制时,交换机确实发送了linkDown SNMP 陷阱,我成功地收到了它。我希望交换机也发送jnxSecAccessIfMacLimitExceeded (.1.3.6.1.4.1.2636.3.40.1.2.1.0.2) SNMP 陷阱。但我只收到系统日志消息:

L2ALD_MAC_LIMIT_REACHED_IF: Limit on learned MAC addresses reached for ge-0/0/31.0; current count is 24 
L2ALD_MAC_LIMIT_EXCEEDED_BLOCK: Limit on learned MAC addresses exceeded for ge-0/0/31.0; current count is 24 SHUTTING THE INTERFACE

我可以使用raise-trap,但我想我错过了一些东西,而 switch 可以更“本机”地做到这一点。

我应该如何配置 EX4300 以发送有关超出 MAC 限制的 SNMP 陷阱?

1个回答

在查看现有文档后,它似乎受支持但未实现,请允许我扩展。

TRAP jnxSecAccessIfMacLimitExceeded属于端口安全功能,因此mac-limit将在secure-access-port节下,并且根据文档,这些操作不同于interface-mac-limit packet-action; 它们不会生成 SNMP 陷阱:

https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/mac-limit-port-security.html

https://www.juniper.net/documentation/en_US/junos/topics/reference/configuration-statement/packet-action-edit-bridge-domains-edit-protocols-l2-learning-edit-switch-options.html

为什么支持?我的方法是首先检查是否支持您打算使用的特定陷阱,因为这可能并不总是正确的。为此,您可以使用瞻博网络 MIB Explorer。

从 MIB 资源管理器中查找 Junos 版本上的陷阱,我们会看到以下层次结构:https : //apps.juniper.net/mib-explorer/search.jsp#object=jnxSecAccessIfMacLimitExceeded&product=Junos%20OS&release=17.3R3

iso > org > dod > internet > private > enterprises > juniperMIB > jnxMibs > jnxExMibRoot > jnxExSwitching > jnxExSecureAccessPort >

    jnxExSecureAccessPortMIB <<<
    
        jnxSecAccessPortMIBNotifications
            jnxSecAccessdsRateLimitCrossed
            jnxSecAccessIfMacLimitExceeded <<<
            jnxStormEventNotification

这里的要点是这是一个企业级 MIB(因为也存在标准 MIB)、jnxExSecureAccessPortMIB和您想要的 TRAP,在这种情况下是受支持的。

尽管有瞻博网络企业 MIB,但使用 MIB 资源管理器可能更直接。 https://www.juniper.net/documentation/en_US/junos/topics/concept/enterprise-specific-traps-overview.html

下一步是检查是否在 snmpd 中注册了该 MIB,目前我们没有你方提供的信息。

关于在运行 Junos OS 的设备上监控 SNMP 活动和跟踪影响 SNMP 性能的问题 > 检查已向 snmpd 注册的 MIB 对象 https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/snmp-最佳实践监控选项.html

为了使 SNMP 进程能够访问与 MIB 对象相关的数据,必须向 snmpd 注册 MIB 对象。

您可以使用以下命令来检查使用 snmpd 注册的 MIB 对象:

`show snmp registered-objects`—Creates a /var/log/snmp_reg_objs file that contains the list of registered objects and their mapping to various subagents.

`file show /var/log/snmp_reg_objs`—Displays the contents of the /var/log/snmp_reg_objs file.

KB17695 中包含相同的信息:https ://kb.juniper.net/InfoCenter/index ? page = content & id = KB17695

要测试 TRAPS,您可以按照以下步骤操作:

来自请求 snmp spoof-trap https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/request-snmp-spoof-traps-command.html

您可以测试陷阱:

user@host> request snmp spoof-trap jnxSecAccessIfMacLimitExceeded

或者

您还可以检查可用的陷阱:

user@host> request snmp spoof-trap ?

关于您的日志/消息中缺少 snmp 信息,请参阅以下信息:

从监控 SNMP 活动和跟踪影响运行 Junos OS 的设备上的 SNMP 性能的问题 https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/snmp-best-practices-monitoring-options。 html

开:跟踪 SNMP 活动 默认情况下,Junos OS 不跟踪任何 SNMP 活动。要在运行 Junos OS 的设备上启用对 SNMP 活动的跟踪,请在 [edit snmp] 层次结构级别包含 traceoptions 语句。

示例 traceoptions 配置可能如下所示。标记所有可能是过程密集型的,因此请注意 CPU 统计信息:

[edit snmp]
set traceoptions flag all;

您可以随时访问瞻博网络论坛,我看到您已经完成了(基于两个站点的用户名):https : //forums.juniper.net/t5/Ethernet-Switching/EX4300-MAC-limiting-SNMP-trap/td -p/459540

在论坛上给出的建议:

  • 您可以配置“set snmp traceoptions flag pdu”并检查 /var/log/snmpd 以查看是否生成了 jnxSecAccessIfMacLimitExceed 陷阱。
  • 如果您有自由,请查看最新的 JTAC 推荐版本:https ://kb.juniper.net/InfoCenter/index?page=content&id =kb21476
  • 完全删除类别层次结构并尝试跟踪
  • 参与 JTAC
其它你可能感兴趣的问题
上一篇在内部采用 ipv6 的好处? 下一篇我不能设置最后的网关