Hierdie artikel word gewy aan die kenmerke van die monitering van netwerktoerusting met behulp van die SNMPv3-protokol. Ons sal praat oor SNMPv3, ek sal my ervaring deel met die skep van volwaardige sjablone in Zabbix, en wys wat bereik kan word wanneer verspreide waarskuwing in 'n groot netwerk georganiseer word. SNMP is die hoofprotokol vir die monitering van netwerktoerusting, en Zabbix is ideaal om 'n groot aantal voorwerpe te monitor en groot hoeveelhede inkomende statistieke op te som.
'N Paar woorde oor SNMPv3
Kom ons begin met die doel van die SNMPv3-protokol, en die kenmerke van die gebruik daarvan. SNMP-take - monitering van netwerktoestelle, en elementêre bestuur deur eenvoudige opdragte na hulle te stuur (byvoorbeeld, aktiveer en deaktiveer netwerkkoppelvlakke, of herlaai die toestel).
Die belangrikste verskil tussen die SNMPv3-protokol en sy vorige weergawes is die klassieke sekuriteitskenmerke [1-3], naamlik:
- stawing (Authentication), wat bepaal dat die versoek van 'n vertroude bron ontvang is;
- enkripsie (Enkripsie), om die openbaarmaking van oorgedrade data te voorkom wanneer dit deur derde partye onderskep word;
- integriteit (Integriteit), dit wil sê 'n waarborg dat daar nie met die pakkie gepeuter is tydens vervoer nie.
SNMPv3 impliseer die gebruik van 'n sekuriteitsmodel waarin die verifikasiestrategie gestel is vir 'n gegewe gebruiker en die groep waaraan hy behoort (in vorige weergawes van SNMP is slegs "gemeenskap" vergelyk in 'n versoek van die bediener met die moniteringsobjek, 'n teksstring met 'n "wagwoord" wat in duidelike teks (plaintext) versend word.
SNMPv3 stel die konsep van sekuriteitsvlakke bekend – aanvaarbare sekuriteitsvlakke wat die hardewarekonfigurasie en gedrag van die gemonitorde voorwerp se SNMP-agent bepaal. Die kombinasie van sekuriteitsmodel en sekuriteitsvlak bepaal watter sekuriteitsmeganisme gebruik word wanneer 'n SNMP-pakkie verwerk word [4].
Die tabel beskryf die kombinasies van modelle en SNMPv3-sekuriteitsvlakke (ek het besluit om die eerste drie kolomme soos in die oorspronklike te laat):
Gevolglik sal ons SNMPv3 in geënkripteerde verifikasiemodus gebruik.
SNMPv3-konfigurasie
Monitering van netwerktoerusting veronderstel dieselfde konfigurasie van die SNMPv3-protokol op beide die moniteringsbediener en die gemonitorde voorwerp.
Kom ons begin deur die Cisco-netwerktoestel te konfigureer, die minimum vereiste konfigurasie is soos volg (ons gebruik die CLI vir konfigurasie, ek het die name en wagwoorde vereenvoudig om verwarring te voorkom):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedDie eerste reël snmp-bediener groep definieer die groep SNMPv3 gebruikers (snmpv3group), die leesmodus (lees) en die toegangsreg van die snmpv3group groep om sekere takke van die MIB boom van die moniteringsobjek te sien (snmpv3name verder in die konfigurasie spesifiseer tot watter takke van die MIB-boom die groep behoort snmpv3group toegang sal hê).
Die tweede reël snmp-bediener gebruiker definieer die snmpv3user gebruiker, sy lidmaatskap in die snmpv3group groep, sowel as die gebruik van md5 verifikasie (die wagwoord vir md5 is md5v3v3v3) en des enkripsie (die wagwoord vir des is des56v3v3v3). Natuurlik, in plaas van des is dit beter om aes te gebruik, hier gee ek dit net vir 'n voorbeeld. Ook, wanneer u 'n gebruiker definieer, kan u 'n toegangslys (ACL) byvoeg wat die IP-adresse reguleer van moniteringsbedieners wat die reg het om hierdie toestel te monitor - dit is ook die beste praktyk, maar ek sal nie ons voorbeeld kompliseer nie.
Die derde reël snmp-bediener-aansig definieer 'n kodenaam wat takke van die snmpv3name MIB-boom definieer sodat hulle deur die snmpv3group-gebruikersgroep navraag gedoen kan word. ISO, in plaas daarvan om 'n enkele tak streng te definieer, laat die snmpv3group-gebruikersgroep toegang tot alle voorwerpe in die MIB-boom van die moniteringsvoorwerp.
'n Soortgelyke Huawei hardeware-opstelling (ook in CLI) is soos volg:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Nadat u netwerktoestelle gekonfigureer het, moet u kyk vir toegang vanaf die moniteringsbediener via die SNMPv3-protokol, ek sal snmpwalk gebruik:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
'n Meer beskrywende hulpmiddel vir die navrae van spesifieke OID's met MIB-lêers is snmpget:
Kom ons gaan nou voort met die opstel van 'n tipiese item vir SNMPv3, binne die raamwerk van die Zabbix-sjabloon. Vir eenvoud en MIB-onafhanklikheid gebruik ek numeriese OID's:
Ek gebruik pasgemaakte makro's in die sleutelvelde aangesien dit dieselfde sal wees vir alle data-elemente in die sjabloon. Jy kan dit binne 'n sjabloon stel, as alle netwerktoestelle in jou netwerk dieselfde SNMPv3-instellings het, of binne 'n gasheer, as die SNMPv3-instellings vir verskillende moniteringsvoorwerpe verskil:
Neem asseblief kennis dat die moniteringstelsel slegs 'n gebruikersnaam en wagwoorde vir verifikasie en enkripsie het. Die groep gebruikers en die area van MIB-voorwerpe waartoe toegang toegelaat word, word op die moniteringsvoorwerp gestel.
Kom ons gaan nou aan om die sjabloon te vul.
Meningspeiling sjabloon in Zabbix
'n Eenvoudige reël wanneer enige opnamesjablone geskep word, is om dit so gedetailleerd moontlik te maak:
Ek gee baie aandag aan voorraad sodat dit geriefliker is om met 'n groot netwerk te werk. Meer daaroor later, maar vir eers, snellers:
Vir die gerief om snellers te visualiseer, bevat hul name {HOST.CONN}-stelselmakro's sodat die dashboard in die waarskuwingsafdeling nie net toestelname nie, maar ook IP-adresse vertoon, alhoewel dit meer 'n kwessie van gerief as noodsaaklikheid is. Om te bepaal of 'n toestel ontoeganklik is, gebruik ek, benewens die gewone eggo-versoek, nagaan vir gasheerontoeganklikheid via SNMP-protokol, wanneer die voorwerp via ICMP toeganklik is, maar nie op SNMP-versoeke reageer nie - hierdie situasie is moontlik, byvoorbeeld, wanneer IP-adresse op verskillende toestelle gedupliseer word, as gevolg van verkeerd opgestelde firewalls, of verkeerde SNMP-instellings op gemonitorde voorwerpe. As jy die beskikbaarheid van nodusse slegs via ICMP gebruik, ten tyde van die ondersoek van voorvalle in die netwerk, is moniteringsdata dalk nie beskikbaar nie, dus moet die ontvangs daarvan beheer word.
Kom ons gaan aan om netwerkkoppelvlakke te ontdek – vir netwerktoerusting is dit die belangrikste moniteringsfunksie. Aangesien daar honderde koppelvlakke op 'n netwerktoestel kan wees, is dit nodig om onnodige koppelvlakke uit te filtreer om nie die visualisering deurmekaar te maak en die databasis deurmekaar te maak nie.
Ek gebruik die standaard SNMP-ontdekkingsfunksie, met meer opspoorbare opsies, vir meer buigsame filtering:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Met hierdie ontdekking kan jy netwerkkoppelvlakke filter volgens hul tipes, gebruiker "beskrywings" en administratiewe poortstatusse. Filters en gereelde uitdrukkings vir filtering lyk in my geval soos volg:
Wanneer dit bespeur word, sal die volgende koppelvlakke uitgesluit word:
- handmatig gedeaktiveer (adminstatus<>1), danksy IFADMINSTATUS;
- met geen tekstuele beskrywing nie, danksy IFALIAS;
- met die simbool * in die teksbeskrywing, danksy IFALIAS;
- wat diens of tegnies is, danksy IFDESCR (in my geval word IFALIAS en IFDESCR in gereelde uitdrukkings gekontroleer deur een gewone uitdrukking-alias).
Die SNMPv3-data-insamelingssjabloon is amper gereed. Laat ons nie stilstaan by die prototipes van data-elemente vir netwerkkoppelvlakke nie, kom ons gaan voort na die resultate.
Resultate van monitering
Om mee te begin, 'n inventaris van 'n klein netwerk:
As jy sjablone vir elke reeks netwerktoestelle voorberei, kan jy 'n gerieflike uitleg bewerkstellig vir die ontleding van opsommingsdata oor huidige sagteware, reeksnommers en kennisgewings oor die aankoms van 'n bedienerskoonmaker (as gevolg van lae Uptime). 'n Uittreksel uit my lys sjablone is hieronder:
En nou - die hoofkontroleskerm, met snellers versprei volgens belangrikheidsvlakke:
Danksy 'n geïntegreerde benadering tot sjablone vir elke model van toestelle in die netwerk, is dit moontlik om te verseker dat binne die raamwerk van een moniteringstelsel 'n instrument vir die voorspelling van foute en ongelukke georganiseer sal word (indien toepaslike sensors en statistieke beskikbaar is). Zabbix is goed geskik vir die monitering van netwerk-, bediener-, diensinfrastruktuur, en die taak om netwerktoerusting in stand te hou, demonstreer duidelik sy vermoëns.
Lys van bronne wat gebruik is:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Amptelike Sertifiseringsgids. Cisco Press, 2014.pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP-konfigurasiegids, Cisco IOS XE Release 3SE. Hoofstuk: SNMP Weergawe 3.
Bron: will.com