ይህ መጣጥፍ የ SNMPv3 ፕሮቶኮልን በመጠቀም የአውታረ መረብ መሳሪያዎችን የመከታተል ባህሪዎች ላይ ያተኮረ ነው። ስለ SNMPv3 እንነጋገራለን, በዛቢክስ ውስጥ ሙሉ-ሙሉ አብነቶችን ለመፍጠር ያለኝን ልምድ እናካፍላለን, እና በትልቅ አውታረመረብ ውስጥ የተከፋፈለ ማንቂያን ሲያደራጅ ምን ሊሳካ እንደሚችል አሳይሻለሁ. የ SNMP ፕሮቶኮል የአውታረ መረብ መሳሪያዎችን ሲቆጣጠር ዋናው ነው, እና Zabbix ብዙ እቃዎችን ለመቆጣጠር እና ብዙ የገቢ መለኪያዎችን ለማጠቃለል በጣም ጥሩ ነው.
ስለ SNMPv3 ጥቂት ቃላት
በ SNMPv3 ፕሮቶኮል ዓላማ እና በአጠቃቀሙ ባህሪያት እንጀምር። የ SNMP ተግባራት ቀላል ትዕዛዞችን ለእነሱ በመላክ የኔትወርክ መሳሪያዎችን እና መሰረታዊ አስተዳደርን መከታተል ነው (ለምሳሌ የአውታረ መረብ በይነገጾችን ማንቃት እና ማሰናከል ወይም መሣሪያውን እንደገና ማስጀመር)።
በ SNMPv3 ፕሮቶኮል እና በቀድሞዎቹ ስሪቶች መካከል ያለው ዋና ልዩነት የጥንታዊ የደህንነት ተግባራት [1-3] ነው፣ እነሱም፡-
- ጥያቄው ከታመነ ምንጭ መቀበሉን የሚወስን ማረጋገጫ;
- ምስጠራ (ምስጠራ), በሶስተኛ ወገኖች ሲጠለፉ የተላለፈውን መረጃ እንዳይገለጽ ለመከላከል;
- ታማኝነት, ማለትም, በሚተላለፉበት ጊዜ ፓኬጁ ያልተነካካ ለመሆኑ ዋስትና.
SNMPv3 የሚያመለክተው የማረጋገጫ ስልት ለተጠቀሰው ተጠቃሚ እና እሱ ያለበት ቡድን የተቀናበረበትን የደህንነት ሞዴል መጠቀምን ነው (በቀደሙት የ SNMP ስሪቶች ከአገልጋዩ ለክትትል ዕቃው የቀረበው ጥያቄ “ማህበረሰብ” ብቻ ነው ፣ ጽሁፍ ሕብረቁምፊ ከ "የይለፍ ቃል" ጋር ግልጽ በሆነ ጽሑፍ ውስጥ የሚተላለፍ.
SNMPv3 የደህንነት ደረጃዎችን ጽንሰ-ሀሳብ ያስተዋውቃል - ተቀባይነት ያለው የደህንነት ደረጃዎች የመሳሪያውን ውቅር እና የክትትል ነገርን የ SNMP ወኪል ባህሪን የሚወስኑ. የደህንነት ሞዴል እና የደህንነት ደረጃ ጥምረት የ SNMP ፓኬት ሲሰራ የትኛው የደህንነት ዘዴ ጥቅም ላይ እንደሚውል ይወስናል።
ሠንጠረዡ የሞዴሎችን እና የ SNMPv3 የደህንነት ደረጃዎችን ውህዶች ይገልጻል (የመጀመሪያዎቹን ሶስት አምዶች እንደ መጀመሪያው ለመተው ወሰንኩ)
በዚህ መሠረት, ምስጠራን በመጠቀም SNMPv3 በማረጋገጫ ሁነታ እንጠቀማለን.
SNMPv3 በማዋቀር ላይ
የክትትል አውታረ መረብ መሳሪያዎች በሁለቱም የክትትል አገልጋይ እና ክትትል በሚደረግበት ነገር ላይ የ SNMPv3 ፕሮቶኮል ተመሳሳይ ውቅር ያስፈልጋቸዋል።
የ Cisco አውታረ መረብ መሳሪያን በማዘጋጀት እንጀምር፣ የሚፈለገው ዝቅተኛ ውቅር እንደሚከተለው ነው (ለውቅረት እኛ CLI ን እንጠቀማለን፣ ግራ መጋባትን ለማስወገድ ስሞቹን እና የይለፍ ቃሎችን ቀለል አድርጌያለሁ)
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedየመጀመሪያው መስመር snmp-አገልጋይ ቡድን - የ SNMPv3 ተጠቃሚዎችን ቡድን (snmpv3group) ፣ የንባብ ሁነታን (ማንበብ) እና የ snmpv3ቡድን ቡድን የተወሰኑ የክትትል ዕቃዎችን የ MIB ዛፍ ቅርንጫፎች የመመልከት መብትን ይገልፃል (snmpv3name ከዚያም በ ውስጥ ውቅሩ የትኛውን የ MIB ዛፍ ቅርንጫፎች ቡድኑ ማግኘት እንደሚችል ይገልጻል snmpv3group ማግኘት ይችላል።)
ሁለተኛው መስመር snmp-server ተጠቃሚ - ተጠቃሚውን snmpv3user, በ snmpv3group ቡድን ውስጥ ያለውን አባልነት, እንዲሁም የ md5 ማረጋገጫ አጠቃቀምን (የ md5 የይለፍ ቃል md5v3v3v3 ነው) እና des ምስጠራ (የ des የይለፍ ቃል des56v3v3v3 ነው) ይገልጻል። እርግጥ ነው፣ ከዴስ ይልቅ aes ን መጠቀም የተሻለ ነው፣ እኔ እዚህ እንደ ምሳሌ እየሰጠሁት ነው። እንዲሁም ተጠቃሚን በሚገልጹበት ጊዜ ይህንን መሳሪያ የመከታተል መብት ያላቸውን የክትትል ሰርቨሮች የአይፒ አድራሻዎችን የሚቆጣጠር የመዳረሻ ዝርዝር (ኤሲኤል) ማከል ይችላሉ - ይህ በጣም ጥሩ ልምምድ ነው ፣ ግን ምሳሌያችንን አላወሳስበውም።
የሶስተኛው መስመር የ snmp-server view በ snmpv3group ተጠቃሚ ቡድን እንዲጠየቁ የ snmpv3name MIB ዛፍ ቅርንጫፎችን የሚገልጽ ኮድ ስም ይገልጻል። ISO፣ ነጠላ ቅርንጫፍን በጥብቅ ከመግለጽ ይልቅ፣ የ snmpv3group ተጠቃሚ ቡድን የክትትል ዕቃውን MIB ዛፍ ውስጥ ያሉትን ሁሉንም ነገሮች እንዲደርስ ያስችለዋል።
ለHuawei መሳሪያዎች (እንዲሁም በCLI ውስጥ) ተመሳሳይ ማዋቀር ይህንን ይመስላል።
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3የአውታረ መረብ መሳሪያዎችን ካቀናበሩ በኋላ ከክትትል አገልጋዩ በ SNMPv3 ፕሮቶኮል በኩል መድረስ እንዳለብዎ ማረጋገጥ ያስፈልግዎታል ፣ እኔ snmpwalk እጠቀማለሁ ።
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB ፋይሎችን በመጠቀም የተወሰኑ የኦአይዲ ነገሮችን ለመጠየቅ የበለጠ ምስላዊ መሳሪያ ነው snmpget፡
አሁን በ Zabbix አብነት ውስጥ ለ SNMPv3 የተለመደ የውሂብ አካል ወደማዋቀር እንሂድ። ለቀላልነት እና ለኤምቢቢ ነፃነት፣ ዲጂታል ኦአይዲዎችን እጠቀማለሁ፡-
እኔ በቁልፍ መስኮች ብጁ ማክሮዎችን እጠቀማለሁ ምክንያቱም በአብነት ውስጥ ላሉት ሁሉም የውሂብ አካላት ተመሳሳይ ስለሚሆኑ ነው። በአውታረ መረብዎ ውስጥ ያሉት ሁሉም የአውታረ መረብ መሳሪያዎች ተመሳሳይ SNMPv3 መለኪያዎች ካላቸው ወይም በአውታረ መረብ መስቀለኛ መንገድ ውስጥ ለተለያዩ የክትትል ዕቃዎች የ SNMPv3 መለኪያዎች የተለያዩ ከሆኑ በአብነት ውስጥ ሊያዋቅሯቸው ይችላሉ።
እባክዎን የክትትል ስርዓቱ ለማረጋገጫ እና ለማመሳጠር የተጠቃሚ ስም እና የይለፍ ቃሎች ብቻ እንዳለው ልብ ይበሉ። የተጠቃሚው ቡድን እና የ MIB ነገሮች መዳረሻ የሚፈቀድላቸው ወሰን በክትትል ነገሩ ላይ ተገልጸዋል።
አሁን አብነቱን ወደ መሙላት እንሂድ።
Zabbix የሕዝብ አስተያየት አብነት
ማናቸውንም የዳሰሳ አብነቶች ሲፈጥሩ ቀላል ህግ በተቻለ መጠን ዝርዝር ማድረግ ነው፡-
ከትልቅ አውታረመረብ ጋር ለመስራት ቀላል እንዲሆን ለዕቃዎች ከፍተኛ ትኩረት እሰጣለሁ. በዚህ ላይ ትንሽ ቆይቶ፣ ግን ለአሁን - ቀስቅሴዎች፡-
ቀስቅሴዎችን በቀላሉ ለማየት፣ የስርዓት ማክሮዎች {HOST.CONN} በስማቸው ውስጥ ተካትተዋል ስለዚህ የመሣሪያ ስሞች ብቻ ሳይሆን የአይፒ አድራሻዎችም በዳሽቦርዱ ላይ በማንቂያው ክፍል ላይ ይታያሉ ፣ ምንም እንኳን ይህ ከአስፈላጊነቱ የበለጠ የምቾት ጉዳይ ቢሆንም . አንድ መሣሪያ የማይገኝ መሆኑን ለማወቅ፣ ከተለመደው የማስተጋባት ጥያቄ በተጨማሪ፣ የ SNMP ፕሮቶኮሉን በመጠቀም የአስተናጋጅ አለመገኘት ቼክን እጠቀማለሁ፣ እቃው በ ICMP በኩል ሲደረስ ግን ለ SNMP ጥያቄዎች ምላሽ በማይሰጥበት ጊዜ - ይህ ሁኔታ ይቻላል ፣ ለምሳሌ ፣ , የአይ ፒ አድራሻዎች በተለያዩ መሳሪያዎች ላይ ሲባዙ፣ ትክክል ባልሆኑ የተዋቀሩ ፋየርዎሎች ወይም በክትትል ዕቃዎች ላይ ትክክል ባልሆኑ የ SNMP ቅንብሮች። የአስተናጋጅ ተገኝነት ማረጋገጥን በICMP በኩል ብቻ ከተጠቀሙ፣ በኔትወርኩ ላይ የተከሰቱትን ክስተቶች በሚመረመሩበት ጊዜ፣ የክትትል መረጃ ላይገኝ ይችላል፣ ስለዚህ ደረሰኝ ክትትል ሊደረግበት ይገባል።
የአውታረ መረብ በይነገጾችን ወደ መፈለግ እንሂድ - ለአውታረ መረብ መሣሪያዎች ይህ በጣም አስፈላጊው የክትትል ተግባር ነው። በአውታረ መረብ መሳሪያ ላይ በመቶዎች የሚቆጠሩ በይነገጾች ሊኖሩ ስለሚችሉ ምስሉን እንዳያደናቅፉ ወይም የውሂብ ጎታውን እንዳያደናቅፉ አላስፈላጊዎቹን ማጣራት ያስፈልጋል።
ለበለጠ ተለዋዋጭ ማጣሪያ መደበኛውን የ SNMP ግኝት ተግባር የበለጠ ሊገኙ በሚችሉ መለኪያዎች እየተጠቀምኩ ነው፡
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
በዚህ ግኝት የኔትወርክ በይነገጾችን በአይነታቸው፣ በብጁ መግለጫዎች እና በአስተዳደር ወደብ ሁኔታ ማጣራት ይችላሉ። በእኔ ጉዳይ ላይ ለማጣራት ማጣሪያዎች እና መደበኛ መግለጫዎች ይህን ይመስላሉ፡-
ከተገኙ፣ የሚከተሉት በይነገጾች ይገለላሉ፡-
- በእጅ ተሰናክሏል (adminstatus<>1)፣ ለ IFADMINSTATUS ምስጋና ይግባውና;
- ያለ የጽሑፍ መግለጫ, ለ IFALIAS ምስጋና ይግባው;
- በጽሑፍ መግለጫው ውስጥ ምልክት * ያለው ፣ ለ IFALIAS ምስጋና ይግባው;
- አገልግሎት ወይም ቴክኒካል የሆኑ፣ ለIFEDESCR (በእኔ ሁኔታ፣ በመደበኛ አገላለጾች IFALIAS እና IFDESCR በአንድ መደበኛ አገላለጽ ተለዋጭ ስም ተረጋግጠዋል)።
የ SNMPv3 ፕሮቶኮልን በመጠቀም መረጃን ለመሰብሰብ አብነት ዝግጁ ነው። ለአውታረ መረብ በይነገጾች የውሂብ አካላት ምሳሌዎች ላይ በበለጠ ዝርዝር አንቀመጥም ፣ ወደ ውጤቶቹ እንሂድ።
የክትትል ውጤቶች
ለመጀመር፣ የአነስተኛ አውታረ መረብን ክምችት ውሰድ፡-
ለእያንዳንዱ ተከታታይ የአውታረ መረብ መሳሪያዎች አብነቶችን ካዘጋጁ፣ አሁን ባለው ሶፍትዌር፣ ተከታታይ ቁጥሮች እና ወደ አገልጋዩ ስለሚመጣ ማጽጃ (በአነስተኛ Uptime ምክንያት) የማጠቃለያ ውሂብን ለመተንተን ቀላል የሆነ አቀማመጥ ማግኘት ይችላሉ። የእኔ የአብነት ዝርዝር ቅንጭብ ከታች ነው፡-
እና አሁን - ዋናው የክትትል ፓነል ፣ ቀስቅሴዎች በክብደት ደረጃዎች ይሰራጫሉ
በኔትወርኩ ውስጥ ላለው ለእያንዳንዱ መሳሪያ ሞዴል የተቀናጀ አቀራረብ ምስጋና ይግባውና በአንድ የክትትል ስርዓት ማዕቀፍ ውስጥ ስህተቶችን እና አደጋዎችን ለመተንበይ መሳሪያ መደራጀቱን ማረጋገጥ ይቻላል (ተገቢ ዳሳሾች እና መለኪያዎች ካሉ)። ዛቢክስ የአውታረ መረብ ፣ የአገልጋይ እና የአገልግሎት መሠረተ ልማቶችን ለመከታተል በጣም ተስማሚ ነው ፣ እና የአውታረ መረብ መሳሪያዎችን የመጠበቅ ተግባር አቅሙን በግልፅ ያሳያል።
ያገለገሉ ምንጮች ዝርዝር፡-1. Hucaby D. CCNP ማዘዋወር እና መቀየር 300-115 ኦፊሴላዊ የምስክር ወረቀት መመሪያ. Cisco ፕሬስ, 2014. ፒ. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP ውቅር መመሪያ, Cisco IOS XE መለቀቅ 3SE. ምዕራፍ፡ SNMP ስሪት 3
ምንጭ: hab.com