هذه المقالة مخصصة لميزات مراقبة معدات الشبكة باستخدام بروتوكول SNMPv3. سنتحدث عن SNMPv3 ، وسأشارك تجربتي في إنشاء قوالب كاملة في Zabbix ، وأظهر ما يمكن تحقيقه عند تنظيم التنبيه الموزع في شبكة كبيرة. SNMP هو البروتوكول الرئيسي لمراقبة معدات الشبكة ، و Zabbix رائع لمراقبة عدد كبير من الكائنات وتلخيص كميات كبيرة من المقاييس الواردة.
بضع كلمات حول SNMPv3
لنبدأ بالغرض من بروتوكول SNMPv3 وميزات استخدامه. مهام SNMP - مراقبة أجهزة الشبكة ، والإدارة الأولية عن طريق إرسال أوامر بسيطة إليها (على سبيل المثال ، تمكين وتعطيل واجهات الشبكة ، أو إعادة تشغيل الجهاز).
الاختلاف الرئيسي بين بروتوكول SNMPv3 وإصداراته السابقة هو ميزات الأمان الكلاسيكية [1-3] ، وهي:
- المصادقة (المصادقة) ، والتي تحدد أن الطلب قد تم استلامه من مصدر موثوق ؛
- التشفير (التشفير) ، لمنع الكشف عن البيانات المرسلة عند اعتراضها من قبل أطراف ثالثة ؛
- التكامل (النزاهة) ، أي ضمان عدم العبث بالحزمة أثناء النقل.
يشير SNMPv3 إلى استخدام نموذج أمان يتم فيه تعيين إستراتيجية المصادقة لمستخدم معين والمجموعة التي ينتمي إليها (في الإصدارات السابقة من SNMP ، تمت مقارنة "المجتمع" فقط في طلب من الخادم إلى كائن المراقبة ، سلسلة نصية مع "كلمة مرور" منقولة بنص واضح (نص عادي)).
يقدم SNMPv3 مفهوم مستويات الأمان - مستويات الأمان المقبولة التي تحدد تكوين الأجهزة وسلوك عامل SNMP للكائن الذي يخضع للمراقبة. يحدد الجمع بين نموذج الأمان ومستوى الأمان آلية الأمان المستخدمة عند معالجة حزمة SNMP [4].
يصف الجدول مجموعات النماذج ومستويات أمان SNMPv3 (قررت ترك الأعمدة الثلاثة الأولى كما في الأصل):
وفقًا لذلك ، سوف نستخدم SNMPv3 في وضع المصادقة المشفر.
تكوين SNMPv3
تفترض مراقبة معدات الشبكة نفس تكوين بروتوكول SNMPv3 على كل من خادم المراقبة والكائن المراقب.
لنبدأ بتكوين جهاز شبكة Cisco ، يكون الحد الأدنى من التكوين المطلوب كما يلي (نستخدم CLI للتكوين ، لقد قمت بتبسيط الأسماء وكلمات المرور لتجنب الالتباس):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedتحدد مجموعة خادم snmp-line الأول مجموعة مستخدمي SNMPv3 (snmpv3group) ، ووضع القراءة (قراءة) ، وحق الوصول لمجموعة snmpv3group لعرض فروع معينة من شجرة MIB لكائن المراقبة (snmpv3name أيضًا في التكوين يحدد أي فرع من شجرة MIB يمكن للمجموعة التي تنتمي إليها snmpv3group الوصول).
يحدد مستخدم snmp-server في السطر الثاني مستخدم snmpv3user وعضويته في مجموعة snmpv3group وكذلك استخدام مصادقة md5 (كلمة المرور لـ md5 هي md5v3v3v3) وتشفير des (كلمة المرور لـ des56v3v3v3). بالطبع ، بدلاً من des من الأفضل استخدام aes ، هنا أقدمها على سبيل المثال فقط. أيضًا ، عند تحديد مستخدم ، يمكنك إضافة قائمة وصول (ACL) تنظم عناوين IP لخوادم المراقبة التي لها الحق في مراقبة هذا الجهاز - وهذه أيضًا أفضل ممارسة ، لكنني لن أعقد مثالنا.
يعرّف عرض خادم snmp-line الثالث اسمًا رمزيًا يعرّف فروع شجرة MIB snmpv3name بحيث يمكن الاستعلام عنها بواسطة مجموعة مستخدمي snmpv3group. يسمح ISO ، بدلاً من تحديد فرع واحد بشكل صارم ، لمجموعة مستخدمي snmpv3group بالوصول إلى جميع الكائنات في شجرة MIB لكائن المراقبة.
يبدو إعداد جهاز Huawei مشابهًا (أيضًا في CLI) كما يلي:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3بعد تكوين أجهزة الشبكة ، تحتاج إلى التحقق من الوصول من خادم المراقبة عبر بروتوكول SNMPv3 ، سأستخدم snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
أداة أكثر وصفية للاستعلام عن معرفات OID محددة باستخدام ملفات MIB هي snmpget:
الآن دعنا ننتقل إلى إعداد عنصر نموذجي لـ SNMPv3 ، ضمن إطار عمل قالب Zabbix. من أجل التبسيط واستقلالية MIB ، أستخدم معرفات الكائن الرقمية:
أستخدم وحدات ماكرو مخصصة في الحقول الرئيسية حيث ستكون هي نفسها لجميع عناصر البيانات في القالب. يمكنك تعيينها داخل قالب ، إذا كانت جميع أجهزة الشبكة في شبكتك لها نفس إعدادات SNMPv3 ، أو داخل مضيف ، إذا كانت إعدادات SNMPv3 لكائنات المراقبة المختلفة مختلفة:
يرجى ملاحظة أن نظام المراقبة يحتوي فقط على اسم مستخدم وكلمات مرور للمصادقة والتشفير. يتم تعيين مجموعة المستخدمين ومنطقة كائنات MIB المسموح بالوصول إليها على كائن المراقبة.
الآن دعنا ننتقل إلى ملء النموذج.
نموذج الاستطلاع في Zabbix
هناك قاعدة بسيطة عند إنشاء أي قوالب استطلاع وهي جعلها مفصلة قدر الإمكان:
إنني أهتم كثيرًا بالمخزون ، بحيث يكون العمل مع شبكة كبيرة أكثر ملاءمة. المزيد عن ذلك لاحقًا ، ولكن في الوقت الحالي ، المشغلات:
لتسهيل تصور المشغلات ، تحتوي أسماؤها على وحدات ماكرو النظام {HOST.CONN} بحيث لا تعرض لوحة المعلومات في قسم التنبيه أسماء الأجهزة فحسب ، بل تعرض أيضًا عناوين IP ، على الرغم من أن هذا الأمر يتعلق بالراحة أكثر من كونه ضرورة. لتحديد ما إذا كان الجهاز لا يمكن الوصول إليه ، بالإضافة إلى طلب الصدى المعتاد ، أستخدم التحقق من عدم إمكانية وصول المضيف عبر بروتوكول SNMP ، عندما يمكن الوصول إلى الكائن عبر ICMP ، ولكنه لا يستجيب لطلبات SNMP - هذا الموقف ممكن ، على سبيل المثال ، عند تكرار عناوين IP على أجهزة مختلفة ، بسبب جدران الحماية المكونة بشكل غير صحيح ، أو إعدادات SNMP غير الصحيحة على الكائنات المراقبة. إذا كنت تستخدم التحقق من توفر العقد عبر ICMP فقط ، في وقت التحقيق في الحوادث في الشبكة ، فقد لا تكون بيانات المراقبة متاحة ، لذلك يجب التحكم في استلامها.
دعنا ننتقل إلى اكتشاف واجهات الشبكة - بالنسبة لمعدات الشبكة ، هذه هي وظيفة المراقبة الأكثر أهمية. نظرًا لأنه يمكن أن يكون هناك المئات من الواجهات على جهاز الشبكة ، فمن الضروري تصفية الواجهات غير الضرورية حتى لا تشوش التصور وتشوش قاعدة البيانات.
أستخدم وظيفة اكتشاف SNMP القياسية ، مع المزيد من الخيارات القابلة للاكتشاف ، لتصفية أكثر مرونة:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
مع هذا الاكتشاف ، يمكنك تصفية واجهات الشبكة حسب أنواعها و "أوصاف" المستخدم وحالات المنفذ الإداري. تبدو عوامل التصفية والتعبيرات العادية للتصفية في حالتي كما يلي:
عند اكتشافها ، سيتم استبعاد الواجهات التالية:
- تم تعطيله يدويًا (adminstatus <> 1) ، وذلك بفضل IFADMINSTATUS ؛
- عدم وجود وصف نصي ، وذلك بفضل IFALIAS ؛
- وجود الرمز * في وصف النص ، وذلك بفضل IFALIAS ؛
- التي هي خدمية أو تقنية ، بفضل IFDESCR (في حالتي ، في التعبيرات العادية يتم التحقق من IFALIAS و IFDESCR بواسطة اسم مستعار واحد للتعبير العادي).
نموذج جمع بيانات SNMPv3 جاهز تقريبًا. دعنا لا نتعمق في النماذج الأولية لعناصر البيانات لواجهات الشبكة ، دعنا ننتقل إلى النتائج.
نتائج المراقبة
بادئ ذي بدء ، جرد لشبكة صغيرة:
إذا قمت بإعداد قوالب لكل سلسلة من أجهزة الشبكة ، فيمكنك تحقيق تخطيط مناسب لتحليل البيانات الموجزة عن البرنامج الحالي والأرقام التسلسلية والإشعارات حول وصول منظف الخادم (بسبب انخفاض وقت التشغيل). مقتطف من قائمة القوالب الخاصة بي أدناه:
والآن - لوحة القيادة الرئيسية ، مع المشغلات الموزعة حسب مستويات الأهمية:
بفضل نهج متكامل للقوالب لكل نموذج من الأجهزة في الشبكة ، من الممكن التأكد من أنه في إطار نظام مراقبة واحد سيتم تنظيم أداة للتنبؤ بالأعطال والحوادث (في حالة توفر أجهزة الاستشعار والمقاييس المناسبة). يعتبر Zabbix مناسبًا تمامًا لمراقبة الشبكة والخادم والبنى التحتية للخدمة ومهمة صيانة معدات الشبكة توضح بوضوح قدراتها.
قائمة المصادر المستخدمة:1. دليل الشهادات الرسمي لـ Hucaby D. CCNP للتوجيه والتبديل 300-115. مطبعة سيسكو ، 2014. 325-329.
2. آر إف سي 3410.
3. آر إف سي 3415.
4. دليل تكوين SNMP ، الإصدار 3SE من Cisco IOS XE. الفصل: SNMP الإصدار 3.
المصدر: www.habr.com