Bu məqalə SNMPv3 protokolundan istifadə edərək şəbəkə avadanlıqlarının monitorinqinin xüsusiyyətlərinə həsr edilmişdir. SNMPv3 haqqında danışacağıq, Zabbix-də tam hüquqlu şablonlar yaratmaq təcrübəmi bölüşəcəyəm və böyük bir şəbəkədə paylanmış xəbərdarlıq təşkil edərkən nəyə nail ola biləcəyimi göstərəcəyəm. SNMP protokolu şəbəkə avadanlığının monitorinqi zamanı əsas protokoldur və Zabbix çox sayda obyekti izləmək və böyük həcmdə daxil olan ölçüləri ümumiləşdirmək üçün əladır.
SNMPv3 haqqında bir neçə söz
SNMPv3 protokolunun məqsədi və onun istifadə xüsusiyyətləri ilə başlayaq. SNMP-nin vəzifələri şəbəkə cihazlarına nəzarət etmək və onlara sadə əmrlər göndərməklə (məsələn, şəbəkə interfeyslərini işə salmaq və söndürmək və ya cihazı yenidən yükləmək) əsas idarəetmədir.
SNMPv3 protokolu ilə onun əvvəlki versiyaları arasındakı əsas fərq klassik təhlükəsizlik funksiyalarıdır [1-3], yəni:
- Sorğunun etibarlı mənbədən alındığını müəyyən edən autentifikasiya;
- üçüncü şəxslər tərəfindən ələ keçirildikdə ötürülən məlumatların açıqlanmasının qarşısını almaq üçün şifrələmə (Şifrələmə);
- bütövlük, yəni ötürmə zamanı paketin pozulmadığına zəmanət.
SNMPv3, müəyyən bir istifadəçi və onun aid olduğu qrup üçün autentifikasiya strategiyasının təyin olunduğu təhlükəsizlik modelinin istifadəsini nəzərdə tutur (SNMP-nin əvvəlki versiyalarında serverdən monitorinq obyektinə sorğu yalnız “icma” ilə müqayisədə, mətn aydın mətnlə (düz mətn) ötürülən “parol” ilə sətir).
SNMPv3 təhlükəsizlik səviyyələri konsepsiyasını təqdim edir - avadanlığın konfiqurasiyasını və monitorinq obyektinin SNMP agentinin davranışını müəyyən edən məqbul təhlükəsizlik səviyyələri. Təhlükəsizlik modeli və təhlükəsizlik səviyyəsinin birləşməsi SNMP paketinin işlənməsi zamanı hansı təhlükəsizlik mexanizmindən istifadə olunduğunu müəyyən edir [4].
Cədvəldə modellərin və SNMPv3 təhlükəsizlik səviyyələrinin birləşmələri təsvir olunur (ilk üç sütunu orijinalda olduğu kimi tərk etmək qərarına gəldim):
Müvafiq olaraq, biz şifrələmədən istifadə edərək autentifikasiya rejimində SNMPv3-dən istifadə edəcəyik.
SNMPv3 konfiqurasiyası
Şəbəkə avadanlığının monitorinqi həm monitorinq serverində, həm də monitorinq edilən obyektdə SNMPv3 protokolunun eyni konfiqurasiyasını tələb edir.
Cisco şəbəkə cihazının qurulması ilə başlayaq, onun minimum tələb olunan konfiqurasiyası aşağıdakı kimidir (konfiqurasiya üçün biz CLI-dən istifadə edirik, qarışıqlığın qarşısını almaq üçün adları və parolları sadələşdirdim):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedBirinci sətir snmp-server qrupu – SNMPv3 istifadəçiləri qrupunu (snmpv3group), oxu rejimini (oxumaq) və monitorinq obyektinin MIB ağacının müəyyən filiallarına baxmaq üçün snmpv3group qrupunun giriş hüququnu müəyyən edir (snmpv3name, sonra konfiqurasiya qrupun MIB ağacının hansı filiallarına daxil ola biləcəyini snmpv3group-un əldə edə biləcəyini müəyyən edir).
İkinci sətir snmp-server istifadəçisi – snmpv3user istifadəçisini, onun snmpv3group qrupuna üzvlüyünü, həmçinin md5 autentifikasiyasından (md5 üçün parol md5v3v3v3) və des şifrələməsindən (des üçün parol des56v3v3v) istifadəni müəyyən edir. Təbii ki, des əvəzinə aes istifadə etmək daha yaxşıdır, mən bunu burada misal kimi verirəm. Həmçinin, istifadəçini təyin edərkən, bu cihazı izləmək hüququ olan monitorinq serverlərinin IP ünvanlarını tənzimləyən giriş siyahısı (ACL) əlavə edə bilərsiniz - bu da ən yaxşı təcrübədir, amma nümunəmizi çətinləşdirməyəcəyəm.
Üçüncü sətir snmp-server görünüşü snmpv3name MIB ağacının filiallarını təyin edən kod adını müəyyən edir ki, onlar snmpv3group istifadəçi qrupu tərəfindən sorğulana bilsinlər. ISO, tək bir filialı ciddi şəkildə müəyyən etmək əvəzinə, snmpv3group istifadəçi qrupuna monitorinq obyektinin MIB ağacındakı bütün obyektlərə daxil olmaq imkanı verir.
Huawei avadanlığı üçün oxşar quraşdırma (həmçinin CLI-də) belə görünür:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Şəbəkə cihazlarını qurduqdan sonra SNMPv3 protokolu vasitəsilə monitorinq serverindən girişi yoxlamaq lazımdır, mən snmpwalk istifadə edəcəyəm:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB fayllarından istifadə edərək xüsusi OID obyektlərini tələb etmək üçün daha vizual alət snmpget-dir:
İndi Zabbix şablonu daxilində SNMPv3 üçün tipik məlumat elementinin qurulmasına keçək. Sadəlik və MIB müstəqilliyi üçün rəqəmsal OID-lərdən istifadə edirəm:
Mən əsas sahələrdə fərdi makrolardan istifadə edirəm, çünki onlar şablondakı bütün məlumat elementləri üçün eyni olacaq. Şəbəkənizdəki bütün şəbəkə cihazları eyni SNMPv3 parametrlərinə malikdirsə və ya müxtəlif monitorinq obyektləri üçün SNMPv3 parametrləri fərqlidirsə, şəbəkə node daxilində onları şablon daxilində təyin edə bilərsiniz:
Nəzərə alın ki, monitorinq sistemində yalnız autentifikasiya və şifrələmə üçün istifadəçi adı və parollar var. İstifadəçi qrupu və girişə icazə verilən MIB obyektlərinin əhatə dairəsi monitorinq obyektində göstərilir.
İndi şablonun doldurulmasına keçək.
Zabbix sorğu şablonu
Hər hansı bir sorğu şablonu yaratarkən sadə qayda onları mümkün qədər ətraflı etməkdir:
Böyük bir şəbəkə ilə işləməyi asanlaşdırmaq üçün inventarlara böyük diqqət yetirirəm. Bu barədə bir az sonra, lakin hələlik - tetikler:
Tətiklərin vizuallaşdırılmasının asanlığı üçün sistem makroları {HOST.CONN} onların adlarına daxil edilmişdir ki, xəbərdarlıq bölməsində tablosunda təkcə cihaz adları deyil, həm də IP ünvanları göstərilsin, baxmayaraq ki, bu, zərurətdən daha çox rahatlıq məsələsidir. . Cihazın əlçatmaz olub-olmadığını müəyyən etmək üçün, adi əks-səda sorğusuna əlavə olaraq, obyekt ICMP vasitəsilə əlçatan olduqda, lakin SNMP sorğularına cavab vermədikdə, SNMP protokolundan istifadə edərək, hostun əlçatmazlığının yoxlanılmasından istifadə edirəm - bu vəziyyət, məsələn, mümkündür. , yanlış konfiqurasiya edilmiş firewalllar və ya monitorinq obyektlərində səhv SNMP parametrləri səbəbindən IP ünvanları müxtəlif cihazlarda təkrarlandıqda. Əgər siz hostun mövcudluğunun yoxlanılmasından yalnız ICMP vasitəsilə istifadə edirsinizsə, şəbəkədə insidentlərin araşdırılması zamanı monitorinq məlumatları mövcud olmaya bilər, ona görə də onların alınmasına nəzarət edilməlidir.
Şəbəkə interfeyslərinin aşkarlanmasına keçək - şəbəkə avadanlığı üçün bu, ən vacib monitorinq funksiyasıdır. Şəbəkə cihazında yüzlərlə interfeys ola biləcəyi üçün vizuallaşdırmanı qarışdırmamaq və verilənlər bazasını qarışdırmamaq üçün lazımsız olanları süzgəcdən keçirmək lazımdır.
Mən daha çevik filtrləmə üçün daha aşkar edilə bilən parametrlərə malik standart SNMP kəşf funksiyasından istifadə edirəm:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Bu kəşflə siz şəbəkə interfeyslərini növlərinə, fərdi təsvirlərinə və inzibati port statuslarına görə süzgəcdən keçirə bilərsiniz. Mənim vəziyyətimdə süzgəc üçün filtrlər və müntəzəm ifadələr belə görünür:
Aşkar edilərsə, aşağıdakı interfeyslər xaric ediləcək:
- IFADMINSTATUS sayəsində əllə söndürüldü (adminstatus<>1);
- mətn təsviri olmadan, IFALIAS sayəsində;
- IFALIAS sayəsində mətn təsvirində * simvolunun olması;
- IFDESCR sayəsində xidmət və ya texniki olanlar (mənim vəziyyətimdə IFALIAS və IFDESCR müntəzəm ifadələrində bir normal ifadə ləqəbi ilə yoxlanılır).
SNMPv3 protokolundan istifadə edərək məlumat toplamaq üçün şablon demək olar ki, hazırdır. Şəbəkə interfeysləri üçün məlumat elementlərinin prototipləri üzərində daha ətraflı dayanmayacağıq, gəlin nəticələrə keçək.
Monitorinqin nəticələri
Başlamaq üçün kiçik bir şəbəkənin inventarını aparın:
Şəbəkə qurğularının hər bir seriyası üçün şablonlar hazırlasanız, cari proqram təminatı, seriya nömrələri və serverə gələn təmizləyicinin bildirişi (aşağı iş vaxtına görə) haqqında xülasə məlumatların təhlili asan tərtibinə nail ola bilərsiniz. Şablon siyahımdan bir parça aşağıdadır:
İndi - şiddət səviyyələrinə görə paylanmış tetikleyicilərlə əsas monitorinq paneli:
Şəbəkədəki hər bir cihaz modeli üçün şablonlara inteqrasiya olunmuş yanaşma sayəsində bir monitorinq sistemi çərçivəsində nasazlıqların və qəzaların proqnozlaşdırılması üçün alətin (müvafiq sensorlar və ölçülər mövcud olduqda) təşkil edilməsini təmin etmək mümkündür. Zabbix şəbəkə, server və xidmət infrastrukturlarının monitorinqi üçün çox uyğundur və şəbəkə avadanlığının saxlanması vəzifəsi onun imkanlarını açıq şəkildə nümayiş etdirir.
İstifadə olunan mənbələrin siyahısı:1. Hucaby D. CCNP Marşrutlaşdırma və Kommutasiya SWITCH 300-115 Rəsmi Sertifikat Bələdçisi. Cisco Press, 2014. səh. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Konfiqurasiya Bələdçisi, Cisco IOS XE Release 3SE. Fəsil: SNMP Versiya 3.
Mənbə: www.habr.com