Kini nga artikulo gipahinungod sa mga bahin sa pag-monitor sa kagamitan sa network gamit ang SNMPv3 protocol. Maghisgot kami bahin sa SNMPv3, akong ipaambit ang akong kasinatian sa paghimo og bug-os nga mga template sa Zabbix, ug ipakita nako kung unsa ang makab-ot kung mag-organisar sa giapod-apod nga pag-alerto sa usa ka dako nga network. Ang SNMP protocol mao ang nag-una sa pag-monitor sa mga kagamitan sa network, ug ang Zabbix maayo alang sa pag-monitor sa daghang mga butang ug pag-summarize sa daghang mga volume sa umaabot nga mga sukatan.
Pipila ka mga pulong bahin sa SNMPv3
Magsugod kita sa katuyoan sa SNMPv3 protocol ug sa mga bahin sa paggamit niini. Ang mga buluhaton sa SNMP mao ang pag-monitor sa mga aparato sa network ug sukaranan nga pagdumala pinaagi sa pagpadala sa yano nga mga mando sa kanila (pananglitan, pagpagana ug pag-disable sa mga interface sa network, o pag-reboot sa aparato).
Ang nag-unang kalainan tali sa SNMPv3 protocol ug sa miaging mga bersyon mao ang klasiko nga mga function sa seguridad [1-3], nga mao:
- Authentication, nga nagtino nga ang hangyo nadawat gikan sa kasaligang tinubdan;
- pag-encrypt (Encryption), aron mapugngan ang pagbutyag sa gipasa nga datos kung ma-intercept sa mga ikatulo nga partido;
- integridad, sa ato pa, usa ka garantiya nga ang pakete wala ma-tamper sa panahon sa transmission.
Ang SNMPv3 nagpasabot sa paggamit sa usa ka modelo sa seguridad diin ang estratehiya sa pag-authenticate gitakda alang sa usa ka gihatag nga user ug sa grupo diin siya nahisakop (sa miaging mga bersyon sa SNMP, ang hangyo gikan sa server ngadto sa monitoring object itandi lamang sa "komunidad", usa ka teksto string nga adunay "password" nga gipasa sa tin-aw nga teksto (plain text)).
Gipaila sa SNMPv3 ang konsepto sa lebel sa seguridad - madawat nga lebel sa seguridad nga nagtino sa pagsumpo sa mga kagamitan ug pamatasan sa ahente sa SNMP sa butang nga pag-monitor. Ang kombinasyon sa modelo sa seguridad ug lebel sa seguridad nagtino kung unsang mekanismo sa seguridad ang gigamit sa pagproseso sa usa ka pakete sa SNMP [4].
Gihubit sa lamesa ang mga kombinasyon sa mga modelo ug lebel sa seguridad sa SNMPv3 (nakahukom ako nga biyaan ang una nga tulo nga mga kolum sama sa orihinal):
Busa, atong gamiton ang SNMPv3 sa authentication mode gamit ang encryption.
Pag-configure sa SNMPv3
Ang mga kagamitan sa pagmonitor sa network nanginahanglan parehas nga pag-configure sa SNMPv3 protocol sa parehas nga server sa pag-monitor ug sa gibantayan nga butang.
Magsugod kita sa pag-set up sa usa ka Cisco network device, ang minimum nga gikinahanglan nga configuration mao ang mosunod (alang sa configuration atong gamiton ang CLI, akong gipasimple ang mga ngalan ug mga password aron malikayan ang kalibog):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedAng unang linya nga snmp-server nga grupo – naghubit sa grupo sa SNMPv3 users (snmpv3group), ang read mode (read), ug ang access right sa snmpv3group nga grupo aron makita ang pipila ka mga sanga sa MIB tree sa monitoring object (snmpv3name unya sa Ang configuration nagtino kung unsang mga sanga sa punoan sa MIB ang grupo maka-access sa snmpv3group nga maka-access).
Ang ikaduhang linya nga snmp-server user - naghubit sa user nga snmpv3user, ang iyang pagkamiyembro sa snmpv3group nga grupo, ingon man ang paggamit sa md5 authentication (password alang sa md5 mao ang md5v3v3v3) ug des encryption (password alang sa des mao ang des56v3v3v3). Siyempre, mas maayo nga gamiton ang aes imbes nga des; Gihatag ko kini dinhi ingon usa ka pananglitan. Usab, sa pag-definite sa usa ka user, mahimo nimong idugang ang usa ka access list (ACL) nga nag-regulate sa mga IP address sa pag-monitor sa mga server nga adunay katungod sa pag-monitor niini nga device - kini usab ang pinakamaayo nga praktis, apan dili nako komplikado ang among panig-ingnan.
Ang ikatulo nga linya nga snmp-server view naghubit sa usa ka code name nga nagtino sa mga sanga sa snmpv3name MIB nga kahoy aron sila mapangutana sa snmpv3group user group. Ang ISO, imbes estrikto nga maghubit sa usa ka sanga, nagtugot sa snmpv3group user group nga maka-access sa tanang butang sa MIB tree sa monitoring object.
Ang susama nga setup alang sa Huawei equipment (usab sa CLI) ingon niini:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Human sa pag-set up sa mga device sa network, kinahanglan nimo nga susihon ang pag-access gikan sa monitoring server pinaagi sa SNMPv3 protocol, akong gamiton ang snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Ang usa ka labi ka biswal nga himan alang sa paghangyo sa piho nga mga butang sa OID gamit ang mga file sa MIB mao ang snmpget:
Karon magpadayon kita sa pagpahimutang sa usa ka tipikal nga elemento sa datos alang sa SNMPv3, sulod sa template sa Zabbix. Alang sa kayano ug kagawasan sa MIB, naggamit ko og digital OIDs:
Gigamit nako ang mga custom nga macro sa mga yawe nga natad tungod kay parehas sila sa tanan nga mga elemento sa datos sa template. Mahimo nimong ibutang kini sulod sa usa ka template, kung ang tanang network device sa imong network adunay parehas nga SNMPv3 parameters, o sulod sa network node, kung ang SNMPv3 parameters para sa lain-laing monitoring objects lahi:
Palihug timan-i nga ang sistema sa pag-monitor adunay lamang usa ka username ug mga password alang sa pag-authenticate ug pag-encrypt. Ang grupo sa tiggamit ug ang kasangkaran sa mga butang sa MIB diin gitugotan ang pag-access gipiho sa butang sa pag-monitor.
Karon magpadayon kita sa pagpuno sa template.
Zabbix poll template
Usa ka yano nga lagda sa paghimo sa bisan unsang mga template sa survey mao ang paghimo niini nga detalyado kutob sa mahimo:
Gihatagan nako og dakong pagtagad ang imbentaryo aron mas sayon ang pagtrabaho sa usa ka dako nga network. Dugang pa bahin niini sa ulahi, apan sa pagkakaron - mga hinungdan:
Alang sa kasayon sa pagtan-aw sa mga nag-trigger, ang mga macros sa sistema {HOST.CONN} gilakip sa ilang mga ngalan aron dili lamang ang mga ngalan sa aparato, apan ang mga IP address usab ang gipakita sa dashboard sa seksyon nga nagpaalerto, bisan kung kini usa ka butang nga kasayon kaysa kinahanglan. . Aron mahibal-an kung ang usa ka aparato dili magamit, dugang sa naandan nga hangyo sa echo, naggamit ako usa ka tseke alang sa dili magamit sa host gamit ang SNMP protocol, kung ang butang ma-access pinaagi sa ICMP apan dili motubag sa mga hangyo sa SNMP - kini nga sitwasyon posible, pananglitan , kung ang mga IP adres gidoble sa lainlaing mga aparato, tungod sa dili husto nga pag-configure sa mga firewall, o dili husto nga mga setting sa SNMP sa mga butang sa pag-monitor. Kung gigamit nimo ang pagsusi sa pagkaanaa sa host pinaagi lamang sa ICMP, sa panahon sa pag-imbestiga sa mga insidente sa network, ang data sa pag-monitor mahimong dili magamit, busa kinahanglan nga bantayan ang ilang resibo.
Mopadayon kita sa pag-ila sa mga interface sa network - alang sa kagamitan sa network kini ang labing hinungdanon nga function sa pag-monitor. Tungod kay tingali adunay gatusan ka mga interface sa usa ka network device, gikinahanglan nga i-filter ang mga wala kinahanglana aron dili ma-clutter ang visualization o clutter ang database.
Gigamit nako ang sagad nga function sa pagdiskobre sa SNMP, nga adunay daghang makit-an nga mga parameter, alang sa labi ka dali nga pagsala:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Uban niini nga pagkadiskobre, mahimo nimong i-filter ang mga interface sa network pinaagi sa ilang mga tipo, naandan nga paghubit, ug mga status sa administratibo nga pantalan. Ang mga filter ug regular nga mga ekspresyon alang sa pagsala sa akong kaso ingon niini:
Kung makit-an, ang mosunod nga mga interface dili iapil:
- manually disabled (adminstatus<>1), salamat sa IFADMINSTATUS;
- walay deskripsyon sa teksto, salamat sa IFALIAS;
- adunay simbolo * sa deskripsyon sa teksto, salamat sa IFALIAS;
- nga serbisyo o teknikal, salamat sa IFDESCR (sa akong kaso, sa regular nga mga ekspresyon IFALIAS ug IFDESCR gisusi sa usa ka regular nga alyas sa ekspresyon).
Ang template alang sa pagkolekta sa datos gamit ang SNMPv3 protocol hapit na andam. Dili kami maghisgot sa mas detalyado sa mga prototype sa mga elemento sa datos alang sa mga interface sa network; magpadayon kita sa mga resulta.
Resulta sa pagmonitor
Sa pagsugod, pag-imbentaryo sa gamay nga network:
Kung mag-andam ka og mga templates alang sa matag serye sa mga device sa network, mahimo nimong makab-ot ang usa ka dali nga pag-analisar nga layout sa summary data sa kasamtangan nga software, serial number, ug pagpahibalo sa usa ka tiglimpyo nga moabut sa server (tungod sa ubos nga Uptime). Ang usa ka kinutlo sa akong listahan sa template anaa sa ubos:
Ug karon - ang panguna nga panel sa pagmonitor, nga adunay mga hinungdan nga giapod-apod sa lebel sa kagrabe:
Salamat sa usa ka hiniusa nga pamaagi sa mga templates alang sa matag modelo sa aparato sa network, posible nga masiguro nga, sulod sa balangkas sa usa ka sistema sa pag-monitor, usa ka himan alang sa pagtagna sa mga sayup ug mga aksidente ang maorganisar (kung ang angay nga mga sensor ug sukatan magamit). Ang Zabbix maayo kaayo alang sa pag-monitor sa network, server, ug mga imprastraktura sa serbisyo, ug ang tahas sa pagpadayon sa mga kagamitan sa network tin-aw nga nagpakita sa mga kapabilidad niini.
Listahan sa mga tinubdan nga gigamit:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Giya sa Configuration sa SNMP, Cisco IOS XE Release 3SE. Kapitulo: SNMP Bersyon 3.
Source: www.habr.com