Questu articulu hè dedicatu à e caratteristiche di u monitoraghju di l'equipaggiu di rete cù u protocolu SNMPv3. Parleremu di SNMPv3, sparteraghju a mo sperienza in a creazione di mudelli cumpleti in Zabbix, è vi mustrarà ciò chì pò esse realizatu quandu urganizeghja l'alerta distribuita in una grande reta. U protokollu SNMP hè u principale in u monitoraghju di l'equipaggiu di a rete, è Zabbix hè grande per monitorizà un gran numaru d'uggetti è riassume grandi volumi di metriche entrate.
Uni pochi parolle nantu à SNMPv3
Cuminciamu cù u scopu di u protocolu SNMPv3 è e caratteristiche di u so usu. I compiti di SNMP sò u monitoraghju di i dispositi di rete è a gestione basica mandendu cumandamenti simplici per elli (per esempiu, attivazione è disattivazione di l'interfacce di rete, o rebooting u dispusitivu).
A principal diferenza trà u protokollu SNMPv3 è e so versioni precedenti sò e funzioni di sicurezza classiche [1-3], à dì:
- Autentificazione, chì determina chì a dumanda hè stata ricevuta da una fonte di fiducia;
- crittografia (Criptazione), per impedisce a divulgazione di dati trasmessi quandu interceptati da terze parti;
- integrità, vale à dì, una guaranzia chì u pacchettu ùn hè micca statu manipulatu durante a trasmissione.
SNMPv3 implica l'usu di un mudellu di sicurità in quale a strategia di autentificazione hè stabilita per un utilizatore determinatu è u gruppu à quale appartene (in versioni precedenti di SNMP, a dumanda da u servitore à l'ughjettu di monitoraghju paragunatu solu "cumunità", un testu. stringa cù una "password" trasmessa in testu chjaru (testu chjaru)).
SNMPv3 introduce u cuncettu di livelli di sicurità - livelli di sicurità accettabili chì determinanu a cunfigurazione di l'equipaggiu è u cumpurtamentu di l'agente SNMP di l'ughjettu di monitoraghju. A cumminazione di u mudellu di sicurità è u livellu di sicurità determina quale mecanismu di sicurità hè utilizatu quandu si tratta un pacchettu SNMP [4].
A tavula descrive cumminazzioni di mudelli è livelli di sicurità SNMPv3 (aghju decisu di lascià e prime trè colonne cum'è in l'uriginale):
In cunsiquenza, useremu SNMPv3 in modu di autentificazione utilizendu a criptografia.
Configurazione di SNMPv3
U monitoraghju di l'equipaggiu di rete richiede a listessa cunfigurazione di u protocolu SNMPv3 sia in u servitore di monitoraghju sia in l'ughjettu monitoratu.
Cuminciamu cù a stallazione di un dispositivu di rete Cisco, a so cunfigurazione minima necessaria hè a seguente (per a cunfigurazione usemu a CLI, aghju simplificatu i nomi è e password per evità cunfusione):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedU gruppu snmp-server di prima linea - definisce u gruppu di utilizatori SNMPv3 (snmpv3group), u modu di lettura (lettu), è u dirittu d'accessu di u gruppu snmpv3group per vede certi rami di l'arburu MIB di l'ughjettu di monitoraghju (snmpv3name allora in u a cunfigurazione specifica quale rami di l'arburu MIB u gruppu pò accede à snmpv3group puderà accede).
A seconda linea snmp-server user - definisce l'utilizatore snmpv3user, a so appartenenza à u gruppu snmpv3group, è ancu l'usu di l'autentificazione md5 (password per md5 hè md5v3v3v3) è des encryption (password per des hè des56v3v3v3). Di sicuru, hè megliu aduprà aes invece di des; l'aghju datu quì solu per esempiu. Inoltre, quandu definisce un utilizatore, pudete aghjunghje una lista d'accessu (ACL) chì regula l'indirizzi IP di i servitori di surviglianza chì anu u dirittu di monitorà stu dispusitivu - questu hè ancu a megghiu pratica, ma ùn aghju micca cumplicatu u nostru esempiu.
A terza linea di vista snmp-server definisce un nome di codice chì specifica rami di l'arburu MIB snmpv3name in modu chì ponu esse dumandati da u gruppu d'utilizatori snmpv3group. ISO, invece di definisce strettamente una sola branche, permette à u gruppu d'utilizatori snmpv3group accede à tutti l'uggetti in l'arbulu MIB di l'ughjettu di monitoraghju.
Una configurazione simili per l'equipaggiu Huawei (ancu in u CLI) pare cusì:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Dopu a stallazione di i dispositi di rete, avete bisognu di verificà l'accessu da u servitore di surviglianza via u protocolu SNMPv3, aduprà snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Un strumentu più visuale per dumandà l'oggetti OID specifichi cù i schedari MIB hè snmpget:
Avà andemu à stabilisce un elementu di dati tipicu per SNMPv3, in u mudellu Zabbix. Per simplicità è indipendenza MIB, aghju utilizatu OID digitale:
Aghju utilizatu macros persunalizati in i campi chjave perchè seranu listessi per tutti l'elementi di dati in u mudellu. Pudete mette in un mudellu, se tutti i dispositi di rete in a vostra reta anu i stessi paràmetri SNMPv3, o in un node di rete, se i paràmetri SNMPv3 per diversi oggetti di monitoraghju sò diffirenti:
Per piacè nutate chì u sistema di monitoraghju hà solu un nome d'utilizatore è password per l'autentificazione è a criptografia. U gruppu d'utilizatori è u scopu di l'uggetti MIB à quale l'accessu hè permessu sò specificati nantu à l'ughjettu di monitoraghju.
Avà andemu à compie u mudellu.
U mudellu di sondaghju Zabbix
Una regula simplice quandu creanu qualsiasi mudelli di indagine hè di rende u più detallatu pussibule:
Pagu assai attenzione à l'inventariu per fà più faciule per travaglià cù una grande reta. Più nantu à questu un pocu dopu, ma per ora - triggers:
Per a facilità di visualizazione di i triggers, i macros di u sistema {HOST.CONN} sò inclusi in i so nomi in modu chì micca solu i nomi di i dispositi, ma ancu l'indirizzi IP sò affissati nantu à u dashboard in a sezione d'alerta, ancu s'ellu hè più una questione di comodità cà di necessità. . Per stabilisce se un dispositivu ùn hè micca dispunibule, in più di a solita dumanda di eco, aghju utilizatu un verificatu per l'indisponibilità di l'ospiti cù u protokollu SNMP, quandu l'ughjettu hè accessibile via ICMP ma ùn risponde micca à e dumande SNMP - sta situazione hè pussibule, per esempiu. , quandu l'indirizzi IP sò duplicati nantu à i dispusitivi diffirenti, per via di firewalls cunfigurati incorrectamente, o paràmetri SNMP incorrecte nantu à l'uggetti di monitoraghju. Se utilizate a verificazione di a dispunibilità di l'ospiti solu via ICMP, à u mumentu di l'investigazione di incidenti nantu à a reta, i dati di surviglianza pò esse micca dispunibili, perchè a so ricivuta deve esse monitorata.
Passemu à a deteczione di interfacce di rete - per l'equipaggiu di rete, questa hè a funzione di monitorizazione più impurtante. Siccomu ci ponu esse centinaie di interfacce in un dispositivu di rete, hè necessariu di filtrà quelli innecessarii per ùn sbulicà a visualizazione o chjappà a basa di dati.
Aghju utilizatu a funzione di scuperta SNMP standard, cù parametri più scoprevuli, per un filtru più flexible:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Cù sta scuperta, pudete filtrà l'interfacce di rete per i so tipi, descrizzioni persunalizati è stati di portu amministrativi. I filtri è l'espressioni regulari per u filtru in u mo casu sò cusì:
Se rilevate, e seguenti interfacce seranu escluse:
- disabilitatu manualmente (adminstatus<>1), grazia à IFADMINSTATUS;
- senza una descrizzione di testu, grazia à IFALIAS;
- avè u simbulu * in a descrizzione di u testu, grazia à IFALIAS;
- chì sò di serviziu o tecnicu, grazia à IFDESCR (in u mo casu, in l'espressioni regulari IFALIAS è IFDESCR sò verificati da un alias d'espressione regulare).
U mudellu per a cullizzioni di dati cù u protocolu SNMPv3 hè quasi prontu. Ùn avemu micca aspittà in più in dettagliu nantu à i prototipi di elementi di dati per interfacce di rete; andemu à i risultati.
I risultati di u monitoraghju
Per principià, fate l'inventariu di una piccula reta:
Se preparate mudelli per ogni serie di dispositivi di rete, pudete ottene un layout faciule da analizà di dati riassuntu nantu à u software attuale, i numeri di serie è a notificazione di un pulitore chì vene à u servitore (per via di un Uptime bassu). Un estrattu di a mo lista di mudelli hè quì sottu:
È avà - u pannellu di monitoraghju principale, cù triggers distribuiti per livellu di gravità:
Grazie à un approcciu integratu di mudelli per ogni mudellu di u dispusitivu in a reta, hè pussibule di assicurà chì, in u quadru di un sistema di surviglianza, serà urganizatu un strumentu per predice i difetti è l'accidenti (se sò dispunibuli sensori è metrichi appropritati). Zabbix hè bè adattatu per monitorà e infrastrutture di rete, servitori è servizii, è u compitu di mantene l'equipaggiu di rete mostra chjaramente e so capacità.
Lista di fonti utilizati:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Guida di cunfigurazione SNMP, Cisco IOS XE Release 3SE. Capitulu: SNMP Version 3.
Source: www.habr.com