Tento článek je věnován funkcím monitorování síťových zařízení pomocí protokolu SNMPv3. Budeme si povídat o SNMPv3, podělím se o své zkušenosti s tvorbou plnohodnotných šablon v Zabbixu a ukážu, čeho lze dosáhnout při organizaci distribuovaného varování ve velké síti. Protokol SNMP je hlavní při monitorování síťového vybavení a Zabbix je skvělý pro monitorování velkého počtu objektů a shrnutí velkých objemů příchozích metrik.
Pár slov o SNMPv3
Začněme účelem protokolu SNMPv3 a vlastnostmi jeho použití. Úkoly SNMP jsou monitorování síťových zařízení a základní správa zasíláním jednoduchých příkazů do nich (například povolení a zakázání síťových rozhraní nebo restartování zařízení).
Hlavním rozdílem mezi protokolem SNMPv3 a jeho předchozími verzemi jsou klasické bezpečnostní funkce [1-3], a to:
- Autentizace, která určuje, že požadavek byl přijat z důvěryhodného zdroje;
- šifrování (Encryption), aby se zabránilo prozrazení přenášených dat při zachycení třetími stranami;
- integritu, tedy záruku, že s paketem během přenosu nebylo manipulováno.
SNMPv3 implikuje použití bezpečnostního modelu, ve kterém je strategie autentizace nastavena pro daného uživatele a skupinu, do které patří (v předchozích verzích SNMP požadavek ze serveru na monitorovací objekt porovnával pouze „komunitu“, text řetězec s „heslem“ přenášený jako prostý text (prostý text)).
SNMPv3 zavádí koncept úrovní zabezpečení – přijatelné úrovně zabezpečení, které určují konfiguraci zařízení a chování SNMP agenta monitorovacího objektu. Kombinace bezpečnostního modelu a úrovně zabezpečení určuje, který bezpečnostní mechanismus se použije při zpracování SNMP paketu [4].
Tabulka popisuje kombinace modelů a úrovní zabezpečení SNMPv3 (první tři sloupce jsem se rozhodl ponechat jako v originále):
V souladu s tím budeme používat SNMPv3 v režimu ověřování pomocí šifrování.
Konfigurace SNMPv3
Monitorovací síťové vybavení vyžaduje stejnou konfiguraci protokolu SNMPv3 na monitorovacím serveru i na sledovaném objektu.
Začněme nastavením síťového zařízení Cisco, jeho minimální požadovaná konfigurace je následující (pro konfiguraci používáme CLI, jména a hesla jsem zjednodušil, aby nedošlo k záměně):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPrvní řádek snmp-server group – definuje skupinu uživatelů SNMPv3 (snmpv3group), režim čtení (čtení) a přístupové právo skupiny snmpv3group pro prohlížení určitých větví MIB stromu monitorovaného objektu (snmpv3name pak v konfigurace určuje, ke kterým větvím stromu MIB má skupina přístup, snmpv3group bude moci získat přístup).
Druhý řádek snmp-server user – definuje uživatele snmpv3user, jeho členství ve skupině snmpv3group, dále použití autentizace md5 (heslo pro md5 je md5v3v3v3) a des encryption (heslo pro des je des56v3v3v3). Samozřejmě je lepší použít aes místo des; uvádím to zde jen jako příklad. Při definování uživatele můžete také přidat přístupový seznam (ACL), který reguluje IP adresy monitorovacích serverů, které mají právo monitorovat toto zařízení – to je také osvědčený postup, ale nebudu komplikovat náš příklad.
Třetí řádek pohledu snmp-server definuje kódové jméno, které určuje větve stromu MIB snmpv3name, aby se na ně mohla dotazovat uživatelská skupina snmpv3group. ISO místo striktního definování jedné větve umožňuje skupině uživatelů snmpv3group přístup ke všem objektům ve stromu MIB monitorovaného objektu.
Podobné nastavení pro zařízení Huawei (také v CLI) vypadá takto:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Po nastavení síťových zařízení je třeba zkontrolovat přístup z monitorovacího serveru přes protokol SNMPv3, použiji snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Vizuálnějším nástrojem pro vyžádání konkrétních objektů OID pomocí souborů MIB je snmpget:
Nyní přejdeme k nastavení typického datového prvku pro SNMPv3 v šabloně Zabbix. Pro jednoduchost a nezávislost MIB používám digitální OID:
V klíčových polích používám vlastní makra, protože budou stejná pro všechny datové prvky v šabloně. Můžete je nastavit v rámci šablony, pokud všechna síťová zařízení ve vaší síti mají stejné parametry SNMPv3, nebo v rámci síťového uzlu, pokud se parametry SNMPv3 pro různé monitorovací objekty liší:
Upozorňujeme, že monitorovací systém má pouze uživatelské jméno a hesla pro ověřování a šifrování. Na monitorovacím objektu je specifikována uživatelská skupina a rozsah objektů MIB, ke kterým je povolen přístup.
Nyní přejdeme k vyplnění šablony.
Šablona průzkumu Zabbix
Jednoduchým pravidlem při vytváření jakýchkoli šablon průzkumů je udělat je co nejpodrobnější:
Velkou pozornost věnuji inventuře, abych usnadnil práci s velkou sítí. Více o tom trochu později, ale prozatím – spouštěče:
Pro snadnou vizualizaci spouštěčů jsou v jejich názvech zahrnuta systémová makra {HOST.CONN}, takže na řídicím panelu v sekci upozornění se zobrazují nejen názvy zařízení, ale také IP adresy, i když jde spíše o pohodlnost než nutnost . Pro zjištění nedostupnosti zařízení používám kromě běžného požadavku echo kontrolu nedostupnosti hostitele pomocí protokolu SNMP, kdy je objekt přístupný přes ICMP, ale nereaguje na požadavky SNMP - tato situace je možná např. , kdy jsou IP adresy duplikovány na různých zařízeních v důsledku nesprávně nakonfigurovaných firewallů nebo nesprávného nastavení SNMP na monitorovacích objektech. Pokud používáte kontrolu dostupnosti hostitele pouze přes ICMP, v době vyšetřování incidentů v síti nemusí být monitorovací data k dispozici, takže je nutné sledovat jejich příjem.
Přejděme k detekci síťových rozhraní – pro síťová zařízení je to nejdůležitější monitorovací funkce. Vzhledem k tomu, že na síťovém zařízení mohou být stovky rozhraní, je nutné odfiltrovat ta nepotřebná, aby nedošlo k nepořádku ve vizualizaci nebo nepřehledné databázi.
Používám standardní funkci zjišťování SNMP s více zjistitelnými parametry pro flexibilnější filtrování:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Pomocí tohoto zjištění můžete filtrovat síťová rozhraní podle jejich typů, vlastních popisů a stavů administrativních portů. Filtry a regulární výrazy pro filtrování v mém případě vypadají takto:
Pokud budou zjištěna, budou vyloučena následující rozhraní:
- ručně deaktivován (adminstatus<>1), díky IFADMINSTATUS;
- bez textového popisu, díky IFALIAS;
- mít v popisu textu symbol *, díky IFALIAS;
- které jsou servisní nebo technické, díky IFDESCR (v mém případě jsou v regulárních výrazech IFALIAS a IFDESCR kontrolovány jedním aliasem regulárního výrazu).
Šablona pro sběr dat pomocí protokolu SNMPv3 je téměř hotová. Prototypy datových prvků pro síťová rozhraní se nebudeme podrobněji zabývat, přejděme k výsledkům.
Výsledky monitoringu
Pro začátek si udělejte inventuru malé sítě:
Pokud připravíte šablony pro každou řadu síťových zařízení, můžete dosáhnout snadno analyzovatelného rozložení souhrnných dat o aktuálním softwaru, sériových čísel a upozornění na příchod čističe na server (kvůli nízké době provozu). Výňatek z mého seznamu šablon je níže:
A nyní - hlavní monitorovací panel se spouštěči rozdělenými podle úrovní závažnosti:
Díky integrovanému přístupu k šablonám pro každý model zařízení v síti je možné zajistit, že v rámci jednoho monitorovacího systému bude organizován nástroj pro predikci poruch a havárií (pokud jsou k dispozici vhodné senzory a metriky). Zabbix se dobře hodí pro monitorování síťových, serverových a servisních infrastruktur a úloha údržby síťového vybavení jasně demonstruje jeho schopnosti.
Seznam použitých zdrojů:1. Oficiální průvodce certifikací Hucaby D. CCNP Směrování a přepínání SWITCH 300-115. Cisco Press, 2014. str. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Průvodce konfigurací SNMP, Cisco IOS XE Release 3SE. Kapitola: SNMP verze 3.
Zdroj: www.habr.com