Mae'r erthygl hon wedi'i neilltuo i nodweddion monitro offer rhwydwaith gan ddefnyddio protocol SNMPv3. Byddwn yn siarad am SNMPv3, byddaf yn rhannu fy mhrofiad wrth greu templedi llawn yn Zabbix, a byddaf yn dangos yr hyn y gellir ei gyflawni wrth drefnu rhybuddio wedi'i ddosbarthu mewn rhwydwaith mawr. Protocol SNMP yw'r prif un wrth fonitro offer rhwydwaith, ac mae Zabbix yn wych ar gyfer monitro nifer fawr o wrthrychau a chrynhoi cyfeintiau mawr o fetrigau sy'n dod i mewn.
Ychydig eiriau am SNMPv3
Gadewch i ni ddechrau gyda phwrpas y protocol SNMPv3 a nodweddion ei ddefnydd. Tasgau SNMP yw monitro dyfeisiau rhwydwaith a rheolaeth sylfaenol trwy anfon gorchmynion syml atynt (er enghraifft, galluogi ac analluogi rhyngwynebau rhwydwaith, neu ailgychwyn y ddyfais).
Y prif wahaniaeth rhwng protocol SNMPv3 a'i fersiynau blaenorol yw'r swyddogaethau diogelwch clasurol [1-3], sef:
- Dilysu, sy'n pennu bod y cais wedi'i dderbyn gan ffynhonnell ddibynadwy;
- amgryptio (Amgryptio), i atal datgelu data a drosglwyddir pan gaiff ei ryng-gipio gan drydydd parti;
- uniondeb, hynny yw, gwarant nad yw'r pecyn wedi cael ei ymyrryd ag ef wrth ei drosglwyddo.
Mae SNMPv3 yn awgrymu defnyddio model diogelwch lle mae'r strategaeth ddilysu wedi'i gosod ar gyfer defnyddiwr penodol a'r grŵp y mae'n perthyn iddo (mewn fersiynau blaenorol o SNMP, roedd y cais gan y gweinydd i'r gwrthrych monitro yn cymharu "cymuned" yn unig, testun llinyn gyda “cyfrinair” wedi'i drosglwyddo mewn testun clir (testun plaen)).
Mae SNMPv3 yn cyflwyno'r cysyniad o lefelau diogelwch - lefelau diogelwch derbyniol sy'n pennu cyfluniad offer ac ymddygiad asiant SNMP y gwrthrych monitro. Mae'r cyfuniad o fodel diogelwch a lefel diogelwch yn pennu pa fecanwaith diogelwch a ddefnyddir wrth brosesu pecyn SNMP [4].
Mae'r tabl yn disgrifio cyfuniadau o fodelau a lefelau diogelwch SNMPv3 (penderfynais adael y tair colofn gyntaf fel yn y gwreiddiol):
Yn unol â hynny, byddwn yn defnyddio SNMPv3 yn y modd dilysu gan ddefnyddio amgryptio.
Ffurfweddu SNMPv3
Mae angen yr un ffurfweddiad â phrotocol SNMPv3 ar offer rhwydwaith monitro ar y gweinydd monitro a'r gwrthrych sy'n cael ei fonitro.
Gadewch i ni ddechrau gyda sefydlu dyfais rhwydwaith Cisco, mae ei ffurfweddiad gofynnol fel a ganlyn (ar gyfer cyfluniad rydym yn defnyddio'r CLI, symleiddiais yr enwau a'r cyfrineiriau i osgoi dryswch):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedY grŵp gweinydd snmp llinell gyntaf - yn diffinio'r grŵp o ddefnyddwyr SNMPv3 (snmpv3group), y modd darllen (darllen), a hawl mynediad y grŵp snmpv3group i weld rhai canghennau o goeden MIB y gwrthrych monitro (snmpv3name yna yn y mae ffurfweddiad yn nodi pa ganghennau o'r goeden MIB y gall y grŵp gael mynediad iddynt snmpv3group).
Defnyddiwr gweinydd snmp ail linell - yn diffinio'r defnyddiwr snmpv3user, ei aelodaeth yn y grŵp snmpv3group, yn ogystal â'r defnydd o ddilysu md5 (cyfrinair ar gyfer md5 yw md5v3v3v3) ac des amgryptio (cyfrinair ar gyfer des yw des56v3v3v3). Wrth gwrs, mae'n well defnyddio aes yn lle des; rwy'n ei roi yma fel enghraifft yn unig. Hefyd, wrth ddiffinio defnyddiwr, gallwch ychwanegu rhestr mynediad (ACL) sy'n rheoleiddio cyfeiriadau IP gweinyddwyr monitro sydd â'r hawl i fonitro'r ddyfais hon - mae hyn hefyd yn arfer gorau, ond ni fyddaf yn cymhlethu ein hesiampl.
Mae gwedd snmp-server trydedd llinell yn diffinio enw cod sy'n pennu canghennau o'r goeden snmpv3name MIB fel y gall grŵp defnyddwyr snmpv3group eu holi. Mae ISO, yn lle diffinio cangen unigol yn llym, yn caniatáu i'r grŵp defnyddwyr snmpv3group gael mynediad i'r holl wrthrychau yng nghoeden MIB y gwrthrych monitro.
Mae gosodiad tebyg ar gyfer offer Huawei (hefyd yn y CLI) yn edrych fel hyn:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Ar ôl sefydlu dyfeisiau rhwydwaith, mae angen i chi wirio am fynediad o'r gweinydd monitro trwy'r protocol SNMPv3, byddaf yn defnyddio snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Offeryn mwy gweledol ar gyfer gofyn am wrthrychau OID penodol gan ddefnyddio ffeiliau MIB yw snmpget:
Nawr, gadewch i ni symud ymlaen i sefydlu elfen ddata nodweddiadol ar gyfer SNMPv3, o fewn y templed Zabbix. Ar gyfer symlrwydd ac annibyniaeth MIB, rwy'n defnyddio OIDs digidol:
Rwy'n defnyddio macros arferol mewn meysydd allweddol oherwydd byddant yr un peth ar gyfer yr holl elfennau data yn y templed. Gallwch eu gosod o fewn templed, os oes gan bob dyfais rhwydwaith yn eich rhwydwaith yr un paramedrau SNMPv3, neu o fewn nod rhwydwaith, os yw paramedrau SNMPv3 ar gyfer gwahanol wrthrychau monitro yn wahanol:
Sylwch mai dim ond enw defnyddiwr a chyfrineiriau sydd gan y system fonitro ar gyfer dilysu ac amgryptio. Mae'r grŵp defnyddwyr a chwmpas y gwrthrychau MIB y caniateir mynediad iddynt wedi'u nodi ar y gwrthrych monitro.
Nawr, gadewch i ni symud ymlaen i lenwi'r templed.
Templed pleidleisio Zabbix
Rheol syml wrth greu unrhyw dempledi arolwg yw eu gwneud mor fanwl â phosibl:
Rwy'n talu sylw mawr i restr i'w gwneud hi'n haws gweithio gyda rhwydwaith mawr. Mwy am hyn ychydig yn ddiweddarach, ond am y tro - sbardunau:
Er mwyn hwyluso delweddu sbardunau, mae macros system {HOST.CONN} wedi'u cynnwys yn eu henwau fel bod nid yn unig enwau dyfeisiau, ond hefyd cyfeiriadau IP yn cael eu harddangos ar y dangosfwrdd yn yr adran rhybuddio, er bod hyn yn fwy o fater o gyfleustra nag anghenraid . I benderfynu a yw dyfais ar gael, yn ogystal â'r cais adlais arferol, rwy'n defnyddio siec am nad yw gwesteiwr ar gael gan ddefnyddio'r protocol SNMP, pan fydd y gwrthrych yn hygyrch trwy ICMP ond nid yw'n ymateb i geisiadau SNMP - mae'r sefyllfa hon yn bosibl, er enghraifft , pan fydd cyfeiriadau IP yn cael eu dyblygu ar wahanol ddyfeisiau, oherwydd waliau tân wedi'u ffurfweddu'n anghywir, neu osodiadau SNMP anghywir ar wrthrychau monitro. Os ydych yn defnyddio gwirio argaeledd gwesteiwr trwy ICMP yn unig, ar adeg ymchwilio i ddigwyddiadau ar y rhwydwaith, efallai na fydd data monitro ar gael, felly mae'n rhaid monitro eu derbyniad.
Gadewch i ni symud ymlaen i ganfod rhyngwynebau rhwydwaith - ar gyfer offer rhwydwaith dyma'r swyddogaeth fonitro bwysicaf. Gan y gall fod cannoedd o ryngwynebau ar ddyfais rhwydwaith, mae angen hidlo'r rhai diangen allan er mwyn peidio ag annibendod y delweddu neu annibendod y gronfa ddata.
Rwy'n defnyddio'r swyddogaeth ddarganfod SNMP safonol, gyda pharamedrau mwy darganfyddadwy, ar gyfer hidlo mwy hyblyg:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Gyda'r darganfyddiad hwn, gallwch hidlo rhyngwynebau rhwydwaith yn ôl eu mathau, disgrifiadau arfer, a statws porthladd gweinyddol. Mae hidlwyr ac ymadroddion rheolaidd ar gyfer hidlo yn fy achos i yn edrych fel hyn:
Os caiff ei ganfod, bydd y rhyngwynebau canlynol yn cael eu heithrio:
- wedi'i analluogi â llaw (statws admin<>1), diolch i IFADMINSTATUS;
- heb ddisgrifiad testun, diolch i IFALIAS;
- cael y symbol * yn y disgrifiad testun, diolch i IFALIAS;
- sy'n wasanaeth neu'n dechnegol, diolch i IFDESCR (yn fy achos i, mewn ymadroddion rheolaidd mae IFALIAS ac IFDESCR yn cael eu gwirio gan un arallenw mynegiant rheolaidd).
Mae'r templed ar gyfer casglu data gan ddefnyddio'r protocol SNMPv3 bron yn barod. Ni fyddwn yn canolbwyntio'n fwy manwl ar y prototeipiau o elfennau data ar gyfer rhyngwynebau rhwydwaith; gadewch i ni symud ymlaen at y canlyniadau.
Canlyniadau monitro
I ddechrau, cymerwch restr o rwydwaith bach:
Os ydych chi'n paratoi templedi ar gyfer pob cyfres o ddyfeisiau rhwydwaith, gallwch chi gyflawni cynllun hawdd ei ddadansoddi o ddata cryno ar feddalwedd gyfredol, rhifau cyfresol, a hysbysiad bod glanhawr yn dod i'r gweinydd (oherwydd Uptime isel). Mae detholiad o fy rhestr templedi isod:
Ac yn awr - y prif banel monitro, gyda sbardunau wedi'u dosbarthu yn ôl lefel difrifoldeb:
Diolch i ddull integredig o dempledi ar gyfer pob model dyfais yn y rhwydwaith, mae'n bosibl sicrhau, o fewn fframwaith un system fonitro, y trefnir offeryn ar gyfer rhagweld diffygion a damweiniau (os oes synwyryddion a metrigau priodol ar gael). Mae Zabbix yn addas iawn ar gyfer monitro seilweithiau rhwydwaith, gweinydd, a gwasanaeth, ac mae'r dasg o gynnal a chadw offer rhwydwaith yn dangos yn glir ei alluoedd.
Rhestr o ffynonellau a ddefnyddiwyd:1. Hucaby D. CCNP Llwybro a Newid SWITCH 300-115 Canllaw Swyddogol Tystysgrif. Gwasg Cisco, 2014. tt. 325-329.
2. Clwb Rygbi 3410.
3. Clwb Rygbi 3415.
4. Canllaw Ffurfweddu SNMP, Cisco IOS XE Release 3SE. Pennod: SNMP Fersiwn 3.
Ffynhonnell: hab.com