See artikkel on pühendatud SNMPv3 protokolli kasutavate võrguseadmete jälgimise funktsioonidele. Räägime SNMPv3-st, jagan oma kogemusi täisväärtuslike mallide loomisel Zabbixis ja näitan, mida on võimalik saavutada suures võrgus hajutatud hoiatuste korraldamisel. SNMP-protokoll on võrguseadmete jälgimisel peamine ja Zabbix sobib suurepäraselt suure hulga objektide jälgimiseks ja suure hulga sissetulevate mõõdikute kokkuvõtmiseks.
Paar sõna SNMPv3 kohta
Alustame SNMPv3 protokolli eesmärgist ja selle kasutamise funktsioonidest. SNMP ülesanneteks on võrguseadmete jälgimine ja põhihaldus, saates neile lihtsaid käske (näiteks võrguliideste lubamine ja keelamine või seadme taaskäivitamine).
Peamine erinevus SNMPv3 protokolli ja selle eelmiste versioonide vahel on klassikalised turvafunktsioonid [1-3], nimelt:
- Autentimine, mis määrab, et päring saadi usaldusväärsest allikast;
- krüpteerimine (krüpteerimine), et vältida edastatud andmete avalikustamist, kui kolmandad osapooled neid pealt kuulavad;
- terviklikkus, st garantii, et paketti ei ole edastamise ajal rikutud.
SNMPv3 eeldab turbemudeli kasutamist, milles autentimisstrateegia on seatud antud kasutajale ja rühmale, kuhu ta kuulub (SNMP eelmistes versioonides võrreldi serveri päringut jälgimisobjektile ainult „kogukonda”, tekstiga string "parooliga", mis edastatakse selge tekstina (lihttekst)).
SNMPv3 tutvustab turvatasemete kontseptsiooni – vastuvõetavaid turbetasemeid, mis määravad seadmete konfiguratsiooni ja jälgimisobjekti SNMP agendi käitumise. Turvamudeli ja turbetaseme kombinatsioon määrab, millist turvamehhanismi SNMP-paketi töötlemisel kasutatakse [4].
Tabelis kirjeldatakse mudelite ja SNMPv3 turbetasemete kombinatsioone (otsustasin jätta kolm esimest veergu nagu originaalis):
Sellest lähtuvalt kasutame SNMPv3 autentimisrežiimis, kasutades krüptimist.
SNMPv3 konfigureerimine
Võrguseadmete jälgimiseks on vaja sama SNMPv3 protokolli konfiguratsiooni nii jälgimisserveris kui ka jälgitaval objektil.
Alustame Cisco võrguseadme seadistamisega, selle minimaalne nõutav konfiguratsioon on järgmine (konfigureerimiseks kasutame CLI-d, segaduse vältimiseks lihtsustasin nimesid ja paroole):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedEsimene rida snmp-server group – määratleb SNMPv3 kasutajate rühma (snmpv3group), lugemisrežiimi (lugemine) ja snmpv3group rühma juurdepääsuõiguse, et vaadata jälgimisobjekti MIB-puu teatud harusid (snmpv3name seejärel konfiguratsioon määrab, millistele MIB-puu harudele rühm pääseb juurde, snmpv3group pääseb juurde).
Teine rida snmp-serveri kasutaja – määratleb kasutaja snmpv3user, tema kuulumise gruppi snmpv3group, samuti md5 autentimise (md5 parool on md5v3v3v3) ja des krüptimise kasutamise (des parool on des56v3v3v3). Muidugi on parem kasutada des asemel aes; ma toon selle siin lihtsalt näitena. Samuti saate kasutaja määratlemisel lisada juurdepääsuloendi (ACL), mis reguleerib jälgivate serverite IP-aadresse, millel on õigus seda seadet jälgida – see on samuti parim praktika, kuid ma ei tee meie näidet keerulisemaks.
Kolmanda rea snmp-serveri vaade määratleb koodinime, mis määrab MIB-puu snmpv3name harud, et snmpv3groupi kasutajarühm saaks nende kohta päringuid teha. ISO, selle asemel, et määratleda rangelt ühe haru, võimaldab snmpv3group kasutajarühmal juurdepääsu kõigile jälgitava objekti MIB-puu objektidele.
Sarnane Huawei seadmete seadistus (ka CLI-s) näeb välja järgmine:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Pärast võrguseadmete seadistamist peate kontrollima juurdepääsu jälgimisserverist SNMPv3 protokolli kaudu, kasutan snmpwalki:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Visuaalsem tööriist konkreetsete OID-objektide taotlemiseks MIB-failide abil on snmpget:
Nüüd jätkame SNMPv3 tüüpilise andmeelemendi seadistamisega Zabbixi mallis. Lihtsuse ja MIB-i sõltumatuse huvides kasutan digitaalseid OID-sid:
Kasutan võtmeväljadel kohandatud makrosid, kuna need on malli kõigi andmeelementide jaoks samad. Saate need määrata malli sees, kui kõigil teie võrgu võrguseadmetel on samad SNMPv3 parameetrid, või võrgusõlmes, kui erinevate jälgimisobjektide SNMPv3 parameetrid on erinevad:
Pange tähele, et seiresüsteemil on ainult autentimiseks ja krüptimiseks kasutajanimi ja paroolid. Seireobjektil on määratud kasutajarühm ja MIB-objektide ulatus, millele juurdepääs on lubatud.
Liigume nüüd malli täitmise juurde.
Zabbixi küsitluse mall
Lihtne reegel küsitlusmallide loomisel on muuta need võimalikult üksikasjalikuks.
Pööran suurt tähelepanu laoseisule, et suure võrguga töötamine oleks lihtsam. Pikemalt sellest veidi hiljem, kuid praegu – käivitab:
Päästikute visualiseerimise hõlbustamiseks lisatakse nende nimedesse süsteemimakrod {HOST.CONN}, nii et mitte ainult seadmete nimed, vaid ka IP-aadressid ei kuvata armatuurlaual hoiatussektsioonis, kuigi see on pigem mugavuse kui vajaduse küsimus. . Seadme kättesaamatuse kindlakstegemiseks kasutan lisaks tavapärasele kajapäringule hosti kättesaamatuse kontrolli SNMP-protokolli abil, kui objekt on ICMP kaudu ligipääsetav, kuid ei vasta SNMP päringutele – selline olukord on võimalik näiteks , kui IP-aadressid on erinevates seadmetes dubleeritud valesti konfigureeritud tulemüüride või seireobjektide valede SNMP-sätete tõttu. Kui kasutate hosti saadavuse kontrollimist ainult ICMP kaudu, ei pruugi seireandmed võrgu vahejuhtumite uurimise ajal saadaval olla, mistõttu tuleb nende vastuvõtmist jälgida.
Liigume edasi võrguliideste tuvastamise juurde – võrguseadmete jaoks on see kõige olulisem jälgimisfunktsioon. Kuna võrguseadmel võib olla sadu liideseid, on vaja mittevajalikud välja filtreerida, et mitte risustada visualiseerimist ega segada andmebaasi.
Paindlikumaks filtreerimiseks kasutan standardset SNMP-tuvastusfunktsiooni, mille parameetrid on paremini leitavad:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Selle avastusega saate filtreerida võrguliideseid nende tüüpide, kohandatud kirjelduste ja halduspordi olekute järgi. Minu puhul näevad filtrid ja regulaaravaldised filtreerimiseks välja järgmised:
Kui tuvastatakse, jäetakse järgmised liidesed välja:
- käsitsi keelatud (adminstatus<>1), tänu IFADMINSTATUSele;
- ilma tekstikirjelduseta, tänu IFALIASele;
- tänu IFALIASele tekstikirjelduses sümboli * olemasolu;
- mis on tänu IFDESCR-ile teenindus- või tehnilised (minu puhul kontrollitakse regulaaravaldistes IFALIAS ja IFDESCR ühe regulaaravaldise varjunimega).
SNMPv3 protokolli kasutades andmete kogumise mall on peaaegu valmis. Võrguliideste andmeelementide prototüüpidel me lähemalt ei peatu, liigume edasi tulemuste juurde.
Seire tulemused
Alustuseks tehke väikese võrgu inventuur:
Kui valmistate iga võrguseadmete seeria jaoks ette mallid, saate hõlpsasti analüüsitava paigutuse praeguse tarkvara kokkuvõtlike andmete, seerianumbrite ja serverisse saabuva puhasti kohta (madala tööaja tõttu). Allpool on väljavõte minu mallide loendist:
Ja nüüd - peamine jälgimispaneel, mille päästikud on jaotatud raskusastme järgi:
Tänu integreeritud lähenemisele iga võrgus oleva seadme mudeli mallidele on võimalik tagada, et ühe seiresüsteemi raames korraldatakse rikete ja õnnetuste prognoosimise tööriist (sobivate andurite ja mõõdikute olemasolul). Zabbix sobib hästi võrgu-, serveri- ja teenindusinfrastruktuuride jälgimiseks ning võrguseadmete hooldamise ülesanne näitab selgelt selle võimekust.
Kasutatud allikate loetelu:1. Hucaby D. CCNP marsruutimise ja vahetamise SWITCH 300-115 ametlik sertifitseerimisjuhend. Cisco Press, 2014. lk. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP konfiguratsioonijuhend, Cisco IOS XE väljalase 3SE. Peatükk: SNMP versioon 3.
Allikas: www.habr.com