Artikulu hau SNMPv3 protokoloa erabiliz sareko ekipoak monitorizatzeko eginbideei eskainita dago. SNMPv3-ri buruz hitz egingo dugu, Zabbixen txantiloi osoak sortzen dudan esperientzia partekatuko dut eta sare handi batean banatutako alertak antolatzean zer lor daitekeen erakutsiko dut. SNMP protokoloa da sareko ekipoen jarraipena egiteko nagusia, eta Zabbix bikaina da objektu ugari monitorizatzeko eta sarrerako metrika bolumen handiak laburtzeko.
SNMPv3-ri buruzko hitz batzuk
Has gaitezen SNMPv3 protokoloaren helburua eta erabileraren ezaugarriak. SNMPren zereginak sareko gailuak kontrolatzea eta oinarrizko kudeaketa dira komando sinpleak bidaliz (adibidez, sareko interfazeak gaitu eta desgaitu edo gailua berrabiaraziz).
SNMPv3 protokoloaren eta bere aurreko bertsioen arteko desberdintasun nagusia segurtasun funtzio klasikoak dira [1-3], hau da:
- Autentifikazioa, eskaera iturri fidagarri batetik jaso dela zehazten duena;
- enkriptatzea (Enkriptatzea), hirugarrenek atzematen dituztenean transmititutako datuak zabaltzea saihesteko;
- osotasuna, hau da, transmisioan paketea manipulatu ez den bermea.
SNMPv3-k segurtasun-eredu bat erabiltzea suposatzen du, non autentifikazio-estrategia ezarrita dagoen erabiltzaile jakin bati eta berari dagokion taldeari (SNMP-ren aurreko bertsioetan, zerbitzariak monitorizazio-objektuari egindako eskaera "komunitatea" baino ez zuen alderatzen, testu bat). "Pasahitza" duen katea testu argian (testu arrunta) transmititzen da).
SNMPv3-k segurtasun-mailen kontzeptua aurkezten du: ekipoen konfigurazioa eta monitorizazio-objektuaren SNMP agentearen portaera zehazten duten segurtasun-maila onargarriak. Segurtasun-ereduaren eta segurtasun-mailaren konbinazioak zehazten du zein segurtasun mekanismo erabiltzen den SNMP pakete bat prozesatzeko [4].
Taulak ereduen eta SNMPv3 segurtasun-mailen konbinazioak deskribatzen ditu (lehen hiru zutabeak jatorrizkoan bezala uztea erabaki nuen):
Horren arabera, SNMPv3 erabiliko dugu autentifikazio moduan enkriptatzea erabiliz.
SNMPv3 konfiguratzen
Sare-ekipoak monitorizatzeak SNMPv3 protokoloaren konfigurazio bera behar du monitorizazio-zerbitzarian eta kontrolatutako objektuan.
Has gaitezen Cisco sareko gailu bat konfiguratzen, behar den gutxieneko konfigurazioa honako hau da (konfiguratzeko CLIa erabiltzen dugu, izenak eta pasahitzak sinplifikatu ditut nahasketa saihesteko):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedLehen lerroko snmp-server group - SNMPv3 erabiltzaileen taldea (snmpv3group), irakurtzeko modua (irakurtzeko) eta snmpv3group taldearen sarbide-eskubidea definitzen ditu monitorizazio-objektuaren MIB zuhaitzaren zenbait adar ikusteko (snmpv3name ondoren konfigurazioak zehazten du taldeak snmpv3group atzitu dezakeen MIB zuhaitzaren zein adar sar daitezkeen).
Bigarren lerroko snmp-server user - snmpv3user erabiltzailea, snmpv3group taldeko kidetasuna definitzen du, baita md5 autentifikazioa (md5-ren pasahitza md5v3v3v3 da) eta des enkriptatzea (des pasahitza des56v3v3v3 da). Noski, hobe da des erabiltzearen ordez aes erabiltzea; hemen jartzen dut adibide gisa. Gainera, erabiltzaile bat definitzerakoan, gailu hau kontrolatzeko eskubidea duten monitorizazio zerbitzarien IP helbideak arautzen dituen sarbide-zerrenda (ACL) gehi dezakezu; hori ere praktika onena da, baina ez dut gure adibidea zailduko.
Hirugarren lerroko snmp-zerbitzariaren ikuspegiak snmpv3name MIB zuhaitzaren adarrak zehazten dituen kode-izena definitzen du, snmpv3group erabiltzaile-taldeak kontsultatu ditzan. ISOk, adar bakar bat zorrozki definitu beharrean, snmpv3group erabiltzaile-taldeari jarraipen-objektuaren MIB zuhaitzean dauden objektu guztietara sartzeko aukera ematen dio.
Huawei ekiporako antzeko konfigurazio batek (CLIan ere) itxura hau du:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Sareko gailuak konfiguratu ondoren, SNMPv3 protokoloaren bidez monitorizazio zerbitzaritik sarbidea egiaztatu behar duzu, snmpwalk erabiliko dut:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB fitxategiak erabiliz OID objektu zehatzak eskatzeko tresna bisualagoa snmpget da:
Orain pasa gaitezen SNMPv3rako datu-elementu tipiko bat konfiguratzera, Zabbix txantiloiaren barruan. Sinpletasuna eta MIB independentziarako, OID digitalak erabiltzen ditut:
Makro pertsonalizatuak erabiltzen ditut gako-eremuetan, txantiloiaren datu-elementu guztietan berdinak izango direlako. Txantiloi baten barruan ezar ditzakezu, zure sareko sareko gailu guztiek SNMPv3 parametro berdinak badituzte, edo sareko nodo baten barruan, monitorizazio-objektu desberdinetarako SNMPv3 parametroak desberdinak badira:
Kontuan izan jarraipen-sistemak erabiltzaile-izena eta pasahitzak soilik dituela autentifikaziorako eta enkriptatzeko. Erabiltzaile-taldea eta sarbidea onartzen duen MIB objektuen esparrua monitorizazio-objektuan zehazten dira.
Orain pasa gaitezen txantiloia betetzera.
Zabbix inkestaren txantiloia
Inkesta txantiloiak sortzerakoan arau sinple bat ahalik eta zehatzen egitea da:
Arreta handia jartzen diot inbentarioari sare handi batekin lan egitea errazteko. Honi buruz gehiago pixka bat geroago, baina oraingoz - abiarazleak:
Abiarazleen bistaratzea errazteko, sistemaren makroak {HOST.CONN} beren izenetan sartzen dira, gailuen izenak ez ezik, IP helbideak ere abisuen atalean bistaratuko diren panelean, nahiz eta hori erosotasuna baino gehiago den. . Gailu bat erabilgarri ez dagoen zehazteko, ohiko oihartzun eskaeraz gain, ostalariaren erabilgarritasunik ezaren egiaztapena erabiltzen dut SNMP protokoloa erabiliz, objektua ICMP bidez eskuragarri dagoenean baina SNMP eskaerei erantzuten ez dionean - egoera hau posible da, adibidez. , IP helbideak gailu desberdinetan bikoizten direnean, gaizki konfiguratutako suebakien ondorioz edo monitorizazio-objektuen SNMP ezarpen okerrak direla eta. Ostalariaren erabilgarritasuna egiaztatzea ICMP bidez soilik erabiltzen baduzu, sareko gorabeherak ikertzeko unean, baliteke monitorizazio-datuak erabilgarri ez egotea, beraz, haien jasotzea kontrolatu behar da.
Goazen sare-interfazeak detektatzera - sareko ekipoentzat hau da monitorizazio-funtzio garrantzitsuena. Sareko gailu batean ehunka interfaze egon daitezkeenez, beharrezkoa da beharrezkoa ez direnak iragazi, bistaratzea edo datu-basea nahasteko.
SNMP aurkikuntza funtzio estandarra erabiltzen ari naiz, parametro aurkigarri gehiagorekin, iragazketa malguagoa lortzeko:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Aurkikuntza honekin, sareko interfazeak beren motaren, deskribapen pertsonalizatuen eta ataken administratiboen egoeraren arabera iragazi ditzakezu. Nire kasuan iragazteko iragazkiak eta adierazpen erregularrak honelakoak dira:
Detektatzen bada, interfaze hauek baztertuko dira:
- eskuz desgaituta (adminstatus<>1), IFADMINSTATUS-i esker;
- testu deskribapenik gabe, IFALIASi esker;
- Testuaren deskribapenean * ikurra izatea, IFALIASi esker;
- zerbitzu edo teknikoak direnak, IFDESCRri esker (nire kasuan, adierazpen erregularretan IFALIAS eta IFDESCR adierazpen erregular alias batekin egiaztatzen dira).
SNMPv3 protokoloa erabiliz datuak biltzeko txantiloia ia prest dago. Ez gara sareko interfazeetarako datu-elementuen prototipoetan sakonduko; goazen emaitzetara.
Jarraipenaren emaitzak
Hasteko, egin sare txiki baten inbentarioa:
Sare-gailuen serie bakoitzerako txantiloiak prestatzen badituzu, egungo softwarearen, serie-zenbakien eta zerbitzarira datorren garbitzaile baten jakinarazpena (Gainerako denbora baxua dela-eta) laburpen-datuen diseinua erraz azter dezakezu. Nire txantiloien zerrendaren pasarte bat behean dago:
Eta orain - jarraipen-panel nagusia, larritasun-mailen arabera banatutako abiarazleak:
Sareko gailu-eredu bakoitzerako txantiloien ikuspegi integratuari esker, kontrol-sistema baten esparruan, matxurak eta istripuak aurreikusteko tresna bat antolatuko dela ziurta daiteke (sentsore eta neurketa egokiak badaude). Zabbix oso egokia da sare, zerbitzari eta zerbitzu azpiegiturak monitorizatzeko, eta sareko ekipamenduak mantentzeko zereginak argi erakusten ditu bere gaitasunak.
Erabilitako iturrien zerrenda:1. Hucaby D. CCNP Bideratze eta Switching SWITCH 300-115 Ziurtagirien Gida Ofiziala. Cisco Press, 2014. orr. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Konfigurazio Gida, Cisco IOS XE Release 3SE. Kapitulua: SNMP 3. bertsioa.
Iturria: www.habr.com