Tämä artikkeli on omistettu SNMPv3-protokollaa käyttävien verkkolaitteiden valvonnan ominaisuuksille. Puhumme SNMPv3:sta, jaan kokemukseni täysimittaisten mallien luomisesta Zabbixissa ja näytän, mitä voidaan saavuttaa järjestämällä hajautettuja hälytyksiä suuressa verkossa. SNMP-protokolla on tärkein verkkolaitteiden valvonnassa, ja Zabbix sopii erinomaisesti suuren objektimäärän valvontaan ja suurten saapuvien mittausmäärien yhteenvetoon.
Muutama sana SNMPv3:sta
Aloitetaan SNMPv3-protokollan tarkoituksesta ja sen käytön ominaisuuksista. SNMP:n tehtäviä ovat verkkolaitteiden valvonta ja perushallinta lähettämällä niille yksinkertaisia komentoja (esim. verkkoliitäntöjen käyttöönotto ja poisto tai laitteen uudelleenkäynnistys).
Suurin ero SNMPv3-protokollan ja sen aiempien versioiden välillä on klassiset suojaustoiminnot [1-3], nimittäin:
- Todennus, joka määrittää, että pyyntö vastaanotettiin luotettavasta lähteestä;
- salaus (Salaus), jotta estetään siirrettyjen tietojen paljastaminen, kun kolmannet osapuolet sieppaavat ne;
- eheys, eli takuu siitä, että pakettia ei ole peukaloitu lähetyksen aikana.
SNMPv3 tarkoittaa suojausmallin käyttöä, jossa todennusstrategia on asetettu tietylle käyttäjälle ja ryhmälle, johon hän kuuluu (SNMP:n aiemmissa versioissa palvelimelta valvontaobjektille lähetetty pyyntö verrattiin vain "yhteisöön", tekstiin merkkijono "salasana" välitettynä selkeänä tekstinä (pelkkä teksti)).
SNMPv3 esittelee suojaustasojen käsitteen - hyväksyttävät suojaustasot, jotka määrittävät laitteiden kokoonpanon ja valvontaobjektin SNMP-agentin toiminnan. Suojausmallin ja suojaustason yhdistelmä määrittää, mitä suojausmekanismia käytetään SNMP-paketin käsittelyssä [4].
Taulukossa kuvataan mallien ja SNMPv3-suojaustasojen yhdistelmät (päätin jättää kolme ensimmäistä saraketta alkuperäiseen):
Vastaavasti käytämme SNMPv3:a todennustilassa salausta käyttäen.
SNMPv3:n määrittäminen
Verkkolaitteiden valvonta vaatii saman SNMPv3-protokollan konfiguraation sekä valvontapalvelimella että valvottavalla objektilla.
Aloitetaan Cisco-verkkolaitteen asettamisesta, sen vaadittava vähimmäiskokoonpano on seuraava (määritykseen käytämme CLI:tä, yksinkertaistin nimiä ja salasanoja sekaannusten välttämiseksi):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedEnsimmäinen rivi snmp-server group – määrittelee SNMPv3-käyttäjien ryhmän (snmpv3group), lukutilan (luku) ja snmpv3group-ryhmän käyttöoikeuden tarkastellakseen tiettyjä valvontaobjektin MIB-puun osia (snmpv3name sitten konfiguraatio määrittää, mihin MIB-puun osiin ryhmä voi käyttää snmpv3group voi päästä käsiksi).
Toinen rivi snmp-server user – määrittelee käyttäjän snmpv3user, hänen jäsenyytensä snmpv3group-ryhmään sekä md5-todennuksen (md5:n salasana on md5v3v3v3) ja des-salauksen käytön (des-salasana on des56v3v3v3). Tietysti on parempi käyttää aes-kirjainta des-sanan sijaan; annan sen tässä vain esimerkkinä. Käyttäjää määriteltäessä voit myös lisätä pääsyluettelon (ACL), joka säätelee valvontapalvelinten IP-osoitteita, joilla on oikeus valvoa tätä laitetta - tämä on myös paras käytäntö, mutta en monimutkaise esimerkkiämme.
Kolmannen rivin snmp-palvelinnäkymä määrittelee koodinimen, joka määrittää snmpv3name MIB-puun haarat, jotta snmpv3group-käyttäjäryhmä voi kysellä niitä. ISO sen sijaan, että määrittäisi tiukasti yhden haaran, sallii snmpv3group-käyttäjäryhmän käyttää kaikkia valvontaobjektin MIB-puun objekteja.
Samanlainen asennus Huawei-laitteille (myös CLI:ssä) näyttää tältä:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Verkkolaitteiden asennuksen jälkeen sinun on tarkistettava pääsy valvontapalvelimelta SNMPv3-protokollan kautta, käytän snmpwalkia:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Visuaalisempi työkalu tiettyjen OID-objektien pyytämiseen MIB-tiedostojen avulla on snmpget:
Siirrytään nyt tyypillisen tietoelementin määrittämiseen SNMPv3:lle Zabbix-mallissa. Yksinkertaisuuden ja MIB-riippumattomuuden vuoksi käytän digitaalisia OID:itä:
Käytän mukautettuja makroja avainkentissä, koska ne ovat samat kaikissa mallin tietoelementeissä. Voit määrittää ne mallissa, jos kaikilla verkon verkkolaitteilla on samat SNMPv3-parametrit, tai verkkosolmussa, jos eri valvontaobjektien SNMPv3-parametrit ovat erilaiset:
Huomaa, että valvontajärjestelmällä on vain käyttäjätunnus ja salasanat todennusta ja salausta varten. Käyttäjäryhmä ja MIB-objektien laajuus, joihin pääsy on sallittu, on määritetty valvontaobjektissa.
Siirrytään nyt mallin täyttämiseen.
Zabbix kyselymalli
Yksinkertainen sääntö kyselymalleja luotaessa on tehdä niistä mahdollisimman yksityiskohtaisia:
Kiinnitän suurta huomiota varastoon, jotta suuren verkon kanssa työskentely olisi helpompaa. Tästä lisää hieman myöhemmin, mutta toistaiseksi – laukaisee:
Liipaisujen visualisoinnin helpottamiseksi järjestelmämakrot {HOST.CONN} sisällytetään niiden nimiin, joten laitteiden nimet, mutta myös IP-osoitteet näkyvät kojelaudassa varoitusosiossa, vaikka tämä onkin enemmän mukavuus kuin välttämättömyyskysymys. . Sen määrittämiseksi, onko laite poissa käytöstä, käytän tavallisen kaikupyynnön lisäksi isännän epäkäytettävyyden tarkistusta SNMP-protokollalla, kun objekti on saavutettavissa ICMP:n kautta, mutta ei vastaa SNMP-pyyntöihin - tämä tilanne on mahdollista esim. , kun IP-osoitteet kopioidaan eri laitteissa väärin määritettyjen palomuurien tai valvontaobjektien virheellisten SNMP-asetusten vuoksi. Jos käytät isännän saatavuuden tarkistusta vain ICMP:n kautta, verkon tapauksia tutkittaessa seurantatietoja ei välttämättä ole saatavilla, joten niiden vastaanottoa on seurattava.
Siirrytään verkkorajapintojen havaitsemiseen - verkkolaitteille tämä on tärkein valvontatoiminto. Koska verkkolaitteessa voi olla satoja liitäntöjä, tarpeettomat on suodatettava pois, jotta visualisointi tai tietokanta ei sotkeudu.
Käytän tavallista SNMP-etsintätoimintoa, jossa on enemmän löydettäviä parametreja joustavampaan suodatukseen:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Tämän haun avulla voit suodattaa verkkoliitäntöjä niiden tyyppien, mukautettujen kuvausten ja järjestelmänvalvojan porttien tilan mukaan. Suodattimet ja säännölliset lausekkeet suodatusta varten näyttävät minun tapauksessani tältä:
Jos havaitaan, seuraavat rajapinnat suljetaan pois:
- manuaalisesti poistettu käytöstä (adminstatus<>1), kiitos IFADMINSTATUS;
- ilman tekstikuvausta, kiitos IFALIAS;
- tekstin kuvauksessa on symboli *, kiitos IFALIAS;
- jotka ovat palvelu- tai teknisiä, kiitos IFDESCR:n (minun tapauksessani säännöllisissä lausekkeissa IFALIAS ja IFDESCR tarkistetaan yhdellä säännöllisen lausekkeen aliaksella).
Malli tietojen keräämiseen SNMPv3-protokollalla on melkein valmis. Emme käsittele sen tarkemmin verkkorajapintojen tietoelementtien prototyyppejä, vaan siirrytään tuloksiin.
Seurannan tulokset
Aluksi selvitä pieni verkko:
Jos valmistelet malleja jokaiselle verkkolaitesarjalle, voit saavuttaa helposti analysoitavan nykyisten ohjelmistojen yhteenvetotietojen, sarjanumeroiden ja ilmoituksen palvelimelle tulevasta puhdistajasta (alhaisen käyttöajan vuoksi). Alla on ote malliluettelostani:
Ja nyt - päävalvontapaneeli, jossa liipaisimet on jaettu vakavuustasojen mukaan:
Verkon jokaisen laitemallin mallien integroidun lähestymistavan ansiosta on mahdollista varmistaa, että yhden valvontajärjestelmän puitteissa järjestetään työkalu vikojen ja onnettomuuksien ennustamiseen (jos sopivat anturit ja mittarit ovat saatavilla). Zabbix soveltuu hyvin verkko-, palvelin- ja palveluinfrastruktuurien valvontaan, ja verkkolaitteiden ylläpitotehtävä osoittaa selvästi sen kyvyt.
Luettelo käytetyistä lähteistä:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 virallinen sertifiointiopas. Cisco Press, 2014. s. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP-määritysopas, Cisco IOS XE Release 3SE. Luku: SNMP-versio 3.
Lähde: will.com