Dit artikel is wijd oan de funksjes fan tafersjoch op netwurkapparatuer mei it SNMPv3-protokol. Wy sille prate oer SNMPv3, ik sil myn ûnderfining diele yn it meitsjen fan folweardige sjabloanen yn Zabbix, en ik sil sjen litte wat kin wurde berikt by it organisearjen fan ferspraat warskôging yn in grut netwurk. It SNMP-protokol is it wichtichste by it kontrolearjen fan netwurkapparatuer, en Zabbix is geweldich foar it kontrolearjen fan in grut oantal objekten en it gearfetten fan grutte folumes fan ynkommende metriken.
In pear wurden oer SNMPv3
Litte wy begjinne mei it doel fan it SNMPv3-protokol en de funksjes fan it gebrûk. De taken fan SNMP binne it kontrolearjen fan netwurkapparaten en basisbehear troch ienfâldige kommando's nei har te stjoeren (bygelyks yn- en útskeakelje fan netwurkynterfaces, of it apparaat opnij starte).
It wichtichste ferskil tusken it SNMPv3-protokol en syn eardere ferzjes is de klassike feiligensfunksjes [1-3], nammentlik:
- Autentikaasje, dy't bepaalt dat it fersyk ûntfongen is fan in fertroude boarne;
- fersifering (fersifering), om it iepenbierjen fan oerbrochte gegevens te foarkommen as se wurde ûnderskept troch tredden;
- yntegriteit, dat is, in garânsje dat it pakket is net tampered tidens oerdracht.
SNMPv3 ymplisearret it brûken fan in befeiligingsmodel wêryn de autentikaasjestrategy is ynsteld foar in opjûne brûker en de groep dêr't hy ta heart (yn eardere ferzjes fan SNMP, it fersyk fan 'e tsjinner nei it tafersjochobjekt fergelike allinnich "mienskip", in tekst string mei in "wachtwurd" oerdroegen yn dúdlike tekst (plain text)).
SNMPv3 yntrodusearret it konsept fan feiligensnivo's - akseptabele feiligensnivo's dy't de konfiguraasje fan apparatuer en it gedrach fan 'e SNMP-agint fan it tafersjochobjekt bepale. De kombinaasje fan feiligensmodel en feiligensnivo bepaalt hokker feiligensmeganisme wurdt brûkt by it ferwurkjen fan in SNMP-pakket [4].
De tabel beskriuwt kombinaasjes fan modellen en SNMPv3-befeiligingsnivo's (ik besleat de earste trije kolommen te ferlitten lykas yn it orizjineel):
Dêrtroch sille wy SNMPv3 brûke yn autentikaasjemodus mei fersifering.
SNMPv3 konfigurearje
Monitoring netwurkapparatuer fereasket deselde konfiguraasje fan it SNMPv3-protokol op sawol de tafersjochtsjinner as it kontroleare objekt.
Litte wy begjinne mei it ynstellen fan in Cisco netwurkapparaat, de minimale fereaske konfiguraasje is as folget (foar konfiguraasje brûke wy de CLI, ik ferienfâldige de nammen en wachtwurden om betizing te foarkommen):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedDe earste line snmp-tsjinner groep - definiearret de groep fan SNMPv3 brûkers (snmpv3group), de lês modus (lêzen), en it tagongsrjocht fan de snmpv3group groep om te besjen bepaalde tûken fan de MIB beam fan it tafersjoch objekt (snmpv3name dan yn de konfiguraasje spesifisearret hokker tûken fan 'e MIB-beam de groep tagong kin krije snmpv3group sil tagong krije kinne).
De twadde line snmp-tsjinner brûker - definiearret de brûker snmpv3user, syn lidmaatskip yn 'e snmpv3group groep, lykas ek it brûken fan md5 autentikaasje (wachtwurd foar md5 is md5v3v3v3) en des fersifering (wachtwurd foar des is des56v3v3v3). Fansels is it better om aes te brûken ynstee fan des; ik jou it hjir mar as foarbyld. Ek by it definiearjen fan in brûker kinne jo in tagongslist (ACL) taheakje dy't de IP-adressen regelet fan tafersjochtsjinners dy't it rjocht hawwe om dit apparaat te kontrolearjen - dit is ek de bêste praktyk, mar ik sil ús foarbyld net komplisearje.
De tredde line snmp-tsjinner werjefte definiearret in koade namme dy't spesifisearret tûken fan de snmpv3name MIB beam sadat se kinne wurde frege troch de snmpv3group brûkersgroep. ISO, ynstee fan strikt te definiearjen fan in inkele branch, lit de snmpv3group-brûkersgroep tagong krije ta alle objekten yn 'e MIB-beam fan it monitoaringsobjekt.
In ferlykbere opset foar Huawei-apparatuer (ek yn 'e CLI) sjocht der sa út:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Nei it ynstellen fan netwurkapparaten, moatte jo kontrolearje op tagong fan 'e monitorserver fia it SNMPv3-protokol, ik sil snmpwalk brûke:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
In mear fisueel ark foar it oanfreegjen fan spesifike OID-objekten mei MIB-bestannen is snmpget:
Litte wy no trochgean mei it ynstellen fan in typysk gegevenselemint foar SNMPv3, binnen it Zabbix-sjabloan. Foar ienfâld en MIB-ûnôfhinklikens brûk ik digitale OID's:
Ik brûk oanpaste makros yn kaai fjilden omdat se sille wêze itselde foar alle gegevens eleminten yn it sjabloan. Jo kinne se ynstelle yn in sjabloan, as alle netwurkapparaten yn jo netwurk deselde SNMPv3-parameters hawwe, of binnen in netwurkknooppunt, as de SNMPv3-parameters foar ferskate monitoaringsobjekten oars binne:
Tink derom dat it tafersjochsysteem allinich in brûkersnamme en wachtwurden hat foar ferifikaasje en fersifering. De brûkersgroep en de omfang fan MIB-objekten dêr't tagong is talitten wurde oantsjutte op it tafersjochobjekt.
Litte wy no trochgean mei it ynfoljen fan it sjabloan.
Zabbix poll sjabloan
In ienfâldige regel by it meitsjen fan enkête-sjabloanen is om se sa detaillearre mooglik te meitsjen:
Ik besteegje grutte oandacht oan ynventarisaasje om it makliker te meitsjen mei in grut netwurk. Mear oer dit in bytsje letter, mar foar no - triggers:
Foar it gemak fan fisualisaasje fan triggers binne systeemmakro's {HOST.CONN} yn har nammen opnommen, sadat net allinich apparaatnammen, mar ek IP-adressen wurde werjûn op it dashboard yn 'e warskôgingsseksje, hoewol dit mear in kwestje fan gemak is as needsaak . Om te bepalen oft in apparaat net beskikber is, brûk ik, neist it gewoane echo-fersyk, in sjek foar ûnbeskikberens fan 'e host mei it SNMP-protokol, as it objekt tagonklik is fia ICMP, mar reagearret net op SNMP-oanfragen - dizze situaasje is mooglik, bygelyks , as IP-adressen op ferskate apparaten duplikearre wurde, troch ferkeard ynstelde brânmuorre, of ferkearde SNMP-ynstellingen op it kontrolearjen fan objekten. As jo allinich kontrolearjen fan hostbeskikberens fia ICMP brûke, op it momint fan ûndersiik fan ynsidinten op it netwurk, kinne tafersjochgegevens net beskikber wêze, sadat har ûntfangst moat wurde kontrolearre.
Litte wy trochgean mei it opspoaren fan netwurkynterfaces - foar netwurkapparatuer is dit de wichtichste tafersjochfunksje. Om't d'r hûnderten ynterfaces kinne wêze op in netwurkapparaat, is it nedich om de oerstallige te filterjen om de fisualisaasje net te rommeljen of de databank te rommeljen.
Ik brûk de standert SNMP-ûntdekkingsfunksje, mei mear te finen parameters, foar fleksibeler filterjen:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Mei dizze ûntdekking kinne jo netwurkynterfaces filterje op har typen, oanpaste beskriuwingen en bestjoerlike havenstatusen. Filters en reguliere útdrukkingen foar filterjen yn myn gefal sjogge der sa út:
As ûntdutsen, sille de folgjende ynterfaces wurde útsletten:
- hânmjittich útskeakele (adminstatus<>1), tank oan IFADMINSTATUS;
- sûnder tekstbeskriuwing, tank oan IFALIAS;
- mei it symboal * yn 'e tekstbeskriuwing, tank oan IFALIAS;
- dat binne tsjinst of technysk, tank oan IFDESCR (yn myn gefal, yn reguliere útdrukkingen IFALIAS en IFDESCR wurde kontrolearre troch ien reguliere útdrukking alias).
It sjabloan foar it sammeljen fan gegevens mei it SNMPv3-protokol is hast klear. Wy sille net yn mear detail wenje oer de prototypen fan gegevenseleminten foar netwurkynterfaces; lit ús trochgean nei de resultaten.
Resultaten fan tafersjoch
Om te begjinnen, nim ynventarisaasje fan in lyts netwurk:
As jo sjabloanen foar elke searje netwurkapparaten tariede, kinne jo in maklik te analysearjen yndieling berikke fan gearfettingsgegevens oer aktuele software, serialnûmers en notifikaasje fan in skjinner dy't nei de tsjinner komt (fanwege lege Uptime). In úttreksel fan myn sjabloanlist is hjirûnder:
En no - it haadmonitoringpaniel, mei triggers ferdield troch earnstnivo's:
Mei tank oan in yntegreare oanpak fan sjabloanen foar elk apparaatmodel yn it netwurk, is it mooglik om te soargjen dat, yn it ramt fan ien tafersjochsysteem, in ark foar it foarsizzen fan flaters en ûngemakken wurdt organisearre (as passende sensors en metriken beskikber binne). Zabbix is goed geskikt foar it kontrolearjen fan netwurk-, server- en tsjinstinfrastruktuer, en de taak om netwurkapparatuer te behâlden toant syn mooglikheden dúdlik oan.
List fan brûkte boarnen:1. Hucaby D. CCNP Routing en Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Konfiguraasje Guide, Cisco IOS XE Release 3SE. Haadstik: SNMP Ferzje 3.
Boarne: www.habr.com