Tá an t-alt seo dírithe ar ghnéithe monatóireachta trealaimh líonra ag baint úsáide as prótacal SNMPv3. Déanfaimid labhairt faoi SNMPv3, roinnfidh mé mo thaithí maidir le teimpléid iomlána a chruthú i Zabbix, agus taispeánfaidh mé cad is féidir a bhaint amach nuair a bhíonn foláirimh dáilte á eagrú i líonra mór. Is é an prótacal SNMP an príomh-cheann nuair a dhéantar monatóireacht ar threalamh líonra, agus tá Zabbix iontach chun monatóireacht a dhéanamh ar líon mór rudaí agus achoimre a dhéanamh ar líon mór méadracht atá ag teacht isteach.
Cúpla focal faoi SNMPv3
Tosaímid le cuspóir an phrótacail SNMPv3 agus na gnéithe a bhaineann lena úsáid. Is iad cúraimí SNMP monatóireacht a dhéanamh ar fheistí líonra agus ar bhainistíocht bhunúsach trí orduithe simplí a sheoladh chucu (mar shampla, comhéadain líonra a chumasú agus a dhíchumasú, nó an gléas a atosú).
Is é an príomhdhifríocht idir prótacal SNMPv3 agus na leaganacha roimhe seo ná na feidhmeanna slándála clasaiceacha [1-3], eadhon:
- Fíordheimhniú, a chinneann go bhfuarthas an t-iarratas ó fhoinse iontaofa;
- criptiúchán (Criptiúchán), chun nochtadh sonraí tarchurtha a chosc nuair a idircheapann tríú páirtithe iad;
- sláine, is é sin, ráthaíocht nár cuireadh isteach ar an bpaicéad le linn tarchurtha.
Tugann SNMPv3 le tuiscint go n-úsáidfear samhail slándála ina bhfuil an straitéis fíordheimhnithe socraithe d'úsáideoir áirithe agus an grúpa lena mbaineann sé (i leaganacha roimhe seo de SNMP, ní dhéantar ach “pobal” a chur i gcomparáid leis an iarratas ón bhfreastalaí chuig an réad monatóireachta. teaghrán le “focal faire” arna tharchur i dtéacs soiléir (gnáththéacs)).
Tugann SNMPv3 coincheap na leibhéil slándála isteach - leibhéil slándála inghlactha a chinneann cumraíocht trealaimh agus iompar gníomhaire SNMP an réad monatóireachta. Cinneann an meascán de mhúnla slándála agus leibhéal slándála an meicníocht slándála a úsáidtear agus paicéad SNMP á phróiseáil [4].
Déanann an tábla cur síos ar chomhcheangail samhlacha agus leibhéil slándála SNMPv3 (shocraigh mé na chéad trí cholún a fhágáil mar a bhí sa bhunaidh):
Dá réir sin, úsáidfimid SNMPv3 i mód fíordheimhnithe ag baint úsáide as criptiú.
SNMPv3 á chumrú
Éilíonn trealamh líonra monatóireachta an chumraíocht chéanna le prótacal SNMPv3 ar an bhfreastalaí monatóireachta agus ar an réad monatóireachta araon.
Cuirimis tús le gléas líonra Cisco a bhunú, is é seo a leanas a chumraíocht íosta a theastaíonn (le haghaidh cumraíochta úsáidimid an CLI, shimpligh mé na hainmneacha agus na pasfhocail chun mearbhall a sheachaint):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedAn grúpa freastalaí snmp chéad líne - sainmhínítear an grúpa úsáideoirí SNMPv3 (snmpv3group), an modh léite (léamh), agus ceart rochtana an ghrúpa snmpv3group chun breathnú ar bhrainsí áirithe de chrann MIB an réad monatóireachta (snmpv3name ansin sa sonraíonn cumraíocht cé na craobhacha den chrann MIB ar féidir leis an ngrúpa rochtain a fháil snmpv3group will be able to gain access).
An dara líne úsáideoir freastalaí snmp-sainmhíníonn an t-úsáideoir snmpv3user, a bhallraíocht sa ghrúpa snmpv3group, chomh maith le húsáid fíordheimhnithe md5 (focal faire le haghaidh md5 is md5v3v3v3) agus des criptithe (focal faire le haghaidh des is des56v3v3v3). Ar ndóigh, is fearr aes a úsáid seachas des; táim á thabhairt anseo mar shampla. Chomh maith leis sin, nuair a bhíonn úsáideoir á shainiú, is féidir leat liosta rochtana (ACL) a chur leis a rialaíonn seoltaí IP na bhfreastalaithe monatóireachta a bhfuil an ceart acu monatóireacht a dhéanamh ar an bhfeiste seo - is dea-chleachtas é seo freisin, ach ní dhéanfaidh mé casta ar ár sampla.
Sainmhíníonn an t-amharc freastalaí snmp-freastalaí tríú líne códainm a shonraíonn brainsí an chrainn snmpv3name MIB ionas gur féidir leis an ngrúpa úsáideoirí snmpv3group iad a cheistiú. Ceadaíonn ISO, in ionad brainse amháin a shainiú go docht, don ghrúpa úsáideoirí snmpv3group rochtain a fháil ar gach réad i gcrann MIB an réad monatóireachta.
Breathnaíonn socrú comhchosúil do threalamh Huawei (freisin sa CLI):
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Tar éis duit gléasanna líonra a shocrú, ní mór duit rochtain a fháil ón bhfreastalaí monatóireachta tríd an bprótacal SNMPv3, úsáidfidh mé snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Uirlis níos amhairc chun rudaí OID ar leith a iarraidh agus comhaid MIB á n-úsáid ná snmpget:
Anois, bogaimis ar aghaidh go dtí gné sonraí tipiciúil a bhunú le haghaidh SNMPv3, laistigh den teimpléad Zabbix. Ar mhaithe le simplíocht agus neamhspleáchas MIB, úsáidim OIDanna digiteacha:
Úsáidim macraí saincheaptha i bpríomhréimsí toisc go mbeidh siad mar an gcéanna do na heilimintí sonraí go léir sa teimpléad. Is féidir leat iad a shocrú laistigh de theimpléad, má tá na paraiméadair SNMPv3 céanna ag gach feiste líonra i do líonra, nó laistigh de nód líonra, má tá paraiméadair SNMPv3 le haghaidh rudaí monatóireachta éagsúla difriúil:
Tabhair faoi deara nach bhfuil ag an gcóras monatóireachta ach ainm úsáideora agus pasfhocail le haghaidh fíordheimhnithe agus criptithe. Tá an grúpa úsáideoirí agus raon feidhme na n-oibiachtaí MIB a bhfuil rochtain ceadaithe dóibh sonraithe ar an réad monatóireachta.
Anois, a ligean ar bogadh ar aghaidh go dtí líonadh amach an teimpléad.
Zabbix teimpléad vótaíocht
Riail shimplí agus teimpléid suirbhé á gcruthú ná iad a dhéanamh chomh mionsonraithe agus is féidir:
Tugaim aird mhór ar fhardal chun é a dhéanamh níos éasca oibriú le líonra mór. Níos mó faoi seo beagán níos déanaí, ach faoi láthair - triggers:
Ar mhaithe le hamharcléiriú na dtruiceoirí, cuirtear macraí córais {HOST.CONN} san áireamh ina n-ainmneacha ionas go dtaispeántar ní hamháin ainmneacha gléasanna, ach seoltaí IP freisin ar an deais sa chuid foláirimh, cé gur mó áisiúlacht é seo ná mar is gá. . Chun a chinneadh an bhfuil gléas ar fáil, chomh maith leis an ngnáthiarratas macalla, úsáidim seic le haghaidh neamh-infhaighteacht an óstaigh ag baint úsáide as an bprótacal SNMP, nuair a bhíonn an réad inrochtana trí ICMP ach nach bhfreagraíonn sé d'iarratais SNMP - is féidir an cás seo a dhéanamh, mar shampla , nuair a dhéantar seoltaí IP a dhúbailt ar fheistí éagsúla, mar gheall ar bhallaí dóiteáin atá cumraithe go mícheart, nó socruithe SNMP mícheart ar rudaí monatóireachta. Mura n-úsáideann tú seiceáil infhaighteachta óstaigh ach amháin trí ICMP, tráth a imscrúdaítear teagmhais ar an líonra, seans nach mbeidh sonraí monatóireachta ar fáil, mar sin ní mór monatóireacht a dhéanamh ar a bhfáil.
A ligean ar bogadh ar aghaidh chuig a bhrath comhéadain líonra - le haghaidh trealamh líonra is é seo an fheidhm monatóireachta is tábhachtaí. Ós rud é go bhféadfadh na céadta comhéadain a bheith ar ghléas líonra, is gá na cinn nach bhfuil gá leo a scagadh amach ionas nach gcuirfear isteach ar an léirshamhlú nó nach gcuirfear isteach ar an mbunachar sonraí.
Tá feidhm fhionnachtana chaighdeánach SNMP in úsáid agam, le paraiméadair níos so-aimsithe, le haghaidh scagadh níos solúbtha:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Leis an bhfionnachtain seo, is féidir leat comhéadain líonra a scagadh de réir a gcineálacha, a gcur síos saincheaptha, agus a stádas calafoirt riaracháin. Breathnaíonn scagairí agus slonn rialta le scagadh i mo chás mar seo:
Má aimsítear iad, fágfar na comhéadain seo a leanas as an áireamh:
- díchumasaithe de láimh (stádas admin<>1), a bhuí le IFADMINSTATUS;
- gan tuairisc téacs, a bhuíochas sin do IFALIAS;
- a bhfuil an tsiombail * sa tuairisc téacs, a bhuíochas sin do IFALIAS;
- atá seirbhíse nó teicniúil, a bhuíochas le IFDESCR (i mo chás féin, seiceáiltear IFALIAS agus IFDESCR le hailias slonn rialta amháin).
Tá an teimpléad chun sonraí a bhailiú ag baint úsáide as prótacal SNMPv3 beagnach réidh. Ní chuimseoidh muid níos mine ar fhréamhshamhlacha na n-eilimintí sonraí le haghaidh comhéadain líonra; bogaimis ar aghaidh chuig na torthaí.
Torthaí monatóireachta
Ar dtús, déan fardal de líonra beag:
Má ullmhaíonn tú teimpléid do gach sraith de ghléasanna líonra, is féidir leat leagan amach atá éasca le hanailís a dhéanamh ar shonraí achoimre ar bhogearraí reatha, sraithuimhreacha, agus fógra a thabhairt faoi ghlantóir ag teacht chuig an bhfreastalaí (mar gheall ar Aga fónaimh íseal). Tá sliocht de mo liosta teimpléad thíos:
Agus anois - an príomhphainéal monatóireachta, le truicear a dháileadh de réir leibhéal déine:
A bhuí le cur chuige comhtháite maidir le teimpléid do gach samhail feiste sa líonra, is féidir a áirithiú, faoi chuimsiú córais faireacháin amháin, go n-eagrófar uirlis chun lochtanna agus tionóiscí a thuar (má tá braiteoirí agus méadrachtaí iomchuí ar fáil). Tá Zabbix oiriúnach go maith chun monatóireacht a dhéanamh ar bhonneagair líonra, freastalaí agus seirbhíse, agus léiríonn an tasc maidir le trealamh líonra a chothabháil a chumais go soiléir.
Liosta foinsí a úsáideadh:1. Hucaby D. CCNP Ródú agus Aistriú LASC 300-115 Treoir Oifigiúil an Deimhnithe. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Treoir Cumraíochta SNMP, Cisco IOS XE Release 3SE. Caibidil: SNMP Leagan 3.
Foinse: will.com