Tha an artaigil seo gu sònraichte airson feartan sgrùdaidh uidheamachd lìonra a’ cleachdadh protocol SNMPv3. Bruidhnidh sinn mu SNMPv3, roinnidh mi an t-eòlas agam ann a bhith a’ cruthachadh teamplaidean làn-chuimseach ann an Zabbix, agus seallaidh mi dè ghabhas coileanadh nuair a bhios mi a’ cur air dòigh rabhaidhean sgaoilte ann an lìonra mòr. Is e protocol SNMP am prìomh fhear nuair a thathar a’ cumail sùil air uidheamachd lìonra, agus tha Zabbix sgoinneil airson sùil a chumail air àireamh mhòr de nithean agus a’ toirt geàrr-chunntas air meudan mòra de mheatairean a tha a’ tighinn a-steach.
Beagan fhaclan mu SNMPv3
Feuch an tòisich sinn le adhbhar protocol SNMPv3 agus feartan a chleachdadh. Tha gnìomhan SNMP a’ cumail sùil air innealan lìonraidh agus riaghladh bunaiteach le bhith a’ cur òrdughan sìmplidh thuca (mar eisimpleir, a’ comasachadh agus a’ cur à comas eadar-aghaidh lìonra, no ag ath-thòiseachadh an inneal).
Is e am prìomh eadar-dhealachadh eadar protocol SNMPv3 agus na dreachan a bh ’ann roimhe na gnìomhan tèarainteachd clasaigeach [1-3], is iad sin:
- Dearbhadh, a tha a 'dearbhadh gun deach an t-iarrtas fhaighinn bho stòr earbsach;
- crioptachadh (Crioptachadh), gus casg a chuir air foillseachadh dàta tar-chuir nuair a thèid treas phàrtaidhean a ghlacadh;
- ionracas, is e sin, gealltanas nach deach dragh a chuir air a’ phacaid aig àm an tar-chuir.
Tha SNMPv3 a’ ciallachadh cleachdadh modal tèarainteachd anns a bheil an ro-innleachd dearbhaidh air a shuidheachadh airson neach-cleachdaidh sònraichte agus a’ bhuidheann dham buin e (ann an dreachan roimhe seo de SNMP, tha iarrtas bhon fhrithealaiche chun nì sgrùdaidh an coimeas ri “coimhearsnachd” a-mhàin, teacsa sreang le “facal-faire” air a ghluasad ann an teacsa soilleir (teacsa sìmplidh)).
Tha SNMPv3 a’ toirt a-steach bun-bheachd ìrean tèarainteachd - ìrean tèarainteachd iomchaidh a bhios a’ dearbhadh rèiteachadh uidheamachd agus giùlan neach-ionaid SNMP an nì sgrùdaidh. Bidh an cothlamadh de mhodail tèarainteachd agus ìre tèarainteachd a’ dearbhadh dè an uidheamachd tèarainteachd a thathas a’ cleachdadh nuair a thathar a’ giullachd pacaid SNMP [4].
Tha an clàr a’ toirt cunntas air measgachadh de mhodalan agus ìrean tèarainteachd SNMPv3 (cho-dhùin mi a’ chiad trì colbhan fhàgail mar a bha san tùs):
Mar sin, cleachdaidh sinn SNMPv3 ann am modh dearbhaidh a’ cleachdadh crioptachadh.
A’ rèiteachadh SNMPv3
Feumaidh uidheamachd lìonra sgrùdaidh an aon rèiteachadh de phròtacal SNMPv3 air gach cuid an t-seirbheisiche sgrùdaidh agus an nì sgrùdaichte.
Feuch an tòisich sinn le bhith a’ stèidheachadh inneal lìonra Cisco, is e an rèiteachadh as lugha a tha a dhìth mar a leanas (airson rèiteachadh bidh sinn a’ cleachdadh an CLI, rinn mi na h-ainmean agus na faclan-faire nas sìmplidhe gus troimh-chèile a sheachnadh):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedA’ chiad loidhne snmp-server buidheann - a’ mìneachadh a’ bhuidheann de luchd-cleachdaidh SNMPv3 (snmpv3group), am modh leughaidh (leugh), agus còir ruigsinneachd na buidhne snmpv3group gus meuran sònraichte de chraobh MIB an nì sgrùdaidh fhaicinn (snmpv3name an uairsin anns a’ rèiteachadh a’ sònrachadh dè na meuran den chraoibh MIB a gheibh a’ bhuidheann cothrom air snmpv3group).
An dàrna loidhne cleachdaiche snmp-server - a’ mìneachadh an neach-cleachdaidh snmpv3user, a bhallrachd sa bhuidheann snmpv3group, a bharrachd air cleachdadh dearbhadh md5 (facal-faire airson md5 is md5v3v3v3) agus des crioptachadh (facal-faire airson des is des56v3v3v3). Gu dearbh, tha e nas fheàrr aes a chleachdadh an àite des; tha mi ga thoirt an seo dìreach mar eisimpleir. Cuideachd, nuair a bhios tu a’ mìneachadh neach-cleachdaidh, faodaidh tu liosta ruigsinneachd (ACL) a chuir ris a bhios a’ riaghladh seòlaidhean IP frithealaichean sgrùdaidh aig a bheil còir sùil a chumail air an inneal seo - is e seo an cleachdadh as fheàrr cuideachd, ach cha dèan mi duilgheadas leis an eisimpleir againn.
Tha an sealladh snmp-server san treas loidhne a’ mìneachadh còd-ainm a shònraicheas meuran den chraoibh snmpv3name MIB gus an tèid an ceasnachadh leis a’ bhuidheann luchd-cleachdaidh snmpv3group. Tha ISO, an àite a bhith a’ mìneachadh aon mheur gu teann, a’ leigeil leis a’ bhuidheann luchd-cleachdaidh snmpv3group faighinn gu gach nì ann an craobh MIB an nì sgrùdaidh.
Tha suidheachadh coltach ris airson uidheamachd Huawei (cuideachd san CLI) a’ coimhead mar seo:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Às deidh dhut innealan lìonra a stèidheachadh, feumaidh tu sgrùdadh a dhèanamh airson ruigsinneachd bhon t-seirbheisiche sgrùdaidh tro phròtacal SNMPv3, cleachdaidh mi snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Is e inneal nas lèirsinneach airson stuthan OID sònraichte iarraidh a’ cleachdadh faidhlichean MIB snmpget:
A-nis gluaisidh sinn air adhart gu bhith a’ stèidheachadh eileamaid dàta àbhaisteach airson SNMPv3, taobh a-staigh teamplaid Zabbix. Airson sìmplidheachd agus neo-eisimeileachd MIB, bidh mi a’ cleachdadh OIDan didseatach:
Bidh mi a’ cleachdadh macros àbhaisteach ann am prìomh raointean oir bidh iad mar an ceudna airson a h-uile eileamaid dàta san teamplaid. Faodaidh tu an suidheachadh taobh a-staigh teamplaid, ma tha na h-aon pharaimearan SNMPv3 aig a h-uile inneal lìonra san lìonra agad, no taobh a-staigh nód lìonra, ma tha paramadairean SNMPv3 airson diofar nithean sgrùdaidh eadar-dhealaichte:
Thoir an aire nach eil aig an t-siostam sgrùdaidh ach ainm-cleachdaidh agus faclan-faire airson dearbhadh agus crioptachadh. Tha am buidheann luchd-cleachdaidh agus farsaingeachd nithean MIB ris a bheil ruigsinneachd ceadaichte air a shònrachadh air an nì sgrùdaidh.
A-nis gluaisidh sinn air adhart gu bhith a 'lìonadh an teamplaid.
Zabbix teamplaid airson bhòtadh
Is e riaghailt shìmplidh nuair a chruthaicheas tu teamplaidean sgrùdaidh sam bith an dèanamh cho mionaideach ‘s a ghabhas:
Bidh mi a’ toirt deagh aire do chlàr-seilbhe gus a dhèanamh nas fhasa obrachadh le lìonra mòr. Barrachd air seo beagan nas fhaide air adhart, ach airson a-nis - brosnachaidhean:
Gus am bi e furasta do luchd-brosnachaidh fhaicinn, tha macros an t-siostaim {HOST.CONN} air an toirt a-steach do na h-ainmean aca gus nach e a-mhàin ainmean innealan, ach cuideachd seòlaidhean IP a thaisbeanadh air an deas-bhòrd san roinn rabhaidh, ged a tha seo nas motha na adhbhar goireasachd na tha riatanach. . Gus faighinn a-mach a bheil inneal ri fhaighinn, a bharrachd air an iarrtas mac-talla àbhaisteach, bidh mi a’ cleachdadh seic airson nach eil aoigheachd ri fhaighinn a’ cleachdadh protocol SNMP, nuair a tha an nì ruigsinneach tro ICMP ach nach freagair e iarrtasan SNMP - tha an suidheachadh seo comasach, mar eisimpleir , nuair a thèid seòlaidhean IP a dhùblachadh air diofar innealan, mar thoradh air ballachan teine air an rèiteachadh gu ceàrr, no roghainnean SNMP ceàrr air nithean sgrùdaidh. Ma chleachdas tu sgrùdadh ruigsinneachd aoigheachd a-mhàin tro ICMP, aig àm an sgrùdaidh air tachartasan air an lìonra, is dòcha nach bi dàta sgrùdaidh ri fhaighinn, agus mar sin feumar sùil a chumail air an faighinn.
Gluaisidh sinn air adhart gu bhith a’ lorg eadar-aghaidh lìonraidh - airson uidheamachd lìonraidh is e seo an gnìomh sgrùdaidh as cudromaiche. Leis gum faodadh na ceudan de eadar-aghaidh a bhith air inneal lìonra, feumar an fheadhainn nach eil riatanach a shìoladh a-mach gus nach cuir thu dragh air an t-sealladh no nach cuir thu dragh air an stòr-dàta.
Tha mi a’ cleachdadh gnìomh lorg SNMP àbhaisteach, le paramadairean nas so-ruigsinneach, airson sìoladh nas sùbailte:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Leis an lorg seo, faodaidh tu eadar-aghaidh lìonra a shìoladh a rèir an seòrsa, tuairisgeulan gnàthaichte, agus inbhe puirt rianachd. Bidh sìoltachain agus abairtean cunbhalach airson sìoladh anns a ’chùis agam a’ coimhead mar seo:
Ma thèid a lorg, bidh na h-eadar-aghaidh a leanas air an dùnadh a-mach:
- ciorramach le làimh (inbhe rianachd <> 1), le taing do IFADMINSTATUS;
- gun tuairisgeul teacsa, taing do IFALIAS;
- leis an samhla * anns an tuairisgeul teacsa, taing do IFALIAS;
- a tha seirbheis no teignigeach, le taing do IFDESCR (anns a’ chùis agam, ann an abairtean cunbhalach tha IFALIAS agus IFDESCR air an sgrùdadh le aon alias abairt àbhaisteach).
Tha an teamplaid airson dàta a chruinneachadh a’ cleachdadh protocol SNMPv3 cha mhòr deiseil. Cha bhith sinn a’ fuireach nas mionaidiche air na prototypes de eileamaidean dàta airson eadar-aghaidh lìonra; gluaisidh sinn air adhart gu na toraidhean.
Toraidhean sgrùdaidh
Airson tòiseachadh, gabh clàr de lìonra beag:
Ma dh'ullaicheas tu teamplaidean airson gach sreath de dh'innealan lìonraidh, faodaidh tu cruth furasta a sgrùdadh de dhàta geàrr-chunntas air bathar-bog làithreach, àireamhan sreathach, agus fios mu neach-glanaidh a 'tighinn chun an fhrithealaiche (mar thoradh air Uptime ìosal). Tha earrann den liosta teamplaid agam gu h-ìosal:
Agus a-nis - am prìomh phannal sgrùdaidh, le luchd-brosnachaidh air an sgaoileadh a rèir ìre doimhneachd:
Taing do dhòigh-obrach amalaichte a thaobh teamplaidean airson gach modail inneal san lìonra, tha e comasach dèanamh cinnteach, taobh a-staigh frèam aon shiostam sgrùdaidh, gun tèid inneal airson sgàinidhean agus tubaistean a ro-innse (ma tha mothachairean agus meatairean iomchaidh rim faighinn). Tha Zabbix gu math freagarrach airson sùil a chumail air bun-structaran lìonra, frithealaiche, agus seirbheis, agus tha an obair cumail suas uidheamachd lìonra a’ nochdadh gu soilleir na comasan aige.
Liosta de na stòran a chaidh a chleachdadh:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Iùl Teisteanas Oifigeil. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuration Guide, Cisco IOS XE Release 3SE. Caibideil: SNMP Tionndadh 3.
Source: www.habr.com