Ovaj članak posvećen je značajkama nadzora mrežne opreme pomoću SNMPv3 protokola. Razgovarat ćemo o SNMPv3, podijelit ću svoje iskustvo u stvaranju punopravnih predložaka u Zabbixu i pokazat ću što se može postići organiziranjem distribuiranog upozorenja u velikoj mreži. SNMP protokol je glavni pri praćenju mrežne opreme, a Zabbix je odličan za praćenje velikog broja objekata i sažimanje velikih količina dolaznih metrika.
Nekoliko riječi o SNMPv3
Počnimo sa svrhom SNMPv3 protokola i značajkama njegove upotrebe. Zadaci SNMP-a su nadzor mrežnih uređaja i osnovno upravljanje slanjem jednostavnih naredbi njima (na primjer, omogućavanje i onemogućavanje mrežnih sučelja ili ponovno pokretanje uređaja).
Glavna razlika između SNMPv3 protokola i njegovih prethodnih verzija su klasične sigurnosne funkcije [1-3], i to:
- Provjera autentičnosti, koja utvrđuje da je zahtjev primljen od pouzdanog izvora;
- šifriranje (Encryption), kako bi se spriječilo otkrivanje prenesenih podataka kada ih presretnu treće strane;
- cjelovitost, odnosno jamstvo da paket nije petljano tijekom prijenosa.
SNMPv3 podrazumijeva korištenje sigurnosnog modela u kojem je strategija autentifikacije postavljena za određenog korisnika i grupu kojoj on pripada (u prijašnjim verzijama SNMP-a zahtjev od poslužitelja prema objektu nadzora uspoređivao je samo “zajednicu”, tekst niz s "lozinkom" prenesen čistim tekstom (plain text)).
SNMPv3 uvodi koncept sigurnosnih razina – prihvatljivih sigurnosnih razina koje određuju konfiguraciju opreme i ponašanje SNMP agenta nadziranog objekta. Kombinacija sigurnosnog modela i sigurnosne razine određuje koji se sigurnosni mehanizam koristi prilikom obrade SNMP paketa [4].
Tablica opisuje kombinacije modela i SNMPv3 sigurnosnih razina (odlučio sam ostaviti prva tri stupca kao u originalu):
Sukladno tome, koristit ćemo SNMPv3 u načinu provjere autentičnosti pomoću enkripcije.
Konfiguriranje SNMPv3
Mrežna oprema za nadzor zahtijeva istu konfiguraciju SNMPv3 protokola na poslužitelju za nadzor i nadziranom objektu.
Počnimo s postavljanjem Cisco mrežnog uređaja, njegova minimalna potrebna konfiguracija je sljedeća (za konfiguraciju koristimo CLI, pojednostavio sam imena i lozinke da izbjegnem zabunu):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedGrupa snmp-poslužitelja u prvom redu – definira grupu SNMPv3 korisnika (snmpv3group), način čitanja (read) i pravo pristupa grupe snmpv3group za pregled određenih grana MIB stabla nadziranog objekta (snmpv3name zatim u konfiguracija specificira kojim granama MIB stabla grupa može pristupiti snmpv3group će moći dobiti pristup).
Drugi redak snmp-server user – definira korisnika snmpv3user, njegovo članstvo u grupi snmpv3group, kao i korištenje md5 autentifikacije (lozinka za md5 je md5v3v3v3) i des enkripcije (lozinka za des je des56v3v3v3). Naravno, bolje je koristiti aes umjesto des; ovdje ga navodim samo kao primjer. Također, prilikom definiranja korisnika možete dodati pristupnu listu (ACL) koja regulira IP adrese poslužitelja za nadgledanje koji imaju pravo nadzirati ovaj uređaj - to je također najbolja praksa, ali neću komplicirati naš primjer.
Treći redak pogleda snmp-poslužitelja definira kodni naziv koji specificira grane snmpv3name MIB stabla tako da ih može ispitivati snmpv3group korisnička grupa. ISO, umjesto striktno definiranja jedne grane, dopušta grupi korisnika snmpv3group pristup svim objektima u MIB stablu nadziranog objekta.
Slična postavka za Huawei opremu (također u CLI-ju) izgleda ovako:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Nakon postavljanja mrežnih uređaja, morate provjeriti pristup s poslužitelja za praćenje putem SNMPv3 protokola, ja ću koristiti snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Vizualniji alat za traženje specifičnih OID objekata pomoću MIB datoteka je snmpget:
Sada prijeđimo na postavljanje tipičnog elementa podataka za SNMPv3, unutar Zabbix predloška. Radi jednostavnosti i neovisnosti o MIB-u, koristim digitalne OID-ove:
Koristim prilagođene makronaredbe u ključnim poljima jer će biti iste za sve elemente podataka u predlošku. Možete ih postaviti unutar predloška, ako svi mrežni uređaji u vašoj mreži imaju iste SNMPv3 parametre, ili unutar mrežnog čvora, ako su SNMPv3 parametri za različite objekte nadzora različiti:
Imajte na umu da sustav za nadzor ima samo korisničko ime i lozinke za autentifikaciju i enkripciju. Grupa korisnika i opseg MIB objekata kojima je dopušten pristup navedeni su na objektu nadzora.
Sada prijeđimo na ispunjavanje predloška.
Zabbix predložak ankete
Jednostavno pravilo pri izradi bilo kojeg predloška ankete jest da bude što detaljniji:
Veliku pozornost posvećujem inventaru kako bih olakšao rad s velikom mrežom. Više o tome malo kasnije, ali za sada – okidači:
Za lakšu vizualizaciju okidača, makronaredbe sustava {HOST.CONN} uključene su u njihova imena tako da se ne samo nazivi uređaja, već i IP adrese prikazuju na nadzornoj ploči u odjeljku upozorenja, iako je to više stvar pogodnosti nego nužde . Kako bih utvrdio je li uređaj nedostupan, uz uobičajeni echo zahtjev, koristim provjeru nedostupnosti glavnog računala pomoću SNMP protokola, kada je objekt dostupan putem ICMP-a, ali ne odgovara na SNMP zahtjeve - ova situacija je moguća, na primjer , kada se IP adrese dupliciraju na različitim uređajima, zbog neispravno konfiguriranih vatrozida ili netočnih SNMP postavki na objektima nadzora. Ako koristite provjeru dostupnosti hosta samo putem ICMP-a, u vrijeme istraživanja incidenata na mreži podaci o praćenju možda neće biti dostupni, pa je potrebno pratiti njihov primitak.
Prijeđimo na otkrivanje mrežnih sučelja - za mrežnu opremu ovo je najvažnija funkcija nadzora. Budući da na mrežnom uređaju može postojati stotine sučelja, potrebno je filtrirati ona nepotrebna kako ne bi zatrpali vizualizaciju ili zatrpali bazu podataka.
Koristim standardnu funkciju otkrivanja SNMP-a, s više vidljivih parametara, za fleksibilnije filtriranje:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Ovim otkrićem možete filtrirati mrežna sučelja prema njihovim vrstama, prilagođenim opisima i statusima administrativnih priključaka. Filtri i regularni izrazi za filtriranje u mom slučaju izgledaju ovako:
Ako se otkriju, sljedeća sučelja bit će isključena:
- ručno onemogućeno (adminstatus<>1), zahvaljujući IFADMINSTATUS-u;
- bez tekstualnog opisa, zahvaljujući IFALIAS;
- sa simbolom * u opisu teksta, zahvaljujući IFALIAS-u;
- koji su uslužni ili tehnički, zahvaljujući IFDESCR-u (u mom slučaju, u regularnim izrazima IFALIAS i IFDESCR provjeravaju se jednim aliasom regularnog izraza).
Predložak za prikupljanje podataka pomoću SNMPv3 protokola je skoro spreman. Nećemo se detaljnije zadržavati na prototipovima podatkovnih elemenata za mrežna sučelja, prijeđimo na rezultate.
Rezultati monitoringa
Za početak napravite popis male mreže:
Ako pripremite predloške za svaku seriju mrežnih uređaja, možete postići jednostavan za analizu raspored sažetih podataka o trenutnom softveru, serijskim brojevima i obavijesti o dolasku čistača na poslužitelj (zbog niskog vremena rada). Isječak mog popisa predložaka je ispod:
A sada - glavna nadzorna ploča, s okidačima raspoređenim prema razini ozbiljnosti:
Zahvaljujući integriranom pristupu predlošcima za svaki model uređaja u mreži, moguće je osigurati da će u okviru jednog nadzornog sustava biti organiziran alat za predviđanje kvarova i nezgoda (ako su dostupni odgovarajući senzori i metrika). Zabbix je vrlo prikladan za nadzor mrežne, poslužiteljske i servisne infrastrukture, a zadatak održavanja mrežne opreme jasno pokazuje njegove mogućnosti.
Popis korištenih izvora:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Službeni vodič za certifikate. Cisco Press, 2014. pp. 325-329 (prikaz, ostalo).
2. RFC 3410.
3. RFC 3415.
4. Vodič za konfiguraciju SNMP-a, Cisco IOS XE izdanje 3SE. Poglavlje: SNMP verzija 3.
Izvor: www.habr.com