Atik sa a konsakre nan karakteristik siveyans ekipman rezo lè l sèvi avèk pwotokòl SNMPv3 la. Nou pral pale sou SNMPv3, mwen pral pataje eksperyans mwen nan kreye modèl plen véritable nan Zabbix, epi mwen pral montre sa ki ka reyalize lè òganize alèt distribye nan yon gwo rezo. Pwotokòl SNMP la se youn nan prensipal lè w ap kontwole ekipman rezo a, ak Zabbix se gwo pou kontwole yon gwo kantite objè ak rezime gwo volim nan mezi fèk ap rantre.
Kèk mo sou SNMPv3
Ann kòmanse ak objektif pwotokòl SNMPv3 la ak karakteristik itilizasyon li yo. Travay SNMP yo se siveyans aparèy rezo yo ak jesyon debaz yo lè yo voye kòmandman senp ba yo (pa egzanp, pèmèt ak enfim koòdone rezo a, oswa rekòmanse aparèy la).
Diferans prensipal ant pwotokòl SNMPv3 ak vèsyon anvan li yo se fonksyon sekirite klasik [1-3], sètadi:
- Otantifikasyon, ki detèmine ke demann lan te resevwa nan men yon sous ou fè konfyans;
- chifreman (chifreman), pou anpeche divilgasyon done transmèt lè yo entèsepte pa twazyèm pati;
- entegrite, se sa ki, yon garanti ke pake a pa te manipilasyon pandan transmisyon.
SNMPv3 implique itilizasyon yon modèl sekirite kote estrateji otantifikasyon an fikse pou yon itilizatè bay ak gwoup kote li fè pati (nan vèsyon anvan SNMP, demann lan soti nan sèvè a nan objè a siveyans konpare sèlman "kominote", yon tèks. fisèl ak yon "modpas" transmèt nan tèks klè (tèks klè)).
SNMPv3 prezante konsèp nan nivo sekirite - nivo sekirite akseptab ki detèmine konfigirasyon ekipman ak konpòtman ajan SNMP objè siveyans la. Konbinezon modèl sekirite ak nivo sekirite detèmine ki mekanis sekirite yo itilize lè w ap trete yon pake SNMP [4].
Tablo a dekri konbinezon modèl ak nivo sekirite SNMPv3 (mwen deside kite twa premye kolòn yo tankou nan orijinal la):
An konsekans, nou pral sèvi ak SNMPv3 nan mòd otantifikasyon lè l sèvi avèk chifreman.
Konfigirasyon SNMPv3
Ekipman rezo siveyans mande pou menm konfigirasyon pwotokòl SNMPv3 sou tou de sèvè siveyans la ak objè kontwole a.
Ann kòmanse ak mete kanpe yon aparèy rezo Cisco, konfigirasyon minimòm obligatwa li yo se jan sa a (pou konfigirasyon nou itilize CLI a, mwen senplifye non yo ak modpas pou evite konfizyon):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPremye liy snmp-sèvè gwoup la - defini gwoup itilizatè SNMPv3 (snmpv3group), mòd li (li), ak dwa aksè nan gwoup snmpv3group pou wè sèten branch pye bwa MIB objè siveyans (snmpv3name Lè sa a, nan konfigirasyon espesifye ki branch nan pye bwa MIB gwoup la ka jwenn aksè nan snmpv3group yo pral kapab jwenn aksè).
Dezyèm liy snmp-sèvè itilizatè a - defini itilizatè a snmpv3user, manm li nan gwoup la snmpv3group, osi byen ke itilizasyon md5 otantifikasyon (modpas pou md5 se md5v3v3v3) ak des chifreman (modpas pou des se des56v3v3v3). Natirèlman, li pi bon pou itilize aes olye de des; mwen bay li isit la jis kòm yon egzanp. Epitou, lè w ap defini yon itilizatè, ou ka ajoute yon lis aksè (ACL) ki kontwole adrès IP siveyans sèvè ki gen dwa pou kontwole aparèy sa a - sa a se pi bon pratik tou, men mwen pa pral konplike egzanp nou an.
Twazyèm liy snmp-sèvè View defini yon non kòd ki espesifye branch pyebwa MIB snmpv3name pou gwoup itilizatè snmpv3group la kapab mande yo. ISO, olye pou yo defini entèdi yon sèl branch, pèmèt gwoup itilizatè snmpv3group la jwenn aksè nan tout objè ki nan pye bwa MIB objè siveyans la.
Yon konfigirasyon menm jan an pou ekipman Huawei (tou nan CLI a) sanble sa a:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Apre mete aparèy rezo yo, ou bezwen tcheke pou jwenn aksè nan sèvè siveyans la atravè pwotokòl SNMPv3, mwen pral sèvi ak snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Yon zouti ki pi vizyèl pou mande objè OID espesifik lè l sèvi avèk fichye MIB se snmpget:
Koulye a, ann ale nan mete kanpe yon eleman done tipik pou SNMPv3, nan modèl Zabbix la. Pou senplisite ak endepandans MIB, mwen itilize OID dijital:
Mwen sèvi ak makro koutim nan jaden kle yo paske yo pral menm bagay la tou pou tout eleman done nan modèl la. Ou ka mete yo nan yon modèl, si tout aparèy rezo nan rezo ou a gen menm paramèt SNMPv3 yo, oswa nan yon ne rezo, si paramèt SNMPv3 yo pou diferan objè siveyans yo diferan:
Tanpri sonje ke sistèm siveyans la sèlman gen yon non itilizatè ak modpas pou otantifikasyon ak chifreman. Gwoup itilizatè a ak sijè ki abòde lan MIB objè yo gen aksè a yo espesifye sou objè a siveyans.
Koulye a, ann kontinye ranpli modèl la.
Zabbix modèl biwo vòt
Yon règ senp lè w ap kreye nenpòt modèl sondaj se fè yo detaye ke posib:
Mwen peye anpil atansyon sou envantè pou fè li pi fasil pou travay ak yon gwo rezo. Plis sou sa a yon ti kras pita, men pou kounye a - deklanche:
Pou fasilite vizyalizasyon deklannche yo, makro sistèm {HOST.CONN} yo enkli nan non yo pou non sèlman non aparèy yo, men tou adrès IP yo parèt sou tablodbò a nan seksyon alèt la, byenke sa a se plis yon kesyon de konvenyans pase nesesite. . Pou detèmine si yon aparèy pa disponib, anplis demann eko abityèl la, mwen itilize yon chèk pou indisponibilite lame lè l sèvi avèk pwotokòl SNMP la, lè objè a aksesib atravè ICMP men li pa reponn a demann SNMP - sitiyasyon sa a posib, pa egzanp. , lè adrès IP yo kopi sou diferan aparèy, akòz firewall mal configuré, oswa paramèt SNMP kòrèk sou objè siveyans. Si w itilize tcheke disponiblite lame sèlman atravè ICMP, nan moman ankèt sou ensidan sou rezo a, done siveyans yo ka pa disponib, kidonk yo dwe kontwole resi yo.
Ann ale nan detekte rezo interfaces - pou ekipman rezo sa a se fonksyon siveyans ki pi enpòtan. Depi ka gen dè santèn de interfaces sou yon aparèy rezo, li nesesè pou filtre soti sa ki pa nesesè pou yo pa ankonbre vizyalizasyon an oswa dezord baz done a.
Mwen sèvi ak fonksyon dekouvèt SNMP estanda a, ak plis paramèt dekouvèt, pou filtraj pi fleksib:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Avèk dekouvèt sa a, ou ka filtre koòdone rezo yo dapre kalite yo, deskripsyon koutim, ak estati pò administratif yo. Filtè ak ekspresyon regilye pou filtraj nan ka mwen an sanble sa a:
Si yo detekte, entèfas sa yo pral eskli:
- manyèlman enfim (adminstatus<>1), gras a IFADMINSTATUS;
- san yon deskripsyon tèks, gras a IFALIAS;
- gen senbòl * nan deskripsyon tèks la, gras ak IFALIAS;
- ki se sèvis oswa teknik, gras a IFDESCR (nan ka mwen an, nan ekspresyon regilye IFALIAS ak IFDESCR yo tcheke pa yon alyas ekspresyon regilye).
Modèl pou kolekte done lè l sèvi avèk pwotokòl SNMPv3 la prèske pare. Nou pa pral rete nan plis detay sou pwototip eleman done pou koòdone rezo; ann ale nan rezilta yo.
Rezilta siveyans
Pou kòmanse, pran envantè yon ti rezo:
Si ou prepare modèl pou chak seri aparèy rezo, ou ka reyalize yon layout done rezime ki fasil pou analize sou lojisyèl aktyèl, nimewo seri, ak notifikasyon yon pwodui netwayaj k ap vini sou sèvè a (akòz Disponibilite ki ba). Yon ekstrè nan lis modèl mwen an se anba a:
Epi, koulye a - panèl prensipal la siveyans, ak deklannche distribye pa nivo severite:
Mèsi a yon apwòch entegre nan modèl pou chak modèl aparèy nan rezo a, li posib asire ke, nan kad yon sèl sistèm siveyans, yo pral òganize yon zouti pou predi defo ak aksidan (si detèktè apwopriye ak mezi yo disponib). Zabbix se byen adapte pou kontwole rezo, sèvè, ak enfrastrikti sèvis, ak travay la nan kenbe ekipman rezo a klèman demontre kapasite li yo.
Lis sous yo itilize:1. Hucaby D. CCNP Routing ak Chanje SWITCH 300-115 Gid Ofisyèl Sèt. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Gid Konfigirasyon SNMP, Cisco IOS XE Release 3SE. Chapit: SNMP vèsyon 3.
Sous: www.habr.com