Ez a cikk a hálózati berendezések SNMPv3 protokollt használó megfigyelésének jellemzőivel foglalkozik. Szó lesz az SNMPv3-ról, megosztom tapasztalataimat a teljes értékű sablonok Zabbix-ban történő létrehozásával kapcsolatban, és megmutatom, mit lehet elérni az elosztott riasztások nagy hálózatban történő megszervezésével. Az SNMP protokoll a fő a hálózati berendezések figyelésekor, a Zabbix pedig kiválóan alkalmas nagyszámú objektum figyelésére és nagy mennyiségű bejövő metrika összegzésére.
Néhány szó az SNMPv3-ról
Kezdjük az SNMPv3 protokoll céljával és használatának jellemzőivel. Az SNMP feladatai a hálózati eszközök monitorozása és alapvető felügyelete egyszerű parancsok küldésével (például hálózati interfészek engedélyezése és letiltása, vagy az eszköz újraindítása).
A fő különbség az SNMPv3 protokoll és korábbi verziói között a klasszikus biztonsági funkciók [1-3], nevezetesen:
- Hitelesítés, amely meghatározza, hogy a kérés megbízható forrásból érkezett-e;
- titkosítás (Titkosítás), a továbbított adatok harmadik fél általi lehallgatása esetén történő felfedésének megakadályozása érdekében;
- integritás, azaz garancia arra, hogy a csomagot nem manipulálták az átvitel során.
Az SNMPv3 olyan biztonsági modell használatát jelenti, amelyben a hitelesítési stratégia be van állítva egy adott felhasználóhoz és ahhoz a csoporthoz, amelyhez tartozik (az SNMP korábbi verzióiban a szervertől a megfigyelő objektumhoz intézett kérés csak a „közösséget” hasonlította össze, egy szöveg tiszta szövegben (sima szövegben) továbbított „jelszóval” ellátott karakterlánc).
Az SNMPv3 bevezeti a biztonsági szintek fogalmát – az elfogadható biztonsági szintek, amelyek meghatározzák a berendezés konfigurációját és a megfigyelő objektum SNMP-ügynökének viselkedését. A biztonsági modell és a biztonsági szint kombinációja határozza meg, hogy melyik biztonsági mechanizmust használják az SNMP-csomagok feldolgozásakor [4].
A táblázat a modellek és az SNMPv3 biztonsági szintek kombinációit írja le (úgy döntöttem, hogy az első három oszlopot az eredetinek megfelelően hagyom):
Ennek megfelelően az SNMPv3-at titkosítással hitelesítési módban fogjuk használni.
Az SNMPv3 konfigurálása
A hálózati berendezések megfigyeléséhez az SNMPv3 protokoll ugyanazt a konfigurációját igényli mind a megfigyelő szerveren, mind a megfigyelt objektumon.
Kezdjük egy Cisco hálózati eszköz beállításával, minimálisan szükséges konfigurációja a következő (a konfigurációhoz a CLI-t használjuk, a neveket és jelszavakat a félreértések elkerülése végett leegyszerűsítettem):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedAz első sor snmp-server group – meghatározza az SNMPv3 felhasználók csoportját (snmpv3group), az olvasási módot (olvasás) és az snmpv3group csoport hozzáférési jogát a megfigyelő objektum MIB fájának bizonyos ágainak megtekintéséhez (snmpv3name, majd a A konfiguráció megadja, hogy a MIB-fa mely ágaihoz férhet hozzá a csoport. snmpv3group férhet hozzá).
A második sor snmp-server user – meghatározza az snmpv3user felhasználót, az snmpv3group csoportban való tagságát, valamint az md5 hitelesítés (md5 jelszava md5v3v3v3) és a des titkosítás használatát (a des jelszava des56v3v3v3). Természetesen jobb az aes-t használni a des helyett, csak példaként hozom fel. Ezenkívül a felhasználó meghatározásakor hozzáadhat egy hozzáférési listát (ACL), amely szabályozza azon megfigyelő szerverek IP-címét, amelyek jogosultak az eszköz felügyeletére - ez is bevált gyakorlat, de nem bonyolítom le a példánkat.
A harmadik sor snmp-server nézet egy kódnevet határoz meg, amely meghatározza az snmpv3name MIB fa ágait, hogy az snmpv3group felhasználói csoport lekérdezhesse azokat. Az ISO ahelyett, hogy szigorúan egyetlen ágat határozna meg, lehetővé teszi az snmpv3group felhasználói csoport számára, hogy hozzáférjen a megfigyelő objektum MIB-fájában található összes objektumhoz.
Egy hasonló beállítás a Huawei berendezésekhez (szintén a CLI-ben) így néz ki:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3A hálózati eszközök beállítása után ellenőriznie kell a hozzáférést a megfigyelő szerverről az SNMPv3 protokollon keresztül, én az snmpwalkot fogom használni:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Az snmpget egy vizuálisabb eszköz bizonyos OID-objektumok MIB-fájlok használatával történő lekéréséhez:
Most térjünk át egy tipikus adatelem beállítására az SNMPv3 számára a Zabbix sablonon belül. Az egyszerűség és a MIB függetlenség érdekében digitális OID-ket használok:
Egyéni makrókat használok a kulcsmezőkben, mert a sablon minden adateleménél ugyanazok lesznek. Beállíthatja ezeket egy sablonon belül, ha a hálózatban lévő összes hálózati eszköz ugyanazokkal az SNMPv3 paraméterekkel rendelkezik, vagy egy hálózati csomóponton belül, ha a különböző megfigyelési objektumok SNMPv3 paraméterei eltérőek:
Felhívjuk figyelmét, hogy a felügyeleti rendszer csak a hitelesítéshez és a titkosításhoz rendelkezik felhasználónévvel és jelszavakkal. A felhasználói csoport és a MIB-objektumok hatóköre, amelyekhez hozzáférés engedélyezett, a megfigyelési objektumon van megadva.
Most pedig térjünk át a sablon kitöltésére.
Zabbix szavazási sablon
Egy egyszerű szabály a felméréssablonok létrehozásakor, hogy azokat a lehető legrészletesebben kell elkészíteni:
Nagy figyelmet fordítok a készletre, hogy megkönnyítsem a nagy hálózattal való munkát. Erről kicsit később, de egyelőre – triggerek:
A triggerek megjelenítésének megkönnyítése érdekében a {HOST.CONN} rendszermakrók a nevükben szerepelnek, így nemcsak az eszköznevek, hanem az IP-címek is megjelennek az irányítópulton a riasztási részben, bár ez inkább kényelmi, mintsem szükséges. . Annak megállapítására, hogy egy eszköz elérhetetlen-e, a szokásos echo kérés mellett az SNMP protokoll segítségével ellenőrzöm a gazdagép elérhetetlenségét, amikor az objektum elérhető ICMP-n keresztül, de nem válaszol az SNMP kérésekre - ez a helyzet pl. , amikor az IP-címek megkettőződnek különböző eszközökön a helytelenül konfigurált tűzfalak vagy a megfigyelési objektumok helytelen SNMP-beállításai miatt. Ha csak ICMP-n keresztül használja a gazdagép elérhetőség-ellenőrzését, akkor a hálózati incidensek kivizsgálásakor előfordulhat, hogy a megfigyelési adatok nem állnak rendelkezésre, így azok beérkezését figyelni kell.
Térjünk át a hálózati interfészek észlelésére – a hálózati berendezéseknél ez a legfontosabb megfigyelési funkció. Mivel egy hálózati eszközön több száz interfész lehet, ki kell szűrni a feleslegeseket, hogy ne zsúfoljuk össze a vizualizációt vagy az adatbázist.
A szabványos SNMP felderítési funkciót használom, több felfedezhető paraméterrel a rugalmasabb szűrés érdekében:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Ezzel a felfedezéssel szűrheti a hálózati csatolókat típusuk, egyéni leírásaik és adminisztratív portállapotuk alapján. A szűréshez használt szűrők és reguláris kifejezések az én esetemben így néznek ki:
Ha észleli, a következő interfészek kizárásra kerülnek:
- manuálisan letiltva (adminstatus<>1), köszönhetően az IFADMINSTATUS-nak;
- szöveges leírás nélkül, hála az IFALIAS-nak;
- a * jellel a szöveges leírásban, köszönhetően az IFALIAS-nak;
- amelyek szolgáltatási vagy technikai jellegűek, az IFDESCR-nek köszönhetően (esetemben a reguláris kifejezésekben az IFALIAS és az IFDESCR egy reguláris kifejezés-álnév ellenőrzi).
Az SNMPv3 protokoll használatával történő adatgyűjtés sablonja majdnem készen áll. A hálózati interfészek adatelemeinek prototípusaival nem foglalkozunk részletesebben, térjünk át az eredményekre.
A megfigyelés eredményei
Kezdésként vegyen leltárt egy kis hálózatról:
Ha sablonokat készít a hálózati eszközök egyes sorozataihoz, könnyen elemezhető elrendezést érhet el az aktuális szoftverek összesítő adataiból, a sorozatszámokról, és értesítést kaphat a szerverre érkező tisztítóról (az alacsony üzemidő miatt). Az alábbiakban egy kivonat a sablonlistámból:
És most - a fő felügyeleti panel súlyossági szint szerint elosztott triggerekkel:
A hálózaton belüli minden eszközmodellhez tartozó sablonok integrált megközelítésének köszönhetően biztosítható, hogy egyetlen felügyeleti rendszer keretein belül egy hiba- és baleset-előrejelző eszköz kerüljön megszervezésre (amennyiben rendelkezésre állnak megfelelő érzékelők és mérőszámok). A Zabbix kiválóan alkalmas hálózati, szerver- és szolgáltatási infrastruktúrák figyelésére, és a hálózati berendezések karbantartásának feladata egyértelműen bizonyítja képességeit.
A felhasznált források listája:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 hivatalos tanúsítási útmutató. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP konfigurációs útmutató, Cisco IOS XE Release 3SE. Fejezet: SNMP 3. verzió.
Forrás: will.com