Ցանցային սարքավորումների մոնիտորինգ SNMPv3-ի միջոցով Zabbix-ում

Այս հոդվածը նվիրված է SNMPv3 արձանագրության օգտագործմամբ ցանցային սարքավորումների մոնիտորինգի առանձնահատկություններին: Մենք կխոսենք SNMPv3-ի մասին, ես կկիսվեմ Zabbix-ում լիարժեք ձևանմուշներ ստեղծելու իմ փորձով և ցույց կտամ, թե ինչի կարելի է հասնել մեծ ցանցում բաշխված ծանուցում կազմակերպելիս։ SNMP արձանագրությունը հիմնականն է ցանցային սարքավորումների մոնիտորինգի ժամանակ, և Zabbix-ը հիանալի է մեծ թվով օբյեկտների մոնիտորինգի և մուտքային չափումների մեծ ծավալներ ամփոփելու համար:

Մի քանի խոսք SNMPv3-ի մասին

Սկսենք SNMPv3 արձանագրության նպատակից և դրա օգտագործման առանձնահատկություններից: SNMP-ի խնդիրներն են ցանցային սարքերի մոնիտորինգը և հիմնական կառավարումը` նրանց ուղարկելով պարզ հրամաններ (օրինակ՝ միացնելով և անջատելով ցանցային միջերեսները կամ վերագործարկել սարքը):

SNMPv3 արձանագրության և նրա նախորդ տարբերակների հիմնական տարբերությունը դասական անվտանգության գործառույթներն են [1-3], մասնավորապես.

• Նույնականացում, որը որոշում է, որ հարցումը ստացվել է վստահելի աղբյուրից.
• գաղտնագրում (Encryption), կանխելու փոխանցված տվյալների բացահայտումը երրորդ անձանց կողմից գաղտնալսման դեպքում.
• ամբողջականությունը, այսինքն՝ երաշխիք, որ փաթեթը չի կեղծվել փոխանցման ընթացքում:

SNMPv3-ը ենթադրում է անվտանգության մոդելի օգտագործում, որտեղ նույնականացման ռազմավարությունը սահմանված է տվյալ օգտվողի և այն խմբի համար, որին նա պատկանում է (SNMP-ի նախորդ տարբերակներում սերվերից մոնիտորինգի օբյեկտի հարցումը համեմատվում է միայն «համայնքի» հետ, տեքստ հստակ տեքստով (պարզ տեքստ) փոխանցված «գաղտնաբառով» տող:

SNMPv3-ը ներկայացնում է անվտանգության մակարդակների հայեցակարգը՝ ընդունելի անվտանգության մակարդակներ, որոնք որոշում են սարքավորումների կոնֆիգուրացիան և մոնիտորինգի օբյեկտի SNMP գործակալի վարքը: Անվտանգության մոդելի և անվտանգության մակարդակի համադրությունը որոշում է, թե անվտանգության որ մեխանիզմն է օգտագործվում SNMP փաթեթը մշակելիս [4]:

Աղյուսակը նկարագրում է մոդելների և SNMPv3 անվտանգության մակարդակների համակցությունները (ես որոշեցի թողնել առաջին երեք սյունակները, ինչպես բնօրինակում).

Համապատասխանաբար, մենք կօգտագործենք SNMPv3 նույնականացման ռեժիմում՝ օգտագործելով գաղտնագրումը:

SNMPv3-ի կարգավորում

Մոնիտորինգի ցանցային սարքավորումները պահանջում են SNMPv3 արձանագրության նույն կազմաձևումը և՛ մոնիտորինգի սերվերի, և՛ վերահսկվող օբյեկտի վրա:

Սկսենք Cisco ցանցային սարքի կարգավորումից, դրա նվազագույն պահանջվող կոնֆիգուրացիան հետևյալն է (կազմաձևման համար մենք օգտագործում ենք CLI, ես պարզեցրել եմ անուններն ու գաղտնաբառերը՝ շփոթությունից խուսափելու համար).

snmp-server group snmpv3group v3 priv read snmpv3name 
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included

Առաջին տողի snmp-սերվերի խումբ – սահմանում է SNMPv3 օգտագործողների խումբը (snmpv3group), կարդալու ռեժիմը (ընթերցված) և snmpv3group խմբի մուտքի իրավունքը՝ դիտելու օբյեկտի MIB ծառի որոշակի ճյուղեր (snmpv3name, ապա՝ կոնֆիգուրացիան սահմանում է, թե MIB ծառի որ ճյուղերը կարող են մուտք գործել խումբը, որը կկարողանա մուտք գործել snmpv3group):

Երկրորդ տող snmp-սերվերի օգտվողը – սահմանում է snmpv3user օգտվողին, նրա անդամակցությունը snmpv3group խմբին, ինչպես նաև md5 վավերացման (md5-ի գաղտնաբառը md5v3v3v3 է) և des կոդավորումը (des-ի գաղտնաբառը des56v3v3v3 է): Իհարկե, ավելի լավ է օգտագործել aes-ը des-ի փոխարեն, ես դա բերում եմ այստեղ որպես օրինակ: Նաև օգտագործողին սահմանելիս կարող եք ավելացնել մուտքի ցուցակ (ACL), որը կարգավորում է մոնիտորինգի սերվերների IP հասցեները, որոնք իրավունք ունեն վերահսկել այս սարքը. սա նաև լավագույն փորձն է, բայց ես չեմ բարդացնի մեր օրինակը:

Երրորդ տողի snmp-սերվերի տեսքը սահմանում է կոդային անուն, որը սահմանում է snmpv3name MIB ծառի ճյուղերը, որպեսզի դրանք կարողանան հարցումներ կատարել snmpv3group օգտվողների խմբի կողմից: ISO-ն, մեկ ճյուղ խստորեն սահմանելու փոխարեն, թույլ է տալիս snmpv3group օգտվողների խմբին մուտք գործել մոնիտորինգի օբյեկտի MIB ծառի բոլոր օբյեկտները:

Huawei-ի սարքավորումների նմանատիպ կարգավորումը (նաև CLI-ում) այսպիսի տեսք ունի.

snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5 
            md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
            des56v3v3v3

Ցանցային սարքերը կարգավորելուց հետո դուք պետք է ստուգեք մուտքը մոնիտորինգի սերվերից SNMPv3 արձանագրության միջոցով, ես կօգտագործեմ snmpwalk.

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

MIB ֆայլերի միջոցով հատուկ OID օբյեկտներ պահանջելու ավելի տեսողական գործիք է snmpget:

Այժմ եկեք անցնենք SNMPv3-ի համար սովորական տվյալների տարրի ստեղծմանը, Zabbix ձևանմուշի շրջանակներում: Պարզության և MIB անկախության համար ես օգտագործում եմ թվային OID-ներ.

Ես օգտագործում եմ հատուկ մակրոներ հիմնական դաշտերում, քանի որ դրանք նույնը կլինեն կաղապարի բոլոր տվյալների տարրերի համար: Դուք կարող եք դրանք սահմանել կաղապարի մեջ, եթե ձեր ցանցի բոլոր ցանցային սարքերն ունեն նույն SNMPv3 պարամետրերը, կամ ցանցային հանգույցում, եթե մոնիտորինգի տարբեր օբյեկտների SNMPv3 պարամետրերը տարբեր են.

Խնդրում ենք նկատի ունենալ, որ մոնիտորինգի համակարգն ունի միայն օգտանուն և գաղտնաբառեր՝ նույնականացման և կոդավորման համար: Օգտատերերի խումբը և MIB օբյեկտների շրջանակը, որոնց մուտքը թույլատրված է, նշված են մոնիտորինգի օբյեկտի վրա:
Այժմ անցնենք կաղապարի լրացմանը։

Zabbix հարցման ձևանմուշ

Հարցումների ձևանմուշներ ստեղծելիս պարզ կանոնն այն է, որ դրանք հնարավորինս մանրամասն լինեն.

Ես մեծ ուշադրություն եմ դարձնում գույքագրմանը, որպեսզի հեշտացնեմ աշխատել մեծ ցանցի հետ: Այս մասին ավելին մի փոքր ուշ, բայց առայժմ – գործարկիչներ.

Գործարկիչների վիզուալիզացիայի հեշտության համար համակարգային մակրոները {HOST.CONN} ներառված են իրենց անուններում, որպեսզի ոչ միայն սարքերի անունները, այլև IP հասցեները ցուցադրվեն ազդանշանային բաժնում վահանակի վրա, թեև դա ավելի շատ հարմարության, քան անհրաժեշտության խնդիր է: . Որոշելու համար, թե արդյոք սարքը անհասանելի է, ի հավելումն սովորական էխոյի հարցման, ես օգտագործում եմ հյուրընկալողի անհասանելիության ստուգում SNMP արձանագրության միջոցով, երբ օբյեկտը հասանելի է ICMP-ի միջոցով, բայց չի արձագանքում SNMP հարցումներին. այս իրավիճակը հնարավոր է, օրինակ. , երբ IP հասցեները կրկնօրինակվում են տարբեր սարքերում, սխալ կազմաձևված firewalls-ի կամ մոնիտորինգի օբյեկտների սխալ SNMP կարգավորումների պատճառով: Եթե ​​դուք օգտագործում եք հյուրընկալողի հասանելիության ստուգումը միայն ICMP-ի միջոցով, ապա ցանցում միջադեպերի հետաքննության պահին մոնիտորինգի տվյալները կարող են հասանելի չլինել, ուստի դրանց ստացումը պետք է վերահսկվի:

Եկեք անցնենք ցանցային միջերեսների հայտնաբերմանը. ցանցային սարքավորումների համար սա մոնիտորինգի ամենակարևոր գործառույթն է: Քանի որ ցանցային սարքի վրա կարող են լինել հարյուրավոր ինտերֆեյսներ, անհրաժեշտ է զտել ավելորդները, որպեսզի չխառնվի վիզուալիզացիան կամ չխառնվի տվյալների բազան:

Ես օգտագործում եմ ստանդարտ SNMP հայտնաբերման գործառույթը, ավելի հայտնաբերելի պարամետրերով, ավելի ճկուն զտման համար.

discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]

Այս բացահայտմամբ դուք կարող եք զտել ցանցային միջերեսներն ըստ իրենց տեսակների, հատուկ նկարագրությունների և վարչական պորտի կարգավիճակների: Զտիչներն ու կանոնավոր արտահայտությունները իմ դեպքում ունեն հետևյալ տեսքը.

Եթե ​​հայտնաբերվի, հետևյալ միջերեսները կբացառվեն.

• ձեռքով անջատված (adminstatus<>1), շնորհիվ IFADMINSTATUS;
• առանց տեքստի նկարագրության՝ շնորհիվ ԻՖԱԼԻԱՍ-ի;
• ունենալով * նշանը տեքստի նկարագրության մեջ՝ շնորհիվ IFALIAS;
• որոնք ծառայողական կամ տեխնիկական են՝ IFDESCR-ի շնորհիվ (իմ դեպքում, կանոնավոր արտահայտություններում IFALIAS-ը և IFDESCR-ը ստուգվում են մեկ կանոնավոր արտահայտության կեղծանունով):

SNMPv3 արձանագրության միջոցով տվյալների հավաքագրման ձևանմուշը գրեթե պատրաստ է: Մենք ավելի մանրամասն չենք անդրադառնա ցանցային ինտերֆեյսների տվյալների տարրերի նախատիպերին, եկեք անցնենք արդյունքներին:

Մոնիտորինգի արդյունքները

Սկսելու համար վերցրեք փոքր ցանցի գույքագրում.

Եթե ​​դուք ձևանմուշներ եք պատրաստում ցանցային սարքերի յուրաքանչյուր շարքի համար, կարող եք հասնել ընթացիկ ծրագրաշարի, սերիական համարների և սերվերի վրա հավաքարարի ծանուցման ամփոփ տվյալների հեշտ վերլուծելի դասավորության (ցածր Uptime-ի պատճառով): Իմ կաղապարների ցանկից մի հատված ստորև.

Եվ հիմա՝ հիմնական մոնիտորինգի վահանակը՝ ըստ խստության մակարդակների բաշխված հրահրիչներով.

Ցանցում յուրաքանչյուր սարքի մոդելի ձևանմուշների նկատմամբ ինտեգրված մոտեցման շնորհիվ հնարավոր է ապահովել, որ մոնիտորինգի մեկ համակարգի շրջանակներում կկազմակերպվի անսարքությունների և վթարների կանխատեսման գործիք (եթե առկա են համապատասխան սենսորներ և չափումներ): Zabbix-ը լավ պիտանի է ցանցի, սերվերի և սպասարկման ենթակառուցվածքների մոնիտորինգի համար, և ցանցային սարքավորումների պահպանման խնդիրը հստակ ցույց է տալիս դրա հնարավորությունները:

Օգտագործված աղբյուրների ցանկը.1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide: Cisco Press, 2014. pp. 325-329 թթ.
2. RFC 3410. tools.ietf.org/html/rfc3410
3. RFC 3415. tools.ietf.org/html/rfc3415
4. SNMP կոնֆիգուրացիայի ուղեցույց, Cisco IOS XE Release 3SE: Գլուխ՝ SNMP տարբերակ 3. www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html

Source: www.habr.com