Þessi grein er helguð eiginleikum þess að fylgjast með netbúnaði með því að nota SNMPv3 samskiptareglur. Við munum tala um SNMPv3, ég mun deila reynslu minni af því að búa til fullgild sniðmát í Zabbix og ég mun sýna hvað hægt er að ná þegar skipuleggja dreifða viðvörun í stóru neti. SNMP samskiptareglan er sú helsta þegar fylgst er með netbúnaði og Zabbix er frábært til að fylgjast með miklum fjölda hluta og draga saman mikið magn af komandi mæligildum.
Nokkur orð um SNMPv3
Við skulum byrja á tilgangi SNMPv3 samskiptareglunnar og eiginleika notkunar hennar. Verkefni SNMP eru að fylgjast með nettækjum og grunnstjórnun með því að senda einfaldar skipanir til þeirra (til dæmis að virkja og slökkva á netviðmótum eða endurræsa tækið).
Helsti munurinn á SNMPv3 samskiptareglunum og fyrri útgáfum hennar eru klassísku öryggisaðgerðirnar [1-3], nefnilega:
- Auðkenning, sem ákvarðar að beiðnin hafi verið móttekin frá traustum aðilum;
- dulkóðun (dulkóðun), til að koma í veg fyrir birtingu sendra gagna þegar þriðju aðilar hlera þau;
- heilleika, það er trygging fyrir því að ekki hafi verið átt við pakkann við sendingu.
SNMPv3 felur í sér notkun á öryggislíkani þar sem auðkenningarstefnan er stillt fyrir tiltekinn notanda og hópinn sem hann tilheyrir (í fyrri útgáfum af SNMP var beiðnin frá þjóninum til vöktunarhlutarins aðeins borin saman „samfélag“, texti streng með „lykilorði“ sent í skýrum texta (venjulegur texti)).
SNMPv3 kynnir hugtakið öryggisstig - viðunandi öryggisstig sem ákvarða uppsetningu búnaðar og hegðun SNMP umboðsmanns vöktunarhlutarins. Samsetning öryggislíkans og öryggisstigs ákvarðar hvaða öryggiskerfi er notað þegar unnið er úr SNMP pakka [4].
Taflan lýsir samsetningum líkana og SNMPv3 öryggisstigum (ég ákvað að skilja fyrstu þrjá dálkana eftir eins og í upprunalegu):
Í samræmi við það munum við nota SNMPv3 í auðkenningarham með dulkóðun.
Stillir SNMPv3
Vöktunarkerfisbúnaður krefst sömu uppsetningar á SNMPv3 samskiptareglum bæði á vöktunarþjóninum og vöktuðu hlutnum.
Við skulum byrja á því að setja upp Cisco nettæki, lágmarksuppsetning þess er sem hér segir (fyrir uppsetningu notum við CLI, ég einfaldaði nöfn og lykilorð til að forðast rugling):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedFyrsti lína snmp-miðlara hópurinn – skilgreinir hóp SNMPv3 notenda (snmpv3group), lesham (les) og aðgangsrétt snmpv3group hópsins til að skoða ákveðnar greinar MIB trés vöktunarhlutarins (snmpv3name þá í stillingar tilgreina hvaða greinar MIB trésins hópurinn hefur aðgang að snmpv3group mun geta fengið aðgang).
Önnur lína snmp-þjónn notandi – skilgreinir notandann snmpv3user, aðild hans að snmpv3group hópnum, sem og notkun md5 auðkenningar (lykilorð fyrir md5 er md5v3v3v3) og des dulkóðun (lykilorð fyrir des er des56v3v3v3). Auðvitað er betra að nota aes í stað des; ég er að gefa það hér bara sem dæmi. Einnig, þegar þú skilgreinir notanda, geturðu bætt við aðgangslista (ACL) sem stjórnar IP-tölum eftirlitsþjóna sem hafa réttindi til að fylgjast með þessu tæki - þetta er líka besti starfshætti, en ég mun ekki flækja dæmið okkar.
Þriðja lína snmp-miðlara útsýnið skilgreinir kóðaheiti sem tilgreinir útibú snmpv3name MIB trésins þannig að snmpv3group notendahópurinn geti spurt um þær. ISO, í stað þess að skilgreina nákvæmlega eina grein, gerir snmpv3group notendahópnum kleift að fá aðgang að öllum hlutum í MIB tré vöktunarhlutarins.
Svipuð uppsetning fyrir Huawei búnað (einnig í CLI) lítur svona út:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Eftir að hafa sett upp nettæki þarftu að athuga með aðgang frá vöktunarþjóninum í gegnum SNMPv3 samskiptareglur, ég mun nota snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Sjónrænt tæki til að biðja um tiltekna OID hluti með því að nota MIB skrár er snmpget:
Nú skulum við halda áfram að setja upp dæmigerðan gagnaþátt fyrir SNMPv3, innan Zabbix sniðmátsins. Fyrir einfaldleika og MIB sjálfstæði nota ég stafræn OID:
Ég nota sérsniðnar fjölvi í lykilsviðum vegna þess að þær verða eins fyrir alla gagnaþætti í sniðmátinu. Þú getur stillt þær innan sniðmáts, ef öll nettæki á netinu þínu hafa sömu SNMPv3 færibreytur, eða innan nethnúts, ef SNMPv3 breytur fyrir mismunandi vöktunarhluti eru mismunandi:
Athugið að eftirlitskerfið hefur aðeins notendanafn og lykilorð til auðkenningar og dulkóðunar. Notendahópurinn og umfang MIB-hluta sem aðgangur er leyfður að eru tilgreindir á vöktunarhlutnum.
Nú skulum við halda áfram að fylla út sniðmátið.
Zabbix skoðanakönnun sniðmát
Einföld regla þegar búið er til könnunarsniðmát er að gera þau eins ítarleg og mögulegt er:
Ég legg mikla áherslu á birgðahald til að gera það auðveldara að vinna með stórt net. Meira um þetta aðeins síðar, en í bili – kveikir:
Til að auðvelda mynd af kveikjum eru kerfisfjölvar {HOST.CONN} innifalin í nöfnum þeirra þannig að ekki aðeins nöfn tækis, heldur einnig IP tölur birtast á mælaborðinu í viðvörunarhlutanum, þó að þetta sé meira spurning um þægindi en nauðsyn . Til að ákvarða hvort tæki sé ekki tiltækt, til viðbótar við venjulega bergmálsbeiðni, nota ég ávísun á óaðgengi hýsils með því að nota SNMP samskiptareglur, þegar hluturinn er aðgengilegur í gegnum ICMP en svarar ekki SNMP beiðnum - þetta ástand er mögulegt, til dæmis , þegar IP tölur eru afritaðar á mismunandi tækjum, vegna rangt stilltra eldvegga eða rangra SNMP stillinga á eftirlitshlutum. Ef þú notar aðgengisskoðun hýsils eingöngu í gegnum ICMP, á þeim tíma sem atvik á netinu eru rannsakað, gætu vöktunargögn ekki verið tiltæk, þannig að fylgjast verður með móttöku þeirra.
Við skulum halda áfram að greina netviðmót - fyrir netbúnað er þetta mikilvægasta eftirlitsaðgerðin. Þar sem það geta verið mörg hundruð tengi á netbúnaði er nauðsynlegt að sía þau óþarfa út til að rugla ekki sjónrænum myndum eða gagnagrunninum.
Ég er að nota staðlaða SNMP uppgötvunaraðgerðina, með fleiri greinanlegum breytum, fyrir sveigjanlegri síun:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Með þessari uppgötvun geturðu síað netviðmót eftir gerðum þeirra, sérsniðnum lýsingum og stöðu stjórnsýsluhafna. Síur og regluleg tjáning fyrir síun í mínu tilfelli líta svona út:
Ef það uppgötvast verða eftirfarandi viðmót útilokuð:
- handvirkt óvirkt (adminstatus<>1), þökk sé IFADMINSTATUS;
- án textalýsingar, þökk sé IFALIAS;
- hafa táknið * í textalýsingunni, þökk sé IFALIAS;
- sem eru þjónusta eða tæknileg, þökk sé IFDESCR (í mínu tilfelli eru IFALIAS og IFDESCR athugað með venjulegri tjáningu í venjulegri tjáningu).
Sniðmátið til að safna gögnum með því að nota SNMPv3 samskiptareglur er næstum tilbúið. Við munum ekki fjalla nánar um frumgerðir gagnaþátta fyrir netviðmót; við skulum halda áfram að niðurstöðunum.
Niðurstöður eftirlits
Til að byrja með skaltu skrá yfir lítið net:
Ef þú útbýr sniðmát fyrir hverja röð nettækja geturðu fengið auðvelt að greina uppsetningu yfirlitsgagna um núverandi hugbúnað, raðnúmer og tilkynningu um að hreinsiefni kemur á netþjóninn (vegna lítillar spenntur). Útdráttur af sniðmátalistanum mínum er hér að neðan:
Og nú - aðal eftirlitsborðið, með kveikjum dreift eftir alvarleikastigi:
Þökk sé samþættri nálgun við sniðmát fyrir hvert tækjalíkan á netinu er hægt að tryggja að innan ramma eins vöktunarkerfis verði skipulagt tæki til að spá fyrir um bilanir og slys (ef viðeigandi skynjarar og mælikvarðar eru til staðar). Zabbix hentar vel til að fylgjast með net-, netþjóna- og þjónustuinnviðum og það verkefni að viðhalda netbúnaði sýnir vel getu þess.
Listi yfir notaðar heimildir:1. Hucaby D. CCNP leiðsögn og rofi SWITCH 300-115 Opinber vottunarleiðbeiningar. Cisco Press, 2014. bls. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Stillingarhandbók, Cisco IOS XE Release 3SE. Kafli: SNMP útgáfa 3.
Heimild: www.habr.com