Zabbix の SNMPv3 経由でネットワーク機器を監視する

この記事では、SNMPv3 プロトコルを使用したネットワーク機器の監視機能について説明します。 SNMPv3 について説明し、Zabbix で本格的なテンプレートを作成した私の経験を共有し、大規模なネットワークで分散アラートを組織するときに何が達成できるかを示します。 SNMP プロトコルは、ネットワーク機器を監視する場合の主なプロトコルであり、Zabbix は、多数のオブジェクトを監視し、大量の受信メトリクスを要約するのに最適です。

SNMPv3 について一言

SNMPv3 プロトコルの目的とその使用の特徴から始めましょう。 SNMP のタスクは、ネットワーク デバイスの監視と、単純なコマンド (ネットワーク インターフェイスの有効化と無効化、デバイスの再起動など) を送信することによる基本的な管理です。

SNMPv3 プロトコルとその以前のバージョンの主な違いは、古典的なセキュリティ機能 [1-3]、つまり次のとおりです。

• 認証。リクエストが信頼できるソースから受信されたことを判断します。
• 暗号化 (Encryption)、第三者が傍受した場合に送信データの開示を防止します。
• 完全性、つまりパケットが送信中に改ざんされていないことの保証。

SNMPv3 は、特定のユーザーとそのユーザーが属するグループに対して認証戦略が設定されるセキュリティ モデルの使用を意味します (以前のバージョンの SNMP では、サーバーから監視オブジェクトへのリクエストはテキスト「コミュニティ」のみと比較されました)平文（プレーンテキスト）で送信される「パスワード」を含む文字列）。

SNMPv3 では、セキュリティ レベルの概念が導入されています。これは、機器の構成と監視オブジェクトの SNMP エージェントの動作を決定する許容可能なセキュリティ レベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせによって、SNMP パケットを処理するときにどのセキュリティ メカニズムが使用されるかが決まります [4]。

この表は、モデルと SNMPv3 セキュリティ レベルの組み合わせを示しています (最初の XNUMX つの列は元のとおりにすることにしました)。

したがって、暗号化を使用した認証モードで SNMPv3 を使用します。

SNMPv3の構成

ネットワーク機器を監視するには、監視サーバーと監視対象オブジェクトの両方で SNMPv3 プロトコルの同じ構成が必要です。

Cisco ネットワーク デバイスのセットアップから始めましょう。最低限必要な構成は次のとおりです (構成には CLI を使用します。混乱を避けるために名前とパスワードを簡略化しています)。

snmp-server group snmpv3group v3 priv read snmpv3name 
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included

最初の行 snmp-server group – SNMPv3 ユーザーのグループ (snmpv3group)、読み取りモード (read)、および監視オブジェクト (snmpv3name) の MIB ツリーの特定のブランチを表示するための snmpv3group グループのアクセス権を定義します。設定では、グループがアクセスできる MIB ツリーのどのブランチに snmpv3group がアクセスできるかを指定します)。

3 行目の snmp-server user – ユーザー snmpv3user、その snmpv5group グループのメンバーシップ、および md5 認証 (md5 のパスワードは md3v3v3v56) と des 暗号化 (des のパスワードは des3v3v3vXNUMX) の使用を定義します。 もちろん、des の代わりに aes を使用する方が良いですが、ここでは単なる例として示しています。 また、ユーザーを定義するときに、このデバイスを監視する権限を持つ監視サーバーの IP アドレスを規制するアクセス リスト (ACL) を追加できます。これもベスト プラクティスですが、例を複雑にするつもりはありません。

3 行目の snmp-server ビューは、snmpv3name MIB ツリーのブランチを指定するコード名を定義し、snmpv3group ユーザー グループがクエリできるようにします。 ISO では、単一のブランチを厳密に定義する代わりに、snmpvXNUMXgroup ユーザー グループが監視オブジェクトの MIB ツリー内のすべてのオブジェクトにアクセスできるようになります。

Huawei 機器の同様のセットアップ (これも CLI) は次のようになります。

snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5 
            md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
            des56v3v3v3

ネットワーク デバイスを設定した後、SNMPv3 プロトコル経由で監視サーバーからのアクセスを確認する必要があります。ここでは snmpwalk を使用します。

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

MIB ファイルを使用して特定の OID オブジェクトをリクエストするためのより視覚的なツールは、snmpget です。

ここで、Zabbix テンプレート内での SNMPv3 の一般的なデータ要素の設定に進みましょう。 簡素化と MIB の独立性のために、デジタル OID を使用します。

キー フィールドでカスタム マクロを使用するのは、テンプレート内のすべてのデータ要素で同じになるためです。 ネットワーク内のすべてのネットワーク デバイスが同じ SNMPv3 パラメータを持つ場合はテンプレート内で設定でき、異なる監視オブジェクトの SNMPv3 パラメータが異なる場合はネットワーク ノード内で設定できます。

監視システムには認証と暗号化のためのユーザー名とパスワードしかないことに注意してください。 アクセスを許可するユーザーグループとMIBオブジェクトの範囲は監視オブジェクトで指定します。
それでは、テンプレートへの入力に進みましょう。

Zabbix 投票テンプレート

アンケート テンプレートを作成するときの簡単なルールは、できるだけ詳細なテンプレートを作成することです。

大規模なネットワークでの作業を容易にするために、私は在庫に細心の注意を払っています。 これについては少し後ほど詳しく説明しますが、今のところ、トリガーは次のとおりです。

トリガーの視覚化を容易にするために、システム マクロ {HOST.CONN} がその名前に含まれており、デバイス名だけでなく IP アドレスもダッシュボードのアラート セクションに表示されます。ただし、これは必要性というより利便性の問題です。 。 デバイスが利用できないかどうかを判断するには、通常のエコー リクエストに加えて、オブジェクトが ICMP 経由でアクセスできるが SNMP リクエストに応答しない場合に、SNMP プロトコルを使用してホストが利用できないかどうかのチェックを使用します。たとえば、このような状況が考えられます。 、ファイアウォールが正しく構成されていないこと、または監視オブジェクトの SNMP 設定が正しくないことにより、IP アドレスが異なるデバイスで重複している場合。 ICMP 経由のみでホスト可用性チェックを使用する場合、ネットワーク上のインシデントの調査時に監視データが利用できない可能性があるため、その受信を監視する必要があります。

ネットワーク インターフェイスの検出に移りましょう。ネットワーク機器にとって、これは最も重要な監視機能です。 ネットワーク デバイスには何百ものインターフェイスが存在する可能性があるため、視覚化やデータベースが乱雑にならないように、不要なインターフェイスを除外する必要があります。

より柔軟なフィルタリングのために、より多くの検出可能なパラメータを備えた標準の SNMP 検出機能を使用しています。

discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]

この検出を使用すると、タイプ、カスタム説明、および管理ポートのステータスによってネットワーク インターフェイスをフィルタリングできます。 私の場合のフィルタとフィルタリング用の正規表現は次のようになります。

検出された場合、次のインターフェイスが除外されます。

• IFADMINSTATUS のおかげで手動で無効になりました (adminstatus<>1)。
• IFALIAS のおかげでテキストによる説明はありません。
• IFALIAS のおかげで、テキストの説明に * という記号が含まれています。
• IFDESCR のおかげで、サービスまたは技術的なものになります (私の場合、正規表現では、IFALIAS と IFDESCR は XNUMX つの正規表現エイリアスによってチェックされます)。

SNMPv3 プロトコルを使用してデータを収集するためのテンプレートがほぼ完成しました。 ネットワーク インターフェイスのデータ要素のプロトタイプについてはこれ以上詳しく説明しないので、結果に移りましょう。

モニタリング結果

まず、小規模なネットワークの棚卸を行います。

ネットワーク デバイスのシリーズごとにテンプレートを用意すると、現在のソフトウェア、シリアル番号、サーバーにクリーナーが来る通知 (稼働時間の低下による) の概要データを分析しやすいレイアウトで実現できます。 私のテンプレートリストの抜粋は以下のとおりです。

そして今度は、重大度レベルごとにトリガーが分散されたメイン監視パネルです。

ネットワーク内の各デバイス モデルのテンプレートへの統合アプローチのおかげで、XNUMX つの監視システムの枠組み内で、障害や事故を予測するツールを確実に編成することができます (適切なセンサーとメトリクスが利用可能な場合)。 Zabbix は、ネットワーク、サーバー、およびサービス インフラストラクチャの監視に適しており、ネットワーク機器を保守するタスクでその能力が明確に発揮されます。

使用されたソースのリスト1. Hucaby D. CCNP ルーティングおよびスイッチング SWITCH 300-115 公式認定ガイド。 シスコ プレス、2014 年。pp. 325-329。
2. RFC 3410。 tools.ietf.org/html/rfc3410
3. RFC 3415。 tools.ietf.org/html/rfc3415
4. SNMP 設定ガイド、Cisco IOS XE リリース 3SE。 章: SNMP バージョン 3。 www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html

出所： habr.com