Artikel iki khusus kanggo fitur ngawasi peralatan jaringan nggunakake protokol SNMPv3. Kita bakal pirembagan bab SNMPv3, Aku bakal nuduhake pengalaman ing nggawe Cithakan lengkap ing Zabbix, lan aku bakal nuduhake apa bisa ngrambah nalika ngatur alerting mbagekke ing jaringan gedhe. Protokol SNMP minangka sing utama nalika ngawasi peralatan jaringan, lan Zabbix apik kanggo ngawasi akeh obyek lan ngringkes volume metrik sing mlebu.
Sawetara tembung babagan SNMPv3
Ayo diwiwiti kanthi tujuan protokol SNMPv3 lan fitur panggunaane. Tugas SNMP yaiku ngawasi piranti jaringan lan manajemen dhasar kanthi ngirim prentah sing gampang (contone, ngaktifake lan mateni antarmuka jaringan, utawa miwiti maneh piranti).
Bentenane utama antarane protokol SNMPv3 lan versi sadurunge yaiku fungsi keamanan klasik [1-3], yaiku:
- Otentikasi, sing nemtokake manawa panjaluk kasebut ditampa saka sumber sing dipercaya;
- enkripsi (Enkripsi), kanggo nyegah pambocoran data sing dikirim nalika dicegat dening pihak katelu;
- integritas, sing, njamin sing paket wis ora tampered karo sak transmisi.
SNMPv3 nuduhake panggunaan model keamanan ing ngendi strategi otentikasi disetel kanggo pangguna tartamtu lan klompok sing diduweni (ing versi SNMP sadurunge, panjaluk saka server menyang obyek pemantauan dibandhingake mung "komunitas", teks. string kanthi "sandi" sing dikirim ing teks sing jelas (teks biasa)).
SNMPv3 ngenalake konsep tingkat keamanan - tingkat keamanan sing bisa ditampa sing nemtokake konfigurasi peralatan lan prilaku agen SNMP saka obyek pemantauan. Kombinasi model keamanan lan tingkat keamanan nemtokake mekanisme keamanan sing digunakake nalika ngolah paket SNMP [4].
Tabel kasebut nggambarake kombinasi model lan tingkat keamanan SNMPv3 (Aku mutusake ninggalake telung kolom pisanan kaya asline):
Patut, kita bakal nggunakake SNMPv3 ing mode otentikasi nggunakake enkripsi.
Konfigurasi SNMPv3
Peralatan jaringan ngawasi mbutuhake konfigurasi protokol SNMPv3 sing padha ing server ngawasi lan obyek sing dipantau.
Ayo dadi miwiti karo nyetel piranti jaringan Cisco, konfigurasi dibutuhake minimal minangka nderek (kanggo konfigurasi kita nggunakake CLI, Aku simplified jeneng lan sandhi kanggo supaya kebingungan):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedGrup snmp-server baris pisanan - nemtokake klompok pangguna SNMPv3 (snmpv3group), mode maca (maca), lan hak akses saka grup snmpv3group kanggo ndeleng cabang tartamtu saka wit MIB saka obyek pemantauan (snmpv3name banjur ing konfigurasi nemtokake kang cabang saka wit MIB grup bisa ngakses snmpv3group bakal bisa entuk akses).
Panganggo snmp-server baris kapindho - nemtokake pangguna snmpv3user, anggota ing grup snmpv3group, uga nggunakake otentikasi md5 (sandi kanggo md5 yaiku md5v3v3v3) lan enkripsi des (sandi kanggo des yaiku des56v3v3v3). Mesthi, luwih becik nggunakake aes tinimbang des; Aku menehi kene mung minangka conto. Uga, nalika nemtokake pangguna, sampeyan bisa nambah dhaptar akses (ACL) sing ngatur alamat IP server ngawasi sing duwe hak kanggo ngawasi piranti iki - iki uga praktik paling apik, nanging aku ora bakal nggawe rumit conto kita.
Tampilan snmp-server baris katelu nemtokake jeneng kode sing nemtokake cabang saka wit MIB snmpv3name supaya bisa ditakoni dening grup pangguna snmpv3group. ISO, tinimbang strictly netepake cabang siji, ngidini grup pangguna snmpv3group ngakses kabeh obyek ing wit MIB saka obyek ngawasi.
Persiyapan sing padha kanggo peralatan Huawei (uga ing CLI) katon kaya iki:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Sawise nyetel piranti jaringan, sampeyan kudu mriksa akses saka server ngawasi liwat protokol SNMPv3, aku bakal nggunakake snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Alat sing luwih visual kanggo njaluk obyek OID tartamtu nggunakake file MIB yaiku snmpget:
Saiki ayo pindhah menyang nyetel unsur data khas kanggo SNMPv3, ing cithakan Zabbix. Kanggo kesederhanaan lan kamardikan MIB, aku nggunakake OID digital:
Aku nggunakake makro khusus ing kolom kunci amarga bakal padha kanggo kabeh unsur data ing cithakan. Sampeyan bisa nyetel kasebut ing cithakan, yen kabeh piranti jaringan ing jaringan duwe paramèter SNMPv3 sing padha, utawa ing simpul jaringan, yen paramèter SNMPv3 kanggo obyek pemantauan beda-beda:
Elinga yen sistem ngawasi mung nduweni jeneng pangguna lan sandhi kanggo otentikasi lan enkripsi. Klompok pangguna lan ruang lingkup obyek MIB sing diidini akses ditemtokake ing obyek pemantauan.
Saiki ayo nerusake ngisi template kasebut.
Cithakan polling Zabbix
Aturan prasaja nalika nggawe cithakan survey yaiku nggawe kanthi rinci:
Aku mbayar manungsa waé gedhe kanggo persediaan supaya luwih gampang kanggo bisa karo jaringan gedhe. Luwih akeh babagan iki mengko, nanging saiki - pemicu:
Kanggo gampang visualisasi pemicu, makro sistem {HOST.CONN} dilebokake ing jenenge supaya ora mung jeneng piranti, nanging uga alamat IP ditampilake ing dashboard ing bagean tandha, sanajan iki luwih penting tinimbang kabutuhan. . Kanggo nemtokake manawa piranti ora kasedhiya, saliyane panyuwunan gema biasa, aku nggunakake mriksa kanggo ora kasedhiya host nggunakake protokol SNMP, nalika obyek bisa diakses liwat ICMP nanging ora nanggapi panjalukan SNMP - kahanan iki bisa, contone. , nalika alamat IP diduplikasi ing piranti sing beda-beda, amarga firewall sing ora dikonfigurasi kanthi bener, utawa setelan SNMP sing ora bener ing obyek ngawasi. Yen sampeyan nggunakake mriksa kasedhiyan host mung liwat ICMP, nalika nyelidiki kedadeyan ing jaringan, data ngawasi bisa uga ora kasedhiya, mula panrimo kasebut kudu dipantau.
Ayo pindhah menyang ndeteksi antarmuka jaringan - kanggo peralatan jaringan iki minangka fungsi ngawasi sing paling penting. Amarga bisa uga ana atusan antarmuka ing piranti jaringan, mula kudu nyaring sing ora perlu supaya ora ngganggu visualisasi utawa ngrusak database.
Aku nggunakake fungsi panemuan SNMP standar, kanthi paramèter sing luwih bisa ditemokake, kanggo nyaring sing luwih fleksibel:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Kanthi panemuan iki, sampeyan bisa nyaring antarmuka jaringan miturut jinis, deskripsi khusus, lan status port administratif. Filter-filter lan ekspresi reguler kanggo nyaring ing kasusku katon kaya iki:
Yen dideteksi, antarmuka ing ngisor iki bakal ora kalebu:
- dipateni kanthi manual (adminstatus<>1), thanks kanggo IFADMINSTATUS;
- tanpa katrangan teks, thanks kanggo IFALIAS;
- gadhah simbol * ing katrangan teks, thanks kanggo IFALIAS;
- sing layanan utawa technical, thanks kanggo IFDESCR (ing cilik, ing expression biasa IFALIAS lan IFDESCR dicenthang dening siji alias expression biasa).
Cithakan kanggo ngumpulake data nggunakake protokol SNMPv3 meh siap. Kita ora bakal luwih rinci babagan prototipe unsur data kanggo antarmuka jaringan; ayo pindhah menyang asil.
Hasil monitoring
Kanggo miwiti, njupuk inventarisasi jaringan cilik:
Yen sampeyan nyiyapake cithakan kanggo saben seri piranti jaringan, sampeyan bisa entuk tata letak ringkesan data sing gampang dianalisis ing piranti lunak saiki, nomer seri, lan kabar babagan resik sing teka ing server (amarga Uptime kurang). Kutipan dhaptar templateku ing ngisor iki:
Lan saiki - panel ngawasi utama, kanthi pemicu sing disebarake miturut tingkat keruwetan:
Thanks kanggo pendekatan terpadu kanggo cithakan kanggo saben model piranti ing jaringan, iku bisa kanggo mesthekake yen, ing framework saka siji sistem ngawasi, alat kanggo prédhiksi bentet lan kacilakan bakal diatur (yen sensor cocok lan metrik kasedhiya). Zabbix cocog banget kanggo ngawasi jaringan, server, lan infrastruktur layanan, lan tugas njaga peralatan jaringan kanthi jelas nuduhake kemampuane.
Dhaptar sumber sing digunakake:1. Hucaby D. CCNP nuntun lan Ngalih SWITCH 300-115 Cert Guide Resmi. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Pandhuan Konfigurasi SNMP, Cisco IOS XE Release 3SE. Bab: SNMP Versi 3.
Source: www.habr.com