Бұл мақала SNMPv3 хаттамасы арқылы желілік жабдықты бақылау мүмкіндіктеріне арналған. Біз SNMPv3 туралы сөйлесетін боламыз, мен Zabbix-те толыққанды шаблондарды жасау тәжірибеммен бөлісемін және үлкен желіде таратылған ескертулерді ұйымдастыру кезінде неге қол жеткізуге болатынын көрсетемін. SNMP протоколы желілік жабдықты бақылау кезінде негізгі болып табылады және Zabbix көптеген нысандарды бақылау және кіріс метрикасының үлкен көлемін қорытындылау үшін тамаша.
SNMPv3 туралы бірнеше сөз
SNMPv3 хаттамасының мақсатынан және оны пайдалану ерекшеліктерінен бастайық. SNMP міндеттері желілік құрылғыларды бақылау және оларға қарапайым пәрмендерді жіберу (мысалы, желі интерфейстерін қосу және өшіру немесе құрылғыны қайта жүктеу) арқылы негізгі басқару болып табылады.
SNMPv3 протоколының оның алдыңғы нұсқаларынан негізгі айырмашылығы – классикалық қауіпсіздік функциялары [1-3], атап айтқанда:
- Сұрау сенімді көзден алынғанын анықтайтын аутентификация;
- шифрлау (Шифрлау), үшінші тұлғалар ұстаған кезде жіберілген деректердің ашылуын болдырмау үшін;
- тұтастық, яғни жіберу кезінде пакеттің бұзылмағанына кепілдік.
SNMPv3 аутентификация стратегиясы берілген пайдаланушы мен ол жататын топ үшін орнатылған қауіпсіздік моделін пайдалануды білдіреді (SNMP алдыңғы нұсқаларында серверден бақылау объектісіне сұрау тек «қауымдастық», мәтінмен салыстырылады) анық мәтінде (қарапайым мәтін) берілетін «құпия сөз» бар жол).
SNMPv3 қауіпсіздік деңгейлерінің тұжырымдамасын енгізеді - жабдықтың конфигурациясын және бақылау нысанының SNMP агентінің әрекетін анықтайтын рұқсат етілген қауіпсіздік деңгейлері. Қауіпсіздік моделі мен қауіпсіздік деңгейінің үйлесімі SNMP пакетін өңдеу кезінде қандай қауіпсіздік механизмі қолданылатынын анықтайды [4].
Кесте үлгілер тіркесімін және SNMPv3 қауіпсіздік деңгейлерін сипаттайды (алғашқы үш бағанды түпнұсқадағыдай қалдыруды шештім):
Тиісінше, біз шифрлау арқылы аутентификация режимінде SNMPv3 қолданамыз.
SNMPv3 конфигурациялануда
Желілік жабдықты бақылау мониторинг серверінде де, бақыланатын нысанда да SNMPv3 протоколының бірдей конфигурациясын талап етеді.
Cisco желілік құрылғысын баптаудан бастайық, оның минималды қажетті конфигурациясы келесідей (конфигурация үшін біз CLI пайдаланамыз, шатастырмау үшін атаулар мен құпия сөздерді оңайлаттым):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedБірінші жол snmp-сервер тобы – SNMPv3 пайдаланушылар тобын (snmpv3group), оқу режимін (оқу) және snmpv3group тобының бақылау объектісінің MIB тармағының белгілі бір тармақтарын (snmpv3name, содан кейін конфигурация топтың MIB ағашының қай тармақтарына қол жеткізе алатынын, snmpv3group қатынаса алатынын көрсетеді).
Екінші жол snmp-сервер пайдаланушысы – snmpv3user пайдаланушысын, оның snmpv3group тобына мүшелігін, сондай-ақ md5 аутентификациясын (md5 үшін құпия сөз - md5v3v3v3) және des шифрлауын (des56v3v3v3 үшін құпия сөз) пайдалануды анықтайды. Әрине, des орнына aes қолданған дұрыс; мен оны мысал ретінде келтіремін. Сондай-ақ, пайдаланушыны анықтау кезінде сіз осы құрылғыны бақылауға құқығы бар мониторинг серверлерінің IP мекенжайларын реттейтін кіру тізімін (ACL) қосуға болады - бұл да ең жақсы тәжірибе, бірақ мен мысалды қиындатпаймын.
Үшінші жолдың snmp-сервер көрінісі snmpv3name MIB тармағының тармақтарын snmpv3group пайдаланушы тобы сұрауы мүмкін етіп көрсететін код атауын анықтайды. ISO бір тармақты қатаң анықтаудың орнына snmpv3group пайдаланушы тобына бақылау нысанының MIB тармағындағы барлық нысандарға қол жеткізуге мүмкіндік береді.
Huawei жабдығы үшін ұқсас орнату (сонымен қатар CLI-де) келесідей:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Желілік құрылғыларды орнатқаннан кейін SNMPv3 протоколы арқылы мониторинг серверінен кіруді тексеру керек, мен snmpwalk қолданамын:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB файлдарын пайдалана отырып, нақты OID нысандарын сұрауға арналған көрнекі құрал snmpget болып табылады:
Енді Zabbix үлгісінде SNMPv3 үшін әдеттегі деректер элементін орнатуға көшейік. Қарапайымдылық пен MIB тәуелсіздігі үшін мен цифрлық OID пайдаланамын:
Мен негізгі өрістерде реттелетін макростарды қолданамын, себебі олар үлгідегі барлық деректер элементтері үшін бірдей болады. Желіңіздегі барлық желілік құрылғыларда бірдей SNMPv3 параметрлері болса немесе әртүрлі бақылау нысандары үшін SNMPv3 параметрлері әртүрлі болса, желі түйінінде оларды үлгі ішінде орнатуға болады:
Мониторинг жүйесінде аутентификация және шифрлау үшін тек пайдаланушы аты мен құпия сөздер бар екенін ескеріңіз. Пайдаланушы тобы және қол жеткізуге рұқсат етілген MIB нысандарының ауқымы бақылау нысанында көрсетілген.
Енді шаблонды толтыруға көшейік.
Zabbix сауалнама үлгісі
Кез келген сауалнама үлгілерін жасау кезінде қарапайым ереже оларды мүмкіндігінше егжей-тегжейлі ету болып табылады:
Мен үлкен желімен жұмыс істеуді жеңілдету үшін түгендеуге үлкен көңіл бөлемін. Бұл туралы толығырақ кейінірек, бірақ әзірге – триггерлер:
Триггерлерді визуализациялауды жеңілдету үшін жүйе макростары {HOST.CONN} олардың атауларына енгізілген, осылайша ескерту бөліміндегі бақылау тақтасында құрылғы атаулары ғана емес, сонымен қатар IP мекенжайлары да көрсетіледі, дегенмен бұл қажеттіліктен гөрі ыңғайлылық мәселесі. . Құрылғының қолжетімсіздігін анықтау үшін, әдеттегі жаңғырық сұрауына қоса, объект ICMP арқылы қол жетімді болса, бірақ SNMP сұрауларына жауап бермесе, SNMP протоколы арқылы хосттың қолжетімсіздігін тексеруді қолданамын - бұл жағдай, мысалы, мүмкін. , қате конфигурацияланған брандмауэрлерге немесе бақылау нысандарындағы қате SNMP параметрлеріне байланысты IP мекенжайлары әртүрлі құрылғыларда қайталанғанда. Хосттың қолжетімділігін тексеруді тек ICMP арқылы пайдалансаңыз, желідегі инциденттерді тексеру кезінде бақылау деректері қол жетімді болмауы мүмкін, сондықтан олардың түсуін бақылау қажет.
Желілік интерфейстерді анықтауға көшейік - желілік жабдық үшін бұл ең маңызды бақылау функциясы. Желілік құрылғыда жүздеген интерфейстер болуы мүмкін болғандықтан, визуализацияны бұзбау немесе дерекқорды бұзбау үшін қажетсіздерін сүзгілеу қажет.
Мен икемді сүзгілеу үшін неғұрлым анықталатын параметрлері бар стандартты SNMP табу функциясын пайдаланамын:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Бұл табу арқылы желі интерфейстерін олардың түрлері, теңшелетін сипаттамалары және әкімшілік порт күйлері бойынша сүзуге болады. Менің жағдайымда сүзгілеуге арналған сүзгілер мен тұрақты өрнектер келесідей:
Анықталған жағдайда, келесі интерфейстер алынып тасталады:
- қолмен өшірілген (adminstatus<>1), IFADMINSTATUS арқасында;
- мәтіндік сипаттамасыз, IFALIAS арқасында;
- IFALIAS арқасында мәтіндік сипаттамада * белгісінің болуы;
- IFDESCR арқасында қызметтік немесе техникалық болып табылады (менің жағдайда, IFALIAS және IFDESCR тұрақты өрнектерінде бір тұрақты өрнек бүркеншік атымен тексеріледі).
SNMPv3 протоколы арқылы деректерді жинауға арналған үлгі дерлік дайын. Біз желілік интерфейстерге арналған деректер элементтерінің прототиптеріне толығырақ тоқталмаймыз, нәтижелерге көшейік.
Мониторинг нәтижелері
Бастау үшін шағын желіні түгендеңіз:
Желілік құрылғылардың әрбір сериясы үшін үлгілерді дайындасаңыз, ағымдағы бағдарламалық құрал, сериялық нөмірлер және серверге келетін тазартқыш туралы хабарландыру (жұмыс уақытының төмен болуына байланысты) бойынша жиынтық деректердің талдауға оңай орналасуына қол жеткізе аласыз. Менің үлгілер тізімімнен үзінді төменде:
Ал енді - ауырлық деңгейі бойынша бөлінген триггерлері бар негізгі бақылау тақтасы:
Желідегі әрбір құрылғы моделі үшін шаблондарға біріктірілген тәсілдің арқасында бір мониторинг жүйесі аясында ақаулар мен апаттарды болжау құралы (егер тиісті сенсорлар мен метрика бар болса) ұйымдастырылатынын қамтамасыз етуге болады. Zabbix желіні, серверді және сервистік инфрақұрылымды бақылау үшін өте қолайлы және желілік жабдыққа қызмет көрсету міндеті оның мүмкіндіктерін анық көрсетеді.
Пайдаланылған көздер тізімі:1. Hucaby D. CCNP бағыттау және коммутация SWITCH 300-115 ресми куәлік нұсқаулығы. Cisco Press, 2014. бет. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP конфигурация нұсқаулығы, Cisco IOS XE Release 3SE. Тарау: SNMP 3-нұсқа.
Ақпарат көзі: www.habr.com