Ev gotar ji taybetmendiyên çavdêriya amûrên torê re bi karanîna protokola SNMPv3 ve hatî veqetandin. Em ê li ser SNMPv3 biaxivin, ez ê ezmûna xwe di afirandina şablonên bêkêmasî de li Zabbix parve bikim, û ez ê destnîşan bikim ku dema ku hişyariya belavkirî di torgilokek mezin de organîze dike çi dikare were bidestxistin. Protokola SNMP ya sereke ye dema çavdêriya alavên torê dike, û Zabbix ji bo çavdêrîkirina hejmareke mezin a tiştan û kurtkirina cildên mezin ên metrîkên gihîştî mezin e.
Çend gotin li ser SNMPv3
Ka em bi armanca protokola SNMPv3 û taybetmendiyên karanîna wê dest pê bikin. Karên SNMP bi şandina fermanên hêsan ji wan re çavdêrîkirina amûrên torê û rêveberiya bingehîn in (mînakî, çalakkirin û neçalakkirina pêwendiyên torê, an ji nû ve destpêkirina cîhazê).
Cûdahiya sereke di navbera protokola SNMPv3 û guhertoyên wê yên berê de fonksiyonên ewlehiyê yên klasîk e [1-3], bi navê:
- Nasname, ku destnîşan dike ku daxwaz ji çavkaniyek pêbawer hatiye wergirtin;
- şîfrekirin (Şîfrekirin), ji bo pêşîlêgirtina eşkerekirina daneyên hatine veguheztin dema ku ji hêla aliyên sêyemîn ve têne girtin;
- yekitî, ango garantiyek ku di dema veguheztinê de pakêt nehatibe destwerdan.
SNMPv3 tê wateya karanîna modelek ewlehiyê ya ku tê de stratejiya erêkirinê ji bo bikarhênerek diyarkirî û koma ku ew tê de tê danîn (di guhertoyên berê yên SNMP de, daxwaza serverê ji tiştê çavdêriyê re tenê "civak", nivîsek rêzika bi "şîfre" ku bi nivîsa zelal (nivîsa sade) ve hatî şandin).
SNMPv3 têgeha astên ewlehiyê destnîşan dike - astên ewlehiyê yên pejirandî yên ku veavakirina amûran û tevgera kargêrê SNMP-ê ya çavdêriyê diyar dike. Kombûna modela ewlehiyê û asta ewlehiyê destnîşan dike ka kîjan mekanîzmaya ewlehiyê dema ku pakêtek SNMP hilber dike [4].
Tablo berhevokên modelan û astên ewlehiyê yên SNMPv3 vedibêje (min biryar da ku sê stûnên pêşîn wekî orîjînal bihêlim):
Li gorî vê yekê, em ê SNMPv3 di moda pejirandinê de bi karanîna şîfrekirinê bikar bînin.
Veavakirina SNMPv3
Amûrên torê yên çavdêrîkirinê hem li ser servera çavdêriyê û hem jî li cîhê çavdêrîkirî heman veavakirina protokola SNMPv3 hewce dike.
Ka em bi sazkirina amûrek torê ya Cisco-yê dest pê bikin, mîhenga wê ya hindiktirîn a pêwîst wiha ye (ji bo veavakirinê em CLI-yê bikar tînin, min nav û şîfreyên hêsan kirin da ku ji tevliheviyê dûr nekevin):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedKoma rêza yekem snmp-server - koma bikarhênerên SNMPv3 (snmpv3group), moda xwendinê (xwendin), û mafê gihîştina koma snmpv3group diyar dike ku hin şaxên dara MIB ya tiştê çavdêriyê (snmpv3name paşê di veavakirinê diyar dike ka kîjan şaxên dara MIB-ê ku kom dikare bigihîje snmpv3group dê bikaribe bigihîje).
Rêzeya duyemîn bikarhêner snmp-server - bikarhêner snmpv3user, endambûna wî di koma snmpv3group de, û her weha karanîna rastkirina md5 (şîfreya md5 md5v3v3v3 e) û şîfrekirina des (şîfreya des des56v3v3v3 e) diyar dike. Bê guman, çêtir e ku meriv li şûna des aes bikar bîne; ez li vir tenê wekî mînakek didim. Di heman demê de, dema ku hûn bikarhênerek diyar bikin, hûn dikarin navnîşek gihîştinê (ACL) lê zêde bikin ku navnîşanên IP-ya serverên çavdêriyê yên ku mafê çavdêriya vê cîhazê heye birêkûpêk dike - ev jî pratîka çêtirîn e, lê ez ê mînaka xwe tevlihev nekim.
Dîtina snmp-server ya rêza sêyemîn navek kodek diyar dike ku şaxên dara snmpv3name MIB diyar dike da ku ew ji hêla koma bikarhênerê snmpv3group ve werin pirsîn. ISO, li şûna ku bi hişkî şaxek yekane diyar bike, dihêle koma bikarhênerê snmpv3group bigihîje hemî tiştên di dara MIB ya objeya çavdêriyê de.
Sazkirinek wusa ji bo alavên Huawei (di CLI de jî) bi vî rengî xuya dike:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Piştî sazkirina amûrên torê, hûn hewce ne ku hûn gihîştina ji servera çavdêriyê bi protokola SNMPv3 ve kontrol bikin, ez ê snmpwalk bikar bînim:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Amûrek dîtbar a ji bo daxwazkirina tiştên taybetî yên OID-ê bi karanîna pelên MIB-ê snmpget e:
Naha em biçin sazkirina hêmanek daneya tîpîk ji bo SNMPv3, di nav şablona Zabbix de. Ji bo sadebûn û serxwebûna MIB, ez OID-ên dîjîtal bikar tînim:
Ez di qadên sereke de makroyên xwerû bikar tînim ji ber ku ew ê ji bo hemî hêmanên daneyê yên di şablonê de yek bin. Hûn dikarin wan di nav şablonekê de bicîh bikin, heke hemî amûrên torê yên di tora we de heman pîvanên SNMPv3 hene, an jî di nav girêkek torê de, heke pîvanên SNMPv3 ji bo tiştên çavdêriya cihêreng cûda bin:
Ji kerema xwe not bikin ku pergala çavdêriyê tenê ji bo rastkirin û şîfrekirinê navek bikarhêner û şîfreyek heye. Koma bikarhêner û çarçoveya tiştên MIB-ê yên ku gihîştina wan destûr e li ser objekta çavdêriyê têne destnîşan kirin.
Naha em biçin dagirtina şablonê.
Şablon anketê Zabbix
Rêgezek hêsan dema afirandina şablonên anketê ev e ku meriv wan bi qasî ku gengaz berfireh bike:
Ez girîngiyek mezin didim envanterê da ku bi torgilokek mezin re hêsantir bixebitim. Zêdetir li ser vê hinekî paşê, lê ji bo naha - teşqele:
Ji bo hêsankirina dîtbarîkirina tetikan, makroyên pergalê {HOST.CONN} di navên wan de cih digirin, ji ber vê yekê ne tenê navên cîhazê, lê navnîşanên IP-yê jî di beşa hişyariyê de li ser dashboardê têne xuyang kirin, her çend ev ji hewcedariyê bêtir pirsgirêkek hêsan e. . Ji bo ku diyar bikim ka amûrek ne berdest e, ji bilî daxwaziya echo ya gelemperî, ez bi karanîna protokola SNMP ve kontrolek ji bo tunebûna mêvandar bikar tînim, dema ku tişt bi ICMP ve tê gihîştin lê bersivê nade daxwazên SNMP - ev rewş mimkun e, mînakî , dema ku navnîşanên IP-ê li ser cîhazên cihêreng têne dubare kirin, ji ber dîwarên agir ên ku bi xeletî hatine mîheng kirin, an mîhengên SNMP yên çewt ên li ser tiştên çavdêriyê têne dubare kirin. Ger hûn kontrolkirina hebûna mêvandar tenê bi ICMP bikar bînin, di dema lêkolîna bûyerên li ser torê de, dibe ku daneyên çavdêriyê nebin, ji ber vê yekê divê wergirtina wan were şopandin.
Werin em li ser tespîtkirina navgînên torê biçin - ji bo alavên torê ev fonksiyona çavdêriyê ya herî girîng e. Ji ber ku dibe ku bi sedan navber li ser amûrek torê hebin, pêdivî ye ku meriv yên nepêwist fîltre bike da ku dîmenê tevlihev neke an databasê tevlihev neke.
Ez fonksiyona vedîtina SNMP-ya standard, bi parametreyên bêtir vedîtin, ji bo fîlterkirina maqûltir bikar tînim:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Bi vê vedîtinê re, hûn dikarin navberên torê li gorî celebên wan, danasînên xwerû, û statûyên porta îdarî fîlter bikin. Parzûn û vegotinên birêkûpêk ên ji bo fîlterkirin di doza min de wiha xuya dikin:
Ger were tespît kirin, pêwendiyên jêrîn dê bêne derxistin:
- bi destan neçalak (adminstatus<>1), bi saya IFADMINSTATUS;
- bêyî ravekirina nivîsê, spas ji bo IFALIAS;
- bi saya IFALIAS di danasîna nivîsê de nîşana * heye;
- ku karûbar an teknîkî ne, bi saya IFDESCR (di rewşa min de, di bêjeyên birêkûpêk de IFALIAS û IFDESCR ji hêla yek binavkirina birêkûpêk ve têne kontrol kirin).
Şablon ji bo berhevkirina daneyan bi karanîna protokola SNMPv3 hema hema amade ye. Em ê bi hûrgulî li ser prototîpên hêmanên daneyê yên ji bo navgînên torê nesekinin; em biçin ser encaman.
Encamên çavdêriyê
Ji bo destpêkê, torgilokek torgilokek piçûk hilînin:
Ger hûn ji bo her rêzek cîhazên torê şablonan amade bikin, hûn dikarin li ser nermalava heyî, hejmarên rêzefîlmê, û agahdarkirina paqijkerek ku tê ser serverê (ji ber kêm Uptime) nexşeyek hêsan-a-analîzkirina daneya kurt bi dest bixin. Parçeyek ji navnîşa şablonê min li jêr e:
Û naha - panela çavdêriyê ya sereke, bi kêşeyên ku ji hêla asta giran ve têne belav kirin:
Bi xêra nêzîkbûnek yekgirtî ya şablonan ji bo her modela cîhaza di torê de, gengaz e ku meriv pê ewle bibe ku, di çarçoveya yek pergala çavdêriyê de, amûrek ji bo pêşbînkirina xeletî û qezayan were organîze kirin (heke senzor û pîvanên guncan hebin). Zabbix ji bo çavdêrîkirina binesaziyên torê, server û karûbarê xweş xweş e, û peywira domandina alavên torê bi zelalî kapasîteyên xwe destnîşan dike.
Lîsteya çavkaniyên ku hatine bikar anîn:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Rêbernameya Cert Fermî. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Guide Veavakirina SNMP, Cisco IOS XE Release 3SE. Beş: SNMP Guhertoya 3.
Source: www.habr.com