Бул макала SNMPv3 протоколун колдонуу менен тармактык жабдууларды көзөмөлдөөнүн өзгөчөлүктөрүнө арналган. Биз SNMPv3 жөнүндө сүйлөшөбүз, мен Zabbixте толук кандуу шаблондорду түзүү боюнча тажрыйбам менен бөлүшөм жана чоң тармакта бөлүштүрүлгөн эскертүүлөрдү уюштурууда эмнеге жетсе болорун көрсөтөм. SNMP протоколу тармактык жабдууларга мониторинг жүргүзүүдө негизги протокол болуп саналат, ал эми Zabbix көп сандагы объекттерге мониторинг жүргүзүү жана келген метрикалардын чоң көлөмүн жалпылоо үчүн сонун.
SNMPv3 жөнүндө бир нече сөз
SNMPv3 протоколунун максаты жана аны колдонуу өзгөчөлүктөрү менен баштайлы. SNMP милдеттери тармактык түзүлүштөрдү көзөмөлдөө жана аларга жөнөкөй буйруктарды жөнөтүү аркылуу негизги башкаруу (мисалы, тармак интерфейстерин иштетүү жана өчүрүү, же аппаратты кайра жүктөө).
SNMPv3 протоколунун жана анын мурунку версияларынын ортосундагы негизги айырма - бул классикалык коопсуздук функциялары [1-3], атап айтканда:
- Сурам ишенимдүү булактан алынганын аныктаган аутентификация;
- шифрлөө (Шифрлөө), үчүнчү жактар тарабынан кармалганда берилүүчү маалыматтардын ачыкка чыгышына жол бербөө үчүн;
- бүтүндүк, башкача айтканда, берүү учурунда пакет бузулбаганына кепилдик.
SNMPv3 коопсуздук моделин колдонууну билдирет, мында аутентификация стратегиясы берилген колдонуучуга жана ал таандык болгон топко коюлган (SNMPдин мурунку версияларында серверден мониторинг объектине суроо-талап "коомчулук", текст менен гана салыштырылган. ачык текстте (жөнөкөй текст) берилген "сырсөз" менен сап).
SNMPv3 коопсуздук деңгээли түшүнүгүн киргизет - алгылыктуу коопсуздук деңгээли, ал жабдуулардын конфигурациясын жана мониторинг объектинин SNMP агентинин жүрүм-турумун аныктайт. Коопсуздук моделинин жана коопсуздук деңгээлинин айкалышы SNMP пакетин иштетүүдө кайсы коопсуздук механизми колдонуларын аныктайт [4].
Таблицада моделдердин айкалышы жана SNMPv3 коопсуздук деңгээли сүрөттөлөт (мен алгачкы үч мамычаны түп нускадагыдай калтырууну чечтим):
Демек, биз шифрлөө аркылуу аутентификация режиминде SNMPv3 колдонобуз.
SNMPv3 конфигурацияланууда
Тармактык жабдууларды көзөмөлдөө мониторинг серверинде да, көзөмөлдөнүүчү объектте да SNMPv3 протоколунун бирдей конфигурациясын талап кылат.
Келгиле, Cisco тармактык түзүлүшүн орнотуудан баштайлы, анын минималдуу талап кылынган конфигурациясы төмөнкүдөй (конфигурация үчүн биз CLI колдонобуз, чаташтырбоо үчүн мен аттар менен сырсөздөрдү жөнөкөйлөштүм):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedБиринчи сап snmp-сервер тобу – SNMPv3 колдонуучуларынын тобун (snmpv3group), окуу режимин (окуу) жана мониторинг объектинин MIB дарагынын айрым бутактарын көрүү үчүн snmpv3group тобунун кирүү укугун аныктайт (snmpv3name андан кийин конфигурация топтун MIB дарагынын кайсы бутактарына кире аларын, snmpv3group кирүү мүмкүнчүлүгүн ала аларын аныктайт).
Экинчи сап snmp-сервер колдонуучусу – колдонуучуну snmpv3user, анын snmpv3group тобуна мүчөлүгүн, ошондой эле md5 аутентификациясын (md5 үчүн сырсөз md5v3v3v3) жана des шифрлөөсүн (des56v3v3v3 үчүн сырсөз) аныктайт. Албетте, des ордуна aes колдонгон жакшы, мен бул жерде мисал катары айтып жатам. Ошондой эле, колдонуучуну аныктоодо, сиз бул аспапты көзөмөлдөөгө укугу бар мониторинг серверлеринин IP даректерин жөнгө салуучу мүмкүндүк алуу тизмесин (ACL) кошо аласыз - бул дагы эң жакшы тажрыйба, бирок мен биздин мисалды татаалдаштырбайм.
Үчүнчү сап snmp-сервер көрүнүшү snmpv3name MIB дарагынын бутактарын аныктаган код атын аныктайт, ошондуктан алар snmpv3group колдонуучу тобу тарабынан суралышы мүмкүн. ISO, бир бутакты так аныктоонун ордуна, snmpv3group колдонуучу тобуна мониторинг объектинин MIB дарагындагы бардык объекттерге кирүү мүмкүнчүлүгүн берет.
Huawei жабдуулары үчүн окшош орнотуу (CLI да) мындай көрүнөт:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Тармак түзмөктөрүн орноткондон кийин, SNMPv3 протоколу аркылуу мониторинг серверинен кирүү мүмкүнчүлүгүн текшеришиңиз керек, мен snmpwalk колдоном:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB файлдарын колдонуу менен белгилүү бир OID объекттерин суроо үчүн көбүрөөк визуалдык курал snmpget болуп саналат:
Эми Zabbix шаблонунун ичинде SNMPv3 үчүн типтүү маалымат элементин орнотууга өтөлү. Жөнөкөйлүк жана MIB көз карандысыздыгы үчүн мен санариптик OIDдерди колдоном:
Мен негизги талааларда ыңгайлаштырылган макросторду колдоном, анткени алар шаблондогу бардык маалымат элементтери үчүн бирдей болот. Тармагыңыздагы бардык тармактык түзүлүштөр бирдей SNMPv3 параметрлерине ээ болсо, же тармак түйүнүн ичинде, ар кандай мониторинг объектилери үчүн SNMPv3 параметрлери ар башка болсо, аларды шаблондун ичинде орното аласыз:
Мониторинг тутумунда аутентификация жана шифрлөө үчүн колдонуучу аты жана сырсөздөр гана бар экенин эске алыңыз. Мониторинг объектисинде колдонуучу тобу жана кирүүсүнө уруксат берилген MIB объекттеринин чөйрөсү көрсөтүлөт.
Эми шаблонду толтурууга өтөбүз.
Zabbix сурамжылоо шаблону
Сурамжылоонун шаблондорун түзүүнүн жөнөкөй эрежеси - аларды мүмкүн болушунча деталдуу кылуу:
Чоң тармак менен иштөөнү жеңилдетүү үчүн инвентаризацияга чоң көңүл бурам. Бул тууралуу бир аз кийинчерээк, бирок азыр - триггерлер:
Триггерлерди визуализациялоону жеңилдетүү үчүн {HOST.CONN} тутумдук макростору алардын аттарына камтылган, андыктан аппараттын аталыштары гана эмес, IP даректери да эскертүү бөлүмүндөгү аспаптар тактасында көрсөтүлөт, бирок бул зарылчылыкка караганда ыңгайлуулук маселеси. . Түзмөктүн жеткиликсиздигин аныктоо үчүн, кадимки жаңырык сурамынан тышкары, объект ICMP аркылуу жеткиликтүү болуп, бирок SNMP сурамдарына жооп бербесе, SNMP протоколун колдонуп, хосттун жеткиликтүү эместигин текшерүүнү колдоном - бул жагдай, мисалы, мүмкүн. , туура эмес конфигурацияланган брандмауэрлерден же мониторинг объекттериндеги туура эмес SNMP орнотууларынан улам IP даректер ар кандай түзмөктөрдө кайталанганда. Эгер сиз ICMP аркылуу гана хосттун жеткиликтүүлүгүн текшерүүнү колдонсоңуз, тармактагы инциденттерди иликтөө учурунда мониторинг маалыматтары жок болушу мүмкүн, андыктан алардын алынышын көзөмөлдөө керек.
Тармак интерфейстерин аныктоого өтөлү - тармактык жабдуулар үчүн бул эң маанилүү мониторинг функциясы. Тармак түзмөгүндө жүздөгөн интерфейстер болушу мүмкүн болгондуктан, визуализацияны же маалымат базасын чаташтырбоо үчүн керексиздерин чыпкалоо керек.
Ийкемдүү чыпкалоо үчүн мен стандарттуу SNMP табуу функциясын колдонуп жатам, көбүрөөк ачылуучу параметрлери бар:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Бул ачылыш менен сиз тармак интерфейстерин түрлөрү, ыңгайлаштырылган сүрөттөмөлөрү жана административдик порт статустары боюнча чыпкалай аласыз. Менин ишимде чыпкалоо үчүн фильтрлер жана кадимки сөз айкаштары төмөнкүдөй көрүнөт:
Эгер аныкталса, төмөнкү интерфейстер алынып салынат:
- кол менен өчүрүлгөн (adminstatus<>1), IFADMINSTATUS аркасында;
- текст сыпаттамасы жок, IFALIAS үчүн рахмат;
- тексттин сүрөттөмөсүндө * белгиси бар, IFALIASтын аркасында;
- IFDESCR аркасында кызматтык же техникалык (менин учурда IFALIAS жана IFDESCR кадимки туюнтмаларында бир кадимки туюнтма лакап ат менен текшерилет).
SNMPv3 протоколун колдонуу менен маалыматтарды чогултуу үчүн шаблон дээрлик даяр. Тармактык интерфейстер үчүн маалымат элементтеринин прототиптерине кененирээк токтолбойбуз; келгиле, жыйынтыктарга өтөбүз.
Мониторингдин жыйынтыгы
Баштоо үчүн, кичинекей тармактын инвентаризациясын алыңыз:
Тармактык түзүлүштөрдүн ар бир сериясы үчүн шаблондорду даярдасаңыз, учурдагы программалык камсыздоо, сериялык номерлер жана серверге келген тазалоочу жөнүндө билдирүү (иш убактысынын аздыгынан) боюнча кыскача маалыматтардын талдоо оңой макетине жетише аласыз. Менин шаблон тизмемдин үзүндүсү төмөндө:
Ал эми азыр - негизги мониторинг панели, оордук даражалары боюнча бөлүштүрүлгөн триггерлер менен:
Тармактагы ар бир түзүлүш модели үчүн шаблондорго комплекстүү мамиленин аркасында, бир мониторинг системасынын алкагында каталарды жана аварияларды алдын ала айтуу куралы уюштурулушун камсыз кылууга болот (эгер тиешелүү сенсорлор жана метрика бар болсо). Zabbix тармакка, серверге жана тейлөө инфраструктураларына мониторинг жүргүзүү үчүн ылайыктуу жана тармактык жабдууларды тейлөө милдети анын мүмкүнчүлүктөрүн ачык көрсөтүп турат.
Колдонулган булактардын тизмеси:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Расмий Cert Guide. Cisco Press, 2014. стр. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuration Guide, Cisco IOS XE Release 3SE. Бөлүм: SNMP Версия 3.
Source: www.habr.com