Articulus hic deditus est instrumenti network vigilantis liniamenta utendi protocollo SNMPv3. Nos de SNMPv3 loquemur, experientiam meam communicabo in programmatibus in Zabbix plena flexibus creando, et quid fieri possit ostendemus cum distributis in retiaculis magnis ordinandis. Protocollum SNMP principale est unum cum apparatu network vigilantia, et Zabbix magnus est ad vigilantiam rerum magnarum et magna volumina in advenientis metrics summatim.
Pauca de SNMPv3
Incipiamus a proposito SNMPv3 protocolli et lineamenta usus eius. Munus SNMP vigilantia machinis retis sunt ac praecipuas administrationes illis simplicibus mandatis mittendo (exempli gratia, retis interfaces enatare et inactivare, vel machinam rescindere).
Praecipua differentia inter protocollum SNMPv3 eiusque versiones praecedentes est functiones securitatis classicae [1-3], nempe:
- Authenticatio, quam petitio ex fidenti fonte decernit;
- encryption (encryption), ne enuntiatio notitiarum transmissarum a partibus tertiae interceptae;
- integritas, id est, spondet fasciculum in transmissione corruptum non esse.
SNMPv3 significat usum exemplaris securitatis in quo authenticatio militaris pro usuario dato et coetui ad quem pertinet (in praecedentibus versionibus SNMP, petitio a servo ad rem vigilantiam comparatam solum "communitatem", textum chorda cum "password" in textum perspicuum traductum (textum planum)).
SNMPv3 notionem gradus securitatis inducit - acceptum securitatem gradus qui conformationem instrumentorum ac mores SNMP agentis rei vigilantiae determinant. Coniunctio exemplar securitatis et gradus securitatis determinat qua mechanismus securitatis adhibetur cum fasciculum SNMP dispensandum [4].
Mensa compositiones exemplorum et SNMPv3 gradus securitatis describit (primas tres columnas ut in originalibus relinquere decrevi);
Quocirca utemur SNMPv3 in modo authenticas encryption utendi.
Vestibulum SNMPv3
Monitorium network apparatu eandem conformationem SNMPv3 protocolli requirit in utroque servo vigilantia et obiectum monitoris.
Incipiamus cum constituendo machinam retis in Cisco, eius minimam figurationem requisitam hoc modo (pro configuratione utimur CLI, nomina et passwords simpliciores ad evitandam confusionem);
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPrima linea snmp-servatoris coetus - coetus SNMPv3 utentium (snmpv3group) definit, modus legit (lego), et accessus ius globi snmpv3 group ad quosdam ramos MIB arboris objecti vigilantiae (snmpv3name tunc in conformatio specificat quibus rami MIB arboris globi snmpv3 coetus accedere possunt accessum habere poterunt).
Secunda linea snmp-servo utentis - snmpv3usoris utentis definit, eius adhaesionem in coetus snmpv3 globi, necnon usus authenticitatis md5 (password pro md5 est md5v3v3v3) et des encryption (password pro des is des56v3v3v3). Certe aes loco des uti satius est, quam exemplum hic ego praecipio. Etiam, definiens utentem, accessum addere potes indicem (ACL) qui moderatur IP inscriptiones vigilantium ministrantium qui ius habent ad hanc machinam monitorem - hoc quoque praxis optima est, sed exemplum nostrum non inpediet.
Tertia linea snmp-servo sententia definit nomen codicem qui ramos specificat arboris snmpv3name MIB ita ut a coetus usoris snmpv3coatorum queri possint. ISO, loco unum ramum stricte definiens, coetus usoris snmpv3 coetus accedere permittit omnia obiecta in arbore MIB rei vigilantiae.
Simile paroeciale apparatui Huawei (etiam in CLI) hoc spectat:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Cum retis machinis institutis, accessum ab vigilantia servo per SNMPv3 protocollo reprimere debes, snmpwalk utar:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Plus instrumenti visualis ad postulandum res specificas OID obiecta usus MIB lima snmpget est:
Nunc transeamus ad constituendum SNMPv3 data typica elementi, intra Zabbix template. Pro simplici et MIB independentia, utor digitalis OIDs;
Consuetudinibus macros utar in agris clavis quia eadem erunt omnibus elementis in template. Eas intra exemplum ponere potes, si omnes machinae retis in retiacula tua easdem parametri SNMPv3 habent, vel intra nodi retis, si SNMPv3 parametri pro diversis obiectis vigilantiae diversae sunt;
Quaeso nota quod ratio magna magna solum nomen usoris et Tesserae habet ad authenticas et encryptiones. Circulus usoris et ambitus obiecti MIB ad quos accessus conceditur, in obiecto vigilantia specificantur.
Nunc ad implendum exemplum accedamus.
Zabbix poll template
Simplex regula, cum quaelibet exempla extensionis creare est, eas quam maxime explicandas facere est;
Magnam operam invenio ad inventarium quo facilius magna cum ornatum elaborare possit. Plura de hoc paulo post, nunc autem - triggers;
Ad facilitatem visualizationis triggers, systematis macros {HOST.CONN} nominibus eorum includuntur ut non solum nomina fabrica, sed etiam IP inscriptiones in ashboardday in sectione alerting monstrantur, quamvis hoc plus negotii sit quam necessitas. . Ut definias an fabrica perpendat, praeter solitam petitionem echoi, perscriptio usus sum protocollo SNMP protocollo hospes, cum obiectum pervium est per ICMP sed petitionibus SNMP non respondet - haec condicio possibilis est, e.g. , cum IP inscriptiones in diversis machinis duplicantur, ob firewalls non recte figuratas, vel SNMP falsas unctiones in rebus vigilantia. Si exercitum disponibilitate uti reprehendo solum per ICMP, in tempore investigationis in retis investigandi, data magna notitia praesto esse non potest, ideo eorum acceptio monitoria debet esse.
Transeamus ad interfaces detegendas retis - hoc enim instrumentum retis est maximum munus vigilantia. Cum centeni interfaces in retis notae sint, necesse est eliquare superfluas ne visualizationem vel acervum datorum cluant.
Vexillum SNMP functionis inventionis utens, parametris magis inventis, eliquatione flexibili:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Hac inventione retiaculis interfactionibus eliquare potes suis generibus, consuetudinum descriptionibus, ac status administrativorum portuum. Filtra et expressiones regulares in meo casu eliquare hoc vide:
Si deprehendatur, sequentia impedimenta excludentur;
- manually debilitatus (adminstatus<>1), gratias egit IFADMINSTATUS;
- sine descriptione textus, propter IFALIAS;
- habens symbolum in descriptione textus, gratias Ifalias;
- quae inserviunt vel technicae, propter IFDESCR (me in casu, in expressionibus regularibus IFALIAS et IFDESCR una alias expressiones regulares coercentur).
Formula colligendi notitias SNMPv3 protocollo utens prope parata est. In prototypis elementorum retis interfaces retis accuratius non habitabimus, ad eventus transeamus.
Proventus adipiscing
In primis accipe inventarium retis parvae;
Si exempla paras ad singulas retis machinis series, facile consequi potes ad analysendam summarii notitias in programmate currenti, numeros vide, et notificationem mundioris adventus ministranti (ob low Uptime). Formulae meae excerptum est infra:
Nunc autem - magna tabula principalis, cum triggers per gradus severitatis distributa:
Gratiae accessus ad formulas integras ad exemplar uniuscuiusque machinae in retis, fieri potest ut, intra unius vigilantiae rationis compagem, instrumentum ad vitia et accidentia praedicenda ordinetur (si opportuna sensoriis et metricis praesto sint). Zabbix aptissima est ad vigilantiam retis, servientis, et substructionum servitiorum, et negotium instrumentorum retis conservandi suas facultates luculenter demonstrat.
Index fontium usus est:1. Hucaby D. CCNP Routing et Switching SWITCH 300-115 Officialis Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410 .
3. RFC 3415 .
4. SNMP Configurationis Guide, Cisco IOS XE Release 3SE. Caput: SNMP VERSION III.
Source: www.habr.com