Dësen Artikel ass gewidmet fir d'Features vun der Iwwerwaachung vum Netzwierkausrüstung mam SNMPv3 Protokoll. Mir wäerten iwwer SNMPv3 schwätzen, ech wäert meng Erfahrung deelen fir vollwäerteg Templates an Zabbix ze kreéieren, an ech wäert weisen wat erreecht ka ginn wann Dir verdeelt Alarm an engem grousse Netzwierk organiséiert. Den SNMP Protokoll ass den Haaptgrond beim Iwwerwaachung vum Netzwierkausrüstung, an Zabbix ass super fir eng grouss Zuel vun Objeten ze iwwerwaachen a grouss Volumen vun erakommen Metriken ze resuméieren.
E puer Wierder iwwer SNMPv3
Loosst eis mam Zweck vum SNMPv3 Protokoll ufänken an d'Features vu senger Benotzung. D'Aufgabe vum SNMP sinn d'Iwwerwaachung vun Netzgeräter a Basisverwaltung andeems se einfach Kommandoen un si schécken (zum Beispill d'Netzwierkschnëttplazen aktivéieren an auszeschalten oder den Apparat nei starten).
Den Haaptunterschied tëscht dem SNMPv3 Protokoll a senge fréiere Versioune sinn déi klassesch Sécherheetsfunktiounen [1-3], nämlech:
- Authentifikatioun, déi feststellt datt d'Ufro vun enger vertrauter Quell kritt gouf;
- Verschlësselung (Verschlësselung), fir d'Verëffentlechung vun iwwerdroenen Donnéeën ze vermeiden wann se vun Drëttubidder ofgefaangen sinn;
- Integritéit, dat heescht, eng Garantie datt de Paket net während der Iwwerdroung tamperéiert gouf.
SNMPv3 implizéiert d'Benotzung vun engem Sécherheetsmodell an deem d'Authentifikatiounsstrategie fir e bestëmmte Benotzer gesat gëtt an de Grupp zu deem hie gehéiert (a fréiere Versioune vun SNMP, d'Ufro vum Server un d'Iwwerwaachungsobjekt vergläicht nëmmen "Gemeinschaft", en Text String mat engem "Passwuert" am Kloertext (Klärtext) iwwerdroen.
SNMPv3 féiert d'Konzept vu Sécherheetsniveauen vir - akzeptabel Sécherheetsniveauen, déi d'Konfiguratioun vun der Ausrüstung an d'Behuele vum SNMP Agent vum Iwwerwaachungsobjekt bestëmmen. D'Kombinatioun vu Sécherheetsmodell a Sécherheetsniveau bestëmmt wéi ee Sécherheetsmechanismus benotzt gëtt beim Veraarbechtung vun engem SNMP-Paket [4].
Den Dësch beschreift Kombinatioune vu Modeller a SNMPv3 Sécherheetsniveauen (Ech hu beschloss déi éischt dräi Kolonnen ze verloossen wéi am Original):
Deementspriechend benotze mir SNMPv3 am Authentifikatiounsmodus mat Verschlësselung.
SNMPv3 konfiguréieren
Iwwerwaachungsnetzausrüstung erfuerdert déiselwecht Konfiguratioun vum SNMPv3-Protokoll souwuel um Iwwerwaachungsserver an dem iwwerwaachte Objet.
Loosst eis ufänken mat engem Cisco Netzwierkapparat opzestellen, seng minimal erfuerderlech Konfiguratioun ass wéi follegt (fir d'Konfiguratioun benotze mir den CLI, ech hunn d'Nimm a Passwierder vereinfacht fir Duercherneen ze vermeiden):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedDéi éischt Zeil snmp-Server Grupp - definéiert d'Grupp vun SNMPv3 Benotzer (snmpv3group), de Liesmodus (liesen), an d'Zougangsrecht vun der snmpv3group Grupp fir verschidde Filialen vum MIB Bam vum Iwwerwaachungsobjekt ze gesinn (snmpv3name dann am Configuratioun spezifizéiert op wéi eng Filialen vum MIB Bam de Grupp Zougang kann snmpv3group kréien Zougang).
Déi zweet Linn snmp-Server Benotzer - definéiert de Benotzer snmpv3user, seng Memberschaft an der snmpv3group Grupp, souwéi d'Benotzung vun md5 Authentifikatioun (Passwuert fir md5 ass md5v3v3v3) an des Verschlësselung (Passwuert fir des ass des56v3v3v3). Natierlech ass et besser fir aes amplaz vun des ze benotzen; Ech ginn et hei just als Beispill. Och wann Dir e Benotzer definéiert, kënnt Dir eng Zougangslëscht (ACL) addéieren, déi d'IP Adressen vun Iwwerwaachungsserveren reguléiert, déi d'Recht hunn dësen Apparat ze iwwerwaachen - dat ass och bescht Praxis, awer ech wäert eist Beispill net komplizéieren.
Déi drëtt Linn snmp-Server Vue definéiert e Codenumm, deen Filialen vum snmpv3name MIB Bam spezifizéiert, sou datt se vun der snmpv3group Benotzergruppe gefrot kënne ginn. ISO, anstatt strikt eng eenzeg Branche ze definéieren, erlaabt d'snmpv3group Benotzergruppe Zougang zu all Objeten am MIB Bam vum Iwwerwaachungsobjekt.
En ähnlechen Setup fir Huawei Ausrüstung (och am CLI) gesäit esou aus:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Nodeems Dir Netzwierkgeräter opgeriicht hutt, musst Dir den Zougang vum Iwwerwaachungsserver iwwer de SNMPv3 Protokoll kontrolléieren, ech benotze snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
E méi visuellt Tool fir spezifesch OID Objekter ze froen mat MIB Dateien ass snmpget:
Loosst eis elo weidergoen fir en typescht Dateelement fir SNMPv3 opzestellen, bannent der Zabbix Schabloun. Fir Einfachheet an MIB Onofhängegkeet benotzen ech digital OIDs:
Ech benotze personaliséiert Makroen an Schlësselfelder well se d'selwecht sinn fir all Datenelementer an der Schabloun. Dir kënnt se an enger Schabloun setzen, wann all Netzwierkapparater an Ärem Netz déiselwecht SNMPv3 Parameteren hunn, oder an engem Netzknuet, wann d'SNMPv3 Parameteren fir verschidden Iwwerwaachungsobjekter anescht sinn:
Notéiert w.e.g. datt den Iwwerwaachungssystem nëmmen e Benotzernumm a Passwierder fir Authentifikatioun an Verschlësselung huet. D'Benotzergrupp an den Ëmfang vun MIB Objeten, op déi Zougang erlaabt ass, ginn um Iwwerwaachungsobjekt uginn.
Loosst eis elo weidergoen fir d'Schabloun auszefëllen.
Zabbix Ëmfro Schabloun
Eng einfach Regel wann Dir eng Ëmfro Template erstellt ass se sou detailléiert wéi méiglech ze maachen:
Ech bezuelen grouss Opmierksamkeet op Inventar fir e maachen et méi einfach mat engem grousse Reseau ze schaffen. Méi iwwer dëst e bësse méi spéit, awer fir de Moment - Trigger:
Fir d'Visualiséierung vun den Ausléiser einfach ze maachen, sinn Systemmakroen {HOST.CONN} an hiren Nimm abegraff, sou datt net nëmmen Apparat Nimm, mee och IP Adressen um Dashboard an der Alarmsektioun ugewise ginn, obwuel dëst méi eng Saach vu Komfort ass wéi Noutwennegkeet . Fir ze bestëmmen ob en Apparat net verfügbar ass, nieft der üblecher Echo Ufro, benotzen ech e Scheck fir d'Onverfügbarkeet vum Host mam SNMP Protokoll, wann den Objet iwwer ICMP zougänglech ass awer net op SNMP Ufroe reagéiert - dës Situatioun ass méiglech, zum Beispill , wann IP Adressen op verschidden Apparater duplizéiert ginn, wéinst falsch konfiguréierter Firewalls, oder falsch SNMP-Astellungen op Iwwerwaachungsobjekter. Wann Dir benotzt Host Disponibilitéit Iwwerpréiwung nëmmen iwwer ICMP, an der Zäit vun Untersuchung Tëschefäll am Netz, Iwwerwachung Daten vläicht net disponibel sinn, sou hir Empfang muss iwwerwaacht ginn.
Loosst eis weidergoen fir Netzwierkschnëttplazen z'entdecken - fir Netzwierkausrüstung ass dëst déi wichtegst Iwwerwaachungsfunktioun. Well et Honnerte vun Interfaces op engem Netzwierkapparat kënne sinn, ass et néideg déi onnéideg ze filteren fir d'Visualiséierung net ze räissen oder d'Datebank ze räissen.
Ech benotzen d'Standard SNMP Entdeckungsfunktioun, mat méi entdecktbare Parameteren, fir méi flexibel Filteren:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Mat dëser Entdeckung kënnt Dir Netzwierkschnëttplazen no hiren Typen filteren, personaliséiert Beschreiwungen an administrativ Portstatusen. Filteren a regulär Ausdréck fir ze filteren a mengem Fall kucken esou aus:
Wann festgestallt, ginn déi folgend Interfaces ausgeschloss:
- manuell behënnert (adminstatus<>1), dank IFADMINSTATUS;
- ouni Textbeschreiwung, dank IFALIAS;
- d'Symbol * an der Textbeschreiwung ze hunn, dank IFALIAS;
- déi Service oder technesch sinn, dank IFDESCR (a mengem Fall, a reguläre Ausdréck IFALIAS an IFDESCR gi vun engem reguläre Ausdrock Alias gepréift).
D'Schabloun fir Daten ze sammelen mam SNMPv3 Protokoll ass bal fäerdeg. Mir wäerten net méi am Detail iwwer d'Prototypen vun Datenelementer fir Netzwierkschnëttplazen ophalen; loosst eis op d'Resultater goen.
Resultater vun Iwwerwachung
Fir unzefänken, Inventar vun engem klengen Netzwierk:
Wann Dir Schabloune fir all Serie vu Netzwierkgeräter virbereet, kënnt Dir en einfach ze analyséieren Layout vu Resumédaten iwwer aktuell Software, Seriennummeren an Notifikatioun vun engem Botzmëttel deen op de Server kommen (wéinst niddereg Uptime). En Extrait vu menger Schabloun Lëscht ass hei ënnen:
An elo - d'Haapt Iwwerwaachungspanel, mat Trigger verdeelt duerch Schwieregkeetsniveauen:
Dank enger integréierter Approche fir Templates fir all Apparatmodell am Netz ass et méiglech ze garantéieren datt am Kader vun engem Iwwerwaachungssystem e Tool organiséiert gëtt fir Feeler an Accidenter virauszesoen (wann passend Sensoren a Metriken verfügbar sinn). Zabbix ass gutt gëeegent fir d'Iwwerwaachung vun Netzwierk-, Server- a Serviceinfrastrukturen, an d'Aufgab fir Netzwierkausrüstung z'erhalen weist kloer seng Fäegkeeten.
Lëscht vun de benotzte Quellen:1. Hucaby D. CCNP Routing a Wiessel SWITCH 300-115 Offiziell Certificat Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuratioun Guide, Cisco IOS XE Fräisetzung 3SE. Kapitel: SNMP Versioun 3.
Source: will.com