Tīkla aprīkojuma pārraudzība, izmantojot SNMPv3 programmā Zabbix

Šis raksts ir veltīts tīkla iekārtu uzraudzības funkcijām, izmantojot SNMPv3 protokolu. Mēs runāsim par SNMPv3, es dalīšos pieredzē, veidojot pilnvērtīgas veidnes Zabbix, un es parādīšu, ko var sasniegt, organizējot izplatītus brīdinājumus lielā tīklā. SNMP protokols ir galvenais, uzraugot tīkla aprīkojumu, un Zabbix ir lieliski piemērots liela skaita objektu uzraudzībai un liela apjoma ienākošo metrikas apkopošanai.

Daži vārdi par SNMPv3

Sāksim ar SNMPv3 protokola mērķi un tā lietošanas iezīmēm. SNMP uzdevumi ir tīkla ierīču uzraudzība un pamata pārvaldība, nosūtot tām vienkāršas komandas (piemēram, tīkla saskarņu iespējošana un atspējošana vai ierīces pārstartēšana).

Galvenā atšķirība starp SNMPv3 protokolu un tā iepriekšējām versijām ir klasiskās drošības funkcijas [1-3], proti:

• Autentifikācija, kas nosaka, ka pieprasījums saņemts no uzticama avota;
• šifrēšana (šifrēšana), lai novērstu pārsūtīto datu izpaušanu, kad tos pārtver trešās personas;
• integritāte, tas ir, garantija, ka pārsūtīšanas laikā pakete nav bojāta.

SNMPv3 nozīmē drošības modeļa izmantošanu, kurā autentifikācijas stratēģija ir iestatīta konkrētam lietotājam un grupai, kurai viņš pieder (iepriekšējās SNMP versijās pieprasījums no servera uzraudzības objektam tika salīdzināts tikai ar “kopienu”, teksts virkne ar “paroli”, kas pārraidīta skaidrā tekstā (vienkāršā tekstā)).

SNMPv3 ievieš drošības līmeņu jēdzienu - pieņemamus drošības līmeņus, kas nosaka aprīkojuma konfigurāciju un uzraudzības objekta SNMP aģenta uzvedību. Drošības modeļa un drošības līmeņa kombinācija nosaka, kurš drošības mehānisms tiek izmantots, apstrādājot SNMP paketi [4].

Tabulā ir aprakstītas modeļu un SNMPv3 drošības līmeņu kombinācijas (es nolēmu atstāt pirmās trīs kolonnas kā oriģinālā):

Attiecīgi mēs izmantosim SNMPv3 autentifikācijas režīmā, izmantojot šifrēšanu.

SNMPv3 konfigurēšana

Tīkla aprīkojuma pārraudzībai ir nepieciešama viena un tā pati SNMPv3 protokola konfigurācija gan pārraudzības serverī, gan uzraudzītajā objektā.

Sāksim ar Cisco tīkla ierīces iestatīšanu, tās minimālā nepieciešamā konfigurācija ir šāda (konfigurācijai mēs izmantojam CLI, nosaukumus un paroles es vienkāršoju, lai izvairītos no neskaidrībām):

snmp-server group snmpv3group v3 priv read snmpv3name 
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included

Pirmā rinda snmp-server group – definē SNMPv3 lietotāju grupu (snmpv3group), lasīšanas režīmu (lasīšanas) un snmpv3group grupas piekļuves tiesības, lai skatītu noteiktas pārraudzības objekta MIB koka filiāles (snmpv3name, tad konfigurācija norāda, kuriem MIB koka zariem grupa var piekļūt, snmpv3group varēs piekļūt).

Otrā rinda snmp-server user – definē lietotāju snmpv3user, viņa piederību snmpv3group grupai, kā arī md5 autentifikācijas (md5 parole ir md5v3v3v3) un des šifrēšanas izmantošanu (des parole ir des56v3v3v3). Protams, labāk ir izmantot aes, nevis des; es to sniedzu tikai kā piemēru. Tāpat, definējot lietotāju, varat pievienot piekļuves sarakstu (ACL), kas regulē IP adreses pārraudzības serveriem, kuriem ir tiesības uzraudzīt šo ierīci – arī tā ir labākā prakse, taču es nesarežģīšu mūsu piemēru.

Trešās rindas snmp-servera skats definē koda nosaukumu, kas norāda koka snmpv3name MIB filiāles, lai snmpv3group lietotāju grupa varētu tos vaicāt. ISO tā vietā, lai stingri noteiktu vienu atzaru, ļauj snmpv3group lietotāju grupai piekļūt visiem objektiem monitoringa objekta MIB kokā.

Līdzīga Huawei aprīkojuma iestatīšana (arī CLI) izskatās šādi:

snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5 
            md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
            des56v3v3v3

Pēc tīkla ierīču iestatīšanas jums jāpārbauda piekļuve no uzraudzības servera, izmantojot SNMPv3 protokolu, es izmantošu snmpwalk:

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

Vizuālāks rīks konkrētu OID objektu pieprasīšanai, izmantojot MIB failus, ir snmpget:

Tagad pāriesim pie tipiska datu elementa iestatīšanas SNMPv3 Zabbix veidnē. Vienkāršības un MIB neatkarības labad es izmantoju digitālos OID:

Es izmantoju pielāgotus makro galvenajos laukos, jo tie būs vienādi visiem datu elementiem veidnē. Varat tos iestatīt veidnē, ja visām tīkla ierīcēm jūsu tīklā ir vienādi SNMPv3 parametri, vai tīkla mezglā, ja SNMPv3 parametri dažādiem uzraudzības objektiem atšķiras:

Lūdzu, ņemiet vērā, ka uzraudzības sistēmai ir tikai lietotājvārds un paroles autentifikācijai un šifrēšanai. Uzraudzības objektā ir norādīta lietotāju grupa un MIB objektu apjoms, kuriem ir atļauta piekļuve.
Tagad pāriesim pie veidnes aizpildīšanas.

Zabbix aptaujas veidne

Vienkāršs noteikums, veidojot aptaujas veidnes, ir padarīt tās pēc iespējas detalizētākas.

Lielu uzmanību pievēršu inventāram, lai būtu vieglāk strādāt ar lielu tīklu. Vairāk par to nedaudz vēlāk, bet pagaidām - trigeri:

Lai atvieglotu trigeru vizualizāciju, sistēmas makro {HOST.CONN} ir iekļauti to nosaukumos, lai informācijas paneļa brīdinājumu sadaļā tiktu parādīti ne tikai ierīču nosaukumi, bet arī IP adreses, lai gan tas ir vairāk ērtības, nevis nepieciešamības jautājums. . Lai noteiktu, vai ierīce nav pieejama, papildus parastajam atbalss pieprasījumam es izmantoju resursdatora nepieejamības pārbaudi, izmantojot SNMP protokolu, kad objekts ir pieejams, izmantojot ICMP, bet nereaģē uz SNMP pieprasījumiem - šāda situācija ir iespējama, piemēram, , kad IP adreses tiek dublētas dažādās ierīcēs nepareizi konfigurētu ugunsmūru vai nepareizu uzraudzības objektu SNMP iestatījumu dēļ. Ja izmantojat resursdatora pieejamības pārbaudi, tikai izmantojot ICMP, tīkla incidentu izmeklēšanas laikā uzraudzības dati var nebūt pieejami, tāpēc to saņemšana ir jāuzrauga.

Pāriesim pie tīkla saskarņu noteikšanas - tīkla iekārtām šī ir vissvarīgākā uzraudzības funkcija. Tā kā tīkla ierīcē var būt simtiem saskarņu, ir nepieciešams izfiltrēt nevajadzīgās, lai netiktu pārblīvēta vizualizācija un netiktu pārblīvēta datubāze.

Es izmantoju standarta SNMP atklāšanas funkciju ar vairāk atklājamiem parametriem elastīgākai filtrēšanai:

discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]

Izmantojot šo atklājumu, varat filtrēt tīkla saskarnes pēc to veidiem, pielāgotajiem aprakstiem un administratīvo portu statusiem. Filtri un regulārās izteiksmes filtrēšanai manā gadījumā izskatās šādi:

Ja tiks atklātas, šādas saskarnes tiks izslēgtas:

• manuāli atspējots (adminstatus<>1), pateicoties IFADMINSTATUS;
• bez teksta apraksta, pateicoties IFALIAS;
• ar simbolu * teksta aprakstā, pateicoties IFALIAS;
• kas ir servisa vai tehniski, pateicoties IFDESCR (manā gadījumā regulārajās izteiksmēs IFALIAS un IFDESCR tiek pārbaudīts ar vienu regulārās izteiksmes aizstājvārdu).

Veidne datu vākšanai, izmantojot SNMPv3 protokolu, ir gandrīz gatava. Mēs nekavēsimies sīkāk pie tīkla saskarņu datu elementu prototipiem; pāriesim pie rezultātiem.

Monitoringa rezultāti

Vispirms veiciet neliela tīkla inventarizāciju:

Ja sagatavojat veidnes katrai tīkla ierīču sērijai, varat iegūt viegli analizējamu pašreizējās programmatūras kopsavilkuma datu izkārtojumu, sērijas numurus un paziņojumus par tīrītāja ienākšanu serverī (zemā darbspējas laika dēļ). Tālāk ir sniegts mana veidņu saraksta fragments:

Un tagad - galvenais uzraudzības panelis ar aktivizētājiem, kas sadalīti pēc smaguma pakāpes:

Pateicoties integrētai pieejai veidnēm katram tīkla ierīces modelim, ir iespējams nodrošināt, ka vienas uzraudzības sistēmas ietvaros tiks organizēts rīks kļūdu un avāriju prognozēšanai (ja ir pieejami atbilstoši sensori un metrika). Zabbix ir labi piemērots tīklu, serveru un pakalpojumu infrastruktūras uzraudzībai, un tīkla aprīkojuma uzturēšanas uzdevums skaidri parāda tā iespējas.

Izmantoto avotu saraksts:1. Hucaby D. CCNP maršrutēšanas un komutācijas SWITCH 300-115 Oficiālā sertifikāta rokasgrāmata. Cisco Press, 2014. lpp. 325-329.
2. RFC 3410. tools.ietf.org/html/rfc3410
3. RFC 3415. tools.ietf.org/html/rfc3415
4. SNMP konfigurācijas rokasgrāmata, Cisco IOS XE Release 3SE. Nodaļa: SNMP 3. versija. www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html

Avots: www.habr.com