Ity lahatsoratra ity dia natokana ho an'ny endri-javatra amin'ny fanaraha-maso ny fitaovan'ny tambajotra mampiasa ny protocol SNMPv3. Hiresaka momba ny SNMPv3 isika, hizara ny traikefako amin'ny famoronana môdely feno ao amin'ny Zabbix aho, ary hasehoko izay azo atao rehefa mikarakara fampitandremana mizara amin'ny tambajotra lehibe. Ny protocol SNMP no lehibe indrindra amin'ny fanaraha-maso ny fitaovan'ny tambajotra, ary ny Zabbix dia tsara amin'ny fanaraha-maso zavatra marobe ary mamintina ireo metrika miditra be dia be.
Teny vitsivitsy momba ny SNMPv3
Andeha isika hanomboka amin'ny tanjon'ny protocol SNMPv3 sy ny endri-javatra amin'ny fampiasana azy. Ny andraikitry ny SNMP dia ny manara-maso ny fitaovan'ny tambajotra sy ny fitantanana fototra amin'ny alalan'ny fandefasana baiko tsotra ho azy ireo (ohatra, mamela sy manafoana ny fifandraisana amin'ny tambajotra, na mamerina ny fitaovana).
Ny fahasamihafana lehibe eo amin'ny protocol SNMPv3 sy ny dikan-teny teo aloha dia ny fiasa fiarovana mahazatra [1-3], izany hoe:
- Authentication, izay mamaritra fa avy amina loharano azo itokisana ny fangatahana;
- encryption (Encryption), mba hisorohana ny fampahafantarana ny angona ampitaina rehefa voasambotry ny antoko fahatelo;
- ny tsy fivadihana, izany hoe antoka fa tsy voasoloky ny fonosana mandritra ny fandefasana.
Ny SNMPv3 dia midika ny fampiasana modely fiarovana izay ametrahana ny paikadin'ny fanamarinana ho an'ny mpampiasa iray sy ny vondrona misy azy (amin'ny dikan-teny SNMP teo aloha, ny fangatahana avy amin'ny mpizara mankany amin'ny zavatra fanaraha-maso raha oharina amin'ny "fiarahamonina", lahatsoratra iray. tady misy "password" ampitaina amin'ny soratra mazava (soratra tsotra)).
Ny SNMPv3 dia mampiditra ny foto-kevitry ny haavon'ny fiarovana - ny haavon'ny fiarovana azo ekena izay mamaritra ny fanamafisana ny fitaovana sy ny fitondran-tenan'ny SNMP agent amin'ny zavatra fanaraha-maso. Ny fitambaran'ny maodely fiarovana sy ny haavon'ny fiarovana no mamaritra izay rafitra fiarovana ampiasaina amin'ny fanodinana fonosana SNMP [4].
Ny latabatra dia mamaritra ny fitambaran'ny modely sy ny haavon'ny fiarovana SNMPv3 (Nanapa-kevitra ny handao ny tsanganana telo voalohany toy ny tany am-boalohany aho):
Noho izany dia hampiasa SNMPv3 amin'ny fomba fanamarinana amin'ny alàlan'ny encryption izahay.
Fametrahana SNMPv3
Ny fitaovan'ny tambajotra fanaraha-maso dia mitaky ny fanamafisam-peo mitovy amin'ny protocol SNMPv3 eo amin'ny mpizara fanaraha-maso sy ny zavatra araha-maso.
Aleo atomboka amin'ny fametrahana fitaovana tambazotra Cisco, dia toy izao manaraka izao ny configuration-ny ambany indrindra (ho an'ny configuration dia mampiasa ny CLI izahay, notsorina ny anarana sy ny tenimiafina mba hisorohana ny fisavoritahana):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedNy andalana voalohany snmp-server group - mamaritra ny vondron'ireo mpampiasa SNMPv3 (snmpv3group), ny fomba famakiana (vakio), ary ny zo fidirana amin'ny vondrona snmpv3group mba hijery ny sampana sasany amin'ny hazo MIB an'ny zavatra fanaraha-maso (snmpv3name avy eo ao amin'ny Ny konfigurasi dia mamaritra hoe iza amin'ireo sampana amin'ny hazo MIB azon'ny vondrona idirana snmpv3group dia afaka mahazo fidirana).
Ny mpampiasa snmp-server andalana faharoa - mamaritra ny mpampiasa snmpv3user, ny maha-mpikambana azy ao amin'ny vondrona snmpv3group, ary koa ny fampiasana ny fanamarinana md5 (ny tenimiafina ho an'ny md5 dia md5v3v3v3) ary ny des encryption (ny tenimiafina ho an'ny des dia des56v3v3v3). Mazava ho azy fa tsara kokoa ny mampiasa aes fa tsy des; ohatra fotsiny no omeko azy eto. Ary koa, rehefa mamaritra mpampiasa iray dia azonao atao ny manampy lisitry ny fidirana (ACL) izay mifehy ny adiresy IP an'ny mpizara mpanara-maso izay manan-jo hanara-maso an'io fitaovana io - izany koa no fanao tsara indrindra, fa tsy hanasarotra ny ohatra ataontsika aho.
Ny andalana fahatelo snmp-server view dia mamaritra anarana kaody izay mamaritra ny sampan'ny hazo MIB snmpv3name mba hahafahan'ny vondrona mpampiasa snmpv3group manontany azy ireo. ISO, fa tsy mamaritra hentitra sampana tokana, dia mamela ny vondrona mpampiasa snmpv3group hiditra amin'ny zavatra rehetra ao amin'ny hazo MIB an'ny zavatra fanaraha-maso.
Ny fanamboarana mitovy amin'ny fitaovana Huawei (ao amin'ny CLI ihany koa) dia toa izao:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Rehefa avy nanangana fitaovana tambajotra ianao dia mila manamarina ny fidirana amin'ny mpizara mpanara-maso amin'ny alàlan'ny protocol SNMPv3, hampiasa snmpwalk aho:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Ny fitaovana hita maso kokoa amin'ny fangatahana zavatra OID manokana amin'ny fampiasana rakitra MIB dia snmpget:
Andeha isika hiroso amin'ny fametrahana singa angon-drakitra mahazatra ho an'ny SNMPv3, ao anatin'ny môdely Zabbix. Ho an'ny fahatsorana sy ny fahaleovantena MIB dia mampiasa OID nomerika aho:
Mampiasa macro mahazatra amin'ny sehatra manan-danja aho satria hitovy amin'ny singa data rehetra ao amin'ny môdely. Azonao atao ny mametraka azy ireo ao anatin'ny môdely iray, raha toa ka mitovy ny mari-pamantarana SNMPv3 rehetra ao amin'ny tambajotrao, na ao anatin'ny node tambajotra, raha tsy mitovy ny mari-pamantarana SNMPv3 ho an'ny zavatra fanaraha-maso samihafa:
Mariho fa ny rafitra fanaraha-maso dia manana solonanarana sy tenimiafina ho an'ny fanamarinana sy fanafenana. Ny vondrona mpampiasa sy ny sakan'ny zavatra MIB izay avela hidirana dia voafaritra amin'ny zavatra fanaraha-maso.
Andeha isika izao hiroso amin'ny famenoana ny môdely.
Zabbix poll template
Ny fitsipika tsotra rehefa mamorona môdely fanadihadiana rehetra dia ny manao azy ireo amin'ny antsipiriany araka izay azo atao:
Mandinika tsara ny fanisana aho mba hanamora ny fiasana amina tambajotra lehibe. Bebe kokoa momba izany taty aoriana kely, fa amin'izao fotoana izao - trigger:
Ho fanamorana ny fahitana ireo trigger dia ampidirina ao amin'ny anarany ny macros system {HOST.CONN} ka tsy ny anaran'ny fitaovana ihany, fa ny adiresy IP ihany koa no aseho eo amin'ny dashboard ao amin'ny fizarana fanairana, na dia resaka fanamorana kokoa noho ny ilaina aza izany. . Mba hamaritana raha tsy misy ny fitaovana iray, ankoatra ny fangatahana echo mahazatra, dia mampiasa fanamarinana momba ny tsy fisian'ny mpampiantrano aho amin'ny fampiasana ny protocol SNMP, rehefa azo idirana amin'ny ICMP ilay zavatra nefa tsy mamaly ny fangatahana SNMP - azo atao izany toe-javatra izany, ohatra. , rehefa adika amin'ny fitaovana isan-karazany ny adiresy IP, noho ny firewall tsy voarindra, na ny firafitry ny SNMP diso amin'ny zavatra manara-maso. Raha mampiasa fanamarinana ny fisian'ny mpampiantrano amin'ny alàlan'ny ICMP ihany ianao, amin'ny fotoana anaovana fanadihadiana ny zava-nitranga tao amin'ny tambajotra, dia mety tsy ho hita ny angon-drakitra fanaraha-maso, noho izany dia tsy maintsy arahi-maso ny fandraisana azy ireo.
Andeha isika hiroso amin'ny fitadiavana ny fifandraisana amin'ny tambajotra - ho an'ny fitaovan'ny tambajotra dia ity no asa fanaraha-maso manan-danja indrindra. Koa satria mety misy fifandraisana an-jatony amin'ny fitaovana tambajotra, ilaina ny manivana ireo tsy ilaina mba tsy hanakorontanana ny sary na hanakorontana ny angon-drakitra.
Mampiasa ny asa fitadiavana SNMP mahazatra aho, miaraka amin'ny masontsivana azo jerena kokoa, ho an'ny sivana mora kokoa:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Miaraka amin'ity fahitana ity dia azonao atao ny manivana ny fifandraisan'ny tambajotra amin'ny karazany, ny famaritana manokana ary ny satan'ny seranan-tsambo. Ny sivana sy ny fomba fiteny mahazatra amin'ny sivana amin'ny tranga misy ahy dia toy izao:
Raha tsikaritra dia hesorina ireto interface ireto:
- kilemaina tanana (adminstatus<>1), noho ny IFADMINSTATUS;
- tsy misy famaritana lahatsoratra, misaotra an'i IFALIAS;
- manana ny marika * amin'ny famaritana lahatsoratra, noho ny IFALIAS;
- serivisy na ara-teknika, noho ny IFDESCR (raha ny ahy, amin'ny teny mahazatra IFALIAS sy IFDESCR dia voamarin'ny solon'anarana mahazatra iray).
Efa saika vonona ny môdely fanangonana angon-drakitra amin'ny alàlan'ny protocol SNMPv3. Tsy hiresaka amin'ny antsipiriany bebe kokoa momba ny prototypes ny singa data ho an'ny fifandraisana amin'ny tambajotra izahay; andao hiroso amin'ny valiny.
Vokatry ny fanaraha-maso
Hanombohana, alaivo lisitra ny tambajotra kely:
Raha manomana môdely ho an'ny andiam-pitaovan'ny tambajotra tsirairay ianao, dia azonao atao ny manatratra ny fisehon'ny angon-drakitra famintinana amin'izao fotoana izao, ny laharan-tariby, ary ny fampahafantarana ny mpanadio tonga ao amin'ny lohamilina (noho ny tsy fahampian'ny Uptime). Ny ampahany amin'ny lisitry ny môdely dia eto ambany:
Ary ankehitriny - ny tontonana fanaraha-maso lehibe, miaraka amin'ny trigger zaraina amin'ny haavon'ny hamafin'ny:
Noho ny fomba fiasa mitambatra amin'ny môdely ho an'ny maodely fitaovana tsirairay ao amin'ny tambajotra, azo atao ny miantoka fa ao anatin'ny rafitry ny rafitra fanaraha-maso iray dia halamina ny fitaovana haminavina ny lesoka sy ny lozam-pifamoivoizana (raha misy sensor sy metrika mety). Zabbix dia mety tsara amin'ny fanaraha-maso ny tambajotra, ny mpizara ary ny fotodrafitrasa serivisy, ary ny asan'ny fitazonana ny fitaovan'ny tambajotra dia mampiseho mazava ny fahaizany.
Lisitry ny loharano ampiasaina:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuration Guide, Cisco IOS XE Release 3SE. Toko: SNMP Version 3.
Source: www.habr.com