Энэ нийтлэл нь SNMPv3 протоколыг ашиглан сүлжээний тоног төхөөрөмжийг хянах онцлог шинж чанаруудад зориулагдсан болно. Бид SNMPv3-ийн талаар ярих болно, би Zabbix-д бүрэн хэмжээний загвар бий болгох туршлагаа хуваалцах болно, мөн том сүлжээнд тархсан сэрэмжлүүлэг зохион байгуулахад юу хүрч болохыг харуулах болно. SNMP протокол нь сүлжээний төхөөрөмжийг хянах гол протокол бөгөөд Zabbix нь олон тооны объектыг хянах, ирж буй хэмжигдэхүүнийг нэгтгэн дүгнэхэд тохиромжтой.
SNMPv3-ийн тухай хэдэн үг
SNMPv3 протоколын зорилго, түүний хэрэглээний онцлогоос эхэлье. SNMP-ийн даалгавар бол сүлжээний төхөөрөмжүүдийг хянах, тэдгээрт энгийн командуудыг илгээх (жишээлбэл, сүлжээний интерфэйсийг идэвхжүүлэх, идэвхгүй болгох, төхөөрөмжийг дахин ачаалах) үндсэн удирдлага юм.
SNMPv3 протокол болон түүний өмнөх хувилбаруудын гол ялгаа нь аюулгүй байдлын сонгодог функцууд юм [1-3], тухайлбал:
- Хүсэлтийг итгэмжлэгдсэн эх сурвалжаас хүлээн авсан эсэхийг тодорхойлох баталгаажуулалт;
- шифрлэлт (Шифрлэлт), гуравдагч этгээдэд саад болох үед дамжуулагдсан өгөгдлийг задруулахаас урьдчилан сэргийлэх;
- бүрэн бүтэн байдал, өөрөөр хэлбэл, дамжуулалтын явцад пакетыг хөндөөгүй гэсэн баталгаа.
SNMPv3 нь тухайн хэрэглэгч болон түүний харьяалагддаг бүлэгт зориулсан баталгаажуулалтын стратегийг тохируулсан аюулгүй байдлын загварыг ашиглахыг хэлнэ (SNMP-ийн өмнөх хувилбаруудад серверээс хяналтын объект руу илгээсэн хүсэлтийг зөвхөн "олон нийтийн", тексттэй харьцуулсан. тодорхой текстээр дамжуулсан "нууц үг" бүхий мөр (энгийн текст).
SNMPv3 нь аюулгүй байдлын түвшний ойлголтыг танилцуулж байна - төхөөрөмжийн тохиргоо, хяналтын объектын SNMP агентын зан төлөвийг тодорхойлдог аюулгүй байдлын зөвшөөрөгдөх түвшин. Хамгаалалтын загвар болон аюулгүй байдлын түвшний хослол нь SNMP пакетыг боловсруулахад ямар хамгаалалтын механизмыг ашиглахыг тодорхойлдог [4].
Хүснэгтэд загварууд болон SNMPv3 аюулгүй байдлын түвшингүүдийн хослолыг тайлбарласан (би эхний гурван баганыг эх хувилбар шиг нь үлдээхээр шийдсэн):
Үүний дагуу бид SNMPv3-ийг шифрлэлт ашиглан баталгаажуулах горимд ашиглах болно.
SNMPv3-г тохируулж байна
Сүлжээний төхөөрөмжийг хянах нь хяналтын сервер болон хянаж буй объектын аль алинд нь SNMPv3 протоколын ижил тохиргоог шаарддаг.
Cisco сүлжээний төхөөрөмжийг тохируулахаас эхэлцгээе, түүний хамгийн бага шаардлагатай тохиргоо нь дараах байдалтай байна (тохируулгын хувьд бид CLI ашигладаг, би эндүүрэл гаргахгүйн тулд нэр, нууц үгийг хялбаршуулсан):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedЭхний мөрөнд snmp-server бүлэг - SNMPv3 хэрэглэгчдийн бүлэг (snmpv3group), унших горим (унших), snmpv3group бүлгийн хяналтын объектын MIB модны тодорхой салбаруудыг (snmpv3name, дараа нь тохиргоо нь тухайн бүлэг MIB модны аль салбаруудад хандах боломжтойг snmpv3group-д хандах боломжтойг зааж өгнө).
Хоёрдахь эгнээний snmp-серверийн хэрэглэгч нь snmpv3user хэрэглэгч, түүний snmpv3group бүлгийн гишүүнчлэл, түүнчлэн md5 нэвтрэлт танилт (md5-ийн нууц үг нь md5v3v3v3) болон des шифрлэлтийн (des56v3v3v3-д зориулсан нууц үг) ашиглахыг тодорхойлдог. Мэдээжийн хэрэг, des-ийн оронд aes ашиглах нь дээр, би энд жишээ болгон өгч байна. Түүнчлэн, хэрэглэгчийг тодорхойлохдоо та энэ төхөөрөмжийг хянах эрхтэй хяналтын серверүүдийн IP хаягийг зохицуулдаг хандалтын жагсаалт (ACL) нэмж болно - энэ нь бас хамгийн сайн туршлага боловч би бидний жишээг хүндрүүлэхгүй.
Гурав дахь мөрийн snmp-серверийн харагдац нь snmpv3name MIB модны салбаруудыг зааж өгөх кодын нэрийг тодорхойлдог бөгөөд ингэснээр snmpv3group хэрэглэгчийн бүлгээс асууж болно. ISO нь нэг салбарыг хатуу тодорхойлохын оронд snmpv3group хэрэглэгчийн бүлэгт хяналтын объектын MIB модны бүх объектод хандах боломжийг олгодог.
Huawei төхөөрөмжийн ижил төстэй тохиргоо (мөн CLI-д) дараах байдалтай байна.
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Сүлжээний төхөөрөмжүүдийг тохируулсны дараа та SNMPv3 протоколоор дамжуулан хяналтын серверээс хандалтыг шалгах хэрэгтэй, би snmpwalk ашиглах болно:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB файлуудыг ашиглан тодорхой OID объектуудыг хүсэх илүү харааны хэрэгсэл бол snmpget юм:
Одоо Zabbix загвар дотор SNMPv3-д зориулсан ердийн өгөгдлийн элементийг тохируулах руу шилжье. Энгийн байдал, MIB-ийн бие даасан байдлын үүднээс би дижитал OID ашигладаг:
Загвар дээрх бүх өгөгдлийн элементүүдийн хувьд ижил байх тул би гол талбаруудад захиалгат макро ашигладаг. Хэрэв таны сүлжээнд байгаа бүх сүлжээний төхөөрөмжүүд ижил SNMPv3 параметртэй бол эсвэл өөр өөр хяналтын объектуудын SNMPv3 параметрүүд өөр бол сүлжээний зангилаа дотор тэдгээрийг загвар дотор тохируулж болно.
Хяналтын систем нь зөвхөн баталгаажуулалт, шифрлэлтийн хэрэглэгчийн нэр, нууц үгтэй болохыг анхаарна уу. Хандалт хийх боломжтой хэрэглэгчийн бүлэг болон MIB объектуудын хамрах хүрээг хяналтын объект дээр зааж өгсөн болно.
Одоо загварыг бөглөхдөө шилжье.
Zabbix санал асуулгын загвар
Судалгааны загвар үүсгэх энгийн дүрэм бол тэдгээрийг аль болох нарийвчлан гаргах явдал юм.
Том сүлжээтэй ажиллахад хялбар болгохын тулд би бараа материалд ихээхэн анхаарал хандуулдаг. Энэ талаар хэсэг хугацааны дараа дэлгэрэнгүй, гэхдээ одоохондоо - өдөөгч:
Триггерийг дүрслэн харуулахад хялбар болгох үүднээс системийн макро {HOST.CONN}-ыг нэрэнд нь оруулсан бөгөөд ингэснээр зөвхөн төхөөрөмжийн нэр төдийгүй IP хаягийг хяналтын самбар дээр анхааруулах хэсэгт харуулах болно. . Төхөөрөмжийг ашиглах боломжгүй эсэхийг тодорхойлохын тулд ердийн цуурай хүсэлтээс гадна объект ICMP-ээр дамжуулан хандах боломжтой боловч SNMP хүсэлтэд хариу өгөхгүй байх үед би SNMP протоколыг ашиглан хостын боломжгүй эсэхийг шалгадаг - ийм нөхцөл байдал, жишээ нь. , буруу тохируулсан галт хана, эсвэл хяналтын объект дээрх буруу SNMP тохиргоо зэргээс шалтгаалан өөр өөр төхөөрөмж дээр IP хаяг давхардсан үед. Хэрэв та зөвхөн ICMP-ээр дамжуулан хостын бэлэн байдлын шалгалтыг ашигладаг бол сүлжээнд тохиолдсон тохиолдлыг судлах үед хяналтын өгөгдөл байхгүй байж болзошгүй тул тэдгээрийн хүлээн авалтыг хянах шаардлагатай.
Сүлжээний интерфейсийг илрүүлэх рүү шилжье - сүлжээний төхөөрөмжийн хувьд энэ нь хамгийн чухал хяналтын функц юм. Сүлжээний төхөөрөмж дээр хэдэн зуун интерфэйс байж болох тул дүрслэлийг эмх замбараагүй болгох, мэдээллийн санг эмх замбараагүй болгохгүйн тулд шаардлагагүйг нь шүүж авах шаардлагатай.
Би илүү уян хатан шүүлтүүр хийхийн тулд илүү илрэх боломжтой параметр бүхий стандарт SNMP илрүүлэх функцийг ашиглаж байна:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Энэхүү нээлтийн тусламжтайгаар та сүлжээний интерфэйсийг төрөл, захиалгат тайлбар, удирдлагын портын статусаар шүүж болно. Миний хэрэг дээр шүүлт хийх шүүлтүүр ба ердийн илэрхийллүүд дараах байдалтай байна.
Илэрсэн тохиолдолд дараах интерфэйсүүдийг хасна:
- гараар идэвхгүй болгосон (adminstatus<>1), IFADMINSTATUS-ийн ачаар;
- текстийн тайлбаргүйгээр IFALIAS-ийн ачаар;
- IFALIAS-ын ачаар текстийн тайлбарт * тэмдэгтэй байх;
- Эдгээр нь IFDESCR-ийн ачаар үйлчилгээний болон техникийн шинж чанартай байдаг (миний хувьд ердийн илэрхийлэлд IFALIAS болон IFDESCR нь нэг тогтмол илэрхийллийн өөр нэрээр шалгагдсан байдаг).
SNMPv3 протоколыг ашиглан өгөгдөл цуглуулах загвар бараг бэлэн болсон. Бид сүлжээний интерфэйсүүдийн өгөгдлийн элементүүдийн загваруудын талаар илүү дэлгэрэнгүй ярихгүй бөгөөд үр дүн рүү шилжье.
Хяналтын үр дүн
Эхлэхийн тулд жижиг сүлжээний тооллого хий:
Хэрэв та сүлжээний төхөөрөмж бүрийн загваруудыг бэлдэж байгаа бол одоогийн програм хангамж, серийн дугаар, серверт ирж буй цэвэрлэгчийн мэдэгдлийн хураангуй мэдээлэлд дүн шинжилгээ хийхэд хялбар байх боломжтой (ажиллах хугацаа бага тул). Миний загваруудын жагсаалтын хэсэг доор байна.
Одоо - гол хяналтын самбар, ноцтой байдлын түвшингээр хуваарилагдсан өдөөгчтэй:
Сүлжээнд байгаа төхөөрөмжийн загвар бүрийн загварт нэгдсэн арга барилын ачаар нэг хяналтын системийн хүрээнд гэмтэл, ослыг урьдчилан таамаглах хэрэгслийг (хэрэв зохих мэдрэгч, хэмжүүр байгаа бол) зохион байгуулах боломжтой болно. Zabbix нь сүлжээ, сервер, үйлчилгээний дэд бүтцийг хянахад тохиромжтой бөгөөд сүлжээний тоног төхөөрөмжийг засварлах ажил нь түүний чадварыг тодорхой харуулж байна.
Ашигласан эх сурвалжуудын жагсаалт:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 албан ёсны гэрчилгээний гарын авлага. Cisco Press, 2014. х. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP тохиргооны гарын авлага, Cisco IOS XE Release 3SE. Бүлэг: SNMP хувилбар 3.
Эх сурвалж: www.habr.com