Dan l-artikolu huwa ddedikat għall-karatteristiċi tal-monitoraġġ tat-tagħmir tan-netwerk bl-użu tal-protokoll SNMPv3. Se nitkellmu dwar SNMPv3, se naqsam l-esperjenza tiegħi fil-ħolqien ta 'mudelli sħaħ f'Zabbix, u se nuri x'jista' jinkiseb meta norganizza twissija distribwita f'netwerk kbir. Il-protokoll SNMP huwa dak ewlieni meta jimmonitorja t-tagħmir tan-netwerk, u Zabbix huwa tajjeb għall-monitoraġġ ta 'numru kbir ta' oġġetti u jiġbor fil-qosor volumi kbar ta 'metriċi deħlin.
Ftit kelmiet dwar SNMPv3
Nibdew bl-iskop tal-protokoll SNMPv3 u l-karatteristiċi tal-użu tiegħu. Il-kompiti tal-SNMP huma l-monitoraġġ tal-apparat tan-netwerk u l-ġestjoni bażika billi jintbagħtu kmandi sempliċi lilhom (pereżempju, l-attivazzjoni u d-diżattivazzjoni tal-interfaces tan-netwerk, jew l-istartjar mill-ġdid tal-apparat).
Id-differenza ewlenija bejn il-protokoll SNMPv3 u l-verżjonijiet preċedenti tiegħu hija l-funzjonijiet klassiċi tas-sigurtà [1-3], jiġifieri:
- Awtentikazzjoni, li tiddetermina li t-talba waslet minn sors affidabbli;
- encryption (Encryption), biex jipprevjeni l-iżvelar ta 'data trażmessa meta interċettata minn partijiet terzi;
- integrità, jiġifieri, garanzija li l-pakkett ma ġiex imbagħbas waqt it-trażmissjoni.
SNMPv3 jimplika l-użu ta 'mudell ta' sigurtà li fih l-istrateġija ta 'awtentikazzjoni hija stabbilita għal utent partikolari u l-grupp li jappartjeni għalih (f'verżjonijiet preċedenti ta' SNMP, it-talba mis-server għall-oġġett ta 'monitoraġġ imqabbla biss "komunità", test string b'"password" trażmessa f'test ċar (test sempliċi)).
SNMPv3 jintroduċi l-kunċett ta 'livelli ta' sigurtà - livelli ta 'sigurtà aċċettabbli li jiddeterminaw il-konfigurazzjoni tat-tagħmir u l-imġieba tal-aġent SNMP tal-oġġett ta' monitoraġġ. Il-kombinazzjoni tal-mudell tas-sigurtà u l-livell tas-sigurtà tiddetermina liema mekkaniżmu tas-sigurtà jintuża meta jiġi pproċessat pakkett SNMP [4].
It-tabella tiddeskrivi kombinazzjonijiet ta' mudelli u livelli ta' sigurtà SNMPv3 (iddeċidejt li nħalli l-ewwel tliet kolonni bħal fl-oriġinal):
Għaldaqstant, se nużaw SNMPv3 fil-mod ta 'awtentikazzjoni bl-użu ta' encryption.
Konfigurazzjoni ta' SNMPv3
It-tagħmir tan-netwerk tal-monitoraġġ jeħtieġ l-istess konfigurazzjoni tal-protokoll SNMPv3 kemm fuq is-server tal-monitoraġġ kif ukoll fuq l-oġġett immonitorjat.
Nibdew bit-twaqqif ta 'apparat tan-netwerk Cisco, il-konfigurazzjoni minima meħtieġa tiegħu hija kif ġej (għall-konfigurazzjoni nużaw is-CLI, issimplifikajt l-ismijiet u l-passwords biex nevita l-konfużjoni):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included
L-ewwel linja grupp snmp-server - jiddefinixxi l-grupp ta 'utenti SNMPv3 (snmpv3group), il-mod ta' qari (qari), u d-dritt ta 'aċċess tal-grupp snmpv3group biex tara ċerti fergħat tas-siġra MIB tal-oġġett ta' monitoraġġ (snmpv3name imbagħad fil- konfigurazzjoni tispeċifika liema fergħat tas-siġra MIB il-grupp jista 'jaċċessa snmpv3group se jkun jista' jikseb aċċess).
It-tieni linja snmp-server user – jiddefinixxi l-utent snmpv3user, is-sħubija tiegħu fil-grupp snmpv3group, kif ukoll l-użu ta 'awtentikazzjoni md5 (il-password għal md5 hija md5v3v3v3) u des encryption (il-password għal des hija des56v3v3v3). Ovvjament, huwa aħjar li tuża aes minflok des; qed nagħtiha hawn biss bħala eżempju. Ukoll, meta tiddefinixxi utent, tista 'żżid lista ta' aċċess (ACL) li tirregola l-indirizzi IP ta 'servers ta' monitoraġġ li għandhom id-dritt li jimmonitorjaw dan l-apparat - din hija wkoll l-aħjar prattika, iżda mhux se nikkomplika l-eżempju tagħna.
It-tielet linja snmp-server tiddefinixxi isem tal-kodiċi li jispeċifika fergħat tas-siġra MIB snmpv3name sabiex ikunu jistgħu jiġu mistoqsija mill-grupp tal-utenti snmpv3group. L-ISO, minflok tiddefinixxi b'mod strett fergħa waħda, tippermetti lill-grupp tal-utenti snmpv3group jaċċessa l-oġġetti kollha fis-siġra MIB tal-oġġett ta 'monitoraġġ.
Setup simili għat-tagħmir Huawei (ukoll fis-CLI) tidher bħal din:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3
Wara li twaqqaf tagħmir tan-netwerk, għandek bżonn tiċċekkja għal aċċess mis-server ta 'monitoraġġ permezz tal-protokoll SNMPv3, se nuża snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Għodda aktar viżwali biex jintalbu oġġetti OID speċifiċi li jużaw fajls MIB hija snmpget:
Issa ejja ngħaddu għat-twaqqif ta' element ta' data tipiku għal SNMPv3, fi ħdan il-mudell Zabbix. Għas-sempliċità u l-indipendenza tal-MIB, nuża OIDs diġitali:
Jiena nuża macros personalizzati f'oqsma ewlenin għaliex se jkunu l-istess għall-elementi tad-dejta kollha fil-mudell. Tista' tissettjahom f'mudell, jekk l-apparati kollha tan-netwerk fin-netwerk tiegħek għandhom l-istess parametri SNMPv3, jew f'node tan-netwerk, jekk il-parametri SNMPv3 għal oġġetti ta' monitoraġġ differenti huma differenti:
Jekk jogħġbok innota li s-sistema ta 'monitoraġġ għandha biss username u passwords għall-awtentikazzjoni u l-encryption. Il-grupp ta' utenti u l-ambitu ta' oġġetti MIB li għalihom huwa permess l-aċċess huma speċifikati fuq l-oġġett ta' monitoraġġ.
Issa ejja nkomplu biex timla l-mudell.
Mudell tal-votazzjoni Zabbix
Regola sempliċi meta toħloq mudelli ta’ stħarriġ hija li tagħmilhom dettaljati kemm jista’ jkun:
Nagħti attenzjoni kbira lill-inventarju biex tagħmilha aktar faċli biex taħdem ma 'netwerk kbir. Aktar dwar dan ftit aktar tard, iżda għalissa - iqanqal:
Għal faċilità ta 'viżwalizzazzjoni ta' triggers, macros tas-sistema {HOST.CONN} huma inklużi fl-ismijiet tagħhom sabiex mhux biss l-ismijiet tat-tagħmir, iżda wkoll l-indirizzi IP jintwerew fuq id-dashboard fit-taqsima ta 'twissija, għalkemm din hija aktar kwistjoni ta' konvenjenza milli neċessità. . Biex tiddetermina jekk apparat huwiex disponibbli, minbarra t-talba eku tas-soltu, nuża kontroll għan-nuqqas ta’ disponibbiltà tal-host bl-użu tal-protokoll SNMP, meta l-oġġett ikun aċċessibbli permezz tal-ICMP iżda ma jirrispondix għal talbiet SNMP - din is-sitwazzjoni hija possibbli, pereżempju , meta l-indirizzi IP huma duplikati fuq apparati differenti, minħabba firewalls konfigurati ħażin, jew settings SNMP mhux korretti fuq oġġetti ta 'monitoraġġ. Jekk tuża l-iċċekkjar tad-disponibbiltà tal-host biss permezz tal-ICMP, fil-ħin tal-investigazzjoni tal-inċidenti fuq in-netwerk, id-dejta tal-monitoraġġ tista’ ma tkunx disponibbli, għalhekk l-irċevuta tagħhom trid tiġi mmonitorjata.
Ejja ngħaddu għall-iskoperta ta 'interfaces tan-netwerk - għat-tagħmir tan-netwerk din hija l-aktar funzjoni ta' monitoraġġ importanti. Peress li jista 'jkun hemm mijiet ta' interfaces fuq apparat tan-netwerk, huwa meħtieġ li jiġu ffiltrati dawk mhux meħtieġa sabiex ma jħajrux il-viżwalizzazzjoni jew imbarazz id-database.
Qed nuża l-funzjoni standard ta' skoperta SNMP, b'aktar parametri li jistgħu jiġu skoperti, għal filtrazzjoni aktar flessibbli:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
B'din l-iskoperta, tista 'tiffiltra l-interfaces tan-netwerk skont it-tipi tagħhom, id-deskrizzjonijiet tad-dwana, u l-istatus tal-portijiet amministrattivi. Filtri u espressjonijiet regolari għall-iffiltrar fil-każ tiegħi jidhru bħal dawn:
Jekk jinstabu, l-interfaces li ġejjin se jiġu esklużi:
- diżattivat manwalment (adminstatus<>1), grazzi għal IFADMINSTATUS;
- mingħajr deskrizzjoni test, grazzi għal IFALIAS;
- li jkollhom is-simbolu * fid-deskrizzjoni tat-test, grazzi għal IFALIAS;
- li huma ta' servizz jew tekniċi, grazzi għal IFDESCR (fil-każ tiegħi, f'espressjonijiet regolari IFALIAS u IFDESCR huma ċċekkjati minn alias ta' espressjoni regolari waħda).
Il-mudell għall-ġbir tad-dejta bl-użu tal-protokoll SNMPv3 huwa kważi lest. Mhux se noqogħdu f'aktar dettall fuq il-prototipi ta 'elementi tad-dejta għall-interfaces tan-netwerk; ejja ngħaddu għar-riżultati.
Riżultati tal-monitoraġġ
Biex tibda, agħmel inventarju ta 'netwerk żgħir:
Jekk tipprepara mudelli għal kull serje ta 'tagħmir tan-netwerk, tista' tikseb tqassim faċli biex tanalizza ta 'dejta fil-qosor dwar is-softwer attwali, in-numri tas-serje, u n-notifika ta' cleaner li jasal fuq is-server (minħabba Uptime baxx). Silta tal-lista tal-mudelli tiegħi tinsab hawn taħt:
U issa - il-pannell ewlieni ta 'monitoraġġ, bi triggers imqassma skont il-livelli ta' severità:
Bis-saħħa ta’ approċċ integrat għall-mudelli għal kull mudell ta’ apparat fin-netwerk, huwa possibbli li jiġi żgurat li, fi ħdan il-qafas ta’ sistema waħda ta’ monitoraġġ, tiġi organizzata għodda għat-tbassir tal-ħsarat u l-inċidenti (jekk ikunu disponibbli sensors u metriċi xierqa). Zabbix huwa adattat tajjeb għall-monitoraġġ tan-netwerk, is-server u l-infrastrutturi tas-servizz, u l-kompitu li jżomm it-tagħmir tan-netwerk juri biċ-ċar il-kapaċitajiet tiegħu.
Lista tas-sorsi użati:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Gwida tal-Konfigurazzjoni SNMP, Cisco IOS XE Release 3SE. Kapitolu: SNMP Verżjoni 3.
Sors: www.habr.com