دا مقاله د SNMPv3 پروتوکول په کارولو سره د شبکې تجهیزاتو څارنې ځانګړتیاو ته وقف شوې ده. موږ به د SNMPv3 په اړه وغږیږو، زه به په زبیبکس کې د بشپړ ټیمپلیټونو په جوړولو کې خپله تجربه شریکه کړم، او زه به وښیم چې په لوی شبکه کې د توزیع شوي خبرتیا تنظیم کولو په وخت کې څه ترلاسه کیدی شي. د SNMP پروتوکول اصلي دی کله چې د شبکې تجهیزات نظارت کوي، او زیبکس د لوی شمیر شیانو نظارت کولو او د راتلونکو میټریکونو لوی مقدار لنډیز کولو لپاره خورا ښه دی.
د SNMPv3 په اړه یو څو خبرې
راځئ چې د SNMPv3 پروتوکول هدف او د هغې کارولو ځانګړتیاو سره پیل وکړو. د SNMP دندې د شبکې وسیلو او بنسټیز مدیریت څارل دي چې دوی ته د ساده کمانډونو په لیږلو سره (د مثال په توګه د شبکې انٹرفیس فعالول او غیر فعال کول، یا د وسیلې ریبوټ کول).
د SNMPv3 پروتوکول او د دې پخوانیو نسخو تر مینځ اصلي توپیر د کلاسیک امنیت دندې دي [1-3]، یعنې:
- تصدیق، کوم چې دا ټاکي چې غوښتنه د باوري سرچینې څخه ترلاسه شوې؛
- کوډ کول (انکرپشن)، د لیږد شوي معلوماتو د افشا کیدو مخنیوي لپاره کله چې د دریمې ډلې لخوا مداخله کیږي؛
- بشپړتیا، دا یو تضمین دی چې کڅوړه د لیږد په وخت کې نه ده خرابه شوې.
SNMPv3 د امنیت ماډل کارول معنی لري په کوم کې چې د تصدیق کولو ستراتیژي د ورکړل شوي کارونکي او هغه ډلې لپاره ټاکل شوې چې هغه ورسره تړاو لري (د SNMP په تیرو نسخو کې ، د سرور څخه د څارنې څیز ته غوښتنه یوازې د "ټولنې" په پرتله ، متن د "پاسورډ" سره تار په روښانه متن کې لیږدول شوی (ساده متن)).
SNMPv3 د امنیت کچې مفهوم معرفي کوي - د منلو وړ امنیت کچه چې د تجهیزاتو ترتیب او د څارنې څیز د SNMP اجنټ چلند ټاکي. د امنیت ماډل او امنیت کچې ترکیب ټاکي چې کوم امنیت میکانیزم کارول کیږي کله چې د SNMP کڅوړه پروسس کوي [4].
جدول د ماډلونو ترکیبونه او د SNMPv3 امنیت کچې بیانوي (ما پریکړه وکړه چې لومړی درې کالمونه د اصلي په څیر پریږدم):
په دې اساس، موږ به د کوډ کولو په کارولو سره د تصدیق کولو حالت کې SNMPv3 وکاروو.
د SNMPv3 ترتیب کول
د څارنې شبکې تجهیزات د څارنې سرور او څارل شوي اعتراض دواړو کې د SNMPv3 پروتوکول ورته ترتیب ته اړتیا لري.
راځئ چې د سیسکو شبکې وسیلې تنظیم کولو سره پیل وکړو ، د دې لږترلږه اړین ترتیب په لاندې ډول دی (د ترتیب لپاره موږ CLI کاروو ، ما د ګډوډۍ مخنیوي لپاره نومونه او پاسورډونه ساده کړل):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedلومړۍ کرښه snmp-server ګروپ - د SNMPv3 کاروونکو ګروپ تعریفوي (snmpv3group)، د لوستلو حالت (لوستل)، او د snmpv3group ګروپ د لاسرسي حق د څارنې څیز (snmpv3name بیا د څارنې څیز) د MIB ونې ځینې څانګې لیدلو لپاره. تشکیلات مشخص کوي چې د MIB ونې کومې څانګې ته لاسرسی کولی شي snmpv3group ته لاسرسی ومومي).
دویمه کرښه snmp-server کارن - د کارونکي snmpv3user تعریفوي، د snmpv3 ګروپ ګروپ کې د هغه غړیتوب، او همدارنګه د md5 تصدیق کارول (د md5 لپاره پاسورډ md5v3v3v3 دی) او des encryption (د ډیس لپاره پاسورډ des56v3v3 دی). البته، دا غوره ده چې د des پرځای aes وکاروئ؛ زه یې دلته د مثال په توګه وړاندې کوم. همچنان ، کله چې یو کارن تعریف کړئ ، تاسو کولی شئ د لاسرسي لیست (ACL) اضافه کړئ چې د نظارت سرورونو IP پتې تنظیموي چې د دې وسیلې نظارت کولو حق لري - دا هم غوره عمل دی ، مګر زه به زموږ مثال پیچلی نه کړم.
د دریمې کرښې snmp-سرور لید د کوډ نوم تعریفوي چې د snmpv3name MIB ونې څانګې مشخصوي ترڅو دوی د snmpv3 ګروپ کارونکي ګروپ لخوا وپوښتل شي. ISO، د دې پرځای چې په کلکه د یوې څانګې تعریف کړي، د snmpv3 ګروپ کارونکي ګروپ ته اجازه ورکوي چې د څارنې څیز د MIB ونې کې ټولو شیانو ته لاسرسی ومومي.
د Huawei تجهیزاتو لپاره ورته ترتیب (هم په CLI کې) داسې ښکاري:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3د شبکې وسیلو تنظیم کولو وروسته ، تاسو اړتیا لرئ د SNMPv3 پروتوکول له لارې د نظارت سرور څخه لاسرسي چیک کړئ ، زه به snmpwalk وکاروم:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
د MIB فایلونو په کارولو سره د ځانګړي OID شیانو غوښتنه کولو لپاره یو ډیر بصری وسیله snmpget دی:
اوس راځئ چې د SNMPv3 لپاره د زبیبکس ټیمپلیټ کې د ځانګړي ډیټا عنصر تنظیم کولو ته لاړ شو. د سادگي او MIB خپلواکۍ لپاره، زه ډیجیټل OIDs کاروم:
زه په کلیدي برخو کې دودیز میکرو کاروم ځکه چې دوی به په ټیمپلیټ کې د ټولو ډیټا عناصرو لپاره ورته وي. تاسو کولی شئ دوی په یوه ټیمپلیټ کې تنظیم کړئ، که ستاسو په شبکه کې ټول شبکې وسایل ورته SNMPv3 پیرامیټونه ولري، یا د شبکې نوډ کې، که د مختلف څارنې شیانو لپاره د SNMPv3 پیرامیټونه توپیر ولري:
مهرباني وکړئ په یاد ولرئ چې د څارنې سیسټم یوازې د تصدیق او کوډ کولو لپاره کارن نوم او پاسورډونه لري. د کارونکي ګروپ او د MIB شیانو ساحه چې د لاسرسي اجازه لري د څارنې څیز کې مشخص شوي.
اوس راځئ چې د ټیمپلیټ ډکولو ته لاړ شو.
د زبیکس ټولپوښتنې ټیمپلیټ
یو ساده قاعده کله چې د سروې ټیمپلیټونه رامینځته کول دا دي چې دوی د امکان تر حده توضیحي کړي:
زه لیست ته ډیره پاملرنه کوم ترڅو د لوی شبکې سره کار کول اسانه کړم. په دې اړه نور لږ وروسته، مګر د اوس لپاره - محرک:
د محرکاتو د لیدلو اسانتیا لپاره، د سیسټم میکرو {HOST.CONN} په نومونو کې شامل شوي ترڅو نه یوازې د وسیلې نومونه، بلکې IP پتې هم د خبرتیا برخه کې په ډشبورډ کې ښکاره شي، که څه هم دا د اړتیا په پرتله د اسانتیا خبره ده. . د دې لپاره چې معلومه کړي چې ایا وسیله شتون نلري، د معمول ایکو غوښتنې سربیره، زه د SNMP پروتوکول په کارولو سره د کوربه نشتوالي لپاره چک کاروم، کله چې اعتراض د ICMP له لارې د لاسرسي وړ وي مګر د SNMP غوښتنو ته ځواب نه ورکوي - دا وضعیت ممکن دی، د بیلګې په توګه ، کله چې IP پتې په مختلف وسیلو کې نقل شوي وي ، د غلط تنظیم شوي فایروالونو له امله ، یا د څارنې څیزونو کې د غلط SNMP تنظیماتو له امله. که تاسو د کوربه شتون چیک کول یوازې د ICMP له لارې کاروئ، په شبکه کې د پیښو د څیړلو په وخت کې، د څارنې ډاټا شتون نلري، نو د دوی رسید باید وڅیړل شي.
راځئ چې د شبکې انٹرفیس کشف کولو ته لاړ شو - د شبکې تجهیزاتو لپاره دا د څارنې خورا مهم فعالیت دی. څرنګه چې ممکن د شبکې په وسیله کې په سلګونو انٹرفیسونه شتون ولري، نو دا اړینه ده چې غیر ضروري فلټر کړئ ترڅو لید ګډوډ نشي یا ډیټابیس ګډوډ نشي.
زه د نور انعطاف وړ فلټر کولو لپاره د نور کشف وړ پیرامیټونو سره د معیاري SNMP کشف فنکشن کاروم:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
د دې موندنې سره، تاسو کولی شئ د شبکې انٹرفیس د دوی ډولونو، دودیز توضیحاتو، او اداري بندر حالتونو له مخې فلټر کړئ. زما په قضیه کې د فلټر کولو لپاره فلټرونه او منظم څرګندونې داسې ښکاري:
که وموندل شي، لاندې انٹرفیسونه به خارج شي:
- په لاسي ډول معیوب شوی (ادارې<>1)، د IFADMINSTATUS څخه مننه؛
- د متن توضیح پرته، د IFALIAS څخه مننه؛
- د متن په تفصیل کې د سمبول * درلودل، د IFALIAS څخه مننه؛
- کوم چې خدمت یا تخنیکي دي، د IFDESCR څخه مننه (زما په قضیه کې، په منظم بیان کې IFALIAS او IFDESCR د یو منظم بیان عرف لخوا چک کیږي).
د SNMPv3 پروتوکول په کارولو سره د معلوماتو راټولولو ټیمپلیټ نږدې چمتو دی. موږ به د شبکې انٹرفیسونو لپاره د ډیټا عناصرو پروټوټایپونو په اړه نور توضیحات ونه ګورو؛ راځئ چې پایلو ته لاړ شو.
د څارنې پایلې
د پیل کولو لپاره، د یوې کوچنۍ شبکې لیست واخلئ:
که تاسو د شبکې وسیلو هرې لړۍ لپاره ټیمپلیټونه چمتو کړئ ، تاسو کولی شئ په اوسني سافټویر کې د لنډیز ډیټا لنډیز تحلیل ترتیب ترلاسه کړئ ، سیریل نمبرونه ، او سرور ته د کلینر راتلو خبرتیا (د ټیټ وخت وخت له امله). زما د ټیمپلیټ لیست یوه اقتباس لاندې دی:
او اوس - د څارنې اصلي پینل، د محرکاتو سره چې د شدت کچې لخوا ویشل شوي:
په شبکه کې د هرې وسیلې ماډل لپاره ټیمپلیټونو ته د مدغم چلند څخه مننه ، دا ممکنه ده چې ډاډ ترلاسه شي چې د نظارت سیسټم په چوکاټ کې به د غلطیو او حادثو وړاندوینې لپاره یوه وسیله تنظیم شي (که مناسب سینسرونه او میټریکونه شتون ولري). زیبکس د شبکې، سرور او خدماتو زیربناوو د څارنې لپاره مناسب دی، او د شبکې تجهیزاتو ساتلو دنده په روښانه توګه د هغې وړتیاوې څرګندوي.
د کارول شویو سرچینو لیست:1. Hucaby D. د CCNP روټینګ او سویچنګ سویچ 300-115 رسمي سند لارښود. سیسکو پریس، 2014. مخ. 325-329.
2. RFC 3410.
3. RFC 3415.
4. د SNMP ترتیب کولو لارښود، د سیسکو IOS XE ریلیز 3SE. څپرکی: د SNMP نسخه 3.
سرچینه: www.habr.com