Acest articol este dedicat caracteristicilor de monitorizare a echipamentelor de rețea folosind protocolul SNMPv3. Vom vorbi despre SNMPv3, voi împărtăși experiența mea în crearea de șabloane cu drepturi depline în Zabbix și voi arăta ce se poate realiza atunci când organizez alerte distribuite într-o rețea mare. Protocolul SNMP este principalul la monitorizarea echipamentelor de rețea, iar Zabbix este excelent pentru monitorizarea unui număr mare de obiecte și rezumarea unor volume mari de metrici primite.
Câteva cuvinte despre SNMPv3
Să începem cu scopul protocolului SNMPv3 și caracteristicile utilizării acestuia. Sarcinile SNMP sunt monitorizarea dispozitivelor de rețea și managementul de bază, trimițându-le comenzi simple (de exemplu, activarea și dezactivarea interfețelor de rețea sau repornirea dispozitivului).
Principala diferență dintre protocolul SNMPv3 și versiunile sale anterioare sunt funcțiile clasice de securitate [1-3], și anume:
- Autentificare, care determină că cererea a fost primită de la o sursă de încredere;
- criptare (criptare), pentru a preveni dezvăluirea datelor transmise atunci când sunt interceptate de terți;
- integritate, adică o garanție că pachetul nu a fost manipulat în timpul transmiterii.
SNMPv3 presupune utilizarea unui model de securitate în care strategia de autentificare este setată pentru un anumit utilizator și grupul din care face parte (în versiunile anterioare de SNMP, cererea de la server către obiectul de monitorizare compara doar „comunitate”, un text șir cu o „parolă” transmisă în text clar (text simplu)).
SNMPv3 introduce conceptul de niveluri de securitate - niveluri de securitate acceptabile care determină configurația echipamentului și comportamentul agentului SNMP al obiectului de monitorizare. Combinația dintre modelul de securitate și nivelul de securitate determină ce mecanism de securitate este utilizat la procesarea unui pachet SNMP [4].
Tabelul descrie combinații de modele și niveluri de securitate SNMPv3 (am decis să las primele trei coloane ca în original):
În consecință, vom folosi SNMPv3 în modul de autentificare folosind criptare.
Configurarea SNMPv3
Monitorizarea echipamentelor de rețea necesită aceeași configurație a protocolului SNMPv3 atât pe serverul de monitorizare, cât și pe obiectul monitorizat.
Să începem cu configurarea unui dispozitiv de rețea Cisco, configurația minimă necesară este următoarea (pentru configurare folosim CLI, am simplificat numele și parolele pentru a evita confuzia):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPrima linie snmp-server group – definește grupul de utilizatori SNMPv3 (snmpv3group), modul de citire (citire) și dreptul de acces al grupului snmpv3group pentru a vizualiza anumite ramuri ale arborelui MIB al obiectului de monitorizare (snmpv3name apoi în configurația specifică ce ramuri ale arborelui MIB le poate accesa grupul snmpv3group va putea obține acces).
A doua linie utilizator snmp-server – definește utilizatorul snmpv3user, apartenența acestuia la grupul snmpv3group, precum și utilizarea autentificarea md5 (parola pentru md5 este md5v3v3v3) și criptarea des (parola pentru des este des56v3v3v3). Desigur, este mai bine să folosiți aes în loc de des; îl dau aici doar ca exemplu. De asemenea, atunci când definiți un utilizator, puteți adăuga o listă de acces (ACL) care reglementează adresele IP ale serverelor de monitorizare care au dreptul de a monitoriza acest dispozitiv - aceasta este și cea mai bună practică, dar nu voi complica exemplul nostru.
A treia linie de vizualizare snmp-server definește un nume de cod care specifică ramuri ale arborelui MIB snmpv3name, astfel încât acestea să poată fi interogate de grupul de utilizatori snmpv3group. ISO, în loc să definească strict o singură ramură, permite grupului de utilizatori snmpv3group să acceseze toate obiectele din arborele MIB al obiectului de monitorizare.
O configurație similară pentru echipamentele Huawei (și în CLI) arată astfel:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3După configurarea dispozitivelor de rețea, trebuie să verificați accesul de la serverul de monitorizare prin protocolul SNMPv3, voi folosi snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Un instrument mai vizual pentru a solicita anumite obiecte OID folosind fișiere MIB este snmpget:
Acum să trecem la configurarea unui element de date tipic pentru SNMPv3, în șablonul Zabbix. Pentru simplitate și independență MIB, folosesc OID-uri digitale:
Folosesc macrocomenzi personalizate în câmpurile cheie, deoarece acestea vor fi aceleași pentru toate elementele de date din șablon. Le puteți seta într-un șablon, dacă toate dispozitivele de rețea din rețeaua dvs. au aceiași parametri SNMPv3 sau într-un nod de rețea, dacă parametrii SNMPv3 pentru diferite obiecte de monitorizare sunt diferiți:
Vă rugăm să rețineți că sistemul de monitorizare are doar un nume de utilizator și parole pentru autentificare și criptare. Grupul de utilizatori și domeniul de aplicare al obiectelor MIB la care este permis accesul sunt specificate pe obiectul de monitorizare.
Acum să trecem la completarea șablonului.
Șablon de sondaj Zabbix
O regulă simplă atunci când creați șabloane de sondaj este să le faceți cât mai detaliate posibil:
Acord o mare atenție inventarului pentru a facilita lucrul cu o rețea mare. Mai multe despre asta puțin mai târziu, dar pentru moment – declanșează:
Pentru a ușura vizualizarea declanșatorilor, macrocomenzile de sistem {HOST.CONN} sunt incluse în numele lor, astfel încât nu numai numele dispozitivelor, ci și adresele IP să fie afișate pe tabloul de bord în secțiunea de alerte, deși aceasta este mai mult o chestiune de comoditate decât de necesitate. . Pentru a determina dacă un dispozitiv este indisponibil, pe lângă cererea de eco obișnuită, folosesc o verificare a indisponibilității gazdei folosind protocolul SNMP, când obiectul este accesibil prin ICMP, dar nu răspunde la solicitările SNMP - această situație este posibilă, de exemplu , când adresele IP sunt duplicate pe diferite dispozitive, din cauza firewall-urilor configurate incorect sau a setărilor SNMP incorecte pe obiectele de monitorizare. Dacă utilizați verificarea disponibilității gazdei doar prin ICMP, în momentul investigării incidentelor din rețea, este posibil ca datele de monitorizare să nu fie disponibile, deci primirea acestora trebuie monitorizată.
Să trecem la detectarea interfețelor de rețea - pentru echipamentele de rețea aceasta este cea mai importantă funcție de monitorizare. Deoarece pot exista sute de interfețe pe un dispozitiv de rețea, este necesar să le filtrați pe cele inutile pentru a nu aglomera vizualizarea sau baza de date.
Folosesc funcția standard de descoperire SNMP, cu mai mulți parametri descoperibili, pentru o filtrare mai flexibilă:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Cu această descoperire, puteți filtra interfețele de rețea după tipuri, descrieri personalizate și stări ale porturilor administrative. Filtrele și expresiile regulate pentru filtrare în cazul meu arată astfel:
Dacă sunt detectate, următoarele interfețe vor fi excluse:
- dezactivat manual (adminstatus<>1), datorită IFADMINSTATUS;
- fără descriere text, mulțumiri IFALIAS;
- având simbolul * în descrierea textului, datorită IFALIAS;
- care sunt de serviciu sau tehnice, datorită IFDESCR (în cazul meu, în expresiile regulate IFALIAS și IFDESCR sunt verificate de un alias de expresie regulată).
Șablonul pentru colectarea datelor folosind protocolul SNMPv3 este aproape gata. Nu ne vom opri mai detaliat asupra prototipurilor de elemente de date pentru interfețele de rețea; să trecem la rezultate.
Rezultatele monitorizării
Pentru început, faceți inventarul unei rețele mici:
Dacă pregătiți șabloane pentru fiecare serie de dispozitive de rețea, puteți obține un aspect ușor de analizat al datelor rezumative despre software-ul curent, numerele de serie și notificarea unui agent de curățare care vine pe server (datorită timpului de funcționare scăzut). Un extras din lista mea de șabloane este mai jos:
Și acum - panoul principal de monitorizare, cu declanșatoare distribuite pe niveluri de severitate:
Datorită unei abordări integrate a șabloanelor pentru fiecare model de dispozitiv din rețea, este posibil să se asigure că, în cadrul unui singur sistem de monitorizare, va fi organizat un instrument de predicție a defecțiunilor și a accidentelor (dacă sunt disponibili senzori și metrici corespunzătoare). Zabbix este foarte potrivit pentru monitorizarea infrastructurilor de rețea, server și servicii, iar sarcina de întreținere a echipamentelor de rețea demonstrează în mod clar capacitățile sale.
Lista surselor folosite:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Ghid de configurare SNMP, Cisco IOS XE Release 3SE. Capitolul: SNMP Versiunea 3.
Sursa: www.habr.com