هي آرٽيڪل SNMPv3 پروٽوڪول استعمال ڪندي نيٽ ورڪ سامان جي نگراني جي خاصيتن لاء وقف آهي. اسان SNMPv3 جي باري ۾ ڳالهائينداسين، آئون زبڪس ۾ مڪمل ٽيمپليٽ ٺاهڻ ۾ پنهنجو تجربو شيئر ڪندس، ۽ مان ڏيکاريندس ته ڇا حاصل ڪري سگهجي ٿو جڏهن هڪ وڏي نيٽ ورڪ ۾ ورهايل خبرداري کي منظم ڪيو وڃي. SNMP پروٽوڪول بنيادي هڪ آهي جڏهن نيٽ ورڪ سامان جي نگراني ڪندو آهي، ۽ زيبڪس وڏي تعداد ۾ شين جي نگراني ڪرڻ ۽ ايندڙ ميٽرڪ جي وڏي مقدار کي اختصار ڪرڻ لاء بهترين آهي.
SNMPv3 بابت ڪجھ لفظ
اچو ته SNMPv3 پروٽوڪول جي مقصد ۽ ان جي استعمال جي خاصيتن سان شروع ڪريون. SNMP جا ڪم نيٽ ورڪ ڊوائيسز ۽ بنيادي انتظام جي نگراني ڪري رهيا آهن انهن ڏانهن سادي حڪم موڪلڻ سان (مثال طور، نيٽ ورڪ انٽرفيس کي فعال ۽ غير فعال ڪرڻ، يا ڊوائيس کي ريبوٽ ڪرڻ).
SNMPv3 پروٽوڪول ۽ ان جي پوئين ورزن جي وچ ۾ بنيادي فرق کلاسک سيڪيورٽي افعال آهي [1-3]، يعني:
- تصديق، جيڪو طئي ڪري ٿو ته درخواست هڪ قابل اعتماد ذريعن کان ملي هئي؛
- انڪريپشن (انڪريپشن)، منتقل ٿيل ڊيٽا جي ظاهر ٿيڻ کي روڪڻ لاء جڏهن ٽئين پارٽين طرفان مداخلت ڪئي وئي؛
- سالميت، اهو آهي، هڪ گارنٽي آهي ته پيڪٽ کي ٽرانسميشن دوران خراب نه ڪيو ويو آهي.
SNMPv3 هڪ سيڪيورٽي ماڊل جي استعمال جو مطلب آهي جنهن ۾ تصديق جي حڪمت عملي مقرر ڪئي وئي آهي ڏنل صارف ۽ گروپ لاءِ جنهن سان هو تعلق رکي ٿو (SNMP جي پوئين ورزن ۾، سرور کان نگراني اعتراض جي درخواست صرف ”ڪميونٽي“ جي مقابلي ۾، هڪ متن "پاسورڊ" سان اسٽرنگ صاف متن ۾ منتقل ڪيو ويو (سادو متن)).
SNMPv3 سيڪيورٽي سطحن جو تصور متعارف ڪرايو - قابل قبول سيڪيورٽي سطح جيڪي سامان جي ترتيب ۽ نگراني اعتراض جي SNMP ايجنٽ جي رويي جو تعين ڪن ٿا. سيڪيورٽي ماڊل ۽ سيڪيورٽي سطح جو ميلاپ اهو طئي ڪري ٿو ته ڪهڙو سيڪيورٽي ميڪانيزم استعمال ڪيو ويندو آهي جڏهن هڪ SNMP پيڪٽ کي پروسيس ڪندي [4].
جدول ماڊلز ۽ SNMPv3 سيڪيورٽي ليولز جا مجموعا بيان ڪري ٿو (مون فيصلو ڪيو ته پھرين ٽن ڪالمن کي ڇڏي ڏيو جيئن اصل ۾):
ان جي مطابق، اسان استعمال ڪنداسين SNMPv3 انڪريشن استعمال ڪندي تصديق واري موڊ ۾.
ترتيب ڏيڻ SNMPv3
مانيٽرنگ نيٽ ورڪ سامان ٻنهي مانيٽرنگ سرور ۽ مانيٽر ٿيل اعتراض تي SNMPv3 پروٽوڪول جي ساڳي ترتيب جي ضرورت آهي.
اچو ته شروع ڪريون هڪ Cisco نيٽ ورڪ ڊيوائس کي ترتيب ڏيڻ سان، ان جي گهٽ ۾ گهٽ گهربل تشڪيل هن ريت آهي (ترتيب لاءِ اسان CLI استعمال ڪندا آهيون، مون مونجهاري کان بچڻ لاءِ نالا ۽ پاسورڊ کي آسان ڪيو):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedپهرين لائن snmp-server گروپ - SNMPv3 استعمال ڪندڙن جي گروپ جي وضاحت ڪري ٿو (snmpv3group)، پڙھڻ جو طريقو (پڙھڻ)، ۽ snmpv3group گروپ جي رسائي جو حق مانيٽرنگ اعتراض جي MIB وڻ جي ڪجھ شاخن کي ڏسڻ لاءِ (snmpv3name پوءِ ۾. configuration وضاحت ڪري ٿي ته MIB وڻ جون ڪهڙيون شاخون گروپ تائين رسائي ڪري سگھن ٿيون snmpv3group رسائي حاصل ڪرڻ جي قابل هوندو).
سيڪنڊ لائين snmp-server استعمال ڪندڙ - استعمال ڪندڙ snmpv3user جي وضاحت ڪري ٿو، snmpv3group گروپ ۾ سندس رڪنيت، انهي سان گڏ md5 جي تصديق جو استعمال (md5 لاءِ پاسورڊ md5v3v3v3 آهي) ۽ ڊيس انڪرپشن (ڊس لاءِ پاسورڊ des56v3v3v3 آهي). يقينن، اهو بهتر آهي ته des جي بدران aes استعمال ڪريو؛ مان هتي صرف هڪ مثال طور ڏئي رهيو آهيان. انهي سان گڏ، هڪ صارف جي وضاحت ڪرڻ وقت، توهان هڪ رسائي لسٽ (ACL) شامل ڪري سگهو ٿا جيڪو نگراني سرورز جي IP پتي کي منظم ڪري ٿو جيڪو هن ڊوائيس جي نگراني ڪرڻ جو حق آهي - اهو پڻ بهترين عمل آهي، پر مان اسان جي مثال کي پيچيده نه ڪندس.
ٽين لائين snmp-server view هڪ ڪوڊ جو نالو بيان ڪري ٿو جيڪو snmpv3name MIB وڻ جي شاخن کي بيان ڪري ٿو ته جيئن اهي snmpv3group استعمال ڪندڙ گروپ کان پڇي سگهجن. ISO، ھڪڙي شاخ کي سختي سان بيان ڪرڻ جي بدران، snmpv3group صارف گروپ کي سڀني شين تائين رسائي جي اجازت ڏئي ٿو مانيٽرنگ اعتراض جي MIB وڻ ۾.
Huawei سامان لاءِ ساڳيو سيٽ اپ (پڻ CLI ۾) هن طرح نظر اچي ٿو:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3نيٽ ورڪ ڊوائيسز کي ترتيب ڏيڻ کان پوء، توهان کي SNMPv3 پروٽوڪول ذريعي مانيٽرنگ سرور کان رسائي جي جانچ ڪرڻ جي ضرورت آهي، مان استعمال ڪندس snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB فائلن کي استعمال ڪندي مخصوص OID شين جي درخواست ڪرڻ لاءِ هڪ وڌيڪ بصري اوزار آهي snmpget:
ھاڻي اچو ته ھڪڙي عام ڊيٽا عنصر کي ترتيب ڏيو SNMPv3 لاءِ، Zabbix ٽيمپليٽ جي اندر. سادگي ۽ MIB جي آزادي لاءِ، مان استعمال ڪريان ٿو ڊجيٽل OIDs:
مان مکيه فيلڊز ۾ ڪسٽم ميڪرو استعمال ڪريان ٿو ڇاڪاڻ ته اهي ٽيمپليٽ ۾ سڀني ڊيٽا عناصر لاءِ ساڳيا هوندا. توھان انھن کي ھڪڙي ٽيمپليٽ جي اندر سيٽ ڪري سگھو ٿا، جيڪڏھن توھان جي نيٽ ورڪ ۾ سڀ نيٽ ورڪ ڊوائيسز ساڳيا SNMPv3 پيٽرولر آھن، يا ھڪڙي نيٽ ورڪ نوڊ اندر، جيڪڏھن SNMPv3 پيٽرولر مختلف مانيٽرنگ شين لاءِ مختلف آھن:
مهرباني ڪري نوٽ ڪريو ته مانيٽرنگ سسٽم ۾ صرف هڪ صارف جو نالو ۽ پاس ورڊ آهن تصديق ۽ انڪرپشن لاءِ. صارف گروپ ۽ MIB شين جو دائرو جنهن تائين رسائي جي اجازت ڏني وئي آهي مانيٽرنگ اعتراض تي بيان ڪيو ويو آهي.
ھاڻي اچو ته ٽيمپليٽ ڀرڻ ڏانھن.
Zabbix پول ٽيمپليٽ
هڪ سادي قاعدو جڏهن ڪنهن به سروي ٽيمپليٽس ٺاهي انهن کي ممڪن طور تي تفصيلي بڻائڻ آهي:
مان وڏين نيٽ ورڪ سان ڪم ڪرڻ کي آسان بڻائڻ لاءِ انوینٽري تي تمام گهڻو ڌيان ڏيان ٿو. هن تي وڌيڪ ٿوري دير کان پوء، پر هاڻي لاء - ٽارگيٽ:
ٽريگرز کي ڏسڻ جي آسانيءَ لاءِ، سسٽم ميڪرو {HOST.CONN} انهن جي نالن ۾ شامل ڪيا ويا آهن ته جيئن خبرداري واري حصي ۾ ڊيش بورڊ تي نه رڳو ڊيوائس جا نالا، پر IP پتا به ڏيکاريا وڃن، جيتوڻيڪ اهو ضروري کان وڌيڪ سهولت جو معاملو آهي. . اهو طئي ڪرڻ لاءِ ته ڇا هڪ ڊوائيس دستياب ناهي، عام گونج جي درخواست کان علاوه، مان SNMP پروٽوڪول استعمال ڪندي ميزبان جي غير موجودگيءَ لاءِ چيڪ استعمال ڪندو آهيان، جڏهن اعتراض ICMP ذريعي پهچندو آهي پر SNMP جي درخواستن جو جواب نه ڏيندو آهي - اها صورتحال ممڪن آهي، مثال طور ، جڏهن IP پتا مختلف ڊوائيسز تي نقل ڪيا ويا آهن، غلط ترتيب ڏنل فائر والز جي ڪري، يا نگراني جي شين تي غلط SNMP سيٽنگون. جيڪڏهن توهان صرف ICMP ذريعي ميزبان جي دستيابي جي چڪاس استعمال ڪندا آهيو، نيٽ ورڪ تي واقعن جي تحقيقات جي وقت، نگراني ڊيٽا دستياب نه ٿي سگهي ٿي، تنهنڪري انهن جي رسيد جي نگراني ٿيڻ گهرجي.
اچو ته نيٽ ورڪ انٽرفيس کي ڳولڻ لاء اڳتي وڌون - نيٽورڪ سامان لاء هي سڀ کان اهم مانيٽرنگ فنڪشن آهي. جيئن ته نيٽ ورڪ ڊيوائس تي سوين انٽرفيس ٿي سگھن ٿا، ان ڪري ضروري آھي ته غير ضروري کي فلٽر ڪيو وڃي ته جيئن بصري کي بي ترتيبي يا ڊيٽابيس کي بي ترتيب نه ڪري.
مان وڌيڪ لچڪدار فلٽرنگ لاءِ معياري SNMP دريافت فنڪشن استعمال ڪري رهيو آهيان، وڌيڪ دريافت ڪرڻ جي قابل پيرا ميٽرن سان:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
هن دريافت سان، توهان فلٽر ڪري سگهو ٿا نيٽ ورڪ انٽرفيس انهن جي قسمن، ڪسٽم وضاحتن، ۽ انتظامي بندرگاهن جي حالتن سان. منهنجي صورت ۾ فلٽر ڪرڻ لاءِ فلٽر ۽ باقاعده اظهار هن طرح نظر اچن ٿا:
جيڪڏھن معلوم ٿئي ٿو، ھيٺين انٽرفيس کي خارج ڪيو ويندو:
- دستي طور تي معذور (ايڊمنسٽريٽس<>1)، IFADMINSTATUS جي مهرباني؛
- بغير ڪنهن متن جي وضاحت، IFALIAS جي مهرباني؛
- متن جي وضاحت ۾ علامت * هجڻ، IFALIAS جي مهرباني؛
- جيڪي خدمت يا ٽيڪنيڪل آهن، IFDESCR جي مهرباني (منهنجي صورت ۾، ريگولر ايڪسپريس ۾ IFALIAS ۽ IFDESCR هڪ ريگولر ايڪسپريس عرف ذريعي چيڪ ڪيا ويا آهن).
SNMPv3 پروٽوڪول استعمال ڪندي ڊيٽا گڏ ڪرڻ لاءِ ٽيمپليٽ لڳ ڀڳ تيار آهي. اسان نيٽ ورڪ انٽرفيس لاءِ ڊيٽا عناصر جي پروٽوٽائپس تي وڌيڪ تفصيل سان نه رهنداسين؛ اچو ته نتيجن ڏانهن وڃو.
نگراني جا نتيجا
شروع ڪرڻ سان، ھڪڙي ننڍڙي نيٽ ورڪ جي فهرست وٺو:
جيڪڏهن توهان نيٽ ورڪ ڊوائيسز جي هر سيريز لاءِ ٽيمپليٽس تيار ڪريو ٿا، توهان حاصل ڪري سگهو ٿا هڪ آسان-تجزيي-تجزيي واري ترتيب کي موجوده سافٽ ويئر تي سمري ڊيٽا، سيريل نمبرز، ۽ سرور تي اچڻ واري ڪلينر جي نوٽيفڪيشن (گهٽ اپ ٽائم جي ڪري). منهنجي ٽيمپليٽ لسٽ جو هڪ اقتباس هيٺ ڏنل آهي:
۽ ھاڻي - مکيه مانيٽرنگ پينل، ٽريگرز سان ورهايل شدت جي سطحن سان:
نيٽ ورڪ ۾ هر ڊوائيس ماڊل لاء ٽيمپليٽس لاء هڪ مربوط طريقي جي مهرباني، اهو يقيني بڻائڻ ممڪن آهي ته، هڪ نگراني سسٽم جي فريم ورڪ جي اندر، غلطي ۽ حادثن جي اڳڪٿي ڪرڻ لاء هڪ اوزار منظم ڪيو ويندو (جيڪڏهن مناسب سينسر ۽ ميٽرڪ موجود آهن). زبڪس نيٽ ورڪ، سرور، ۽ سروس انفراسٽرڪچر جي نگراني لاءِ مناسب آهي، ۽ نيٽورڪ سامان کي برقرار رکڻ جو ڪم واضح طور تي ان جي صلاحيتن کي ظاهر ڪري ٿو.
استعمال ٿيل ذريعن جي فهرست:1. Hucaby D. CCNP روٽنگ ۽ سوئچنگ SWITCH 300-115 سرڪاري سرٽيفڪيٽ گائيڊ. سسڪو پريس، 2014. پي پي. 325-329.
2. آر ايف سي 3410.
3. آر ايف سي 3415.
4. SNMP ڪنفيگريشن گائيڊ، سسڪو IOS XE رليز 3SE. باب: SNMP نسخو 3.
جو ذريعو: www.habr.com