මෙම ලිපිය SNMPv3 ප්රොටෝකෝලය භාවිතයෙන් ජාල උපකරණ නිරීක්ෂණය කිරීමේ විශේෂාංග සඳහා කැප කර ඇත. අපි SNMPv3 ගැන කතා කරන්නෙමු, මම Zabbix හි සම්පූර්ණ සැකිලි නිර්මාණය කිරීමේ මගේ අත්දැකීම් බෙදා ගන්නෙමි, විශාල ජාලයක් තුළ බෙදා හරින ලද අනතුරු ඇඟවීම් සංවිධානය කිරීමේදී ලබා ගත හැකි දේ මම පෙන්වන්නම්. ජාල උපකරණ අධීක්ෂණය කිරීමේදී SNMP ප්රොටෝකෝලය ප්රධාන එකක් වන අතර, විශාල වස්තු සංඛ්යාවක් නිරීක්ෂණය කිරීමට සහ ලැබෙන ප්රමිතික විශාල ප්රමාණයක් සාරාංශ කිරීමට Zabbix විශිෂ්ටයි.
SNMPv3 ගැන වචන කිහිපයක්
SNMPv3 ප්රොටෝකෝලයේ අරමුණ සහ එහි භාවිතයේ විශේෂාංග සමඟ ආරම්භ කරමු. SNMP හි කර්තව්ය වන්නේ ජාල උපාංග සහ මූලික කළමනාකරණය ඒවාට සරල විධාන යැවීමෙන් අධීක්ෂණය කිරීමයි (උදාහරණයක් ලෙස, ජාල අතුරුමුහුණත් සක්රීය කිරීම සහ අක්රිය කිරීම, හෝ උපාංගය නැවත ආරම්භ කිරීම).
SNMPv3 ප්රොටෝකෝලය සහ එහි පෙර අනුවාද අතර ඇති ප්රධාන වෙනස වන්නේ සම්භාව්ය ආරක්ෂක කාර්යයන් [1-3], එනම්:
- ඉල්ලීම විශ්වාසදායක මූලාශ්රයකින් ලැබුණු බව තීරණය කරන සත්යාපනය;
- ගුප්තකේතනය (එන්ක්රිප්ෂන්), තෙවන පාර්ශවයන් විසින් බාධා කරන විට සම්ප්රේෂණය කරන ලද දත්ත අනාවරණය කිරීම වැළැක්වීම සඳහා;
- අඛණ්ඩතාව, එනම් සම්ප්රේෂණය අතරතුර පැකට්ටුව විකෘති වී නොමැති බවට සහතිකයක්.
SNMPv3 යනු ලබා දී ඇති පරිශීලකයෙකු සහ ඔහු අයත් වන කණ්ඩායම සඳහා සත්යාපන උපාය මාර්ගයක් සකසා ඇති ආරක්ෂක ආකෘතියක් භාවිතා කිරීම අදහස් කරයි (SNMP හි පෙර අනුවාද වල, සේවාදායකයෙන් අධීක්ෂණ වස්තුව වෙත ඉල්ලීම “ප්රජාව” පමණක් සංසන්දනය කරයි, පෙළ පැහැදිලි පෙළ (සරල පෙළ) සම්ප්රේෂණය "මුරපදය" සහිත තන්තුව.
SNMPv3 ආරක්ෂක මට්ටම් සංකල්පය හඳුන්වා දෙයි - උපකරණවල වින්යාසය සහ අධීක්ෂණ වස්තුවේ SNMP නියෝජිතයාගේ හැසිරීම තීරණය කරන පිළිගත හැකි ආරක්ෂක මට්ටම්. SNMP පැකට්ටුවක් සැකසීමේදී භාවිතා කරන්නේ කුමන ආරක්ෂක යාන්ත්රණයද යන්න ආරක්ෂක මාදිලියේ සහ ආරක්ෂක මට්ටමේ සංයෝජනය තීරණය කරයි [4].
වගුව ආකෘති සහ SNMPv3 ආරක්ෂක මට්ටම් වල සංයෝජන විස්තර කරයි (මුල් තීරු තුනෙහි මුල් තීරුවේ මෙන් තැබීමට මම තීරණය කළෙමි):
ඒ අනුව, අපි සංකේතනය භාවිතයෙන් සත්යාපන ප්රකාරයේදී SNMPv3 භාවිතා කරන්නෙමු.
SNMPv3 වින්යාස කිරීම
අධීක්ෂණ ජාල උපකරණ සඳහා SNMPv3 ප්රොටෝකෝලයේ එකම වින්යාසය අධීක්ෂණ සේවාදායකයේ සහ අධීක්ෂණය කරන ලද වස්තුවේ අවශ්ය වේ.
අපි Cisco ජාල උපාංගයක් සැකසීමෙන් පටන් ගනිමු, එහි අවම අවශ්ය වින්යාසය පහත පරිදි වේ (වින්යාස කිරීම සඳහා අපි CLI භාවිතා කරමු, ව්යාකූලත්වය වළක්වා ගැනීම සඳහා මම නම් සහ මුරපද සරල කළෙමි):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedපළමු පේළිය snmp-සේවාදායක කණ්ඩායම - SNMPv3 පරිශීලකයින් කණ්ඩායම (snmpv3group), කියවීමේ මාදිලිය (කියවීම) සහ අධීක්ෂණ වස්තුවේ MIB ගසෙහි ඇතැම් ශාඛා බැලීම සඳහා snmpv3group සමූහයේ ප්රවේශ අයිතිය නිර්වචනය කරයි (snmpv3name පසුව වින්යාසය මඟින් සමූහයට snmpv3group වෙත ප්රවේශ විය හැකි MIB ගසේ කුමන ශාඛා ප්රවේශය ලබා ගත හැකිද යන්න සඳහන් කරයි).
දෙවන පේළිය snmp-සේවාදායක පරිශීලකයා - පරිශීලක snmpv3user, snmpv3group සමූහයේ ඔහුගේ සාමාජිකත්වය, මෙන්ම md5 සත්යාපනය (md5 සඳහා මුරපදය md5v3v3v3) සහ des සංකේතනය (des සඳහා මුරපදය des56v3v3v3) අර්ථ දක්වයි. ඇත්ත වශයෙන්ම, des වෙනුවට aes භාවිතා කිරීම වඩා හොඳය; මම එය මෙහි උදාහරණයක් ලෙස දෙන්නෙමි. එසේම, පරිශීලකයෙකු නිර්වචනය කිරීමේදී, ඔබට මෙම උපාංගය නිරීක්ෂණය කිරීමට අයිතිය ඇති අධීක්ෂණ සේවාදායකයන්ගේ IP ලිපින නියාමනය කරන ප්රවේශ ලැයිස්තුවක් (ACL) එකතු කළ හැකිය - මෙයද හොඳම භාවිතයකි, නමුත් මම අපගේ උදාහරණය සංකීර්ණ නොකරමි.
තුන්වන පේළියේ snmp-සේවාදායක දර්ශනය snmpv3name MIB ගසෙහි ශාඛා නියම කරන කේත නාමයක් නිර්වචනය කරයි, එවිට ඒවා snmpv3group පරිශීලක කණ්ඩායමට විමසිය හැක. ISO, තනි ශාඛාවක් දැඩි ලෙස අර්ථ දැක්වීම වෙනුවට, නිරීක්ෂණ වස්තුවේ MIB ගසෙහි ඇති සියලුම වස්තූන් වෙත ප්රවේශ වීමට snmpv3group පරිශීලක කණ්ඩායමට ඉඩ සලසයි.
Huawei උපකරණ සඳහා සමාන සැකසුම (CLI හි ද) මෙසේ පෙනේ:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3ජාල උපාංග සැකසීමෙන් පසු, ඔබ SNMPv3 ප්රොටෝකෝලය හරහා අධීක්ෂණ සේවාදායකයෙන් ප්රවේශය සඳහා පරීක්ෂා කළ යුතුය, මම snmpwalk භාවිතා කරමි:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB ගොනු භාවිතයෙන් නිශ්චිත OID වස්තු ඉල්ලා සිටීම සඳහා වඩාත් දෘශ්ය මෙවලමක් වන්නේ snmpget වේ:
දැන් අපි Zabbix අච්චුව තුළ SNMPv3 සඳහා සාමාන්ය දත්ත මූලද්රව්යයක් සැකසීමට යමු. සරල බව සහ MIB ස්වාධීනත්වය සඳහා, මම ඩිජිටල් OID භාවිතා කරමි:
මම ප්රධාන ක්ෂේත්රවල අභිරුචි මැක්රෝ භාවිතා කරන්නේ ඒවා අච්චුවේ ඇති සියලුම දත්ත මූලද්රව්ය සඳහා සමාන වන බැවිනි. ඔබේ ජාලයේ ඇති සියලුම ජාල උපාංග එකම SNMPv3 පරාමිති තිබේ නම්, හෝ ජාල නෝඩයක් තුළ, විවිධ අධීක්ෂණ වස්තු සඳහා SNMPv3 පරාමිති වෙනස් නම්, ඔබට ඒවා අච්චුවක් තුළ සැකසිය හැක:
අධීක්ෂණ පද්ධතියට ඇත්තේ සත්යාපනය සහ සංකේතනය සඳහා පරිශීලක නාමයක් සහ මුරපද පමණක් බව කරුණාවෙන් සලකන්න. පරිශීලක කණ්ඩායම සහ ප්රවේශයට අවසර දී ඇති MIB වස්තු විෂය පථය අධීක්ෂණ වස්තුවේ දක්වා ඇත.
දැන් අපි අච්චුව පිරවීමට යමු.
Zabbix ඡන්ද අච්චුව
ඕනෑම සමීක්ෂණ සැකිලි නිර්මාණය කිරීමේදී සරල රීතියක් වන්නේ ඒවා හැකි තරම් සවිස්තරාත්මක කිරීමයි:
විශාල ජාලයක් සමඟ වැඩ කිරීම පහසු කිරීම සඳහා මම ඉන්වෙන්ටරි කෙරෙහි විශාල අවධානයක් යොමු කරමි. මේ ගැන වැඩි විස්තර ටිකක් පසුව, නමුත් දැනට - ප්රේරක:
ප්රේරක දෘශ්යකරණයේ පහසුව සඳහා, පද්ධති මැක්රෝ {HOST.CONN} ඔවුන්ගේ නම්වලට ඇතුළත් කර ඇති අතර එමඟින් උපාංග නම් පමණක් නොව, IP ලිපින ද අනතුරු ඇඟවීමේ කොටසේ උපකරණ පුවරුවේ දර්ශනය වේ, නමුත් මෙය අවශ්යතාවයට වඩා පහසුවකි. . උපාංගයක් නොමැතිද යන්න තීරණය කිරීම සඳහා, සාමාන්ය echo ඉල්ලීමට අමතරව, වස්තුව ICMP හරහා ප්රවේශ විය හැකි නමුත් SNMP ඉල්ලීම් වලට ප්රතිචාර නොදක්වන විට, SNMP ප්රොටෝකෝලය භාවිතයෙන් ධාරක නොමැතිකම සඳහා මම චෙක්පතක් භාවිතා කරමි - උදාහරණයක් ලෙස, මෙම තත්වය හැකි ය. , වැරදි ලෙස වින්යාස කර ඇති ෆයර්වෝල් හෝ නිරීක්ෂණ වස්තු මත වැරදි SNMP සිටුවම් හේතුවෙන්, විවිධ උපාංග මත IP ලිපින අනුපිටපත් කරන විට. ඔබ ICMP හරහා පමණක් සත්කාරක ලබා ගැනීමේ පරීක්ෂාව භාවිතා කරන්නේ නම්, ජාලයේ සිද්ධීන් විමර්ශනය කරන අවස්ථාවේ දී, අධීක්ෂණ දත්ත නොතිබිය හැකිය, එබැවින් ඔවුන්ගේ රිසිට්පත නිරීක්ෂණය කළ යුතුය.
අපි ජාල අතුරුමුහුණත් හඳුනා ගැනීමට ඉදිරියට යමු - ජාල උපකරණ සඳහා මෙය වඩාත්ම වැදගත් අධීක්ෂණ කාර්යය වේ. ජාල උපාංගයක අතුරුමුහුණත් සිය ගණනක් තිබිය හැකි බැවින්, දෘශ්යකරණය අවුල් නොකිරීමට හෝ දත්ත සමුදාය අවුල් නොකිරීමට අනවශ්ය ඒවා පෙරීම අවශ්ය වේ.
මම වඩාත් නම්යශීලී පෙරහන සඳහා වඩාත් සොයා ගත හැකි පරාමිති සමඟ සම්මත SNMP සොයාගැනීමේ ශ්රිතය භාවිතා කරමි:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
මෙම සොයාගැනීමත් සමඟ, ඔබට ජාල අතුරුමුහුණත් ඒවායේ වර්ග, අභිරුචි විස්තර සහ පරිපාලන වරාය තත්ත්වයන් අනුව පෙරීමට හැකිය. මගේ නඩුවේ පෙරීම සඳහා පෙරහන් සහ සාමාන්ය ප්රකාශන මේ ආකාරයට පෙනේ:
අනාවරණය වුවහොත්, පහත අතුරුමුහුණත් බැහැර කරනු ලැබේ:
- අතින් අබල කර ඇත (පරිපාලක<>1), IFADMINSTATUS ට ස්තුතියි;
- පෙළ විස්තරයක් නොමැතිව, IFALIAS වෙත ස්තුතියි;
- IFALIAS ට ස්තුති කරමින් පෙළ විස්තරයේ * සංකේතය තිබීම;
- සේවා හෝ තාක්ෂණික ඒවා, IFDESCR වෙත ස්තුති වන්නට (මගේ නඩුවේදී, සාමාන්ය ප්රකාශන වලදී IFALIAS සහ IFDESCR එක් නිත්ය ප්රකාශන අන්වර්ථයකින් පරීක්ෂා කරනු ලැබේ).
SNMPv3 ප්රොටෝකෝලය භාවිතයෙන් දත්ත රැස්කිරීමේ අච්චුව බොහෝ දුරට සූදානම්ය. ජාල අතුරුමුහුණත් සඳහා දත්ත මූලද්රව්යවල මූලාකෘති පිළිබඳව අපි වඩාත් විස්තරාත්මකව වාසය නොකරමු; අපි ප්රතිඵල වෙත යමු.
නිරීක්ෂණ ප්රතිඵල
ආරම්භ කිරීමට, කුඩා ජාලයක ඉන්වෙන්ටරි ගන්න:
ඔබ එක් එක් ජාල උපාංග මාලාවක් සඳහා සැකිලි සකස් කරන්නේ නම්, ඔබට වත්මන් මෘදුකාංග, අනුක්රමික අංක සහ සේවාදායකයට පැමිණෙන පිරිසිදු කරන්නෙකු පිළිබඳ සාරාංශ දත්තවල විශ්ලේෂණයට පහසු පිරිසැලසුමක් ලබා ගත හැකිය (අඩු කාලය හේතුවෙන්). මගේ සැකිලි ලැයිස්තුවේ උපුටා ගැනීමක් පහත දැක්වේ:
දැන් - ප්රධාන අධීක්ෂණ පැනලය, ප්රේරක බරපතල මට්ටම අනුව බෙදා හරිනු ලැබේ:
ජාලයේ එක් එක් උපාංග ආකෘතිය සඳහා සැකිලි සඳහා ඒකාබද්ධ ප්රවේශයකට ස්තූතිවන්ත වන අතර, එක් අධීක්ෂණ පද්ධතියක රාමුවක් තුළ, දෝෂ සහ අනතුරු පුරෝකථනය කිරීමේ මෙවලමක් සංවිධානය කරන බව සහතික කළ හැකිය (සුදුසු සංවේදක සහ ප්රමිතික තිබේ නම්). ජාලය, සේවාදායකය සහ සේවා යටිතල පහසුකම් අධීක්ෂණය කිරීම සඳහා Zabbix හොඳින් ගැලපෙන අතර ජාල උපකරණ නඩත්තු කිරීමේ කාර්යය එහි හැකියාවන් පැහැදිලිව පෙන්නුම් කරයි.
භාවිතා කරන ලද මූලාශ්ර ලැයිස්තුව:1. Hucaby D. CCNP Routing සහ SWITCH 300-115 නිල සහතික මාර්ගෝපදේශය. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP වින්යාස මාර්ගෝපදේශය, Cisco IOS XE නිකුතුව 3SE. පරිච්ඡේදය: SNMP අනුවාදය 3.
මූලාශ්රය: www.habr.com