Ta članek je posvečen značilnostim spremljanja omrežne opreme s protokolom SNMPv3. Govorili bomo o SNMPv3, delil bom svoje izkušnje pri ustvarjanju polnopravnih predlog v Zabbixu in pokazal bom, kaj je mogoče doseči z organizacijo porazdeljenega opozarjanja v velikem omrežju. Protokol SNMP je glavni pri spremljanju omrežne opreme, Zabbix pa je odličen za spremljanje velikega števila objektov in povzemanje velikih količin dohodnih meritev.
Nekaj besed o SNMPv3
Začnimo z namenom protokola SNMPv3 in značilnostmi njegove uporabe. Naloge SNMP so nadzor omrežnih naprav in osnovno upravljanje s pošiljanjem preprostih ukazov do njih (na primer omogočanje in onemogočanje omrežnih vmesnikov ali ponovni zagon naprave).
Glavna razlika med protokolom SNMPv3 in njegovimi prejšnjimi različicami so klasične varnostne funkcije [1-3], in sicer:
- Avtentikacija, ki določa, da je bila zahteva prejeta od zaupanja vrednega vira;
- šifriranje (Encryption), da se prepreči razkritje prenesenih podatkov, ko jih prestrežejo tretje osebe;
- celovitost, torej jamstvo, da paket med prenosom ni bil spremenjen.
SNMPv3 pomeni uporabo varnostnega modela, v katerem je strategija avtentikacije nastavljena za danega uporabnika in skupino, ki ji pripada (v prejšnjih različicah SNMP je zahteva od strežnika do nadzornega objekta primerjala le »skupnost«, besedilo niz z "geslom", posredovanim v čistem besedilu (navadno besedilo)).
SNMPv3 uvaja koncept ravni varnosti – sprejemljive ravni varnosti, ki določajo konfiguracijo opreme in obnašanje agenta SNMP nadzornega objekta. Kombinacija varnostnega modela in varnostne ravni določa, kateri varnostni mehanizem se uporablja pri obdelavi paketa SNMP [4].
V tabeli so opisane kombinacije modelov in ravni varnosti SNMPv3 (odločil sem se, da pustim prve tri stolpce kot v izvirniku):
V skladu s tem bomo uporabili SNMPv3 v načinu preverjanja pristnosti z uporabo šifriranja.
Konfiguriranje SNMPv3
Omrežna oprema za spremljanje zahteva enako konfiguracijo protokola SNMPv3 tako na nadzornem strežniku kot na nadzorovanem objektu.
Začnimo z nastavitvijo omrežne naprave Cisco, njena minimalna zahtevana konfiguracija je naslednja (za konfiguracijo uporabljamo CLI, imena in gesla sem poenostavil, da ne bi prišlo do zmede):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedPrva vrstica skupine strežnikov snmp – definira skupino uporabnikov SNMPv3 (snmpv3group), način branja (branje) in pravico dostopa skupine snmpv3group za ogled določenih vej drevesa MIB objekta nadzora (snmpv3name nato v konfiguracija določa, do katerih vej drevesa MIB lahko skupina dostopa (snmpv3group bo lahko pridobila dostop).
Druga vrstica snmp-server user – definira uporabnika snmpv3user, njegovo članstvo v skupini snmpv3group ter uporabo avtentikacije md5 (geslo za md5 je md5v3v3v3) in šifriranja des (geslo za des je des56v3v3v3). Seveda je bolje uporabiti aes namesto des; tukaj ga dajem le kot primer. Prav tako lahko pri definiranju uporabnika dodate seznam dostopa (ACL), ki ureja naslove IP nadzornih strežnikov, ki imajo pravico nadzorovati to napravo - to je tudi najboljša praksa, vendar ne bom kompliciral našega primera.
Pogled strežnika snmp v tretji vrstici definira kodno ime, ki določa veje drevesa MIB snmpv3name, tako da jih lahko poizveduje skupina uporabnikov snmpv3group. ISO namesto stroge definicije ene veje dovoljuje skupini uporabnikov snmpv3group dostop do vseh objektov v drevesu MIB nadzornega objekta.
Podobna nastavitev za opremo Huawei (tudi v CLI) izgleda takole:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Po nastavitvi omrežnih naprav morate preveriti dostop s strežnika za spremljanje prek protokola SNMPv3, jaz bom uporabil snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Bolj vizualno orodje za zahtevanje določenih objektov OID z uporabo datotek MIB je snmpget:
Zdaj pa preidimo na nastavitev tipičnega podatkovnega elementa za SNMPv3 znotraj predloge Zabbix. Zaradi enostavnosti in neodvisnosti MIB uporabljam digitalne OID-je:
V ključnih poljih uporabljam makre po meri, ker bodo enaki za vse podatkovne elemente v predlogi. Nastavite jih lahko znotraj predloge, če imajo vse omrežne naprave v vašem omrežju enake parametre SNMPv3, ali znotraj omrežnega vozlišča, če so parametri SNMPv3 za različne nadzorne objekte različni:
Upoštevajte, da ima nadzorni sistem samo uporabniško ime in gesla za avtentikacijo in šifriranje. Skupina uporabnikov in obseg objektov MIB, do katerih je dovoljen dostop, sta podana na objektu nadzora.
Zdaj pa preidimo na izpolnjevanje predloge.
Predloga ankete Zabbix
Preprosto pravilo pri ustvarjanju kakršnih koli anketnih predlog je, da so čim bolj podrobne:
Veliko pozornost namenjam inventarju, da lažje delam z velikim omrežjem. Več o tem malo kasneje, za zdaj pa – sprožilci:
Za lažjo vizualizacijo sprožilcev so sistemski makri {HOST.CONN} vključeni v njihova imena, tako da na nadzorni plošči v razdelku za opozorila niso prikazana samo imena naprav, ampak tudi naslovi IP, čeprav je to bolj priročno kot nujno. . Za ugotavljanje, ali je naprava nedosegljiva, poleg običajne zahteve za odmev uporabljam preverjanje nedosegljivosti gostitelja s protokolom SNMP, ko je objekt dostopen prek ICMP, vendar se ne odziva na zahteve SNMP - ta situacija je možna npr. , kadar se naslovi IP podvojijo na različnih napravah zaradi nepravilno konfiguriranih požarnih zidov ali napačnih nastavitev SNMP na objektih nadzora. Če uporabljate preverjanje razpoložljivosti gostitelja samo prek ICMP, v času preiskave incidentov v omrežju podatki o spremljanju morda ne bodo na voljo, zato je treba nadzorovati njihov prejem.
Preidimo na zaznavanje omrežnih vmesnikov - za omrežno opremo je to najpomembnejša nadzorna funkcija. Ker je lahko na omrežni napravi na stotine vmesnikov, je treba izločiti nepotrebne, da ne zamašimo vizualizacije ali baze podatkov.
Uporabljam standardno funkcijo odkrivanja SNMP z več parametri, ki jih je mogoče odkriti, za bolj prilagodljivo filtriranje:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
S tem odkritjem lahko filtrirate omrežne vmesnike po njihovih vrstah, opisih po meri in statusih upravnih vrat. Filtri in regularni izrazi za filtriranje v mojem primeru izgledajo takole:
Če so zaznani, bodo naslednji vmesniki izključeni:
- ročno onemogočeno (adminstatus<>1), zahvaljujoč IFADMINSTATUS;
- brez besedilnega opisa, zahvaljujoč IFALIAS;
- s simbolom * v besedilnem opisu, zahvaljujoč IFALIAS;
- ki so storitveni ali tehnični, zahvaljujoč IFDESCR (v mojem primeru sta v regularnih izrazih IFALIAS in IFDESCR preverjena z enim vzdevkom regularnega izraza).
Predloga za zbiranje podatkov po protokolu SNMPv3 je skoraj pripravljena. Ne bomo se podrobneje zadrževali na prototipih podatkovnih elementov za omrežne vmesnike, pojdimo na rezultate.
Rezultati monitoringa
Za začetek naredite popis majhnega omrežja:
Če pripravite predloge za vsako serijo omrežnih naprav, lahko dosežete postavitev povzetka podatkov o trenutni programski opremi, serijskih številkah in obvestilu o prihodu čistilca na strežnik (zaradi nizkega časa delovanja), ki ga je enostavno analizirati. Spodaj je izvleček mojega seznama predlog:
In zdaj - glavna nadzorna plošča s sprožilci, razdeljenimi po stopnjah resnosti:
Zahvaljujoč integriranemu pristopu k predlogam za vsak model naprave v omrežju je mogoče zagotoviti, da bo v okviru enega nadzornega sistema organizirano orodje za napovedovanje okvar in nesreč (če so na voljo ustrezni senzorji in metrike). Zabbix je zelo primeren za spremljanje omrežne, strežniške in storitvene infrastrukture, naloga vzdrževanja omrežne opreme pa jasno dokazuje njegove zmogljivosti.
Seznam uporabljenih virov:1. Hucaby D. CCNP Usmerjanje in preklapljanje SWITCH 300-115 Uradni vodnik za potrdila. Cisco Press, 2014. Str. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Priročnik za konfiguracijo SNMP, Cisco IOS XE Release 3SE. Poglavje: SNMP različica 3.
Vir: www.habr.com