Maqaalkani waxa uu u go'ay sifooyinka la socodka qalabka shabakada iyada oo la adeegsanayo borotokoolka SNMPv3. Waxaan ka hadli doonaa SNMPv3, waxaan wadaagi doonaa waayo-aragnimadayda abuurista qaabab buuxa oo Zabbix ah, waxaanan tusi doonaa waxa la heli karo marka la abaabulo digniinta qaybsan ee shabakad weyn. Hab-maamuuska SNMP waa kan ugu muhiimsan marka la kormeerayo qalabka shabakadda, Zabbix-na aad ayay ugu fiican tahay la socodka tiro badan oo shay ah iyo soo koobidda tiro badan oo cabbirro soo socda ah.
Dhowr eray oo ku saabsan SNMPv3
Aan ku bilowno ujeedada hab-maamuuska SNMPv3 iyo sifada adeegsigeeda. Hawlaha SNMP waa la socodka aaladaha shabakada iyo maamulka aasaasiga ah iyagoo u soo diraya amarro fudud (tusaale ahaan, karti-gelinta iyo deminta isku-xidhka shabakadaha, ama dib-u-kicinta aaladda).
Farqiga ugu weyn ee u dhexeeya borotokoolka SNMPv3 iyo noocyadiisii ββhore waa hawlaha amniga caadiga ah [1-3], oo kala ah:
- Xaqiijinta, kaas oo go'aaminaya in codsiga laga helay ilo lagu kalsoon yahay;
- sir (Encryption), si looga hortago in la shaaciyo xogta la gudbiyo marka ay dhexgalaan cid saddexaad;
- daacadnimada, taas oo ah, dammaanad ah in baakadda aan la faragelin inta lagu jiro gudbinta.
SNMPv3 waxa ay tusinaysaa adeegsiga qaabka amniga kaas oo istaraatijiyad xaqiijinta loo dejiyay isticmaale la siiyay iyo kooxda uu ka tirsan yahay (Noocyadii hore ee SNMP, codsiga server-ka ee shayga la socodka marka la barbar dhigo kaliya "bulsho", qoraal xadhig leh "password" lagu gudbiyo qoraal cad (qoraal cad)).
SNMPv3 waxay soo bandhigaysaa fikradda heerarka amniga - heerar amni oo la aqbali karo oo go'aaminaya qaabaynta qalabka iyo habdhaqanka wakiilka SNMP ee shayga la socodka. Isku darka qaabka amniga iyo heerka amniga ayaa go'aamiya habka amniga loo isticmaalo marka la farsameynayo xirmada SNMP [4].
Jadwalku wuxuu qeexayaa isku-darka moodooyinka iyo heerarka amniga SNMPv3 (Waxaan go'aansaday inaan ka tago saddexda tiir ee ugu horreeya sida asalka ah):
Sidaa awgeed, waxaanu u isticmaali doonaa SNMPv3 qaabka aqoonsiga anagoo adeegsanayna sir.
Habaynta SNMPv3
Qalabka shabakada kormeerku wuxuu u baahan yahay qaabaynta isku midka ah ee borotokoolka SNMPv3 ee serfarka la socodka iyo shayga la kormeero labadaba.
Aan ku bilowno sameynta aaladda shabakadda Cisco, qaabeynta ugu yar ee loo baahan yahay waa sida soo socota (qaabeynta waxaan u isticmaalnaa CLI, waxaan fududeeyay magacyada iyo furayaasha sirta ah si aan uga fogaado jahwareerka):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedSafka kowaad ee snmp-server group β waxa uu qeexayaa kooxda isticmaalayaasha SNMPv3 (snmpv3group), qaabka wax akhriska (akhri), iyo xaqa ay u leeyihiin kooxda snmpv3group si ay u arkaan laamaha qaar ee geedka MIB ee shayga la socodka (snmpv3name ka dibna qaabeynta ayaa qeexaysa laamaha geedka MIB ee kooxdu geli karto snmpv3group awood u yeelan doonto inay galaan).
Isticmaalaha khadka labaad ee snmp-server - wuxuu qeexayaa isticmaalaha snmpv3user, xubinimadiisa kooxda snmpv3group, iyo sidoo kale isticmaalka aqoonsiga md5 (password-ka md5 waa md5v3v3v3) iyo des encryption (password for des waa des56v3v3v3). Dabcan, way fiicantahay in la isticmaalo aes halkii des; Waxaan halkan ku siinayaa tusaale ahaan. Sidoo kale, marka la qeexayo isticmaale, waxaad ku dari kartaa liiska gelitaanka (ACL) kaas oo xakameynaya ciwaannada IP-yada ee kormeerayaasha kuwaas oo xaq u leh inay la socdaan qalabkan - tani sidoo kale waa habka ugu fiican, laakiin ma adkeyn doono tusaalahayaga.
Sadarka saddexaad ee snmp-server view ayaa qeexaya magac kood ah oo qeexaya laamaha snmpv3name MIB geed si ay u waydiiyaan kooxda isticmaala snmpv3group. ISO, halkii ay si adag u qeexi lahaayeen hal laan, waxay u ogolaataa kooxda isticmaala snmpv3group inay galaan dhammaan walxaha ku jira geedka MIB ee shayga la socodka.
Qalab la mid ah qalabka Huawei (sidoo kale CLI) wuxuu u eg yahay sidan:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Kadib dejinta aaladaha shabakada, waxaad u baahan tahay inaad hubiso gelitaanka server-ka kormeerka adoo adeegsanaya borotokoolka SNMPv3, waxaan isticmaali doonaa snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Qalab badan oo muuqaal ah oo lagu codsanayo walxo OID gaar ah oo isticmaalaya faylasha MIB waa snmpget:
Hadda aynu u gudubno samaynta qayb xogeed caadi ah SNMPv3, oo ku dhex jirta qaabka Zabbix. Si ay u fududaato iyo madax banaanida MIB, waxaan isticmaalaa OID-yada dhijitaalka ah:
Waxaan u isticmaalaa macros caadooyinka goobaha muhiimka ah sababtoo ah waxay la mid noqon doonaan dhammaan walxaha xogta ee template. Waxaad ku dhejin kartaa qaab-dhismeedka, haddii dhammaan aaladaha shabakadaha ee shabakadaadu ay leeyihiin isku-beegyo isku mid ah SNMPv3, ama dhexda shabakada, haddii cabbirada SNMPv3 ee walxaha kala duwan ee la socodka ay kala duwan yihiin:
Fadlan la soco in nidaamka la socodka uu leeyahay oo keliya magaca isticmaalaha iyo ereyada sirta ah ee xaqiijinta iyo sirta. Kooxda adeegsadaha iyo baaxadda walxaha MIB ee la oggol yahay gelitaanka ayaa lagu qeexay shayga la socodka.
Hadda aan u gudubno buuxinta templateka.
Qaabka codbixinta Zabbix
Xeerka fudud marka la abuurayo habab kasta oo sahamin ah waa in la sameeyo sida ugu faahfaahsan ee suurtogalka ah:
Waxaan si weyn u fiirsada alaabada si aan u fududeeyo la shaqaynta shabakad weyn. Wax badan oo arrintan ku saabsan wax yar ka dib, laakiin hadda - kicinta:
Si loo fududeeyo aragga kiciyeyaasha, nidaamka macros {HOST.CONN} ayaa lagu soo daray magacyadooda si aan loo helin oo keliya magacyada aaladaha, laakiin sidoo kale cinwaannada IP-ga ayaa lagu soo bandhigay dashboard-ka qaybta digniinta, in kasta oo ay tani tahay arrin ku habboon marka loo eego baahida loo qabo. . Si loo go'aamiyo la'aanta aaladda, marka lagu daro codsiga echo ee caadiga ah, waxaan isticmaalaa jeeg loogu talagalay helitaan la'aanta martigeliyaha anigoo isticmaalaya borotokoolka SNMP, marka shayga laga heli karo ICMP, laakiin aan ka jawaabin codsiyada SNMP - xaaladani waa suurtagal, tusaale ahaan, marka ciwaanka IP-ga lagu koobi karo aalado kala duwan, iyadoo ay ugu wacan tahay dab-damisyada si khaldan loo habeeyey, ama goobaha SNMP ee aan sax ahayn ee walxaha la socodka. Haddii aad isticmaashid hubinta helitaanka martigeliyaha oo keliya ICMP, wakhtiga baaritaanka shilalka shabakada, xogta la socodka waxa laga yaabaa inaan la heli karin, markaa rasiidhkooda waa in lala socdo.
Aan u gudubno si aan u ogaano is-dhexgalka shabakada - qalabka shabakada tani waa shaqada ugu muhiimsan ee kormeerka. Maaddaama ay jiri karaan boqollaal is-dhexgal ah oo ku saabsan aaladda shabakadda, waxaa lagama maarmaan ah in la shaandheeyo kuwa aan loo baahnayn si aan loo jahwareerin aragtida ama aan u dhicin xogta xogta.
Waxaan isticmaalayaa shaqada sahaminta SNMP ee caadiga ah, oo leh cabbirro badan oo la ogaan karo, shaandhayn badan oo dabacsan:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Helitaankan, waxaad ku shaandheyn kartaa isku-xidhka shabakadaha noocyadooda, sharraxaadaha gaarka ah, iyo heerka dekedaha maamulka. Shaandhaynta iyo tibaaxaha caadiga ah ee shaandhaynta kiiskayga waxay u egyihiin sidan:
Haddii la ogaado, interfaces-yada soo socda waa laga saari doonaa:
- gacanta lagu naafo (adminstatus<>1), mahad IFADMINSTATUS;
- iyada oo aan lahayn sharraxaad qoraal ah, mahadsanid IFALIAS;
- Haysashada astaanta * sharraxaadda qoraalka, mahadsanid IFALIAS;
- kuwaas oo ah adeeg ama farsamo, mahad IFDESCR (xaaladkayga, tibaaxaha caadiga ah IFALIAS iyo IFDESCR waxaa lagu hubiyaa hal eray oo joogto ah).
Qaabka loo ururiyo xogta iyadoo la isticmaalayo borotokoolka SNMPv3 ayaa ku dhawaad ββdiyaar ah. Si faahfaahsan uga hadli mayno noocyada xogta walxaha isku xidha shabakadaha; aynu u gudubno natiijooyinka.
Natiijooyinka la socodka
Si aad u bilawdo, qaado liistada shabakad yar:
Haddii aad u diyaariso qaab-dhismeedka aalad kasta oo shabakad ah, waxaad ku guuleysan kartaa hab fudud oo lagu falanqeyn karo qaabka xogta kooban ee software-ka hadda jira, lambarrada taxanaha ah, iyo ogeysiinta nadiifiyaha soo socda ee server-ka (sabato ah Uptime hooseeya). Qayb ka mid ah liiska qaab-dhismeedkayga waa xagga hoose:
Oo hadda - guddiga kormeerka ugu weyn, oo leh kiciyeyaasha loo qaybiyo heerka darnaanta:
Waad ku mahadsan tahay habka isku dhafan ee qaababka loogu talagalay nooc kasta oo qalab ah oo ka mid ah shabakada, waxaa suurtagal ah in la hubiyo in, qaabka hal nidaam la socodka, qalab lagu saadaaliyo khaladaadka iyo shilalka ayaa la habeyn doonaa (haddii dareemayaal iyo cabbirro habboon la heli karo). Zabbix waxay si fiican ugu habboon tahay la socodka shabakada, serverka, iyo kaabayaasha adeegga, iyo hawsha ilaalinta qalabka shabakada waxay si cad u muujineysaa awoodeeda.
Liiska ilaha la isticmaalay:1. Hucaby D. CCNP Jideynta iyo Beddelka BEDELKA 300-115 Hagaha Shahaadada Rasmiga ah. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Hagaha Habaynta SNMP, Siidaynta Cisco IOS XE 3SE. Cutubka: SNMP Version 3.
Source: www.habr.com