Ky artikull i kushtohet veçorive të monitorimit të pajisjeve të rrjetit duke përdorur protokollin SNMPv3. Ne do të flasim për SNMPv3, unë do të ndaj përvojën time në krijimin e modeleve të plota në Zabbix dhe do të tregoj se çfarë mund të arrihet kur organizoni sinjalizime të shpërndara në një rrjet të madh. Protokolli SNMP është kryesori kur monitoron pajisjet e rrjetit, dhe Zabbix është i shkëlqyeshëm për monitorimin e një numri të madh objektesh dhe përmbledhjen e vëllimeve të mëdha të matjeve hyrëse.
Disa fjalë për SNMPv3
Le të fillojmë me qëllimin e protokollit SNMPv3 dhe veçoritë e përdorimit të tij. Detyrat e SNMP janë monitorimi i pajisjeve të rrjetit dhe menaxhimi bazë duke u dërguar komanda të thjeshta (për shembull, aktivizimi dhe çaktivizimi i ndërfaqeve të rrjetit ose rindezja e pajisjes).
Dallimi kryesor midis protokollit SNMPv3 dhe versioneve të tij të mëparshme janë funksionet klasike të sigurisë [1-3], përkatësisht:
- Autentifikimi, i cili përcakton se kërkesa është marrë nga një burim i besuar;
- enkriptimi (Encryption), për të parandaluar zbulimin e të dhënave të transmetuara kur përgjohen nga palët e treta;
- integriteti, domethënë një garanci që paketa nuk është dëmtuar gjatë transmetimit.
SNMPv3 nënkupton përdorimin e një modeli sigurie në të cilin strategjia e vërtetimit vendoset për një përdorues të caktuar dhe grupin të cilit ai i përket (në versionet e mëparshme të SNMP, kërkesa nga serveri për objektin e monitorimit krahasohet vetëm me "komunitetin", një tekst varg me një "fjalëkalim" të transmetuar në tekst të qartë (tekst i thjeshtë)).
SNMPv3 prezanton konceptin e niveleve të sigurisë - nivele të pranueshme sigurie që përcaktojnë konfigurimin e pajisjeve dhe sjelljen e agjentit SNMP të objektit të monitorimit. Kombinimi i modelit të sigurisë dhe nivelit të sigurisë përcakton se cili mekanizëm sigurie përdoret kur përpunohet një paketë SNMP [4].
Tabela përshkruan kombinimet e modeleve dhe niveleve të sigurisë SNMPv3 (vendosa t'i lë tre kolonat e para si në origjinal):
Prandaj, ne do të përdorim SNMPv3 në modalitetin e vërtetimit duke përdorur kriptim.
Konfigurimi i SNMPv3
Monitorimi i pajisjeve të rrjetit kërkon të njëjtin konfigurim të protokollit SNMPv3 si në serverin e monitorimit ashtu edhe në objektin e monitoruar.
Le të fillojmë me konfigurimin e një pajisjeje rrjeti Cisco, konfigurimi minimal i kërkuar i tij është si më poshtë (për konfigurim ne përdorim CLI, kam thjeshtuar emrat dhe fjalëkalimet për të shmangur konfuzionin):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedGrupi i serverit snmp të linjës së parë – përcakton grupin e përdoruesve SNMPv3 (snmpv3group), mënyrën e leximit (leximin) dhe të drejtën e aksesit të grupit snmpv3group për të parë disa degë të pemës MIB të objektit monitorues (snmpv3name pastaj në konfigurimi specifikon se cilat degë të pemës MIB grupi mund të hyjë në snmpv3group do të jetë në gjendje të fitojë akses).
Përdoruesi i serverit snmp të linjës së dytë – përcakton përdoruesin snmpv3user, anëtarësimin e tij në grupin snmpv3group, si dhe përdorimin e vërtetimit md5 (fjalëkalimi për md5 është md5v3v3v3) dhe des encryption (fjalëkalimi për des është des56v3v3v3). Sigurisht, është më mirë të përdoret aes në vend të des; po e jap këtu vetëm si shembull. Gjithashtu, kur përcaktoni një përdorues, mund të shtoni një listë aksesi (ACL) që rregullon adresat IP të serverëve monitorues që kanë të drejtë të monitorojnë këtë pajisje - kjo është gjithashtu praktika më e mirë, por unë nuk do ta ndërlikoj shembullin tonë.
Pamja e serverit snmp të linjës së tretë përcakton një emër të koduar që specifikon degët e pemës snmpv3name MIB në mënyrë që ato të mund të kërkohen nga grupi i përdoruesve snmpv3group. ISO, në vend që të përcaktojë rreptësisht një degë të vetme, lejon grupin e përdoruesve snmpv3group të aksesojë të gjitha objektet në pemën MIB të objektit monitorues.
Një konfigurim i ngjashëm për pajisjet Huawei (gjithashtu në CLI) duket si ky:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Pas konfigurimit të pajisjeve të rrjetit, duhet të kontrolloni për akses nga serveri i monitorimit përmes protokollit SNMPv3, unë do të përdor snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Një mjet më vizual për të kërkuar objekte specifike OID duke përdorur skedarë MIB është snmpget:
Tani le të kalojmë në konfigurimin e një elementi tipik të të dhënave për SNMPv3, brenda shabllonit Zabbix. Për thjeshtësi dhe pavarësi MIB, unë përdor OID dixhitale:
Unë përdor makro të personalizuara në fushat kryesore sepse ato do të jenë të njëjta për të gjithë elementët e të dhënave në shabllon. Ju mund t'i vendosni ato brenda një shablloni, nëse të gjitha pajisjet e rrjetit në rrjetin tuaj kanë të njëjtat parametra SNMPv3, ose brenda një nyje rrjeti, nëse parametrat SNMPv3 për objekte të ndryshme monitorimi janë të ndryshëm:
Ju lutemi vini re se sistemi i monitorimit ka vetëm një emër përdoruesi dhe fjalëkalime për vërtetim dhe kriptim. Grupi i përdoruesve dhe shtrirja e objekteve MIB në të cilat lejohet qasja janë të specifikuara në objektin e monitorimit.
Tani le të kalojmë në plotësimin e shabllonit.
Shablloni i sondazhit Zabbix
Një rregull i thjeshtë kur krijoni ndonjë model sondazhi është t'i bëni ato sa më të detajuara që të jetë e mundur:
I kushtoj shumë vëmendje inventarit për ta bërë më të lehtë punën me një rrjet të madh. Më shumë për këtë pak më vonë, por tani për tani - shkaktarët:
Për lehtësinë e vizualizimit të aktivizuesve, makrot e sistemit {HOST.CONN} përfshihen në emrat e tyre, në mënyrë që jo vetëm emrat e pajisjeve, por edhe adresat IP të shfaqen në panelin e kontrollit në seksionin e alarmit, megjithëse kjo është më shumë një çështje komoditeti sesa domosdoshmërie. . Për të përcaktuar nëse një pajisje nuk është e disponueshme, përveç kërkesës së zakonshme për jehonë, unë përdor një kontroll për mosdisponueshmërinë e hostit duke përdorur protokollin SNMP, kur objekti është i aksesueshëm nëpërmjet ICMP, por nuk i përgjigjet kërkesave SNMP - kjo situatë është e mundur, për shembull. , kur adresat IP dublikohen në pajisje të ndryshme, për shkak të mureve të zjarrit të konfiguruar gabimisht ose cilësimeve të gabuara SNMP në objektet e monitorimit. Nëse përdorni kontrollin e disponueshmërisë së hostit vetëm nëpërmjet ICMP, në kohën e hetimit të incidenteve në rrjet, të dhënat e monitorimit mund të mos jenë të disponueshme, kështu që marrja e tyre duhet të monitorohet.
Le të kalojmë në zbulimin e ndërfaqeve të rrjetit - për pajisjet e rrjetit ky është funksioni më i rëndësishëm i monitorimit. Meqenëse mund të ketë qindra ndërfaqe në një pajisje rrjeti, është e nevojshme të filtroni ato të panevojshme në mënyrë që të mos rrëmujë vizualizimin ose rrëmujë bazën e të dhënave.
Unë jam duke përdorur funksionin standard të zbulimit SNMP, me më shumë parametra të zbulueshëm, për filtrim më fleksibël:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Me këtë zbulim, ju mund të filtroni ndërfaqet e rrjetit sipas llojeve të tyre, përshkrimeve të personalizuara dhe statuseve të portit administrativ. Filtrat dhe shprehjet e rregullta për filtrim në rastin tim duken kështu:
Nëse zbulohet, ndërfaqet e mëposhtme do të përjashtohen:
- çaktivizuar manualisht (adminstatus<>1), falë IFADMINSTATUS;
- pa një përshkrim teksti, falë IFALIAS;
- duke pasur simbolin * në përshkrimin e tekstit, falë IFALIAS;
- që janë shërbimi ose teknike, falë IFDESCR (në rastin tim, në shprehjet e rregullta IFALIAS dhe IFDESCR kontrollohen nga një pseudonim i rregullt i shprehjes).
Modeli për mbledhjen e të dhënave duke përdorur protokollin SNMPv3 është pothuajse gati. Ne nuk do të ndalemi më në detaje në prototipet e elementeve të të dhënave për ndërfaqet e rrjetit; le të kalojmë te rezultatet.
Rezultatet e monitorimit
Për të filluar, bëni inventarin e një rrjeti të vogël:
Nëse përgatitni shabllone për çdo seri pajisjesh rrjeti, mund të arrini një paraqitje të lehtë për t'u analizuar të të dhënave përmbledhëse në softuerin aktual, numrat serialë dhe njoftimin e një pastruesi që vjen në server (për shkak të kohës së ulët të funksionimit). Një fragment i listës sime të shablloneve është më poshtë:
Dhe tani - paneli kryesor i monitorimit, me nxitës të shpërndarë sipas nivelit të ashpërsisë:
Falë një qasjeje të integruar ndaj shablloneve për çdo model pajisjeje në rrjet, është e mundur të sigurohet që, brenda kornizës së një sistemi monitorimi, të organizohet një mjet për parashikimin e gabimeve dhe aksidenteve (nëse ka sensorë dhe metrikë të përshtatshëm). Zabbix është i përshtatshëm për monitorimin e infrastrukturës së rrjetit, serverit dhe shërbimit, dhe detyra e mirëmbajtjes së pajisjeve të rrjetit tregon qartë aftësitë e tij.
Lista e burimeve të përdorura:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. fq. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Udhëzuesi i konfigurimit SNMP, Cisco IOS XE Release 3SE. Kapitulli: SNMP Versioni 3.
Burimi: www.habr.com