Овај чланак је посвећен карактеристикама надгледања мрежне опреме користећи СНМПв3 протокол. Причаћемо о СНМПв3, поделићу своје искуство у креирању пуноправних шаблона у Заббик-у и показаћу шта се може постићи организовањем дистрибуираног упозорења у великој мрежи. СНМП протокол је главни када се надгледа мрежна опрема, а Заббик је одличан за праћење великог броја објеката и сумирање великих количина долазних метрика.
Неколико речи о СНМПв3
Почнимо са сврхом СНМПв3 протокола и карактеристикама његове употребе. Задаци СНМП-а су надгледање мрежних уређаја и основно управљање тако што им шаље једноставне команде (на пример, омогућавање и онемогућавање мрежних интерфејса или поновно покретање уређаја).
Главна разлика између СНМПв3 протокола и његових претходних верзија су класичне безбедносне функције [1-3], и то:
- Аутентификација, којом се утврђује да је захтев примљен од поузданог извора;
- енкрипција (Енцриптион), како би се спречило откривање пренетих података када их пресретну трећа лица;
- интегритет, односно гаранција да пакет није мењан током преноса.
СНМПв3 подразумева коришћење безбедносног модела у коме је стратегија аутентификације постављена за датог корисника и групу којој он припада (у претходним верзијама СНМП-а, захтев сервера према објекту надгледања упоређивао је само „заједницу“, текст стринг са „лозинком“ која се преноси у чистом тексту (обичан текст)).
СНМПв3 уводи концепт нивоа безбедности – прихватљивих нивоа безбедности који одређују конфигурацију опреме и понашање СНМП агента објекта надгледања. Комбинација безбедносног модела и нивоа безбедности одређује који се механизам безбедности користи приликом обраде СНМП пакета [4].
Табела описује комбинације модела и СНМПв3 нивоа безбедности (одлучио сам да оставим прве три колоне као у оригиналу):
Сходно томе, користићемо СНМПв3 у режиму аутентификације користећи шифровање.
Конфигурисање СНМПв3
Мрежна опрема за надгледање захтева исту конфигурацију СНМПв3 протокола и на серверу за надгледање и на објекту који се надгледа.
Почнимо са подешавањем Цисцо мрежног уређаја, његова минимална потребна конфигурација је следећа (за конфигурацију користимо ЦЛИ, поједноставио сам имена и лозинке да бих избегао забуну):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedПрва линија снмп-сервер група – дефинише групу корисника СНМПв3 (снмпв3гроуп), режим читања (читање) и право приступа групе снмпв3гроуп да види одређене гране МИБ стабла објекта за праћење (снмпв3наме затим у конфигурација одређује којим гранама МИБ стабла група може приступити, снмпв3гроуп ће моћи да добије приступ).
Други ред снмп-сервер усер – дефинише корисника снмпв3усер, његово чланство у групи снмпв3гроуп, као и употребу мд5 аутентификације (лозинка за мд5 је мд5в3в3в3) и дес енкрипције (лозинка за дес је дес56в3в3в3). Наравно, боље је користити аес уместо дес; овде га дајем само као пример. Такође, када дефинишете корисника, можете додати приступну листу (АЦЛ) која регулише ИП адресе сервера за праћење који имају право да надгледају овај уређај – то је такође најбоља пракса, али нећу компликовати наш пример.
Трећи ред снмп-сервер приказ дефинише кодно име које специфицира гране снмпв3наме МИБ стабла тако да их може тражити од снмпв3гроуп корисничке групе. ИСО, уместо да стриктно дефинише једну грану, дозвољава групи корисника снмпв3гроуп да приступи свим објектима у МИБ стаблу објекта надгледања.
Слично подешавање за Хуавеи опрему (такође у ЦЛИ) изгледа овако:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Након подешавања мрежних уређаја, потребно је да проверите приступ са сервера за надгледање преко СНМПв3 протокола, ја ћу користити снмпвалк:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Визуелнији алат за тражење одређених ОИД објеката помоћу МИБ датотека је снмпгет:
Сада пређимо на подешавање типичног елемента података за СНМПв3, унутар Заббик шаблона. Ради једноставности и независности МИБ-а, користим дигиталне ОИД-ове:
Користим прилагођене макрое у кључним пољима јер ће они бити исти за све елементе података у шаблону. Можете их поставити у оквиру шаблона, ако сви мрежни уређаји у вашој мрежи имају исте СНМПв3 параметре, или унутар мрежног чвора, ако су СНМПв3 параметри за различите објекте надзора различити:
Имајте на уму да систем за надзор има само корисничко име и лозинке за аутентификацију и шифровање. Корисничка група и опсег МИБ објеката којима је дозвољен приступ су специфицирани на објекту надгледања.
Сада пређимо на попуњавање шаблона.
Заббик шаблон анкете
Једноставно правило приликом креирања шаблона анкете је да их учините што је могуће детаљнијим:
Поклањам велику пажњу инвентару како бих олакшао рад са великом мрежом. Више о овоме мало касније, али за сада – окидачи:
Ради лакше визуелизације покретача, системски макрои {ХОСТ.ЦОНН} су укључени у њихова имена тако да се не само имена уређаја, већ и ИП адресе приказују на контролној табли у одељку упозорења, иако је то више ствар погодности него неопходности . Да бих утврдио да ли је уређај недоступан, поред уобичајеног ехо захтева, користим проверу недоступности хоста помоћу СНМП протокола, када је објекат доступан преко ИЦМП-а, али не одговара на СНМП захтеве – ова ситуација је могућа, нпр. , када се ИП адресе дуплирају на различитим уређајима, због погрешно конфигурисаних заштитних зидова, или нетачних СНМП подешавања на објектима надгледања. Ако користите проверу доступности хоста само преко ИЦМП-а, у време истраге инцидената на мрежи, подаци за праћење можда неће бити доступни, па се мора пратити њихов пријем.
Пређимо на откривање мрежних интерфејса - за мрежну опрему ово је најважнија функција надгледања. Пошто на мрежном уређају може постојати стотине интерфејса, неопходно је филтрирати оне непотребне како не бисте затрпали визуелизацију или затрпали базу података.
Користим стандардну функцију откривања СНМП-а, са више параметара који се могу открити, за флексибилније филтрирање:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Са овим открићем, можете филтрирати мрежне интерфејсе према њиховим типовима, прилагођеним описима и статусима административних портова. Филтери и регуларни изрази за филтрирање у мом случају изгледају овако:
Ако се открију, следећи интерфејси ће бити искључени:
- ручно онемогућено (админстатус<>1), захваљујући ИФАДМИНСТАТУС;
- без текстуалног описа, захваљујући ИФАЛИАС-у;
- имају симбол * у опису текста, захваљујући ИФАЛИАС-у;
- који су сервисни или технички, захваљујући ИФДЕСЦР-у (у мом случају, у регуларним изразима ИФАЛИАС и ИФДЕСЦР се проверавају једним псеудонимом регуларног израза).
Шаблон за прикупљање података помоћу СНМПв3 протокола је скоро спреман. Нећемо се детаљније задржавати на прототиповима елемената података за мрежне интерфејсе; пређимо на резултате.
Резултати мониторинга
За почетак, направите инвентар мале мреже:
Ако припремите шаблоне за сваку серију мрежних уређаја, можете постићи једноставан за анализу распоред сажетих података о тренутном софтверу, серијским бројевима и обавештења о доласку чистача на сервер (због малог времена рада). Извод из моје листе шаблона је испод:
А сада - главни панел за надзор, са окидачима распоређеним по нивоима озбиљности:
Захваљујући интегрисаном приступу шаблонима за сваки модел уређаја у мрежи, могуће је обезбедити да у оквиру једног система за праћење буде организован алат за предвиђање кварова и незгода (ако су доступни одговарајући сензори и метрика). Заббик је веома погодан за надгледање мрежне, серверске и сервисне инфраструктуре, а задатак одржавања мрежне опреме јасно показује његове могућности.
Списак коришћених извора:1. Хуцаби Д. ЦЦНП СВИТЦХ 300-115 службени водич за рутирање и комутацију. Цисцо Пресс, 2014. пп. 325-329.
2. РФЦ 3410.
3. РФЦ 3415.
4. Водич за СНМП конфигурацију, Цисцо ИОС КСЕ издање 3СЕ. Поглавље: СНМП верзија 3.
Извор: ввв.хабр.цом