Tulisan ieu dikhususkeun pikeun fitur ngawaskeun alat jaringan nganggo protokol SNMPv3. Urang bakal ngobrol ngeunaan SNMPv3, Kuring baris babagi pangalaman kuring dina nyieun témplat full-fledged di Zabbix, sarta kuring baris némbongkeun naon bisa dihontal nalika ngatur alerting disebarkeun dina jaringan badag. Protokol SNMP mangrupikeun anu utama nalika ngawaskeun peralatan jaringan, sareng Zabbix saé pikeun ngawaskeun sajumlah ageung objék sareng nyimpulkeun volume métrik anu asup.
Sababaraha kecap ngeunaan SNMPv3
Hayu urang mimitian ku tujuan protokol SNMPv3 sareng fitur anu dianggo. Tugas SNMP nyaéta ngawaskeun alat jaringan sareng manajemén dasar ku ngirim paréntah saderhana ka aranjeunna (contona, ngaktipkeun sareng nganonaktipkeun antarmuka jaringan, atanapi rebooting alat).
Beda utama antara protokol SNMPv3 sareng versi sateuacana nyaéta fungsi kaamanan klasik [1-3], nyaéta:
- Auténtikasi, nu nangtukeun yén pamundut ieu ditampi ti sumber dipercaya;
- énkripsi (Enkripsi), pikeun nyegah panyingkepan data anu dikirimkeun nalika dicegat ku pihak katilu;
- integritas, nyaeta, jaminan yén pakét teu acan tampered salila pangiriman.
SNMPv3 nunjukkeun pamakean modél kaamanan dimana strategi auténtikasi disetél pikeun pangguna anu dipasihkeun sareng grup dimana anjeunna milik (dina versi SNMP sateuacana, pamundut ti server ka obyék ngawaskeun dibandingkeun ngan ukur "komunitas", téks. string kalawan "sandi" dikirimkeun dina téks jelas (téks polos)).
SNMPv3 ngenalkeun konsép tingkat kaamanan - tingkat kaamanan anu ditampi anu nangtukeun konfigurasi alat sareng paripolah agén SNMP tina obyék ngawaskeun. Kombinasi modél kaamanan sareng tingkat kaamanan nangtukeun mékanisme kaamanan mana anu dianggo nalika ngolah pakét SNMP [4].
Tabél ngajelaskeun kombinasi modél sareng tingkat kaamanan SNMPv3 (Kuring mutuskeun ninggalkeun tilu kolom munggaran sapertos anu asli):
Sasuai, urang bakal nganggo SNMPv3 dina modeu auténtikasi nganggo enkripsi.
Ngonpigurasikeun SNMPv3
Alat-alat jaringan pangimeutan merlukeun konfigurasi anu sarua tina protokol SNMPv3 boh dina pangladén ngawaskeun jeung objék nu diawaskeun.
Hayu urang mimitian ku nyetel hiji alat jaringan Cisco, konfigurasi diperlukeun minimum na nyaéta kieu (pikeun konfigurasi kami nganggo CLI, Kuring disederhanakeun nami sareng kecap akses pikeun nyegah kabingungan):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedGrup snmp-server baris kahiji - ngahartikeun grup pamaké SNMPv3 (snmpv3group), mode baca (baca), jeung katuhu aksés grup snmpv3group pikeun nempo cabang tangtu tangkal MIB tina objek monitoring (snmpv3name lajeng dina konfigurasi nangtukeun mana cabang tangkal MIB grup bisa ngakses snmpv3group bakal bisa meunang aksés).
Baris kadua snmp-server pamaké - ngahartikeun pamaké snmpv3user, kaanggotaan na di grup snmpv3group, kitu ogé pamakéan auténtikasi md5 (sandi pikeun md5 nyaeta md5v3v3v3) jeung des enkripsi (sandi pikeun des nyaéta des56v3v3v3). Tangtosna, langkung saé ngagunakeun aes tibatan des; Kuring masihan éta di dieu sabagé conto. Ogé, nalika netepkeun pangguna, anjeun tiasa nambihan daptar aksés (ACL) anu ngatur alamat IP tina server ngawaskeun anu gaduh hak pikeun ngawas alat ieu - ieu ogé prakték pangsaéna, tapi kuring moal ngahesekeun conto urang.
Garis katilu snmp-server view ngahartikeun ngaran kode nu nangtukeun cabang tina snmpv3name MIB tangkal ambéh maranéhanana bisa queried ku grup pamaké snmpv3group. ISO, tinimbang mastikeun hiji cabang tunggal, ngamungkinkeun grup pamaké snmpv3group ngakses sadaya objék dina tangkal MIB tina obyék ngawaskeun.
Setélan anu sami pikeun alat Huawei (ogé dina CLI) sapertos kieu:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Saatos nyetél alat jaringan, anjeun kedah mariksa aksés ti server monitoring via protokol SNMPv3, kuring bakal nganggo snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Alat anu langkung visual pikeun nyuhunkeun objék OID khusus nganggo file MIB nyaéta snmpget:
Ayeuna hayu urang teraskeun kana nyetél unsur data khas pikeun SNMPv3, dina citakan Zabbix. Pikeun kesederhanaan sareng kamerdikaan MIB, kuring nganggo OID digital:
Kuring make macros custom dina widang konci sabab bakal sarua pikeun sakabéh elemen data dina citakan. Anjeun tiasa nyetél éta dina citakan, upami sadaya alat jaringan dina jaringan anjeun gaduh parameter SNMPv3 anu sami, atanapi dina titik jaringan, upami parameter SNMPv3 pikeun objék ngawaskeun anu béda-béda béda:
Punten dicatet yén sistem ngawaskeun ngan ukur gaduh nami pangguna sareng kecap konci pikeun auténtikasi sareng enkripsi. Grup pamaké sarta wengkuan objék MIB nu aksés diwenangkeun dieusian dina obyék ngawaskeun.
Ayeuna hayu urang ngaléngkah ka ngeusian témplat.
Citakan polling Zabbix
Aturan anu saderhana nalika nyiptakeun témplat survéy nyaéta ngadamel témplat sadetil jéntré:
Kuring nengetan hébat kana inventory sangkan leuwih gampang pikeun digawe sareng jaringan badag. Langkung seueur ngeunaan ieu sakedik engké, tapi pikeun ayeuna - pemicu:
Pikeun ngagampangkeun visualisasi pemicu, makro sistem {HOST.CONN} kalebet dina namina supados henteu ngan ukur nami alat, tapi ogé alamat IP anu dipidangkeun dina dasbor dina bagian ngageter, sanaos ieu langkung seueur perkawis genah tibatan kabutuhan. . Pikeun nangtukeun naha alat teu sadia, sajaba pamundut gema dawam, abdi nganggo cek pikeun unavailability host ngagunakeun protokol SNMP, nalika obyék diaksés via ICMP tapi teu ngabales requests SNMP - kaayaan ieu mungkin, contona. , nalika alamat IP diduplikasi dina alat anu béda, kusabab firewall anu teu leres dikonpigurasi, atanapi setélan SNMP anu salah dina ngawaskeun objék. Lamun make mariksa kasadiaan host ukur via ICMP, dina waktu nalungtik kajadian dina jaringan, data ngawas bisa jadi teu sadia, jadi resi maranéhanana kudu diawaskeun.
Hayu urang ngaléngkah ka ngadeteksi interfaces jaringan - pikeun alat jaringan ieu fungsi ngawaskeun pangpentingna. Kusabab meureun aya ratusan panganteur dina alat jaringan, perlu pikeun nyaring kaluar nu teu perlu ku kituna teu clutter visualisasi atawa clutter database.
Abdi nganggo fungsi penemuan SNMP standar, kalayan parameter anu langkung tiasa dipanggihan, pikeun panyaring anu langkung fleksibel:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Kalayan penemuan ieu, anjeun tiasa nyaring antarmuka jaringan dumasar kana jinisna, déskripsi khusus, sareng status port administratif. Saringan sareng ekspresi biasa pikeun nyaring dina kasus kuring sapertos kieu:
Upami dideteksi, antarmuka di handap ieu bakal dikaluarkeun:
- sacara manual ditumpurkeun (adminstatus<>1), hatur nuhun kana IFADMINSTATUS;
- tanpa pedaran téks, hatur nuhun IFALIAS;
- ngabogaan simbol * dina pedaran téks, hatur nuhun kana IFALIAS;
- éta layanan atawa teknis, hatur nuhun kana IFDESCR (bisi kuring, dina ungkapan biasa IFALIAS na IFDESCR dipariksa ku hiji alias ekspresi biasa).
Témplat pikeun ngumpulkeun data nganggo protokol SNMPv3 ampir siap. Urang moal cicing di leuwih jéntré ngeunaan prototipe elemen data pikeun interfaces jaringan; hayu urang ngaléngkah ka hasilna.
Hasil monitoring
Pikeun mimitian, inventaris jaringan leutik:
Upami anjeun nyiapkeun témplat pikeun unggal séri alat jaringan, anjeun tiasa ngahontal perenah data ringkesan data anu gampang dianalisis dina parangkat lunak ayeuna, nomer séri, sareng béwara ngeunaan anu langkung bersih anu sumping ka server (kusabab Uptime rendah). Kutipan tina daptar template kuring di handap:
Sareng ayeuna - panel ngawaskeun utama, kalayan pemicu anu disebarkeun ku tingkat parah:
Hatur nuhun kana pendekatan terpadu kana témplat pikeun tiap model alat dina jaringan, kasebut nyaéta dimungkinkeun pikeun mastikeun yén dina kerangka hiji sistem ngawaskeun alat keur prediksi faults jeung kacilakaan bakal diatur (lamun sensor luyu jeung metrics sadia). Zabbix cocog pisan pikeun ngawaskeun jaringan, server, sareng infrastruktur jasa, sareng tugas ngajaga alat jaringan jelas nunjukkeun kamampuanna.
Daptar sumber anu dianggo:1. Hucaby D. CCNP Routing na switching SWITCH 300-115 Guide Cert resmi. Cisco Pencét, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Guide Konfigurasi SNMP, Cisco ios XE Release 3SE. Bab: SNMP Vérsi 3.
sumber: www.habr.com