Makala hii imejitolea kwa vipengele vya ufuatiliaji wa vifaa vya mtandao kwa kutumia itifaki ya SNMPv3. Tutazungumza kuhusu SNMPv3, nitashiriki uzoefu wangu katika kuunda violezo kamili katika Zabbix, na nitaonyesha kile kinachoweza kupatikana wakati wa kuandaa arifa zilizosambazwa katika mtandao mkubwa. Itifaki ya SNMP ndio kuu wakati wa kuangalia vifaa vya mtandao, na Zabbix ni nzuri kwa ufuatiliaji wa idadi kubwa ya vitu na muhtasari wa idadi kubwa ya metriki zinazoingia.
Maneno machache kuhusu SNMPv3
Hebu tuanze na madhumuni ya itifaki ya SNMPv3 na vipengele vya matumizi yake. Majukumu ya SNMP ni kufuatilia vifaa vya mtandao na usimamizi wa kimsingi kwa kutuma amri rahisi kwao (kwa mfano, kuwezesha na kuzima miingiliano ya mtandao, au kuwasha kifaa upya).
Tofauti kuu kati ya itifaki ya SNMPv3 na matoleo yake ya awali ni utendaji wa kawaida wa usalama [1-3], yaani:
- Uthibitishaji, ambao huamua kuwa ombi lilipokelewa kutoka kwa chanzo kinachoaminika;
- usimbaji fiche (Usimbaji fiche), ili kuzuia ufichuzi wa data zinazopitishwa wakati wa kuingiliwa na wahusika wengine;
- uadilifu, yaani, dhamana ya kwamba pakiti haijaharibiwa wakati wa maambukizi.
SNMPv3 inamaanisha matumizi ya muundo wa usalama ambapo mkakati wa uthibitishaji umewekwa kwa mtumiaji fulani na kikundi ambacho anahusika (katika matoleo ya awali ya SNMP, ombi kutoka kwa seva hadi kwa kifaa cha ufuatiliaji ikilinganishwa na "jumuiya" pekee, maandishi. kamba yenye "nenosiri" iliyotumwa kwa maandishi wazi (maandishi wazi)).
SNMPv3 inatanguliza dhana ya viwango vya usalama - viwango vinavyokubalika vya usalama vinavyoamua usanidi wa vifaa na tabia ya wakala wa SNMP wa kitu cha ufuatiliaji. Mchanganyiko wa muundo wa usalama na kiwango cha usalama huamua ni njia gani ya usalama inatumiwa wakati wa kuchakata pakiti ya SNMP [4].
Jedwali linaelezea mchanganyiko wa mifano na viwango vya usalama vya SNMPv3 (niliamua kuacha safu wima tatu za kwanza kama zilivyo asili):
Ipasavyo, tutatumia SNMPv3 katika hali ya uthibitishaji kwa kutumia usimbaji fiche.
Inasanidi SNMPv3
Ufuatiliaji wa vifaa vya mtandao unahitaji usanidi sawa wa itifaki ya SNMPv3 kwenye seva ya ufuatiliaji na kitu kinachofuatiliwa.
Wacha tuanze na kusanidi kifaa cha mtandao cha Cisco, usanidi wake wa chini unaohitajika ni kama ifuatavyo (kwa usanidi tunatumia CLI, nimerahisisha majina na nywila ili kuzuia machafuko):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedKikundi cha kwanza cha snmp-server - kinafafanua kikundi cha watumiaji wa SNMPv3 (snmpv3group), hali ya kusoma (soma), na haki ya ufikiaji ya kikundi cha snmpv3group kutazama matawi fulani ya mti wa MIB wa kitu cha ufuatiliaji (snmpv3name kisha kwenye usanidi unabainisha ni matawi gani ya mti wa MIB ambayo kikundi kinaweza kufikia snmpv3group yataweza kupata ufikiaji).
Mtumiaji wa mstari wa pili wa snmp-server - anafafanua mtumiaji snmpv3user, uanachama wake katika kikundi cha snmpv3group, pamoja na matumizi ya uthibitishaji wa md5 (nenosiri la md5 ni md5v3v3v3) na des encryption (nenosiri kwa des ni des56v3v3v3). Kwa kweli, ni bora kutumia aes badala ya des; ninatoa hapa kama mfano tu. Pia, wakati wa kufafanua mtumiaji, unaweza kuongeza orodha ya ufikiaji (ACL) ambayo inadhibiti anwani za IP za seva za ufuatiliaji ambazo zina haki ya kufuatilia kifaa hiki - hii pia ni mazoezi bora, lakini sitatanisha mfano wetu.
Mtazamo wa mstari wa tatu wa snmp-server unafafanua jina la msimbo ambalo linabainisha matawi ya mti wa snmpv3name MIB ili yaweze kuulizwa na kikundi cha watumiaji wa snmpv3group. ISO, badala ya kufafanua kabisa tawi moja, inaruhusu kikundi cha watumiaji wa snmpv3group kufikia vitu vyote kwenye mti wa MIB wa kitu cha ufuatiliaji.
Usanidi sawa wa vifaa vya Huawei (pia kwenye CLI) inaonekana kama hii:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Baada ya kusanidi vifaa vya mtandao, unahitaji kuangalia ufikiaji kutoka kwa seva ya ufuatiliaji kupitia itifaki ya SNMPv3, nitatumia snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Chombo cha kuona zaidi cha kuomba vitu maalum vya OID kwa kutumia faili za MIB ni snmpget:
Sasa hebu tuendelee kusanidi kipengee cha kawaida cha data kwa SNMPv3, ndani ya kiolezo cha Zabbix. Kwa unyenyekevu na uhuru wa MIB, mimi hutumia OID za dijiti:
Ninatumia makro maalum katika sehemu muhimu kwa sababu zitakuwa sawa kwa vipengele vyote vya data kwenye kiolezo. Unaweza kuziweka ndani ya kiolezo, ikiwa vifaa vyote vya mtandao kwenye mtandao wako vina vigezo sawa vya SNMPv3, au ndani ya nodi ya mtandao, ikiwa vigezo vya SNMPv3 vya vitu tofauti vya ufuatiliaji ni tofauti:
Tafadhali kumbuka kuwa mfumo wa ufuatiliaji una jina la mtumiaji na nywila pekee za uthibitishaji na usimbaji fiche. Kikundi cha watumiaji na upeo wa vitu vya MIB ambavyo ufikiaji unaruhusiwa vimebainishwa kwenye kitu cha ufuatiliaji.
Sasa hebu tuendelee kujaza kiolezo.
Kiolezo cha kura ya Zabbix
Sheria rahisi wakati wa kuunda violezo vyovyote vya uchunguzi ni kuzifanya kuwa za kina iwezekanavyo:
Ninalipa kipaumbele kikubwa kwa hesabu ili iwe rahisi kufanya kazi na mtandao mkubwa. Zaidi juu ya hili baadaye kidogo, lakini kwa sasa - vichochezi:
Kwa urahisi wa kuona vichochezi, makro ya mfumo {HOST.CONN} yanajumuishwa katika majina yao ili sio tu majina ya vifaa, lakini pia anwani za IP zionyeshwe kwenye dashibodi katika sehemu ya arifa, ingawa hili ni suala la urahisi zaidi kuliko lazima. . Kuamua ikiwa kifaa hakipatikani, pamoja na ombi la kawaida la mwangwi, ninatumia hundi ya kutopatikana kwa mwenyeji kwa kutumia itifaki ya SNMP, wakati kitu kinapatikana kupitia ICMP lakini haijibu maombi ya SNMP - hali hii inawezekana, kwa mfano. , wakati anwani za IP zinarudiwa kwenye vifaa tofauti, kwa sababu ya ngome zilizosanidiwa vibaya, au mipangilio isiyo sahihi ya SNMP kwenye vitu vya ufuatiliaji. Ikiwa unatumia ukaguzi wa upatikanaji wa mwenyeji pekee kupitia ICMP, wakati wa kuchunguza matukio kwenye mtandao, data ya ufuatiliaji inaweza kuwa haipatikani, hivyo risiti yao lazima ifuatiliwe.
Hebu tuendelee kwenye kuchunguza miingiliano ya mtandao - kwa vifaa vya mtandao hii ndiyo kazi muhimu zaidi ya ufuatiliaji. Kwa kuwa kunaweza kuwa na mamia ya miingiliano kwenye kifaa cha mtandao, ni muhimu kuchuja zisizo za lazima ili usisumbue taswira au kusambaza hifadhidata.
Ninatumia kitendakazi cha kawaida cha ugunduzi wa SNMP, chenye vigezo vinavyoweza kugundulika zaidi, kwa uchujaji unaonyumbulika zaidi:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Kwa ugunduzi huu, unaweza kuchuja violesura vya mtandao kulingana na aina zake, maelezo maalum na hali za mlango wa msimamizi. Vichungi na misemo ya kawaida ya kuchuja katika kesi yangu inaonekana kama hii:
Ikigunduliwa, violesura vifuatavyo vitatengwa:
- imezimwa kwa mikono (adminstatus<>1), shukrani kwa IFADMINSTATUS;
- bila maelezo ya maandishi, shukrani kwa IFALIAS;
- kuwa na ishara * katika maelezo ya maandishi, shukrani kwa IFALIAS;
- ambazo ni huduma au kiufundi, shukrani kwa IFDESCR (kwa upande wangu, katika misemo ya kawaida IFALIAS na IFDESCR huangaliwa na lakabu moja ya kawaida ya kujieleza).
Kiolezo cha kukusanya data kwa kutumia itifaki ya SNMPv3 kiko karibu kuwa tayari. Hatutakaa kwa undani zaidi juu ya mifano ya vipengee vya data kwa miingiliano ya mtandao; wacha tuendelee kwenye matokeo.
Matokeo ya ufuatiliaji
Kuanza, fanya hesabu ya mtandao mdogo:
Ukitayarisha violezo kwa kila mfululizo wa vifaa vya mtandao, unaweza kufikia mpangilio rahisi wa kuchanganua wa data ya muhtasari kwenye programu ya sasa, nambari za mfululizo, na arifa ya kisafishaji kinachokuja kwenye seva (kutokana na muda mdogo wa Umeme). Sehemu ya orodha yangu ya violezo iko hapa chini:
Na sasa - jopo kuu la ufuatiliaji, na vichochezi vinavyosambazwa kwa kiwango cha ukali:
Shukrani kwa mbinu jumuishi ya violezo kwa kila modeli ya kifaa kwenye mtandao, inawezekana kuhakikisha kwamba, ndani ya mfumo wa mfumo mmoja wa ufuatiliaji, chombo cha kutabiri hitilafu na ajali kitapangwa (ikiwa vitambuzi na vipimo vinavyofaa vinapatikana). Zabbix inafaa kwa ufuatiliaji wa mtandao, seva, na miundombinu ya huduma, na kazi ya kudumisha vifaa vya mtandao inaonyesha wazi uwezo wake.
Orodha ya vyanzo vilivyotumika:1. Hucaby D. CCNP Kuelekeza na Kubadili SWITCH 300-115 Mwongozo Rasmi wa Hati. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Mwongozo wa Usanidi wa SNMP, Kutolewa kwa Cisco IOS XE 3SE. Sura: Toleo la 3 la SNMP.
Chanzo: mapenzi.com