இந்தக் கட்டுரை SNMPv3 நெறிமுறையைப் பயன்படுத்தி நெட்வொர்க் உபகரணங்களைக் கண்காணிக்கும் அம்சங்களுக்கு அர்ப்பணிக்கப்பட்டுள்ளது. நாங்கள் SNMPv3 பற்றி பேசுவோம், Zabbix இல் முழு அளவிலான டெம்ப்ளேட்களை உருவாக்குவதில் எனது அனுபவத்தைப் பகிர்ந்து கொள்கிறேன், மேலும் ஒரு பெரிய நெட்வொர்க்கில் விநியோகிக்கப்பட்ட எச்சரிக்கையை ஒழுங்கமைக்கும்போது என்ன அடைய முடியும் என்பதைக் காண்பிப்பேன். நெட்வொர்க் உபகரணங்களைக் கண்காணிக்கும் போது SNMP நெறிமுறை முக்கியமானது, மேலும் அதிக எண்ணிக்கையிலான பொருட்களைக் கண்காணிப்பதற்கும் உள்வரும் அளவீடுகளின் பெரிய அளவைச் சுருக்கமாகக் கூறுவதற்கும் Zabbix சிறந்தது.
SNMPv3 பற்றி சில வார்த்தைகள்
SNMPv3 நெறிமுறையின் நோக்கம் மற்றும் அதன் பயன்பாட்டின் அம்சங்களுடன் ஆரம்பிக்கலாம். SNMP இன் பணிகள் நெட்வொர்க் சாதனங்கள் மற்றும் அடிப்படை நிர்வாகத்தை அவற்றுக்கு எளிய கட்டளைகளை அனுப்புவதன் மூலம் கண்காணித்தல் (உதாரணமாக, பிணைய இடைமுகங்களை இயக்குதல் மற்றும் முடக்குதல் அல்லது சாதனத்தை மறுதொடக்கம் செய்தல்).
SNMPv3 நெறிமுறைக்கும் அதன் முந்தைய பதிப்புகளுக்கும் இடையே உள்ள முக்கிய வேறுபாடு கிளாசிக் பாதுகாப்பு செயல்பாடுகள் [1-3] ஆகும், அதாவது:
- அங்கீகாரம், இது நம்பகமான மூலத்திலிருந்து கோரிக்கை பெறப்பட்டது என்பதை தீர்மானிக்கிறது;
- மறைகுறியாக்கம் (குறியாக்கம்), மூன்றாம் தரப்பினரால் இடைமறிக்கப்படும் போது கடத்தப்பட்ட தரவு வெளிப்படுத்தப்படுவதைத் தடுக்க;
- ஒருமைப்பாடு, அதாவது, பரிமாற்றத்தின் போது பாக்கெட் சிதைக்கப்படவில்லை என்பதற்கான உத்தரவாதம்.
SNMPv3 என்பது ஒரு பாதுகாப்பு மாதிரியைப் பயன்படுத்துவதைக் குறிக்கிறது, அதில் கொடுக்கப்பட்ட பயனர் மற்றும் அவர் சார்ந்த குழுவிற்கு அங்கீகார உத்தி அமைக்கப்பட்டுள்ளது (SNMP இன் முந்தைய பதிப்புகளில், சேவையகத்திலிருந்து கண்காணிப்பு பொருளுக்கான கோரிக்கை "சமூகம்", ஒரு உரையுடன் ஒப்பிடப்பட்டது. தெளிவான உரையில் அனுப்பப்படும் "கடவுச்சொல்" கொண்ட சரம் (வெற்று உரை)).
SNMPv3 பாதுகாப்பு நிலைகளின் கருத்தை அறிமுகப்படுத்துகிறது - ஏற்றுக்கொள்ளக்கூடிய பாதுகாப்பு நிலைகள் கருவிகளின் உள்ளமைவு மற்றும் கண்காணிப்பு பொருளின் SNMP முகவரின் நடத்தை ஆகியவற்றை தீர்மானிக்கிறது. பாதுகாப்பு மாதிரி மற்றும் பாதுகாப்பு நிலை ஆகியவற்றின் கலவையானது SNMP பாக்கெட்டை செயலாக்கும் போது எந்த பாதுகாப்பு பொறிமுறையைப் பயன்படுத்துகிறது என்பதை தீர்மானிக்கிறது [4].
அட்டவணை மாதிரிகள் மற்றும் SNMPv3 பாதுகாப்பு நிலைகளின் சேர்க்கைகளை விவரிக்கிறது (முதல் மூன்று நெடுவரிசைகளை அசல் போலவே விட்டுவிட முடிவு செய்தேன்):
அதன்படி, குறியாக்கத்தைப் பயன்படுத்தி அங்கீகார பயன்முறையில் SNMPv3 ஐப் பயன்படுத்துவோம்.
SNMPv3 ஐ கட்டமைக்கிறது
நெட்வொர்க் உபகரணங்களை கண்காணிப்பதற்கு கண்காணிப்பு சேவையகம் மற்றும் கண்காணிக்கப்படும் பொருள் இரண்டிலும் SNMPv3 நெறிமுறையின் ஒரே கட்டமைப்பு தேவைப்படுகிறது.
சிஸ்கோ நெட்வொர்க் சாதனத்தை அமைப்பதில் தொடங்குவோம், அதன் குறைந்தபட்ச தேவையான உள்ளமைவு பின்வருமாறு (கட்டமைப்பிற்கு நாம் CLI ஐப் பயன்படுத்துகிறோம், குழப்பத்தைத் தவிர்க்க பெயர்கள் மற்றும் கடவுச்சொற்களை எளிதாக்கினேன்):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included
முதல் வரி snmp-சர்வர் குழு - SNMPv3 பயனர்களின் குழுவை (snmpv3group), வாசிப்பு முறை (படிக்க), மற்றும் கண்காணிப்பு பொருளின் MIB மரத்தின் சில கிளைகளைக் காண snmpv3 குழுவின் அணுகல் உரிமையை வரையறுக்கிறது (snmpv3name பின்னர் உள்ள MIB மரத்தின் எந்த கிளைகளை குழு அணுக முடியும் என்பதை கட்டமைப்பு குறிப்பிடுகிறது snmpv3group அணுகலைப் பெற முடியும்).
இரண்டாவது வரி snmp-சர்வர் பயனர் – பயனர் snmpv3user, snmpv3group குழுவில் அவரது உறுப்பினர், அத்துடன் md5 அங்கீகாரம் (md5 க்கான கடவுச்சொல் md5v3v3v3) மற்றும் des குறியாக்கம் (des க்கான கடவுச்சொல் des56v3v3v3) ஆகியவற்றை வரையறுக்கிறது. நிச்சயமாக, des க்குப் பதிலாக aes ஐப் பயன்படுத்துவது நல்லது; நான் அதை இங்கே ஒரு உதாரணத்திற்குத் தருகிறேன். மேலும், ஒரு பயனரை வரையறுக்கும் போது, இந்தச் சாதனத்தைக் கண்காணிக்கும் உரிமையைக் கொண்ட கண்காணிப்பு சேவையகங்களின் ஐபி முகவரிகளை ஒழுங்குபடுத்தும் அணுகல் பட்டியலை (ACL) நீங்கள் சேர்க்கலாம் - இதுவும் சிறந்த நடைமுறையாகும், ஆனால் எங்கள் உதாரணத்தை நான் சிக்கலாக்க மாட்டேன்.
மூன்றாவது வரி snmp-சர்வர் காட்சியானது snmpv3name MIB மரத்தின் கிளைகளைக் குறிப்பிடும் குறியீட்டுப் பெயரை வரையறுக்கிறது, இதனால் அவை snmpv3group பயனர் குழுவால் வினவப்படும். ISO, ஒரு ஒற்றை கிளையை கண்டிப்பாக வரையறுக்காமல், snmpv3group பயனர் குழுவை கண்காணிப்பு பொருளின் MIB ட்ரீயில் உள்ள அனைத்து பொருட்களையும் அணுக அனுமதிக்கிறது.
Huawei உபகரணங்களுக்கான இதே போன்ற அமைப்பு (CLI இல் உள்ளது) இது போல் தெரிகிறது:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3
நெட்வொர்க் சாதனங்களை அமைத்த பிறகு, SNMPv3 நெறிமுறை வழியாக கண்காணிப்பு சேவையகத்திலிருந்து அணுகலை நீங்கள் சரிபார்க்க வேண்டும், நான் snmpwalk ஐப் பயன்படுத்துவேன்:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB கோப்புகளைப் பயன்படுத்தி குறிப்பிட்ட OID பொருட்களைக் கோருவதற்கான கூடுதல் காட்சிக் கருவி snmpget:
இப்போது Zabbix டெம்ப்ளேட்டிற்குள் SNMPv3 க்கான பொதுவான தரவு உறுப்பை அமைப்பதற்கு செல்லலாம். எளிமை மற்றும் MIB சுதந்திரத்திற்காக, நான் டிஜிட்டல் OIDகளைப் பயன்படுத்துகிறேன்:
டெம்ப்ளேட்டில் உள்ள அனைத்து தரவு உறுப்புகளுக்கும் ஒரே மாதிரியாக இருக்கும் என்பதால், முக்கிய புலங்களில் தனிப்பயன் மேக்ரோக்களைப் பயன்படுத்துகிறேன். உங்கள் நெட்வொர்க்கில் உள்ள அனைத்து நெட்வொர்க் சாதனங்களும் ஒரே மாதிரியான SNMPv3 அளவுருக்களைக் கொண்டிருந்தால் அல்லது நெட்வொர்க் முனைக்குள், வெவ்வேறு கண்காணிப்புப் பொருட்களுக்கான SNMPv3 அளவுருக்கள் வேறுபட்டால், அவற்றை ஒரு டெம்ப்ளேட்டில் அமைக்கலாம்:
கண்காணிப்பு அமைப்பில் அங்கீகாரம் மற்றும் குறியாக்கத்திற்கான பயனர்பெயர் மற்றும் கடவுச்சொற்கள் மட்டுமே உள்ளன என்பதை நினைவில் கொள்ளவும். பயனர் குழு மற்றும் அணுகல் அனுமதிக்கப்படும் MIB பொருள்களின் நோக்கம் கண்காணிப்பு பொருளில் குறிப்பிடப்பட்டுள்ளது.
இப்போது டெம்ப்ளேட்டை நிரப்புவதற்கு செல்லலாம்.
Zabbix வாக்கெடுப்பு டெம்ப்ளேட்
கணக்கெடுப்பு வார்ப்புருக்களை உருவாக்கும் போது ஒரு எளிய விதி, அவற்றை முடிந்தவரை விரிவாக உருவாக்குவது:
ஒரு பெரிய நெட்வொர்க்குடன் வேலை செய்வதை எளிதாக்க, சரக்குகளில் நான் அதிக கவனம் செலுத்துகிறேன். இதைப் பற்றி சிறிது நேரம் கழித்து, ஆனால் இப்போதைக்கு - தூண்டுதல்கள்:
தூண்டுதல்களை எளிதாகக் காட்சிப்படுத்துவதற்கு, சிஸ்டம் மேக்ரோக்கள் {HOST.CONN} அவற்றின் பெயர்களில் சேர்க்கப்பட்டுள்ளன, இதனால் சாதனப் பெயர்கள் மட்டுமின்றி IP முகவரிகளும் டேஷ்போர்டில் எச்சரிக்கைப் பிரிவில் காட்டப்படும், இருப்பினும் இது தேவையை விட வசதிக்கான விஷயம். . சாதனம் கிடைக்கவில்லையா என்பதைத் தீர்மானிக்க, வழக்கமான எதிரொலி கோரிக்கைக்கு கூடுதலாக, SNMP நெறிமுறையைப் பயன்படுத்தி ஹோஸ்ட் கிடைக்காததா என்பதை நான் சரிபார்க்கிறேன், ICMP வழியாக பொருள் அணுகக்கூடியது ஆனால் SNMP கோரிக்கைகளுக்கு பதிலளிக்காது - இந்த சூழ்நிலை சாத்தியமாகும், எடுத்துக்காட்டாக. , ஐபி முகவரிகள் வெவ்வேறு சாதனங்களில் நகலெடுக்கப்படும் போது, தவறாக உள்ளமைக்கப்பட்ட ஃபயர்வால்கள் அல்லது கண்காணிப்பு பொருள்களில் தவறான SNMP அமைப்புகள் காரணமாக. ICMP மூலம் மட்டுமே ஹோஸ்ட் கிடைக்கும் தன்மை சரிபார்ப்பைப் பயன்படுத்தினால், நெட்வொர்க்கில் நடக்கும் சம்பவங்களை விசாரிக்கும் நேரத்தில், கண்காணிப்புத் தரவு கிடைக்காமல் போகலாம், எனவே அவற்றின் ரசீது கண்காணிக்கப்பட வேண்டும்.
பிணைய இடைமுகங்களைக் கண்டறிவதற்குச் செல்லலாம் - பிணைய உபகரணங்களுக்கு இது மிக முக்கியமான கண்காணிப்புச் செயல்பாடாகும். நெட்வொர்க் சாதனத்தில் நூற்றுக்கணக்கான இடைமுகங்கள் இருக்கக்கூடும் என்பதால், காட்சிப்படுத்தலை ஒழுங்கீனம் செய்யவோ அல்லது தரவுத்தளத்தை ஒழுங்கீனம் செய்யவோ தேவையற்றவற்றை வடிகட்டுவது அவசியம்.
மிகவும் நெகிழ்வான வடிகட்டலுக்கு, மேலும் கண்டறியக்கூடிய அளவுருக்களுடன் நிலையான SNMP கண்டுபிடிப்பு செயல்பாட்டைப் பயன்படுத்துகிறேன்:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
இந்த கண்டுபிடிப்பின் மூலம், நெட்வொர்க் இடைமுகங்களை அவற்றின் வகைகள், தனிப்பயன் விளக்கங்கள் மற்றும் நிர்வாக போர்ட் நிலைகள் மூலம் வடிகட்டலாம். எனது வழக்கில் வடிகட்டுவதற்கான வடிப்பான்கள் மற்றும் வழக்கமான வெளிப்பாடுகள் இப்படி இருக்கும்:
கண்டறியப்பட்டால், பின்வரும் இடைமுகங்கள் விலக்கப்படும்:
- கைமுறையாக முடக்கப்பட்டது (நிர்வாகம்<>1), நன்றி IFADMINSTATUS;
- உரை விளக்கம் இல்லாமல், ஐஃபாலியாஸுக்கு நன்றி;
- IFALIAS க்கு நன்றி, உரை விளக்கத்தில் * என்ற குறியீடு உள்ளது;
- சேவை அல்லது தொழில்நுட்பம், IFDESCR க்கு நன்றி (என்னுடைய விஷயத்தில், வழக்கமான வெளிப்பாடுகளில் IFALIAS மற்றும் IFDESCR ஆகியவை ஒரு வழக்கமான வெளிப்பாடு மாற்று மூலம் சரிபார்க்கப்படுகின்றன).
SNMPv3 நெறிமுறையைப் பயன்படுத்தி தரவு சேகரிப்பதற்கான டெம்ப்ளேட் கிட்டத்தட்ட தயாராக உள்ளது. பிணைய இடைமுகங்களுக்கான தரவு கூறுகளின் முன்மாதிரிகளில் நாங்கள் இன்னும் விரிவாக வாழ மாட்டோம்; முடிவுகளுக்கு செல்லலாம்.
கண்காணிப்பு முடிவுகள்
தொடங்குவதற்கு, ஒரு சிறிய நெட்வொர்க்கின் சரக்குகளை எடுத்துக் கொள்ளுங்கள்:
நெட்வொர்க் சாதனங்களின் ஒவ்வொரு தொடருக்கும் டெம்ப்ளேட்களை நீங்கள் தயார் செய்தால், தற்போதைய மென்பொருள், வரிசை எண்கள் மற்றும் சர்வருக்கு வரும் கிளீனரின் அறிவிப்பு (குறைந்த இயக்க நேரம் காரணமாக) பற்றிய சுருக்கத் தரவின் எளிதாக பகுப்பாய்வு செய்யக்கூடிய தளவமைப்பை நீங்கள் அடையலாம். எனது டெம்ப்ளேட் பட்டியலின் ஒரு பகுதி கீழே உள்ளது:
இப்போது - முக்கிய கண்காணிப்பு குழு, தீவிர நிலை மூலம் விநியோகிக்கப்படும் தூண்டுதல்கள்:
நெட்வொர்க்கில் உள்ள ஒவ்வொரு சாதன மாடலுக்கான வார்ப்புருக்களுக்கான ஒருங்கிணைந்த அணுகுமுறைக்கு நன்றி, ஒரு கண்காணிப்பு அமைப்பின் கட்டமைப்பிற்குள், தவறுகள் மற்றும் விபத்துகளைக் கணிக்கும் கருவி (பொருத்தமான சென்சார்கள் மற்றும் அளவீடுகள் இருந்தால்) ஒழுங்கமைக்கப்படும் என்பதை உறுதிப்படுத்த முடியும். நெட்வொர்க், சர்வர் மற்றும் சேவை உள்கட்டமைப்புகளை கண்காணிப்பதற்கு Zabbix மிகவும் பொருத்தமானது, மேலும் நெட்வொர்க் உபகரணங்களை பராமரிக்கும் பணி அதன் திறன்களை தெளிவாக நிரூபிக்கிறது.
பயன்படுத்தப்படும் ஆதாரங்களின் பட்டியல்:1. Hucaby D. CCNP ரூட்டிங் மற்றும் ஸ்விட்ச் ஸ்விட்ச் 300-115 அதிகாரப்பூர்வ சான்றிதழ் வழிகாட்டி. சிஸ்கோ பிரஸ், 2014. பக். 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP கட்டமைப்பு வழிகாட்டி, சிஸ்கோ IOS XE வெளியீடு 3SE. அத்தியாயம்: SNMP பதிப்பு 3.
ஆதாரம்: www.habr.com