Zabbixలో SNMPv3 ద్వారా నెట్‌వర్క్ పరికరాలను పర్యవేక్షించడం

ఈ కథనం SNMPv3 ప్రోటోకాల్‌ని ఉపయోగించి నెట్‌వర్క్ పరికరాలను పర్యవేక్షించే లక్షణాలకు అంకితం చేయబడింది. మేము SNMPv3 గురించి మాట్లాడుతాము, Zabbix లో పూర్తి స్థాయి టెంప్లేట్‌లను రూపొందించడంలో నా అనుభవాన్ని పంచుకుంటాను మరియు పెద్ద నెట్‌వర్క్‌లో పంపిణీ చేయబడిన హెచ్చరికలను నిర్వహించేటప్పుడు ఏమి సాధించవచ్చో నేను చూపిస్తాను. నెట్‌వర్క్ పరికరాలను పర్యవేక్షించేటప్పుడు SNMP ప్రోటోకాల్ ప్రధానమైనది మరియు పెద్ద సంఖ్యలో వస్తువులను పర్యవేక్షించడానికి మరియు ఇన్‌కమింగ్ మెట్రిక్‌ల యొక్క పెద్ద వాల్యూమ్‌లను సంగ్రహించడానికి Zabbix గొప్పది.

SNMPv3 గురించి కొన్ని మాటలు

SNMPv3 ప్రోటోకాల్ యొక్క ప్రయోజనం మరియు దాని ఉపయోగం యొక్క లక్షణాలతో ప్రారంభిద్దాం. SNMP యొక్క విధులు నెట్‌వర్క్ పరికరాలను మరియు ప్రాథమిక నిర్వహణను వాటికి సాధారణ ఆదేశాలను పంపడం ద్వారా పర్యవేక్షించడం (ఉదాహరణకు, నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లను ప్రారంభించడం మరియు నిలిపివేయడం లేదా పరికరాన్ని రీబూట్ చేయడం).

SNMPv3 ప్రోటోకాల్ మరియు దాని మునుపటి సంస్కరణల మధ్య ప్రధాన వ్యత్యాసం క్లాసిక్ సెక్యూరిటీ ఫంక్షన్‌లు [1-3], అవి:

• విశ్వసనీయ మూలం నుండి అభ్యర్థన స్వీకరించబడిందని నిర్ధారించే ప్రమాణీకరణ;
• ఎన్క్రిప్షన్ (ఎన్క్రిప్షన్), మూడవ పక్షాలు అడ్డగించినప్పుడు ప్రసారం చేయబడిన డేటాను బహిర్గతం చేయకుండా నిరోధించడానికి;
• సమగ్రత, అంటే, ప్రసార సమయంలో ప్యాకెట్ తారుమారు చేయబడలేదని హామీ.

SNMPv3 భద్రతా నమూనా యొక్క ఉపయోగాన్ని సూచిస్తుంది, దీనిలో ఇచ్చిన వినియోగదారు మరియు అతను చెందిన సమూహం కోసం ప్రమాణీకరణ వ్యూహం సెట్ చేయబడింది (SNMP యొక్క మునుపటి సంస్కరణల్లో, సర్వర్ నుండి మానిటరింగ్ ఆబ్జెక్ట్‌కు "కమ్యూనిటీ"తో మాత్రమే పోల్చబడిన అభ్యర్థన స్పష్టమైన వచనంలో (సాదా వచనం) ప్రసారం చేయబడిన “పాస్‌వర్డ్”తో స్ట్రింగ్.

SNMPv3 భద్రతా స్థాయిల భావనను పరిచయం చేస్తుంది - పరికరాల కాన్ఫిగరేషన్ మరియు పర్యవేక్షణ వస్తువు యొక్క SNMP ఏజెంట్ యొక్క ప్రవర్తనను నిర్ణయించే ఆమోదయోగ్యమైన భద్రతా స్థాయిలు. భద్రతా నమూనా మరియు భద్రతా స్థాయి కలయిక SNMP ప్యాకెట్‌ను ప్రాసెస్ చేస్తున్నప్పుడు ఏ భద్రతా యంత్రాంగాన్ని ఉపయోగించాలో నిర్ణయిస్తుంది [4].

నమూనాలు మరియు SNMPv3 భద్రతా స్థాయిల కలయికలను పట్టిక వివరిస్తుంది (నేను మొదటి మూడు నిలువు వరుసలను అసలు వలె ఉంచాలని నిర్ణయించుకున్నాను):

దీని ప్రకారం, మేము గుప్తీకరణను ఉపయోగించి ప్రమాణీకరణ మోడ్‌లో SNMPv3ని ఉపయోగిస్తాము.

SNMPv3ని కాన్ఫిగర్ చేస్తోంది

మానిటరింగ్ నెట్‌వర్క్ పరికరాలకు మానిటరింగ్ సర్వర్ మరియు మానిటర్ చేయబడిన ఆబ్జెక్ట్ రెండింటిలోనూ SNMPv3 ప్రోటోకాల్ యొక్క అదే కాన్ఫిగరేషన్ అవసరం.

సిస్కో నెట్‌వర్క్ పరికరాన్ని సెటప్ చేయడంతో ప్రారంభిద్దాం, దాని కనీస అవసరమైన కాన్ఫిగరేషన్ క్రింది విధంగా ఉంటుంది (కాన్ఫిగరేషన్ కోసం మేము CLIని ఉపయోగిస్తాము, గందరగోళాన్ని నివారించడానికి నేను పేర్లు మరియు పాస్‌వర్డ్‌లను సరళీకృతం చేసాను):

snmp-server group snmpv3group v3 priv read snmpv3name 
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included

మొదటి పంక్తి snmp-సర్వర్ సమూహం – SNMPv3 వినియోగదారుల సమూహాన్ని (snmpv3group), రీడ్ మోడ్ (చదవండి) మరియు పర్యవేక్షణ వస్తువు యొక్క MIB ట్రీలోని కొన్ని శాఖలను వీక్షించడానికి snmpv3గ్రూప్ సమూహం యొక్క యాక్సెస్ హక్కును నిర్వచిస్తుంది (snmpv3name తర్వాత సమూహం snmpv3groupని యాక్సెస్ చేయగల MIB ట్రీ యొక్క ఏ శాఖలను యాక్సెస్ చేయగలదో ఆకృతీకరణ నిర్దేశిస్తుంది).

రెండవ పంక్తి snmp-సర్వర్ వినియోగదారు – వినియోగదారు snmpv3user, snmpv3group సమూహంలో అతని సభ్యత్వం, అలాగే md5 ప్రమాణీకరణ (md5 కోసం పాస్‌వర్డ్ md5v3v3v3) మరియు des ఎన్‌క్రిప్షన్ (des కోసం పాస్‌వర్డ్ des56v3v3v3)ను నిర్వచిస్తుంది. అయితే, des బదులుగా aesని ఉపయోగించడం ఉత్తమం; నేను దానిని ఇక్కడ ఒక ఉదాహరణగా ఇస్తున్నాను. అలాగే, వినియోగదారుని నిర్వచించేటప్పుడు, మీరు ఈ పరికరాన్ని పర్యవేక్షించే హక్కును కలిగి ఉన్న మానిటరింగ్ సర్వర్‌ల IP చిరునామాలను నియంత్రించే యాక్సెస్ జాబితా (ACL)ని జోడించవచ్చు - ఇది కూడా ఉత్తమ అభ్యాసం, కానీ నేను మా ఉదాహరణను క్లిష్టతరం చేయను.

మూడవ పంక్తి snmp-సర్వర్ వీక్షణ snmpv3name MIB ట్రీ యొక్క శాఖలను పేర్కొనే కోడ్ పేరును నిర్వచిస్తుంది, తద్వారా వాటిని snmpv3group వినియోగదారు సమూహం ద్వారా ప్రశ్నించవచ్చు. ISO, ఒకే శాఖను ఖచ్చితంగా నిర్వచించే బదులు, పర్యవేక్షణ వస్తువు యొక్క MIB ట్రీలోని అన్ని వస్తువులను యాక్సెస్ చేయడానికి snmpv3group వినియోగదారు సమూహాన్ని అనుమతిస్తుంది.

Huawei పరికరాల కోసం ఇదే విధమైన సెటప్ (CLIలో కూడా) ఇలా కనిపిస్తుంది:

snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5 
            md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
            des56v3v3v3

నెట్‌వర్క్ పరికరాలను సెటప్ చేసిన తర్వాత, మీరు SNMPv3 ప్రోటోకాల్ ద్వారా పర్యవేక్షణ సర్వర్ నుండి యాక్సెస్ కోసం తనిఖీ చేయాలి, నేను snmpwalkని ఉపయోగిస్తాను:

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

MIB ఫైల్‌లను ఉపయోగించి నిర్దిష్ట OID ఆబ్జెక్ట్‌లను అభ్యర్థించడానికి మరింత దృశ్యమాన సాధనం snmpget:

ఇప్పుడు Zabbix టెంప్లేట్‌లో SNMPv3 కోసం ఒక సాధారణ డేటా ఎలిమెంట్‌ని సెటప్ చేయడానికి వెళ్దాం. సరళత మరియు MIB స్వతంత్రత కోసం, నేను డిజిటల్ OIDలను ఉపయోగిస్తాను:

నేను కీలక ఫీల్డ్‌లలో అనుకూల మాక్రోలను ఉపయోగిస్తాను ఎందుకంటే అవి టెంప్లేట్‌లోని అన్ని డేటా ఎలిమెంట్‌లకు ఒకే విధంగా ఉంటాయి. మీ నెట్‌వర్క్‌లోని అన్ని నెట్‌వర్క్ పరికరాలు ఒకే SNMPv3 పారామీటర్‌లను కలిగి ఉంటే లేదా నెట్‌వర్క్ నోడ్‌లో వేర్వేరు పర్యవేక్షణ ఆబ్జెక్ట్‌ల కోసం SNMPv3 పారామితులు భిన్నంగా ఉంటే, మీరు వాటిని టెంప్లేట్‌లో సెట్ చేయవచ్చు:

మానిటరింగ్ సిస్టమ్ ప్రామాణీకరణ మరియు ఎన్‌క్రిప్షన్ కోసం వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌లను మాత్రమే కలిగి ఉందని దయచేసి గమనించండి. వినియోగదారు సమూహం మరియు యాక్సెస్ అనుమతించబడిన MIB ఆబ్జెక్ట్‌ల పరిధి పర్యవేక్షణ వస్తువుపై పేర్కొనబడ్డాయి.
ఇప్పుడు టెంప్లేట్‌ను పూరించడానికి వెళ్దాం.

Zabbix పోల్ టెంప్లేట్

ఏదైనా సర్వే టెంప్లేట్‌లను రూపొందించేటప్పుడు వాటిని సాధ్యమైనంత వివరంగా చేయడం ఒక సాధారణ నియమం:

పెద్ద నెట్‌వర్క్‌తో పని చేయడం సులభతరం చేయడానికి నేను ఇన్వెంటరీపై చాలా శ్రద్ధ చూపుతాను. దీని గురించి కొంచెం తరువాత, కానీ ప్రస్తుతానికి - ట్రిగ్గర్స్:

ట్రిగ్గర్‌ల విజువలైజేషన్ సౌలభ్యం కోసం, సిస్టమ్ మాక్రోలు {HOST.CONN} వాటి పేర్లలో చేర్చబడ్డాయి, తద్వారా పరికరం పేర్లు మాత్రమే కాకుండా IP చిరునామాలు కూడా హెచ్చరిక విభాగంలో డాష్‌బోర్డ్‌లో ప్రదర్శించబడతాయి, అయినప్పటికీ ఇది అవసరం కంటే ఎక్కువ సౌకర్యంగా ఉంటుంది. . పరికరం అందుబాటులో ఉందో లేదో తెలుసుకోవడానికి, సాధారణ ప్రతిధ్వని అభ్యర్థనతో పాటు, ఆబ్జెక్ట్ ICMP ద్వారా యాక్సెస్ చేయగలిగినప్పటికీ, SNMP అభ్యర్థనలకు ప్రతిస్పందించనప్పుడు, SNMP ప్రోటోకాల్‌ని ఉపయోగించి హోస్ట్ లభ్యత కోసం నేను తనిఖీని ఉపయోగిస్తాను - ఈ పరిస్థితి సాధ్యమే, ఉదాహరణకు , తప్పుగా కాన్ఫిగర్ చేయబడిన ఫైర్‌వాల్‌ల కారణంగా లేదా మానిటరింగ్ ఆబ్జెక్ట్‌లపై తప్పుగా SNMP సెట్టింగ్‌ల కారణంగా IP చిరునామాలు వేర్వేరు పరికరాల్లో నకిలీ చేయబడినప్పుడు. మీరు ICMP ద్వారా మాత్రమే హోస్ట్ లభ్యత తనిఖీని ఉపయోగిస్తే, నెట్‌వర్క్‌లోని సంఘటనలను పరిశోధించే సమయంలో, పర్యవేక్షణ డేటా అందుబాటులో ఉండకపోవచ్చు, కాబట్టి వారి రసీదుని తప్పనిసరిగా పర్యవేక్షించాలి.

నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లను గుర్తించడానికి ముందుకు వెళ్దాం - నెట్‌వర్క్ పరికరాల కోసం ఇది చాలా ముఖ్యమైన పర్యవేక్షణ ఫంక్షన్. నెట్‌వర్క్ పరికరంలో వందలాది ఇంటర్‌ఫేస్‌లు ఉండవచ్చు కాబట్టి, విజువలైజేషన్‌ను అస్తవ్యస్తం చేయకుండా లేదా డేటాబేస్‌ను అస్తవ్యస్తం చేయకుండా అనవసరమైన వాటిని ఫిల్టర్ చేయడం అవసరం.

నేను మరింత సౌకర్యవంతమైన వడపోత కోసం మరింత కనుగొనగలిగే పారామితులతో ప్రామాణిక SNMP డిస్కవరీ ఫంక్షన్‌ని ఉపయోగిస్తున్నాను:

discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]

ఈ ఆవిష్కరణతో, మీరు నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లను వాటి రకాలు, అనుకూల వివరణలు మరియు అడ్మినిస్ట్రేటివ్ పోర్ట్ స్టేటస్‌ల ద్వారా ఫిల్టర్ చేయవచ్చు. నా విషయంలో ఫిల్టర్ చేయడానికి ఫిల్టర్‌లు మరియు సాధారణ వ్యక్తీకరణలు ఇలా కనిపిస్తాయి:

గుర్తించినట్లయితే, కింది ఇంటర్‌ఫేస్‌లు మినహాయించబడతాయి:

• మానవీయంగా నిలిపివేయబడింది (అడ్మిన్‌స్టేటస్<>1), IFADMINSTATUSకి ధన్యవాదాలు;
• టెక్స్ట్ వివరణ లేకుండా, IFALIASకి ధన్యవాదాలు;
• టెక్స్ట్ వివరణలో * చిహ్నం కలిగి, IFALIASకి ధన్యవాదాలు;
• అవి సేవ లేదా సాంకేతికమైనవి, IFDESCRకి ధన్యవాదాలు (నా విషయంలో, సాధారణ వ్యక్తీకరణలలో IFALIAS మరియు IFDESCR ఒక సాధారణ వ్యక్తీకరణ అలియాస్ ద్వారా తనిఖీ చేయబడతాయి).

SNMPv3 ప్రోటోకాల్‌ని ఉపయోగించి డేటాను సేకరించే టెంప్లేట్ దాదాపు సిద్ధంగా ఉంది. నెట్‌వర్క్ ఇంటర్‌ఫేస్‌ల కోసం డేటా ఎలిమెంట్స్ యొక్క ప్రోటోటైప్‌లపై మేము మరింత వివరంగా నివసించము; ఫలితాలకు వెళ్దాం.

పర్యవేక్షణ ఫలితాలు

ప్రారంభించడానికి, చిన్న నెట్‌వర్క్ యొక్క జాబితాను తీసుకోండి:

మీరు నెట్‌వర్క్ పరికరాల యొక్క ప్రతి శ్రేణి కోసం టెంప్లేట్‌లను సిద్ధం చేస్తే, మీరు ప్రస్తుత సాఫ్ట్‌వేర్, క్రమ సంఖ్యలు మరియు సర్వర్‌కి వచ్చే క్లీనర్ నోటిఫికేషన్ (తక్కువ సమయ సమయము కారణంగా) సారాంశ డేటా యొక్క సులభంగా విశ్లేషించగల లేఅవుట్‌ను సాధించవచ్చు. నా టెంప్లేట్ జాబితా యొక్క సారాంశం క్రింద ఉంది:

మరియు ఇప్పుడు - ప్రధాన పర్యవేక్షణ ప్యానెల్, తీవ్రత స్థాయిల ద్వారా పంపిణీ చేయబడిన ట్రిగ్గర్‌లతో:

నెట్‌వర్క్‌లోని ప్రతి పరికర నమూనా కోసం టెంప్లేట్‌లకు సమీకృత విధానానికి ధన్యవాదాలు, ఒక పర్యవేక్షణ వ్యవస్థ యొక్క ఫ్రేమ్‌వర్క్‌లో, లోపాలు మరియు ప్రమాదాలను అంచనా వేయడానికి ఒక సాధనం నిర్వహించబడుతుందని నిర్ధారించడం సాధ్యమవుతుంది (తగిన సెన్సార్‌లు మరియు మెట్రిక్‌లు అందుబాటులో ఉంటే). నెట్‌వర్క్, సర్వర్ మరియు సర్వీస్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లను పర్యవేక్షించడానికి Zabbix బాగా సరిపోతుంది మరియు నెట్‌వర్క్ పరికరాలను నిర్వహించే పని దాని సామర్థ్యాలను స్పష్టంగా ప్రదర్శిస్తుంది.

ఉపయోగించిన మూలాల జాబితా:1. Hucaby D. CCNP రూటింగ్ మరియు స్విచింగ్ స్విచ్ 300-115 అధికారిక సర్ట్ గైడ్. సిస్కో ప్రెస్, 2014. pp. 325-329.
2. RFC 3410. tools.ietf.org/html/rfc3410
3. RFC 3415. tools.ietf.org/html/rfc3415
4. SNMP కాన్ఫిగరేషన్ గైడ్, సిస్కో IOS XE విడుదల 3SE. అధ్యాయం: SNMP వెర్షన్ 3. www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html

మూలం: www.habr.com