Ин мақола ба хусусиятҳои мониторинги таҷҳизоти шабакавӣ бо истифода аз протоколи SNMPv3 бахшида шудааст. Мо дар бораи SNMPv3 сӯҳбат хоҳем кард, ман таҷрибаи худро дар эҷоди қолабҳои мукаммал дар Zabbix мубодила мекунам ва ман нишон медиҳам, ки ҳангоми ташкили огоҳии тақсимшуда дар шабакаи калон чӣ ба даст овардан мумкин аст. Протоколи SNMP протоколи асосӣ ҳангоми мониторинги таҷҳизоти шабакавӣ мебошад ва Zabbix барои мониторинги шумораи зиёди объектҳо ва ҷамъбасти ҳаҷми калони метрикаи воридотӣ олӣ аст.
Чанд сухан дар бораи SNMPv3
Биёед бо мақсади протоколи SNMPv3 ва хусусиятҳои истифодаи он оғоз кунем. Вазифаҳои SNMP мониторинги дастгоҳҳои шабакавӣ ва идоракунии асосӣ тавассути фиристодани фармонҳои оддӣ ба онҳо (масалан, фаъол ва ғайрифаъол кардани интерфейсҳои шабакавӣ ё аз нав боркунии дастгоҳ) мебошанд.
Фарқи асосии байни протоколи SNMPv3 ва версияҳои қаблии он функсияҳои бехатарии классикӣ мебошанд [1-3], яъне:
- Аутентификатсия, ки муайян мекунад, ки дархост аз манбаи боэътимод гирифта шудааст;
- рамзкунонӣ (Encryption), барои пешгирии ифшои маълумоти интиқолшуда ҳангоми боздошти шахсони сеюм;
- якпорчагӣ, яъне кафолати он, ки баста дар вақти интиқол вайрон нашудааст.
SNMPv3 истифодаи модели бехатариро дар назар дорад, ки дар он стратегияи аутентификатсия барои корбари дода ва гурӯҳе, ки ӯ ба он тааллуқ дорад, муқаррар карда мешавад (дар версияҳои қаблии SNMP дархост аз сервер ба объекти мониторинг танҳо дар муқоиса бо “ҷомеа”, матн сатр бо "парол" бо матни равшан интиқол дода мешавад (матни оддӣ).
SNMPv3 мафҳуми сатҳҳои амниятро муаррифӣ мекунад - сатҳҳои бехатарии қобили қабул, ки конфигуратсияи таҷҳизот ва рафтори агенти SNMP-и объекти мониторингро муайян мекунанд. Маҷмӯаи модели амният ва сатҳи амният муайян мекунад, ки кадом механизми амният ҳангоми коркарди бастаи SNMP истифода мешавад [4].
Ҷадвал омезиши моделҳо ва сатҳи амнияти SNMPv3-ро тавсиф мекунад (ман тасмим гирифтам, ки се сутуни аввалро мисли аслӣ гузорам):
Мувофиқи он, мо SNMPv3-ро дар ҳолати аутентификатсия бо истифода аз рамзгузорӣ истифода хоҳем кард.
Танзими SNMPv3
Мониторинги таҷҳизоти шабакавӣ конфигуратсияи якхелаи протоколи SNMPv3-ро ҳам дар сервери мониторинг ва ҳам объекти назоратшаванда талаб мекунад.
Биёед бо насб кардани дастгоҳи шабакаи Cisco оғоз кунем, конфигуратсияи ҳадди ақали зарурии он чунин аст (барои конфигуратсия мо CLI-ро истифода мебарем, ман номҳо ва паролҳоро содда кардам, то нофаҳмиҳо роҳ надиҳем):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedСатри аввали гурӯҳи snmp-server - гурӯҳи корбарони SNMPv3 (snmpv3group), ҳолати хондан (хондан) ва ҳуқуқи дастрасии гурӯҳи snmpv3groupро барои дидани шохаҳои муайяни дарахти MIB-и объекти мониторинг (snmpv3name пас дар конфигуратсия муайян мекунад, ки кадом шохаҳои дарахти MIB, ки гурӯҳ метавонанд ба snmpv3group дастрасӣ пайдо кунанд).
Истифодабарии сатри дуюми snmp-сервер – истифодабарандаи snmpv3user, узвияти ӯро дар гурӯҳи snmpv3group, инчунин истифодаи аутентификатсияи md5 (гузарвожа барои md5 md5v3v3v3) ва рамзгузории des (парол барои des des56v3v3) муайян мекунад. Албатта, беҳтар аст, ки aes ба ҷои des истифода шавад; Ман онро дар ин ҷо ҳамчун мисол меорам. Инчунин, ҳангоми муайян кардани корбар шумо метавонед рӯйхати дастрасӣ (ACL) -ро илова кунед, ки суроғаҳои IP-и серверҳои мониторингро танзим мекунад, ки ҳуқуқи назорати ин дастгоҳро доранд - ин ҳам таҷрибаи беҳтарин аст, аммо ман мисоли моро душвор намесозам.
Намоиши сатри сеюми snmp-server номи кодро муайян мекунад, ки шохаҳои дарахти snmpv3name MIB-ро муайян мекунад, то онҳо аз ҷониби гурӯҳи корбарони snmpv3group дархост карда шаванд. ISO, ба ҷои муайян кардани як шохаи ягона, ба гурӯҳи корбарони snmpv3group имкон медиҳад, ки ба ҳама объектҳои дарахти MIB-и объекти мониторинг дастрасӣ пайдо кунанд.
Танзимоти шабеҳ барои таҷҳизоти Huawei (инчунин дар CLI) чунин менамояд:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Пас аз насб кардани дастгоҳҳои шабака, шумо бояд дастрасиро аз сервери мониторинг тавассути протоколи SNMPv3 тафтиш кунед, ман snmpwalk -ро истифода хоҳам кард:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Воситаи бештар визуалӣ барои дархости объектҳои мушаххаси OID бо истифода аз файлҳои MIB snmpget аст:
Акнун биёед ба танзими як унсури маъмулии маълумот барои SNMPv3 дар дохили қолаби Zabbix гузарем. Барои соддагӣ ва мустақилияти MIB, ман OID-ҳои рақамиро истифода мебарам:
Ман макросҳои фармоиширо дар майдонҳои калидӣ истифода мебарам, зеро онҳо барои ҳама унсурҳои додаҳои шаблон якхела хоҳанд буд. Шумо метавонед онҳоро дар дохили қолаб муқаррар кунед, агар ҳамаи дастгоҳҳои шабакавии шабакаи шумо параметрҳои якхелаи SNMPv3 дошта бошанд ё дар дохили гиреҳи шабака, агар параметрҳои SNMPv3 барои объектҳои мониторинги гуногун гуногун бошанд:
Лутфан таваҷҷӯҳ намоед, ки системаи мониторинг танҳо номи корбар ва паролҳо барои тасдиқ ва рамзгузорӣ дорад. Дар объекти мониторинг гурӯҳи корбар ва доираи объектҳои MIB, ки дастрасӣ ба онҳо иҷозат дода мешавад, муайян карда мешавад.
Акнун биёед ба пур кардани шаблон гузарем.
Шаблон барои пурсиш Zabbix
Қоидаи оддӣ ҳангоми сохтани ҳама гуна шаблонҳои пурсиш ин аст, ки онҳоро то ҳадди имкон муфассалтар созед:
Ман ба инвентаризатсия таваҷҷӯҳи зиёд медиҳам, то кор бо шабакаи калон осонтар шавад. Муфассалтар дар ин бора каме дертар, аммо ҳоло - триггерҳо:
Барои осонии визуализатсияи триггерҳо, макросҳои системавӣ {HOST.CONN} ба номҳои онҳо дохил карда шудаанд, то на танҳо номҳои дастгоҳ, балки суроғаҳои IP низ дар панели идоракунӣ дар қисмати огоҳкунӣ нишон дода шаванд, гарчанде ки ин бештар аз зарурат масъалаи роҳат аст. . Барои муайян кардани он, ки оё дастгоҳ дастнорас аст, ба ғайр аз дархости маъмулии эхо, ман санҷиши мавҷуд набудани мизбонро бо истифода аз протоколи SNMP истифода мебарам, вақте ки объект тавассути ICMP дастрас аст, аммо ба дархостҳои SNMP посух намедиҳад - ин ҳолат имконпазир аст, масалан , вақте ки суроғаҳои IP дар дастгоҳҳои гуногун такрор мешаванд, аз сабаби нодуруст танзимшудаи брандмауэрҳо ё танзимоти нодурусти SNMP дар объектҳои мониторинг. Агар шумо санҷиши дастрасии мизбонро танҳо тавассути ICMP истифода баред, ҳангоми таҳқиқи ҳодисаҳо дар шабака, маълумоти мониторинг мумкин нест, аз ин рӯ, гирифтани онҳо бояд назорат карда шавад.
Биёед ба ошкор кардани интерфейсҳои шабака гузарем - барои таҷҳизоти шабакавӣ ин муҳимтарин вазифаи мониторинг аст. Азбаски дар дастгоҳи шабакавӣ метавонад садҳо интерфейсҳо вуҷуд дошта бошанд, лозим аст, ки филтрҳои нолозимро хориҷ кунед, то визуализатсияро халалдор накунад ё базаи маълумотро вайрон накунад.
Ман функсияи кашфи стандартии SNMP-ро бо параметрҳои бозёфтшаванда барои филтри фасењтар истифода мебарам:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Бо ин кашф, шумо метавонед интерфейсҳои шабакаро аз рӯи намудҳо, тавсифи фармоишӣ ва ҳолати портҳои маъмурӣ филтр кунед. Филтрҳо ва ибораҳои муқаррарӣ барои филтр дар ҳолати ман чунинанд:
Агар ошкор карда шавад, интерфейсҳои зерин хориҷ карда мешаванд:
- дастӣ ғайрифаъол (adminstatus<>1), ба шарофати IFADMINSTATUS;
- бе тавсифи матн, ташаккур ба IFALIAS;
- дорои аломати * дар тавсифи матн, ба шарофати IFALIAS;
- ки ба туфайли IFDESCR хидмат ё техникӣ мебошанд (дар ҳолати ман, дар ибораҳои муқаррарии IFALIAS ва IFDESCR бо як тахаллуси ифодаи муқаррарӣ тафтиш карда мешаванд).
Шаблон барои ҷамъоварии маълумот бо истифода аз протоколи SNMPv3 қариб омода аст. Мо дар бораи прототипҳои унсурҳои додаҳо барои интерфейсҳои шабака муфассалтар таваққуф намекунем; биёед ба натиҷаҳо мегузарем.
Натичаи мониторинг
Барои оғоз кардани инвентаризатсияи шабакаи хурд:
Агар шумо барои ҳар як силсилаи дастгоҳҳои шабака қолабҳо омода кунед, шумо метавонед тарҳбандии таҳлили осони маълумоти ҷамъбастӣ дар бораи нармафзори ҷорӣ, рақамҳои силсилавӣ ва огоҳӣ дар бораи тозакунандае, ки ба сервер меояд (бо сабаби кам будани вақти кор) ноил шавед. Иқтибос аз рӯйхати шаблонҳои ман дар зер оварда шудааст:
Ва ҳоло - панели асосии мониторинг, бо триггерҳо аз рӯи дараҷаи вазнинӣ тақсим карда мешаванд:
Ба шарофати муносибати маҷмӯӣ ба шаблонҳо барои ҳар як модели дастгоҳ дар шабака, имконпазир аст, ки дар доираи як системаи мониторинг асбоби пешгӯии хатогиҳо ва садамаҳо ташкил карда шавад (агар мавҷуд будани сенсорҳо ва ченакҳои мувофиқ). Zabbix барои мониторинги шабака, сервер ва инфрасохтори хидматрасонӣ мувофиқ аст ва вазифаи нигоҳдории таҷҳизоти шабакавӣ қобилиятҳои онро равшан нишон медиҳад.
Рӯйхати манбаъҳои истифодашуда:1. Hucaby D. CCNP Масир ва Гузариш SWITCH 300-115 Дастури расмии Cert. Cisco Press, 2014. саҳ. 325-329.
2. RFC 3410.
3. RFC 3415.
4. Дастури конфигуратсияи SNMP, Cisco IOS XE Release 3SE. Боб: Версияи SNMP 3.
Манбаъ: will.com