Ang artikulong ito ay nakatuon sa mga tampok ng pagsubaybay sa kagamitan sa network gamit ang SNMPv3 protocol. Pag-uusapan natin ang tungkol sa SNMPv3, ibabahagi ko ang aking karanasan sa paglikha ng mga ganap na template sa Zabbix, at ipapakita ko kung ano ang maaaring makamit kapag nag-aayos ng ipinamamahaging pag-alerto sa isang malaking network. Ang SNMP protocol ay ang pangunahing isa kapag sinusubaybayan ang mga kagamitan sa network, at ang Zabbix ay mahusay para sa pagsubaybay sa isang malaking bilang ng mga bagay at pagbubuod ng malalaking volume ng mga papasok na sukatan.
Ilang salita tungkol sa SNMPv3
Magsimula tayo sa layunin ng SNMPv3 protocol at ang mga tampok ng paggamit nito. Ang mga gawain ng SNMP ay ang pagsubaybay sa mga network device at pangunahing pamamahala sa pamamagitan ng pagpapadala ng mga simpleng command sa kanila (halimbawa, pagpapagana at hindi pagpapagana ng mga interface ng network, o pag-reboot ng device).
Ang pangunahing pagkakaiba sa pagitan ng SNMPv3 protocol at ng mga naunang bersyon nito ay ang mga klasikong pag-andar ng seguridad [1-3], lalo na:
- Authentication, na tumutukoy na ang kahilingan ay natanggap mula sa isang pinagkakatiwalaang pinagmulan;
- pag-encrypt (Encryption), upang maiwasan ang pagsisiwalat ng ipinadalang data kapag naharang ng mga ikatlong partido;
- integridad, iyon ay, isang garantiya na ang packet ay hindi pinakialaman sa panahon ng paghahatid.
Ang SNMPv3 ay nagpapahiwatig ng paggamit ng isang modelo ng seguridad kung saan ang diskarte sa pagpapatunay ay itinakda para sa isang partikular na user at ang pangkat kung saan siya kabilang (sa mga nakaraang bersyon ng SNMP, ang kahilingan mula sa server sa object ng pagsubaybay ay inihambing lamang ang "komunidad", isang teksto string na may "password" na ipinadala sa malinaw na teksto (plain text)).
Ipinakilala ng SNMPv3 ang konsepto ng mga antas ng seguridad - mga katanggap-tanggap na antas ng seguridad na tumutukoy sa pagsasaayos ng kagamitan at pag-uugali ng ahente ng SNMP ng object ng pagsubaybay. Tinutukoy ng kumbinasyon ng modelo ng seguridad at antas ng seguridad kung aling mekanismo ng seguridad ang ginagamit kapag nagpoproseso ng SNMP packet [4].
Inilalarawan ng talahanayan ang mga kumbinasyon ng mga modelo at antas ng seguridad ng SNMPv3 (Napagpasyahan kong iwanan ang unang tatlong hanay tulad ng sa orihinal):
Alinsunod dito, gagamitin namin ang SNMPv3 sa mode ng pagpapatunay gamit ang pag-encrypt.
Pag-configure ng SNMPv3
Nangangailangan ng parehong configuration ng SNMPv3 protocol ang monitoring network equipment sa monitoring server at sa sinusubaybayang object.
Magsimula tayo sa pag-set up ng Cisco network device, ang minimum na kinakailangang configuration nito ay ang mga sumusunod (para sa configuration ginagamit namin ang CLI, pinasimple ko ang mga pangalan at password para maiwasan ang pagkalito):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedAng unang linya ng snmp-server group β tumutukoy sa grupo ng mga user ng SNMPv3 (snmpv3group), ang read mode (read), at ang access right ng snmpv3group group upang tingnan ang ilang sangay ng MIB tree ng monitoring object (snmpv3name pagkatapos ay sa ang configuration ay tumutukoy kung aling mga sanga ng puno ng MIB ang maaaring ma-access ng grupo ng snmpv3group ang makakakuha ng access).
Ang pangalawang linya ng user ng snmp-server β ay tumutukoy sa user na snmpv3user, ang kanyang membership sa snmpv3group group, pati na rin ang paggamit ng md5 authentication (password para sa md5 ay md5v3v3v3) at des encryption (password para sa des ay des56v3v3v3). Siyempre, mas mabuting gumamit ng aes sa halip na des; Ibinibigay ko ito dito bilang isang halimbawa. Gayundin, kapag tinutukoy ang isang user, maaari kang magdagdag ng isang access list (ACL) na kumokontrol sa mga IP address ng mga server ng pagsubaybay na may karapatang subaybayan ang device na ito - ito rin ang pinakamahusay na kasanayan, ngunit hindi ko gagawing kumplikado ang aming halimbawa.
Ang pangatlong linya na view ng snmp-server ay tumutukoy sa isang code name na tumutukoy sa mga sangay ng snmpv3name MIB tree upang ma-query ang mga ito ng snmpv3group user group. Ang ISO, sa halip na mahigpit na tukuyin ang isang sangay, ay nagpapahintulot sa snmpv3group user group na ma-access ang lahat ng mga bagay sa MIB tree ng monitoring object.
Ang isang katulad na setup para sa Huawei equipment (din sa CLI) ay ganito ang hitsura:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Pagkatapos mag-set up ng mga device sa network, kailangan mong suriin ang access mula sa monitoring server sa pamamagitan ng SNMPv3 protocol, gagamit ako ng snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Ang isang mas visual na tool para sa paghiling ng mga partikular na OID object gamit ang MIB file ay snmpget:
Ngayon ay lumipat tayo sa pag-set up ng tipikal na elemento ng data para sa SNMPv3, sa loob ng template ng Zabbix. Para sa pagiging simple at kalayaan ng MIB, gumagamit ako ng mga digital na OID:
Gumagamit ako ng mga custom na macro sa mga pangunahing field dahil pareho ang mga ito para sa lahat ng elemento ng data sa template. Maaari mong itakda ang mga ito sa loob ng isang template, kung ang lahat ng network device sa iyong network ay may parehong mga parameter ng SNMPv3, o sa loob ng isang network node, kung ang mga parameter ng SNMPv3 para sa iba't ibang mga object ng pagsubaybay ay iba:
Pakitandaan na ang sistema ng pagsubaybay ay mayroon lamang isang username at password para sa pagpapatunay at pag-encrypt. Ang pangkat ng gumagamit at ang saklaw ng mga bagay sa MIB kung saan pinapayagan ang pag-access ay tinukoy sa object ng pagsubaybay.
Ngayon ay magpatuloy tayo sa pagpuno sa template.
Zabbix poll template
Ang isang simpleng panuntunan kapag gumagawa ng anumang mga template ng survey ay gawing detalyado ang mga ito hangga't maaari:
Bigyang-pansin ko ang imbentaryo upang gawing mas madali ang pagtatrabaho sa isang malaking network. Higit pa tungkol dito sa ibang pagkakataon, ngunit sa ngayon β nag-trigger:
Para sa kadalian ng visualization ng mga trigger, ang mga system macro {HOST.CONN} ay kasama sa kanilang mga pangalan upang hindi lamang ang mga pangalan ng device, kundi pati na rin ang mga IP address ay ipinapakita sa dashboard sa seksyong nag-aalerto, bagama't ito ay higit na isang bagay ng kaginhawahan kaysa sa pangangailangan. . Upang matukoy kung hindi available ang isang device, bilang karagdagan sa karaniwang kahilingan sa echo, gumagamit ako ng check para sa hindi available na host gamit ang SNMP protocol, kapag ang object ay naa-access sa pamamagitan ng ICMP ngunit hindi tumutugon sa mga kahilingan ng SNMP - posible ang sitwasyong ito, halimbawa. , kapag nadoble ang mga IP address sa iba't ibang device, dahil sa hindi wastong pagkaka-configure ng mga firewall, o hindi tamang mga setting ng SNMP sa mga object ng pagsubaybay. Kung gumagamit ka ng pagsuri sa availability ng host sa pamamagitan lamang ng ICMP, sa oras ng pagsisiyasat ng mga insidente sa network, maaaring hindi available ang data ng pagsubaybay, kaya dapat na subaybayan ang kanilang resibo.
Lumipat tayo sa pag-detect ng mga interface ng network - para sa kagamitan sa network ito ang pinakamahalagang function ng pagsubaybay. Dahil maaaring may daan-daang mga interface sa isang network device, kinakailangan na i-filter ang mga hindi kailangan upang hindi makalat ang visualization o kalat ang database.
Gumagamit ako ng karaniwang function ng pagtuklas ng SNMP, na may higit na matutuklasan na mga parameter, para sa mas nababaluktot na pag-filter:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Sa pagtuklas na ito, maaari mong i-filter ang mga interface ng network ayon sa kanilang mga uri, custom na paglalarawan, at administrative port status. Ang mga filter at regular na expression para sa pag-filter sa aking kaso ay ganito ang hitsura:
Kung nakita, ang mga sumusunod na interface ay ibubukod:
- manu-manong hindi pinagana (adminstatus<>1), salamat sa IFADMINSTATUS;
- nang walang isang paglalarawan ng teksto, salamat sa IFALIAS;
- pagkakaroon ng simbolo * sa paglalarawan ng teksto, salamat sa IFALIAS;
- na serbisyo o teknikal, salamat sa IFDESCR (sa aking kaso, sa mga regular na expression IFALIAS at IFDESCR ay sinusuri ng isang regular na alyas ng expression).
Ang template para sa pagkolekta ng data gamit ang SNMPv3 protocol ay halos handa na. Hindi na namin tatalakayin nang mas detalyado ang mga prototype ng mga elemento ng data para sa mga interface ng network; magpatuloy tayo sa mga resulta.
Mga resulta ng pagsubaybay
Upang magsimula, kumuha ng imbentaryo ng isang maliit na network:
Kung maghahanda ka ng mga template para sa bawat serye ng mga network device, makakamit mo ang isang madaling-analyze na layout ng buod ng data sa kasalukuyang software, serial number, at notification ng isang cleaner na darating sa server (dahil sa mababang Uptime). Ang isang sipi ng aking listahan ng template ay nasa ibaba:
At ngayon - ang pangunahing panel ng pagsubaybay, na may mga trigger na ibinahagi ayon sa mga antas ng kalubhaan:
Salamat sa pinagsama-samang diskarte sa mga template para sa bawat modelo ng device sa network, posibleng matiyak na, sa loob ng balangkas ng isang sistema ng pagsubaybay, isang tool para sa paghula ng mga pagkakamali at aksidente ay aayos (kung magagamit ang mga naaangkop na sensor at sukatan). Ang Zabbix ay angkop para sa pagsubaybay sa network, server, at mga imprastraktura ng serbisyo, at ang gawain ng pagpapanatili ng kagamitan sa network ay malinaw na nagpapakita ng mga kakayahan nito.
Listahan ng mga mapagkukunang ginamit:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuration Guide, Cisco IOS XE Release 3SE. Kabanata: Bersyon 3 ng SNMP.
Pinagmulan: www.habr.com