Bu makale, SNMPv3 protokolünü kullanarak ağ ekipmanının izlenmesinin özelliklerine ayrılmıştır. SNMPv3 hakkında konuşacağız, Zabbix'te tam teşekküllü şablonlar oluşturma konusundaki deneyimimi paylaşacağım ve geniş bir ağda dağıtılmış uyarıyı organize ederken neler başarılabileceğini göstereceğim. SNMP protokolü, ağ ekipmanını izlerken ana protokoldür ve Zabbix, çok sayıda nesneyi izlemek ve büyük hacimli gelen ölçümleri özetlemek için mükemmeldir.
SNMPv3 hakkında birkaç kelime
SNMPv3 protokolünün amacı ve kullanım özellikleriyle başlayalım. SNMP'nin görevleri, ağ cihazlarını izlemek ve onlara basit komutlar göndererek temel yönetimi sağlamaktır (örneğin, ağ arayüzlerini etkinleştirmek ve devre dışı bırakmak veya cihazı yeniden başlatmak).
SNMPv3 protokolü ile önceki sürümleri arasındaki temel fark, klasik güvenlik işlevleridir [1-3], yani:
- İsteğin güvenilir bir kaynaktan alındığını belirleyen kimlik doğrulama;
- iletilen verilerin üçüncü şahıslar tarafından ele geçirildiğinde ifşa edilmesini önlemek için şifreleme (Şifreleme);
- bütünlük, yani paketin iletim sırasında kurcalanmadığının garantisi.
SNMPv3, kimlik doğrulama stratejisinin belirli bir kullanıcı ve ait olduğu grup için ayarlandığı bir güvenlik modelinin kullanımını ima eder (SNMP'nin önceki sürümlerinde, sunucudan izleme nesnesine yapılan istek yalnızca "topluluk"la, bir metinle karşılaştırıldı) açık metin olarak iletilen bir “şifre” içeren dize (düz metin)).
SNMPv3, güvenlik düzeyleri kavramını tanıtır; ekipmanın yapılandırmasını ve izleme nesnesinin SNMP aracısının davranışını belirleyen kabul edilebilir güvenlik düzeyleri. Güvenlik modeli ve güvenlik seviyesinin birleşimi, bir SNMP paketini işlerken hangi güvenlik mekanizmasının kullanılacağını belirler [4].
Tablo, model kombinasyonlarını ve SNMPv3 güvenlik seviyelerini açıklamaktadır (ilk üç sütunu orijinaldeki gibi bırakmaya karar verdim):
Buna göre SNMPv3'ü kimlik doğrulama modunda şifreleme kullanarak kullanacağız.
SNMPv3'ü Yapılandırma
Ağ ekipmanının izlenmesi, hem izleme sunucusunda hem de izlenen nesnede SNMPv3 protokolünün aynı yapılandırmasını gerektirir.
Bir Cisco ağ cihazı kurmaya başlayalım, gerekli minimum konfigürasyonu aşağıdaki gibidir (konfigürasyon için CLI kullanıyoruz, karışıklığı önlemek için adları ve şifreleri basitleştirdim):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedİlk satır snmp-server grubu – SNMPv3 kullanıcıları grubunu (snmpv3group), okuma modunu (read) ve izleme nesnesinin MIB ağacının belirli dallarını görüntülemek için snmpv3group grubunun erişim hakkını tanımlar (snmpv3name daha sonra yapılandırma, grubun MIB ağacının hangi dallarına erişebileceğini, snmpv3group'un erişim kazanabileceğini belirtir).
İkinci satır snmp-server kullanıcısı - snmpv3user kullanıcısını, snmpv3group grubundaki üyeliğini ve ayrıca md5 kimlik doğrulamasının (md5 için şifre md5v3v3v3'tür) ve des şifrelemesinin (des için şifre des56v3v3v3'tür) kullanımını tanımlar. Tabii ki des yerine aes kullanmak daha iyi, burada örnek olarak veriyorum. Ayrıca, bir kullanıcıyı tanımlarken, bu cihazı izleme hakkına sahip olan izleme sunucularının IP adreslerini düzenleyen bir erişim listesi (ACL) ekleyebilirsiniz - bu da en iyi uygulamadır, ancak örneğimizi karmaşıklaştırmayacağım.
Üçüncü satır snmp-server görünümü, snmpv3name MIB ağacının dallarını belirten bir kod adı tanımlar; böylece bunlar snmpv3group kullanıcı grubu tarafından sorgulanabilir. ISO, tek bir dalı kesin olarak tanımlamak yerine snmpv3group kullanıcı grubunun izleme nesnesinin MIB ağacındaki tüm nesnelere erişmesine olanak tanır.
Huawei ekipmanı için benzer bir kurulum (ayrıca CLI'de) şuna benzer:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Ağ cihazlarını kurduktan sonra izleme sunucusundan SNMPv3 protokolü üzerinden erişimi kontrol etmeniz gerekiyor, snmpwalk kullanacağım:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB dosyalarını kullanarak belirli OID nesnelerini istemek için daha görsel bir araç snmpget'tir:
Şimdi Zabbix şablonu içinde SNMPv3 için tipik bir veri öğesi ayarlamaya geçelim. Basitlik ve MIB bağımsızlığı için dijital OID'leri kullanıyorum:
Anahtar alanlarda özel makrolar kullanıyorum çünkü bunlar şablondaki tüm veri öğeleri için aynı olacak. Ağınızdaki tüm ağ cihazları aynı SNMPv3 parametrelerine sahipse bunları bir şablon içinde veya farklı izleme nesnelerinin SNMPv3 parametreleri farklıysa bir ağ düğümü içinde ayarlayabilirsiniz:
İzleme sisteminin kimlik doğrulama ve şifreleme için yalnızca kullanıcı adı ve parolalara sahip olduğunu lütfen unutmayın. Erişime izin verilen MIB nesnelerinin kullanıcı grubu ve kapsamı, izleme nesnesinde belirtilir.
Şimdi şablonu doldurmaya geçelim.
Zabbix anket şablonu
Herhangi bir anket şablonu oluştururken basit bir kural, bunları mümkün olduğunca ayrıntılı hale getirmektir:
Geniş bir ağ ile çalışmayı kolaylaştırmak için envantere çok dikkat ediyorum. Bu konu hakkında biraz sonra daha fazla bilgi vereceğiz, ancak şimdilik – tetikleyiciler:
Tetikleyicilerin görselleştirilmesini kolaylaştırmak için, {HOST.CONN} sistem makroları adlarına dahil edilmiştir, böylece yalnızca cihaz adları değil aynı zamanda IP adresleri de uyarı bölümünde kontrol panelinde görüntülenir, ancak bu bir zorunluluktan çok kolaylık meselesidir. . Bir aygıtın kullanılıp kullanılamadığını belirlemek için, olağan yankı isteğine ek olarak, nesne ICMP aracılığıyla erişilebildiği halde SNMP isteklerine yanıt vermediğinde, SNMP protokolünü kullanarak ana bilgisayarın kullanılamaz olup olmadığını kontrol ediyorum - bu durum örneğin mümkündür Yanlış yapılandırılmış güvenlik duvarları veya izleme nesnelerindeki yanlış SNMP ayarları nedeniyle IP adresleri farklı cihazlarda çoğaltıldığında. Ana bilgisayar kullanılabilirliği kontrolünü yalnızca ICMP aracılığıyla kullanırsanız, ağdaki olayların araştırılması sırasında izleme verileri mevcut olmayabilir, bu nedenle bunların alınmasının izlenmesi gerekir.
Ağ arayüzlerini tespit etmeye geçelim - ağ ekipmanı için bu en önemli izleme işlevidir. Bir ağ cihazında yüzlerce arayüz olabileceğinden, görselleştirmeyi ve veritabanını karıştırmamak için gereksiz olanları filtrelemek gerekir.
Daha esnek filtreleme için daha keşfedilebilir parametrelerle standart SNMP bulma işlevini kullanıyorum:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Bu keşifle ağ arayüzlerini türlerine, özel açıklamalarına ve yönetim bağlantı noktası durumlarına göre filtreleyebilirsiniz. Benim durumumda filtrelemeye yönelik filtreler ve normal ifadeler şöyle görünür:
Tespit edilmesi halinde aşağıdaki arayüzler hariç tutulacaktır:
- IFADMINSTATUS sayesinde manuel olarak devre dışı bırakıldı (adminstatus<>1);
- IFALIAS sayesinde metin açıklaması olmadan;
- IFALIAS sayesinde metin açıklamasında * sembolüne yer verilmesi;
- IFDESCR sayesinde hizmet veya teknik olan (benim durumumda, normal ifadelerde IFALIAS ve IFDESCR tek bir normal ifade takma adı tarafından kontrol edilir).
SNMPv3 protokolünü kullanarak veri toplamaya yönelik şablon neredeyse hazır. Ağ arayüzleri için veri elemanlarının prototipleri üzerinde daha detaylı durmayacağız, sonuçlara geçelim.
İzleme sonuçları
Başlangıç olarak küçük bir ağın envanterini çıkarın:
Her ağ cihazı serisi için şablonlar hazırlarsanız, mevcut yazılıma ilişkin özet veriler, seri numaraları ve sunucuya gelen temizleyicinin bildirimi (düşük Uptime nedeniyle) ile kolay analiz edilebilecek bir düzen elde edebilirsiniz. Şablon listemin bir alıntısı aşağıdadır:
Ve şimdi - tetikleyicilerin önem düzeylerine göre dağıtıldığı ana izleme paneli:
Ağdaki her cihaz modeli için şablonlara entegre bir yaklaşım sayesinde, tek bir izleme sistemi çerçevesinde arızaları ve kazaları tahmin etmeye yönelik bir aracın (eğer uygun sensörler ve ölçümler mevcutsa) düzenlenmesini sağlamak mümkündür. Zabbix, ağ, sunucu ve hizmet altyapılarını izlemek için çok uygundur ve ağ ekipmanının bakımını yapma görevi, yeteneklerini açıkça göstermektedir.
Kullanılan kaynakların listesi:1. Hucaby D. CCNP Yönlendirme ve Anahtarlama SWITCH 300-115 Resmi Sertifika Kılavuzu. Cisco Press, 2014. s. 325-329.
2.RFC3410.
3.RFC3415.
4. SNMP Yapılandırma Kılavuzu, Cisco IOS XE Sürüm 3SE. Bölüm: SNMP Sürüm 3.
Kaynak: habr.com