یہ مضمون SNMPv3 پروٹوکول کا استعمال کرتے ہوئے نیٹ ورک آلات کی نگرانی کی خصوصیات کے لیے وقف ہے۔ ہم SNMPv3 کے بارے میں بات کریں گے، میں Zabbix میں مکمل ٹیمپلیٹس بنانے کے اپنے تجربے کا اشتراک کروں گا، اور میں یہ بتاؤں گا کہ ایک بڑے نیٹ ورک میں تقسیم شدہ الرٹ کو منظم کرنے سے کیا حاصل کیا جا سکتا ہے۔ نیٹ ورک کے آلات کی نگرانی کرتے وقت SNMP پروٹوکول اہم ہے، اور Zabbix بڑی تعداد میں اشیاء کی نگرانی اور آنے والی میٹرکس کی بڑی مقدار کا خلاصہ کرنے کے لیے بہترین ہے۔
SNMPv3 کے بارے میں چند الفاظ
آئیے SNMPv3 پروٹوکول کے مقصد اور اس کے استعمال کی خصوصیات کے ساتھ شروع کرتے ہیں۔ SNMP کے کاموں میں نیٹ ورک ڈیوائسز اور بنیادی انتظام کی نگرانی کرنا ان کو آسان کمانڈز بھیجنا ہے (مثال کے طور پر، نیٹ ورک انٹرفیس کو فعال اور غیر فعال کرنا، یا ڈیوائس کو دوبارہ شروع کرنا)۔
SNMPv3 پروٹوکول اور اس کے پچھلے ورژن کے درمیان بنیادی فرق کلاسک سیکورٹی فنکشنز ہے [1-3]، یعنی:
- تصدیق، جو اس بات کا تعین کرتی ہے کہ درخواست قابل اعتماد ذریعہ سے موصول ہوئی تھی۔
- خفیہ کاری (انکرپشن)، تیسرے فریق کی طرف سے روکے جانے پر منتقل شدہ ڈیٹا کے افشاء کو روکنے کے لیے؛
- سالمیت، یعنی اس بات کی ضمانت کہ پیکٹ کے ساتھ ٹرانسمیشن کے دوران چھیڑ چھاڑ نہیں کی گئی ہے۔
SNMPv3 ایک سیکورٹی ماڈل کے استعمال کا مطلب ہے جس میں تصدیق کی حکمت عملی ایک دیے گئے صارف اور اس گروپ کے لیے سیٹ کی جاتی ہے جس سے وہ تعلق رکھتا ہے (SNMP کے پچھلے ورژن میں، سرور سے مانیٹرنگ آبجیکٹ کی درخواست صرف "کمیونٹی" کے مقابلے میں، ایک متن "پاس ورڈ" کے ساتھ سٹرنگ واضح متن میں منتقل کیا جاتا ہے (سادہ متن))۔
SNMPv3 سیکیورٹی لیولز کا تصور متعارف کرایا ہے - قابل قبول سیکیورٹی لیولز جو آلات کی ترتیب اور مانیٹرنگ آبجیکٹ کے SNMP ایجنٹ کے رویے کا تعین کرتے ہیں۔ سیکیورٹی ماڈل اور سیکیورٹی لیول کا امتزاج اس بات کا تعین کرتا ہے کہ SNMP پیکٹ پر کارروائی کرتے وقت کون سا سیکیورٹی میکانزم استعمال کیا جاتا ہے [4]۔
جدول میں ماڈلز اور SNMPv3 سیکیورٹی لیولز کے امتزاج کی وضاحت کی گئی ہے (میں نے پہلے تین کالموں کو اصل کی طرح چھوڑنے کا فیصلہ کیا ہے):
اس کے مطابق، ہم SNMPv3 کو انکرپشن کا استعمال کرتے ہوئے توثیق کے موڈ میں استعمال کریں گے۔
SNMPv3 ترتیب دینا
نیٹ ورک کے آلات کی نگرانی کے لیے مانیٹرنگ سرور اور مانیٹر شدہ آبجیکٹ دونوں پر SNMPv3 پروٹوکول کی ایک جیسی ترتیب درکار ہوتی ہے۔
آئیے سسکو نیٹ ورک ڈیوائس کو ترتیب دینے کے ساتھ شروع کریں، اس کی کم از کم مطلوبہ کنفیگریشن درج ذیل ہے (کنفیگریشن کے لیے ہم CLI استعمال کرتے ہیں، میں نے الجھن سے بچنے کے لیے نام اور پاس ورڈ کو آسان بنایا):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedپہلی لائن snmp-server گروپ - SNMPv3 صارفین کے گروپ (snmpv3group)، پڑھنے کے موڈ (پڑھیں) اور snmpv3group گروپ کے رسائی کے حق کی وضاحت کرتا ہے تاکہ نگرانی آبجیکٹ کے MIB درخت کی کچھ شاخیں دیکھیں (snmpv3name پھر میں کنفیگریشن بتاتی ہے کہ MIB ٹری کی کن شاخوں تک گروپ رسائی حاصل کر سکتا ہے snmpv3group رسائی حاصل کر سکے گا)۔
دوسری لائن snmp-server صارف - صارف snmpv3user، snmpv3group گروپ میں اس کی رکنیت کے ساتھ ساتھ md5 تصدیق (md5 کے لیے پاس ورڈ md5v3v3v3 ہے) اور des encryption (des کے لیے پاس ورڈ des56v3v3 ہے) کی وضاحت کرتا ہے۔ یقینا، بہتر ہے کہ ڈیس کے بجائے aes کا استعمال کریں؛ میں اسے یہاں صرف ایک مثال کے طور پر دے رہا ہوں۔ اس کے علاوہ، صارف کی تعریف کرتے وقت، آپ ایک رسائی لسٹ (ACL) شامل کر سکتے ہیں جو نگرانی کرنے والے سرورز کے IP پتوں کو ریگولیٹ کرتی ہے جنہیں اس ڈیوائس کی نگرانی کا حق حاصل ہے - یہ بھی بہترین عمل ہے، لیکن میں اپنی مثال کو پیچیدہ نہیں کروں گا۔
تیسری لائن snmp-server ویو ایک کوڈ نام کی وضاحت کرتا ہے جو snmpv3name MIB درخت کی شاخوں کی وضاحت کرتا ہے تاکہ snmpv3group صارف گروپ کے ذریعہ ان سے استفسار کیا جاسکے۔ ISO، کسی ایک شاخ کی سختی سے وضاحت کرنے کے بجائے، snmpv3group صارف گروپ کو نگرانی آبجیکٹ کے MIB ٹری میں موجود تمام اشیاء تک رسائی کی اجازت دیتا ہے۔
Huawei آلات کے لیے اسی طرح کا سیٹ اپ (CLI میں بھی) اس طرح لگتا ہے:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3نیٹ ورک ڈیوائسز ترتیب دینے کے بعد، آپ کو SNMPv3 پروٹوکول کے ذریعے مانیٹرنگ سرور سے رسائی کی جانچ کرنی ہوگی، میں snmpwalk استعمال کروں گا:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
MIB فائلوں کا استعمال کرتے ہوئے مخصوص OID اشیاء کی درخواست کرنے کا ایک زیادہ بصری ٹول ہے snmpget:
اب آئیے Zabbix ٹیمپلیٹ کے اندر SNMPv3 کے لیے ایک عام ڈیٹا عنصر کو ترتیب دینے کی طرف بڑھتے ہیں۔ سادگی اور MIB کی آزادی کے لیے، میں ڈیجیٹل OIDs استعمال کرتا ہوں:
میں کلیدی فیلڈز میں حسب ضرورت میکرو استعمال کرتا ہوں کیونکہ وہ ٹیمپلیٹ میں موجود تمام ڈیٹا عناصر کے لیے ایک جیسے ہوں گے۔ اگر آپ کے نیٹ ورک میں تمام نیٹ ورک ڈیوائسز میں ایک جیسے SNMPv3 پیرامیٹرز ہیں، یا نیٹ ورک نوڈ کے اندر، اگر مختلف مانیٹرنگ اشیاء کے SNMPv3 پیرامیٹرز مختلف ہیں تو آپ انہیں ٹیمپلیٹ کے اندر سیٹ کر سکتے ہیں:
براہ کرم نوٹ کریں کہ مانیٹرنگ سسٹم میں تصدیق اور خفیہ کاری کے لیے صرف صارف نام اور پاس ورڈ ہوتے ہیں۔ صارف گروپ اور MIB اشیاء کا دائرہ جس تک رسائی کی اجازت ہے نگرانی آبجیکٹ پر بیان کیا گیا ہے۔
اب ٹیمپلیٹ کو بھرنے کی طرف بڑھتے ہیں۔
Zabbix پول ٹیمپلیٹ
کوئی بھی سروے ٹیمپلیٹس بناتے وقت ایک سادہ اصول یہ ہے کہ انہیں ہر ممکن حد تک تفصیلی بنایا جائے:
میں انوینٹری پر بہت توجہ دیتا ہوں تاکہ بڑے نیٹ ورک کے ساتھ کام کرنا آسان ہو۔ تھوڑی دیر بعد اس پر مزید، لیکن ابھی کے لیے - محرکات:
محرکات کو دیکھنے میں آسانی کے لیے، سسٹم میکرو {HOST.CONN} کو ان کے ناموں میں شامل کیا گیا ہے تاکہ ڈیش بورڈ پر صرف ڈیوائس کے نام ہی نہیں بلکہ IP ایڈریسز بھی الرٹنگ سیکشن میں ظاہر ہوں، حالانکہ یہ ضرورت سے زیادہ سہولت کا معاملہ ہے۔ . اس بات کا تعین کرنے کے لیے کہ آیا کوئی آلہ دستیاب نہیں ہے، معمول کی بازگشت کی درخواست کے علاوہ، میں SNMP پروٹوکول کا استعمال کرتے ہوئے میزبان کی عدم دستیابی کے لیے چیک استعمال کرتا ہوں، جب آبجیکٹ ICMP کے ذریعے قابل رسائی ہو لیکن SNMP کی درخواستوں کا جواب نہیں دیتا ہے - مثال کے طور پر یہ صورت حال ممکن ہے۔ ، جب IP پتے مختلف آلات پر نقل کیے جاتے ہیں، غلط طریقے سے کنفیگر کیے گئے فائر والز، یا مانیٹرنگ آبجیکٹ پر غلط SNMP ترتیبات کی وجہ سے۔ اگر آپ صرف ICMP کے ذریعے میزبان کی دستیابی کی جانچ کا استعمال کرتے ہیں، نیٹ ورک پر واقعات کی تفتیش کے وقت، نگرانی کا ڈیٹا دستیاب نہیں ہوسکتا ہے، اس لیے ان کی رسید کی نگرانی کرنا ضروری ہے۔
آئیے نیٹ ورک انٹرفیس کا پتہ لگانے کی طرف بڑھتے ہیں - نیٹ ورک کے آلات کے لیے یہ سب سے اہم مانیٹرنگ فنکشن ہے۔ چونکہ نیٹ ورک ڈیوائس پر سیکڑوں انٹرفیس ہوسکتے ہیں، اس لیے ضروری ہے کہ غیر ضروری کو فلٹر کیا جائے تاکہ ویژولائزیشن میں بے ترتیبی پیدا نہ ہو یا ڈیٹا بیس میں بے ترتیبی نہ ہو۔
میں مزید لچکدار فلٹرنگ کے لیے مزید قابل دریافت پیرامیٹرز کے ساتھ معیاری SNMP دریافت فنکشن استعمال کر رہا ہوں:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
اس دریافت کے ساتھ، آپ نیٹ ورک انٹرفیس کو ان کی اقسام، حسب ضرورت وضاحت، اور انتظامی بندرگاہ کے حالات کے مطابق فلٹر کر سکتے ہیں۔ میرے معاملے میں فلٹرنگ کے لیے فلٹرز اور ریگولر ایکسپریشن اس طرح نظر آتے ہیں:
اگر پتہ چلا تو، درج ذیل انٹرفیس کو خارج کر دیا جائے گا:
- دستی طور پر غیر فعال (ایڈمنسٹیٹس<>1)، IFADMINSTATUS کا شکریہ؛
- متن کی وضاحت کے بغیر، IFALIAS کا شکریہ؛
- متن کی تفصیل میں علامت * کا ہونا، IFALIAS کا شکریہ؛
- جو خدمت یا تکنیکی ہیں، IFDESCR کی بدولت (میرے معاملے میں، ریگولر ایکسپریشنز میں IFALIAS اور IFDESCR کو ایک ریگولر ایکسپریشن عرف سے چیک کیا جاتا ہے)۔
SNMPv3 پروٹوکول کا استعمال کرتے ہوئے ڈیٹا اکٹھا کرنے کا سانچہ تقریباً تیار ہے۔ ہم نیٹ ورک انٹرفیس کے لیے ڈیٹا عناصر کے پروٹو ٹائپس پر مزید تفصیل سے غور نہیں کریں گے؛ آئیے نتائج کی طرف چلتے ہیں۔
نگرانی کے نتائج
شروع کرنے کے لیے، ایک چھوٹے نیٹ ورک کی انوینٹری لیں:
اگر آپ نیٹ ورک ڈیوائسز کی ہر سیریز کے لیے ٹیمپلیٹس تیار کرتے ہیں، تو آپ موجودہ سافٹ ویئر، سیریل نمبرز، اور سرور پر آنے والے کلینر کی اطلاع (کم اپ ٹائم کی وجہ سے) پر سمری ڈیٹا کا تجزیہ کرنے میں آسان لے آؤٹ حاصل کر سکتے ہیں۔ میری ٹیمپلیٹ کی فہرست کا ایک اقتباس ذیل میں ہے:
اور اب - مرکزی مانیٹرنگ پینل، شدت کی سطح کے حساب سے تقسیم کیے گئے محرکات کے ساتھ:
نیٹ ورک میں ہر ڈیوائس ماڈل کے لیے ٹیمپلیٹس کے لیے مربوط نقطہ نظر کی بدولت، یہ یقینی بنانا ممکن ہے کہ، ایک مانیٹرنگ سسٹم کے فریم ورک کے اندر، غلطیوں اور حادثات کی پیشین گوئی کے لیے ایک ٹول ترتیب دیا جائے گا (اگر مناسب سینسر اور میٹرکس دستیاب ہوں)۔ Zabbix نیٹ ورک، سرور، اور سروس کے بنیادی ڈھانچے کی نگرانی کے لیے موزوں ہے، اور نیٹ ورک کے آلات کو برقرار رکھنے کا کام واضح طور پر اس کی صلاحیتوں کو ظاہر کرتا ہے۔
استعمال شدہ ذرائع کی فہرست:1. Hucaby D. CCNP روٹنگ اور سوئچنگ سوئچ 300-115 آفیشل سرٹیفکیٹ گائیڈ۔ سسکو پریس، 2014. پی پی. 325-329۔
2. آر ایف سی 3410۔
3. آر ایف سی 3415۔
4. SNMP کنفیگریشن گائیڈ، سسکو IOS XE ریلیز 3SE۔ باب: SNMP ورژن 3۔
ماخذ: www.habr.com