Zabbix-da SNMPv3 orqali tarmoq uskunalarini kuzatish

Ushbu maqola SNMPv3 protokoli yordamida tarmoq uskunalarini monitoring qilish xususiyatlariga bag'ishlangan. Biz SNMPv3 haqida gaplashamiz, men Zabbix-da to'liq huquqli shablonlarni yaratish bo'yicha tajribam bilan o'rtoqlashaman va katta tarmoqda tarqatilgan ogohlantirishlarni tashkil qilishda nimaga erishish mumkinligini ko'rsataman. SNMP protokoli tarmoq uskunalarini kuzatishda asosiy hisoblanadi va Zabbix ko'p sonli ob'ektlarni kuzatish va katta hajmdagi kiruvchi ko'rsatkichlarni umumlashtirish uchun juda yaxshi.

SNMPv3 haqida bir necha so'z

SNMPv3 protokolining maqsadi va undan foydalanish xususiyatlaridan boshlaylik. SNMP ning vazifalari tarmoq qurilmalarini kuzatish va ularga oddiy buyruqlar yuborish (masalan, tarmoq interfeyslarini yoqish va o'chirish yoki qurilmani qayta ishga tushirish) orqali asosiy boshqaruvdir.

SNMPv3 protokoli va uning oldingi versiyalari o'rtasidagi asosiy farq klassik xavfsizlik funktsiyalari [1-3], xususan:

• Autentifikatsiya, so'rov ishonchli manbadan olinganligini aniqlaydi;
• shifrlash (shifrlash), uchinchi shaxslar tomonidan ushlanganda uzatilgan ma'lumotlarning oshkor etilishini oldini olish;
• yaxlitlik, ya'ni uzatish paytida paketning buzilmaganligi kafolati.

SNMPv3 xavfsizlik modelidan foydalanishni nazarda tutadi, unda ma'lum bir foydalanuvchi va u tegishli bo'lgan guruh uchun autentifikatsiya strategiyasi o'rnatiladi (SNMPning oldingi versiyalarida serverdan monitoring ob'ektiga so'rov faqat "jamiyat", matn bilan taqqoslanadi. aniq matnda uzatiladigan "parol" bilan string (oddiy matn).

SNMPv3 xavfsizlik darajalari tushunchasini taqdim etadi - uskunaning konfiguratsiyasini va monitoring ob'ektining SNMP agenti xatti-harakatini aniqlaydigan qabul qilinadigan xavfsizlik darajalari. Xavfsizlik modeli va xavfsizlik darajasining kombinatsiyasi SNMP paketini qayta ishlashda qaysi xavfsizlik mexanizmi ishlatilishini aniqlaydi [4].

Jadvalda modellar va SNMPv3 xavfsizlik darajalarining kombinatsiyasi tasvirlangan (men dastlabki uchta ustunni asl nusxadagi kabi qoldirishga qaror qildim):

Shunga ko'ra, biz shifrlash yordamida autentifikatsiya rejimida SNMPv3 dan foydalanamiz.

SNMPv3 sozlanmoqda

Tarmoq uskunasini kuzatish monitoring serverida ham, kuzatilayotgan ob'ektda ham SNMPv3 protokolining bir xil konfiguratsiyasini talab qiladi.

Cisco tarmoq qurilmasini sozlashdan boshlaylik, uning minimal talab qilinadigan konfiguratsiyasi quyidagicha (konfiguratsiya uchun biz CLI-dan foydalanamiz, chalkashmaslik uchun nomlar va parollarni soddalashtirdim):

snmp-server group snmpv3group v3 priv read snmpv3name 
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso included

Birinchi qator snmp-server guruhi - SNMPv3 foydalanuvchilari guruhini (snmpv3group), o'qish rejimini (o'qish) va snmpv3group guruhining monitoring ob'ekti MIB daraxtining ma'lum filiallarini (snmpv3name, so'ngra quyidagi manzilda) ko'rish uchun kirish huquqini belgilaydi. konfiguratsiya guruh MIB daraxtining qaysi shoxlariga kirishi mumkinligini belgilaydi snmpv3group kirish huquqiga ega).

Ikkinchi qator snmp-server foydalanuvchisi - foydalanuvchi snmpv3userni, uning snmpv3group guruhiga a'zoligini, shuningdek, md5 autentifikatsiyasidan (md5 uchun parol - md5v3v3v3) va des shifrlashdan foydalanishni (des uchun parol - des56v3v3) belgilaydi. Albatta, des o'rniga aes ishlatgan ma'qul, men buni misol tariqasida keltiraman. Bundan tashqari, foydalanuvchini aniqlashda siz ushbu qurilmani kuzatish huquqiga ega bo'lgan monitoring serverlarining IP manzillarini tartibga soluvchi kirish ro'yxatini (ACL) qo'shishingiz mumkin - bu ham eng yaxshi amaliyot, ammo men misolimizni murakkablashtirmayman.

Uchinchi qator snmp-server ko'rinishi snmpv3name MIB daraxtining shoxlarini belgilaydigan kod nomini belgilaydi, shunda ular snmpv3group foydalanuvchi guruhi tomonidan so'ralishi mumkin. ISO, bitta filialni qat'iy belgilash o'rniga, snmpv3group foydalanuvchi guruhiga monitoring ob'ektining MIB daraxtidagi barcha ob'ektlarga kirish imkonini beradi.

Huawei uskunalari uchun shunga o'xshash sozlash (shuningdek CLI da) quyidagicha ko'rinadi:

snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5 
            md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
            des56v3v3v3

Tarmoq qurilmalarini o'rnatganingizdan so'ng, siz SNMPv3 protokoli orqali monitoring serveridan kirishni tekshirishingiz kerak, men snmpwalk-dan foydalanaman:

snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252

MIB fayllari yordamida aniq OID ob'ektlarini so'rash uchun ko'proq vizual vosita snmpget:

Endi Zabbix shablonida SNMPv3 uchun odatiy ma'lumotlar elementini o'rnatishga o'tamiz. Oddiylik va MIB mustaqilligi uchun men raqamli OIDlardan foydalanaman:

Men asosiy maydonlarda maxsus makroslardan foydalanaman, chunki ular shablondagi barcha ma'lumotlar elementlari uchun bir xil bo'ladi. Agar sizning tarmog'ingizdagi barcha tarmoq qurilmalari bir xil SNMPv3 parametrlariga ega bo'lsa yoki turli monitoring ob'ektlari uchun SNMPv3 parametrlari boshqacha bo'lsa, tarmoq tugunida ularni shablon ichida o'rnatishingiz mumkin:

E'tibor bering, monitoring tizimida faqat autentifikatsiya va shifrlash uchun foydalanuvchi nomi va parollar mavjud. Foydalanuvchilar guruhi va kirishga ruxsat berilgan MIB ob'ektlari doirasi monitoring ob'ektida ko'rsatilgan.
Endi shablonni to'ldirishga o'tamiz.

Zabbix anketa shabloni

Har qanday so'rov shablonlarini yaratishda oddiy qoida ularni iloji boricha batafsilroq qilishdir:

Katta tarmoq bilan ishlashni osonlashtirish uchun inventarizatsiyaga katta e'tibor beraman. Bu haqda biroz keyinroq, ammo hozircha - tetiklar:

Triggerlarni vizualizatsiya qilish qulayligi uchun tizim makroslari {HOST.CONN} ularning nomlariga kiritilgan bo‘lib, ogohlantirish bo‘limida asboblar panelida nafaqat qurilma nomlari, balki IP manzillari ham ko‘rsatiladi, garchi bu zaruratdan ko‘ra ko‘proq qulaylik masalasidir. . Qurilmaning mavjud emasligini aniqlash uchun, odatdagi aks-sado so'roviga qo'shimcha ravishda, ob'ekt ICMP orqali kirish mumkin bo'lsa, lekin SNMP so'rovlariga javob bermasa, men SNMP protokoli yordamida xostning mavjud emasligini tekshirishdan foydalanaman - bu holat, masalan, mumkin. , noto'g'ri sozlangan xavfsizlik devorlari yoki monitoring ob'ektlarida noto'g'ri SNMP sozlamalari tufayli IP manzillar turli qurilmalarda takrorlanganda. Agar siz faqat ICMP orqali xost mavjudligini tekshirishdan foydalansangiz, tarmoqdagi hodisalarni tekshirish vaqtida monitoring ma'lumotlari mavjud bo'lmasligi mumkin, shuning uchun ularning qabul qilinishi kuzatilishi kerak.

Keling, tarmoq interfeyslarini aniqlashga o'tamiz - tarmoq uskunalari uchun bu eng muhim monitoring funktsiyasidir. Tarmoq qurilmasida yuzlab interfeyslar bo'lishi mumkinligi sababli, vizualizatsiyani chalkashtirmaslik yoki ma'lumotlar bazasini bezovta qilmaslik uchun keraksizlarini filtrlash kerak.

Men yanada moslashuvchan filtrlash uchun ko'proq kashf qilinadigan parametrlarga ega standart SNMP kashfiyot funksiyasidan foydalanmoqdaman:

discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]

Ushbu kashfiyot yordamida siz tarmoq interfeyslarini ularning turlari, maxsus tavsiflari va ma'muriy port holatlari bo'yicha filtrlashingiz mumkin. Mening ishimda filtrlash uchun filtrlar va muntazam ifodalar quyidagicha ko'rinadi:

Agar aniqlansa, quyidagi interfeyslar chiqarib tashlanadi:

• qo'lda o'chirilgan (adminstatus<>1), IFADMINSTATUS tufayli;
• matn tavsifisiz, IFALIAS tufayli;
• IFALIAS tufayli matn tavsifida * belgisiga ega;
• IFDESCR tufayli xizmat yoki texnik xususiyatga ega bo'lganlar (mening holimda, IFALIAS va IFDESCR oddiy iboralarda bitta oddiy ifoda taxalluslari bilan tekshiriladi).

SNMPv3 protokoli yordamida ma'lumotlarni yig'ish uchun shablon deyarli tayyor. Biz tarmoq interfeyslari uchun ma'lumotlar elementlarining prototiplari haqida batafsil to'xtalmaymiz, keling, natijalarga o'tamiz.

Monitoring natijalari

Boshlash uchun kichik tarmoqni inventarizatsiya qiling:

Agar siz tarmoq qurilmalarining har bir seriyasi uchun shablonlarni tayyorlasangiz, joriy dasturiy ta'minot, seriya raqamlari va tozalovchining serverga kelishi to'g'risida bildirishnoma (ish vaqti pastligi sababli) bo'yicha qisqacha ma'lumotlarni tahlil qilish oson tartibiga erishishingiz mumkin. Mening shablonlar ro'yxatidan bir parcha quyida keltirilgan:

Va endi - jiddiylik darajasi bo'yicha taqsimlangan triggerlar bilan asosiy monitoring paneli:

Tarmoqdagi har bir qurilma modeli uchun shablonlarga integratsiyalashgan yondashuv tufayli, bitta monitoring tizimi doirasida nosozliklar va baxtsiz hodisalarni bashorat qilish vositasi (tegishli sensorlar va ko'rsatkichlar mavjud bo'lsa) tashkil etilishini ta'minlash mumkin. Zabbix tarmoq, server va xizmat ko'rsatish infratuzilmalarini kuzatish uchun juda mos keladi va tarmoq uskunasiga xizmat ko'rsatish vazifasi uning imkoniyatlarini aniq namoyish etadi.

Foydalanilgan manbalar ro'yxati:1. Hucaby D. CCNP Routing and Switching SWITCH 300-115 Rasmiy sertifikat qoʻllanmasi. Cisco Press, 2014. bet. 325-329.
2. RFC 3410. tools.ietf.org/html/rfc3410
3. RFC 3415. tools.ietf.org/html/rfc3415
4. SNMP konfiguratsiya qo'llanmasi, Cisco IOS XE Release 3SE. Bo'lim: SNMP 3-versiyasi. www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html

Manba: www.habr.com