Eli nqaku linikezelwe kwiimpawu zokubeka esweni izixhobo zenethiwekhi usebenzisa i-SNMPv3 protocol. Siza kuthetha nge-SNMPv3, ndiya kubelana ngamava am ekudaleni iitemplates ezipheleleyo kwi-Zabbix, kwaye ndiya kubonisa oko kunokufezekiswa xa uququzelela ukuhanjiswa kwesilumkiso kwinethiwekhi enkulu. Iprotocol ye-SNMP yeyona nto iphambili xa kubekwa iliso kwizixhobo zenethiwekhi, kwaye i-Zabbix ilungile ekubekeni iliso inani elikhulu lezinto kunye nokushwankathela imiqulu emikhulu yeemetrikhi ezingenayo.
Amagama ambalwa malunga ne-SNMPv3
Masiqale ngenjongo ye-SNMPv3 protocol kunye neempawu zokusetyenziswa kwayo. Imisebenzi ye-SNMP ibeka iliso kwizixhobo zenethiwekhi kunye nolawulo olusisiseko ngokuthumela imiyalelo elula kubo (umzekelo, ukuvumela kunye nokukhubaza ujongano lwenethiwekhi, okanye ukuqalisa kwakhona isixhobo).
Umahluko omkhulu phakathi kwe-SNMPv3 protocol kunye neenguqulelo zayo zangaphambili yimisebenzi yokhuseleko yakudala [1-3], eyile:
- Uqinisekiso, olumisela ukuba isicelo sifunyenwe kumthombo othembekileyo;
- uguqulelo oluntsonkothileyo (Uguqulelo oluntsonkothileyo), ukuthintela ukubhengezwa kwedatha ekhutshelweyo xa ifunyenwe ngabantu besithathu;
- ingqibelelo, oko kukuthi, isiqinisekiso sokuba ipakethe ayizange iphazanyiswe ngexesha lokudluliselwa.
I-SNMPv3 ithetha ukusetyenziswa kwemodeli yokhuseleko apho iqhinga lokuqinisekisa limiselwe umsebenzisi onikiweyo kunye neqela ahlala kulo (kwiinguqulelo zangaphambili ze-SNMP, isicelo esivela kumncedisi ukuya kwinto yokubeka iliso xa kuthelekiswa kuphela "uluntu", isicatshulwa. umtya one "password" egqithiswe kwisicatshulwa esicacileyo (isicatshulwa esicacileyo)).
I-SNMPv3 yazisa ingcamango yamanqanaba okhuseleko - amanqanaba okhuseleko awamkelekileyo amisela ukucwangciswa kwezixhobo kunye nokuziphatha kwe-arhente ye-SNMP yento yokubeka iliso. Ukudityaniswa kwemodeli yokhuseleko kunye nenqanaba lokhuseleko limisela ukuba yeyiphi indlela yokhuseleko esetyenziswayo xa kusetyenzwa ipakethe yeSNMP [4].
Itheyibhile ichaza indibaniselwano yeemodeli kunye namanqanaba okhuseleko e-SNMPv3 (ndigqibe kwelokuba ndishiye iikholamu ezintathu zokuqala njengakwintsusa):
Ngokufanelekileyo, siya kusebenzisa i-SNMPv3 kwimowudi yokuqinisekisa sisebenzisa ufihlo.
Ukuqwalasela i-SNMPv3
Ukubeka iliso kwezixhobo zenethiwekhi kufuna uqwalaselo olufanayo lwe-SNMPv3 protocol kuzo zombini iseva yokubeka iliso kunye nento ebekwe esweni.
Masiqale ngokuseta isixhobo sothungelwano lweCisco, ubuncinci obufunekayo ubumbeko buhamba ngolu hlobo lulandelayo (uqwalaselo sisebenzisa i-CLI, ndenze lula amagama kunye namagama ayimfihlo ukunqanda ukubhideka):
snmp-server group snmpv3group v3 priv read snmpv3name
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
snmp-server view snmpv3name iso includedUmgca wokuqala we-snmp-server iqela - lichaza iqela labasebenzisi be-SNMPv3 (snmpv3group), imowudi yokufunda (funda), kunye nelungelo lokufikelela kwiqela le-snmpv3group ukujonga amasebe athile omthi we-MIB wento yokubeka iliso (snmpv3name ke kwi uqwalaselo luxela ukuba ngawaphi amasebe omthi we-MIB iqela elinokufikelela kwi-snmpv3group liya kuba nakho ukufikelela).
Umgca wesibini we-snmp-server yomsebenzisi - uchaza umsebenzisi snmpv3user, ubulungu bakhe kwiqela le-snmpv3group, kunye nokusetyenziswa kwe-md5 yokuqinisekisa (igama eliyimfihlo le-md5 yi-md5v3v3v3) kunye ne-encryption (i-password ye-des is des56v3v3v3). Ewe kunjalo, kungcono ukusebenzisa ii-aes endaweni ye-des; ndiyinika apha njengomzekelo. Kwakhona, xa uchaza umsebenzisi, unokongeza uluhlu lokufikelela (ACL) olulawula iidilesi ze-IP zeeseva zokubeka iliso ezinelungelo lokubeka iliso kwesi sixhobo - oku kuyindlela engcono kakhulu, kodwa andiyi kuwenza nzima umzekelo wethu.
Umgca wesithathu imboniselo ye-snmp-server ichaza igama lekhowudi elichaza amasebe omthi we-snmpv3name we-MIB ukuze abe nokubuzwa liqela labasebenzisi be-snmpv3group. I-ISO, endaweni yokuchaza ngokungqongqo isebe elinye, ivumela iqela labasebenzisi be-snmpv3group ukufikelela kuzo zonke izinto ezikumthi we-MIB wento yokubeka iliso.
Ukuseta okufanayo kwezixhobo zeHuawei (kwakhona kwi-CLI) kujongeka ngolu hlobo:
snmp-agent mib-view included snmpv3name iso
snmp-agent group v3 snmpv3group privacy read-view snmpv3name
snmp-agent usm-user v3 snmpv3user group snmpv3group
snmp-agent usm-user v3 snmpv3user authentication-mode md5
md5v3v3v3
snmp-agent usm-user v3 snmpv3user privacy-mode des56
des56v3v3v3Emva kokuseta izixhobo zenethiwekhi, kufuneka ujonge ukufikelela kwiseva yokubeka iliso nge-SNMPv3 protocol, ndiya kusebenzisa i-snmpwalk:
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
Isixhobo esibonakalayo ngakumbi sokucela izinto ezithile ze-OID usebenzisa iifayile ze-MIB yi-snmpget:
Ngoku masiqhubele phambili ekusekeni into eqhelekileyo yedatha yeSNMPv3, ngaphakathi kwetemplate yeZabbix. Ukwenza lula kunye nokuzimela kwe-MIB, ndisebenzisa ii-OID zedijithali:
Ndisebenzisa i-macros yesiko kwiinkalo eziphambili kuba ziya kufana nazo zonke izinto zedatha kwi-template. Unokuziseta ngaphakathi kwetemplate, ukuba zonke izixhobo zenethiwekhi kwinethiwekhi yakho zineeparamitha zeSNMPv3 ezifanayo, okanye ngaphakathi kwendawo yenethiwekhi, ukuba iiparamitha zeSNMPv3 zezinto ezahlukeneyo zokubeka iliso zahlukile:
Nceda uqaphele ukuba inkqubo yokubeka iliso kuphela inegama lomsebenzisi kunye neephasiwedi zokuqinisekisa kunye noguqulelo oluntsonkothileyo. Iqela labasebenzisi kunye nobubanzi bezinto ze-MIB ekuvunyelwene ukufikelela kuzo zichazwe kwinto yokubeka iliso.
Ngoku makhe siqhubele phambili ekugcwaliseni itemplate.
Itemplate yokuvota yeZabbix
Umthetho olula xa usenza naziphi na iitemplates zesaveyi kukuzenza zibe neenkcukacha kangangoko:
Ndinikela ingqalelo enkulu kwi-inventri ukwenza kube lula ukusebenza ngenethiwekhi enkulu. Okungakumbi kule kamva kancinane, kodwa okwangoku-ezibangela:
Ukuze kube lula ukubonwa kwezinto ezibangelayo, ii-macros zenkqubo {HOST.CONN} zibandakanyiwe kumagama azo ukuze kungekuphela nje amagama esixhobo, kodwa needilesi ze-IP ziboniswa kwideshibhodi kwicandelo lokwazisa, nangona oku kungumbandela wokulungela ngakumbi kunokuba yimfuneko. . Ukugqiba ukuba isixhobo asifumaneki, ngaphezu kwesicelo esiqhelekileyo se-echo, ndisebenzisa isheke sokungafumaneki komninimzi usebenzisa iprotocol ye-SNMP, xa into ifikeleleka nge-ICMP kodwa ingaphenduli kwizicelo ze-SNMP - le meko inokwenzeka, umzekelo. , xa iidilesi ze-IP ziphindwe kwizixhobo ezahlukeneyo, ngenxa yokucwangciswa ngokungalunganga komlilo, okanye izicwangciso zeSNMP ezingalunganga kwizinto zokubeka iliso. Ukuba usebenzisa ukufumaneka komninimzi ukujonga kuphela nge-ICMP, ngexesha lokuphanda iziganeko kwinethiwekhi, idatha yokubeka iliso ayinakufumaneka, ngoko ke ukufunyanwa kwabo kufuneka kubekwe esweni.
Masiqhubele phambili ekuboneni ujongano lwenethiwekhi - kwizixhobo zenethiwekhi lo ngowona msebenzi ubalulekileyo wokubeka iliso. Ekubeni kunokubakho amakhulu ojongano kwisixhobo sothungelwano, kuyimfuneko ukuhluza okungafunekiyo ukuze ungadibanisi ukubonwa okanye udibanise isiseko sedatha.
Ndisebenzisa umsebenzi oqhelekileyo wokufunyanwa kwe-SNMP, kunye neeparamitha ezifumaneka ngakumbi, kuhluzo olubhetyebhetye ngakumbi:
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
Ngolu bhaqo, ungahluza ujongano lomsebenzi womnatha ngeentlobo zazo, iinkcazelo zesiko, kunye nezimo zolawulo lwezibuko. Izihluzi kunye neentetha eziqhelekileyo zokucoca kwimeko yam zijongeka ngolu hlobo:
Ukuba ichongiwe, olu nxibelelwano lulandelayo aluyi kubandakanywa:
- ikhubaziwe ngesandla (adminstatus<>1), enkosi IFADMINSTATUS;
- ngaphandle kwenkcazo yesicatshulwa, enkosi ku-IFALIAS;
- abanophawu * kwinkcazo yesicatshulwa, enkosi ku-IFALIAS;
- ezo ziyinkonzo okanye zobuchwephesha, enkosi kwi-IFDESCR (kwimeko yam, kwiintetho eziqhelekileyo I-IFALIAS kunye ne-IFDESCR zikhangelwa ngesiteketiso esinye esiqhelekileyo).
Ithemplate yokuqokelela idatha usebenzisa i-SNMPv3 protocol sele ilungile. Asizi kuhlala kwiinkcukacha ezithe vetshe kwiiprototypes zezinto zedatha zojongano lwenethiwekhi; masiqhubele phambili kwiziphumo.
Iziphumo zokubeka iliso
Ukuqala, thatha uluhlu lwenethiwekhi encinci:
Ukuba ulungiselela iitemplates kuluhlu ngalunye lwezixhobo zenethiwekhi, unokufikelela ngokulula ukuhlalutya i-layout yedatha yesishwankathelo kwi-software yangoku, iinombolo ze-serial, kunye nesaziso somcoci oza kumncedisi (ngenxa ye-Uptime ephantsi). Isicatshulwa soluhlu lwam lwethemplethi lungezantsi:
Kwaye ngoku-iphaneli ephambili yokubeka iliso, enezitshizi ezisasazwa ngamanqanaba obunzima:
Ngombulelo kwindlela edibeneyo kwiitemplates kwimodeli nganye yesixhobo kwinethiwekhi, kunokwenzeka ukuba kuqinisekiswe ukuba, ngaphakathi kwesakhelo senkqubo enye yokubeka iliso, isixhobo sokuqikelela iimpazamo kunye neengozi ziya kulungelelaniswa (ukuba i-sensor ezifanelekileyo kunye neemetrics ziyafumaneka). I-Zabbix ifanelekile ukubeka iliso kwinethiwekhi, iseva, kunye neziseko zenkonzo, kwaye umsebenzi wokugcina izixhobo zenethiwekhi ubonisa ngokucacileyo amandla ayo.
Uluhlu lwemithombo esetyenzisiweyo:1. I-Hucaby D. CCNP Umzila kunye noTshintsho SWITCH 300-115 iSikhokelo seSitifiketi esisemthethweni. Cisco Press, 2014. iphe. 325-329.
2. RFC 3410.
3. RFC 3415.
4. SNMP Configuration Guide, Cisco IOS XE Release 3SE. Isahluko: SNMP Version 3.
umthombo: www.habr.com