何 星
Zabbix 4.0 高級認證專家(ZCP)(點擊查看如何認證?)
5年Linux運維經驗,4年Zabbix使用經驗,活躍的Zabbix在線課程講師���。獲得國內第一批Zabbix4.0 ZCS和ZCP認證,同時也是Zabbix培訓師候選人�。
Zabbix系統中SNMP是最常用的一種監控網絡設備的協議,也是一種一體化解決方案,用于監控大量靜態(變化緩慢)網絡環境中的設備����。較早協議版本SNMPv1和SNMPv2有安全漏洞,會被攻擊并導致數據泄露�。
為了保護敏感數據,我們應該使用SNMPv3協議���。我將為您說明:
- 如何在Zabbix環境中配置SNMPv3監控網絡設備;
- 如何創建正確的模板;
- 在大型網絡環境中搭建一套分布式告警系統后能收獲些什么��。
一���、關于SNMPv3
SNMP協議常用于監控網絡設備,以及發送些簡單的命令給這些設備,例如:重啟設備,啟動或禁用網絡設備端口����。SNMPv3協議和之前版本的區別主要在于安全級別 [1-3]:
- 認證:判斷請求是否可信賴;
- 加密:如果數據在傳輸時被攔截,阻止第三方讀取數據;
- 完整:保證數據在傳輸時沒有被篡改����。
SNMPv3協議使用安全模型,能夠為不同的用戶和用戶組分配不同的認證策略��。當Server向監控設備發起請求時,之前版本的SNMP協議只需要檢查團體名,團體名以明文方式傳輸,可視作密碼��。
SNMPv3協議引入安全級別用于定義可接受的安全設備設置以及SNMP客戶端行為�����。安全模式和特定級別的組合決定哪一種安全機制將被用于處理SNMP數據包[4]���。
SNMPv3 協議中安全模式和級別的組合 |
|---|
級別 | 認證 | 加密 | 說明 |
不認證不加密 | Username | No | 僅驗證用戶名,不推薦使用 |
認證不加密 | Message Digest Algorithm 5 (MD5) or Secure Hash Algorithm (SHA) | No | 基于HMAC-MD5或HMAC-SHA方式認證 |
既認證又加密 | MD5 or SHA | Data Encryption Standard (DES) or Advanced Encryption Standard (AES) | 基于HMAC-MD5或HMAC-SHA方式認證,并且基于DES或AES(最佳)方式加密 |
二����、如何做
當監控網絡設備時,首先在Server和被監控設備上都設置SNMPv3����。
01
設置網絡設備
通過CLI配置Cisco網絡設備
- 1.為SNMPv3用戶定義一個組(snmpv3group),設置讀權限,有權限訪問MIB樹的某些分支�����。
snmp-server group snmpv3group v3 priv read snmpv3name
- 2.定義用戶(snmpv3user)���、用戶組(snmpv3group),和基于MD5的認證方式(設置密碼為md5v3v3v3),基于DES的加密方式(設置密碼為des56v3v3v3)�。
snmp-server user snmpv3user snmpv3group v3 auth md5 md5v3v3v3 priv des des56v3v3v3
注意!AES相較于DES加密方式更優,這里只是用于舉例����。
注意!當定義用戶時,訪問控制列表(Access Control List )可以僅添加監控該設備的特定Servers的IP地址����。
- 3.為MIB樹的某些分支定義代號(snmpv3name),以便用戶組(snmpv3group)對其有訪問權限����。允許用戶組(snmpv3group)有權限訪問被監控設備的所有MIB對象,而不只是某個單獨的分支����。
snmp-server view snmpv3name iso included
?
通過CLI配置華為網絡設備
snmp-agent mib-view included snmpv3name iso snmp-agent group v3 snmpv3group privacy read-view snmpv3name snmp-agent usm-user v3 snmpv3user group snmpv3group snmp-agent usm-user v3 snmpv3user authentication-mode md5 md5v3v3v3 snmp-agent usm-user v3 snmpv3user privacy-mode des56 des56v3v3v3
02
設置訪問權限
配置好網絡設備后,執行snmpwalk命令驗證Server是否可以通過SNMPv3方式訪問�。
snmpwalk -v 3 -u snmpv3user -l authPriv -A md5v3v3v3 -a md5 -x des -X des56v3v3v3 10.10.10.252
可以執行snmpget命令獲取特定的對象信息,輸出信息更加簡潔,snmpget命令依賴于MIB文件�����。
03
配置SNMPv3類型監控項
在Zabbix模板上配置一個標準的SNMPv3類型監控項,最簡單的方式是使用數字形式的OID���。
數據元素
用戶宏可用于監控項配置中�����。如果所有的網絡設備監控項有相同的SNMPv3參數,那么在模板中定義用戶宏,否則在主機級別定義�。
模板
注意!用戶和密碼僅用于認證和加密�。用戶組和MIB對象訪問權限在每臺被監控設備上定義�����。
04
Zabbix數據采集模板
推薦數據采集模板盡可能的詳細全面���。
數據采集模板
05
配置觸發器
Triggers
如果觸發器名稱中包含{HOST.CONN}系統宏,Dashboard中的告警信息不僅顯示設備名稱還會顯示IP地址��。除了用于常規請求,SNMP也可以用于判斷設備的可用性��。有時一臺設備只能響應ICMP請求,可能意味著由于防火墻或SNMP設置的原因,不同的設備有相同的IP地址����。如果僅通過ICMP檢測設備可用性,那么可能不用獲取所有的監控數據排查一條網絡事件���。
06
網絡設備端口自動發現
網絡設備端口自動發現是網絡設備監控中最重要的一個功能����。一臺網絡設備可能有上百個端口,必須過濾掉不需要的端口,防止數據散亂堆放在數據庫中,避免影響數據可視化����。標準的SNMP自動發現功能支持多個可發現的參數,提供更加彈性的過濾配置��。
discovery[{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFALIAS},1.3.6.1.2.1.31.1.1.1.18,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7]
自動發現規則(LLD)
通過網絡設備端口的類型�、用戶描述以及管理狀態自動發現端口,并通過這些信息進行過濾���。
Filters
正則表達式
所以,未包含的端口類型如下:
- 端口被手動禁用(adminstatus<>1),IFADMINSTATUS不匹配;
- 端口沒有文本描述信息,IFALIAS不匹配;
- 文本描述信息包含*字符,IFALIAS不匹配;
- 服務型或技術型端口,IFDESCR不匹配(在自動發現中應用正則表達式,alias這個正則表達式將檢查IFALIAS和IFDESCR)�。
三��、監控結果
查看已經獲取的網絡設備列表:
網絡設備列表
為不同系列的網絡設備創建模板,在分析監控結果時會更方便,查看信息時根據以下系列分組:
- 最新的軟件;
- 系列號;
- 服務器機房看管人的存在(表示較低的運行時長百分比)
網絡環境中,不同的模板可以給與不同的視圖,例如:
硬件設備序列模板
根據不同級別觸發器顯示主機問題的Dashboard
如果您為網絡環境中的每臺網絡設備創建了模板,監控系統就能成為預測故障信息的工具,當然您需要有足夠的傳感器和指標�����。Zabbix是一款好的網絡設備���、硬件設備和服務基礎設施的解決方案,利用Zabbix維護網絡設備證明了該系統的能力���。
參考來源:
- Hucaby D. CCNP Routing and Switching SWITCH 300-115 Official Cert Guide. Cisco Press, 2014. pp. 325-329.
- RFC 3410. https://tools.ietf.org/html/rfc3410
- RFC 3415. https://tools.ietf.org/html/rfc3415
- SNMP Configuration Guide, Cisco IOS XE Release 3SE.Chapter: SNMP Version 3.https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/snmp/configuration/xe-3se/3850/snmp-xe-3se-3850-book/nm-snmp-snmpv3.html
