Tarmoq monitoringi: SNMP joriy etish bo'yicha to'liq qo'llanma

Bugungi o'zaro bog'langan dunyoda samarali tarmoq monitoringi optimal ishlashni ta'minlash, xavfsizlikni kafolatlash va ishlamay qolish vaqtini minimallashtirish uchun juda muhimdir. Sodda Tarmoq Boshqaruv Protokoli (SNMP) tarmoq qurilmalarini kuzatish uchun keng qo'llaniladigan protokoldir. Ushbu keng qamrovli qo'llanma SNMPni joriy etishga chuqur kirib boradi, unda fundamental tushunchalardan tortib ilg'or konfiguratsiyalargacha bo'lgan hamma narsa qamrab olingan. Siz tajribali tarmoq ma'muri bo'lasizmi yoki endigina ish boshlayapsizmi, ushbu qo'llanma sizni mustahkam tarmoq boshqaruvi uchun SNMPdan foydalanish uchun zarur bo'lgan bilim va ko'nikmalar bilan ta'minlaydi.

SNMP nima?

SNMP - bu Sodda Tarmoq Boshqaruv Protokoli (Simple Network Management Protocol) degan ma'noni anglatadi. Bu tarmoq qurilmalari o'rtasida boshqaruv ma'lumotlarini almashishni osonlashtiradigan amaliy qatlam protokolidadir. Bu tarmoq ma'murlariga qurilma ishlashini kuzatish, muammolarni aniqlash va hatto qurilmalarni masofadan turib sozlash imkonini beradi. SNMP Internet Muhandislik Ishchi Guruhi (IETF) tomonidan belgilangan.

SNMPning asosiy komponentlari

• Boshqariladigan qurilmalar: Bular kuzatilayotgan tarmoq qurilmalari (routerlar, kalitlar, serverlar, printerlar va boshqalar). Ular SNMP agentini ishga tushiradi.
• SNMP Agenti: Boshqariladigan qurilmalarda joylashgan va boshqaruv ma'lumotlariga kirishni ta'minlaydigan dasturiy ta'minot. U SNMP menejerining so'rovlariga javob beradi.
• SNMP Menejeri: SNMP agentlaridan ma'lumotlarni to'playdigan va qayta ishlaydigan markaziy tizim. U so'rovlar yuboradi va javoblarni qabul qiladi. Ko'pincha Tarmoq Boshqaruv Tizimining (NMS) bir qismi hisoblanadi.
• Boshqaruv Axborot Bazasi (MIB): Qurilmadagi boshqaruv ma'lumotlarining tuzilishini belgilaydigan ma'lumotlar bazasi. U SNMP menejeri so'rov uchun ishlatadigan Obyekt Identifikatorlarini (OID) belgilaydi.
• Obyekt Identifikatori (OID): MIB ichidagi ma'lum bir ma'lumot bo'lagi uchun noyob identifikator. Bu o'zgaruvchini aniqlaydigan ierarxik raqamlash tizimidir.

SNMP versiyalari: Tarixiy nuqtai nazar

SNMP o'zidan oldingilarning cheklovlarini bartaraf etuvchi bir necha versiyalar orqali rivojlandi. Ushbu versiyalarni tushunish tarmog'ingiz uchun mos protokolni tanlashda muhim ahamiyatga ega.

SNMPv1

SNMPning asl versiyasi bo'lgan SNMPv1ni joriy etish oson, ammo mustahkam xavfsizlik xususiyatlariga ega emas. U autentifikatsiya uchun jamiyat satrlaridan (community strings) (asosan parollar) foydalanadi, ular ochiq matnda uzatiladi, bu esa uni ma'lumotlarni tutib olishga zaif qilib qo'yadi. Ushbu xavfsizlik zaifliklari tufayli SNMPv1 odatda ishlab chiqarish muhitlari uchun tavsiya etilmaydi.

SNMPv2c

SNMPv2c yangi ma'lumotlar turlari va xato kodlarini qo'shish orqali SNMPv1ni takomillashtiradi. U hali ham autentifikatsiya uchun jamiyat satrlaridan foydalansa-da, u yaxshiroq unumdorlikni taklif qiladi va ma'lumotlarni ommaviy olishni qo'llab-quvvatlaydi. Biroq, jamiyat satrlari autentifikatsiyasiga xos bo'lgan xavfsizlik zaifliklari saqlanib qoladi.

SNMPv3

SNMPv3 - SNMPning eng xavfsiz versiyasidir. U ruxsatsiz kirish va ma'lumotlar sizib chiqishidan himoya qiluvchi autentifikatsiya va shifrlash mexanizmlarini joriy qiladi. SNMPv3 quyidagilarni qo'llab-quvvatlaydi:

• Autentifikatsiya: SNMP menejeri va agentining shaxsini tasdiqlaydi.
• Shifrlash: Ma'lumotlarni tutib olishning oldini olish uchun SNMP paketlarini shifrlaydi.
• Avtorizatsiya: Foydalanuvchi rollariga asoslangan holda ma'lum MIB obyektlariga kirishni nazorat qiladi.

Kengaytirilgan xavfsizlik xususiyatlari tufayli SNMPv3 zamonaviy tarmoq monitoringi uchun tavsiya etilgan versiyadir.

SNMPni joriy etish: Qadamma-qadam qo'llanma

SNMPni joriy etish tarmoq qurilmalaringizda SNMP agentini sozlash va ma'lumotlarni to'plash uchun SNMP menejerini o'rnatishni o'z ichiga oladi. Mana qadamma-qadam qo'llanma:

1. Tarmoq qurilmalarida SNMPni yoqish

SNMPni yoqish jarayoni qurilmaning operatsion tizimiga qarab farq qiladi. Mana umumiy tarmoq qurilmalari uchun misollar:

Cisco Routerlari va Kalitlari

Cisco qurilmasida SNMPni sozlash uchun global konfiguratsiya rejimida quyidagi buyruqlardan foydalaning:

configure terminal
snmp-server community your_community_string RO  
snmp-server community your_community_string RW 
snmp-server enable traps
end

your_community_string ni kuchli, unikal jamiyat satri bilan almashtiring. `RO` opsiyasi faqat o'qish uchun kirish huquqini beradi, `RW` esa o'qish-yozish huquqini beradi (ehtiyotkorlik bilan foydalaning!). `snmp-server enable traps` buyrug'i SNMP traps (tuzoqlar) yuborilishini yoqadi.

SNMPv3 konfiguratsiyasi uchun bu ancha murakkabroq va foydalanuvchilar, guruhlar va kirishni boshqarish ro'yxatlarini (ACL) yaratishni o'z ichiga oladi. Batafsil ko'rsatmalar uchun Cisco hujjatlariga murojaat qiling.

Linux Serverlari

Linux serverlarida SNMP odatda `net-snmp` paketi yordamida amalga oshiriladi. Paketni distribyutsiyangizning paket menejeri yordamida o'rnating (masalan, Debian/Ubuntu'da `apt-get install snmp`, CentOS/RHEL'da `yum install net-snmp`). Keyin `/etc/snmp/snmpd.conf` faylini sozlang.

Mana `snmpd.conf` konfiguratsiyasining asosiy misoli:

rocommunity your_community_string  default
syslocation your_location
syscontact your_email_address

Yana, your_community_string ni kuchli, unikal qiymat bilan almashtiring. `syslocation` va `syscontact` serverning jismoniy joylashuvi va aloqa uchun shaxs haqida ma'lumot beradi.

SNMPv3ni yoqish uchun `snmpd.conf` faylida foydalanuvchilar va autentifikatsiya parametrlarini sozlashingiz kerak bo'ladi. Batafsil ko'rsatmalar uchun `net-snmp` hujjatlariga murojaat qiling.

Windows Serverlari

Windows serverlarida SNMP xizmati odatda sukut bo'yicha yoqilmagan bo'ladi. Uni yoqish uchun Server Menejeriga o'ting, SNMP xususiyatini qo'shing va xizmat xususiyatlarini sozlang. Siz jamiyat satrini va ruxsat etilgan xostlarni ko'rsatishingiz kerak bo'ladi.

2. SNMP Menejerini sozlash

SNMP menejeri SNMP agentlaridan ma'lumotlarni to'plash uchun mas'uldir. Ko'plab tijorat va ochiq manbali NMS vositalari mavjud, masalan:

• Nagios: SNMPni qo'llab-quvvatlaydigan mashhur ochiq manbali monitoring tizimi.
• Zabbix: Mustahkam SNMP qo'llab-quvvatlashiga ega yana bir ochiq manbali monitoring yechimi.
• PRTG Network Monitor: Foydalanuvchiga qulay interfeysga ega tijorat tarmoq monitoringi vositasi.
• SolarWinds Network Performance Monitor: Keng qamrovli tijorat NMS.

Konfiguratsiya jarayoni siz tanlagan NMSga qarab farq qiladi. Odatda, sizga kerak bo'ladi:

• Tarmoq qurilmalarini NMSga qo'shish. Bu odatda qurilmaning IP manzili yoki xost nomini va SNMP jamiyat satrini (yoki SNMPv3 hisob ma'lumotlarini) ko'rsatishni o'z ichiga oladi.
• Monitoring parametrlarini sozlash. Kuzatmoqchi bo'lgan MIB obyektlarini (OID) tanlang (masalan, CPU ishlatilishi, xotira ishlatilishi, interfeys trafigi).
• Ogohlantirishlar va bildirishnomalarni sozlash. Kuzatiladigan parametrlar uchun chegaralarni belgilang va bu chegaralar oshib ketganda ishga tushadigan ogohlantirishlarni sozlang.

3. SNMP joriy etilishini sinovdan o'tkazish

SNMP agenti va menejerini sozlagandan so'ng, ma'lumotlar to'g'ri to'planayotganiga ishonch hosil qilish uchun joriy etishni sinab ko'rish muhimdir. `snmpwalk` va `snmpget` kabi buyruq qatori vositalaridan foydalanib alohida OIDlarni sinab ko'rishingiz mumkin. Masalan:

snmpwalk -v 2c -c your_community_string device_ip_address system

Ushbu buyruq belgilangan qurilmadagi `system` MIBni SNMPv2c yordamida kezib chiqadi. Agar konfiguratsiya to'g'ri bo'lsa, siz OIDlar va ularning tegishli qiymatlari ro'yxatini ko'rishingiz kerak.

MIB va OIDlarni tushunish

Boshqaruv Axborot Bazasi (MIB) SNMPning muhim bir qismidir. Bu qurilmadagi boshqaruv ma'lumotlarining tuzilishini belgilaydigan matnli fayldir. MIB SNMP menejeri so'rov uchun ishlatadigan Obyekt Identifikatorlarini (OID) belgilaydi.

Standart MIBlar

IETF tomonidan belgilangan ko'plab standart MIBlar mavjud bo'lib, ular umumiy tarmoq qurilmalari va parametrlarini qamrab oladi. Ba'zi umumiy MIBlarga quyidagilar kiradi:

• System MIB (RFC 1213): Tizim haqida ma'lumotlarni o'z ichiga oladi, masalan, xost nomi, ish vaqti va aloqa ma'lumotlari.
• Interface MIB (RFC 2863): Tarmoq interfeyslari haqida ma'lumot beradi, masalan, holat, trafik statistikasi va MTU.
• IP MIB (RFC 2011): IP manzillari, marshrutlar va boshqa IP bilan bog'liq parametrlar haqida ma'lumotlarni o'z ichiga oladi.

Sotuvchiga xos MIBlar

Standart MIBlardan tashqari, sotuvchilar ko'pincha o'zlarining qurilmalariga xos bo'lgan parametrlarni belgilaydigan o'zlarining sotuvchiga xos MIBlarini taqdim etadilar. Ushbu MIBlar apparat sog'lig'ini, harorat sensorlarini va boshqa qurilmaga xos ma'lumotlarni kuzatish uchun ishlatilishi mumkin.

Obyekt Identifikatorlari (OID)

Obyekt Identifikatori (OID) - bu MIB ichidagi ma'lum bir ma'lumot bo'lagi uchun noyob identifikator. Bu o'zgaruvchini aniqlaydigan ierarxik raqamlash tizimidir. Masalan, `1.3.6.1.2.1.1.1.0` OIDi tizimni tavsiflovchi `sysDescr` obyektiga mos keladi.

Siz MIBlarni o'rganish va kuzatish uchun kerakli OIDlarni topish uchun MIB brauzerlaridan foydalanishingiz mumkin. MIB brauzerlari odatda MIB fayllarini yuklash va obyekt ierarxiyasini ko'rib chiqish imkonini beradi.

SNMP Traps (tuzoqlar) va Bildirishnomalari

Polling (so'rov yuborish)dan tashqari, SNMP shuningdek traps (tuzoqlar) va bildirishnomalarni ham qo'llab-quvvatlaydi. Traps - bu muhim voqea yuz berganda (masalan, aloqa uzilishi, qurilmaning qayta ishga tushishi, chegara oshib ketishi) SNMP agenti tomonidan SNMP menejeriga yuboriladigan so'ralmagan xabarlardir.

Traps voqealarni kuzatish uchun pollingdan ko'ra samaraliroq usulni taqdim etadi, chunki SNMP menejeri qurilmalardan doimiy ravishda so'rov yuborishi shart emas. SNMPv3 shuningdek, trapsga o'xshash, ammo tasdiqlash mexanizmlari kabi ilg'or xususiyatlarni taqdim etadigan bildirishnomalarni ham qo'llab-quvvatlaydi.

Trapslarni sozlash uchun sizga kerak bo'ladi:

• Tarmoq qurilmalarida trapsni yoqish. Bu odatda SNMP menejerining IP manzili yoki xost nomini va jamiyat satrini (yoki SNMPv3 hisob ma'lumotlarini) ko'rsatishni o'z ichiga oladi.
• SNMP menejerini trapslarni qabul qilish uchun sozlash. NMS standart SNMP trap portida (162) trapslarni tinglash uchun sozlangan bo'lishi kerak.
• Trap ogohlantirishlarini sozlash. Olingan trapslarga asoslangan holda ogohlantirishlarni ishga tushirish qoidalarini belgilang.

SNMPni joriy etish bo'yicha eng yaxshi amaliyotlar

Muvaffaqiyatli va xavfsiz SNMP joriy etilishini ta'minlash uchun ushbu eng yaxshi amaliyotlarga rioya qiling:

• Imkon qadar SNMPv3 dan foydalaning. SNMPv3 ruxsatsiz kirish va ma'lumotlar sizib chiqishidan himoya qiluvchi mustahkam autentifikatsiya va shifrlashni ta'minlaydi.
• Kuchli jamiyat satrlaridan foydalaning (SNMPv1 va SNMPv2c uchun). Agar SNMPv1 yoki SNMPv2c dan foydalanishingiz kerak bo'lsa, kuchli, unikal jamiyat satrlaridan foydalaning va ularni muntazam ravishda o'zgartirib turing. Muayyan qurilmalar yoki tarmoqlarga kirishni cheklash uchun kirishni boshqarish ro'yxatlaridan (ACL) foydalanishni o'ylab ko'ring.
• SNMP ma'lumotlariga kirishni cheklang. Faqat vakolatli xodimlarga kirish huquqini bering va foydalanuvchi rollariga asoslangan holda ma'lum MIB obyektlariga kirishni cheklang.
• SNMP trafigini kuzatib boring. Ruxsatsiz kirishga urinishlar yoki katta hajmdagi ma'lumotlar uzatish kabi shubhali faoliyat uchun SNMP trafigini kuzatib boring.
• SNMP dasturiy ta'minotingizni yangilab turing. Ma'lum zaifliklardan himoyalanish uchun eng so'nggi xavfsizlik yamoqlari va yangilanishlarni o'rnating.
• SNMP konfiguratsiyangizni to'g'ri hujjatlashtiring. SNMP konfiguratsiyangizning batafsil hujjatlarini, jumladan jamiyat satrlari, foydalanuvchi hisoblari va kirishni boshqarish ro'yxatlarini yuritib boring.
• SNMP konfiguratsiyangizni muntazam ravishda audit qiling. Uning hali ham mos va xavfsiz ekanligiga ishonch hosil qilish uchun SNMP konfiguratsiyangizni vaqti-vaqti bilan ko'rib chiqing.
• Qurilma unumdorligiga ta'sirini hisobga oling. Haddan tashqari SNMP polling qurilma unumdorligiga ta'sir qilishi mumkin. Monitoring ehtiyojlarini qurilma unumdorligi bilan muvozanatlash uchun polling intervalini sozlang. Voqealarga asoslangan monitoring uchun SNMP trapslaridan foydalanishni o'ylab ko'ring.

SNMP xavfsizligi masalalari: Global nuqtai nazar

SNMPni joriy etishda, ayniqsa global miqyosda tarqalgan tarmoqlarda xavfsizlik eng muhim masaladir. SNMPv1 va v2c da jamiyat satrlarining ochiq matnda uzatilishi jiddiy xavflarni keltirib chiqaradi, bu ularni tutib olish va ruxsatsiz kirishga zaif qilib qo'yadi. SNMPv3 ushbu zaifliklarni mustahkam autentifikatsiya va shifrlash mexanizmlari orqali hal qiladi.

SNMPni global miqyosda joylashtirishda quyidagi xavfsizlik masalalarini hisobga oling:

• Ma'lumotlar maxfiyligi qoidalari: Turli mamlakatlarda Yevropadagi GDPR va Kaliforniyadagi CCPA kabi turli xil ma'lumotlar maxfiyligi qoidalari mavjud. Maxfiy ma'lumotlarni shifrlash va vakolatli xodimlarga kirishni cheklash orqali SNMP joriy etilishingiz ushbu qoidalarga mos kelishini ta'minlang.
• Tarmoq segmentatsiyasi: Maxfiy qurilmalar va ma'lumotlarni izolyatsiya qilish uchun tarmog'ingizni segmentlarga ajrating. SNMP trafigini ma'lum segmentlarga cheklash uchun fayrvollar va kirishni boshqarish ro'yxatlaridan (ACL) foydalaning.
• Kuchli parollar va autentifikatsiya: SNMPv3 foydalanuvchilari uchun kuchli parol siyosatini qo'llang va iloji bo'lsa, ko'p faktorli autentifikatsiyani (MFA) joriy qiling.
• Muntazam xavfsizlik auditlari: SNMP joriy etilishingizdagi zaifliklarni aniqlash va bartaraf etish uchun muntazam xavfsizlik auditlarini o'tkazing.
• Geografik mulohazalar: Muayyan geografik mintaqalar bilan bog'liq xavfsizlik xavflaridan xabardor bo'ling. Ba'zi mintaqalarda kiberjinoyatchilik yoki hukumat nazorati darajasi yuqori bo'lishi mumkin.

SNMPdagi umumiy muammolarni bartaraf etish

Ehtiyotkorlik bilan rejalashtirish va amalga oshirishga qaramay, siz SNMP bilan bog'liq muammolarga duch kelishingiz mumkin. Mana ba'zi umumiy muammolar va ularning yechimlari:

• SNMP agentidan javob yo'q:
  • Qurilmada SNMP agenti ishlayotganini tekshiring.
  • SNMP trafigiga ruxsat berilganligiga ishonch hosil qilish uchun fayrvol qoidalarini tekshiring.
  • Jamiyat satri yoki SNMPv3 hisob ma'lumotlari to'g'ri ekanligini tekshiring.
  • Qurilmaga SNMP menejeridan kirish mumkinligiga ishonch hosil qiling.
• Noto'g'ri ma'lumotlar:
  • SNMP menejerida MIB fayli to'g'ri yuklanganligini tekshiring.
  • OID to'g'ri parametrga mos kelishiga ishonch hosil qilish uchun uni tekshiring.
  • Qurilma ma'lumotlarni taqdim etish uchun to'g'ri sozlanganligiga ishonch hosil qiling.
• SNMP trapslari qabul qilinmayapti:
  • Qurilmada trapslar yoqilganligini tekshiring.
  • SNMP trap trafigiga ruxsat berilganligiga ishonch hosil qilish uchun fayrvol qoidalarini tekshiring.
  • SNMP menejeri to'g'ri portda (162) trapslarni tinglayotganiga ishonch hosil qiling.
  • Qurilma trapslarni to'g'ri IP manzil yoki xost nomiga yuborish uchun sozlanganligini tekshiring.
• Qurilmada yuqori CPU ishlatilishi:
  • Polling intervalini kamaytiring.
  • Keraksiz SNMP monitoringini o'chirib qo'ying.
  • Voqealarga asoslangan monitoring uchun SNMP trapslaridan foydalanishni o'ylab ko'ring.

SNMP bulutli va virtualizatsiyalangan muhitlarda

SNMP bulutli va virtualizatsiyalangan muhitlarda ham qo'llaniladi. Biroq, ba'zi o'zgartirishlar kerak bo'lishi mumkin:

• Bulutli provayder cheklovlari: Ba'zi bulutli provayderlar xavfsizlik sababli SNMP kirishini cheklashi yoki cheklashi mumkin. Muayyan cheklovlar uchun provayderning hujjatlarini tekshiring.
• Dinamik IP manzillar: Dinamik muhitlarda qurilmalarga yangi IP manzillar tayinlanishi mumkin. SNMP menejeri har doim qurilmalarga yetib borishini ta'minlash uchun dinamik DNS yoki boshqa mexanizmlardan foydalaning.
• Virtual mashina monitoringi: Virtual mashinalarni (VM) va gipervizorlarni kuzatish uchun SNMPdan foydalaning. Aksariyat gipervizorlar SNMPni qo'llab-quvvatlaydi, bu sizga CPU ishlatilishi, xotira ishlatilishi va boshqa unumdorlik ko'rsatkichlarini kuzatish imkonini beradi.
• Konteyner monitoringi: SNMP konteynerlarni kuzatish uchun ham ishlatilishi mumkin. Biroq, Prometheus yoki cAdvisor kabi konteynerga xos monitoring vositalaridan foydalanish samaraliroq bo'lishi mumkin.

Tarmoq monitoringining kelajagi: SNMPdan tashqari

SNMP keng qo'llaniladigan protokol bo'lib qolsa-da, yanada ilg'or monitoring imkoniyatlarini taklif qiluvchi yangi texnologiyalar paydo bo'lmoqda. Ushbu texnologiyalardan ba'zilari quyidagilarni o'z ichiga oladi:

• Telemetriya: Telemetriya - bu tarmoq qurilmalaridan markaziy kollektorga ma'lumotlarni oqimlashni o'z ichiga olgan texnika. U tarmoq unumdorligini real vaqtda ko'rish imkonini beradi va ilg'or tahlil va muammolarni bartaraf etish uchun ishlatilishi mumkin.
• gNMI (gRPC Network Management Interface): gNMI - aloqa uchun gRPC dan foydalanadigan zamonaviy tarmoq boshqaruv protokoli. U SNMPga qaraganda yaxshilangan unumdorlik, masshtablilik va xavfsizlikni taklif qiladi.
• NetFlow/IPFIX: NetFlow va IPFIX tarmoq oqimi ma'lumotlarini to'playdigan protokollardir. Ushbu ma'lumotlar tarmoq trafigi naqshlarini tahlil qilish, xavfsizlik tahdidlarini aniqlash va tarmoq unumdorligini optimallashtirish uchun ishlatilishi mumkin.

Ushbu texnologiyalar SNMP o'rnini bosuvchi emas, balki tarmoq monitoringi imkoniyatlarini kengaytirish uchun ishlatilishi mumkin bo'lgan qo'shimcha vositalardir. Ko'pgina tashkilotlarda keng qamrovli tarmoq ko'rinishiga erishish uchun SNMPni yangi texnologiyalar bilan birlashtirgan gibrid yondashuv qo'llaniladi.

Xulosa: Samarali tarmoq boshqaruvi uchun SNMPni o'zlashtirish

SNMP - bu tarmoq qurilmalarini kuzatish va optimal ishlash va xavfsizlikni ta'minlash uchun ishlatilishi mumkin bo'lgan kuchli va ko'p qirrali protokoldir. SNMP asoslarini tushunish, eng yaxshi amaliyotlarni joriy etish va eng so'nggi texnologiyalar bilan xabardor bo'lish orqali siz tarmog'ingizni samarali boshqarishingiz va ishlamay qolish vaqtini minimallashtirishingiz mumkin. Ushbu qo'llanma SNMPni joriy etish bo'yicha keng qamrovli sharhni taqdim etdi, unda asosiy tushunchalardan tortib ilg'or konfiguratsiyalargacha bo'lgan hamma narsa qamrab olingan. Ushbu bilimlardan foydalanib, global mavjudligi yoki texnologik landshaftidan qat'i nazar, tashkilotingiz ehtiyojlariga javob beradigan mustahkam va ishonchli tarmoq monitoringi tizimini yarating.