Использование SNMP Trap/Inform сообщений в мониторинге сети

Значимый прорыв формирует отрасль ИИ: OlegPowerC 54 минуты назад Использование SNMP Trap/Inform сообщений в мониторинге сети Средний 18 мин 1. 1K Системное администрирование * Кейс В этой статье я попробую рассказать о том, в каких случаях для выявления неисправностей в сети может быть полезно помимо опроса оборудования, принимать сообщения о наступившем событии от устройства. SNMP протокол задумывался как универсальное средство мониторинга и управления сетевыми устройствами, и изначально позволял как опрашивать устройство (агент), так и отправлять устройством (агентом) событие на сервер.

Для этого существует два сообщения - Trap и Inform. И если трапы еще худо-бедно используются то про inform многие даже не слышали. Но давайте по порядку, что же вообще может дать прием трапов или информов такого, чего не может дать опрос?

Технические детали

Сразу начну с интересного а потом перейдем к подробностям. Представьте очень простую схему, есть коммутатор, и к нему подключен еще один коммутатор, пускай для упрощения это будет просто один линк. Что-то случилось и связь с коммутатором пропала, разумеется, опрос его состояния по SNMP невозможен.

В какой-то момент связь восстановилась, и вот тут, если у вас правильно настроена отправка Inform сообщений на сервер, вам приходят сообщения с информацией а что же происходило в период отсутствия связи. Конечно, можно посмотреть логи на устройстве, но это не одно и то же. Или другой пример, у вас происходит кратковременное событие, ну к примеру, загрузка ЦПУ растет до 100% и затем снижается, но происходит это между опросами.

Можно конечно уменьшить интервал опроса но это тоже может быть нежелательно. Можно настроить syslog с транспортом TCP но на большинстве устройств это никак делу не поможет, так как после восстановления связи сессия установится новая, и туда будут отправлены новые сообщения, а вот старые придется смотреть в локальном журнале на оборудовании. Есть еще одна причина, по которой SNMP Trap/Inform предпочтительнее Syslog сообщений в некоторых случаях, и причина эта безопасность.

Отраслевые последствия

Большая часть сетевого оборудования, отправляет Syslog сообщения в незашифрованном виде. Некоторое оборудование позволяет отправлять зашифрованные Syslog сообщения (используется TLS). SNMP трапы же можно зашифровать если использовать версию 3 протокола, а SNMP версии 3 поддерживается практически повсеместно, в отличие от Syslog over TLS.

Однако в случае использования Trap/Inform сообщений версии 3, резко увеличивается сложность настройки как оборудования (агента) так и сервера. Так как протокол SNMP версии 3, для формирования ключевого материала для шифрования/расшифровки сообщений использует параметр Engine ID а также пароли шифрования и аутентификации, то для того чтобы сервер мог расшифровать сообщение, он должен знать о том, какие параметры использовать для его расшифровки. И во многих случаях это нужно заранее указать в файле настройки.

Зачастую нужно обязательно указывать engine id, имя пользователя, протоколы аутентификации и шифрования и пароли.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.