ARMADIK Posted June 7, 2017 · Report post Доброго времени суток. Есть клиент который подключен большим каналом к нашему asr девятитоннику, на интерфейсе установлен ACL лист для фильтрации трафика. Клиент хочет мониторить счетчики срабатывания ACL(отфильтрованного трафика списками контроля доступа (ACL)). У клиента Zabbix-server. Как лучше с наименьшей кровью собрать схему? Пока выбор пал на поднятии linux+zabbix-agent на нашей сети, который одним концом будет собирать данные, а другим, отдавать клиенту через туннель( ну и плюс ACL на интерфейсах). Может есть идеи более красивого решения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted June 7, 2017 · Report post Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ARMADIK Posted June 7, 2017 · Report post Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted June 7, 2017 · Report post Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый. Пример, чтобы понятно было в каком направлении рыть: ip access-list standard snmp_ro permit 10.0.6.10 permit 10.0.6.101 ip access-list standard snmp_rw permit 10.0.6.101 snmp-server view WR ifAdminStatus.* included snmp-server view WR ifOperStatus.* included snmp-server community public RO snmp_ro snmp-server community write view WR RW snmp_rw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ARMADIK Posted June 7, 2017 · Report post Наводку принял, полезна! А без сервера в схеме скорее всего не обойтись? Что то должно проксировать запросы из одной сети в другую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted June 7, 2017 · Report post Впервые слышу чтобы клиенту давали доступ на железо своей сети, пусть даже и р/о. Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов. +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted June 7, 2017 · Report post А нахрена? У клиента же есть линк на вас. Циска SNMP слушает на всех интерфейсах. Если боитесь ДОСа от клиента, настройте Control-plane-policing Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ARMADIK Posted June 7, 2017 · Report post Пока клиенту ничего не дали, решение должно пройти через безопасников. Малой кровью похоже будет настроить Control-plane-policing и отдельное community, к нему привязыватся аксес-лист и view с нужными OID-ами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 7, 2017 · Report post Было дело для "Махрового" клиента открывал наш Кактус, давая отдельного юзера с отдельным отображением касающимся исключительно его. В забиксе ж аналогично всё рулится правами доступа, пусть смотрят у вас. И нечего им реально работающее оборудование спамить, насоздают айтемов с опросом ежесекундным,от нечего делать, а вам лишняя нагрузка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ARMADIK Posted June 7, 2017 · Report post А доступ на Заббикс как был предоставлен клиенту? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 7, 2017 · Report post А доступ на Заббикс как был предоставлен клиенту? заббикс у меня в ентерпрайзе, но поидее будет тоже самое users -> user groups -> permisions, а дальше нарезка прав. Заббикс довольно гибок в этом плане. К примеру у меня есть вагон ИБПшек, в темплейте для ИБП нарезал по application. Кому нужно (включая меня) - видят полный набор собираемых параметров, а к примеру подрядная организация занимающаяся кондиционированием - может видеть из этого же "data overview" отфильтрованные по приложению "environment" только температуру и влажность заведённые на эти ИБП. +Заббикс позволяет юзерам кидать стартовую страницу на просмотр) и особо никуда он дальше не уйдёт, если настроите так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted June 7, 2017 · Report post Для монитора срабатываний (а не просто счетчика) можно настроить ACL с опцией log если ASR9K такое может, log слать в syslog, а демон syslog настроить на отправку сообщений про ACL на syslog клиента. И надо threshold срабатывания log настраивать, на каталистах можно сделать ограничение типа "1 сообщение в 100мс" иначе при DDoS вырастет загрузка на CPU. А если надо просто счетчик срабатываний то возможно у циски есть SNMP OID для статуса ACL, тогда проще забрать его по SNMP куда-нибудь себе и предоставить клиенту доступ к собранным данным (график в кактусе, табличка в SQL), или в крайнем случае организуйте доступ через SNMP SMUX. Zabbix agent тоже вариант, а как там кстати с контролем доступа? Не будет ли agent бесконтрольно шариться по вашей сети? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ARMADIK Posted June 7, 2017 · Report post В итоге все вылелось у меня в 3 решения. Все будет выложено на общую дискуссию внутри технических отделов. На мой взгляд самый перспективное c предоставление доступа к Zabbix серверу клиентам или организация. Тем более zabbixы уже стоят и есть опыт обслуживания. Все спасибо за советы! По возможности отпишусь, чем все кончилось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...