Jump to content
Калькуляторы

Нужен совет по организации доступности по SNMP Мониторинг счетчиков ACL интерфейса клиентом.

Доброго времени суток.

 

Есть клиент который подключен большим каналом к нашему asr девятитоннику, на интерфейсе установлен ACL лист для фильтрации трафика.

Клиент хочет мониторить счетчики срабатывания ACL(отфильтрованного трафика списками контроля доступа (ACL)). У клиента Zabbix-server.

Как лучше с наименьшей кровью собрать схему? Пока выбор пал на поднятии linux+zabbix-agent на нашей сети, который одним концом будет собирать данные, а другим, отдавать клиенту через туннель( ну и плюс ACL на интерфейсах).

 

Может есть идеи более красивого решения?

Share this post


Link to post
Share on other sites

Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов.

Share this post


Link to post
Share on other sites

Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый.

Share this post


Link to post
Share on other sites

Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый.

 

Пример, чтобы понятно было в каком направлении рыть:

 

ip access-list standard snmp_ro
permit 10.0.6.10
permit 10.0.6.101
ip access-list standard snmp_rw
permit 10.0.6.101
snmp-server view WR ifAdminStatus.* included
snmp-server view WR ifOperStatus.* included
snmp-server community public RO snmp_ro
snmp-server community write view WR RW snmp_rw

Share this post


Link to post
Share on other sites

Наводку принял, полезна!

 

А без сервера в схеме скорее всего не обойтись? Что то должно проксировать запросы из одной сети в другую.

Share this post


Link to post
Share on other sites

Впервые слышу чтобы клиенту давали доступ на железо своей сети, пусть даже и р/о.

 

Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов.

+1

Share this post


Link to post
Share on other sites

А нахрена? У клиента же есть линк на вас. Циска SNMP слушает на всех интерфейсах. Если боитесь ДОСа от клиента, настройте Control-plane-policing

Share this post


Link to post
Share on other sites

Пока клиенту ничего не дали, решение должно пройти через безопасников.

Малой кровью похоже будет настроить Control-plane-policing и отдельное community, к нему привязыватся аксес-лист и view с нужными OID-ами.

Share this post


Link to post
Share on other sites

Было дело для "Махрового" клиента открывал наш Кактус, давая отдельного юзера с отдельным отображением касающимся исключительно его. В забиксе ж аналогично всё рулится правами доступа, пусть смотрят у вас. И нечего им реально работающее оборудование спамить, насоздают айтемов с опросом ежесекундным,от нечего делать, а вам лишняя нагрузка.

Share this post


Link to post
Share on other sites

А доступ на Заббикс как был предоставлен клиенту?

Share this post


Link to post
Share on other sites

А доступ на Заббикс как был предоставлен клиенту?

 

заббикс у меня в ентерпрайзе, но поидее будет тоже самое

 

users -> user groups -> permisions, а дальше нарезка прав.

 

Заббикс довольно гибок в этом плане.

 

К примеру у меня есть вагон ИБПшек, в темплейте для ИБП нарезал по application. Кому нужно (включая меня) - видят полный набор собираемых параметров, а к примеру подрядная организация занимающаяся кондиционированием - может видеть из этого же "data overview" отфильтрованные по приложению "environment" только температуру и влажность заведённые на эти ИБП.

 

+Заббикс позволяет юзерам кидать стартовую страницу на просмотр) и особо никуда он дальше не уйдёт, если настроите так.

Share this post


Link to post
Share on other sites

Для монитора срабатываний (а не просто счетчика) можно настроить ACL с опцией log если ASR9K такое может, log слать в syslog, а демон syslog настроить на отправку сообщений про ACL на syslog клиента.

И надо threshold срабатывания log настраивать, на каталистах можно сделать ограничение типа "1 сообщение в 100мс" иначе при DDoS вырастет загрузка на CPU.

 

А если надо просто счетчик срабатываний то возможно у циски есть SNMP OID для статуса ACL, тогда проще забрать его по SNMP куда-нибудь себе и предоставить клиенту доступ к собранным данным (график в кактусе, табличка в SQL), или в крайнем случае организуйте доступ через SNMP SMUX. Zabbix agent тоже вариант, а как там кстати с контролем доступа? Не будет ли agent бесконтрольно шариться по вашей сети?

Share this post


Link to post
Share on other sites

В итоге все вылелось у меня в 3 решения. Все будет выложено на общую дискуссию внутри технических отделов.

На мой взгляд самый перспективное c предоставление доступа к Zabbix серверу клиентам или организация. Тем более zabbixы уже стоят и есть опыт обслуживания.

 

Все спасибо за советы!

По возможности отпишусь, чем все кончилось.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this