[ARMADIK]

Доброго времени суток.

 

Есть клиент который подключен большим каналом к нашему asr девятитоннику, на интерфейсе установлен ACL лист для фильтрации трафика.

Клиент хочет мониторить счетчики срабатывания ACL(отфильтрованного трафика списками контроля доступа (ACL)). У клиента Zabbix-server.

Как лучше с наименьшей кровью собрать схему? Пока выбор пал на поднятии linux+zabbix-agent на нашей сети, который одним концом будет собирать данные, а другим, отдавать клиенту через туннель( ну и плюс ACL на интерфейсах).

 

Может есть идеи более красивого решения?

[rz3dwy]

Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов.

[ARMADIK]

Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый.

[ShyLion]

Да скорее всего так ему и ответим. Но нужно тех решение, так как клиент махровый.

 

Пример, чтобы понятно было в каком направлении рыть:

 

ip access-list standard snmp_ro
permit 10.0.6.10
permit 10.0.6.101
ip access-list standard snmp_rw
permit 10.0.6.101
snmp-server view WR ifAdminStatus.* included
snmp-server view WR ifOperStatus.* included
snmp-server community public RO snmp_ro
snmp-server community write view WR RW snmp_rw

[ARMADIK]

Наводку принял, полезна!

 

А без сервера в схеме скорее всего не обойтись? Что то должно проксировать запросы из одной сети в другую.

[pppoetest]

Впервые слышу чтобы клиенту давали доступ на железо своей сети, пусть даже и р/о.

 

Есть. Клиенту рекомендовать рекомендовать купить оборудование какое ему хочется, настроить как хочется и мониторить как хочется. А сеть управления провайдера должна быть изолирована полностью. Доступ в нее должен быть исключительно с четко регламентированных мест и методов.

+1

[ShyLion]

А нахрена? У клиента же есть линк на вас. Циска SNMP слушает на всех интерфейсах. Если боитесь ДОСа от клиента, настройте Control-plane-policing

[ARMADIK]

Пока клиенту ничего не дали, решение должно пройти через безопасников.

Малой кровью похоже будет настроить Control-plane-policing и отдельное community, к нему привязыватся аксес-лист и view с нужными OID-ами.

[Serejka]

Было дело для "Махрового" клиента открывал наш Кактус, давая отдельного юзера с отдельным отображением касающимся исключительно его. В забиксе ж аналогично всё рулится правами доступа, пусть смотрят у вас. И нечего им реально работающее оборудование спамить, насоздают айтемов с опросом ежесекундным,от нечего делать, а вам лишняя нагрузка.

[ARMADIK]

А доступ на Заббикс как был предоставлен клиенту?

[Serejka]

А доступ на Заббикс как был предоставлен клиенту?

 

заббикс у меня в ентерпрайзе, но поидее будет тоже самое

 

users -> user groups -> permisions, а дальше нарезка прав.

 

Заббикс довольно гибок в этом плане.

 

К примеру у меня есть вагон ИБПшек, в темплейте для ИБП нарезал по application. Кому нужно (включая меня) - видят полный набор собираемых параметров, а к примеру подрядная организация занимающаяся кондиционированием - может видеть из этого же "data overview" отфильтрованные по приложению "environment" только температуру и влажность заведённые на эти ИБП.

 

+Заббикс позволяет юзерам кидать стартовую страницу на просмотр) и особо никуда он дальше не уйдёт, если настроите так.

[v_r]

Для монитора срабатываний (а не просто счетчика) можно настроить ACL с опцией log если ASR9K такое может, log слать в syslog, а демон syslog настроить на отправку сообщений про ACL на syslog клиента.

И надо threshold срабатывания log настраивать, на каталистах можно сделать ограничение типа "1 сообщение в 100мс" иначе при DDoS вырастет загрузка на CPU.

 

А если надо просто счетчик срабатываний то возможно у циски есть SNMP OID для статуса ACL, тогда проще забрать его по SNMP куда-нибудь себе и предоставить клиенту доступ к собранным данным (график в кактусе, табличка в SQL), или в крайнем случае организуйте доступ через SNMP SMUX. Zabbix agent тоже вариант, а как там кстати с контролем доступа? Не будет ли agent бесконтрольно шариться по вашей сети?

[ARMADIK]

В итоге все вылелось у меня в 3 решения. Все будет выложено на общую дискуссию внутри технических отделов.

На мой взгляд самый перспективное c предоставление доступа к Zabbix серверу клиентам или организация. Тем более zabbixы уже стоят и есть опыт обслуживания.

 

Все спасибо за советы!

По возможности отпишусь, чем все кончилось.