Почему одного опроса SNMP недостаточно

Классический polling (опрос) имеет фундаментальные ограничения. Если устройство недоступно в момент опроса, вы теряете информацию о событиях, произошедших в этот период. Кратковременные скачки загрузки CPU, изменения состояния портов или ошибки аутентификации могут остаться незамеченными между интервалами опроса.

SNMP Trap и Inform решают эту проблему: устройство самостоятельно отправляет уведомления о событиях в реальном времени. Это особенно критично при восстановлении связи после сбоя — Inform сообщения позволяют получить полную картину произошедшего за период недоступности.

Trap vs Inform: ключевые различия

SNMP Trap — асинхронное уведомление, отправляемое устройством без подтверждения получения. Сервер принимает трап, но устройство не знает, дошло ли сообщение. Это быстрее и менее затратно, но не гарантирует доставку.

SNMP Inform — уведомление с подтверждением. Сервер должен отправить acknowledgment после успешной расшифровки и обработки. Если подтверждение не получено, устройство повторяет отправку до истечения таймаута.

Когда использовать Inform:

• Критичные события, где потеря недопустима
• Периоды недоступности сети (сообщения накапливаются в очереди)
• Аудит и compliance-требования

Недостатки Inform:

• Большая нагрузка на сервер (необходимость отправки подтверждений)
• Риск повторных отправок при проблемах с расшифровкой
• Сложнее в настройке (требуется указание Engine ID сервера)

Безопасность SNMPv3: шифрование и аутентификация

SNMPv3 обеспечивает конфиденциальность и целостность сообщений через:

• Аутентификацию: HMAC-MD5, HMAC-SHA, HMAC-SHA256
• Шифрование: DES, AES-128, AES-192, AES-256
• Engine ID: уникальный идентификатор устройства для генерации ключей

Проблема: для расшифровки трапа сервер должен заранее знать Engine ID отправителя, имя пользователя, протоколы и пароли. В гетерогенной сети с разным оборудованием это создаёт сложности.

Решение: приёмник должен поддерживать множественные учётные записи и подбирать параметры по IP-адресу или имени пользователя. Приоритет — персональные настройки для конкретного IP, затем — общие учётные данные.

Сложности приёма трапов в гетерогенной сети

Представьте сценарий:

• Основная группа коммутаторов: SNMPv3, SHA/AES-128, пользователь snmpuser
• Устаревшее оборудование: MD5/DES, тот же snmpuser
• Внешние каналы: SHA256/AES-256, пользователь snmpuser256256
• Стороннее оборудование: свои учётные данные

Проблема: один приёмник должен аутентифицировать и расшифровать трапы с разными параметрами. Многие реализации не справляются с одинаковыми именами пользователей при разных Engine ID.

Требования к приёмнику:

• Поддержка множественных профилей безопасности
• Поиск учётных данных сначала по IP, затем по имени
• Возможность указания Engine ID для каждого устройства
• Корректная обработка Inform с отправкой подтверждений

Настройка Cisco: отправка Trap и Inform

Базовая конфигурация SNMPv3:

cisco

! Создание view и группы

snmp-server view SNMPv3-V iso included

snmp-server group SNMPv3-G v3 priv read SNMPv3-V notify SNMPv3-V

 

! Указание Engine ID удалённого сервера (для Inform)

snmp-server engineID remote 2001:DB8:1::121 800000090300682C7B370001

 

! Создание пользователя для Inform (с указанием remote)

snmp-server user snmpuser SNMPv3-G remote 2001:DB8:1::121 v3 auth sha auth12345 priv aes 128 priv12345

 

! Традиционный пользователь (может иметь другие параметры)

snmp-server user snmpuser SNMPv3-G v3 auth md5 authmd12345 priv des privdes12345

 

! Включение трапов

snmp-server enable traps

 

! Настройка отправки Inform

snmp-server host 2001:DB8:1::121 informs version 3 priv snmpuser

 

! Параметры повторных отправок

snmp-server inform retries 10 timeout 30 pending 1000

Важно: для Inform необходимо указывать remote при создании пользователя и заранее настроить Engine ID сервера. Cisco не выполняет discovery-процедуру автоматически.

Интеграция с Zabbix: парсинг и обработка

Настройка zabbix_server.conf:

ini

StartSNMPTrapper=1

SNMPTrapperFile=/var/log/snmptrap/snmptrap.log

Создайте файл /var/log/snmptrap/snmptrap.log и настройте права:

bash

touch /var/log/snmptrap/snmptrap.log

chown root:zabbix /var/log/snmptrap/snmptrap.log

chmod 640 /var/log/snmptrap/snmptrap.log

Создание Item для Trap:

1. Тип: SNMP trap
2. Key: snmptrap[1\.3\.6\.1\.4\.1\.9\.2\.2\.1\.1\.20\.10123] (regex для конкретного OID)
3. Type of information: Log

Preprocessing (регулярное выражение):

regex

.*1\.3\.6\.1\.4\.1\.9\.2\.2\.1\.1\.20\.10123\s*=\s*([a-zA-Z]+)\s*:\s*Universal OCTET STRING.*

Output: \1 (извлекает up или down)

Trigger с объединением опроса и трапа:

last(/2960Xlab/snmp_oid[«1.3.6.1.2.1.2.2.1.8.10123″])<>1 or last(/2960Xlab/snmptrap[1\.3\.6\.1\.4\.1\.9\.2\.2\.1\.1\.20\.10123])=»down»

Практический тест: восстановление событий после сбоя

Сценарий: приёмник недоступен, коммутатор теряет связь с сетью. После восстановления соединения Inform сообщения накапливаются в очереди и отправляются пакетом.

Результат: вы получаете полную хронологию событий, включая:

• Изменение состояния портов (up/down)
• Временные метки (sysUpTime)
• Request ID для отслеживания повторных отпрапок

Важный момент: сообщения могут приходить не в хронологическом порядке. Для корректной сортировки используйте OID 1.3.6.1.2.1.1.3.0 (sysUpTime) — время работы устройства с момента включения.

Пример из практики:

1.3.6.1.2.1.1.3.0 = 7h11m35.15s : TIMETICKS

1.3.6.1.4.1.9.9.41.1.2.3.1.5.15 = Interface FastEthernet1/5, changed state to up

Чек-лист: готовность к внедрению SNMP Trap/Inform

Перед запуском проверьте:

• Поддерживает ли ваше оборудование SNMPv3 с шифрованием?
• Настроены ли уникальные Engine ID для всех устройств?
• Есть ли у приёмника учётные данные для всех групп оборудования?
• Настроен ли firewall для пропуска UDP 162 (Trap/Inform)?
• Протестирована ли доставка Inform с подтверждением?
• Настроена ли очередь сообщений на устройствах (pending, retries, timeout)?
• Интегрирован ли приёмник с вашей системой мониторинга (Zabbix, Prometheus)?
• Ведётся ли логирование полученных трапов для аудита?

Нужна помощь? Обращайтесь

Внедрение SNMP Trap/Inform требует глубокой экспертизы в протоколах, безопасности и интеграции. Инженеры Очип.ру помогут настроить приём сообщений, интегрировать их с вашей системой мониторинга и обеспечить безопасную доставку.