06. 04. 2017 Alessandro Romboli NetEye

Überwachung von Objekten in isolierten Netzwerken

Segregated Networks

In vielen Unternehmen gibt es isolierte Netzwerke in denen SNMP-Geräte installiert sind, auf die nicht direkt zugegriffen werden kann. Ein typisches Beispiel hierfür sind Backup-Netze in denen Jumbo Frames übertragen werden dürfen. Meist werden dort iSCSI Geräte und NAS positioniert, um den Protokoll- und Verarbeitungsoverhead zu reduzieren und die Performance der Datenübertragung zu steigern.

Backup VLAN

Das Backup-Netz ist normalerweise nur vom Backup Server sichtbar.

Wie kann ich die Geräte in isolierten Netzwerken überwachen?

Wie erkenne ich ein Problem auf einer Backup-NAS?

Um diese Herausforderungen zu meistern, kommt uns das Open Source Projekt net-snmp zu Gute, das auf dem Portal SourceForge zur Verfügung steht.

Dieses plattformübergreifende Produkt ermöglicht es uns die Überwachung via SNMP durch einen Server der als Proxy fungiert, zu erweitern. Installiert man das Paket auf einem Server, der vom Monitoring Server aus erreicht werden kann und Zugriff auf das isolierte Netzwerk hat, ist es möglich die SNMP Anfragen auf die, normalerweise nicht erreichbaren, Geräte zu verteilen.

Außerdem kann die Unterhaltung zwischen Monitoring-Server und SNMP-Gateway, über einen SSH-Tunnel zusätzlich geschützt werden.

tunnel ssh

Es gibt verschiedene vorkompilierte Versionen des net-snmp Pakets, darunter auch eine für Windows-Umgebungen, welche die native SNMP-Implementierung von Windows ersetzen kann.

Beispiel zur Überwachung von zwei NAS der Marke Buffalo über einen Windows Backup-Server

Nehmen wir an, wir möchten den Plattenstatus zweier NAS überwachen die als Backup eingesetzt werden und daher in einem separaten Netzwerk installiert sind wo sie nur vom Windows Backup-Server sichtbar sind.

Nachdem wir das bereits kompilierte net-snmp Paket heruntergeladen und auf dem Windows Server installiert haben, finden wir im Installations-Verzeichnis die auszuführende Batch-Datei, welche net-snmp registriert und als Service aktiviert: registeragent.bat.

Im Unterverzeichnis etc/snmp wird dann die Test-Datei snmpd.conf konfiguriert, wo die auszuführenden Operationen beschrieben sind.

Die Parameter sind auf der net-snmp Webseite dokumentiert.

Die Sicherheitsparameter für den Zugang zum Service (Community und Netzwerk) und jene der Proxy-Funktionalitäten müssen nun konfiguriert werden.

In unserem Fall sehen die Zeilen zum Proxy so aus:

proxy -v 2c -c public 192.168.0.2 .1.3.6.1.4.1.5227

proxy -v 2c -c public 192.168.0.3 .1.3.6.1.4.1.5228 .1.3.6.1.4.1.5227

Wir sehen die snmp Version, die Community für den remote Zugriff auf das Gerät, die weiterzuleitende OID und die IP-Adresse an die sie gesendet werden soll.

Im oben stehenden Beispiel sehen wir, dass es auch im Fall gleicher OIDs zwischen mehreren Geräten (.1.3.6.1.4.1.5227), möglich ist sie dem Monitoring-Server mit unterschiedliche OIDs (.1.3.6.1.4.1.5228) anzuzeigen. Das ist sehr vorteilhaft, denn so können mehrere Geräte eindeutig angesteuert werden.

Wenn unser Monitoring-Server beim net-snmp Server den Plattenstatus der ersten NAS abfragt (OID .1.3.6.1.4.1.5227.27.1.2.1.2.1), leitet dieser die Anfrage an das Gerät im isolierten Netz weiter 192.168.0.2 und gibt die erhaltene Antwort zurück.

Nachdem die Anfrage mit der richtigen OID übersetzt wurde (OID .1.3.6.1.4.1.5227.27.1.2.1.2.1), wird die gleiche Monitoring-Anfrage auch für die zweite NAS (OID .1.3.6.1.4.1.5228.27.1.2.1.2.1), an das Gerät im isolierten Netzwerk 192.168.0.3 gerichtet.

Fazit

Das net-snmp Paket ist vielseitig und sehr hilfreich wenn es um das Ausweiten des Monitorings auf Bereiche des lokalen Netzwerks geht die schwer zu erreichen sind.

Alessandro Romboli

Alessandro Romboli

Site Reliability Engineer at Würth Phoenix
My name is Alessandro and I joined Würth-Phoenix early in 2013. I have over 20 years of experience in the IT sector: For a long time I've worked for a big Italian bank in a very complex environment, managing the software provisioning for all the branch offices. Then I've worked as a system administrator for an international IT provider supporting several big companies in their infrastructures, providing high availability solutions and disaster recovery implementations. I've joined the VMware virtual infrastructure in early stage, since version 2: it was one of the first productive Server Farms in Italy. I always like to study and compare different technologies: I work with Linux, MAC OSX, Windows and VMWare. Since I joined Würth Phoenix, I could also expand my experience on Firewalls, Storage Area Networks, Local Area Networks, designing and implementing complete solutions for our customers. Primarily, I'm a system administrator and solution designer, certified as VMware VCP6 DCV, Microsoft MCP for Windows Server, Hyper-V and System Center Virtual Machine Manager, SQL Server, SharePoint. Besides computers, I also like photography, sport and trekking in the mountains.

Author

Alessandro Romboli

My name is Alessandro and I joined Würth-Phoenix early in 2013. I have over 20 years of experience in the IT sector: For a long time I've worked for a big Italian bank in a very complex environment, managing the software provisioning for all the branch offices. Then I've worked as a system administrator for an international IT provider supporting several big companies in their infrastructures, providing high availability solutions and disaster recovery implementations. I've joined the VMware virtual infrastructure in early stage, since version 2: it was one of the first productive Server Farms in Italy. I always like to study and compare different technologies: I work with Linux, MAC OSX, Windows and VMWare. Since I joined Würth Phoenix, I could also expand my experience on Firewalls, Storage Area Networks, Local Area Networks, designing and implementing complete solutions for our customers. Primarily, I'm a system administrator and solution designer, certified as VMware VCP6 DCV, Microsoft MCP for Windows Server, Hyper-V and System Center Virtual Machine Manager, SQL Server, SharePoint. Besides computers, I also like photography, sport and trekking in the mountains.

Leave a Reply

Your email address will not be published. Required fields are marked *

Archive