أستكشاف أخطاء إستطلاع SNMP وإصلاحها وتفاصيل الواجهة غير الصحيحة على SNA
المحتويات
المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء معلومات واجهة المصدر المفقودة وإصلاحها في تحليلات الشبكة الآمنة
المتطلبات الأساسية
- cisco يوصي أن يتلقى أنت أساسي بسيط شبكة إدارة بروتوكول (SNMP) إستطلاع معرفة
- توصي Cisco بوجود معرفة أساسية لتحليل الشبكة الآمنة (SNA/StealthWatch)
المتطلبات
- مدير SNA في الإصدار 7.4.1 أو أحدث
- مجمع تدفق SNA في الإصدار 7.4.1 أو الأحدث
- المصدر يرسل NetFlow إلى SNA بشكل نشط
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر
- مدير SNA في الإصدار 7.4.1 أو أحدث
- مجمع تدفق SNA في الإصدار 7.4.1 أو الأحدث
- برنامج SNMPwalk
- برمجيات ويرشارك
التكوينات
- تكوين الجهاز: يجب تكوين المصدرين للسماح بوصول SNMP. وهذا يتضمن تكوين إعدادات SNMP على كل جهاز، بما في ذلك إعداد سلاسل مجتمع SNMP، وقوائم التحكم في الوصول (ACLs)، وتحديد إصدار SNMP الذي سيتم إستخدامه
- تكوين إستطلاع SNMP على SNA: عند التكوين الناجح للمصدرين، يتم تمكين إستطلاع SNMP بشكل افتراضي على SMC باستخدام معلمات تم تعيينها مسبقا. من المهم للغاية توفير التفاصيل المطلوبة المتعلقة بالمصدرين، مثل سلاسل مجتمع SNMP ونصوص بروتوكول إدارة الشبكات البسيط (SNMP)، لضمان عمل آلية الاقتراع على النحو الأمثل
معلومات أساسية
يتمتع SNA بالقدرة على توفير تقارير شاملة عن حالة الواجهة، بجانب القدرة على عرض أسماء الواجهة للمصدرين الذين يقومون بإرسال بيانات NetFlow بشكل نشط إلى مجمع تدفق. يمكن عرض تفاصيل الواجهة هذه من خلال التنقل إلى قائمة "التحقيق -> الواجهات" من واجهة مستخدم ويب "الإدارة".
استكشاف الأخطاء وإصلاحها
أسماء واجهة غير صحيحة
في حالة عرض التقرير الذي تم إنشاؤه "ifindex-#" والذي لا يتوافق مع واجهات المصدرين، فإنه يقترح مشكلة تكوين محتملة مع اقتراع SNMP إما على SMC أو على المصدر نفسه. في هذا المثال، سلطت الضوء على مشكلة واضحة تتعلق باستطلاع بروتوكول إدارة الشبكات البسيط (SNMP) لمصدر معين.
الواجهات أو المصدرين المفقودون
يحمل التحقق من القالب أهمية كبيرة في سياق معالجة بيانات NetFlow. وعلى وجه التحديد، يضمن أن قالب NetFlow الذي تم إستقباله من المصدر يحتوي على جميع الحقول المطلوبة لفك الترميز والمعالجة بشكل ناجح بواسطة مجمع التدفق. يؤدي الفشل في مواجهة قالب صالح إلى إستبعاد مجموعة التدفقات المقترنة من فك التشفير، مما يؤدي إلى غيابها من قائمة الواجهات.
إذا لم يظهر لديك المصدر/الواجهات المتوقعة في قائمة الواجهات، فيجب عليك التحقق من قالب dn بيانات netFlow الوارد. للتحقق من قالب NetFlow، يمكن إنشاء التقاط حزمة على جانب مجمع التدفق، ويحدد IP من المصدر الذي نحصل على NetFlow منه بتغيير "x.x.x.x":
- سجل الدخول إلى مجمع التدفق عبر SSH أو وحدة التحكم باستخدام بيانات اعتماد الجذر.
- قم بتشغيل التقاط حزمة من المصدر IP ومنفذ NetFlow المعني:
tcpdump -s0 -v -nnn -i eth0 host x.x.x.x and port 2055 -w /lancope/var/admin/tmp/<name>.pcap - انسخ التقاط الحزمة من الجهاز، إلى محطة عمل مع تثبيت تطبيق Wireshark، أستخدم طريقتك المفضلة (على سبيل المثال: SCP و SFTP).
- فتح التقاط الحزمة باستخدام Wireshark والتحقق من القالب والبيانات التي يرسلها المصدر إلى مجمع التدفق
تحقق من أن قالب NetFlow يستخدم الحقول 9 المطلوبة، ويمكن أن يختلف الاسم الدقيق لحقول القالب هذه وفقا لنوع المصدر، فتأكد من مراجعة الوثائق الخاصة بنوع المصدر المحدد الذي تقوم بتكوينه:
- عنوان IP المصدر
- غاية عنوان IP
- منفذ المصدر
- غاية ميناء
- بروتوكول الطبقة الرابعة
- عدد وحدات البايت
- عدد الحزم
- وقت بدء التدفق
- وقت انتهاء التدفق
لعرض الواجهات بشكل صحيح، الرجاء أيضا إضافة:
-
- خرج الواجهة
- دخل الواجهة
هنا مثال قالب التقاط ربط من معطى مصدر أداة
- الأسهم الحمراء: حقول NetFlow المطلوبة
- الأسهم الخضراء: حقول SNMP
مشكلات الاتصال
تحقق من الاتصال: تأكد من وجود اتصال بين جهاز إدارة SNA والمصدرين. تحقق من أنه يمكن الوصول إلى المصدرين من وحدة تحكم إدارة Stealthwatch عن طريق دق عناوين IP الخاصة بهم. إذا كانت هناك أي مشاكل في اتصال الشبكة، فعليك أستكشاف أخطائها وإصلاحها وحلها وفقا لذلك.
التحقق من صحة قدرة مدير (SMC) على فحص المصدرين
- الاتصال بمدير SNA عبر SSH وتسجيل الدخول باستخدام بيانات اعتماد الجذر
- قم بتحليل ملف /lancope/var/smc/log/smc-configuration.log وابحث عن السجلات من النوع SourceSnmpSession:
INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s
INFO [ExporterSnmpSession] SNMP polling for 10.1.0.253 took 0s
WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s
WARN [ExporterSnmpSession] SNMP polling for 10.10.0.254 failed: java.lang.Exception: timeout
INFO [ExporterSnmpSession] SNMP polling for 10.10.0.254 took 20s -
في مثال الاقتراع هذا، لم يتم الكشف عن أخطاء للمصدر 10.1.0.253. غير أن المصدر 10.1.0.254 شهد مهلة. الفاصل الافتراضي للمهلة هو 5000 مللي ثانية مع عدد مرات إعادة المحاولة هو 3. لذلك من الوقت الذي يستطلع فيه المصدر إلى اللحظة التي انقضت المهلة يجب أن تكون 20 ثانية في بيئة لم تغير فيها الإعدادات.
قم بإنشاء التقاط حزمة على SMC باستخدام عنوان IP الخاص بمصدر.
- سجل الدخول إلى عقدة الإدارة عبر SSH أو وحدة التحكم باستخدام بيانات اعتماد الجذر
- التشغيل:
tcpdump -s0 -v -nnn -i [Interface] host [Exporter_IP_address] -w /lancope/var/admin/tmp/[file_name].pcap
- تصدير التقاط الحزمة من الجهاز باستخدام طريقتك المفضلة (على سبيل المثال: SCP و SFTP)
- افتح التقاط الحزمة باستخدام Wireshark لعرض محاولات التحقق الناجحة
- طلب مقدم من SMC:
-
إستجابة SNMP من المصدر مع معلومات الواجهة:
- طلب مقدم من SMC:
التحقق من صحة إعدادات تدقيق SNMP
تأكد من أن فترات الاقتراع مناسبة وأن المقاييس المطلوبة يتم تضمينها في استعلامات SNMP
- على واجهة مستخدم الويب انتقل إلى: تكوين -> المصدرين -> ملفات تعريف SNMP للمصدرين:
- تحقق من أن منفذ SNMP الصحيح (بشكل خاص منفذ UDP 161) وطريقة استعلام SNMP الصحيحة المحددة، ويجب أن تتطابق هذه وفقا لذلك مع المصدر لديك (أعمدة IfxTable، و CatOS MIB، و PanOS MIB)
- تحقق من توافق إصدارات SNMP التي تم تكوينها على كل من SNA والمصدرين. يدعم SNA بروتوكول SNMPv1 و SNMPv2c و SNMPv3. تحقق مما إذا تم تكوين المصدرين لاستخدام نفس إصدار SNMP كما تم تكوينه في SNA.
- في حالة إستخدام SNMPv3، تحقق من صحة تكوين SNMP (اسم المستخدم، كلمة مرور المصادقة، بروتوكول المصادقة، كلمة مرور الخصوصية، بروتوكول الخصوصية)
أستكشاف أخطاء اقتراع SNMP وإصلاحها بشكل مباشر
على واجهة مستخدم الويب، انتقل إلى تكوين -> المصدرين -> ملفات تعريف SNMP للمصدرين
- ضبط الاقتراع (بالدقائق) على 1 (دقيقة) بشكل مؤقت.
- سجل الدخول إلى SMC عبر SSH أو وحدة التحكم باستخدام بيانات اعتماد الجذر.
- انتقل إلى هذا المجلد:
cd /lancope/var/smc/log - التشغيل:
tail -f smc-configuration.log - بالنسبة ل SNMPv3، ستكون رسالة الخطأ الشائعة:
failed: java.lang.IllegalArgumentException: USM passphrases must be at least 8 bytes long (RFC3414 §11.2) - تحقق من تعيين كلمة مرور المصادقة في ملف تعريف SNMP على 8 أحرف أو أكثر.
- بمجرد انتهاء عملية أستكشاف الأخطاء وإصلاحها المباشرة، قم بإعادة تكوين عملية التحقق (بالدقائق) للمصدر أو قالب التكوين الخاص به إلى قيمته السابقة.
إختبار إستطلاع SNMP من جهاز آخر
إختبار اقتراع SNMP: قم ببدء إستقصاء SNMP يدويا من جهاز محلي إلى جهاز شبكة محدد وفحص ما إذا كان يستلم إستجابة. يمكن القيام بذلك باستخدام أدوات أو أدوات مساعدة اقتراع SNMP مثل SNMPwalk. تحقق من إستجابة جهاز الشبكة مع بيانات SNMP المطلوبة. إذا لم تكن هناك إستجابة، فإنها تشير إلى مشكلة في تكوين SNMP أو الاتصال.
- على الجهاز المحلي لديك باستخدام برنامج SNMPwalk، استبدل "x.x.x.x" ل IP المصدر وقم بالتشغيل على CLI:
snmpwalk -v2c -c public x.x.x.x- -v2c: تحديد إصدار SNMP لاستخدامه
- -c: تعيين سلسلة المجتمع
- التحقق من إستجابة المصدر باستخدام بيانات SNMP
معلومات ذات صلة
- للحصول على مساعدة إضافية، يرجى الاتصال بمركز المساعدة التقنية (TAC). يلزم عقد دعم صالح: جهات اتصال الدعم العالمية من Cisco.
- يمكنك أيضا زيارة مجتمع تحليلات الأمان من Cisco هنا.
- الدعم التقني والمستندات - Cisco Systems
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
21-Feb-2024 |
الإصدار الأولي |
التعليقات