malawi
Goto Top

Zabbix - Cisco Switch monitoren

Hallo,

ich habe einen Zabbix-Server mit dem ich nun einen Cisco 2960-X IOS-Switch monitoren möchte.

Der Cisco-Switch ist aktuell so konfiguriert:
snmp-server community test ro
snmp-server location Verwaltung 1.OG
snmp-server contact Max Mustermann
snmp-server host 192.168.0.250 test
snmp-server enable traps

Mein Host ist eben der Zabbix-Server worauf ich mich per Browser verbinde um den Cisco-Switch dort als neuen Host anzulegen.

Neben den üblichen Parametern wie Name oder Gruppenzugehörigkeit habe ich unter Zabbix folgendes konfiguriert:
2017-09-22 09_14_03-zabbix1stb_ konfiguration der hosts

Meiner Ansicht nach habe ich die Grundkonfiguration abgeschlossen. Die Frage, welche sich mir nun stellt ist, muss ich am Zabbix-Server den Community-String "test" nicht noch angeben?
Wenn ich jetzt am Cisco-Switch einen Port aktiviere, sollte doch ein Trap an den Zabbix-Server gesendet werden oder?

Wie kann ich ein Gerät mit Zabbix gezielt abfragen, also Status, Temperatur etc. pp.? (Also mit den MIBs muss ich mich noch genauer beschäftigen, das ist klar. Jedoch würde mir aktuell genügen, wenn ich erstmal nur Traps vom Switch erhalten könnte. Danach dann weiteres...)

Der Switch und der Server befinden sich im gleichen Subnetz, es muss also nichts geroutet werden. Somit sind die UDP-Ports 161 und 162 verfügbar.
Der Ping vom Switch zum Zabbix-Server ist erfolgreich.

Der Zabbix-Server zeigt mir aber auch keine Verfügbarkeit von SNMP an:
2017-09-22 09_29_16-zabbix1stb_ konfiguration der hosts
Um einen Trap auszulösen, habe ich ein aktuell nicht genutztes Interface auf no shutdown gesetzt und dann wieder auf shutdown. Genügt das um einen Trap auszulösen?

Ich beschäftige mich im Rahmen meiner Ausbildung seit gestern mit dem Thema.

Vielen Dank!

Content-ID: 349817

Url: https://administrator.de/contentid/349817

Ausgedruckt am: 05.11.2024 um 14:11 Uhr

aqui
aqui 22.09.2017 aktualisiert um 10:18:46 Uhr
Goto Top
muss ich am Zabbix-Server den Community-String "test" nicht noch angeben?
Ja natürlich. Der Server muss zwingend den SNMP Community String wissen wenn er GET Anfragen an das SNMP Device sendet und eine Antwort erwartet.
Nutzt er einen falschen oder keinen Community String antwortet der Switch logischerweise nicht. protokolliert das aber als Warnung in seinem Switch Log (show logg).
Falls der Server mit einem falschen Community String (z.B. "pubic" was häufig Default ist) den Swoitch anspricht, siehst du das sofort im Switch Log !
Hast du da schonmal reingesehen ?? (show logg)
Also mit den MIBs muss ich mich noch genauer beschäftigen, das ist klar.
Brauchst du nicht, denn solche Standard- und Banalsachen wie Temperatur, CPU Last, Status etc. werden über die Standard Ethernet MIB abgefackelt die jeder kann und kennt.
wenn ich erstmal nur Traps vom Switch erhalten könnte.
Wenn die 192.168.0.250 dein Server ist dann sendet der Switch da alles hin. Es reicht schon wenn du ein Patch Kabel ziehst um einen Trap auszuösen !
  • Hast du da am Server mal einen Wireshark oder tcpdump gestartet um mal zu sehen ob die SNMP Traps vom Cisco dort ankommen ?
  • Hast du am Cisco selber mal das SNMP Debugging aktiviert um zu sehen das der Cisco SNMP Traps absendet ?
Einfache Schritte die in 3 Minuten erledigt sind und dir Gewissheit geben was dort Server- und Switch seitig per SNMP abgeht. Kommt man eigentlich auch sehr einfach von selber drauf wenn man mal in Ruhe nachdenkt...!
Der Switch und der Server befinden sich im gleichen Subnetz
Das ist gut denn dann kannst du ein Gateway bzw. Routing Problem sicher ausschliessen zwischen Server und Switch. Hauptsache sie sitzen dann auch im gleichen VLAN. Das kann man wie immer durch einen gegenseitigen Ping verifizieren.
Der Ping vom Switch zum Zabbix-Server ist erfolgreich.
Andersrum auch ?
Der Zabbix-Server zeigt mir aber auch keine Verfügbarkeit von SNMP an:
Wie bitte soll man das aus der absolut nichtssagenden Grafik erkennen. Dort steht überal das gleiche drin. Keinerlei Ziel IP nix. Wenig hilfreich face-sad
Wie gesagt: WAS sagt ein Wireshark oder tcpdump ?? Oder der SNMP Debugger am Switch ??
Genügt das um einen Trap auszulösen?
Nein ! Natürlich nicht !
Ist doch auch logisch. Ein ungenutztes Interface hat und kann keinen aktiven Link aufbauen wenn du "no shut" eingibst. Folglich bleibt dieses Interface im Shutdown State. Sinnfrei...
Klemm an den Port irgendwas an damit der Port aktiv ist und auf UP geht. Es muss nur ein Linkstate da sein und dann sendet der Switch auch ein Trap. Was man dann auch wieder im Debugger oder Wireshark sehen könnte !!
Ich beschäftige mich im Rahmen meiner Ausbildung seit gestern mit dem Thema.
Gerade dann sollte der Wireshark für dich DAS Tool der Wahl sein !!
Zusätzlich gib auf dem Cisco mal ein show debug auf dem CLI ein dann siehst du die zig Debug Optionen dort !
Wenn du mit Telnet oder SSH auf dem Switch bist musst du ein term mon eingeben um die Konsol Messages zu sehen !
Ein u all schlatet den Debugger wieder ab !
Solch simples Troubleshooting mit einfachsten Werkzeugen sollte man doch kennen in der Ausbildung ?!
malawi
malawi 22.09.2017 um 11:16:26 Uhr
Goto Top
Ich habe den angelegten Host auf dem Zabbix-Server jetzt mit einem vorgefertigten Template zur Abfrage für Cisco-Switche verknüpft und nun funktioniert es. Ja ich werde mich jetzt mit Wireshark mal auf die Suche nach SNMP-Paketen begeben.

Ich würde das Thema aktuell mal noch offen lassen. Vielen Dank!
aqui
aqui 22.09.2017 aktualisiert um 11:25:18 Uhr
Goto Top
Konfig Fehler Zabbix also.
Wireshark ist im Netzwerk immer dein bester Freund face-smile
Aber auch die Debugging Options im Cisco sind sehr mächtig und helfen ungemein.
Also immer nutzen sowas. Erweitert gerade in der Ausbildung auch immer ganz gehörig den Netzwerk Horizont weil es das Verständnis von IP Paketen, Protokollen und deren Kommunikation transparent und verstehbar macht !
Knorkator
Knorkator 22.09.2017 um 15:10:45 Uhr
Goto Top