Jump to content
  • 10

SNMP мониторинг


iskatel'

Question

Здравствуйте.

Реализуйте пожалуйста SNMP-модуль (только мониторинг трафика).

До Keenetic Viva, у меня был роутер P660HTN EE. Пользовался на нём Wi-Fi-расписанием, и SNMP-мониторингом. Сейчас, на Viva не хватает этих двух функций. Здесь, на форуме (а так же на iXBT), прочитал о том что Wi-Fi-расписание появится в будущем (что радует, и за что большое спасибо! :) ), а вот появление SNMP не планируется (что огорчает). Хотелось бы минимальную реализацию - мониторинг трафика, с помощью утилит на подобие этой: https://www.softperfect.com/products/networx/

P.S.: с opkg связываться не хотелось бы. :)

 

Le ecureuil:

 

Итак, SNMP реализован и доступен в качестве компонента в прошивках 2.06 и 2.08. Ниже перечислены физические ограничения, которые невозможно разрешить, и с которыми либо придется жить, либо заниматься извращениямипо типу vlan на каждом порту. Эти ограничения касаются только статистики по портам свитчей, весь остальной функционал snmp (включая статус портов, расширенную статистику по не-портовым интерфейсам) везде присутствует.

2.06 :

Устройства на чистом RT6856: Keenetic II:

- Поддерживаются только 32-битные счетчики байт по портам свитча, и только 16-битные счетчики пакетов по портам свитча. Классификаторов пакетов кроме "хороших" / "плохих" нет, потому статистики по multicast/broadcast тоже нет. В случае переполнения счетчиков выставляется время последнего переполнения в IF-MIB.

Устройства на RT6856 со свитчем RTL8367B: Keenetic Giga II, Keenetic Ultra:

- Полностью поддерживаются 64-битные счетчики байт по портам свитча, 32-битные счетчики пакетов по портам свитча. Есть классификация по типу пакетов: broadcast и multicast будут видны раздельно друг от друга и от от unicast.

 

2.08+ :

Устройства на чистом RT6856, а также на чистом RT63368: Keenetic II, Keenetic DSL, Keenetic VOX:

- Поддерживаются только 32-битные счетчики байт по портам свитча, и только 16-битные счетчики пакетов по портам свитча. Классификаторов пакетов кроме "хороших" / "плохих" нет, потому статистики по multicast/broadcast тоже нет. В случае переполнения счетчиков выставляется время последнего переполнения в IF-MIB.

Устройства на RT6856 со свитчем RTL8367B, устройства на RT63368 с свитчем MT7530: Keenetic Giga II, Keenetic Ultra, Keenetic LTE:

- Полностью поддерживаются 64-битные счетчики байт по портам свитча, 32-битные счетчики пакетов по портам свитча. Есть классификация по типу пакетов: broadcast и multicast будут видны раздельно друг от друга и от от unicast.

Устройства на MT7621 со свитчами MT7530 (встроенный) и RTL8370M (внешний), устройства на EN7512/13/16: Keenetic Giga III, Keenetic Ultra II, KN-1010, KN-1810, KN-1910, KN-2010, KN-2110, KN-2310, KN-2410, KN-2510, KN-2610, KN-3010:

- Полностью поддерживаются 64-битные счетчики байт по портам свитча, 32-битные счетчики пакетов по портам свитча. Есть классификация по типу пакетов: broadcast и multicast будут видны раздельно друг от друга и от от unicast.

Устройства на MT7620 с внешним свитчем RTL8367B: Keenetic Viva, Keeentic Extra:

- Полностью поддерживаются 64-битные счетчики байт по портам свитча, 32-битные счетчики пакетов по портам свитча. Есть классификация по типу пакетов: broadcast и multicast будут видны раздельно друг от друга и от от unicast.

Устройства на MT7620 со встроенным свитчем: Keenetic 4G III, Keenetic Lite II, Keenetic Lite III, Keenetic Omni, Keenetic Omni II, Keenetic III:

- Поддерживаются только 32-битные счетчики байт по портам свитча, и только 16-битные счетчики пакетов по портам свитча. Классификаторов пакетов кроме "хороших" / "плохих" нет, потому статистики по multicast/broadcast тоже нет. В случае переполнения счетчиков выставляется время последнего переполнения в IF-MIB.

Устройства на MT7628 со встроенным свитчем: Keenetic Start II, Keenetic Lite III rev B, Keenetic 4G III rev. B, Keenetic Air, Keenetic Extra II, KN-1110/1111, KN-1210/1211, KN-1310/1311, KN-1410, KN-1510/1511, KN-1610/1611, KN-1710/1711, KN-2210:

- Поддерживаются только 16-битные счетчики пакетов по портам свитча. Никакой другой статистики по портам нет, нет даже классификации на "хорошие" и "плохие" пакеты, ровно как нет и счетчиков трафика. Нет и возможности грамотно отследить переполнение.

  • Upvote 1
Link to comment
Share on other sites

241 answers to this question

Recommended Posts

  • 0

Добрый день!

Про SNMP (Keenetic Viva, v2.08(AANT.0)B0).

Не вижу устройство по внешнему интерфейсу (извне).

По внутреннему snmpwalk -v2c -c public 192.168.х.х всё работает.

Разрешающие правила для нужного WAN-интерфейса UDP и TCP с/на порт 161 в Межсетевом экране есть.

Не подскажете, где собака порылась?

Спасибо!

Link to comment
Share on other sites

  • 0

Возможно провайдер блокирует. 

Попробуйте нестандартный порт протранслировать. 

Link to comment
Share on other sites

  • 0
6 часов назад, avanti-sysadmin сказал:

Добрый день!

Про SNMP (Keenetic Viva, v2.08(AANT.0)B0).

Не вижу устройство по внешнему интерфейсу (извне).

По внутреннему snmpwalk -v2c -c public 192.168.х.х всё работает.

Разрешающие правила для нужного WAN-интерфейса UDP и TCP с/на порт 161 в Межсетевом экране есть.

Не подскажете, где собака порылась?

Спасибо!

мой провайдер заблокировал 161 порт по udp, работает только по tcp.

Le ecureuil, рекомендовал (в этой же теме) следующую диагностику(с удаленного устр-ва) :

Цитата

Или откройте UDP в МСЭ на 161 порт, или запускайте snmpwalk по tcp: 
 

snmpwalk -v2c -c public tcp:*public_ip_addr*

 

Edited by forcemajor
Link to comment
Share on other sites

  • 0

Я делал оба варианта, и TCP и UDP. Увы, на всех отваливается по таймауту.

Провайдер не блокирует точно, так как другие роутеры (Zywall) на этом же провайдере отлично видны извне.

Link to comment
Share on other sites

  • 0
17 минут назад, avanti-sysadmin сказал:

Я делал оба варианта, и TCP и UDP. Увы, на всех отваливается по таймауту.

Провайдер не блокирует точно, так как другие роутеры (Zywall) на этом же провайдере отлично видны извне.

Если я правильно понял логику работы, для access-list'a важна очередность правил, если разрешающие правило стоит после запрещающего ,например :

deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 161

то фокус не удастся, так как fw отбросит трафик.

Возможно дело в этом ?

оставляем за скобкам то, что вы скачали нужный элемент, сделали В CLI:

service snmp

system configuration save

 

Link to comment
Share on other sites

  • 0

Сразу всех предупреждаю.

Получение данных по SNMP довольно сильно нагружает систему.

Поэтому выставление SNMP в Internet на порту по умолчанию с community public черевато тем, что боты могут нагрузить ваш роутер так, что он встанет колом.

Link to comment
Share on other sites

  • 0
service snmp

system configuration save

Делал, конечно же... ведь с внутреннего интерфейса 192.168.x.x всё работает...

По части ботов - открывать 161 я собирался только для одного IP (удаленного, мой сервер заббикса). Попозже открыл на всё, чтобы протестировать.

Но увы, с внешнего не видится.

По части запрещающих всё (Deny all входящее). Я такое правило на Zyxel Keenetic'ах не прописывал никогда и оно работало, я делал вывод, что оно дефолтное в системе и стоит последним. Нет?

В Zywall'е проще, там ты рулишь сам...

 

 

Edited by avanti-sysadmin
Link to comment
Share on other sites

  • 0
2 минуты назад, avanti-sysadmin сказал:

А есть ли какая-то форма настройки SNMP в админке (или телнетом)? Порт поменять, т.д.?

Нет.

Порт не меняется, можно поменять только community и пару описательных параметров навроде location.

Link to comment
Share on other sites

  • 0

Нет ли в планах и насколько сложно реализовать в SNMP информацию о Wi-Fi клиентах?

Вкладку с wi-fi клиентами нам вернули, в вебе информация с трафиком отображается. NDMS об этих клиентах знает.

Информацию можно получить через http://my.keenetic.net/rci/show/associations или CLI "show associations":

{
  "station": [
    {
      "mac": "xx:xx:xx:xx:xx:xx",
      "ap": "WifiMaster0/AccessPoint0",
      "authenticated": "1",
      "txrate": "65",
      "uptime": "6273",
      "txbytes": "554139",
      "rxbytes": "4347197",
      "ht": "20",
      "mode": "11n",
      "gi": "800",
      "rssi": "-63",
      "mcs": "7"
    }
  ]
}

Если бы это можно было получить через SNMP и отразить на графиках, то вообще бы было замечательно.

Понятно, что можно парсить эту информацию через скрипты. Но это предполагает наличие лишнего "костыля".

Edited by gvan
Link to comment
Share on other sites

  • 0
21 час назад, gvan сказал:

Нет ли в планах и насколько сложно реализовать в SNMP информацию о Wi-Fi клиентах?

Вкладку с wi-fi клиентами нам вернули, в вебе информация с трафиком отображается. NDMS об этих клиентах знает.

Информацию можно получить через http://my.keenetic.ru/rci/show/associations или CLI "show associations":


{
  "station": [
    {
      "mac": "xx:xx:xx:xx:xx:xx",
      "ap": "WifiMaster0/AccessPoint0",
      "authenticated": "1",
      "txrate": "65",
      "uptime": "6273",
      "txbytes": "554139",
      "rxbytes": "4347197",
      "ht": "20",
      "mode": "11n",
      "gi": "800",
      "rssi": "-63",
      "mcs": "7"
    }
  ]
}

Если бы это можно было получить через SNMP и отразить на графиках, то вообще бы было замечательно.

Понятно, что можно парсить эту информацию через скрипты. Но это предполагает наличие лишнего "костыля".

Скиньте ссылку на более-менее популярный MIB с подобной информацией, подумаем.

Link to comment
Share on other sites

  • 0
16 часов назад, Le ecureuil сказал:

Скиньте ссылку на более-менее популярный MIB с подобной информацией, подумаем.

Не знаю, насколько это то, что нужно:

D-link ftp://ftp.dlink.ru/pub/Wireless/DWL-2100AP/Firmware/2.50/Dview-DWL2100-v250eu-rc358.mib , раздел AdClientEntry (но там входящие/исходящие байты не прописаны).

Есть еще у Cisco, но MIB-ы закрыты для скачивания.

Возможно, кто-то еще подкинет ссылки.

Link to comment
Share on other sites

  • 0

Вопрос по ExtII потерялся интерфейс 5GHZ, физический он rai0 (ra0 вижу, а rai0 нет). Вижу даже те которые в данный момент вообще отсутствуют в системе, т.е. не активны, выключены - например ppp0, vpn1, br1 так же не используеться.

 

Link to comment
Share on other sites

  • 0
3 часа назад, vasek00 сказал:

Вопрос по ExtII потерялся интерфейс 5GHZ, физический он rai0 (ra0 вижу, а rai0 нет). Вижу даже те которые в данный момент вообще отсутствуют в системе, т.е. не активны, выключены - например ppp0, vpn1, br1 так же не используеться.

 

Щито? Это вы вообще к чему?

Link to comment
Share on other sites

  • 0

Так как данная тема SNMP мониториг, то и речь идет про него родимого.

Это к тому что при использовании SNMP на данном ExtII (анализа) ПО которое ведет съем статистики с данного роутера на ПК не видит интерфейса отвечающего за Wi-fi 5Ghzу данного роутера.

ra0       Link encap:Ethernet  HWaddr хх:хх:хх:хх:хх:хх  
          inet6 addr: fe80::хххх:хххх:хххх:хххх/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1668516 errors:5 dropped:0 overruns:0 frame:0
          TX packets:2404637 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:190135141 (181.3 MiB)  TX bytes:3204221039 (2.9 GiB)
          Interrupt:6 

rai0      Link encap:Ethernet  HWaddr хх:хх:хх:хх:хх:хх  
          inet6 addr: fe80::хххх:хххх:хххх:хххх/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1133508 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1379905 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:376166041 (358.7 MiB)  TX bytes:1834975108 (1.7 GiB)
          Interrupt:4 

br0 = eth2.1+ra0+rai0

Делаю предположение, что он данный интерфейс который отвечает на роутере за 5GHz где-то "потерялся" в описаниях или еще где-то. Остальные интерфейсы видны, даже те которые неактивны, т.е. их нет в списке интерфейсов ifconfig -  например ppp0 (как он может быть если ну нет его в данном подключение и ISP вообще отключен на роутере), vpn1 (ну не включен сейчас сервер VPN и клиента тоже нет), br1 с ним ладно на нем весит Guest и прицеплен vlan3.

Клиент который подключился к роутеру на 5GHz виден на ПК, а вот через что он клиент работает с роутером нет (SNMP не показывает наличие интерфейса), приложил бы скрин но говорит ошибку (может уже много скринов использовал), хотя ранее выкладывал данные скрины для пояснения ошибок не было.

Попробуем еще раз оценить кол-во информации которую можно снять с помощью SNMP с данного устройства ExtII, пока не удалось снять статистику на интерфейсе 5GHz с данного роутера, через SNMP его нет.

ПК ---- (LAN)ExtII(5GHz)---- Клиент

 

В догонку - при заново настройках и перегрузке роутера/ПК нашелся 5GHz интерфейс как и положено под именем "rai0", а так же все остальные перешли в статус как и положено "Hardware status: network interface ИМЯ down"

Edited by vasek00
Link to comment
Share on other sites

  • 0

Со скринами разобрался, оказывается клиенту выделено 29-30МБ пространства для размещения той или иной иформации в качестве картинки/скрина. Пришлось старенькие подчистить. Что имел ввиду ранее.

 

SNMP-1.jpg

SNMP-2.jpg

Edited by vasek00
Link to comment
Share on other sites

  • 0

Вопрос в snmpd.log пападают ошибки :

ExtII v2.09(ABGH.1)A3

No pswpout line in /proc/vmstat
c64 32 bit check failed
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
...
c64 32 bit check failed
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
No pswpin line in /proc/vmstat
No pswpout line in /proc/vmstat
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
...

KII v2.09(AAFG.0)A3
...
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
No pswpin line in /proc/vmstat
No pswpout line in /proc/vmstat
error on subcontainer 'ia_addr' insert (-1)
error on subcontainer 'ia_addr' insert (-1)
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
No pswpin line in /proc/vmstat
No pswpout line in /proc/vmstat
No pgpgin line in /proc/vmstat
No pgpgout line in /proc/vmstat
...

между строками "error on subcontainer 'ia_addr' insert (-1)" 24 строчки ".../proc/vmstat" на обоих роутерах, swap не используется может это как то учесть или поставить их равными 0.

Link to comment
Share on other sites

  • 0

Будет ли реализован сервис snmp  в остальных режимах работы: режим адаптера, режим точки доступа, режим усилителя?

Link to comment
Share on other sites

  • 0
14 часа назад, dexter сказал:

Будет ли реализован сервис snmp  в остальных режимах работы: режим адаптера, режим точки доступа, режим усилителя?

Пока развитие приостановлено в связи с тем, что основной функционал, который просили, был реализован.

Пока нет никаких конкретных решений по поводу дальнейшего развития и сроков.

Link to comment
Share on other sites

  • 0
В 08.02.2017 в 20:50, dexter сказал:

Будет ли реализован сервис snmp  в остальных режимах работы: режим адаптера, режим точки доступа, режим усилителя?

Что мешает на основе режиме ТД организовать все что вам нужно, а не переводить в режим "Усилителя" или "Адаптера".

Link to comment
Share on other sites

  • 0

@dexter я так понимаю имеется ввиду режим роутера, в котором вы вручную реализуете режим ТД, адаптера и т.д.

Link to comment
Share on other sites

  • 0

Не согласен! Для чего тогда пресеты? Для продвинутого пользователя это не станет проблемой, переведёт и вручную. А, с точки зрения "пользователя обыкновенного"?

Link to comment
Share on other sites

  • 0

эволюция. переход от стадии - "пользователь обыкновенный" к стадии - "пользователь продвинутый". любопытство... :)

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 11.02.2017 в 14:10, r13 сказал:

А зачем обыкновенному пользователю SNMP?

Все дело в том, что система из коробки для решения каких либо вопросов которые могут возникнуть по работе роутера мало информативна (тот же лог или selftest) и пользователь старается найти хоть какие то данные которые могут натолкнуть на решение его проблемы.

Цитата

эволюция. переход от стадии - "пользователь обыкновенный" к стадии - "пользователь продвинутый". любопытство.

все мы к чему то стремимся.

Link to comment
Share on other sites

  • 0
6 минут назад, vasek00 сказал:

Все дело в том, что система из коробки для решения каких либо вопросов которые могут возникнуть по работе роутера мало информативна (тот же лог или selftest) и пользователь старается найти хоть какие то данные которые могут натолкнуть на решение его проблемы.

Справедливости ради для этого пользователя у zyxel есть отличная поддержка, умеющая читать селфтесты.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...