基于snmp的網(wǎng)絡(luò)自適應(yīng)與自發(fā)現(xiàn)（建議開發(fā)運(yùn)維自動(dòng)化平臺(tái)和基礎(chǔ)架構(gòu)支撐的朋友看）

網(wǎng)絡(luò)自適應(yīng)與自發(fā)現(xiàn)的動(dòng)機(jī)

• 避免手動(dòng)初始配置和更新網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)
• 網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)填充數(shù)據(jù)組織過程資產(chǎn)
• 通過定期數(shù)據(jù)更新保持最新狀態(tài)
• 保持對(duì)要支持的網(wǎng)絡(luò)設(shè)備的精確描述
• 高效的網(wǎng)絡(luò)運(yùn)營(yíng)和規(guī)劃
• 資產(chǎn)庫(kù)存管理（CMDB）
• 準(zhǔn)確清點(diǎn)所有硬件和軟件資產(chǎn)組織
• 網(wǎng)絡(luò)管理系統(tǒng)的核心準(zhǔn)確定位
• 網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)生成和邏輯關(guān)系的清楚展現(xiàn)

輸出的目標(biāo)
安全風(fēng)險(xiǎn)與故障的及時(shí)有效的準(zhǔn)確定位和排除
“要知道我們有什么，在哪里以及如何使用”

設(shè)備發(fā)現(xiàn)

• 通過IP地址發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備
• 掃描IP地址范圍（ping，snmp）
• 發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備，拓?fù)浜虸P地址空間
• 從核心交換機(jī)開始，通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)逐跳使用路由表中的下一跳
• 掃描每個(gè)接口上的子網(wǎng)絡(luò)并查找連接的設(shè)備
• 使用CDP或LLDP
• L3網(wǎng)絡(luò)拓?fù)?/li>
• 發(fā)現(xiàn)IP地址空間 - 每個(gè)接口上的子網(wǎng)
• 通過MAC地址發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備 - 每個(gè)LAN / VLAN
• 檢查每個(gè)設(shè)備接口上的ARP表
• 配對(duì)IP和MAC地址
• 在局域網(wǎng)上查找交換機(jī)
• 查詢交換機(jī)轉(zhuǎn)發(fā)表
• 了解網(wǎng)絡(luò)中的DHCP池
• L2網(wǎng)絡(luò)拓?fù)洌?forwarding tables, ，STP）
  檢測(cè)設(shè)備的類型
• 路由器，交換機(jī)，UPS，主機(jī)（Linux，Windows ...）
• 檢測(cè)設(shè)備供應(yīng)商
• 檢測(cè)設(shè)備型號(hào)
• 檢測(cè)設(shè)備資源（屬性）
• 系統(tǒng)名稱，型號(hào)，序列號(hào)
• 檢測(cè)設(shè)備組件及其資源
• 接口
• 物理實(shí)體 - 模塊，卡，CPU，內(nèi)存...
• 邏輯實(shí)體 - 存儲(chǔ)分區(qū)，虛擬內(nèi)存，路由表，連接用戶，BGP對(duì)等體，QoS策略等。
• 軟件組件 - 已安裝的軟件，運(yùn)行過程...
  ok，各位看官提綱已經(jīng)列出來，大家繼續(xù)往下走分享具體實(shí)現(xiàn)邏輯，不然肯定有大牛說都是大而虛，不切實(shí)際，那我們下面就將具體信息落實(shí)：

using SNMP - CLI
snmpwalk command
snmpwalk -v 2c -c 1qaz@WSX 100.100.32.10

Standard MIBs
System (.1.3.6.1.2.1.1)
Name, description, uptime

Response bindings:
1: sysObjectID.0 (object identifier) enterprises.9.1.516
2: sysUpTimeInstance (timeticks) 42 days 23h:23m:48s.31th (371302831)
3: sysContact.0 (octet string) (zero-length)
4: sysName.0 (octet string) WS-C3750v2-48TS [57.53.2D.43.33.37.35.30.76.32.2D.34.38.54.53 (hex)]
5: sysLocation.0 (octet string) (zero-length)
6: sysServices.0 (integer) 6
7: sysORLastChange.0 (timeticks) 0 days 00h:00m:00s.00th (0)
8: sysORID.1 (object identifier) enterprises.9.7.129
9: sysORID.2 (object identifier) enterprises.9.7.115
10: sysORID.3 (object identifier) enterprises.9.7.265
Interfaces (IF-MIB)
IfTable (.1.3.6.1.2.1.2.2), IfXTable (.1.3.6.1.2.1.31.1)

IP (IP-MIB)
ipAddrTable (.1.3.6.1.2.1.4.20) – used IP addresses

ipRouteTable (.1.3.6.1.2.1.4.21) – Routing table

部分帶有路由功能的交換機(jī)會(huì)在(.1.3.6.1.2.1.4.24體現(xiàn)路由信息例如cisco 3750

ICMP (IP-MIB)
icmpStatsTable (.1.3.6.1.2.1.5.29) – statistics of ICMP packets

目前這部分被廣泛應(yīng)用在大數(shù)據(jù)分析、設(shè)備狀態(tài)監(jiān)測(cè)、甚至在APM也有所使用

UDP (UDP-MIB)
udpTable (.1.3.6.1.2.1.7.5)
TCP 1.3.6.1.2.1.6

如何識(shí)別設(shè)備類型？
發(fā)現(xiàn)測(cè)試 - 檢索特定設(shè)備類型的唯一值
路由器
如何識(shí)別路由器？
路由表？主機(jī)也有一張路由表……
sysServices（.1.3.6.1.2.1.1.7）
返回值的位數(shù)確定設(shè)備所在的OSI/TCP的層數(shù)
例如：6（dec）= 0110（bin） - 第3層和第2層（L3交換機(jī)）
ipForwarding (.1.3.6.1.2.1.4.1) in IP-MIB
forwarding(1) – for routing capable devices
not-forwarding(2) – for all other devices

上述我舉例的方式已經(jīng)很詳細(xì)，就不一一給大家截圖分析了，下面就直接給大家貼oid了：
BGP protocol (BPG4-MIB)
bgpPeerTable (.1.3.6.1.2.1.15.3)
OSPF protocol (OSPF-MIB)
ospfAreaTable (.1.3.6.1.2.1.14.2), ospfLsdbTabl (.1.3.6.1.2.1.14.4)
MPLS (MPLS-LSR-MIB, MPLS-×××-MIB)
mplsInSegmentTable (.1.3.6.1.3.96.1.3)
mplsOutSegmentTable (.1.3.6.1.3.96.1.6)
BRIDGE-MIB
Discovery test
dot1dBaseBridgeAddress (.1.3.6.1.2.1.17.1.1)
dot1dBasePortTable (.1.3.6.1.2.1.17.1.4)
pairing switching ports with interfaces (ifTable)
HOST-RESOURCES-MIB
Discovery test
hrSystem (.1.3.6.1.2.1.25.1)
these (.1.3.6.1.2.1.25.1.1), hrSystemDate (.1.3.6.1.2.1.25.1.2)
hrStorageTable (.1.3.6.1.2.1.25.2.3)
hrDeviceTable (.1.3.6.1.2.1.25.3.2)
hrProcessorTable (.1.3.6.1.2.1.25.3.3)
private.enterprises (.1.3.6.1.4.1) subtree
cisco (.1.3.6.1.4.1.9)
apc (.1.3.6.1.4.1.318)
microsoft (.1.3.6.1.4.1.311)
juniperMIB (.1.3.6.1.4.1.2636)
vmware (.1.3.6.1.4.1.6876)
…………
詳情見我之前分享的完整廠家分享，對(duì)與未知設(shè)備但凡支持SNMP需要在庫(kù)中不斷更新
OID sysObjectID (.1.3.6.1.2.1.1.2)
returns vendor specific OID which defines device model
Example:
sysObjectID = .1.3.6.1.4.1.9.1.283
CISCO-PRODUCTS-MIB (.1.3.6.1.4.1.9.1)
OID .1.3.6.1.4.1.9.1.283
Identifier
type: name: Cat6509
returns no date

上述是發(fā)現(xiàn)思科機(jī)框設(shè)備都會(huì)有不同的模塊和板塊

可以預(yù)期通過拓?fù)浒l(fā)現(xiàn)技術(shù)，可以不斷識(shí)別網(wǎng)絡(luò)地址空間，并不斷探索網(wǎng)絡(luò)的邊界；可以持續(xù)地對(duì)終端設(shè)備進(jìn)行普查，這種審查發(fā)生在網(wǎng)絡(luò)核心，不需要安裝終端；同時(shí)，能夠不斷積累設(shè)備元數(shù)據(jù)和行為數(shù)據(jù)。
這些能力能夠發(fā)現(xiàn)未曾記錄在檔案的網(wǎng)絡(luò)，發(fā)現(xiàn)網(wǎng)絡(luò)中的無賴設(shè)備，甚至發(fā)現(xiàn)有威脅特征的設(shè)備，等等。而消除這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所付出的代價(jià)又較小，這也是我青睞于拓?fù)浼夹g(shù)在網(wǎng)絡(luò)安全中應(yīng)用的重要原因

目前很多態(tài)勢(shì)感知類設(shè)備甚至是soc都需要借助SNMP去獲取一些設(shè)備狀態(tài)信息、日志信息、包括進(jìn)程，甚至是應(yīng)用狀態(tài)的監(jiān)控，來掌握網(wǎng)絡(luò)實(shí)時(shí)狀態(tài)，隨著SDN的發(fā)展，某些廠家通過網(wǎng)絡(luò)虛擬化技術(shù)沒通過opefew技術(shù)，對(duì)虛擬化網(wǎng)絡(luò)設(shè)備及安全設(shè)備中的fewtable進(jìn)行檢測(cè)，傳統(tǒng)的流量檢測(cè)還是用了netfew技術(shù)，但是根據(jù)調(diào)研目前大部分虛擬化設(shè)備還是支持SNMP的，無論哪種技術(shù)，無非都是完成對(duì)企業(yè)內(nèi)部資源的可視化：“拓?fù)淇梢暬薄傲髁靠梢暬薄霸O(shè)備配置信息可視化”“資產(chǎn)可視化等等。。。?！?/p>

具體還在不斷的學(xué)習(xí)和實(shí)踐中，還希望有這方面研究的朋友一起探討。