Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Глоссарий

Объектное конфигурирование — представление и управление конфигурацией устройства как набором структурированных объектов и взаимосвязей между ними, в противовес текстовому конфигурированию, при котором система управления не анализирует структуру конфигурации устройства и манипулирует лишь текстом, представленным набором CLI-команд.

Модель конфигурации (data-модель конфигурации) — шаблон для представления конфигурации в виде структурированного объекта, содержит список возможных объектов в конфигурации и связи между ними. На основании модели конфигурации можно преобразовать текстовую конфигурацию в объектное представление (ревизию) и наоборот, преобразовать ревизию в текстовое представление (патч конфигурации или набор команд для применения на устройство).

Ревизия — представление конфигурации устройства в объектном виде. Ревизия может быть создана из текстовой конфигурации устройства с помощью data-модели, созданной пользователем на сервере. Изменения ревизий хранятся в ECCM и представляют собой историю изменения конфигурации устройств.

Патч конфигурации — набор CLI-команд, генерируемый ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.

VRF (Virtual Routing and Forwarding) — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных (каждый со своей независимой таблицей маршрутизации). Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.

Зона безопасности (security zone) — группа интерфейсов, на которую могут быть применены политики (правила) безопасности для контроля трафика между зонами.

Пара зон безопасности (security zone-pair) — позволяет указать однонаправленную политику межсетевого экрана между двумя зонами безопасности.

Профили безопасности (object-group) — сущность, позволяющая объединять устройства, протоколы или другие сущности в группы и применять эти группы к правилам безопасности. Эта сущность позволяет использовать группы объектов вместо отдельных IP-адресов, протоколов и портов, которые используются в обычных списках управления доступом.

Описание

Функция объектного конфигурирования устройств разработана, чтобы улучшить пользовательский опыт настройки оборудования через ЕССМ, позволяя системе "понимать" конфигурацию устройств и производить настройку с использованием модели сервисов как на отдельных элементах сети, так и на всей сети в целом.

Высокоуровневое конфигурирование Firewall доступно только для маршрутизаторов:

  • ESR (с версией ПО не ниже 1.18.3 build 1);
  • ESR-FSTEC (с версией ПО не ниже 1.5.7 build 3);
  • WLC (с версией ПО не ниже 1.19.х build 1).

Для управления сервисом Firewall система настраивает следующие параметры на устройстве:

  • Интерфейсы*:
    • Описание (description);
    • Зона безопасности (security-zone);
    • VRF (ip vrf forwarding);
    • IP-адресация (ip address);
    • Состояние firewall (ip firewall disable);
    • Состояние интерфейса (shutdown);
  • Зоны безопасности (security-zone):
    • Описание (description);
    • VRF (ip vrf forwarding);
  • Профили безопасности (object group):
    • Приложение (application):
      • Описание (description);
      • Приложение (application);
    • Адрес/Порт (address-port):
      • Описание (description);
      • Пара "адрес-порт" (address-port pair);
    • Сеть (network):
      • Описание (description);
      • Сеть (ip prefix);
      • Диапазон адресов (ip address-range);
    • Сервис (service);
      • Описание (description);
      • Порты (port-range);
  • Пары зон безопасности (security zone pair):
    • Описание (description);
    • Правила (rule):
      • Описание (description);
      • Действие (action);
      • Состояние правила (enable);
      • Соответствие (match);
  •  VRF:
    • Описание (description). 


* Система поддерживает объектное конфигурирование следующих типов интерфейсов:

  • GigabitEthernet;
  • TengigabitEthernet;
  • Twentyfivegigabitethernet;
  • FortygigabitEthernet;
  • Sub (VLAN);
  • Q-in-Q (VLAN);
  • Bridge;
  • Port-Channel.

Алгоритм работы

После добавления устройства в систему управления автоматически запускается задача на синхронизацию данных: конфигурации устройства, инвентарных данных, данных об интерфейсах и прочих. Система обрабатывает текстовую конфигурацию устройства и на её основе формирует объектное представление — ревизию. Текстовая конфигурация и ревизия конфигурации сохраняются в базу данных.

Любое изменение, вносимое пользователем в конфигурацию, создает новую ревизию. Ревизия представляет собой копию изначально редактируемой data-модели с внесёнными в неё изменениями.

Предыдущая (изначально редактируемая) версия data-модели остаётся в системе в неизменном виде как слепок состояния и узел истории изменений. Таким образом обеспечивается версионирование ревизий конфигурации устройства и хранение истории. История изменений конфигурации линейна и строится из последовательно следующих друг за другом связанных блоков ревизий. 

Ревизия может иметь один из следующих статусов:

  • Актуальная/RUNNING — ревизия отражает текущую конфигурацию устройства;
  • Черновик/DRAFT — черновик конфигурации, представляет собой отредактированную копию какой-либо ревизии, которая ещё не применена на устройство;
  • В процессе/PROCESSING — черновик, который в данный момент находится в процессе применения на устройство (пока в истории присутствует "В процессе/PROCESSING", запрещено любое редактирование конфигурации и создание новых ревизий);
  • Применено/APPLIED — ревизия, которая ранее имела статус "Актуальная/RUNNING";
  • Неудачно/FAILED — ревизия, применение которой завершилось c ошибкой.

Модель конфигурации синхронизируется с конфигурацией устройства автоматически через фоновую и/или вручную запускаемую SSH-задачу получения конфигурации. При изменении конфигурации устройства (например, если администратор внёс изменения через CLI-интерфейс) система обнаружит изменение data-модели и создаст новую ревизию (статус новой ревизии — "Актуальная/RUNNING"). Предыдущая система будет отображена в списке ревизий со статусом "Применено/APPLIED".

Граф состояний и переходов статусов для ревизий можно отобразить следующим образом:

Интерфейс

Для управления объектной моделью конфигурации устройства предоставляется интерфейс с редактором настроек в виде форм, полей ввода, drag-and-drop компонентов и прочих элементов управления. Этот интерфейс доступен на странице "Устройство" → "Управление" → "Сервисы":

Подробное описание интерфейса и элементов управления приведено в разделе "Руководство пользователя" → "Страница устройства" → "Управление" → "Сервисы".
Страница "Устройство" → "Управление" → "Сервисы" доступна только для маршрутизаторов ESR и контроллеров WLC.

Пример настройки

Постановка задачи

Необходимо настроить интерфейсы и firewall в сети, представленной ниже:

Задачи:

  1. Разрешить TCP- и ICMP-трафик между сетями LAN и WAN в отдельном экземпляре VRF;
  2. Разрешить SSH-подключение к маршрутизатору R1 только из сети MGMT;
  3. Разрешить обмен NTP-сообщениями по протоколу UDP между R1 и LAN;
  4. Заблокировать доступ к ресурсам YouTube из сети LAN;
  5. Настроить соответствующие адреса на интерфейсах R1;


 Исходная конфигурация маршрутизатора R1

hostname R1

no spanning-tree

interface gigabitethernet 1/0/1
  ip firewall disable
  ip address 100.110.1.122/23
exit
snmp-server
snmp-server community public  ro
snmp-server community private  rw

ip route 0.0.0.0/0 100.110.0.1

ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 80.242.83.227
exit

План решения задачи

  1. Создание экземпляров VRF;
  2. Создание зон безопасности;
  3. Создание профилей безопасности;
  4. Создание пар зон безопасности;
  5. Создание правил безопасности;
  6. Настройка интерфейсов.

Создание VRF

Создание и настройка VRF на интерфейсах необходимы для разграничения трафика управления и пользовательского трафика. Преимуществом использования VRF является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.

Маршрутизаторы ESR по умолчанию используют безымянный default-VRF. Если архитектурой сети не предусмотрено разграничение трафика и таблиц маршрутизации с использованием VRF, то все настройки межсетевого экрана будут корректно работать и без создания отдельных экземпляров VRF.


Для настройки экземпляров VRF устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "VRF":

Для создания экземпляра VRF для пользовательского трафика:

1. Нажмите кнопку "Создать": откроется диалоговое окно создания нового экземпляра VRF;

2. В поле "Название" введите название нового экземпляра VRF, например "USER_TRAFFIC";

3. В поле "Описание" введите описание нового экземпляра VRF, например "VRF instance for user traffic";

4. Нажмите кнопку "Создать": будет создан новый экземпляр VRF для текущей модели конфигурации.

После создания созданный экземпляр будет отображен в таблице VRF:

После внесения изменений в активную ревизию в нижней части экрана станут доступны кнопки управления ревизиями:

При нажатии кнопки "Сбросить" внесенные изменения будут удалены, модель конфигурации вернется в последнее сохраненное состояние.

При нажатии кнопки "Сохранить" внесенные изменения будут сохранены с созданием новой ревизии типа "Черновик".

При нажатии кнопки "Сохранить и применить" внесенные изменения будут сохранены с запуском задачи на применение новой модели конфигурации.

Для сохранения изменений нажмите кнопку "Сохранить": откроется диалог сохранения модели конфигурации. В поле "Описание" введите описание для новой ревизии. Нажмите кнопку "Показать изменения" для просмотра набора CLI-команд, генерируемого ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.

Для сохранения новой ревизии нажмите кнопку "Сохранить": будет создана новая ревизия типа "Черновик/DRAFT".

Создание зон безопасности

Зоны безопасности необходимы для объединения интерфейсов устройства в группы, для которых будут применяться одни правила безопасности для контроля трафика. Интерфейсы привязываются к зонам, а правила безопасности применяются к трафику, перемещающемуся между зонами. Межзональные политики обеспечивают значительную гибкость и масштабируемость, поэтому разные правила безопасности могут применяться к нескольким группам хостов, подключенным к одному и тому же интерфейсу маршрутизатора.

Для настройки зон безопасности устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Зоны безопасности":

Для создания зоны безопасности:

1. Нажмите кнопку "Создать": откроется окно создания зоны;

2. В поле "Название" введите "LAN_USERS";

3. В поле "Описание" введите "User traffic for LAN users";

4. Нажмите на меню "VRF" и выберите "USERS";

5. Нажмите кнопку "Создать": будет создана соответствующая зона.


Аналогичными действиями создайте остальные необходимые зоны безопасности:

Создание профилей безопасности

Профили безопасности требуются, чтобы различать трафик, к которому в дальнейшем будут применяться правила. Классификация возможна по различным типам: TCP-порты, IP-адреса и подсети, приложения. Подробное описание приведено в разделе "Руководство пользователя" → "Страница устройства" → "Управление" → "Сервисы".

Для создания профиля безопасности устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Профили":

Необходимо создать профили безопасности, которые определят:

  • Сеть управления MGMT;
  • Локальную сеть LAN;
  • Порты сервисов (ssh, ntp и проч.);
  • Запрещенные приложения (YouTube);

Для создания профиля безопасности для сети управления:

1. Нажмите кнопку "Создать": откроется окно создания профиля;

2. В поле "Название" введите "MGMT";

3. В поле "Описание" введите "Management network";

4. Нажмите на меню "Тип профиля" и выберите "Сеть";

5. В блоке "Адреса подсетей" задайте соответствующую сеть: "100.110.0.0/23";

6. Нажмите кнопку "Создать": будет создан соответствующий профиль.


Аналогичными действиями создайте остальные необходимые профили безопасности:

Создание пар зон безопасности

Пары зон безопасности определяют направления трафика между зонами. В рамках одной пары зон действуют правила безопасности, которые применяются к трафику, проходящему из зоны-источника в зону-получателя.

Для настройки правил безопасности устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Правила":

Перед созданием правил безопасности необходимо создать пары зон безопасности. Для решения поставленной задачи необходимы следующие пары:

  • MGMT → self;
  • LAN → self;
  • LAN → WAN;
  • WAN → LAN.

Для создания пары зон безопасности:

1. Нажмите кнопку "Создать": откроется диалог создания пары зон безопасности;

2. В поле "Источник" выберите "MGMT";

3. В поле "Назначение" выберите "self";

4. В поле "Описание" введите "From mgmt-network to router";

5. Нажмите кнопку "Создать": будет создана соответствующая пара зон безопасности.


Аналогичными действиями создайте остальные необходимые пары зон безопасности:

Создание правил безопасности

Для того чтобы трафик смог пройти из одной зоны в другую, необходимо настроить правила безопасности.

По умолчанию прохождение трафика из одной зоны в другую запрещено. Для того чтобы трафик смог пройти из одной зоны в другую, необходимо создать "разрешающие" правила безопасности.


Нужно создать правило безопасности, удовлетворяющее условию:

1. Разрешить TCP-трафик между сетями LAN и WAN в отдельном экземпляре VRF;

Для этого:

1. Нажмите на вкладку пары зон безопасности с названием "LAN_USERS → WAN_USERS": раскроется таблица правил безопасности;

2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;

3. Заполните все необходимые поля и приведите правило к следующему виду:

4. Нажмите кнопку "Создать": будет создано соответствующее правило безопасности. Созданное правило будет отображено в таблице правил.


Аналогичным способом нужно создать правило, разрешающее трафик в обратную сторону:

1. Нажмите на вкладку пары зон безопасности с названием "WAN_USERS → LAN_USERS": раскроется таблица правил безопасности;

2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;

3. Заполните все необходимые поля и приведите правило к следующему виду:

4. Нажмите кнопку "Создать": будет создано соответствующее правило безопасности.


Таким образом, таблицы правил будут выглядеть следующим образом:


Ниже представлены правила безопасности, удовлетворяющие условию:

2. Разрешить SSH-подключение к маршрутизатору R1 из сети MGMT для администратора сети в отдельном экземпляре VRF;


Ниже представлены правила безопасности, удовлетворяющие условию:

3. Разрешить обмен NTP-сообщениями по протоколу UDP между R1 и LAN;


Ниже представлены правила безопасности, удовлетворяющие условию:

4. Заблокировать доступ к ресурсам youtube из сети LAN;

Настройка интерфейсов

Чтобы настроенные ранее правила безопасности применялись к трафику конкретного интерфейса, необходимо включить интерфейс в зону безопасности. Включение интерфейса в экземпляр VRF позволит изолировать пользовательский трафик от остального. Также на интерфейсе необходимо настроить IP-адрес, если это не было сделано ранее.

Для настройки интерфейсов устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Интерфейсы":

Для интерфейса gigabitethernet 1/0/1:

1. Нажмите на соответствующую строку в таблице интерфейсов: откроется окно редактирования интерфейса;

2. В поле "Описание" введите "MGMT-network";

3. В поле "Зона безопасности" выберите "MGMT";

4. Активируйте переключатель "Включить межсетевой экран";

5. Нажмите кнопку "Сохранить": внесенные изменения будут отображены в таблице интерфейсов.


Аналогичными действиями настройте оставшиеся интерфейсы:

Применение модели конфигурации

Для применения модели конфигурации нажмите кнопку "Сохранить и Применить" нижней панели управления и подтвердите сохранение настроек: будет создана задача на применение модели конфигурации. Статус выполнения задачи будет отображен во вкладке "Устройство" → "Мониторинг" → "Задачи":

Актуальная конфигурация устройства будет отображена во вкладке "Устройство" → "Управление" → "Конфигурации":

  • Нет меток