Объектное конфигурирование — представление и управление конфигурацией устройства как набором структурированных объектов и взаимосвязей между ними, в противовес текстовому конфигурированию, при котором система управления не анализирует структуру конфигурации устройства и манипулирует лишь текстом, представленным набором CLI-команд.
Модель конфигурации (data-модель конфигурации) — шаблон для представления конфигурации в виде структурированного объекта, содержит список возможных объектов в конфигурации и связи между ними. На основании модели конфигурации можно преобразовать текстовую конфигурацию в объектное представление (ревизию) и наоборот, преобразовать ревизию в текстовое представление (патч конфигурации или набор команд для применения на устройство).
Ревизия — представление конфигурации устройства в объектном виде. Ревизия может быть создана из текстовой конфигурации устройства с помощью data-модели, созданной пользователем на сервере. Изменения ревизий хранятся в ECCM и представляют собой историю изменения конфигурации устройств.
Патч конфигурации — набор CLI-команд, генерируемый ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.
VRF (Virtual Routing and Forwarding) — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных (каждый со своей независимой таблицей маршрутизации). Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.
Зона безопасности (security zone) — группа интерфейсов, на которую могут быть применены политики (правила) для контроля трафика между зонами.
Пара зон безопасности (security zone-pair) — позволяет указать однонаправленную политику межсетевого экрана между двумя зонами безопасности.
Профили (object-group) — сущность, позволяющая объединять устройства, протоколы или другие сущности в группы и применять эти группы к правилам. В отличие от обычных списков управления доступом, профили позволяют использовать группы объектов вместо отдельных IP-адресов, протоколов и портов.
Функция объектного конфигурирования устройств разработана, чтобы улучшить пользовательский опыт настройки оборудования через ЕССМ, позволяя системе "понимать" конфигурацию устройств и производить настройку с использованием модели сервисов как на отдельных элементах сети, так и на всей сети в целом.
Высокоуровневое конфигурирование Firewall доступно только для маршрутизаторов:
|
Для управления сервисом Firewall система настраивает следующие параметры на устройстве:
description);security-zone);ip vrf forwarding);ip address);ip firewall disable);shutdown);security-zone):description);ip vrf forwarding);object group):application):description);application);address-port):description);address-port pair);network):ip prefix);ip address-range);service);description);port-range);security zone pair):description);rule):description);action);enable);match);description). * Система поддерживает объектное конфигурирование следующих типов интерфейсов:
|
После добавления устройства в систему управления автоматически запускается задача на синхронизацию данных: конфигурации устройства, инвентарных данных, данных об интерфейсах и прочих. Система обрабатывает текстовую конфигурацию устройства и на её основе формирует объектное представление — ревизию. Текстовая конфигурация и ревизия конфигурации сохраняются в базу данных.
Для отображения конфигурации в объектном представлении системе необходимо знать версию ПО устройства и получить с устройства его конфигурацию. Для получения конфигурации и применения новой конфигурации на устройство у системы должен быть доступ к нему по SSH. |
Любое изменение, вносимое пользователем в конфигурацию, создает новую ревизию. Ревизия представляет собой копию изначально редактируемой data-модели с внесёнными в неё изменениями.
Предыдущая (изначально редактируемая) версия data-модели остаётся в системе в неизменном виде как слепок состояния и узел истории изменений. Таким образом обеспечивается версионирование ревизий конфигурации устройства и хранение истории. История изменений конфигурации линейна и строится из последовательно следующих друг за другом связанных блоков ревизий.
Ревизия может иметь один из следующих статусов:
Модель конфигурации синхронизируется с конфигурацией устройства автоматически через фоновую и/или вручную запускаемую SSH-задачу получения конфигурации. При изменении конфигурации устройства (например, если администратор внёс изменения через CLI-интерфейс) система обнаружит изменение data-модели и создаст новую ревизию (статус новой ревизии — "Актуальная/RUNNING"). Предыдущая система будет отображена в списке ревизий со статусом "Применено/APPLIED".
Граф состояний и переходов статусов для ревизий можно отобразить следующим образом:
Для управления объектной моделью конфигурации устройства предоставляется интерфейс с редактором настроек в виде форм, полей ввода, drag-and-drop компонентов и прочих элементов управления. Этот интерфейс доступен на странице "Устройство" → "Управление" → "Сервисы":
Подробное описание интерфейса и элементов управления приведено в разделе "Сеть" → "Страница устройства" → "Управление устройством" → "Сервисы" Руководства пользователя. |
| Страница "Устройство" → "Управление" → "Сервисы" доступна только для маршрутизаторов ESR и контроллеров WLC. |
Необходимо настроить интерфейсы и firewall в сети, представленной ниже:
Задачи:
hostname R1 no spanning-tree |
Создание и настройка VRF на интерфейсах необходимы для разграничения трафика управления и пользовательского трафика. Преимуществом использования VRF является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.
Маршрутизаторы ESR по умолчанию используют безымянный default-VRF. Если архитектурой сети не предусмотрено разграничение трафика и таблиц маршрутизации с использованием VRF, то все настройки межсетевого экрана будут корректно работать и без создания отдельных экземпляров VRF. |
Для настройки экземпляров VRF устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "VRF":
Для создания экземпляра VRF для пользовательского трафика:
1. Нажмите кнопку "Создать": откроется диалоговое окно создания нового экземпляра VRF;
2. В поле "Название" введите название нового экземпляра VRF, например "USER_TRAFFIC";
3. В поле "Описание" введите описание нового экземпляра VRF, например "VRF instance for user traffic";
4. Нажмите кнопку "Создать": будет создан новый экземпляр VRF для текущей модели конфигурации.
После создания созданный экземпляр будет отображен в таблице VRF:
После внесения изменений в активную ревизию в нижней части экрана станут доступны кнопки управления ревизиями:
При нажатии кнопки "Сбросить" внесенные изменения будут удалены, модель конфигурации вернется в последнее сохраненное состояние. При нажатии кнопки "Сохранить" внесенные изменения будут сохранены с созданием новой ревизии типа "Черновик". При нажатии кнопки "Сохранить и применить" внесенные изменения будут сохранены с запуском задачи на применение новой модели конфигурации. |
Для сохранения изменений нажмите кнопку "Сохранить": откроется диалог сохранения модели конфигурации. В поле "Описание" введите описание для новой ревизии. Нажмите кнопку "Показать изменения" для просмотра набора CLI-команд, генерируемого ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.
Для сохранения новой ревизии нажмите кнопку "Сохранить": будет создана новая ревизия типа "Черновик/DRAFT".
Зоны безопасности необходимы для объединения интерфейсов устройства в группы, для которых будут применяться одни правила для контроля трафика. Интерфейсы привязываются к зонам, а правила применяются к трафику, перемещающемуся между зонами. Межзональные политики обеспечивают значительную гибкость и масштабируемость, поэтому разные правила могут применяться к нескольким группам хостов, подключенным к одному и тому же интерфейсу маршрутизатора.
Для настройки зон безопасности устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Зоны безопасности":
Для создания зоны безопасности:
1. Нажмите кнопку "Создать": откроется окно создания зоны;
2. В поле "Название" введите "LAN_USERS";
3. В поле "Описание" введите "User traffic for LAN users";
4. Нажмите на меню "VRF" и выберите "USER_TRAFFIC";
5. Нажмите кнопку "Создать": будет создана соответствующая зона.
Аналогичными действиями создайте остальные необходимые зоны безопасности:
Профили требуются, чтобы различать трафик, к которому в дальнейшем будут применяться правила. Классификация возможна по различным типам: TCP-порты, IP-адреса и подсети, приложения. Подробное описание приведено в разделе "Сеть" → "Страница устройства" → "Управление устройством" → "Сервисы" Руководства пользователя.
Для создания профиля перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Профили":
Необходимо создать профили, которые определят:
Для создания профиля для сети управления:
1. Нажмите кнопку "Создать": откроется окно создания профиля;
2. В поле "Название" введите "MGMT";
3. В поле "Описание" введите "Management network";
4. Нажмите на меню "Тип профиля" и выберите "Сеть";
5. В блоке "Адреса подсетей" задайте соответствующую сеть: "100.110.0.0/23";
6. Нажмите кнопку "Создать": будет создан соответствующий профиль.
Аналогичными действиями создайте остальные необходимые профили:
Пары зон безопасности определяют направления трафика между зонами. В рамках одной пары зон действуют правила, которые применяются к трафику, проходящему из зоны-источника в зону-получателя.
Пары зон безопасности устройства отображаются во вкладке "Устройство" → "Управление" → "Сервисы" → "Правила":
Для решения поставленной задачи необходимо создать следующие пары:
Для создания пары зон безопасности:
1. Нажмите кнопку "Создать": откроется диалог создания пары зон безопасности;
2. В поле "Источник" выберите "MGMT";
3. В поле "Назначение" выберите "self";
4. В поле "Описание" введите "From mgmt-network to router";
5. Нажмите кнопку "Создать": будет создана соответствующая пара зон безопасности.
Аналогичными действиями создайте остальные необходимые пары зон безопасности:
Для того чтобы трафик смог пройти из одной зоны в другую, необходимо настроить правила.
По умолчанию прохождение трафика из одной зоны в другую запрещено. Для того чтобы трафик смог пройти из одной зоны в другую, необходимо создать "разрешающие" правила. |
Нужно создать правило, удовлетворяющее условию:
1. Разрешить TCP-трафик между сетями LAN и WAN в отдельном экземпляре VRF;
Для этого:
1. Нажмите на вкладку пары зон безопасности с названием "LAN_USERS → WAN_USERS": раскроется таблица правил;
2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;
3. Заполните все необходимые поля и приведите правило к следующему виду:
4. Нажмите кнопку "Создать": будет создано соответствующее правило. Созданное правило будет отображено в таблице правил пары зон безопасности.
Аналогичным способом нужно создать правило, разрешающее прохождение трафика в обратную сторону:
1. Нажмите на вкладку пары зон безопасности с названием "WAN_USERS → LAN_USERS": раскроется таблица правил;
2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;
3. Заполните все необходимые поля и приведите правило к следующему виду:
4. Нажмите кнопку "Создать": будет создано соответствующее правило.
Таким образом, таблицы правил пар зон безопасности "LAN_USERS → WAN_USERS" и "WAN_USERS → LAN_USERS" будут выглядеть следующим образом:
Ниже представлены правила пары зон безопасности "MGMT → self", удовлетворяющие условию:
2. Разрешить SSH-подключение к маршрутизатору R1 из сети MGMT для администратора сети в отдельном экземпляре VRF;
Ниже представлены правила пары зон безопасности "LAN_USERS → self", удовлетворяющие условию:
3. Разрешить обмен NTP-сообщениями по протоколу UDP между R1 и LAN;
Ниже представлены правила пары зон безопасности "LAN_USERS → WAN_USERS", удовлетворяющие условию:
4. Заблокировать доступ к ресурсам youtube из сети LAN.
Чтобы настроенные ранее правила применялись к трафику конкретного интерфейса, необходимо включить интерфейс в зону безопасности. Включение интерфейса в экземпляр VRF позволит изолировать пользовательский трафик от остального. Также на интерфейсе необходимо настроить IP-адрес, если это не было сделано ранее.
Для настройки интерфейсов устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Интерфейсы":
Для интерфейса gigabitethernet 1/0/1:
1. Нажмите на соответствующую строку в таблице интерфейсов: откроется окно редактирования интерфейса;
2. В поле "Описание" введите "MGMT-network";
3. В поле "Зона безопасности" выберите "MGMT";
4. Активируйте переключатель "Включить межсетевой экран";
5. Нажмите кнопку "Сохранить": внесенные изменения будут отображены в таблице интерфейсов.
Аналогичными действиями настройте оставшиеся интерфейсы:
Для применения модели конфигурации нажмите кнопку "Сохранить и Применить" нижней панели управления и подтвердите сохранение настроек: будет создана задача на применение модели конфигурации. Статус выполнения задачи будет отображен во вкладке "Устройство" → "Мониторинг" → "Задачи":
Актуальная конфигурация устройства будет отображена во вкладке "Устройство" → "Управление" → "Конфигурации":
