Глоссарий
Объектное конфигурирование — представление и управление конфигурацией устройства как набором структурированных объектов и взаимосвязей между ними, в противовес текстовому конфигурированию, при котором система управления не анализирует структуру конфигурации устройства и манипулирует лишь текстом, представленным набором CLI-команд.
Модель конфигурации (data-модель конфигурации) — шаблон для представления конфигурации в виде структурированного объекта, содержит список возможных объектов в конфигурации и связи между ними. На основании модели конфигурации можно преобразовать текстовую конфигурацию в объектное представление (ревизию) и наоборот, преобразовать ревизию в текстовое представление (патч конфигурации или набор команд для применения на устройство).
Ревизия — представление конфигурации устройства в объектном виде. Ревизия может быть создана из текстовой конфигурации устройства с помощью data-модели, созданной пользователем на сервере. Изменения ревизий хранятся в ECCM и представляют собой историю изменения конфигурации устройств.
Патч конфигурации — набор CLI-команд, генерируемый ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.
VRF (Virtual Routing and Forwarding) — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных (каждый со своей независимой таблицей маршрутизации). Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.
Зона безопасности (security zone) — группа интерфейсов, на которую могут быть применены политики (правила) для контроля трафика между зонами.
Пара зон безопасности (security zone-pair) — позволяет указать однонаправленную политику межсетевого экрана между двумя зонами безопасности.
Профили (object-group) — сущность, позволяющая объединять устройства, протоколы или другие сущности в группы и применять эти группы к правилам. Эта сущность позволяет использовать группы объектов вместо отдельных IP-адресов, протоколов и портов, которые используются в обычных списках управления доступом.
Описание
Функция объектного конфигурирования устройств разработана, чтобы улучшить пользовательский опыт настройки оборудования через ЕССМ, позволяя системе "понимать" конфигурацию устройств и производить настройку с использованием модели сервисов как на отдельных элементах сети, так и на всей сети в целом.
Высокоуровневое конфигурирование Firewall доступно только для маршрутизаторов:
- ESR (с версией ПО не ниже 1.18.3 build 1);
- ESR-FSTEC (с версией ПО не ниже 1.5.7 build 3);
- WLC (с версией ПО не ниже 1.19.х build 1).
Для управления сервисом Firewall система настраивает следующие параметры на устройстве:
- Интерфейсы*:
- Описание (
description
); - Зона безопасности (
security-zone
); - VRF (
ip vrf forwarding
); - IP-адресация (
ip address
); - Состояние firewall (
ip firewall disable
); - Состояние интерфейса (
shutdown
);
- Описание (
- Зоны безопасности (
security-zone
):- Описание (
description
); - VRF (
ip vrf forwarding
);
- Описание (
- Профили (
object group
):- Приложение (
application
):- Описание (
description
); - Приложение (
application
);
- Описание (
- Адрес/Порт (
address-port
):- Описание (
description
); - Пара "адрес-порт" (
address-port pair
);
- Описание (
- Сеть (
network
):- Описание (description);
- Сеть (
ip prefix
); - Диапазон адресов (
ip address-range
);
- Сервис (
service
);- Описание (
description
); - Порты (
port-range
);
- Описание (
- Приложение (
- Пары зон безопасности (
security zone pair
):- Описание (
description
); - Правила (
rule
):- Описание (
description
); - Действие (
action
); - Состояние правила (
enable
); - Соответствие (
match
);
- Описание (
- Описание (
- VRF:
- Описание (
description
).
- Описание (
* Система поддерживает объектное конфигурирование следующих типов интерфейсов:
- GigabitEthernet;
- TengigabitEthernet;
- Twentyfivegigabitethernet;
- FortygigabitEthernet;
- HundredgigabitEthernet;
- Sub (VLAN);
- Q-in-Q (VLAN);
- Bridge;
- Port-Channel.
Алгоритм работы
После добавления устройства в систему управления автоматически запускается задача на синхронизацию данных: конфигурации устройства, инвентарных данных, данных об интерфейсах и прочих. Система обрабатывает текстовую конфигурацию устройства и на её основе формирует объектное представление — ревизию. Текстовая конфигурация и ревизия конфигурации сохраняются в базу данных.
Для отображения конфигурации в объектном представлении системе необходимо знать версию ПО устройства и получить с устройства его конфигурацию. Для получения конфигурации и применения новой конфигурации на устройство у системы должен быть доступ к нему по SSH.
Любое изменение, вносимое пользователем в конфигурацию, создает новую ревизию. Ревизия представляет собой копию изначально редактируемой data-модели с внесёнными в неё изменениями.
Предыдущая (изначально редактируемая) версия data-модели остаётся в системе в неизменном виде как слепок состояния и узел истории изменений. Таким образом обеспечивается версионирование ревизий конфигурации устройства и хранение истории. История изменений конфигурации линейна и строится из последовательно следующих друг за другом связанных блоков ревизий.
Ревизия может иметь один из следующих статусов:
- Актуальная/RUNNING — ревизия отражает текущую конфигурацию устройства;
- Черновик/DRAFT — черновик конфигурации, представляет собой отредактированную копию какой-либо ревизии, которая ещё не применена на устройство;
- В процессе/PROCESSING — черновик, который в данный момент находится в процессе применения на устройство (пока в истории присутствует "В процессе/PROCESSING", запрещено любое редактирование конфигурации и создание новых ревизий);
- Применено/APPLIED — ревизия, которая ранее имела статус "Актуальная/RUNNING";
- Неудачно/FAILED — ревизия, применение которой завершилось c ошибкой.
Модель конфигурации синхронизируется с конфигурацией устройства автоматически через фоновую и/или вручную запускаемую SSH-задачу получения конфигурации. При изменении конфигурации устройства (например, если администратор внёс изменения через CLI-интерфейс) система обнаружит изменение data-модели и создаст новую ревизию (статус новой ревизии — "Актуальная/RUNNING"). Предыдущая система будет отображена в списке ревизий со статусом "Применено/APPLIED".
Граф состояний и переходов статусов для ревизий можно отобразить следующим образом:
Интерфейс
Для управления объектной моделью конфигурации устройства предоставляется интерфейс с редактором настроек в виде форм, полей ввода, drag-and-drop компонентов и прочих элементов управления. Этот интерфейс доступен на странице "Устройство" → "Управление" → "Сервисы":
Подробное описание интерфейса и элементов управления приведено в разделе "Руководство пользователя" → "Страница устройства" → "Управление" → "Сервисы".
Пример настройки
Постановка задачи
Необходимо настроить интерфейсы и firewall в сети, представленной ниже:
Задачи:
- Разрешить TCP- и ICMP-трафик между сетями LAN и WAN в отдельном экземпляре VRF;
- Разрешить SSH-подключение к маршрутизатору R1 только из сети MGMT;
- Разрешить обмен NTP-сообщениями по протоколу UDP между R1 и LAN;
- Заблокировать доступ к ресурсам YouTube из сети LAN;
- Настроить соответствующие адреса на интерфейсах R1;
План решения задачи
- Создание экземпляров VRF;
- Создание зон безопасности;
- Создание профилей;
- Создание пар зон безопасности;
- Создание правил для пар зон безопасности;
- Настройка интерфейсов.
Создание VRF
Создание и настройка VRF на интерфейсах необходимы для разграничения трафика управления и пользовательского трафика. Преимуществом использования VRF является полная изоляция маршрутов как между двумя виртуальными, так и между виртуальным и реальным маршрутизаторами.
Маршрутизаторы ESR по умолчанию используют безымянный default-VRF. Если архитектурой сети не предусмотрено разграничение трафика и таблиц маршрутизации с использованием VRF, то все настройки межсетевого экрана будут корректно работать и без создания отдельных экземпляров VRF.
Для настройки экземпляров VRF устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "VRF":
Для создания экземпляра VRF для пользовательского трафика:
1. Нажмите кнопку "Создать": откроется диалоговое окно создания нового экземпляра VRF;
2. В поле "Название" введите название нового экземпляра VRF, например "USER_TRAFFIC";
3. В поле "Описание" введите описание нового экземпляра VRF, например "VRF instance for user traffic";
4. Нажмите кнопку "Создать": будет создан новый экземпляр VRF для текущей модели конфигурации.
После создания созданный экземпляр будет отображен в таблице VRF:
После внесения изменений в активную ревизию в нижней части экрана станут доступны кнопки управления ревизиями:
При нажатии кнопки "Сбросить" внесенные изменения будут удалены, модель конфигурации вернется в последнее сохраненное состояние.
При нажатии кнопки "Сохранить" внесенные изменения будут сохранены с созданием новой ревизии типа "Черновик".
При нажатии кнопки "Сохранить и применить" внесенные изменения будут сохранены с запуском задачи на применение новой модели конфигурации.
Для сохранения изменений нажмите кнопку "Сохранить": откроется диалог сохранения модели конфигурации. В поле "Описание" введите описание для новой ревизии. Нажмите кнопку "Показать изменения" для просмотра набора CLI-команд, генерируемого ЕССМ, чтобы привести конфигурацию устройства к состоянию, описанному в целевой ревизии.
Для сохранения новой ревизии нажмите кнопку "Сохранить": будет создана новая ревизия типа "Черновик/DRAFT".
Создание зон безопасности
Зоны безопасности необходимы для объединения интерфейсов устройства в группы, для которых будут применяться одни правила для контроля трафика. Интерфейсы привязываются к зонам, а правила применяются к трафику, перемещающемуся между зонами. Межзональные политики обеспечивают значительную гибкость и масштабируемость, поэтому разные правила могут применяться к нескольким группам хостов, подключенным к одному и тому же интерфейсу маршрутизатора.
Для настройки зон безопасности устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Зоны безопасности":
Для создания зоны безопасности:
1. Нажмите кнопку "Создать": откроется окно создания зоны;
2. В поле "Название" введите "LAN_USERS";
3. В поле "Описание" введите "User traffic for LAN users";
4. Нажмите на меню "VRF" и выберите "USER_TRAFFIC";
5. Нажмите кнопку "Создать": будет создана соответствующая зона.
Аналогичными действиями создайте остальные необходимые зоны безопасности:
Создание профилей
Профили требуются, чтобы различать трафик, к которому в дальнейшем будут применяться правила. Классификация возможна по различным типам: TCP-порты, IP-адреса и подсети, приложения. Подробное описание приведено в разделе "Руководство пользователя" → "Страница устройства" → "Управление" → "Сервисы".
Для создания профиля перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Профили":
Необходимо создать профили, которые определят:
- Сеть управления MGMT;
- Локальную сеть LAN;
- Порты сервисов (ssh, ntp и проч.);
- Запрещенные приложения (YouTube);
Для создания профиля для сети управления:
1. Нажмите кнопку "Создать": откроется окно создания профиля;
2. В поле "Название" введите "MGMT";
3. В поле "Описание" введите "Management network";
4. Нажмите на меню "Тип профиля" и выберите "Сеть";
5. В блоке "Адреса подсетей" задайте соответствующую сеть: "100.110.0.0/23";
6. Нажмите кнопку "Создать": будет создан соответствующий профиль.
Аналогичными действиями создайте остальные необходимые профили:
Создание пар зон безопасности
Пары зон безопасности определяют направления трафика между зонами. В рамках одной пары зон действуют правила, которые применяются к трафику, проходящему из зоны-источника в зону-получателя.
Пары зон безопасности устройства отображаются во вкладке "Устройство" → "Управление" → "Сервисы" → "Правила":
Для решения поставленной задачи необходимо создать следующие пары:
- MGMT → self;
- LAN → self;
- LAN → WAN;
- WAN → LAN.
Для создания пары зон безопасности:
1. Нажмите кнопку "Создать": откроется диалог создания пары зон безопасности;
2. В поле "Источник" выберите "MGMT";
3. В поле "Назначение" выберите "self";
4. В поле "Описание" введите "From mgmt-network to router";
5. Нажмите кнопку "Создать": будет создана соответствующая пара зон безопасности.
Аналогичными действиями создайте остальные необходимые пары зон безопасности:
Создание правил
Для того чтобы трафик смог пройти из одной зоны в другую, необходимо настроить правила.
По умолчанию прохождение трафика из одной зоны в другую запрещено. Для того чтобы трафик смог пройти из одной зоны в другую, необходимо создать "разрешающие" правила.
Нужно создать правило, удовлетворяющее условию:
1. Разрешить TCP-трафик между сетями LAN и WAN в отдельном экземпляре VRF;
Для этого:
1. Нажмите на вкладку пары зон безопасности с названием "LAN_USERS → WAN_USERS": раскроется таблица правил;
2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;
3. Заполните все необходимые поля и приведите правило к следующему виду:
4. Нажмите кнопку "Создать": будет создано соответствующее правило. Созданное правило будет отображено в таблице правил пары зон безопасности.
Аналогичным способом нужно создать правило, разрешающее прохождение трафика в обратную сторону:
1. Нажмите на вкладку пары зон безопасности с названием "WAN_USERS → LAN_USERS": раскроется таблица правил;
2. Нажмите кнопку "Создать" на панели таблицы правил: откроется окно создания правила;
3. Заполните все необходимые поля и приведите правило к следующему виду:
4. Нажмите кнопку "Создать": будет создано соответствующее правило.
Таким образом, таблицы правил пар зон безопасности "LAN_USERS → WAN_USERS" и "WAN_USERS → LAN_USERS" будут выглядеть следующим образом:
Ниже представлены правила пары зон безопасности "MGMT → self", удовлетворяющие условию:
2. Разрешить SSH-подключение к маршрутизатору R1 из сети MGMT для администратора сети в отдельном экземпляре VRF;
Ниже представлены правила пары зон безопасности "LAN_USERS → self", удовлетворяющие условию:
3. Разрешить обмен NTP-сообщениями по протоколу UDP между R1 и LAN;
Ниже представлены правила пары зон безопасности "LAN_USERS → WAN_USERS", удовлетворяющие условию:
4. Заблокировать доступ к ресурсам youtube из сети LAN;
Настройка интерфейсов
Чтобы настроенные ранее правила применялись к трафику конкретного интерфейса, необходимо включить интерфейс в зону безопасности. Включение интерфейса в экземпляр VRF позволит изолировать пользовательский трафик от остального. Также на интерфейсе необходимо настроить IP-адрес, если это не было сделано ранее.
Для настройки интерфейсов устройства перейдите во вкладку "Устройство" → "Управление" → "Сервисы" → "Интерфейсы":
Для интерфейса gigabitethernet 1/0/1:
1. Нажмите на соответствующую строку в таблице интерфейсов: откроется окно редактирования интерфейса;
2. В поле "Описание" введите "MGMT-network";
3. В поле "Зона безопасности" выберите "MGMT";
4. Активируйте переключатель "Включить межсетевой экран";
5. Нажмите кнопку "Сохранить": внесенные изменения будут отображены в таблице интерфейсов.
Аналогичными действиями настройте оставшиеся интерфейсы:
Применение модели конфигурации
Для применения модели конфигурации нажмите кнопку "Сохранить и Применить" нижней панели управления и подтвердите сохранение настроек: будет создана задача на применение модели конфигурации. Статус выполнения задачи будет отображен во вкладке "Устройство" → "Мониторинг" → "Задачи":
Актуальная конфигурация устройства будет отображена во вкладке "Устройство" → "Управление" → "Конфигурации":