Начало работы

Подготовка

Перед подключением к интерфейсу управления убедитесь, что Платформа развернута и доступна.
Инструкции по установке находятся в разделе Установка и обновление, где описаны варианты развертывания:

  • установка на базе ОС «Ubuntu Server»;

  • установка на базе ОС «Astra Linux».

После успешного развертывания можно переходить к первичному подключению к UI.

Подключение к UI

Решение BI.ZONE Secure SD-WAN реализует двухфакторную защиту интерфейса управления UI: установка сертификата и процесс ввода имени учетной записи/пароля.

Установка .p12-сертификата

Для загрузки .p12-сертификата на АРМ выполните команду:

scp csp-admin@IP-адрес_сервера_Платформы:/opt/csp/keys/client/user_id-3B614134FE814A01.p12 . 
#Замените IP-адрес сервера Платформы. Также если требуется укажите путь, куда вы хотите сохранить файл (в примере указан путь текущей директории).

Для установки сертификатов .crt и .p12, необходимо однократно установить данные сертификаты в используемый браузер («Mozilla Firefox» или «Google Chrome» актуальной версии).

Пример 1: браузер «Google Chrome» версии 135.0.7049.86 и ОС «Windows»
Пример 2: браузер «Mozilla Firefox» версии 115.12.0esr и ОС «GNU/Debian 12»

Для установки .p12-сертификата при помощи браузера «Google Chrome» версии 101.0.4951.67 и ОС «Windows» выполните следующие действия:

  1. Перейдите в меню Настройки. Для этого нажмите на кнопку , расположенную в правом верхнем углу и выберите соответствующий пункт меню.

  2. Осуществите переход Конфиденциальность и безопасностьБезопасность.

  3. В разделе Дополнительные настройки нажмите на поле Настроить сертификаты.

  4. В окне Менеджер сертификатов в разделе Ваши сертификаты нажмите на поле Настроить сертификаты, импортированные из Windows.

  5. В окне Сертификаты нажмите кнопку Импорт.

  6. В окне Мастер импорта сертификатов нажмите кнопку Далее.

  7. В поле Имя файла пропишите путь к сертификату или выберите файл через проводник, нажатием на кнопку Обзор.

  8. На следующем этапе введите пароль к сертификату, если он был присвоен сертификату. Если нет — пропустите шаг, нажатием на кнопку Далее.

  9. Выберите переключатель Автоматически выбрать хранилище на основе типа сертификата и нажмите кнопку Далее.

  10. На последнем этапе будет подведен итог всех параметров, которые были применены к установке сертификата. Нажмите кнопку Готово.

  11. В случае успеха, ОС «Windows» сообщит об успешной установки сертификата.

  12. Откройте URL-ссылку стенда (например, https://ui.csp.local). При возникновении ошибки HTTP 400, перезагрузите страницу (иногда может потребоваться перезапустить браузер или открыть страницу в приватном окне), выберите сертификат и разрешите использовать его при подключении. При запросе сертификата, выберите выданный сертификат. Сертификат перезапрашивается один раз после повторного открытия браузера и используется до закрытия браузера. Пароль запрашивается повторно после истечение времени неактивности.

Для установки .p12-сертификата при помощи браузера «Mozilla Firefox» версии 115.12.0esr и ОС «GNU/Debian 12» выполните следующие действия:

  1. Перейдите в меню Настройки. Для этого нажмите на кнопку , расположенную в правом верхнем углу и выберите соответствующий пункт меню.

  2. Осуществите переход Приватность и ЗащитаСертификаты и нажмите кнопку Просмотр сертификатов.

  3. На вкладке Ваши сертификаты нажмите на кнопку Импортировать.

  4. Пропишите путь к сертификату или выберите файл через проводник.

  5. На следующем этапе введите пароль к сертификату, если он был присвоен сертификату. Если нет — пропустите шаг, путем нажатия на кнопку Sign in.

  6. Откройте URL-ссылку стенда (например, https://ui.csp.local). При возникновении ошибки HTTP 400, перезагрузите страницу (иногда может потребоваться перезапустить браузер или открыть страницу в приватном окне), выберите сертификат и разрешите использовать его при подключении. При запросе сертификата, выберите выданный сертификат. Сертификат перезапрашивается один раз после повторного открытия браузера и используется до закрытия браузера. Пароль запрашивается повторно после истечение времени неактивности.

Процесс ввода имени учетной записи/пароля

Учетная запись для первичного входа в UI: имя — admin, пароль — admin.

Вторым фактором аутентификации являются имя учетной записи и пароль UI. Именем обычно является электронная почта пользователя.

При запросе сертификата необходимо выбрать выданный сертификат. Сертификат перезапрашивается один раз после повторного открытия браузера и используется до закрытия браузера. Пароль запрашивается повторно после истечения времени неактивности.

При первом подключении откроется интерфейс Dashboard, на котором изначально отсутствует информация до активации первого СРЕ.

Создание заказчика

Для создания заказчика выполните следующие шаги:

  1. Осуществите переход: Business support systemCustomers.

  2. Нажмите на кнопку Add.

  3. В открывшейся странице Add customer:

    1. В поле Name пропишите название заказчика.

    2. В поле Organization пропишите организацию заказчика.

    3. В поле Organization unit пропишите какую функцию выполняет заказчик.

    4. В поле Country пропишите страну заказчика.

    5. В поле Description, при необходимости, пропишите краткое описание заказчика.

    6. В раскрывающемся списке Parent, при необходимости, выберите заказчика от которого ведется преемственность.

    7. В раскрывающемся списке Status выберите статус заказчика:

      1. Статус Active.

      2. Статус Inactive.

    8. Нажмите на кнопку Save для сохранения настроек.

Создание проекта

После создания проекта, перейдите в него (раскрывающейся список в правом верхнем углу UI) и выполняйте в нем ниже указанные действия.

Для создания проекта, необходимо обладать правами Администратор Платформы и выполнить следующие шаги:

  1. Осуществите переход: Business support systemProjects.

  2. Нажмите на кнопку Add.

  3. В открывшейся странице Project editor:

    1. В поле Name пропишите название проекта.

    2. В поле Description, при необходимости, пропишите краткое описание проекта.

    3. В раскрывающемся списке Customer выберите заказчика.

    4. В поле BGP ASN пропишите номер ASN, используемый в BGP.

    5. Нажмите на кнопку Save для сохранения настроек.

Создание места размещения площадки CPE

Для создания места размещения площадки CPE выполните следующие действия:

  1. Осуществите переход: GeographySites.

  2. Нажмите на кнопку Add.

  3. В открывшейся странице Site editor:

    1. В поле Name введите имя площадки CPE, например: Hub Moscow.

    2. В поле Description при необходимости введите краткое описание площадки CPE, например: центральный офис.

    3. Выберите месторасположение на карте при необходимости, нажав на кнопку Site location.

      1. В открывшемся окне Site Location нажмите на кнопку Choose on map.

      2. Отметьте место размещения CPE на карте.

      3. Нажмите на кнопку Save для сохранения места размещения на карте.

    4. Нажмите на кнопку Save для сохранения настроек.

Регистрация CPE в планируемую сеть

Регистрация CPE выполняется в собственном проекте, который был создан в рамках раздела Создание проекта. Не допускается регистрация CPE в проекте DCGWs (bi.zone)!

Для регистрации CPE выполните следующие действия:

  1. Осуществите переход: NetworkingEdge CPEs.

  2. Нажмите на кнопку Add.

  3. В открывшейся странице CPE editor:

    1. В поле Name введите имя CPE, например: Мингрельская Spoke 1.

    2. В раскрывающемся списке Site выберите места размещения CPE. Добавление места размещения CPE указано в подразделе Создание места размещения площадок CPE.

    3. В раскрывающемся списке Type выберите режим работы CPE:

      1. DCGW (Data Center Gateway) — шлюз управления CPE, развернутый в инфраструктуре Платформы (в проекте DCGWs). Используется для установления управляющих соединений и выполнения сервисных задач Платформы. Данный тип CPE является внутренним сервисным и не предназначен для использования при стандартной конфигурации сети. Запрещено выбирать данный режим при регистрации CPE.

      2. Hub — центральный узел топологии, к которому подключаются удаленные узлы (Spoke и Stub Spoke). Hub агрегирует туннели удаленных площадок и обычно используется как точка транзита трафика между площадками.

      3. Spoke — устройство CPE, размещаемое на удаленной площадке (филиале). Spoke устанавливает overlay-туннели к Hub и передает трафик через него. Прямые соединения между Spoke-устройствами не устанавливаются — обмен трафиком между ними осуществляется через Hub. Данный режим используется для большинства филиальных площадок.

      4. Stub Spoke — режим работы CPE с дополнительными ограничениями маршрутизации, предназначенный для оптимизации нагрузки на CPE и Платформу. В этом режиме устройство получает не всю таблицу сервисных маршрутов, а только Stub Service Route, а маршрутизация трафика осуществляется через Hub. Режим рекомендуется использовать в сетях с большим количеством CPE или на устройствах с ограниченными ресурсами. Более подробно можно ознакомиться в данном разделе.

    4. В раскрывающемся списке Model выберите модель CPE.

    5. В поле Description при необходимости введите краткое описание CPE, например: центральный офис.

    6. В поле Prefix введите IP-адрес с указанием длины маски, например: 192.168.12.0/24.

    7. В поле Gateway пропишите шлюз.

    8. В поле Public endpoint по умолчанию IP-адрес берется после заполнения поля Prefix. При необходимости можно изменить конечную точку.

    9. Нажмите на кнопку Save для сохранения настроек.

Процесс активации CPE описан в разделе Активация CPE.

В случае, если требуется развернуть CPE за NAT:

  1. Если выполняется настройка CPE в режиме Spoke, поле Public endpoint оставляется пустым.

  2. Если выполняется настройка CPE в режиме Hub, в поле Prefix прописывается реальный IP-адрес, назначенный на интерфейсе CPE, в поле Gateway прописывается IP-адрес шлюза по умолчанию (должен принадлежать сети из поля Prefix), а в поле Public endpoint прописывается публичный IP-адрес, определяемый в зависимости от схемы подключения данного CPE в режиме Hub:

    1. В случае, если отсутствует NAT-трансляция, то поле Public endpoint остается неизмененным, то есть в нем указывается собственный IP-адрес данного CPE в режиме Hub из поля Prefix (без маски).

    2. Если используется NAT-трансляция, то в поле Public endpoint указывается публичный IP-адрес NAT-устройства, транслируемый в адрес из поля Prefix.

Условия, по которым определяется тип CPE:

  • В проектируемой сети должен быть как минимум одно CPE в режиме Hub для корректной работы сети. Рекомендуется иметь как минимум два CPE в режиме Hub в проектируемой сети для отказоустойчивости.

  • CPE в режиме Hub обязаны иметь IP-адрес, до которого другие CPE будут иметь прямую IP-связность. Также CPE в режиме Hub может:

    • находиться за статическим NAT. В этом случае необходимо в поле Public endpoint указать внешний IP-адрес CPE, выполняющего NAT-трансляцию;

    • иметь публичный IP-адрес и не находиться за NAT. В этом случае поле Public endpoint заполнится автоматически, как равное вводимому IP-адресу на WAN-интерфейсе;

    • иметь WAN-адрес, получаемый по DHCP, только если NAT-оборудование поддерживает трансляцию постоянного публичного IP-адреса в динамический адрес DHCP (это маловероятный сценарий, поэтому рекомендуется на WAN-интерфейсах CPE в режиме Hub указывать статические IP-адреса).

  • CPE в режиме Hub должны иметь достаточную емкость канала для возможности транзита трафика между другими устройствами.

Запрещено использование маски короче, чем /8 (от /0 до /7 – запрещено), а также использование Префиксов для следующих подсетей:

  • 0.0.0.0/[0-32];

  • 127.0.0.0/8;

  • 169.254.0.0/[16-32];

  • 224.0.0.0/[4-32];

  • 240.0.0.0/[4-32].

Создание учетной записи

Для создания учетной записи выполните следующие шаги:

  1. Осуществите переход в раздел Users.

  2. Нажмите на кнопку Add.

  3. В открывшейся странице Add user:

    1. В поле Login введите имя создаваемой учетной записи.

    2. В поле E-mail введите электронную почту, к которой будет привязана создаваемая учетная запись.

    3. В поле Password введите пароль к создаваемой учетной записи:

      1. Длина пароля должна быть не менее 8 символов.

      2. В числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

      3. Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т.д.).

      4. Пароль должен содержать только видимые ASCII символы, которые могут быть отображены (латиница).

      5. Пароль не должен содержать имя от учетной записи.

    4. В поле Expire (days) пропишите срок действия сертификата в днях.

    5. В поле Timezone пропишите временную зону, например: Europe/Moscow.

    6. В раскрывающемся списке Customer выберите заказчика, к которому будет привязана учетная запись. Процесс создания заказчика описан в подразделе Создание заказчика.

    7. В раскрывающемся списке Auth type выберите тип аутентификации:

      1. Local — локальная аутентификация по введенному паролю.

      2. LDAP — внешняя аутентификация через сервер LDAP/AD. Настройка описана в разделе Настройка LDAP-аутентификации.

    8. В блоке Roles назначьте учетной записи роль на проекте (допускается только одна роль для учетной записи):

      1. В поле Project admin выберите проекты, в которых пользователь получит права администратора проекта.

      2. В разделе Operator выберите проекты, где пользователь получит права оператора.

    9. Нажмите на кнопку Save для сохранения настроек.

Установка SSL-сертификатов (опционально)

Установка SSL-сертификатов требуется, если на CPE изначально установлены сертификаты по умолчанию.

Варианты установки SSL-сертификатов:

Веб-браузер
CLI

Для установки SSL-сертификатов (через браузер) выполните следующие действия:

  1. Осуществите переход: AdministrationCPE certificates.

  2. Нажмите на кнопку Copy to clipboard для копирования URL-ссылки распространения сертификатов.

  3. Установите связь с CPE через LAN-интерфейс.

  4. Откройте браузер и вставьте URL-адрес в адресную строку.

  5. Далее появится сообщение об успешном действии: Successfully store CPE certificate's configuration from URL.

  • Для СРЕ с архитектурой ЦПУ x86-64 подготовьте консольный кабель типа DB9/USB-A — RJ-45.

  • Для моделей CyberEdge 10 подготовьте консольный кабель типа DB9/USB-A — mini-USB.

  • Для моделей CyberEdge 20 подготовьте консольный кабель типа DB9/USB-A/USB-C — USB-C.

Для установки SSL-сертификатов (через CLI) выполните следующие действия:

  1. Осуществите переход: AdministrationCPE certificates.

  2. Нажмите на кнопку Copy to clipboard для копирования URL-ссылки распространения сертификатов.

  3. Подключите консольный кабель:

    1. Одну сторону консольного кабеля с коннектором DB-9 подключите к АРМ (при отсутствии Serial-порта на АРМ, используйте переходник USB — COM).

    2. Ответную сторону консольного кабеля подключите к интерфейсу Console.

  4. Скачайте ПО «PuTTY» по данной ссылке (либо любое аналогичное ПО для создания консольного RS-232 подключения). Версия ПО «PuTTY» должна быть не ниже 0.76.

  5. Запустите ПО «PuTTY»:

    1. Во вкладке Session, в поле Connection type, выберите флажок Serial.

    2. В поле Speed пропишите скорость:

      1. для СРЕ с архитектурой ЦПУ x86-64 — 115 200;

      2. для СРЕ с архитектурой ЦПУ AArch64 — 1 500 000.

    3. В поле Serial line пропишите номер порта. Для того чтобы узнать номер используемого в системе консольного порта на примере ОС «Windows», необходимо:

      1. Нажмите правой кнопкой мыши на иконку Этот компьютер и выберите меню Управление.

      2. Выберите меню Диспетчер устройств.

      3. В списке устройств найдите строку Порты (COM и LPT) и посмотрите номер порта (будет указан в имени).

    4. Нажмите кнопку Open.

  6. Нажмите кнопку включения/выключения питания на СРЕ.

  7. Осуществите вход в CLI. Имя учетной записи — admin, пароль — bi.zone.

  8. Выполните команду request certs и вставьте из буфера обмена URL-ссылку активации сертификатов на CPE.

Активация CPE

Общая схема активации CPE:

  • При первом включении CPE попытается получить адреса на WAN-интерфейсах и предоставить доступ в интернет на LAN-интерфейсах путем выдачи IP-адресов в LAN по протоколу DHCP в диапазоне 192.168.2.0/24.

  • Активация физического CPE осуществляется с пользовательского устройства, которое необходимо подключить по кабелю к LAN-порту CPE.

  • В случае использования виртуальных CPE — устройство, с которого производится активация должно находится в одной локальной сети с LAN-портом CPE.

image19

Таймаут одной попытки активации — время, в течение которого СРЕ должно завершить попытку активации на Платформе:

  • для CPE с архитектурой ЦПУ x86-64 в режиме Spoke составляет 5 минут;

  • для CPE с архитектурой ЦПУ AArch64 в режиме Spoke составляет 15 минут;

  • для любого CPE в режиме Hub составляет 20 минут.

Число попыток активации — количество повторов в рамках которых СРЕ совершает попытки активации на Платформе. В случае неудачи предыдущих попыток, СРЕ работающее в любом режиме может выполнить до 3-х попыток активации. После превышения числа неудачных попыток активации, СРЕ возвращается к заводской конфигурации.

image20

После нажатия на кнопку Get provision link сгенерируется URL-ссылка активации с параметрами, которые были ранее указаны. Для того, чтобы внести изменения в предварительные настройки CPE, нажмите на кнопку Revert to edit config, располагающуюся под полем с ссылкой активации.

Варианты активации CPE:

  1. В режиме Verify settings on CPE before activation — ввод URL-ссылки приведет к появлению диагностического окна. В нем возможно ознакомится с предварительными настройками, которые после активации отправятся на CPE.

  2. В режиме One-click CPE activation — активация CPE без каких-либо лишних действий.

  3. Через CLI — активация CPE через консоль при помощи CLI.

Режим Verify settings on CPE before activation
Режим One-click CPE activation
Через CLI

Для активации CPE с запуском диагностического окна (режим Verify settings on CPE before activation) выполните следующие шаги:

  1. Осуществите переход: NetworkingEdge CPEsИмя_CPE → вкладка General.

  2. Нажмите на кнопку Get provision link и выберите флажок Verify settings on CPE before activation.

  3. Скопируйте URL-ссылку и вставьте ее в браузер. После чего должно запустится окно с диагностикой.

  4. После проверки всех параметров, нажмите кнопку Activate.

  5. Во время активации, в рамках протокола BCMP, будут отправляться статусные логи.

  6. Для проверки успешной активации CPE, осуществите переход: NetworkingEdge CPEs, где активируемому CPE присвоится статус ONLINE.

Для активации CPE по одному клику (режим One-click CPE activation) выполните следующие шаги:

  1. Осуществите переход: NetworkingEdge CPEsИмя_CPE → вкладка General.

  2. Нажмите на кнопку Get provision link и выберите флажок One-click CPE activation.

  3. Скопируйте URL-ссылку и вставьте ее в браузер. В случае успешной активации, в окне браузера выведется следующее сообщение:

    Successfully store CPE configuration from URL. Starting to apply it...!

  4. Для проверки успешной активации CPE, необходимо осуществить переход: NetworkingEdge CPEs, где активируемому CPE присвоится статус Operational.

  1. Для СРЕ с архитектурой ЦПУ x86-64 подготовьте консольный кабель типа DB9/USB-A — RJ-45.

  2. Для моделей CyberEdge 10 подготовьте консольный кабель типа DB9/USB-A — mini-USB.

  3. Для моделей CyberEdge 20 подготовьте консольный кабель типа DB9/USB-A/USB-C — USB-C.

Для активации CPE через CLI выполните следующие шаги:

  1. Осуществите переход: NetworkingEdge CPEsИмя_CPE → вкладка General.

  2. Нажмите на кнопку Get provision link и выберите флажок One-click CPE activation.

  3. Скопируйте URL-ссылку активации CPE в буфер обмена.

  4. Подключите консольный кабель:

    1. Одну сторону консольного кабеля с коннектором DB-9 подключите к АРМ (при отсутствии Serial-порта на АРМ, используйте переходник USB — COM).

    2. Ответную сторону консольного кабеля подключите к интерфейсу Console.

  5. Скачайте ПО «PuTTY» по данной ссылке (либо любое аналогичное ПО для создания консольного RS-232 подключения). Версия ПО «PuTTY» должна быть не ниже 0.76.

  6. Запустите ПО «PuTTY»:

    1. Во вкладке Session, в поле Connection type, выберите флажок Serial.

    2. В поле Speed пропишите скорость:

      1. для СРЕ с архитектурой ЦПУ x86-64 — 115 200;

      2. для СРЕ с архитектурой ЦПУ AArch64 — 1 500 000.

    3. В поле Serial line пропишите номер порта. Для того чтобы узнать номер используемого в системе консольного порта на примере ОС «Windows», необходимо:

      1. Нажмите правой кнопкой мыши на иконку Этот компьютер и выберите меню Управление.

      2. Выберите меню Диспетчер устройств.

      3. В списке устройств найдите строку Порты (COM и LPT) и посмотрите номер порта (будет указан в имени).

    4. Нажмите кнопку Open.

  7. Нажмите кнопку включения/выключения питания на СРЕ.

  8. Осуществите вход в CLI. Имя учетной записи — admin, пароль — bi.zone.

  9. Выполните команду request activation и вставьте из буфера обмена URL-ссылку активации CPE.