Обзор разделов проводника BI.ZONE Secure SD-WAN

Проводник BI.ZONE Secure SD-WAN содержит разделы для мониторинга и настройки, доступных для Администратора CPE:

1. Dashboard.

2. Geography:

   1. Sites.

   2. Regions.

3. Networking:

   1. Edge CPEs.

   2. Cluster.

   3. Traffic policy.

   4. BGP policies.

   5. NetworkTracker.

   6. Stub Service Routes.

4. Security Orchestrator:

   1. VNFs.

   2. Catalogs.

   3. Analytics.

   4. Firewall Templates.

5. Business support system:

   1. Customers.

   2. Projects.

   3. Limits.

6. Administration:

   1. CPE templates.

   2. CPE images.

   3. CPE certificates.

   4. VNFDs.

   5. IP pools.

   6. API gateway audit.

   7. Platform manager.

7. Users.

Раздел Dashboard

Раздел Dashboard предназначен для мониторинга состояния трафика и CPE.

В разделе Dashboard имеются блоки мониторинга, в которых отображается следующая информация:

1. HUBS UP — число доступных в текущий момент CPE в режиме Hub и общее их количество.

2. SPOKES UP — число доступных в текущий момент CPE в режиме Spoke и общее их количество.

3. VNFS UP — количество доступных в текущий момент МСЭ.

4. Total traffic — суммарная скорость передачи данных на всех CPE в сети.

Также в разделе Dashboard имеются виджеты мониторинга, в которых отображается следующая информация:

1. Масштабируемая карта (CPE locations), где показывается месторасположение площадок с CPE и статус их доступности.

2. Графики скорости передачи данных (Кбит/с, Мбит/с, Гбит/с) за прошлые 24 часа:

   1. Total traffic — суммарная скорость передачи данных в сети (включая все интерфейсы LAN и WAN всех CPE).

   2. DIA traffic — скорость передачи данных через локальный выход в сеть интернет с наиболее загруженных CPE.

   3. Overlay traffic — скорость передачи данных при Overlay-подключении с наиболее загруженных CPE.

3. Горизонтальные столбчатые диаграммы, в которых показаны различные значения показателей топ-5 CPE:

   1. Top 5 CPU load — нагрузка ЦПУ (в процентном показателе) с наибольшим показателем загруженности ЦПУ.

   2. Top 5 RAM load — нагрузка ОЗУ (в процентном показателе) с наибольшим показателем загруженности ОЗУ.

   3. Top 5 HUB uptime — время безотказной работы CPE в режиме Hub, с наибольшим показателем времени безотказной работы.

   4. Top 5 SPOKE uptime — время безотказной работы CPE в режиме Spoke, с наибольшим показателем времени безотказной работы.

У всех виджетов полномасштабный режим. Для этого нажмите на кнопку в правом верхнем углу виджета — .

Для диаграмм имеются следующие возможности:

1. При наведении стрелки мыши на поле диаграммы можно увидеть более подробную информацию в определенный промежуток времени.

2. При необходимости можно отключить тот или иной параметр, чтобы он не отображался на диаграмме, нажатием левой кнопкой мыши на имя CPE, метрики которого необходимо скрыть.

3. Для того чтобы увеличить масштаб показаний, необходимо, удерживая левую кнопку мыши, выбрать участок измерений, который необходимо увеличить. Это можно также сделать и в полномасштабном режиме. Для того чтобы вернуть общий масштаб показаний нажмите на кнопку .

4. В полномасштабном режиме можно выбрать отображаемый временнóй интервал. Для этого нажмите на кнопку .

Раздел Geography

Раздел Geography предназначен для ведения списка мест размещения площадок с CPE и списка регионов. Раздел Geography делится на два подраздела:

1. Sites.

2. Regions.

Подраздел Sites

Подраздел Sites предназначен для ведения списка мест размещения площадок с CPE.

Чтобы изменить вид отображения информации с табличного на картографическую, нажмите на кнопку Show on map. В картографическом режиме имеется возможность искать площадки, вписывая названия в поле Search site (в текущей версии поиск площадок недоступен). Для возвращения к табличному представлению информации нажмите на кнопку Back to list.

Чтобы удалить место размещения площадки выполните следующие действия:

1. Выберите площадку, нажав на флажок.

2. Нажмите на кнопку Delete.

Подраздел Regions

Подраздел Regions нужен для ведения списка регионов. Предназначение регионов заключается в том, чтобы привязать определенные группы CPE к регионам для консолидации трафика между CPE в рамках выбранного региона. При отправке трафика между CPE в режиме Spoke, находящимися в одном регионе, будет выбран транзитный CPE в режиме Hub также из данного региона. CPE в режиме Hub других регионов будут выбраны только после потери связи со всеми CPE в режиме Hub в своем регионе.

Привязка CPE к региону осуществляется по данному пути: Networking → Edge CPEs → Имя_CPE → вкладка Overlay.

Для редактирования имени региона нажмите на имя региона, которое требуется изменить.

Чтобы удалить регион выполните следующие действия:

1. Выберите регион, нажав на флажок.

2. Нажмите на кнопку Delete.

Раздел Networking

Раздел Networking предназначен для добавления CPE в сеть, его настройки, прописывания политик, мониторинга маршрутизации сети.

Подраздел Edge CPEs

В подразделе Edge CPEs перечислены все CPE данного проекта с указанием следующих параметров:

1. Name — имя CPE. При нажатии на имя откроется страница с информацией и настройками выбранного CPE. Описание страницы указано в разделе Обзор страницы настройки CPE.

2. Type — тип CPE.

3. Stage — стадия работы протокола BCMP. Описание стадий работы протокола BCMP указан в подразделе Стадии работы протокола BCMP

4. Status — статус доступа к CPE по управлению (Control Plane). При наведении мыши на статус можно узнать дату и время последней активности CPE.

5. Model — модель оборудования CPE.

6. Version — версия прошивки CPE.

7. VNFs — список виртуальных сетевых функций, развернутых на CPE. При нажатии на функцию осуществится переход на раздел конфигурации выбранной виртуальной функции. Процесс настройки МСЭ на CPE описан в подразделе Настройка МСЭ на CPE.

Кнопка Add предназначена для добавления нового CPE в планируемую сеть. Процесс регистрации CPE в планируемую сеть описан в подразделе Регистрация CPE в планируемую сеть.

Для удаления CPE из сети выполните следующие действия:

1. Выберите CPE, нажав на флажок.

2. Нажмите на кнопку Delete.

3. CPE будет переведено в режим удаления и будет полностью скрыто из интерфейса только после удаления связанных с данным CPE туннелей со всех других CPE.

Подраздел Clusters

В подразделе Clusters перечислены все отказоустойчивые кластеры CPE текущего проекта с указанием следующих параметров:

1. Cluster Name — имя отказоустойчивого кластера.

2. Primary CPE — основное CPE в составе отказоустойчивого кластера с отображением его текущего статуса (Active или Backup) и показателем здоровья (Health). При нажатии на имя, откроется страница с информацией и настройками выбранного CPE.

3. CCPL — текущий статус связности по Control Plane.

4. Secondary CPE — резервное CPE с отображением его текущего статуса (Active или Backup) и показателем здоровья (Health). При нажатии на имя, откроется страница с информацией и настройками выбранного CPE.

5. Управление кластером:

   1. (Удалить) — удалить отказоустойчивый кластер CPE.

   2. (Редактировать) — изменить сетевые настройки отказоустойчивого кластера CPE.

Кнопка Create cluster предназначена для добавления нового отказоустойчивого кластера CPE. При нажатии на кнопку откроется страница настройки сети отказоустойчивого кластера CPE. На данной странице:

1. Блок статуса:

   1. Primary и Secondary — основное и резервное CPE.

   2. Имя CPE. При нажатии на имя произойдет переход на страницу настройки выбранного CPE.

   3. Стадии и статус работы протокола BCMP.

   4. Роль и показатель здоровья.

   5. Кнопка Swap позволяет поменять местами роли основного и резервного CPE.

2. Таблица с сетевыми настройками:

   1. Primary CPE Network — сеть основного CPE.

   2. Secondary CPE Network — сеть резервного CPE.

   3. Virtual IP — виртуальный IP-адрес, используемый для предоставления единого адреса подключения в случае переключения между основной и резервной сетью.

   4. Virtual MAC — виртуальный MAC-адрес, который идентифицирует сеть отказоустойчивого кластера CPE.

Доступные действия:

1. Для изменения имени отказоустойчивого кластера CPE нажмите на кнопку рядом с именем (верхний левый угол).

2. Для добавления сети нажмите на кнопку Add cluster network.

3. Для редактирования сети нажмите на кнопку .

Для удаления сети отказоустойчивого кластера CPE выполните следующие действия:

1. Выберите сеть, нажав на флажок.

2. Нажмите на кнопку Delete selected networks.

3. Или нажмите на кнопку .

Подраздел Traffic policy

В настоящем подразделе осуществляется настройка политик обеспечения качества работы сетевых приложений в условиях нестабильности работы WAN-каналов связи. Описание настроек Traffic policy указано в разделе Настройка SLA.

Global application policy

Traffic matchers

Monitoring Templates

ACLs

Пример настройки описан в подразделе Настройка класса трафика.

В данной вкладке отображены пороги, применяемые к каждому классу трафика.

На странице вкладки указаны следующие параметры:

1. Name — имя конкретного класса трафика. При нажатии на имя откроется страница редактирования порогов для данного класса.

2. Class — класс трафика. Доступно 8 классов трафика:

   1. Класс 0 не имеет возможности настройки порогов. Трафик данного класса отправляется в наилучший по приоритету работоспособный туннель передачи данных. Это класс «последней надежды», если в рамках других классов не удалось найти подходящий по качеству путь для конкретного приложения.

   2. Классы 1–7 — пороги доступны для редактирования администратором.

3. Loss threshold (%) — порог потерь пакетов для класса. Значение указано в процентах.

4. Delay threshold (ms) — порог фактической сетевой задержки для класса. Значение указано в миллисекундах и не может превышать интервал измерений.

5. Jitter threshold (ms) — порог разницы в задержках между доставкой последовательных пакетов. Значение указано в миллисекундах.

Процесс настройки политики сопоставления трафика описан в подразделе Настройка политик сопоставления трафика.

В данной вкладке осуществляется управление настройками политик сопоставления трафика и определяется, какой класс будет присвоен соответствующему трафику.

На странице вкладки указаны следующие параметры:

1. Order — функция, позволяющая изменить порядок записей выполнения политик сопоставления трафика. Для этого зажмите кнопку и передвиньте запись.

2. Entry name — имя записи. При нажатии на имя записи откроется страница редактирования записи.

3. ACL — критерий отбора для классификации трафика с использованием списка доступа.

4. DSCP — значения DSCP-метки пакета, которая участвует в сопоставления трафика.

5. TC — класс трафика, который участвует в сопоставления трафика.

Для удаления отдельной записи в конкретном классификаторе выполните следующие действия:

1. Разверните нужный классификатор и выберите запись, нажав на флажок.

2. Нажмите на кнопку Delete.

Для удаления классификатора целиком выполните следующие действия:

1. Отвяжите данный классификатор от всех CPE (заменив его на другой).

2. Нажмите на иконку удаления в правой части строки с именем классификатора.

Процесс создания шаблона мониторинга описан в подразделе Настройка шаблона мониторинга.

В данной вкладке осуществляется управление шаблонами мониторинга качества Overlay-туннелей CPE.

На странице вкладки указаны следующие параметры:

1. Name — имя шаблона мониторинга. При нажатии на имя шаблона откроется страница редактирования шаблона.

2. Measure interval (ms) — интервал усреднения ранее выполненных измерений. Значение указано в миллисекундах.

3. Ping-Pong period (ms) — период запроса-ответа. Значение указано в миллисекундах.

4. Sequence fail count — количество неудачных попыток измерений, после которых канал считается полностью недоступным.

5. Recalc interval (ms) — интервал пересчета среднего значения. Значение указано в миллисекундах.

Для удаления шаблона мониторинга выполните следующие действия:

1. Выберите шаблон, нажав на флажок.

2. Нажмите на кнопку Delete.

Процесс создания списков описан в подразделе Настройка списков доступа.

В данной вкладке осуществляется управление критериев отбора для классификации трафика с использованием списков доступа, используемых для классификации трафика.

На странице вкладки указаны следующие параметры:

1. Order — функция, позволяющая изменить порядок записей критериев отбора для классификации трафика с использованием списков доступа. Для этого зажмите кнопку и передвиньте запись.

2. Entry index — имя записи. При нажатии на имя записи откроется страница редактирования записи.

3. Source prefix — подсеть отправителя.

4. Destination prefix — подсеть получателя.

5. Protocol — тип используемого протокола.

6. Source port — TCP/UDP-порт источника, с которого отправляются данные.

7. Destination port — TCP/UDP-порт назначения, на который отправляются данные.

8. Deny — действие, которое будет выполнятся при срабатывании критерия.

Для удаления списка выполните следующие действия:

1. Выберите список, нажав на флажок.

2. Нажмите на кнопку Delete.

Подраздел BGP policies

В настоящем подразделе осуществляется создание BGP-политик.

Удаление BGP-политики возможно только в том случае, если она не используется ни на одном CPE. Для удаления BGP-политики выполните следующие действия:

1. Выберите политику, нажав на флажок.

2. Нажмите на кнопку Delete.

Подраздел NetworkTracker

В данном подразделе осуществляется мониторинг компонента NetworkTracker, отвечающего за динамическую маршрутизацию во всей сети SD-WAN (например, маршрутов, полученных по протоколу BGP). В подразделе NetworkTracker есть две вкладки: BGP prefixes и CPE-NT connection info.

NetworkTracker является компонентом Платформы, отвечающим за распространение между CPE динамических маршрутов. Принцип работы NetworkTracker схож с технологией BGP Route Reflector, за исключением некоторых особенностей:

1. Взаимодействие между CPE и NetworkTracker осуществляется по протоколу BCMP.

2. NetworkTracker выбирает только один лучший маршрут и отправляет его всем другим CPE. Принцип выбора лучшего маршрута, полученного от разных CPE, соответствует правилам работы конкретного протокола маршрутизации. Если лучший маршрут отозван, то он также отзывается со всех CPE и рассылается следующий лучший маршрут.

3. В случае потери связи до NetworkTracker с работоспособной CPE маршруты не будут удалены с CPE до момента восстановления связи с NetworkTracker.

4. В случае перезагрузки CPE либо разрыва связи, приводящего к переустановке соседства (TCP-сессии), после восстановления соседства происходит повторная синхронизация маршрутов между CPE и NetworkTracker.

5. NetworkTracker также отвечает за обнаружение недоступных CPE в сети. Он основывается на информации о состоянии туннелей передачи данных, полученной от других CPE. Кроме того, NetworkTracker выполняет отзыв маршрутов, связанных с недоступными CPE, с целью снижения нагрузки на CPE в режиме Hub.

BGP prefixes

CPE-NT connection info

В данной вкладке отображаются префиксы, полученные по протоколу BGP.

На странице вкладки указаны следующие параметры:

1. Prefix — префикс, полученный по протоколу BGP от клиентского сетевого оборудования.

2. Best path reason — поле, в котором описывается причина, почему выбран префикс с данными атрибутами.

3. Local pref — атрибут управления исходящим трафиком по протоколу BGP.

4. Source ASN — номер автономной системы, к которой принадлежит данный префикс.

5. Next hop — IP-адрес клиентского сетевого оборудования, установившего соседство с SD-WAN CPE.

6. Received from CPE — идентификатор или имя CPE, передавшего маршрут на NetworkTracker. При нажатии на идентификатор (имя) откроется страница с настройками выбранного CPE.

В данной вкладке отображаются все CPE с их статусом доступности.

На странице вкладки указаны следующие параметры:

1. CPE — идентификатор (имя) CPE. При нажатии на идентификатор (имя) откроется страница с настройками выбранного CPE.

2. NT connection — статус и тип соединения. При наведении стрелки мыши на статус можно увидеть дату и время последнего обновления информации:

   1. WS link — статус транспортного соединения между CPE и NetworkTracker.

   2. WGD peer — статус соседства данного CPE со всеми другими CPE в сети. Данный статус указан как ONLINE, если в сети SD-WAN есть хотя бы одно другое доступное устройство CPE, имеющее работоспособный туннель передачи данных с этим CPE.

3. BGP — статус использования BGP на данном CPE. Если BGP выключен, то CPE получит от NetworkTracker сервисные маршруты без BGP-атрибутов. Если BGP включен, то сервисные маршруты будут переданы со всеми имеющимися BGP-атрибутами.

4. Internal IP — IP-адрес, используемый протоколом BCMP для управления и получения статусной информации с CPE.

5. BCMP version — версия протокола BCMP.

В случае если по статусу WGD peer какое-либо CPE будет определено как недоступное (то есть ни одно другое CPE не имеет работоспособной связи), все его маршруты будут отозваны с других CPE.

Подраздел Stub Service Routes

В данном подразделе осуществляется добавление и удаление маршрутов Stub Service Routes.

Для удаления маршрута Stub Service Routes нажмите на кнопку .

Раздел Security Orchestrator

Раздел Security Orchestrator предназначен для управления виртуальными функциями безопасности на CPE, добавления, редактирования и удаления сервисов, префиксов, адресных групп и диапазонов адресов, которые в дальнейшем могут быть использованы в политиках работы различных МСЭ, а также централизованного мониторинга событий МСЭ.

Подраздел Virtual Network Functions

В настоящем подразделе осуществляется настройка и мониторинг состояния МСЭ. На странице подраздела указаны следующие параметры:

1. Name — имя МСЭ. При нажатии на имя откроется страница с настройками выбранного МСЭ.

2. CPE status — статус CPE, на котором запущен данный МСЭ.

3. Type — тип МСЭ.

4. Config status — статус синхронизации конфигурации МСЭ. Статус синхронизации конфигурации может принимать следующие значения:

   1. Synchronized (зеленый) — конфигурация МСЭ, примененная в SO, синхронизирована с текущей конфигурацией МСЭ.

   2. Not applied (оранжевый) — конфигурация МСЭ, сохраненная в SO, еще не применена и не доставлена на МСЭ. При внесении изменений в сетевые настройки CPE данные настройки также будут автоматически доставлены в конфигурацию МСЭ в SO, но не будут применены на МСЭ до явного указания администратора, поэтому изменения сетевых настроек CPE могут приводить к появлению статуса Not applied на МСЭ данного CPE.

   3. In progress (серый) — конфигурация МСЭ применена в SO и находится в процессе доставки на МСЭ.

   4. Out of sync (красный) — конфигурация МСЭ применена в SO, но не смогла быть доставлена на МСЭ. Если данный статус отображается при доступном CPE, необходимо заново отправить конфигурацию на МСЭ (нажмите кнопку Apply в конфигурации МСЭ, когда МСЭ доступен).

   5. Waiting for confirm (серый) — конфигурация МСЭ применена в SO, но доставка параметров на МСЭ было отсрочено по времени.

5. Last apply — время последнего применения конфигурации МСЭ.

В правом верхнем углу данного подраздела имеются дополнительные опции по применению и отмены применения конфигураций МСЭ:

1. Кнопка Apply предназначена для применения настроек на МСЭ. Данная кнопка будет доступна после нажатия на флажок рядом с именем МСЭ и когда он в статусе Not applied. После нажатия на кнопку Apply всплывет окно Rollback, в котором имеется возможность задать время отсрочки доставки настроек на МСЭ. Для применения настроек на всех МСЭ, которые находятся в статусе Not applied нажмите на стрелку рядом с кнопкой Apply и выберите пункт Apply to all.

2. Кнопка Confirm предназначена для применения настроек МСЭ, доставка параметров которых было отсрочено по времени. Данная кнопка будет доступна после нажатия на флажок рядом с именем МСЭ и когда он в статусе Waiting for confirm. Для применения настроек на всех МСЭ, которые находятся в статусе Waiting for confirm нажмите на стрелку рядом с кнопкой Confirm и выберите пункт Confirm to all.

3. Кнопка Cancel предназначена для отмены настроек МСЭ, доставка параметров которых было отсрочено по времени. Данная кнопка будет доступна после нажатия на флажок рядом с именем МСЭ и когда он в статусе Waiting for confirm. Для отмены настроек на всех МСЭ, которые находятся в статусе Waiting for confirm нажмите на стрелку рядом с кнопкой Cancel и выберите пункт Cancel to all.

Подраздел Catalogs

В настоящем подразделе осуществляется управление различными настройками работы МСЭ.

Services

В данной вкладке осуществляется добавление, редактирование и удаление сервисов. Под сервисом понимается описание сетевого трафика на базе протокола транспортного уровня и используемых сервисом портов на стороне сервера (L4 protocol + L4 destination port).

На странице вкладки указаны следующие параметры:

1. Name — имя сервиса.

2. L4 protocol — используемый протокол уровня 4 модели OSI. Для фильтрации сервисов по типу протокола нажмите на одну из кнопок: TCP, UDP, ICMP.

3. Ports — порты, используемые сервисом.

4. Type — тип сервиса (преднастроенный в системе, либо созданный пользователем). Для фильтрации сервисов по типу нажмите на кнопку .

Для редактирования сервиса выполните следующие действия:

1. Нажмите на имя сервиса, либо выберите сервис, нажав на флажок.

2. Нажмите на кнопку Edit.

Для удаления сервиса выполните следующие действия:

1. Выберите сервис, нажав на флажок.

2. Нажмите на кнопку Delete.

Prefixes

В данной вкладке осуществляется добавление, редактирование и удаление префиксов.

На странице вкладки указаны следующие параметры:

1. Name — имя префикса.

2. Prefix — IP-адрес префикса.

3. Actions — действие, которое возможно совершить с префиксом.

Для редактирования префикса выполните следующие действия:

1. Нажмите на имя префикса, либо выберите префикс, нажав на флажок.

2. Нажмите на кнопку Edit.

Для удаления префикса выполните следующие действия:

1. Выберите префикс, нажав на флажок.

2. Нажмите на кнопку Delete.

Address groups

В данной вкладке осуществляется добавление, редактирование и удаление адресных групп. Адресная группа используется для объединения нескольких префиксов в одну агрегирующую сущность для дальнейшего удобства работы с правилами.

На странице вкладки указаны следующие параметры:

1. Name — имя адресной группы.

2. IP version — используемая версия IP.

3. Prefixes — добавленные в адресную группу префиксы.

Для редактирования адресной группы выполните следующие действия:

1. Нажмите на имя адресной группы, либо выберите адресную группу, нажав на флажок.

2. Нажмите на кнопку Edit.

Для удаления адресной группы выполните следующие действия:

1. Выберите адресную группу, нажав на флажок.

2. Нажмите на кнопку Delete.

Address ranges

В данной вкладке осуществляется добавление, редактирование и удаление диапазонов адресов. Диапазоны адресов используются при настройке трансляции адресов и портов (NAT).

На странице вкладки указаны следующие параметры:

1. Name — имя диапазона адресов.

2. Address range — диапазон адресов.

Для редактирования диапазона адресов выполните следующие действия:

1. Нажмите на имя диапазона адресов, либо выберите диапазон адресов, нажав на флажок.

2. Нажмите на кнопку Edit.

Для удаления диапазона адресов выполните следующие действия:

1. Выберите диапазон адресов, нажав на флажок.

2. Нажмите на кнопку Delete.

Port ranges

В данной вкладке осуществляется добавление, редактирование и удаление диапазона портов. Диапазоны портов используются при настройке трансляции адресов и портов (NAT).

На странице вкладки указаны такие параметры, как:

1. Name — имя диапазона портов.

2. Port range — диапазон портов.

Для редактирования диапазона портов выполните следующие действия:

1. Нажмите на имя диапазона портов, либо выберите диапазон портов, нажав на флажок.

2. Нажмите на кнопку Edit.

Для удаления диапазона портов выполните следующие действия:

1. Выберите диапазон портов, нажав на флажок.

2. Нажмите на кнопку Delete.

Zones

В данной вкладке осуществляется добавление и удаление зон. Зона является набором L3-интерфейсов (Networks), к которым применяются единые политики МСЭ. Зоной по умолчанию является LAN и при создании нового L3-интерфейса (Network), он становится частью LAN-зоны.

На странице вкладки указаны такие параметры, как:

1. Name — имя зоны.

2. Actions — действие, которое возможно совершить с зоной.

Удалить зону возможно только, если она не задействована ни на одном МСЭ. При удалении зоны, из нее удаляются интерфейсы и остаются не привязанными ни к одной зоне. Для удаления зоны выполните следующие действия:

1. Выберите зону, нажав на флажок и нажмите на кнопку Delete selected items.

2. Либо нажмите на кнопку .

Black-White lists

В данной вкладке осуществляется добавление, настройка и удаление перечней с разрешенными и/или запрещенными IP-адресами.

На странице вкладки указаны такие параметры, как:

1. Name — имя перечня.

2. Behavior — тип перечня.

3. Actions — действие, которое возможно совершить с перечнем.

Для редактирования перечня с разрешенными и/или запрещенными IP-адресами выполните следующие действия:

1. Выберите перечень, нажав на флажок.

2. Нажмите на кнопку .

Для удаления перечня с разрешенными и/или запрещенными IP-адресами выполните следующие действия:

1. Выберите перечень, нажав на флажок и нажмите на кнопку Delete selected items.

2. Либо нажмите на кнопку .

Подраздел Analytics

В настоящем подразделе имеется возможность централизованного мониторинга событий на межсетевых экранах с включенным параметром логирования.

На странице подраздела указаны следующие параметры:

1. Start Time — время начала сессии.

2. End Time — время окончания сессии.

3. CPE Name — идентификатор МСЭ (в текущей версии в данном поле указывается идентификатор проекта. Поведение будет пересмотрено в будущей версии).

4. Rule Name — ссылка на правило МСЭ.

5. Action — статус действия совершенного МСЭ, относительно пакета.

6. Protocol — имя или номер протокола.

7. Source IP — IP-адрес источника, отправляющий пакеты.

8. Source Port — TCP/UDP-порт источника, с которого отправляются данные.

9. Destination IP — IP-адрес назначения, получающий пакеты.

10. Destination Port — TCP/UDP-порт назначения, на который отправляются данные.

11. Sent (B) — объем пакетов, отправленных за одну сессию.

12. Received (B) — объем пакетов, полученных за одну сессию.

Можно обновить перечень событий как вручную, нажав на кнопку Update, так и с использованием автоматического режима обновления событий. Для этого нажмите на флажок Update automatically.

Подраздел Firewall Templates

В настоящем подразделе осуществляется управление наборами и шаблонами правил МСЭ.

Rule Groups

Rule Templates

Процесс создания наборов правил описан в подразделе Создание набора правил.

В данной вкладке осуществляется объединение правил в один набор. На странице вкладки указаны такие параметры, как:

1. Name — имя набора правил.

2. Actions — действие, которое возможно совершить с набором правил.

Для редактирования набора правил, нажмите на кнопку .

Удалить набор правил возможно только, если он не задействован ни в одном шаблоне правил. Для удаления набора правил выполните следующие действия:

1. Выберите набор, нажав на флажок и нажмите на кнопку Delete selected items.

2. Либо нажмите на кнопку .

Процесс создания шаблона правил описан в подразделе Создание шаблона правил.

В данной вкладке осуществляется добавление, настройка и удаление шаблонов правил.

На странице вкладки указаны такие параметры, как:

1. Name — имя шаблона правил.

2. Rule group — группы правил, примененные на шаблонах правил.

3. B/W Lists — перечни с разрешенными и/или запрещенными IP-адресами, примененные на шаблонах правил.

4. Actions — действие, которое возможно совершить с набором правил.

В списке шаблонов правил имеется служебный шаблон Dummy, в нем отсутствуют наборы правил. Он используется как «указатель», куда будет устанавливаться пользовательский шаблон, в случае если на МСЭ не используются шаблоны.

МСЭ может привязан только к одному шаблону правил!

Удалить шаблон правил возможно только, если он не задействован ни на одном МСЭ.

Для редактирования шаблона правил выполните следующие действия:

1. Выберите шаблон, нажав на флажок.

2. Нажмите на кнопку .

Для удаления шаблона правил выполните следующие действия:

1. Выберите шаблон, нажав на флажок и нажмите на кнопку Delete selected items.

2. Либо нажмите на кнопку в колонке Actions.

Раздел Business support system

Раздел Business support system предназначен для ведения списков заказчиков, проектов и ограничений данного проекта.

Подраздел Customers

Подраздел Customers предназначен для ведения списка заказчиков. Заказчик в рамках решения BI.ZONE Secure SD-WAN — наиболее верхнеуровневая сущность, который может создавать пользователей и проекты (сети связи). Пользователи, созданные с привязкой к конкретному заказчику, не могут получить доступ к проектам других заказчиков.

На странице подраздела указаны такие параметры, как:

1. Name — имя заказчика.

2. Parent — вышестоящий заказчик, в случае если данный заказчик является подчиненным (Child).

3. Description — краткое описание заказчика.

4. Active — статус заказчика.

Для редактирования заданных параметров заказчика, нажмите на имя заказчика.

Для удаления заказчика, необходимо:

1. Выберите заказчика, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел Projects

Подраздел Projects предназначен для ведения списка проектов. Проект в рамках решения BI.ZONE Secure SD-WAN — отдельная сеть связи заказчика. Каждое CPE может принадлежать только одному проекту. При этом CPE, добавленные в разные проекты, не будут участвовать в одной SD-WAN сети и в том числе не будут обмениваться ключами. Между CPE добавленными в один проект, автоматически создается защищенная сеть связи.

На странице подраздела указаны такие параметры, как:

1. Name — имя проекта.

2. Customer — заказчик, которому принадлежит проект.

3. Description — краткое описание проекта.

4. BGP ASN — номер автономной системы, используемый в BGP. В данной версии ПО номер автономной системы BGP указывается до создания проекта и не может быть изменен позднее. Все CPE в проекте используют один номер BGP AS.

5. GOST encryption enabled — статус использования ГОСТ-шифрования. Если ГОСТ-шифрование включено, то оно будет использовано на всех CPE в проекте.

Для редактирования списка проектов, нажмите на имя списка проектов.

Для удаления проекта, необходимо:

1. Выберите проект, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел Limits

Подраздел Limits предназначен для ведения списка ограничений данного проекта.

На странице подраздела указаны такие параметры, как:

1. Name — имя ограничения.

2. Limit — максимальное значение ограничения.

3. Current — значение, к чему применяется ограничение.

Для редактирования ограничения, нажмите на имя ограничения.

Для удаления ограничений, необходимо:

1. Выберите ограничение, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Раздел Administration

Раздел Administration включает учет шаблонов CPE, создание образов CPE и МСЭ, управление доступом, аудит API-шлюзов и мониторинг сервисов.

Подраздел CPE templates

В настоящем подразделе осуществляется создание, редактирование и удаление шаблонов CPE.

На странице подраздела указаны такие параметры, как:

1. Name — имя шаблона CPE.

2. Group — модельная группа CPE.

3. Description — описание CPE, в котором указана модель с краткой технической характеристикой.

Для удаления шаблона CPE, необходимо:

1. Выберите шаблон CPE, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел CPE images

В настоящем подразделе осуществляется создание, изменение статуса и удаление ссылок на образа прошивок CPE.

На странице подраздела указаны такие параметры, как:

1. URL — ссылка на образ прошивки CPE.

2. Version — версия образа прошивки CPE.

3. CPE template — шаблон CPE.

4. Published — состояние публикации образа прошивки CPE в общий доступ.

Для редактирования образа прошивок CPE, нажмите на имя образа прошивок CPE.

Для удаления образа прошивок CPE, необходимо:

1. Выберите образ прошивки CPE, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел CPE certificates

Настоящий подраздел содержит URL-ссылку для распространения сертификатов, если они не были встроены в прошивку СРЕ изначально. Для добавления сертификатов на конкретное CPE, подключитесь к его LAN-интерфейсу и перейдите по ссылке. Это следует сделать до начала процесса активации CPE.

Подраздел VNFDs

В настоящем подразделе осуществляется создание, редактирование и удаление шаблонов МСЭ.

На странице подраздела указаны такие параметры, как:

1. Name — имя шаблона МСЭ.

2. Description — краткое описание МСЭ.

3. Type — тип МСЭ.

4. Version — версия подсистемы ядра, обеспечивающую фильтрацию и классификацию сетевых пакетов.

Для редактирования шаблона МСЭ, нажмите на имя шаблона развертывания МСЭ.

Для удаления шаблона МСЭ, необходимо:

1. Выберите шаблон МСЭ, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел IP pools

В настоящем подразделе осуществляется создание, редактирование и удаление пулов для организации связанностей, в зависимости от типа пула.

На странице подраздела указаны такие параметры, как:

1. Name — идентификатор пула.

2. Prefix — Префикс, который определяет диапазон IP-адресов, доступных в данном пуле.

3. Length — маска подсети, которая определяет размер подсети, выделяемой для устройств, подключаемых к пулу.

4. Plane type — тип пула, который отражает его назначение или принадлежность к определенному сегменту или службе в сети.

Для редактирования пула для организации связанностей, нажмите на имя пула.

Для удаления пула для организации связанностей, необходимо:

1. Выберите пул для организации связанностей, путем нажатия на флажок.

2. Нажмите на кнопку Delete.

Подраздел API gateway audit

Раздел API gateway audit предназначен для отслеживания и анализа всех событий, проходящих через API-шлюз.
В таблице аудита фиксируются как успешные действия пользователей, так и ошибки, возникающие при взаимодействии сервисов.

На странице подраздела указаны такие параметры, как:

1. Search — строка поиска по записям аудита. Позволяет искать по сообщению, полезной нагрузке или деталям события.

2. Show linked — флажок для включения отображения связанных событий.

3. — раскрывающееся меню для выбора порядка отображения информации в колонках (по возрастанию или убыванию).

4. — раскрывающееся меню для выбора условий фильтрации событий.

5. Date — дата и время события.

6. User — имя пользователя, совершившего действие (может быть пустым при системных событиях).

7. User IP address — IP-адрес клиента, с которого было инициировано событие.

8. Service — сервис, в котором произошло событие.

9. Event — описание выполненного действия.

10. Status — результат выполнения действия: Success, Error, Info.

11. Message — сообщение или текст ошибки.

12. SIEM — кнопка экспорта данных аудита в SIEM.

При нажатии на запись откроется диалоговое окно с подробной информацией о событии. В нем отображается следующая информация:

1. Event ID — уникальный идентификатор события.

2. Date — дата и время события.

3. Project name — проект, в котором произошло событие.

4. User — имя пользователя.

5. User IP Address — IP-адрес инициатора.

6. User ID — идентификатор пользователя.

7. Service — сервис, к которому относилось событие.

8. Request URL — адрес, на который было направлено действие (URL HTTP-запроса).

9. Request method — HTTP-метод.

10. Request payload — полезная нагрузка HTTP-запроса.

11. Response — код и статус HTTP-запроса.

12. Message — сообщение об ошибке, если действие завершилось сбоем.

13. Request JWT token — декодированный токен аутентификации.

Подраздел Platform manager

В настоящем подразделе осуществляется контроль состояния Платформы (как в режиме одиночного узла, так и в режиме отказоустойчивого кластера), сервисов и компонент.

В верхней части подраздела отображены статус(ы) состояния Платформы и какой узел является основным, резервным или арбитром (в режиме отказоустойчивого кластера):

Для мгновенного обновления статуса работы сервисов, нажмите на кнопку Update (кнопка предназначена для выбора периода обновления информации).

Справа от названия роли узла имеется кнопка , которая позволяет:

1. Request active role — меняет роль узла. Данная возможность доступна только для основной и резервной роли.

2. Enable maintenance mode — переводит узел в режим обслуживания.

Services

Statuses

Во вкладке Services указаны такие параметры, как:

1. Name — наименование сервиса.

2. Description — краткое описание сервиса. Описание сервисов приведено в справочнике сервисов.

3. Version — версия сервиса.

4. State — статус работы сервиса.

5. Status — время последнего срабатывания сервиса.

6. Category — тип компонента, к которому относится сервис.

7. Actions — действия, которые возможно совершить с компонентами:

   1. — выгрузка логов в формате .log.

   2. — запуск shell-терминала для выполнения операций с сервисом.

   3. — перезапуск сервиса.

   4. — просмотр параметров сервиса в табличном формате.

Кнопка служит для сортировки сущностей таблицы.

Во вкладке Statuses указаны такие параметры, как:

1. Name — название компонента.

2. State — статус работы компонента.

3. Status — детализированное описание текущего статуса (например: версия компонента, использование памяти, количество соединений и другие метрики).

4. Errors — текст предупреждений и ошибок (в случае наличия).

Раздел Users

Раздел Users предназначен для управления учетными записями пользователей, их привязкой к заказчикам, проектам и ролям, а также для настройки типа аутентификации и сертификатов.

На странице отображаются следующие параметры:

1. Login — имя учетной записи.

2. Customer — заказчик, к которому привязана учетная запись.

3. Allowed projects — проекты, к которым пользователь имеет доступ.

4. Roles — роли пользователя. Для каждой роли указывается проект:

   1. Project admin — администратор проекта, имеет полный доступ к управлению объектами выбранного проекта;

   2. Operator — оператор проекта, имеет доступ к просмотру настроек.

5. Auth type — тип аутентификации:

   1. Local — локальная аутентификация средствами Платформы;

   2. LDAP — аутентификация через LDAP.

6. E-mail — адрес электронной почты пользователя.

7. Certificate — управление сертификатами:

   1. Revoke — отозвать сертификат;

   2. Undo — отменить отзыв;

   3. .p12 — скачать сертификат .p12.

8. LDAP — переход к настройкам LDAP-аутентификации. Процесс настройки описан в подразделе Настройка LDAP-аутентификации.

9. Кнопка Grant access необходима для передачи доступа учетной записи из одного проекта на другой. Сценарии использования данной кнопки описаны в подразделе Расширение полномочий учетной записи.

Для редактирования учетной записи нажмите на её имя.

Для удаления учетной записи выполните следующие действия:

1. Отметьте учетную запись с помощью флажка.

2. Нажмите на кнопку Delete.