Система централизованного управления устройствами Traffic Inspector Next Generation

Central Management System – система централизованного управления распределенной инфрастурктурой сетевых шлюзов Traffic Inspector Next Generation.

В рамках инфраструктуры, шлюз Traffic Inspector Next Generation может выполнять одну из двух ролей:

  • Мастер-узел (master node) – шлюз Traffic Inspector Next Generation, устанавливаемый в центральном офисе учреждения. Мастер-узел позволяет осуществлять централизованное администрирование, диагностику и сбор данных с сетевых шлюзов, расположенных в удаленных офисах.
  • Подчиненный узел (slave node) – шлюз Traffic Inspector Next Generation, устанавливаемый в каждом из удаленных офисов учреждения. Подчиненный узел получает свои настройки от назначенного мастер-узла. Подчиненный узел полностью контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет.

В процессе развертывания, администратор осуществляет настройки на каждом из узлов будущей инфраструктуры. Подчиненные узлы подготавливаются для взаимодейcтвия с мастер-узлом. На мастер-узле производится регистрация подчиненных узлов. Сетевое взаимодействие между мастер-узлом и подчиненным узлом осуществляется по защищенным соединениям. После настройки инфраструктуры, администратор может инициировать передачу настроек на выбранный подчиненный узел и получать диагностические сообщения с подчиненных узлов.

Примечание

Только один шлюз может выступать в качестве мастер-узла в инфраструктуре. Количество подчиненныех узлов не ограничено. Мастер-шлюз может совмещать функции центра управления для удаленных шлюзов и функции обычного контролирующего шлюза.

Настройка подчиненного нода

Активация лицензии

Активируйте лицензию согласно инструкции Начало работы с Traffic Inspector Next Generation: Активация лицензии.

Примечание

Активированная лицензия необходима для доступа к репозиторию и установки плагинов.


Установка плагина os-cms-node

Пройдите в раздел Система -> Прошивка -> Обновления, и нажмите Проверить наличие обновлений. Нажмите на иконку + напротив плагина os-cms-node для его установки.

_images/node_plugin.png

Настройка параметров подчиненного узла

Пройдите в раздел Система -> Доступ -> Узел CMS и осуществите настройку параметров подчиненного узла.

_images/cmsnode_settings.png

Установите флажок Включить доступ к CMS для активации функционала подчиненного узла.

В поле Интерфейс выберите интерфейс, через который подчиненный узел будет взаимодействовать с мастер-узлом.

В поле CMS мастер ограничение адресов можно ограничить возможность подключения мастер-узла только с обозначенных IP-адресов.

В результате осуществленных настроек подчиненный узел подготавливается для входящих подключений от мастер-узла. В частности, в сетевой экран подчиненного узла добавляются два правила для доступа по протоколам HTTPS и SSH (указанный IP-адрес будет отличаться в вашем случае):

pass in quick on igb1 inet proto tcp from any to 10.1.1.161 port = https flags S/SA keep state label "Allow CMS access on HTTPS"
pass in quick on igb1 inet proto tcp from any to 10.1.1.161 port = ssh flags S/SA keep state label "Allow CMS access on SSH"

Настройка мастер-узла

Установка сертификата для доступа к репозиторию

Активируйте лицензию согласно инструкции Начало работы с Traffic Inspector Next Generation: Активация лицензии.

Примечание

Активированная лицензия необходима для доступа к репозиторию и установки плагинов.


Установка плагина os-cms-master

Пройдите в раздел Система -> Прошивка -> Обновления, и нажмите Проверить наличие обновлений. Нажмите на иконку + напротив плагина os-cms-master для его установки.

_images/master_plugin.png

Примечание

Для успешной установки плагина в вашем устройстве должен быть установлен лицензионный сертификат.


Создание служебного пользователя для инфраструктуры

Пройдите в раздел CMS -> Узлы и осуществите настройку параметров подчиненного нода.

Нажмите на кнопку Выбрать учетную запись администратора CMS.

Укажите логин, например, cmsadmin и пароль.

_images/adding_cmsadmin.png

Примечание

Это служебный пользователь, который будет присутствовать на всех узлах в инфраструктуре. Под этим пользователем мастер логинится на подчиненные узлы и управляет ими. Служебный пользователь не должен совпадать с локальными пользователями, существующими на мастер-узле.


Создание ключей для туннеля

Нажмите на кнопку Создать ключи идентификации туннеля. Произойдет генерация SSH-ключей для туннеля.


Добавление подчиненных узлов на мастер-узле

Произведите добавление подчиненных узлов на мастер-узле. Для этого, кликните на значок +.

_images/adding_slave_nodes.png

В окне добавления подчиненного узла, нужно задать ряд настроек:

_images/edit_slave_node.png

Поле Хост узла. В данном поле указывается IP-адрес или DNS-имя подчиненного узла.

Поле HTTPS-порт узла. В данном поле указывается номер HTTPS-порта, который слушает веб-сервер на подчиненном узле. По HTTPS-каналу осуществляется работа с веб-интерфейсом подчиненного узла, и передаются команды на подчиненный узел. Соединение по HTTPS открывается только тогда, когда в web-интерфейсе на мастере нажимается какая-либо кнопка, связанная с получением или передачей информации на подчиненный узел. После передачи соединение сразу же закрывается.

Поле Интерфейс для связи с узлом. В данном поле указывается через какой интерфейс мастер-узел будет подключаться к подчиненному узлу.

Поле Номер порта SSH. В данном поле указывается номер SSH-порта, который слушает служба sshd на подчиненном узле. По SSH-каналу туннелируются сообщения от syslog службы подчиненного узла. Соединение по SSH постоянно находится в установленном состоянии.

Поле Номер порта для регистрации туннеля. В данном поле указывается номер порта, который будет использован для туннелирования syslog-сообщений.

Поле Имя администратора узла. В данном поле указывается имя пользователя-администратора, существующего на подчиненном устройстве.

Поле Пароть администратора узла. В данном поле указывается пароль пользователя-администратора, существующего на подчиненном устройстве.


Примечание

В процессе настроек на мастер-узле, мы дважды задавали имя пользователя и пароль: (1) в общих настройках мастер-узла и (2) в настройках каждого добавляемого подчиненного узла. Данные учетные записи используются следующим образом.

  1. Учетная запись в общих настройках мастер-узла

Здесь настраивается служебный пользователь, необходимый для функционирования CMS. Служебный пользователь будет создан на всех узлах, добавленных в инфраструктуру. Служебный пользователь не должен совпадать с локальными пользователями, существующими на мастер-узле.

Служебный пользователь появляется на подчиненном узле при нажатии на кнопку “Сохранить изменения” в диалоговом окне добавления подчиненного узла (см. ниже). Если в этот момент подчиненый узел был недоступен, то нужно будет удалить созданный подчиненный узел и повторить его добавление заново.

  1. Учетная запись в настройках добавляемого подчиненного узла

Здесь указывается логин / пароль пользователя-администратора на подчиненном узле. Мастер-узел использует данный логин / пароль однократно, для того, чтобы создать на подчиненном узле служебного пользователя.


Установка SSH-туннеля между мастер-узлом и подчиненным узлом

В результате удачного добавления подчиненного узла, он будет отображен в интерфейсе со статусом online.

После добавления подчиненного узла, нужно установить туннель между мастер-узлом и подчиненым узлом. Для этого, в разделе CMS -> Узлы нужно выбрать запись, соответствующую нужному подчиненному узлу, и нажать на иконку в виде молнии в колонке tunnel.

_images/bolt.png

После успешной установки туннеля в колонке tunnel должен отобразится зеленый чекбокс.

_images/tunnel_established.png

Использование возможностей удаленного администрирования

Просмотр журналов с подчиненных устройств

После установки SSH-туннеля между мастер-узлом и подчиненным узлом, с последнего на первый начинают приходить syslog-сообщения, которые можно просматривать в разделе CMS -> Журналы.

_images/nodes_system_log.png

Передача настроек на подчиненные узлы

Из раздела CMS -> Инструмент клонирования конфигурации можно осуществлять передачу настроек от мастер-узла подчиненным узлам.

На следующем скриншоте демонстрируются настройки для передачи правил фильтрации:

_images/configuration_clone_tool.png

Поле Источник конфигурации. В данном поле указывает узел-источник настроек.

Поле Раздел конфигурации. В данном поле указывается секция конфигурационного файла, подлежащая передаче.

Поле Выбор элементов. В данном поле можно выбрать отдельные элементы из секции конфигурационного файла.

Поле Целевой узел для отправки. В данном поле указывается узел-получатель настроек (подчиненный узел).

Кнопка Показать выбранный раздел. Данная кнопка позволяет просмотреть выбранную секцию конфигурационного файла в текстовом виде.

Кнопка Отправить выбранный раздел узлам. Данная кнопка инициирует отправку настроек на узел-получатель.


Просмотр сертификатов

В разделе CMS -> Сертификаты можно увидеть сводную таблицу сертификатов с подчиненных узлов.

Отображаются CORE сертификаты (сертификаты на базовое ПО Traffic Inspector Next Generation) и сертификаты на модули.


Установка плагинов

В разделе CMS -> Плагины можно осушествить удаленную установку плагинов на подчиненном узле.

Для этого нужно установить чекбокс на пересечении идентификатора нужного подчиненного узла и имени нужного плагина.


Просмотр отчетов по веб-прокси

В разделе CMS -> Отчеты по веб-прокси можно осушествить просмотр отчетов по работе веб-прокси на удаленных узлах.


Установка обновлений

В разделе CMS -> Обновления можно осушествить удаленную установку обновлений на подчиненном узле.

Для того, чтобы инициировать обновление на подчиненном узле, нужно нажать на кнопку в колонке update.


Просмотр состояния удаленных узлов

В разделе CMS -> Состояние можно осушествить просмотр дешборда выбранного удаленного узла.