NAS简明使用手册网管篇.docx
- 文档编号:8383578
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:56
- 大小:3.68MB
NAS简明使用手册网管篇.docx
《NAS简明使用手册网管篇.docx》由会员分享,可在线阅读,更多相关《NAS简明使用手册网管篇.docx(56页珍藏版)》请在冰豆网上搜索。
NAS简明使用手册网管篇
NAS介绍
NAS是Opsware(现已被HP收购)推出的一套企业级的网管自动化解决方案。
借助于NAS,可以实施监控到网络设备的变化情况。
在企业进行大范围的变更时,也可以有效的减少变更所需的人力。
同时,严格的权限控制能够将由于人为失误所造成的损失降到最低。
NAS系统的地址是https:
//10.2.43.113(海口)或https:
//10.68.1.63(北京)。
系统地址
打开系统首页后,使用分配的NAS账号进行登录。
登录页面
系统首页面
这里可以通过点击MyWorkspaceàCurrentDeviceGroupàInventory进入查看Inventory组中的设备列表。
进入Inventory页面之后,我们可以看到,目前NA中一共添加了301台设备。
其中蓝色部分的设备是已经成功纳管的,而红色的部分则是由于各种原因导致而没有被成功纳管的设备。
如果我们需要连接到设备上进行操作,只需要点击对应设备的后的
(或者
)即可通过Telnet(或SSH)方式连接到相应的Device中。
Inventory页面的内容
通过Telnet(或SSH)方式连接到Device
操作结束后,需要输入quit(或exit)命令断开连接,并再次使用quit(或exit)命令断开与NAS的连接。
如下图:
连接时的状态
断开时的状态
纳管Device
进入NAS的第一部,就是要先纳管Device。
纳管Device有单一和批量添加两种方式。
纳管单一Device
添加Device
首先,通过菜单栏上的DevicesàNewdevice进入设备添加页面。
进入Newdevice页面后,我们就需要输入需要纳管的Device的信息了。
自上而下的,我们需要输入IP或Hostname(建议输入IP地址,当设备成功纳管之后,会自动获取Device的Hostname)。
然后选择对应的设备组(目前的情况不需要选择),并输入设备的备注信息(建议填写)。
最后一步就是输入设备的相关访问信息,为了成功的纳管设备,需要输入Username(如果使用local账户登录,留空即可)、Password、ConfirmPassword、EnablePassword、ConfirmEnablePassword、SNMPRead-OnlyCommunityString、SNMPRead/WriteCommunityString。
上述信息填写完成后,点击
即可,NAS会自动开始对设备进行访问并配置syslog。
Device纳管成功后会在对应设备组中出现。
无法纳管的设备
设备添加完成后,可以在Inventory或者对应的DeviceGroup中看到。
成功纳管的Device的字体都是蓝色的,如果纳管过程中出现问题,那么字体就以红色表示,如下图所示。
成功纳管的Device
纳管出现问题的Device
如果纳管出现问题,第一步就要进行DiscoverDriver操作。
这一步主要是发现对应的驱动,以匹配以后管理操作及任务中的相关命令等数据。
如右图所示,可以选择相应的Device后,点击Actions下拉框选择DiscoverDriver,系统会自动创建一个新任务,并转向到任务信息的页面,可以直接点击保存任务,进行DiscoverDriver的操作。
如果设备数量较少,那么可以勾选Storecompletedevicesessionlog,系统会记录任务执行过程中与设备的交互信息,便于进行troubleshoting。
在任务执行完成之后,点击
中的
链接可以查看详细的信息。
批量纳管Device
对于多数的企业而言,Device的数量很多,这里就需要使用到NAS的批量纳管的功能了。
首先需要了解一下设备密码策略(DevicePasswordRule)的概念
设备密码策略(DevicePasswordRule)
对于众多的Device,我们可以设定一条设备密码策略对一组使用相同的用户名/密码的Device进行访问,这将简化我们批量添加Device的操作。
对于多组使用不同的用户名/密码的Device来说,我们只需要设定多条密码策略即可,NAS会尝试不同的密码策略来访问设备,直到成功为止(如果没有正确的密码策略,则对应的设备无法成功纳管)。
通过菜单AdminàDevicePasswordRules对密码策略进行操作。
点击页面右上角的
即可添加一条新的密码策略。
设备密码策略页面
具体需要填写的信息如下图所示:
具体的填写方式和添加单一的Device相同,这里不再详述。
需要注意的是,左边的范围选择要注意,如果指定了范围,那么超出范围的设备就无法使用该密码策略。
上面的工作完成之后,我们就可以进行批量添加Device的工作了。
下载模板,批量添加设备
通过菜单TaskàNewTaskàImport进入导入页面
点击
下载设备信息模板。
模板中有如下信息:
deviceGroupName、deviceDriver、primaryIPAddress、hostName、consoleIPAddress、consolePort、assetTag、managementStatus、accessMethods、comments、deviceCustom1、deviceCustom2、siteName。
这里我们只需要填写primaryIPAddress即可。
填写完毕后,我们新建一个Import任务,然后在ImportFile中选择我们已经编辑好的csv文件。
然后点选“Rundiscoverdrivertaskonnewlyimporteddevices”,最后点击SaveTask按钮即可开始运行任务。
运行任务时,我们可以随时通过TaskàRunningTasks来查看当前正在运行任务的状态,如下图所示。
这里,我们可以点击
或者
查看任务的当前运行情况。
在下图的TaskInformation页面中可以看到,执行的是一个DiscoverDriver的任务,可以从ResultDetails查看任务执行的结果。
下图中显示的是Pending和Total两行数据,当任务运行成功或失败时,才会出现Success或是Failed的对应数据。
DiscoverDriver的过程比较漫长,任务执行之后请耐心等待。
RunningTask页面
TaskInformation页面:
反映当前任务的执行情况
DeviceGroup
为了便于管理设备,更加明确了在NAS中体现出组织的网络架构,就需要使用到DeviceGroup(设备分组)。
通常,DeviceGroup的结构依据如下:
(1)地理位置,
(2)商业位置,如部门等,(3)设备在网络中的角色,如核心、边缘等。
默认情况下,我们在DeviceGroup页面中(通过菜单DevicesàGroup访问)只能看到Inventory分组(属于全局分组,后续的分组建立全部在其之下),如下图:
根据管理员不同进行分组
从图上我们可以看出,目前系统中已经根据两种分组方式建立好了分组:
一种是通过管理员来进行划分,另外一种则是根据地区不同进行划分。
点击分组名称能够直接查看分组下的所有设备,点击
可以查看子分组信息。
建立DeviceGroup
为了更好的理解DeviceGroup的概念及作用,下面我们就建立一个DeviceGroup。
点击菜单DevicesàNewDeviceGroup转到建立DeviceGroup的页面,如下图所示。
由图我们可以看到,建立一个分组只需要输入GroupName即可,其它的内容可以等分组建立好之后再进行修改。
从上至下,分别是GroupName,Description,Owner,Sharing,ParentDeviceGroup以及Devices。
为了更清楚了了解这些项的作用,我们分别进行叙述。
GroupName和Description是分组的基本信息。
为了清晰的表明分组的信息,建议进行填写Description。
NewDeviceGroup页面
Owner用于设置分组的所有者,
Sharing用于设置分组的可见模式,设置为Public时是全局可见,设置为Private时仅有所有者和管理员可见。
ParentDeviceGroup用于设置分组的ParentGroup。
Devices用于指定分组中的设备。
分组有两种类型,一种是静态分组,一种是动态分组。
DeviceSelector界面
静态分组
在上图中,分组默认为静态分组,在此种模式下,我们可以从DevicesSelector中选择对应的设备添加到分组中。
添加时可以使用过滤器对设备名称或者IP地址进行过滤。
静态分组的优点是添加了设备之后,分组不会发生变化。
同时,这也是静态分组的缺点,如果企业有大量的Device,而且年增长量也很大,同时,拥有严格的命名规范,那么使用静态分组就会浪费大量的时间以及人力。
如果使用NAS的企业确实是这种情况,那么就需要了解一下动态分组的概念。
动态分组
动态分组是根据设备的固有属性来进行分组的一种分组方式,能够通过一系列复杂的条件对设备进行分组。
点击Devices中的“Usefiltertodefineadynamicdeviceset(dynamicgroup)”切换分组为动态分组,如下图所示:
切换了之后,我们就可以在条件中添加不同的搜索条件,并通过调整条件之间的关系来确定我们分组的方式。
点击“AddCriteria”列表,并选择预定的条件作为搜索条件并设置,这里可以使用通配符来实现DeviceGroup不同的要求。
下图举例说明了搜索条件的使用方法:
动态分组的一个例子
其中条件A是HostName要包含–HKDS-,条件B是要包含-HKDYS-,两者关系为or,即只要A和B其中一个成立,那么就属于此分组。
通过Limitsearchbydevicegroup可以指定此分组的条件对哪些分组使用,如果不设置,默认对Inventory有效。
建立ParentGroup
如果细心一些,可以发现在菜单上还有一种分组类型,就是ParentGroup(如右图所示),这种分组是为了实现分层而存在的。
和DeviceGroup不同的是,ParentGroup只能容纳DeviceGroup,而不能容纳设备,这是这两种分组最基本的区别。
可以通过菜单DevicesàGroups查看当前的分组情况(其中包括ParentGroup),如上图。
ParentGroup的使用很简单,建立的过程也十分简单,通过DevicesàNewParentGroup来建立一个新的ParentGroup,如下图所示:
NewParentGroup页面
和DeviceGroup一样,ParentGroup的必填项也是GroupName。
确定之后,填写简单的说明,即可设置ParentGroup在层次中的位置了——通过设置它的ParentGroup和ChildGroup来确定。
这个过程很简单,我这里就不再详述了。
下图是当前NAS中的分组情况:
当前系统中的分组状态
Task
(任务)
在NAS中,任务被定义为NAS同Device所进行的一系列交互行为,也就是说,在NAS中,基本上所有的操作都可以转换成为任务运行。
NAS中,任务可以立即执行,也可以计划执行。
默认登录后,Home页面会显示当前账户最近执行任务的相关信息,也通过菜单TasksàMyTasks即可进入(如右图所示)。
MyTasks页面显示最近执行任务的时间、结果等信息,如下图所示:
执行任务
为了让大家理解清楚,我们下面举例说明任务的两种执行方式。
立即执行
我们可以点击MyTasks页面中的“GenerateSummaryReports”任务,点击进入任务信息页面:
从图中我们可以看到,任务当前状态为Pending。
这里需要说明一下,TaskStatus里的进度条只是一个GIF图片,不代表任务真正在执行。
从图中的进度条的状态,也可以验证这个问题。
如果需要立即运行,可以点击右上角的
来运行。
“GenerateSummaryReports”任务的详细信息
任务运行结束之后,我们可以点击任务信息下方的
和
查看任务的运行情况,如下图所示:
从上面可以看出,本次任务执行成功。
如果任务失败,那么可以查看TaskHistory来查找任务失败的原因。
在前几章中,我们已经创建并运行过DiscoverDriver和Import的任务,大家可以回想一下。
同时为了加深对任务的理解,下面我们就动手创建一系列任务并执行。
由于当前NAS中仍然有一些未正常纳管的Device,我们需要重新对它们DiscoverDriver。
通过菜单TasksàNewTaskàDiscoverDriver创建,然后如下设置:
1.设置TaskName为DiscoverDeviceForTemporaryDeviceGroup
2.选择Appliesto为SingleGroup,并选择TemporaryDeviceGroup
3.填写Comments
4.如果需要详细的交互信息,可以点选TaskOptions中的Storecompletedevicesessionlog。
不过需要注意的是,如果对操作于大量设备的Task使用这个选项,会导致数据量暴增,不建议勾选。
5.其它内容不变
任务保存后,会立即执行
在任务执行的过程中,如果设备数量比较多,那么管理员就可以去忙别的事情了。
计划执行
由于各种原因,一些变更或者任务总需要在夜深人静的时候进行,这里就需要使用到计划了。
其实不光是上述的内容,一些需要频繁执行的任务也可以设置计划执行。
下面就简单介绍一下计划的使用。
计划的部分也在任务的设置中,和计划相关的有以下几部分:
1.任务的开始日期和时间。
如果计划为Daily,那么任务下次运行时间是在次日的此时。
2.任务的预估运行时间。
默认为60分钟,如果任务设定为5分钟一次,那么下次运行的时间为60分钟之后。
在预估运行时间内,任务不会重复执行。
3.任务的执行计划。
可以设置重复次数,重试间隔,周期及结束日期等信息。
设置完毕后,任务就会按照计划自动运行,管理员此时就可以将重心放在别的工作上了。
Multi-TaskProject(工作计划)
在NAS中除了Task的概念,还有Multi-TaskProject,能够定义一系列的任务顺序执行。
工作计划的概念能够减轻网络管理员日常变更的负担。
从概念上来说,可以将工作计划看成是顺序的任务。
下面我们来建立一个Multi-TaskProject。
通过菜单TasksàNewMulti-TaskProject进入到工作计划的创建页面,如下图所示:
由图可以看出,Multi-TaskProject和Task的设置基本一致,不同的是TaskOptions中有一个SubTasks项,点击添加对应的Task时会跳转到相应的页面,保存后返回。
下图是我添加了一个DiscoverDriver的任务的情况:
SubTask的添加和建立DeviceGroup的条件添加方式类似,大家可以尝试一下,其它设置和Task一致,这里我就不再详述。
需要注意的是不能为SubTask单独设置执行的时间,它们是按顺序完成的,如果一个任务Pending或者Pause,那么后续SubTask都会Pending。
策略
NAS中的策略管理能够检测指定的网络设备是否符合指定的标准或者最佳实践。
通过NAS自带或者下载的策略,能够检测当前设备的配置等信息是否符合推荐的设置。
在熟悉了策略的使用之后,我们可以根据企业的情况来指定符合自身的策略集,来提升网络设备的安全性、稳定性以及可用性等。
通过菜单PoliciesàPolicyList来访问策略管理器,策略管理器的界面如下图所示:
一条策略由多个规则组成,点击
即可在策略内容中的PolicyRules中看到规则集。
测试策略
策略的测试十分简单,只需要点击对应策略Actions中
即可,随后选择需要检测设备的范围。
这里我们运行策略CISCiscoIOSLevel1,并随意添加一台设备。
添加完成后,点击PerformTest即可运行,结果将在新窗口中显示。
下面我们再测试策略EnsureLogging。
在运行之前,我们先看一下这条策略到底做了些什么。
策略的内容
EnsureLogging策略内容
点击EnsureLogging策略的
,进入策略内容页面。
我们可以看到,这个策略是由一条规则构成,可以继续点击规则EnsureSyslogLogging–Foundry的
连接,查看规则内容。
规则类型为配置检测,适用范围为全部设备,重要性为中,具体的条件为:
配置文本中包含“logging任意字符”
可以看出,这条规则是检测网络设备的配置中,是否已经配置logging服务器。
如果配置中配置了logging,则结果就是成功,如果没有,则会返回失败。
下面我们对任意设备执行此策略,查看执行的结果——出错了,这是因为NAS没有对应于10.2.0.2这台设备的驱动,因此无法正确纳管。
EnsureSyslogLogging–Foundry规则内容
EnsureLogging策略在10.2.0.2上的执行结果
在我们选择需要运行策略的网络设备时,需要注意网络设备是否正确纳管。
一般而言,正确纳管的网络设备在DeviceSelector中都能够显示出HostName,无法显示HostName的设备一定是纳管出现问题的,如下图所示。
正确纳管的网络设备一定是能够显示出HostName的
这里我们再选择10.2.0.122进行测试,看看测试结果如何。
10.2.0.122的EnsureLogging的测试结果:
合规
策略的运行到这里就结束了,之后学习策略的创建。
策略的创建
我们可以通过菜单PoliciesàNewPolicy来创建一个策略。
创建策略也十分简单,相对而言,创建规则更为重要。
创建策略的页面如下所示,我们只需要填写策略名称、说明、以及策略适用的范围(Scope),策略的其它信息都可以不填写。
如果这里你不选择策略适用的范围,那么默认此策略就无法执行,因为它不能运行于任何设备上。
策略创建之后,就需要建立规则了,点击PolicyRules中的NewRule即可。
建立规则之前,需要思考如下问题:
1.策略类型:
是检测配置,进行诊断,还是检查安装的软件?
2.策略适用于哪些厂商的设备?
对具体的类型有要求吗?
3.要检测的是什么内容?
应该在什么地方出现?
4.如果检测失败,那么对应的消息是什么级别?
5.有例外情况吗?
6.是否可以自动修复?
如何自动修复?
以上内容思考完毕后,就可以填写对应的规则信息了。
规则的创建页面
下图的这个规则是用于检测是否关闭了网络设备的finger服务。
这条规则作用于Cisco交换机等网络设备,检测配置中是否不包含以“Thiswillalwaysfail”开头的一行内容,如果没有检测到,则检测结果为成功。
检测是否关闭了finger服务的规则
如果对一条规则感觉不满意,可以在PolicyRules中进行增删改,十分方便。
策略的导入导出
通过使用策略的导入导出功能可以在NAS之间进行策略交换,进行策略的更新。
相对来说,策略的更新更为重要,我们可以从TON上下载新的策略,并导入至NAS中,保持我们的最佳实践策略集是最新的,以保证企业的网络安全状况跟上IT发展的步伐。
通过菜单PoliciesàImport/ExportPolicies进入策略导入导出页面,如下图所示:
由上图可以看到,导入导出的功能很简单,导出的文件为后缀名exp的XML文件,内容如下图所示:
运行策略
我们前面已经学习了如何查看策略内容,如何创建策略。
下面就要制定任务来运行策略了。
点击菜单中的PoliciesàNewPolicyTaskàCheckPolicyCompliance建立一个新的策略任务。
相关信息的填写很简单,只需要选择设备,并选择任务的类型即可。
不过遗憾的是,目前还没有方法计划执行具体的策略,但是可以手动来执行。
策略任务运行的结果如下图所示,可以点击
查看违反策略的情况。
在策略任务运行之后,我们可以在PoliciesàPolicyActivity中查看策略任务的运行情况,也可以在TaskàRecentTasks中查看任务的运行情况。
在PolicyActivity中查看运行情况
在RecentTasks中查看运行情况
另外一种方式就是通过PoliciesàTestPoliciesCompliance来进行,遗憾的是不能计划执行。
但是这种方式可以指定具体的策略。
下图中我们指定运行EnsureLogging和EnsurePasswords,在10.2.0.135上运行。
选择完毕之后,点击PerformTest执行。
测试指定的策略
结果会在新窗口中弹出,如下图,可以看到,该设备符合以上策略的规则。
测试结果
查看设备的合规情况
在制定许多策略之后,我们会定期的进行合规检查(即策略任务)。
我们只需要通过菜单PoliciesàPolicy就可以看到设备的合规情况。
如下图所示,表中列出了Inventory组中所有设备的合规情况。
这里的合规情况是指是否符合对应的配置策略,如果全部符合,则合规情况为Yes,否则为No。
而Unknown则表示设备可能有问题,需要检查是否被成功纳管等。
设备合规情况
软件级别
待定
报表
NAS默认提供了很多报表,同时也能定制一些简单的报表。
通过菜单Reports我们可以看到,在前几项中,是基本的搜索工具,User&SystemReports是系统的相关报表,ComplianceCenter是合规相关的报表,之后是系统中设备的状态,合规检查结果等其它网管可能需要的报表。
由于报表种类比较多样,所以下面我们挨个来了解报表内容。
用户&系统报表
User&SystemReports中,SystemReports集合了多数的系统信息,包括合规检查,系统状态等,可以看作是其他类报表的一个目录。
而上方的UserReports,我们由提示也可以看出,是用于保存日常的搜索。
我们可以在指定搜索条件之后,保存搜索,以后就可以直接点击查看了。
User&SystemReports
下面我们定制一个搜索,并保存。
搜索内容为HostName中包含-HKDYS-的设备。
在搜索结果页面中,在Savesearchasauserreportnamed处填写定制的搜索名称,然后保存即可。
OK,成功保存搜索并加入用户报表了。
至于系统报表我这里就不再详述了,后文会陆续提到。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NAS 简明 使用手册 网管