[Topic 237477]

О Kaspersky SD-WAN

Kaspersky SD-WAN используется, чтобы строить программно-определяемые распределенные сети (англ. Software Defined WAN, далее сети SD-WAN) для маршрутизации трафика по каналам передачи данных с применением технологии SDN (Software Defined Networking). Основной особенностью таких сетей является возможность автоматического определения наиболее эффективных маршрутов передачи трафика.

Технология SDN подразумевает разделение плоскости управления сетью (англ. control plane) и плоскости передачи данных (англ. data plane). Плоскость управления сетью состоит из

Виртуализация сетевых функций (англ. Network Function Virtualization, NFV) выполняется в соответствии со стандартами, указанными в спецификации NFV MANO (NFV Management and Network Orchestration) Европейского института по стандартизации в области телекоммуникаций (англ. European Telecommunications Standards Institute, ETSI).

Решение предназначено для операторов связи (англ. service providers), а также организаций, имеющих крупную филиальную сеть, и заменяет стандартные маршрутизаторы в распределенных сетях. Процесс развертывания не зависит от транспортных технологий, используемых в вашей сети. Поддерживается использование нескольких туннелей для передачи трафика с учетом требований приложений к пропускной способности и качеству обслуживания.

С помощью Kaspersky SD-WAN вы можете выполнять следующие задачи:

• Интеллектуальное управление трафиком.
• Автоматическая настройка устройств CPE. Эта функциональность позволяет задействовать меньше специалистов при развертывании устройств на площадках.
• Централизованное управление инфраструктурой сети через веб-интерфейс оркестратора. Например, вы можете использовать веб-интерфейс, чтобы настраивать устройства CPE и туннели.
• Постоянный мониторинг топологии сети и автоматическое реагирование на ее изменение. Например, вы можете настроить передачу трафика по резервному туннелю, если при работе основного туннеля возникает сбой.
• Автоматическое реагирование сети на изменения качества обслуживания в каналах передачи данных, чтобы соответствовать требованиям различных приложений, используемых в сети.

На рисунке ниже представлена схема сети SD-WAN, которая построена с помощью решения Kaspersky SD-WAN.

Схема сети SD-WAN

[Topic 249139]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" (https://www.kaspersky.ru) или у компаний-партнеров.

В комплект поставки входят следующие компоненты:

• Docker-контейнеры для развертывания решения:
  • knaas-ctl;
  • knaas-orc;
  • knaas-www;
  • knass-vnfm;
  • knaas-vnfm-proxy.
• Прошивка для установки устройств CPE и последующей работы с ними.
• Файл с текстом Лицензионного соглашения, в котором указано, на каких условиях вы соглашаетесь пользоваться решением.
• Файлы онлайн-справки Kaspersky SD-WAN для обеспечения возможности просмотра документации без подключения к интернету.

Состав комплекта поставки может отличаться в зависимости от региона, в котором распространяется решение.

[Topic 239105]

Аппаратные и программные требования

В решение входят следующие программные модули:

• Оркестратор, который входит в backend-часть решения.
• Веб-интерфейса оркестратора, который входит во frontend-часть решения.
• База данных оркестратора (MongoDB версии 5.0.7).
• VNFM

  Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, сценариев Ansible, скриптов и атрибутов Cloud-init.

  Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, сценариев Ansible, скриптов и атрибутов Cloud-init.

  Управляет жизненным циклом виртуальных сетевых функций с помощью SSH, сценариев Ansible, скриптов и атрибутов Cloud-init.

  .
• Веб-сервер NGINX, который используется для балансировки запросов HTTP и HTTPS к VNFM и предоставления веб-прокси устройствам CPE и VNF.
• Резидентная база данных Redis версии 6.2.7.
• Контроллер SD-WAN.

Модули разворачиваются в виде Docker-контейнеров для независимой установки и масштабирования. При необходимости вы можете предоставлять дополнительные ресурсы каждому модулю (ядра процессора, оперативная память) и распределять их между несколькими серверами, чтобы увеличить общую производительность.

Компоненты Kaspersky SD-WAN могут быть развернуты на нескольких физических серверах или виртуальных машинах (далее также ВМ). Поддерживаются платформы виртуализации KVM и VMware. Вам нужно обеспечить наличие серверов или виртуальных машин для установки Kaspersky SD-WAN, внешней системы мониторинга Zabbix версии 5.0.26, а также контроллера SD-WAN.

Существует два варианта развертывания контроллера:

• В виде VNF в облачной платформе OpenStack (релиз Xena). Узлы контроллера размещаются на вычислительных узлах.
• В виде
  PNF

  Заранее развернутые сетевые функции, которые в готовом виде загружается в веб-интерфейс оркестратора. Оркестратор может осуществлять дальнейшую конфигурацию PNF.

  Заранее развернутые сетевые функции, которые в готовом виде загружается в веб-интерфейс оркестратора. Оркестратор может осуществлять дальнейшую конфигурацию PNF.

  Заранее развернутые сетевые функции, которые в готовом виде загружается в веб-интерфейс оркестратора. Оркестратор может осуществлять дальнейшую конфигурацию PNF.

  Заранее развернутые сетевые функции, которые в готовом виде загружается в веб-интерфейс оркестратора. Оркестратор может осуществлять дальнейшую конфигурацию PNF.

  на отдельных виртуальных машинах.

Перед развертыванием Kaspersky SD-WAN убедитесь, что ваша сетевая инфраструктура соответствует следующим аппаратным и программным требованиям.

Аппаратные требования

В таблицах ниже представлены требования к аппаратным ресурсам. Обратите внимание, что эти требования зависят от количества управляемых устройств CPE, которые используются в экземпляре SD-WAN. В таблицах указаны типовые значения, поэтому если требуется рассчитать точные требования для вашей схемы развертывания, обратитесь в техническую поддержку "Лаборатории Касперского".

Аппаратные требования к серверам или виртуальным машинам для развертывания оркестратора

Аппаратные требования к серверам или виртуальным машинам для развертывания остальных компонентов решения

Если требуется подключить более 250 устройств CPE, развертываются дополнительные кластеры контроллеров SD-WAN.

Более подробную информацию об аппаратных требованиях к системе мониторинга Zabbix можно получить из официальной документации решения Zabbix.

При развертывании решения настраивается офлайн-карта (англ. offline map). Вам необходимо учитывать следующие требования к свободному дисковому пространству:

• Офлайн-карта (central-fed-district-latest.osm.pbf) занимает около 100 ГБ.
• Данные для геокодинга занимают около 10 ГБ.

Мы рекомендуем учитывать возможность использования переподписки на этапе планирования ресурсов для развертывания экземпляра SD-WAN. Максимальный коэффициент переподписки, доступный, когда вы развертываете контейнеры, составляет 3. Коэффициент определяется следующими характеристиками экземпляра SD-WAN:

• количество используемых устройств CPE;
• частота изменений состояния сети;
• скорость передачи трафика;
• размер передаваемых пакетов трафика.

Требования к каналам

Поддерживаются следующие каналы:

• транспортные сети MPLS;
• широкополосные каналы для подключения к интернету;
• арендуемые линии связи;
• беспроводные подключения, в том числе 3G, 4G, LTE и 5G;
• спутниковые каналы связи.

Программные требования

Требуется платформа Docker версии 1.5 или выше. Поддерживаются следующие 64-разрядные операционные системы:

• Ubuntu версии 20 LTS и выше.
• Astra Linux версии 1.7 и выше (уровень защищенности: "Орел").

Поддерживаемые браузеры

Вы можете использовать следующие браузеры, чтобы работать с веб-интерфейсом оркестратора:

• Google Chrome версии 100 и выше.
• Firefox версии 100 и выше.
• Microsoft Edge версии 100 и выше.
• Opera версии 90 и выше.
• Safari версии 15 и выше.

Требования к устройствам CPE

Kaspersky SD-WAN поддерживает использование следующих устройств:

• KESR-M1-R-5G-2L-W.
• KESR-M2-K-5G-1L-W.
• KESR-M2-K-5G-1S.
• KESR-M3-K-4G-4S.
• KESR-M4-K-2X-1CPU.
• KESR-M4-K-8G-4X-1CPU.
• KESR-M5-K-8G-4X-2CPU.
• KESR-M5-K-8X-2CPU.

Специалисты "Лаборатории Касперского" протестировали работоспособность устройств CPE при предоставлении услуги L3 VPN (см. таблицу ниже). На тестируемых устройствах не использовалась технология DPI (Deep Packet Inspection), а также было выключено шифрование трафика.

Протестированные модели устройств CPE (услуга L3 VPN)

Более подробная информация о характеристиках устройств CPE, которые вы можете использовать в Kaspersky SD-WAN, содержится на официальной странице решения.

[Topic 251413]

Требования к общему хранилищу (shared storage)

Kaspersky SD-WAN использует общее хранилище (англ. shared storage, далее также хранилище), чтобы обеспечить отказоустойчивость. В этом хранилище содержатся следующие папки с необходимыми оркестратору данными:

• backups – резервные копии конфигураций VNF и PNF;
• firmware – прошивки устройств CPE;
• images – образы VNF;
• vnf_configs – файлы, которые могут использоваться скриптами при конфигурации VNF;
• vnf_descriptions – VNF-дескрипторы.

Мы рекомендуем использовать собственное общее хранилище. Существуют следующие требования к развертываемому общему хранилищу:

• Поддержка одновременной записи и чтения с нескольких хостов.
• Рекомендованный размер зависит от размера размещаемых файлов, но не менее 40 ГБ доступного защищенного пространства, поддерживающего дальнейшее расширение.
• Пропускная способность канала передачи данных между хранилищем и оркестратором: не менее 1 ГБит/с, рекомендуется использовать 10-гигабитный Ethernet или 8-гигабитный FC (Fiber Channel).
• Поддерживаемое значение IOPS (input/output operations per second): не менее 250, рекомендуется не менее 400.
• Тип хранилища:
  • NFS.
  • iSCSI.
  • FC.
  • CephFS.
• Хранилище должно быть монтировано.
• Поддержка сохранения работоспособности при перезагрузке хоста.

[Topic 248911]

Что нового

В Kaspersky SD-WAN 2.1 появились следующие возможности и доработки:

• Поддержан протокол динамической маршрутизации OSPF.
• Поддержаны дополнительные сценарии соединения между устройствами CPE в случае расположения шлюза SD-WAN за NAT.
• Поддержаны дополнительные сценарии работы устройств CPE с одновременным использованием каналов Internet и MPLS.
• Поддержана настройка IP-адресов контроллера на WAN-интерфейсах устройств CPE.
• Поддержана работа с картой топологии SD-WAN без подключения к сети.
• Добавлена ротация токена и пароля для устройств CPE.
• Поддержано шифрование данных мониторинга при их отправке вне туннеля SD-WAN.

[Topic 237688]

Архитектура решения

Kaspersky SD-WAN содержит следующие компоненты:

• Оркестратор – обеспечивает управление инфраструктурой решения, в том числе устройствами CPE, через графический веб-интерфейс. Оркестратор может управлять несколькими экземплярами SD-WAN.
• Контроллер SD-WAN – централизованно управляет устройствами CPE по протоколу OpenFlow, а также наложенной сетью, на основании которой вы можете создавать транспортных сервисы.
• Устройства CPE – образуют SDN-фабрику в виде наложенной сети. Устройствам CPE можно назначить роль шлюзов SD-WAN. В этом случае до них автоматически строятся туннели от всех остальных устройств, которым назначена роль стандартного CPE. Если вы планируете использовать шлюзы SD-WAN в топологии сети, мы рекомендуем устанавливать их в нескольких экземплярах для обеспечения отказоустойчивости.
• Менеджер виртуальных сетевых функций (англ. Virtual Network Function Manager, далее также VNFM) – обеспечивает конфигурацию
  виртуальных сетевых функций

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  Сетевые функции, реализуемые в виде виртуальных машин на обычных компьютерных платформах COTS (Commercial Off The Shelf).

  (англ. Virtual Network Functions, далее также VNF) и устройств CPE.

Все компоненты решения разворачиваются в центрах обработки данных (далее также ЦОДы), за исключением устройств CPE, которые устанавливаются на удаленных площадках. Если вы разворачиваете экземпляр SD-WAN с использованием VNF, в архитектуру решения могут входить следующие дополнительные компоненты:

• Контроллер SDN – обеспечивает управление и конфигурацию аппаратных и программных коммутаторов в ЦОД. Использование этого компонента не обязательно.
• VIM – обеспечивает управление вычислительными и сетевыми ресурсами, а также ресурсами хранения. Все эти ресурсы необходимы для работы VNF.

Kaspersky SD-WAN имеет распределенную микросервисную архитектуру, которая разворачивается в виде Docker-контейнеров (см. рисунок ниже). Контроллер SD-WAN может состоять из одного узла или кластера из трех/пяти узлов. Узлы кластера контроллера являются отдельными виртуальными машинами и могут запускаться на разных аппаратных серверах, чтобы обеспечить отказоустойчивость.

Архитектура Kaspersky SD-WAN

[Topic 239025]

Резервирование и отказоустойчивость

Отказоустойчивость обеспечивает последовательную и непрерывную передачу трафика по сети SD-WAN, а также работу сетевых сервисов. Ее уровень повышается за счет применения механизмов резервирования и аварийного переключения на разных уровнях инфраструктуры сети, например, когда вы создаете резервные сервисные интерфейсы.

Если сеть является отказоустойчивой, она может сохранить свою работоспособность как при возникновении небольших проблем, так и серьезных аварий, связанных с функционированием центральных компонентов, таких как маршрутизаторы, туннели и центры обработки данных. Когда один из компонентов перестанет выполнять назначенные ему функции, его место занимает резервный компонент такого же типа. Например, вы можете построить резервный туннель, на который трафик будет передан, если основной туннель будет недоступен.

Отказоустойчивость упрощает балансировку нагрузки между несколькими туннелями, позволяя оптимизировать использование полосы пропускания трафика и избежать перегрузок. В этом случае ни один из существующих туннелей не может стать узким местом (англ. bottleneck) в топологии сети.

Kaspersky SD-WAN обеспечивает непрерывную работу в случае возникновения следующих видов сбоев:

• отказ одного из центральных компонентов, например оркестратора, шлюза или контроллера SD-WAN;
• отказ или перегрузка каналов передачи данных между центральными компонентами при их георезервировании, когда компоненты сети размещаются на географически разнесенных площадках, чтобы сделать хранение данных более надежным;
• отказ или перегрузка каналов передачи данных между устройствами CPE и шлюзами SD-WAN.

[Topic 239027]

Резервирование центральных компонентов решения

Kaspersky SD-WAN поддерживает две схемы развертывания компонентов: N+1 и 2N+1.

Схема развертывания N+1 подразумевает, что вместе с активным компонентом развертывается один резервный компонент. Если активный компонент выходит из строя, резервный компонент мгновенно занимает его место, обеспечивая непрерывность работы.

Схема развертывания 2N+1 является расширенной версией N+1 и отличается тем, что имеет дополнительный уровень резервирования. В рамках этой схемы активный компонент состоит из двух наборов. Они синхронизированы между собой, и один может занять место другого, если возникает неполадка. При этом также развертывается один дополнительный резервный компонент. Такая схема резервирования позволяет компонентам сохранять работоспособность, даже когда происходит несколько аварий подряд.

В таблице ниже представлены схемы резервирования и протоколы, которые используются для разных компонентов решения.

Схемы резервирования компонентов решения

Пример размещения компонентов решения в географически разнесенных ЦОД представлен на рисунке ниже. На всех последующих рисунках используются одинаковые условные обозначения:

• оркестратор – orc;
• веб-интерфейс оркестратора – www;
• база данных оркестратора – orc-dbs;
• контроллер SD-WAN и его база данных – ctl;
• шлюз SD-WAN – GW.

Для компонентов решения, которые резервируются по схеме N+1, развертываются два узла в разных ЦОД. Каждый из узлов находится в активном состоянии. Вы можете выбрать узел, к которому направляются запросы, с помощью виртуального IP-адреса или службы DNS.

Размещение компонентов решения в географически разнесенных ЦОД

Компоненты, которые резервируются по схеме 2N+1, образуют кластер. Этот кластер содержит один основной узел и два резервных. Вы можете назначить один из узлов арбитром для экономии ресурсов и снижения требований к туннелям.

Если узел кластера назначен арбитром, он не содержит базу данных, и вы не можете сделать его основным. Узел-арбитр участвует в голосовании при выборе основного узла и обменивается с другими узлами периодическими служебными пакетами (англ. heartbeats).

На рисунке ниже представлен пример аварии на одной из площадок и ответная реакция решения. В этом примере показана авария, в ходе которой выходят из строя узлы кластера компонентов решения на площадке 1.

Авария на площадке 1

Если узлы кластера компонентов решения на площадке 1 выходят из строя, происходят следующие события:

1. Узел orc-dbs 2 и узел-арбитр orc-dbs 3 теряют связь с узлом orc-dbs 1, после чего выбирают новый основной узел.
2. Узел-арбитр orc-dbs 3 не может быть основным узлом, поэтому им становится узел orc-dbs 2 и сообщает оркестратору о своей роли.
3. Узел ctl 2 и узел-арбитр ctl 3 теряют связь с узлом ctl 1, после чего выбирают новый основной узел.
4. Узел-арбитр ctl 3 не может быть основным узлом, поэтому им становится узел ctl 2 и сообщает оркестратору о своей роли.

На рисунке ниже представлен пример аварии, в ходе которой выходят из строя узлы кластера компонентов решения на площадке 2.

Авария на площадке 2

Если узлы кластера компонентов решения на площадке 2 выходят из строя, происходят следующие события:

1. Узел orc-dbs 1 и узел-арбитр orc-dbs 3 теряют связь с узлом orc-dbs-2, после чего узел orc-dbs 1 остается основным узлом.
2. Узел ctl 1 и узел-арбитр ctl 3 теряют связь с узлом ctl 2, после чего узел ctl 1 остается основным узлом.

На рисунке ниже представлен пример аварии, в ходе которой прерывается соединение между площадками 1 и 2.

Авария на соединении между площадками 1 и 2

Если узлы кластера компонентов решения на площадках 1 и 2 не могут установить соединение друг с другом, происходят следующие события:

1. Узел orc-dbs 1 теряет связь с узлом orc-dbs 2.
2. Узел orc-dbs 1 остается основным узлом, потому что узел-арбитр orc-dbs 3 видит, что обе площадки работают в штатном режиме.
3. Узел ctl 1 теряет связь с узлом ctl 2.
4. Узел ctl 1 остается основным узлом, потому что узел-арбитр ctl 3 видит, что обе площадки работают в штатном режиме.

На рисунке ниже представлен пример аварии, в ходе которой прерывается соединение между площадкой 1 и остальными площадками.

Авария на соединениях между площадкой 1 и остальными площадками

Если узлы кластера компонентов решения на площадке 1 не могут установить соединение с остальными площадками, происходит следующие события:

1. Узел orc-dbs 1 теряет связь с узлом orc-dbs 2.
2. Узел orc-dbs 2 становится основным узлом и сообщает оркестратору о своей роли, потому что узел-арбитр orc-dbs 3 видит, что площадка 1 недоступна.
3. Узел ctl 1 теряет связь с узлом ctl 2.
4. Узел ctl 2 становится основным узлом и сообщает оркестратору о своей роли, потому что узел-арбитр ctl 3 видит, что площадка 1 недоступна.

[Topic 239053]

Резервирование каналов передачи данных между устройствами CPE

Kaspersky SD-WAN обеспечивает защиту от перерывов связи между устройствами CPE, одновременно используя все доступные каналы передачи данных, например интернет-каналы или LTE-каналы.

Режим Active/Active

В этом режиме все WAN-интерфейсы устройств CPE находятся в активном состоянии и передают трафик пользователей.

Контроллер SD-WAN обеспечивает балансировку трафика с использованием от 2 до 16 транспортных путей (англ. multipathing). Балансировка равномерно распределяет трафик по туннелям, что позволяет предотвратить перегрузку отдельных туннелей и возникновение проблем с производительностью у пользователей. Поддерживается три режима балансировки:

• По потокам (англ. per flow) с учетом информации на уровнях L2–L4. В этом режиме доступно два типа балансировки:
  • Эквивалентная балансировка – потоки распределяются равномерно по транспортным путям.
  • Неэквивалентная балансировка – потоки распределяются по транспортным путям пропорционально стоимости туннелей.
• По пакетам (англ. per packet) – пакеты распределяются пропорционально стоимости туннелей при передаче.
• Широковещательный (англ. broadcast) – пакеты передаются одновременно во все туннели для исключения потерь.

В режиме Active/Active устройство CPE остается доступным, пока сохраняется работоспособность хотя бы одного канала передачи данных.

Режим Active/Standby

В этом режиме вам нужно выбрать основной и резервный транспортный путь для передачи трафика. Балансировка при этом не используется. На устройство CPE заранее загружаются правила использования резервного WAN-интерфейса в ситуации, когда путь через основной WAN-интерфейс становится недоступным. В этом случае при нарушении работы основного транспортного пути не производится переписывание правил коммутации пакетов, и устройство отправляет их через резервный интерфейс.

Вы можете настроить резервирование на уровне транспортных сервисов. При создании транспортного сервиса указываются резервные сервисные интерфейсы (англ. reserve SI) на выбранном устройстве CPE или на другом устройстве. Мы рекомендуем создавать основной и резервный сервисные интерфейсы на разных устройствах. Трафик переключается на резервный сервисный интерфейс, если основной сервисный интерфейс недоступен.

Решение поддерживает создание резервных сервисных интерфейсов для всех типов транспортных сервисов уровня L2.

На рисунках ниже представлены основные примеры перерывов связи между устройствами CPE:

• Выход из строя одного из устройств CPE.

  

• Выход из строя WAN-интерфейса одного из устройств CPE.

  

• Выход из строя связности между двумя устройствами CPE.

  

• Выход из строя LAN-интерфейса одного из устройств CPE.

  

[Topic 239165]

Обеспечение безопасности

Безопасность в Kaspersky SD-WAN обеспечивается в плоскостях

• аутентификация и авторизация пользователей;
• использование безопасных протоколов управления;
• шифрование управляющего трафика;
• безопасное подключение устройств CPE.

Безопасные протоколы управления

Мы рекомендуем использовать протокол HTTPS при взаимодействии с сетью SD-WAN через веб-интерфейс оркестратора или API. Вы можете загрузить в веб-интерфейс собственные сертификаты или использовать автоматически сгенерированные самоподписанные сертификаты. Решение использует несколько протоколов для передачи управляющего трафика своим компонентам (см. таблицу ниже).

Протоколы для передачи управляющего трафика

Безопасное подключение устройств CPE

Решение использует следующие механизмы, чтобы идентифицировать устройства CPE во время их установки и регистрации:

• Обнаружение устройства CPE с помощью идентификатора DPID.
• Отложенная регистрация. Вы можете выбрать, в каком состоянии находится устройство CPE после успешной регистрации – Активировано или Деактивировано. Деактивированное устройство CPE нужно активировать вручную, убедившись, что оно установлено на площадке.
• Двухфакторная аутентификация – клиент получает ключ, который требуется ввести на устройстве CPE, чтобы активировать его.

Во время регистрации устройство CPE проверяет подлинность сертификата оркестратора, после чего отправляет ему свой идентификатор DPID и токен. Оркестратор проверяет их наличие в базе данных и в случае успеха отправляет устройству информацию, необходимую для подключения к сети, а также конфигурацию. Затем устройство устанавливает подключение с контроллером SD-WAN, который в свою очередь программирует его поведение для последующей обработки трафика.

Если переданный идентификатор DPID отсутствует в инвентаризационной базе, устройство CPE отображается со статусом Неизвестно и не подключается к сети SD-WAN.

Использование VNF

Вы можете обеспечить дополнительный уровень безопасности с помощью VNF, разворачиваемых в ЦОД и/или на

• межсетевой экран нового поколения (англ. Next-Generation Firewall, NGFW);
• защита от атак DDoS (Distributed Denial of Service);
• системы обнаружения и предотвращения вторжений IDS (Intrusion Detection System) и IPS (Intrusion Prevention System);
• антивирус;
• антиспам;
• система фильтрации URL- и веб-контента;
• система защиты от утечек конфиденциальной информации DLP (Data Loss Prevention);
• веб-прокси Secure Web Proxy.

[Topic 240002]

Интерфейс решения

Управление Kaspersky SD-WAN осуществляется через веб-интерфейс оркестратора. Вы можете использовать разделы, которые отображаются в меню (см. рисунок ниже), чтобы настроить отдельные компоненты решения. Когда вы переходите в один из разделов, отображается дополнительное меню с его содержимым.

Меню Kaspersky SD-WAN

Меню содержит следующие разделы:

• Обозреватель () – в этом разделе вы можете просмотреть информацию о текущем состоянии компонентов решения, таких как устройства CPE, VNF и PNF.
• Инфраструктура () – в этом разделе вы можете управлять инфраструктурой сети, например создать домены, а также добавить центры обработки данных и VIM. Кроме того, здесь отображаются все доступные вам контроллеры SD-WAN.
• Каталог () – в этом разделе вы можете выполнять следующие действия в зависимости от вашей роли:
  • администратор платформы может загружать пакеты VNF/PNF и создавать шаблоны сетевых сервисов;
  • администратор тенанта может создавать сетевые сервисы.
• SD-WAN () – в этом разделе вы можете управлять устройствами CPE, экземплярами SD-WAN, UNI, а также прошивками и сертификатами устройств.
• Планировщик () – в этом разделе вы можете управлять отложенными задачами.
• Журнал () – в этом разделе вы можете просмотреть журналы работы различных компонентов решения. Например, здесь отображаются внесенные пользователями изменения в конфигурацию устройств CPE.
• Тенанты () – в этом разделе вы можете создать тенантов и предоставить им различные компоненты решения, например устройства CPE, VIM и UNI. Здесь вы также можете подключиться к веб-интерфейсу оркестратора тенанта в качестве администратора.
• Пользователи () – в этом разделе вы можете создать пользователей, группы пользователей и права доступа, а также настроить доменную аутентификацию.
• Подтверждение () – в этом разделе вы можете управлять запросами на подтверждение.

Когда вы переходите в один из разделов, меню отображается в свернутом виде. Вам нужно навести курсор мыши на значок одного из разделов, чтобы снова развернуть меню. Вы можете нажать на кнопку разворачивания , чтобы выключить функцию автоматического сворачивания меню.

[Topic 239565]

Аутентификация в Kaspersky SD-WAN

Чтобы аутентифицироваться в Kaspersky SD-WAN:

1. В адресной строке браузера введите IP-адрес или имя сервера Kaspersky SD-WAN.
2. На открывшейся странице аутентификации введите ваше имя пользователя и пароль. Пароль должен содержать как минимум один прописной символ A-Z, строчные символы, цифры, а также специальные символы. Длина пароля: от 8 до 50 символов.
3. Нажмите на кнопку Войти.

После успешной аутентификации откроется раздел или подраздел, который вы установили как страницу по умолчанию.

[Topic 251907]

Установка и сброс страницы по умолчанию

Страница по умолчанию – это раздел или подраздел веб-интерфейса оркестратора (включая меню настройки контроллера SD-WAN), который автоматически отображается после вашей аутентификации.

Чтобы установить или сбросить страницу по умолчанию:

1. Перейдите в раздел или подраздел веб-интерфейса оркестратора, который требуется установить как страницу по умолчанию.
2. Внизу меню нажмите на кнопку настройки и в раскрывающемся списке выберите Сделать страницей по умолчанию.

   Вверху отобразится сообщение Страница по умолчанию установлена.

3. При необходимости сбросить страницу по умолчанию нажмите на кнопку настройки и в раскрывающемся списке выберите Сбросить страницу по умолчанию.

   Вверху отобразится сообщение Страница по умолчанию сброшена. Теперь страницей по умолчанию является раздел Обозреватель.

[Topic 248912]

Переключение между светлой и темной темой

Чтобы переключиться между светлой и темной темой веб-интерфейса оркестратора,

внизу меню нажмите на кнопку настройки и в раскрывающемся списке выберите одно из следующих значений:

• Темная тема.
• Светлая тема.

[Topic 251910]

Ограничение продолжительности пользовательской сессии при бездействии

По умолчанию после аутентификации в веб-интерфейсе оркестратора вы можете бездействовать на протяжении 3600 секунд, после чего пользовательская сессия прекращается. Вы можете вручную увеличить или уменьшить время возможного бездействия.

Чтобы указать время, по прошествии которого ваша пользовательская сессия прекращается при бездействии:

1. Внизу меню нажмите на кнопку настройки и в раскрывающемся списке выберите Время истечения сессии.
2. В открывшемся окне введите время в секундах, по истечении которого требуется прекратить сессию при бездействии. Диапазон значений: от 60 до 86 400. По умолчанию указано значение 3600.
3. Нажмите на кнопку Сохранить.

[Topic 251902]

Просмотр активных пользовательских сессий

Вы можете просматривать список пользователей, которые использовали вашу учетную запись, чтобы аутентифицироваться в веб-интерфейсе оркестратора.

Чтобы просмотреть активные пользовательские сессии:

1. Внизу меню нажмите на кнопку настройки и в раскрывающемся списке выберите Активные сессии.

   Отобразится таблица активных пользовательских сессий.

2. При необходимости прекратить отдельную пользовательскую сессию нажмите на кнопку Закончить сессию рядом с этой сессией.
3. При необходимости прекратите несколько пользовательских сессий одновременно:
   1. Установите флажки рядом с сессиями.
   2. Вверху страницы нажмите на кнопку Действия и в раскрывающемся списке выберите Закончить сессию.

[Topic 246843]

Настройка уровня детализации журналов Docker-контейнеров

Kaspersky SD-WAN автоматически ведет журналы Docker-контейнеров, которые используются, чтобы развернуть компоненты решения и поддерживать их работу. Вы можете выбрать уровень детализации этих журналов, чтобы проводить мониторинг контейнеров, а также быстрее восстанавливать их работу, когда возникают сбои.

При открытии журнала в верхней части страницы, а также рядом с каждым Docker-контейнером отображаются следующие кнопки для выбора уровня детализации:

• ТРАССИРОВКА – включать в журналы наиболее полную информацию, включая отладочные операторы (англ. debug statements), для расширенного поиска и устранения проблем.
• ОТЛАДКА – включать в журналы детализированную информацию, включая значения переменных и записи о вызовах функций, для поиска и устранения проблем, а также понимания принципов функционирования контейнера.
• ИНФОРМАЦИЯ – включать в журналы общую информацию для понимания принципов функционирования контейнера и поиска важных событий. Этот уровень детализации выбран по умолчанию для всех контейнеров.
• ПРЕДУПРЕЖДЕНИЕ – включать в журналы записи об ошибках или событиях, которые не требуют незамедлительного вмешательства со стороны пользователя, но могут скомпрометировать работу контейнера.
• ОШИБКА – включать в журналы записи об ошибках или исключениях которые могут скомпрометировать работу контейнера. Такие записи зачастую требуют незамедлительного вмешательства со стороны пользователя.

Чтобы настроить уровень детализации журналов Docker-контейнеров:

1. Внизу меню нажмите на кнопку настройки и в раскрывающемся списке выберите Параметры журналов.

   Откроется таблица Docker-контейнеров.

2. Выберите уровень детализации журналов Docker-контейнеров:
   • Если вы хотите настроить уровень детализации журналов всех Docker-контейнеров, в блоке Глобальный уровень журналирования нажмите на соответствующую кнопку.
   • Если вы хотите настроить уровень детализации журналов отдельного Docker-контейнера, в столбце Уровень журналирования нажмите на соответствующую кнопку.

[Topic 251933]

Переход к API оркестратора

Чтобы перейти к API оркестратора,

внизу меню нажмите на кнопку перехода к API .

Откроется список API-команд, доступных для управления оркестратором.

[Topic 262120]

Изменение языка веб-интерфейса оркестратора

Веб-интерфейс оркестратора поддерживает английский и русский язык.

Чтобы изменить язык веб-интерфейса оркестратора,

внизу меню нажмите на одну из следующих кнопок:

• EN – изменить язык веб-интерфейса оркестратора на английский.
• RU – изменить язык веб-интерфейса оркестратора на русский.

[Topic 246872]

Лицензирование Kaspersky SD-WAN

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky SD-WAN. При необходимости масштабировать решения вы можете приобрести дополнительные лицензии на программное и аппаратное обеспечение.

[Topic 246870]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу. Текст Лицензионного соглашения на поддерживаемых языках находится в файлах license <код языка>.rtf, входящих в комплект поставки Kaspersky SD-WAN.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с Kaspersky SD-WAN.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения. Сделать это можно одним из следующих способов:

• Инициализировать переменную окружения KNAAS_EULA_AGREED перед запуском Docker-контейнера Kaspersky SD-WAN:

  export KNAAS_EULA_AGREED=yes

  В этом случае при запуске Docker-контейнера Kaspersky SD-WAN нужно передавать переменную окружения KNAAS_EULA_AGREED с помощью опции -e:

  docker run -e KNAAS_EULA_AGREED [OPTIONS] IMAGE [COMMAND] [ARG...]

• Инициализировать переменную окружения KNAAS_EULA_AGREED непосредственно при запуске Docker-контейнера Kaspersky SD-WAN:

  docker run -e KNAAS_EULA_AGREED=yes [OPTIONS] IMAGE [COMMAND] [ARG...]

Если переменная окружения KNAAS_EULA_AGREED не инициализирована или инициализирована со значением no (KNAAS_EULA_AGREED=no), это означает несогласие с условиями Лицензионного соглашения. В этом случае при запуске Docker-контейнера Kaspersky SD-WAN выдается сообщение об ошибке, и Kaspersky SD-WAN не запускается.

[Topic 246869]

О предоставлении данных

В Kaspersky SD-WAN интегрированы сторонние решения:

• Система мониторинга Zabbix.
• Платформа для создания облачных сервисов и хранилищ OpenStack.
• Географические карты OpenStreetMap.

Пользовательские данные, которые могут поступать в Zabbix, OpenStack или OpenStreetMap в результате интеграции, не отправляются за периметр инфраструктуры организации.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского".

[Topic 256060]

Управление доменами Kaspersky SD-WAN

В Kaspersky SD-WAN домены – это логические группы сетевых ресурсов, которые могут состоять из одного или нескольких центров обработки данных. Между доменами распределяются сетевые ресурсы, обеспечивающие функционирование решения.

[Topic 241716]

Создание домена

Чтобы создать домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Вверху страницы нажмите на кнопку + Домен.
3. В открывшемся окне в поле Имя введите имя домена. Диапазон значений: от 1 до 50 символов.
4. При необходимости в поле Описание введите краткое описание домена. Максимальная длина: 100 символов.
5. Нажмите на кнопку Создать.

Домен будет создан и отобразится в панели Ресурсы. Теперь в этот домен можно добавлять центры обработки данных, чтобы объединить их в одну логическую группу.

[Topic 256064]

Изменение домена

Чтобы изменить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. В панели Ресурсы выберите вкладку Домен.

   Отобразится список доменов.

3. Нажмите на кнопку настройки рядом с доменом и в раскрывающемся списке выберите Изменить.
4. В открывшемся окне измените требуемые параметры. Описание параметров см. в инструкции по созданию домена.
5. Нажмите на кнопку Сохранить.

[Topic 256065]

Удаление домена

Удаленные домены невозможно восстановить.

Чтобы удалить домен:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. В панели Ресурсы выберите вкладку Домен.

   Отобразится список доменов.

3. Нажмите на кнопку настройки рядом с доменом и в раскрывающемся списке выберите Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Домен будет удален и перестанет отображаться в панели Ресурсы.

[Topic 256067]

Управление центрами обработки данных

Центральные компоненты Kaspersky SD-WAN, за исключением устройств CPE, размещаются в центрах обработки данных.

Центр обработки данных – это централизованная площадка, на которой располагаются компьютерные системы и связанные с ними компоненты, например серверы, системы хранения информации, сетевые устройства, а также системы безопасности. Они используются для хранения, распределения и передачи больших объемов данных. Ресурсы ЦОД предоставляются экземплярам SD-WAN.

Обратите внимание, что при добавлении ЦОД вам нужно указать веб-адрес развернутого VNFM.

[Topic 241718]

Добавление центра обработки данных

Перед добавлением центра обработки данных требуется создать домен.

Чтобы добавить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Вверху страницы нажмите на кнопку + Центр обработки данных.
3. В открывшемся окне в поле Имя введите имя ЦОД. Диапазон значений: от 1 до 50 символов.
4. При необходимости в поле Описание введите краткое описание ЦОД. Максимальная длина: 100 символов.
5. В раскрывающемся списке Домен выберите домен, в который требуется добавить ЦОД.
6. В поле VNFM URL введите веб-адрес менеджера виртуальных функций. ЦОД использует введенный адрес, чтобы подключиться к VNFM и получить доступ к находящимся под его управлением VNF. Вы можете убедиться в доступности VNFM, нажав на кнопку Проверить соединение.
7. При необходимости в поле Адрес введите адрес ЦОД.
8. Нажмите на кнопку Создать.

Центр обработки данных будет создан и отобразится в панели Ресурсы.

[Topic 256073]

Миграция центра обработка данных

Когда вы мигрируете центр обработки данных, он переносится из одного домена Kaspersky SD-WAN в другой. Если несколько центров обработки данных объединяются в одной локации, это снижает стоимость аренды и количество выполняемых операций, а также улучшает общую производительность.

Когда офисы вашей организации или индивидуальные пользователи сталкиваются с задержками при работе с сетью SD-WAN, миграция центра обработки данных в локацию, которая расположена ближе к офисам или пользователям, обеспечивает более надежную связь.

Вы также можете переместить центр обработки данных в более экономически выгодную локацию, в которой, например, допускается использование облачных сервисов или совместная аренда оборудования с другими организациями.

Чтобы мигрировать центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. В панели Ресурсы выберите вкладку Центр обработки данных.

   Отобразится список центров обработки данных.

3. Нажмите на кнопку настройки рядом с центром обработки данных и в раскрывающемся списке выберите Мигрировать.
4. В открывшемся окне выберите домен, в который требуется мигрировать центр обработки данных.
5. Нажмите на кнопку Мигрировать.

Начнется миграция центра обработки данных, по завершении которой он отобразится под новым доменом в панели Ресурсы.

[Topic 256071]

Изменение центра обработки данных

Чтобы изменить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. В панели Ресурсы выберите вкладку Центр обработки данных.

   Отобразится список центров обработки данных.

3. Нажмите на кнопку настройки рядом с центром обработки данных и в раскрывающемся списке выберите Изменить.
4. В открывшемся окне измените требуемые параметры. Описание параметров см. в инструкции по добавлению центра обработки данных.
5. Нажмите на кнопку Сохранить.

[Topic 256072]

Удаление центра обработки данных

Удаленные центры обработки данных невозможно восстановить.

Чтобы удалить центр обработки данных:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. В панели Ресурсы выберите вкладку Центр обработки данных.

   Отобразится список центров обработки данных.

3. Нажмите на кнопку настройки рядом с центром обработки данных и в раскрывающемся списке выберите Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Центр обработки данных будет удален и перестанет отображаться в панели Ресурсы.

[Topic 256074]

Управление VIM

Перед развертыванием VNF в центре обработки данных необходимо добавить как минимум один

[Topic 242217]

Настройка VIM

Развернуть всё | Свернуть всё

Развертывание VIM в центре обработки данных, подразумевает централизованное управление жизненным циклом VNF, в то время как VIM, развернутый на устройстве uCPE, позволяет доставлять VNF на удаленные площадки и управлять этими VNF локально.

Вы можете настроить VIM в центре обработки данных или шаблоне

• Настройка VIM в центре обработки данных.

  Чтобы настроить VIM в центре обработки данных:

  1. В меню перейдите в раздел Инфраструктура.

     Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

  2. Вверху страницы нажмите на кнопку + VIM.
  3. В открывшемся окне в раскрывающихся списках Домен и Центр обработки данных выберите домен и ЦОД, в котором развернут VIM.
  4. В поле Имя введите имя VIM.
  5. В поле IP введите IP-адрес или доменное имя для подключения оркестратора к VIM.
  6. В поле Порт введите номер порта для подключения оркестратора к сервису идентификации VIM. По умолчанию указано значение 5000.
  7. В раскрывающемся списке Протокол выберите протокол для подключения оркестратора к VIM:
     • http – это значение выбрано по умолчанию.
     • https.
  8. В полях Имя пользователя и Пароль введите имя и пароль учетной записи OpenStack с правами администратора для аутентификации оркестратора в облачной платформе OpenStack. Если аутентификация проходит успешно, оркестратор получает доступ к управлению доступной администратору виртуальной инфраструктурой.
  9. При необходимости измените дополнительные параметры аутентификации оркестратора в облачной платформе OpenStack:
     1. В поле Проект администратора введите имя проекта администратора для аутентификации оркестратора в этом проекте.
     2. В поле Домен введите имя OpenStack-домена для аутентификации оркестратора в этом домене.
  10. В раскрывающемся списке За NAT выберите, находится ли VIM за NAT (Network Address Translation):
      • Включено – VIM находится за NAT, и при его взаимодействии с экземпляром SD-WAN происходит преобразование сетевых адресов.
      • Выключено – VIM не находится за NAT. Это значение выбрано по умолчанию.
  11. При необходимости укажите коэффициенты переподписки физических ресурсов:
      1. В поле Переподписка ЦП введите коэффициент переподписки процессорных ядер. По умолчанию указано значение 1.
      2. В поле Переподписка ОЗУ введите коэффициент переподписки оперативной памяти. По умолчанию указано значение 1.
      3. В поле Переподписка диска введите коэффициент переподписки дискового пространства. По умолчанию указано значение 1.

      Коэффициенты переподписки позволяют предоставлять виртуальным машинам больше виртуальных ресурсов, чем доступно физических. Это возможно потому, что как правило виртуальные машины одновременно не используют все доступные физические ресурсы на максимум. Например, если вы указываете коэффициент переподписки 3 для дискового пространства, количество доступного виртуального дискового пространства может в три раза превышать количество доступного на хосте физического дискового пространства.

      При настройке переподписки учитывайте, как возможности вашего оборудования соотносятся с требованиями виртуальных машин. Если вы указываете высокое значение переподписки для физических ресурсов и виртуальные машины начинают использовать их на максимум, это может привести к задержкам в работе сети и/или полной недоступности некоторых ее участков.

  12. При необходимости в поле Параллелизм введите максимальное количество одновременных операций при взаимодействии оркестратора и VIM. По умолчанию указано значение 1. Этот параметр позволяет увеличить суммарную скорость выполнения операций, но создает дополнительную нагрузку на виртуальную инфраструктуру.

      Мы рекомендуем не изменять значение по умолчанию, если суммарная скорость выполнения операций не является для вас критически важным параметром.

  13. В раскрывающемся списке Кластер SDN выберите SDN-кластер, к которому подключен OpenStack, или значение Отсутствует, если OpenStack не подключен к SDN-кластеру.
  14. В поле Максимальное количество VLAN введите максимальное количество VLAN, которое планируется использовать на VIM. Этот параметр позволяет оркестратору отслеживать количество сегментов, доступных для использования. Диапазон значений: от 0 до 4094.
  15. Если VIM поддерживает SR-IOV, в поле Физическая сеть SR-IOV введите имя физической сети (англ. physnet name). Оркестратор использует имя физической сети SR-IOV для подключения виртуальных машин с типом интерфейса SR-IOV.
  16. Если для управления вы используете сеть с типом сегментации VLAN, в поле Физическая VLAN-сеть введите идентификатор VLAN ID.
  17. Если в раскрывающемся списке Кластер SDN вы выбрали SDN-кластер, настройте подключение к этому кластеру:
      1. При необходимости сопоставить логические сети экземпляра SD-WAN с физической сетью в поле Физическая OpenStack-сеть введите имя физической сети.
      2. В раскрывающемся списке Группа интерфейсов выберите группу портов, через которую все узлы OpenStack подключены к SDN-кластеру.
      3. В раскрывающемся списке Управляющая группа выберите группу портов, через которую управляющие узлы OpenStack подключены к SDN-кластеру.
      4. При необходимости в раскрывающемся списке Вычислительная группа выберите группу портов, через которую вычислительные узлы OpenStack подключены к SDN-кластеру.
  18. Если в раскрывающемся списке Кластер SDN вы выбрали Отсутствует, настройте сеть:
      1. При необходимости сопоставить плоские сети (англ. flat networks) экземпляра SD-WAN с физической сетью в поле Плоская физическая сеть введите имя физической сети.
      2. При необходимости сопоставить VXLAN экземпляра SD-WAN с физической сетью в поле Физическая VXLAN-сеть введите имя физической сети.
      3. В раскрывающемся списке Сегментация управляющей сети выберите тип сегментации, которая используется, чтобы изолировать и защищать трафик плоскости управления в структуре сети SD-WAN:
         • VLAN.
         • VxLAN.
      4. В поле ID управляющего сегмента введите идентификатор сегмента управляющей сети. Диапазон значений зависит от значения, выбранного в раскрывающемся списке Сегментация управляющей сети:
         • Если вы выбрали VLAN, диапазон значений: от 0 до 4095.
         • Если вы выбрали VxLAN, диапазон значений: от 0 до 16 000 000.
      5. В раскрывающемся списке Port security выберите, включена функция Port sercurity или нет. Функция Port security повышает уровень безопасности сети на уровне Ethernet-портов коммутаторов. Она предотвращает не авторизованный доступ к сети, ограничивая количество MAC-адресов, которые могут быть связаны с одним физическим портом. Если функция включена, только доверенные устройства с заранее определенными MAC-адресами могут подключиться к сети. Вы можете выбрать одно из следующих значений:
         • Включено.
         • Выключено.
      6. В поле Разрешить CIDR введите адрес разрешенной подсети для сети управления.
  19. Нажмите на кнопку Создать.

  VIM будет добавлен и отобразится в таблице на вкладке Вычислительные ресурсы.

• Настройка VIM в шаблоне uCPE.

  Чтобы настроить VIM в шаблоне uCPE:

  1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

     Отобразится таблица шаблонов CPE.

  2. Нажмите на шаблон CPE.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку VIM.

     Отобразятся параметры VIM.

  4. В поле Порт введите номер порта для подключения оркестратора сервису идентификации VIM. По умолчанию указано значение 5000.
  5. В раскрывающемся списке Протокол выберите протокол для подключения оркестратора к VIM:
     • http – это значение выбрано по умолчанию.
     • https.
  6. В полях Имя пользователя и Пароль введите имя и пароль учетной записи OpenStack с правами администратора для аутентификации оркестратора в облачной платформе OpenStack. Если аутентификация проходит успешно, оркестратор получает доступ к управлению доступной администратору виртуальной инфраструктурой.
  7. При необходимости укажите дополнительные параметры аутентификации оркестратора в облачной платформе OpenStack:
     1. В поле Проект администратора введите имя проекта администратора для аутентификации оркестратора в этом проекте.
     2. В поле Домен введите имя OpenStack-домена для аутентификации оркестратора в этом домене.
  8. Если для управления вы используете сеть с типом сегментации VLAN, в поле Физическая VLAN-сеть введите VLAN ID.
  9. В раскрывающемся списке За NAT выберите, находится ли VIM за NAT (Network Address Translation):
     • Включено – VIM находится за NAT, и при его взаимодействии с экземпляром SD-WAN происходит преобразование сетевых адресов.
     • Выключено – VIM не находится за NAT. Это значение выбрано по умолчанию.
  10. При необходимости укажите коэффициенты переподписки физических ресурсов:
      1. В поле Переподписка ЦП введите коэффициент переподписки процессорных ядер. По умолчанию указано значение 1.
      2. В поле Переподписка ОЗУ введите коэффициент переподписки оперативной памяти. По умолчанию указано значение 1.
      3. В поле Переподписка диска введите коэффициент переподписки дискового пространства. По умолчанию указано значение 1.

      Коэффициенты переподписки позволяют предоставлять виртуальным машинам больше виртуальных ресурсов, чем доступно физических. Это возможно потому, что как правило виртуальные машины одновременно не используют все доступные физические ресурсы на максимум. Например, если вы указываете коэффициент переподписки 3 для дискового пространства, количество доступного виртуального дискового пространства может в три раза превышать количество доступного на хосте физического дискового пространства.

      При настройке переподписки учитывайте, как возможности вашего оборудования соотносятся с требованиями виртуальных машин. Если вы указываете высокое значение переподписки для физических ресурсов и виртуальные машины начинают использовать их на максимум, это может привести к задержкам в работе сети и/или полной недоступности некоторых ее участков.

  11. В поле Максимальное количество VLAN введите максимальное количество VLAN, которое планируется использовать на VIM. Этот параметр позволяет оркестратору отслеживать количество сегментов, доступных для использования. Диапазон значений: от 0 до 4094.
  12. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию шаблона CPE.

[Topic 256077]

Просмотр использования VIM

Вы можете просматривать, какие вычислительные ресурсы использует VIM, чтобы более эффективно управлять сетевой инфраструктурой и при необходимости оптимизировать ее использование.

Чтобы просмотреть использование VIM:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Выберите вкладку Вычислительные ресурсы.

   Отобразится таблица VIM.

3. Нажмите на кнопку Управление рядом с VIM и в раскрывающемся списке выберите Показать использование.

Откроется окно с информацией о том, насколько VIM использует следующие вычислительные ресурсы:

• центральный процессор;
• оперативная память;
• дисковое пространство;
• сетевые сегменты.

[Topic 256075]

Изменение VIM

Чтобы изменить VIM:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Выберите вкладку Вычислительные ресурсы.

   Отобразится таблица VIM.

3. Нажмите на кнопку Управление рядом с VIM и в раскрывающемся списке выберите Изменить.
4. В открывшемся окне измените требуемые параметры. Описание параметров см. в инструкции по добавлению VIM.
5. Нажмите на кнопку Сохранить.

[Topic 256076]

Удаление VIM

Удаленные VIM невозможно восстановить.

Чтобы удалить VIM:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Выберите вкладку Вычислительные ресурсы.

   Отобразится таблица VIM.

3. Нажмите на кнопку Управление рядом с VIM и в раскрывающемся списке выберите Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

VIM будет удален и перестанет отображаться в таблице.

[Topic 256081]

Управление подсетями

Подсети позволяют разделить вашу сеть на сегменты, а также организовать эффективное управление IP-адресами и сетевыми ресурсами за счет отделения управляющего трафика от пользовательского.

При создании подсети вы добавляете диапазон IP-адресов. Входящие в этот диапазон адреса автоматически назначаются устройствам в подсети. Вам нужно добавить как минимум один диапазон IP-адресов для каждого центра обработки данных, используемого в вашей организации.

[Topic 241749]

Создание подсети

Чтобы создать подсеть:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Вверху страницы нажмите на кнопку + Подсеть.
3. В открывшемся окне в раскрывающихся списках Домен и Центр обработки данных выберите домен и ЦОД, к которому относится подсеть.
4. В поле Имя введите имя подсети.
5. В раскрывающемся списке Версия IP выберите версию IP-адресов, которые использует подсеть:
   • IPv4 – это значение выбрано по умолчанию.
   • IPv6.
6. В поле CIDR введите IP-адрес и маску подсети. Формат значения: <IP-адрес>/<маска подсети>, например 192.168.2.0/24.
7. В поле Шлюз введите IP-адрес шлюза по умолчанию, который сетевые устройства в подсети должны использовать, чтобы взаимодействовать с другими сетями.
8. В блоке Диапазон IP нажмите на кнопку + Добавить, чтобы добавить диапазон IP-адресов, и в отобразившихся полях введите начальное и конечное значение диапазона. IP-адреса из диапазона назначаются сетевым устройствам в подсети. Вы можете добавить несколько диапазонов.

   Вам нужно добавить как минимум один диапазон IP-адресов для каждого центра обработки данных, используемого в вашей организации.

9. В блоке DNS нажмите на кнопку + Добавить, чтобы добавить DNS-сервер, и в отобразившемся поле введите IP-адрес сервера. Сетевые устройства получают IP-адрес DNS-сервера вместе с IP-адресами из диапазона. Наличие DNS-серверов позволяет сетевым устройствам преобразовывать доменные имена в IP-адреса и таким образом поддерживать зависящие от DNS приложения, такие как браузеры и электронная почта. Вы можете добавить несколько серверов.
10. В блоке Статические маршруты нажмите на кнопку + Добавить, чтобы добавить статический маршрут, и в отобразившемся поле введите маршрут. Сетевые устройства получают статический маршрут вместе с IP-адресами из диапазона. Наличие статических маршрутов позволяет управлять маршрутизацией трафика между подсетями, чтобы выполнять такие задачи, как оптимизация передачи трафика, маршрутизация определенного вида трафика по указанному назначению, а также установка соединения между двумя удаленным площадками. Вы можете добавить несколько маршрутов.
11. Нажмите на кнопку Создать.

Подсеть будет создана отобразится в таблице на вкладке IPAM.

[Topic 256086]

Изменение подсети

Чтобы изменить подсеть:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Выберите вкладку IPAM.

   Отобразится таблица подсетей.

3. Нажмите на кнопку Управление рядом с подсетью и в раскрывающемся списке выберите Изменить.
4. В открывшемся окне измените требуемые параметры. Описание параметров см. в инструкции по созданию подсети.
5. Нажмите на кнопку Сохранить.

[Topic 256089]

Удаление подсети

Удаленные подсети невозможно восстановить.

Чтобы удалить подсети:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Выберите вкладку IPAM.

   Отобразится таблица подсетей.

3. Нажмите на кнопку Управление рядом с подсетью и в раскрывающемся списке выберите Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Подсеть будет удалена и перестанет отображаться в таблице.

[Topic 246833]

Просмотр журналов

Журналы используются, чтобы обнаруживать возникающие при работе решения ошибки, а также осуществлять техническую поддержку. Kaspersky SD-WAN не осуществляет отправку журналов за пределы периметра информационной инфраструктуры вашей организации – все файлы журналов хранятся локально.

Чтобы просмотреть записи журнала:

1. В меню перейдите в раздел Журналы.

   Откроется страница управления журналами.

2. В панели Центры обработки данных выберите центр обработки данных.
3. В панели Ресурсы выберите компонент решения.
4. В панели Журналы выберите одну из следующих вкладок, чтобы отобразить записи журнала определенного типа:
   • Задачи – задачи, выполняемые пользователем, например запись о добавлении VIM.
   • События – события, происходящие во время работы решения, например подключение туннеля.
   • Сервисные запросы – сервисные запросы к определенным компонентам решения, например запрос на регистрацию устройства CPE.

По умолчанию в журнале отображаются задачи, события и сервисные запросы за весь период и с любыми статусами. Вы можете отобразить только нужные вам записи с помощью фильтров вверху страницы.

[Topic 256158]

Сервисные запросы

Развернуть всё | Свернуть всё

Сервисные запросы (англ. service requests) – это задачи, которые выполняются во время работы компонентов решения и создаются автоматически в результате действий пользователей. Например, когда пользователь применяет шаблон CPE к устройству, создается соответствующий сервисный запрос. Вы можете использовать сервисные запросы, чтобы проводить мониторинг выполняемых операций.

В Kaspersky SD-WAN сервисные запросы создаются на уровне тенантов, устройств CPE и экземпляров SD-WAN. Для просмотра сервисных запросов используйте следующие инструкции:

• Просмотр сервисных запросов тенанта.

  Чтобы просмотреть сервисные запросы тенанта:

  1. В меню перейдите в раздел Тенанты.

     Отобразится страница управления тенантами.

  2. В блоке Тенанты выберите тенанта.

  Сервисные запросы отобразятся в блоке Сервисные запросы.

  Вы можете открыть пошаговый журнал выполнения сервисного запроса с подробной информацией о каждом шаге, нажав на имя запроса. Журнал содержит информацию о шагах, на которых произошли ошибки, а также подробное описание самих ошибок.

• Просмотр сервисных запросов устройства CPE.

  Чтобы просмотреть сервисные запросы устройства CPE:

  1. В меню перейдите в раздел SD-WAN.

     По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

  2. Нажмите на устройство CPE.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Сервисные запросы.

  Отобразится таблица сервисных запросов. Вы можете открыть пошаговый журнал выполнения сервисного запроса с подробной информацией о каждом шаге, нажав на идентификатор запроса. Журнал содержит информацию о шагах, на которых произошли ошибки, а также подробное описание самих ошибок.

• Просмотр сервисных запросов экземпляра SD-WAN.

  Чтобы просмотреть сервисные запросы экземпляра SD-WAN:

  1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

     Отобразится таблица экземпляров SD-WAN.

  2. Нажмите на экземпляр SD-WAN.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Сервисные запросы.

  Отобразится таблица сервисных запросов. Вы можете открыть пошаговый журнал выполнения сервисного запроса с подробной информацией о каждом шаге, нажав на идентификатор запроса. Журнал содержит информацию о шагах, на которых произошли ошибки, а также подробное описание самих ошибок.

При необходимости вы можете удалить сервисный запрос, созданный на уровне устройства CPE или экземпляра SD-WAN, чтобы прекратить выполнение связанной с этим запросом операции. Для этого используйте следующие инструкции:

• Удаление сервисного запроса устройства CPE.

  Удаленные сервисные запросы невозможно восстановить.

  Чтобы удалить сервисный запрос устройства CPE:

  1. В меню перейдите в раздел SD-WAN.

     По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

  2. Нажмите на устройство CPE.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Сервисные запросы.

     Отобразится таблица сервисных запросов.

  4. Удалите сервисные запросы:
     • Если вы хотите удалить отдельный сервисный запрос, нажмите на кнопку Удалить рядом с этим запросом.

       Сервисный запрос будет удален и перестанет отображаться в таблице.

     • Если вы хотите удалить все сервисные запросы, вверху области настройки в блоке Действия нажмите на кнопку Удалить все сервисные запросы.

       Все сервисные запросы будут удалены и перестанут отображаться в таблице.

• Удаление сервисного запроса экземпляра SD-WAN.

  Удаленные сервисные запросы невозможно восстановить.

  Чтобы удалить сервисный запрос экземпляра SD-WAN:

  1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

     Отобразится таблица экземпляров SD-WAN.

  2. Нажмите на экземпляр SD-WAN.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Сервисные запросы.

     Отобразится таблица сервисных запросов.

  4. Удалите сервисные запросы:
     • Если вы хотите удалить отдельный сервисный запрос, нажмите на кнопку Удалить рядом с этим запросом.

       Сервисный запрос будет удален и перестанет отображаться в таблице.

     • Если вы хотите удалить все сервисные запросы, вверху области настройки в блоке Действия нажмите на кнопку Удалить все сервисные запросы.

       Все сервисные запросы будут удалены и перестанут отображаться в таблице.

[Topic 254772]

Управление сетевыми сервисами

Сетевые сервисы передают трафик по сети и применяют к нему сетевые функции, такие как WAN-оптимизация, шейпинг и идентификация трафика, а также защита данных. Несколько сетевых сервисов объединяются в сервисную цепочку для последовательного применения входящих в эти сервисы функций к трафику при передаче на место назначения.

Вы можете создать шаблон сетевого сервиса для упрощенного развертывания этого сервиса в рамках тенантов.

Основным сетевым сервисом, отвечающим за развертывание и функционирование Kaspersky SD-WAN, является сервис SD-WAN. Этот сервис создается в первую очередь и в него помещаются компоненты, которые входят в плоскость управления сетью. В рамках каждого экземпляра SD-WAN развернут как минимум один сервис SD-WAN.

Для создания сетевых сервисов и их шаблонов используется графический конструктор. Он позволяет наглядно построить топологию сервиса, помещая в нее следующие компоненты:

• Сетевые компоненты, такие как VNF и PNF.
• Соединения (англ. links), такие как транспортные сервисы P2P, P2M и M2M, а также OpenStack-соединения, например общая сеть OS 2 Shared.
• UNI и WAN-интерфейсы.

К сетевым компонентам и интерфейсам подключаются соединения, в результате чего строится топология сетевого сервиса. Вы можете связать отдельно созданные сетевые сервисы, поместив общий сетевой сервис в (англ. shared network service, shared NS) в их топологию.

Пример построенной топологии сетевого сервиса представлен на рисунке ниже.

Пример построенной топологии сетевого сервиса

[Topic 260364]

Роли пользователей и действия с сетевыми сервисами

В таблице ниже представлены роли пользователей и действия, которые они могут выполнять при работе с сетевыми сервисами. Если вам назначена роль администратора платформы, вы можете аутентифицироваться в веб-интерфейсе тенанта как администратор и выполнить требуемые действия.

Роли пользователей и доступные им действия с сетевыми сервисами

В начало

[Topic 244161]

Загрузка пакета VNF или PNF в оркестратор

Пакеты VNF и PNF являются ZIP-архивами, содержащими компоненты, необходимые для развертывания виртуальных и физических сетевых функций, а также для последующего управления этими функциями. Вы можете подготовить собственный пакет сетевой функции и определить, как интерфейс управления этой функцией будет выглядеть в веб-интерфейсе оркестратора.

Каждый пакет имеет следующую структуру:

• Файлы-дескрипторы VNFD (Virtual Network Function descriptor) или PNFD (Physical Network Function descriptor) в формате YAML. Это конфигурационные файлы, которые предоставляют детальную информацию о сетевой функции, и содержат спецификации, такие как требования к развертыванию, сетевым подключениям и аппаратным ресурсам.
• Папка scripts. Эта папка содержит скрипты и исполняемые файлы, которые используются, чтобы развернуть и настроить сетевую функцию. Например, среди скриптов могут быть задачи автоматизации, установочные операции, а также уникальные действия, выполнение которых требуется для развертывания.

В структуру пакета VNF дополнительно входит папка images, которая содержит файлы-образы, а также ресурсы, необходимые для правильного функционирования VNF, такие как двоичные файлы, прошивки и значки.

Если вам назначена роль администратора платформы, вам нужно загрузить пакет VNF и/или PNF в веб-интерфейс оркестратора, чтобы получить возможность добавлять их в топологию сетевых сервисов и применять к проходящему через эти сервисы трафику.

Обратите внимание, что контроллер SD-WAN также разворачивается в виде VNF или PNF.

Чтобы загрузить пакет VNF или PNF в оркестратор:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. Вверху страницы нажмите на кнопку + VNF или + PNF.
3. Выберите файл пакета VNF или PNF.

Загруженная сетевая функция отобразится в панели Каталог.

[Topic 260362]

Шаблон сетевого сервиса

Вы можете создать шаблон сетевого сервиса, после чего назначить его тенантам, в рамках которых требуется развернуть этот сетевой сервис. Это позволяет вам избежать необходимости в индивидуальном создании сетевого сервиса в рамках каждого существующего тенанта.

При создании шаблона строится топология сетевого сервиса, со всеми требуемыми сетевыми компонентами, соединениями, интерфейсами, которые подключаются друг к другу. Тенант, которому назначен шаблон, может заменить абстрактные компоненты топологии на реальные и развернуть сетевой сервис.

[Topic 244164]

Создание шаблона сетевого сервиса

Перед созданием шаблона требуется загрузить все необходимые пакеты VNF или PNF в оркестратор.

Чтобы создать шаблон сетевого сервиса:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. Вверху страницы нажмите на кнопку + Шаблон.

   Отобразится графический конструктор для построения топологии сетевого сервиса.

3. Перетащите следующие сетевые компоненты с панели Каталог в графический конструктор, чтобы добавить их в топологию:
   • Виртуальные сетевые функции.
   • Физические сетевые функции.
   • Общие сетевые сервисы. Если в топологию нескольких сетевых сервисов добавлен общий сетевой сервис, его можно использовать, чтобы связать эти сетевые сервисы.
   • Шаблон сетевого сервиса. Если при создании шаблона сетевого сервиса вы помещаете в топологию другой шаблон, топология выстраивается в соответствии с помещенным шаблоном, после чего вы можете изменить ее, добавив новые компоненты или удалив существующие.

   Вы можете нажать на добавленный сетевой компонент и удалить его, выбрав в раскрывающемся списке Удалить.

4. Перетащите следующие соединения со вкладки Соединения внизу в графический конструктор, чтобы добавить их в топологию:
   • P2P – транспортный сервис P2P.
   • P2M – транспортный сервис P2M.
   • M2M – транспортный сервис M2M.

   Остальные соединения относятся к сетевому взаимодействию на уровне VIM и устанавливаются между VNF, хостом которых является облачная платформа OpenStack:

   • OS shared – сеть, которую могут делить несколько тенантов.
   • OS vRouter – маршрутизатор, который обеспечивает L3-маршрутизацию.
   • OS VLAN – сеть для передачи тегированного L2-трафика стандарта 802.1Q.
   • OS VXLAN – сеть для обеспечения VXLAN-туннелирования.
   • OS flat – сеть для передачи нетегированного L2-трафика.

   Вы можете нажать на добавленное соединение и удалить его, выбрав в раскрывающемся списке Удалить.

5. Внизу выберите вкладку UNI и перетащите в графический конструктор UNI и/или WAN-интерфейсы, чтобы добавить их в топологию. Вы можете нажать на добавленный интерфейс и удалить его, выбрав в раскрывающемся списке Удалить.
6. Настройте компоненты топологии.
7. Подключите соединения к сетевым компонентам:
   1. Нажмите на соединение и в раскрывающемся списке выберите Добавить leaf, чтобы подключить сетевой компонент с ролью Leaf. Если вы нажали на P2M-сервис, вы можете выбрать в раскрывающемся списке Добавить root, чтобы подключить сетевой компонент с ролью Root.
   2. Нажмите на значок сетевого компонента и в отобразившемся окне выберите интерфейс для подключения.

   Соединение будет подключено к сетевому компоненту, и в топологии между ними отобразится линия. Например, на рисунке ниже показана VLAN-сеть, подключенная к VNF.

   

8. Подключите соединения к интерфейсам:
   1. Нажмите на соединение и в раскрывающемся списке выберите Добавить leaf, чтобы подключить интерфейс с ролью Leaf. Если вы нажали на P2M-сервис, вы можете выбрать в раскрывающемся списке Добавить root, чтобы подключить интерфейс с ролью Root.
   2. Нажмите на значок интерфейса.

   Соединение будет подключено к интерфейсу, и в топологии между ними отобразится линия. Например, на рисунке ниже показан P2P-сервис, подключенный к UNI и WAN-интерфейсу.

   

9. При необходимости назначьте резервные интерфейсы для UNI:
   1. Нажмите на UNI и в раскрывающемся списке выберите Зарезервировать.

      Резервный интерфейс можно назначить только для UNI, к которым подключено хотя бы одно соединение.

   2. Нажмите на значок интерфейса, который требуется использовать в качестве резервного.

   Интерфейс будет назначен резервным для UNI, и в топологии между UNI, резервным интерфейсом и подключенным к UNI соединением отобразится пунктирная линия. Например, на рисунке ниже WAN-интерфейс является резервным для UNI.

   

10. При необходимости выполните следующие действия:
    • Установите флажок Описание, чтобы отобразить описание под каждым компонентом топологии. По умолчанию флажок установлен.
    • Нажмите на кнопку Выровнять, чтобы выровнять компоненты топологии по вертикали.
11. В поле Имя введите имя шаблона сетевого сервиса.
12. Вверху страницы нажмите на кнопку Сохранить.

Шаблон сетевого сервиса будет создан и отобразится в панели Каталог на вкладке Шаблоны.

[Topic 256184]

Удаление шаблона сетевого сервиса

Удаленные шаблоны сетевых сервисов невозможно восстановить.

Чтобы удалить шаблон сетевого сервиса:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Каталог выберите вкладку Шаблоны.

   Отобразится список шаблонов сетевых сервисов.

3. Нажмите на кнопку удаления рядом с шаблоном сетевого сервиса.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Шаблон сетевого сервиса будет удален и перестанет отображаться в панели Каталог.

[Topic 255976]

Создание сетевого сервиса

Вы можете создать сетевой сервис вручную или используя шаблон. Когда вы используйте шаблон при создании сетевого сервиса, топология сервиса выстраивается в соответствии с топологией шаблона, после чего вы можете изменить ее, добавив новые компоненты или удалив существующие.

Чтобы создать сетевой сервис:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы нажмите на кнопку + Сетевой сервис.

   Отобразится графический конструктор для построения топологии сетевого сервиса.

3. Если для создания сетевого сервиса требуется использовать шаблон, перетащите этот шаблон с панели Каталог в графический конструктор.

   Топология выстроится в соответствии с помещенным шаблоном.

4. Перетащите следующие сетевые компоненты с панели Каталог в графический конструктор, чтобы добавить их в топологию:
   • Виртуальные сетевые функции.
   • Физические сетевые функции.
   • Общие сетевые сервисы. Если в топологию нескольких сетевых сервисов добавлен общий сетевой сервис, его можно использовать, чтобы связать эти сетевые сервисы.

   При добавлении сетевой функции в открывшемся окне выберите, где ее требуется разместить – в центре обработки данных или на устройстве uCPE.

   Вы можете нажать на добавленный сетевой компонент и удалить его, выбрав в раскрывающемся списке Удалить.

5. Перетащите следующие соединения со вкладки Соединения внизу в графический конструктор, чтобы добавить их в топологию:
   • P2P – транспортный сервис P2P.
   • P2M – транспортный сервис P2M.
   • M2M – транспортный сервис M2M.

   Остальные соединения относятся к сетевому взаимодействию на уровне VIM и устанавливаются между VNF, хостом которых является облачная платформа OpenStack:

   • OS shared – сеть, которую могут делить несколько тенантов.
   • OS vRouter – маршрутизатор, который обеспечивает L3-маршрутизацию.
   • OS VLAN – сеть для передачи тегированного L2-трафика стандарта 802.1Q.
   • OS VXLAN – сеть для обеспечения VXLAN-туннелирования.
   • OS flat – сеть для передачи нетегированного L2-трафика.

   При добавлении соединения OS VLAN, OS VXLAN или OS flat в открывшемся окне выберите, где его требуется разместить – в центре обработки данных или на устройстве uCPE.

   Вы можете нажать на добавленное соединение и удалить его, выбрав в раскрывающемся списке Удалить.

6. Внизу выберите вкладку UNI и перетащите в графический конструктор UNI и/или WAN-интерфейсы, чтобы добавить их в топологию. Вы можете нажать на добавленный интерфейс и удалить его, выбрав в раскрывающемся списке Удалить.
7. Настройте компоненты топологии.
8. Подключите соединения к сетевым компонентам:
   1. Нажмите на соединение и в раскрывающемся списке выберите Добавить leaf, чтобы подключить сетевой компонент с ролью Leaf. Если вы нажали на P2M-сервис, вы можете выбрать в раскрывающемся списке Добавить root, чтобы подключить сетевой компонент с ролью Root.
   2. Нажмите на значок сетевого компонента и в отобразившемся окне выберите интерфейс для подключения.

   Соединение будет подключено к сетевому компоненту, и в топологии между ними отобразится линия. Например, на рисунке ниже показана VLAN-сеть, подключенная к VNF.

   

9. Подключите соединения к интерфейсам:
   1. Нажмите на соединение и в раскрывающемся списке выберите Добавить leaf, чтобы подключить интерфейс с ролью Leaf. Если вы нажали на P2M-сервис, вы можете выбрать в раскрывающемся списке Добавить root, чтобы подключить интерфейс с ролью Root.
   2. Нажмите на значок интерфейса.

   Соединение будет подключено к интерфейсу, и в топологии между ними отобразится линия. Например, на рисунке ниже показан P2P-сервис, подключенный к UNI и WAN-интерфейсу.

   

10. При необходимости назначьте резервные интерфейсы для UNI:
    1. Нажмите на UNI и в раскрывающемся списке выберите Зарезервировать.

       Резервный интерфейс можно назначить только для UNI, к которым подключено хотя бы одно соединение.

    2. Нажмите на значок интерфейса, который требуется использовать в качестве резервного.

    Интерфейс будет назначен резервным для UNI, и в топологии между UNI, резервным интерфейсом и подключенным к UNI соединением отобразится пунктирная линия. Например, на рисунке ниже WAN-интерфейс является резервным для UNI.

    

11. При необходимости выполните следующие действия:
    • Установите флажок Описание, чтобы отобразить описание под каждым компонентом топологии. По умолчанию флажок установлен.
    • Нажмите на кнопку Выровнять, чтобы выровнять компоненты топологии по вертикали.
12. В поле Имя введите имя сетевого сервиса.
13. Завершите создание сетевого сервиса:
    • Если вы хотите сохранить сетевой сервис, нажмите на кнопку Сохранить.
    • Если вы хотите сохранить и сразу развернуть сетевой сервис, нажмите на кнопку Развернуть.

Сетевой сервис будет создан и отобразится в панели Сетевые сервисы. Если вы нажали на кнопку Развернуть, начнется развертывание сетевого сервиса, которое может длиться несколько минут. Вы можете прервать развертывание, нажав на кнопку Прервать развертывание.

[Topic 260313]

Настройка компонентов топологии сетевого сервиса

Развернуть всё | Свернуть всё

Вы можете настроить сетевые компоненты, соединения и интерфейсы, добавленные в топологию шаблона сетевого сервиса или отдельного сетевого сервиса. Перед настройкой компонентов топологии ее необходимо открыть.

Чтобы открыть топологию:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. Откройте топологию:
   • Если вы хотите открыть топологию шаблона сетевого сервиса, в панели Каталог выберите шаблон.
   • Если вы хотите открыть топологию сетевого сервиса, в панели Сетевые сервисы выберите сетевой сервис.

Отобразится графический конструктор с топологией сетевого сервиса.

Для настройки компонентов топологии используйте следующие инструкции:

• Настройка VNF в топологии шаблона сетевого сервиса.

  Чтобы настроить VNF в топологии:

  1. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  2. Выберите вкладку Точки подключения и настройте интерфейсы VNF:
     1. В раскрывающемся списке Тип выберите, каким образом требуется назначить интерфейсу IP-адрес и маску подсети:
        • DHCP reservation – назначить IP-адрес и маску подсети с помощью DHCP.
        • AUTO – автоматически назначить IP-адрес и маску подсети. Это значение выбрано по умолчанию.
     2. Если в раскрывающемся списке Тип вы выбрали DHCP reservation, выполните следующие действия:
        1. В поле IP введите IP-адрес интерфейса.
        2. В поле Маска введите маску подсети.
     3. В поле Описание введите краткое описание интерфейса.
     4. При необходимости сделать интерфейс магистральным портом (англ. trunk port) и обрабатывать трафик нескольких VLAN одновременно установите флажок Магистраль. Когда флажок установлен, интерфейс VNF способен передавать и получать тегированный VLAN-трафик, который содержит дополнительный идентификатор (VLAN-тег), позволяющий определять и фильтровать разные VLAN в сети. По умолчанию флажок снят.
  3. Выберите вкладку Параметры VNF и укажите общие параметры VNF:
     1. В поле Имя введите имя VNF.
     2. В поле Описание введите краткое описание VNF.
     3. В поле Порядок введите порядковый номер для развертывания VNF в облачной платформе OpenStack. Когда вы развертываете сетевой сервис, VNF c наименьшим значением порядкового номера развертывается первой. Если в параметрах ни одной из добавленных в топологию сетевого сервиса VNF не указан порядковый номер, все VNF развертываются одновременно.
  4. Укажите требуемые параметры на оставшихся вкладках. Количество вкладок, на которых вы можете настроить параметры, зависит от содержания пакета VNF. Вкладки добавляются в пакет как переменные.

     Если у вас возникают трудности с настройкой определенных параметров, мы рекомендуем обратиться к технической документации поставщика VNF или в техническую поддержку "Лаборатории Касперского".

  5. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка PNF в топологии шаблона сетевого сервиса.

  Чтобы настроить PNF в топологии:

  1. Нажмите на PNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете PNF.

  2. Выберите вкладку Параметры PNF и укажите общие параметры PNF:
     1. В поле Имя введите имя PNF.
     2. В поле Описание введите краткое описание PNF.
     3. В поле Порядок введите порядковый номер для развертывания PNF. Когда вы развертываете сетевой сервис, PNF c наименьшим значением порядкового номера развертывается первой. Если в параметрах ни одной из добавленных в топологию сетевого сервиса PNF не указан порядковый номер, все PNF развертываются одновременно.
  3. Выберите вкладку Размещение в ЦОД и выберите, в каком центре обработки данных размещена PNF:
     1. В поле Центр обработки данных введите имя центра обработки данных и в раскрывающемся списке выберите требуемое значение.
     2. Нажмите на кнопку Применить.
  4. Выберите вкладку Management IP и в полях IP введите IP-адреса управляющих интерфейсов VDU в составе PNF. Вы можете проверить доступность адреса, нажав на кнопку Проверить соединение.
  5. Укажите требуемые параметры на оставшихся вкладках. Количество вкладок, на которых вы можете настроить параметры, зависит от содержания пакета PNF. Вкладки добавляются в пакет как переменные.

     Если у вас возникают трудности с настройкой определенных параметров, мы рекомендуем обратиться к технической документации поставщика PNF или в техническую поддержку "Лаборатории Касперского".

  6. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка P2P-сервиса в топологии шаблона сетевого сервиса.

  Чтобы настроить P2P-сервис в топологии:

  1. Нажмите на P2P-сервис.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя транспортного сервиса.
  3. При необходимости в поле Описание введите краткое описание транспортного сервиса.
  4. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка P2M-сервиса в топологии шаблона сетевого сервиса.

  Чтобы настроить P2M-сервис в топологии:

  1. Нажмите на P2M-сервис.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя транспортного сервиса.
  3. При необходимости в поле Описание введите краткое описание транспортного сервиса.
  4. В поле Точки подключения введите максимальное количество точек подключения (англ. connection points) к транспортному сервису. Диапазон значений: от 2 до 9999. Если вы не указываете значение для этого параметра, количество точек подключения не ограничивается.
  5. В раскрывающемся списке Режим выберите, требуется ли использовать Default Forwarding Interface (далее DFI) в транспортном сервисе. Если сервисному интерфейсу назначена роль DFI, на него отправляется весь неизвестный unicast-трафик (англ. unknown unicast). Доступные значения:
     • Классический – не использовать DFI. Это значение выбрано по умолчанию.
     • DFI с FIB на root и leafs – использовать DFI на сервисном интерфейсе с ролью Root. Количество сервисных интерфейсов с ролью Leaf не ограничено. Для всех сервисных интерфейсов можно добавить резервные сервисные интерфейсы.
     • DFI с FIB на leaf – использовать DFI на сервисном интерфейсе с ролью Root. Количество сервисных интерфейсов с ролью Leaf не ограничено. Сервисные интерфейсы с ролью Leaf должны находиться на одном устройстве CPE. Для всех сервисных интерфейсов можно добавить резервные сервисные интерфейсы. Резервные сервисные интерфейсы с ролью Leaf должны находиться на одном устройстве CPE, отличном от устройства, на котором находятся основные сервисные интерфейсы.
  6. В поле MAC-возраст (сек.) введите время в секундах, в течение которого записи хранятся в MAC-таблице на контроллере SD-WAN. Диапазон значений: от 10 до 65 535. По умолчанию указано значение 300.
  7. В раскрывающемся списке Режим изучения MAC выберите действие, которое требуется применить к серии кадров, когда первый кадр отправляется на контроллер SD-WAN для изучения MAC-адреса источника:
     • Learn and flood – контроллер запоминает MAC-адрес источника и проверяет наличие MAC-адреса назначения в таблице MAC-адресов. Если MAC-адрес назначения отсутствует в таблице, серия кадров отправляется на все сервисные интерфейсы, добавленные в транспортный сервис, за исключением интерфейса, на который серия кадров пришла изначально. Это значение выбрано по умолчанию.
     • Learn and drop – контроллер запоминает MAC-адрес источника и проверяет наличие MAC-адреса назначения в таблице MAC-адресов. Если MAC-адрес назначения отсутствует в таблице, серия кадров отбрасывается.

     В обоих случаях при наличии MAC-адреса назначения в таблице MAC-адресов серия кадров отправляется на соответствующий сервисный интерфейс.

  8. В поле Размер MAC-таблицы введите максимальное количество записей в MAC-таблице на контроллере SD-WAN. Диапазон значений: от 0 до 65 535. Вы можете ввести 0, чтобы не ограничивать количество записей. По умолчанию указано значение 100.
  9. В раскрывающемся списке Перегрузка MAC-таблицы выберите политику обработки новых MAC-адресов при переполнении MAC-таблицы на контроллере SD-WAN:
     • Flood – трафик с ранее неизученными MAC-адресами назначения передается как BUM-трафик (Broadcast, unknown-unicast, and multicast). Это значение выбрано по умолчанию.
     • Drop – трафик с ранее неизученными MAC-адресами назначения не передается.
  10. При необходимости используйте OpenStack DHCP, чтобы автоматически назначить IP-адреса и параметры конфигурации виртуальным машинам:
      1. В раскрывающемся списке OpenStack DHCP выберите Включено.
      2. В поле CIDR введите IP-адрес и маску подсети OpenStack.
      3. В поле Шлюз введите IP-адрес шлюза для маршрутизации трафика, покидающего виртуальную сеть. Шлюз соединяет виртуальную сеть с внешними сетями, например с интернетом. Адрес шлюза должен находится в одной подсети с виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом.
      4. При необходимости создать диапазон IP-адресов в блоке Пулы нажмите на кнопку + Пул и в отобразившихся полях введите начальное и конечное значение диапазона. Если виртуальная машина запрашивает IP-адрес, DHCP-сервер назначает ей адрес из диапазона.

         Диапазон должен находится в одной подсети со шлюзом, виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом, а его размер должен соответствовать количеству виртуальных машин в сети. Вы можете создать несколько диапазонов и удалить диапазон, нажав на кнопку Удалить рядом с ним.

      5. При необходимости добавить DNS-сервер в блоке DNS нажмите на кнопку DNS и в отобразившемся поле введите IP-адрес сервера. DNS-сервер позволяет виртуальным машинам преобразовывать доменные имена в IP-адреса.

         Информация с DNS-сервера передается виртуальным машинам посредством DHCP-опций, после чего они могут взаимодействовать с устройствами внутри виртуальной сети, а также получать доступ в интернет и другие внешние сети, используя доменные имена вместо IP-адресов. Вы можете добавить несколько серверов и удалить сервер, нажав на кнопку Удалить рядом с ним.

  11. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка M2M-сервиса в топологии шаблона сетевого сервиса.

  Чтобы настроить M2M-сервис в топологии:

  1. Нажмите на M2M-сервис.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя транспортного сервиса.
  3. При необходимости в поле Описание введите краткое описание транспортного сервиса.
  4. В поле Точки подключения введите максимальное количество точек подключения (англ. connection points) к транспортному сервису. Диапазон значений: от 2 до 9999. Если вы не указываете значение для этого параметра, количество точек подключения не ограничивается.
  5. В поле MAC-возраст (сек.) введите время в секундах, в течение которого записи хранятся в MAC-таблице на контроллере SD-WAN. Диапазон значений: от 10 до 65 535. По умолчанию указано значение 300.
  6. В раскрывающемся списке Режим изучения MAC выберите действие, которое требуется применить к серии кадров, когда первый кадр отправляется на контроллер SD-WAN для изучения MAC-адреса источника:
     • Learn and flood – контроллер запоминает MAC-адрес источника и проверяет наличие MAC-адреса назначения в таблице MAC-адресов. Если MAC-адрес назначения отсутствует в таблице, серия кадров отправляется на все сервисные интерфейсы, добавленные в транспортный сервис, за исключением интерфейса, на который серия кадров пришла изначально. Это значение выбрано по умолчанию.
     • Learn and drop – контроллер запоминает MAC-адрес источника и проверяет наличие MAC-адреса назначения в таблице MAC-адресов. Если MAC-адрес назначения отсутствует в таблице, серия кадров отбрасывается.

     В обоих случаях при наличии MAC-адреса назначения в таблице MAC-адресов серия кадров отправляется на соответствующий сервисный интерфейс.

  7. В поле Размер MAC-таблицы введите максимальное количество записей в MAC-таблице на контроллере SD-WAN. Диапазон значений: от 0 до 65 535. Вы можете ввести 0, чтобы не ограничивать количество записей. По умолчанию указано значение 100.
  8. В раскрывающемся списке Перегрузка MAC-таблицы выберите политику обработки новых MAC-адресов при переполнении MAC-таблицы на контроллере SD-WAN:
     • Flood – трафик с ранее неизученными MAC-адресами назначения передается как BUM-трафик (Broadcast, unknown-unicast, and multicast). Это значение выбрано по умолчанию.
     • Drop – трафик с ранее неизученными MAC-адресами назначения не передается.
  9. При необходимости используйте OpenStack DHCP, чтобы автоматически назначить IP-адреса и параметры конфигурации виртуальным машинам:
     1. В раскрывающемся списке OpenStack DHCP выберите Включено.
     2. В поле CIDR введите IP-адрес и маску подсети OpenStack.
     3. В поле Шлюз введите IP-адрес шлюза для маршрутизации трафика, покидающего виртуальную сеть. Шлюз соединяет виртуальную сеть с внешними сетями, например с интернетом. Адрес шлюза должен находится в одной подсети с виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом.
     4. При необходимости создать диапазон IP-адресов в блоке Пулы нажмите на кнопку + Пул и в отобразившихся полях введите начальное и конечное значение диапазона. Если виртуальная машина запрашивает IP-адрес, DHCP-сервер назначает ей адрес из диапазона.

        Диапазон должен находится в одной подсети со шлюзом, виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом, а его размер должен соответствовать количеству виртуальных машин в сети. Вы можете создать несколько диапазонов и удалить диапазон, нажав на кнопку Удалить рядом с ним.

     5. При необходимости добавить DNS-сервер в блоке DNS нажмите на кнопку DNS и в отобразившемся поле введите IP-адрес сервера. DNS-сервер позволяет виртуальным машинам преобразовывать доменные имена в IP-адреса.

        Информация с DNS-сервера передается виртуальным машинам посредством DHCP-опций, после чего они могут взаимодействовать с устройствами внутри виртуальной сети, а также получать доступ в интернет и другие внешние сети, используя доменные имена вместо IP-адресов. Вы можете добавить несколько серверов и удалить сервер, нажав на кнопку Удалить рядом с ним.

     • При необходимости разрешить совместное использование M2M-сервиса разными сетевыми сервисами установите флажок Поделиться сетевым сервисом. По умолчанию флажок снят.
  10. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка общей сети (OS 2 SHARED) в топологии шаблона сетевого сервиса.

  Чтобы настроить общую сеть в топологии:

  1. Нажмите на общую сеть.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя общей сети.
  3. При необходимости в поле Описание введите краткое описание общей сети.
  4. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка виртуального маршрутизатора (OS vRouter) в топологии шаблона сетевого сервиса.

  Чтобы настроить виртуальный маршрутизатор в топологии:

  1. Нажмите на виртуальный маршрутизатор.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя виртуального маршрутизатора.
  3. При необходимости в поле Описание введите краткое описание виртуального маршрутизатора.
  4. При необходимости выставить значение up для рабочего состояния виртуального маршрутизатора установите флажок Административное состояние. Этот флажок позволяет вам управлять рабочим состоянием маршрутизатора без необходимости в его повторном удалении/создании. Когда флажок установлен, маршрутизатор может передавать трафик. По умолчанию флажок снят.
  5. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка VLAN в топологии шаблона сетевого сервиса.

  Чтобы настроить VLAN в топологии:

  1. Нажмите на VLAN.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя VLAN.
  3. При необходимости в поле Описание введите краткое описание VLAN.
  4. При необходимости используйте OpenStack DHCP, чтобы автоматически назначить IP-адреса и параметры конфигурации виртуальным машинам:
     1. В раскрывающемся списке OpenStack DHCP выберите Включено.
     2. В поле CIDR введите IP-адрес и маску подсети OpenStack.
     3. В поле Шлюз введите IP-адрес шлюза для маршрутизации трафика, покидающего виртуальную сеть. Шлюз соединяет виртуальную сеть с внешними сетями, например с интернетом. Адрес шлюза должен находится в одной подсети с виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом.
     4. При необходимости создать диапазон IP-адресов в блоке Пулы нажмите на кнопку + Пул и в отобразившихся полях введите начальное и конечное значение диапазона. Если виртуальная машина запрашивает IP-адрес, DHCP-сервер назначает ей адрес из диапазона.

        Диапазон должен находится в одной подсети со шлюзом, виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом, а его размер должен соответствовать количеству виртуальных машин в сети. Вы можете создать несколько диапазонов и удалить диапазон, нажав на кнопку Удалить рядом с ним.

     5. При необходимости добавить DNS-сервер в блоке DNS нажмите на кнопку DNS и в отобразившемся поле введите IP-адрес сервера. DNS-сервер позволяет виртуальным машинам преобразовывать доменные имена в IP-адреса.

        Информация с DNS-сервера передается виртуальным машинам посредством DHCP-опций, после чего они могут взаимодействовать с устройствами внутри виртуальной сети, а также получать доступ в интернет и другие внешние сети, используя доменные имена вместо IP-адресов. Вы можете добавить несколько серверов и удалить сервер, нажав на кнопку Удалить рядом с ним.

  5. При необходимости разрешить совместное использование сети разными сетевыми сервисами установите флажок Поделиться сетью. По умолчанию флажок снят.
  6. При необходимости сегментировать сеть на несколько VLAN в поле ID сегментации введите VLAN ID.
  7. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка VXLAN в топологии шаблона сетевого сервиса.

  Чтобы настроить VXLAN в топологии:

  1. Нажмите на VXLAN.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя VXLAN-сети.
  3. При необходимости в поле Описание введите краткое описание VXLAN-сети.
  4. При необходимости используйте OpenStack DHCP, чтобы автоматически назначить IP-адреса и параметры конфигурации виртуальным машинам:
     1. В раскрывающемся списке OpenStack DHCP выберите Включено.
     2. В поле CIDR введите IP-адрес и маску подсети OpenStack.
     3. В поле Шлюз введите IP-адрес шлюза для маршрутизации трафика, покидающего виртуальную сеть. Шлюз соединяет виртуальную сеть с внешними сетями, например с интернетом. Адрес шлюза должен находится в одной подсети с виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом.
     4. При необходимости создать диапазон IP-адресов в блоке Пулы нажмите на кнопку + Пул и в отобразившихся полях введите начальное и конечное значение диапазона. Если виртуальная машина запрашивает IP-адрес, DHCP-сервер назначает ей адрес из диапазона.

        Диапазон должен находится в одной подсети со шлюзом, виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом, а его размер должен соответствовать количеству виртуальных машин в сети. Вы можете создать несколько диапазонов и удалить диапазон, нажав на кнопку Удалить рядом с ним.

     5. При необходимости добавить DNS-сервер в блоке DNS нажмите на кнопку DNS и в отобразившемся поле введите IP-адрес сервера. DNS-сервер позволяет виртуальным машинам преобразовывать доменные имена в IP-адреса.

        Информация с DNS-сервера передается виртуальным машинам посредством DHCP-опций, после чего они могут взаимодействовать с устройствами внутри виртуальной сети, а также получать доступ в интернет и другие внешние сети, используя доменные имена вместо IP-адресов. Вы можете добавить несколько серверов и удалить сервер, нажав на кнопку Удалить рядом с ним.

  5. При необходимости разрешить совместное использование сети разными сетевыми сервисами установите флажок Поделиться сетью. По умолчанию флажок снят.
  6. При необходимости сегментировать сеть на несколько VXLAN в поле ID сегментации введите VXLAN ID.
  7. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка плоской сети в топологии шаблона сетевого сервиса.

  Чтобы настроить плоскую сеть в топологии:

  1. Нажмите на плоскую сеть.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя плоской сети.
  3. При необходимости в поле Описание введите краткое описание плоской сети.
  4. При необходимости используйте OpenStack DHCP, чтобы автоматически назначить IP-адреса и параметры конфигурации виртуальным машинам:
     1. В раскрывающемся списке OpenStack DHCP выберите Включено.
     2. В поле CIDR введите IP-адрес и маску подсети OpenStack.
     3. В поле Шлюз введите IP-адрес шлюза для маршрутизации трафика, покидающего виртуальную сеть. Шлюз соединяет виртуальную сеть с внешними сетями, например с интернетом. Адрес шлюза должен находится в одной подсети с виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом.
     4. При необходимости создать диапазон IP-адресов в блоке Пулы нажмите на кнопку + Пул и в отобразившихся полях введите начальное и конечное значение диапазона. Если виртуальная машина запрашивает IP-адрес, DHCP-сервер назначает ей адрес из диапазона.

        Диапазон должен находится в одной подсети со шлюзом, виртуальными машинами и другими сетевыми устройствами, чтобы они могли взаимодействовать друг с другом, а его размер должен соответствовать количеству виртуальных машин в сети. Вы можете создать несколько диапазонов и удалить диапазон, нажав на кнопку Удалить рядом с ним.

     5. При необходимости добавить DNS-сервер в блоке DNS нажмите на кнопку DNS и в отобразившемся поле введите IP-адрес сервера. DNS-сервер позволяет виртуальным машинам преобразовывать доменные имена в IP-адреса.

        Информация с DNS-сервера передается виртуальным машинам посредством DHCP-опций, после чего они могут взаимодействовать с устройствами внутри виртуальной сети, а также получать доступ в интернет и другие внешние сети, используя доменные имена вместо IP-адресов. Вы можете добавить несколько серверов и удалить сервер, нажав на кнопку Удалить рядом с ним.

  5. При необходимости разрешить совместное использование сети разными сетевыми сервисами установите флажок Поделиться сетью. По умолчанию флажок снят.
  6. Вверху области настройки нажмите на кнопку Сохранить.
• Настройка интерфейсов в топологии шаблона сетевого сервиса.

  Чтобы настроить интерфейс в топологии:

  1. Нажмите на интерфейс.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  2. В поле Имя введите имя интерфейса.
  3. При необходимости в поле Описание введите краткое описание интерфейса.
  4. Вверху области настройки нажмите на кнопку Сохранить.

[Topic 260680]

Изменение топологии сетевого сервиса

Чтобы изменить топологию сетевого сервиса:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы выберите сетевой сервис.

   Отобразится графический конструктор с топологией сетевого сервиса.

3. Вверху страницы нажмите на кнопку Изменить.
4. Внесите требуемые изменения в топологию сетевого сервиса. Описание параметров см. в следующих инструкциях:
   • Инструкция по созданию сетевого сервиса.
   • Инструкция по настройке компонентов топологии сетевого сервиса.
5. Нажмите на кнопку Развернуть изменения.

[Topic 256183]

Развертывание сетевого сервиса

Если во время развертывания сетевого сервиса отсутствует связь между оркестратором и uCPE, развертывание будет выполнено при восстановлении связи.

Чтобы развернуть сетевой сервис:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы выберите сетевой сервис.

   Топология сетевого сервиса отобразится в графическом конструкторе.

3. Вверху страницы нажмите на кнопку Развернуть.

Начнется развертывание сетевого сервиса, которое может длиться несколько минут. Вы можете прервать развертывание, нажав на кнопку Прервать развертывание.

[Topic 256194]

Проверка согласованности работы сетевого сервиса

Проверка на согласованность (англ. consistency check) позволяет убедиться в правильности конфигурации сетевого сервиса. В ходе проверки выявляются проблемы и конфликты в указанных параметрах, которые могут привести к неработоспособности всего сервиса.

Чтобы проверить согласованность работы сетевого сервиса:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы нажмите на кнопку настройки рядом с сетевым сервисом и в раскрывающемся списке выберите Проверить согласованность.
3. В открывшемся окне подтверждения нажмите на кнопку Подтвердить.

Начнется проверка на согласованность.

[Topic 260610]

Повторное развертывание сетевого сервиса и его компонентов

Развернуть всё | Свернуть всё

Вы можете повторно развернуть сетевой сервис или его компонент, чтобы применить изменения, внесенные в конфигурацию, обновить используемое программное обеспечение до последней версии или восстановить работу в случае возникновения неполадок.

Обратите внимание, что повторное развертывание может привести к краткосрочным перебоям в работе или временной потери работоспособности. Мы рекомендуем планировать и координировать работы по повторному развертыванию в соответствии с требованиями вашей организации, чтобы свести нарушения работы к минимуму.

Для повторного развертывания сетевого сервиса или его компонента используйте следующие инструкции:

• Повторное развертывание сетевого сервиса.

  Повторное развертывание также позволяет исправить проблемы с производительностью сетевого сервиса и избавиться от узких мест (англ. bottlenecks).

  Чтобы повторно развернуть сетевой сервис:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы нажмите на кнопку настройки рядом с сетевым сервисом и в раскрывающемся списке выберите Повторно развернуть.
  3. В открывшемся окне подтверждения нажмите на кнопку Подтвердить.

  Начнется повторное развертывание сетевого сервиса, которое может длиться несколько минут. Вы можете прервать развертывание, нажав на кнопку Прервать развертывание.

• Повторное развертывание VNF.

  Чтобы повторно развернуть VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Повторно развернуть VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Подтвердить.

  Начнется повторное развертывание VNF, которое может длиться несколько минут. Вы можете прервать развертывание, нажав на кнопку Прервать развертывание.

• Повторное развертывание VDU.

  Чтобы повторно развернуть VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Повторно развернуть VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Подтвердить.

  Начнется повторное развертывание VDU, которое может длиться несколько минут. Вы можете прервать развертывание, нажав на кнопку Прервать развертывание.

[Topic 260616]

Функция Auto-Healing

Развернуть всё | Свернуть всё

Функция Auto-Healing автоматически обнаруживает возникающие в ходе работы сетевого сервиса проблемы и предпринимает необходимые действия для их исправления. Среди таких действий может быть перезапуск неработающих компонентов, замена недоступных сетевых ресурсов или перенаправление трафика в сохранившие работоспособность виртуальные машины / экземпляры.

Если функция включена для сетевого сервиса, его компоненты восстанавливаются автоматически. Если функция выключена, для восстановления работы компонентов требуется ручное вмешательство со стороны администратора. По умолчанию функция включена.

При необходимости вы можете использовать Auto-Healing для отдельных компонентов сетевого сервиса, даже если функция выключена. Для использования функции Auto-Healing используйте следующие инструкции:

• Включение и выключение функции Auto-Healing для сетевого сервиса.
• Использование функции Auto-Healing для VNF.

  Чтобы использовать функцию Auto-Healing для VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Восстановление VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Начнется автоматическое восстановление VNF.

• Использование функции Auto-Healing для VDU.

  Чтобы использовать функцию Auto-Healing для VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Восстановление VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Начнется автоматическое восстановление VDU.

[Topic 260423]

Управление VNF и VDU в сетевом сервисе

После развертывания сетевого сервиса, вы можете управлять VNF, а также VDU (Virtual Deployment Unit), входящими в их состав.

VDU – это виртуальная машина, которая является хостом VNF. Она объединяет виртуальные вычислительные ресурсы, такие как ЦПУ и память, необходимые для работы программного обеспечения VNF, а также содержит определенные имплементации сетевой функции, например алгоритмы маршрутизации или логику балансировки нагрузки.

Несколько VDU могут быть объединены в составе одной VNF для обеспечения масштабирования и/или высокой доступности. VDU можно распределить между отдельными физическими серверами, не теряя при этом возможности управлять ими как единой VNF. VDU взаимодействуют друг с другом и другими VNF, чтобы выполнять требуемые функции в рамках сетевого сервиса.

[Topic 260679]

Выбор варианта развертывания (flavour) VNF

Варианты развертывания (англ. flavours) указываются в пакете VNF и используются, чтобы определить характеристики и спецификации экземпляра VNF. Каждый вариант развертывания является предопределенным набором назначенных ресурсов, таких как ЦПУ, память и полоса пропускания. Эти ресурсы определяют возможности экземпляра VNF и влияют на его производительность.

Чтобы выбрать вариант развертывания VNF:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы выберите сетевой сервис.

   Отобразится графический конструктор с топологией сетевого сервиса.

3. Нажмите на VNF.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

   По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

4. Нажмите на кнопку Масштабировать рядом с вариантом развертывания.

VNF будет масштабирована до выбранного варианта развертывания.

[Topic 260441]

Просмотр параметров VDU

Чтобы просмотреть параметры VDU:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы выберите сетевой сервис.

   Отобразится графический конструктор с топологией сетевого сервиса.

3. Нажмите на VNF.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

   По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

4. Выберите вкладку Управление VDU.

   Отобразится таблица VDU.

5. Нажмите на имя VDU, параметры которой требуется просмотреть.

Откроется окно с параметрами VDU.

[Topic 260447]

Остановка и запуск VNF и VDU

Развернуть всё | Свернуть всё

Остановка VNF/VDU позволяет выполнять их поддержку и устанавливать обновления для программного обеспечения.

Если VNF/VDU не используется, ее можно остановить, чтобы освободить вычислительные ресурсы и использовать их для выполнения других задач. Вы также можете остановить VNF/VDU, провоцирующую появление ошибок и сбоев, чтобы изолировать проблемный компонент и решить проблему, при этом сохранив работоспособность.

Для остановки VNF или VDU используйте следующие инструкции:

• Остановка VNF.

  Когда вы останавливаете VNF, она перестает предоставляться в рамках сетевого сервиса. Мы рекомендуем планировать остановку VNF таким образом, чтобы она не затрагивала работу сетевого сервиса.

  Чтобы остановить VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Управление питанием → Остановить VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VNF будет остановлена.

• Остановка VDU.

  Когда вы останавливаете VDU, она перестает предоставляться в рамках VNF. Мы рекомендуем планировать остановку VDU таким образом, чтобы она не затрагивала работу VNF.

  Чтобы остановить VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Управление питанием → Остановить VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VDU будет остановлена.

При необходимости вы можете снова запустить остановленную VNF или VDU. Для этого используйте следующие инструкции:

• Запуск VNF.

  Чтобы запустить VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Запустить VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VNF будет запущена.

• Запуск VDU.

  Чтобы запустить VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Запустить VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VDU будет запущена.

[Topic 260585]

Временная остановка и запуск VNF и VDU

Развернуть всё | Свернуть всё

Вы можете поставить VNF/VDU на паузу или перевести в состояние ожидания, чтобы освободить системные ресурсы, например ЦПУ и память, и предоставить их другим компонентам, которые имеют более высокий приоритет. Это может потребоваться, когда происходит временное снижение пользовательской активности и необходимости в предоставлении сетевых функций. Такой подход к управлению сохраняет ресурсы и обеспечивает их наиболее эффективное использование.

Разница между VNF/VDU, поставленной на паузу и переведенной в состояние ожидания, заключается в том, что при переводе в состояние ожидания на диск VNF/VDU сохраняется информация о ее конфигурации. Это позволяет полностью выключить VNF/VDU и перенести на другую хост-машину. Когда VNF/VDU снова переводится в активное состояние, ее конфигурация полностью восстанавливается.

Для временной остановки VNF/VDU используйте следующие инструкции:

• Пауза VNF и перевод в состояние ожидания.

  Чтобы поставить VNF на паузу или перевести в состояние ожидания:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Поставить VNF на паузу или Приостановить VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VNF будет поставлена на паузу или переведена в состояние ожидания.

• Пауза VDU и перевод в состояние ожидания.

  Чтобы поставить VDU на паузу или перевести в состояние ожидания:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Поставить VDU на паузу или Приостановить VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VDU будет поставлена на паузу или переведена в состояние ожидания.

При необходимости вы можете снять VNF/VDU с паузы или перевести обратно в активное состояние. Для этого используйте следующие инструкции:

• Снятие с паузы VNF и перевод в активное состояние.

  Чтобы снять VNF с паузы или перевести в активное состояние:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Снять паузу с VNF или Возобновить приостановленную VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VNF будет снята с паузы или переведена в активное состояние.

• Снятие с паузы VDU и перевод в активное состояние.

  Чтобы снять VDU с паузы или перевести в активное состояние:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Снять паузу с VDU или Возобновить приостановленную VNF.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  VDU будет снята с паузы или переведена в активное состояние.

[Topic 260582]

Программная перезагрузка VNF и VDU

Развернуть всё | Свернуть всё

Программная перезагрузка (англ. soft reboot) VNF/VDU может использоваться, чтобы без нарушения работы установить обновления для программного обеспечения, включая исправления ошибок, улучшения безопасности и новые возможности.

Вы также можете программно перезагрузить VNF/VDU, чтобы восстановить ее стабильность за счет очищения временных или поврежденных данных, которые часто являются причиной возникновения ошибок и неисправностей.

Если VNF/VDU работает на протяжении длительного периода времени, ее программная перезагрузка может оптимизировать работу, так как при перезагрузке происходит освобождение не используемых вычислительных ресурсов.

Для программной перезагрузки VNF/VDU используйте следующие инструкции:

• Программная перезагрузка VNF.

  Чтобы выполнить программную перезагрузку VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Программная перезагрузка VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Произойдет программная перезагрузка VNF.

• Программная перезагрузка VDU.

  Чтобы выполнить программную перезагрузку VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Программная перезагрузка VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Произойдет программная перезагрузка VDU.

[Topic 260583]

Аппаратная перезагрузка VNF и VDU

Развернуть всё | Свернуть всё

Аппаратная перезагрузка (англ. hard reboot) может использоваться, чтобы восстановить нормальное функционирование VNF/VDU, если она не отвечает на запросы или происходит несколько серьезных системных ошибок. При выполнении аппаратной перезагрузки VNF/VDU проходит через цикл выключения/включения, после чего возвращается в последнее стабильное состояние.

Обратите внимание, что аппаратная перезагрузка может привести к временной недоступности VNF/VDU.

Мы рекомендуем использовать аппаратную перезагрузку, только если все остальные меры по исправлению проблем, включая программную перезагрузку, не дали требуемых результатов.

Для аппаратной перезагрузки VNF/VDU используйте следующие инструкции:

• Аппаратная перезагрузка VNF.

  Чтобы выполнить аппаратную перезагрузку VNF:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Вверху области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Аппаратная перезагрузка VNF.
  5. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Произойдет аппаратная перезагрузка VNF.

• Аппаратная перезагрузка VDU.

  Чтобы выполнить аппаратную перезагрузку VDU:

  1. В меню перейдите в раздел Каталог.

     Отобразится страница управления сетевыми сервисами.

  2. В панели Сетевые сервисы выберите сетевой сервис.

     Отобразится графический конструктор с топологией сетевого сервиса.

  3. Нажмите на VNF.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

     По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

  4. Выберите вкладку Управление VDU.

     Отобразится таблица VDU.

  5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Аппаратная перезагрузка VDU.
  6. В открывшемся окне подтверждения нажмите на кнопку Применить.

  Произойдет аппаратная перезагрузка VDU.

[Topic 260603]

Мгновенный снимок состояния VDU

Мгновенный снимок (англ. snapshot) состояния VDU содержит ее полную конфигурацию и может быть использован для восстановления этой VDU при возникновении неполадок.

Вы можете сделать мгновенные снимки разных версий VDU, что особенно актуально на ранних стадиях развертывания и тестирования. Если внесенное обновление или модификация приводит к появлению проблем, вы можете вернуться к последней стабильной версии, используя соответствующий мгновенный снимок. Таким образом, мгновенные снимки позволяют изолировать ошибки и осуществлять контроль версий.

При необходимости выполнить масштабирование VDU, развернув несколько идентичных экземпляров, вы также можете использовать мгновенные снимки.

Чтобы сделать мгновенный снимок состояния VDU:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы выберите сетевой сервис.

   Отобразится графический конструктор с топологией сетевого сервиса.

3. Нажмите на VNF.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

   По умолчанию выбрана вкладка Варианты развертывания, на которой отображаются варианты развертывания (англ. flavours) виртуальных машин для сетевой функции. Варианты развертывания описываются в пакете VNF.

4. Выберите вкладку Управление VDU.

   Отобразится таблица VDU.

5. Нажмите на кнопку Управление рядом с VDU и в раскрывающемся списке выберите Снимок.

   Откроется окно, в котором отображается таблица мгновенных снимков.

6. В поле Имя введите имя мгновенного снимка.
7. В поле Описание введите краткое описание мгновенного снимка.
8. Нажмите на кнопку Создать.

Мгновенный снимок будет создан и отобразится в таблице.

[Topic 256190]

Просмотр журнала работы сетевого сервиса

Чтобы просмотреть журнал работы сетевого сервиса:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы нажмите на кнопку настройки рядом с сетевым сервисом и в раскрывающемся списке выберите Открыть журнал.

Откроется страница с журналом работы сетевого сервиса.

[Topic 256207]

Удаление сетевого сервиса

Удаленные сетевые сервисы невозможно восстановить.

Чтобы удалить сетевой сервис:

1. В меню перейдите в раздел Каталог.

   Отобразится страница управления сетевыми сервисами.

2. В панели Сетевые сервисы нажмите на кнопку настройки рядом с сетевым сервисом и в раскрывающемся списке выберите Удалить.
3. В отобразившемся окне подтверждения нажмите на кнопку Удалить.

Сетевой сервис будет удален и перестанет отображаться в панели Сетевые сервисы.

[Topic 255208]

Управление запросами на подтверждение

Запросы на подтверждение автоматически создаются в веб-интерфейсе оркестратора, когда пользователь с недостаточными правами выполняет операции с компонентами решения. Вы определяете, требуется ли для выполнения операций пользователя подтверждение администратора при создании этого пользователя.

Созданный запрос можно подтвердить, отклонить или удалить. При подтверждении запроса происходит выполнение связанной с ним операции. Отклоненные запросы сохраняются в веб-интерфейсе.

Администраторы могут просматривать запросы на подтверждение, чтобы оценить возможные последствия выполнения операций, что предотвращает выполнение запрещенных или случайных операций с критически важными для работы Kaspersky SD-WAN компонентами. Запросы на подтверждение также можно использовать при проведении внутренних аудитов, чтобы просматривать операции, выполненные пользователями, и администраторов, подтвердивших или отклонивших выполнение этих операций.

[Topic 256212]

Просмотр запросов на подтверждение

Чтобы просмотреть запросы на подтверждение,

в меню перейдите в раздел Подтверждение.

Отобразится таблица запросов на подтверждение. По умолчанию отображаются запросы за весь период и с любым статусом. Вы можете отобразить только нужные вам запросы с помощью фильтров вверху страницы.

[Topic 256213]

Подтверждение, отклонение и удаление запросов на подтверждение

Чтобы подтвердить, отклонить или удалить запрос на подтверждение:

1. В меню перейдите в раздел Подтверждение.

   Отобразится таблица запросов на подтверждение.

2. Выполните требуемое действие с запросом на подтверждение:
   • Нажмите на кнопку Разрешить, чтобы подтвердить запрос.
   • Нажмите на кнопку Отклонить, чтобы отклонить запрос.
   • Нажмите на кнопку Удалить, чтобы удалить запрос.

[Topic 251430]

Управление пользователями

Пользователям необходимо аутентифицироваться в веб-интерфейсе оркестатора, чтобы работать с Kaspersky SD-WAN. Вы можете создать пользователей, учетные данные которых хранятся в локальной базе данных решения или на удаленном LDAP-сервере. Если вы планируете использовать LDAP-аутентификацию, вам нужно предварительно настроить подключение оркестратора к LDAP-серверу.

Решение поддерживает импорт групп пользователей из внешних LDAP-серверов. В этом случае требуется создать группу пользователей, соответствующую группе на удаленном сервере, после чего пользователи могут аутентифицироваться, используя имя группы.

При создании как отдельных пользователей, так и групп им можно назначить права доступа, определяющие доступ к разделам и/или подразделам веб-интерфейса.

[Topic 251545]

Создание LDAP-подключения

Вам нужно создать LDAP-подключение, чтобы ваши пользователи могли аутентифицироваться в веб-интерфейсе оркестратора, используя учетные данные, хранящиеся на удаленном LDAP-сервере. Поддерживаются следующие LDAP-серверы:

• OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией.
• Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.

Оркестратор не может вносить изменения на подключенном LDAP-сервере.

Чтобы настроить подключение оркестратора к удаленному LDAP-серверу:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Вверху страницы нажмите на кнопку + LDAP.
4. В отобразившейся области настройки в поле Имя введите имя LDAP-подключения.
5. В поле Домен введите FQDN домена, в котором находится LDAP-сервер.
6. В поле Альтернативное имя домена введите альтернативное имя домена (как правило, NETBIOS-имя). Альтернативное имя используется при создании и аутентификации пользователей наряду с FQDN домена. Например, если FQDN домена – example.com, а альтернативное имя – example, пользователи могут ввести следующие значения при аутентификации:
   • admin@example.com;
   • admin@example;
   • example.com\admin;
   • example\admin.
7. В поле LDAP-хост введите имя хоста LDAP-сервера. Поддерживаются следующие форматы имени хоста:
   • ldap://<имя хоста>:<номер порта> – для стандартного LDAP-сервера. Порт по умолчанию: 389.
   • ldaps://<имя хоста>:<номер порта> – для LDAP-сервера с SSL-аутентификацией. Порт по умолчанию: 636.

   Например, если вы вводите ldap://example.com:100, имя хоста LDAP-сервера – example.com, а номер порта – 100.

8. В поле Базовое различающееся имя введите базовое различающееся имя (англ. base distinguished name), которое оркестратор должен использовать как начальную точку поиска учетных записей пользователей в директории LDAP-сервера. Поддерживаются следующие форматы базового различающегося имени:
   • OU=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Базовое различающееся имя состоит из одного или нескольких атрибутов OU, обозначающих структуру организационных единиц (англ. organizational units) в директории LDAP-сервера. Например, если вы вводите OU=OU_example1,OU=OU_example2, начальной точкой поиска учетных записей пользователей является организационная единица OU_example2, находящаяся внутри OU_example1.
   • DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Базовое различающееся имя состоит из двух атрибутов DC, обозначающих компоненты домена (англ. domain components) LDAP-сервера. Например, если вы вводите DC=example,DC=com, начальной точкой поиска учетных записей пользователей является домен example.com.
9. В раскрывающемся списке Атрибут поиска выберите атрибут, который оркестратор должен использовать для поиска учетных записей пользователей в директории LDAP-сервера:
   • uid (OpenLDAP) – идентификатор пользователя uid (user ID) для поиска в OpenLDAP. Это значение выбрано по умолчанию.
   • sAMAccountName (Active Directory) – пре-Windows 2000 имя пользователя (англ. pre-Windows 2000 logon name) для поиска в Microsoft Active Directory.
10. В поле Различающееся имя введите различающееся имя (англ. distinguished name) для аутентификации оркестратора в LDAP-сервере. Поддерживаются следующие форматы различающегося имени:
    • UID=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Различающееся имя состоит из одного атрибута UID и одного или нескольких атрибутов OU. Атрибут UID обозначает идентификатор пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Например, если вы вводите UID=user_example,OU=OU_example, для аутентификации оркестратора в LDAP-сервере используется пользователь с идентификатором user_example, который находится в организационной единице OU_example.
    • CN=<значение>,OU=<значение>,DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Различающееся имя состоит из одного атрибута CN, одного или нескольких атрибутов OU, а также двух атрибутов DC. Атрибут CN обозначает общее имя (англ. common name) пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Последние два атрибута DC обозначают компоненты домена, в котором находится пользователь. Например, если вы вводите CN=user_example,OU=OU_example,DC=example,DC=com, для аутентификации оркестратора в LDAP-сервере используется пользователь с именем user_example, который находится в организационной единице OU_example в домене example.com.
11. В поле Пароль привязки введите пароль для аутентификации оркестратора в LDAP-сервере.
12. При необходимости убедиться в доступности LDAP-сервера нажмите на кнопку Проверить аутентификацию.
13. Нажмите на кнопку Создать.

LDAP-подключение будет создано и отобразится в таблице. Теперь LDAP-сервер можно использовать при создании пользователей или групп пользователей.

[Topic 256217]

Изменение LDAP-подключения

Чтобы изменить LDAP-подключение:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение.
4. В отобразившейся области настройки измените требуемые параметры. Описание параметров см. в инструкции по созданию LDAP-подключения.
5. Нажмите на кнопку Сохранить.

[Topic 256225]

Изменение пароля LDAP-подключения

Чтобы изменить пароль LDAP-подключения:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение.
4. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Изменить пароль.
5. В открывшемся окне в поле Новый пароль введите новый пароль. Пароль должен содержать как минимум один прописной символ A-Z, строчные символы, цифры, а также специальные символы. Длина пароля: от 8 до 50 символов.
6. В поле Подтверждение пароля повторно введите новый пароль.
7. Нажмите на кнопку Сохранить.

Пароль LDAP-подключения будет изменен.

[Topic 256222]

Удаление LDAP-подключения

Удаленные LDAP-подключения невозможно восстановить.

Чтобы удалить LDAP-подключение:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Нажмите на LDAP-подключение.
4. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

LDAP-подключение будет удалено и перестанет отображаться в таблице.

[Topic 251431]

Создание права доступа

Права доступа определяют, какие разделы и подразделы веб-интерфейса оркестратора доступны пользователям для просмотра и/или изменения параметров. По умолчанию в решении создано право доступа Full access, которое предоставляет пользователям полный доступ к управлению решением.

Чтобы создать право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится таблица прав доступа.

3. Вверху страницы нажмите на кнопку + Право доступа.
4. В отобразившейся области настройки в поле Имя введите имя права доступа. Максимальная длина: 250 символов.
5. В блоке Права доступа укажите уровень доступа пользователей к разделам и подразделам веб-интерфейса оркестратора:
   • Изменение – пользователи могут просматривать раздел/подраздел и вносить изменения в его параметры.
   • Просмотр – пользователи могут только просматривать раздел/подраздел.
   • Нет доступа – пользователи не могут просматривать раздел/подраздел.

   Вы можете предоставить выбранный уровень доступа ко всем подразделам внутри раздела, установив флажок Применить к подразделам рядом с этим разделом. По умолчанию флажок снят.

6. Нажмите на кнопку Создать.

Право доступа будет создано и отобразится в таблице. Теперь его можно использовать при создании пользователей или групп пользователей.

[Topic 256229]

Изменение права доступа

Чтобы изменить право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится таблица прав доступа.

3. Нажмите на право доступа.
4. В отобразившейся области настройки измените требуемые параметры. Описание параметров см. в инструкции по созданию права доступа.
5. Нажмите на кнопку Сохранить.

[Topic 256230]

Клонирование права доступа

Чтобы клонировать право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится таблица прав доступа.

3. Нажмите на право доступа.
4. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Клонировать.
5. В открывшемся окне введите имя нового права доступа.
6. Нажмите на кнопку Клонировать.

Копия права доступа с новым именем будет создана и отобразится в таблице.

[Topic 256231]

Удаление права доступа

Удаленные права доступа невозможно восстановить.

Чтобы удалить право доступа:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Права доступа.

   Отобразится таблица прав доступа.

3. Нажмите на право доступа.
4. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Право доступа будет удалено и перестанет отображаться в таблице.

[Topic 251515]

Создание пользователя

Вы можете создать пользователей, чтобы они могли аутентифицироваться в веб-интерфейсе оркестратора и управлять решением. Если вы хотите создать пользователя, который будет проходить аутентификацию через удаленный LDAP-сервер, перед выполнением этой инструкции требуется создать LDAP-подключение.

Чтобы создать пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Вверху страницы нажмите на кнопку + Пользователь.
3. В отобразившейся области настройки в раскрывающемся списке Источник выберите тип аутентификации пользователя:
   • Локальный – пользователь, который аутентифицируется с помощью учетных данных, хранящихся локально в базе данных Kaspersky SD-WAN. Это значение выбрано по умолчанию.
   • LDAP – пользователь, который аутентифицируется с помощью учетных данных, хранящихся на удаленном LDAP-сервере.
4. В поле Имя пользователя введите локальное имя пользователя или имя пользователя на LDAP-сервере. Формат имени пользователя на LDAP-сервере: user@domain или domain\user.
5. При необходимости в полях Пароль и Подтверждение пароля введите локальный пароль пользователя. Пароль должен содержать как минимум один прописной символ A-Z, строчные символы, цифры, а также специальные символы. Длина пароля: от 8 до 50 символов. Вы можете просмотреть введенный пароль, нажав на кнопку просмотра .
6. В раскрывающемся списке Роль выберите роль пользователя:
   • Администратор – пользователь имеет доступ ко всему решению.
   • Тенант – пользователь имеет доступ только к тенанту, которому вы его назначаете.
7. При необходимости в раскрывающемся списке Права доступа выберите право доступа для пользователя.
8. При необходимости создать запрос на подтверждение при каждом действии пользователя, установите флажок Требуется подтверждение запроса. По умолчанию флажок снят, и пользователь может свободно вносить любые изменения в параметры компонентов решения.
9. В поле Имя введите имя пользователя.
10. В поле Фамилия введите фамилию пользователя.
11. При необходимости в поле Email введите адрес электронной почты пользователя.
12. При необходимости в поле Описание введите краткое описание пользователя.
13. Нажмите на кнопку Создать.

Пользователь будет создан и отобразится в таблице.

[Topic 256232]

Изменение пользователя

Чтобы изменить пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя.
3. В отобразившейся области настройки измените требуемые параметры. Описание параметров см. в инструкции по созданию пользователя.
4. Нажмите на кнопку Сохранить.

[Topic 256233]

Изменение пароля пользователя

Чтобы изменить пароль пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя.
3. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Изменить пароль.
4. В открывшемся окне в поле Новый пароль введите новый пароль. Пароль должен содержать как минимум один прописной символ A-Z, строчные символы, цифры, а также специальные символы. Длина пароля: от 8 до 50 символов. Вы можете просмотреть введенный пароль, нажав на кнопку просмотра .
5. В поле Подтверждение пароля повторно введите новый пароль.
6. Нажмите на кнопку Сохранить.

Пароль пользователя будет изменен.

[Topic 256234]

Разблокировка и блокировка пользователя

По умолчанию созданные пользователи заблокированы. Вам нужно разблокировать пользователя, чтобы этот пользователь мог аутентифицироваться в веб-интерфейсе оркестратора.

Чтобы разблокировать или заблокировать пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя.
3. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Разблокировать или Заблокировать.

Пользователь будет разблокирован или заблокирован.

[Topic 256235]

Удаление пользователя

Удаленных пользователей невозможно восстановить.

Чтобы удалить пользователя:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Нажмите на пользователя.
3. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Пользователь будет удален и перестанет отображаться в таблице.

[Topic 251567]

Создание группы пользователей

Вы можете создать группу пользователей, соответствующую группе на LDAP-сервере. Пользователи из этой группы смогут аутентифицироваться в веб-интерфейсе оркестратора. Обратите внимание, что добавление пользователей в группу осуществляется на LDAP-сервере без задействования оркестратора.

Перед созданием группы пользователей требуется выполнить следующие действия:

• создать группу пользователей на LDAP-сервере;
• настроить подключение оркестратора к LDAP-серверу.

Чтобы создать группу пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп пользователей.

3. Вверху страницы нажмите на кнопку + Группа пользователей.
4. В отобразившейся области настройки в поле Имя введите имя группы пользователей на LDAP-сервере в формате user@domain или domain\user.
5. В раскрывающемся списке Роль выберите роль пользователей в группе:
   • Администратор – пользователи в группе имеют доступ ко всему решению.
   • Тенант – пользователи в группе имеют доступ только к тенанту, которому вы ее назначаете.
6. При необходимости в раскрывающемся списке Права доступа выберите право доступа для группы пользователей.
7. Нажмите на кнопку Создать.

Группа пользователей будет создана и отобразится в таблице.

[Topic 256237]

Изменение группы пользователей

Чтобы изменить группу пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп пользователей.

3. Нажмите на группу пользователей.
4. В отобразившейся области настройки измените требуемые параметры. Описание параметров см. в инструкции по созданию группы пользователей.
5. Нажмите на кнопку Сохранить.

[Topic 256238]

Удаление группы пользователей

Удаленные группы пользователей невозможно восстановить.

Чтобы удалить группу пользователей:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку Группы.

   Отобразится таблица групп пользователей.

3. Нажмите на группу пользователей.
4. Вверху отобразившейся области настройки нажмите на кнопку Управление и в раскрывающемся списке выберите Удалить.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Группа пользователей будет удалена и перестанет отображаться в таблице.

[Topic 256095]

Управление тенантами

Тенанты логически разделяют и изолируют объекты внутри сети SD-WAN. Каждый тенант определяет собственные политики управления и конфигурации и имеет полный контроль над собственными сетями и приложениями.

В рамках мультитенантной сети несколько независимых организаций, подразделений или клиентов используют одну физическую инфраструктуру и имеют собственные виртуальные сети. При этом один тенант не может получить доступ к сетевым ресурсам, назначенным другому тенанту. Несколько тенантов могут делить одно пространство IP-адресов.

[Topic 244173]

Создание тенанта

Чтобы создать тенанта:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. Если вы создаете первого тенанта, в блоке Тенанты в поле Имя введите имя тенанта.
3. Если вы создаете последующих тенантов, выполните следующие действия:
   1. Вверху блока Тенанты нажмите на кнопку + Тенант.
   2. В поле Имя введите имя тенанта.
4. При необходимости в блоке внизу страницы введите краткое описание тенанта.
5. Нажмите на кнопку создания

Тенант будет создан и отобразится в блоке Тенанты.

[Topic 256099]

Назначение тенанту VIM

Чтобы назначить тенанту VIM:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. В блоке VIM нажмите на кнопку + Изменить.
4. В открывшемся окне выберите VIM. Для выбора VIM вам нужно сначала выбрать домен и ЦОД, в котором развернут этот VIM.
5. Нажмите на кнопку Сохранить.

Назначенный тенанту VIM отобразится в блоке VIM.

[Topic 256104]

Назначение тенанту компонентов топологии

Чтобы назначить тенанту компоненты топологии:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. В блоке Каталог установите флажки рядом с компонентами топологии, которые требуется назначить тенанту.

Компоненты топологии будут назначены тенанту и отобразятся в каталоге тенанта после обновления страницы.

[Topic 256106]

Назначение тенанту вычислительных ресурсов

Чтобы назначить тенанту вычислительные ресурсы:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. Вверху блока Ресурсы нажмите на кнопку настройки .
4. Нажмите на кнопку изменения объема ∞ рядом с одним из следующих вычислительных ресурсов:
   • ЦП – виртуальные процессорные ядра.
   • ОЗУ – оперативная память.
   • Диск – дисковое пространство.
5. В отобразившемся поле введите объем вычислительного ресурса, который требуется назначить тенанту.
6. Нажмите на кнопку сохранения .

[Topic 256108]

Назначение тенанту пользователя

Чтобы назначить тенанту пользователя:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. В блоке Группы пользователей нажмите на кнопку + Изменить.
4. В открывшемся окне выберите пользователя, которого требуется назначить тенанту.
5. Нажмите на кнопку Сохранить.

Назначенный тенанту пользователь отобразится в блоке Пользователи.

[Topic 256102]

Назначение тенанту группы пользователей

Чтобы назначить тенанту группу пользователей:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. В блоке Группы пользователей нажмите на кнопку + Изменить.
4. В открывшемся окне выберите группу пользователей, которую требуется назначить тенанту.
5. Нажмите на кнопку Сохранить.

Назначенная тенанту группа пользователей отобразится в блоке Группы пользователей.

[Topic 256109]

Аутентификация в веб-интерфейсе оркестратора тенанта в качестве администратора

Чтобы аутентифицироваться в веб-интерфейсе оркестратора тенанта в качестве администратора:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты выберите тенанта.
3. Нажмите на кнопку Подключиться как тенант.

Веб-интерфейс оркестратора тенанта откроется в новой вкладке браузера и вы будете аутентифицированы в нем как администратор.

[Topic 256114]

Изменение тенанта

Чтобы изменить тенанта:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты нажмите на кнопку настройки рядом с тенантом и в раскрывающемся списке выберите Изменить.
3. Измените требуемые параметры. Описание параметров см. в инструкции по созданию тенанта.
4. В блоке, который отображается внизу страницы, нажмите на кнопку сохранения .

[Topic 256115]

Удаление тенанта

Удаленных тенантов невозможно восстановить.

Чтобы удалить тенанта:

1. В меню перейдите в раздел Тенанты.

   Отобразится страница управления тенантами.

2. В блоке Тенанты нажмите на кнопку настройки рядом с тенантом и в раскрывающемся списке выберите Удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Тенант будет удален и перестанет отображаться в блоке Тенанты.

[Topic 245420]

Управление экземплярами SD-WAN

Экземпляром SD-WAN (англ. SD-WAN instance) является решение Kaspersky SD-WAN, развернутое на нескольких физических и/или виртуальных устройствах для одного

Для централизованной настройки параметров экземпляров SD-WAN используются шаблоны экземпляров SD-WAN. Вы можете указать все параметры в одном шаблоне экземпляра SD-WAN, после чего использовать его при развертывании экземпляров для отдельных тенантов, таким образом избегая необходимости в их индивидуальной настройке. Тенанта необходимо добавить в шаблон экземпляра SD-WAN, чтобы этот шаблон использовался при развертывании экземпляра для тенанта.

Когда вы разворачиваете Kaspersky SD-WAN в первый раз, в веб-интерфейсе оркестратора автоматически создается шаблон экземпляра SD-WAN по умолчанию. Его невозможно удалить, но вы можете выбрать другой шаблон по умолчанию.

Если вы развертываете решение для тенанта, который не добавлен ни в один шаблон экземпляра SD-WAN, к нему применяется шаблон по умолчанию.

При несовпадении параметров, указанных в шаблоне экземпляра SD-WAN, с фактическими параметрами экземпляра тенанта решение не развертывается. Например, вы можете столкнуться с ошибкой при развертывании решения для тенанта, если в используемом шаблоне экземпляра SD-WAN указано количество узлов контроллера SD-WAN, которое отличается от реального количества узлов у тенанта.

Вы можете сгруппировать экземпляры SD-WAN в пулы для обеспечения их масштабируемости и отказоустойчивости, особенно в условиях использования большого количества устройств.

Каждый пул экземпляров SD-WAN является балансировщиком нагрузки, где нагрузкой выступают устройства CPE. Во время создания устройства CPE его можно назначить пулу экземпляров SD-WAN или отдельным экземплярам из этого пула. Если вы назначаете устройство пулу экземпляров SD-WAN, оркестратор автоматически выбирает из этого пула экземпляр SD-WAN с наименьшим количеством устройств и назначает ему создаваемое устройство. При совпадении количества устройств экземпляр SD-WAN выбирается случайно.

[Topic 242562]

Создание шаблона экземпляра SD-WAN

Чтобы создать шаблон экземпляра SD-WAN:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Вверху страницы нажмите на кнопку + Шаблон экземпляра SD-WAN.

Откроется подраздел Шаблоны экземпляров SD-WAN, в котором отображается таблица шаблонов экземпляров SD-WAN. Шаблон будет создан и отобразится в таблице. По умолчанию шаблону присваивается имя в формате Template <порядковый номер шаблона>.

[Topic 256244]

Назначение шаблона экземпляра SD-WAN по умолчанию

Чтобы назначить шаблон экземпляра SD-WAN по умолчанию:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Назначить шаблоном по умолчанию.

[Topic 256245]

Удаление шаблона экземпляра SD-WAN

Вы не можете удалить шаблон экземпляра SD-WAN по умолчанию. Удаленные шаблоны невозможно восстановить.

Чтобы удалить шаблон экземпляра SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Шаблон экземпляра SD-WAN будет удален и перестанет отображаться в таблице.

[Topic 242988]

Добавление тенанта в шаблон экземпляра SD-WAN

Перед добавлением тенанта в шаблон экземпляра SD-WAN требуется создать тенанта и шаблон экземпляра SD-WAN.

Чтобы добавить тенанта в шаблон экземпляра SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Тенанты.

   Отобразится таблица тенантов.

4. Нажмите на кнопку + Тенант.
5. В открывшемся окне выберите тенанта и нажмите на кнопку Добавить.
6. Вверху нажмите на кнопку Сохранить, чтобы сохранить конфигурацию шаблона экземпляра SD-WAN.

Тенант будет добавлен в шаблон экземпляра SD-WAN и отобразится в таблице.

[Topic 256249]

Удаление тенанта из шаблона экземпляра SD-WAN

Чтобы удалить тенанта из шаблона экземпляра SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Тенанты.

   Отобразится таблица тенантов.

4. Нажмите на кнопку Удалить рядом с тенантом.
5. Вверху нажмите на кнопку Сохранить, чтобы сохранить конфигурацию шаблона экземпляра SD-WAN.

Тенант будет удален из шаблона экземпляра SD-WAN и перестанет отображаться в таблице.

[Topic 243028]

Настройка высокой доступности (high availability)

Архитектура решения предоставляет возможность сохранять высокую доступность (англ. high availability) экземпляров SD-WAN в случае прекращения работы или перегрузки виртуальных машин, устройств CPE, а также контроллеров SD-WAN. Высокая доступность этих компонентов обеспечивается установкой резервных устройств и соединений между ними.

Мы рекомендуем учитывать необходимость в высокой доступности компонентов решения при развертывании экземпляра SD-WAN.

Чтобы настроить высокую доступность:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Высокая доступность.

   Отобразятся параметры высокой доступности.

4. Выберите количество узлов контроллера SD-WAN, которое требуется использовать при развертывании экземпляра SD-WAN.
5. Вверху нажмите на кнопку Сохранить, чтобы сохранить конфигурацию шаблона экземпляра SD-WAN.

[Topic 243035]

Выбор транспортной стратегии

Транспортная стратегия – это механизм инкапсуляции транспортных сервисов, включающий в себя алгоритм добавления стека меток заголовков пакетов трафика и тип этих меток. Kaspersky SD-WAN временно поддерживает одну транспортную стратегию Generic VNI Swapping Transport.

Чтобы выбрать транспортную стратегию:

1. В меню перейдите в подраздел SD-WAN → Шаблоны экземпляров SD-WAN.

   Отобразится таблица шаблонов экземпляров SD-WAN.

2. Нажмите на шаблон экземпляра SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Транспортная/сервисная стратегия.

   Отобразится выбранная транспортная стратегия.

4. Убедитесь, что в раскрывающемся списке выбрана транспортная стратегия Generic VNI swapping transport.

[Topic 249094]

Добавление тенанта в экземпляр SD-WAN

По умолчанию экземпляр SD-WAN развертывается для одного тенанта, но вы можете добавить других тенантов в уже развернутый экземпляр. В этом случае экземпляр осуществляет связность между устройствами CPE, назначенными добавленным в него тенантам. При добавлении тенанта вы также можете ограничить количество доступных ему устройств.

Перед добавлением тенанта в экземпляр SD-WAN требуется создать тенанта.

Чтобы добавить тенанта в экземпляр SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

2. Нажмите на экземпляр SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Самообслуживание тенанта.

   Отобразится таблица тенантов.

4. Нажмите на кнопку + Добавить.
5. В открывшемся окне выберите тенанта.
6. В поле Максимум CPE введите максимальное количество доступных для тенанта устройств.
7. Нажмите на кнопку Добавить.

Тенант будет добавлен в экземпляр SD-WAN и отобразится в таблице.

[Topic 256261]

Удаление тенанта из экземпляра SD-WAN

Чтобы удалить тенанта из экземпляра SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

2. Нажмите на экземпляр SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Самообслуживание тенанта.

   Отобразится таблица тенантов.

4. Нажмите на кнопку Удалить рядом с тенантом.
5. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Тенант будет удален из экземпляра SD-WAN и перестанет отображаться в таблице.

[Topic 256254]

Просмотр устройств, назначенных экземпляру SD-WAN

Чтобы просмотреть устройства, назначенные экземпляру SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

2. Нажмите на экземпляр SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Показать связанные CPE.

Откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE. В таблице отобразятся только назначенные экземпляру SD-WAN устройства.

[Topic 256252]

Удаление экземпляра SD-WAN

При удалении экземпляра также удаляются все назначенные ему устройства CPE и сетевой сервис, в котором он был развернут.

Альтернативным способом удаления экземпляра является удаление сетевого сервиса, в котором он был развернут. Удаленные экземпляры SD-WAN невозможно восстановить.

Чтобы удалить экземпляр SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

2. Нажмите на экземпляр SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Экземпляр SD-WAN будет удален и перестанет отображаться в таблице.

[Topic 245465]

Создание пула экземпляров SD-WAN

Чтобы создать пул экземпляров SD-WAN:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Вверху страницы нажмите на кнопку + Пул экземпляров SD-WAN.
3. В открывшемся окне введите имя пула экземпляров SD-WAN.
4. Нажмите на кнопку Создать.

Откроется подраздел Пулы экземпляров SD-WAN, в котором отображается таблица пулов экземпляров SD-WAN. Пул экземпляров SD-WAN будет создан и отобразится в таблице. Теперь в него необходимо добавить экземпляры SD-WAN.

[Topic 256268]

Добавление экземпляра SD-WAN в пул

Перед добавлением экземпляра SD-WAN в пул требуется создать пул экземпляров SD-WAN.

Чтобы добавить экземпляр SD-WAN в пул:

1. В меню перейдите в подраздел SD-WAN → Пулы экземпляров SD-WAN.

   Отобразится таблица пулов экземпляров SD-WAN.

2. Нажмите на пул экземпляров SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

4. Нажмите на кнопку + Экземпляр SD-WAN.
5. В открывшемся окне выберите экземпляр SD-WAN, который требуется добавить в пул.
6. Нажмите на кнопку Добавить.
7. Вверху нажмите на кнопку Сохранить, чтобы сохранить конфигурацию пула экземпляров SD-WAN.

Экземпляр SD-WAN будет добавлен в пул и отобразится в таблице.

[Topic 256270]

Удаление экземпляра SD-WAN из пула

Чтобы удалить экземпляр SD-WAN из пула:

1. В меню перейдите в подраздел SD-WAN → Пулы экземпляров SD-WAN.

   Отобразится таблица пулов экземпляров SD-WAN.

2. Нажмите на пул экземпляров SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Экземпляры SD-WAN.

   Отобразится таблица экземпляров SD-WAN.

4. Нажмите на кнопку Удалить рядом с экземпляром SD-WAN.

   Экземпляр SD-WAN будет удален из пула и перестанет отображаться в таблице.

5. Вверху нажмите на кнопку Сохранить, чтобы сохранить конфигурацию пула экземпляров SD-WAN.

[Topic 256272]

Удаление пула экземпляров SD-WAN

Удаленные пулы SD-WAN невозможно восстановить.

Чтобы удалить пул экземпляров SD-WAN:

1. В меню перейдите в подраздел SD-WAN → Пулы экземпляров SD-WAN.

   Отобразится таблица пулов экземпляров SD-WAN.

2. Нажмите на пул экземпляров SD-WAN.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Пул экземпляров SD-WAN будет удален и перестанет отображаться в таблице.

[Topic 237615]

Управление устройствами CPE

Kaspersky SD-WAN позволяет устанавливать в филиалах вашей организации или на клиентских площадках устройства CPE, обладающие следующими техническими характеристиками:

• Стандартная архитектура процессора:
  • x86 (Intel 80x86);
  • Arm v8/64 (Advanced RISC Machine);
  • MIPS (Microprocessor without Interlocked Pipeline Stages).
• Отсутствие зависимости от определенных производителей.
• Минимальные характеристики аппаратных ресурсов, таких как процессор и операционная память.

Подключаемые устройства CPE автоматически регистрируются в инвентаризационной базе данных и имеют прямой доступ в интернет (англ. Direct Internet Access, DIA). Вы можете использовать устройства CPE двух типов:

• Стандартные устройства CPE – для предоставления дополнительных VNF из ЦОД или облака вам нужно встроить виртуальное устройство CPE в сервисную цепочку. После предоставления VNF трафик передается к месту назначения.
• Universal CPE (далее также uCPE) – локальное размещение VNF улучшает время отклика, оптимизирует транспортные потоки и сохраняет возможность управлять этими VNF через веб-интерфейс оркестратора.

[Topic 238888]

Состав устройств CPE

Устройства CPE имеют следующие внешние интерфейсы:

• Один или несколько LAN-интерфейсов. Вы можете объединить LAN-интерфейсы в коммутатор с помощью Linux-мостов. Это позволяет быстрее передавать данные на подключенные к коммутатору сетевые устройства, оптимизировать использование сетевых ресурсов и предотвратить появление узких мест (англ. bottlenecks).

  При отказе одного интерфейса трафик может быть передан на другой сохранивший работоспособность интерфейс. Объединение интерфейсов в один коммутатор также упрощает масштабирования сети, так как вы можете добавить новые интерфейсы в коммутатор при необходимости.

• Один или несколько WAN-интерфейсов. Эти интерфейсы могут иметь проводную или беспроводную среду передачи.

На каждом устройстве CPE существует программный коммутатор OpenFlow (англ. virtual switch, далее также программный коммутатор), который находится под управлением контроллера SD-WAN и по умолчанию имеет интерфейсы со следующими номерами:

• 1 (ovs-mgmt) – обеспечивает организацию внутреннего управления сетью и настройку устройства CPE через управляющий транспортный сервис SD-WAN managementTunnel после подключения к оркестратору и контроллеру SD-WAN.
• 2 (ovs-lan) – обеспечивает подключение к Linux-мосту.
• 4800–4803 – GENEVE-интерфейсы, созданные для каждого WAN-интерфейса SD-WAN. Первый GENEVE-интерфейс имеет номер 4800. Другим GENEVE-интерфейсам присваиваются следующие по порядку номера. Например, второму GENEVE-интерфейсу присваивается номер 4801.

  В качестве IP-адреса источника требуется назначить IP-адрес соответствующего WAN-интерфейса. Интерфейсу назначения нужно присвоить номер GENEVE-интерфейса.

После того, как устройство CPE получает параметры WAN-интерфейсов, для каждого из них создается отдельная таблица маршрутизации.

На рисунке ниже изображена логическая схема устройства CPE.

Логическая схема устройства CPE

[Topic 238898]

Состав устройств uCPE

Устройство uCPE дополнительно поддерживает развертывание VNF (как в виртуальной инфраструктуре ЦОД). Для установки программного обеспечения uCPE требуется сервер с архитектурой процессора x86. В состав каждого такого устройства входят гипервизор и VIM (OpenStack в минимальной конфигурации). Остальные компоненты, необходимые для оркестрации VNF, находятся в ЦОД. Программный коммутатор на устройстве uCPE содержит дополнительный интерфейс OS-data.

Оркестратор начинает взаимодействовать с VIM на устройстве uCPE после того, как это оно регистрируется и подключается к управляющему транспортному сервису SD-WAN managementTunnel.

Вы можете создать сетевой сервис на устройстве uCPE, которое находится в состоянии Отключено. В этом случае оркестратор отслеживает доступность устройства uCPE и создает сетевой сервис в момент, когда VIM начинает отвечать на API-запросы.

VIM на устройстве uCPE по умолчанию привязывается к тенанту, для которого развернут экземпляр SD-WAN, но вы можете выбрать другого тенанта.

При создании сетевого сервиса вам нужно выбрать VIM для развертывания VNF. Вы можете выбрать VIM в ЦОД, который привязан к тенанту, или VIM на устройстве uCPE. Если вы удалите устройство uCPE, все сервисные цепочки, развернутые на этом устройстве, будут удалены.

На рисунке ниже изображена логическая схема устройства uCPE.

Логическая схема устройства uCPE

[Topic 238920]

Управляющий транспортный сервис SD-WAN managementTunnel

Для управления устройствами CPE и их мониторинга Kaspersky SD-WAN использует P2M транспортный сервис SD-WAN managementTunnel. Корневыми интерфейсами этого транспортного сервиса являются сервисные интерфейсы на одном или нескольких устройствах CPE, за которыми находятся компоненты плоскости управления сетью.

После того, как устройство CPE подключается к контроллеру SD-WAN, поверх OpenFlow-интерфейса ovs-mgmt автоматически создается сервисный интерфейс с типом инкапсуляции Access. Оркестратор активирует устройство CPE и добавляет этот сервисный интерфейс в управляющий транспортный сервис SD-WAN managementTunnel с ролью Leaf (см. рисунок ниже).

Транспортный сервис управления устройством CPE

IP-адрес, необходимый для управления устройством CPE, определяется автоматически из заданного вами пула адресов. При удалении устройства CPE привязанный к нему IP-адрес возвращается в пул адресов. Компоненты VNF и PNF взаимодействуют друг с другом и с оркестратором с помощью внешних IP-адресов.

Вы можете предоставить доступ к веб-консоли устройства CPE и настроить подключение к консоли по протоколу SSH с помощью шаблона CPE. Обратите внимание, что для этого вам не нужно настраивать IP-связность с устройством.

VNFM предоставляет доступ к консоли устройства через управляющий транспортный сервис SD-WAN managementTunnel.

[Topic 237777]

Автоматическая настройка устройств CPE (ZTP)

Каждое устройство CPE имеет уникальный идентификатор DPID (Datapath Identifier). Это 64-битное число, которое генерируется на основании уникальной характеристики устройства CPE, например MAC-адреса интерфейса WAN0 или серийного номера.

Для использования устройства CPE вам нужно сначала создать для него запись в веб-интерфейсе, после чего подключить само устройство к оркестратору. Альтернативным вариантом является подключение устройства к оркестратору (в этом случае в веб-интерфейсе оно отобразится со статусом Неизвестно) и последующее создание записи. В обоих случаях сопоставление записи с устройством происходит по идентификатору DPID.

Существует два основных сценария регистрации устройств CPE: с автоматической настройкой (англ. Zero Touch Provisioning, далее также ZTP) или с дополнительной конфигурацией. К дополнительной конфигурации, например относится назначение статических IP-адресов и создание маршрутов, загрузка сертификатов безопасности, а также генерация токенов.

Настройка устройства CPE осуществляется в следующей последовательности:

1. При необходимости дополнительной конфигурации используется URL-активация.
2. Устройство CPE получает IP-адреса WAN-интерфейсов и серверов DNS, а также маршруты по умолчанию от оператора связи по протоколу DHCP.
3. Устройство CPE использует FQDN или IP-адрес оркестратора, чтобы связаться с ним, сообщает свой идентификатор DPID, после чего получает внешние IP-адреса контроллера и шлюзов SD-WAN (при использовании). На него также загружаются сертификаты.
4. Устройство CPE устанавливает соединение с контроллером SD-WAN по протоколу TLS через IP-сеть, используя сеть оператора связи или интернет.
5. Контроллер SD-WAN программирует устройство CPE для создания туннелей от каждого WAN-интерфейса.

Для автоматической настройки устройства CPE через интернет требуется настроить внешние (англ. public) IP-адреса оркестратора, контроллера и шлюзов SD-WAN. В качестве альтернативы внешним IP-адресам поддерживается NAT для следующих интерфейсов:

• tcp 443, 81 для оркестратора.
• tcp 6653–6656 для контроллера SD-WAN.
• udp 4800–4803 для шлюзов SD-WAN.

[Topic 246857]

Статусы и состояния устройства CPE

Устройства CPE могут иметь следующие статусы:

• Неизвестно – устройство подключено к оркестратору, но для него не создана запись в веб-интерфейсе.
• Ожидание – для устройства создана запись в веб-интерфейсе, но оно не подключено к оркестратору и/или не зарегистрировано.
• Регистрация – устройство находится в процессе регистрации.
• Ошибка – в процессе регистрации устройства возникла ошибка.
• Зарегистрировано – устройство успешно зарегистрировано.
• Конфигурация – на устройстве происходит изменение конфигурации.

Устройства CPE могут находиться в следующих состояниях:

• По отношению к оркестратору:
  • Активировано – к устройству применена конфигурация назначенного шаблона. Вы можете подключить такое устройство к транспортным сервисам и использовать его для передачи трафика.
  • Деактивировано (в статусе Ожидание) – к устройству не применена конфигурация назначенного шаблона. Вы можете внести локальные изменения в конфигурацию устройства перед тем как активировать его.
  • Деактивировано (в статусе Зарегистрировано) – устройству заблокирована передача трафика по туннелем, и оркестратор не отвечает на поступающие от него запросы.
• По отношению к контроллеру SD-WAN:
  • Активный – устройство находится под управлением контроллера.
  • Неактивный –устройство не находится под управлением контроллера.

[Topic 245769]

Обеспечение связности устройств СРЕ с контроллерами SD-WAN

Устройства СРЕ устанавливают соединение с контроллерами SD-WAN по протоколу OpenFlow в плоскости управления сетью через все WAN-интерфейсы: через каждый WAN-интерфейс устройства CPE устанавливается TCP-сессия ко всем контроллерам SD-WAN.

На схеме ниже изображен принцип установления соединений между устройством СРЕ и контроллерами SD-WAN.

Установление соединений между контроллерами SD-WAN и устройством СРЕ

В примере выше в кластере из трех контроллеров и устройства CPE с двумя WAN-интерфейсами устанавливается шесть TCP-сессий:

• 10.0.1.1 → ctl1:6653
• 10.0.2.1 → ctl1:6654
• 10.0.1.1 → ctl2:6653
• 10.0.2.1 → ctl2:6654
• 10.0.1.1 → ctl3:6653
• 10.0.2.1 → ctl3:6654

В один момент времени только одна сессия является основной (англ. primary session). Параметры переключения и восстановления основной сессии указываются при настройке подключения устройства CPE к сети SD-WAN.

[Topic 246035]

Автоматическое изменение стоимости туннеля в зависимости от максимальной скорости интерфейса

Если скорость WAN-интерфейса SD-WAN на устройстве CPE выше скорости сети, предоставляемой оператором связи, вам нужно ограничить максимальную скорость этого интерфейса в соответствии со скоростью сети.

На основе параметра максимальной скорости высчитывается значение стоимости (англ. cost) на туннелях. Параметры максимальной скорости и стоимости связаны следующим образом:

• Максимальная скорость задает максимальную пропускную способность интерфейса для правильного расчета логических очередей для QoS. Измеряется в mbps (англ. megabits per second).
• Стоимость определяет вес интерфейса в топологии и рассчитывается по формуле Cost = 10 000 000 / Speed, где Speed равен значению максимальной скорости. Чем меньше значение стоимости, тем более приоритетным является туннель в топологии сети.

При изменении максимальной скорости значение стоимости меняется для туннелей в обоих направлениях. Для туннеля берется наименьшее значение максимальной скорости участвующих в нем интерфейсов.

Вы можете вручную указать стоимость туннеля, а также максимальную скорость интерфейса SD-WAN при его создании.

[Topic 256281]

Шаблон CPE

Шаблон CPE содержит конфигурацию устройства CPE. Вы можете настроить конфигурацию в шаблоне один раз, после чего применять его к создаваемым устройствам. Таким образом, вы избегаете необходимости в индивидуальной настройке каждого отдельного устройства.

Обратите внимание, что определенные параметры устройства CPE можно настроить только в шаблоне. Например, в шаблоне указывается номер порта, который устройство будет использовать для подключения к оркестратору. Этот параметр невозможно изменить на отдельном устройстве.

Когда вы вносите изменения в конфигурацию шаблона CPE, они автоматически вносятся на всех использующих шаблон устройствах. После завершения работы с шаблоном CPE вы можете перейти к созданию и настройке отдельных устройств. Конфигурация устройства настраивается в соответствии с примененным шаблоном, однако в нее можно внести локальные изменения, если не все параметры соответствуют вашим требованиям.

[Topic 243166]

Создание шаблона CPE

Чтобы создать шаблон CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Вверху страницы нажмите на кнопку + Шаблон CPE.
3. В открывшемся окне в поле Имя введите имя шаблона CPE.
4. В раскрывающемся списке Тип выберите тип шаблона CPE:
   • CPE – шаблон стандартного устройства CPE. Это значение выбрано по умолчанию.
   • uCPE – шаблон устройства uCPE.
5. Нажмите на кнопку Создать.

Откроется подраздел Шаблоны CPE, в котором отображается таблица шаблонов CPE. Шаблон будет создан и отобразится в таблице. Теперь его можно применить к устройству CPE при создании этого устройства.

[Topic 256292]

Экспорт шаблона CPE

Вы можете экспортировать конфигурацию шаблона CPE, чтобы затем импортировать ее в другой шаблон.

Чтобы экспортировать шаблон CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Экспортировать.

На ваше локальное устройство сохранится архив в формате TAR.GZ.

Архив содержит следующие данные:

• файл с описанием шаблона CPE в формате XML;
• файлы скриптов;
• файлы, необходимые для запуска скриптов, например SSL-сертификаты.

Конфигурация экспортируется полностью, включая все параметры, указанные на вкладках шаблона.

В сохраненном архиве с конфигурацией не содержится информация об устройствах, к которым был применен оригинальный шаблон CPE.

[Topic 256289]

Импорт шаблона CPE

Когда один шаблон CPE импортируется в другой, их конфигурация становится идентичной. Во время импорта вы можете выбрать вкладки шаблона CPE, на которых сохранится оригинальная конфигурация.

Перед импортом шаблона CPE требуется экспортировать шаблон CPE.

После импорта шаблон CPE останется примененным к устройствам, но конфигурация этих устройств не изменяется.

Чтобы импортировать шаблон CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Импортировать.
4. В открывшемся окне снимите флажки рядом с вкладками шаблона CPE, которые требуется оставить без изменения после импорта.
5. В поле Файл укажите путь к архиву в формате TAR.GZ.
6. Нажмите на кнопку Импортировать.

Конфигурация шаблона CPE будет изменена в соответствии с конфигурацией импортируемого шаблона.

[Topic 256299]

Клонирование шаблона CPE

При клонировании шаблона CPE создается его копия с новым именем, которая не применена ни к одному устройству.

Чтобы клонировать шаблон CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Клонировать.
4. В открывшемся окне введите имя нового шаблона CPE.
5. Нажмите на кнопку Клонировать.

Копия шаблона CPE будет создана и отобразится в таблице.

[Topic 256301]

Экспорт параметров и интерфейсов SD-WAN из шаблона CPE

Вы можете экспортировать из шаблона CPE параметры подключения устройства к сети SD-WAN, которые настраиваются на вкладке Параметры SD-WAN, а также конфигурацию интерфейсов SD-WAN, которые настраиваются на вкладке Параметры SD-WAN → Интерфейсы.

Чтобы экспортировать параметры и интерфейсы SD-WAN из шаблона CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Экспортировать параметры SD-WAN.

На ваше локальное устройство сохранится файл в формате JSON с именем <Имя шаблона>sdwan-config.

[Topic 256303]

Экспорт сетевых интерфейсов из шаблона CPE

Вы можете экспортировать из шаблона CPE конфигурацию сетевых интерфейсов, которые настраиваются на вкладке Параметры сети.

Чтобы экспортировать сетевые интерфейсы из шаблона CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Экспортировать сетевые интерфейсы.

На ваше локальное устройство сохранится файл в формате JSON и именем <Имя шаблона>-network-config.

[Topic 256304]

Просмотр устройств, использующих шаблон CPE

Чтобы просмотреть устройства, использующие шаблон CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Показать связанные CPE.

Откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE. В таблице отобразятся только использующие шаблон CPE устройства.

[Topic 256286]

Удаление шаблона CPE

Вы не можете удалить шаблон, который применен к устройствам CPE. Удаленные шаблоны невозможно восстановить.

Чтобы удалить шаблон CPE:

1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

   Отобразится таблица шаблонов CPE.

2. Нажмите на шаблон CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Шаблон CPE будет удален и перестанет отображаться в таблице.

[Topic 244531]

Создание устройства CPE

Развернуть всё | Свернуть всё

Перед подключением устройства CPE к оркестратору для него можно создать запись в веб-интерфейсе. Во время создания записи вам нужно указать идентификатор DPID, чтобы впоследствии сопоставить ее с подключаемым устройством. При успешном сопоставлении записи с устройством оно автоматически регистрируется.

Вы можете создать устройство CPE для текущего экземпляра SD-WAN, а также для выбранного тенанта или экземпляра SD-WAN. Для создания устройства CPE используйте следующие инструкции:

• Создание устройства CPE для текущего экземпляра SD-WAN.

  Чтобы создать устройство CPE для текущего экземпляра SD-WAN:

  1. В меню перейдите в раздел SD-WAN.

     По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

  2. Вверху страницы нажмите на кнопку + CPE.
  3. В открывшемся окне в поле Имя введите имя устройства CPE.
  4. В поле DPID введите идентификатор DPID устройства CPE.
  5. В раскрывающемся списке Состояние выберите состояние устройства после регистрации:
     • Активировано – применить к устройству конфигурацию шаблона CPE. Активированное устройство можно подключать к транспортным сервисам и использовать для передачи трафика. Это значение выбрано по умолчанию.
     • Деактивировано – не применять к устройству конфигурацию шаблона CPE. Вы можете внести локальные изменения в конфигурацию устройства перед активацией.
  6. При необходимости в поле Описание введите краткое описание устройства.
  7. В блоке Тенант выберите основного тенанта. Вы можете выбрать пул экземпляров SD-WAN или отдельный экземпляр из пула.
  8. При необходимости в блоке Клиентский тенант выберите тенанта организации вашего клиента.
  9. При необходимости в блоке Шаблон UNI выберите шаблон UNI, чтобы создать на устройстве содержащиеся в шаблоне UNI.
  10. В блоке Шаблон CPE выберите шаблон CPE, чтобы настроить устройство в соответствии с конфигурацией этого шаблона.
  11. Нажмите на кнопку Далее и в поле Адрес укажите адрес площадки устройства CPE. По мере ввода адреса вам предлагается выбрать адрес в раскрывающемся списке.

      Адрес отобразится на карте.

  12. Нажмите на кнопку Создать.

  Устройство CPE будет создано и отобразится в таблице. Теперь его можно настроить, после чего использовать для передачи трафика.

• Создание устройства CPE для тенанта.

  Чтобы создать устройство CPE для тенанта:

  1. В меню перейдите в раздел Тенанты.

     Отобразится страница управления тенантами.

  2. В блоке Тенанты выберите тенанта.
  3. В блоке Устройства CPE нажмите на кнопку + Устройство CPE.
  4. В открывшемся окне в поле Имя введите имя устройства CPE.
  5. В поле DPID введите идентификатор DPID устройства CPE.
  6. В раскрывающемся списке Состояние выберите состояние устройства после регистрации:
     • Активировано – применить к устройству конфигурацию шаблона CPE. Активированное устройство можно подключать к транспортным сервисам и использовать для передачи трафика. Это значение выбрано по умолчанию.
     • Деактивировано – не применять к устройству конфигурацию шаблона CPE. Вы можете внести локальные изменения в конфигурацию устройства перед активацией.
  7. При необходимости в поле Описание введите краткое описание устройства.
  8. При необходимости в блоке Клиентский тенант выберите тенанта организации вашего клиента.
  9. При необходимости в блоке Шаблон UNI выберите шаблон UNI, чтобы создать на устройстве содержащиеся в шаблоне UNI.
  10. В блоке Шаблон CPE выберите шаблон CPE, чтобы настроить устройство в соответствии с конфигурацией этого шаблона.
  11. Нажмите на кнопку Далее и в поле Адрес укажите адрес площадки устройства CPE. По мере ввода адреса вам предлагается выбрать адрес в раскрывающемся списке.

      Адрес отобразится на карте.

  12. Нажмите на кнопку Создать.

  Устройство CPE будет создано и отобразится в блоке Устройства CPE. Теперь его можно настроить, после чего использовать для передачи трафика.

• Создание устройства CPE для экземпляра SD-WAN.

  Чтобы создать устройство CPE для экземпляра SD-WAN:

  1. В меню перейдите в подраздел SD-WAN → Экземпляры SD-WAN.

     Отобразится таблица экземпляров SD-WAN.

  2. Нажмите на экземпляр SD-WAN.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Вверху области настройки нажмите на кнопку CPE.
  4. В открывшемся окне в поле Имя введите имя устройства CPE.
  5. В поле DPID введите идентификатор DPID устройства CPE.
  6. В раскрывающемся списке Состояние выберите состояние устройства после регистрации:
     • Активировано – применить к устройству конфигурацию шаблона CPE. Активированное устройство можно подключать к транспортным сервисам и использовать для передачи трафика. Это значение выбрано по умолчанию.
     • Деактивировано – не применять к устройству конфигурацию шаблона CPE. Вы можете внести локальные изменения в конфигурацию устройства перед активацией.
  7. При необходимости в поле Описание введите краткое описание устройства.
  8. В блоке Тенант выберите основного тенанта. Вы можете выбрать пул экземпляров SD-WAN или отдельный экземпляр из пула.
  9. При необходимости в блоке Клиентский тенант выберите тенанта организации вашего клиента.
  10. При необходимости в блоке Шаблон UNI выберите шаблон UNI, чтобы создать на устройстве содержащиеся в шаблоне UNI.
  11. В блоке Шаблон CPE выберите шаблон CPE, чтобы настроить устройство в соответствии с конфигурацией этого шаблона.
  12. Нажмите на кнопку Далее и в поле Адрес укажите адрес площадки устройства CPE. По мере ввода адреса вам предлагается выбрать адрес в раскрывающемся списке.

      Адрес отобразится на карте.

  13. Нажмите на кнопку Создать.

  Веб-интерфейс экземпляра SD-WAN откроется в новой вкладке браузера и вы будете аутентифицированы как администратор. По умолчанию вы перейдете в подраздел Устройства CPE, в котором отображается таблица устройств CPE. Устройство будет создано и отобразится в таблице. Теперь его можно настроить, после чего использовать для передачи трафика.

[Topic 256311]

Указание адреса устройства CPE

Чтобы указать адрес устройства CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Указать адрес.
4. В открывшемся окне введите адрес площадки устройства CPE. По мере ввода адреса вам предлагается выбрать адрес в раскрывающемся списке.

   Адрес отобразится на карте.

5. Нажмите на кнопку Сохранить.

[Topic 245100]

Регистрация устройства CPE

Если устройство CPE подключается к оркестратору и не может быть сопоставлено ни с одной из созданных вами записей, его необходимо зарегистрировать. При регистрации устройства CPE не требуется подключаться к облачным сервисам производителя.

Чтобы зарегистрировать устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Зарегистрировать.
4. В раскрывающемся списке Состояние выберите состояние устройства после регистрации:
   • Активировано – применить к устройству конфигурацию шаблона CPE. Активированное устройство можно подключать к транспортным сервисам и использовать для передачи трафика. Это значение выбрано по умолчанию.
   • Деактивировано – не применять к устройству конфигурацию шаблона CPE. Вы можете внести локальные изменения в конфигурацию устройства перед активацией.
5. При необходимости в поле Описание введите краткое описание устройства.
6. В блоке Тенант выберите основного тенанта. Вы можете выбрать пул экземпляров SD-WAN или отдельный экземпляр из пула.
7. При необходимости в блоке Клиентский тенант выберите тенанта организации вашего клиента.
8. При необходимости в блоке Шаблон UNI выберите шаблон UNI, чтобы создать на устройстве содержащиеся в шаблоне UNI.
9. В блоке Шаблон CPE выберите шаблон CPE, чтобы настроить устройство в соответствии с конфигурацией этого шаблона.
10. Нажмите на кнопку Далее и в поле Адрес укажите адрес площадки устройства CPE. По мере ввода адреса вам предлагается выбрать адрес в раскрывающемся списке.

    Адрес отобразится на карте.

11. Нажмите на кнопку Зарегистрировать.

Статус устройства CPE изменится сначала на Регистрация, затем на Зарегистрировано.

Ваши дальнейшие действия определяются значением, выбранным в раскрывающемся списке Состояние:

• Если вы выбрали Активировано, вы можете использовать устройство для передачи трафика.
• Если вы выбрали Деактивировано, вам нужно настроить устройство, затем активировать, и только тогда вы сможете использовать его для передачи трафика.

[Topic 256312]

Активация и деактивация устройства CPE

При активации устройства к нему применяется шаблон CPE. Не активированное устройство невозможно использовать для передачи трафика.

Чтобы активировать или деактивировать устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Активировать или Деактивировать.

[Topic 245418]

Активация устройства CPE с помощью веб-адреса

Kaspersky SD-WAN поддерживает активацию устройств СРЕ с помощью веб-адреса (англ. URL-based ZTP). Активация с помощью веб-адреса упрощает и ускоряет первоначальную настройку CPE путем автоматизации передачи параметров конфигурации в адрес и последующего ее применения.

Минимизация ручного вмешательства при активации с помощью веб-адреса снижает требования к сотруднику, который активирует и настраивает устройство CPE на месте его установки. Этот способ активации удобен при двухфакторной аутентификации или первичном внесении базовых настроек сетевой связности для подключения устройства СРЕ к оркестратору (например, статических IP или BGP).

Существуют следующие особенности активации с помощью веб-адреса:

• Активация с помощью веб-адреса доступна для устройств CPE c прошивкой в стартовом состоянии.
• Устройства CPE не должно находиться в статусе Неизвестно.

Вы можете указать шаблон веб-адреса для активации при настройке подключения устройства CPE к сети SD-WAN в поле URL ZTP.

Чтобы активировать устройство CPE с помощью веб-адреса:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Получить URL активации и в открывшемся окне скопируйте веб-адрес.
4. Отправьте веб-адрес пользователю, который активирует и настраивает устройство CPE на месте его установки. Пользователю нужно выполнить следующие действия, чтобы активировать устройство CPE:
   1. Подключиться к LAN-интерфейсу устройства CPE и получить IP-адрес по DHCP.
   2. Перейти по полученной ссылке или вставить веб-адрес в адресную строку браузера.
   3. Дождаться, пока устройство CPE получит конфигурацию, применит полученные параметры и перезагрузится.

[Topic 256314]

Подключение к консоли устройства CPE

Чтобы подключиться к консоли устройства CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. В блоке Действия нажмите на кнопку Открыть SSH-консоль.

В новой вкладке браузера откроется окно консоли.

[Topic 256309]

Удаление устройства CPE

Когда вы удаляете устройство CPE, автоматически удаляются все созданные на этом устройстве сервисные интерфейсы. Удаленные устройства CPE невозможно восстановить.

Чтобы удалить устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Устройство CPE будет удалено и перестанет отображаться в таблице.

[Topic 256313]

Просмотр пароля устройства CPE

Чтобы просмотреть пароль устройства CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Показать пароль.

Откроется окно с паролем устройства CPE.

[Topic 256316]

Перезагрузка устройства CPE

Чтобы перезагрузить устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Перезагрузить.
4. В открывшемся окне подтверждения нажмите на кнопку Перезагрузить.

[Topic 256317]

Выключение устройства CPE

При выключении устройства CPE в его оперативную систему отправляется команда shutdown.

Чтобы выключить устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Выключить.
4. В открывшемся окне подтверждения нажмите на кнопку Выключить.

[Topic 256318]

Экспорт параметров и интерфейсов SD-WAN из устройства CPE

Вы можете экспортировать из устройства CPE параметры подключения устройства к сети SD-WAN, которые настраиваются на вкладке Параметры SD-WAN, а также конфигурацию интерфейсов SD-WAN, которые настраиваются на вкладке Параметры SD-WAN → Интерфейсы.

Чтобы экспортировать параметры и интерфейсы SD-WAN из устройства CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Экспортировать параметры SD-WAN.

На ваше локальное устройство сохранится файл в формате JSON с именем <Имя шаблона>sdwan-config.

[Topic 256319]

Экспорт сетевых интерфейсов из устройства CPE

Вы можете экспортировать из устройства CPE конфигурацию сетевых интерфейсов, которые настраиваются на вкладке Параметры сети.

Чтобы экспортировать сетевые интерфейсы из шаблона CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Вверху области настройки в блоке Действия нажмите на кнопку Экспортировать сетевые интерфейсы.

На ваше локальное устройство сохранится файл в формате JSON и именем <Имя шаблона>-network-config.

[Topic 262117]

Поиск устройств CPE

Чтобы найти устройство CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Вверху страницы нажмите на кнопку поиска и в отобразившемся поле введите требуемый критерий поиска. Например, вы можете ввести имя устройства CPE, IP-адрес или один из назначенных тегов.

Результаты поиска отобразятся в таблице.

[Topic 243195]

Автоматическое удаление и деактивация устройства CPE

Развернуть всё | Свернуть всё

Вы можете указать время, по прошествии которого отдельное устройство CPE или все устройства, использующие шаблон CPE будут удалены или деактивированы в случае потери связи с контроллером SD-WAN.

Обе функции используются для предотвращения краж устройств. Функция автоматического удаления также используется для очистки веб-интерфейса оркестратора от устаревших записей. По умолчанию обе функции выключены.

Для автоматического удаления и деактивации устройств CPE используйте следующие инструкции:

• Настройка автоматического удаления и/или деактивации отдельного устройства CPE.

  Чтобы настроить автоматическое удаление и/или деактивацию отдельного устройства CPE:

  1. В меню перейдите в раздел SD-WAN.

     По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

  2. Нажмите на устройство CPE.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Деактивация.

     Отобразятся параметры функций автоматического удаления и деактивации устройства CPE.

  4. Настройте автоматическое удаление устройства CPE:
     1. Установите флажок Переопределить рядом с полем Время удаления (сек.), чтобы игнорировать примененный шаблон CPE и получить возможность изменить параметры автоматического удаления. По умолчанию флажок снят.
     2. Установите флажок Включить рядом с полем Время удаления (сек.), чтобы включить автоматическое удаление.
     3. В поле Время удаления (сек.) введите время, по прошествии которого устройство требуется удалить при отсутствии связи с контроллером SD-WAN. Время указывается в секундах. Диапазон значений: от 60 до 31 536 000. Введенное значение не должно быть ниже значения, которое вы указываете для функции автоматической деактивации.
  5. Настройте автоматическую деактивацию устройства CPE:
     1. Установите флажок Переопределить рядом с полем Время деактивации (сек.), чтобы игнорировать примененный шаблон CPE и получить возможность изменить параметры автоматической деактивации. По умолчанию флажок снят.
     2. Установите флажок Включить рядом с полем Время деактивации (сек.), чтобы включить автоматическую деактивацию.
     3. В поле Время деактивации (сек.) введите время, по прошествии которого устройство требуется деактивировать при отсутствии связи с контроллером SD-WAN. Время указывается в секундах. Диапазон значений: от 60 до 31 536 000. Введенное значение не должно быть выше значения, которое вы указываете для функции автоматического удаления.
  6. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию устройства CPE.
• Настройка автоматического удаления и/или деактивации всех устройств, использующих шаблон CPE.

  Чтобы настроить автоматическое удаление и/или деактивацию всех устройств, использующих шаблон CPE:

  1. В меню перейдите в подраздел SD-WAN → Шаблоны CPE.

     Отобразится таблица шаблонов CPE.

  2. Нажмите на шаблон CPE.

     Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

  3. Выберите вкладку Деактивация.

     Отобразятся параметры функций автоматического удаления и деактивации устройства CPE.

  4. Настройте автоматическое удаление всех устройств, использующих шаблон CPE:
     1. Установите флажок Включить рядом с полем Время удаления (сек.), чтобы включить автоматическое удаление. По умолчанию автоматическое удаление выключено.
     2. В поле Время удаления (сек.) введите время, по прошествии которого устройство требуется удалить при отсутствии связи с контроллером SD-WAN. Время указывается в секундах. Диапазон значений: от 60 до 31 536 000. Введенное значение не должно быть ниже значения, которое вы указываете для функции автоматической деактивации.
  5. Настройте автоматическую деактивацию всех устройств, использующих шаблон CPE:
     1. Установите флажок Включить рядом с полем Время деактивации (сек.), чтобы включить автоматическую деактивацию. По умолчанию автоматическая деактивация выключена.
     2. В поле Время деактивации (сек.) введите время, по прошествии которого устройство требуется деактивировать при отсутствии связи с контроллером SD-WAN. Время указывается в секундах. Диапазон значений: от 60 до 31 536 000. Введенное значение не должно быть выше значения, которое вы указываете для функции автоматического удаления.
  6. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию шаблона CPE.

[Topic 244953]

Двухфакторная аутентификация устройства CPE

Двухфакторная аутентификация используется для безопасной регистрации устройства CPE. При включении двухфакторной аутентификации в базу данных оркестратора записывается ключ безопасности, который вам нужно вручную ввести на устройстве. Регистрация проходит успешно только при условии совпадения двух ключей безопасности.

Чтобы настроить двухфакторную аутентификацию на устройстве CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Активация.

   Отобразятся параметры двухфакторной аутентификации устройства CPE.

4. В раскрывающемся списке Двухфакторная аутентификация выберите одно из следующих значений:
   • Включено.
   • Выключено – это значение выбрано по умолчанию.
5. Если вы включили двухфакторную аутентификацию, нажмите на кнопку Сгенерировать под полем Токен, чтобы сгенерировать ключ безопасности.
6. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию устройства CPE.
7. Введите сгенерированный ключ безопасности на устройстве CPE в папке /etc/config/sdwan.

[Topic 256320]

Сертификаты оркестратора

Для предотвращения MITM-атак (англ. man in the middle) при обращении к оркестратору устройство CPE проверяет, можно ли доверять сертификату оркестратора. По умолчанию на устройствах установлены корневые сертификаты публичных центров сертификации.

Если для оркестратора используется сертификат, подписанный публичным центром сертификации, установка дополнительного сертификата на устройствах не требуется. В противном случае необходимо добавить используемый оркестратором публичный корневой сертификат на устройствах, загрузив его в веб-интерфейс оркестратора.

Существуют следующие особенности управления сертификатами:

• при каждой загрузке нового сертификата в веб-интерфейсе оркестратора сертификат распространяется на устройства СРЕ автоматически;
• при первоначальной активации устройства СРЕ с помощью веб-адреса загруженный в оркестратор сертификат автоматически устанавливается на устройстве;
• за 30 дней до окончания срока действия сертификата оркестратор начинает выводить уведомление об этом при каждой аутентификации пользователя в веб-интерфейсе оркестратора.

[Topic 248730]

Загрузка сертификата оркестратора

Чтобы загрузить сертификат оркестратора:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Вверху страницы нажмите на кнопку + Сертификат.
3. Укажите путь к файлу сертификата в формате PEM. Максимальный размер файла: 128 КБ.

Информация о загруженном сертификате отобразится в подразделе Сертификат. Сертификат будет автоматически распространен на устройствах CPE. Вы можете распространить сертификат вручную.

[Topic 256323]

Просмотр сертификата оркестратора

Чтобы просмотреть сертификат оркестратора,

в меню перейдите в подраздел SD-WAN → Сертификат.

Откроется страница с информацией о загруженном сертификате оркестратора.

[Topic 256321]

Распространение сертификата оркестратора на устройствах CPE вручную

Вы можете вручную распространить сертификат оркестратора на устройствах CPE, не дожидаясь автоматического распространения.

Чтобы распространить сертификат оркестратора на устройствах CPE вручную:

1. В меню перейдите в подраздел SD-WAN → Сертификат.

   Откроется страница с информацией о загруженном сертификате оркестратора.

2. Вверху страницы нажмите на кнопку Применить к CPE.

[Topic 256325]

Экспорт сертификата оркестратора

Чтобы экспортировать сертификат оркестратора:

1. В меню перейдите в подраздел SD-WAN → Сертификат.

   Откроется страница с информацией о загруженном сертификате оркестратора.

2. Вверху страницы нажмите на кнопку Экспортировать.

На ваше локальное устройство сохранится файл в формате PEM с именем cacert.

[Topic 256334]

Теги

Теги – это метки, которые описывают различные параметры устройства CPE, например модель, версию программного обеспечения или адрес расположения. Теги классифицируют устройства для выполнения с ними требуемых задач. Например, с их помощью вы можете сгруппировать устройства одной модели, после чего обновить на них прошивку.

Когда вы создаете устройство CPE ему автоматически назначаются теги, описывающие модель и тенанта, к которому оно относится.

Если требуется, вы можете назначить теги одному или нескольким устройствам CPE одновременно. Обратите внимание, что для назначения тега устройство должно находиться в статусе Зарегистрировано.

Kaspersky SD-WAN не поддерживает назначение двух одинаковых тегов одному устройству CPE.

[Topic 244664]

Назначение тегов устройствам CPE

Чтобы назначить тег отдельному устройству CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Теги.

   Отобразятся назначенные устройству CPE теги.

4. Введите тег и нажмите на кнопку назначения .
5. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию устройства CPE.

Чтобы назначить тег нескольким устройствам CPE одновременно:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Установите флажки рядом с устройствами CPE.
3. Вверху страницы в раскрывающемся списке Действия выберите Добавить теги.
4. В открывшемся окне введите тег и нажмите на кнопку назначения .
5. Нажмите на кнопку Добавить.

[Topic 256338]

Удаление тегов устройств CPE

Чтобы удалить тег отдельного устройства CPE:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

   Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания .

3. Выберите вкладку Теги.

   Отобразятся назначенные устройству CPE теги.

4. Нажмите на кнопку удаления рядом с тегом.
5. Вверху области настройки нажмите на кнопку Сохранить, чтобы сохранить конфигурацию устройства CPE.

Чтобы удалить тег нескольких устройств CPE одновременно:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Установите флажки рядом с устройствами CPE.
3. Вверху страницы в раскрывающемся списке Действия выберите Удалить теги.
4. В открывшемся окне удалите теги:
   • Нажмите на кнопку удаления рядом с тегом.
   • Введите тег в поле и выберите его в раскрывающемся списке.
5. Нажмите на кнопку Удалить.

[Topic 251415]

Внеполосное управление устройствами CPE

В рамках развернутого Kaspersky SD-WAN взаимодействие оркестратора с устройствами CPE происходит через наложенную сеть SD-WAN и является внутриполосным (англ. in-band). Однако решение также поддерживает внеполосное управление (англ. out-of-band management, далее также OOB-управление), подразумевающее передачу управляющего трафика между оркестратором и устройствами через подлежащую (англ. underlay) сеть по HTTPS или TLS без задействования туннелей.

OOB-управление позволяет управлять устройствами CPE, а также проводить их диагностику, даже в случае отсутствия установленных туннелей. Например, вы можете использовать OOB-управление, если используете только точки подключения local breakout или при возникновении аварии на сети SD-WAN.

После регистрации устройство CPE начинает отправлять API-запросы оркестратору с определенным интервалом времени для получения новых конфигураций. Интервал времени указывается при настройке подключения устройства к сети SD-WAN в поле Интервал обновления (сек.).

Когда вы вносите изменения в конфигурацию устройства CPE в веб-интерфейсе, оркестратор сохраняет новую конфигурацию со статусом Ожидание. Устройство в свою очередь получает эту конфигурацию при очередном отправлении API-запроса, и она переходит в статус Выполнение. В случае успешного применения конфигурации устройство сообщает об этом оркестратору, после чего она переходит в статус Выполнено. Если устройство сообщает о невозможности применения конфигурации, она переходит в статус Ошибка.

Перед применением новой конфигурации на устройстве CPE выполняется копирование текущей конфигурации. Если после успешного применения новой конфигурации устройство не может отправить оркестратору сообщение с подтверждением, после 3-х попыток выполняется откат к предыдущей версии. В этом случае конфигурация на оркестраторе также переходит в статус Ошибка.

Вы можете просматривать статусы конфигураций на отдельном устройстве CPE.

Чтобы просмотреть статус конфигураций:

1. В меню перейдите в раздел SD-WAN.

   По умолчанию откроется подраздел Устройства CPE, в котором отображается таблица устройств CPE.

2. Нажмите на устройство CPE.

Внизу страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на кнопку развертывания . Конфигурации и их статус отображаются в таблице Внеполосное управление.

[Topic 256339]

Управление устройствами CPE через меню контроллера SD-WAN

Когда вы создаете устройство CPE, оно также отображается в разделе Коммутаторы меню настройки контроллера SD-WAN. В этом подразделе вы можете управлять устройством и просматривать на нем статистику. Устройства отображаются в таблице со следующими столбцами:

• Имя – имя устройства CPE.
• ID – порядковый номер устройства CPE. С помощью этого столбца вы можете определять, в каком порядке устройства подключились к контроллеру SD-WAN. Устройство с наименьшим порядковым номером подключилось к контроллеру первым.
• Статус – статус устройства CPE в контроллере SD-WAN. В этом столбце может отображаться один из следующих статусов:
  • Активный – устройство находится под управлением контроллера.
  • Неактивный –устройство не находится под управлением контроллера.
• Подключение – статус подключения устройства CPE к контроллеру SD-WAN. В этом столбце может отображаться один из следующих статусов:
  • Подключен – между устройством и контроллером установлена TCP-сессия.
  • Отключен – между устройством и контроллером не установлена TCP-сессия.
• MAC – MAC-адрес устройства CPE.
• Интерфейс – один или несколько WAN-интерфейсов SD-WAN устройства CPE для установления TCP-сессии с контроллером SD-WAN.
• Основная сессия – WAN-интерфейс SD-WAN устройства CPE, через который установлено управляющее соединение с контроллером SD-WAN.
• IP – IP-адрес, который устройство CPE использует для установления TCP-сессии с контроллером SD-WAN.
• Порт – номер порта, который устройство CPE использует для установления TCP-сессии с контроллером SD-WAN.
• Создан – дата и время регистрации устройства CPE.
• Адрес – адрес площадки устройства CPE.
• Задержка (мс.) – время задержки в миллисекундах для TCP-сессии между устройством CPE и контроллером SD-WAN. Отображается значение для управляющего соединения.
• Описание – краткое описание устройства CPE.

Обратите внимание, что отображающаяся вверху страницы кнопка Коммутатор не используется для создания новых устройств CPE. Это действие выполняется в разделе SD-WAN.

Просмотр статистики на устройствах CPE позволяет анализировать и контролировать процесс передачи трафика между этими устройствами и адаптировать используемые сетевые политики в соответствии с изменяющимися требованиями вашей организации.

Мы не рекомендуем изменять параметры устройств CPE и OpenFlow-интерфейсов в разделе Коммутаторы, так как это может привести к неполадкам в работе сети SD-WAN. Вы можете изменить параметры устройств CPE в подразделе Устройства CPE, а параметры OpenFlow-интерфейсов – в конфигурации устройства CPE на вкладке Параметры SD-WAN.

[Topic 255755]

Просмотр OpenFlow-таблицы устройства CPE

Чтобы просмотреть OpenFlow-таблицу устройства CPE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Нажмите на кнопку Управление рядом с контроллером SD-WAN и в раскрывающемся списке выберите Меню конфигурации.

   Откроется меню настройки контроллера SD-WAN. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Коммутаторы.

   Отобразится таблица устройств CPE.

4. Нажмите на кнопку Управление рядом с устройством CPE и в раскрывающемся списке выберите OpenFlow-таблица.

Откроется OpenFlow-таблица устройства CPE. Вы можете переключаться между страницами таблицы, используя кнопки Предыдущая и Следующая.

[Topic 256341]

Просмотр статистики OpenFlow-интерфейсов

Чтобы просмотреть статистику OpenFlow-интерфейсов:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Нажмите на кнопку Управление рядом с контроллером SD-WAN и в раскрывающемся списке выберите Меню конфигурации.

   Откроется меню настройки контроллера SD-WAN. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Коммутаторы.

   Отобразится таблица устройств CPE.

4. Нажмите на кнопку Управление рядом с устройством CPE и в раскрывающемся списке выберите Статистика интерфейса.

   Откроется таблица статистики OpenFlow-интерфейсов.

5. При необходимости измените содержимое таблицы:
   • Вверху страницы нажмите на кнопку настройки и в раскрывающемся списке выберите параметры, которые требуется отобразить в статистике.
   • Нажмите на кнопку Очистить статистику, чтобы очистить статистику.

[Topic 256342]

Просмотр статистики очередей на LAN-интерфейсах

Чтобы просмотреть статистику очередей на LAN-интерфейсах:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Нажмите на кнопку Управление рядом с контроллером SD-WAN и в раскрывающемся списке выберите Меню конфигурации.

   Откроется меню настройки контроллера SD-WAN. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Коммутаторы.

   Отобразится таблица устройств CPE.

4. Нажмите на кнопку Управление рядом с устройством CPE и в раскрывающемся списке выберите Статистика очередей.

Откроется таблица статистики очередей на LAN-интерфейсах.

[Topic 256343]

Переход к сервисным интерфейсам на устройстве CPE

Чтобы перейти к сервисным интерфейсам, созданным на устройстве CPE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Нажмите на кнопку Управление рядом с контроллером SD-WAN и в раскрывающемся списке выберите Меню конфигурации.

   Откроется меню настройки контроллера SD-WAN. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Коммутаторы.

   Отобразится таблица устройств CPE.

4. Нажмите на кнопку Управление рядом с устройством CPE и в раскрывающемся списке выберите Сервисные интерфейсы.

Откроется подраздел Сервисные интерфейсы, в котором отображается таблица сервисных интерфейсов.

[Topic 256344]

Просмотр технических характеристик устройства CPE

Чтобы просмотреть технические характеристики устройства CPE:

1. В меню перейдите в раздел Инфраструктура.

   Откроется страница управления инфраструктурой сети SD-WAN. По умолчанию выбрана вкладка Сетевые ресурсы, на которой отображается таблица контроллеров SD-WAN.

2. Нажмите на кнопку Управление рядом с контроллером SD-WAN и в раскрывающемся списке выберите Меню конфигурации.

   Откроется меню настройки контроллера SD-WAN. По умолчанию вы перейдете в раздел Узлы контроллера, в котором отображается таблица узлов контроллера.

3. Перейдите в раздел Коммутаторы.

   Отобразится таблица устройств CPE.

4. Нажмите на кнопку Управление рядом с устройством CPE и в раскрывающемся списке выберите Информация об оборудовании.