Wêne Tamper Parastin: Îmzekirina RPM û verastkirina îmzeyê
ji bo hemî pakêtên RPM di ISO-yê de û wêneyan nûve bikin.
Îmzekirina RPM: Hemî pakêtên RPM di Cisco Enterprise NFVIS ISO de
û nûvekirina wêneyan têne îmze kirin da ku yekitiya krîptografîk misoger bikin û
durustî.

Verastkirina Îmzeya RPM: Îmzeya hemî pakêtên RPM ye
berî sazkirinê an nûvekirinê verast kirin.
Verastkirina Yekbûna Wêne: Haş a wêneya ISO ya Cisco NFVIS
û wêneyê nûvekirin tê weşandin da ku yekparebûna pêvekê misoger bike
ne-RPM files.

ENCS Secure Boot: Parçeyek standarda UEFI, piştrast dike ku
pêlavên cîhazê tenê bi karanîna nermalava pêbawer bikar tînin.
Nasnameya Amûra Yekta Ewle (SUDI): Amûrê peyda dike
bi nasnameyeke neguhêrbar ku rastbûna wê verast bike.

Lêkirinî

Ji bo sazkirina nermalava NFVIS, van gavan bişopînin:

Piştrast bikin ku wêneya nermalavê t nebûyeampbi destê
verastkirina îmze û yekitiya wê.

Ger Cisco Enterprise NFVIS 3.7.1 û paşê bikar bînin, wê piştrast bikin
verastkirina îmzeyê di dema sazkirinê de derbas dibe. Ger bi ser nekeve,
sazkirin dê betal bibe.
Ger nûvekirina ji Cisco Enterprise NFVIS 3.6.x ber Release
3.7.1, îmzeyên RPM di dema nûvekirinê de têne verast kirin. Ger ku
Verastkirina îmzeyê têk diçe, xeletiyek tê tomar kirin lê nûvekirin heye
temam kirin.

Ger nûvekirina ji Release 3.7.1 berbi weşanên paşîn, RPM
Dema ku wêneya nûvekirinê tê tomar kirin îmze têne rast kirin. Ger
verastkirina îmzeyê têk diçe, nûvekirin tê betal kirin.
Hashê wêneya Cisco NFVIS ISO verast bikin an wêneyê nûve bikin
bi karanîna fermanê: /usr/bin/sha512sum <image_filepath>. Haş bi ya hatî weşandin berhev bikin
hash ji bo misogerkirina yekitiyê.

Secure Boot

Boota ewledar taybetmendiyek e ku li ser ENCS heye (ji hêla xwerû ve neçalak e)
ku piştrast dike ku cîhaz tenê bi karanîna nermalava pêbawer dest pê dike. Ber
boota ewledar çalak bike:

Ji bo bêtir li belgeyên li ser Secure Boot of Host binihêrin
agahî.

Rêwerzên peydakirî bişopînin da ku boota ewledar li ser we çalak bikin
sazî.

Nasnameya Amûra Yekta Ewle (SUDI)

SUDI NFVIS bi nasnameyek neguhêrbar peyda dike, wê piştrast dike
ew hilberek Cisco ya resen e û nasîna wê di nav de misoger dike
pergala envanterê ya xerîdar.

FAQ

Pirs: NFVIS çi ye?

A: NFVIS ji bo Virtualîzasyona Fonksiyona Torê radiweste
Nivîsbariya Binesaziyê. Ew platformek nermalavê ye ku ji bo bicîhkirinê tê bikar anîn
û fonksiyonên torê yên virtual birêve bibin.

Pirs: Ez çawa dikarim yekitiya wêneya NFVIS ISO-ê an jî verast bikim
nûvekirina wêneyê?

A: Ji bo verastkirina yekitiyê, fermanê bikar bînin
/usr/bin/sha512sum <image_filepath> û bidin ber hev
hash bi hash weşandin ji aliyê Cisco.

Pirs: Ma boota ewledar ji hêla xwerû ve li ser ENCS çalak e?

A: Na, boota ewledar ji hêla xwerû ve li ser ENCS neçalak e. Ev e
pêşniyar kirin ku ji bo ewlehiya zêdekirî bootek ewledar çalak bikin.

Q: Armanca SUDI di NFVIS de çi ye?

A: SUDI NFVIS bi nasnameyek yekta û neguhêrbar peyda dike,
rastbûna wê wekî hilberek Cisco piştrast dike û wê hêsan dike
naskirina di pergala envanterê ya xerîdar de.

View Fullscreen

Nîqaşên Ewlekariyê
Ev beş taybetmendî û ramanên ewlehiyê yên di NFVIS de vedibêje. Ew li ser asta bilind dideview ji hêmanên têkildar ên ewlehiyê yên di NFVIS de ji bo plansazkirina stratejiyek ewlehiyê ya ji bo bicîhkirina taybetî ya we. Di heman demê de ji bo bicîhkirina hêmanên bingehîn ên ewlehiya torê jî pêşniyarên li ser pratîkên çêtirîn ên ewlehiyê hene. Nermalava NFVIS xwedan ewlehiya rast ji sazkirinê di nav hemî qatên nermalavê de ye. Beşên paşerojê li ser van aliyên ewlehiyê yên derveyî yên wekî rêveberiya pêbaweriyê, yekrêzî û t.ampparastina er, rêveberiya danişînê, gihîştina cîhaza ewledar û hêj bêtir.

· Sazkirin, li ser rûpela 2 · Nasnameya Amûra Yekta Ewle, li ser rûpela 3 · Gihîştina Amûrê, li ser rûpela 4

Nîşanên Ewlekariyê 1

Lêkirinî

Nîqaşên Ewlekariyê

· Tora Rêvebiriya Binesaziyê, li ser rûpela 22 · Parastina Agahdariya Herêmî, li ser rûpela 23 · File Veguhastin, li ser rûpela 24 · Têketin, li ser rûpela 24 · Ewlekariya Makîneya Virtual, li ser rûpela 25 · Veqetandina VM û Dabînkirina Çavkaniyê, li ser rûpela 26 · Jiyana Pêşkeftina Ewle, li ser rûpela 29

Lêkirinî
Ji bo ku nermalava NFVIS nehatiye tampbi , wêneya nermalavê berî sazkirinê bi karanîna mekanîzmayên jêrîn ve tê verast kirin:

Wêne Tamper Parastina
NFVIS ji bo hemî pakêtên RPM-ê yên di ISO-yê û nûvekirina wêneyan de îmzekirina RPM û verastkirina îmzeyê piştgirî dike.

Îmzekirina RPM

Hemî pakêtên RPM-ê yên di Cisco Enterprise NFVIS ISO-yê de û wêneyên nûvekirî têne îmze kirin da ku yekitî û rastbûna krîptografî misoger bikin. Ev garantî dike ku pakêtên RPM nehatine tampbi û pakêtên RPM ji NFVIS in. Mifteya taybet a ku ji bo îmzekirina pakêtên RPM-ê tê bikar anîn ji hêla Cisco ve hatî afirandin û bi ewlehî tê parastin.

Verification Signature RPM

Nermalava NFVIS berî sazkirinê an nûvekirinê îmzeya hemî pakêtên RPM piştrast dike. Tabloya jêrîn tevgera NFVIS ya Cisco Enterprise vedibêje dema ku verastkirina îmzeyê di dema sazkirin an nûvekirinê de têk diçe.

Senaryo

Terîf

Cisco Enterprise NFVIS 3.7.1 û sazkirinên paşê Heke dema sazkirina Cisco Enterprise NFVIS verastkirina îmzeyê têk neçe, sazkirin tê betal kirin.

Nûvekirina Cisco Enterprise NFVIS ji 3.6.x berbi berdana 3.7.1

Dema ku nûvekirin tê kirin, îmzeyên RPM têne verast kirin. Ger verastkirina îmzeyê têk neçe, xeletiyek tê tomar kirin lê nûvekirin qediya.

Nûvekirina Cisco Enterprise NFVIS ji Release 3.7.1 Dema nûvekirinê îmzeyên RPM têne piştrast kirin

ji bo weşanên paşê

wêne qeydkirî ye. Ger verastkirina îmzeyê têk neçe,

nûvekirin tê betalkirin.

Verastkirina Yekbûna Wêne
Îmzekirina RPM û verastkirina îmzeyê tenê ji bo pakêtên RPM-ê yên ku di Cisco NFVIS ISO-yê de peyda dibin û wêneyên nûvekirî têne kirin. Ji bo misogerkirina yekbûna hemî ne-RPM-ên zêde fileDi wêneya Cisco NFVIS ISO de heye, haşek wêneya Cisco NFVIS ISO bi wêneyê re tê weşandin. Bi heman rengî, haşek wêneya nûvekirina Cisco NFVIS digel wêneyê tê weşandin. Ji bo verastkirina ku hash Cisco

Nîşanên Ewlekariyê 2

Nîqaşên Ewlekariyê

ENCS Secure Boot

Wêneya ISO ya NFVIS an nûvekirina wêneyê bi hash-a ku ji hêla Cisco ve hatî weşandin re têkildar e, emrê jêrîn bimeşînin û hash-ê bi hash-a hatî weşandin re bidin hev:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Boota Ewle beşek ji standarda Navbera Firmwareya Berfirehkirî ya Yekgirtî (UEFI) ye ku piştrast dike ku amûrek tenê bi karanîna nermalava ku ji hêla Çêkera Amûrên Orjînal (OEM) ve pê pêbawer e vedibe. Dema ku NFVIS dest pê dike, firmware îmzeya nermalava boot û pergala xebitandinê kontrol dike. Ger îmze derbasdar bin, cîhaz boot dibe, û firmware kontrolê dide pergala xebitandinê.
Boota ewledar li ser ENCS-ê heye lê ji hêla xwerû ve hatî asteng kirin. Cisco ji we re pêşniyar dike ku hûn bootek ewledar çalak bikin. Ji bo bêtir agahdarî, binêre Boot Ewle ya Host.
Nasnameya Amûra Yekta Ewle
NFVIS mekanîzmayek ku wekî Nasnameya Amûra Yekta Ewle (SUDI) tê zanîn bikar tîne, ku jê re nasnameyek neguhêr peyda dike. Ev nasname ji bo verastkirina ku cîhaz hilberek Cisco ya resen e, û ji bo ku cîhaz ji pergala depoya xerîdar re baş tê zanîn tê bikar anîn.
SUDI sertîfîkayek X.509v3 û cotek mifteya têkildar e ku di hardware de têne parastin. Sertîfîkaya SUDI nasnameya hilberê û jimareya rêzê vedihewîne û di Binesaziya Kilîta Giştî ya Cisco de ye. Cotê mifteyê û sertîfîkaya SUDI di dema çêkirinê de di modula hardware de têne danîn, û mifteya taybet çu carî nayê derxistin.
Nasnameya SUDI-based dikare were bikar anîn da ku bi karanîna Zero Touch Provisioning (ZTP) veavakirina pejirandî û otomatîkî pêk bîne. Ev yeka ewledar, ji dûr ve li ser cîhazan dihêle, û piştrast dike ku servera orkestrayê bi amûrek NFVIS-a rastîn re diaxive. Pergalek paşîn dikare ji cîhaza NFVIS re dijwariyek derxîne da ku nasnameya xwe rast bike û cîhaz dê bi karanîna nasnameya xweya bingeha SUDI bersivê bide dijwariyê. Ev dihêle ku pergala paşîn ne tenê li hember depoya xwe verast bike ku cîhaza rast li cîhê rast e lê di heman demê de veavakirina şîfrekirî jî peyda dike ku tenê ji hêla cîhaza taybetî ve dikare were vekirin, bi vî rengî nepenîtiya di veguhastinê de misoger dike.
Diagramên xebata jêrîn destnîşan dikin ka NFVIS çawa SUDI bikar tîne:

Nîşanên Ewlekariyê 3

Gihîştina Amûrê Wêne 1: Nasnameya serverê Plug and Play (PnP).

Nîqaşên Ewlekariyê

Figure 2: Plug and Play Device Nasname û Destûrkirin

Destûra Amûrê
NFVIS mekanîzmayên gihîştina cihêreng peyda dike, tevî konsolê û her weha gihîştina dûr a li ser bingeha protokolên wekî HTTPS û SSH. Divê her mekanîzmaya gihîştinê bi baldarî ji nû ve were kirinviewed û mîheng kirin. Piştrast bikin ku tenê mekanîzmayên gihîştina pêwîst çalak in û ew bi rêkûpêk hatine ewle kirin. Pêngavên sereke yên ji bo ewlekirina gihandina hem înteraktîf û hem jî rêveberî ya NFVIS ev e ku meriv gihîştina cîhazê sînordar bike, kapasîteyên bikarhênerên destûr ji ya ku tê xwestin sînordar bike, û rêgezên destûr ên gihîştinê sînordar bike. NFVIS piştrast dike ku gihîştin tenê ji bikarhênerên pejirandî re tê dayîn û ew dikarin tenê çalakiyên destûrdar bikin. Gihîştina cîhazê ji bo kontrolê tê tomar kirin û NFVIS nepenîtiya daneyên hesas ên herêmî yên hilanîn piştrast dike. Girîng e ku meriv kontrolên guncan were saz kirin da ku pêşî li gihîştina bêdestûr a NFVIS bigire. Di beşên jêrîn de pratîk û vesazên çêtirîn ji bo bidestxistina vê yekê diyar dikin:
Nîşanên Ewlekariyê 4

Nîqaşên Ewlekariyê

Di Têketina Yekem de Guhertina Şîfreya Binpêkirin

Di Têketina Yekem de Guhertina Şîfreya Binpêkirin
Pêbaweriyên xwerû çavkaniyek pir caran ya bûyerên ewlehiya hilberê ne. Xerîdar bi gelemperî ji bîr dikin ku pêbaweriyên têketinê yên xwerû biguhezînin ku pergalên xwe ji êrîşê re vekirî dihêlin. Ji bo pêşîgirtina vê yekê, bikarhênerê NFVIS neçar e ku piştî têketina yekem bi karanîna pêbaweriyên xwerû (navê bikarhêner: admin û şîfreya Admin123#) şîfreyê biguhezîne. Ji bo bêtir agahdarî, binihêrin Gihîştina NFVIS.
Sînordarkirina Qelsiyên Têketinê
Hûn dikarin bi karanîna taybetmendiyên jêrîn pêşî li xirapbûna ferheng û êrîşên Înkarkirina Karûbarê (DoS) bigirin.
Pêkanîna şîfreya bihêz
Mekanîzmayek erêkirinê tenê bi qasî pêbaweriyên wê bihêz e. Ji ber vê yekê, girîng e ku bikarhêner xwedan şîfreyên bihêz bin. NFVIS kontrol dike ku şîfreyek bihêz li gorî qaîdeyên jêrîn hatî mîheng kirin: Divê şîfre hebe:
· Bi kêmanî yek tîpek mezin · Bi kêmanî yek tîpek piçûk · Bi kêmanî yek hejmar · Bi kêmanî yek ji van tîpên taybetî: heş (#), binê (_), daçek (-), stêrk (*), an pirs
nîşana (?) · Heft tîp an zêdetir · Dirêjahiya şîfreyê divê di navbera 7 û 128 tîpan de be.
Veavakirina Dirêjiya Kêmtirîn Ji bo Şîfreyan
Kêmbûna tevliheviya şîfreyê, nemaze dirêjahiya şîfreyê, dema ku êrîşkar hewl didin şîfreyên bikarhêner texmîn bikin, cîhê lêgerînê bi girîngî kêm dike, û êrîşên brute-force pir hêsantir dike. Bikarhêner rêveber dikare dirêjahiya herî kêm a ku ji bo şîfreyên hemî bikarhêneran hewce dike mîheng bike. Dirêjahiya herî kêm divê di navbera 7 û 128 tîpan de be. Bi xwerû, dirêjahiya herî hindik a ku ji bo şîfreyan hewce dike bi 7 tîpan tê danîn. CLI:
nfvis(config)# rastkirina rbac min-pwd-dirêj 9
API:
/api/config/rbac/authentication/min-pwd-length
Veavakirina Jiyana Şîfreyê
Jiyana şîfreyê diyar dike ka çiqas dirêj şîfreyek dikare were bikar anîn berî ku bikarhêner hewce bike ku wê biguhezîne.

Nîşanên Ewlekariyê 5

Ji nû ve bikaranîna şîfreya berê sînordar bikin

Nîqaşên Ewlekariyê

Bikarhêner rêveber dikare ji bo hemî bikarhêneran ji bo şîfreyên herî kêm û herî zêde nirxên jiyanê mîheng bike û ji bo kontrolkirina van nirxan qaîdeyek bicîh bîne. Nirxa jiyanê ya herî kêm a xwerû li ser 1 roj û nirxa herî zêde ya jiyanê ya xwerû li 60 rojan hatî danîn. Dema ku nirxek hindiktirîn ya jiyanê were mîheng kirin, bikarhêner nikare şîfreyê biguhezîne heya ku rojên diyarkirî derbas nebin. Bi heman rengî, dema ku nirxek heyamê ya herî zêde were mîheng kirin, pêdivî ye ku bikarhêner berî çend rojên diyarkirî şîfreyê biguhezîne. Ger bikarhênerek şîfreyê neguherîne û rojên diyarkirî derbas bûne, ji bikarhêner re agahdariyek tê şandin.
Nîşe Nirxên jiyana hindiktirîn û herî zêde û qaîdeya kontrolkirina van nirxan ji bikarhênerê rêvebir re nayên sepandin.
CLI:
termînalê rbac rastkirina şîfreyê mîheng bike-rojên rastîn 2 rojên herî zêde 30 pêk anîn
API:
/api/config/rbac/authentication/password-lifetime/
Ji nû ve bikaranîna şîfreya berê sînordar bikin
Bêyî pêşîlêgirtina karanîna şîfreyên berê, qediya şîfreyê bi piranî bêkêr e ji ber ku bikarhêner dikarin bi tenê şîfreya derbasbûnê biguhezînin û dûv re wê vegerînin ya orîjînal. NFVIS kontrol dike ku şîfreya nû ne wekî yek ji 5 şîfreyên ku berê hatine bikar anîn e. Yek ji îstîsna vê qaîdeyê ev e ku bikarhêner rêveber dikare şîfreya xwe biguhezîne şîfreya xwerû tevî ku ew yek ji 5 şîfreyên ku berê hatine bikar anîn jî be.
Frequency hewldanên têketinê sînordar bikin
Ger destûr ji hevalek dûr re were dayîn ku hejmareke bêsînor car têkeve, dibe ku ew di dawiyê de bikaribe pêbaweriyên têketinê bi hêza hov texmîn bike. Ji ber ku paşnav bi gelemperî hêsan têne texmîn kirin, ev êrîşek hevpar e. Bi sînorkirina rêjeya ku peer dikare têketinê biceribîne, em pêşî li vê êrîşê digirin. Di heman demê de em ji xerckirina çavkaniyên pergalê ji bo rastkirina nehewce ya van hewildanên têketinê yên hovane yên ku dikarin êrîşek Înkarkirina Karûbarê biafirînin jî dûr dixin. NFVIS piştî 5 hewildanên têketinê yên têkçûyî girtina bikarhênerek 10 hûrdem ferz dike.
Hesabên bikarhêner ên neçalak neçalak bike
Şopandina çalakiya bikarhêner û neçalakkirina hesabên bikarhêner ên nekarandî an qelewî ji bo ewlekirina pergalê ji êrîşên hundurîn dibe alîkar. Hesabên ku nayên bikar anîn divê di dawiyê de bêne rakirin. Bikarhêner rêveber dikare qaîdeyek bicîh bîne da ku hesabên bikarhêner ên neçalak wekî neçalak nîşan bide û çend rojên ku piştî wan hesabek bikarhênerek nekaranîn wekî neçalak tê nîşankirin mîheng bike. Dema ku wekî neçalak were nîşankirin, ew bikarhêner nikare têkeve pergalê. Ji bo ku bikarhêner bikaribe têkeve pergalê, bikarhêner admin dikare hesabê bikarhênerê çalak bike.
Nîşe Serdema bêçalaktiyê û qaîdeya kontrolkirina heyama bêçalaktiyê ji bikarhênerê rêveber re nayê sepandin.

Nîşanên Ewlekariyê 6

Nîqaşên Ewlekariyê

Çalakkirina Hesabê Bikarhênerek Neçalak

CLI û API-ya jêrîn dikare were bikar anîn da ku bicîhkirina neçalakiya hesabê mîheng bike. CLI:
termînalê rbac rastkirina hesab-neçalaktiyê mîheng bike bêçalaktiya rastîn bicîh bîne-rojên 30 commit
API:
/api/config/rbac/authentication/account-neactivity/
Nirxa xwerû ji bo rojên bêçalaktiyê 35 e.
Çalakkirina Hesabek Bikarhênerek Neçalak Bikarhênerê rêveber dikare bi karanîna CLI û API-ya jêrîn hesabê bikarhênerek neçalak çalak bike: CLI:
mîhengên termînalê rbac authentication bikarhênerên bikarhêner guest_user aktîfkirin commit
API:
/api/operasyon/rbac/authentîkasyon/bikarhêner/bikarhêner/navê bikarhêner/çalakkirin

Sazkirina Şîfreyên BIOS û CIMC bicîh bikin

Tablo 1: Tabloya Dîroka Taybetmendiyê

Navê taybetmendiyê

Agahdariya berdanê

Sazkirina Şîfreyên BIOS û CIMC NFVIS 4.7.1 bicîh bikin

Terîf
Vê taybetmendiyê bikarhêner bi zorê dike ku şîfreya xwerû ya CIMC û BIOS-ê biguhezîne.

Sînorkirinên ji bo Pêkanîna Sazkirina Şîfreyên BIOS û CIMC
· Ev taybetmendî tenê li ser platformên Cisco Catalyst 8200 UCPE û Cisco ENCS 5400 piştgirî ye.
· Ev taybetmendî tenê di sazkirina nû ya NFVIS 4.7.1 û weşanên paşîn de tê piştgirî kirin. Ger hûn ji NFVIS 4.6.1 nûve bikin bo NFVIS 4.7.1, ev taybetmendî nayê piştgirî kirin û ji we nayê xwestin ku hûn şîfreyên BIOS û CIMS-ê sifir bikin, her çend şîfreyên BIOS û CIMC neyên mîheng kirin.

Agahdarî Di Derbarê Pêkanîna Sazkirina Şîfreyên BIOS û CIMC de
Ev taybetmendî valahiya ewlehiyê bi sepandina veavakirina şîfreyên BIOS û CIMC piştî sazkirina nû ya NFVIS 4.7.1 çareser dike. Şîfreya CIMC ya xwerû şîfre ye û şîfreya xwerû ya BIOS-ê bê şîfre ye.
Ji bo rastkirina valahiya ewlehiyê, hûn neçar in ku şîfreyên BIOS û CIMC di ENCS 5400 de mîheng bikin. Di dema sazkirina nû ya NFVIS 4.7.1 de, heke şîfreyên BIOS û CIMC nehatibin guhertin û hîn jî hene.

Nîşanên Ewlekariyê 7

Veavakirin Exampji bo Veguheztina Bi zorê ya Şîfreyên BIOS û CIMC

Nîqaşên Ewlekariyê

şîfreyên xwerû, wê hingê ji we tê xwestin ku hûn hem şîfreyên BIOS û CIMC biguherînin. Ger tenê yek ji wan ji nû ve verastkirinê hewce bike, ji we tê xwestin ku hûn şîfreya tenê ji bo wê pêkhateyê sifir bikin. Cisco Catalyst 8200 UCPE tenê şîfreya BIOS-ê hewce dike û ji ber vê yekê tenê veavakirina şîfreya BIOS-ê tê xwestin, heke ew jixwe nehatiye saz kirin.
Nîşe Heke hûn ji her serbestberdana berê nûve bikin bo NFVIS 4.7.1 an nûvekirinên paşê, hûn dikarin şîfreyên BIOS û CIMC bi karanîna fermanên şîfreya nû ya guheztina-bios-şîfreya nû an jî bi fermanên şîfreya nû ya hostaction-cimc-şîfreya biguherînin.
Ji bo bêtir agahdarî li ser şîfreyên BIOS û CIMC, li BIOS û Şîfreya CIMC binêre.
Veavakirin Exampji bo Veguheztina Bi zorê ya Şîfreyên BIOS û CIMC
1. Dema ku hûn NFVIS 4.7.1 saz dikin, divê hûn pêşî şîfreya rêveberê ya xwerû ji nû ve bikin.
Nermalava Binesaziya Virtualîzasyona Fonksiyona Tora Cisco (NFVIS)
NFVIS Versiyon: 99.99.0-1009
Copyright (c) 2015-2021 ji hêla Cisco Systems, Inc. Cisco, Cisco Systems, û Cisco Systems logo marqeyên qeydkirî yên Cisco Systems, Inc. û/an jî hevalbendên wê yên li DY û hin welatên din in.
Mafên kopî yên hin karên ku di vê nermalavê de hene xwediyê aliyên sêyemîn ên din in û di bin peymanên lîsansê yên partiya sêyemîn de têne bikar anîn û têne belav kirin. Hin pêkhateyên vê nermalavê di bin GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 û AGPL 3.0 de destûrname ne.
rêveberê ku ji 10.24.109.102 ve girêdayî ye bi karanîna ssh li ser nfvis rêveberê ku bi pêbaweriyên xwerû hatî tomarkirin Ji kerema xwe şîfreyek ku pîvanên jêrîn têr dike peyda bikin:
1.Kêmtirîn tîpek piçûk 2.Kêmtirîn tîpek mezin 3.Kêmtirîn hejmarek 4.Kêmtirîn karakterek taybetî ji # _ – * ? 5.Dirêjahî divê di navbera 7 û 128 tîpan de be Ji kerema xwe şîfreya xwe ji nû ve bike : Ji kerema xwe şîfreyê ji nû ve binivîse :
Vegerandina şîfreya rêveberê
2. Li ser platformên Cisco Catalyst 8200 UCPE û Cisco ENCS 5400 gava ku hûn saziyek nû ya NFVIS 4.7.1 an jî nûvedanên nû dikin, divê hûn şîfreyên xwerû yên BIOS û CIMC biguhezînin. Ger şîfreyên BIOS û CIMC berê nehatine mîheng kirin, pergal ji we re şîfreyên BIOS û CIMC ji bo Cisco ENCS 5400 û tenê şîfreya BIOS-ê ji bo Cisco Catalyst 8200 UCPE ji we re vedibêje.
Şîfreya nû ya rêveberê hate danîn
Ji kerema xwe şîfreya BIOS-ê ya ku pîvanên jêrîn têr dike peyda bikin: 1. Bi kêmanî yek tîpek piçûk 2. Bi kêmanî yek tîpek mezin 3. Bi kêmanî yek hejmar 4. Bi kêmanî karakterek taybetî ji #, @ an _ 5. Divê dirêjahî di navbera 8 û 20 tîp 6. Divê yek ji rêzikên jêrîn nehewîne (hesasîyeta mezin): bios 7. Karaktera yekem nikare bibe #

Nîşanên Ewlekariyê 8

Nîqaşên Ewlekariyê

Şîfreyên BIOS û CIMC verast bikin

Ji kerema xwe şîfreya BIOS-ê ji nû ve binivîsin: Ji kerema xwe şîfreya BIOS-ê ji nû ve binivîsin: Ji kerema xwe şîfreya CIMC ya ku pîvanên jêrîn têr dike peyda bikin:
1. Bi kêmanî yek tîpek piçûk 2. Bi kêmanî yek tîpek mezin 3. Bi kêmanî yek hejmar 4. Herî kêm karakterek taybetî ji #, @ an _ 5. Dirêjahî divê di navbera 8 û 20 tîpan de be 6. Divê tu yek ji wan tunebe rêzikên jêrîn (hesas bi tîpan): admin Ji kerema xwe şîfreya CIMC-ê ji nû ve vegerîne: Ji kerema xwe şîfreya CIMC-ê ji nû ve binivîse:

Şîfreyên BIOS û CIMC verast bikin
Ji bo verastkirina ku şîfreyên BIOS û CIMC bi serketî hatine guheztin, têketina pêşandanê bikar bînin nfvis_config.log | BIOS bihewîne an têketinê nîşan bide nfvis_config.log | fermanên CIMC tê de hene:

nfvis# têketinê nîşan bide nfvis_config.log | BIOS tê de

2021-11-16 15:24:40,102 INFO

[hostaction:/pergal/settings] [] Guhertina şîfreya BIOS

serketî ye

Her weha hûn dikarin nfvis_config.log dakêşin file û verast bikin ka şîfre bi serfirazî hatine nûve kirin.

Yekbûnek bi serverên AAA yên derveyî re
Bikarhêner bi navgîniya ssh an jî têkevin NFVIS Web UI. Di her rewşê de, bikarhêner hewce ne ku bêne pejirandin. Ango, bikarhênerek pêdivî ye ku pêbaweriyên şîfreyê pêşkêş bike da ku bigihîje.
Dema ku bikarhênerek were pejirandin, hemî operasyonên ku ji hêla wî bikarhêner ve têne kirin hewce ne ku bêne destûr kirin. Ango, dibe ku hin bikarhêner destûr bidin ku hin karan bikin, lê yên din ne. Ji vê re destûrname tê gotin.
Tête pêşniyar kirin ku serverek AAA-ya navendî were bicîh kirin da ku ji bo gihîştina NFVIS verastkirina têketinê ya li ser bingeha AAA-yê ji bo her bikarhênerek bicîh bike. NFVIS protokolên RADIUS û TACACS piştgirî dike ku navbeynkariya gihîştina torê bike. Li ser servera AAA, tenê îmtiyazên gihîştina hindiktirîn divê ji bikarhênerên pejirandî re li gorî daxwazên gihîştina wan ên taybetî bêne dayîn. Ev hem rûbirûbûna bûyerên ewlehiyê yên xirab û hem jî ne mebest kêm dike.
Ji bo bêtir agahdarî li ser rastkirina derveyî, li Veavakirina RADIUS û Veavakirina Pêşkêşkerek TACACS+ binêre.

Cache Nasname ji bo Pêşkêşkara Rastkirina Derveyî

Navê taybetmendiyê

Agahdariya berdanê

Cache Nasname ji bo Pêşkêşkara Nasnameyê ya Derveyî NFVIS 4.5.1

Terîf
Vê taybetmendiyê piştrastkirina TACACS bi OTP-ê li ser portalê NFVIS piştgirî dike.

Portala NFVIS ji bo hemî bangên API-ê piştî pejirandina destpêkê heman Şîfreya Yek-Time (OTP) bikar tîne. Gava ku OTP qediya, bangên API têk diçin. Vê taybetmendiyê bi portalê NFVIS ve piştrastkirina TACACS OTP piştgirî dike.
Piştî ku we bi serketî bi navgîniya servera TACACS ve bi karanîna OTP-ê verast kir, NFVIS bi karanîna navê bikarhêner û OTP-ê navnîşek hash-ê diafirîne û vê nirxa hash-ê li herêmî hilîne. Vê nirxa hash a herêmî hilanîn heye

Nîşanên Ewlekariyê 9

Kontrola Têketinê ya Bingeha Rola

Nîqaşên Ewlekariyê

dema bidawîbûna stamp pê ve girêdayî ye. Dema stamp xwedî heman nirxê nirxa dema bêkar a danişîna SSH ye ku 15 hûrdem e. Hemî daxwazên pejirandinê yên paşerojê yên bi heman navê bikarhêner pêşî li hember vê nirxa hashê ya herêmî têne pejirandin. Ger verastkirin bi hashaya herêmî re têk nebe, NFVIS vê daxwazê bi servera TACACS re piştrast dike û gava ku verastkirin serketî be têketinek haş a nû diafirîne. Ger têketinek hash jixwe hebe, dema wê stamp 15 hûrdeman tê vegerandin.
Ger piştî ku hûn bi serfirazî têkeve portalê hûn ji servera TACACS werin derxistin, hûn dikarin karanîna portalê bidomînin heya ku têketina hash di NFVIS de biqede.
Dema ku hûn bi eşkere ji portalê NFVIS derdikevin an ji ber dema betaliyê hûn derdikevin, portal gazî API-yek nû dike da ku pişta NFVIS agahdar bike da ku têketina hash bişo. Piştî NFVIS-ê ji nû ve destpêkirin, vesazkirina fabrîkî, an nûvekirin, cacheya erêkirinê û hemî navnîşên wê têne paqij kirin.

Kontrola Têketinê ya Bingeha Rola

Sînordarkirina gihîştina torê ji rêxistinên ku gelek karmend hene, peymankaran kar dikin an destûr didin gihîştina aliyên sêyemîn, wek xerîdar û firoşkaran, girîng e. Di senaryoyek wusa de, dijwar e ku meriv gihîştina torê bi bandor bişopîne. Di şûna wê de, çêtir e ku meriv tiştê gihîştî kontrol bike, da ku daneyên hesas û serîlêdanên krîtîk ewle bike.
Kontrola gihîştina-based rol (RBAC) rêbazek sînorkirina gihîştina torê ye ku li ser bingeha rola bikarhênerên kesane yên di nav pargîdaniyek de ye. RBAC dihêle bikarhêner tenê agahdariya ku ew hewce ne bigihîjin, û rê li wan digire ku bigihîjin agahdariya ku ne girêdayî wan e.
Pêdivî ye ku rola karmendek di pargîdaniyê de were bikar anîn da ku destûrnameyên hatine dayîn destnîşan bike, da ku bicîh bikin ku karmendên xwedan îmtiyazên kêmtir nikaribin bigihîjin agahdariya hesas an karên krîtîk bikin.
Rol û îmtiyazên bikarhêner ên jêrîn di NFVIS de têne destnîşan kirin

Rola Bikarhêner

Berjewendî

Administrators

Dikare hemî taybetmendiyên berdest mîheng bike û hemî peywiran tevî guheztina rolên bikarhêner pêk bîne. Rêvebir nikare binesaziya bingehîn a ku ji bo NFVIS-ê bingehîn e jê bibe. Rola bikarhênerê Admin nayê guhertin; her tim “rêveber” e.

Operators

Dikare VM dest pê bike û rawestîne, û view hemû agahî.

Auditors

Ew bikarhênerên herî kêm îmtiyaz in. Destûra wan tenê-xwendinê heye û ji ber vê yekê, nikarin tu veavakirinê biguherînin.

Feydeyên RBAC
Gelek feydeyên karanîna RBAC-ê hene ku gihandina torê ya nepêwist li ser bingeha rola mirovan di nav rêxistinekê de sînordar bike, di nav de:
· Pêşvebirina karbidestiya xebatê.
Di RBAC de hebûna rolên pêşwextkirî hêsan dike ku meriv bikarhênerên nû bi îmtiyazên rast vehewîne an jî rolên bikarhênerên heyî biguhezîne. Di heman demê de dema ku destûrên bikarhêner têne destnîşankirin ew potansiyela xeletiyê jî qut dike.
· Zêdekirina lihevhatinê.

Nîşanên Ewlekariyê 10

Nîqaşên Ewlekariyê

Kontrola Têketinê ya Bingeha Rola

Divê her rêxistin li gorî rêzikên herêmî, dewletî û federal tevbigere. Pargîdanî bi gelemperî tercîh dikin ku pergalên RBAC bicîh bikin da ku daxwazên birêkûpêk û qanûnî yên nepenî û nepenîtiyê bicîh bînin ji ber ku rêveber û beşên IT-ê dikarin bi bandortir rêve bibin ka dane çawa têne gihîştin û bikar anîn. Ev bi taybetî ji bo saziyên darayî û pargîdaniyên tenduristiyê yên ku daneyên hesas îdare dikin girîng e.
· Kêmkirina mesrefan. Bi nehiştina gihîştina bikarhêner ji hin pêvajo û serîlêdanan re, dibe ku pargîdan çavkaniyên wekî pêlava torê, bîranîn û hilanînê bi rengek erzan biparêzin an bikar bînin.
· Kêmkirina metirsiya binpêkirin û derçûna daneyan. Bicîhanîna RBAC tê wateya sînordarkirina gihîştina agahdariya hesas, bi vî rengî potansiyela binpêkirina daneyan an rijandina daneyê kêm dike.
Pratîkên çêtirîn ên ji bo pêkanînên kontrolkirina gihîştina-based rol · Wekî rêveberek, navnîşa bikarhêneran destnîşan bikin û bikarhêneran bi rolên pêşwext destnîşan bikin. Ji bo exampLe, bikarhêner "networkadmin" dikare were afirandin û li koma bikarhêner "rêveber" were zêdekirin.
termînalê mîheng bike erêkirina rbac bikarhêneran diafirînin-navê bikarhêner şîfreya torêadmin Test1_pass rêveberên rola xwe didin
Nîşe Kom an rolên bikarhêner ji hêla pergalê ve têne afirandin. Tu nikarî komek bikarhêner biafirînî an biguherînî. Ji bo guheztina şîfreyê, di moda veavakirina gerdûnî de fermana guheztina şîfreya bikarhêner a rastkirina rbac bikar bînin. Ji bo guhertina rola bikarhêner, di moda veavakirina gerdûnî de fermana guheztina-rola bikarhêner a rastkirina rbac bikar bînin.
· Ji bo bikarhênerên ku êdî pêdiviya wan bi gihîştinê nemaye hesabên biqedînin.
bikarhênerên rastkirina rbac termînalê mîheng bikî test1 navê bikarhêner jêbirin
· Ji bo nirxandina rolan, xebatkarên ku ji wan re hatine tayînkirin û gihîştina ku ji bo her rolê destûr tê dayîn, bi demkî vekolînan bikin. Ger tê dîtin ku bikarhênerek xwedan pergalek diyarkirî ne hewce ye, rola bikarhêner biguhezînin.
Ji bo bêtir agahdarî, Bikarhêner, Rol, û Nasname bibînin
Kontrola Gihîştinê ya Bingeha Rola Granular Ji NFVIS 4.7.1 dest pê dike, taybetmendiya Kontrola Gihîştina Bingeha Rola Granular tê destnîşan kirin. Vê taybetmendiyê polîtîkaya koma çavkaniyek nû ya ku VM û VNF-ê birêve dibe lê zêde dike û dihêle hûn bikarhêneran bi komekê veqetînin da ku gihîştina VNF-ê kontrol bikin, di dema danîna VNF de. Ji bo bêtir agahdarî, li Kontrola Gihîştina Bingeha Rola Granular binêre.

Nîşanên Ewlekariyê 11

Gihîştina Amûrê Bisînor bikin

Nîqaşên Ewlekariyê

Gihîştina Amûrê Bisînor bikin
Bikarhêner gelek caran ji ber êrîşên li dijî taybetmendiyên ku wan neparastine ji ber ku wan nizanibû ku ew taybetmendî hatine çalak kirin, bêhay hatine girtin. Karûbarên neyên bikar anîn bi mîhengên xwerû yên ku her gav ne ewle ne têne hiştin. Dibe ku ev karûbar şîfreyên xwerû jî bikar bînin. Hin karûbar dikarin êrîşkerek bi hêsanî bigihîjin agahdariya ku server çi dimeşîne an torê çawa tê saz kirin. Beşên jêrîn diyar dikin ka NFVIS çawa ji xetereyên ewlehiyê yên weha dûr dikeve:

Kêmkirina vektora êrîşê
Her perçeyek nermalavê dikare potansiyel qelsiyên ewlehiyê bigire. Nermalava bêtir tê wateya rêyên bêtir ji bo êrîşê. Tewra ku di dema tevlêbûnê de qelsiyên ku ji hêla gelemperî ve têne zanîn tune ne, dibe ku di pêşerojê de qelsî bêne kifş kirin an eşkere kirin. Ji bo ku ji senaryoyên weha dûr nekevin, tenê ew pakêtên nermalavê yên ku ji bo fonksiyona NFVIS bingehîn in têne saz kirin. Ev ji bo sînorkirina qelsiyên nermalavê, kêmkirina xerckirina çavkaniyê, û kêmkirina xebata zêde dibe alîkar dema ku pirsgirêk bi wan pakêtan re têne dîtin. Hemî nermalava sêyemîn a ku di NFVIS-ê de tê de tête tomar kirin li databasek navendî ya Cisco-yê tête tomar kirin da ku Cisco bikaribe bersivek organîzekirî ya asta pargîdanî pêk bîne (Qanûnî, Ewlekarî, hwd.). Pakêtên nermalavê bi awayekî periyodîk di her serbestberdanê de ji bo Qelsî û Pêşkêşiyên Hevbeş ên naskirî (CVE) têne paç kirin.

Ji hêla xwerû ve tenê portên bingehîn çalak dike

Tenê ew karûbarên ku ji bo sazkirin û birêvebirina NFVIS-ê bi tevahî hewce ne ji hêla xwerû ve têne peyda kirin. Ev hewildana bikarhêner a ku ji bo mîhengkirina dîwarên agir û redkirina gihîştina karûbarên nehewce hewce dike radike. Tenê karûbarên ku ji hêla xwerû ve têne çalak kirin li jêr digel portên ku ew vedikin têne navnîş kirin.

Portê vekin

Xizmetkar

Terîf

22 / TCP

SSH

Ji bo gihîştina xeta fermanê ya dûr a NFVIS-ê Socket Shell Ewle

80 / TCP

HTTP

Protokola Veguheztina Hypertext ji bo gihîştina portalê NFVIS. Hemî seyrûsefera HTTP ku ji hêla NFVIS ve hatî wergirtin ji bo HTTPS berbi porta 443 ve tê verast kirin

443 / TCP

HTTPS

Protokola Veguheztina Hypertext Ewle ji bo gihîştina portala NFVIS ya ewledar

830 / TCP

NETCONF-ssh

Port ji bo Protokola Vesazkirina Torgilokê (NETCONF) li ser SSH vebû. NETCONF protokolek e ku ji bo veavakirina otomatîkî ya NFVIS-ê û ji bo wergirtina agahdariya bûyera asînkron ji NFVIS-ê tê bikar anîn.

161 / UDP

SNMP

Protokola Rêveberiya Tora Sade (SNMP). Ji hêla NFVIS ve tê bikar anîn da ku bi serîlêdanên çavdêriya torê ya dûr re têkilî daynin. Ji bo bêtir agahdarî bibînin, Destpêka SNMP

Nîşanên Ewlekariyê 12

Nîqaşên Ewlekariyê

Ji bo Karûbarên Destûrdar Gihîştina Tora Destûrdar Bisînor bikin

Tenê destpêkerên destûrdar divê werin destûr kirin ku tewra hewil bidin gihîştina rêveberiya cîhazê, û gihîştin divê tenê ji karûbarên ku ew destûr dane bikar bînin be. NFVIS dikare bi vî rengî were mîheng kirin ku gihîştina çavkaniyên naskirî, pêbawer û pro-rêvebiriya seyrûsefera bendewarkirî were sînordar kirinfiles. Ev metirsiya gihîştina bêdestûr û rûbirûbûna êrîşên din, wek hêza hov, ferheng, an êrîşên DoS kêm dike.
Ji bo parastina navgînên rêveberiya NFVIS ji seyrûsefera nehewce û potansiyel zirardar, bikarhênerek rêveber dikare ji bo seyrûsefera torê ya ku hatî wergirtin Lîsteyên Kontrola Gihîştinê (ACL) biafirîne. Van ACL navnîşanên IP-ya çavkaniyê / torên ku seyrûsefer jê tê, û celebê seyrûsefera ku ji van çavkaniyan destûr an red kirin diyar dikin. Van fîlterên seyrûsefera IP-yê li ser her navbeynkariya rêveberiyê li ser NFVIS têne sepandin. Parametreyên jêrîn di navnîşek Kontrola Gihîştinê ya wergirtina IP-yê de têne mîheng kirin (ip-receive-acl)

Parametre

Giranî

Terîf

Tora çavkaniyê / Netmask

Tora / tormask. Ji bo example: 0.0.0.0/0
172.39.162.0/24

Ev qad navnîşana IP/tora ku seyrûsefer jê tê destnîşan dike

Çalakiya Xizmetê

https icmp netconf scpd snmp ssh redkirina avêtinê qebûl bike

Cureyê trafîkê ji çavkaniya diyarkirî.
Çalakiya ku li ser seyrûsefera ji tora çavkaniyê were girtin. Bi pejirandinê re, dê hewildanên girêdana nû werin dayîn. Bi redkirinê re, hewildanên girêdanê dê neyên pejirandin. Ger qaîdeyek ji bo karûbarek bingehîn a TCP-yê wekî HTTPS, NETCONF, SCP, SSH be, çavkanî dê pakêtek TCP-ê ji nû ve (RST) bistîne. Ji bo qaîdeyên ne-TCP yên wekî SNMP û ICMP, pakêt dê were avêtin. Bi avêtinê re, dê hemî pakêt tavilê werin avêtin, ti agahdarî ji çavkaniyê re nayê şandin.

Nîşanên Ewlekariyê 13

Gihîştina Debugê ya îmtiyaz

Nîqaşên Ewlekariyê

Parametre Priority

Nirx Nirxek hejmarî

Terîf
Pêşîn ji bo pêkanîna fermanek li ser rêbazan tê bikar anîn. Rêzikên bi nirxek jimareyî bilindtir ji bo pêşîniyê dê di zincîrê de bêtir werin zêdekirin. Heke hûn dixwazin pê ewle bibin ku qaîdeyek dê li dû qaîdeyek din were zêdekirin, ji bo yekem jimareyek pêşînek nizm û ji bo ya jêrîn jimareyek pêşînek bilindtir bikar bînin.

Ya jêrîn sampkonfigurasyon hin senaryoyên ku dikarin ji bo rewşên karanîna taybetî werin adapte kirin destnîşan dikin.
Veavakirina IP-ê Wergirtina ACL
ACL her ku sînordartir be, berbelavbûna hewildanên gihîştina nedestûr ew qas sînordartir e. Lêbelê, ACL-ya sînordartir dikare serkêşiyek rêveberiyê biafirîne, û dikare bandorê li gihîştinê bike da ku çareserkirina pirsgirêkan pêk bîne. Ji ber vê yekê, hevsengiyek heye ku were fikirîn. Yek lihevkirin ev e ku meriv gihîştina navnîşanên IP-ya pargîdaniya navxweyî tenê sînordar bike. Pêdivî ye ku her xerîdar pêkanîna ACL-ê bi polîtîkaya xweya ewlehiyê, xetere, xuyangkirin û pejirandina wan ve binirxîne.
Trafîka ssh ya ji jêrtorê red bike:

nfvis(config)# mîhengên pergalê ip-receive-acl 171.70.63.0/24 karûbarê ssh çalakiya pêşîn redkirina 1

Rakirina ACL:
Dema ku navnîşek ji ip-receive-acl tê jêbirin, hemî veavakirinên wê çavkaniyê têne jêbirin ji ber ku navnîşana IP-ya çavkaniyê mifteyê ye. Ji bo ku tenê karûbarek jêbirin, karûbarên din dîsa mîheng bikin.

nfvis(config)# mîhengên pergalê tune ip-receive-acl 171.70.63.0/24
Ji bo bêtir agahdarî, binihêrin, Veavakirina IP-yê Wergirtina ACL
Gihîştina Debugê ya îmtiyaz
Hesabê super-bikarhêner a li ser NFVIS ji hêla xwerû ve hatî neçalak kirin, da ku pêşî li hemî guhertinên bêsînor, potansiyel neyînî, li seranserê pergalê bigire û NFVIS şêlê pergalê ji bikarhêner re eşkere nake.
Lêbelê, ji bo hin pirsgirêkên ku li ser pergala NFVIS-ê debarkirina wan dijwar e, dibe ku tîmê Navenda Alîkariya Teknîkî ya Cisco (TAC) an tîmê pêşkeftinê hewce bike ku gihandina şêlê ji NFVIS-a xerîdar re hewce bike. NFVIS xwedan binesaziyek vekirina ewledar e da ku pê ewle bibe ku gihandina debugkirina îmtiyaz a amûrek li qadê ji karmendên destûrdar ên Cisco re were sînordar kirin. Ji bo ku bi ewlehî xwe bigihînin şêlê Linux-ê ji bo vî rengî debugkirina înteraktîf, mekanîzmayek rastrastkirina bersiv-bersiv di navbera NFVIS û servera debugging Interactive ya ku ji hêla Cisco ve hatî domandin de tê bikar anîn. Di heman demê de şîfreya bikarhênerê rêveberê ji bilî têketina dijwar-bersiv jî hewce ye ku pê ewle bibe ku cîhaz bi razîbûna xerîdar ve tê gihîştin.
Gavên gihîştina şêlê ji bo Debugging Interactive:
1. Bikarhênerek rêveber vê prosedurê bi karanîna vê fermana veşartî dest pê dike.

nfvis# pergala shell-access

Nîşanên Ewlekariyê 14

Nîqaşên Ewlekariyê

Navrûyên Ewle

2. Ekran dê stringek dijwar nîşan bide, ji bo nimûneample:
String Challenge (Ji kerema xwe her tiştî di navbera rêzikên stêrkê de bi taybetî kopî bikin):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Endam Cisco dikeve string Challenge li ser server Debug Interactive ku ji hêla Cisco ve tê parastin. Ev server piştrast dike ku bikarhênerê Cisco destûr e ku NFVIS-ê bi karanîna şêlê verast bike, û dûv re rêzek bersivê vedigerîne.
4. Rêza bersivê li ser ekranê li binê vê tavilê têkevin: Dema ku amade be bersiva xwe binivîsin:
5. Dema ku tê xwestin, xerîdar divê şîfreya rêveberê binivîse. 6. Heke şîfre derbasdar be, hûn gihîştina shell-ê digirin. 7. Tîma Pêşveçûn an TAC şêlê bikar tîne da ku bi verastkirinê re bimeşe. 8. Ji bo derketina şêl-gehiştina tîpa Derketinê.
Navrûyên Ewle
Gihîştina rêveberiya NFVIS bi karanîna navgînên ku di diagramê de têne destnîşan kirin destûr tê dayîn. Di beşên jêrîn de pratîkên çêtirîn ên ewlehiyê yên ji bo van navbeynkaran ji NFVIS re vedibêjin.

Konsolê SSH

Porta konsolê portek rêzefîlm a asynkron e ku dihêle hûn ji bo veavakirina destpêkê bi NFVIS CLI ve girêbidin. Bikarhênerek dikare bi gihandina laşî ya NFVIS-ê an jî bi gihandina ji dûr ve bi karanîna serverek termînalê ve bigihîje konsolê. Ger gihîştina porta konsolê bi riya serverek termînalê ve hewce ye, navnîşên gihîştinê li ser servera termînalê mîheng bikin da ku tenê ji navnîşanên çavkaniyê yên pêwîst destûr bidin.
Bikarhêner dikarin bi karanîna SSH-ê wekî navgînek ewledar a têketina ji dûr ve bigihîjin NFVIS CLI. Yekbûn û nepenîtiya seyrûsefera rêveberiya NFVIS ji bo ewlehiya tora birêveberî girîng e ji ber ku protokolên rêveberiyê bi gelemperî agahdariya ku dikare were bikar anîn da ku têkeve torê an têk bibe.

Nîşanên Ewlekariyê 15

Wextê danişîna CLI

Nîqaşên Ewlekariyê

NFVIS guhertoya 2-ya SSH-ê bikar tîne, ku protokola standard a Cisco û Înternetê ya defakto ye ji bo têketinên înteraktîf û algorîtmayên şîfrekirinê, hash û pevguhertina mifteyê yên bihêz ên ku ji hêla Rêxistina Ewlekarî û Baweriyê ve di hundurê Cisco de têne pêşniyar kirin piştgirî dike.

Wextê danişîna CLI
Bi têketina bi SSH, bikarhênerek bi NFVIS re rûniştinek saz dike. Dema ku bikarhêner têketinê ye, heke bikarhêner rûniştina têketinê bê şopandin bihêle, ev dikare torê bike ber xeterek ewlehiyê. Ewlekariya danişînê xetereya êrîşên navxweyî sînordar dike, wek mînak bikarhênerek hewl dide ku rûniştina bikarhênerek din bikar bîne.
Ji bo kêmkirina vê xetereyê, NFVIS piştî 15 hûrdemên bêçalaktiyê, danişînên CLI-ê diqede. Dema ku dema danişînê bigihîje, bikarhêner bixweber tê derxistin.

NETCONF

Protokola Vesazkirina Torgilokê (NETCONF) protokolek Rêvebiriya Torê ye ku ji hêla IETF ve ji bo veavakirina otomatîkî ya amûrên torê hatî pêşve xistin û standardîze kirin.
Protokola NETCONF ji bo daneyên veavakirinê û hem jî peyamên protokolê kodkirina daneya bingehîn a Zimanek Nîşana Berfireh (XML) bikar tîne. Peyamên protokolê li ser protokola veguheztina ewledar têne veguheztin.
NETCONF destûrê dide NFVIS ku API-ya-based XML-ya ku operatorê torê dikare bikar bîne da ku daneyên mîhengê û agahdariya bûyeran bi ewlehî li ser SSH-ê saz bike û bigire.
Ji bo bêtir agahdarî li, NETCONF Event Notifications binêre.

REST API

NFVIS dikare bi karanîna API-ya RESTful li ser HTTPS-ê were mîheng kirin. REST API destûrê dide pergalên daxwazkar ku bi karanîna komek yekgirtî û pêşwext a operasyonên bêdewlet bigihîjin û mîhengê NFVIS-ê bikar bînin. Agahiyên li ser hemî API-yên REST dikarin di rêbernameya NFVIS API Reference de werin dîtin.
Dema ku bikarhêner API-ya REST derdixe, danişînek bi NFVIS-ê re tê saz kirin. Ji bo ku xetereyên têkildarî êrîşên redkirina karûbarê sînordar bike, NFVIS jimara giştî ya danişînên REST-ê yên hevdem di 100-an de sînordar dike.

NFVIS Web Portal
Portala NFVIS a web-Navbera Bikarhêner a Grafîkî ya bingehîn ku agahdariya li ser NFVIS nîşan dide. Portal rêgezek hêsan pêşkêşî bikarhêner dike ku meriv NFVIS-ê li ser HTTPS-ê bêyî ku meriv NFVIS CLI û API-yê nas bike mîheng bike û çavdêrî bike.

Rêveberiya Rûniştinê
Xwezaya bêdewlet a HTTP û HTTPS hewceyê rêbazek şopandina yekta bikarhêneran bi karanîna nasnameyên danişîna yekta û çerezan dike.
NFVIS danişîna bikarhêner şîfre dike. Şîfreya AES-256-CBC ji bo şîfrekirina naveroka danişînê bi nasnameyek HMAC-SHA-256 tê bikar anîn. tag. Ji bo her operasyona şîfrekirinê Vektorek Destpêkirina 128-bitî ya rasthatî tê çêkirin.
Dema ku danişîna portalê tê afirandin tomarek Kontrolkirinê dest pê dike. Dema ku bikarhêner jê derkeve an dema danişînê xilas bibe agahdariya danişînê tê jêbirin.
Ji bo danişînên portalê dema bêkar a xwerû 15 hûrdem e. Lêbelê, ev dikare ji bo rûniştina heyî bi nirxek di navbera 5 û 60 hûrdeman de li ser rûpela Mîhengan were mîheng kirin. Piştî vê yekê derketina otomatîkî dê were destpêkirin

Nîşanên Ewlekariyê 16

Nîqaşên Ewlekariyê

HTTPS

cilhatina jinan. Di gerokek yekane de danişînên pirjimar nayên destûr kirin. Hejmara herî zêde ya danişînên hevdem wek 30 hatine danîn. Portala NFVIS ji bo ku daneyan bi bikarhênerê re têkildar bike cookies bikar tîne. Ew taybetmendiyên cookie yên jêrîn ji bo ewlehiya zêdekirî bikar tîne:
· demdemî ye ji bo ku dema gerok girtî be kuokî bi dawî dibe · httpTenê ji bo ku cookie ji JavaScriptê negihêje · ewleProxy da ku pê ewle bibe ku cookie tenê dikare bi SSL-ê were şandin.
Tewra piştî pejirandinê jî, êrişên wekî Xaç-Site Request Forgery (CSRF) mimkun in. Di vê senaryoyê de, bikarhênerek dawî dibe ku bi bêhemdî kiryarên nedilxwaz li ser a web serîlêdana ku ew niha têne pejirandin. Ji bo pêşîgirtina vê yekê, NFVIS nîşaneyên CSRF bikar tîne da ku her API-ya REST-ê ya ku di her danişînê de tê gazî kirin rast bike.
URL Beralîkirin Bi tîpîk web pêşkêşkeran, dema ku rûpelek li ser nayê dîtin web server, bikarhêner peyamek 404 distîne; ji bo rûpelên ku hene, ew rûpelek têketinê digirin. Bandora ewlehiyê ya vê yekê ev e ku êrîşkarek dikare sehkirinek hêzek hov pêk bîne û bi hêsanî bibîne ka kîjan rûpel û peldank hene. Ji bo pêşîgirtina vê yekê li ser NFVIS, hemî tune URLPêşgiriya IP-ya cîhazê bi kodek bersivê ya statûya 301 re ber bi rûpela têketina portalê ve têne veguheztin. Ev tê wê wateyê ku bêyî ku URL ji hêla êrîşkerek ve hatî xwestin, ew ê her gav rûpela têketinê bistînin da ku xwe rast bikin. Hemî daxwazên servera HTTP ber bi HTTPS ve têne verast kirin û sernavên jêrîn têne mîheng kirin:
· X-Content-Type-Vebijarkên · X-XSS-Parastin · Naverok-Ewlekarî-Siyaseta · Vebijarkên X-Frame · Veguhestina-Taqîq-Ewlehî · Cache-Kontrol
Neçalakkirina Portalê Gihîştina portalê NFVIS ji hêla xwerû ve çalak e. Heke hûn ne plan dikin ku portalê bikar bînin, tê pêşniyar kirin ku bi karanîna vê fermanê ve gihîştina portalê neçalak bikin:
Veavakirina termînalê Pergala gihîştina portalê neçalak commit
Hemî daneyên HTTPS-ê ji NFVIS-ê û ji NFVIS-ê Ewlekariya Layera Veguhastinê (TLS) bikar tîne da ku li seranserê torê ragihîne. TLS serkêşê Pêngava Soketa Ewle (SSL) ye.

Nîşanên Ewlekariyê 17

HTTPS

Nîqaşên Ewlekariyê
Desthilatdariya TLS erêkirinê vedihewîne ku tê de xerîdar sertîfîkaya SSL-ya serverê bi desthilatdariya sertîfîkayê ya ku ew daye verast dike. Ev piştrast dike ku server ew e ku ew dibêje, û ku xerîdar bi xwediyê domainê re têkilî dike. Bi xwerû, NFVIS sertîfîkayek xwe-îmzakirî bikar tîne da ku nasnameya xwe ji xerîdarên xwe re îspat bike. Vê sertîfîkayê mifteyek giştî ya 2048-bit heye ku ewlehiya şîfrekirina TLS zêde bike, ji ber ku hêza şîfrekirinê rasterast bi mezinahiya mifteyê ve girêdayî ye.
Rêvebiriya Sertîfîkayê NFVIS dema ku yekem tê saz kirin sertîfîkayek SSL-ya xwe-îmzakirî diafirîne. Veguheztina vê sertîfîkayê bi sertîfîkayek derbasdar a ku ji hêla Desthilatdarek Sertîfîkayê ya lihevhatî (CA) ve hatî îmze kirin, pratîkek çêtirîn ewlehiyê ye. Pêngavên jêrîn bikar bînin ku li şûna sertîfîkaya xwe-îmzakirî ya xwerû: 1. Li ser NFVIS Daxwaza Îmzekirina Sertîfîkayê (CSR) biafirînin.
Daxwaza Îmzekirina Sertîfîkayê (CSR) a file bi bloka nivîsa kodkirî ya ku dema serlêdana Sertîfîkaya SSL-ê ji Desthilatek Sertîfîkayê re tê dayîn. Ev file agahdariya ku divê di sertîfîkayê de wekî navê rêxistinê, navê hevpar (navê domainê), cîh û welat were vehewandin dihewîne. Ew file di heman demê de mifteya giştî ya ku divê di sertîfîkayê de were girtin jî heye. NFVIS mifteyek giştî ya 2048-bit bikar tîne ji ber ku hêza şîfrekirinê bi mezinahiya mifteyê bilindtir e. Ji bo afirandina CSR li ser NFVIS, emrê jêrîn bimeşînin:
nfvis# îmza-daxwaza sertîfîkaya pergalê [navê hevpar-welat-kodê rêxistina herêmî-rêxistina yekîne-navê dewlet] CSR file wekî /data/intdatastore/download/nfvis.csr tê tomarkirin. . 2. Sertîfîkaya SSL-ê ji CA-yê bi karanîna CSR-ê bistînin. Ji mêvandarek derveyî, emrê scp bikar bînin da ku Daxwaza Îmzekirina Sertîfîkayê dakêşin.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nav>
Bi rayedarek Sertîfîkayê re têkilî daynin da ku bi karanîna vê CSR sertîfîkayek serverek SSL-ya nû derxînin. 3. Sertîfîkaya Îmzekirî ya CA saz bikin.
Ji serverek derveyî, emrê scp bikar bînin ku sertîfîkayê dakêşin file nav NFVIS dane/intdatastore/uploads/ directory.
[myhost:/tmp] > scp -P 22222 file> admin@ :/dane/intdatastore/ barkirin
Sertîfîkayê li NFVIS-ê bi karanîna fermana jêrîn saz bikin.
nfvis# sertîfîkaya pergalê riya sazkirin-cert file:///data/intdatastore/uploads/<certificate file>
4. Veguheztin ser karanîna Sertîfîkaya Îmzekirî ya CA. Fermana jêrîn bikar bînin ku hûn li şûna sertîfîkaya xwe-îmzakirî ya xwerû dest bi karanîna sertîfîkaya îmzekirî ya CA-yê bikin.

Nîşanên Ewlekariyê 18

Nîqaşên Ewlekariyê

Gihîştina SNMP

nfvis(config)# sertîfîkaya pergalê bi kar tîne-cert cert-type ca-îmzekirî

Gihîştina SNMP

Protokola Rêvebiriya Torê ya Hêsan (SNMP) protokolek Standard a Înternetê ye ji bo berhevkirin û organîzekirina agahdariya li ser cîhazên birêvebir ên li ser torên IP-yê, û ji bo guheztina wê agahiyê da ku tevgera cîhazê biguhezîne.
Sê guhertoyên girîng ên SNMP hatine pêşve xistin. NFVIS guhertoya 1, guhertoya 2c û guhertoya 3 ya SNMP piştgirî dike. Guhertoyên 1 û 2 yên SNMP ji bo erêkirinê rêzikên civakê bikar tînin, û ev bi nivîsa sade têne şandin. Ji ber vê yekê, ew pratîkek çêtirîn ewlehiyê ye ku li şûna SNMP v3 bikar bînin.
SNMPv3 bi karanîna sê aliyan ve gihîştina ewleh a cîhazan peyda dike: - bikarhêner, rastkirin, û şîfrekirin. SNMPv3 ji bo kontrolkirina gihîştina agahdariya ku bi SNMP ve peyda dibe USM (Modula Ewlekariyê ya Bikarhêner) bikar tîne. Bikarhênerê SNMP v3 bi celebek erêkirinê, celebek nepenîtiyê û her weha şîfreyek tête mîheng kirin. Hemî bikarhênerên ku grûpek parve dikin heman guhertoya SNMP bikar tînin, lêbelê, mîhengên asta ewlehiyê yên taybetî (şîfre, celeb şîfrekirin, hwd.) ji bo bikarhênerek têne destnîşan kirin.
Tabloya jêrîn vebijarkên ewlehiyê yên di nav SNMP de kurt dike

Cins

Deşt

Authentication

Encyption

Netîce

noAuthNoPriv

Rêza Civakî No

Civakekê bi kar tîne

string match ji bo

authentication.

v2c

noAuthNoPriv

Rêza Civakî No

Ji bo erêkirinê hevbendek rêzika civakê bikar tîne.

noAuthNoPriv

Navê bikarhêner

Navekî bikarhêner bikar tîne

maça ji bo

authentication.

authNoPriv

Message Digest 5 No

Pêşkêş dike

(MD5)

verastkirin bingeha

li ser HMAC-MD5-96 an

Secure Hash

HMAC-SHA-96

Algorîtma (SHA)

algorîtmayan.

Nîşanên Ewlekariyê 19

Banners Notification Yasayî

Nîqaşên Ewlekariyê

Model v3

Asta authPriv

Nasname MD5 an SHA

Encyption

Netîce

Şîfrekirina Daneyên Pêşkêş dike

Standard (DES) an erêkirinê li ser bingeha

Pêşveçû

li ser

Şîfrekirina Standard HMAC-MD5-96 an

(AES)

HMAC-SHA-96

algorîtmayan.

Algorîtmaya Şîfreya DES-ê di Moda Zincîrkirina Bloka Şîfreyê de (CBC-DES) peyda dike

Algorîtmaya şîfrekirinê ya AES-ê ku di Moda FeedBackê ya Şîfreyê (CFB) de tê bikar anîn, bi mezinahiya mifteya 128-bit (CFB128-AES-128)

Ji pejirandina wê ji hêla NIST ve, AES li seranserê pîşesaziyê bûye algorîtmaya şîfrekirinê ya serdest. Ji bo şopandina koçberiya pîşesaziyê ji MD5-ê û ber bi SHA-yê ve, ew pratîkek çêtirîn ewlehiyê ye ku meriv protokola pejirandina SNMP v3 wekî SHA û protokola nepenîtiyê wekî AES-ê mîheng bike.
Ji bo bêtir agahdarî li ser SNMP, Binêre, Destpêka SNMP

Banners Notification Yasayî
Tête pêşniyar kirin ku pankartek agahdarkirina qanûnî li ser hemî danişînên înteraktîf hebe da ku pê ewle bibe ku bikarhêner ji polîtîkaya ewlehiyê ya ku tê sepandin û ku ew pê re têkildar in têne agahdar kirin. Li hin dadgehan, darizandina sivîl û/an sûc a êrîşkerek ku di pergalekê de têkeve hêsantir e, an jî pêdivî ye, heke pankartek agahdariya qanûnî were pêşkêş kirin, ku bikarhênerên nedestûr agahdar bike ku karanîna wan bi rastî ne destûr e. Di hin dadgehan de, dibe ku çavdêriya çalakiya bikarhênerek nedestûrdar jî qedexe be heya ku ew ji niyeta vê yekê nehatibin agahdar kirin.
Pêdiviyên ragihandina qanûnî tevlihev in û di her dadwerî û rewşê de cûda dibin. Tewra di hundurê dadrêsiyan de, ramanên qanûnî cûda dibin. Vê pirsgirêkê bi şêwirmendê xweya dadrêsî re bipeyivin da ku pê ewle bibin ku pankarta ragihandinê li gorî daxwazên qanûnî yên pargîdanî, herêmî û navneteweyî pêk tê. Ev bi gelemperî ji bo ewlekirina çalakiya guncan di bûyera binpêkirina ewlehiyê de krîtîk e. Bi hevkariya şêwirmendê dadrêsî ya pargîdanî re, daxuyaniyên ku dibe ku di pankartek agahdariya dadrêsî de bêne nav kirin ev in:
· Agahdariya ku gihîştina pergalê û karanîna pergalê tenê ji hêla personelên taybetî yên destûrdar ve destûr e, û dibe ku agahdariya li ser kî dikare destûr bide bikar anînê.
· Agahdariya ku gihîştin û karanîna bêdestûr a pergalê neqanûnî ye, û dibe ku cezayên medenî û/an cezayî lê were birîn.
· Agahdarî ku gihîştin û karanîna pergalê dikare bêyî agahdariyek din were tomarkirin an çavdêrî kirin, û têketinên encam dikarin li dadgehê wekî delîl werin bikar anîn.
· Agahiyên taybetî yên din ên ku ji hêla qanûnên herêmî yên taybetî ve têne xwestin.

Nîşanên Ewlekariyê 20

Nîqaşên Ewlekariyê

Factory Default Reset

Ji ewlehiyek bêtir ji xalek qanûnî ya view, divê pankartek agahdariya qanûnî di derheqê cîhazê de, wekî nav, model, nermalava, cîh, operator an xwediyê wê, agahdariya taybetî negire ji ber ku ev celeb agahdarî dibe ku ji êrîşkerek re bikêr be.
Ya jêrîn wek eamppankarta agahdariya qanûnî ya ku berî têketinê dikare were xuyang kirin:
GÊXISTINA BÊ DESTÛR JI VÊ CAMAZÊ QEDEXE YE Ji bo ku hûn bigihîjin an mîhengkirina vê cîhazê divê destûrek eşkere û destûr hebe. Hewl û tevgerên bêdestûr ji bo gihîştin an karanîna
dibe ku ev pergal bibe sedema cezayên medenî û/an cezayî. Hemî çalakiyên ku li ser vê cîhazê têne kirin têne tomar kirin û çavdêr kirin

Nîşe Pankartek agahdariya dadrêsî ku ji hêla şêwirmendê qanûnî yê pargîdanî ve hatî pejirandin pêşkêş bikin.
NFVIS destûrê dide veavakirina pankartek û Peyama Rojê (MOTD). Beriya ku bikarhêner têkeve banner tê xuyang kirin. Dema ku bikarhêner têkeve NFVIS-ê, pankartek ku ji hêla pergalê ve hatî destnîşan kirin agahdariya Mafên NFVIS-ê peyda dike, û peyama-rojê (MOTD), heke were mîheng kirin, dê xuya bibe, li dûv rêzika fermanê an portal view, li ser rêbaza têketinê girêdayî ye.
Tête pêşniyar kirin ku pankartek têketinê were bicîh kirin da ku pê ewle bibe ku pankartek agahdarkirina qanûnî li ser hemî danişînên gihîştina rêveberiya cîhazê berî ku bilezek têketinê were pêşkêş kirin were pêşkêş kirin. Vê fermanê bikar bînin da ku pankart û MOTD mîheng bikin.
nfvis (config) # banner-motd banner motd
Ji bo bêtir agahdarî li ser fermana pankartê, li Veavakirina Banner, Peyama rojê û Dema Pergalê binêre.

Factory Default Reset
Reset Factory hemî daneyên taybetî yên xerîdar ên ku ji dema şandina wê ve li cîhazê hatine zêde kirin jê dike. Daneyên jêbirin veavakirin, têketinê vedihewîne files, wêneyên VM, agahdariya pêwendiyê, û pêbaweriyên têketina bikarhêner.
Ew yek ferman dide ku amûrê li mîhengên fabrîkî-orijînal vegerîne, û di senaryoyên jêrîn de bikêr e:
· Destûrdana Materyalê Vegere (RMA) ji bo amûrekê – Ger pêdivî ye ku hûn amûrek ji bo RMA vegerînin Cisco, Vegerandina Factory Default bikar bînin da ku hemî daneyên xerîdar-taybet jêbirin.
· Vegerandina amûrek têkçûyî - Ger maddeya sereke an pêbaweriyên ku li ser amûrekê hatine hilanîn têkçûn, cîhazê vegerînin veavakirina kargehê û dûv re cîhazê ji nû ve mîheng bikin.
· Ger hewce bike ku heman amûr li malperek cûda bi veavakirinek nû ji nû ve were bikar anîn, vesazkirina Factory Default pêk bînin da ku veavakirina heyî ji holê rakin û wê bînin rewşek paqij.

NFVIS vebijarkên jêrîn di nav vesazkirina xwerû ya kargehê de peyda dike:

Vebijêrk Reset Factory

Daneyên jêbirin

Data Retained

gişt

Hemî veavakirin, wêneyê barkirî Hesabê rêveberê parastiye û

files, VM û têketin.

şîfreya wê were guhertin

Têkiliya bi cîhazê re dê şîfreya xwerû ya fabrîkî be.

windabû.

Nîşanên Ewlekariyê 21

Tora Rêveberiya Binesaziyê

Nîqaşên Ewlekariyê

Vebijarka Vegerandina Fabrîkî hemî-ji bilî-wêneyan
hemû-ji bilî-wêne-girêdan
manufacturing

Daneyên jêbirin

Data Retained

Hemî veavakirin ji bilî veavakirina wêneyê, qeydkirî ye

veavakirin, VM, û wêne û têketinên barkirî

wêne files.

Hesabê rêveberê tê parastin û

Têkiliya bi cîhazê re dê şîfreya wê were guhertin

windabû.

şîfreya xwerû ya kargehê.

Hemî veavakirin ji bilî wêne, Wêne, torê û girêdanê

tora û girêdana

veavakirina têkildar, qeydkirî

veavakirin, VM, û wêneyên barkirî, û têketin.

wêne files.

Hesabê rêveberê tê parastin û

Girêdana bi cîhazê re ye

rêveberê berê hatî mîheng kirin

berdeste.

şîfre dê were parastin.

Hemî veavakirin ji bilî veavakirina wêneyê, VM, wêneya barkirî files, û têketin.
Têkiliya bi cîhazê dê winda bibe.

Veavakirina têkildarî wêneyê û wêneyên qeydkirî
Hesabê rêveberê tê parastin û şîfre dê bibe şîfreya xwerû ya kargehê.

Bikarhêner divê vebijarka guncan bi baldarî li ser bingeha armanca vesazkirina Factory Default hilbijêrin. Ji bo bêtir agahdarî, binihêrin Vegerandina Berbi Factory.

Tora Rêveberiya Binesaziyê
Tora rêveberiya binesaziyê ji bo cîhazên binesaziyê şebekeya ku seyrûsefera balafirê ya kontrol û rêvebirinê hildigire (wekî NTP, SSH, SNMP, syslog, hwd.) vedigire. Gihîştina cîhazê dikare bi navgîniya konsolê, û hem jî bi navgînên Ethernet re be. Ev seyrûsefera balafirê ya kontrol û rêvebirinê ji bo operasyonên torê krîtîk e, dîtin û kontrola li ser torê peyda dike. Ji ber vê yekê, torgilokek rêveberiya binesaziyê ya baş-sêwirandî û ewledar ji bo ewlehî û karûbarên tevayî yên torê krîtîk e. Yek ji pêşniyarên sereke yên ji bo tora rêveberiya binesaziya ewledar veqetandina rêveberî û seyrûsefera daneyê ye da ku rêvebirina dûr tewra di bin bargiraniya zêde û şert û mercên seyrûsefera zêde de were misoger kirin. Ev dikare bi karanîna navbeynkarek rêveberiya taybetî ve were bidestxistin.
Li jêr nêzîkatiyên pêkanîna tora rêveberiya binesaziyê hene:
Rêvebiriya derveyî bandê
Tora rêveberiyê ya Rêvebiriya Derveyî (OOB) ji torgilokek ku bi tevahî serbixwe ye û ji hêla fizîkî ve ji tora daneyê ya ku ji bo birêvebirina wê dibe alîkar pêk tê. Ev jî carinan wekî Tora Têkiliyên Daneyê (DCN) tê binav kirin. Amûrên torê dikarin bi awayên cihêreng bi tora OOB-ê ve girêbidin: NFVIS pêwendiyek rêveberiyê ya çêkirî piştgirî dike ku dikare were bikar anîn da ku bi tora OOB ve were girêdan. NFVIS destûrê dide veavakirina navgînek fizîkî ya pêşwext, porta MGMT-ê ya li ser ENCS, wekî navgînek rêveberiya taybetî. Sînordarkirina pakêtên rêveberiyê ji navbeynkarên destnîşankirî re kontrolek mezintir li ser rêveberiya amûrekê peyda dike, bi vî rengî bêtir ewlehiyê ji bo wê cîhazê peyda dike. Feydeyên din performansa çêtirîn ji bo pakêtên daneyê yên li ser navberên ne-rêveberî, piştgirî ji bo pîvandina torê,

Nîşanên Ewlekariyê 22

Nîqaşên Ewlekariyê

Pseudo-ji-band Management

pêdivî bi kêm lîsteyên kontrolkirina gihîştinê (ACL) heye da ku gihîştina amûrek sînordar bike, û pêşî li lehiyên pakêta rêveberiyê bigire ku negihîje CPU. Amûrên torê jî dikarin bi navgînên daneya taybetî ve bi tora OOB ve girêdayî bin. Di vê rewşê de, divê ACL werin bicîh kirin ku pê ewle bibin ku seyrûsefera rêveberiyê tenê ji hêla navgînên veqetandî ve tê rêve kirin. Ji bo bêtir agahdarî, binihêrin Veavakirina IP-ya Wergirtina ACL û Port 22222 û Navrûya Rêvebiriyê ACL.
Pseudo-ji-band Management
Tora rêveberiya pseudo-ji-bandê heman binesaziya laşî wekî tora daneyê bikar tîne lê bi karanîna VLAN-ê veqetandina mentiqî bi veqetandina virtual ya trafîkê peyda dike. NFVIS piştgirî dide afirandina VLAN û pirên virtual ku ji bo naskirina çavkaniyên cihêreng ên seyrûseferê û veqetandina seyrûsefera di navbera VM-yan de dibe alîkar. Hebûna pir û VLAN-ên cihêreng seyrûsefera daneya tora makîneya virtual û tora rêveberiyê vediqetîne, bi vî rengî dabeşkirina seyrûseferê di navbera VM û mêvandar de peyda dike. Ji bo bêtir agahdarî binihêrin Veavakirina VLAN ji bo Trafîka Rêvebiriya NFVIS.
In-band Management
Tora rêveberiya nav-bandê wekî seyrûsefera daneyê heman riyên laşî û mentiqî bikar tîne. Di dawiyê de, ev sêwirana torê hewce dike ku ji her xerîdar vekolînek xetereyê li hember berjewendî û lêçûn hewce dike. Hin ramanên gelemperî hene:
· Tora rêveberiya OOB-ê ya veqetandî di dema bûyerên têkder de jî dîtin û kontrola li ser torê herî zêde dike.
· Veguheztina telemetrîya torê li ser torgilokek OOB şansê têkbirina agahdariya pir kêm dike ku dîtina torê ya krîtîk peyda dike.
· Gihîştina rêveberiya nav-bandê ya binesaziya torê, mêvandar, hwd. ji windabûna tevahî di bûyerek torê de xeternak e, hemî dîtin û kontrolkirina torê ji holê radike. Pêdivî ye ku kontrolên QoS-ê yên guncan werin danîn da ku vê bûyerê kêm bikin.
· NFVIS navbeynkariyên ku ji bo rêveberiya cîhazê ve têne veqetandin, di nav de portên konsolê yên serial û navgînên rêveberiya Ethernet vedihewîne.
· Torgilokek rêveberiya OOB bi gelemperî bi lêçûnek maqûl dikare were bicîh kirin, ji ber ku seyrûsefera torê ya rêveberiyê bi gelemperî ne bandfirehiya bilind û ne jî amûrên performansa bilind daxwaz dike, û tenê hewcedariya bendera têra xwe heye da ku girêdana bi her amûrek binesaziyê re piştgirî bike.
Parastina Agahdariya Xweseriya Herêmî
Parastina Agahiyên Hesas
NFVIS hin agahdariya hesas li herêmî, di nav de şîfre û razan, hilîne. Divê şîfre bi gelemperî ji hêla serverek AAA-ya navendî ve bêne parastin û kontrol kirin. Lêbelê, her çend serverek AAA-ya navendî were bicîh kirin jî, ji bo hin rewşan hin şîfreyên herêmî yên hilanîn hewce ne, wek mînak paşveçûna herêmî di doza ku serverên AAA peyda nebin, navên bikarhêner ên taybetî, hwd. Ev şîfreyên herêmî û yên din ên hesas

Nîşanên Ewlekariyê 23

File Derbaskirin

Nîqaşên Ewlekariyê

agahdarî li ser NFVIS wekî haş têne hilanîn da ku ne gengaz be ku pêbaweriyên orîjînal ji pergalê vegerînin. Hashing normek pîşesaziyê ya ku bi gelemperî tête pejirandin e.

File Derbaskirin
FileYên ku dibe ku hewce bike ku ji cîhazên NFVIS re werin veguheztin wêneya VM û nûvekirina NFVIS-ê hene files. Veguheztina ewledar a files ji bo ewlehiya binesaziya torê krîtîk e. NFVIS Copy Ewle (SCP) piştgirî dike da ku ewlehiya ewlehiyê peyda bike file derbaskirin. SCP ji bo verastkirin û veguheztina ewledar xwe dispêre SSH, ku kopyakirina ewledar û pejirandî ya files.
Kopiyek ewledar ji NFVIS bi fermana scp ve tê destpêkirin. Fermana kopiya ewledar (scp) dihêle ku tenê bikarhênerê rêvebir bi ewlehî kopî bike files ji NFVIS ber bi pergalek derveyî, an ji pergalek derveyî ji NFVIS re.
Hevoksaziya fermana scp ev e:
scp
Em port 22222 ji bo servera NFVIS SCP bikar tînin. Bi xwerû, ev port girtî ye û bikarhêner nikarin kopîkirinê ewle bikin files nav NFVIS ji xerîdarek derveyî. Ger hewceyê SCP a file ji xerîdarek derveyî, bikarhêner dikare bi karanîna portê veke:
mîhengên pergalê ip-receive-acl (navnîşan)/(dirêjahiya maskê) karûbarê scpd pêşanî (hejmar) çalakî qebûl kirin
bikaranîn
Ji bo ku bikarhêner negihîjin pelrêçiyên pergalê, kopiyek ewledar dikare tenê li an ji intdatastore:, extdatastore1:, extdatastore2:, usb: û nfs:, heke hebe were kirin. Kopiyek ewledar dikare ji têketin jî were kirin: û piştgiriya teknîkî:

Logging

Guhertinên gihîştin û veavakirinê yên NFVIS wekî têketinên kontrolê têne tomar kirin da ku agahdariya jêrîn tomar bikin: · Kê xwe gihandiye cîhazê · Kengî bikarhênerek têkeve · Bikarhênerek di warê veavakirina mêvandar û çerxa jiyana VM de çi kir · Kengî bikarhênerek têketinê neket · Hewldanên gihîştinê têk çûn · Daxwazên erêkirinê têk çûn · Daxwazên destûrnameyê têk çûn
Ev agahdarî ji bo analîza dadrêsî di doza hewildan an gihîştina bê destûr, û her weha ji bo pirsgirêkên guhartina mîhengê û ji bo arîkariya plansazkirina guhertinên rêveberiya komê pir binirx e. Di heman demê de dibe ku di wextê rast de were bikar anîn da ku çalakiyên neasayî yên ku dibe ku nîşan bidin ku êrîşek pêk tê were bikar anîn. Ev analîz dikare bi agahdariya ji çavkaniyên derveyî yên din, wekî IDS û têketinên firewall re têkildar be.

Nîşanên Ewlekariyê 24

Nîqaşên Ewlekariyê

Ewlekariya Virtual Machine

Hemî bûyerên sereke yên li ser NFVIS wekî agahdariya bûyerê ji aboneyên NETCONF re û wekî syslog ji serverên têketina navendî yên mîhengkirî re têne şandin. Ji bo bêtir agahdarî li ser peyamên syslog û agahdariya bûyerê, li Pêvek binêre.
Ewlekariya Virtual Machine
Ev beş taybetmendiyên ewlehiyê yên têkildarî qeydkirin, danîn û xebitandina Makîneyên Virtual ên li ser NFVIS-ê vedibêje.
VNF boot ewledar
NFVIS Firmware Makîneya Virtualê ya Vekirî (OVMF) piştgirî dike da ku boota ewledar a UEFI ji bo Makîneyên Virtual ên ku boota ewle piştgirî dikin çalak bike. VNF Secure boot piştrast dike ku her qatek nermalava bootê ya VM-ê, di nav de bootloader, kernel pergala xebitandinê, û ajokarên pergala xebitandinê jî tê îmze kirin.

Ji bo bêtir agahdarî li, Secure Boot of VNFs binêre.
Parastina Gihîştina Konsolê VNC
NFVIS destûrê dide bikarhêner ku danişînek Têkoşîna Torgiloka Virtual (VNC) biafirîne da ku bigihîje sermaseya dûr a VM-ya hatî bicîh kirin. Ji bo çalakkirina vê yekê, NFVIS bi dînamîk portek vedike ku bikarhêner dikare bi karanîna wan ve girêdayî be web geroka. Ev port tenê 60 çirkeyan vekirî tê hiştin da ku serverek derveyî dest bi danişînek VM bike. Ger di vê demê de çalakî neyê dîtin, port girtî ye. Hejmara portê bi dînamîk ve tê veqetandin û bi vî rengî tenê yek carî destûr dide konsolê VNC.
nfvis# vncconsole dest bi danîna-navê 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Geroka xwe nîşan dide https:// :6005/vnc_auto.html dê bi konsolê VNC ya ROUTER VM ve girêbide.
Nîşanên Ewlekariyê 25

Guherbarên daneya mîhengê VM-ya şîfrekirî

Nîqaşên Ewlekariyê

Guherbarên daneya mîhengê VM-ya şîfrekirî
Di dema danîna VM-ê de, bikarhêner mîhengek roj-0 peyda dike file ji bo VM. Ev file dikare agahiyên hesas ên wekî şîfre û mifteyan hebin. Ger ev agahdarî wekî nivîsek zelal were derbas kirin, ew di têketinê de xuya dike files û tomarên databasa navxweyî di nivîsa zelal de. Ev taybetmendî dihêle ku bikarhêner guhêrbarek daneya mîhengê wekî hesas nîşan bide da ku nirxa wê bi şîfrekirina AES-CFB-128 were şîfre kirin berî ku ew were hilanîn an derbasî bine pergalên hundurîn bibe.
Ji bo bêtir agahdarî, li Parametreyên Dabeşkirina VM binêre.
Verastkirina kontrolê ya ji bo Tomarkirina Wêne ya Dûr
Ji bo qeydkirina wêneyek VNF ya ji dûr ve, bikarhêner cîhê wê diyar dike. Pêdivî ye ku wêne ji çavkaniyek derveyî, wek serverek NFS an serverek HTTPS-ya dûr, were dakêşandin.
Ji bo ku hûn bizanin ka dakêşandin file sazkirinê ewle ye, pêdivî ye ku meriv hev bide hev file's checksum berî bikaranîna wê. Verastkirina danûstendinê alîkar dike ku piştrast bikin ku file di dema veguheztina torê de xera nebû, an jî berî ku we dakêşand ji hêla partiyek sêyemîn a xerab ve nehat guhertin.
NFVIS vebijarkên checksum û checksum_algorithm piştgirî dike ji bo bikarhêner ku algorîtmaya checksum û kontrolê ya bendewar (SHA256 an SHA512) peyda bike da ku ji bo verastkirina jimareya kontrolê ya wêneya dakêşandî were bikar anîn. Heke jimareya kontrolê li hev nekeve çêkirina wêneyê têk diçe.
Verastkirina Sertîfîkayê ji bo Qeydkirina Wêne ya Dûr
Ji bo qeydkirina wêneyek VNF ku li ser serverek HTTPS-ê ye, pêdivî ye ku wêne ji servera HTTPS-a dûr were dakêşandin. Ji bo dakêşandina vê wêneyê bi ewlehî, NFVIS sertîfîkaya SSL ya serverê verast dike. Pêdivî ye ku bikarhêner rêyek berbi sertîfîkayê diyar bike file an naveroka sertîfîkaya formata PEM-ê da ku vê dakêşana ewledar çalak bike.
Zêdetir hûrgulî dikarin li beşa li ser pejirandina sertîfîkayê ji bo qeydkirina wêneyê werin dîtin
Veqetandina VM û peydakirina çavkaniyê
Mîmariya Virtualîzasyona Fonksiyona Torê (NFV) ji van pêk tê:
· Fonksiyonên torê yên virtual (VNF), ku Makîneyên Virtualî ne ku sepanên nermalavê yên ku fonksiyona torê ya wekî router, dîwarê agir, balansa barkirinê, û hwd peyda dikin, dimeşînin.
· Binesaziya virtualkirinê ya fonksiyonên torê, ku ji hêmanên binesaziyê pêk tê - hesabkirin, bîranîn, hilanîn û torê, li ser platformek ku nermalava hewce û hîpervisor piştgirî dike.
Bi NFV re, fonksiyonên torê virtual têne kirin da ku gelek fonksiyon dikarin li ser serverek yekane werin xebitandin. Wekî encamek, pêdivî ye ku pêdivî ye ku amûra laşî ya hindiktir, ku destûrê dide yekbûna çavkaniyê. Di vê hawîrdorê de, pêdivî ye ku meriv çavkaniyên veqetandî yên ji bo pir VNF-ên ji yek pergalek hardware ya laşî simule bike. Bi karanîna NFVIS, VM dikarin bi rengek kontrolkirî werin bicîh kirin ku her VM çavkaniyên ku hewce dike werdigire. Çavkanî li gorî hewcedariyê ji hawîrdora laşî heya gelek jîngehên virtual têne dabeş kirin. Domên VM-ê yên takekesî têne veqetandin ji ber vê yekê ew hawîrdorên cihêreng, cihêreng û ewledar in, ku ji bo çavkaniyên hevpar bi hev re nakokî ne.
VM nikarin çavkaniyên ji pêşkêşkirî zêdetir bikar bînin. Ev yek ji şertek Înkarkirina Karûbarê ji yek VM-yê ku çavkaniyan dixwe dûr dixe. Wekî encamek, CPU, bîranîn, torê û hilanînê têne parastin.

Nîşanên Ewlekariyê 26

Nîqaşên Ewlekariyê
CPU Isolation

CPU Isolation

Pergala NFVIS ji bo nermalava binesaziyê ku li ser mêvandar dimeşe naverok rezerv dike. Hêlên mayî ji bo bicîhkirina VM-ê hene. Ev garantî dike ku performansa VM bandorê li performansa mêvandarê NFVIS nake. VM-yên kêm-dereng NFVIS bi zelalî navgînên veqetandî ji VM-yên derengiya kêm ên ku li ser wê têne bicîh kirin destnîşan dike. Ger VM 2 vCPU-yan hewce bike, wê 2 bingehên veqetandî têne destnîşan kirin. Ev pêşî li parvekirin û abonetiya zêde ya bingehîn digire û performansa VM-yên kêm-dereng garantî dike. Ger hejmara navikên berdest ji hejmara vCPU-yên ku ji hêla VM-ya din a kêm-dereng ve hatî xwestin kêmtir be, ji ber ku çavkaniyên me yên têr nînin veqetandin tê asteng kirin. VM-yên ne kêm-dereng NFVIS CPU-yên parvekirî ji VM-yên derengiya ne kêm vedigire. Ger VM 2 vCPU hewce bike, ew 2 CPU têne tayîn kirin. Van 2 CPU di nav VM-yên din ên derengiya ne kêm de têne parve kirin. Ger hejmara CPU-yên berdest ji hejmara vCPU-yên ku ji hêla VM-ya din a ne dereng-kêm ve hatî xwestin kêmtir be, bicîhkirin dîsa jî destûr e ji ber ku ev VM dê CPU-yê bi VM-yên dereng ên ne kêm ên heyî re parve bike.
Dabeşkirina bîranînê
Binesaziya NFVIS hejmarek bîranîn hewce dike. Dema ku VM-yek tê bicîh kirin, kontrolek heye ku pê ewle bibe ku bîranîna ku piştî rezervkirina bîranîna ku ji bo binesaziyê hewce dike û VM-yên berê hatine bicîh kirin, ji bo VM-ya nû bes e. Em destûrê nadin zêde abonetiya bîranînê ji bo VM-yan.
Nîşanên Ewlekariyê 27

Storage Tecrîd
VM destûr nayê dayîn ku rasterast bigihîjin mêvandarê file sîstem û hilanînê.
Storage Tecrîd

Nîqaşên Ewlekariyê

Platforma ENCS daneyên danûstendinek navxweyî (M2 SSD) û dîskên derveyî piştgirî dike. NFVIS li ser datastora navxweyî tê saz kirin. VNF jî dikarin li ser vê datastora hundurîn werin bicîh kirin. Ew pratîkek çêtirîn ewlehiyê ye ku meriv daneyên xerîdar hilîne û Makîneyên Virtual ên serîlêdana xerîdar li ser dîskên derveyî bicîh bike. Ji bo pergalê dîskên cihêreng ên fîzîkî hene files vs sepanê files ji bo parastina daneyên pergalê ji gendelî û pirsgirêkên ewlehiyê dibe alîkar.
·
Interface Isolation
Single Root I/O Virtualization an SR-IOV taybetmendiyek e ku destûrê dide veqetandina çavkaniyên PCI Express (PCIe) wek portek Ethernet. Bi karanîna SR-IOV yek portek Ethernet dikare were çêkirin ku wekî gelek, veqetandî, amûrên laşî yên ku wekî Fonksiyonên Virtual têne zanîn xuya bibin. Hemî amûrên VF yên li ser wê adapterê heman porta torê ya fîzîkî parve dikin. Mêvanek dikare yek an çend ji van Fonksiyonên Virtual bikar bîne. Fonksiyonek Virtual ji mêvan re wekî qerta torê xuya dike, bi heman rengî wekî qerta torê ya normal ji pergala xebitandinê re xuya dike. Fonksiyonên Virtual xwedan performansa nêzîkî xwemalî ne û performansa çêtir ji ajokarên para-virtualîzekirî û gihîştina emûlkirî peyda dikin. Fonksiyonên Virtual parastina daneyê di navbera mêvanan de li ser heman servera laşî peyda dikin ji ber ku dane ji hêla hardware ve têne rêve kirin û kontrol kirin. NFVIS VNF dikarin torên SR-IOV bikar bînin da ku bi portên WAN û LAN Backplane ve girêdayî bibin.
Nîşanên Ewlekariyê 28

Nîqaşên Ewlekariyê

Secure Development Lifecycle

Her VM-ya wusa xwedan navgînek virtual û çavkaniyên wê yên têkildar e ku di nav VM-yan de parastina daneyê digihîje.
Secure Development Lifecycle
NFVIS ji bo nermalavê Jiyanek Pêşveçûna Ewle (SDL) dişopîne. Ev pêvajoyek dubare, pîvandî ye ku ji bo kêmkirina qelsiyan û zêdekirina ewlehî û rehetiya çareseriyên Cisco hatiye çêkirin. Cisco SDL pratîk û teknolojiyên pêşeng ên pîşesaziyê bicîh tîne da ku çareseriyên pêbawer ava bike ku kêm bûyerên ewlehiya hilberê li zeviyê hatine keşif kirin. Her serbestberdana NFVIS di pêvajoyên jêrîn de derbas dibe.
· Pêdiviyên Ewlekariya Hilberê yên Cisco-hundirîn û bingeh-bazar bişopînin · Tomarkirina nermalava partiya sêyemîn bi depoyek navendî li Cisco-yê ji bo şopandina lawaziyê · Demjimêr nermalava bi rastkirinên naskirî yên ji bo CVE-an vediqetîne. · Sêwirana nermalava bi Ewlekariyê di hişê xwe de · Li dû pratîkên kodkirina ewledar ên wekî karanîna modulên ewlehiyê yên hevpar ên wekî CiscoSSL-ê, xebitandin
Analîza Statîk û bicihanîna erêkirina têketinê ji bo Pêşîlêgirtina derzîlêdana fermanê, hwd. · Bikaranîna Amûrên Ewlekariya Serlêdanê yên wekî IBM AppScan, Nessus, û amûrên hundurîn ên Ciscoyê.

Nîşanên Ewlekariyê 29

Secure Development Lifecycle

Nîqaşên Ewlekariyê

Nîşanên Ewlekariyê 30

Belge / Çavkanî

CISCO Enterprise Tora Fonksiyon Binesaziya Virtualization Software [pdf] Rehbera bikaranînê
Nermalava Binesaziya Virtualîzasyona Karsaziya Karsaziyê, Pargîdanî, Nermalava Binesaziya Virtualîzasyona Fonksiyona Torê, Nermalava Binesaziya Virtualîzasyonê, Nermalava Binesaziyê

Çavkanî

Manual Bikarhêner

Nermalava Binesaziya Virtualîzasyona Karsaziya Tora Enterprise

Agahiya hilberê

Specifications

Nîqaşên Ewlekariyê

Lêkirinî

Secure Boot

Nasnameya Amûra Yekta Ewle (SUDI)

FAQ

Pirs: NFVIS çi ye?

Pirs: Ez çawa dikarim yekitiya wêneya NFVIS ISO-ê an jî verast bikim
nûvekirina wêneyê?

Pirs: Ma boota ewledar ji hêla xwerû ve li ser ENCS çalak e?

Q: Armanca SUDI di NFVIS de çi ye?

Belge / Çavkanî

Çavkanî

Bihêle şîroveyek

Bersiv betal bike

Nermalava Binesaziya Virtualîzasyona Karsaziya Tora Enterprise

Agahiya hilberê

Specifications

Nîqaşên Ewlekariyê

Lêkirinî

Secure Boot

Nasnameya Amûra Yekta Ewle (SUDI)

FAQ

Pirs: NFVIS çi ye?

Pirs: Ez çawa dikarim yekitiya wêneya NFVIS ISO-ê an jî verast bikim nûvekirina wêneyê?

Pirs: Ma boota ewledar ji hêla xwerû ve li ser ENCS çalak e?

Q: Armanca SUDI di NFVIS de çi ye?

Belge / Çavkanî

Çavkanî

Posts Related

Bihêle şîroveyek

Bersiv betal bike

Pirs: Ez çawa dikarim yekitiya wêneya NFVIS ISO-ê an jî verast bikim
nûvekirina wêneyê?