Enterprise Network Function Virtualization Infrastructure Software

නිෂ්පාදන තොරතුරු

පිරිවිතර

• NFVIS මෘදුකාංග අනුවාදය: 3.7.1 සහ පසුව
• RPM අත්සන් කිරීම සහ අත්සන තහවුරු කිරීම සඳහා සහය දක්වයි
• ආරක්ෂිත ඇරඹුම් පවතී (පෙරනිමියෙන් අබල කර ඇත)
• ආරක්ෂිත අද්විතීය උපාංග හඳුනාගැනීමේ (SUDI) යාන්ත්‍රණය භාවිතා වේ

ආරක්ෂක සලකා බැලීම්

NFVIS මෘදුකාංගය විවිධ හරහා ආරක්ෂාව සහතික කරයි
යාන්ත්රණ:

• රූපය ටීamper ආරක්ෂාව: RPM අත්සන් කිරීම සහ අත්සන තහවුරු කිරීම
  ISO සහ උත්ශ්‍රේණිගත රූපවල ඇති සියලුම RPM පැකේජ සඳහා.
• RPM අත්සන් කිරීම: Cisco Enterprise NFVIS ISO හි සියලුම RPM පැකේජ
  සහ උත්ශ්‍රේණිගත රූප සංකේතාත්මක අඛණ්ඩතාව සහතික කිරීම සඳහා අත්සන් කර ඇත
  සත්‍යතාව.
• RPM අත්සන සත්‍යාපනය: සියලුම RPM පැකේජවල අත්සන වේ
  ස්ථාපනය කිරීමට හෝ යාවත්කාලීන කිරීමට පෙර තහවුරු කර ඇත.
• රූප අඛණ්ඩතාව සත්‍යාපනය: සිස්කෝ NFVIS ISO රූපයේ හැෂ්
  අතිරේකයේ අඛණ්ඩතාව සහතික කිරීම සඳහා උත්ශ්‍රේණිගත කිරීමේ රූපය ප්‍රකාශනය කෙරේ
  RPM නොවන files.
• ENCS ආරක්‍ෂිත ඇරඹුම: UEFI ප්‍රමිතියේ කොටසක්, එය සහතික කරයි
  උපාංගය ආරම්භ වන්නේ විශ්වාසදායක මෘදුකාංග භාවිතයෙන් පමණි.
• ආරක්ෂිත අද්විතීය උපාංග හඳුනාගැනීම (SUDI): උපාංගය සපයයි
  එහි අව්‍යාජ බව තහවුරු කිරීම සඳහා වෙනස් කළ නොහැකි අනන්‍යතාවයක් සහිතව.

ස්ථාපනය

NFVIS මෘදුකාංගය ස්ථාපනය කිරීමට, පහත පියවර අනුගමනය කරන්න:

1. මෘදුකාංග රූපය t නොවන බව සහතික කර ගන්නampමගින් ered
   එහි අත්සන සහ අඛණ්ඩතාව තහවුරු කිරීම.
2. Cisco Enterprise NFVIS 3.7.1 සහ පසුව භාවිතා කරන්නේ නම්, එය සහතික කරන්න
   ස්ථාපනය අතරතුර අත්සන් සත්‍යාපනය සමත් වේ. එය අසාර්ථක වුවහොත්,
   ස්ථාපනය නවත්වනු ඇත.
3. Cisco Enterprise NFVIS 3.6.x වෙතින් මුදා හැරීමට උත්ශ්‍රේණි කරන්නේ නම්
   3.7.1, උත්ශ්‍රේණි කිරීමේදී RPM අත්සන් සත්‍යාපනය කෙරේ. නම්
   අත්සන සත්‍යාපනය අසාර්ථකයි, දෝෂයක් ලොග් වී ඇත නමුත් උත්ශ්‍රේණි කිරීම වේ
   සම්පූර්ණ කර ඇත.
4. නිකුතුව 3.7.1 සිට පසුව නිකුත් කිරීම් වලට උත්ශ්‍රේණි කරන්නේ නම්, ආර්.පී.එම්
   උත්ශ්‍රේණිගත කිරීමේ රූපය ලියාපදිංචි කළ විට අත්සන් තහවුරු වේ. නම්
   අත්සන සත්‍යාපනය අසාර්ථක වේ, උත්ශ්‍රේණි කිරීම නවත්වනු ලැබේ.
5. Cisco NFVIS ISO රූපයේ හැෂ් සත්‍යාපනය කරන්න හෝ රූපය උත්ශ්‍රේණි කරන්න
   විධානය භාවිතා කරමින්: /usr/bin/sha512sum
<image_filepath>. ප්‍රකාශනය සමඟ හෑෂ් සසඳන්න
   අඛණ්ඩතාව සහතික කිරීම සඳහා hash.

ආරක්ෂිත ඇරඹුම්

ආරක්ෂිත ඇරඹුම් යනු ENCS හි ඇති විශේෂාංගයකි (පෙරනිමියෙන් අබල කර ඇත)
එය විශ්වාසදායක මෘදුකාංග භාවිතයෙන් පමණක් උපාංගය ආරම්භ වන බව සහතික කරයි. වෙත
ආරක්ෂිත ඇරඹුම් සක්රිය කරන්න:

1. වැඩි විස්තර සඳහා Secure Boot of Host හි ලේඛන බලන්න
   තොරතුරු.
2. ඔබගේ මත ආරක්ෂිත ඇරඹුම සබල කිරීමට සපයා ඇති උපදෙස් අනුගමනය කරන්න
   උපාංගය.

ආරක්ෂිත අද්විතීය උපාංග හඳුනාගැනීම (SUDI)

SUDI එය තහවුරු කරමින් NFVIS හට වෙනස් කළ නොහැකි අනන්‍යතාවයක් සපයයි
එය සැබෑ Cisco නිෂ්පාදනයක් වන අතර එහි පිළිගැනීම සහතික කරයි
පාරිභෝගික භාණ්ඩ තොග පද්ධතිය.

නිති අසන පැණ

Q: NFVIS යනු කුමක්ද?

A: NFVIS යනු Network Function Virtualization යන්නයි
යටිතල පහසුකම් මෘදුකාංග. එය යෙදවීමට භාවිතා කරන මෘදුකාංග වේදිකාවකි
සහ අතථ්‍ය ජාල කාර්යයන් කළමනාකරණය කරන්න.

ප්‍ර: NFVIS ISO රූපයේ අඛණ්ඩතාව තහවුරු කරන්නේ කෙසේද හෝ
රූපය උත්ශ්‍රේණි කරන්නද?

A: අඛණ්ඩතාව තහවුරු කිරීමට, විධානය භාවිතා කරන්න
/usr/bin/sha512sum <image_filepath> සහ සංසන්දනය කරන්න
සිස්කෝ විසින් සපයන ලද ප්‍රකාශිත හැෂ් සමඟ හැෂ්.

ප්‍ර: ENCS මත පෙරනිමියෙන් ආරක්ෂිත ඇරඹුම සක්‍රීය කර තිබේද?

A: නැත, ENCS මත පෙරනිමියෙන් ආරක්ෂිත ඇරඹුම අක්‍රිය කර ඇත. එය වේ
වැඩි දියුණු කළ ආරක්ෂාව සඳහා ආරක්ෂිත ඇරඹුම් සක්රිය කිරීමට නිර්දේශ කරනු ලැබේ.

Q: NFVIS හි SUDI හි අරමුණ කුමක්ද?

A: SUDI NFVIS හට අද්විතීය සහ වෙනස් කළ නොහැකි අනන්‍යතාවයක් සපයයි,
Cisco නිෂ්පාදනයක් ලෙස එහි අව්‍යාජ බව සහතික කිරීම සහ එයට පහසුකම් සැලසීම
පාරිභෝගිකයාගේ ඉන්වෙන්ටරි පද්ධතිය තුළ පිළිගැනීම.

ආරක්ෂක සලකා බැලීම්
මෙම පරිච්ඡේදය NFVIS හි ආරක්ෂක විශේෂාංග සහ සලකා බැලීම් විස්තර කරයි. එය ඉහළ මට්ටමේ ඕවරයක් ලබා දෙයිview ඔබට විශේෂිත වූ යෙදවීම් සඳහා ආරක්ෂක උපාය මාර්ගයක් සැලසුම් කිරීමට NFVIS හි ආරක්ෂාව සම්බන්ධ සංරචක. ජාල ආරක්‍ෂාවේ මූලික අංග බලාත්මක කිරීම සඳහා ආරක්‍ෂක හොඳම භාවිතයන් පිළිබඳ නිර්දේශ ද එහි ඇත. NFVIS මෘදුකාංගය සියලුම මෘදුකාංග ස්ථර හරහා ස්ථාපනය කිරීමේ සිටම ආරක්ෂාවක් ඇත. පසුකාලීන පරිච්ඡේද අක්තපත්‍ර කළමනාකරණය, අඛණ්ඩතාව සහ t වැනි කොටුවෙන් පිටත ආරක්ෂක අංශ කෙරෙහි අවධානය යොමු කරයි.amper ආරක්ෂාව, සැසි කළමනාකරණය, ආරක්ෂිත උපාංග ප්‍රවේශය සහ තවත් දේ.

· ස්ථාපනය, 2 පිටුවේ · ආරක්ෂිත අද්විතීය උපාංග හඳුනාගැනීම, 3 පිටුවේ · උපාංග ප්‍රවේශය, 4 පිටුවේ

ආරක්ෂක සලකා බැලීම් 1

ස්ථාපනය

ආරක්ෂක සලකා බැලීම්

· යටිතල පහසුකම් කළමනාකරණ ජාලය, 22 පිටුවේ · දේශීයව ගබඩා කර ඇති තොරතුරු ආරක්ෂණය, 23 පිටුවේ · File මාරු කිරීම, 24 පිටුවේ · ලොග් කිරීම, 24 පිටුවේ · අතථ්‍ය යන්ත්‍ර ආරක්ෂාව, 25 පිටුවේ · VM හුදකලා කිරීම සහ සම්පත් ප්‍රතිපාදන, 26 පිටුවේ · ආරක්ෂිත සංවර්ධන ජීවන චක්‍රය, 29 පිටුවේ

ස්ථාපනය
NFVIS මෘදුකාංගය ටී වී නොමැති බව සහතික කිරීම සඳහාampසමඟ ered, මෘදුකාංග රූපය ස්ථාපනය කිරීමට පෙර පහත යාන්ත්‍රණ භාවිතයෙන් සත්‍යාපනය කරනු ලැබේ:

රූපය ටීamper ආරක්ෂාව
NFVIS ISO සහ උත්ශ්‍රේණිගත රූපවල ඇති සියලුම RPM පැකේජ සඳහා RPM අත්සන් කිරීම සහ අත්සන සත්‍යාපනය සඳහා සහය දක්වයි.

RPM අත්සන් කිරීම

Cisco Enterprise NFVIS ISO හි සියලුම RPM පැකේජ සහ උත්ශ්‍රේණිගත රූප සංකේතාත්මක අඛණ්ඩතාව සහ සත්‍යතාව සහතික කිරීම සඳහා අත්සන් කර ඇත. RPM පැකේජ ටී වී නැති බව මෙය සහතික කරයිampසමඟ ered සහ RPM පැකේජ NFVIS වෙතින් වේ. RPM පැකේජ අත්සන් කිරීම සඳහා භාවිතා කරන පුද්ගලික යතුර Cisco විසින් නිර්මාණය කර ආරක්ෂිතව නඩත්තු කරයි.

RPM අත්සන සත්‍යාපනය

NFVIS මෘදුකාංගය ස්ථාපනයකට හෝ උත්ශ්‍රේණි කිරීමට පෙර සියලුම RPM පැකේජවල අත්සන සත්‍යාපනය කරයි. ස්ථාපනයකදී හෝ උත්ශ්‍රේණි කිරීමේදී අත්සන සත්‍යාපනය අසාර්ථක වූ විට පහත වගුවේ Cisco Enterprise NFVIS හැසිරීම විස්තර කෙරේ.

දර්ශනය

විස්තරය

Cisco Enterprise NFVIS 3.7.1 සහ පසුව ස්ථාපනයන් Cisco Enterprise NFVIS ස්ථාපනය කිරීමේදී අත්සන සත්‍යාපනය අසාර්ථක වුවහොත්, ස්ථාපනය නවත්වනු ලැබේ.

Cisco Enterprise NFVIS 3.6.x සිට 3.7.1 නිකුත් කිරීම දක්වා උත්ශ්‍රේණි කිරීම

උත්ශ්‍රේණි කිරීම සිදු කරන විට RPM අත්සන් සත්‍යාපනය කෙරේ. අත්සන තහවුරු කිරීම අසාර්ථක වුවහොත්, දෝෂයක් ලොග් වී ඇති නමුත් යාවත්කාලීන කිරීම සම්පූර්ණ වේ.

3.7.1 නිකුතුවෙන් Cisco Enterprise NFVIS උත්ශ්‍රේණිගත කිරීම යාවත්කාලීන කරන විට RPM අත්සන් සත්‍යාපනය කෙරේ.

පසුව නිකුත් කිරීමට

රූපය ලියාපදිංචි කර ඇත. අත්සන තහවුරු කිරීම අසාර්ථක වුවහොත්,

උත්ශ්‍රේණි කිරීම අත්හිටුවා ඇත.

රූපයේ අඛණ්ඩතාව තහවුරු කිරීම
RPM අත්සන් කිරීම සහ අත්සන සත්‍යාපනය කළ හැක්කේ Cisco NFVIS ISO සහ උත්ශ්‍රේණිගත කිරීමේ රූපවල ඇති RPM පැකේජ සඳහා පමණි. සියලුම අතිරේක නොවන RPM වල අඛණ්ඩතාව සහතික කිරීම සඳහා files Cisco NFVIS ISO රූපයේ ඇත, Cisco NFVIS ISO රූපයේ හැෂ් එකක් රූපය සමඟ ප්‍රකාශයට පත් කෙරේ. ඒ හා සමානව, Cisco NFVIS උත්ශ්‍රේණිගත කිරීමේ රූපයේ හැෂ් එකක් රූපය සමඟ ප්‍රකාශයට පත් කෙරේ. Cisco හි හැෂ් බව සත්‍යාපනය කිරීමට

ආරක්ෂක සලකා බැලීම් 2

ආරක්ෂක සලකා බැලීම්

ENCS ආරක්ෂිත ඇරඹුම

NFVIS ISO රූපය හෝ උත්ශ්‍රේණිගත රූපය Cisco විසින් ප්‍රකාශයට පත් කරන ලද හැෂ් සමඟ ගැලපේ, පහත විධානය ක්‍රියාත්මක කර ප්‍රකාශිත හැෂ් සමඟ හැෂ් සංසන්දනය කරන්න:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS ආරක්ෂිත ඇරඹුම
Secure boot යනු Unified Extensible Firmware Interface (UEFI) ප්‍රමිතියේ කොටසක් වන අතර එමඟින් උපාංගයක් ආරම්භ වන්නේ Original Equipment Manufacturer (OEM) විසින් විශ්වාස කරන මෘදුකාංගයක් භාවිතයෙන් පමණක් බව සහතික කරයි. NFVIS ආරම්භ වූ විට, ස්ථිරාංග මඟින් ඇරඹුම් මෘදුකාංගයේ සහ මෙහෙයුම් පද්ධතියේ අත්සන පරීක්ෂා කරයි. අත්සන් වලංගු නම්, උපාංගය ආරම්භ වන අතර, ස්ථිරාංග මඟින් මෙහෙයුම් පද්ධතියට පාලනය ලබා දෙයි.
ආරක්ෂිත ඇරඹුම ENCS මත පවතින නමුත් පෙරනිමියෙන් අබල කර ඇත. ආරක්ෂිත ඇරඹුම් සක්‍රීය කිරීමට Cisco ඔබට නිර්දේශ කරයි. වැඩි විස්තර සඳහා, ධාරකයේ ආරක්‍ෂිත ඇරඹුම් බලන්න.
ආරක්ෂිත අද්විතීය උපාංග හඳුනාගැනීම
NFVIS ආරක්ෂිත අනන්‍ය උපාංග හඳුනාගැනීම (SUDI) ලෙස හැඳින්වෙන යාන්ත්‍රණයක් භාවිතා කරයි, එය එයට වෙනස් කළ නොහැකි අනන්‍යතාවයක් සපයයි. උපාංගය අව්‍යාජ සිස්කෝ නිෂ්පාදනයක් බව තහවුරු කිරීමට සහ උපාංගය පාරිභෝගිකයාගේ ඉන්වෙන්ටරි පද්ධතිය හොඳින් දන්නා බව සහතික කිරීමට මෙම අනන්‍යතාවය භාවිතා වේ.
SUDI යනු X.509v3 සහතිකයක් සහ දෘඪාංග වලින් ආරක්ෂා කර ඇති ආශ්‍රිත යතුරු යුගලයකි. SUDI සහතිකයේ නිෂ්පාදන හැඳුනුම්කාරකය සහ අනුක්‍රමික අංකය අඩංගු වන අතර එය Cisco Public Key Infrastructure හි මුල් බැස ඇත. යතුරු යුගලය සහ SUDI සහතිකය නිෂ්පාදනය කිරීමේදී දෘඪාංග මොඩියුලයට ඇතුළු කරනු ලබන අතර පුද්ගලික යතුර කිසි විටෙක අපනයනය කළ නොහැක.
Zero Touch Provisioning (ZTP) භාවිතයෙන් සත්‍යාපනය කළ සහ ස්වයංක්‍රීය වින්‍යාසය සිදු කිරීමට SUDI-පාදක අනන්‍යතාවය භාවිතා කළ හැක. මෙමගින් උපාංගවල ආරක්ෂිත, දුරස්ථ ඔන්-බෝඩ් කිරීම සබල කරයි, සහ වාද්‍ය වෘන්ද සේවාදායකය අව්‍යාජ NFVIS උපාංගයකට කතා කරන බව සහතික කරයි. පසුබිම් පද්ධතියකට NFVIS උපාංගයට එහි අනන්‍යතාවය තහවුරු කිරීමට අභියෝගයක් නිකුත් කළ හැකි අතර උපාංගය එහි SUDI පදනම් වූ අනන්‍යතාවය භාවිතා කරමින් අභියෝගයට ප්‍රතිචාර දක්වයි. මෙමගින් පසුපෙළ පද්ධතියට නිවැරදි උපාංගය නිවැරදි ස්ථානයේ ඇති බව එහි ඉන්වෙන්ටරියට එරෙහිව සත්‍යාපනය කිරීමට පමණක් නොව, විශේෂිත උපාංගයට පමණක් විවෘත කළ හැකි සංකේතාත්මක වින්‍යාසය සැපයීමට ඉඩ සලසයි, එමඟින් ගමනාගමනයේ රහස්‍යභාවය සහතික කෙරේ.
පහත වැඩ ප්‍රවාහ රූප සටහන් මගින් NFVIS SUDI භාවිතා කරන ආකාරය නිදර්ශනය කරයි:

ආරක්ෂක සලකා බැලීම් 3

උපාංග ප්‍රවේශ Figure 1: Plug and Play (PnP) Server සත්‍යාපනය

ආරක්ෂක සලකා බැලීම්

Figure 2: Plug and Play Device Authentication සහ Authorization

උපාංග ප්‍රවේශය
NFVIS කොන්සෝලය මෙන්ම HTTPS සහ SSH වැනි ප්‍රොටෝකෝල මත පදනම්ව දුරස්ථ ප්‍රවේශය ඇතුළු විවිධ ප්‍රවේශ යාන්ත්‍රණ සපයයි. සෑම ප්රවේශ යාන්ත්රණයක්ම ප්රවේශමෙන් නැවත සකස් කළ යුතුයviewed සහ වින්‍යාස කර ඇත. අවශ්‍ය ප්‍රවේශ යාන්ත්‍රණ පමණක් සක්‍රීය කර ඇති බවත් ඒවා නිසි ලෙස සුරක්ෂිත කර ඇති බවත් සහතික කර ගන්න. NFVIS වෙත අන්තර්ක්‍රියාකාරී සහ කළමනාකරණ ප්‍රවේශය සුරක්ෂිත කිරීමේ ප්‍රධාන පියවර වන්නේ උපාංග ප්‍රවේශය සීමා කිරීම, අවසර ලත් පරිශීලකයින්ගේ හැකියාවන් අවශ්‍ය දේට සීමා කිරීම සහ අවසර ලත් ප්‍රවේශ ක්‍රම සීමා කිරීමයි. NFVIS මඟින් ප්‍රවේශය ලබා දී ඇත්තේ සත්‍යාපිත පරිශීලකයින්ට පමණක් බවත් ඔවුන්ට බලයලත් ක්‍රියාවන් පමණක් සිදු කළ හැකි බවත් සහතික කරයි. උපාංග ප්‍රවේශය විගණනය සඳහා ලොග් කර ඇති අතර NFVIS දේශීයව ගබඩා කර ඇති සංවේදී දත්තවල රහස්‍යභාවය සහතික කරයි. NFVIS වෙත අනවසරයෙන් ප්‍රවේශ වීම වැලැක්වීම සඳහා සුදුසු පාලනයන් ස්ථාපිත කිරීම ඉතා වැදගත් වේ. මෙය සාක්ෂාත් කර ගැනීම සඳහා හොඳම භාවිතයන් සහ වින්‍යාසයන් පහත කොටස් විස්තර කරයි:
ආරක්ෂක සලකා බැලීම් 4

ආරක්ෂක සලකා බැලීම්

පළමු පිවිසුමේදී බලාත්මක මුරපදය වෙනස් කිරීම

පළමු පිවිසුමේදී බලාත්මක මුරපදය වෙනස් කිරීම
පෙරනිමි අක්තපත්‍ර නිෂ්පාදන ආරක්ෂණ සිදුවීම්වල නිරන්තර මූලාශ්‍රයකි. ගනුදෙනුකරුවන්ට ඔවුන්ගේ පද්ධති ප්‍රහාරය සඳහා විවෘතව තබා පෙරනිමි පිවිසුම් අක්තපත්‍ර වෙනස් කිරීමට බොහෝ විට අමතක වේ. මෙය වලක්වා ගැනීම සඳහා, NFVIS පරිශීලකයාට පෙරනිමි අක්තපත්‍ර (පරිශීලක නාමය: පරිපාලක සහ මුරපදය Admin123#) භාවිතයෙන් පළමු පිවිසුමෙන් පසු මුරපදය වෙනස් කිරීමට බල කෙරේ. වැඩි විස්තර සඳහා, NFVIS වෙත ප්‍රවේශ වීම බලන්න.
පිවිසුම් අවදානම් සීමා කිරීම
ඔබට පහත විශේෂාංග භාවිතා කිරීමෙන් ශබ්දකෝෂයට ඇති අවදානම සහ සේවා ප්‍රතික්ෂේප කිරීම (DoS) ප්‍රහාර වළක්වා ගත හැක.
ශක්තිමත් මුරපදයක් බලාත්මක කිරීම
සත්‍යාපන යාන්ත්‍රණයක් ශක්තිමත් වන්නේ එහි අක්තපත්‍ර තරම් පමණි. මෙම හේතුව නිසා, පරිශීලකයින්ට ශක්තිමත් මුරපද ඇති බව සහතික කිරීම වැදගත් වේ. NFVIS පහත සඳහන් නීතිවලට අනුව ශක්තිමත් මුරපදයක් වින්‍යාස කර ඇත්දැයි පරීක්ෂා කරයි: මුරපදය අඩංගු විය යුතුය:
· අවම වශයෙන් එක් කැපිටල් අක්ෂරයක් · අවම වශයෙන් එක් කුඩා අකුරක් · අවම වශයෙන් එක් අංකයක් · අවම වශයෙන් මෙම විශේෂ අක්ෂරවලින් එකක්: හැෂ් (#), යටි ඉරි (_), යටි ඉර (-), තරු ලකුණ (*) හෝ ප්‍රශ්නය
ලකුණ (?) · අක්ෂර හතක් හෝ වැඩි ගණනක් · මුරපදයේ දිග අක්ෂර 7 සහ 128 අතර විය යුතුය.
මුරපද සඳහා අවම දිග වින්‍යාස කිරීම
මුරපද සංකීර්ණතාවය නොමැතිකම, විශේෂයෙන් මුරපද දිග, ප්‍රහාරකයන් පරිශීලක මුරපද අනුමාන කිරීමට උත්සාහ කරන විට සෙවුම් ඉඩ සැලකිය යුතු ලෙස අඩු කරයි, තිරිසන් ප්‍රහාර වඩාත් පහසු කරයි. පරිපාලක පරිශීලකයාට සියලුම පරිශීලකයින්ගේ මුරපද සඳහා අවශ්‍ය අවම දිග වින්‍යාසගත කළ හැක. අවම දිග අක්ෂර 7 සහ 128 අතර විය යුතුය. පෙරනිමියෙන්, මුරපද සඳහා අවශ්‍ය අවම දිග අක්ෂර 7ක් ලෙස සකසා ඇත. CLI:
nfvis(config)# rbac සත්‍යාපනය min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
මුරපද ජීවිත කාලය වින්‍යාස කිරීම
මුරපද ආයු කාලය තීරණය කරන්නේ මුරපදයක් වෙනස් කිරීමට පරිශීලකයාට අවශ්‍ය වීමට පෙර කොපමණ කාලයක් භාවිතා කළ හැකිද යන්නයි.

ආරක්ෂක සලකා බැලීම් 5

පෙර මුරපදය නැවත භාවිතා කිරීම සීමා කරන්න

ආරක්ෂක සලකා බැලීම්

පරිපාලක පරිශීලකයාට සියලුම පරිශීලකයින් සඳහා මුරපද සඳහා අවම සහ උපරිම ආයුකාල අගයන් වින්‍යාස කළ හැකි අතර මෙම අගයන් පරීක්ෂා කිරීමට රීතියක් බලාත්මක කළ හැක. පෙරනිමි අවම ආයුකාල අගය දින 1ක් සහ පෙරනිමි උපරිම ආයුකාල අගය දින 60ක් ලෙස සකසා ඇත. අවම ආයුකාල අගයක් වින්‍යාස කර ඇති විට, නිශ්චිත දින ගණන ගත වන තෙක් පරිශීලකයාට මුරපදය වෙනස් කළ නොහැක. ඒ හා සමානව, උපරිම ආයුකාල අගයක් වින්‍යාස කර ඇති විට, නිශ්චිත දින ගණන ගෙවී යාමට පෙර පරිශීලකයෙකු මුරපදය වෙනස් කළ යුතුය. පරිශීලකයෙකු මුරපදය වෙනස් නොකරන්නේ නම් සහ නිශ්චිත දින ගණන ගෙවී ඇත්නම්, පරිශීලකයාට දැනුම් දීමක් යවනු ලැබේ.
සටහන අවම සහ උපරිම ආයුකාල අගයන් සහ මෙම අගයන් සඳහා පරීක්ෂා කිරීමේ රීතිය පරිපාලක පරිශීලකයාට අදාළ නොවේ.
CLI:
ටර්මිනල් rbac සත්‍යාපනය වින්‍යාස කරන්න මුරපදය-ජීවිත කාලය බලාත්මක කරන්න සත්‍ය මිනිත්තු-දින 2 උපරිම-දින 30 කැපවීම
API:
/api/config/rbac/authication/password-lifetime/
පෙර මුරපදය නැවත භාවිතා කිරීම සීමා කරන්න
පෙර මුර වාක්‍ය ඛණ්ඩ භාවිතය වැලැක්වීමකින් තොරව, පරිශීලකයින්ට සරලව මුර වැකිය වෙනස් කර එය මුල් පිටපතට වෙනස් කළ හැකි බැවින් මුරපදය කල් ඉකුත්වීම බොහෝ දුරට නිෂ්ඵල වේ. NFVIS නව මුරපදය කලින් භාවිතා කළ මුරපද 5න් එකකට සමාන නොවේදැයි පරීක්ෂා කරයි. මෙම රීතියට එක් ව්‍යතිරේකයක් නම්, පරිපාලක පරිශීලකයාට පෙර භාවිතා කළ මුරපද 5න් එකක් වුවද එය පෙරනිමි මුරපදයට වෙනස් කළ හැකිය.
ඇතුල් වීමේ උත්සාහයන් වාර ගණන සීමා කරන්න
දුරස්ථ මිතුරෙකුට අසීමිත වාර ගණනක් පුරනය වීමට ඉඩ ලබා දෙන්නේ නම්, අවසානයේ ඔහුට තිරිසන් බලයෙන් ඇතුල් වීමේ අක්තපත්‍ර අනුමාන කිරීමට හැකි වේ. රහස් වාක්‍ය ඛණ්ඩ බොහෝ විට අනුමාන කිරීමට පහසු බැවින්, මෙය පොදු ප්‍රහාරයකි. සම වයසේ මිතුරන්ට පිවිසීමට උත්සාහ කළ හැකි අනුපාතය සීමා කිරීමෙන්, අපි මෙම ප්‍රහාරය වළක්වන්නෙමු. සේවා ප්‍රතික්ෂේප කිරීමේ ප්‍රහාරයක් ඇති කළ හැකි මෙම තිරිසන් බල පුරනය වීමේ උත්සාහයන් අනවශ්‍ය ලෙස සත්‍යාපනය කිරීම සඳහා පද්ධති සම්පත් වියදම් කිරීම ද අපි වළක්වමු. NFVIS අසාර්ථක පුරනය වීමේ උත්සාහයන් 5කට පසුව විනාඩි 10ක පරිශීලක අගුලු දැමීමක් බලාත්මක කරයි.
අක්රිය පරිශීලක ගිණුම් අක්රිය කරන්න
පරිශීලක ක්‍රියාකාරකම් නිරීක්ෂණය කිරීම සහ භාවිතයට නොගත් හෝ පරණ පරිශීලක ගිණුම් අක්‍රිය කිරීම මඟින් පද්ධතිය අභ්‍යන්තර ප්‍රහාරවලින් ආරක්ෂා කිරීමට උපකාරී වේ. භාවිතයට නොගත් ගිණුම් අවසානයේ ඉවත් කළ යුතුය. පරිපාලක පරිශීලකයාට භාවිත නොකළ පරිශීලක ගිණුම් අක්‍රිය ලෙස සලකුණු කිරීමට සහ භාවිත නොකළ පරිශීලක ගිණුමක් අක්‍රිය ලෙස සලකුණු කළ දින ගණන වින්‍යාස කිරීමට රීතියක් ක්‍රියාත්මක කළ හැකිය. අක්‍රිය ලෙස සලකුණු කළ පසු, එම පරිශීලකයාට පද්ධතියට පුරනය විය නොහැක. පරිශීලකයාට පද්ධතියට පුරනය වීමට ඉඩ දීම සඳහා, පරිපාලක පරිශීලකයාට පරිශීලක ගිණුම සක්රිය කළ හැක.
සටහන අකර්මණ්‍ය කාල සීමාව සහ අක්‍රිය කාලසීමාව පරීක්ෂා කිරීමේ රීතිය පරිපාලක පරිශීලකයාට අදාළ නොවේ.

ආරක්ෂක සලකා බැලීම් 6

ආරක්ෂක සලකා බැලීම්

අක්රිය පරිශීලක ගිණුමක් සක්රිය කිරීම

ගිණුම් අක්‍රියතාව බලාත්මක කිරීම වින්‍යාස කිරීමට පහත CLI සහ API භාවිතා කළ හැක. CLI:
ටර්මිනල් rbac සත්‍යාපනය වින්‍යාස කරන්න ගිණුම-අක්‍රියතාව සත්‍ය අක්‍රියතාව බලාත්මක කිරීම-දින 30 කැපවීම
API:
/api/config/rbac/authentication/ගිණුම-අක්‍රියතාව/
අක්‍රිය-දින සඳහා පෙරනිමි අගය 35 වේ.
අක්‍රිය පරිශීලක ගිණුමක් සක්‍රිය කිරීම පරිපාලක පරිශීලකයාට පහත CLI සහ API භාවිතයෙන් අක්‍රිය පරිශීලකයෙකුගේ ගිණුම සක්‍රිය කළ හැක: CLI:
ටර්මිනල් rbac සත්‍යාපන පරිශීලකයන් වින්‍යාස කරන්න user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS සහ CIMC මුරපද සැකසීම බලාත්මක කරන්න

වගුව 1: විශේෂාංග ඉතිහාස වගුව

විශේෂාංග නාමය

තොරතුරු නිකුත් කරන්න

BIOS සහ CIMC NFVIS 4.7.1 මුරපද සැකසීම බලාත්මක කරන්න

විස්තරය
මෙම විශේෂාංගය CIMC සහ BIOS සඳහා පෙරනිමි මුරපදය වෙනස් කිරීමට පරිශීලකයාට බල කරයි.

BIOS සහ CIMC මුරපද සැකසීම බලාත්මක කිරීම සඳහා සීමාවන්
· මෙම විශේෂාංගය Cisco Catalyst 8200 UCPE සහ Cisco ENCS 5400 වේදිකාවල පමණක් සහාය දක්වයි.
· මෙම විශේෂාංගය NFVIS 4.7.1 හි නැවුම් ස්ථාපනයක් සහ පසුව නිකුත් කිරීම් සඳහා පමණක් සහය දක්වයි. ඔබ NFVIS 4.6.1 සිට NFVIS 4.7.1 දක්වා උත්ශ්‍රේණි කරන්නේ නම්, මෙම විශේෂාංගය සඳහා සහය නොදක්වන අතර BIOS සහ CIMC මුරපද වින්‍යාස කර නොමැති වුවද, BIOS සහ CIMS මුරපද යළි පිහිටුවීමට ඔබෙන් විමසන්නේ නැත.

BIOS සහ CIMC මුරපද සැකසීම බලාත්මක කිරීම පිළිබඳ තොරතුරු
මෙම විශේෂාංගය NFVIS 4.7.1 හි නැවුම් ස්ථාපනයකින් පසු BIOS සහ CIMC මුරපද යළි පිහිටුවීම බලාත්මක කිරීමෙන් ආරක්ෂක පරතරයක් ආමන්ත්‍රණය කරයි. පෙරනිමි CIMC මුරපදය මුරපදය වන අතර පෙරනිමි BIOS මුරපදය මුරපදය නොවේ.
ආරක්ෂක පරතරය නිවැරදි කිරීම සඳහා, ENCS 5400 හි BIOS සහ CIMC මුරපද වින්‍යාස කිරීමට ඔබට බල කෙරේ. NFVIS 4.7.1 නැවුම් ස්ථාපනයකදී, BIOS සහ CIMC මුරපද වෙනස් කර නොමැති නම් සහ තවමත් තිබේ නම්

ආරක්ෂක සලකා බැලීම් 7

වින්‍යාසය ExampBIOS සහ CIMC මුරපද බලහත්කාරයෙන් යළි පිහිටුවීම සඳහා les

ආරක්ෂක සලකා බැලීම්

පෙරනිමි මුරපද, එවිට BIOS සහ CIMC මුරපද දෙකම වෙනස් කිරීමට ඔබෙන් විමසනු ඇත. ඒවායින් එකක් පමණක් යළි පිහිටුවීම අවශ්‍ය නම්, එම සංරචකය සඳහා පමණක් මුරපදය යළි පිහිටුවීමට ඔබෙන් විමසනු ඇත. Cisco Catalyst 8200 UCPE සඳහා අවශ්‍ය වන්නේ BIOS මුරපදය පමණක් වන අතර, එය දැනටමත් සකසා නොමැති නම්, BIOS මුරපදය යළි පිහිටුවීම පමණක් විමසනු ලැබේ.
සටහන ඔබ පෙර නිකුතුවකින් NFVIS 4.7.1 හෝ ඊට පසු නිකුත් කිරීම් වෙත උත්ශ්‍රේණි කළහොත්, ඔබට hostaction change-bios-password newpassword හෝ hostaction change-cimc-password newpassword විධාන භාවිතයෙන් BIOS සහ CIMC මුරපද වෙනස් කළ හැක.
BIOS සහ CIMC මුරපද පිළිබඳ වැඩි විස්තර සඳහා, BIOS සහ CIMC මුරපදය බලන්න.
වින්‍යාසය ExampBIOS සහ CIMC මුරපද බලහත්කාරයෙන් යළි පිහිටුවීම සඳහා les
1. ඔබ NFVIS 4.7.1 ස්ථාපනය කරන විට, ඔබ මුලින්ම පෙරනිමි පරිපාලක මුරපදය නැවත සැකසිය යුතුය.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS අනුවාදය: 99.99.0-1009
ප්‍රකාශන හිමිකම (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems, සහ Cisco Systems ලාංඡනය Cisco Systems, Inc. සහ/හෝ එක්සත් ජනපදයේ සහ වෙනත් ඇතැම් රටවල එහි අනුබද්ධිත වෙළඳ ලකුණු වේ.
මෙම මෘදුකාංගයේ අඩංගු ඇතැම් කෘතීන්හි ප්‍රකාශන හිමිකම වෙනත් තෙවන පාර්ශවයන් සතු වන අතර තෙවන පාර්ශවීය බලපත්‍ර ගිවිසුම් යටතේ භාවිතා කර බෙදා හරිනු ලැබේ. මෙම මෘදුකාංගයේ ඇතැම් සංරචක GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 සහ AGPL 3.0 යටතේ බලපත්‍ර ලබා ඇත.
nfvis මත ssh භාවිතා කරමින් 10.24.109.102 සිට සම්බන්ධ වූ පරිපාලක පෙරනිමි අක්තපත්‍ර සමඟ ලොග් වී ඇති පරිපාලක කරුණාකර පහත නිර්ණායක සපුරාලන මුරපදයක් සපයන්න:
1.අඩුම තරමින් එක් කුඩා අකුරක් 2.අවම වශයෙන් එක් කැපිටල් අකුරක්වත් 3.අඩුම තරමින් එක් සංඛ්‍යාවක්වත් 4 5. දිග අක්ෂර 7 සහ 128 අතර විය යුතුය කරුණාකර මුරපදය නැවත සකසන්න : කරුණාකර මුරපදය නැවත ඇතුලත් කරන්න :
පරිපාලක මුරපදය නැවත සැකසීම
2. Cisco Catalyst 8200 UCPE සහ Cisco ENCS 5400 වේදිකා මත ඔබ NFVIS 4.7.1 හෝ පසුව නිකුත් කිරීම් නැවුම් ස්ථාපනයක් කරන විට, ඔබ පෙරනිමි BIOS සහ CIMC මුරපද වෙනස් කළ යුතුය. BIOS සහ CIMC මුරපද කලින් වින්‍යාස කර නොමැති නම්, Cisco ENCS 5400 සඳහා BIOS සහ CIMC මුරපද යළි පිහිටුවීමට සහ Cisco Catalyst 8200 UCPE සඳහා පමණක් BIOS මුරපදය නැවත සැකසීමට පද්ධතිය ඔබෙන් විමසයි.
නව පරිපාලක මුරපදය සකසා ඇත
කරුණාකර පහත නිර්ණායක සපුරාලන BIOS මුරපදය ලබා දෙන්න: 1. අවම වශයෙන් එක් කුඩා අකුරු 2. අවම වශයෙන් එක් විශාල අකුරක් 3. අවම වශයෙන් එක් අංකයක් 4. #, @ හෝ _ 5 වෙතින් අවම වශයෙන් එක් විශේෂ අක්ෂරයක්. දිග අතර විය යුතුය. අක්ෂර 8 සහ 20 6. පහත තන්තු කිසිවක් අඩංගු නොවිය යුතුය (අවස්ථා සංවේදී): bios 7. පළමු අක්ෂරය # විය නොහැක

ආරක්ෂක සලකා බැලීම් 8

ආරක්ෂක සලකා බැලීම්

BIOS සහ CIMC මුරපද සත්‍යාපනය කරන්න

කරුණාකර BIOS මුරපදය නැවත සකසන්න : කරුණාකර BIOS මුරපදය නැවත ඇතුල් කරන්න : කරුණාකර පහත නිර්ණායක සපුරාලන CIMC මුරපදය ලබා දෙන්න:
1. අවම වශයෙන් එක් කුඩා අකුරක්වත් 2. අවම වශයෙන් එක් විශාල අකුරක්වත් 3. අවම වශයෙන් එක් සංඛ්‍යාවක්වත් 4. #, @ හෝ _ 5 වෙතින් අවම වශයෙන් එක් විශේෂ අක්ෂරයක්වත්. දිග අක්ෂර 8 සහ 20 අතර විය යුතුය 6. කිසිවක් අඩංගු නොවිය යුතුය පහත තන්තු (අවස්ථා සංවේදී): පරිපාලක කරුණාකර CIMC මුරපදය යළි පිහිටුවන්න : කරුණාකර CIMC මුරපදය නැවත ඇතුල් කරන්න:

BIOS සහ CIMC මුරපද සත්‍යාපනය කරන්න
BIOS සහ CIMC මුරපද සාර්ථක ලෙස වෙනස් වී ඇත්දැයි තහවුරු කර ගැනීමට, ප්‍රදර්ශන ලොගය භාවිතා කරන්න nfvis_config.log | BIOS ඇතුලත් කරන්න හෝ log nfvis_config.log | පෙන්වන්න CIMC විධාන ඇතුළත් වේ:

nfvis# ලොගය පෙන්වන්න nfvis_config.log | BIOS ඇතුළත් වේ

2021-11-16 15:24:40,102 INFO

[hostation:/system/settings] [] BIOS මුරපදය වෙනස් කිරීම

සාර්ථක වේ

ඔබට nfvis_config.log බාගත කළ හැක file සහ මුරපද සාර්ථකව නැවත සකස් කර ඇත්දැයි තහවුරු කරන්න.

බාහිර AAA සේවාදායකයන් සමඟ ඒකාබද්ධ වීම
පරිශීලකයන් ssh හෝ the හරහා NFVIS වෙත පුරනය වේ Web UI. ඕනෑම අවස්ථාවක, පරිශීලකයින් සත්‍යාපනය කළ යුතුය. එනම්, පරිශීලකයෙකුට ප්‍රවේශය ලබා ගැනීම සඳහා මුරපද අක්තපත්‍ර ඉදිරිපත් කිරීමට අවශ්‍ය වේ.
පරිශීලකයෙකු සත්‍යාපනය කළ පසු, එම පරිශීලකයා විසින් සිදු කරනු ලබන සියලුම මෙහෙයුම් සඳහා අනුමැතිය ලබාදිය යුතුය. එනම්, ඇතැම් පරිශීලකයින්ට ඇතැම් කාර්යයන් ඉටු කිරීමට අවසර දිය හැකි අතර අනෙක් අයට එසේ නොවේ. මෙය අවසරය ලෙස හැඳින්වේ.
NFVIS ප්‍රවේශය සඳහා එක් පරිශීලකයෙකුට, AAA-පදනම් වූ පිවිසුම් සත්‍යාපනය බලාත්මක කිරීමට මධ්‍යගත AAA සේවාදායකයක් යෙදවීම නිර්දේශ කෙරේ. NFVIS ජාල ප්‍රවේශය මැදිහත් වීමට RADIUS සහ TACACS ප්‍රොටෝකෝල සඳහා සහය දක්වයි. AAA සේවාදායකයේ, ඔවුන්ගේ නිශ්චිත ප්‍රවේශ අවශ්‍යතා අනුව සත්‍යාපනය කළ පරිශීලකයින්ට අවම ප්‍රවේශ වරප්‍රසාද පමණක් ලබා දිය යුතුය. මෙමගින් ද්වේශසහගත සහ නොදැනුවත්වම ආරක්ෂක සිදුවීම් වලට නිරාවරණය වීම අඩු කරයි.
බාහිර සත්‍යාපනය පිළිබඳ වැඩි විස්තර සඳහා, RADIUS වින්‍යාස කිරීම සහ TACACS+ සේවාදායකයක් වින්‍යාස කිරීම බලන්න.

බාහිර සත්‍යාපන සේවාදායකය සඳහා සත්‍යාපන හැඹිලිය

විශේෂාංග නාමය

තොරතුරු නිකුත් කරන්න

බාහිර NFVIS 4.5.1 සත්‍යාපන සේවාදායකය සඳහා සත්‍යාපන හැඹිලිය

විස්තරය
මෙම විශේෂාංගය NFVIS ද්වාරයෙහි OTP හරහා TACACS සත්‍යාපනය සඳහා සහය දක්වයි.

NFVIS ද්වාරය මූලික සත්‍යාපනයෙන් පසු සියලුම API ඇමතුම් සඳහා එකම එක්-කාලීන මුරපදය (OTP) භාවිතා කරයි. OTP කල් ඉකුත් වූ වහාම API ඇමතුම් අසාර්ථක වේ. මෙම විශේෂාංගය NFVIS ද්වාරය සමඟ TACACS OTP සත්‍යාපනයට සහය දක්වයි.
ඔබ OTP භාවිතයෙන් TACACS සේවාදායකය හරහා සාර්ථකව සත්‍යාපනය කළ පසු, NFVIS පරිශීලක නාමය සහ OTP භාවිතා කර හැෂ් ප්‍රවේශයක් සාදා මෙම හැෂ් අගය දේශීයව ගබඩා කරයි. මෙම දේශීයව ගබඩා කර ඇති හැෂ් අගය ඇත

ආරක්ෂක සලකා බැලීම් 9

භූමිකාව පදනම් වූ ප්රවේශ පාලනය

ආරක්ෂක සලකා බැලීම්

කල් ඉකුත්වන කාලයක් stamp ඊට සම්බන්ධයි. වේලාව ශාන්තamp SSH සැසිය නිෂ්ක්‍රීය කල් ඉකුත්වීමේ අගයට සමාන අගයක් ඇත, එය විනාඩි 15 කි. එකම පරිශීලක නාමය සහිත සියලු පසුකාලීන සත්‍යාපන ඉල්ලීම් පළමුව මෙම දේශීය හැෂ් අගයට එරෙහිව සත්‍යාපනය කෙරේ. දේශීය හැෂ් සමඟ සත්‍යාපනය අසමත් වුවහොත්, NFVIS මෙම ඉල්ලීම TACACS සේවාදායකය සමඟින් සත්‍යාපනය කර සත්‍යාපනය සාර්ථක වූ විට නව හැෂ් ප්‍රවේශයක් නිර්මාණය කරයි. හැෂ් ප්‍රවේශයක් දැනටමත් පවතී නම්, එහි වේලාව stamp මිනිත්තු 15 දක්වා නැවත සකස් කර ඇත.
ද්වාරයට සාර්ථකව පිවිසීමෙන් පසු ඔබව TACACS සේවාදායකයෙන් ඉවත් කරනු ලැබුවහොත්, NFVIS හි හැෂ් ප්‍රවේශය කල් ඉකුත් වන තෙක් ඔබට ද්වාරය දිගටම භාවිතා කළ හැක.
ඔබ පැහැදිලිවම NFVIS ද්වාරයෙන් ඉවත් වූ විට හෝ ක්‍රියා විරහිත කාලය හේතුවෙන් ඉවත් වූ විට, හැෂ් ප්‍රවේශය ෆ්ලෂ් කිරීමට NFVIS පසුපෙළ දැනුම් දීමට ද්වාරය නව API අමතයි. සත්‍යාපන හැඹිලිය සහ එහි ඇතුළත් කිරීම් සියල්ල NFVIS නැවත පණගැන්වීමෙන්, කර්මාන්තශාලා යළි පිහිටුවීමෙන් හෝ උත්ශ්‍රේණි කිරීමෙන් පසුව ඉවත් කරනු ලැබේ.

භූමිකාව පදනම් වූ ප්රවේශ පාලනය

බොහෝ සේවකයින් සිටින, කොන්ත්‍රාත්කරුවන් සේවයේ යොදවන හෝ පාරිභෝගිකයින් සහ වෙළෙන්දන් වැනි තෙවන පාර්ශවයන්ට ප්‍රවේශ වීමට අවසර දෙන ආයතන සඳහා ජාල ප්‍රවේශය සීමා කිරීම වැදගත් වේ. එවැනි තත්වයක් තුළ, ජාල ප්රවේශය ඵලදායී ලෙස නිරීක්ෂණය කිරීම අපහසු වේ. ඒ වෙනුවට, සංවේදී දත්ත සහ තීරණාත්මක යෙදුම් සුරක්ෂිත කිරීම සඳහා, ප්‍රවේශ විය හැකි දේ පාලනය කිරීම වඩා හොඳය.
භූමිකාව පදනම් කරගත් ප්‍රවේශ පාලනය (RBAC) යනු ව්‍යවසායයක් තුළ තනි පරිශීලකයින්ගේ භූමිකාවන් මත පදනම්ව ජාල ප්‍රවේශය සීමා කිරීමේ ක්‍රමයකි. RBAC පරිශීලකයින්ට ඔවුන්ට අවශ්‍ය තොරතුරු වෙත ප්‍රවේශ වීමට ඉඩ සලසයි, සහ ඔවුන්ට අදාළ නොවන තොරතුරු වෙත ප්‍රවේශ වීමෙන් වළක්වයි.
අඩු වරප්‍රසාද සහිත සේවකයින්ට සංවේදී තොරතුරු වෙත ප්‍රවේශ වීමට හෝ තීරණාත්මක කාර්යයන් කිරීමට නොහැකි බව සහතික කිරීම සඳහා, ව්‍යවසාය තුළ සේවකයෙකුගේ භූමිකාව ලබා දී ඇති අවසරයන් තීරණය කිරීමට භාවිතා කළ යුතුය.
පහත පරිශීලක භූමිකාවන් සහ වරප්‍රසාද NFVIS හි අර්ථ දක්වා ඇත

පරිශීලක භූමිකාව

වරප්රසාද

පරිපාලකයින්

පවතින සියලුම විශේෂාංග වින්‍යාස කිරීමට සහ පරිශීලක භූමිකාවන් වෙනස් කිරීම ඇතුළුව සියලුම කාර්යයන් ඉටු කිරීමට හැකිය. පරිපාලකයාට NFVIS සඳහා මූලික වන මූලික යටිතල පහසුකම් මකා දැමිය නොහැක. පරිපාලක පරිශීලකයාගේ භූමිකාව වෙනස් කළ නොහැක; එය සැමවිටම "පරිපාලකයින්" වේ.

ක්රියාකරුවන්

VM එකක් ආරම්භ කර නැවැත්විය හැකිය, සහ view සියලුම තොරතුරු.

විගණකවරුන්

ඔවුන් අවම වරප්‍රසාද ලත් පරිශීලකයින් වේ. ඔවුන්ට කියවීමට පමණක් අවසර ඇති අතර එබැවින්, කිසිදු වින්‍යාසයක් වෙනස් කළ නොහැක.

RBAC හි ප්රතිලාභ
සංවිධානයක් තුළ පුද්ගලයින්ගේ භූමිකාවන් මත පදනම්ව අනවශ්‍ය ජාල ප්‍රවේශය සීමා කිරීමට RBAC භාවිතා කිරීමේ ප්‍රතිලාභ ගණනාවක් ඇත, ඇතුළුව:
· මෙහෙයුම් කාර්යක්ෂමතාව වැඩි දියුණු කිරීම.
RBAC හි පූර්ව නිශ්චිත භූමිකාවන් තිබීම, නිවැරදි වරප්‍රසාද සහිත නව පරිශීලකයින් ඇතුළත් කිරීම හෝ පවතින පරිශීලකයින්ගේ භූමිකාවන් මාරු කිරීම පහසු කරයි. එය පරිශීලක අවසරයන් පවරන විට දෝෂයක් ඇතිවීමේ හැකියාවද අඩු කරයි.
· අනුකූලතාව වැඩි දියුණු කිරීම.

ආරක්ෂක සලකා බැලීම් 10

ආරක්ෂක සලකා බැලීම්

භූමිකාව පදනම් වූ ප්රවේශ පාලනය

සෑම සංවිධානයක්ම ප්‍රාදේශීය, ප්‍රාන්ත සහ ෆෙඩරල් රෙගුලාසිවලට අනුකූල විය යුතුය. සමාගම් සාමාන්‍යයෙන් රහස්‍යභාවය සහ පෞද්ගලිකත්වය සඳහා නියාමන සහ ව්‍යවස්ථාපිත අවශ්‍යතා සපුරාලීම සඳහා RBAC පද්ධති ක්‍රියාත්මක කිරීමට කැමැත්තක් දක්වන්නේ විධායකයින්ට සහ තොරතුරු තාක්ෂණ දෙපාර්තමේන්තු වලට දත්ත වෙත ප්‍රවේශ වන ආකාරය සහ භාවිතා කරන ආකාරය වඩාත් ඵලදායී ලෙස කළමනාකරණය කළ හැකි බැවිනි. සංවේදී දත්ත කළමනාකරණය කරන මූල්‍ය ආයතන සහ සෞඛ්‍ය සේවා සමාගම් සඳහා මෙය විශේෂයෙන් වැදගත් වේ.
· වියදම් අඩු කිරීම. ඇතැම් ක්‍රියාවලි සහ යෙදුම් වෙත පරිශීලක ප්‍රවේශයට ඉඩ නොදීමෙන්, සමාගම් විසින් ජාල කලාප පළල, මතකය සහ ගබඩා කිරීම වැනි සම්පත් පිරිවැය-ඵලදායී ලෙස සංරක්ෂණය කිරීමට හෝ භාවිතා කිරීමට හැකිය.
· උල්ලංඝනය කිරීම් සහ දත්ත කාන්දු වීමේ අවදානම අඩු කිරීම. RBAC ක්‍රියාත්මක කිරීම යනු සංවේදී තොරතුරු වෙත ප්‍රවේශය සීමා කිරීම, එමගින් දත්ත කඩකිරීම් හෝ දත්ත කාන්දුවීම් සඳහා ඇති හැකියාව අඩු කිරීමයි.
භූමිකාව මත පදනම් වූ ප්‍රවේශ පාලන ක්‍රියාත්මක කිරීම් සඳහා හොඳම පරිචයන් · පරිපාලකයෙකු ලෙස, පරිශීලකයින්ගේ ලැයිස්තුව තීරණය කර පරිශීලකයන් පූර්ව නිශ්චිත භූමිකාවන්ට පවරන්න. උදාහරණයක් ලෙසample, පරිශීලක "networkadmin" නිර්මාණය කර "පරිපාලකයින්" පරිශීලක කණ්ඩායමට එකතු කළ හැක.
ටර්මිනල් rbac සත්‍යාපනය වින්‍යාස කරන්න පරිශීලකයන් තනන්න-පරිශීලක නාමය ජාල පරිපාලක මුරපදය Test1_pass භූමිකාව පරිපාලකයින් විසින් සිදු කරයි
සටහන පරිශීලක කණ්ඩායම් හෝ භූමිකාවන් පද්ධතිය විසින් නිර්මාණය කර ඇත. ඔබට පරිශීලක කණ්ඩායමක් නිර්මාණය කිරීමට හෝ වෙනස් කිරීමට නොහැක. මුරපදය වෙනස් කිරීම සඳහා, ගෝලීය වින්‍යාස ප්‍රකාරයේදී rbac සත්‍යාපන පරිශීලකයන් පරිශීලක වෙනස් කිරීමේ-මුරපද විධානය භාවිතා කරන්න. පරිශීලක භූමිකාව වෙනස් කිරීම සඳහා, ගෝලීය වින්‍යාස ප්‍රකාරයේදී rbac සත්‍යාපන පරිශීලකයන් පරිශීලක වෙනස් කිරීමේ භූමිකාව භාවිතා කරන්න.
· තවදුරටත් ප්‍රවේශය අවශ්‍ය නොවන පරිශීලකයින් සඳහා ගිණුම් අවසන් කරන්න.
ටර්මිනල් rbac සත්‍යාපන පරිශීලකයන් මකන්න-පරිශීලක නාමය test1 වින්‍යාස කරන්න
· භූමිකාවන්, ඔවුන්ට පවරා ඇති සේවකයින් සහ එක් එක් භූමිකාව සඳහා අවසර දී ඇති ප්‍රවේශය ඇගයීම සඳහා වරින් වර විගණන පැවැත්වීම. යම් පද්ධතියකට පරිශීලකයෙකුට අනවශ්‍ය ප්‍රවේශයක් ඇති බව පෙනී ගියහොත්, පරිශීලකයාගේ භූමිකාව වෙනස් කරන්න.
වැඩි විස්තර සඳහා බලන්න, පරිශීලකයන්, භූමිකාවන්, සහ සත්‍යාපනය
NFVIS 4.7.1 වෙතින් ආරම්භ වන කැටිති භූමිකාව-පාදක ප්‍රවේශ පාලනය, Granular Role-Based Access Control විශේෂාංගය හඳුන්වා දෙනු ලැබේ. මෙම විශේෂාංගය මඟින් VM සහ VNF කළමනාකරණය කරන නව සම්පත් කණ්ඩායම් ප්‍රතිපත්තියක් එක් කරන අතර VNF යෙදවීමේදී VNF ප්‍රවේශය පාලනය කිරීමට පරිශීලකයින් කණ්ඩායමකට පැවරීමට ඔබට ඉඩ සලසයි. වැඩි විස්තර සඳහා, කැටිති භූමිකාව-පාදක ප්‍රවේශ පාලනය බලන්න.

ආරක්ෂක සලකා බැලීම් 11

උපාංග ප්‍රවේශ්‍යතාව සීමා කරන්න

ආරක්ෂක සලකා බැලීම්

උපාංග ප්‍රවේශ්‍යතාව සීමා කරන්න
පරිශීලකයන් එම විශේෂාංග සක්‍රීය කර ඇති බව නොදැන සිටි නිසා ඔවුන් විසින් ආරක්‍ෂා නොකළ විශේෂාංගවලට එරෙහිව ප්‍රහාර එල්ල කිරීමෙන් නැවත නැවතත් නොදැනුවත්ව හසු වී ඇත. භාවිතයට නොගත් සේවාවන් සෑම විටම ආරක්ෂිත නොවන පෙරනිමි වින්‍යාසයන් සමඟ ඉතිරි වේ. මෙම සේවාවන් ද පෙරනිමි මුරපද භාවිතා කරයි. සමහර සේවාවන් ප්‍රහාරකයෙකුට සේවාදායකය ක්‍රියාත්මක වන්නේ කුමක් ද යන්න හෝ ජාලය සකසන්නේ කෙසේද යන්න පිළිබඳ තොරතුරු වෙත පහසු ප්‍රවේශයක් ලබා දිය හැක. NFVIS එවැනි ආරක්ෂක අවදානම් මඟහරවා ගන්නා ආකාරය පහත කොටස් විස්තර කරයි:

ප්රහාරක දෛශික අඩු කිරීම
ඕනෑම මෘදුකාංගයක ආරක්ෂක දුර්වලතා අඩංගු විය හැක. වැඩි මෘදුකාංග යනු ප්‍රහාරය සඳහා වැඩි මාර්ග වේ. ඇතුළත් කරන අවස්ථාවේ දී ප්‍රසිද්ධියේ දන්නා දුර්වලතා නොමැති වුවද, අනාගතයේ දී දුර්වලතා සොයා ගැනීමට හෝ හෙළි කිරීමට ඉඩ ඇත. එවැනි අවස්ථා වලක්වා ගැනීම සඳහා, NFVIS ක්‍රියාකාරීත්වය සඳහා අත්‍යවශ්‍ය මෘදුකාංග පැකේජ පමණක් ස්ථාපනය කර ඇත. මෙය මෘදුකාංග දුර්වලතා සීමා කිරීමට, සම්පත් පරිභෝජනය අඩු කිරීමට සහ එම පැකේජ සමඟ ගැටලු ඇති විට අමතර වැඩ අඩු කිරීමට උපකාරී වේ. NFVIS හි ඇතුළත් සියලුම තෙවන පාර්ශවීය මෘදුකාංග Cisco හි මධ්‍යම දත්ත ගබඩාවක ලියාපදිංචි කර ඇති අතර එමඟින් Cisco හට සමාගම් මට්ටමේ සංවිධානාත්මක ප්‍රතිචාරයක් (නීතිමය, ආරක්ෂාව, ආදිය) කිරීමට හැකි වේ. දන්නා පොදු අවදානම් සහ නිරාවරණ (CVEs) සඳහා සෑම නිකුතුවකම මෘදුකාංග පැකේජ කලින් කලට පැච් කරනු ලැබේ.

පෙරනිමියෙන් අත්‍යවශ්‍ය වරායන් පමණක් සබල කිරීම

පෙරනිමියෙන් ලබා ගත හැක්කේ NFVIS සැකසීමට සහ කළමනාකරණය කිරීමට අත්‍යවශ්‍ය සේවාවන් පමණි. මෙය ෆයර්වෝල් වින්‍යාස කිරීමට සහ අනවශ්‍ය සේවාවන් වෙත ප්‍රවේශය ප්‍රතික්ෂේප කිරීමට අවශ්‍ය පරිශීලක උත්සාහය ඉවත් කරයි. පෙරනිමියෙන් සක්‍රීය කර ඇති එකම සේවාවන් ඔවුන් විවෘත කරන වරායන් සමඟ පහත ලැයිස්තුගත කර ඇත.

වරාය විවෘත කරන්න

සේවාව

විස්තරය

22/TCP

SSH

NFVIS වෙත දුරස්ථ විධාන රේඛා ප්‍රවේශය සඳහා ආරක්ෂිත Socket Shell

80/TCP

HTTP

NFVIS ද්වාර ප්‍රවේශය සඳහා වූ අධිපෙළ හුවමාරු ප්‍රොටෝකෝලය. NFVIS වෙත ලැබෙන සියලුම HTTP ගමනාගමනය HTTPS සඳහා 443 වරාය වෙත හරවා යවනු ලැබේ

443/TCP

HTTPS

ආරක්ෂිත NFVIS ද්වාර ප්‍රවේශය සඳහා Hypertext Transfer Protocol Secure

830/TCP

NETCONF-ssh

SSH හරහා ජාල වින්‍යාස ප්‍රොටෝකෝලය (NETCONF) සඳහා වරාය විවෘත විය. NETCONF යනු NFVIS හි ස්වයංක්‍රීය වින්‍යාස කිරීම සහ NFVIS වෙතින් අසමමුහුර්ත සිදුවීම් දැනුම්දීම් ලබා ගැනීම සඳහා භාවිතා කරන ප්‍රොටෝකෝලයකි.

161/UDP

SNMP

සරල ජාල කළමනාකරණ ප්‍රොටෝකෝලය (SNMP). දුරස්ථ ජාල නිරීක්ෂණ යෙදුම් සමඟ සන්නිවේදනය කිරීමට NFVIS භාවිතා කරයි. වැඩි විස්තර සඳහා බලන්න, SNMP පිළිබඳ හැඳින්වීම

ආරක්ෂක සලකා බැලීම් 12

ආරක්ෂක සලකා බැලීම්

බලයලත් සේවා සඳහා බලයලත් ජාල වෙත ප්‍රවේශය සීමා කරන්න

බලයලත් සේවා සඳහා බලයලත් ජාල වෙත ප්‍රවේශය සීමා කරන්න

උපාංග කළමනාකරණ ප්‍රවේශය උත්සාහ කිරීමට පවා අවසර ලත් ආරම්භකයින්ට පමණක් අවසර දිය යුතු අතර, ප්‍රවේශය ඔවුන් භාවිතා කිරීමට අවසර දී ඇති සේවාවන්ට පමණක් විය යුතුය. දන්නා, විශ්වාසදායක මූලාශ්‍රවලට සහ අපේක්ෂිත කළමනාකරණ ගමනාගමනයට ප්‍රවේශය සීමා වන පරිදි NFVIS වින්‍යාසගත කළ හැක.files. මෙය අනවසරයෙන් ප්‍රවේශ වීමේ අවදානම සහ තිරිසන් බලය, ශබ්දකෝෂය හෝ DoS ප්‍රහාර වැනි වෙනත් ප්‍රහාරවලට නිරාවරණය වීම අඩු කරයි.
NFVIS කළමනාකරණ අතුරුමුහුණත් අනවශ්‍ය සහ හානිකර ගමනාගමනයෙන් ආරක්ෂා කිරීම සඳහා, පරිපාලක පරිශීලකයෙකුට ලැබෙන ජාල ගමනාගමනය සඳහා ප්‍රවේශ පාලන ලැයිස්තු (ACLs) සෑදිය හැක. මෙම ACL මඟින් ගමනාගමනය ආරම්භ වන මූලාශ්‍ර IP ලිපින/ජාල සහ මෙම මූලාශ්‍රවලින් අවසර දී ඇති හෝ ප්‍රතික්ෂේප කරන ගමනාගමන වර්ගය සඳහන් කරයි. මෙම IP රථවාහන පෙරහන් NFVIS හි එක් එක් කළමනාකරණ අතුරුමුහුණත සඳහා යොදනු ලැබේ. පහත පරාමිති IP ලබන්න ප්‍රවේශ පාලන ලැයිස්තුවක් තුළ වින්‍යාස කර ඇත (ip-receive-acl)

පරාමිතිය

වටිනාකම

විස්තරය

මූලාශ්‍ර ජාලය/Netmask

ජාලය/නෙට්මාස්ක්. උදාහරණයක් ලෙසample: 0.0.0.0/0
172.39.162.0/24

මෙම ක්ෂේත්‍රය ගමනාගමනය ආරම්භ වන IP ලිපිනය/ජාලය නියම කරයි

සේවා ක්‍රියාව

https icmp netconf scpd snmp ssh ප්‍රතික්ෂේප කිරීම පිළිගන්න

නිශ්චිත මූලාශ්‍රයෙන් රථවාහන වර්ගය.
මූලාශ්‍ර ජාලයෙන් ගමනාගමනය සම්බන්ධයෙන් ගත යුතු ක්‍රියාමාර්ග. පිළිගැනීම සමඟ, නව සම්බන්ධතා උත්සාහයන් ලබා දෙනු ඇත. ප්රතික්ෂේප කිරීම සමඟ, සම්බන්ධතා උත්සාහයන් පිළිගනු නොලැබේ. රීතිය HTTPS, NETCONF, SCP, SSH වැනි TCP පාදක සේවාවක් සඳහා නම්, මූලාශ්‍රයට TCP යළි පිහිටුවීමේ (RST) පැකට්ටුවක් ලැබෙනු ඇත. SNMP සහ ICMP වැනි TCP නොවන නීති සඳහා, පැකට්ටුව අත්හරිනු ඇත. පහත වැටීමත් සමඟ, සියලුම පැකට් වහාම හෙළනු ඇත, මූලාශ්රය වෙත යවන ලද තොරතුරු නොමැත.

ආරක්ෂක සලකා බැලීම් 13

වරප්‍රසාදිත නිදොස් කිරීමේ ප්‍රවේශය

ආරක්ෂක සලකා බැලීම්

පරාමිති ප්රමුඛතාව

අගය A සංඛ්‍යාත්මක අගය

විස්තරය
නීති රීති මත නියෝගයක් ක්රියාත්මක කිරීම සඳහා ප්රමුඛතාවය භාවිතා වේ. ප්‍රමුඛතාවය සඳහා ඉහළ සංඛ්‍යාත්මක අගයක් සහිත රීති දාමයේ තවත් පහළට එකතු කරනු ලැබේ. රීතියක් තවත් එකකට පසුව එකතු වන බව සහතික කර ගැනීමට ඔබට අවශ්‍ය නම්, පළමු සඳහා අඩු ප්‍රමුඛතා අංකයක් සහ පහත සඳහන් දේ සඳහා ඉහළ ප්‍රමුඛතා අංකයක් භාවිත කරන්න.

පහත එස්ample වින්‍යාසයන් විශේෂිත භාවිත අවස්ථා සඳහා අනුවර්තනය කළ හැකි අවස්ථා කිහිපයක් නිදර්ශනය කරයි.
IP Receive ACL වින්‍යාස කිරීම
ACL වඩාත් සීමාකාරී වන තරමට, අනවසර පිවිසුම් උත්සාහයන්ට නිරාවරණය වීම සීමා වේ. කෙසේ වෙතත්, වඩාත් සීමා සහිත ACL මඟින් කළමනාකරණ පොදු කාර්යක් නිර්මාණය කළ හැකි අතර, දෝශ නිරාකරණ සිදු කිරීමට ප්‍රවේශ්‍යතාවයට බලපෑම් කළ හැක. එහි ප්රතිඵලයක් වශයෙන්, සලකා බැලිය යුතු ශේෂයක් තිබේ. එක් සම්මුතියක් වන්නේ අභ්‍යන්තර ආයතනික IP ලිපින වලට පමණක් ප්‍රවේශය සීමා කිරීමයි. සෑම පාරිභෝගිකයෙකුම තමන්ගේම ආරක්ෂක ප්‍රතිපත්ති, අවදානම්, නිරාවරණය සහ ඒවා පිළිගැනීමට අදාළව ACL ක්‍රියාත්මක කිරීම ඇගයීමට ලක් කළ යුතුය.
උපජාලයකින් ssh ගමනාගමනය ප්‍රතික්ෂේප කරන්න:

nfvis(config)# පද්ධති සැකසුම් ip-receive-acl 171.70.63.0/24 සේවාව ssh ක්‍රියාව ප්‍රමුඛතාවය ප්‍රතික්ෂේප කරන්න 1

ACL ඉවත් කිරීම:
ip-receive-acl වෙතින් ප්‍රවේශයක් මකා දැමූ විට, මූලාශ්‍ර IP ලිපිනය ප්‍රධාන වන බැවින් එම මූලාශ්‍රයට ඇති සියලුම වින්‍යාසයන් මකා දමනු ලැබේ. එක් සේවාවක් පමණක් මැකීමට, වෙනත් සේවාවන් නැවත වින්‍යාස කරන්න.

nfvis(config)# පද්ධති සැකසුම් නොමැත ip-receive-acl 171.70.63.0/24
වැඩි විස්තර සඳහා බලන්න, IP Receive ACL වින්‍යාස කිරීම
වරප්‍රසාදිත නිදොස් කිරීමේ ප්‍රවේශය
NFVIS හි සුපිරි පරිශීලක ගිණුම පෙරනිමියෙන් අබල කර ඇත, සියලු සීමා රහිත, විභව අහිතකර, පද්ධතිය පුරා සිදුවන වෙනස්කම් වලක්වා ගැනීමට සහ NFVIS පරිශීලකයාට පද්ධති කවචය නිරාවරණය නොකරයි.
කෙසේ වෙතත්, NFVIS පද්ධතියේ දෝෂ නිවැරදි කිරීමට අපහසු ගැටළු සඳහා, Cisco තාක්ෂණික සහාය මධ්‍යස්ථාන කණ්ඩායම (TAC) හෝ සංවර්ධන කණ්ඩායමට පාරිභෝගිකයාගේ NFVIS වෙත ෂෙල් ප්‍රවේශය අවශ්‍ය විය හැකිය. ක්ෂේත්‍රයේ උපාංගයකට වරප්‍රසාද ලත් නිදොස් කිරීමේ ප්‍රවේශය බලයලත් සිස්කෝ සේවකයින්ට සීමා කර ඇති බව සහතික කිරීම සඳහා NFVIS හට ආරක්ෂිත අගුළු ඇරීමේ යටිතල පහසුකම් ඇත. මෙවැනි අන්තර්ක්‍රියාකාරී නිදොස්කරණයක් සඳහා ලිනක්ස් කවචයට ආරක්ෂිතව ප්‍රවේශ වීමට, NFVIS සහ Cisco විසින් පවත්වාගෙන යනු ලබන අන්තර්ක්‍රියාකාරී නිදොස් කිරීමේ සේවාදායකය අතර අභියෝග-ප්‍රතිචාර සත්‍යාපන යාන්ත්‍රණයක් භාවිතා කරයි. පාරිභෝගිකයාගේ කැමැත්ත ඇතිව උපාංගය වෙත ප්‍රවේශ වීම සහතික කිරීම සඳහා අභියෝග-ප්‍රතිචාර ඇතුළත් කිරීමට අමතරව පරිපාලක පරිශීලකයාගේ මුරපදයද අවශ්‍ය වේ.
අන්තර්ක්‍රියාකාරී නිදොස්කරණය සඳහා කවචයට ප්‍රවේශ වීමට පියවර:
1. පරිපාලක පරිශීලකයෙකු මෙම සැඟවුණු විධානය භාවිතයෙන් මෙම ක්රියා පටිපාටිය ආරම්භ කරයි.

nfvis# system shell-ප්රවේශය

ආරක්ෂක සලකා බැලීම් 14

ආරක්ෂක සලකා බැලීම්

ආරක්ෂිත අතුරුමුහුණත්

2. තිරය අභියෝග තන්තුවක් පෙන්වනු ඇත, උදාහරණයක් ලෙසampලෙ:
අභියෝග තන්තුව (කරුණාකර තරු ලකුණු රේඛා අතර ඇති සියල්ල පිටපත් කරන්න):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco සාමාජිකයා Cisco විසින් පවත්වාගෙන යනු ලබන අන්තර්ක්‍රියාකාරී නිදොස් කිරීමේ සේවාදායකයක් මත අභියෝගතා පෙළට ඇතුල් වේ. මෙම සේවාදායකය සිස්කෝ පරිශීලකයාට ෂෙල් භාවිතයෙන් NFVIS නිදොස් කිරීමට අවසර දී ඇති බව සත්‍යාපනය කරයි, පසුව ප්‍රතිචාර තන්තුවක් ලබා දෙයි.
4. මෙම විමසුමට පහළින් තිරයේ ඇති ප්‍රතිචාර තන්තුව ඇතුළත් කරන්න: සූදානම් වූ විට ඔබේ ප්‍රතිචාරය ඇතුළත් කරන්න:
5. විමසූ විට, පාරිභෝගිකයා පරිපාලක මුරපදය ඇතුළත් කළ යුතුය. 6. මුරපදය වලංගු නම් ඔබට shell-ප්‍රවේශය ලැබේ. 7. සංවර්ධන හෝ TAC කණ්ඩායම දෝශ නිරාකරණය කරගෙන යාමට කවචය භාවිතා කරයි. 8. shell-ප්රවේශයෙන් පිටවීමට Exit ටයිප් කරන්න.
ආරක්ෂිත අතුරුමුහුණත්
රූප සටහනේ පෙන්වා ඇති අතුරුමුහුණත් භාවිතයෙන් NFVIS කළමනාකරණ ප්‍රවේශයට අවසර ඇත. පහත කොටස් NFVIS වෙත මෙම අතුරුමුහුණත් සඳහා ආරක්‍ෂිත හොඳම භාවිතයන් විස්තර කරයි.

කොන්සෝලය SSH

කොන්සෝල වරාය යනු ඔබට මූලික වින්‍යාසය සඳහා NFVIS CLI වෙත සම්බන්ධ වීමට ඉඩ සලසන අසමමුහුර්ත අනුක්‍රමික වරායකි. පරිශීලකයෙකුට NFVIS වෙත භෞතික ප්‍රවේශය හෝ ටර්මිනල් සේවාදායකයක් භාවිතයෙන් දුරස්ථ ප්‍රවේශය සමඟින් කොන්සෝලය වෙත ප්‍රවේශ විය හැක. ටර්මිනල් සේවාදායකයක් හරහා කොන්සෝල වරාය ප්‍රවේශය අවශ්‍ය නම්, අවශ්‍ය මූලාශ්‍ර ලිපිනවලින් පමණක් ප්‍රවේශ වීමට අවසර දීම සඳහා ටර්මිනල් සේවාදායකයේ ප්‍රවේශ ලැයිස්තු වින්‍යාස කරන්න.
දුරස්ථ පිවිසුමේ ආරක්ෂිත මාධ්‍යයක් ලෙස SSH භාවිතා කිරීමෙන් පරිශීලකයින්ට NFVIS CLI වෙත ප්‍රවේශ විය හැක. NFVIS කළමනාකරණ ගමනාගමනයේ අඛණ්ඩතාව සහ රහස්‍යභාවය පරිපාලන ජාලයේ ආරක්ෂාව සඳහා අත්‍යවශ්‍ය වේ, මන්ද පරිපාලන ප්‍රොටෝකෝල ජාලයට විනිවිද යාමට හෝ කඩාකප්පල් කිරීමට භාවිතා කළ හැකි තොරතුරු නිතර රැගෙන යයි.

ආරක්ෂක සලකා බැලීම් 15

CLI සැසියේ කල් ඉකුත්වීම

ආරක්ෂක සලකා බැලීම්

NFVIS SSH අනුවාදය 2 භාවිතා කරයි, එය අන්තර්ක්‍රියාකාරී පිවිසුම් සඳහා Cisco සහ අන්තර්ජාලයේ තථ්‍ය සම්මත ප්‍රොටෝකෝලය වන අතර Cisco තුළ ආරක්‍ෂක සහ භාර සංවිධානය විසින් නිර්දේශ කරන ලද ශක්තිමත් සංකේතනය, හැෂ් සහ යතුරු හුවමාරු ඇල්ගොරිතම සඳහා සහය දක්වයි.

CLI සැසියේ කල් ඉකුත්වීම
SSH හරහා පුරනය වීමෙන්, පරිශීලකයෙකු NFVIS සමඟ සැසියක් ස්ථාපිත කරයි. පරිශීලකයා ලොග් වී සිටින අතරතුර, පරිශීලකයා ලොග්-ඉන් සැසිය නොසලකා හැරියහොත්, මෙය ජාලය ආරක්ෂක අවදානමකට නිරාවරණය කළ හැකිය. එක් පරිශීලකයෙකු තවත් පරිශීලකයෙකුගේ සැසිය භාවිතා කිරීමට උත්සාහ කිරීම වැනි අභ්‍යන්තර ප්‍රහාරවල අවදානම සැසි ආරක්ෂාව සීමා කරයි.
මෙම අවදානම අවම කිරීම සඳහා, NFVIS විනාඩි 15 ක් අක්‍රියව සිටීමෙන් පසු CLI සැසි කාලය අවසන් කරයි. සැසි කාලය අවසන් වූ විට, පරිශීලකයා ස්වයංක්‍රීයව ලොග් අවුට් වේ.

NETCONF

Network Configuration Protocol (NETCONF) යනු ජාල උපාංග ස්වයංක්‍රීය වින්‍යාස කිරීම සඳහා IETF විසින් සකස් කරන ලද සහ ප්‍රමිතිගත කරන ලද ජාල කළමනාකරණ ප්‍රොටෝකෝලයකි.
NETCONF ප්‍රොටෝකෝලය වින්‍යාස දත්ත මෙන්ම ප්‍රොටෝකෝල පණිවිඩ සඳහා විස්තීරණ සලකුණු භාෂාව (XML) පදනම් කරගත් දත්ත කේතනයක් භාවිතා කරයි. ආරක්ෂිත ප්‍රවාහන ප්‍රොටෝකෝලයක් මත ප්‍රොටෝකෝල පණිවිඩ හුවමාරු වේ.
SSH හරහා ආරක්ෂිතව වින්‍යාස දත්ත සහ සිදුවීම් දැනුම්දීම් සැකසීමට සහ ලබා ගැනීමට ජාල ක්‍රියාකරුට භාවිතා කළ හැකි XML-පාදක API හෙළිදරව් කිරීමට NETCONF NFVIS හට ඉඩ දෙයි.
වැඩි විස්තර සඳහා, NETCONF සිදුවීම් දැනුම්දීම් බලන්න.

REST API

HTTPS හරහා RESTful API භාවිතයෙන් NFVIS වින්‍යාසගත කළ හැක. REST API මඟින් ඉල්ලුම් කරන පද්ධතිවලට NFVIS වින්‍යාසය වෙත ප්‍රවේශ වීමට සහ හැසිරවීමට ඒකාකාරී සහ පූර්ව නිර්වචනය කළ අස්ථායී මෙහෙයුම් කට්ටලයක් භාවිතා කිරීමට ඉඩ ලබා දේ. සියලුම REST API වල විස්තර NFVIS API යොමු මාර්ගෝපදේශය තුලින් සොයා ගත හැක.
පරිශීලකයා REST API නිකුත් කරන විට, NFVIS සමඟ සැසියක් පිහිටුවා ඇත. සේවා ප්‍රතික්ෂේප කිරීමේ ප්‍රහාරවලට අදාළ අවදානම් සීමා කිරීම සඳහා, NFVIS සමගාමී REST සැසි ගණන 100 දක්වා සීමා කරයි.

NFVIS Web ද්වාරය
NFVIS ද්වාරය යනු a webNFVIS පිළිබඳ තොරතුරු පෙන්වන චිත්‍රක පරිශීලක අතුරුමුහුණත. NFVIS CLI සහ API නොදැන HTTPS හරහා NFVIS වින්‍යාස කිරීමට සහ නිරීක්ෂණය කිරීමට පහසු මාධ්‍යයක් ද්වාරය පරිශීලකයාට ඉදිරිපත් කරයි.

සැසි කළමනාකරණය
HTTP සහ HTTPS හි අස්ථායී ස්වභාවයට අනන්‍ය සැසි හැඳුනුම්පත් සහ කුකීස් භාවිතයෙන් පරිශීලකයින් අනන්‍ය ලෙස හඹා යාමේ ක්‍රමයක් අවශ්‍ය වේ.
NFVIS පරිශීලකයාගේ සැසිය සංකේතනය කරයි. AES-256-CBC කේතාංකය HMAC-SHA-256 සත්‍යාපනය සමඟ සැසියේ අන්තර්ගතය සංකේතනය කිරීමට භාවිතා කරයි. tag. එක් එක් සංකේතාංකන මෙහෙයුම සඳහා අහඹු 128-bit Initialization දෛශිකයක් ජනනය වේ.
ද්වාර සැසියක් සාදන විට විගණන වාර්තාවක් ආරම්භ වේ. පරිශීලකයා ලොග් අවුට් වූ විට හෝ සැසිය අවසන් වූ විට සැසි තොරතුරු මකා දැමෙනු ඇත.
ද්වාර සැසි සඳහා පෙරනිමි අක්‍රිය කල් ඉකුත්වීම විනාඩි 15 කි. කෙසේ වෙතත්, මෙය වත්මන් සැසිය සඳහා සැකසීම් පිටුවේ මිනිත්තු 5 සහ 60 අතර අගයකට වින්‍යාසගත කළ හැක. මෙයින් පසු ස්වයංක්‍රීයව පිටවීම ආරම්භ වේ

ආරක්ෂක සලකා බැලීම් 16

ආරක්ෂක සලකා බැලීම්

HTTPS

HTTPS

කාල සීමාව. එක් බ්‍රවුසරයක සැසි කිහිපයක් සඳහා අවසර නැත. සමගාමී සැසි උපරිම සංඛ්‍යාව 30 ලෙස සකසා ඇත. NFVIS ද්වාරය පරිශීලකයා සමඟ දත්ත සම්බන්ධ කිරීමට කුකීස් භාවිතා කරයි. එය වැඩි දියුණු කළ ආරක්ෂාව සඳහා පහත කුකී ගුණාංග භාවිතා කරයි:
· බ්‍රවුසරය වසා ඇති විට කුකිය කල් ඉකුත් වන බව සහතික කිරීමට එෆීමරල් · http ජාවාස්ක්‍රිප්ට් වෙතින් කුකියට ප්‍රවේශ විය නොහැකි කිරීමට පමණි · කුකිය යැවිය හැක්කේ SSL හරහා පමණක් බව සහතික කිරීමට ආරක්ෂිත ප්‍රොක්සි.
සත්‍යාපනය කිරීමෙන් පසුව පවා, Cross-Site Request Forgery (CSRF) වැනි ප්‍රහාර සිදු විය හැක. මෙම අවස්ථාවෙහිදී, අවසාන පරිශීලකයෙකු නොදැනුවත්වම a මත අනවශ්‍ය ක්‍රියාවන් ක්‍රියාත්මක කළ හැකිය web ඒවා දැනට සත්‍යාපනය කර ඇති යෙදුම. මෙය වලක්වා ගැනීම සඳහා, NFVIS විසින් CSRF ටෝකන භාවිතා කර එක් එක් සැසිවාරය තුළ ක්‍රියා කරන සෑම REST API වලංගු කරයි.
URL සාමාන්‍ය පරිදි යළි-යොමුවීම් web සේවාදායකයන්, පිටුවක් සොයාගත නොහැකි වූ විට web සේවාදායකය, පරිශීලකයාට 404 පණිවිඩයක් ලැබේ; පවතින පිටු සඳහා, ඔවුන්ට පිවිසුම් පිටුවක් ලැබේ. මෙහි ඇති ආරක්‍ෂිත බලපෑම නම් ප්‍රහාරකයෙකුට බෲට් ෆෝර්ස් ස්කෑන් පරීක්‍ෂණයක් සිදු කළ හැකි අතර එහි තිබෙන පිටු සහ ෆෝල්ඩර පහසුවෙන් හඳුනාගත හැකි වීමයි. NFVIS මත මෙය වැලැක්වීමට, සියල්ල නොපවතියි URLඋපාංග IP සමඟ උපසර්ග කර ඇති s 301 තත්ව ප්‍රතිචාර කේතයක් සමඟ ද්වාර පිවිසුම් පිටුවට හරවා යවනු ලැබේ. මෙයින් අදහස් කරන්නේ කුමක් වුවත් URL ප්‍රහාරකයෙකු විසින් ඉල්ලා සිටින විට, ඔවුන්ට තමන්ව සත්‍යාපනය කිරීම සඳහා පිවිසුම් පිටුව සැමවිටම ලැබෙනු ඇත. සියලුම HTTP සේවාදායක ඉල්ලීම් HTTPS වෙත හරවා යවනු ලබන අතර පහත ශීර්ෂයන් වින්‍යාස කර ඇත:
X-අන්තර්ගත-වර්ගය-විකල්ප · X-XSS-ආරක්ෂාව · අන්තර්ගත-ආරක්ෂක-ප්‍රතිපත්ති · X-රාමු-විකල්ප · දැඩි-ප්‍රවාහන-ආරක්ෂාව · හැඹිලි පාලනය
ද්වාරය අක්‍රිය කිරීම NFVIS ද්වාර ප්‍රවේශය පෙරනිමියෙන් සක්‍රීය කර ඇත. ඔබ ද්වාරය භාවිතා කිරීමට අදහස් නොකරන්නේ නම්, මෙම විධානය භාවිතයෙන් ද්වාර ප්‍රවේශය අක්‍රීය කිරීම රෙකමදාරු කරනු ලැබේ:
ටර්මිනලය වින්‍යාස කරන්න පද්ධති ද්වාර ප්‍රවේශය අක්‍රීය කර ඇත
NFVIS වෙත සහ ඉන් ලැබෙන සියලුම HTTPS දත්ත ජාලය හරහා සන්නිවේදනය කිරීමට Transport Layer Security (TLS) භාවිත කරයි. TLS යනු Secure Socket Layer (SSL) අනුප්‍රාප්තිකයයි.

ආරක්ෂක සලකා බැලීම් 17

HTTPS

ආරක්ෂක සලකා බැලීම්
TLS අතට අත දීමේදී සේවාලාභියා එය නිකුත් කළ සහතික අධිකාරිය සමඟ සේවාදායකයේ SSL සහතිකය සත්‍යාපනය කරන සත්‍යාපනය ඇතුළත් වේ. සේවාදායකයා එය පවසන්නේ කවුරුන්ද යන්නත්, සේවාදායකයා වසමේ හිමිකරු සමඟ අන්තර් ක්‍රියා කරන බවත් මෙයින් තහවුරු වේ. පෙරනිමියෙන්, NFVIS සිය සේවාලාභීන්ට තම අනන්‍යතාවය ඔප්පු කිරීමට ස්වයං-අත්සන සහිත සහතිකයක් භාවිතා කරයි. මෙම සහතිකයේ TLS සංකේතනයෙහි ආරක්ෂාව වැඩි කිරීම සඳහා 2048-bit පොදු යතුරක් ඇත, මන්ද සංකේතාංකන ශක්තිය යතුරු ප්‍රමාණයට කෙලින්ම සම්බන්ධ වේ.
සහතික කළමණාකරනය NFVIS විසින් ප්‍රථමයෙන් ස්ථාපනය කරන විට ස්වයං අත්සන් කළ SSL සහතිකයක් ජනනය කරයි. අනුකූල සහතික අධිකාරියක් (CA) විසින් අත්සන් කරන ලද වලංගු සහතිකයක් සමඟ මෙම සහතිකය ප්‍රතිස්ථාපනය කිරීම ආරක්‍ෂිත හොඳම භාවිතයකි. පෙරනිමි ස්වයං අත්සන් සහතිකය ප්‍රතිස්ථාපනය කිරීමට පහත පියවර භාවිතා කරන්න: 1. NFVIS මත සහතික අත්සන් කිරීමේ ඉල්ලීමක් (CSR) උත්පාදනය කරන්න.
සහතික අත්සන් කිරීමේ ඉල්ලීමක් (CSR) යනු a file SSL සහතිකයක් සඳහා අයදුම් කිරීමේදී සහතික අධිකාරියකට ලබා දෙන සංකේතාත්මක පෙළ කොටස සමඟ. මේ file සංවිධානයේ නම, පොදු නම (වසම් නාමය), ප්‍රදේශය සහ රට වැනි සහතිකයේ ඇතුළත් කළ යුතු තොරතුරු අඩංගු වේ. ද file සහතිකයේ ඇතුළත් කළ යුතු පොදු යතුර ද අඩංගු වේ. NFVIS 2048-bit පොදු යතුරක් භාවිතා කරයි, මන්ද වැඩි යතුරු ප්‍රමාණයකින් සංකේතාංකන ශක්තිය වැඩි වේ. NFVIS මත CSR ජනනය කිරීමට, පහත විධානය ක්‍රියාත්මක කරන්න:
nfvis# පද්ධති සහතික අත්සන් කිරීම-ඉල්ලීම [පොදු නම රට-කේත ප්‍රාදේශීය සංවිධානය සංවිධානය-ඒකකය-නම රාජ්‍යය] CSR file /data/intdatastore/download/nfvis.csr ලෙස සුරැකේ. . 2. CSR භාවිතා කරමින් CA වෙතින් SSL සහතිකයක් ලබා ගන්න. බාහිර සත්කාරක සමාගමකින්, සහතික අත්සන් කිරීමේ ඉල්ලීම බාගත කිරීම සඳහා scp විධානය භාවිතා කරන්න.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-නම>
මෙම CSR භාවිතයෙන් නව SSL සේවාදායක සහතිකයක් නිකුත් කිරීමට සහතික අධිකාරියක් අමතන්න. 3. CA අත්සන් කළ සහතිකය ස්ථාපනය කරන්න.
බාහිර සේවාදායකයකින්, සහතිකය උඩුගත කිරීමට scp විධානය භාවිතා කරන්න file දත්ත/intdatastore වෙත NFVIS වෙත/uploads/ නාමාවලිය.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
පහත විධානය භාවිතා කර NFVIS හි සහතිකය ස්ථාපනය කරන්න.
nfvis# පද්ධති සහතිකය ස්ථාපනය-සහතික මාර්ගය file///data/intdatastore/uploads/<certificate file>
4. CA අත්සන් කළ සහතිකය භාවිතා කිරීමට මාරු වන්න. පෙරනිමි ස්වයං අත්සන් සහතිකය වෙනුවට CA අත්සන් කළ සහතිකය භාවිතා කිරීම ආරම්භ කිරීමට පහත විධානය භාවිතා කරන්න.

ආරක්ෂක සලකා බැලීම් 18

ආරක්ෂක සලකා බැලීම්

SNMP ප්රවේශය

nfvis(config)# පද්ධති සහතිකය භාවිතය-සහතික සහතිකය-වර්ගය ca-අත්සන් කර ඇත

SNMP ප්රවේශය

සරල ජාල කළමනාකරණ ප්‍රොටෝකෝලය (SNMP) යනු IP ජාල වල කළමනාකරණය කරන ලද උපාංග පිළිබඳ තොරතුරු රැස් කිරීම සහ සංවිධානය කිරීම සහ උපාංග හැසිරීම් වෙනස් කිරීම සඳහා එම තොරතුරු වෙනස් කිරීම සඳහා වන අන්තර්ජාල සම්මත ප්‍රොටෝකෝලයකි.
SNMP හි සැලකිය යුතු අනුවාද තුනක් සංවර්ධනය කර ඇත. NFVIS SNMP අනුවාදය 1, අනුවාදය 2c සහ අනුවාදය 3 සඳහා සහය දක්වයි. SNMP අනුවාද 1 සහ 2 සත්‍යාපනය සඳහා ප්‍රජා තන්තු භාවිතා කරන අතර මේවා සරල පෙළකින් යවනු ලැබේ. එබැවින්, ඒ වෙනුවට SNMP v3 භාවිතා කිරීම ආරක්ෂිත හොඳම භාවිතයකි.
SNMPv3 අංශ තුනක් භාවිතා කරමින් උපාංග වෙත ආරක්ෂිත ප්‍රවේශයක් සපයයි: - පරිශීලකයන්, සත්‍යාපනය සහ සංකේතනය. SNMPv3 SNMP හරහා ලබා ගත හැකි තොරතුරු වෙත ප්‍රවේශය පාලනය කිරීම සඳහා USM (පරිශීලක මත පදනම් වූ ආරක්ෂක මොඩියුලය) භාවිතා කරයි. SNMP v3 පරිශීලකයා සත්‍යාපන වර්ගයක්, රහස්‍යතා වර්ගයක් මෙන්ම මුරපදයකින් වින්‍යාස කර ඇත. සමූහයක් බෙදා ගන්නා සියලුම පරිශීලකයින් එකම SNMP අනුවාදය භාවිතා කරයි, කෙසේ වෙතත්, නිශ්චිත ආරක්ෂක මට්ටමේ සිටුවම් (මුරපදය, සංකේතාංකන වර්ගය, ආදිය) එක් පරිශීලකයෙකුට නියම කර ඇත.
පහත වගුව SNMP තුළ ඇති ආරක්ෂක විකල්ප සාරාංශ කරයි

ආකෘතිය

මට්ටම

සත්යාපනය

සංකේතනය

ප්රතිඵලය

v1

noAuthNoPriv

ප්‍රජා පෙළ අංක

ප්රජාවක් භාවිතා කරයි

සඳහා නූල් ගැලපීම

සත්යාපනය.

v2c

noAuthNoPriv

ප්‍රජා පෙළ අංක

සත්‍යාපනය සඳහා ප්‍රජා තන්තු ගැලපීමක් භාවිතා කරයි.

v3

noAuthNoPriv

පරිශීලක නාමය

නැත

පරිශීලක නාමයක් භාවිතා කරයි

සඳහා ගැලපේ

සත්යාපනය.

v3

authNoPriv

Message Digest අංක 5

සපයයි

(MD5)

සත්යාපනය පදනම් කරගත්

or

HMAC-MD5-96 මත හෝ

ආරක්ෂිත හැෂ්

HMAC-SHA-96

ඇල්ගොරිතම (SHA)

ඇල්ගොරිතම.

ආරක්ෂක සලකා බැලීම් 19

නීතිමය දැනුම්දීම් බැනර්

ආරක්ෂක සලකා බැලීම්

මාදිලිය v3

authPriv මට්ටම

MD5 හෝ SHA සත්‍යාපනය

සංකේතනය

ප්රතිඵලය

දත්ත සංකේතනය සපයයි

සම්මත (DES) හෝ සත්‍යාපනය පදනම් කරගත්

උසස්

මත

සංකේතනය සම්මත HMAC-MD5-96 හෝ

(AES)

HMAC-SHA-96

ඇල්ගොරිතම.

Cipher Block Chaining Mode (CBC-DES) හි DES කේතාංක ඇල්ගොරිතම සපයයි

or

128-bit යතුරු ප්‍රමාණයකින් (CFB128-AES-128) Cipher FeedBack මාදිලියේ (CFB) භාවිතා කරන AES සංකේතාංකන ඇල්ගොරිතම

NIST විසින් එය සම්මත කරගත් දා සිට, AES කර්මාන්තය පුරා ප්‍රමුඛ සංකේතාංකන ඇල්ගොරිතම බවට පත්ව ඇත. MD5 වෙතින් සහ SHA වෙත කර්මාන්තයේ සංක්‍රමණය අනුගමනය කිරීම සඳහා, SNMP v3 සත්‍යාපන ප්‍රොටෝකෝලය SHA ලෙසත් රහස්‍යතා ප්‍රොටෝකෝලය AES ලෙසත් වින්‍යාස කිරීම ආරක්‍ෂිත හොඳම භාවිතයකි.
SNMP පිළිබඳ වැඩි විස්තර සඳහා, SNMP පිළිබඳ හැඳින්වීම බලන්න

නීතිමය දැනුම්දීම් බැනර්
බලාත්මක කර ඇති සහ ඔවුන් යටත් වන ආරක්ෂක ප්‍රතිපත්තිය පිළිබඳව පරිශීලකයින්ට දැනුම් දීම සහතික කිරීම සඳහා සියලුම අන්තර්ක්‍රියාකාරී සැසිවල නීතිමය දැනුම්දීම් බැනරයක් තිබීම නිර්දේශ කෙරේ. සමහර අධිකරණ බල ප්‍රදේශවල, පද්ධතියකට කඩා වැදුණු ප්‍රහාරකයෙකුට සිවිල් සහ/හෝ අපරාධ නඩු පැවරීම පහසු හෝ අවශ්‍ය වේ, නීතිමය දැනුම්දීම් බැනරයක් ඉදිරිපත් කරන්නේ නම්, ඔවුන්ගේ භාවිතය සත්‍ය වශයෙන්ම අනවසර බව අනවසර පරිශීලකයින්ට දැනුම් දෙයි. සමහර අධිකරණ බල ප්‍රදේශවල, අනවසර පරිශීලකයෙකුගේ ක්‍රියාකාරකම් නිරීක්ෂණය කිරීම ද තහනම් කළ හැකිය, එසේ කිරීමේ අභිප්‍රාය පිළිබඳව ඔවුන්ට දැනුම් දී ඇත්නම් මිස.
නීතිමය දැනුම්දීමේ අවශ්‍යතා සංකීර්ණ වන අතර එක් එක් අධිකරණ බලය සහ තත්ත්වය අනුව වෙනස් වේ. අධිකරණ බලය තුළ පවා නීතිමය අදහස් වෙනස් වේ. දැනුම්දීම් බැනරය සමාගම්, දේශීය සහ ජාත්‍යන්තර නීතිමය අවශ්‍යතා සපුරාලන බව සහතික කිරීම සඳහා මෙම ගැටලුව ඔබේම නීති උපදේශකයෙකු සමඟ සාකච්ඡා කරන්න. ආරක්ෂක උල්ලංඝණයකදී සුදුසු ක්‍රියාමාර්ග ගැනීම සඳහා මෙය බොහෝ විට ඉතා වැදගත් වේ. සමාගමේ නීති උපදේශක සමඟ සහයෝගයෙන්, නීතිමය දැනුම්දීම් බැනරයක ඇතුළත් කළ හැකි ප්‍රකාශවලට ඇතුළත් වන්නේ:
· පද්ධති ප්‍රවේශය සහ භාවිතය සඳහා අවසර දෙනු ලබන්නේ නිශ්චිතව බලයලත් පුද්ගලයන්ට පමණක් බව දැනුම් දීම සහ සමහර විට භාවිතයට අවසර දිය හැක්කේ කවුරුන්ද යන්න පිළිබඳ තොරතුරු.
· පද්ධතියට අනවසරයෙන් ප්‍රවේශ වීම සහ භාවිතය නීති විරෝධී වන අතර සිවිල් සහ/හෝ අපරාධ දඬුවම් වලට යටත් විය හැකි බවට දැනුම් දීම.
· පද්ධතියට ප්‍රවේශ වීම සහ භාවිතය තවදුරටත් දැනුම් දීමකින් තොරව ලොග් කිරීම හෝ අධීක්ෂණය කිරීම සිදු කළ හැකි බවට දැනුම් දීම, ප්‍රතිඵලයක් ලෙස ලැබෙන ලඝු-සටහන් අධිකරණයේ සාක්ෂි ලෙස භාවිතා කළ හැක.
· නිශ්චිත දේශීය නීති මගින් අවශ්‍ය අතිරේක නිශ්චිත දැනුම්දීම්.

ආරක්ෂක සලකා බැලීම් 20

ආරක්ෂක සලකා බැලීම්

කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීම

නීතිමය කරුණකට වඩා ආරක්ෂාවකින් view, නීත්‍යානුකූල දැනුම්දීම් බැනරයක උපාංගය පිළිබඳ එහි නම, ආකෘතිය, මෘදුකාංගය, ස්ථානය, ක්‍රියාකරු හෝ හිමිකරු වැනි නිශ්චිත තොරතුරු අඩංගු නොවිය යුතුය, මන්ද මෙවැනි තොරතුරු ප්‍රහාරකයෙකුට ප්‍රයෝජනවත් විය හැකි බැවිනි.
පහත පරිදි වේampපුරනය වීමට පෙර ප්‍රදර්ශනය කළ හැකි නීතිමය දැනුම්දීම් බැනරය:
මෙම උපාංගයට අනවසරයෙන් ප්‍රවේශ වීම තහනම් කර ඇත ඔබට මෙම උපාංගයට ප්‍රවේශ වීමට හෝ වින්‍යාස කිරීමට පැහැදිලි, අවසර ලත් අවසරයක් තිබිය යුතුය. ප්‍රවේශ වීමට හෝ භාවිතා කිරීමට අනවසර උත්සාහයන් සහ ක්‍රියා
මෙම ක්‍රමය සිවිල් සහ/හෝ අපරාධ දඬුවම් වලට හේතු විය හැක. මෙම උපාංගයේ සිදු කරන සියලුම ක්‍රියාකාරකම් ලොග් කර නිරීක්ෂණය කරනු ලැබේ

සටහන සමාගම් නීති උපදේශක විසින් අනුමත කරන ලද නීතිමය දැනුම්දීම් බැනරයක් ඉදිරිපත් කරන්න.
NFVIS බැනරයක් සහ දවසේ පණිවිඩය (MOTD) සැකසීමට ඉඩ දෙයි. පරිශීලකයා ලොග් වීමට පෙර බැනරය දර්ශනය වේ. පරිශීලකයා NFVIS වෙත ලොග් වූ පසු, පද්ධතිය-නිර්වචනය කරන ලද බැනරයක් NFVIS පිළිබඳ ප්‍රකාශන හිමිකම් තොරතුරු සපයන අතර, වින්‍යාස කර ඇත්නම්, පණිවිඩය-දවසේ (MOTD) දිස්වනු ඇත. විධාන රේඛා විමසුම හෝ ද්වාරය view, පිවිසුම් ක්රමය අනුව.
පිවිසුම් ප්‍රේරකයක් ඉදිරිපත් කිරීමට පෙර සියලුම උපාංග කළමනාකරණ ප්‍රවේශ සැසිවල නීතිමය දැනුම්දීම් බැනරයක් ඉදිරිපත් කර ඇති බව සහතික කිරීම සඳහා පිවිසුම් බැනරයක් ක්‍රියාත්මක කිරීම නිර්දේශ කෙරේ. බැනරය සහ MOTD වින්‍යාස කිරීමට මෙම විධානය භාවිතා කරන්න.
nfvis(config)# banner-motd බැනරය motd
බැනර් විධානය පිළිබඳ වැඩි විස්තර සඳහා, බැනරය වින්‍යාස කරන්න, දවසේ පණිවිඩය සහ පද්ධති වේලාව බලන්න.

කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීම
කර්මාන්තශාලා යළි පිහිටුවීම මඟින් උපාංගය නැව්ගත කළ අවස්ථාවේ සිට එයට එක් කර ඇති සියලුම පාරිභෝගික විශේෂිත දත්ත ඉවත් කරයි. මකා දැමූ දත්තවලට වින්‍යාස කිරීම්, ලොග් ඇතුළත් වේ files, VM රූප, සම්බන්ධතා තොරතුරු, සහ පරිශීලක පිවිසුම් අක්තපත්‍ර.
උපාංගය කර්මාන්තශාලා-මුල් සැකසුම් වෙත නැවත සැකසීමට එය එක් විධානයක් සපයන අතර, පහත දැක්වෙන අවස්ථා වලදී ප්රයෝජනවත් වේ:
· උපාංගයක් සඳහා ප්‍රතිලාභ ද්‍රව්‍ය අවසරය (RMA)–ඔබට RMA සඳහා සිස්කෝ වෙත උපාංගයක් ආපසු ලබා දීමට සිදුවුවහොත්, සියලු පාරිභෝගික-විශේෂිත දත්ත ඉවත් කිරීමට කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීම භාවිතා කරන්න.
· සම්මුතියට ලක් වූ උපාංගයක් ප්‍රතිසාධනය කිරීම- උපාංගයක ගබඩා කර ඇති ප්‍රධාන ද්‍රව්‍ය හෝ අක්තපත්‍ර අවදානමට ලක්ව ඇත්නම්, උපාංගය කර්මාන්තශාලා වින්‍යාසයට යළි සකසන්න සහ පසුව උපාංගය නැවත සකස් කරන්න.
· එකම උපාංගය නව වින්‍යාසයක් සමඟ වෙනත් අඩවියක නැවත භාවිත කිරීමට අවශ්‍ය නම්, පවතින වින්‍යාසය ඉවත් කර එය පිරිසිදු තත්ත්වයට ගෙන ඒම සඳහා කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීමක් සිදු කරන්න.

NFVIS කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීම තුළ පහත විකල්ප සපයයි:

කර්මාන්තශාලා යළි පිහිටුවීමේ විකල්පය

දත්ත මකා ඇත

දත්ත රඳවා ඇත

සියලු

සියලුම වින්‍යාස කිරීම්, උඩුගත කළ රූපය පරිපාලක ගිණුම රඳවා තබා ඇත

files, VMs සහ ලඝු-සටහන්.

මුරපදය ලෙස වෙනස් වනු ඇත

උපාංගය වෙත සම්බන්ධතාව කර්මාන්තශාලා පෙරනිමි මුරපදය වනු ඇත.

නැති වුණා.

ආරක්ෂක සලකා බැලීම් 21

යටිතල පහසුකම් කළමනාකරණ ජාලය

ආරක්ෂක සලකා බැලීම්

කර්මාන්තශාලා යළි පිහිටුවීමේ විකල්පය - පින්තූර හැර
සියල්ල හැර-රූප-සම්බන්ධතාව
නිෂ්පාදනය

දත්ත මකා ඇත

දත්ත රඳවා ඇත

රූප රූප වින්‍යාසය හැර සියලුම වින්‍යාසය, ලියාපදිංචි කර ඇත

වින්‍යාසය, වීඑම්, සහ උඩුගත කළ පින්තූර සහ ලොග

රූපය files.

පරිපාලක ගිණුම රඳවා තබා ඇත

උපාංගය වෙත සම්බන්ධතාවය මුරපදය ලෙස වෙනස් කරනු ඇත

නැති වුණා.

කර්මාන්තශාලා පෙරනිමි මුරපදය.

රූපය, පින්තූර, ජාලය සහ සම්බන්ධතාව හැර අනෙකුත් සියලුම වින්‍යාසය

ජාලය සහ සම්බන්ධතාවය

අදාළ වින්‍යාසය, ලියාපදිංචි

වින්‍යාසය, VMs, සහ උඩුගත කළ පින්තූර, සහ ලොග.

රූපය files.

පරිපාලක ගිණුම රඳවා තබා ඇත

උපාංගය වෙත සම්බන්ධතාවය වේ

කලින් වින්‍යාස කළ පරිපාලක

ලබා ගත හැක.

මුරපදය සුරැකෙනු ඇත.

රූප වින්‍යාසය, VMs, උඩුගත කළ රූපය හැර සියලුම වින්‍යාසය files, සහ ලඝු-සටහන්.
උපාංගය වෙත සම්බන්ධතාව අහිමි වනු ඇත.

රූප සම්බන්ධ වින්‍යාසය සහ ලියාපදිංචි රූප
පරිපාලක ගිණුම රඳවා තබා ඇති අතර මුරපදය කර්මාන්තශාලා පෙරනිමි මුරපදයට වෙනස් කරනු ඇත.

කර්මාන්තශාලා පෙරනිමි යළි පිහිටුවීමේ අරමුණ මත පරිශීලකයා ප්‍රවේශමෙන් සුදුසු විකල්පය තෝරාගත යුතුය. වැඩි විස්තර සඳහා, කර්මාන්තශාලා පෙරනිමියට යළි පිහිටුවීම බලන්න.

යටිතල පහසුකම් කළමනාකරණ ජාලය
යටිතල පහසුකම් කළමනාකරණ ජාලයක් යනු යටිතල පහසුකම් උපාංග සඳහා පාලන සහ කළමනාකරණ ගුවන් ගමනාගමනය (NTP, SSH, SNMP, syslog, ආදිය) රැගෙන යන ජාලයයි. උපාංග ප්‍රවේශය කොන්සෝලය හරහා මෙන්ම ඊතර්නෙට් අතුරුමුහුණත් හරහා විය හැකිය. මෙම පාලන සහ කළමනාකරණ ගුවන් යානා ගමනාගමනය ජාල මෙහෙයුම් සඳහා ඉතා වැදගත් වන අතර, ජාලය තුළට සහ පාලනයට දෘශ්‍යතාව සපයයි. එහි ප්‍රතිඵලයක් වශයෙන්, හොඳින් සැලසුම් කරන ලද සහ ආරක්ෂිත යටිතල පහසුකම් කළමනාකරණ ජාලයක් ජාලයක සමස්ත ආරක්ෂාව සහ මෙහෙයුම් සඳහා ඉතා වැදගත් වේ. ආරක්ෂිත යටිතල පහසුකම් කළමනාකරණ ජාලයක් සඳහා වන එක් ප්‍රධාන නිර්දේශයක් වන්නේ අධික බරක් සහ අධික තදබදයක් යටතේ වුවද දුරස්ථ කළමනාකරණය සහතික කිරීම සඳහා කළමනාකරණය සහ දත්ත ගමනාගමනය වෙන් කිරීමයි. කැපවූ කළමනාකරණ අතුරු මුහුණතක් භාවිතයෙන් මෙය සාක්ෂාත් කරගත හැකිය.
යටිතල පහසුකම් කළමනාකරණ ජාල ක්‍රියාත්මක කිරීමේ ප්‍රවේශයන් පහත දැක්වේ:
සංගීත කණ්ඩායමෙන් පිටත කළමනාකරණය
කලාපයෙන් පිටත කළමනාකරණ (OOB) කළමනාකරණ ජාලයක් සමන්විත වන්නේ එය කළමනාකරණය කිරීමට උපකාරී වන දත්ත ජාලයෙන් සම්පූර්ණයෙන්ම ස්වාධීන සහ භෞතිකව වෙනස් වූ ජාලයකිනි. මෙය සමහර විට දත්ත සන්නිවේදන ජාලයක් (DCN) ලෙසද හැඳින්වේ. ජාල උපාංග OOB ජාලයට විවිධ ආකාරවලින් සම්බන්ධ විය හැක: NFVIS OOB ජාලයට සම්බන්ධ වීමට භාවිතා කළ හැකි බිල්ට් කළමණාකරණ අතුරු මුහුණතකට සහය දක්වයි. NFVIS විසින් පූර්ව නිශ්චිත භෞතික අතුරු මුහුණතක්, ENCS මත MGMT වරාය, කැප වූ කළමනාකරණ අතුරු මුහුණතක් ලෙස වින්‍යාස කිරීමට ඉඩ සලසයි. කළමනාකරණ පැකට් නම් කරන ලද අතුරුමුහුණත්වලට සීමා කිරීම මඟින් උපාංගයක කළමනාකරණය කෙරෙහි වැඩි පාලනයක් ලබා දෙන අතර එමඟින් එම උපාංගයට වැඩි ආරක්ෂාවක් සපයයි. අනෙකුත් ප්‍රතිලාභ අතර කළමනාකරණ නොවන අතුරුමුහුණත්වල දත්ත පැකට් සඳහා වැඩිදියුණු කළ කාර්ය සාධනය, ජාල පරිමාණය සඳහා සහාය,

ආරක්ෂක සලකා බැලීම් 22

ආරක්ෂක සලකා බැලීම්

ව්‍යාජ සංගීත කණ්ඩායමෙන් පිටත කළමනාකරණය

උපාංගයකට ප්‍රවේශය සීමා කිරීම සඳහා අඩු ප්‍රවේශ පාලන ලැයිස්තු (ACLs) අවශ්‍ය වේ, සහ CPU වෙත ළඟා වීමෙන් කළමනාකරණ පැකට් ගංවතුර වැළැක්වීම. කැපවූ දත්ත අතුරුමුහුණත් හරහා ජාල උපාංග OOB ජාලයට සම්බන්ධ විය හැක. මෙම අවස්ථාවේදී, කළමනාකරණ ගමනාගමනය කැපවූ අතුරුමුහුණත් මගින් පමණක් හසුරුවන බව සහතික කිරීමට ACL යෙදවිය යුතුය. වැඩිදුර තොරතුරු සඳහා, IP Receive ACL සහ Port 22222 සහ කළමනාකරණ අතුරුමුහුණත ACL වින්‍යාස කිරීම බලන්න.
ව්‍යාජ සංගීත කණ්ඩායමෙන් පිටත කළමනාකරණය
ව්‍යාජ-තොරතුරු කළමනාකරණ ජාලයක් දත්ත ජාලයට සමාන භෞතික යටිතල පහසුකම් භාවිතා කරන නමුත් VLAN භාවිතා කරමින් ගමනාගමනය අතථ්‍ය ලෙස වෙන් කිරීම හරහා තාර්කික වෙන්වීමක් සපයයි. NFVIS විවිධ රථවාහන ප්‍රභවයන් හඳුනා ගැනීමට සහ VM අතර ගමනාගමනය වෙන් කිරීමට VLAN සහ අතථ්‍ය පාලම් නිර්මාණය කිරීමට සහාය වේ. වෙනම පාලම් සහ VLAN තිබීම අතථ්‍ය යන්ත්‍ර ජාලයේ දත්ත ගමනාගමනය සහ කළමනාකරණ ජාලය හුදකලා කරයි, එමඟින් VM සහ ධාරක අතර ගමනාගමන ඛණ්ඩනය සපයයි. වැඩි විස්තර සඳහා NFVIS කළමනාකරණ ගමනාගමනය සඳහා VLAN වින්‍යාස කිරීම බලන්න.
සංගීත කණ්ඩායම තුළ කළමනාකරණය
කලාපීය කළමනාකරණ ජාලයක් දත්ත ගමනාගමනයට සමාන භෞතික හා තාර්කික මාර්ග භාවිතා කරයි. අවසාන වශයෙන්, මෙම ජාල සැලසුම සඳහා එක් පාරිභෝගිකයෙකුට අවදානම් සහ ප්‍රතිලාභ සහ පිරිවැය පිළිබඳ විශ්ලේෂණයක් අවශ්‍ය වේ. සමහර පොදු සලකා බැලීම් ඇතුළත් වේ:
· හුදකලා OOB කළමනාකරණ ජාලයක් කඩාකප්පල්කාරී සිදුවීම් වලදී පවා ජාලයේ දෘශ්‍යතාව සහ පාලනය උපරිම කරයි.
· OOB ජාලයක් හරහා ජාල දුරමිතිය සම්ප්‍රේෂණය කිරීම තීරණාත්මක ජාල දෘශ්‍යතාව සපයන තොරතුරුම කඩාකප්පල් කිරීමේ අවස්ථාව අවම කරයි.
· ජාල යටිතල ව්‍යුහය, සත්කාරක යනාදිය වෙත කලාප කළමනාකරණ ප්‍රවේශය ජාල අනතුරකදී සම්පූර්ණ අලාභයට ගොදුරු විය හැකි අතර, සියලු ජාල දෘශ්‍යතාව සහ පාලනය ඉවත් කරයි. මෙම සිදුවීම අවම කිරීම සඳහා සුදුසු QoS පාලනයක් යෙදිය යුතුය.
· NFVIS අනුක්‍රමික කොන්සෝල වරායන් සහ ඊතර්නෙට් කළමනාකරණ අතුරුමුහුණත් ඇතුළුව උපාංග කළමනාකරණය සඳහා කැප වූ අතුරුමුහුණත් විශේෂාංගී වේ.
· OOB කළමනාකරණ ජාලයක් සාමාන්‍යයෙන් සාධාරණ මිලකට යෙදවිය හැක, මන්ද කළමනාකරණ ජාල ගමනාගමනය සාමාන්‍යයෙන් ඉහළ කලාප පළලක් හෝ ඉහළ කාර්ය සාධනයක් සහිත උපාංග ඉල්ලා නොසිටින අතර, එක් එක් යටිතල පහසුකම් උපාංගයට සම්බන්ධ වීමට ප්‍රමාණවත් වරාය ඝනත්වයක් පමණක් අවශ්‍ය වේ.
දේශීයව ගබඩා කර ඇති තොරතුරු ආරක්ෂණය
සංවේදී තොරතුරු ආරක්ෂා කිරීම
NFVIS මුරපද සහ රහස් ඇතුළුව සමහර සංවේදී තොරතුරු දේශීයව ගබඩා කරයි. මුරපද සාමාන්‍යයෙන් මධ්‍යගත AAA සේවාදායකයක් මඟින් නඩත්තු කළ යුතු අතර පාලනය කළ යුතුය. කෙසේ වෙතත්, මධ්‍යගත AAA සේවාදායකයක් යොදවා තිබුණද, AAA සේවාදායකයන් නොමැති අවස්ථාවලදී දේශීය පසුබැසීම, විශේෂ භාවිත පරිශීලක නාම, යනාදී ඇතැම් අවස්ථා සඳහා දේශීයව ගබඩා කර ඇති සමහර මුරපද අවශ්‍ය වේ. මෙම දේශීය මුරපද සහ අනෙකුත් සංවේදී

ආරක්ෂක සලකා බැලීම් 23

File මාරු කරන්න

ආරක්ෂක සලකා බැලීම්

පද්ධතියෙන් මුල් අක්තපත්‍ර ප්‍රතිසාධනය කිරීමට නොහැකි වන පරිදි තොරතුරු හැෂ් ලෙස NFVIS මත ගබඩා කර ඇත. Hashing යනු පුළුල් ලෙස පිළිගත් කර්මාන්ත සම්මතයකි.

File මාරු කරන්න
FileNFVIS උපාංග වෙත මාරු කිරීමට අවශ්‍ය විය හැකි VM රූපය සහ NFVIS උත්ශ්‍රේණිගත කිරීම ඇතුළත් වේ files. ආරක්ෂිත මාරු කිරීම fileජාල යටිතල පහසුකම් ආරක්ෂාව සඳහා s ඉතා වැදගත් වේ. NFVIS වල ආරක්ෂාව සහතික කිරීම සඳහා Secure Copy (SCP) සඳහා සහය දක්වයි file මාරු කිරීම. SCP ආරක්ෂිත සත්‍යාපනය සහ ප්‍රවාහනය සඳහා SSH මත රඳා පවතී, ආරක්ෂිත සහ සත්‍යාපිත පිටපත් කිරීම සක්‍රීය කරයි. files.
NFVIS වෙතින් ආරක්ෂිත පිටපතක් scp විධානය හරහා ආරම්භ කෙරේ. ආරක්ෂිත පිටපත (scp) විධානය මඟින් පරිපාලක පරිශීලකයාට පමණක් ආරක්ෂිතව පිටපත් කිරීමට ඉඩ ලබා දේ files NFVIS සිට බාහිර පද්ධතියකට හෝ බාහිර පද්ධතියකින් NFVIS වෙත.
scp විධානය සඳහා වන වාක්‍ය ඛණ්ඩය වන්නේ:
scp
අපි NFVIS SCP සේවාදායකය සඳහා වරාය 22222 භාවිතා කරමු. පෙරනිමියෙන්, මෙම වරාය වසා ඇති අතර පරිශීලකයින්ට පිටපත සුරක්ෂිත කළ නොහැක fileබාහිර සේවාදායකයෙකුගෙන් NFVIS වෙත s. SCP කිරීමට අවශ්‍ය නම් a file බාහිර සේවාදායකයෙකුගෙන්, පරිශීලකයාට වරාය විවෘත කළ හැක්කේ:
පද්ධති සැකසුම් ip-receive-acl (ලිපිනය)/(මාස්ක් lenth) සේවාව scpd ප්‍රමුඛතාවය (අංක) ක්‍රියාව පිළිගන්න
කැප කරනවා
පරිශීලකයින් පද්ධති නාමාවලි වෙත ප්‍රවේශ වීම වැලැක්වීමට, ආරක්ෂිත පිටපතක් සිදු කළ හැක්කේ intdatastore:, extdatastore1:, extdatastore2:, usb: සහ nfs:, තිබේ නම් පමණි. ආරක්ෂිත පිටපතක් ලඝු-සටහන් වලින් ද සිදු කළ හැක: සහ තාක්ෂණික සහාය:

ලොග් කිරීම

පහත තොරතුරු වාර්තා කිරීම සඳහා NFVIS ප්‍රවේශය සහ වින්‍යාස කිරීමේ වෙනස්කම් විගණන ලොග් ලෙස ලොග් කර ඇත: · උපාංගයට ප්‍රවේශ වූයේ කවුද · පරිශීලකයෙකු ලොග් වූයේ කවදාද · ධාරක වින්‍යාසය සහ VM ජීවන චක්‍රය අනුව පරිශීලකයෙකු කළේ කුමක්ද · පරිශීලකයෙකු ලොග් වූයේ කවදාද? අක්‍රිය · අසාර්ථක ප්‍රවේශ උත්සාහයන් · අසාර්ථක සත්‍යාපන ඉල්ලීම් · අසාර්ථක අවසර ඉල්ලීම්
අනවසර උත්සාහයන් හෝ ප්‍රවේශයකදී අධිකරණ වෛද්‍ය විශ්ලේෂණය සඳහා මෙන්ම වින්‍යාස වෙනස් කිරීමේ ගැටළු සඳහා සහ කණ්ඩායම් පරිපාලන වෙනස්කම් සැලසුම් කිරීමට මෙම තොරතුරු ඉතා අගනේය. ප්‍රහාරයක් සිදුවන බව හඟවන විෂම ක්‍රියාකාරකම් හඳුනා ගැනීමට එය තත්‍ය කාලීනව භාවිතා කළ හැක. මෙම විශ්ලේෂණය IDS සහ ෆයර්වෝල් ලොග වැනි අමතර බාහිර මූලාශ්‍රවලින් ලැබෙන තොරතුරු සමඟ සහසම්බන්ධ විය හැක.

ආරක්ෂක සලකා බැලීම් 24

ආරක්ෂක සලකා බැලීම්

අතථ්‍ය යන්ත්‍ර ආරක්ෂාව

NFVIS හි ඇති සියලුම ප්‍රධාන සිදුවීම් NETCONF ග්‍රාහකයින් වෙත සිදුවීම් දැනුම්දීම් ලෙස සහ වින්‍යාසගත මධ්‍යම ලොග් කිරීමේ සේවාදායකයන් වෙත syslog ලෙස යවනු ලැබේ. syslog පණිවිඩ සහ සිදුවීම් දැනුම්දීම් පිළිබඳ වැඩි විස්තර සඳහා, උපග්‍රන්ථය බලන්න.
අතථ්‍ය යන්ත්‍ර ආරක්ෂාව
මෙම කොටස NFVIS හි අථත්‍ය යන්ත්‍ර ලියාපදිංචි කිරීම, යෙදවීම සහ ක්‍රියාත්මක කිරීම සම්බන්ධ ආරක්ෂක විශේෂාංග විස්තර කරයි.
VNF ආරක්ෂිත ඇරඹුම
ආරක්ෂිත ඇරඹුම් සඳහා සහය දක්වන අථත්‍ය යන්ත්‍ර සඳහා UEFI ආරක්‍ෂිත ඇරඹුම සක්‍රීය කිරීමට NFVIS Open Virtual Machine Firmware (OVMF) සඳහා සහය දක්වයි. VNF Secure boot මඟින් ඇරඹුම් කාරකය, මෙහෙයුම් පද්ධති කර්නලය සහ මෙහෙයුම් පද්ධති ධාවක ඇතුළුව VM ඇරඹුම් මෘදුකාංගයේ සෑම ස්ථරයක්ම අත්සන් කර ඇති බව තහවුරු කරයි.

වැඩි විස්තර සඳහා, VNF වල ආරක්‍ෂිත ඇරඹුම් බලන්න.
VNC කොන්සෝල ප්‍රවේශ ආරක්ෂණය
යොදවා ඇති VM හි දුරස්ථ ඩෙස්ක්ටොප් එකකට ප්‍රවේශ වීම සඳහා අතථ්‍ය ජාල පරිගණක (VNC) සැසියක් සෑදීමට NFVIS පරිශීලකයාට ඉඩ දෙයි. මෙය සක්‍රීය කිරීම සඳහා, NFVIS මඟින් පරිශීලකයාට ඒවා භාවිතයෙන් සම්බන්ධ කළ හැකි වරායක් ගතිකව විවෘත කරයි web බ්රවුසරය. බාහිර සේවාදායකයකට VM වෙත සැසියක් ආරම්භ කිරීම සඳහා මෙම තොට තත්පර 60ක් පමණක් විවෘතව පවතී. මෙම කාලය තුළ කිසිදු ක්‍රියාකාරකමක් නොපෙනේ නම්, වරාය වසා ඇත. තොට අංකය ගතිකව පවරනු ලබන අතර එමගින් VNC කොන්සෝලයට එක් වරක් පමණක් ප්‍රවේශ වීමට ඉඩ සලසයි.
nfvis# vncconsole ආරම්භය යෙදවීම-නම 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
ඔබගේ බ්‍රවුසරය https:// වෙත යොමු කිරීම :6005/vnc_auto.html ROUTER VM හි VNC කොන්සෝලය වෙත සම්බන්ධ වනු ඇත.
ආරක්ෂක සලකා බැලීම් 25

සංකේතාත්මක VM වින්‍යාස දත්ත විචල්‍යයන්

ආරක්ෂක සලකා බැලීම්

සංකේතාත්මක VM වින්‍යාස දත්ත විචල්‍යයන්
VM යෙදවීම අතරතුර, පරිශීලකයා දින-0 වින්‍යාසයක් සපයයි file VM සඳහා. මේ file මුරපද සහ යතුරු වැනි සංවේදී තොරතුරු අඩංගු විය හැක. මෙම තොරතුරු පැහැදිලි පාඨයක් ලෙස ලබා දෙන්නේ නම්, එය ලොගයේ දිස්වේ files සහ අභ්‍යන්තර දත්ත සමුදා වාර්තා පැහැදිලි පෙළකින්. මෙම විශේෂාංගය මඟින් පරිශීලකයාට වින්‍යාස දත්ත විචල්‍යයක් සංවේදී ලෙස සලකුණු කිරීමට ඉඩ සලසයි, එවිට එහි අගය AES-CFB-128 සංකේතනය භාවිතයෙන් එය අභ්‍යන්තර උප පද්ධති වෙත ගබඩා කිරීමට හෝ යැවීමට පෙර සංකේතනය වේ.
වැඩි විස්තර සඳහා බලන්න, VM යෙදවුම් පරාමිතීන්.
දුරස්ථ රූප ලියාපදිංචිය සඳහා චෙක්සම් සත්‍යාපනය
දුරස්ථව පිහිටා ඇති VNF රූපයක් ලියාපදිංචි කිරීම සඳහා, පරිශීලකයා එහි ස්ථානය සඳහන් කරයි. රූපය NFS සේවාදායකයක් හෝ දුරස්ථ HTTPS සේවාදායකයක් වැනි බාහිර මූලාශ්‍රයකින් බාගත කිරීමට අවශ්‍ය වනු ඇත.
බාගත කර ඇත්දැයි දැන ගැනීමට file ස්ථාපනය කිරීමට ආරක්ෂිත වේ, එය සංසන්දනය කිරීම අත්යවශ්ය වේ fileඑය භාවිතා කිරීමට පෙර චෙක්සම්. චෙක්සම් සත්‍යාපනය කිරීම සහතික කිරීමට උපකාරී වේ file ජාල සම්ප්‍රේෂණය අතරතුර දූෂිත වී නැත, නැතහොත් ඔබ එය බාගත කිරීමට පෙර අනිෂ්ට තෙවන පාර්ශවයක් විසින් වෙනස් කරන ලදී.
NFVIS පරිශීලකයාට අපේක්ෂිත චෙක්සම් සහ චෙක්සම් ඇල්ගොරිතම (SHA256 හෝ SHA512) ලබා දීමට චෙක්සම් සහ චෙක්සම්_ඇල්ගොරිතම විකල්ප සඳහා සහය දක්වයි. චෙක්සම් නොගැලපේ නම් රූප නිර්මාණය අසාර්ථක වේ.
දුරස්ථ රූප ලියාපදිංචිය සඳහා සහතික වලංගු කිරීම
HTTPS සේවාදායකයක පිහිටා ඇති VNF රූපයක් ලියාපදිංචි කිරීම සඳහා, රූපය දුරස්ථ HTTPS සේවාදායකයෙන් බාගත කිරීම අවශ්‍ය වේ. මෙම රූපය ආරක්ෂිතව බාගත කිරීම සඳහා, NFVIS සේවාදායකයේ SSL සහතිකය සත්‍යාපනය කරයි. පරිශීලකයාට සහතිකය වෙත යන මාර්ගය සඳහන් කිරීමට අවශ්‍ය වේ file හෝ මෙම ආරක්ෂිත බාගත කිරීම සබල කිරීමට PEM ආකෘති සහතික අන්තර්ගතය.
රූප ලියාපදිංචිය සඳහා සහතික වලංගුකරණය පිළිබඳ කොටසෙහි වැඩි විස්තර සොයා ගත හැක
VM හුදකලා කිරීම සහ සම්පත් සැපයීම
Network Function Virtualization (NFV) ගෘහ නිර්මාණ ශිල්පය සමන්විත වන්නේ:
· Virtualized network functions (VNFs), එනම් රවුටරයක්, ෆයර්වෝල්, load balancer යනාදී ජාල ක්‍රියාකාරීත්වය ලබා දෙන මෘදුකාංග යෙදුම් ධාවනය වන Virtual Machines වේ.
· අවශ්‍ය මෘදුකාංග සහ හයිපර්වයිසර් සඳහා සහය දක්වන වේදිකාවක් මත යටිතල පහසුකම් සංරචක-පරිගණකය, මතකය, ගබඩා කිරීම සහ ජාලකරණයෙන් සමන්විත අථත්‍යකරණ යටිතල ව්‍යුහය ජාලය ක්‍රියා කරයි.
NFV සමඟින්, ජාල ශ්‍රිතයන් අථත්‍යකරණය කර ඇති අතර එමඟින් බහු ශ්‍රිතයන් එක් සේවාදායකයක් මත ක්‍රියාත්මක කළ හැක. එහි ප්‍රතිඵලයක් වශයෙන්, අඩු භෞතික දෘඩාංග අවශ්‍ය වන අතර, සම්පත් ඒකාබද්ධ කිරීමට ඉඩ සලසයි. මෙම පරිසරය තුළ, තනි, භෞතික දෘඪාංග පද්ධතියකින් බහු VNF සඳහා කැප වූ සම්පත් අනුකරණය කිරීම අත්‍යවශ්‍ය වේ. NFVIS භාවිතා කරමින්, VMs පාලනය කළ හැකි ආකාරයෙන් යෙදවිය හැක, එනම් සෑම VM එකකටම අවශ්‍ය සම්පත් ලැබේ. සම්පත් භෞතික පරිසරයේ සිට බොහෝ අතථ්‍ය පරිසරයන් දක්වා අවශ්‍ය පරිදි කොටස් කර ඇත. එක් එක් VM වසම් හුදකලා වී ඇති නිසා ඒවා බෙදාගත් සම්පත් සඳහා එකිනෙකා සමඟ පොරබදන්නේ නැති, වෙනම, වෙනස් සහ ආරක්ෂිත පරිසරයන් වේ.
VM වලට ප්‍රතිපාදනයට වඩා වැඩි සම්පත් භාවිතා කළ නොහැක. මෙය සම්පත් පරිභෝජනය කරන එක් වීඑම් එකකින් සේවා ප්‍රතික්ෂේප කිරීමේ කොන්දේසියක් වළක්වයි. එහි ප්රතිඵලයක් වශයෙන්, CPU, මතකය, ජාලය සහ ගබඩාව ආරක්ෂා කර ඇත.

ආරක්ෂක සලකා බැලීම් 26

ආරක්ෂක සලකා බැලීම්
CPU හුදකලා කිරීම

CPU හුදකලා කිරීම

NFVIS පද්ධතිය සත්කාරකයේ ක්‍රියාත්මක වන යටිතල පහසුකම් මෘදුකාංග සඳහා හරය වෙන් කරයි. VM යෙදවීම සඳහා ඉතිරි හරය තිබේ. VM හි ක්‍රියාකාරිත්වය NFVIS ධාරක ක්‍රියාකාරිත්වයට බලපාන්නේ නැති බවට මෙය සහතික කරයි. අඩු ප්‍රමාද වීඑම් NFVIS එය මත යොදවා ඇති අඩු ප්‍රමාද වීඑම් සඳහා කැප වූ හරයන් පැහැදිලිව පවරයි. VM සඳහා vCPU 2ක් අවශ්‍ය නම්, එයට කැප වූ core 2ක් පවරනු ලැබේ. මෙය හරය බෙදා ගැනීම සහ අධි දායකත්වය වළක්වන අතර අඩු ප්‍රමාද වීඑම් වල ක්‍රියාකාරිත්වය සහතික කරයි. පවතින මධ්‍ය සංඛ්‍යාව වෙනත් අඩු ප්‍රමාද වීඑම් එකක් විසින් ඉල්ලා සිටින vCPU ගණනට වඩා අඩු නම්, අපට ප්‍රමාණවත් සම්පත් නොමැති බැවින් යෙදවීම වළක්වනු ලැබේ. අඩු ප්‍රමාද නොවන VMs NFVIS අඩු ප්‍රමාද නොවන VM සඳහා බෙදාගත හැකි CPU පවරයි. VM සඳහා vCPU 2ක් අවශ්‍ය නම්, එයට CPU 2ක් පවරනු ලැබේ. මෙම CPU 2 අනෙකුත් අඩු ප්‍රමාද නොවන VM අතර බෙදා ගත හැකිය. පවතින CPU සංඛ්‍යාව වෙනත් අඩු ප්‍රමාද නොවන VM විසින් ඉල්ලා සිටින vCPU සංඛ්‍යාවට වඩා අඩු නම්, මෙම VM දැනට පවතින අඩු ප්‍රමාද නොවන VM සමඟ CPU බෙදා ගන්නා බැවින් යෙදවීමට තවමත් අවසර ඇත.
මතකය වෙන් කිරීම
NFVIS යටිතල ව්‍යුහයට යම් මතක ප්‍රමාණයක් අවශ්‍ය වේ. VM එකක් යොදවන විට, යටිතල පහසුකම් සහ කලින් යොදවා ඇති VM සඳහා අවශ්‍ය මතකය වෙන්කර ගැනීමෙන් පසු පවතින මතකය, නව VM සඳහා ප්‍රමාණවත්ද යන්න තහවුරු කර ගැනීමට චෙක්පතක් ඇත. අපි VM සඳහා මතක අධි දායකත්වයට ඉඩ නොදෙමු.
ආරක්ෂක සලකා බැලීම් 27

ගබඩා හුදකලා කිරීම
VM වලට ධාරකයට සෘජුව ප්‍රවේශ වීමට අවසර නැත file පද්ධතිය සහ ගබඩා කිරීම.
ගබඩා හුදකලා කිරීම

ආරක්ෂක සලකා බැලීම්

ENCS වේදිකාව අභ්‍යන්තර දත්ත ගබඩාවක් (M2 SSD) සහ බාහිර තැටි සඳහා සහය දක්වයි. NFVIS අභ්‍යන්තර දත්ත ගබඩාවේ ස්ථාපනය කර ඇත. මෙම අභ්‍යන්තර දත්ත ගබඩාවේ VNF ද යෙදවිය හැක. පාරිභෝගික දත්ත ගබඩා කිරීම සහ බාහිර තැටි මත පාරිභෝගික යෙදුම් අතථ්‍ය යන්ත්‍ර යෙදවීම ආරක්‍ෂිත හොඳම භාවිතයකි. පද්ධතිය සඳහා භෞතිකව වෙනම තැටි තිබීම files එදිරිව යෙදුම files මඟින් පද්ධති දත්ත දූෂණයෙන් සහ ආරක්ෂක ගැටළු වලින් ආරක්ෂා කිරීමට උපකාරී වේ.
·
අතුරු මුහුණත හුදකලා කිරීම
Single Root I/O Virtualization හෝ SR-IOV යනු Ethernet port වැනි PCI Express (PCIe) සම්පත් හුදකලා කිරීමට ඉඩ සලසන පිරිවිතරයකි. SR-IOV භාවිතයෙන් තනි ඊතර්නෙට් පෝට් එකක් අථත්‍ය ශ්‍රිත ලෙස හඳුන්වන බහු, වෙනම, භෞතික උපාංග ලෙස දිස්විය හැක. එම ඇඩප්ටරයේ ඇති සියලුම VF උපාංග එකම භෞතික ජාල තොට බෙදා ගනී. අමුත්තෙකුට මෙම Virtual Functions එකක් හෝ කිහිපයක් භාවිතා කළ හැක. සාමාන්‍ය ජාල කාඩ්පතක් මෙහෙයුම් පද්ධතියකට දිස්වන ආකාරයටම Virtual Function එකක් ජාල කාඩ්පතක් ලෙස ආගන්තුකයාට දිස්වේ. අතථ්‍ය ශ්‍රිතවලට ස්වදේශීය ආසන්න කාර්ය සාධනයක් ඇති අතර පැරා-අථත්‍ය ධාවක සහ අනුකරණය කළ ප්‍රවේශයට වඩා හොඳ කාර්ය සාධනයක් සපයයි. අතථ්‍ය ක්‍රියාකාරකම් මඟින් දෘඪාංග මඟින් දත්ත කළමනාකරණය කර පාලනය වන බැවින් එකම භෞතික සේවාදායකයේ අමුත්තන් අතර දත්ත ආරක්ෂාව සපයයි. NFVIS VNFs හට WAN සහ LAN Backplane ports වෙත සම්බන්ධ වීමට SR-IOV ජාල භාවිතා කළ හැක.
ආරක්ෂක සලකා බැලීම් 28

ආරක්ෂක සලකා බැලීම්

ආරක්ෂිත සංවර්ධන ජීවන චක්රය

එවැනි සෑම VM එකකටම අතථ්‍ය අතුරුමුහුණතක් සහ VM අතර දත්ත ආරක්ෂාව සාක්ෂාත් කර ගැනීමට අදාළ සම්පත් හිමිවේ.
ආරක්ෂිත සංවර්ධන ජීවන චක්රය
NFVIS මෘදුකාංග සඳහා Secure Development Lifecycle (SDL) අනුගමනය කරයි. මෙය පුනරාවර්තනය කළ හැකි, මැනිය හැකි ක්‍රියාවලියක් වන අතර, සිස්කෝ විසඳුම්වල දුර්වලතා අවම කිරීමට සහ ආරක්ෂාව සහ ඔරොත්තු දීමේ හැකියාව වැඩි කිරීමට සැලසුම් කර ඇත. Cisco SDL ක්ෂේත්‍ර-සොයාගත් නිෂ්පාදන ආරක්ෂණ සිදුවීම් අඩු විශ්වාසදායක විසඳුම් ගොඩනැගීමට කර්මාන්තයේ ප්‍රමුඛ භාවිතයන් සහ තාක්ෂණය යොදයි. සෑම NFVIS නිකුතුවක්ම පහත ක්‍රියාවලි හරහා සිදුවේ.
· Cisco-අභ්‍යන්තර සහ වෙළඳපල පදනම් වූ නිෂ්පාදන ආරක්ෂණ අවශ්‍යතා අනුගමනය කිරීම · අවදානම් ලුහුබැඳීම සඳහා සිස්කෝ හි මධ්‍යම ගබඩාවක් සමඟ තෙවන පාර්ශවීය මෘදුකාංග ලියාපදිංචි කිරීම · CVE සඳහා දන්නා නිවැරදි කිරීම් සහිත මෘදුකාංග කාලානුරූපව පැච් කිරීම. · ආරක්ෂාව මනසේ තබාගෙන මෘදුකාංග නිර්මාණය
විධාන එන්නත් කිරීම වැළැක්වීම සඳහා ස්ථිතික විශ්ලේෂණය සහ ආදාන වලංගුකරණය ක්‍රියාත්මක කිරීම. · IBM AppScan, Nessus, සහ අනෙකුත් Cisco අභ්‍යන්තර මෙවලම් වැනි යෙදුම් ආරක්ෂණ මෙවලම් භාවිතා කිරීම.

ආරක්ෂක සලකා බැලීම් 29

ආරක්ෂිත සංවර්ධන ජීවන චක්රය

ආරක්ෂක සලකා බැලීම්

ආරක්ෂක සලකා බැලීම් 30

ලේඛන / සම්පත්

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] පරිශීලක මාර්ගෝපදේශය Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software

යොමු කිරීම්

• පරිශීලක අත්පොත