Come aggiornare il software
Aggiornamenti all'interno della stessa major release
Per aggiornare all'interno della stessa major release (ad esempio da R4.7.1 a R4.8.3), è necessario aggiornare solo il pacchetto bqn (ad esempio bqn-R4.8.3.bpkg). L'aggiornamento consiste in due fasi: prima viene installato e poi viene attivato. L'attivazione comporta un'interruzione del traffico di alcuni secondi, per cui si consiglia di effettuarla in momenti di basso traffico.
L'installazione si esegue in Amministrazione->Software, facendo clic sull'icona del menu ⁝ e selezionando Installa ... Viene visualizzato un selettore di file per scegliere il pacchetto, che viene trasferito al server BQN e installato.
L'attivazione si effettua in Amministrazione->Software cliccando sull'icona della freccia ↶ del pacchetto da attivare (evidenziata in rosso nell'immagine sottostante).
Questa operazione obbliga a rientrare nel BQN dopo alcuni secondi, durante i quali il flusso di traffico viene interrotto.
Aggiornamenti attraverso le principali release
Contattare support@bequant.com per istruzioni dettagliate prima di eseguire l'aggiornamento a una nuova major release.
Per migrare a una nuova major release (ad esempio da R3 a R4), è necessario aggiornare i pacchetti della piattaforma (bqnos, kernel, bqnkernel, linux e gui), oltre al pacchetto bqn. I pacchetti della piattaforma richiedono un riavvio per essere attivati. Il processo è il seguente:
1. Installare il nuovo bqnos, attendere un minuto e riavviare.
2. Installare kernel e bqnkernel (insieme in questo ordine), attendere un minuto e riavviare.
3. Installare Linux, attendere un minuto e riavviare.
4. Installare la GUI e riavviare
5. Installare bqn e ricaricare
Il server deve essere posizionato fuori dal percorso del traffico, poiché il riavvio del server comporta una perdita di servizio.
Infine, la vecchia configurazione potrebbe richiedere la migrazione alla nuova release. Come minimo, si dovranno rimuovere i comandi deprecati accedendo al server BQN tramite SSH ed eseguendo i comandi:
Come generare un diagnostico
Su richiesta del supporto Bequant , è possibile generare un file di diagnostica in Amministrazione->Diagnostica.
Il file verrà inserito nella cartella di download del browser utilizzato.
Come eseguire il backup della configurazione
È possibile salvare la configurazione del server in un file locale in Amministrazione->Backup->Salva.
Per caricare un backup precedentemente salvato, andare su Amministrazione->Backup->Carica .
Ci sono tre opzioni:
- Carica un backup da un altro server. Lo scopo di questa opzione è di portare una configurazione comune a diversi server, con gli stessi criteri e client API. Quando si utilizza questa opzione, vengono caricate solo le sezioni generiche della configurazione. Le parti specifiche del server (configurazione dell'interfaccia di gestione, dati wires, licenze e indirizzo IP API BQN) non vengono modificate.
- Ripristina un backup da questo server. Questa opzione viene utilizzata per ripristinare uno stato precedente della configurazione del server. In questa opzione, la configurazione viene completamente sostituita da quella di backup, quindi è importante che la configurazione provenga proprio da questo server, altrimenti il server potrebbe risultare irraggiungibile.
- Unisce un file di configurazione a questa configurazione del server. Questa opzione è utile per trasportare solo alcune sezioni di configurazione, ad esempio un insieme di regole di policy. In questa opzione, l'intera configurazione del file viene aggiunta alla configurazione corrente. Nel file di unione devono essere incluse solo sezioni di configurazione generiche e solo quelle strettamente necessarie, per evitare conflitti. Ad esempio, una configurazione può avere un solo gateway predefinito di gestione, quindi l'unione di un file contenente un gateway predefinito sostituirà quello vecchio.
Selezionare l'opzione di caricamento e premere SELEZIONA FILE. Selezionare il file da caricare e premere Apri. Una finestra di dialogo informerà sull'esito dell'operazione (se è OK o se è stato riscontrato un errore). In caso di errore, la configurazione del server non viene modificata (l'operazione di caricamento è atomica).
Monitoraggio con SNMP
Il BQN supporta i seguenti allarmi (trap) SNMP v2c:
- Cpu: carico eccessivo della CPU del server.
- Memory-dpdk: utilizzo eccessivo della memoria nell'elaborazione dei pacchetti DPDK.
- Pool di memoria: utilizzo eccessivo della memoria nel pool di memoria generale BQN.
- Disco: file system pieno o quasi.
- Processo: alcuni processi obbligatori non funzionano.
- Traffico-uplink: nessun traffico in direzione uplink.
- Traffico-downlink: nessun traffico in direzione downlink.
- Traffico basso: traffico ridotto (direzioni uplink e downlink combinate).
- Traffico invertito: il throughput in uplink è superiore a quello in downlink (forse perché alcuni wires sono invertiti, con la porta di accesso collegata a Internet e viceversa).
- Wire: nessun wires configurato o alcuni wires disattivati.
- Licenza disponibile: nessuna licenza definita o licenza non valida.
- Licenza scaduta: la licenza è scaduta.
- Utilizzo della licenza: il throughput del server è superiore alla capacità della licenza.
- Ora: nessun server NTP configurato o non raggiungibile.
- Bqnmgr: sistema di gestione remota BQN non raggiungibile.
Questi allarmi sono correlati al cruscotto visualizzato nella homepage di BQN. Per ulteriori informazioni, consultare la sezione Risoluzione dei problemi .
Per configurare l'agente SNMP, andare su Amministrazione->SNMP:
L'SNMP BQN esporta anche alcune statistiche di sistema. Per ottenere i file MIB di BQN, fare clic qui.
Cattura del traffico
Il BQN può essere utilizzato per ottenere catture di traffico in formato pcap da una qualsiasi delle sue interfacce di rete. Tali catture possono essere utilizzate per risolvere problemi nel server BQN, ma anche in altri punti della rete, poiché spesso è difficile ottenere catture dirette del traffico in altri nodi di rete.
Le acquisizioni di traffico sono indicate con un'icona a forma di lente di ingrandimento accanto al nome dell'interfaccia. È disponibile nelle pagine seguenti:
- Stato->Interfacce->Stato del collegamento
- Stato->Interfacce->Dati Wires
Facendo clic sull'icona viene visualizzata una finestra di dialogo con le opzioni di acquisizione:
Il campo filtro accetta il formato dei filtri di tcpdump. Se è opzionale e se è vuoto, tutto il traffico verrà catturato. Alcuni esempi di filtri:
- Traffico che coinvolge un indirizzo IP: host 10.0.0.23
- Traffico TCP che coinvolge un indirizzo IP e una porta: tcp e host 10.0.0.23 e porta 443
- Traffico UDP che coinvolge un sottoinsieme IP verso un indirizzo Internet specifico: udp e rete 10.0.0.0/24 e host 8.8.8.8
Se la rete è dotata di VLAN e/o PPPoE, è necessario impostare l'interruttore corrispondente affinché il filtro funzioni. Nella schermata precedente, la rete è dotata di VLAN.
Dimensione massima del file di acquisizione (fino a un massimo di 500 MB). L'acquisizione si interrompe al raggiungimento di questa dimensione.
Timeout della cattura (massimo 600 secondi). La cattura si interrompe allo scadere di questo tempo. È possibile interromperla anche prima, premendo il pulsante ANNULLA,
La cattura è limitata da una dimensione massima e da un timeout (qualsiasi cosa accada prima). Il motivo è proteggere il sistema, perché la cattura del traffico ha un impatto sulle prestazioni.
Per ridurre l'impatto sulle prestazioni del sistema, utilizzare la dimensione e la durata più piccole che soddisfano le proprie esigenze.
Una volta completata l'acquisizione, verrà generato un file pcap nella cartella di download del browser. Il file può essere ispezionato utilizzando uno strumento per il traffico che supporti il formato pcap, ad esempio wireshark.
Registri
Per facilitare il debug di problemi complessi, la GUI visualizza due tipi di log:
- Messaggi di log del sistema operativo. Andare in Amministrazione->Loghi->Sistema.
- Messaggi di log del kernel (output del comando dmesg ). Andare in Amministrazione->Log->Kernel.
È possibile richiedere più righe di registro ed esportare le voci di registro in un file locale.
Utenti del sistema
Il sistema BQN prevede due tipi di utenti:
- Amministratori: con accesso illimitato alle funzionalità del nodo, comprese le modifiche alla configurazione e l'installazione del software. Per impostazione predefinita, viene creato un utente chiamato bqnadm con profilo di amministrazione.
- Operatori: con accesso solo alla visualizzazione dei dati. Per impostazione predefinita, viene creato un utente chiamato bqnop con profilo di operatore.
Un amministratore può creare, eliminare o modificare gli utenti del sistema in Amministrazione->Utenti.
Fare clic sull'icona del lucchetto per modificare la password dell'utente. Evitare di utilizzare le virgolette (') e i doppi apici (") come parte del valore della password.
Bypass del software
È possibile fare in modo che il traffico passi attraverso la BQN in modo trasparente, senza essere elaborato dalla BQN. Tale traffico verrà catturato in una delle interfacce di rete e trasmesso in modo trasparente alla sua interfaccia di pari livello nello stesso wire. In questo modo, il software BQN non avrà alcun impatto su tale traffico.
I tipi di traffico che possono essere configurati per essere bypassati sono:
- Traffico IP v4
- Traffico IP v6
- Traffico con alcuni tag VLAN specifici.
- Traffico senza tag VLAN (cioè senza tag).
- Alcuni indirizzi o intervalli di indirizzi IPv4 e/o IPv6.
Per bypassare il traffico, andare su Configurazione->Impostazioni di ottimizzazione e attivare la levetta corrispondente.
Per le VLAN e gli intervalli IP, digitare il valore, premere + per aggiungerlo e applicare le impostazioni.
Tenete presente che il traffico bypassato non beneficerà delle funzioni BQN: non verrà ottimizzato, non verranno registrate le metriche e non verranno applicate le policy.
Impostazione sicura
Timeout della sessione
Un timeout configurabile disconnette una sessione GUI dopo un certo periodo di inattività.
Per attivare il timeout di inattività, andare in Amministrazione->Impostazioni generali e impostare il valore in secondi in Timeout inattività GUI e premere Applica.
Il timeout di inattività verrà applicato alle nuove sessioni.
Password utente forti
Per impostazione predefinita, quando si imposta una password utente, qualsiasi valore è valido. È possibile rafforzare la sicurezza del sistema imponendo una complessità minima alle password degli utenti. A tale scopo, andare in Amministrazione->Impostazioni generali e impostare su On l'interruttore Sicurezza rigorosa di password e login.
Quando l'interruttore password rigorose è impostato su On, viene applicata la seguente complessità minima della password (e la modifica della password viene rifiutata se non viene rispettata):
- Lunghezza di almeno 8 caratteri.
- Almeno una lettera minuscola.
- Almeno una lettera maiuscola.
- Almeno una cifra.
- Almeno un carattere speciale.
- Il nome utente non può far parte della password, né direttamente né in forma inversa. Ad esempio, se l'utente è bqnadm, le password Bqnadm6? e Mdanqb6? vengono rifiutate.
Inoltre, la password deve superare il test di semplicità pam_cracklib. Questo test rifiuta password scadenti come:
- Parole del dizionario
- Palindromi. Ad esempio, Af16-61fA
- Stessi caratteri consecutivi. Es. ...aaa...
- Sequenza monotona troppo lunga. Es. ...123... o ...abc...
- Meno di cinque differenze con la vecchia password.
Inoltre, l'account viene bloccato per cinque minuti dopo cinque tentativi di accesso consecutivi falliti. Root è escluso da questo criterio per evitare attacchi di negazione del servizio.
Interfaccia di gestione Firewall
Per impostare il firewall dell'interfaccia di gestione, che si applicherà solo all'interfaccia di gestione (non alle interfacce configurate in wires) selezionare nel menu laterale Configurazione->Interfacce->Firewall di gestione. Questo mostrerà gli intervalli di indirizzi IP che possono accedere all'interfaccia di gestione. Per impostazione predefinita, non sono configurati intervalli di indirizzi IP e tutti sono consentiti.
Per aggiungere un intervallo di indirizzi IP consentiti, fare clic sull'icona del menu e premere su Aggiungi intervallo di indirizzi IP.... Una volta consentito un intervallo di indirizzi IP, il firewall è abilitato e tutte le connessioni in entrata da indirizzi IP che non fanno parte degli intervalli di indirizzi IP configurati saranno bloccate. È quindi importante includere un intervallo di indirizzi IP che copra l'indirizzo IP da cui si accede alla GUI e anche la sottorete dell'indirizzo IP di gestione (la GUI li includerà nell'elenco suggerito). È necessario includere anche altri IP che interagiscono con l'interfaccia di gestione, come i client RADIUS/REST, un sistema di fatturazione e il server NTP.
Per disattivare il firewall, rimuovere tutte le voci premendo l'icona di cancellazione accanto a ciascuna voce e, una volta eliminate tutte le voci, fare clic sul pulsante Applica. È importante non premere Applica prima di aver eliminato tutte le voci, perché un'applicazione prematura manterrebbe il firewall attivo e potrebbe impedire l'accesso al server, se la voce che copre il vostro IP non è presente.
Nascondere le informazioni sul servizio per abbonato agli operatori
È possibile configurare il sistema in modo che gli utenti con profilo operatore non vedano le seguenti informazioni:
- Nel cruscotto dell'abbonato, i dettagli del servizio DPI.
- Nella Subscriber dashboard, nella tabella dei flussi attivi, la colonna DOMAIN.
- In Statistiche->DPI ServiceAnalysis->Hourly Volume Per Service, il filtro IP/Subscriber ID.
- In Statistiche->Analisi servizi DPI->Volume totale per servizio, il filtro IP/ID abbonato.
Per disabilitare l'accesso a queste informazioni, andare come amministrazione in Amministrazione->Impostazioni generali e attivare l'interruttore Nascondi DPI per utente per i profili operatore.
Nascondere la configurazione e le politiche tariffarie agli operatori
È possibile configurare il sistema in modo che gli utenti con profilo operatore non vedano le seguenti informazioni:
- Dettagli della politica tariffaria nel cruscotto In Subscriber.
- Dettagli della politica tariffaria in tatus->Subscribers->QoE metrics.
- Sezione di configurazione.
Per disabilitare l'accesso a queste informazioni, andare come amministrazione in Amministrazione->Impostazioni generali e abilitare l'interruttore Nascondi le tariffe di configurazione e dei criteri per gli operatori.
Registro di controllo
Il sistema mantiene un registro di audit con un registro delle azioni più rilevanti eseguite nel sistema. I file si trovano in /opt/bqn/var/audit e sono leggibili solo dall'utente root.
Il file di audit corrente è chiamato audit e i vecchi file di audit saranno compressi con gzip e denominati con l'ora di rotazione Unix (ad esempio audit-1688636727.gz). I vecchi file vengono conservati per 182 giorni.
Ogni riga del file è una voce di audit con i seguenti campi:
- Ora: Data e ora dell'evento, nel formato YYYY-mm-ddTHH:MM:SS+UTC-Offset.
- Tipo: Tipo di azione: accesso, configurazione, software, sistema, utenti.
- Autore: Nome dell'utente del sistema che esegue l'azione, nei casi in cui è disponibile.
- Descrizione: Descrizione dell'azione.
Alcune delle azioni registrate sono:
- Accesso al sistema.
- Utenti creati/cancellati.
- Modifiche della password utente.
- Modifiche alla configurazione.
- Aggiornamenti software.
- Riavvio o spegnimento del sistema.
- Cambiamento dell'ora locale e del fuso orario.
Invio dei log di sistema a un server syslog
È possibile configurare il BQN per inviare i log di sistema a un server syslog esterno. Il server syslog deve supportare il protocollo BSD syslog (IETF RFC 3164) o il protocollo syslog (IETF RFC 5454).
Per effettuare la configurazione, accedere come root tramite SSH e seguire questi passaggi:
Creare la seguente directory, in modo che le modifiche siano persistenti:
Copiare il file di configurazione originale in quella directory:
Modificare il file di configurazione:
Se si utilizza il protocollo syslog BSD (IETF RFC 3164), aggiungere questa riga al file di configurazione:
Sostituire server-IP con l'indirizzo IP del server syslog e server-port con la sua porta (ad esempio, 514).
Se il formato richiesto è il protocollo syslog (IETF RFC 5454):
Riavviare il sistema:
E questo è tutto, i log del sistema BQN in /var/log/messages devono essere inviati al server syslog.
Se in seguito si apportano modifiche al file di configurazione, è necessario riavviare il servizio rsyslog affinché le modifiche vengano applicate:
Verificare che il servizio sia OK richiedendo il suo stato:
Configurazione con TLS
Per criptare la comunicazione con il server syslog, BQN ha bisogno del pacchetto linux-R3.0.13-20231130 o successivo. Trasferire il certificato dell'autorità di certificazione del server nella directory rsyslog del server BQN:
Modificare il file di configurazione:
Aggiungete le seguenti righe prima della riga di azione . (la porta scelta è normalmente 6514, rivedetela nella riga di azione):
Per applicare le modifiche, riavviare il servizio rsyslog:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.