Documentazione BQN
Documentazione BQN

Come aggiornare il software

Aggiornamenti all'interno della stessa major release

Per aggiornare all'interno della stessa major release (ad esempio da R4.7.1 a R4.8.3), è necessario aggiornare solo il pacchetto bqn (ad esempio bqn-R4.8.3.bpkg). L'aggiornamento consiste in due fasi: prima viene installato e poi viene attivato. L'attivazione comporta un'interruzione del traffico di alcuni secondi, per cui si consiglia di effettuarla in momenti di basso traffico.

L'installazione si esegue in Amministrazione->Software, facendo clic sull'icona del menu ⁝ e selezionando Installa ... Viene visualizzato un selettore di file per scegliere il pacchetto, che viene trasferito al server BQN e installato.

L'attivazione si effettua in Amministrazione->Software cliccando sull'icona della freccia ↶ del pacchetto da attivare (evidenziata in rosso nell'immagine sottostante).

Questa operazione obbliga a rientrare nel BQN dopo alcuni secondi, durante i quali il flusso di traffico viene interrotto.

Aggiornamenti attraverso le principali release

Contattare support@bequant.com per istruzioni dettagliate prima di eseguire l'aggiornamento a una nuova major release.

Per migrare a una nuova major release (ad esempio da R3 a R4), è necessario aggiornare i pacchetti della piattaforma (bqnos, kernel, bqnkernel, linux e gui), oltre al pacchetto bqn. I pacchetti della piattaforma richiedono un riavvio per essere attivati. Il processo è il seguente:

1. Installare il nuovo bqnos, attendere un minuto e riavviare.

2. Installare kernel e bqnkernel (insieme in questo ordine), attendere un minuto e riavviare.

3. Installare Linux, attendere un minuto e riavviare.

4. Installare la GUI e riavviare

5. Installare bqn e ricaricare

 Il server deve essere posizionato fuori dal percorso del traffico, poiché il riavvio del server comporta una perdita di servizio.

Infine, la vecchia configurazione potrebbe richiedere la migrazione alla nuova release. Come minimo, si dovranno rimuovere i comandi deprecati accedendo al server BQN tramite SSH ed eseguendo i comandi:

 
bqnadm@bqn# configure
bqnadm@bqn(config)# clear config undefined
bqnadm@bqn(config)# commit
%WARN: Verify configuration after deleting undefined commands
bqnadm@bqn(config)# end
bqnadm@bqn# exit

Come generare un diagnostico

Su richiesta dell'assistenza Bequant, è possibile generare un file di diagnostica in Amministrazione->Diagnostica.

Il file verrà inserito nella cartella di download del browser utilizzato.

Come eseguire il backup della configurazione

È possibile salvare la configurazione del server in un file locale in Amministrazione->Backup->Salva.

Per ripristinarlo, scegliere un file di backup precedente nell'opzione Amministrazione->Backup->Carica.

Si consiglia vivamente di caricare la configurazione sempre senza sovrascrivere l'indirizzo di gestione e la configurazione di wire , in modo da non perdere la configurazione dell'interfaccia quando si trasferisce la configurazione da un server BQN a un altro.

Monitoraggio con SNMP

Il BQN supporta i seguenti allarmi (trap) SNMP v2c:

  • Cpu: carico eccessivo della CPU del server.
  • Memory-dpdk: utilizzo eccessivo della memoria nell'elaborazione dei pacchetti DPDK.
  • Pool di memoria: utilizzo eccessivo della memoria nel pool di memoria generale BQN.
  • Disco: file system pieno o quasi.
  • Processo: alcuni processi obbligatori non funzionano.
  • Traffico-uplink: nessun traffico in direzione uplink.
  • Traffico-downlink: nessun traffico in direzione downlink.
  • Traffico basso: traffico ridotto (direzioni uplink e downlink combinate).
  • Traffico invertito: il throughput in uplink è superiore a quello in downlink (forse perché alcuni wires sono invertiti, con la porta di accesso collegata a Internet e viceversa).
  • Wire: nessun wires configurato o alcuni wires disattivati.
  • Licenza disponibile: nessuna licenza definita o licenza non valida.
  • Licenza scaduta: la licenza è scaduta.
  • Utilizzo della licenza: il throughput del server è superiore alla capacità della licenza.
  • Ora: nessun server NTP configurato o non raggiungibile.
  • Bqnmgr: sistema di gestione remota BQN non raggiungibile.

Questi allarmi sono correlati al cruscotto visualizzato nella homepage di BQN. Per ulteriori informazioni, consultare la sezione Risoluzione dei problemi .

Per configurare l'agente SNMP, andare su Amministrazione->SNMP:

L'SNMP BQN esporta anche alcune statistiche di sistema. Per ottenere i file MIB di BQN, contattare l'assistenza Bequant.

Cattura del traffico

Il BQN può essere utilizzato per ottenere catture di traffico in formato pcap da una qualsiasi delle sue interfacce di rete. Tali catture possono essere utilizzate per risolvere problemi nel server BQN, ma anche in altri punti della rete, poiché spesso è difficile ottenere catture dirette del traffico in altri nodi di rete.

Le acquisizioni di traffico sono indicate con un'icona a forma di lente di ingrandimento accanto al nome dell'interfaccia. È disponibile nelle pagine seguenti:

  • ‍Stato->Interfacce->Stato del collegamento
  • ‍Stato->Interfacce->Dati Wires

Facendo clic sull'icona viene visualizzata una finestra di dialogo con le opzioni di acquisizione:

Il campo filtro accetta il formato dei filtri di tcpdump. Se è opzionale e se è vuoto, tutto il traffico verrà catturato. Alcuni esempi di filtri:

  • Traffico che coinvolge un indirizzo IP: host 10.0.0.23
  • Traffico TCP che coinvolge un indirizzo IP e una porta: tcp e host 10.0.0.23 e porta 443
  • Traffico UDP che coinvolge un sottoinsieme IP verso un indirizzo Internet specifico: udp e rete 10.0.0.0/24 e host 8.8.8.8

Se la rete è dotata di VLAN e/o PPPoE, è necessario impostare l'interruttore corrispondente affinché il filtro funzioni. Nella schermata precedente, la rete è dotata di VLAN.

Dimensione massima del file di acquisizione (fino a un massimo di 500 MB). L'acquisizione si interrompe al raggiungimento di questa dimensione.

Timeout della cattura (massimo 600 secondi). La cattura si interrompe allo scadere di questo tempo. È possibile interromperla anche prima, premendo il pulsante ANNULLA,

La cattura è limitata da una dimensione massima e da un timeout (qualsiasi cosa accada prima). Il motivo è proteggere il sistema, perché la cattura del traffico ha un impatto sulle prestazioni.

Per ridurre l'impatto sulle prestazioni del sistema, utilizzare la dimensione e la durata più piccole che soddisfano le proprie esigenze.

Una volta completata l'acquisizione, verrà generato un file pcap nella cartella di download del browser. Il file può essere ispezionato utilizzando uno strumento per il traffico che supporti il formato pcap, ad esempio wireshark.

Registri

Per facilitare il debug di problemi complessi, la GUI visualizza due tipi di log:

  • Messaggi di log del sistema operativo. Andare in Amministrazione->Loghi->Sistema.
  • Messaggi di log del kernel (output del comando dmesg ). Andare in Amministrazione->Log->Kernel.

È possibile richiedere più righe di registro ed esportare le voci di registro in un file locale.

Utenti del sistema

Il sistema BQN prevede due tipi di utenti:

  • Amministratori: con accesso illimitato alle funzionalità del nodo, comprese le modifiche alla configurazione e l'installazione del software. Per impostazione predefinita, viene creato un utente chiamato bqnadm con profilo di amministrazione.
  • Operatori: con accesso solo alla visualizzazione dei dati. Per impostazione predefinita, viene creato un utente chiamato bqnop con profilo di operatore.

Un amministratore può creare, eliminare o modificare gli utenti del sistema in Amministrazione->Utenti.

Bypass del software

È possibile fare in modo che il traffico passi attraverso la BQN in modo trasparente, senza essere elaborato dalla BQN. Tale traffico verrà catturato in una delle interfacce di rete e trasmesso in modo trasparente alla sua interfaccia di pari livello nello stesso wire. In questo modo, il software BQN non avrà alcun impatto su tale traffico.

I tipi di traffico che possono essere configurati per essere bypassati sono:

  • Traffico IP v4
  • Traffico IP v6
  • Traffico con alcuni tag VLAN specifici.
  • Traffico senza tag VLAN (cioè senza tag).

 

Per bypassare il traffico, andare su Configurazione->Impostazioni di ottimizzazione e attivare la levetta corrispondente.

Tenete presente che il traffico bypassato non beneficerà delle funzioni BQN: non verrà ottimizzato, non verranno registrate le metriche e non verranno applicate le policy.

Impostazione sicura

Timeout della sessione

Un timeout configurabile disconnette una sessione GUI dopo un tempo di inattività.

Per attivare il timeout di inattività, andare in Amministrazione->Impostazioni generali e impostare il valore in secondi in Timeout inattività GUI e premere Applica.

Il timeout di inattività verrà applicato alle nuove sessioni.

Password utente forti

Per impostazione predefinita, quando si imposta una password utente, qualsiasi valore è valido. È possibile rafforzare la sicurezza del sistema imponendo una complessità minima alle password utente. Per farlo, andare in Amministrazione->Impostazioni generali e impostare su On l'interruttore Sicurezza rigorosa di password e login.

Quando l'interruttore password rigorosa è impostato su On, viene applicata la seguente complessità minima della password (e la modifica della password viene rifiutata se non viene rispettata):

  • Lunghezza di almeno 8 caratteri.
  • Almeno una lettera minuscola.
  • Almeno una lettera maiuscola.
  • Almeno una cifra.
  • Almeno un carattere speciale.
  • Il nome utente non può far parte della password, né direttamente né in forma inversa. Ad esempio, se l'utente è bqnadm, le password Bqnadm6? e Mdanqb6? vengono rifiutate.

Inoltre, la password deve superare il test di semplicità pam_cracklib. Questo test rifiuta password scadenti come:

  • Parole del dizionario
  • Palindromi. Ad esempio, Af16-61fA
  • Stessi caratteri consecutivi. Es. ...aaa...
  • Sequenza monotona troppo lunga. Es. ...123... o ...abc...
  • Meno di cinque differenze con la vecchia password.

Inoltre, l'account viene bloccato per cinque minuti dopo cinque tentativi di accesso consecutivi falliti. Root è escluso da questo criterio per evitare attacchi di negazione del servizio.

Interfaccia di gestione Firewall

Per impostare il firewall dell'interfaccia di gestione, che si applicherà solo all'interfaccia di gestione (non alle interfacce configurate in wires) selezionare nel menu laterale Configurazione->Interfacce->Firewall di gestione. Questo mostrerà gli intervalli di indirizzi IP che possono accedere all'interfaccia di gestione. Per impostazione predefinita, non sono configurati intervalli di indirizzi IP e tutti sono consentiti.

Per aggiungere un intervallo di indirizzi IP consentito, fare clic sull'icona del menu e premere su Aggiungi intervallo di indirizzi IP.... Una volta consentito un intervallo di indirizzi IP, il firewall è abilitato e tutti gli indirizzi IP non coperti dagli intervalli di indirizzi IP configurati saranno bloccati. È quindi importante includere un intervallo di indirizzi IP che copra l'indirizzo IP da cui si accede alla GUI e anche la sottorete dell'indirizzo IP di gestione (la GUI li includerà nell'elenco suggerito). È necessario includere anche altri IP che interagiscono con l'interfaccia di gestione, come i client RADIUS/REST, un sistema di fatturazione e il server NTP.

Per disattivare il firewall, rimuovere tutte le voci premendo l'icona di cancellazione accanto a ciascuna voce e, una volta eliminate tutte le voci, fare clic sul pulsante Applica. È importante non premere Applica prima diaver eliminato tutte le voci, perché un'applicazione prematura manterrebbe il firewall attivo e potrebbe impedire l'accesso al server, se la voce che copre il vostro IP non è presente.

Nascondere le informazioni sul servizio per abbonato agli operatori

È possibile configurare il sistema in modo che gli utenti con profilo operatore non vedano le seguenti informazioni:

  • Nel cruscotto dell'abbonato, i dettagli del servizio DPI.
  • Nella Subscriber dashboard, nella tabella dei flussi attivi, la colonna DOMAIN.
  • In Statistiche->DPI ServiceAnalysis->Hourly Volume Per Service, il filtro IP/Subscriber ID.
  • In Statistiche->Analisi servizi DPI->Volume totale per servizio, il filtro IP/ID abbonato.

Per disabilitare l'accesso a queste informazioni, andare come amministrazione in Amministrazione->Impostazioni generali e disabilitare l'interruttore DPI per abbonato per i profili operatore.

Registro di controllo

Il sistema mantiene un registro di audit con un registro delle azioni più rilevanti eseguite nel sistema. I file si trovano in /opt/bqn/var/audit e sono leggibili solo dall'utente root.

Il file di audit corrente si chiama audit e i vecchi file di audit saranno compressi con gzip e denominati con l'ora di rotazione dell'epoca Unix (ad esempio audit-1688636727.gz). I vecchi file vengono conservati per 182 giorni.

Ogni riga del file è una voce di audit con i seguenti campi:

  • Ora: Data e ora dell'evento, informata YYYY-mm-ddTHH:MM:SS+UTC-Offset.
  • Tipo: Tipo di azione: accesso, configurazione, software, sistema, utenti.
  • Autore: Nome dell'utente del sistema che esegue l'azione, nei casi in cui è disponibile.
  • Descrizione: Descrizione dell'azione.

Alcune delle azioni registrate sono:

  • Accesso al sistema.
  • Utenti creati/cancellati.
  • Modifiche della password utente.
  • Modifiche alla configurazione.
  • Aggiornamenti software.
  • Riavvio o spegnimento del sistema.
  • Cambiamento dell'ora locale e del fuso orario.

precedente
AVANTI