Arquitectura de opConfig
Operación de opConfig
El presente documento describe las diferentes arquitecturas en las que se puede trabajar con opConfig para la colección de datos dentro de las redes corporativas. Para poder comprender de manera más detallada como funciona opConfig, debemos conocer la parte técnica la cual describimos a continuación.
- Nodos:
Los nodos son dispositivos / computadoras de los que OpConfig conoce y para los cuales está configurado para ejecutar comandos. Como opConfig necesita conectarse al nodo en cuestión y ejecutar comandos en ese nodo, el nodo debe configurarse con credenciales de acceso. En opConfig, estos se almacenan independientemente de los nodos en los que OpConfig llama a los conjuntos de credenciales.
- Conjuntos de credenciales (Credential Sets):
Los conjuntos de credenciales son una combinación de nombres de usuario, contraseñas, contraseñas privilegiadas, etc. que permiten el acceso a la CLI de los dispositivos. Una vez que el conjunto de credenciales se ha utilizado para crear un acceso de CLI en funcionamiento, se pueden emitir "comandos" y registrar los resultados.
- Conjuntos de comandos (Command Sets):
Los comandos son normalmente construcciones de línea de comandos que se ejecutarán en el nodo en cuestión:
- (Algunos son "comandos pasivos" como "audit-import" que en realidad no se ejecutan en el nodo, pero el resultado está asociado con el nodo).
- Los comandos se pueden agrupar y recopilar en lo que opConfig llama un "conjunto de comandos (command sets)". Los conjuntos de comandos están configurados para aplicarse solo a un sistema operativo en particular y quizás a versiones o plataformas.
- La salida del comando es capturada y almacenada por opConfig, las salidas de comando se comparan con la revisión anterior y, si son diferentes, se guardan como una nueva revisión en opConfig. Se puede marcar un comando para la detección de cambios, en cuyo caso se realiza un análisis más detallado de los cambios.
- Cambios / Revisiones:
Las revisiones son los resultados del comando recopilados a lo largo del tiempo. opConfig le permite distinguir entre comandos "muy dinámicos" y "principalmente estáticos" de una manera eficiente y flexible:
- Los comandos estáticos deben estar marcados para la detección de cambios detallados. En este caso, se crea una nueva revisión si y solo si hay diferencias (relevantes) entre el estado más reciente y el nuevo resultado del comando.
- Los comandos dinámicos no deben marcarse para la detección de cambios. Cada vez que se ejecute dicho comando, la salida se guardará como una nueva revisión, independientemente de si hubo alguna diferencia entre el estado histórico y el actual.
Descripción de opConfig
El módulo opConfig es una herramienta basada en web de manejo de configuraciones fácil de usar. opConfig habilita a las organizaciones a simplificar el manejo de archivos de configuración en ambientes que incluyen dispositivos de múltiples fabricantes, asistiendo en la recuperación en casos de desastre, proceso de resolución de problemas y manejo de cambios. Mediante el uso de opConfig, se pueden crear respaldos, recobrar y comparar información de configuración, asistiendo a la expedita resolución de problemas y cumplimiento de estándares. opConfig continuamente monitorea la configuración de los dispositivos manejados por NMIS, les da seguimiento a los cambios y guarda la historia completa de la información de configuración. opConfig toma ventaja del motor de políticas de negocio de NMIS y puede proveer notificaciones inmediatas cuando hay cambios en la configuración.
- Agregar dispositivos a opConfig
Es compatible con varios proveedores, como: Juniper, Cisco, Mikrotik, ScreenOS, Fortinet, etc., monitoreando sus configuraciones y permitiendo respaldarlas. Únicamente tenemos que agregar el conjunto de credenciales, relacionarlas con los nodos deseados y se comenzará a colectar la información de los comandos permitidos y que más interesen al cliente. Comparación de revisiones
opConfig mantiene un historial completo de cambios de configuración y resultados de auditoría, lo que le permite revisar e informar fácilmente sobre el cumplimiento de la versión del software de revisión. Esto incluye una comparación entre versiones y entre dispositivos.
Reporte de nodos
Se pueden crear reportes de nodos para monitorear los cambios en todos los dispositivos que tenemos agregados a opConfig
Cómo activar el respaldo de configuraciones
La configuración básica que se debe de aplicar a los dispositivos para la colección de los comandos desde el servidor de opConfig es la siguiente:
- Habilitar el puerto 22 en los dispositivos.
- Crear credenciales de solo lectura en los dispositivos.
Así como tener una lista de los comandos que se quieren ejecutar y cada cuánto se hará el respaldo de estos. Una vez teniendo esto, se agregan las credenciales correspondientes a opConfig mediante la GUI.
Y posteriormente se agregan a cada uno de los dispositivos en el apartado “Connection”.
En consola se ejecuta un discover, para hacer el match entre credencial y nodo:
[root@opmantek ~]# /usr/local/omk/bin/opconfig-cli.exe act=discover debug=true node= "nombre_del_nodo" |
---|
Y posteriormente un run_command_sets para comenzar a colectar la información:
[root@opmantek ~]# /usr/local/omk/bin/opconfig-cli.exe act=run_command_sets debug=true node= "nombre_del_nodo" |
---|