NAS简明使用手册网管篇Word下载.docx

1、纳管单一Device添加Device首先，通过菜单栏上的Devices New device 进入设备添加页面。进入New device页面后，我们就需要输入需要纳管的Device的信息了。自上而下的，我们需要输入IP或Hostname（建议输入IP地址，当设备成功纳管之后，会自动获取Device的Hostname）。然后选择对应的设备组（目前的情况不需要选择），并输入设备的备注信息（建议填写）。最后一步就是输入设备的相关访问信息，为了成功的纳管设备，需要输入Username（如果使用local账户登录，留空即可）、Password、Confirm Password、Enable Passwo

2、rd、Confirm Enable Password、SNMP Read-Only Community String、SNMP Read/Write Community String。上述信息填写完成后，点击即可，NAS会自动开始对设备进行访问并配置syslog。Device纳管成功后会在对应设备组中出现。无法纳管的设备设备添加完成后，可以在Inventory或者对应的Device Group中看到。成功纳管的Device的字体都是蓝色的，如果纳管过程中出现问题，那么字体就以红色表示，如下图所示。成功纳管的Device纳管出现问题的Device如果纳管出现问题，第一步就要进行Discover

3、Driver操作。这一步主要是发现对应的驱动，以匹配以后管理操作及任务中的相关命令等数据。如右图所示，可以选择相应的Device后，点击Actions下拉框选择Discover Driver，系统会自动创建一个新任务，并转向到任务信息的页面，可以直接点击保存任务，进行Discover Driver的操作。如果设备数量较少，那么可以勾选Store complete device session log，系统会记录任务执行过程中与设备的交互信息，便于进行troubleshoting。在任务执行完成之后，点击中的链接可以查看详细的信息。批量纳管Device对于多数的企业而言，Device的数量很多，

4、这里就需要使用到NAS的批量纳管的功能了。首先需要了解一下设备密码策略（Device Password Rule）的概念设备密码策略（Device Password Rule）对于众多的Device，我们可以设定一条设备密码策略对一组使用相同的用户名/密码的Device进行访问，这将简化我们批量添加Device的操作。对于多组使用不同的用户名/密码的Device来说，我们只需要设定多条密码策略即可，NAS会尝试不同的密码策略来访问设备，直到成功为止（如果没有正确的密码策略，则对应的设备无法成功纳管）。通过菜单 Admin Device Password Rules对密码策略进行操作。点击页面右

5、上角的即可添加一条新的密码策略。设备密码策略页面具体需要填写的信息如下图所示：具体的填写方式和添加单一的Device相同，这里不再详述。需要注意的是，左边的范围选择要注意，如果指定了范围，那么超出范围的设备就无法使用该密码策略。上面的工作完成之后，我们就可以进行批量添加Device的工作了。下载模板，批量添加设备通过菜单Task New Task Import 进入导入页面点击下载设备信息模板。模板中有如下信息：deviceGroupName、deviceDriver、primaryIPAddress、hostName、consoleIPAddress、consolePort、assetTag

6、、managementStatus、accessMethods、comments、deviceCustom1、deviceCustom2、siteName。这里我们只需要填写primaryIPAddress即可。填写完毕后，我们新建一个Import任务，然后在Import File中选择我们已经编辑好的csv文件。然后点选“Run discover driver task on newly imported devices”，最后点击Save Task按钮即可开始运行任务。运行任务时，我们可以随时通过Task Running Tasks来查看当前正在运行任务的状态，如下图所示。这里，我们可以点

7、击或者查看任务的当前运行情况。在下图的Task Information页面中可以看到，执行的是一个Discover Driver的任务，可以从Result Details查看任务执行的结果。下图中显示的是Pending和Total两行数据，当任务运行成功或失败时，才会出现Success或是Failed的对应数据。Discover Driver的过程比较漫长，任务执行之后请耐心等待。Running Task页面Task Information页面：反映当前任务的执行情况Device Group为了便于管理设备，更加明确了在NAS中体现出组织的网络架构，就需要使用到Device Group（设备分

8、组）。通常，Device Group的结构依据如下：（1）地理位置，（2）商业位置，如部门等，（3）设备在网络中的角色，如核心、边缘等。默认情况下，我们在Device Group页面中（通过菜单Devices Group访问）只能看到Inventory分组（属于全局分组，后续的分组建立全部在其之下），如下图：根据管理员不同进行分组从图上我们可以看出，目前系统中已经根据两种分组方式建立好了分组：一种是通过管理员来进行划分，另外一种则是根据地区不同进行划分。点击分组名称能够直接查看分组下的所有设备，点击可以查看子分组信息。建立Device Group为了更好的理解Device Group的概念及作

9、用，下面我们就建立一个Device Group。点击菜单Devices New Device Group转到建立Device Group的页面，如下图所示。由图我们可以看到，建立一个分组只需要输入Group Name即可，其它的内容可以等分组建立好之后再进行修改。从上至下，分别是Group Name，Description，Owner，Sharing，Parent Device Group以及Devices。为了更清楚了了解这些项的作用，我们分别进行叙述。Group Name和Description是分组的基本信息。为了清晰的表明分组的信息，建议进行填写Description。New Devi

10、ce Group页面Owner用于设置分组的所有者，Sharing用于设置分组的可见模式，设置为Public时是全局可见，设置为Private时仅有所有者和管理员可见。Parent Device Group用于设置分组的Parent Group。Devices用于指定分组中的设备。分组有两种类型，一种是静态分组，一种是动态分组。Device Selector界面静态分组在上图中，分组默认为静态分组，在此种模式下，我们可以从Devices Selector中选择对应的设备添加到分组中。添加时可以使用过滤器对设备名称或者IP地址进行过滤。静态分组的优点是添加了设备之后，分组不会发生变化。同时，这也

11、是静态分组的缺点，如果企业有大量的Device，而且年增长量也很大，同时，拥有严格的命名规范，那么使用静态分组就会浪费大量的时间以及人力。如果使用NAS的企业确实是这种情况，那么就需要了解一下动态分组的概念。动态分组动态分组是根据设备的固有属性来进行分组的一种分组方式，能够通过一系列复杂的条件对设备进行分组。点击Devices中的“Use filter to define a dynamic device set（dynamic group）”切换分组为动态分组，如下图所示：切换了之后，我们就可以在条件中添加不同的搜索条件，并通过调整条件之间的关系来确定我们分组的方式。点击“Add Crite

12、ria”列表，并选择预定的条件作为搜索条件并设置，这里可以使用通配符来实现Device Group不同的要求。下图举例说明了搜索条件的使用方法：动态分组的一个例子其中条件A是Host Name要包含 HKDS-，条件B是要包含-HKDYS-，两者关系为or，即只要A和B其中一个成立，那么就属于此分组。通过Limit search by device group可以指定此分组的条件对哪些分组使用，如果不设置，默认对Inventory有效。建立Parent Group如果细心一些，可以发现在菜单上还有一种分组类型，就是Parent Group（如右图所示），这种分组是为了实现分层而存在的。和Dev

13、ice Group不同的是，Parent Group只能容纳Device Group，而不能容纳设备，这是这两种分组最基本的区别。可以通过菜单Devices Groups查看当前的分组情况（其中包括Parent Group），如上图。Parent Group的使用很简单，建立的过程也十分简单，通过Devices New Parent Group来建立一个新的Parent Group，如下图所示：New Parent Group页面和Device Group一样，Parent Group的必填项也是Group Name。确定之后，填写简单的说明，即可设置Parent Group在层次中的位置了通

14、过设置它的Parent Group和Child Group来确定。这个过程很简单，我这里就不再详述了。下图是当前NAS中的分组情况：当前系统中的分组状态Task（任务）在NAS中，任务被定义为NAS同Device所进行的一系列交互行为，也就是说，在NAS中，基本上所有的操作都可以转换成为任务运行。NAS中，任务可以立即执行，也可以计划执行。默认登录后，Home页面会显示当前账户最近执行任务的相关信息，也通过菜单Tasks My Tasks即可进入（如右图所示）。My Tasks页面显示最近执行任务的时间、结果等信息，如下图所示：执行任务为了让大家理解清楚，我们下面举例说明任务的两种执行方式。立

15、即执行我们可以点击My Tasks页面中的“Generate Summary Reports”任务，点击进入任务信息页面：从图中我们可以看到，任务当前状态为Pending。这里需要说明一下，Task Status里的进度条只是一个GIF图片，不代表任务真正在执行。从图中的进度条的状态，也可以验证这个问题。如果需要立即运行，可以点击右上角的来运行。“Generate Summary Reports”任务的详细信息任务运行结束之后，我们可以点击任务信息下方的和查看任务的运行情况，如下图所示：从上面可以看出，本次任务执行成功。如果任务失败，那么可以查看Task History来查找任务失败的原因。在

16、前几章中，我们已经创建并运行过Discover Driver和Import的任务，大家可以回想一下。同时为了加深对任务的理解，下面我们就动手创建一系列任务并执行。由于当前NAS中仍然有一些未正常纳管的Device，我们需要重新对它们Discover Driver。通过菜单Tasks Discover Driver创建，然后如下设置：1.设置Task Name为Discover Device For Temporary Device Group2.选择Applies to为Single Group，并选择Temporary Device Group3.填写Comments4.如果需要详细的交互信

17、息，可以点选Task Options中的Store complete device session log。不过需要注意的是，如果对操作于大量设备的Task使用这个选项，会导致数据量暴增，不建议勾选。5.其它内容不变任务保存后，会立即执行在任务执行的过程中，如果设备数量比较多，那么管理员就可以去忙别的事情了。计划执行由于各种原因，一些变更或者任务总需要在夜深人静的时候进行，这里就需要使用到计划了。其实不光是上述的内容，一些需要频繁执行的任务也可以设置计划执行。下面就简单介绍一下计划的使用。计划的部分也在任务的设置中，和计划相关的有以下几部分：1.任务的开始日期和时间。如果计划为Daily，那么

18、任务下次运行时间是在次日的此时。2.任务的预估运行时间。默认为60分钟，如果任务设定为5分钟一次，那么下次运行的时间为60分钟之后。在预估运行时间内，任务不会重复执行。3.任务的执行计划。可以设置重复次数，重试间隔，周期及结束日期等信息。设置完毕后，任务就会按照计划自动运行，管理员此时就可以将重心放在别的工作上了。Multi-Task Project（工作计划）在NAS中除了Task的概念，还有Multi-Task Project，能够定义一系列的任务顺序执行。工作计划的概念能够减轻网络管理员日常变更的负担。从概念上来说，可以将工作计划看成是顺序的任务。下面我们来建立一个Multi-Task

19、Project。 New Multi-Task Project进入到工作计划的创建页面，如下图所示：由图可以看出，Multi-Task Project和Task的设置基本一致，不同的是Task Options中有一个Sub Tasks项，点击添加对应的Task时会跳转到相应的页面，保存后返回。下图是我添加了一个Discover Driver的任务的情况：Sub Task的添加和建立Device Group的条件添加方式类似，大家可以尝试一下，其它设置和Task一致，这里我就不再详述。需要注意的是不能为Sub Task单独设置执行的时间，它们是按顺序完成的，如果一个任务Pending或者Paus

20、e，那么后续Sub Task都会Pending。策略NAS中的策略管理能够检测指定的网络设备是否符合指定的标准或者最佳实践。通过NAS自带或者下载的策略，能够检测当前设备的配置等信息是否符合推荐的设置。在熟悉了策略的使用之后，我们可以根据企业的情况来指定符合自身的策略集，来提升网络设备的安全性、稳定性以及可用性等。通过菜单Policies Policy List来访问策略管理器，策略管理器的界面如下图所示：一条策略由多个规则组成，点击即可在策略内容中的Policy Rules中看到规则集。测试策略策略的测试十分简单，只需要点击对应策略Actions中即可，随后选择需要检测设备的范围。这里我们运

21、行策略CIS Cisco IOS Level 1，并随意添加一台设备。添加完成后，点击Perform Test即可运行，结果将在新窗口中显示。下面我们再测试策略Ensure Logging。在运行之前，我们先看一下这条策略到底做了些什么。策略的内容Ensure Logging策略内容点击Ensure Logging策略的，进入策略内容页面。我们可以看到，这个策略是由一条规则构成，可以继续点击规则Ensure Syslog Logging Foundry的连接，查看规则内容。规则类型为配置检测，适用范围为全部设备，重要性为中，具体的条件为：配置文本中 包含 “logging 任意字符”可以看出，

22、这条规则是检测网络设备的配置中，是否已经配置logging服务器。如果配置中配置了logging，则结果就是成功，如果没有，则会返回失败。下面我们对任意设备执行此策略，查看执行的结果出错了，这是因为NAS没有对应于10.2.0.2这台设备的驱动，因此无法正确纳管。Ensure Syslog Logging Foundry规则内容Ensure Logging策略在10.2.0.2上的执行结果在我们选择需要运行策略的网络设备时，需要注意网络设备是否正确纳管。一般而言，正确纳管的网络设备在Device Selector中都能够显示出Host Name，无法显示Host Name的设备一定是纳管出现问

23、题的，如下图所示。正确纳管的网络设备一定是能够显示出Host Name的这里我们再选择10.2.0.122进行测试，看看测试结果如何。10.2.0.122的Ensure Logging的测试结果：合规策略的运行到这里就结束了，之后学习策略的创建。策略的创建我们可以通过菜单Policies New Policy来创建一个策略。创建策略也十分简单，相对而言，创建规则更为重要。创建策略的页面如下所示，我们只需要填写策略名称、说明、以及策略适用的范围（Scope），策略的其它信息都可以不填写。如果这里你不选择策略适用的范围，那么默认此策略就无法执行，因为它不能运行于任何设备上。策略创建之后，就需要建立

24、规则了，点击Policy Rules中的New Rule即可。建立规则之前，需要思考如下问题：1.策略类型：是检测配置，进行诊断，还是检查安装的软件？2.策略适用于哪些厂商的设备？对具体的类型有要求吗？3.要检测的是什么内容？应该在什么地方出现？4.如果检测失败，那么对应的消息是什么级别？5.有例外情况吗？6.是否可以自动修复？如何自动修复？以上内容思考完毕后，就可以填写对应的规则信息了。规则的创建页面下图的这个规则是用于检测是否关闭了网络设备的finger服务。这条规则作用于Cisco交换机等网络设备，检测配置中是否不包含以“This will always fail”开头的一行内容，如果没

25、有检测到，则检测结果为成功。检测是否关闭了finger服务的规则如果对一条规则感觉不满意，可以在Policy Rules中进行增删改，十分方便。策略的导入导出通过使用策略的导入导出功能可以在NAS之间进行策略交换，进行策略的更新。相对来说，策略的更新更为重要，我们可以从TON上下载新的策略，并导入至NAS中，保持我们的最佳实践策略集是最新的，以保证企业的网络安全状况跟上IT发展的步伐。 Import/Export Policies进入策略导入导出页面，如下图所示：由上图可以看到，导入导出的功能很简单，导出的文件为后缀名exp的XML文件，内容如下图所示：运行策略我们前面已经学习了如何查看策略内

26、容，如何创建策略。下面就要制定任务来运行策略了。点击菜单中的Policies New Policy Task Check Policy Compliance建立一个新的策略任务。相关信息的填写很简单，只需要选择设备，并选择任务的类型即可。不过遗憾的是，目前还没有方法计划执行具体的策略，但是可以手动来执行。策略任务运行的结果如下图所示，可以点击查看违反策略的情况。在策略任务运行之后，我们可以在Policies Policy Activity中查看策略任务的运行情况，也可以在Task Recent Tasks中查看任务的运行情况。在Policy Activity中查看运行情况在Recent Tas

27、ks中查看运行情况另外一种方式就是通过Policies Test Policies Compliance来进行，遗憾的是不能计划执行。但是这种方式可以指定具体的策略。下图中我们指定运行Ensure Logging和Ensure Passwords，在10.2.0.135上运行。选择完毕之后，点击Perform Test执行。测试指定的策略结果会在新窗口中弹出，如下图，可以看到，该设备符合以上策略的规则。测试结果查看设备的合规情况在制定许多策略之后，我们会定期的进行合规检查（即策略任务）。我们只需要通过菜单Policies Policy就可以看到设备的合规情况。如下图所示，表中列出了Invent

28、ory组中所有设备的合规情况。这里的合规情况是指是否符合对应的配置策略，如果全部符合，则合规情况为Yes，否则为No。而Unknown则表示设备可能有问题，需要检查是否被成功纳管等。设备合规情况软件级别待定报表NAS默认提供了很多报表，同时也能定制一些简单的报表。通过菜单Reports我们可以看到，在前几项中，是基本的搜索工具，User&System Reports是系统的相关报表，Compliance Center是合规相关的报表，之后是系统中设备的状态，合规检查结果等其它网管可能需要的报表。由于报表种类比较多样，所以下面我们挨个来了解报表内容。用户&系统报表User&System Reports中，System Reports集合了多数的系统信息，包括合规检查，系统状态等，可以看作是其他类报表的一个目录。而上方的User Reports，我们由提示也可以看出，是用于保存日常的搜索。我们可以在指定搜索条件之后，保存搜索，以后就可以直接点击查看了。System Reports下面我们定制一个搜索，并保存。搜索内容为Host Name中包含-HKDYS-的设备。在搜索结果页面中，在Save search as a user report named处填写定制的搜索名称，然后保存即可。OK，成功保存搜索并加入用户报表了。至于系统报表我这里就不再详述了，后文会陆续提到。