Beiträge

Aruba NetEdit – Grafische Geräteorchestrierung für ArubaOS-CX

Zusammen mit den ArubaOS-CX Switches bietet Aruba mit NetEdit eine Software an, die die klassische CLI-basierte Switchkonfiguration weiterentwickelt. Noch immer ist diese Art der Verwaltung für die meisten professionellen Netzwerk Admins Mittel der Wahl. Ein wichtiger Kritikpunkt am CLI ist jedoch die mangelnde Skalierbarkeit, welche sich vor allem in größeren Switchumgebungen nachteilig auswirkt. Das Ausrollen von Änderungen auf einer großen Anzahl Switches kann hierdurch zu einer langwierigen und fehleranfälligen Angelegenheit werden. Hier setzt NetEdit an, indem es ermöglicht, Konfigurationen auf Switches parallel und entlang eines standardisierten Workflows vorzunehmen.

Es lassen sich Konfigurationsregeln festlegen, Switches anhand von Topologiedarstellungen beobachten, ausgerollte Konfigurationen automatisierten Tests unterziehen, damit Sie eine korrekte Funktion sicher stellen können. Darüber hinaus glänzt NetEdit mit vielen weiteren Features. Und bei all diesen Funktionen und der modernen grafischen Benutzeroberfläche schafft es Aruba dennoch ein wenig von dem guten alten CLI-Gefühl aufrecht zu erhalten. Wir wollen euch Aruba NetEdit in diesem Blogbeitrag vorstellen und auf die wesentlichen Features des Programms eingehen.

NetEdit Geräteverwaltung

Die von NetEdit verwalteten Geräte werden in der Benutzeroberfläche entweder tabellarisch oder in einer grafischen Darstellung der physikalischen Netzwerktopologie angezeigt.

Aruba NetEdit Topologie

Abbildung 1: Physikalische Netzwerktopologie in Aruba NetEdit

Abbildung 1 stellt die Topologieansicht mit zwei Switches dar. Die Ansichten liefern neben der reinen Anzeige eine Reihe an Filterfunktionen, um nur bestimmte Geräte anzeigen zu lassen. Den Filter können Sie dafür mit logischen Ausdrücken oder anhand grafisch dargestellter Auswahlmöglichkeiten beschreiben. Die von NetEdit verwalteten Geräte können Sie entweder einzeln hinzufügen oder sogar einen Netzabschnitt bestimmen, welcher von NetEdit in regelmäßigen Abständen durchsucht wird. In dem Netzabschnitt gefundenen Geräte werden so automatisch hinzugefügt. So behalten Sie immer den Überblick über Ihr Netzwerk. Die Stärken der Topologiedarstellung werden insbesondere in sehr großen Netzwerkumgebungen deutlich. Tabellarische Darstellungen bilden im Gegensatz zu grafischen Darstellungen häufig nur Teilinformationen ab. Einfache Zusammenhänge wie Clusterzugehörigkeiten oder nicht vorgesehene Unterschiede in der Konfiguration sind durch die Linienführung und farbliche Gestaltung in der topologischen Darstellung einfacher zu erfassen.

Häufig genutzte Teilabschnitte des Netzwerks können Sie über die Filterfunktion abspeichern und so in wenigen Schritten exklusiv im Fenster darstellen. Den Filter beschreiben Sie mithilfe von Key-Value-Paaren, welche Sie beliebig mit den Operatoren “AND”, “OR” und “NOT” verketten können. Ein Filter für alle Geräte aus dem Netzwerk 10.1.1.0/24 würde ausgedrückt als “ip:10.1.1.*”. Das * ist eine sogenannte Wildcard und steht für eine nicht definierte Anzahl beliebiger Zeichen. Neben der IP-Adresse existieren zahlreiche weitere Label, auf Basis derer das Netzwerk nach konkreten Switches durchsucht werden kann.

NetEdit Gerätekonfiguration

Mit Netedit sind Sie in der Lage, nicht nur Gerätekonfigurationen für einzelne Switches zu tätigen, sondern direkt für mehrere Geräte gleichzeitig oder gar den kompletten Netzabschnitt.

Abbildung 2: Editor von Aruba NetEdit

Der dafür zur Verfügung gestellte Editor befindet sich mit in der Browseroberfläche, wie in Abbildung 2 zu sehen ist. Dieser stellt Ihnen ganz im Stile der CLI-Konfiguration eine Befehlsvervollständigung zur Verfügung. Darüber hinaus schlägt er Ihnen auch alle weiteren Befehlsmöglichkeiten vor und markiert eventuelle Fehler. Sollten Sie mehr als nur einen Switch konfigurieren wollen, bietet der Editor ebenso die Möglichkeit, die eingegebenen Wert pro Switch zu variieren. Werte, bei denen eine solche Möglichkeit besteht, highlightet der Editor, um Ihnen den Umgang mit diesem Feature zu erleichtern. Des Weiteren werden im sogenannten Insights-Fenster kontextbasierte Informationen zu den einzelnen Konfigurationsmöglichkeiten dargestellt. Konfigurieren Sie z.B Einstellungen für ein Interface, werden im Insights-Fenster per LLDP Informationen zu den am Interface angeschlossenen Geräten dargestellt.

NetEdit Gerätekonformität

Mithilfe der Konformitätskriterien, die Sie mit NetEdit definieren können, vereinfacht NetEdit die Pflege einer homogenen Konfigurationsstruktur. So können Sie beispielsweise Mindestanforderungen für getätigte Konfigurationen schaffen, welche Sie vor dem Ausrollen einer neuen Konfiguration automatisch überprüfen lassen. Alle von NetEdit verwalteten Switches werden auf Basis dieser Kriterien beobachtet. Erfüllt ein Switch ein Kriterium nicht, alarmiert Sie NetEdit. Durch homogene Konfigurationsstrukturen behalten Sie einfacher den Überblick über ihre Switch-Konfigurationen. Das kommt besonders dann zum Tragen, wenn Ihre Switches durch mehr als eine Person verwaltet werden. Die daraus folgende Zeitersparnis wirkt sich besonders positiv während des Troubleshootings aus.

NetEdit Konfigurationsvalidierung

Nachdem Sie eine Konfiguration getätigt haben, kann NetEdit das Netz durch automatisierte Tests überprüfen. So sind Sie in der Lage, mithilfe von NetEdit sicherzustellen, dass durch die veränderte Konfiguration noch alle Funktionen im Netzwerk verfügbar sind.

Aruba NetEdit Dashboard ArubaOS-CX

Abbildung 3: Plandetails in Aruba NetEdit

Abbildung 3 zeigt das Kontextmenü eines Plans, indem Sie die Validierungsergebnisse betrachten können und Aktionen wie Ausrollen, rückgängig Machen und Abschließen des Plans tätigen können. Die Konfigurationsvalidierung erfolgt in dem Zusammenhang, noch bevor die Konfiguration komplett ausgerollt wurde. So ist es möglich, ein Troubleshooting zu betreiben, noch bevor es zu den eigentlichen Problemen kommt. Als Validierung lassen sich beliebige Befehle auf allen ssh-fähigen Geräten ausführen. Auf diese Art können Shellskripte auf Server ausgeführt werden oder beispielsweise Routingstrecken überprüft werden. Die Validierungen werden jeweils vor und nach dem Ausrollen der Konfigurationen ausgeführt, sodass Sie im Anschluss die jeweiligen Ausgabewerte miteinander vergleichen können.

 

 

NetEdit arbeitet neben den Konfigurationsfeatures Hand in Hand mit Aruba NAE und ist so in der Lage, auf Basis von Python-Skripten System- und Netzwerkdaten zu sammeln, auf deren Basis es automatisierte Fehlerbehebungen ausführen kann. Entstehen Fehlersituation kann NetEdit auf Basis der jeweiligen Fehler den Operator mittels Tools wie ServiceNow oder Slack informieren.

NetEdit wird von Aruba in Form einer virtuellen Maschine angeboten, welche bis zu einer Zahl von 25 verwalteten Geräten mit vollem Funktionsumfang kostenlos nutzbar ist. Bei mehr als 25 verwalteten Geräte fallen pro Gerät Kosten an.

Haben wir Ihr Interesse an Aruba NetEdit wecken können? Unser Team freut sich schon drauf, Sie bei Ihren Projekten mit ArubaOS-CX und NetEdit unterstützen zu können. NetEdit ist unter anderem Bestandteil unserer ArubaOS-CX Schulungen. Alle aktuellen Schulungen finden Sie hier.

Arubas offizielles Datenblatt zu NetEdit finden Sie hier.

 

Continuous Monitoring mit Aruba UXI Sensoren

Continuous Monitoring

UXI Sensor

Aruba UXI Sensor

Nahezu jedes Unternehmen nutzt heutzutage Computerarbeitsplätze und kommt dabei nicht mehr um eine belastbare und zuverlässige Netzwerkanbindung der Computer und Endgeräte herum. Im Arbeitsalltag kommen dabei eine Vielzahl an Applikationen und Diensten zum Einsatz für deren Nutzung die Firmennetzwerke in der Regel dimensioniert sind. Die Verfügbarkeit der Verbindung zu einzelnen Anwendungen wird in dem Kontext zunehmend unternehmenskritischer. Dadurch erhält diese Verfügbarkeit einen immer größer werdenden Stellenwert. Im März 2018 kaufte Aruba die Firma und das Knowhow von Cape Networks auf. Cape Networks ist ein Startup-Unternehmen, welches Sensoren zum Überwachen von kabellosen und kabelgebunden Netzwerken produziert. Aruba vermarktet diese seitdem als Aruba UXI Sensoren.

 

Aruba UXI Sensoren

Mit den Aruba User Experience Insight Sensoren können sowohl kabelgebundene als auch kabellose Netzwerke fortlaufend überwacht und auf eventuelle Engpässe und Fehlfunktionen kontrolliert werden. Der Fokus liegt bei den Sensoren nicht nur auf dem Netzwerk, sondern auch konkret auf einzelnen Anwendungen aus Sicht des Clients. Durch die Kombination aus infrastruktureller Perspektive und Nutzerperspektive differenzieren sich die Aruba UXI Sensoren von klassischen Netzwerkmonitoring-Anwendungen. Die Sensoren testen im Einsatz alle Aspekte der Verbindung zu Anwendungen und Diensten sowohl ins eigene Datacenter als auch in die Cloud.

Aruba User Experience Insight Sensoren werden an einem beliebigen Userport ins kabelgebundene Netzwerk oder in der Nähe der Computerarbeitsplätze ins drahtlose Netzwerk eingebunden. Sie benötigen keine komplizierte Konfiguration. Alle gesammelten Daten werden über die Cloud in einem intuitiven Dashboard zur Auswertung und Inspektion zur Verfügung gestellt.

Dashbaord

Dashbaord eines Aruba UXI Sensors

Über die Dashboard-Webseite können sowohl die zu untersuchenden Applikationen und Dienste als auch die durchzuführenden Tests konfiguriert werden. Für eine Großzahl an populären Applikationen stehen dafür bereits Templates mit Adressen sowie Testmethoden zur Verfügung. Sie können aber auch beliebige Anwendungen als Test konfigurieren.

Test

App-Test eines Aruba UXI Sensors

Für die Benachrichtigung im Fehlerfall können Sie die Dienste E-Mail, ServiceNow und Slack sowie beliebige Webhooks verwenden. Somit lassen sich die Sensoren in bestehende Monitoring-Umgebungen problemlos integrieren. Neben der Benachrichtigung im Fehlerfall können die UXI Sensoren ebenso wöchentliche Reports erstellen. Mit der Hilfe dieser Reports ist es möglich Netzwerkbelastung und Applikationsverfügbarkeit sowie weitere Parameter zu beobachten.

Report

Wöchentlicher Netzwerkreport eines Aruba UXI Sensors.

Die von Aruba angebotenen UXI Sensoren sind ein praktisches Tool zum Überwachen von Netzwerken in unternehmenskritischen Bereichen. Sie sind leicht zu konfigurieren, benötigen wenig Pflege und liefern aufschlussreiche Statistiken über Netzwerke aus Nutzersicht.

Mehr Informationen zu Aruba UXI Sensoren finden Sie unter: https://www.arubanetworks.com/products/networking/analytics-and-assurance/user-experience-insight-sensors/

Schulungen zum Thema Aruba WLAN finden Sie unter: https://www.ingentive.net/schulungen/alle-schulungen/aruba-wlan/

Role Based Access Control mit Aruba WLAN

Role Based Access Control (RBAC) ist tief in Aruba WLAN integriert. Es ist nicht möglich, ein Aruba WLAN ohne RBAC zu nutzen. Jede SSID hat eine default Rolle, die ein Benutzer zugewiesen bekommt, sobald er sich verbindet.

Rollen im Aruba WLAN

Eine Rolle im Aruba WLAN kann mehrere Eigenschaften enthalten. Dazu gehören:

  • Firewall Regeln
  • VLAN Zuweisung
  • Bandbreitenbeschränkungen
  • Einstellungen zu Captive Portals

Durch die in einem Aruba WLAN Controller integrierte Firewall können hiermit unterschiedliche Beschränkungen für Benutzer im gleichen WLAN durchgesetzt werden. Das ist möglich, da die Firewall in den Traffic eingreift, bevor er die WLAN Infrastruktur verlässt. Die Filterung findet damit direkt am Netzzugangspunkt statt.

Konfiguration von Access Control Rollen im Aruba Controller

Rollen werden auf dem Aruba Controller unter Configuration -> Roles & Policies -> Roles angelegt.

Controller Einstellungen Role Based Access Control mit Aruba WLAN

Mit einem Klick auf das blaue “Plus” können Sie  eine neue Rolle hinzugefügen. Dabei sollten Sie einen “sprechenden” Name wählen:

Rolleneinstellungen Role Based Access Control mit Aruba WLAN

Danach kann Sie die neuangelegte Rolle aus der Liste der Rollen ausgewählen, um sich weitere Details anzeigen zu lassen. Dabei ist es wichtig, den sogenannten Advanced View zu nutzen.

Rolleneinstellungen Role Based Access Control mit Aruba WLAN

Nur so werden alle Details zu den Rollen angezeigt.

Rolleneinstellungen

Hier können Sie zum Beispiel Firewall Regeln oder Bandbreitenlimitierungen konfigurieren. Damit können Sie Zugangsbeschränkungen für die WLAN Benutzer granular definieren. Eine Unterscheidung von Usern im selben VLAN ist ebenfalls möglich.

Zuweisen von Rollen

Rollen können auf verschiedene Weise zugewiesen werden. Zunächst besteht die Möglichkeit, die Rollen von einem RADIUS Server mittels eines RADIUS Attributes zuzuweisen. Das ist insbesondere in Verbindung mit Aruba ClearPass verbreitet.

Eine weitere Möglichkeit ist die Verwendung von Server Rules. Diese werden häufig in Verbindung mit LDAP Servern genutzt und können anhand verschiedener Rückgabewerte des LDAP Servers Rollen zuweisen. So können Sie zum Beispiel das Attribut memberOf nutzen um Rollen zuzuweisen.

Server Regeleinstellungen Role Based Access Control mit Aruba WLAN