OPERACIÓN y MANTENIMIENTO DEL SISTEMA DE SEGURIDAD XI—eSight: Administración de IPSec VPN
Hola a todos.
Esta publicación es la número 11 de 11 del tema y final del segmento de eSight.
A continuación, el acceso a las 10 publicaciones anteriores:
https://forum.huawei.com/enterprise/es/post/597886?type=forum&fid=100233&threadType=0
Escenarios de Aplicación
Funciones
· eSight provee un servicio de administración para IPSec VPN para ayudar a monitorear estos servicios y localizar fallas.
· El protocolo de seguridad de internet (IPSec) es n estándar de seguridad de la red que entrega servicios de seguridad de forma transparente para la comunicación en las redes IP y protege las comunicación TCP/IP de ser interceptadas y falsificadas para defender de manera efectiva contra los ataques a la red. Tiene la ventaja de ser flexible, seguro y eficiente, además de ser escalable, lo que favorece a las empresas.
· Una VPN de IPSec provee poderosas funciones perto tiene un gran numero de dispositivos dispersos. Los dispositivos son difíciles de administrar, y sus fallas no pueden ser localizadas y rectificada d emanera pronta. Las empresas encaran los siguientes retos:
§ La estructura lógica de una VPN IPSec no se puede visualizar.
§ El estado operativo y el desempeño de IPSec VPN son difíciles de monitorear
§ Las fallas en os servicios de IPSec VPN no se pueden ubicar de manera pronta.
· Para abordar estos retos, eSight provee un servicio de administración para IPSec VPN para habilitar la administración unificada de los recursos.
§ La topología de IPSec usualmente se despliega en forma de una estructura lógica.
§ La función de monitoreo de IPSec VPN monitorea el estado, tráfico y tendencias de los túneles de IPSec.
§ El servicio de diagnóstico ayuda a las empresas a ubicar y corregir fallas.
VPN Punto a Punto
VPN Punto Multi Punto
Operaciones Básicas
Vista en Conjunto de IPSec
Servicio | Funciones |
Descubrimiento | · Agregar un dispositivo: agrega un nuevo dispositivo al NMS para asegurar que el dispositivo y el NMS pueden comunicarse. · Descubrir un Servicio: descubre servicios VPN implementados en el dispositivo hacia el NMS. · Ver un Servicio: el NMS monitorea el estado operativo y el estado de las alarmas de los servicios en la lista de servicios. |
Monitoreo | · Topología del Servicio: provee visibilidad hacia el estado de los servicios y las alarmas y la operación de estos servicios. · Administración del Desempeño: monitorea los índices de desempeño de los servicios de IPSec VPN y despliega las tendencias de desempeño en modo gráfico. Se puede acceder a la página de administración de desempeño desde la vista de la Interfaz de Servicio. · Servicio de Alarmas: despliega las alarmas desde acuerdo a la severidad, la más alta se despliega hacia arriba. |
Resolución de Problemas | · Diagnóstico Rápido: después de que ocurre una falla en el servicio, se puede usar el diagnóstico rápido para identificar de manera rápida la causa de la falla y localizarla. La página de diagnóstico rápido puede accederse desde la vista de Interfaz de Servicio. |
Descubrimiento Automático de los Servicios
· Sincronización del Dispositivo: eSigth sincroniza las configuraciones de VPN de cada dispositivo.
· Servicio de Descubrimiento: eSigth descubre servicios con base en la configuración de los dispositivos sincronizados y considera serviciso descubiertos como nuevos o eliminados.
Lista de Consulta de los Servicios
· Estado del servicio: “Activado” significa que este servicio tráfico IPSec de servicio. “Desactivado” significa que este servicio no tiene tráfico IPSec de Servicio.
· Estado de las Alarmas: se despliegan las alarmas con la severidad más alta. Actualmente las siguientes alarmas estadísticas se muestran en : link-up/down y alarmas de los dispositivos fuera de línea.
Creando Un servicio
· En el árbol de navegación, se selecciona Service Mangament>Service Group
· Se da clic en Create en la barra de herramientas.
· En la página Service Group. Dar clic en Group Name para los servicios los cuales serán creados.
· Seleccionar los servicios a ser desplegados dentro de los dispositivos, y dar clic en Deploy en la barra de herramientas.
Diagnóstico Rápido
· Se puede usar la función de diagnóstico rápifo para consultar las causas de la falla en la VPN “”Failed” inidica una falla en la prueba.
· eSight entrega los siguientes comandos para el servicio de diagnóstico en los dispositivos:
§ diagnose ipsec peer [peer-address]
§ diagnose ipsec interface “interface name”
Información Sobre el Servicio de Túnel
· se puede consultar la información detallada del SA acerca de los túneles de IPSec asociados. Esta información incluye el modo de negociación, modo de encriptación tráfico entrante y saliente e información de la encriptación del flujo de datos.
Información del Histórico de los Servicios de Túnel
· Puedes consultar la información del histórico del túnel para ver los registros acerca del túnel IPSec, como el establecimiento, eliminación e interrupción.
· Si durante el servicio de monitoreo se detecta que un servicio IPSec está desactivado, se pueden consultar los históricos del túnel para checar si el servicio ha sido activado alguna vez. Si se detecta que el servicio nunca ha activado, se usa la función de diagnóstico para checar si el servicio está configurado de manera adecuada.
· Se pueden consultar los históricos de los registros bajo el esquema reglas de interrupción del servicio
Servicio de Recolección de Desempeño
· Después de que los servicios se descubren de manera automática, se puede recolectar la información del desempeño acerca de los servicios IPSec activados. Las estadísticas incluyen el número de paquetes enviados y recibidos a través de los túneles de IPSec, las frecuencias en las cuales los paquetes se envían y se reciben a través de los túneles de IPSec, y la taza de perdida en ambos sentidos.
· Las características del servicio son recolectadas como una referencia para la optimización de la red y para capacidad de expansión.
Servicio de Despliegue de Topología
· Cuanto más alto sea el servicio de monitoreo d las interfaces del usuario (UI), se puede consultar el estado de los servicios en la topología. El servicio de estado se despliega de la siguiente manera:
§ Si un servicio tiene alarmas, el color indica la severidad de la alarma.
Si un servicio no tiene ninguna alarma, el estado del enlace de servicio se despliega, independientemente de que esté o no activado
Servicio de Recolección de Desempeño
· La vista en conjunto de IPSec VPN provee visibilidad hacia todos los servicios de IPSec VPN, incluyendo los números de túnel de IPSec, la taza de paquetes enviados y recibidos así como la taza de pérdida. También se puede consultar el número de usuarios que acceden vía remota.
Finaliza el tema y el segmento. Recuerda que todos los temas para el examen H12 723 los encontrarás en mi perfil. Recuerda compartir, comentar y dejar tu
