Не всё то сломано, что лежит

В первой части статьи мы рассказали о нашей идеологии в инструментарии для поддержки и конфигурирования сети. После детального анализа требуемых нами решений мы приступили к реализации первых шагов.

И тут же в начале разработки столкнулись с необходимостью грамотно распределять нагрузку между системой и пользователем. Например, как наполнять инвентарную базу?

• Полностью автоматически — но мы хотим дать возможность детального сбора информации, а это требует заранее знать креденталы устройств... Перебор доступных системе креденталов? Сделано, работает. 
• А если у нас соблюдены требования ФСТЕК и все креды уникальные? Вручную выбрать нужный кред после сканирования. Сделано, работает. 
• А если я не индюк — знаю, как мне надо? Тогда сканирование предполагает наличие креденталов по умолчанию. И если перебор доступных кредов не завершился успешной авторизацией, то та часть устройств, к которым креды не подошли, просто останутся с базовой информацией при ответе на пинг и из ARP, и той, что была получена от их соседей, которые о них что-то да знают.

Именно так родился распределённый механизм наполнения базы. Не нужна ручная работа — и не надо. Нужна — милости просим, всё удобно. Можно сканить группами, задавать креденталы для каждой пачки устройств или подсети, или отдельно для всего. Ну или оставить как есть с базовой информацией.

What now?

Теперь у нас есть информативная (с возможностью автообновления данных) база, группировка, назначение тегов, экспорт данных, конфигурация, состояние. Ещё можно пингануть сразу по куче портов одним кликом, только не забыть задать для этого порты в админке. Надо идти дальше и развивать имеющиеся возможности, оборачивая их в новые, нужные инструменты. Но с чего начать?

С топологии конечно же, решили мы. Всегда хотелось наглядный визуализатор, не ограниченный протоколами и вендорами. Сказано — сделано!

Наше ПО умеет строить карты топологий L2 и L3 из заданного набора устройств, группы или по тегу. Можно:

• Посмотреть фактическую маршрутизацию трафика. Построить кратчайшие и\или наиболее эффективные пути для него.
• Посмотреть статистику портов и устройств в целом, сходить на веб-морду девайса или поработать в Cli.
• Добавить шаблон устройства с заданными параметрами, которое ещё не попало в инвентарную базу. Только предварительно запланировать модернизацию\модификацию\расширение сети или её участков, оценив возможные затыки или качество реализации. А потом уже просто просканировать шаблоны по факту введения их в эксплуатацию.
• «Гравитация» — не охота вручную расставлять устройства по карте? Не беда, система сама раскидает их по мановению кнопочки, причём удобно и логично.

— Это же сетевой двойник получается можно сделать?

— Конечно!

А ещё у нас есть мощный и умный экспортер карт в visio, со всеми данными по девайсу, чтобы порадовать вашего внутреннего ИБ-шника. Или можно просто приложить карту к внешней отчётности.

— Но ведь это всё можно закрыть парой совершенно бесплатных инструментов...

— Можно, но не всё

Ключевой для нас аспект — беспрецедентная поддержка типов и вендоров устройств. Нам даже не надо заранее знать, что вы хотите добавить в базу. Система найдёт все совместимые с ней протоколы, попросит креденталы, и соберёт максимум информации с устройства и\или его соседей. И позволит добавить любые дополнительные сведения через редактор драйвера, будь то специфический в рамках системы вендор, или общий драйвер для базовой поддержки всего и вся. Просто пишем нужную к выполнению команду, и при желании regex фильтр выдачи.

Вуаля.

Хотите расширенную поддержку для большей информативности собираемых данных, но не хотите заниматься этим самостоятельно? Пишете нам в поддержку и получаете расширение сроком до 7 рабочих дней. Пока у вас есть лицензия)

А вот сводка о преимуществах нашего решения с учётом вышесказанного:

А ещё так можете?

Да, ведь это только начало. Инструментарий включает в себя автоматизатор задач Runbook для сканирования, обновления, выполнения скриптов (просто набор команд построчно, мы не хотим делать из вас программистов), как своих, так и Ansible, причём при желании даже параллельно, там уж сколько железа вы дадите системе, хоть она и не требовательная.

А ещё у нас есть:

• Центр Управления Расследованиями для быстрого поиска и конкретизации проблематики и её источников, с удобным визуализатором SYSLOG событий по типам, с фильтрами и поиском.
• Центр безопасности — для расправы мониторинга действий пользователей и их взаимодействия с устройствами, почти как ЦУР, но с блекджеком и расширенными полномочиями соответствующего пользователя, который имеет доступ к этому модулю. 
• Интеграция с Zabbix, если вам мало того, что и так мониторит наша система. 
• ИИ-помощник для анализа ротирующихся в системе данных, для ускорения поиска паттернов или заданной конкретики, с подсказками по работе в системе, или по конкретному устройству\конфигу\событию в логе.

И ещё некоторое количество удобных и крайне полезных в ежедневном и периодическом труде штук, чтобы разгрузить вашу рутину и упростить процессы, которые можно и нужно делать доступнее и быстрее. И всё это в одном месте, с полным контролем над всеми процессами и пользователями, гибкой ролевой моделью и мощным API с документацией и сопровождением.

Но в деталях мы расскажем об этом в третьей части статьи, а пока можно ознакомиться с продуктом поближе вот тут UNICNET