Dashboard 2.0


1 . Dashboard főablaka

Bejelentkezést követően a Dashboard 2.0 kezdő oldalán az intézmény összefoglaló adatai, beágyazott sebességteszt és a KIFÜ által kihelyezett végponti Cisco router felügyeleti adatai láthatóak tájékoztató jelleggel.

(A sebességteszt a mérést végző számítógép és a KIFÜ mérőszervere között végez sebességmérést!)

Dashboard 2.0 főoldala

[A képek kattintásra nagyban nyílnak meg egy új ablakban.]

2 . Intézményi adatok

A modulon belül két almenü található. Az elsőn a Telephelyi, Intézményi és Szerződő fél adatai tekinthetők meg és módosíthatók, a második almenüben pedig az intézmény kapcsolattartói láthatók, adataik módosíthatók, törölhetők.

Alapadatok

3 . Hálózat

  • Internet almenü

A routerre kapcsolt szolgáltatói vonalakról, valamint a biztonsági incidensek következtében bevezethető hálózati forgalom szűréséről ad tájékoztatást a felület.
Ha több internetkapcsolatot kezel a router, akkor ezeknek a prioritása, uplink portokhoz rendelése állítható „húzd és ejtsd” (drag and drop) módszerrel.

Internet almenü

[A képek kattintásra nagyban nyílnak meg egy új ablakban.]

  • Helyi hálózat almenü

A router portkiosztását, és egyéb, belső hálózatra hatással lévő beállítások tehetők meg (DNS szerverek felvétele, DHCP kikapcsolás egyes hálózatokban, DHCP-ből történő kizárás)

Helyi hálózat almenü

Portkiosztások változtatása a C892FSP Interfész oldali képének Gigabitethernet 1 – 7 portokra kattintva lehetséges. Az kívánt port kiválasztása után a felugró ablakban tudjuk engedélyezni az adott interfész engedélyezését, illetve módját (trunk, access), valamit trunk port beállítását követően a több, átengedett VLAN közül natív VLAN-t tudunk engedni, változtatni az alábbiak szerint:

  • Ha 1 VLAN van engedélyezve az adott interfészen, az access port lesz.
  • Ha 2 vagy több VLAN előtt van engedélyezés, a port módja trunk lesz, a tetszőlegesen kiválasztott natív (Dot1q tag nélküli) VLAN beállításával. Natív VLAN állítása nem kötelező trunk mód esetén.
  • Ha az interfész engedve van, de konkrét VLAN-ok előtti checkboxban nincs pipa, akkor az interfész tiltva marad.

Port szerkesztése ablak

Figyelem! Amennyiben az intézmény teljes wifi lefedettségét biztosító Access Pointok és switchek kerültek telepítésre az intézményben (EFOP324 projekt keretében), úgy a router Gi7 port és Wifi (Vlan3) DHCP állapota nem módosítható.

  • Tűzfal almenü

A megfelelő hálózatot (VLAN-t) kiválasztva engedő vagy akár tiltó szabályokat tudunk felvenni a kiválasztott hálózatok szemszögéből, amelyeket a router kezel:

Tűzfal almenü

Alapbeállítások az adott szegmenseken:

Minden forgalom engedve van az internet irányába minden VLAN/hálózat irányából.
A privát hálózatú VLAN-ok felé nincs külső forgalom engedve, csak azok, amelyeket a VLAN-on belülről kezdeményeztek. Figyelem! Az Internet irányából privát (központi tűzfal által NAT-olt) címek felé port irányítást nem tudunk tenni!
Alapbeállításban az internet irányából csak az ICMP van engedve a publikus címmező felé (amennyiben ezzel rendelkezik az intézmény). A további portnyitásokat a megfelelő hálózatot/VLAN-t kiválasztva a „Szegmensbe érkező csomagok” pont alatt fel kell venni.
Ha egy intézmény több VLAN-nal/Szegmenssel rendelkezik, ezek között nincs engedélyezve a forgalom, azokat külön fel kell venni szabályként.

VPN-ek esetében az ESP, AH, GRE protokollokat külön nem kell a továbbiakban felvenni. Alapesetben engedélyezve vannak és a router transzparens ezekre a protokollokra. A különféle VPN megoldások által használt UDP/TCP portokat viszont ugyanúgy rögzíteni kell (ha a VPN szerver a router mögötti Publikus szegmensben található).

Néhány gyakori példa a helyi tűzfalszabályok felvételére.

4 . Webszolgáltatás

Az intézményhez tartozó meglévő webtárhelyek, illetve adatbázisok adatait jeleníti meg, valamint mindegyiknél van egy gomb újabb igényléshez. A webtárhely igénylésnél egy előre hozzárendelt domaint használ, ha ettől különbözőt szeretnénk, akkor más úton kell igényelni azt (Bejelentések modul vagy ügyfélszolgálaton keresztül).

Webszolgáltatás menü

5 . Felhasználók

  • Felhasználók listája fül

Itt lehet felhasználókat felvenni, adataikat, jelszavukat módosítani. A felhasználók email, illetve azonosítási szolgáltatást (eduID/eduroam) használhatnak a levelezés mező Aktív/Inaktív állapotától függően.

Felhasználók menü

A Felhasználó hozzáadásával új felhasználó vehető fel, akinek az adatai mellett a jogviszonya is megadható. A sor végi kis gombok pedig adatmódosításra és törlésre használhatók.

  • E-mail csoportok listája fül

Itt e-mail csoportokat hozhatunk létre és módosíthatunk, úgy, hogy létező emailcímeket rendelünk egy csoporthoz. A csoport saját emailcímmel rendelkezik és minden tagja megkapja az odaérkező leveleket. (pl. tanulok, tanarok, 5b)

  • Intézményhez tartozó domain(ek) listája fül

Megjeleníti az intézmény sulinet.hu alá regisztrált domain neveit. Egy felhasználó létrehozásakor minden domainnel létrejön az e-mail címe, azaz minden olyan levelet meg fog kapni, amely levél címzett mezőjében szereplő cím @ előtti része a felhasználó azonosítója, a @ utáni része pedig az intézmény bármely domainje.

  • Felhasználó import/export fül

Felhasználók tömeges betöltésekor egy CSV fájl segítségével tudunk a felhasználói adatbázisba betölteni adatokat. A betöltéskor használható mezők leírása: https://wiki.niif.hu/SulinetMassImport

6 . Bejelentések

Ebben a modulban a szolgáltatásokkal kapcsolatos bejelentést lehet tenni az ügyfélszolgálat részére, valamint az aktuális bejelentések láthatóak.

Bejelentések menü

7 . A Dashboard 2.0 működésére vonatkozó további információk

A Dashboard 1.0 -tól eltérően, a konfiguráció módosításokat automatikusan elmenti a felület (nincs „Mentés” gomb, helyette a változtatás hatására megjelenik egy „Sikeres mentés” üzenet a oldal jobb felső sarkában).
Egy sárga figyelmeztető üzenet is megjelenik hálózati beállítás változtatásakor, ami az aktuális konfiguráció változásáról ad információt és lehetőséget, hogy a változásokat tartalmazó beállításokat átadja a routernek („Időzítem!” gomb).

Automatikus mentés

[A képek kattintásra nagyban nyílnak meg egy új ablakban.]

Figyelem! A változásokat nem kell egyenként időzíteni, elég ha a kívánt változások felvétele után az utolsó változtatást követően határozzuk meg, hogy a módosítások aktiválása mikor történjen meg!

Ha minden szükséges módosítást elvégeztünk a Dashboardon, akkor a változások érvényesítéséhez három választási lehetőségünk van:

  • Azonnali: néhány perc átfutási idővel a router újraindítása azonnal megtörténik
  • Megadott időn belül: a mezőben megadható, hogy hány percen belül történjen meg a router újraindítása a már változtatott konfigurációval (15  - 1440 perc közötti értéke adható meg)
  • Megadott időben: pontos időpont adható meg a router újraindítására (pl. 22:30 formában)

A Konfigurációban történt változások oszlopban ellenőrizhetjük hogy a változtatásunk mely szolgáltatásokat érint (DHCP server, helyi tűzfal, stb).
Ha rögzítettük a megfelelő időzítést („Mentés” gomb), a Folyamatban lévő feladatok szekcióban láthatjuk a beütemezett újraindítást.

Konfiguráció letöltése

8 . Néhány példa a helyi tűzfalszabályok felvételére [Tűzfal almenü!]

1. IP Forgalom engedélyezése 2 VLAN/Szegmens között (példánkban ezek a Privát és a Wifi szegmensek)

A Hálózat/Helyi hálózat menüpont alatt a „DHCP szolgáltatás az egyes szegmensekben” szekciónál  tudunk tájékozódni a pontos hálózati adatokról az érintett szegmensek esetén.

IP forgalom engedélyezése két szegmens/VLAN között

[A képek kattintásra nagyban nyílnak meg egy új ablakban.]

Majd felvesszük a Tűzfal almenüben a megfelelő hálózatokat a megfelelő szegmensben szabályként („Új szabály hozzáadása” gomb). Az alhálózati maszkot egyszerűsített formában kell megadni! (pl. 255.255.255.128 = /25).

a) Privát szegmenst kiválasztva, forrás hálózatként a Wifi szegmens hálózatát adjuk meg, cél hálózat pedig a Privát szegmens hálózata lesz, amit IP protokollra engedünk (permit) a „Szegmensbe érkező csomagok” alatt:

Tűzfalszabály felvételére példa 1. a)

b) Wifi szegmenst kiválasztva, forrás hálózatként a Privát szegmens hálózatát adjuk meg, cél hálózat pedig a Wifi szegmens hálózata lesz, amit IP protokollra engedünk (permit) a „Szegmensbe érkező csomagok” alatt:

Tűzfalszabály felvételére példa 1. b)

c) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Természetesen, ha csak 1 IP felé/felől akarjuk azt megtenni, úgy a teljes alhálózat felvétele helyett értelemszerűen azt az 1 IP-t rögzítsük a szabály felvételi lapon.

 

2. WWW (tcp 80) és a HTTPS (tcp 443) engedélyezése internet irányából (például Sulix szerver használata miatt)

a) Kiválasztjuk a Publikus szegmenst, majd a megfelelő szabályokat felvesszük a „Szegmensbe érkező csomagok” alá a szerver adott IP címére vonatkozóan:

Tűzfalszabály felvételére példa 2. a)

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.

Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

3. VPN-hez szükséges port(ok) felvétele

a) A VPN-ek esetében elég csak az adott VPN megvalósítás által használt TCP/UDP portok engedése az internet irányából, egyéb IP protokoll azonosítójú tunnelező, enkapszuláló megoldások külön felvételére nincs szükség (GRE, ESP, stb)! IPsec esetén például a következők felvétele kell (IKE, NAT-T esetén):

Tűzfalszabály felvételére példa 3. a)

Természetesen forrás IP/portszámot is megadhatunk a nagyobb biztonság érdekében.

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.

Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

4. Port range felvétele (pl. passzív módú FTP esetén)

a) Példánkban a publikus szegmensen elhelyezett egy passzív módú FTP szerver elérését vesszük fel Internet irányából. Ehhez tudni kell, hogy az adott típusú FTP szerverünk melyik magas portcsoportot figyel adat kapcsolatra (parancs csatornára továbbra is a tcp 21 használatos a legtöbb esetben). A példánkban az adatátvitelre a tcp 28000-30000 használatos (28000..30000 formában), így arra vesszük fel az engedő szabályt az tcp 21 mellett:

Tűzfalszabály felvételére példa 4. a)

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)

Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.

Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!

 

5. ICMP tiltása Publikus szegmensen

Természetesen vehetünk fel tiltó szabályokat is az adott szegmensből és/vagy szegmensbe irányuló forgalmakat nézve.

a) A lenti példában az ICMP-t tiltjuk a teljes Publikus szegmensben mind a két irányban.

Tűzfalszabály felvételére példa 5. a)

b) Beidőzítjük és véglegesítjük a változtatott konfigurációt („Időzítem!” gomb)