最新NAS简明使用手册(网管篇)

NAS简明使用手册(网管篇)

目录

NAS介绍 ........................... 6

纳管Device ....................... 10

纳管单一Device ................ 10

批量纳管Device ................ 14

Device Group ...................... 20

建立Device Group .............. 21

建立Parent Group .............. 25

Task〔任务〕 ...................... 28

执行任务 ...................... 28

Multi-Task Project〔工作方案〕 .... 34

策略 .............................. 37

测试策略 ...................... 38

策略的内容 .................... 40

策略的创立 .................... 43

策略的导入导出 ................ 47

运行策略 ...................... 48

查看设备的合规情况 ............ 52

软件级别 ...................... 54

报表 .............................. 55

用户&系统报表 ................. 55

System Status ................. 77

Drivers ....................... 78

NAS介绍

NAS是Opsware〔现已被HP收购〕推出的一套企业级的网管自动化解决方案。借助于NAS，可以实施监控到网络设备的变化情况。在企业进行大范围的变更时，也可以有效的减少变更所需的人力。同时，严格的权限控制能够将由于人为失误所造成的损失降到最低。

NAS系统的地址是10.2.43.113〔海口〕或10.68.1.63〔北京〕。

系统地址

翻开系统首页后，使用分配的NAS账号进行登录。

登录页面

系统首页面

这里可以通过点击My

Workspace  Current Device

Group  Inventory 进入查看Inventory组中的设备列表。

进入Inventory页面之后，我们可以看到，目前NA中一共添加了301台设备。其中蓝色局部的设备是已经成功纳管的，而红色的局部那么是由于各种原因导致而没有被成功纳管的设备。

如果我们需要连接到设备上进行操作，只需要点击对应设备的后的〔或者〕即可通过Telnet〔或SSH〕方式连接到相应的Device中。

Inventory页面的内容

通过Telnet〔或SSH〕方式连接到Device

操作结束后，需要输入quit〔或exit〕命令断开连接，并再次使用quit〔或exit〕命令断开与NAS的连接。如下列图：

连接时的状态

断开时的状态

纳管Device

进入NAS的第一部，就是要先纳管Device。纳管Device有单一和批量添加两种方式。

纳管单一Device

添加Device

首先，通过菜单栏上的Devices  New device 进入设备添加页面。

进入New device页面后，我们就需要输入需要纳管的Device的信息了。

自上而下的，我们需要输入IP或Hostname〔建议输入IP地址，当设备成功纳管之后，会自动获取Device的Hostname〕。然后选择对应的设备组〔目前的情况不需要选择〕，并输入设备的备注信息〔建议填写〕。最后一步就是输入设备的相关访问信息，为了成功的纳管设备，需要输入Username〔如果使用local账户登录，留空即可〕、Password、Confirm Password、Enable Password、Confirm Enable Password、

SNMP Read-Only Community String、SNMP

Read/Write Community String。

上述信息填写完成后，点击即可，NAS会自动开始对设备进行访问并配置syslog。Device纳管成功后会在对应设备组中出现。

无法纳管的设备

设备添加完成后，可以在Inventory或者对应的Device Group中看到。成功纳管的Device的字体都是蓝色的，如果纳管过程中出现问题，那么字体就以红色表示，如下列图所示。

成功纳管的Device

纳管出现问题的Device

如果纳管出现问题，第一步就要进行Discover

Driver操作。这一步主要是发现对应的驱动，以

匹配以后管理操作及任务中的相关命令等数据。如右图所示，可以选择相应的Device后，点击Actions下拉框选择Discover Driver，系统会自动创立一个新任务，并转向到任务信息的页面，可以直接点击保存任务，进行Discover

Driver的操作。

如果设备数量较少，那么可以勾选Store

complete device session log，系统会记录任务执行过程中与设备的交互信息，便于进行troubleshoting。

两处的信息建议填写，方便日后的审计工作。

这里可以修改目标设备

如果要进行troubleshooting或者是了解详细的过程，可以勾选这里

在任务执行完成之后，点击中的链接可以查看详细的信息。

批量纳管Device

对于多数的企业而言，Device的数量很多，这里就需要使用到NAS的批量纳管的功能了。首先需要了解一下设备密码策略〔Device

Password Rule〕的概念

设备密码策略〔Device Password Rule〕

对于众多的Device，我们可以设定一条设备密码策略对一组使用相同的用户名/密码的Device进行访问，这将简化我们批量添加Device的操作。对于多组使用不同的用户名/密码的Device来说，我们只需要设定多条密码策略即可，NAS会尝试不同的密码策略来访问设备，直到成功为止〔如果没有正确的密码策略，那么对应的设备无法成功纳管〕。通过菜单 Admin 

Device Password Rules对密码策略进行操作。

点击页面右上角的密码策略。

即可添加一条新的

设备密码策略页面

具体需要填写的信息如下列图所示：

具体的填写方式和添加单一的Device相同，这里不再详述。需要注意的是，左边的范围选择要注意，如果指定了范围，那么超出范围的设备就无法使用该密码策略。

上面的工作完成之后，我们就可以进行批量添加Device的工作了。

下载模板，批量添加设备

通过菜单Task  New Task  Import 进入导入页面

点击下载设备信息模板。

模板中有如下信息：deviceGroupName、deviceDriver、primaryIPAddress、hostName、consoleIPAddress、consolePort、assetTag、

managementStatus、accessMethods、comments、deviceCustom1、deviceCustom2、siteName。这里我们只需要填写primaryIPAddress即可。

填写完毕后，我们新建一个Import任务，然后在Import File中选择我们已经编辑好的csv文件。然后点选“Run discover driver task

on newly imported devices〞，最后点击Save

Task按钮即可开始运行任务。

这里的内容建议填写。

这里选择Local File，并选择我们编辑好的csv文这里选择Device

这里勾选Run discover

driver task on newly

运行任务时，我们可以随时通过Task 

Running Tasks来查看当前正在运行任务的状态，如下列图所示。

这里，我们可以点击或者况。

在下列图的Task

Information页面中可以看到，执行的是一个Discover Driver的任务，可以从Result Details查看任务执行的结果。下列图中显示的是Pending和Total两行数据，当任务运行成功或失败时，才会出现Success或是Failed的对应数据。Discover

Driver的过程比拟漫长，任务执行之后请耐心等待。

查看任务的当前运行情

Running Task页面

Task Information页面：反映当前任务的执行情况

Device Group

为了便于管理设备，更加明确了在NAS中表达出组织的网络架构，就需要使用到Device

Group〔设备分组〕。通常，Device Group的结构依据如下：(1)地理位置，(2)商业位置，如部门等，(3)设备在网络中的角色，如核心、边缘等。

默认情况下，我们在Device Group页面中〔通过菜单Devices  Group访问〕只能看到Inventory分组〔属于全局分组，后续的分组建立全部在其之下〕，如下列图：

根据管理员不同进行分组

根据地理位置进行分组

从图上我们可以看出，目前系统中已经根据两种分组方式建立好了分组：一种是通过管理员来进行划分，另外一种那么是根据地区不同进行划分。点击分组名称能够直接查看分组下的所有设备，点击可以查看子分组信息。

建立Device Group

为了更好的理解Device Group的概念及作用，下面我们就建立一个Device

Group。

点击菜单Devices  New

Device Group转到建立Device

Group的页面，如下列图所示。

由图我们可以看到，建立一个分组只需要输入Group Name即可，其它的内容可以等分组建立好之后再进行修改。

从上至下，分别是Group Name，Description，Owner，Sharing，Parent Device

Group以及Devices。为了更清楚了了解这些项的作用，我们分别进行表达。

Group Name和Description是分组的根本信息。为了清晰的说明分组的信息，建议进行填写Description。

New Device Group页面

Owner用于设置分组的所有者，

Sharing用于设置分组的可见模式，设置为Public时是全局可见，设置为Private时仅有所有者和管理员可见。

Parent Device Group用于设置分组的Parent Group。

Devices用于指定分组中的设备。分组有两种类型，一种是静态分组，一种是动态分组。

可以使用过滤器进行过滤

Device Selector界面

静态分组

在上图中，分组默认为静态分组，在此种模式下，我们可以从Devices Selector中选择对应的设备添加到分组中。添加时可以使用过滤器对设备名称或者IP地址进行过滤。

静态分组的优点是添加了设备之后，分组不会发生变化。同时，这也是静态分组的缺点，如果企业有大量的Device，而且年增长量也很大，同时，拥有严格的命名标准，那么使用静态分组就会浪费大量的时间以及人力。如果使用NAS的企业确实是这种情况，那么就需要了解一下动态分组的概念。

动态分组

动态分组是根据设备的固有属性来进行分组的一种分组方式，能够通过一系列复杂的条件对设备进行分组。

点击Devices中的“Use filter to define

a dynamic device set(dynamic group)〞切换分组为动态分组，如下列图所示：

切换了之后，我们就可以在条件中添加不同的搜索条件，并通过调整条件之间的关系来确定我们分组的方式。

点击“Add Criteria〞列表，并选择预定的条件作为搜索条件并设置，这里可以使用通配符来实现Device Group不同的要求。

下列图举例说明了搜索条件的使用方法：

动态分组的一个例子

其中条件A是Host Name要包含 –HKDS-，条件B是要包含-HKDYS-，两者关系为or，即只要A和B其中一个成立，那么就属于此分组。

通过Limit search by device group可以指定此分组的条件对哪些分组使用，如果不设置，默认对Inventory有效。

建立Parent Group

如果细心一些，可以发现在菜单上还有一种分组类型，就是Parent Group〔如右图所示〕，这种分组是为了实现分层而存在的。和Device Group不同的是，Parent

Group只能容纳Device Group，而

不能容纳设备，这是这两种分组最根本的区别。

这些都是Parent Group

可以通过菜单Devices  Groups查看当前的分组情况〔其中包括Parent Group〕，如上图。

Parent Group的使用很简单，建立的过程也十分简单，通过Devices  New Parent Group来建立一个新的Parent Group，如下列图所示：

New Parent Group页面

和Device Group一样，Parent Group的必填项也是Group Name。确定之后，填写简单的

说明，即可设置Parent Group在层次中的位置了——通过设置它的Parent Group和Child

Group来确定。这个过程很简单，我这里就不再详述了。

下列图是当前NAS中的分组情况：

静态Device Group

动态Device Group

Parent Group

当前系统中的分组状态

Task〔任务〕

在NAS中，任务被定义为NAS同Device所进行的一系列交互行为，也就是说，在NAS中，根本上所有的操作都可以转换成为任务运行。NAS中，任务可以立即执行，也可以方案执行。

默认登录后，Home页面会显示当前账户最近执行任务的相关信息，也通过菜单Tasks  My

Tasks即可进入〔如右图所示〕。My Tasks页面显示最近执行任务的时间、结果等信息，如下列图所示：

执行任务

为了让大家理解清楚，我们下面举例说明任务的两种执行方式。

立即执行

我们可以点击My Tasks页面中的“Generate

Summary Reports〞任务，点击进入任务信息页面：

从图中我们可以看到，任务当前状态为Pending。这里需要说明一下，Task Status里的进度条只是一个GIF图片，不代表任务真正在执行。从图中的进度条的状态，也可以验证这个问题。

如果需要立即运行，可以点击右上角的来运行。

“Generate Summary Reports〞任务的详细信息

任务运行结束之后，我们可以点击任务信息下方的和查看任务的运行情况，如下列图所示：

从上面可以看出，本次任务执行成功。如果任务失败，那么可以查看Task History来查找任务失败的原因。

在前几章中，我们已经创立并运行过Discover Driver和Import的任务，大家可以回想一下。同时为了加深对任务的理解，下面我们就动手创立一系列任务并执行。

由于当前NAS中仍然有一些未正常纳管的Device，我们需要重新对它们Discover Driver。通过菜单Tasks  New Task  Discover Driver创立，然后如下设置：

1. 设置Task Name为Discover Device

For Temporary Device Group

2. 选择Applies to为Single Group，并选择Temporary Device Group

3. 填写Comments

4. 如果需要详细的交互信息，可以点选Task Options中的Store complete device

session log。不过需要注意的是，如果对操作于大量设备的Task使用这个选项，会导致数据量暴增，不建议勾选。

5. 其它内容不变

任务保存后，会立即执行

在任务执行的过程中，如果设备数量比拟多，那么管理员就可以去忙别的事情了。

方案执行

由于各种原因，一些变更或者任务总需要在夜深人静的时候进行，这里就需要使用到方案了。其实不光是上述的内容，一些需要频繁执行的任务也可以设置方案执行。下面就简单介绍一下方案的使用。

方案的局部也在任务的设置中，和方案相关的有以下几局部：

1. 任务的开始日期和时间。如果方案为Daily，那么任务下次运行时间是在次日的此时。

2. 任务的预估运行时间。默认为60分钟，如果任务设定为5分钟一次，那么下次运行的时间为60分钟之后。在预估运行时间内，任务不会重复执行。

3. 任务的执行方案。可以设置重复次数，重试间隔，周期及结束日期等信息。

设置完毕后，任务就会按照方案自动运行，管理员此时就可以将重心放在别的工作上了。

Multi-Task Project〔工作方案〕

在NAS中除了Task的概念，还有Multi-Task

Project，能够定义一系列的任务顺序执行。工作方案的概念能够减轻网络管理员日常变更的负担。

从概念上来说，可以将工作方案看成是顺序的任务。下面我们来建立一个Multi-Task

Project。

通过菜单Tasks  New Multi-Task Project进入到工作方案的创立页面，如下列图所示：

由图可以看出，Multi-Task Project和Task的设置根本一致，不同的是Task Options中有一个Sub Tasks项，点击添加对应的Task时会跳转到相应的页面，保存后返回。下列图是我添加了一个Discover Driver的任务的情况：

Sub Task的添加和建立Device Group的条件添加方式类似，大家可以尝试一下，其它设置

和Task一致，这里我就不再详述。需要注意的是不能为Sub Task单独设置执行的时间，它们是按顺序完成的，如果一个任务Pending或者Pause，那么后续Sub Task都会Pending。

策略

NAS中的策略管理能够检测指定的网络设备是否符合指定的标准或者最正确实践。通过NAS自带或者下载的策略，能够检测当前设备的配置等信息是否符合推荐的设置。在熟悉了策略的使用之后，我们可以根据企业的情况来指定符合自身的策略集，来提升网络设备的平安性、稳定性以及可用性等。

通过菜单Policies 

Policy List来访问策略管理器，策略管理器的界面如下列图所示：

一条策略由多个规那么组成，点击集。

即可在策略内容中的Policy Rules中看到规那么

测试策略

策略的测试十分简单，只需要点击对应策略Actions中即可，随后选择需要检测设备的范围。这里我们运行策略CIS Cisco IOS Level 1，并随意添加一台设备。

添加完成后，点击Perform Test即可运行，结果将在新窗口中显示。

下面我们再测试策略Ensure Logging。在运行之前，我们先看一下这条策略到底做了些什么。

策略的内容

Ensure Logging策略内容

点击Ensure Logging策略的策略内容页面。

，进入我们可以看到，这个策略是由一条规那么构成，可以继续点击规那么Ensure Syslog Logging

– Foundry的连接，查看规那么内容。

规那么类型为配置检测，适用范围为全部设备，重要性为中，具体的条件为：

配置文本中 包含 “logging 任意字符〞

可以看出，这条规那么是检测网络设备的配置中，是否已经配置logging效劳器。如果配置中配置了logging，那么结果就是成功，如果没有，那么会返回失败。

下面我们对任意设备执行此策略，查看执行的结果——出错了，这是因为NAS没有对应于10.2.0.2这台设备的驱动，因此无法正确纳管。

Ensure Syslog Logging – Foundry规那么内容

Ensure Logging策略在10.2.0.2上的执行结果

在我们选择需要运行策略的网络设备时，需要注意网络设备是否正确纳管。一般而言，正确纳管的网络设备在Device Selector中都能够显示出Host Name，无法显示Host Name的设备一定是纳管出现问题的，如下列图所示。

正确纳管的网络设备一定是能够显示出Host Name的

这里我们再选择10.2.0.122进行测试，看看测试结果如何。

10.2.0.122的Ensure Logging的测试结果：合规

策略的运行到这里就结束了，之后学习策略的创立。

策略的创立

我们可以通过菜单Policies  New Policy来创立一个策略。

创立策略也十分简单，相对而言，创立规那么更为重要。创立策略的页面如下所示，我们只需要填写策略名称、说明、以及策略适用的范围〔Scope〕，策略的其它信息都可以不填写。

如果这里你不选择策略适用的范围，那么默认此策略就无法执行，因为它不能运行于任何设备上。

策略的名称、说明以及适用范围，必须填写。

策略创立之后，就需要建立规那么了，点击Policy Rules中的New Rule即可。

建立规那么之前，需要思考如下问题：

1. 策略类型：是检测配置，进行诊断，还是检查安装的软件？

2. 策略适用于哪些厂商的设备？对具体的类型有要求吗？

3. 要检测的是什么内容？应该在什么地方出现？

4. 如果检测失败，那么对应的消息是什么级别？

5. 有例外情况吗？

6. 是否可以自动修复？如何自动修复？

以上内容思考完毕后，就可以填写对应的规那么信息了。

规那么的创立页面

下列图的这个规那么是用于检测是否关闭了网络设备的finger效劳。这条规那么作用于Cisco交换机等网络设备，检测配置中是否不包含以“This will always fail〞开头的一行内容，如果没有检测到，那么检测结果为成功。

检测是否关闭了finger效劳的规那么

如果对一条规那么感觉不满意，可以在Policy Rules中进行增删改，十分方便。

策略的导入导出

通过使用策略的导入导出功能可以在NAS之间进行策略交换，进行策略的更新。相对来说，策略的更新更为重要，我们可以从TON上下载新的策略，并导入至NAS中，保持我们的最正确实践策略集是最新的，以保证企业的网络平安状况跟上IT开展的步伐。

通过菜单Policies  Import/Export

Policies进入策略导入导出页面，如下列图所示：

由上图可以看到，导入导出的功能很简单，导出的文件为后缀名exp的XML文件，内容如下列图所示：

运行策略

我们前面已经学习了如何查看策略内容，如何创立策略。下面就要制定任务来运行策略了。

点击菜单中的Policies  New Policy Task  Check Policy

Compliance建立一个新的策略任务。

相关信息的填写很简单，只需要选择设备，并选择任务的类型即可。

不过遗憾的是，目前还没有方法方案执行具体的策略，但是可以手动来执行。

策略任务运行的结果如下列图所示，可以点击查看违反策略的情况。