CLI templates Catalyst Center – Conformité des configurations
Dans mon dernier article, j’abordais les bases de la gestion des templates de Catalyst Center. La question que beaucoup de clients me posent est: que se passe-t-il si quelqu’un vient modifier la configuration directement sur l’équipement? Ce n’est pas un sujet nouveau, qui n’a pas eu une expérience malheureuse à ce sujet? Catalyst Center intègre une gestion globale de la compliance (ou conformité en français), bien au-delà de la vérification de configuration. Sur un seul dashboard on va avoir une vue globale:
- Compliance software: est-ce que l’équipement tourne bien la version désirée?
- Compliance sécurité: est-ce qu’il y a des failles de sécurité sur l’image que je tourne?
- Compliance de configuration: est-ce que la configuration de l’équipement est bien celle que j’ai définie?
- Compliance end of sales/life: est-ce que le matériel ou le logiciel est en fin de vente ou fin de vie?
- Compliance de sauvegarde: est-ce que la configuration de l’équipement est bien sauvegardée pour éviter qu’un redémarrage ne change la configuration?
- Compliance fabric: le cas échéant, est-ce que la configuration de ma fabric est bien fonctionnelle?
- Compliance app visibility: le cas échéant, est-ce que les modules de reconnaissance applicative sont bien à jour?
Concrètement vous allez voir pour chaque équipement ce résumé de compliance avec plus ou moins de blocs selon les services activés.
Par rapport à mon dernier test, je peux voir que les cases “Network Profile” et “Startup vs Running configuration” sont bien vertes. Cela veut dire que mon template (intégré je le rappelle dans mon Network profile) est toujours bien appliqué et que la configuration de l’équipement est bien sauvegardée.
Un menu “config drift” permet de voir les configurations ajoutées / supprimées au fil de l’eau, et de voir si les modifications sont faites par Catalyst Center ou “out-of-band” c’est-à-dire via un autre procédé. La capture ci-dessous met en évidence la configuration ajoutée par mon précédent template, et la date et l’heure de modification.
L’outil permet de comparer des configurations entre plusieurs dates, très pratique par exemple quand vous avez un problème et que vous saviez que tout fonctionnait correctement il y a 10 jours. Vous pouvez voir ce qui a changé. Pour mieux naviguer dans les configurations vous pouvez leurs appliquer un label.
Supposons maintenant que je modifie la description de l’interface directement sur l’équipement…
ST-C9300-1(config-if)#description JE CASSE TOUT ST-C9300-1(config-if)#end ST-C9300-1#wr Building configuration... [OK] 047270: Apr 24 08:32:34.481: %SYS-5-CONFIG_I: Configured from console by admin on console
Le menu de compliance me montre alors une anomalie de compliance au niveau d’un template de mon Network Profile.
Un simple click me permet de voir la ligne du template qui n’est plus présente sur l’équipement.
Il est possible d’approuver une non-conformité en cliquant sur “Acknowledge”. Cela peut être très utile quand vous savez que pour certaines raisons vous ne pourrez pas remettre en conformité et que vous souhaitez éviter d’avoir une alarme permanente.
Le menu config drift permet de voir là aussi les modifications faites depuis l’application du template. On peut constater qu’il s’agit d’une modification out-of-band.
Depuis le menu compliance un simple click là aussi me permet de corriger les problèmes de compliance.
Il m’est là aussi possible de choisir quand appliquer la configuration ou de voir au préalable les modifications effectuées. Je vous épargne ces détails… Après avoir validé la configuration de l’équipement revient à la normale.
ST-C9300-1#sh run int tw1/0/1 Building configuration... Current configuration : 429 bytes ! interface TwoGigabitEthernet1/0/1 description RESEAUXBLOG end
Notez qu’il peut arriver que vous souhaitiez ignorer des lignes du template dans la gestion de la compliance. Cela peut être le cas par exemple si vous poussez des mots de passe qui seront codés dans la configuration différemment de la manière dont vous les avez tapés dans le template. Ou encore si vous autorisez explicitement des lignes à être modifiées par un administrateur local, vous pouvez annuler la vérification de certaines lignes du template. Cela se fait simplement en entourant votre bloc de configuration modifiable de balises comme indiqué ci-dessous:
! @start-ignore-compliance <config that can be modified> ! @end-ignore-compliance
J’ai couvert ici une infime partie des capacités de Catalyst Center quant à la gestion de la compliance. Vous avez pu voir que la gestion de la compliance de configurations est extrêmement simple car native (il n’y a strictement rien à faire c’est automatique). Pour en savoir plus sur la compliance des configurations n’hésitez pas à lire le user guide sur le sujet.
Je vais poursuivre ma série d’articles sur les CLI templates en développant notamment la gestion des variables et la programmabilité. Pour les impatients qui ne pourraient pas attendre, n’hésitez pas à vous référer au user guide sur les CLI templates.
Tags:
