Documentação BQN
Fechar ícone

Como actualizar o software

Actualizações dentro da mesma versão principal

Para atualizar dentro da mesma versão principal (por exemplo, da R4.7.1 para a R4.8.3), apenas é necessário atualizar o pacote bqn (por exemplo, bqn-R4.8.3.bpkg). A atualização consiste em duas etapas: primeiro é instalada e depois é activada. A ativação implica uma interrupção do tráfego de alguns segundos, pelo que se aconselha a sua realização em alturas de baixo débito.

A instalação é realizada em Administration->Software, clicando no ícone do menu ⁝ e seleccionando Install ... Um selector de ficheiros aparece para escolher o pacote, que é transferido para o servidor BQN e instalado.

A activação é feita em Administration->Software clicando no ícone da seta ↶ do pacote a activar (destacado a vermelho na imagem abaixo).

Esta operação obriga-o a entrar novamente no BQN após alguns segundos, durante os quais o fluxo de tráfego é interrompido.

Actualizações nas principais versões

Contacte support@bequant.com para obter instruções detalhadas antes de efetuar uma atualização para uma nova versão principal.

Para migrar para uma nova versão principal (por exemplo, de R3 para R4), os pacotes de plataforma necessitarão de actualizações (bqnos, kernel, bqnkernel, linux e gui), para além do pacote bqn. Os pacotes de plataforma necessitam de uma reinicialização para serem activados. O processo é o seguinte:

1. Instalar novos bqnos, esperar um minuto e reiniciar

2. Instalar o kernel e o bqnkernel (juntos nesta ordem), esperar um minuto e reiniciar

3. Instalar linux, esperar um minuto e reiniciar

4. Instalar gui e reiniciar

5. Instalar bqn e recarregar

 O servidor deve ser colocado fora do caminho de tráfego, uma vez que as reinicializações do servidor implicarão perdas de serviço.

Finalmente, a configuração antiga pode exigir a migração para a nova versão. Como mínimo, terá de remover os comandos obsoletos que acedem ao servidor BQN através do SSH e executam os comandos:

 
bqnadm@bqn# configure
bqnadm@bqn(config)# clear config undefined
bqnadm@bqn(config)# commit
%WARN: Verify configuration after deleting undefined commands
bqnadm@bqn(config)# end
bqnadm@bqn# exit

Como Gerar um Diagnóstico

Quando solicitado pelo suporte Bequant , pode ser gerado um ficheiro de diagnóstico em Administration->Diagnostic (Administração->Diagnóstico).

O ficheiro será colocado na pasta de download do browser que está a ser utilizado.

Como fazer o backup da configuração

Pode guardar a configuração do servidor num ficheiro local em Administração->Cópia de segurança->Guardar.

Para carregar uma cópia de segurança guardada anteriormente, vá a Administração->Cópia de segurança->Carregar.

Existem três opções:

  • Carregar uma cópia de segurança de outro servidor. O objetivo desta opção é trazer uma configuração comum a vários servidores, com as mesmas políticas e clientes API. Quando esta opção é utilizada, apenas são carregadas as secções genéricas da configuração. As partes específicas do servidor (configuração da interface de gestão, dados wires, licenças e endereço IP próprio da API BQN) são mantidas inalteradas.
  • Restaurar uma cópia de segurança deste servidor. Esta opção é utilizada para recuperar um estado anterior da configuração deste servidor. Nesta opção, a configuração é completamente substituída pela cópia de segurança, pelo que é importante que a configuração seja proveniente deste mesmo servidor, caso contrário o servidor pode ficar inacessível.
  • Fundir um ficheiro de configuração com esta configuração do servidor. Esta opção é útil para transportar apenas algumas secções de configuração, por exemplo, um conjunto de regras de política. Nesta opção, toda a configuração do ficheiro é adicionada à configuração atual. Apenas as secções de configuração genéricas e, destas, apenas as estritamente necessárias devem ser incluídas no ficheiro de fusão, de modo a evitar conflitos. Por exemplo, uma configuração só pode ter uma gateway predefinida de gestão, pelo que a fusão de um ficheiro que contenha uma gateway predefinida substituirá a antiga.

Seleccione a opção de carregamento e prima SELECCIONAR FICHEIRO. Selecionar o ficheiro a carregar e premir Abrir. Uma caixa de diálogo informará do resultado da operação (se estiver correcta ou se for encontrado um erro). Se houver um erro, não é feita qualquer alteração à configuração do servidor (a operação de carregamento é atómica).

Monitorização com SNMP

O BQN suporta os seguintes alarmes SNMP v2c (armadilhas):

  • Cpu: carga excessiva de CPU do servidor.
  • Memory-dpdk: utilização excessiva de memória no processamento de pacotes DPDK.
  • Memory-pool: utilização excessiva de memória no BQN general memory pool.
  • Disco: sistema de arquivo cheio ou quase cheio.
  • Processo: alguns processos obrigatórios em baixo.
  • Ligação ao trânsito: não há trânsito na direcção da ligação ascendente.
  • Ligação descendente de tráfego: sem tráfego na direcção da ligação descendente.
  • Baixo tráfego: baixo tráfego (direcções de ligação ascendente e descendente combinadas).
  • Tráfego invertido: débito de ligação ascendente superior ao débito de ligação descendente (possivelmente porque alguns wires estão invertidos, com a porta de acesso ligada à Internet e vice-versa).
  • Wire: nenhum wires configurado ou algum wires em baixo.
  • Licença - disponível: nenhuma licença definida ou licença inválida.
  • Expiração da licença: a licença expirou.
  • Utilização da licença: o rendimento do servidor está acima da capacidade da licença.
  • Tempo: nenhum servidor NTP configurado ou inacessível.
  • Bqnmgr: Sistema de gestão remota BQN inacessível.

Estes alarmes estão relacionados com o painel de bordo mostrado na página inicial do BQN. Ver a secção Resolução de Problemas para mais informações.

Para configurar o agente SNMP, vá a Administração->SNMP:

O SNMP do BQN também exporta algumas estatísticas do sistema. Para obter os ficheiros MIB do BQN, clique aqui.

Capturas de tráfego

O BQN pode ser utilizado para obter capturas de tráfego em formato pcap a partir de qualquer uma das suas interfaces de rede. Essas capturas podem ser utilizadas para resolver problemas no servidor BQN, mas também noutros locais da rede, uma vez que as capturas de tráfego direto são muitas vezes difíceis de obter noutros nós da rede.

As capturas de tráfego são indicadas com um ícone de lupa junto ao nome da interface. Está disponível nas seguintes páginas:

  • ‍Status->Interfaces->Estado da ligação
  • ‍Status->Interfaces->Dados Wires

Se clicar no ícone, aparece uma caixa de diálogo com as opções de captura:

O campo filter aceita o formato dos filtros do tcpdump. If é opcional e, se estiver vazio, todo o tráfego será capturado. Alguns exemplos de filtros:

  • Tráfego que envolve um endereço IP: anfitrião 10.0.0.23
  • Tráfego TCP envolvendo um endereço IP e uma porta: tcp e o anfitrião 10.0.0.23 e a porta 443
  • Tráfego UDP envolvendo um subconjunto de IP para um endereço de Internet específico: udp e net 10.0.0.0/24 e host 8.8.8.8

Se a rede tiver VLANs e/ou PPPoE, o interrutor de alternância correspondente deve ser definido para que o filtro funcione. Na captura de ecrã anterior, a rede tem VLANs.

Tamanho máximo do ficheiro de captura (até um máximo de 500MB). A captura será interrompida quando este tamanho for atingido.

Tempo limite de captura (máximo de 600 segundos). A captura será interrompida quando este tempo terminar. Também pode ser interrompida antes disso premindo o botão CANCELAR,

A captura é limitada por um tamanho máximo e um tempo limite (o que acontecer primeiro). A razão é proteger o sistema, porque as capturas de tráfego têm um impacto no desempenho.

Para reduzir o impacto no desempenho do sistema, utilize o tamanho e a duração mais pequenos que satisfaçam as suas necessidades.

Quando a captura estiver concluída, será gerado um ficheiro pcap na pasta de transferência do browser. O ficheiro pode ser inspeccionado utilizando uma ferramenta de tráfego que suporte o formato pcap, por exemplo, o wireshark.

Registos

Para ajudar na depuração de problemas complexos, a GUI apresenta dois tipos de registos:

  • Mensagens de registo do SO. Vá para Administração->Logs->Sistema.
  • Mensagens de registo do kernel (saída do comando dmesg ). Vá para Administração->Log->Kernel.

É possível solicitar mais linhas de registo e exportar as entradas de registo para um ficheiro local.

Utilizadores do sistema

O sistema BQN tem dois tipos de utilizadores:

  • Administradores: com acesso ilimitado à funcionalidade do nó, incluindo alterações de configuração e instalação de software. Por predefinição, é criado um utilizador chamado bqnadm com perfil de administração.
  • Operadores: com acesso apenas à visualização de dados. Por defeito, é criado um utilizador chamado bqnop com perfil de operador.

Um administrador pode criar, apagar ou modificar utilizadores do sistema em Administração->Utilizadores.

Clique no ícone de cadeado para alterar a palavra-passe do utilizador. Evite utilizar aspas (') e aspas duplas (") como parte do valor da palavra-passe

Contorno de software

É possível fazer com que algum tráfego atravesse a BQN de forma transparente, sem ser processado pela BQN. Esse tráfego será capturado numa das interfaces de rede e retransmitido de forma transparente para a sua interface par no mesmo wire. Dessa forma, o software BQN não terá impacto sobre esse tráfego.

Os tipos de tráfego que podem ser configurados para serem contornados são:

  • Tráfego IP v4
  • Tráfego IP v6
  • Tráfego com algumas etiquetas VLAN específicas.
  • Tráfego sem etiqueta de VLAN (ou seja, não etiquetado).
  • Alguns endereços ou intervalos de endereços IPv4 e/ou IPv6.

Para contornar algum tráfego, vá a Configuração->Configurações de optimização e active a alternância correspondente.

Para VLANs e intervalos de IP, introduza o valor, prima + para o adicionar e aplicar as definições.

Tenha em conta que o tráfego desviado não beneficiará das funcionalidades BQN: não será optimizado, não serão registadas métricas e não serão aplicadas políticas.

Configuração segura

Tempo limite da sessão

Um tempo limite configurável desligará uma sessão GUI após um período de inatividade.

Para ativar o tempo limite de inatividade, vá a Administração->Configurações gerais e defina o valor em segundos em Tempo limite de inatividade da GUI e prima Aplicar.

O tempo limite de inatividade será aplicado às novas sessões.

Palavras-passe de utilizador fortes

Por defeito, ao definir uma palavra-passe de utilizador, qualquer valor é válido. É possível reforçar a segurança do sistema impondo uma complexidade mínima às palavras-passe dos utilizadores. Para o fazer, vá a Administration->General Settings (Administração->Configurações gerais ) e defina para On (Ligado) o interrutor Strict password and login security (Segurança rigorosa da palavra-passe e do início de sessão).

Quando o comutador de palavra-passe estrita está definido para Ligado, é imposta a seguinte complexidade mínima da palavra-passe (e a alteração da palavra-passe é rejeitada se não for cumprida):

  • Comprimento de pelo menos 8 caracteres.
  • Pelo menos uma letra minúscula.
  • Pelo menos uma letra maiúscula.
  • Pelo menos um dígito.
  • Pelo menos um carácter especial.
  • O nome de utilizador não pode fazer parte da palavra-passe, nem de forma direta nem de forma inversa. Por exemplo, se o utilizador for bqnadm, as palavras-passe Bqnadm6? e Mdanqb6? são rejeitadas.

Além disso, a senha deve passar no teste de simplicidade pam_cracklib. Este teste rejeita senhas pobres como:

  • Palavras do dicionário
  • Palíndromos. Por exemplo, Af16-61fA
  • Os mesmos caracteres consecutivos. Por exemplo, ...aaa...
  • Sequência monotónica demasiado longa. Por exemplo, ...123... ou ...abc...
  • Menos de cinco diferenças com a palavra-passe antiga.

Além disso, a conta é bloqueada durante cinco minutos após cinco tentativas consecutivas de início de sessão falhadas. A raiz é excluída desta política para evitar ataques de negação de serviço.

Interface de Gestão Firewall

Para configurar a firewall da interface de gestão, que apenas se aplicará à interface de gestão (não às interfaces configuradas em wires) seleccione no menu lateral Configuration->Interfaces->ManagementFirewall. Isto irá mostrar os intervalos de endereços IP permitidos para aceder à interface de gestão. Por defeito, não são configurados quaisquer intervalos de endereços IP, e todos são permitidos.

Para adicionar um intervalo de endereços IP permitido, clique no ícone de menu e prima Adicionar intervalo de endereços IP.... Quando um intervalo de endereços IP é permitido, a firewall é activada e todas as ligações de entrada de endereços IP que não façam parte dos intervalos de endereços IP configurados serão bloqueadas. Por conseguinte, é importante incluir um intervalo de endereços IP que abranja o endereço IP a partir do qual estamos a aceder à GUI e também a sub-rede do endereço IP de gestão (a GUI inclui-los-á na lista sugerida). Outros IPs que interagem com a interface de gestão, como clientes RADIUS/REST, um sistema de faturação e o servidor NTP, também devem ser incluídos.

Para desativar a firewall, remova todas as entradas premindo o ícone de eliminação junto a cada entrada e, depois de todas as entradas terem sido eliminadas, clique uma vez no botão Aplicar. É importante não premir Aplicar antes de todas as entradas terem sido eliminadas, porque uma aplicação prematura manteria a firewall ativa e poderia impedi-lo de aceder ao servidor, se a entrada que cobre o seu IP não estiver presente.

Ocultar informações sobre o serviço por assinante aos operadores

É possível configurar o sistema para que os utilizadores com perfil de operador não vejam as seguintes informações:

  • No painel de controlo do assinante, os detalhes do serviço DPI.
  • No painel de controlo do assinante, na tabela de fluxos activos, a coluna DOMAIN.
  • Em Statistics->DPI ServiceAnalysis->Hourly Volume Per Service, o filtro IP/Subscriber ID.
  • Em Statistics->DPI Service Analysis->Total Volume Per Service, o filtro IP/Subscriber ID.

Para desativar o acesso a essas informações, vá como administrador a Administração->Configurações gerais e active a opção Ocultar DPI por assinante para perfis de operador.

Ocultar a configuração e as políticas de tarifas aos operadores

É possível configurar o sistema para que os utilizadores com perfil de operador não vejam as seguintes informações:

  • Detalhes da política de taxas no painel de controlo do assinante.
  • Detalhes da política de taxas em tatus->Subscribers->QoE metrics.
  • Secção de configuração.

Para desativar o acesso a essas informações, vá como administrador para Administração->Definições gerais e active o comutador Ocultar taxas de configuração e de política para os operadores.

Registo de auditoria

O sistema mantém um registo de auditoria com um registo das acções mais relevantes realizadas no sistema. Os ficheiros encontram-se em /opt/bqn/var/audit e só podem ser lidos pelo utilizador root.

O ficheiro de auditoria atual chama-se audit e os ficheiros de auditoria antigos serão comprimidos com gzip e nomeados com a hora de rotação da época Unix (por exemplo, audit-1688636727.gz). Os ficheiros antigos são mantidos durante 182 dias.

Cada linha do ficheiro é uma entrada de auditoria com os seguintes campos:

  • Hora: Data e hora do evento, no formato AAAA-mm-ddTHH:MM:SS+UTC-Offset.
  • Tipo de ação: Tipo de ação: acesso, configuração, software, sistema, utilizadores.
  • Autor: Nome do utilizador do sistema que executa a ação, nos casos em que está disponível.
  • Descrição: Descrição da ação.

Algumas das acções registadas são:

  • Acesso ao sistema.
  • Utilizadores criados/eliminados.
  • Modificações da palavra-passe do utilizador.
  • Alterações de configuração.
  • Actualizações de software.
  • Reinicialização ou encerramento do sistema.
  • Mudanças de hora local/zona.

Envio de registos do sistema para um servidor syslog

É possível configurar o BQN para enviar os registos do sistema para um servidor syslog externo. O servidor syslog deve suportar o protocolo syslog BSD (IETF RFC 3164) ou o protocolo syslog (IETF RFC 5454).

Para efetuar a configuração, inicie sessão como root através de SSH e siga estes passos:

Crie o seguinte diretório, para que as alterações sejam persistentes:

mkdir -p/bqn/root/etc/rsyslog.d/

Copie o ficheiro de configuração original para esse diretório:

cp /etc/rsyslog.d/remote.conf /bqn/root/etc/rsyslog.d/

Editar o ficheiro de configuração:

vim /bqn/root/etc/rsyslog.d/remote.conf

Se for utilizado o protocolo syslog BSD (IETF RFC 3164), adicione esta linha ao ficheiro de configuração:

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp")

Substitua server-IP pelo endereço IP do servidor syslog e server-port pela sua porta (por exemplo, 514).

Se o formato necessário for o protocolo syslog (IETF RFC 5454):

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp"  template="RSYSLOG_SyslogProtocol23Format")

Reiniciar o sistema:

reboot

E já está, os registos do sistema BQN em /var/log/messages devem ser enviados para o servidor syslog.

Se, mais tarde, forem feitas alterações ao ficheiro de configuração, é necessário reiniciar o serviço rsyslog para que as alterações sejam aplicadas:

systemctl restart rsyslog.service

Verificar se o serviço está OK, solicitando o seu estado:


bqn:~ # systemctl status rsyslog.service
rsyslog.service - System Logging Service
   Loaded: loaded (/bqn/img/linux/usr/lib/systemd/system/rsyslog.service; enabled)
   Active: active (running) since Thu 2023-10-05 10:37:17 CEST; 1 months 10 days ago
 Main PID: 6992 (rsyslogd)
   CGroup: /system.slice/rsyslog.service
           `-6992 /usr/sbin/rsyslogd -n
. . .

Configuração com TLS

Para encriptar a comunicação com o servidor syslog, o BQN necessita do pacote linux-R3.0.13-20231130 ou posterior. Transferir o certificado da autoridade certificadora do servidor para o diretório rsyslog do servidor BQN:


scp ca.pem root@bqn:/bqn/root/etc/rsyslog.d

Editar o ficheiro de configuração:


vim /bqn/root/etc/rsyslog.d/remote.conf

Adicione as seguintes linhas antes da linha de ação . (o porto escolhido é normalmente 6514, reveja-o na linha de ação):


$DefaultNetstreamDriverCAFile /bqn/root/etc/rsyslog.d/ca.pem
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode anon # server is NOT authenticated

Para aplicar as alterações, reinicie o serviço rsyslog:


systemctl restart rsyslog.service

Etiquetas de estilo dos documentos
[.p-highlight] Lorem ipsum... [.p-highlight]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

[.p-highlight-blue] Lorem ipsum... [.p-highlight-blue]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

[.p-highlight-red] Lorem ipsum... [.p-highlight-red]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Pré-visualização do estilo de uma única palavra [.c-highlight]mono-espaçada[.c-highlight].
Pré-visualização do single word mono-spaced estilo.
anterior
NEXT