Documentación de BQN
Cerrar icono

Cómo actualizar el software

Actualizaciones dentro de la misma versión principal

Para actualizar dentro de la misma versión principal (por ejemplo, de R4.7.1 a R4.8.3), sólo es necesario actualizar el paquete bqn (por ejemplo, bqn-R4.8.3.bpkg). La actualización consta de dos pasos: primero se instala y luego se activa. La activación implica una interrupción del tráfico de algunos segundos, por lo que se aconseja llevarla a cabo en momentos de bajo rendimiento.

La instalación se realiza en Administración->Software, pulsando el icono del menú ⁝ y seleccionando Instalar. .. Aparece un selector de archivos para elegir el paquete, que se transfiere al servidor BQN y se instala.

La activación se realiza en Administración->Software haciendo clic en el icono de la flecha ↶ del paquete a activar (resaltado en rojo en la imagen inferior).

Esta operación le obliga a volver a entrar en el BQN después de unos segundos, durante los cuales, el flujo de tráfico se interrumpe.

Actualizaciones de las principales versiones

Póngase en contacto con support@bequant.com para obtener instrucciones detalladas antes de realizar una actualización a una nueva versión principal.

Para migrar a una nueva versión principal (por ejemplo, de R3 a R4), los paquetes de plataforma necesitarán actualizaciones (bqnos, kernel, bqnkernel, linux y gui), además del paquete bqn. Los paquetes de plataforma requieren un reinicio para ser activados. El proceso es el siguiente:

1. Instalar nuevos bqnos, esperar un minuto y reiniciar

2. Instale kernel y bqnkernel (juntos en este orden), espere un minuto y reinicie.

3. Instalar linux, esperar un minuto y reiniciar

4. Instalar gui y reiniciar

5. Instalar bqn y recargar

 El servidor debe situarse fuera de la ruta de tráfico, ya que los reinicios del servidor implicarán pérdidas de servicio.

Por último, es posible que sea necesario migrar la configuración antigua a la nueva versión. Como mínimo, tendrá que eliminar los comandos obsoletos accediendo al servidor BQN a través de SSH y ejecutando los comandos:

 
bqnadm@bqn# configure
bqnadm@bqn(config)# clear config undefined
bqnadm@bqn(config)# commit
%WARN: Verify configuration after deleting undefined commands
bqnadm@bqn(config)# end
bqnadm@bqn# exit

Cómo generar un diagnóstico

Si el soporte de Bequant lo solicita, se puede generar un archivo de diagnóstico en Administration->Diagnostic.

El archivo se colocará en la carpeta de descargas del navegador que se esté utilizando.

Cómo hacer una copia de seguridad de la configuración

Puede guardar la configuración del servidor en un archivo local en Administración->Copia de seguridad->Guardar.

Para cargar una copia de seguridad previamente guardada, vaya a Administración->Copia de seguridad->Cargar.

Hay tres opciones:

  • Cargar una copia de seguridad de otro servidor. El propósito de esta opción es llevar una configuración común a varios servidores, con las mismas políticas y clientes API. Cuando se utiliza esta opción, sólo se cargan las secciones genéricas de la configuración. Las partes específicas del servidor (configuración de la interfaz de gestión, datos wires, licencias y dirección IP propia del BQN de la API) se dejan intactas.
  • Restaurar una copia de seguridad de este servidor. Esta opción se utiliza para recuperar un estado anterior de la configuración de este servidor. En esta opción, la configuración se sustituye completamente por la de la copia de seguridad, por lo que es importante que la configuración provenga de este mismo servidor, de lo contrario el servidor puede quedar inaccesible.
  • Fusionar un fichero de configuración con la configuración de este servidor. Esta opción es útil para llevar sólo algunas secciones de configuración, por ejemplo un conjunto de reglas de política. En esta opción, toda la configuración del fichero se añade a la configuración actual. En el fichero de fusión sólo deben incluirse secciones de configuración genéricas y, de ellas, sólo las estrictamente necesarias, para evitar conflictos. Por ejemplo, una configuración sólo puede tener una puerta de enlace predeterminada de gestión, por lo que al fusionar un archivo que contenga una puerta de enlace predeterminada se sustituirá la antigua.

Seleccione la opción cargar y pulse SELECCIONAR ARCHIVO. Seleccione el fichero a cargar y pulse Abrir. Un diálogo informará del resultado de la operación (si es OK o si se encuentra un error). Si hay un error, no se realiza ninguna modificación en la configuración del servidor (la operación de carga es atómica).

Monitorización con SNMP

El BQN soporta las siguientes alarmas SNMP v2c (traps):

  • Cpu: carga excesiva de la CPU del servidor.
  • Memory-dpdk: uso excesivo de memoria en el procesamiento de paquetes DPDK.
  • Pool de memoria: uso excesivo de memoria en el pool de memoria general de BQN.
  • Disk: sistema de archivos lleno o casi lleno.
  • Process: algunos procesos obligatorios están caidos.
  • Tráfico de enlace ascendente: no hay tráfico en la dirección de enlace ascendente.
  • Tráfico-descendente: no hay tráfico en el sentido descendente.
  • Tráfico-bajo: tráfico bajo (direcciones de enlace ascendente y descendente combinadas).
  • Tráfico invertido: rendimiento del enlace ascendente superior al del descendente (posiblemente porque algunos wires están invertidos, con el puerto de acceso conectado a Internet y viceversa).
  • Wire: ningún wires configurado o algunos wires caídos.
  • Licencia disponible: no hay licencia definida o la licencia no es válida.
  • Licencia caducada: la licencia ha caducado.
  • Uso de la licencia: el rendimiento del servidor es superior a la capacidad de la licencia.
  • Hora: no se ha configurado ningún servidor NTP o no se puede alcanzar.
  • Bqnmgr: No se puede acceder al sistema de gestión remota de BQN.

Estas alarmas están relacionadas con el cuadro de mandos que se muestra en la página de inicio de BQN. Consulte la sección de solución de problemas para obtener más información.

Para configurar el agente SNMP, vaya a Administración->SNMP:

El SNMP de BQN también exporta algunas estadísticas del sistema. Para obtener los archivos MIB de BQN, haga clic aquí.

Capturas de tráfico

El BQN puede utilizarse para obtener capturas de tráfico en formato pcap desde cualquiera de sus interfaces de red Esas capturas pueden utilizarse para solucionar problemas en el servidor BQN, pero también en algún otro punto de la red, ya que muchas veces es difícil obtener capturas de tráfico directas en otros nodos de la red.

Las capturas de tráfico se indican con un icono en forma de lupa junto al nombre de la interfaz. Está disponible en las siguientes páginas:

  • ‍Estado->Interfaces->Estado del enlace
  • ‍Estado->Interfaces->Datos Wires

Al hacer clic en el icono aparece un cuadro de diálogo con las opciones de captura:

El campo filter acepta el formato de los filtros tcpdump. Si es opcional, y si está vacío, se capturará todo el tráfico. Algunos ejemplos de filtros:

  • Tráfico relacionado con una dirección IP: host 10.0.0.23
  • Tráfico TCP que implica una dirección IP y un puerto: tcp y host 10.0.0.23 y puerto 443
  • Tráfico UDP que implica un subconjunto IP a una dirección Internet específica: udp y net 10.0.0.0/24 y host 8.8.8.8

Si la red tiene VLANs y/o PPPoE, el conmutador correspondiente debe estar activado para que el filtro funcione. En la captura de pantalla anterior, la red tiene VLAN.

Tamaño máximo del archivo de captura (hasta un máximo de 500 MB). La captura se detendrá cuando se alcance este tamaño.

Tiempo de espera de la captura (600 segundos como máximo). La captura se detendrá cuando transcurra este tiempo. También puede detenerse antes pulsando el botón CANCELAR,

La captura está limitada por un tamaño máximo y un tiempo de espera (lo que ocurra primero). La razón es proteger el sistema, porque las capturas de tráfico tienen un impacto en el rendimiento.

Para reducir el impacto en el rendimiento del sistema, utilice el tamaño y la duración más pequeños que se ajusten a sus necesidades.

Una vez finalizada la captura, se generará un archivo pcap en la carpeta de descargas del navegador. El archivo se puede inspeccionar utilizando una herramienta de tráfico que soporte el formato pcap, por ejemplo wireshark.

Registros

Para ayudar en la depuración de problemas complejos, la GUI muestra dos tipos de registros:

  • Mensajes de registro del sistema operativo. Vaya a Administración->Registros->Sistema.
  • Mensajes de registro del kernel (salida del comando dmesg ). Vaya a Administración->Log->Kernel.

Es posible solicitar más líneas de registro y exportar las entradas de registro a un archivo local.

Usuarios del sistema

El sistema BQN tiene dos tipos de usuarios:

  • Administradores: con acceso sin restricciones a la funcionalidad del nodo, incluyendo cambios de configuración e instalación de software. Por defecto, se crea un usuario llamado bqnadm con perfil de administrador.
  • Operadores: con acceso sólo a la visualización de datos. Por defecto, se crea un usuario llamado bqnop con perfil de operador.

Un administrador puede crear, eliminar o modificar usuarios del sistema en Administración->Usuarios.

Anulación de software

Es posible hacer que parte del tráfico atraviese la BQN de forma transparente, sin ser procesado por la BQN. Dicho tráfico será capturado en una de las interfaces de red y retransmitido de forma transparente a su interfaz homóloga en la misma wire. De esta forma, el software BQN no tendrá ningún impacto en dicho tráfico.

Los tipos de tráfico que pueden configurarse para ser desviados son:

  • Tráfico IP v4
  • Tráfico IP v6
  • Tráfico con algunas etiquetas VLAN específicas.
  • Tráfico sin etiqueta VLAN (es decir, sin etiqueta).
  • Algunas direcciones o rangos de direcciones IPv4 y/o IPv6.

Para evitar cierto tráfico, vaya a Configuración->Configuración de optimización y active el conmutador correspondiente.

Para las VLAN y los rangos de IP, escriba el valor, pulse + para añadirlo y aplicar la configuración.

Tenga en cuenta que el tráfico desviado no se beneficiará de las funciones de BQN: no se optimizará, no se registrarán métricas ni se aplicarán políticas.

Configuración segura

Tiempo de espera de la sesión

Un tiempo de espera configurable desconectará una sesión GUI tras un tiempo de inactividad.

Para activar el tiempo de inactividad, vaya a Administración->Configuración General y establezca el valor en segundos en Tiempo de inactividad GUI y pulse Aplicar.

El tiempo de inactividad se aplicará a las nuevas sesiones.

Contraseñas de usuario seguras

Por defecto, al establecer una contraseña de usuario, cualquier valor es válido. Es posible reforzar la seguridad del sistema forzando cierta complejidad mínima a las contraseñas de usuario. Para ello, vaya a Administración->Configuración general y active el interruptor Seguridad estricta de contraseñas e inicio de sesión.

Cuando el interruptor de contraseña estricta está en On, se aplica la siguiente complejidad mínima de contraseña (y se rechaza el cambio de contraseña si no se cumple):

  • Longitud mínima de 8 caracteres.
  • Al menos una letra minúscula.
  • Al menos una letra mayúscula.
  • Al menos un dígito.
  • Al menos un carácter especial.
  • El nombre de usuario no puede formar parte de la contraseña, ni directamente ni en forma inversa. Por ejemplo, si el usuario es bqnadm, se rechazan las contraseñas Bqnadm6? y Mdanqb6?

Además, la contraseña debe pasar la prueba de simplicidad pam_cracklib. Esta prueba rechaza contraseñas pobres como:

  • Palabras del diccionario
  • Palíndromos. Por ejemplo: Af16-61fA
  • Los mismos caracteres consecutivos. P. ej. ...aaa...
  • Secuencia monótona demasiado larga. Por ejemplo: ...123... o ...abc...
  • Menos de cinco diferencias con la antigua contraseña.

Además, la cuenta se bloquea durante cinco minutos tras cinco intentos fallidos consecutivos de inicio de sesión. La raíz se excluye de esta política para evitar ataques de denegación de servicio.

Firewall  de la Interfaz de gestión

Para configurar el firewall de la interfaz de gestión, que sólo se aplicará a la interfaz de gestión (no a las interfaces configuradas en wires) seleccione en el menú lateral Configuración->Interfaces->Firewall de gestión. Esto mostrará los rangos de direcciones IP permitidos para acceder al interfaz de gestión. Por defecto, no hay ningún rango de direcciones IP configurado, y todas están permitidas.

Para añadir un rango de direcciones IP permitido, haga clic en el icono de menú y pulse en Añadir Rango de Direcciones IP.... Una vez que un rango de direcciones IP está permitido, el cortafuegos está activado, y todas las conexiones entrantes desde direcciones IP que no formen parte de los rangos de direcciones IP configurados serán bloqueadas. Por tanto, es importante incluir un rango de direcciones IP que cubra la dirección IP desde la que accedemos a la GUI y también la subred de la dirección IP de gestión (la GUI las incluirá en la lista sugerida). También deben incluirse otras IPs que interactúen con la interfaz de gestión, como clientes RADIUS/REST, un sistema de facturación y el servidor NTP.

Para desactivar el cortafuegos, elimine todas las entradas pulsando el icono de eliminar situado junto a cada entrada, y una vez eliminadas todas las entradas, pulse una vez el botón Aplicar. Es importante no pulsar Aplicar antes de que se hayan eliminado todas las entradas, porque un Aplicar prematuro mantendría el cortafuegos activo y podría impedirle acceder al servidor, si la entrada que cubre su IP no está presente.

Ocultar información de servicio por abonado a los operadores

Es posible configurar el sistema para que los usuarios con perfil de operador no vean la siguiente información:

  • En el panel de control del abonado, los detalles del servicio DPI.
  • En el panel de control de abonados, en la tabla de flujos activos, la columna DOMINIO.
  • En Estadísticas->DPI Análisis de Servicio->Volumen por Hora por Servicio, el filtro IP/Suscriptor ID.
  • En Estadísticas->Análisis de Servicio DPI->Volumen Total por Servicio, el filtro IP/ID de Abonado.

Para desactivar el acceso a esa información, vaya como administrador a Administración->Configuración general y active el interruptor Ocultar PPP por abonado para perfiles de operador.

Ocultar la configuración y las políticas de tarifas a los operadores

Es posible configurar el sistema para que los usuarios con perfil de operador no vean la siguiente información:

  • Detalles de la política de tarifas en el panel de control de In Subscriber.
  • Detalles de la política de tarifas en tatus->Subscribers->QoE metrics.
  • Sección de configuración.

Para desactivar el acceso a esa información, vaya como administrador a Administración->Configuración general y active el interruptor Ocultar tarifas de configuración y políticas para operadores.

Registro de auditoría

El sistema mantiene un log de auditoría con un registro de las acciones más relevantes realizadas en el sistema. Los archivos se encuentran en /opt/bqn/var/audit y sólo pueden ser leídos por el usuario root.

El archivo de auditoría actual se llama audit y los archivos de auditoría antiguos se comprimirán con gzip y se nombrarán con el tiempo de época Unix de rotación (por ejemplo, audit-1688636727.gz). Los archivos antiguos se conservan durante 182 días.

Cada fila de archivo es una entrada de auditoría con los siguientes campos:

  • Hora: Fecha y hora del evento, en formato AAAA-mm-ddH:MM:SS+UTC-Offset.
  • Tipo: Tipo de acción: acceso, config, software, sistema, usuarios.
  • Autor: Nombre del usuario del sistema que realiza la acción, en los casos en que esté disponible.
  • Descripción: Descripción de la acción.

Algunas de las acciones registradas son:

  • Acceso al sistema.
  • Usuarios creados/borrados.
  • Modificaciones de la contraseña de usuario.
  • Cambios en la configuración.
  • Actualizaciones de software.
  • Reinicio o apagado del sistema.
  • Hora local/cambios de zona.

Envío de registros del sistema a un servidor syslog

Es posible configurar el BQN para que envíe sus registros del sistema a un servidor syslog externo. El servidor syslog debe soportar el protocolo BSD syslog (IETF RFC 3164) o el protocolo syslog (IETF RFC 5454).

Para realizar la configuración, inicie sesión como root a través de SSH y siga estos pasos:

Crea el siguiente directorio, para que los cambios sean persistentes:

mkdir -p/bqn/root/etc/rsyslog.d/

Copie el archivo de configuración original en ese directorio:

cp /etc/rsyslog.d/remote.conf /bqn/root/etc/rsyslog.d/

Edite el archivo de configuración:

vim /bqn/root/etc/rsyslog.d/remote.conf

Si se utiliza el protocolo BSD syslog (IETF RFC 3164), añada esta línea al fichero de configuración:

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp")

Sustituya server-IP por la dirección IP del servidor syslog y server-port por su puerto (por ejemplo, 514).

Si el formato necesario es el protocolo syslog (IETF RFC 5454):

*.* action(type="omfwd" target="server-ip" port="server-port" protocol="tcp"  template="RSYSLOG_SyslogProtocol23Format")

Reinicia el sistema:

reboot

Y eso es todo, los registros del sistema BQN en /var/log/messages deben ser enviados al servidor syslog.

Si más adelante realiza cambios en el archivo de configuración, deberá reiniciar el servicio rsyslog para que se apliquen los cambios:

systemctl restart rsyslog.service

Comprueba que el servicio está bien solicitando su estado:


bqn:~ # systemctl status rsyslog.service
rsyslog.service - System Logging Service
   Loaded: loaded (/bqn/img/linux/usr/lib/systemd/system/rsyslog.service; enabled)
   Active: active (running) since Thu 2023-10-05 10:37:17 CEST; 1 months 10 days ago
 Main PID: 6992 (rsyslogd)
   CGroup: /system.slice/rsyslog.service
           `-6992 /usr/sbin/rsyslogd -n
. . .

Configuración mediante TLS

Para cifrar la comunicación con el servidor syslog, el BQN necesita el paquete linux-R3.0.13-20231130 o posterior. Transfiera el certificado de la autoridad de certificación del servidor al directorio rsyslog del servidor BQN:


scp ca.pem root@bqn:/bqn/root/etc/rsyslog.d

Edite el archivo de configuración:


vim /bqn/root/etc/rsyslog.d/remote.conf

Añada las siguientes líneas antes de la línea de acción . (el puerto elegido es normalmente 6514, revíselo en la línea de acción):


$DefaultNetstreamDriverCAFile /bqn/root/etc/rsyslog.d/ca.pem
$DefaultNetstreamDriver gtls # use gtls netstream driver
$ActionSendStreamDriverMode 1 # require TLS for the connection
$ActionSendStreamDriverAuthMode anon # server is NOT authenticated

Para aplicar los cambios, reinicie el servicio rsyslog:


systemctl restart rsyslog.service

Etiquetas de estilo Docs
[.p-highlight] Lorem ipsum... [.p-highlight]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

[.p-highlight-blue] Lorem ipsum... [.p-highlight-blue]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

[.p-highlight-red] Lorem ipsum... [.p-highlight-red]

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Vista previa para el estilo de una sola [.c-highlight]palabra monoespaciada[.c-highlight].
Avance del single word mono-spaced con estilo.
anterior
SIGUIENTE