Suchen

Im Test: SolarWinds Network Configuration Manager 2019.4 HF 1 Leistungsstarkes Frontend zur Netzwerk-Konfiguration

Autor / Redakteur: Dr. Götz Güttich / Dipl.-Ing. (FH) Andreas Donner

Mit dem Network Configuration Manager bietet SolarWinds ein Werkzeug an, mit dem sich die Konfigurationen von Netzwerkkomponenten wie Firewalls, Load Balancern, Routern, Switches und WLAN Access Points an einer zentralen Stelle verwalten und bearbeiten lassen. Das Tool hilft beim Automatisieren der Administration, beim Herstellen der Compliance, beim Vulnerability Assessment und beim Erstellen von Konfigurations-Backups. Wir haben uns im Testlabor angesehen, was die Lösung in der Praxis leistet.

Firmen zum Thema

Der Network Configuration Manager von SolarWinds ist ein bekanntes Administrations-Tool für die automatisierte Konfiguration von Netzwerkkomponenten. Wir haben uns die neueste Version angesehen.
Der Network Configuration Manager von SolarWinds ist ein bekanntes Administrations-Tool für die automatisierte Konfiguration von Netzwerkkomponenten. Wir haben uns die neueste Version angesehen.
(Bild: © ra2 studio - stock.adobe.com)

Mit dem Network Configuration Manager (NCM) werden die IT-Verantwortlichen in die Lage versetzt, Konfigurationsfehler zu finden, Skripte einzusetzen und ihre Konfigurationen in Archiven zu verwalten. Die Lösung bietet sogar Funktionen zum Vergleichen von Konfigurationen an, die zeigen, was wann verändert wurde, und Rollbacks ermöglichen. Im Betrieb kommt der NCM mit praktisch allen Netzwerkgeräten zurecht, die über ein textbasiertes Konfigurationsinterface verfügen.

Der Test

Im Test spielten wir den NCM in unserem Netzwerk ein und machten uns mit dem Funktionsumfang der Lösung vertraut. Anschließend arbeiteten wir mit dem Produkt, veränderten Konfigurationen mit Hilfe von Skripten, setzten Templates ein und nahmen insbesondere die Funktionen zum Überwachen von Konfigurationsänderungen mit Alarmmeldungen via E-Mail und die Features zum Sicherstellen der Compliance unter die Lupe.

Bildergalerie
Bildergalerie mit 10 Bildern

Arbeit mit Skripten wie auf der Kommandozeile

Nach der Installation der Lösung setzten wir uns zunächst einmal mit grundlegenden Tätigkeiten wie der Arbeit mit Skripten und Templates auseinander. Die Skripte lassen sich beliebig definieren und können auf einem oder mehreren Geräten im Netz laufen. Über Skripte besteht unter anderem die Option, Aufgaben wie das Herunterladen von Konfigurationsdateien, das Aktualisieren von ACLs oder auch das Verändern von Login-Bannern durchzuführen.

Im Test fingen wir klein an, und modifizierten zunächst einmal das Login-Banner eines Cisco-Switches mit Hilfe eines Skripts. Dazu wechselten wir im Konfigurationsinterface zunächst zu „Meine Dashboards / Netzwerkkonfiguration / Configuration Management“ und klickten auf den „Script Management“-Reiter. Anschließend wählten wir den Befehl „Add New Script“ aus. Daraufhin öffnete sich ein Editor, in dem wir unser Skript eintragen konnten. Nachdem wir es komplettiert und abgespeichert hatten, konnten wir es über den Befehl "Execute Script" direkt ausführen. Dieser fragt zuerst, auf welchen Geräten das Skript laufen soll und möchte dann wissen, welches Skript zu starten ist. Anschließend führt er das Skript dann aus. Im Test traten dabei keinerlei Probleme auf.

Den Überblick behalten mit der Inventory-Funktion

Um detaillierte Informationen über die verwendeten Geräte zu erhalten, stellt der NCM eine umfassende Inventory-Funktion bereit. Diese sammelt Daten über die Modelle und Seriennummern, die verwendeten Betriebssystemversionen, die Zahl der Netzwerkanschlüsse sowie Routing-Protokolle, IP-Adressen, aktive Ports und ähnliches. Die Inventories stellen die Grundlage für Konfigurationsänderungen aufgrund von Templates dar (zu den Templates, also den Vorlagen für automatisch erzeugte Skripts, gleich mehr). Die IT-Verantwortlichen müssen demzufolge immer einen Inventory-Scan ihrer Geräte durchführen, bevor sie mit Templates arbeiten können. Erst nach einem solchen Scan weiß das System beispielsweise wie viele Ports ein Switch hat und wie sie konfiguriert sind. Nur mit diesen Informationen lassen sich die Templates mit sinnvollen Werten füllen und automatisch Skripts generieren.

Flexibles Arbeiten mit Templates

Nachdem wir unsere Umgebung inventarisiert hatten, konnten wir mit den Templates arbeiten. Wie der Name schon vermuten lässt, handelt es sich dabei um Vorlagen, mit denen sich typische Konfigurationsaufgaben automatisiert abarbeiten lassen. SolarWinds stellt im Rahmen des NCM 48 Templates bereit. Es ist aber auch möglich, eigene Templates zu erstellen und über die Web-Plattform "THWACK" https://thwack.solarwinds.com Templates mit anderen Nutzern auszutauschen. Dort befinden sich hunderte weiterer Vorlagen für die verschiedensten Aufgaben oder Hersteller zum Download. Typische Jobs, für deren Erledigung sich Templates eignen, sind das Anpassen von SNMP-Einstellungen, das Ändern von Passwörtern, das Definieren von ACLs und das Modifizieren von VLAN-Mitgliedschaften.

Im Test machten wir uns jetzt daran, einen der Switch-Ports in unserem Cisco-Switch einem anderen VLAN zuzuordnen. Dazu wechselten wir zunächst einmal nach "Meine Dashboards / Netzwerkkonfiguration / Config change templates" und selektierten dort im Menüpunkt "Cisco" das Template „Change VLAN Membership on Ports Cisco IOS“. Anschließend klickten wir auf den Befehl "Define Variables & Run", wählten das Zielsystem aus und legten dann fest, welcher Port welchem VLAN zugewiesen werden sollte. Anschließend konnten wir uns im Web-Interface das Skript ansehen, das der NCM mit unseren Angaben auf dem Zielsystem ausführen würde und den Vorgang danach mit "Execute" starten. Auch hier traten im Test keine Probleme auf.

Die Templates sind als besonders positives Feature hervorzuheben. Sie versetzen nämlich nicht nur erfahrene Administratoren in die Lage, effizient mit ihren Netzwerkkomponenten zu arbeiten, sondern ermöglichen es auch IT-Mitarbeitern – die beispielsweise keine genaueren Kenntnisse im Bereich der Kommandozeilenbefehle von Cisco-Lösungen haben – viele grundlegende Verwaltungstätigkeiten durchzuführen, da die SolarWinds-Lösung die auszuführenden Skripte ja anhand der Vorlagen selbst erstellt.

Das Verwalten von Konfigurationsänderungen

Nachdem wir nun mit Skripten und Templates ein paar Konfigurationsänderungen durchgeführt hatten, konnten wir uns mit dem Konfigurationsmanagement des NCM auseinandersetzen. Unter "Meine Dashboards / Netzwerkkonfiguration / Config Summary" findet sich unter anderem eine Übersicht der letzten fünf Konfigurationsänderungen mit dem betroffenen Netzwerk-Node und dem zugehörigen Datum. Über einen Klick lässt sich nun ein so genannter Change Report aufrufen, der die Konfiguration vor und nach der Änderung zeigt und die Modifikationen farblich hervorhebt. So sehen die zuständigen Mitarbeiter sofort, was auf ihren Systemen vorgeht. Auch Fehler lassen sich auf diese Weise einfach finden.

Eine Änderung rückgängig machen

Kommt es nach der Modifikation der Konfiguration eines Systems zu Problemen, so ist es oft der schnellste und einfachste Weg, diese Änderung einfach rückgängig zu machen. Der NCM unterstützt dieses Vorgehen durch einen Klick auf den betroffenen Node und die Auswahl des Reiters "Configs". Anschließend kann er unter „Upload Configs“ eine zuvor verwendete Konfiguration hochladen und das System so wieder in den vorherigen Zustand versetzen.

Die Überwachung von Konfigurationsänderungen

Wendet ein Administrator eine komplexe Konfigurationsänderung an, beispielsweise indem er auf mehreren Switches die VLAN-Zugehörigkeit unterschiedlicher Ports modifiziert, kann das bei einer Fehlkonfiguration dazu führen, dass eine Vielzahl an Diensten im Netz ausfallen. In so einem Fall ist es von großem Nutzen, wenn die zuständigen Mitarbeiter über die auftretenden Schwierigkeiten informiert werden, bevor die Ausfallzeiten so zunehmen, dass sie die Produktivität des Unternehmens beeinträchtigen.

Deswegen bietet der NCM die Möglichkeit, Administratoren per E-Mail über aktuelle Probleme zu informieren. Dieses Feature nennt sich "Real Time Detection" und funktioniert mit Netzwerkkomponenten, die dazu in der Lage sind, bei Konfigurationsänderungen SNMP-Traps oder Syslog-Meldungen zu verschicken. Auf unserem Cisco-Testsystem konnten wir im Test die Konfiguration des Geräts einfach so anpassen, dass es Syslog-Nachrichten verschickte. Dazu mussten wir lediglich das NCM-Template "Enable Syslog – Cisco OS" darauf laufen lassen.

Auf der Empfängerseite verwendet der NCM einen eingebauten SNMP-Trap-Receiver und Syslog-Server. Dabei erkennt eine Regel die Konfigurationsänderungen und informiert anschließend die Administratoren. Um diese Regel einzurichten, müssen sich die zuständigen Mitarbeiter als Administratoren beim NCM anmelden und im SolarWinds-Programmordner den "Syslog Viewer" aufrufen. Dabei handelt es sich um eine Windows-Anwendung, die unter "View / Alerts/Filter Rules" die Möglichkeit bietet, die vordefinierte NCM-Regel "Cisco IOS Realtime Change Notifications" zu aktivieren.

Jetzt ist es nur noch erforderlich, die Real Time Detection im NCM-Web-Interface zu starten. Das geht unter "Einstellungen / Alle Einstellungen / Produktspezifische Einstellungen / NCM Einstellungen". Dort gaben wir zunächst einmal auf der Konfigurationsänderungsseite an, dass wir zusammen mit der E-Mail auch die auslösende Syslog- beziehungsweise Trap-Nachricht erhalten wollten. Danach wechselten wir auf die "Config Download and Notification Settings"-Seite, gaben die E-Mail-Adresse an und klärten, ob wir die laufende oder die Startkonfiguration überwachen wollten und mit welcher Konfiguration wir diese vergleichen wollten, – der Baseline Config oder der letzten heruntergeladenen Konfigurationsdatei.

Zum Abschluss der Konfiguration mussten wir nur noch den zu verwendenden SMTP-Server angeben und die "Real Time Config Change"-Funktion aktivieren. Danach funktionierte alles wie erwartet und die Alert-Mails, die man erhält, enthalten auch gleich einen direkten Link zur festgestellten Konfigurationsänderung.

Bildergalerie
Bildergalerie mit 10 Bildern

Das Sicherstellen der Compliance

Ein weiteres Highlight des NCM ist die Möglichkeit, die Compliance der im Netz verwendeten Geräte auf eine einfache Art und Weise sicherzustellen. Dazu stellt das Werkzeug eine Audit-Funktion bereit, die den IT-Mitarbeitern dabei hilft, unterschiedliche Policy Compliance-Anforderungen zu erfüllen. Dazu verfügt NCM über 169 vorgefertigte Policy Reports. Es besteht aber auch die Option, mit einem Wizard eigene Reports zu generieren, die interne Regeln und behördliche Vorgaben abdecken und Reports über die Online-Plattform THWACK auszutauschen. Die Compliance-Regeln werden zudem regelmäßig von SolarWinds und der Community aktualisiert.

Im Test ließen wir zu diesem Zeitpunkt einen Cisco Security Audit Policy-Report laufen. Das geht über "Meine Dashboards / Netzwerkkonfiguration / Compliance", die Auswahl des zu verwendenden Reports (Cisco Security Audit) und die Auswahl des Befehls "Update Selected". Danach läuft der Report durch und zeigt die gefundenen Konfigurationsprobleme zusammen mit einer Einschätzung ihrer Bedeutung an. Wenn man nun auf das Icon des jeweiligen Eintrags klickt, erhält man direkt die Möglichkeit, ein Remediation-Skript auf dem betroffenen Gerät laufen zu lassen, das die Konfiguration so anpasst, dass die Compliance gewährleistet wird. Das ist wirklich äußerst einfach und dürfte in vielen Umgebungen eine große Hilfe sein.

Fazit

Zusammenfassend können wir sagen, dass der NCM von SolarWinds eine große Bereicherung für Umgebungen ist, in denen sich Administratoren mit der Verwaltung vieler Netzwerkkomponenten auseinandersetzen müssen. Das Tool vereinfacht das Management der Produkte erheblich, vor allem durch die Templates, die Real-Time-Alerts und die Überwachung der Compliance. Die Lösung schließt nicht nur viele Fehlerquellen aus, sondern spart definitiv auch viel Zeit. Wir verleihen dem NCM deshalb die Auszeichnung „IT-Testlab Tested and Recommended“.

Über das IT-Testlab Dr. Güttich

Das IT-Testlab erstellt qualitativ hochwertige und unabhängige Tests, Workshops, Video-Tutorials sowie Interviews zu neuen Produkten und Lösungen aus der Informationstechnologie, die anschließend in neutralen Medien erscheinen. Dr. Götz Güttich ist Leiter des IT-Testlab.

Dr. Götz Güttich ist Leiter des IT-Testlab.
Dr. Götz Güttich ist Leiter des IT-Testlab.
(Bild: IT-Testlab)

Über den Autor

Der Leiter des IT-Testlab – Dr. Götz Güttich – verfügt über rund 20 Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Dr. Güttich bringt auch umfassende praktische Kenntnisse aus dem Einsatz unterschiedlichster Lösungen in Unternehmensnetzen mit. Seine Schwerpunkte liegen in den Bereichen Cloud, Mobile Computing, IT-Sicherheit, Storage, Netzwerkmanagement, Netzwerkbetriebssysteme, Terminalserver und Virtualisierung.

Den ungekürzten Testbericht des IT-Tastlab gibt's in unten stehendem Kasten als PDF-Download.

Artikelfiles und Artikellinks

(ID:46696452)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT