NETX Smart Router
NetX Smart Router je unikátní platforma pro řízení provozu, směrování a zabezpečení vyvinutá společně s VUT v Brně. Routery NetX jsou k dispozici pro sítě různých typů a velikostí.
Doporučené použití pro datový tok nad 3 Gbit/s, resp. 500 000 paketů/s.
1. Co je NetX Smart Router?
NetX Smart Router je výkonné a otevřené řešení. Každý NetX router je vybaven operačním systémem NetX OS, open source síťovým operačním systémem, navrženým se zaměřením na vysokorychlostní směrování, řízení síťového provozu a snadnou správu konfigurace s napojením na
MANGO . Zajišťuje centrální řízení provozu, BGP router i CGN v jádru sítě.
2. Hardware
NetX routery jsou k dispozici pro sítě různých typů a velikostí. K dispozici je několik HW platforem s různým rozsahem a rychlostí portů. Měřítkem výkonnosti je výkon směrování/řízení provozu, velikost ISP daná počtem klientů nebo velikost směrovací tabulky pro protokoly IPv4, IPv6. Každý NetX router je vybaven operačním systémem NetX OS, open source síťovým operačním systémem, navrženým se zaměřením na vysokorychlostní směrování, řízení síťového provozu a snadnou správu konfigurace s napojením na firemní systémy CRM.
3. Operační systém
Je použita otevřená síťová platforma pro řízení kvality síťového provozu, směrování a zabezpečení sítě. Nasazení platformy NetX umožňuje snížit latenci sítě pro koncové zákazníky a zvýšit tak kvalitu jejich připojení. Nabízí pokročilé funkce směrování, komplexní podporu IPv6 a ochranu proti útokům DDoS.
Vlastnosti: a výhody řešení:
- vysoce výkonné směrování s otevřeným zdrojovým kódem
- komplexní podpora BGP, OSPF a IPv6
- mechanismy ochrany proti DDoS
- QoS a řízení provozu
- clustrování a vysoká dostupnost
- pokročilá CLI konfiguraci pomocí netc
- Layer 3 služby
- Layer 3 směrování
- Carrier Grade NAT
- VxLAN
- Multicast
- API
- MPLS
- podpora IPv6
4. API - napojení na MANGO
Propojení
MANGO s NetX routerem využívá
NetX API.
4.1. Řízení datového provozu
QoS řídí síťový provoz a umožňuje vám splnit úroveň služeb požadovanou zákazníkem. QoS snižuje ztráty paketů, poskytuje vyhrazenou šířku pásma pro uživatele nebo služby a zavádí řízení přetížení.
Hlavní službou odpovědnou za správu pravidel QoS je
Traffic manager. Má dvě hlavní role:
- stará se o načítání a nastavování pravidel shapování a orchestruje platformu NetX k provedení potřebných akcí
- označuje pakety procházející NetX routerem
Přenos dat, které pro řízení provozu potřebuje
Traffic manager, zajišťuje z externího zdroje
Sync manager.
MANGO má implementovaný pouze plochý shaping.
Sync manager se obrací každou 1 minutu na API Dx serveru pro kontrolu aktualizací zařízení. Pokud k aktualizaci došlo, aktualizuje si data pro shaping.
4.2. Export statistiky přenesených dat
Zapnutí odesílání statistiky provedete pomocí příkazu
netx# sync-manager
netx(sync-mgr)# sync-stats
4.3. NetFlow
Příkazy pro nastavení a kontrolu
netx# netflow
netx(netflow)# natevents
netx(netflow)# collector <IP_DX_VEREJNA>:10001
#kontrola nastavení
show netflow
show netflow this
#přidání pravidla pro povolení !NetFlow
netx# ipv4 firewall table filter chain FORWARD
netx(fw4-filter-FORWARD)# action NETFLOW
5. Konfigurace
5.1. Konfigurace NetX routeru
5.1.1. Nastaveni VPN
Komunikaci na straně
MANGO se zařízeními ve vaší síti zprostředkovává Dx server s využitím VPN. Nastavení Dx serveru provádí zákaznická podpora.
Lze využit již nainstalovaný WireGuard, nebo doinstalovat OpenVPN. Pokud chcete využít i službu DHCP, musí být použita OpenVPN.
5.1.1.1. OpenVPN
shell #prepne do standartního Linux shellu
yum install openvpn
touch /etc/openvpn/DX.conf #vyplnit obsahem níže
systemctl enable openvpn@DX.service
systemctl start openvpn@DX.service
Certifikáty jsou uložené v Mango modulu Certifikáty. Certifikát a klíč je potřeba nakopírovat do složky /etc/openvpn/keys
dev tap1
proto udp
port 5000
client
tls-client
remote 91.227.7.136 /* upravit na konkretni RM */
ca /etc/openvpn/keys/dxca.crt
cert /etc/openvpn/keys/15235_1@nodes.cibs.cz.crt /* upravit dle konkrétního RM*/
key /etc/openvpn/keys/15235_1@nodes.cibs.cz.key /* upravit dle konkrétního RM*/
tls-auth /etc/openvpn/keys/ta.key 1
ns-cert-type server
up-delay
persist-tun
persist-key
script-security 1
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
verb 3
explicit-exit-notify
remote-cert-tls server
nobind
data-ciphers BF-CBC
5.1.1.2. WireGuard
interface wg0
ipv4 address 10.255.245.2/30 #adresa rozhraní
show public-key #zobrazi verejny klíč, který se využije v konfiguraci DX VPN
5.1.2. Nastavení NetX routeru pro komunikaci s Mango
netx# sync-manager
netx(sync-mgr)# no enable
netx(sync-mgr)# data-source mango
netx(sync-mgr)# db-host <IP DX serveru VPN>:8133
netx(sync-mgr)# db-password <heslo>
netx(sync-mgr)# db-username <uzivatel net_bill>
netx(sync-mgr)# routerid <ID NetX zařízení Mango>
netx(sync-mgr)# sync-stats
netx(sync-mgr)# enable
5.1.3. Kontrola nastavení
netx# show sync-manager
5.1.4. Zapnutí pravidel na rozhraní:
netx# traffic-manager
netx(traff-mgr)# interface shaper1
netx(traff-mgr)# interface shaper2
netx(traff-mgr)# enable
5.1.5. Kontrola pravidel
Po úspěšné synchronizaci na NetX lze zkontrolovat pravidla.
netx# show traffic-manager qos-rules
6.1.6. Monitoring aktuálního provozu
monitor traffic-manager qos-rules ip <IP>
monitor traffic-manager qos-rules ip <IP> verbose
monitor traffic-manager qos-rules ip <IP> detail
5.1.7. Kontrola dalších hodnot
#Přenos dat na rozhraních
monitor interface
monitor interface <NAZEV_ROZHRANI> [detail]
#Stav spojení
monitor ipv4 sessions [filtry]
#Stavy a toky firewallu
monitor ipv4 firewall [filtry]
5.2. Konfigurace MANGO
V
MANGO musí existovat uživatel, jehož přihlašovací údaje musí být nastaveny na NetX routeru. Uživatel musí mít práva CT (id lokace) a TOP (id NetX routeru).
Na zařízení NetX router musí být nastaveny parametry:
- Čítač dat (DATA_COUNTER) - hodnota true.
- CIBSRM mód (DATA_COUNTER_TYPE) - hodnota WIFI_NIC - zahrne do výběru zařízení typu NIC i typu WiFi, hodnota NIC_ONLY - zahrne do výběru pouze zařízení typu NIC
Po přesunu stávajících zařízení (stromu) pod nový NetX router je nutné provést:
- hromadnou změnu parametru Nadřízený CIBS RM (CIBSRM_ID) - určuje, který sync-manager si stáhne data pro shaping daného CPE - hodnota je id odpovídajícího NetX routeru
- při využití DHCP, provést hromadnou změnu parametru Nadřízený DHCP (DHCPD_ID) - důležité pro vytvoření DHCP konfigurace
Na DX serveru musí běžet API, na které NetX přistupuje. Toto zajišťuje zákaznická podpora.

Zpět na: