Update 19.00: Das kann das neue Nebula Control Center

In diesem Beitrag gehen wir auf die verschiedenen Aktualisierungen und Verbesserungen des Nebula Control Center (NCC) mit dem Update auf Version 19.00 ein. Wir erhalten neue Funktionen wie die Site-Replikation und -Verschiebung für Managed Service Provider (MSPs), Änderungen an der automatischen Bereitstellung von NTP-Server-Einstellungen, Aktualisierungen der WLAN-Überwachungs- und Benachrichtigungsfunktionen sowie die Vorbereitung von NCC zur Einführung der neuen Switch-Serie XS1935. Zusätzlich gibt es eine Stabilisierung der automatischen Konfigurationswiederherstellung für Switches und Anpassungen der Nebula VPN-Funktionen sowie der Cloud-Verwaltung für H-Series-Firewalls. Nicht NCC-spezifische Neuerungen zur USG-FLEX-H-Serie werden in einem separaten Blogbeitrag behandelt.

MSP – Site Replicate & Site Move
Nachfolgend beschreibe ich, wie die Änderungen an Site Replicate und Site Move die Geräte- und Netzwerkkonfiguration beeinflussen:

Es gibt ab NCC 19.00 zwei Hauptaktionen im Zusammenhang mit dem Verschieben oder Kopieren von Sites im Nebula Control Center:

• Site Replicate (ehemals Site Clone)
• Site Move with Devices (ehemals Site Clone mit Unteroption device movement)

Diese Aktionen haben unterschiedliche Auswirkungen auf die Geräte- und Netzwerkkonfiguration und wurden neu in zwei gänzlich eigenen Aktionen überführt.

Site Replicate
Kopieren der Konfiguration: Bei Site Replicate wird die Site aus der Quellorganisation beibehalten und eine Kopie der Site in der Zielorganisation erstellt. Es wird eine Kopie aller Site-weiten Einstellungen erstellt, einschliesslich allgemeiner Einstellungen sowie Site-weiter Einstellungen für APs, Switches und Security Appliances.

Nicht kopierte Konfigurationen: Es werden keine gerätespezifischen Einstellungen kopiert. Beispiele hierfür sind gerätespezifische Einstellungen wie Per-AP Radio-Einstellungen, Switch-Port-Einstellungen und Geräte-Identifikatoren/Management-Einstellungen oder Tags. Auch Cloud Authentication Users mit Site-Level-Privilegien werden nicht kopiert, da diese als organisationsweite Einstellungen betrachtet werden.

 

 

Auswirkungen auf Geräte (AP & Switch): Für APs und Switches gibt es keinen Geräte-Neustart, die lokalen Einstellungen bleiben unverändert.

Auswirkungen auf Firewall: Alle Firewall-Einstellungen werden kopiert, wobei jedoch SD-VPN (Nebula VPN) deaktiviert wird. Site-to-Site VPN wird auf dem lokalen Gerät deaktiviert.

Site Move with Devices
Kopieren und Verschieben der Konfiguration: Bei Site Move with Devices wird die Site aus der Quellorganisation entfernt und eine Kopie der Site in der Zielorganisation erstellt. Alle Geräte von der ursprünglichen Site werden zur neuen Site verschoben.

Kopierte Konfigurationen: Es werden sowohl alle Site-weiten Einstellungen (allgemein, AP, Switch, Security Appliance) als auch alle gerätespezifischen Einstellungen kopiert. Dies beinhaltet auch die WAN/Management IP-Einstellungen, welche neu nicht mehr optional, sondern standardmässig kopiert werden.

Auswirkungen auf Firewall: Alle Firewall-Einstellungen werden kopiert, wobei jedoch SD-VPN (Nebula VPN) deaktiviert wird.

Nicht kopierte/verschobene Daten: Event Logs und historische Daten werden standardmässig nicht verschoben. Dies lässt sich optional trotzdem aktivieren. Der Transfer von Zusammenfassungsberichten, IPTV-Berichten und E-Mail-Empfängern kann als sensibles Information Sharing betrachtet werden. Diese Daten sollten nur kopiert werden, wenn die Site nach dem Verschieben von denselben oder vertrauenswürdigen Administratoren verwaltet wird.

Berechtigungen: MSP Admin & Teams-Berechtigungen werden von der Site entfernt, wenn Site Move with Devices verwendet wird.

Synchronisation bei H-Serie-Firewalls: Die Verwendung von Site Move bei H-Serie-Firewalls löst nicht automatisch eine inkrementelle oder vollständige Synchronisation aus. Der Administrator muss das Live-Tool "Config Override" anwenden, um die lokalen und Cloud-Einstellungen der H-Serie neu zu synchronisieren.

Auto-Provisionierung der NTP-Server-Einstellungen
Bisher bestand nur die Möglichkeit einen einzelnen NTP-Server pro Gerät zu definieren. Dies wurde nun auf drei Einträge angehoben. Motivationen für die Anpassungen sind die folgenden:

• Einzelne Internet Service Provider blockieren den Zugriff auf bestimmte NTP-Domainnamen, weshalb cloud-verwaltete Geräte auf mehrere NTP-Server zurückgreifen können müssen.
• Eine grosse Anzahl von cloud-verwalteten Geräten an einem Standort kann zu kurzen Stössen von NTP-Server-Abfragen führen. Daher benötigen die Geräte einen randomisierten NTP-Server für die Lastverteilung.

Das NCC versucht, die NTP-Dienste zwischen den beiden Hauptservern time.google.com und pool.ntp.org per Load Sharing zu verteilen, um eine Überlastung eines einzelnen Zielservers zu vermeiden. Unterschiedliche Geräte an einem Standort erhalten verschiedene Zuweisungen dieser Server zu ihren NTP1, NTP2 oder NTP3-Eintrag (falls konfiguriert) automatisch vom NCC beim Verbinden oder Wiederverbinden.

PRO/PLUS Pack Activation Banner
Nachfolgend beschreibe ich, welche Änderungen und Verbesserungen im Zusammenhang mit der Aktivierung und dem Upgrade auf die PRO- oder PLUS-Paketstatus im Nebula Control Center eingeführt wurden.

Hintergrund ist ein Problem mit dem Organisations-Upgrade von Nebula-Organisationen, die sich im BASE-Status befinden. Diese werden nicht automatisch auf den PRO- oder PLUS-Paketstatus hochgestuft, selbst wenn alle Geräte im organisationsweiten Inventar mit PRO/PLUS-Lizenzen oder entsprechenden Paketen ausgestattet sind. Ein manuelles Upgrade der Organisation ist erforderlich.

Das Ziel war es, diesen Prozess zu verbessern und Administratoren über die Upgrade-Berechtigung zu informieren.

Änderungen an der Lizenzaktivierungs-Weiterleitung in V19.00:

Vorher: Die Weiterleitung führte einfach zur Seite "License & Inventory".

Ab NCC 19.00: Das Verhalten der Weiterleitung (über einen Link wie "Purchase or here" oder "unlocked") wurde differenziert:

• Wenn eines oder mehrere Geräte keine PRO/PLUS-Lizenz haben, wird auf die Seite "License & Inventory" weitergeleitet und der Lizenzrechner wird gestartet.
• Wenn alle Geräte über PRO/PLUS-Lizenzen verfügen, wird auf die Seite "License & Inventory" weitergeleitet und das Organisations-Upgrade wird gestartet.
• Ein Link namens "unlocked" leitet ebenfalls zur Seite "License & Inventory" weiter.
• Eine Funktion der Benachrichtigungsglocke prüft die Gerätelizenzen und sendet eine Benachrichtigung, wenn die Organisation für ein Upgrade berechtigt ist.

WiFi Alert Insight Widget
Vorgestellt mit der aktuellen Nebula-Version, soll das WiFi Alert Insight Widget Administratoren eine allgemeine Vorstellung vom Zustand des drahtlosen Netzwerks an einem bestimmten Standort vermitteln. Das Widget enthält Statistiken, die aus den Funktionen Wireless Health und WiFi Aid bezogen werden. Es ist standardmässig für Sites aktiviert, die nach dem Start von Nebula 19.00 erstellt wurden.

Das Widget zeigt Informationen über:

• Access Points (APs) mit schlechtem Zustand ("poor health").
• Clients mit schlechtem Zustand ("poor health").
• Clients mit fehlgeschlagenen Verbindungen ("failed connection").

Die Statistiken von Wireless Health werden angezeigt, und ein Klick auf das Widget leitet zum Wireless Health Bereich weiter. Jeder AP mit schlechter Gesundheit (poor health) im 2.4Ghz-, 5Ghz- oder 6Ghz-Band wird nur einmal gezählt. Clients, die MLO (Multi-Link Operation) verwenden, können derzeit nicht von Wireless Health erkannt werden.

Die Statistiken von WiFi Aid werden ebenfalls angezeigt, und ein Klick leitet zum WiFi-Aid-Bereich weiter. Clients, die unter AP-Modellen verbunden sind, die WiFi Aid nicht unterstützen, werden in der Gesamtzahl der Clients nicht mitgezählt.

WiFi Aid – Hit Threshold in Email
Die Alarmierungs-Email von WiFi Aid wurde erweitert.

Neu werden in der Email direkt die Alarmierungsgründe wie DNS-Fehler des Clients, DHCP-Fehler des Clients oder WLAN-Verbindungsfehler des Clients angezeigt.

WiFi Aid – Bell Notification
Die Alarmierungen von WiFi Aid werden neu auch bei der Benachrichtigungsglocke angezeigt und falls mehrere Alarmierungslimits simultan erreicht wurden, als eine Meldung zusammengefasst.

XS1935 Switch-Serie
NCC wurde für die voraussichtlich ab Juli 2025 verfügbaren XS1935 Switches vorbereitet, welche die XS1930 Serie ablösen werden.

Überarbeitung der Auto Configuration Recovery Funktion für Switches
Auto Configuration Recovery ist ein Mechanismus zur Verwaltungswiederherstellung von Switchen, der bereits mit Nebula Version 15.00 eingeführt wurde. Dieser Mechanismus bewirkt, dass ein Switch zur zuletzt als gut befundenen (benutzerdefinierten Standard-)Konfiguration zurückkehrt, wenn das Gerät nach einer NETCONF-Bereitstellung während des Überwachungszeitraums keine Verbindung zum NCC herstellen kann.

Ein Nebeneffekt des Anwendens von Konfigurationen im Zusammenhang mit diesem Mechanismus waren Neustarts von PoE-Geräten aufgrund einer PoE OFF-ON Sequenz am Switch.

Die Überarbeitung der Auto Configuration Recovery ist Teil des NCC 19.00 Patches. Neu lösen nur noch Aktionen, welche vom Benutzer im NCC angewendet werden, den Überwachungszeitraum aus. Damit reduziert sich die Anzahl der möglichen Auslöser von fünf auf einen.

Umbenennungen bei der VPN-Topologie

• Umbenennung von "Nebula VPN Topology" in neu "SD-VPN (software-defined VPN)" auf der Seite "Site-to-Site VPN" sichtbar.

• Umbenennung von "Non-Nebula VPN Peer" in neu "Auto-Link VPN" ebenfalls auf der Seite "Site-to-Site VPN" und auf der Seite "VPN Connections Monitor" sichtbar