Vérifier la cohérence de la configuration

Le contrôleur de cohérence est un outil qui analyse en temps réel la cohérence de votre configuration. Il affiche ainsi dans le panneau inférieur de l'interface web du serveur SMC les avertissements et les erreurs détectés.

Pour afficher le contrôleur de cohérence :

  • Sélectionnez le menu Maintenance > Contrôleur de cohérence.

- ou -

  • Ouvrez le panneau inférieur de l'écran en cliquant sur la flèche noire en bas de l'interface Flèche pour afficher le panneau des traces.

Le contrôleur affiche les avertissements et erreurs concernant tous les firewalls. Cependant l'analyse des erreurs est prioritaire sur l'analyse des avertissements. Si un firewall remonte au moins une erreur, l'analyse des avertissements sur ce firewall est annulée.

Vous avez la possibilité de filtrer par firewall ou par type d'incohérence ou bien de taper des caractères dans le champ de recherche.

Certains éléments (règles de filtrage ou translation, objets, etc.) sont cliquables et permettent d'ouvrir directement le panneau ou l'élément concerné.

La vérification de la cohérence fonctionne également pendant les déploiements de configuration. Seules les erreurs sont vérifiées, les avertissements sont ignorés. En cas d'erreur détectée, le déploiement échoue.

La vérification de la cohérence peut altérer les performances du serveur SMC lorsqu'il administre des parcs importants (plus de 500 firewalls SNS).

La variable d'environnement SMC_CFGCHECK_ENABLED permet de désactiver cette vérification si nécessaire.

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Modifiez le fichier /data/config/fwadmin-env.conf.local en ajoutant la ligne suivante à la fin : SMC_CFGCHECK_ENABLED=false.
  3. Redémarrez le serveur avec la commande nrestart smc.

Dans ce cas, vous avez toujours la possibilité de lancer manuellement la vérification de la cohérence, de façon ponctuelle, en cliquant sur le bouton Lancer la vérification dans l'interface du contrôleur de cohérence.

Lorsque vous désactivez la vérification de la cohérence, les vérifications automatiques à chaque déploiement sont cependant effectuées afin de garantir la cohérence de la configuration des firewalls.

La variable d'environnement SMC_CFGCHECK_BEFORE_DEPLOY_ENABLED permet de désactiver ces vérifications automatiques en cas de besoin.

ATTENTION
Veuillez suivre les recommandations du Technical Assistance Center de Stormshield pour réaliser ces opérations.

Vous pouvez désactiver spécifiquement certains domaines de vérification ou même certaines vérifications de la cohérence de la configuration. Vous pouvez également modifier le niveau "avertissement" ou "erreur" des vérifications.

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Pour connaître la liste des entrées désactivables, consultez le fichier /opt/fwadmin-server/config/cfgcheck.ini (sans le modifier).
  3. Dans le fichier /data/config/cfgcheck.ini :
    • Ajoutez les clés à désactiver dans la section DOMAINS du fichier en indiquant la valeur false,
    • Ajoutez les vérifications dans la section CHECKS du fichier en indiquant le niveau error ou warning , ou bien utilisez la valeur false pour désactiver une vérification.
  4. Redémarrez le serveur avec la commande nrestart smc.

EXEMPLE
Fichier /data/config/cfgcheck.ini :

[DOMAINS]
RULE=false
IPSECDR=false

[CHECKS]
INVALID_INTERFACE_IN_STATIC_ROUTING=error
INVALID_INTERFACE_IN_RETURN_ROUTING=error
IP_COLLISION=warning
OVERLAPPING=warning
RETURN_ROUTE_GATEWAY_WITHOUT_MAC_ADDRESS=false
STATIC_ROUTE_WITHOUT_INTERFACE=false

La variable d'environnement SMC_CFGCHECK_INCOHERENCIES_INT permet de limiter le nombre d'incohérences remontées par le contrôleur. Par défaut le nombre est de 100. Lorsque la limite est atteinte, SMC annule toutes les analyses en attente.

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Dans le fichier /data/config/fwadmin-env.conf.local, modifiez la valeur de la variable d'environnement : SMC_CFGCHECK_INCOHERENCIES_INT.
  3. Redémarrez le serveur avec la commande nrestart smc.