Trois critères différents sont disponibles lors de la création d'une règle de conformité:
| Critères simples | Critères avancés | Critères personnalisés avancés |
| Pour vérifier la présence ou l'absence d'une seule ligne ou d'un groupe de lignes dans le fichier de configuration.Exemple: Vérifiez si la configuration contient toutes les lignes suivantes: snmp-server community public RO snmp-server community private RW Network Configuration Manager vérifie les lignes (spécifiées par vous) une par une par rapport au fichier de configuration. |
Pour spécifier des critères plus complexes à l'aide de l'expression régulière. Exemple: Vérifiez si le secret d'activation est configuré enable secret 5 $1$3Jcu$sB3 Dans l'exemple ci-dessus, le numéro à un chiffre et les autres caractères qui suivent enable secret seront différents dans chaque cas. Ainsi, des critères simples ne peuvent pas être utilisés ici pour vérifier si "enable secret" a été correctement configuré. Ainsi, des critères avancés doivent être utilisés. |
Définir le début et la fin des blocs de configuration requis pour un contrôle de conformité sélectif. Ce n'est qu'une extension des «critères avancés». Exemple: Vérifiez si la description est écrite pour tous les blocs d'interface interface FastEthernet0/0 description branch office 1 connectivity ip address 192.168.118.32 255.255.255.0 service-policy output Stream ! interface FastEthernet0/1 description branch office 2 connectivity ip address 192.168.118.32 255.255.255.0 service-policy output Stream ! Il y aura beaucoup de tels blocs d'interface dans la configuration de l'appareil. Et, le nom de l'interface et la description varient pour chaque bloc. Ainsi, ni des critères simples ni des critères avancés ne pouvaient être utilisés pour créer une règle de conformité. Vous devez utiliser des «critères personnalisés avancés», qui vous aideront à vérifier chaque bloc de configuration individuellement. |
Critères simples::
| Critères | Description | Exemple |
| Doit contenir toutes les lignes | La configuration à vérifier pour la conformité doit contenir toutes les lignes spécifiées par vous. Même si une seule ligne n'est pas trouvée, elle sera prononcée comme «violation». Network Configuration Manager vérifie les lignes (spécifiées par vous) une par une par rapport au fichier de configuration. Il n'est pas nécessaire que les lignes soient présentes exactement dans le même ordre que celui spécifié par vous. La vérification étant effectuée ligne par ligne, il suffit que toutes les lignes soient présentes n'importe où dans la configuration. | Critères: doivent contenir toutes les lignes Lignes de configuration à vérifier: snmp-server community public RO snmp-server community private RW Violation: Si une ou toutes les lignes ne sont PAS présentes dans le fichier de configuration (quel que soit l'ordre de présence des lignes) |
| Ne doit contenir aucune ligne | Exactement opposé à ce qui précède. La configuration à vérifier pour la conformité ne doit contenir aucune des lignes spécifiées par vous. Même si une seule ligne est trouvée, elle sera prononcée comme «violation». Network Configuration Manager vérifie les lignes (spécifiées par vous) une par une par rapport au fichier de configuration. L'ordre des lignes n'est pas important. | Critères: ne doivent contenir aucune ligne Lignes de configuration à vérifier: snmp-server community public RO snmp-server community private RW Violation: Si une ou toutes les lignes sont présentes dans le fichier de configuration (quel que soit l'ordre de présence des lignes) |
| Doit contenir l'ensemble exact | Ceci est similaire à «Devrait contenir toutes les lignes», mais la différence est que l'ordre des lignes est pris en considération. Si vous avez spécifié quatre lignes, Network Configuration Manager va vérifier si toutes les quatre lignes sont présentes dans le même ordre que celui spécifié. Si les lignes ne sont pas présentes exactement comme spécifié, cela sera prononcé comme violation de règle. | Critères: doivent contenir l'ensemble exact Lignes de configuration à vérifier: snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity Violation: Si toutes les lignes ne sont PAS présentes dans le fichier de configuration dans le même ordre (et même ensemble) que spécifié |
| Ne doit pas contenir l'ensemble exact | Exactement opposé à ce qui précède. Ceci est similaire à «Ne doit contenir aucune ligne», mais la différence est que l'ordre des lignes est pris en considération. Si vous avez spécifié quatre lignes, Network Configuration Manager va vérifier si la configuration contient les quatre lignes dans le même ordre que celui spécifié. Si les lignes sont présentes exactement comme spécifié, cela sera prononcé comme violation de règle. | Critères: ne doivent pas contenir l'ensemble exact Lignes de configuration à vérifier: snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity Violation: Si toutes les lignes sont présentes dans le fichier de configuration dans le même ordre (et même ensemble) que spécifié |
Critères avancés:
Vous pouvez utiliser certaines expressions régulières pour fournir les critères de vérification de la conformité de la configuration. Voici quelques exemples:
Modèles d'expression régulière et description
Correspondance de caractères spécifiques
Les caractères entre crochets peuvent être utilisés pour correspondre à l'un des caractères qui y sont mentionnés.
Exemple:
[abc] - Il s'agit de rechercher l'un des caractères a, b ou c. La correspondance est sensible à la casse.
Faire correspondre une plage de caractères ou de chiffres
La plage de caractères entre crochets peut être utilisée pour faire correspondre n'importe lequel des caractères de la plage qui y est spécifiée. La plage de caractères peut être des alphabets ou des chiffres. La correspondance est sensible à la casse.
Exemples:
[a-zA-Z] - Cela correspondra à n'importe quel caractère de a à z ou de A à Z
[0-9] - Cela correspondra à n'importe quel chiffre de 0 à 9
Autres correspondances spécifiques
. un point peut être utilisé pour faire correspondre n'importe quel caractère, y compris l'espace.
d pour faire correspondre n'importe quel chiffre de 0 à 9
D pour faire correspondre tout caractère autre qu'un chiffre (0-9)
s pour correspondre à un seul caractère d'espace
S pour correspondre à n'importe quel caractère autre que l'espace
X? point d'interrogation précédé d'un caractère. Le caractère (dans l'exemple ici «X») qui précède le point d'interrogation peut apparaître au plus une fois ou n'apparaît pas du tout
X * astérisque précédé d'un caractère. Le caractère (dans l'exemple ici «X») peut apparaître un certain nombre de fois ou pas du tout
X + signe plus précédé d'un caractère. Le caractère (dans l'exemple ici «X») doit apparaître au moins une fois
Caractères X | Y séparés par un symbole de canal. Ceci doit correspondre au premier caractère ou au suivant. Dans l'exemple ici, cela doit correspondre à X ou Y
Pour plus de détails, reportez-vous aux "Tutoriels d'expressions régulières" des tutoriels Java.
Plus d'exemples:
| Description | Modèle RegEx |
| Pour vérifier si “enable secret” est configuré | Activer le secret d S + - pour faire correspondre n'importe quelle ligne contenant le texte "enable secret" suivi de n'importe quel chiffre de 0 à 9 ET de tout caractère autre que l'espace apparaissant au moins une fois |
| Pour vérifier si une communauté «publique» est présente dans la configuration | snmp-server community public RO|RW - to match any line containing the text "snmp-server community public" followed by either "RO" or "RW" |
| Pour vérifier si la connexion a un serveur Syslog a été configurée | logging S + - pour faire correspondre n'importe quelle ligne contenant le texte "logging" suivi d'une adresse ip |
| Criteria | Description | Exemple |
| Devrait contenir | La configuration à vérifier pour la conformité doit contenir la ligne correspondant au modèle RegEx spécifié par vous. | Critères: doivent contenir des lignes selon le modèle RegEx défini Lignes de configuration à vérifier: snmp-server community public RO|RW Violation: si la ligne "snmp-server community public" suivie de "RO" ou "RW" n'est PAS présente |
| Ne devrait pas contenir | La configuration à vérifier pour la conformité ne doit pas contenir la ligne correspondant au modèle RegEx spécifié par vous. | Critères: ne doivent pas contenir de ligne (s) selon le modèle RegEx défini Lignes de configuration à vérifier: snmp-server community public RO|RW Violation: si la ligne "snmp-server community public" suivie de "RO" ou "RW" est présente |
| Utilisation de la condition AND / OR | Deux modèles RegEx ou plus définis pour «Devrait contenir» ou «Ne devrait pas contenir» pourraient être combinés via des conditions ET / OU | -- |
Comme mentionné ci-dessus, les «critères personnalisés avancés» ne sont qu'une extension des «critères avancés» et ils aident à définir le début et la fin des blocs de configuration requis pour un contrôle de conformité sélectif. Les «critères simples» et les «critères avancés» sont tous deux utilisés pour vérifier la configuration complète d'un appareil pour la conformité à une règle. Il peut être nécessaire de vérifier la conformité de certaines parties de la configuration à une règle.
Par exemple, supposons que dans certains commutateurs Cisco, l'administrateur souhaite vérifier si la description est écrite pour tous les blocs d'interface. Ainsi, chaque bloc d'interface doit être vérifié pour la conformité à cette règle. La configuration de l'appareil aura autant de blocs d'interface avec des noms différents. Par conséquent, vous ne pouvez pas définir une règle de conformité appropriée pour vérifier tous les blocs d'interface à l'aide des deux options de critères précédentes - simples et avancées. Ils ne vous aideront qu'à définir une règle constante pour vérifier la configuration entière une fois - pas tous les blocs d'interface.
Dans de tels cas, les administrateurs peuvent utiliser les «critères personnalisés avancés» pour y parvenir. Il peut simplement définir le début et la fin des blocs d'interface et créer un critère personnalisé avancé. Une fois cela fait, Network Configuration Manager divisera la configuration en blocs de configuration et vérifiera la conformité. Le résultat de conformité pour chaque bloc sera signalé individuellement. Il sera alors très simple pour l'administrateur de trouver quels blocs de configuration n'ont pas de connexion full-duplex activée et de prendre les mesures correctives en conséquence.
En outre, vous pouvez également spécifier des conditions supplémentaires via les "Critères de blocage supplémentaires". Cela vous donne la possibilité d'exclure tout bloc de configuration dans le bloc d'interface spécifié ci-dessus, pour vérification de conformité. (Voir l'exemple ci-dessous pour mieux comprendre).
La définition des critères dans ce cas est identique à celle des «critères avancés». Ainsi, la seule différence entre les «critères avancés» et les «critères personnalisés avancés» est que l'utilisateur peut définir le début et la fin des blocs de configuration requis pour un contrôle de conformité sélectif.
Spécification du début et de la fin de la configuration
interface FastEthernet0/0
description branch office 1 connectivity
ip address 192.168.118.32 255.255.255.0
service-policy output Stream
!
interface FastEthernet0/1
description branch office 2 connectivity
ip address 192.168.118.32 255.255.255.0
service-policy output Stream
!
Si vous souhaitez vérifier si tous les blocs d'interface ont une description configurée, vous devez spécifier le 'Configuration Block Start' comme interface dans le champ de texte. De même, pour 'Configuration Block End', vous pouvez saisir "!" dans le champ de texte.
Vous pouvez définir les conditions de la règle comme expliqué ci-dessus pour «Critères avancés». Pour l'exemple particulier de vérification des blocs de configuration pour la description, la règle ressemblera à la capture d'écran ci-dessous.
Dans le cas où vous souhaitez exclure les interfaces qui ont été arrêtées d'effectuer le contrôle de conformité, vous pouvez inclure des "Critères de blocage supplémentaires". Dans la liste déroulante «Critères de blocage avancés», choisissez la condition «Ne doit pas contenir» et saisissez le mot «arrêt» dans le champ de texte. Lorsque vous le faites, tout en vérifiant si tous les blocs d'interface contiennent une description, les blocs d'arrêt seront exclus de la vérification de conformité.
