关于变更管理
一些组织需要实施正式的方法来部署配置更改。这可能包括更多审核,以及在对设备进行配置更改之前必须进行的正式审批流程。
如果您的组织使用更正式的配置更改流程,您可以启用更改管理来实施该流程。使用变更管理时,管理员必须先创建故障单,然后才能进行配置更改。然后,更改完成后,他们必须提交故障单进行审批,然后才能部署建议的更改。这使您可以执行正式的审批流程,并确保由合适的员工做出最终决策。
使用“更改管理”时,管理员可以在故障单中查看自己的更改,但无法查看其他人在故障单中所做的更改。由于一旦用户在故障单中进行更改,策略就会被锁定,因此用户应该无法进行干扰性更改。但是,当其他用户进行了等待审批的更改时,用户将无法进行更改。
管理员可以创建多个故障单,以便单个故障单仅包含逻辑相关的策略更改。范围更有限的故障单也更容易快速评估和批准。
以下主题介绍变更管理工作流程以及哪些策略和对象需要提交故障单和审批流程。
如何在变更管理工作流程中配置设备
当您启用更改管理时,配置设备的用户需要稍微更改其方法。对支持的策略和对象进行配置更改时,配置专家需要采用以下方法。
过程
|
步骤 1 |
创建故障单。 |
|
步骤 2 |
打开故障单。 |
|
步骤 3 |
对配置进行更改。 请注意,在线帮助和用户指南中介绍的程序假定“变更管理”处于非活动状态,并省略创建、打开或提交故障单的任何步骤。 |
|
步骤 4 |
或者,预览并验证故障单,以确保更改完整且正确。 |
|
步骤 5 |
提交故障单。此时,审批人可以批准或拒绝故障单。
|
创建单独的审批人和配置角色
某些系统定义的角色具有修改(创建/打开/丢弃)和审核(批准/拒绝)故障单的权限:
-
要修改和查看故障单,请执行以下操作:
-
管理员
-
网络管理员
-
-
仅修改故障单:
-
访问管理员
-
入侵管理员
-
-
仅查看故障单:
-
安全审批人
-
如果您的组织要求需要更精细的角色来分隔这些活动,则可以创建单独的角色,以确保仅将故障单审批分配给具有审批更改的组织权限的用户。要创建新的用户角色,请转至 ,然后选择 用户角色 选项卡。。
以下是 文件夹中与故障单使用和审批相关的权限。请注意,这些权限仅在启用更改管理后可用。
-
修改故障单 - 创建故障单(为自己)、使用配置更改故障单,以及丢弃故障单。
-
审核故障单 - 批准或拒绝故障单。
-
修改和查看通知单 - 要为自己和他人创建通知单,请使用通知单,并批准/拒绝通知单。您还可以接管分配给其他用户的通知单。
您所采取的方法取决于精细的要求。例如:
-
如果还应允许您的审批人进行配置更改,您只需为他们分配系统定义的角色,例如管理员。然后,创建包含相同权限但不包含“审核故障单”权限的自定义仅配置角色。
-
如果您需要完全分离审批者和进行配置更改的人员,请为两者创建自定义角色,将角色限制为“修改故障单”或“审核故障单”权限,以及查看或更改支持的策略和对象所需的所有其他权限。
支持变更管理的策略和对象
如果策略或对象支持更改管理工作流程,则必须在未解决的故障单中创建、编辑或删除策略或对象,包括将策略分配给设备。
可以创建、编辑或删除不支持更改管理工作流程的任何操作、策略或对象,而无需打开故障单。即使故障单处于未决状态,对不受支持的策略所做的更改也不会包含在已发出故障单的更改中,并且可以立即进行部署。
以下列表包括支持的策略和对象。未列出的任何内容均不受支持。
支持的策略
-
访问控制,包括规则、对其他策略的引用和继承设置。
-
设备配置策略:
-
接口
-
内联集
-
DHCP
-
VTEP
-
所有路由
-
-
解密策略
-
DNS 策略
-
FlexConfig
-
入侵策略和网络分析策略 (NAP),仅限 Snort 3。
-
恶意软件和文件策略
-
网络地址转换 (NAT)
-
网络发现策略
-
平台设置
-
预过滤器
-
QoS
-
Umbrella SASE 拓扑
-
VPN 策略,站点间和远程访问
-
Zero Trust 访问
支持的对象
-
AAA 服务器
-
访问列表
-
地址池
-
AS 路径
-
密码套件列表
-
社区列表
-
可分辨名称对象
-
DHCP IPv6 池
-
DNS 服务器组
-
FlexConfig 对象
-
组策略
-
接口
-
密钥链
-
网络
-
PKI 证书,所有对象
-
策略列表
-
端口
-
前缀列表
-
路由映射
-
Sinkhole
-
SLA 监控器
-
时间范围
-
时区
-
隧道区域
-
URL
-
变量集
-
VLAN 标签
-
VPN 对象(IKEv1、IKEv2 IPSec 和策略、PKI 注册、证书映射)
反馈