Bou 'n netwerkinfrastruktuur gebaseer op Nebula. Deel 1 - probleme en oplossings

Die artikel sal die probleme bespreek om netwerkinfrastruktuur op die tradisionele manier te organiseer en metodes om dieselfde probleme op te los met behulp van wolktegnologieë.

Vir verwysing. Nebula is 'n SaaS-wolkomgewing vir die instandhouding van netwerkinfrastruktuur op afstand. Alle Nebula-geaktiveerde toestelle word vanaf die wolk bestuur via 'n veilige verbinding. U kan 'n groot verspreide netwerkinfrastruktuur vanaf 'n enkele sentrum bestuur sonder om die moeite te spandeer om dit te skep.

Hoekom het jy nog 'n wolkdiens nodig?

Die grootste probleem wanneer met netwerkinfrastruktuur gewerk word, is nie die ontwerp van die netwerk en die aankoop van toerusting, of selfs die installering daarvan in 'n rek nie, maar alles anders wat in die toekoms met hierdie netwerk gedoen sal moet word.

Nuwe netwerk - ou bekommernisse

Wanneer 'n nuwe netwerknodus in werking gestel word nadat die toerusting geïnstalleer en gekoppel is, begin die aanvanklike konfigurasie. Uit die oogpunt van die "groot base" - niks ingewikkeld nie: "Ons neem die werksdokumentasie vir die projek en begin opstel..." Dit is so goed gesê as al die netwerkelemente in een datasentrum geleë is. As hulle oor takke versprei is, begin die hoofpyn om afstandtoegang te verskaf. Dit is so 'n bose kringloop: om afstandtoegang oor die netwerk te kry, moet jy netwerktoerusting opstel, en hiervoor het jy toegang oor die netwerk nodig ...

Ons moet met verskeie skemas vorendag kom om uit die impasse wat hierbo beskryf is, te kom. Byvoorbeeld, 'n skootrekenaar met internettoegang via 'n USB 4G-modem word via 'n pleisterkoord aan 'n pasgemaakte netwerk gekoppel. ’n VPN-kliënt word op hierdie skootrekenaar geïnstalleer, en daardeur probeer die netwerkadministrateur van die hoofkwartier toegang tot die taknetwerk kry. Die skema is nie die mees deursigtige nie - selfs al bring jy 'n skootrekenaar met 'n vooraf-gekonfigureerde VPN na 'n afgeleë webwerf en vra om dit aan te skakel, is dit ver van 'n feit dat alles die eerste keer sal werk. Veral as ons praat van 'n ander streek met 'n ander verskaffer.

Dit blyk dat die mees betroubare manier is om 'n goeie spesialis "aan die ander kant van die lyn" te hê wat sy deel volgens die projek kan instel. As daar nie so iets in die takpersoneel is nie, bly die opsies: óf uitkontraktering óf sakereise.

Ons het ook 'n moniteringstelsel nodig. Dit moet geïnstalleer, gekonfigureer, onderhou word (monitor ten minste skyfspasie en maak gereelde rugsteun). En wat niks van ons toestelle weet totdat ons dit vertel nie. Om dit te doen, moet jy instellings vir alle stukke toerusting registreer en gereeld die relevansie van die rekords monitor.

Dit is wonderlik as die personeel sy eie "eenmanorkes" het, wat, benewens die spesifieke kennis van 'n netwerkadministrateur, weet hoe om met Zabbix of 'n ander soortgelyke stelsel te werk. Andersins stel ons 'n ander persoon op personeel aan of kontrakteer dit uit.

Noot. Die hartseerste foute begin met die woorde: “Wat is daar om hierdie Zabbix op te stel (Nagios, OpenView, ens.)? Ek sal dit vinnig optel en dit is gereed!”

Van implementering tot operasie

Kom ons kyk na 'n spesifieke voorbeeld.

'n Alarmboodskap is ontvang wat aandui dat 'n WiFi-toegangspunt iewers nie reageer nie.

Waar is sy?

Natuurlik het 'n goeie netwerkadministrateur sy eie persoonlike gids waarin alles neergeskryf word. Die vrae begin wanneer hierdie inligting gedeel moet word. Jy moet byvoorbeeld dringend ’n boodskapper stuur om dinge op die plek uit te sorteer, en hiervoor moet jy iets uitreik soos: “Toegangspunt in die sakesentrum in Stroiteleystraat, gebou 1, op die 3de vloer, kamer No. 301 langs die voordeur onder plafon."

Kom ons sê ons is gelukkig en die toegangspunt word aangedryf deur PoE, en die skakelaar laat dit toe om op afstand herlaai te word. Jy hoef nie te reis nie, maar jy het afstandtoegang tot die skakelaar nodig. Al wat oorbly, is om poortaanstuur via PAT op die router op te stel, die VLAN uit te vind om van buite af te koppel, ensovoorts. Dit is goed as alles vooraf opgestel is. Die werk is dalk nie moeilik nie, maar dit moet gedoen word.

Dus, die koswinkel is herlaai. Het nie gehelp nie?

Kom ons sê iets is fout in die hardeware. Nou soek ons ​​inligting oor die waarborg, opstart en ander besonderhede van belang.

Van WiFi gepraat. Die gebruik van die tuisweergawe van WPA2-PSK, wat een sleutel vir alle toestelle het, word nie aanbeveel in 'n korporatiewe omgewing nie. Eerstens is een sleutel vir almal eenvoudig onveilig, en tweedens, wanneer een werknemer vertrek, moet jy hierdie algemene sleutel verander en die instellings op alle toestelle vir alle gebruikers weer doen. Om sulke probleme te vermy, is daar WPA2-Enterprise met individuele verifikasie vir elke gebruiker. Maar hiervoor het jy 'n RADIUS-bediener nodig - nog 'n infrastruktuur-eenheid wat beheer moet word, rugsteun gemaak moet word, ensovoorts.

Neem asseblief kennis dat ons in elke stadium, of dit nou implementering of bedryf is, ondersteuningstelsels gebruik het. Dit sluit 'n skootrekenaar met 'n "derdeparty"-internetverbinding, 'n moniteringstelsel, 'n toerustingverwysingsdatabasis en RADIUS as 'n verifikasiestelsel in. Benewens netwerktoestelle, moet u ook derdepartydienste onderhou.

In sulke gevalle kan jy die raad hoor: "Gee dit aan die wolk en moenie ly nie." Sekerlik is daar 'n wolk Zabbix, miskien is daar 'n wolk RADIUS iewers, en selfs 'n wolk databasis om 'n lys van toestelle in stand te hou. Die probleem is dat dit nie afsonderlik nodig is nie, maar "in een bottel." En steeds ontstaan ​​vrae oor die organisering van toegang, aanvanklike toestelopstelling, sekuriteit en nog baie meer.

Hoe lyk dit wanneer Nebula gebruik word?

Natuurlik weet die “wolk” aanvanklik niks van ons planne of die aangekoopte toerusting nie.

Eerstens word 'n organisasieprofiel geskep. Dit wil sê, die hele infrastruktuur: hoofkwartiere en takke word eers in die wolk geregistreer. Besonderhede word gespesifiseer en rekeninge word geskep vir delegering van gesag.

Jy kan jou toestelle op twee maniere in die wolk registreer: die outydse manier – bloot deur die reeksnommer in te voer wanneer jy ’n webvorm invul of deur ’n QR-kode met ’n selfoon te skandeer. Al wat jy nodig het vir die tweede metode is 'n slimfoon met 'n kamera en internettoegang, insluitend deur 'n selfoonverskaffer.

Natuurlik word die nodige infrastruktuur vir die berging van inligting, beide rekeningkundige en instellings, deur Zyxel Nebula verskaf.

Figuur 1. Nebula Control Center sekuriteitsverslag.

Wat van die opstel van toegang? Om hawens oop te maak, verkeer deur 'n inkomende poort aan te stuur, alles wat sekuriteitsadministrateurs liefdevol "gate uitpluk" noem? Gelukkig hoef jy nie dit alles te doen nie. Toestelle wat Nebula gebruik, vestig 'n uitgaande verbinding. En die administrateur koppel nie aan 'n aparte toestel nie, maar aan die wolk vir konfigurasie. Nebula bemiddel tussen twee verbindings: na die toestel en na die netwerkadministrateur se rekenaar. Dit beteken dat die stadium van bel 'n inkomende administrateur geminimaliseer of heeltemal oorgeslaan kan word. En geen bykomende "gate" in die firewall nie.

Wat van die RADUIS-bediener? Een of ander gesentraliseerde verifikasie is immers nodig!

En hierdie funksies word ook deur Nebula oorgeneem. Verifikasie van rekeninge vir toegang tot toerusting vind plaas deur 'n veilige databasis. Dit vergemaklik die delegering of onttrekking van regte om die stelsel te bestuur aansienlik. Ons moet regte oordra - 'n gebruiker skep, 'n rol toeken. Ons moet die regte wegneem - ons voer die omgekeerde stappe uit.

Afsonderlik is dit die moeite werd om WPA2-Enterprise te noem, wat 'n aparte stawingdiens vereis. Zyxel Nebula het sy eie analoog - DPPSK, wat jou toelaat om WPA2-PSK te gebruik met 'n individuele sleutel vir elke gebruiker.

"Ongerieflike" vrae

Hieronder sal ons probeer om antwoorde te gee op die moeilikste vrae wat dikwels gevra word wanneer 'n wolkdiens binnegegaan word

Is dit regtig veilig?

In enige delegering van beheer en bestuur om sekuriteit te verseker, speel twee faktore 'n belangrike rol: anonimisering en enkripsie.

Die gebruik van enkripsie om verkeer teen gierige oë te beskerm, is iets waarmee lesers min of meer vertroud is.

Anonimisering versteek inligting oor die eienaar en bron van wolkverskafferpersoneel. Persoonlike inligting word verwyder en rekords word 'n "gesiglose" identifiseerder toegeken. Nóg die wolksagteware-ontwikkelaar nóg die administrateur wat die wolkstelsel in stand hou, kan die eienaar van die versoeke ken. "Waar het dit vandaan gekom? Wie stel dalk hierin belang?” - sulke vrae sal onbeantwoord bly. Die gebrek aan inligting oor die eienaar en bron maak insider 'n sinnelose mors van tyd.

As ons hierdie benadering vergelyk met die tradisionele praktyk om 'n inkomende administrateur uit te kontrakteer of te huur, is dit duidelik dat wolktegnologieë veiliger is. 'n Inkomende IT-spesialis weet nogal baie van sy organisasie, en kan, willoos, aansienlike skade in terme van sekuriteit veroorsaak. Die kwessie van ontslag of beëindiging van die kontrak moet nog opgelos word. Soms behels dit, benewens die blokkering of uitvee van 'n rekening, 'n globale verandering van wagwoorde vir toegang tot dienste, sowel as 'n oudit van alle hulpbronne vir "vergete" toegangspunte en moontlike "boekmerke."

Hoeveel duurder of goedkoper is Nebula as 'n inkomende administrateur?

Alles is relatief. Nebula se basiese kenmerke is gratis beskikbaar. Eintlik, wat kan selfs goedkoper wees?

Natuurlik is dit onmoontlik om heeltemal te doen sonder 'n netwerkadministrateur of 'n persoon wat hom vervang. Die vraag is die aantal mense, hul spesialisering en verspreiding oor webwerwe.

Wat die betaalde uitgebreide diens betref, vra 'n direkte vraag: duurder of goedkoper - so 'n benadering sal altyd onakkuraat en eensydig wees. Dit sal meer korrek wees om baie faktore te vergelyk, wat wissel van geld tot betaling vir die werk van spesifieke spesialiste en eindig met die koste om hul interaksie met 'n kontrakteur of individu te verseker: gehaltebeheer, opstel van dokumentasie, handhawing van die vlak van sekuriteit, en so aan.

As ons praat oor die onderwerp of dit winsgewend is of nie winsgewend is om 'n betaalde pakket van dienste (Pro-Pack) te koop, dan kan 'n benaderde antwoord soos volg klink: as die organisasie klein is, kan jy klaarkom met die basiese weergawe, as die organisasie groei, dan maak dit sin om aan Pro-Pack te dink. Die verskille tussen weergawes van Zyxel Nebula kan in Tabel 1 gesien word.

Tabel 1. Verskille tussen die basiese en Pro-Pack-kenmerkstelle vir Nebula.

Dit sluit gevorderde verslagdoening, gebruikerouditering, konfigurasiekloning en nog baie meer in.

Wat van verkeersbeskerming?

Nebula gebruik die protokol NETCONF om veilige werking van netwerktoerusting te verseker.

NETCONF kan bo-op verskeie vervoerprotokolle loop:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• BIEP (RFC 4744);
• TLS (RFC 5539).

As ons NETCONF vergelyk met ander metodes, byvoorbeeld bestuur via SNMP, moet daarop gelet word dat NETCONF ondersteun uitgaande TCP-verbinding om NAT-versperring te oorkom en word as meer betroubaar beskou.

Wat van hardeware-ondersteuning?

Natuurlik moet jy nie die bedienerkamer in 'n dieretuin verander met verteenwoordigers van skaars en bedreigde soorte toerusting nie. Dit is hoogs wenslik dat toerusting verenig deur bestuurstegnologie alle rigtings dek: van die sentrale skakelaar tot toegangspunte. Zyxel-ingenieurs het na hierdie moontlikheid gesorg. Nebula bestuur baie toestelle:

• 10G sentrale skakelaars;
• toegangsvlakskakelaars;
• PoE skakelaars;
• toegangspunte;
• netwerk poorte.

Deur 'n wye reeks ondersteunde toestelle te gebruik, kan jy netwerke bou vir verskillende soorte take. Dit is veral waar vir maatskappye wat nie opwaarts groei nie, maar uitwaarts, wat voortdurend nuwe gebiede ondersoek om sake te doen.

Deurlopende ontwikkeling

Netwerktoestelle met 'n tradisionele bestuursmetode het net een manier van verbetering - om die toestel self te verander, of dit nou nuwe firmware of bykomende modules is. In die geval van Zyxel Nebula is daar 'n bykomende pad vir verbetering - deur die verbetering van die wolkinfrastruktuur. Byvoorbeeld, na die opdatering van Nebula Control Center (NCC) na weergawe 10.1. (21 September 2020) nuwe kenmerke is beskikbaar vir gebruikers, hier is 'n paar daarvan:

• Die eienaar van 'n organisasie kan nou alle eienaarskapsregte aan 'n ander administrateur in dieselfde organisasie oordra;
• 'n nuwe rol genaamd Eienaarverteenwoordiger, wat dieselfde regte het as die organisasie-eienaar;
• nuwe organisasiewye firmware-opdateringsfunksie (Pro-Pack-kenmerk);
• twee nuwe opsies is by die topologie gevoeg: herlaai die toestel en skakel die PoE-poortkrag aan en af ​​(Pro-Pack-funksie);
• ondersteuning vir nuwe toegangspuntmodelle: WAC500, WAC500H, WAC5302D-Sv2 en NWA1123ACv3;
• ondersteuning vir voucher-verifikasie met QR-kode-druk (Pro-Pack-funksie).

nuttige skakels

1. Telegram chat Zyxel
2. Zyxel Toerusting Forum
3. Baie nuttige video's op YouTube-kanaal
4. Zyxel Nebula - gemak van bestuur as die basis vir besparings
5. Verskil tussen Zyxel Nebula weergawes
6. Zyxel Nebula en maatskappygroei
7. Zyxel Nebula supernova wolk - 'n koste-effektiewe pad na sekuriteit?
8. Zyxel Nebula – Opsies vir jou besigheid

Bron: will.com