بناء البنية التحتية للشبكة على أساس السديم. الجزء الأول - المشاكل والحلول

يناقش المقال مشاكل تنظيم البنية التحتية للشبكة بالطريقة التقليدية وطرق حل نفس المشكلات باستخدام التقنيات السحابية.

للرجوع اليها. Nebula هي بيئة سحابية SaaS لصيانة البنية التحتية للشبكة عن بعد. تتم إدارة جميع الأجهزة التي تدعم Nebula من السحابة عبر اتصال آمن. يمكنك إدارة بنية أساسية كبيرة للشبكة الموزعة من مركز واحد دون بذل جهد كبير لإنشائها.

لماذا تحتاج إلى خدمة سحابية أخرى؟

المشكلة الرئيسية عند العمل مع البنية التحتية للشبكة ليست تصميم الشبكة وشراء المعدات، أو حتى تثبيتها على الرف، ولكن كل شيء آخر يجب القيام به مع هذه الشبكة في المستقبل.

شبكة جديدة - مخاوف قديمة

عند تشغيل عقدة شبكة جديدة بعد تثبيت الجهاز وتوصيله، يبدأ التكوين الأولي. من وجهة نظر "الرؤساء الكبار" - لا يوجد شيء معقد: "نأخذ وثائق العمل الخاصة بالمشروع ونبدأ في الإعداد..." وهذا أمر جيد جدًا عندما تكون جميع عناصر الشبكة موجودة في مركز بيانات واحد. إذا كانت منتشرة عبر الفروع، يبدأ الصداع المتمثل في توفير الوصول عن بعد. إنها حلقة مفرغة: للحصول على الوصول عن بعد عبر الشبكة، تحتاج إلى تكوين معدات الشبكة، ولهذا تحتاج إلى الوصول عبر الشبكة...

وعلينا أن نتوصل إلى مخططات مختلفة للخروج من المأزق الموصوف أعلاه. على سبيل المثال، يتم توصيل جهاز كمبيوتر محمول مزود بإمكانية الوصول إلى الإنترنت عبر مودم USB 4G عبر سلك التصحيح بشبكة مخصصة. تم تثبيت عميل VPN على هذا الكمبيوتر المحمول، ومن خلاله يحاول مسؤول الشبكة من المقر الرئيسي الوصول إلى الشبكة الفرعية. المخطط ليس هو الأكثر شفافية - حتى لو قمت بإحضار جهاز كمبيوتر محمول مزود بشبكة VPN تم تكوينها مسبقًا إلى موقع بعيد وطلبت تشغيله، فهذا أبعد ما يكون عن حقيقة أن كل شيء سيعمل في المرة الأولى. خاصة إذا كنا نتحدث عن منطقة مختلفة مع مزود مختلف.

اتضح أن الطريقة الأكثر موثوقية هي أن يكون لديك متخصص جيد "على الطرف الآخر من الخط" يمكنه تكوين دوره وفقًا للمشروع. إذا لم يكن هناك شيء من هذا القبيل في موظفي الفرع، تبقى الخيارات: إما الاستعانة بمصادر خارجية أو سفر العمل.

نحن بحاجة أيضًا إلى نظام مراقبة. يجب تثبيته وتكوينه وصيانته (على الأقل مراقبة مساحة القرص وإجراء نسخ احتياطية منتظمة). والتي لا تعرف شيئًا عن أجهزتنا حتى نخبرها. للقيام بذلك، تحتاج إلى تسجيل الإعدادات لجميع قطع المعدات ومراقبة مدى ملاءمة السجلات بانتظام.

إنه لأمر رائع أن يكون لدى الموظفين "أوركسترا فردية" خاصة بهم، والتي، بالإضافة إلى المعرفة المحددة لمسؤول الشبكة، تعرف كيفية العمل مع Zabbix أو أي نظام آخر مماثل. وبخلاف ذلك، نقوم بتعيين شخص آخر ضمن فريق العمل أو الاستعانة بمصادر خارجية.

ملاحظة. تبدأ الأخطاء الأكثر حزنًا بالكلمات: "ما الذي يوجد لتكوين Zabbix (Nagios، OpenView، وما إلى ذلك)؟ سألتقطه بسرعة وهو جاهز! "

من التنفيذ إلى التشغيل

لنفكر في مثال محدد.

تم تلقي رسالة إنذار تشير إلى أن نقطة وصول WiFi في مكان ما لا تستجيب.

أين هي؟

بالطبع، لدى مسؤول الشبكة الجيد دليله الشخصي الذي يتم فيه تسجيل كل شيء. تبدأ الأسئلة عندما يلزم مشاركة هذه المعلومات. على سبيل المثال، تحتاج بشكل عاجل إلى إرسال رسول لفرز الأمور على الفور، ولهذا تحتاج إلى إصدار شيء مثل: "نقطة الوصول إلى مركز الأعمال في شارع Stroiteley، المبنى 1، في الطابق الثالث، الغرفة رقم 3". 301 بجوار الباب الأمامي تحت السقف."

لنفترض أننا محظوظون وأن نقطة الوصول مدعومة عبر PoE، ويسمح المفتاح بإعادة تشغيلها عن بُعد. لا تحتاج إلى السفر، ولكنك تحتاج إلى الوصول عن بعد إلى المفتاح. كل ما تبقى هو تكوين إعادة توجيه المنفذ عبر PAT على جهاز التوجيه، ومعرفة شبكة VLAN للاتصال من الخارج، وما إلى ذلك. من الجيد أن يتم إعداد كل شيء مسبقًا. قد لا يكون العمل صعبا، ولكن يجب القيام به.

لذا، تم إعادة تشغيل منفذ الطعام. لم يساعد؟

لنفترض أن هناك خطأ ما في الأجهزة. نحن الآن نبحث عن معلومات حول الضمان وبدء التشغيل والتفاصيل الأخرى ذات الأهمية.

الحديث عن واي فاي. لا يُنصح باستخدام الإصدار المنزلي من WPA2-PSK، الذي يحتوي على مفتاح واحد لجميع الأجهزة، في بيئة الشركة. أولاً، يعد وجود مفتاح واحد للجميع غير آمن، وثانيًا، عندما يغادر أحد الموظفين، يتعين عليك تغيير هذا المفتاح المشترك وإعادة ضبط الإعدادات على جميع الأجهزة لجميع المستخدمين. لتجنب مثل هذه المشاكل، يوجد WPA2-Enterprise مع مصادقة فردية لكل مستخدم. ولكن لهذا تحتاج إلى خادم RADIUS - وحدة بنية أساسية أخرى تحتاج إلى التحكم فيها وإجراء النسخ الاحتياطية وما إلى ذلك.

يرجى ملاحظة أننا استخدمنا أنظمة الدعم في كل مرحلة، سواء كانت تنفيذية أو تشغيلية. يتضمن ذلك جهاز كمبيوتر محمولًا مزودًا باتصال إنترنت "لطرف ثالث"، ونظام مراقبة، وقاعدة بيانات مرجعية للمعدات، ونظام RADIUS كنظام مصادقة. بالإضافة إلى أجهزة الشبكة، يتعين عليك أيضًا صيانة خدمات الجهات الخارجية.

في مثل هذه الحالات، يمكنك سماع النصيحة: "أعطها للسحابة ولا تعاني". من المؤكد أن هناك سحابة Zabbix، وربما توجد سحابة RADIUS في مكان ما، وحتى قاعدة بيانات سحابية للاحتفاظ بقائمة الأجهزة. المشكلة هي أن هذا ليس ضروريًا بشكل منفصل، بل "في زجاجة واحدة". ولا تزال هناك أسئلة حول تنظيم الوصول والإعداد الأولي للجهاز والأمان وغير ذلك الكثير.

كيف يبدو الأمر عند استخدام Nebula؟

بالطبع، في البداية "السحابة" لا تعرف شيئًا عن خططنا أو المعدات المشتراة.

أولاً، يتم إنشاء ملف تعريف المؤسسة. أي أن البنية التحتية بأكملها: المقر الرئيسي والفروع يتم تسجيلها أولاً في السحابة. يتم تحديد التفاصيل وإنشاء الحسابات لتفويض السلطة.

يمكنك تسجيل أجهزتك في السحابة بطريقتين: الطريقة القديمة - ببساطة عن طريق إدخال الرقم التسلسلي عند ملء نموذج ويب أو عن طريق مسح رمز الاستجابة السريعة باستخدام الهاتف المحمول. كل ما تحتاجه للطريقة الثانية هو هاتف ذكي مزود بكاميرا وإمكانية الوصول إلى الإنترنت، بما في ذلك من خلال مزود خدمة الهاتف المحمول.

وبطبيعة الحال، يتم توفير البنية التحتية اللازمة لتخزين المعلومات، سواء المحاسبة أو الإعدادات، من قبل Zyxel Nebula.

الشكل 1. التقرير الأمني ​​لمركز التحكم في السديم.

ماذا عن إعداد الوصول؟ فتح المنافذ، وإعادة توجيه حركة المرور عبر بوابة واردة، كل ما يطلق عليه مسؤولو الأمن بمودة "فتحات الالتقاط"؟ لحسن الحظ، لا تحتاج إلى القيام بكل هذا. تقوم الأجهزة التي تقوم بتشغيل Nebula بإنشاء اتصال صادر. ولا يتصل المسؤول بجهاز منفصل، بل بالسحابة للتكوين. يتوسط Nebula بين اتصالين: بالجهاز وكمبيوتر مسؤول الشبكة. وهذا يعني أنه يمكن تقليل مرحلة الاتصال بالمسؤول الوارد أو تخطيها تمامًا. ولا توجد "ثقوب" إضافية في جدار الحماية.

ماذا عن خادم RADUIS؟ بعد كل شيء، هناك حاجة إلى نوع من المصادقة المركزية!

ويتم الاستيلاء على هذه الوظائف أيضًا بواسطة Nebula. تتم مصادقة الحسابات للوصول إلى المعدات من خلال قاعدة بيانات آمنة. وهذا يبسط إلى حد كبير تفويض أو سحب حقوق إدارة النظام. نحن بحاجة إلى نقل الحقوق - إنشاء مستخدم، وتعيين دور. نحن بحاجة إلى إزالة الحقوق - نقوم بالخطوات العكسية.

بشكل منفصل، تجدر الإشارة إلى WPA2-Enterprise، الذي يتطلب خدمة مصادقة منفصلة. لدى Zyxel Nebula نظيره الخاص - DPPSK، والذي يسمح لك باستخدام WPA2-PSK مع مفتاح فردي لكل مستخدم.

أسئلة "غير مريحة".

سنحاول أدناه تقديم إجابات على الأسئلة الأكثر صعوبة التي يتم طرحها غالبًا عند الدخول إلى الخدمة السحابية

هل هي آمنة حقا؟

في أي تفويض للتحكم والإدارة لضمان الأمن، يلعب عاملان دورًا مهمًا: إخفاء الهوية والتشفير.

إن استخدام التشفير لحماية حركة المرور من أعين المتطفلين هو أمر يعرفه القراء بشكل أو بآخر.

يؤدي إخفاء الهوية إلى إخفاء المعلومات المتعلقة بالمالك والمصدر من موظفي موفر الخدمة السحابية. تتم إزالة المعلومات الشخصية ويتم تعيين معرف "مجهول الهوية" للسجلات. ولا يستطيع مطور البرامج السحابية ولا المسؤول الذي يتولى صيانة النظام السحابي معرفة صاحب الطلبات. "أين جاء هذا من؟ من قد يكون مهتمًا بهذا؟" - ستبقى هذه الأسئلة دون إجابة. إن نقص المعلومات حول المالك والمصدر يجعل المطلعين مضيعة للوقت لا طائل من ورائها.

إذا قارنا هذا النهج بالممارسة التقليدية المتمثلة في الاستعانة بمصادر خارجية أو تعيين مسؤول جديد، فمن الواضح أن التقنيات السحابية أكثر أمانًا. يعرف متخصص تكنولوجيا المعلومات الوافد الكثير عن مؤسسته، ويمكنه، طوعًا أو كرها، أن يسبب ضررًا كبيرًا من حيث الأمن. لا تزال مسألة الفصل أو إنهاء العقد بحاجة إلى حل. في بعض الأحيان، بالإضافة إلى حظر أو حذف حساب، يستلزم ذلك تغييرًا عالميًا لكلمات المرور للوصول إلى الخدمات، بالإضافة إلى مراجعة جميع الموارد لنقاط الدخول "المنسية" و"الإشارات المرجعية" المحتملة.

ما مدى تكلفة أو تكلفة Nebula مقارنة بالمسؤول القادم؟

كل شيء نسبي. ميزات Nebula الأساسية متاحة مجانًا. في الواقع، ما الذي يمكن أن يكون أرخص؟

بالطبع، من المستحيل الاستغناء عن مسؤول الشبكة أو الشخص الذي يحل محله. السؤال هو عدد الأشخاص وتخصصهم وتوزيعهم عبر المواقع.

أما بالنسبة للخدمة الممتدة المدفوعة، فطرح سؤالا مباشرا: أكثر تكلفة أو أرخص - سيكون هذا النهج دائما غير دقيق ومن جانب واحد. سيكون من الأصح مقارنة العديد من العوامل، بدءًا من المال لدفع تكاليف عمل متخصصين محددين وانتهاءً بتكاليف ضمان تفاعلهم مع مقاول أو فرد: مراقبة الجودة، وإعداد الوثائق، والحفاظ على مستوى الأمان، و قريباً.

إذا كنا نتحدث عن موضوع ما إذا كان شراء حزمة مدفوعة من الخدمات (Pro-Pack) مربحًا أم غير مربح، فقد تبدو الإجابة التقريبية كما يلي: إذا كانت المنظمة صغيرة، فيمكنك التعامل مع الأساسيات الإصدار، إذا كانت المنظمة تنمو، فمن المنطقي التفكير في Pro-Pack. يمكن رؤية الاختلافات بين إصدارات Zyxel Nebula في الجدول 1.

الجدول 1. الاختلافات بين مجموعات الميزات الأساسية وميزات Pro-Pack الخاصة بـ Nebula.

يتضمن ذلك التقارير المتقدمة وتدقيق المستخدم واستنساخ التكوين وغير ذلك الكثير.

ماذا عن الحماية المرورية؟

يستخدم السديم البروتوكول NETCONF لضمان التشغيل الآمن لمعدات الشبكة.

يمكن تشغيل NETCONF فوق العديد من بروتوكولات النقل:

• SSH (RFC 4742);
• صابون (RFC 4743);
• زمارة (RFC 4744);
• TLS (RFC 5539).

إذا قارنا NETCONF بطرق أخرى، على سبيل المثال، الإدارة عبر SNMP، تجدر الإشارة إلى ذلك NETCONF يدعم اتصال TCP الصادر للتغلب على حاجز NAT ويعتبر أكثر موثوقية.

ماذا عن دعم الأجهزة؟

بالطبع، لا ينبغي تحويل غرفة الخادم إلى حديقة حيوانات تضم ممثلي أنواع المعدات النادرة والمهددة بالانقراض. من المرغوب فيه للغاية أن تغطي المعدات الموحدة بواسطة تكنولوجيا الإدارة جميع الاتجاهات: من المفتاح المركزي إلى نقاط الوصول. لقد اهتم مهندسو Zyxel بهذا الاحتمال. يشغل Nebula العديد من الأجهزة:

• مفاتيح مركزية 10 جيجا؛
• مفاتيح مستوى الوصول؛
• مفاتيح مع PoE؛
• نقطة وصول؛
• بوابات الشبكة.

باستخدام مجموعة واسعة من الأجهزة المدعومة، يمكنك إنشاء شبكات لأنواع مختلفة من المهام. هذا ينطبق بشكل خاص على الشركات التي لا تنمو إلى الأعلى، ولكن إلى الخارج، وتستكشف باستمرار مجالات جديدة لممارسة الأعمال التجارية.

التطوير المستمر

تتمتع أجهزة الشبكة التي تستخدم طريقة الإدارة التقليدية بطريقة واحدة فقط للتحسين - وهي تغيير الجهاز نفسه، سواء كان برنامجًا ثابتًا جديدًا أو وحدات إضافية. في حالة Zyxel Nebula، هناك طريق إضافي للتحسين - من خلال تحسين البنية التحتية السحابية. على سبيل المثال، بعد تحديث Nebula Control Center (NCC) إلى الإصدار 10.1. (21 سبتمبر 2020) ميزات جديدة متاحة للمستخدمين، إليك بعض منها:

• يمكن لمالك المؤسسة الآن نقل جميع حقوق الملكية إلى مسؤول آخر في نفس المؤسسة؛
• ودور جديد يسمى ممثل المالك، والذي يتمتع بنفس الحقوق التي يتمتع بها مالك المؤسسة؛
• ميزة تحديث البرامج الثابتة الجديدة على مستوى المؤسسة (ميزة Pro-Pack)؛
• تمت إضافة خيارين جديدين إلى الهيكل: إعادة تشغيل الجهاز وتشغيل وإيقاف تشغيل منفذ PoE (وظيفة Pro-Pack)؛
• دعم نماذج نقاط الوصول الجديدة: WAC500، WAC500H، WAC5302D-Sv2 وNWA1123ACv3؛
• دعم مصادقة القسيمة من خلال طباعة رمز الاستجابة السريعة (وظيفة Pro-Pack).

وصلات مفيدة

1. دردشة برقية زيكسيل
2. منتدى معدات Zyxel
3. الكثير من الفيديوهات المفيدة على قناة اليوتيوب
4. Zyxel Nebula - سهولة الإدارة كأساس للادخار
5. الفرق بين إصدارات Zyxel Nebula
6. Zyxel Nebula ونمو الشركة
7. سحابة Zyxel Nebula المستعرة الأعظم - طريق فعال من حيث التكلفة للأمان؟
8. Zyxel Nebula – خيارات لعملك

المصدر: www.habr.com