Məqalədə şəbəkə infrastrukturunun ənənəvi şəkildə təşkili problemləri və bulud texnologiyalarından istifadə etməklə eyni məsələlərin həlli üsulları müzakirə olunacaq.
Sened üçün. Nebula şəbəkə infrastrukturunu uzaqdan saxlamaq üçün SaaS bulud mühitidir. Bütün Nebula effektiv cihazlar təhlükəsiz əlaqə vasitəsilə buluddan idarə olunur. Böyük paylanmış şəbəkə infrastrukturunu yaratmaq üçün səy sərf etmədən tək bir mərkəzdən idarə edə bilərsiniz.
Niyə başqa bulud xidmətinə ehtiyacınız var?
Şəbəkə infrastrukturu ilə işləyərkən əsas problem şəbəkənin layihələndirilməsi və avadanlıqların alınması və ya hətta rafa quraşdırılması deyil, gələcəkdə bu şəbəkə ilə edilməli olan hər şeydir.
Yeni şəbəkə - köhnə narahatlıqlar
Avadanlıqları quraşdırdıqdan və birləşdirdikdən sonra yeni bir şəbəkə nodeunu işə salarkən ilkin konfiqurasiya başlayır. “Böyük bosslar” nöqteyi-nəzərindən - mürəkkəb heç nə yoxdur: “Biz layihə üçün işçi sənədləri götürürük və qurmağa başlayırıq...” Bütün şəbəkə elementləri bir məlumat mərkəzində yerləşdikdə, bu, çox yaxşı deyilir. Budaqlar arasında səpələnmişlərsə, uzaqdan girişin təmin edilməsinin baş ağrısı başlayır. Bu, çox pis bir dairədir: şəbəkə üzərindən uzaqdan giriş əldə etmək üçün şəbəkə avadanlığını konfiqurasiya etməlisiniz və bunun üçün sizə şəbəkə üzərindən giriş lazımdır...
Yuxarıda təsvir olunan çıxılmaz vəziyyətdən çıxmaq üçün müxtəlif sxemlər hazırlamalıyıq. Məsələn, USB 4G modem vasitəsilə İnternetə çıxışı olan bir dizüstü kompüter yamaq kabeli vasitəsilə xüsusi şəbəkəyə qoşulur. Bu noutbukda VPN müştərisi quraşdırılıb və onun vasitəsilə baş ofisdən olan şəbəkə administratoru filial şəbəkəsinə daxil olmağa çalışır. Sxem ən şəffaf deyil - əvvəlcədən konfiqurasiya edilmiş VPN ilə noutbuku uzaq bir sayta gətirsəniz və onu yandırmağı xahiş etsəniz də, hər şeyin ilk dəfə işləyəcəyi bir həqiqətdən uzaqdır. Xüsusilə fərqli bir provayderlə fərqli bir bölgədən danışırıqsa.
Məlum oldu ki, ən etibarlı yol, öz hissəsini layihəyə uyğun olaraq konfiqurasiya edə bilən "xəttin digər ucunda" yaxşı bir mütəxəssisin olmasıdır. Filial işçilərində belə bir şey yoxdursa, seçimlər qalır: ya autsorsing, ya da işgüzar səfər.
Bizə də monitorinq sistemi lazımdır. Onu quraşdırmaq, konfiqurasiya etmək, saxlamaq lazımdır (ən azı disk sahəsinə nəzarət etmək və müntəzəm ehtiyat nüsxələrini çıxarmaq). Və biz bunu deyənə qədər cihazlarımız haqqında heç nə bilmir. Bunu etmək üçün bütün avadanlıq parçaları üçün parametrləri qeydiyyatdan keçirməli və qeydlərin aktuallığını mütəmadi olaraq izləməlisiniz.
Şəbəkə administratorunun xüsusi biliklərinə əlavə olaraq, Zabbix və ya digər oxşar sistemlə necə işləməyi bilən heyətin öz "bir nəfərlik orkestri" olduqda əladır. Əks halda, işçi heyətinə başqa bir şəxsi işə götürürük və ya onu autsorsing edirik.
Qeyd edək. Ən kədərli səhvlər bu sözlərlə başlayır: “Bu Zabbix-i (Nagios, OpenView və s.) konfiqurasiya etmək üçün nə var? Mən onu tez götürəcəyəm və hazırdır! ”
İcradan əməliyyata qədər
Konkret bir misala baxaq.
WiFi giriş nöqtəsinin haradasa cavab vermədiyini göstərən həyəcan mesajı qəbul edildi.
O haradadır?
Əlbəttə ki, yaxşı bir şəbəkə administratorunun hər şeyin yazıldığı öz şəxsi kataloqu var. Suallar bu məlumatın paylaşılması lazım olduqda başlayır. Məsələn, işi yerində həll etmək üçün təcili olaraq messencer göndərməlisiniz və bunun üçün belə bir şey verməlisiniz: “Stroiteley küçəsi, bina 1, 3-cü mərtəbədəki biznes mərkəzində giriş nöqtəsi, otaq №. 301, tavanın altındakı ön qapının yanında."
Deyək ki, şanslıyıq və giriş nöqtəsi PoE vasitəsilə işləyir və keçid onu uzaqdan yenidən işə salmağa imkan verir. Səyahət etmək lazım deyil, ancaq keçidə uzaqdan daxil olmaq lazımdır. Yalnız marşrutlaşdırıcıda PAT vasitəsilə port yönləndirməsini konfiqurasiya etmək, kənardan qoşulmaq üçün VLAN-ı tapmaq və s. Hər şey əvvəlcədən qurulsa yaxşıdır. İş çətin olmaya bilər, amma bunu etmək lazımdır.
Beləliklə, yemək məntəqəsi yenidən işə salındı. kömək etmədi?
Deyək ki, aparatda bir şey səhvdir. İndi biz zəmanət, işə salınma və maraq doğuran digər detallar haqqında məlumat axtarırıq.
Söhbət WiFi-dən gedir. Bütün cihazlar üçün bir açarı olan WPA2-PSK-nın ev versiyasından istifadə korporativ mühitdə tövsiyə edilmir. Birincisi, hər kəs üçün bir açar sadəcə olaraq təhlükəlidir, ikincisi, bir işçi ayrıldıqda, bu ümumi açarı dəyişməli və bütün istifadəçilər üçün bütün cihazlarda parametrləri yenidən etməlisiniz. Belə problemlərin qarşısını almaq üçün hər bir istifadəçi üçün fərdi identifikasiyası olan WPA2-Enterprise mövcuddur. Ancaq bunun üçün sizə RADIUS server lazımdır - nəzarət edilməli olan başqa bir infrastruktur vahidi, ehtiyat nüsxələrin yaradılması və s.
Nəzərə alın ki, hər mərhələdə, istər icra, istərsə də əməliyyat, biz dəstək sistemlərindən istifadə etdik. Buraya “üçüncü tərəf” İnternet bağlantısı olan noutbuk, monitorinq sistemi, avadanlıq istinad bazası və autentifikasiya sistemi kimi RADIUS daxildir. Şəbəkə cihazlarına əlavə olaraq siz üçüncü tərəf xidmətlərini də saxlamalısınız.
Belə hallarda məsləhəti eşidə bilərsiniz: “Buluda ver və əziyyət çəkmə”. Şübhəsiz ki, Zabbix bulud var, bəlkə də haradasa bulud RADIUS və hətta cihazların siyahısını saxlamaq üçün bulud bazası var. Problem ondadır ki, bu ayrıca lazım deyil, "bir şüşədə". Yenə də girişin təşkili, cihazın ilkin quraşdırılması, təhlükəsizlik və daha çox şeylə bağlı suallar yaranır.
Nebula istifadə edərkən nə kimi görünür?
Əlbəttə ki, əvvəlcə "bulud" bizim planlarımız və ya satın alınan avadanlıq haqqında heç nə bilmir.
Əvvəlcə təşkilat profili yaradılır. Yəni bütün infrastruktur: qərargah və filiallar əvvəlcə buludda qeydə alınır. Təfərrüatlar dəqiqləşdirilir və səlahiyyətlərin verilməsi üçün hesablar yaradılır.
Cihazlarınızı buludda iki yolla qeydiyyatdan keçirə bilərsiniz: köhnə üsulla - sadəcə olaraq veb formanı doldurarkən seriya nömrəsini daxil etməklə və ya mobil telefondan istifadə edərək QR kodunu skan etməklə. İkinci üsul üçün sizə lazım olan tək şey kamerası və internetə çıxışı olan smartfondur, o cümlədən mobil provayder vasitəsilə.
Əlbəttə ki, məlumatların saxlanması üçün lazımi infrastruktur, həm mühasibat, həm də parametrlər Zyxel Nebula tərəfindən təmin edilir.
Şəkil 1. Nebula İdarəetmə Mərkəzinin təhlükəsizlik hesabatı.
Girişin qurulması haqqında nə demək olar? Limanların açılması, gələn şlüz vasitəsilə trafikin yönləndirilməsi, təhlükəsizlik administratorlarının mehribanlıqla “deşik seçmə” adlandırdıqları bütün bunlar? Xoşbəxtlikdən, bütün bunları etmək lazım deyil. Nebula ilə işləyən cihazlar gedən əlaqə yaradır. Və administrator ayrı bir cihaza deyil, konfiqurasiya üçün buluda qoşulur. Nebula iki əlaqə arasında vasitəçilik edir: cihaza və şəbəkə administratorunun kompüterinə. Bu o deməkdir ki, gələn adminə zəng etmək mərhələsi minimuma endirilə və ya tamamilə atlana bilər. Firewallda əlavə "deşiklər" yoxdur.
RADUIS serveri haqqında nə demək olar? Axı, bir növ mərkəzləşdirilmiş autentifikasiya lazımdır!
Və bu funksiyaları da Dumanlıq öz üzərinə götürür. Avadanlıqlara giriş üçün hesabların identifikasiyası təhlükəsiz verilənlər bazası vasitəsilə baş verir. Bu, sistemi idarə etmək üçün səlahiyyətlərin verilməsini və ya geri alınmasını xeyli asanlaşdırır. Hüquqları ötürməliyik - istifadəçi yaradın, rol təyin edin. Hüquqları əlimizdən almalıyıq - əks addımlar atırıq.
Ayrı-ayrılıqda, ayrıca autentifikasiya xidmətini tələb edən WPA2-Enterprise-ni qeyd etmək lazımdır. Zyxel Nebula'nın öz analoqu var - DPPSK, hər bir istifadəçi üçün fərdi açarla WPA2-PSK-dan istifadə etməyə imkan verir.
"Əlverişsiz" suallar
Aşağıda bulud xidmətinə girərkən tez-tez verilən ən çətin suallara cavab verməyə çalışacağıq
Həqiqətən təhlükəsizdirmi?
Təhlükəsizliyi təmin etmək üçün istənilən nəzarət və idarəetmə nümayəndəliyində iki amil mühüm rol oynayır: anonimləşdirmə və şifrələmə.
Trafiki maraqlı gözlərdən qorumaq üçün şifrələmədən istifadə oxucuların az-çox tanış olduğu bir şeydir.
Anonimləşdirmə sahibi və mənbə haqqında məlumatları bulud provayderinin işçilərindən gizlədir. Şəxsi məlumatlar silinir və qeydlərə “sifətsiz” identifikator verilir. Nə bulud proqram təminatı tərtibatçısı, nə də bulud sisteminə xidmət göstərən administrator sorğuların sahibini tanıya bilməz. "Bu haradan gəldi? Bunda kim maraqlı ola bilər?” – bu kimi suallar cavabsız qalacaq. Sahib və mənbə haqqında məlumatın olmaması insayderi mənasız vaxt itkisinə çevirir.
Bu yanaşmanı ənənəvi autsorsinq və ya gələn administrator işə götürmə təcrübəsi ilə müqayisə etsək, bulud texnologiyalarının daha təhlükəsiz olduğu açıq-aydın görünür. Gələn İT mütəxəssisi öz təşkilatı haqqında kifayət qədər çox şey bilir və istər-istəməz təhlükəsizlik baxımından əhəmiyyətli zərər verə bilər. İşdən çıxarılma və ya müqaviləyə xitam verilməsi məsələsi hələ də həll edilməlidir. Bəzən, hesabı bloklamaq və ya silməklə yanaşı, bu, xidmətlərə daxil olmaq üçün parolların qlobal dəyişdirilməsini, həmçinin "unudulmuş" giriş nöqtələri və mümkün "əlfəcinlər" üçün bütün resursların auditini tələb edir.
Nebula gələn admindən nə qədər baha və ya ucuzdur?
Hər şey nisbidir. Nebulanın əsas xüsusiyyətləri pulsuzdur. Əslində, daha ucuz nə ola bilər?
Əlbəttə ki, şəbəkə administratoru və ya onu əvəz edən şəxs olmadan tamamilə etmək mümkün deyil. Sual insanların sayı, onların ixtisaslaşması və saytlar arasında paylanmasıdır.
Ödənişli uzadılmış xidmətə gəldikdə, birbaşa sual vermək: daha bahalı və ya daha ucuz - belə bir yanaşma həmişə qeyri-dəqiq və birtərəfli olacaqdır. Puldan tutmuş konkret mütəxəssislərin əməyinin ödənilməsinə qədər və onların podratçı və ya şəxslə qarşılıqlı əlaqəsini təmin etmək xərclərinə qədər bir çox amilləri müqayisə etmək daha düzgün olardı: keyfiyyətə nəzarət, sənədlərin tərtib edilməsi, təhlükəsizlik səviyyəsinin qorunması və s.
Ödənişli xidmətlər paketini (Pro-Pack) satın almağın sərfəli və ya sərfəli olmadığı mövzusundan danışırıqsa, təxmini cavab belə səslənə bilər: əgər təşkilat kiçikdirsə, əsas şeylərlə məşğul ola bilərsiniz. versiya, əgər təşkilat böyüyürsə, o zaman Pro-Pack haqqında düşünməyin mənası var. Zyxel Nebula versiyaları arasındakı fərqləri Cədvəl 1-də görmək olar.
Cədvəl 1. Nebula üçün əsas və Pro-Pack funksiya dəstləri arasındakı fərqlər.
Buraya qabaqcıl hesabat, istifadəçi auditi, konfiqurasiyanın klonlaşdırılması və daha çox şey daxildir.
Bəs nəqliyyatın mühafizəsi?
Nebula protokoldan istifadə edir şəbəkə avadanlığının təhlükəsiz istismarını təmin etmək.
NETCONF bir neçə nəqliyyat protokolunun üstündə işləyə bilər:
- ();
- ();
- ();
- ().
NETCONF-u digər üsullarla, məsələn, SNMP vasitəsilə idarəetmə ilə müqayisə etsək, qeyd etmək lazımdır ki NETCONF NAT maneəsini aşmaq üçün gedən TCP bağlantısını dəstəkləyir və daha etibarlı hesab olunur.
Aparat dəstəyi haqqında nə demək olar?
Əlbəttə ki, server otağını nadir və nəsli kəsilməkdə olan avadanlıq növlərinin nümayəndələri ilə zooparka çevirməməlisiniz. İdarəetmə texnologiyası ilə birləşdirilən avadanlıqların bütün istiqamətləri əhatə etməsi çox arzu edilir: mərkəzi keçiddən tutmuş giriş nöqtələrinə qədər. Zyxel mühəndisləri bu imkandan istifadə etdilər. Nebula bir çox cihazı idarə edir:
- 10G mərkəzi açarları;
- giriş səviyyəsi açarları;
- PoE ilə açarlar;
- giriş nöqtələri;
- şəbəkə şlüzləri.
Geniş çeşiddə dəstəklənən cihazlardan istifadə edərək, müxtəlif növ tapşırıqlar üçün şəbəkələr qura bilərsiniz. Bu, xüsusilə yuxarıya doğru deyil, xaricə doğru böyüyən, daim iş görmək üçün yeni sahələri araşdıran şirkətlər üçün doğrudur.
Davamlı inkişaf
Ənənəvi idarəetmə üsulu ilə şəbəkə cihazlarının təkmilləşdirmənin yalnız bir yolu var - cihazın özünü dəyişdirmək, istər yeni proqram təminatı, istərsə də əlavə modullar. Zyxel Nebula vəziyyətində, təkmilləşdirmə üçün əlavə bir yol var - bulud infrastrukturunun təkmilləşdirilməsi. Məsələn, Nebula İdarəetmə Mərkəzini (NCC) 10.1 versiyasına yenilədikdən sonra. (21 sentyabr 2020) yeni funksiyalar istifadəçilər üçün əlçatandır, onlardan bəziləri bunlardır:
- Təşkilatın sahibi indi bütün mülkiyyət hüquqlarını eyni təşkilatdakı başqa bir inzibatçıya ötürə bilər;
- təşkilat sahibi ilə eyni hüquqlara malik olan Sahibi Nümayəndə adlı yeni rol;
- yeni təşkilat miqyasında proqram təminatı yeniləmə funksiyası (Pro-Pack xüsusiyyəti);
- topologiyaya iki yeni seçim əlavə edildi: cihazın yenidən işə salınması və PoE portunun gücünün açılması və söndürülməsi (Pro-Pack funksiyası);
- yeni giriş nöqtəsi modelləri üçün dəstək: WAC500, WAC500H, WAC5302D-Sv2 və NWA1123ACv3;
- QR kodu çapı ilə çekin autentifikasiyası üçün dəstək (Pro-Pack funksiyası).
Faydalı linklər
Mənbə: www.habr.com