У артыкуле пойдзе размова аб праблемах арганізацыі сеткавай інфраструктуры традыцыйным спосабам і аб метадах вырашэння тых жа самых пытанняў пры дапамозе хмарных тэхналогій.
Для даведкі. Nebula – хмарнае асяроддзе SaaS для выдаленага падтрымання сеткавай інфраструктуры. Усе прылады, якія падтрымліваюць Nebula, кіруюцца з аблокі праз бяспечнае злучэнне. Можна кіраваць буйной размеркаванай сеткавай інфраструктурай з адзінага цэнтра, не затраціўшы намаганні па яго стварэнню.
Навошта патрэбен чарговы хмарны сэрвіс?
Асноўная праблема пры працы з сеткавай інфраструктурай - гэта не праектаванне сеткі і закуп абсталявання, і нават не мантаж у стойку, а ўсё тое астатняе, што з гэтай сеткай у далейшым трэба будзе рабіць.
Сетка новая - клопаты старыя
Пры ўводзе ў эксплуатацыю новага вузла сеткі пасля мантажу і падлучэнні абсталявання пачынаецца першапачатковая налада. З пункту гледжання «вялікага начальства» - нічога складанага: «Бяром працоўную дакументацыю па праекце і пачынаем наладжваць…» Гэта так выдатна гаворыцца, калі ўсе сеткавыя элементы стаяць у адным ЦАД. Калі ж яны раскіданыя па філіялах, пачынаецца галаўны боль з забеспячэннем выдаленага доступу. Такое вось замкнёнае кола: каб атрымаць выдалены доступ па сетцы, трэба наладзіць сеткавае абсталяванне, а для гэтага патрэбен доступ па сетцы…
Даводзіцца прыдумляць розныя схемы для выхаду з вышэйапісанага тупіку. Напрыклад, наўтбук з доступам у Інтэрнэт праз USB 4G мадэм падлучаецца праз патчкорд да наладжвальнай сеткі. На гэтым наўтбуку паднімаецца VPN кліент, і праз яго сеткавы адміністратар са штаб-кватэры спрабуе атрымаць доступ да сеткі філіяла. Схема не самая празрыстая - нават калі прывезці наўтбук з загадзя настроеным VPN на выдаленую пляцоўку і папрасіць яго ўключыць, далёка не факт што ўсё запрацуе з першага разу. Асабліва калі гаворка пра іншы рэгіён з іншым правайдэрам.
Атрымліваецца, самы надзейны спосаб - трымаць «на іншым канцы провада» добрага спецыяліста, які зможа наладзіць сваю частку згодна з праектам. Калі такога ў штаце філіяла няма, застаюцца варыянты: альбо аўтсорсінг, альбо камандзіроўка.
Яшчэ патрэбная сістэма маніторынгу. Яе патрабуецца ўсталяваць, наладзіць, абслугоўваць (хоць бы сачыць за месцам на дыску, і рэгулярна рабіць рэзервовыя копіі). І якая нічога не ведае аб нашых прыладах, пакуль мы ёй не паведамім. Для гэтага трэба прапісаць наладкі для ўсіх адзінак абсталявання і рэгулярна сачыць за актуальнасцю запісаў.
Выдатна, калі ў штаце ёсць свой "чалавек-аркестр", які, апроч спецыфічных ведаў сеткавага адміністратара, умее працаваць з Zabbix ці з іншай аналагічнай сістэмай. У адваротным выпадку бярэм яшчэ аднаго чалавека ў штат ці аддаём на аўтсорсінг.
Заўвага. Самыя сумныя праколы пачынаюцца са слоў: «Ды што тамака гэты Zabbix (Nagios, OpenView і т.д.) наладжваць? Я зараз вось яго хуценька падыму і гатова!»
Ад укаранення да эксплуатацыі
Разгледзім пэўны прыклад.
Атрымана трывожнае паведамленне аб тым, што недзе не адказвае кропка доступу WiFi.
Дзе яна знаходзіцца?
Зразумела, у добрага сеткавага адміністратара ёсць свой асабісты даведнік, у якім усё запісана. Пытанні пачынаюцца, калі гэтай інфармацыяй трэба дзяліцца. Напрыклад, трэба тэрмінова паслаць ганца, каб разабрацца на месцы, а для гэтага трэба выдаць нешта накшталт: «Кропка доступу ў бізнэс-цэнтры на вуліцы Будаўнікоў, хата 1, на 3-м паверсе, кабінет N 301 побач з уваходнымі дзвярыма пад столлю».
Дапушчальны, нам павезла і кропка доступу сілкуецца праз PoE, а камутатар дазваляе яе перазагрузіць выдалена. Ехаць не трэба, але патрэбен выдалены доступ да камутатара. Застаецца наладзіць пракід партоў праз PAT на маршрутызатары, разабрацца з VLAN для падлучэння звонку і гэтак далей. Добра, калі ўсё наладжана загадзя. Праца, можа, і не складаная, але рабіць трэба.
Такім чынам, кропку па харчаванні перазагрузілі. Не дапамагло?
Дапусцім, нешта не так у апаратнай частцы. Цяпер шукаем інфармацыю аб гарантыі, пачатку эксплуатацыі і іншых цікавых дэталях.
Дарэчы аб WiFi. Выкарыстанне хатняга варыянту WPA2-PSK, у якім адзін ключ на ўсе прылады – у карпаратыўным асяроддзі не рэкамендуецца. Па-першае, адзін ключ на ўсіх - гэта папросту небяспечна, па-другое, калі адзін супрацоўнік звальняецца, то даводзіцца мяняць гэты агульны ключ і зноўку выконваць налады на ўсіх прыладах ва ўсіх карыстальнікаў. Каб пазбегнуць падобных непрыемнасцяў, існуе WPA2-Enterprise з індывідуальнай аўтэнтыфікацыяй для кожнага карыстальніка. Але для гэтага патрэбен RADIUS сервер - яшчэ адна інфраструктурная адзінка, якую трэба кантраляваць, рабіць рэзервовыя копіі і гэтак далей.
Звярніце ўвагу, на кожным этапе, няхай гэта будзе ўкараненне або эксплуатацыя, мы карысталіся дапаможнымі сістэмамі. Гэта і ноўтбук са "іншым" выхадам у Інтэрнэт, і сістэма маніторынгу, і даведачная база па абсталяванні, і RADIUS як сістэма аўтэнтыфікацыі. Апроч сеткавых прылад, даводзіцца абслугоўваць яшчэ і іншыя сэрвісы.
У такіх выпадках можна пачуць параду: «Аддаць у воблака і не пакутаваць». Напэўна ёсць хмарны Zabbix, магчыма дзесьці ёсць хмарны RADIUS, і нават хмарная база дадзеных, каб весці спіс прылад. Бяда ў тым, што гэта трэба не паасобку, а "у адным флаконе". І ўсё роўна ўстаюць пытанні арганізацыі доступу, першапачатковай налады прылад, бяспекі і многае іншае.
Як гэта выглядае пры выкарыстанні Nebula?
Зразумела, першапачаткова "воблака" нічога не ведае ні аб нашых планах, ні аб набытым абсталяванні.
Спачатку ствараецца профіль арганізацыі. Гэта значыць уся інфраструктура: штаб-кватэра і філіялы спачатку прапісваецца ў воблаку. Указваюцца рэквізіты, ствараюцца ўліковыя запісы для дэлегавання паўнамоцтваў.
Зарэгістраваць выкарыстоўваныя прылады ў воблаку можна двума спосабамі: па-старому - проста упісаўшы серыйнік пры запаўненні вэб-формы або адсканаваўшы QR-код пры дапамозе мабільнага тэлефона. Усё, што трэба для другога спосабу - смартфон з камерай і доступам у Інтэрнэт, у тым ліку праз мабільнага правайдэра.
Зразумела, неабходную інфраструктуру для захоўвання інфармацыі, як уліковай, так і налад дае Zyxel Nebula.
Малюнак 1. Справаздача бяспекі Nebula Control Center.
А што з настройкай доступу? Адкрыццём партоў, пракідам трафіку праз уваходны шлюз, усім тым, што адміністратары бяспекі ласкава называюць: «накалупаць дзірак»? Да шчасця, гэтага ўсяго рабіць не трэба. Прылады пад кіраваннем Nebula усталёўваюць выходнае злучэнне. І адміністратар для налады падключаецца не да асобнай прылады, а да воблака. Nebula выступае пасярэднікам паміж двума злучэннямі: з прыладай і з кампутарам сеткавага адміністратара. Гэта азначае, што этап з выклікам адміністратара, які прыходзіць, можна звесці да мінімуму, альбо прапусціць зусім. І ніякіх дадатковых "дзірак" на файрволе.
А як жа RADUIS сервер? Бо патрэбная нейкая цэнтралізаваная аўтэнтыфікацыя!
І гэтыя функцыі таксама бярэ на сябе Nеbula. Аўтэнтыфікацыі уліковых запісаў для доступу да абсталявання ідзе праз абароненую базу дадзеных. Гэта моцна спрашчае дэлегаванне або адабранне правоў па кіраванні сістэмай. Трэба перадаць правы - заводзім карыстальніка, прызначаем ролю. Трэба адабраць правы - выконваем адваротныя дзеянні.
Асобна варта сказаць аб WPA2-Enterprise, для якога патрэбен асобны сэрвіс аўтэнтыфікацыі. У Zyxel Nebula ёсць уласны аналаг – DPPSK, які дазваляе выкарыстоўваць WPA2-PSK з індывідуальным ключом для кожнага карыстальніка.
"Нязручныя" пытанні
Ніжэй паспрабуем даць адказы на найболей падступныя пытанні, якія часта задаюць пры ўваходжанні ў хмарны сэрвіс
А гэта сапраўды бяспечна?
Пры любым дэлегаванні кантролю і кіраванні для забеспячэння бяспекі важную ролю гуляюць два фактары: ананімізацыя і шыфраванне.
Выкарыстанне шыфравання для абароны трафіку ад старонніх вачэй - гэта чытачам больш ці меней знаёма.
Ананімізацыя хавае ад персанала хмарнага правайдэра інфармацыю аб уладальніку і крыніцы. Персанальная інфармацыя выдаляецца, а запісам прысвойваецца "безаблічны" ідэнтыфікатар. Ні распрацоўшчык хмарнага ПЗ, ні адміністратар, які абслугоўвае хмарную сістэму - не могуць ведаць уладальніка запытаў. «Адкуль гэта прыйшло? Каго гэта можа зацікавіць?», - такія пытанні застануцца без адказу. Адсутнасць дадзеных аб уладальніку і крыніцы робіць інсайдынг бессэнсоўным марнаваннем часу.
Калі параўноўваць дадзены падыход з традыцыйнай практыкай перадачы на аўтсорсінг або найму які прыходзіць адміна – відавочна, што хмарныя тэхналогіі бяспечней. Прыходны ІТ адмысловец ведае аб сваёй падапечнай арганізацыі досыць шмат, і можа воляй ці няволяй нанесці істотную шкоду ў плане бяспекі. Яшчэ трэба вырашыць пытанне звальнення ці завяршэння дамовы. Часам, апроч блакавання або выдаленні ўліковага запісу, гэта цягне глабальную змену пароляў для доступу да сэрвісаў, а таксама аўдыт усіх рэсурсаў на прадмет "забытых" кропак уваходу і магчымых "закладак".
Наколькі Nebula даражэй ці танней які прыходзіць адміна?
Усё спазнаецца ў параўнанні. Базавыя функцыі Nebula даступныя бясплатна. Уласна, што можа быць яшчэ таннейшым?
Зразумела, цалкам абыйсціся без сеткавага адміністратара або асобы, якая яго замяняе не атрымаецца. Пытанне ў колькасці людзей, іх спецыялізацыі і размеркаванні па пляцоўках.
Што ж тычыцца платнага пашыранага сэрвісу, то ставіць прамое пытанне: даражэй ці танней - такі падыход заўсёды будзе недакладным і аднабокім. Правільней будзе параўнаць мноства фактараў, пачынальна ад грошай на аплату працы пэўных адмыслоўцаў і сканчаючы выдаткамі па забеспячэнні іх узаемадзеяння з падраднай арганізацыяй ці фізічнай асобай: кантроль якасці выканання, складанне дакументацыі, падтрыманне ўзроўня бяспекі і гэтак далей.
Калі ж казаць на тэму выгодна ці не выгодна набываць платны пакет паслуг (Pro-Pack), то прыкладны адказ можа гучаць так: калі арганізацыя маленькая, можна абыйсціся базавай версіяй, калі арганізацыя расце, тое мае сэнс падумаць аб Pro-Pack. Адрозненне паміж версіямі Zyxel Nebula можна паглядзець у табліцы 1.
Табліца 1. Адрозненні набораў функцый базавай версіі і версіі Pro-Pack для Nebula.
Гэта і пашыраная справаздачнасць, і аўдыт карыстальнікаў, і кланаванне канфігурацыі, і шматлікае іншае.
А што з абаронай трафіку?
Nebula выкарыстоўвае пратакол для забеспячэння бяспекі працы з сеткавым абсталяваннем.
NETCONF можа працаваць па-над некалькі транспартных пратаколаў:
- ();
- ();
- ();
- ().
Калі параўноўваць NETCONF з іншымі метадамі, напрыклад, кіраванне праз SNMP – варта адзначыць, што NETCONF падтрымлівае выходнае TCP-злучэнне для пераадолення бар'ера NAT і лічыцца больш надзейным.
Што з падтрымкай абсталявання?
Зразумела, не варта ператвараць серверную ў заапарк з прадстаўнікамі рэдкіх і выміраючых відаў абсталявання. Вельмі пажадана, каб абсталяванне, аб'яднанае тэхналогіяй кіравання, зачыняла ўсе кірункі: ад цэнтральнага камутатара да кропак доступу. Інжынеры Zyxel паклапаціліся аб такой магчымасці. Пад кіраваннем Nebula працуе мноства прылад:
- цэнтральныя камутатары 10G;
- камутатары ўзроўню доступу;
- камутатары з PoE;
- кропкі доступу;
- сеткавыя шлюзы.
Выкарыстоўваючы шырокі спектр падтрымоўваных прылад можна будаваць сеткі пад розныя тыпы задач. Асабліва гэта актуальна для кампаній, якія растуць не ўверх, а ўшыркі, якія пастаянна асвойваючы новыя пляцоўкі для вядзення бізнесу.
пастаяннае развіццё
Сеткавыя прылады з традыцыйным метадам кіравання маюць толькі адзін шлях удасканалення — змена самай прылады, няхай гэта будзе новая прашыўка ці дадатковыя модулі. У выпадку з Zyxel Nebula ёсць дадатковы шлях для паляпшэнняў – праз удасканаленне хмарнай інфраструктуры. Напрыклад, пасля абнаўлення Nebula Control Center (NCC) да версіі 10.1. (21 верасня 2020 г.) карыстальнікам даступныя новыя магчымасці, вось некаторыя з іх:
- уладальнік арганізацыі зараз можа перадаць усе правы валодання іншаму адміністратару ў той жа арганізацыі;
- новая роля пад назвай "Прадстаўнік уладальніка", якая мае тыя ж правы, што і ўладальнік арганізацыі;
- новая функцыя абнаўлення прашыўкі ў маштабах усёй арганізацыі (функцыя Pro-Pack);
- у тапалогію дададзены дзве новыя опцыі: перазагрузка прылады і ўключэнне і выключэнне харчавання порта PoE (функцыя Pro-Pack);
- падтрымка новых мадэляў кропак доступу: WAC500, WAC500H, WAC5302D-Sv2 і NWA1123ACv3;
- падтрымка аўтэнтыфікацыі па ваўчарах з пячаткай QR-кодаў (функцыя Pro-Pack).
Карысныя спасылкі
Крыніца: habr.com