L'article tractarà els problemes d'organització de la infraestructura de xarxa de la manera tradicional i els mètodes per resoldre els mateixos problemes mitjançant les tecnologies del núvol.
A manera de referència. Nebula és un entorn de núvol SaaS per al manteniment remot de la infraestructura de xarxa. Tots els dispositius compatibles amb Nebula es gestionen des del núvol mitjançant una connexió segura. Podeu gestionar una gran infraestructura de xarxa distribuïda des d'un únic centre sense gastar l'esforç de crear-la.
Per què necessiteu un altre servei al núvol?
El principal problema quan es treballa amb infraestructura de xarxa no és dissenyar la xarxa i comprar equips, ni tan sols instal·lar-lo en un bastidor, sinó tot el que s'haurà de fer amb aquesta xarxa en el futur.
Nova xarxa: velles preocupacions
Quan es posa en funcionament un nou node de xarxa després d'instal·lar i connectar l'equip, comença la configuració inicial. Des del punt de vista dels "grans caps", res complicat: "Agafem la documentació de treball del projecte i comencem a configurar..." Això es diu molt bé quan tots els elements de la xarxa es troben en un mateix centre de dades. Si estan dispersos per branques, comença el mal de cap de proporcionar accés remot. És un cercle tan viciós: per obtenir accés remot a la xarxa, cal configurar els equips de xarxa, i per això necessiteu accés a la xarxa...
Hem de plantejar diversos esquemes per sortir de l'atzucac descrit anteriorment. Per exemple, un ordinador portàtil amb accés a Internet mitjançant un mòdem USB 4G està connectat mitjançant un cable de connexió a una xarxa personalitzada. En aquest ordinador portàtil s'instal·la un client VPN i, a través d'ell, l'administrador de xarxa de la seu intenta accedir a la xarxa de sucursals. L'esquema no és el més transparent: fins i tot si porteu un ordinador portàtil amb una VPN preconfigurada a un lloc remot i demaneu activar-lo, no és cert que tot funcionarà la primera vegada. Sobretot si estem parlant d'una regió diferent amb un proveïdor diferent.
Resulta que la manera més fiable és tenir un bon especialista “a l'altre extrem de la línia” que pugui configurar la seva part segons el projecte. Si no hi ha tal cosa a la plantilla de l'oficina, les opcions es mantenen: o subcontractació o viatges de negocis.
També necessitem un sistema de seguiment. Cal instal·lar-lo, configurar-lo, mantenir-lo (almenys supervisar l'espai en disc i fer còpies de seguretat periòdiques). I que no sap res dels nostres dispositius fins que no ho diem. Per fer-ho, cal registrar la configuració de tots els equips i controlar regularment la rellevància dels registres.
És fantàstic quan el personal té la seva pròpia "orquestra d'un sol home", que, a més dels coneixements específics d'un administrador de xarxa, sap com treballar amb Zabbix o un altre sistema similar. En cas contrari, contractem una altra persona a la plantilla o la subcontractem.
Nota. Els errors més tristos comencen amb les paraules: “Què hi ha per configurar aquest Zabbix (Nagios, OpenView, etc.)? Ho recolliré ràpidament i ja està llest!"
Des de la implementació fins al funcionament
Vegem un exemple concret.
S'ha rebut un missatge d'alarma que indica que un punt d'accés WiFi en algun lloc no respon.
On és ella?
Per descomptat, un bon administrador de xarxa té el seu propi directori personal on tot està escrit. Les preguntes comencen quan cal compartir aquesta informació. Per exemple, heu d'enviar urgentment un missatger per resoldre les coses al moment i, per a això, heu d'emetre alguna cosa com: "Punt d'accés al centre de negocis del carrer Stroiteley, edifici 1, al 3r pis, habitació núm. 301 al costat de la porta principal sota el sostre."
Suposem que tenim sort i el punt d'accés s'alimenta mitjançant PoE i l'interruptor permet reiniciar-lo de forma remota. No necessiteu viatjar, però necessiteu accés remot a l'interruptor. Tot el que queda és configurar el reenviament de ports mitjançant PAT al router, esbrinar la VLAN per connectar-se des de l'exterior, etc. Està bé si tot està configurat per endavant. La feina potser no serà difícil, però s'ha de fer.
Per tant, es va reiniciar el punt de venda de menjar. No va ajudar?
Diguem que hi ha alguna cosa malament al maquinari. Ara busquem informació sobre la garantia, la posada en marxa i altres detalls d'interès.
Parlant de WiFi. L'ús de la versió domèstica de WPA2-PSK, que té una clau per a tots els dispositius, no es recomana en un entorn corporatiu. En primer lloc, una clau per a tothom és simplement insegura i, en segon lloc, quan un empleat marxa, heu de canviar aquesta clau comuna i tornar a fer la configuració a tots els dispositius per a tots els usuaris. Per evitar aquests problemes, hi ha WPA2-Enterprise amb autenticació individual per a cada usuari. Però per a això necessiteu un servidor RADIUS: una altra unitat d'infraestructura que cal controlar, fer còpies de seguretat, etc.
Tingueu en compte que en totes les etapes, ja sigui implementació o operació, hem utilitzat sistemes de suport. Això inclou un ordinador portàtil amb connexió a Internet de "tercers", un sistema de monitorització, una base de dades de referència d'equips i RADIUS com a sistema d'autenticació. A més dels dispositius de xarxa, també heu de mantenir serveis de tercers.
En aquests casos, podeu escoltar el consell: "Dóna-ho al núvol i no pateixis". Segurament hi ha un núvol Zabbix, potser hi ha un núvol RADIUS en algun lloc, i fins i tot una base de dades en núvol per mantenir una llista de dispositius. El problema és que això no es necessita per separat, sinó "en una sola ampolla". Tot i així, sorgeixen preguntes sobre l'organització de l'accés, la configuració inicial del dispositiu, la seguretat i molt més.
Com es veu quan s'utilitza Nebula?
Per descomptat, inicialment el "núvol" no sap res dels nostres plans ni dels equips adquirits.
En primer lloc, es crea un perfil d'organització. És a dir, tota la infraestructura: seu i oficines es registra primer al núvol. S'especifiquen els detalls i es creen comptes per a la delegació d'autoritat.
Podeu registrar els vostres dispositius al núvol de dues maneres: a l'antiga: simplement introduint el número de sèrie quan ompliu un formulari web o escanejant un codi QR amb un telèfon mòbil. Tot el que necessiteu per al segon mètode és un telèfon intel·ligent amb càmera i accés a Internet, inclòs a través d'un proveïdor de telefonia mòbil.
Per descomptat, la infraestructura necessària per emmagatzemar informació, tant de comptabilitat com de configuració, la proporciona Zyxel Nebula.
Figura 1. Informe de seguretat del Nebula Control Center.
Què passa amb la configuració de l'accés? Obrir ports, reenviar trànsit a través d'una passarel·la d'entrada, tot allò que els administradors de seguretat anomenen afectuosament "escollint forats"? Afortunadament, no cal que feu tot això. Els dispositius que executen Nebula estableixen una connexió de sortida. I l'administrador no es connecta a un dispositiu separat, sinó al núvol per a la configuració. Nebula media entre dues connexions: al dispositiu i a l'ordinador de l'administrador de la xarxa. Això significa que l'etapa de trucar a un administrador entrant es pot minimitzar o saltar completament. I no hi ha "forats" addicionals al tallafoc.
Què passa amb el servidor RADUIS? Després de tot, cal algun tipus d'autenticació centralitzada!
I aquestes funcions també les assumeix Nebula. L'autenticació dels comptes per accedir als equips es produeix mitjançant una base de dades segura. Això simplifica molt la delegació o retirada de drets per gestionar el sistema. Hem de transferir drets: crear un usuari, assignar un rol. Hem de treure els drets: fem els passos inversos.
Per separat, val la pena esmentar WPA2-Enterprise, que requereix un servei d'autenticació independent. Zyxel Nebula té el seu propi analògic - DPPSK, que us permet utilitzar WPA2-PSK amb una clau individual per a cada usuari.
Preguntes "incòmodes".
A continuació intentarem donar respostes a les preguntes més complicades que es fan sovint en entrar en un servei al núvol
És realment segur?
En qualsevol delegació de control i gestió per garantir la seguretat hi juguen un paper important dos factors: l'anonimat i el xifratge.
L'ús del xifratge per protegir el trànsit de mirades indiscretes és una cosa que els lectors estan més o menys familiaritzats.
L'anonimització amaga informació sobre el propietari i la font del personal del proveïdor del núvol. La informació personal s'elimina i s'assigna als registres un identificador "sense rostre". Ni el desenvolupador de programari al núvol ni l'administrador que manté el sistema al núvol poden conèixer el propietari de les sol·licituds. "D'on ha sortit això? Qui podria estar interessat en això?" - aquestes preguntes romandran sense resposta. La manca d'informació sobre el propietari i la font fa que la persona privilegiada sigui una pèrdua de temps inútil.
Si comparem aquest enfocament amb la pràctica tradicional d'externalitzar o contractar un administrador entrant, és obvi que les tecnologies al núvol són més segures. Un especialista en informàtica entrant sap molt sobre la seva organització i, si vol o no, pot causar danys importants en termes de seguretat. La qüestió de l'acomiadament o la resolució del contracte encara s'ha de resoldre. De vegades, a més de bloquejar o esborrar un compte, això comporta un canvi global de contrasenyes per accedir als serveis, així com una auditoria de tots els recursos per als punts d'entrada "oblidats" i possibles "adreces d'interès".
Quant més car o més barat és Nebula que un administrador entrant?
Tot és relatiu. Les funcions bàsiques de Nebula estan disponibles de forma gratuïta. De fet, què podria ser encara més barat?
Per descomptat, és impossible prescindir completament d'un administrador de xarxa o d'una persona que el substitueixi. La qüestió és el nombre de persones, la seva especialització i distribució entre els llocs.
Pel que fa al servei ampliat de pagament, fer una pregunta directa: més car o més barat, aquest enfocament sempre serà inexacte i unilateral. Seria més correcte comparar molts factors, que van des dels diners per pagar el treball d'especialistes concrets i acabant amb els costos de garantir la seva interacció amb un contractista o particular: control de qualitat, confecció de documentació, manteniment del nivell de seguretat i així successivament.
Si estem parlant del tema de si és rendible o no rendible comprar un paquet de serveis de pagament (Pro-Pack), llavors una resposta aproximada pot semblar així: si l'organització és petita, podeu sortir amb el bàsic versió, si l'organització està creixent, llavors té sentit pensar en Pro-Pack. Les diferències entre les versions de la nebulosa Zyxel es poden veure a la taula 1.
Taula 1. Diferències entre els conjunts de funcions bàsics i Pro-Pack per a Nebula.
Això inclou informes avançats, auditoria d'usuaris, clonació de configuracions i molt més.
Què passa amb la protecció del trànsit?
Nebula utilitza el protocol per garantir el funcionament segur dels equips de xarxa.
NETCONF es pot executar a més de diversos protocols de transport:
- ();
- ();
- ();
- ().
Si comparem NETCONF amb altres mètodes, per exemple, la gestió mitjançant SNMP, cal tenir en compte que NETCONF admet la connexió TCP de sortida per superar la barrera NAT i es considera més fiable.
Què passa amb el suport de maquinari?
Per descomptat, no hauríeu de convertir la sala de servidors en un zoològic amb representants d'equips rars i en perill d'extinció. És molt desitjable que els equips units per la tecnologia de gestió cobreixin totes les direccions: des de l'interruptor central fins als punts d'accés. Els enginyers de Zyxel es van encarregar d'aquesta possibilitat. Nebula funciona amb molts dispositius:
- interruptors centrals 10G;
- interruptors de nivell d'accés;
- interruptors amb PoE;
- punts d'accés;
- passarel·les de xarxa.
Amb una àmplia gamma de dispositius compatibles, podeu crear xarxes per a diferents tipus de tasques. Això és especialment cert per a les empreses que no creixen cap a l'alça, sinó cap a l'exterior, que exploren constantment noves àrees per fer negocis.
Desenvolupament continu
Els dispositius de xarxa amb un mètode de gestió tradicional només tenen una forma de millora: canviar el propi dispositiu, ja sigui un firmware nou o mòduls addicionals. En el cas de la nebulosa Zyxel, hi ha un camí addicional per millorar: mitjançant la millora de la infraestructura del núvol. Per exemple, després d'actualitzar Nebula Control Center (NCC) a la versió 10.1. (21 de setembre de 2020) les noves funcions estan disponibles per als usuaris, aquí n'hi ha algunes:
- El propietari d'una organització ara pot transferir tots els drets de propietat a un altre administrador de la mateixa organització;
- un nou rol anomenat representant del propietari, que té els mateixos drets que el propietari de l'organització;
- nova funció d'actualització del firmware a tota l'organització (funció Pro-Pack);
- s'han afegit dues opcions noves a la topologia: reiniciar el dispositiu i encendre i apagar el port PoE (funció Pro-Pack);
- suport per a nous models de punt d'accés: WAC500, WAC500H, WAC5302D-Sv2 i NWA1123ACv3;
- suport per a l'autenticació de vals amb impressió de codis QR (funció Pro-Pack).
links útils
Font: www.habr.com