Opbygning af en netværksinfrastruktur baseret på Nebula. Del 1 - Udfordringer og løsninger

Artiklen vil diskutere problemerne med at organisere netværksinfrastruktur på traditionel vis og metoder til at løse de samme problemer ved hjælp af cloud-teknologier.

For reference. Nebula er et SaaS-skymiljø til fjernvedligeholdelse af netværksinfrastruktur. Alle Nebula-aktiverede enheder administreres fra skyen via en sikker forbindelse. Du kan administrere en stor distribueret netværksinfrastruktur fra et enkelt center uden at bruge besværet med at oprette det.

Hvorfor har du brug for en anden cloud-tjeneste?

Det største problem, når man arbejder med netværksinfrastruktur, er ikke at designe netværket og købe udstyr, eller endda installere det i et rack, men alt andet, der skal gøres med dette netværk i fremtiden.

Nyt netværk - gamle bekymringer

Når du sætter en ny netværksknude i drift efter installation og tilslutning af udstyret, begynder den indledende konfiguration. Fra “de store chefers” synspunkt - intet kompliceret: “Vi tager arbejdsdokumentationen til projektet og begynder at sætte op...” Det er så godt sagt, når alle netværkselementerne er placeret i ét datacenter. Hvis de er spredt ud over grene, begynder hovedpinen ved at give fjernadgang. Det er sådan en ond cirkel: For at få fjernadgang over netværket skal du konfigurere netværksudstyr, og til dette har du brug for adgang over netværket...

Vi er nødt til at finde på forskellige ordninger for at komme ud af det dødvande, der er beskrevet ovenfor. For eksempel er en bærbar computer med internetadgang via et USB 4G-modem forbundet via en patch-ledning til et brugerdefineret netværk. En VPN-klient er installeret på denne bærbare computer, og gennem den forsøger netværksadministratoren fra hovedkvarteret at få adgang til filialnetværket. Ordningen er ikke den mest gennemsigtige – selvom du tager en bærbar computer med en forudkonfigureret VPN med til et eksternt websted og beder om at tænde for det, er det langt fra et faktum, at alt fungerer første gang. Især hvis vi taler om en anden region med en anden udbyder.

Det viser sig, at den mest pålidelige måde er at have en god specialist "på den anden ende af linjen", som kan konfigurere sin del i henhold til projektet. Hvis der ikke er sådan noget i filialpersonalet, er mulighederne tilbage: enten outsourcing eller forretningsrejser.

Vi har også brug for et overvågningssystem. Det skal installeres, konfigureres, vedligeholdes (i det mindste overvåge diskplads og lave regelmæssige sikkerhedskopier). Og som ikke ved noget om vores enheder, før vi fortæller det. For at gøre dette skal du registrere indstillinger for alt udstyr og regelmæssigt overvåge registreringernes relevans.

Det er dejligt, når personalet har sit eget "enmandsorkester", som ud over en netværksadministrators specifikke viden ved, hvordan man arbejder med Zabbix eller et andet lignende system. Ellers ansætter vi en anden person i personalet eller outsourcer det.

Bemærk. De sørgeligste fejl begynder med ordene: "Hvad er der for at konfigurere denne Zabbix (Nagios, OpenView osv.)? Jeg henter den hurtigt, og den er klar!"

Fra implementering til drift

Lad os se på et specifikt eksempel.

Der blev modtaget en alarmmeddelelse, der indikerer, at et WiFi-adgangspunkt et eller andet sted ikke reagerer.

Hvor er hun?

Selvfølgelig har en god netværksadministrator sin egen personlige mappe, hvori alt er skrevet ned. Spørgsmålene begynder, når disse oplysninger skal deles. For eksempel skal du hurtigst muligt sende en messenger for at ordne tingene på stedet, og til dette skal du udstede noget som: "Adgangspunkt i forretningscentret på Stroiteley Street, bygning 1, på 3. sal, værelse nr. 301 ved siden af ​​hoveddøren under loftet."

Lad os sige, at vi er heldige, og adgangspunktet drives via PoE, og switchen gør det muligt at genstarte det eksternt. Du behøver ikke at rejse, men du har brug for fjernadgang til switchen. Det eneste, der er tilbage, er at konfigurere portvideresendelse via PAT på routeren, finde ud af VLAN'et for tilslutning udefra og så videre. Det er godt, hvis alt er sat op på forhånd. Arbejdet er måske ikke svært, men det skal gøres.

Så madudsalget blev genstartet. hjalp det ikke?

Lad os sige, at der er noget galt i hardwaren. Nu søger vi information om garanti, opstart og andre detaljer af interesse.

Apropos WiFi. Brug af hjemmeversionen af ​​WPA2-PSK, som har én nøgle til alle enheder, anbefales ikke i et virksomhedsmiljø. For det første er én nøgle til alle simpelthen usikker, og for det andet, når én medarbejder forlader, skal du ændre denne fælles nøgle og lave indstillingerne igen på alle enheder for alle brugere. For at undgå sådanne problemer er der WPA2-Enterprise med individuel godkendelse for hver bruger. Men til dette har du brug for en RADIUS-server - en anden infrastrukturenhed, der skal kontrolleres, laves sikkerhedskopier og så videre.

Bemærk venligst, at vi på alle trin, hvad enten det er implementering eller drift, brugte supportsystemer. Dette inkluderer en bærbar computer med en "tredjeparts" internetforbindelse, et overvågningssystem, en udstyrsreferencedatabase og RADIUS som et autentificeringssystem. Ud over netværksenheder skal du også vedligeholde tredjepartstjenester.

I sådanne tilfælde kan du høre rådet: "Giv det til skyen og lid ikke." Sikkert er der en sky Zabbix, måske er der en sky RADIUS et eller andet sted, og endda en skydatabase til at opretholde en liste over enheder. Problemet er, at dette ikke er nødvendigt separat, men "i én flaske." Og stadig opstår der spørgsmål om organisering af adgang, indledende enhedsopsætning, sikkerhed og meget mere.

Hvordan ser det ud, når du bruger Nebula?

Naturligvis ved "skyen" i første omgang intet om vores planer eller det købte udstyr.

Først oprettes en organisationsprofil. Det vil sige, at hele infrastrukturen: hovedkvarter og filialer først registreres i skyen. Detaljer specificeres, og der oprettes konti til delegation af myndighed.

Du kan registrere dine enheder i skyen på to måder: på den gammeldags måde - blot ved at indtaste serienummeret, når du udfylder en webformular eller ved at scanne en QR-kode ved hjælp af en mobiltelefon. Alt du behøver til den anden metode er en smartphone med kamera og internetadgang, herunder via en mobiludbyder.

Den nødvendige infrastruktur til lagring af information, både regnskab og indstillinger, leveres naturligvis af Zyxel Nebula.

Figur 1. Nebula Control Center sikkerhedsrapport.

Hvad med at konfigurere adgang? At åbne porte, videresende trafik gennem en indgående gateway, alt det, som sikkerhedsadministratorer kærligt kalder "plukning af huller"? Heldigvis behøver du ikke gøre alt dette. Enheder, der kører Nebula, etablerer en udgående forbindelse. Og administratoren forbinder ikke til en separat enhed, men til skyen for konfiguration. Nebula formidler mellem to forbindelser: til enheden og til netværksadministratorens computer. Dette betyder, at stadiet med at ringe til en indgående administrator kan minimeres eller springes helt over. Og ingen yderligere "huller" i firewallen.

Hvad med RADUIS-serveren? En eller anden form for centraliseret autentificering er trods alt nødvendig!

Og disse funktioner er også overtaget af Nebula. Autentificering af konti for adgang til udstyr sker gennem en sikker database. Dette forenkler i høj grad delegeringen eller tilbagetrækningen af ​​rettigheder til at administrere systemet. Vi skal overføre rettigheder - oprette en bruger, tildele en rolle. Vi er nødt til at fratage rettighederne - vi udfører de omvendte trin.

Separat er det værd at nævne WPA2-Enterprise, som kræver en separat godkendelsestjeneste. Zyxel Nebula har sin egen analog - DPPSK, som giver dig mulighed for at bruge WPA2-PSK med en individuel nøgle for hver bruger.

"Besværlige" spørgsmål

Nedenfor vil vi forsøge at give svar på de mest vanskelige spørgsmål, der ofte bliver stillet, når man går ind i en cloud-tjeneste

Er det virkelig sikkert?

I enhver uddelegering af kontrol og styring for at sikre sikkerhed spiller to faktorer en vigtig rolle: anonymisering og kryptering.

Brug af kryptering til at beskytte trafik mod nysgerrige øjne er noget, som læserne er mere eller mindre bekendt med.

Anonymisering skjuler oplysninger om ejeren og kilden fra cloududbyderens personale. Personlige oplysninger fjernes, og optegnelser tildeles en "ansigtsløs" identifikator. Hverken cloud-softwareudvikleren eller administratoren, der vedligeholder cloud-systemet, kan kende ejeren af ​​anmodningerne. "Hvor kom dette fra? Hvem kunne være interesseret i dette?” - sådanne spørgsmål vil forblive ubesvarede. Manglen på information om ejeren og kilden gør insider til et meningsløst spild af tid.

Hvis vi sammenligner denne tilgang med den traditionelle praksis med outsourcing eller ansættelse af en indgående administrator, er det indlysende, at cloud-teknologier er sikrere. En kommende IT-specialist ved ret meget om sin organisation og kan med vilje forårsage betydelig skade i form af sikkerhed. Spørgsmålet om afskedigelse eller opsigelse af kontrakten mangler stadig at blive løst. Nogle gange medfører dette, udover at blokere eller slette en konto, en global ændring af adgangskoder for at få adgang til tjenester, samt en revision af alle ressourcer for "glemte" indgangspunkter og mulige "bogmærker".

Hvor meget dyrere eller billigere er Nebula end en indkommende administrator?

Alt er relativt. Nebulas grundlæggende funktioner er tilgængelige gratis. Faktisk, hvad kunne være endnu billigere?

Selvfølgelig er det umuligt helt at undvære en netværksadministrator eller en person, der erstatter ham. Spørgsmålet er antallet af mennesker, deres specialisering og fordeling på tværs af websteder.

Med hensyn til den betalte udvidede tjeneste, stille et direkte spørgsmål: dyrere eller billigere - en sådan tilgang vil altid være unøjagtig og ensidig. Det ville være mere korrekt at sammenligne mange faktorer, lige fra penge til betaling for specifikke specialisters arbejde og slutter med omkostningerne ved at sikre deres interaktion med en entreprenør eller enkeltperson: kvalitetskontrol, udarbejdelse af dokumentation, opretholdelse af sikkerhedsniveauet og snart.

Hvis vi taler om emnet, om det er rentabelt eller ikke rentabelt at købe en betalt pakke af tjenester (Pro-Pack), så kan et omtrentligt svar lyde sådan her: hvis organisationen er lille, kan du klare dig med det grundlæggende version, hvis organisationen vokser, så giver det mening at tænke på Pro-Pack. Forskellene mellem versioner af Zyxel Nebula kan ses i tabel 1.

Tabel 1. Forskelle mellem de grundlæggende og Pro-Pack-funktionssæt til Nebula.

Dette inkluderer avanceret rapportering, brugerrevision, konfigurationskloning og meget mere.

Hvad med trafiksikring?

Nebula bruger protokollen NETCONF for at sikre sikker drift af netværksudstyr.

NETCONF kan køre oven på flere transportprotokoller:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• BIP (RFC 4744);
• TLS (RFC 5539).

Hvis vi sammenligner NETCONF med andre metoder, for eksempel styring via SNMP, skal det bemærkes, at NETCONF understøtter udgående TCP-forbindelse for at overvinde NAT-barrieren og anses for at være mere pålidelig.

Hvad med hardwaresupport?

Selvfølgelig skal du ikke gøre serverrummet til en zoologisk have med repræsentanter for sjældne og truede typer udstyr. Det er yderst ønskeligt, at udstyr forenet af ledelsesteknologi dækker alle retninger: fra den centrale switch til adgangspunkter. Zyxel ingeniører tog sig af denne mulighed. Nebula kører mange enheder:

• 10G centrale switche;
• adgangsniveau afbrydere;
• switches med PoE;
• adgangspunkter;
• netværk gateways.

Ved at bruge en lang række understøttede enheder kan du bygge netværk til forskellige typer opgaver. Dette gælder især for virksomheder, der ikke vokser opad, men udad, og konstant udforsker nye områder for at drive forretning.

Kontinuerlig udvikling

Netværksenheder med en traditionel administrationsmetode har kun én måde at forbedre sig på - at ændre selve enheden, det være sig ny firmware eller ekstra moduler. I tilfældet med Zyxel Nebula er der en yderligere vej til forbedring - gennem forbedring af cloud-infrastrukturen. For eksempel efter opdatering af Nebula Control Center (NCC) til version 10.1. (21. september 2020) nye funktioner er tilgængelige for brugere, her er nogle af dem:

• Ejeren af ​​en organisation kan nu overføre alle ejerskabsrettigheder til en anden administrator i samme organisation;
• en ny rolle kaldet Ejerrepræsentant, som har samme rettigheder som organisationsejeren;
• ny firmwareopdateringsfunktion for hele organisationen (Pro-Pack-funktion);
• to nye muligheder er blevet tilføjet til topologien: genstart af enheden og tænd og sluk for PoE-porten (Pro-Pack-funktion);
• understøttelse af nye access point-modeller: WAC500, WAC500H, WAC5302D-Sv2 og NWA1123ACv3;
• understøttelse af voucher-godkendelse med QR-kodeudskrivning (Pro-Pack funktion).

Nyttige links

1. Telegram chat Zyxel
2. Zyxel udstyrsforum
3. Masser af nyttige videoer på Youtube-kanalen
4. Zyxel Nebula - nem administration som grundlag for besparelser
5. Forskellen mellem Zyxel Nebula-versioner
6. Zyxel Nebula og virksomhedens vækst
7. Zyxel Nebula supernovasky - en omkostningseffektiv vej til sikkerhed?
8. Zyxel Nebula – muligheder for din virksomhed

Kilde: www.habr.com