In dem Artikel werden die Probleme der Organisation der Netzwerkinfrastruktur auf herkömmliche Weise und Methoden zur Lösung derselben Probleme mithilfe von Cloud-Technologien erörtert.
Als Referenz. Nebula ist eine SaaS-Cloud-Umgebung zur Fernwartung der Netzwerkinfrastruktur. Alle Nebula-fähigen Geräte werden über eine sichere Verbindung aus der Cloud verwaltet. Sie können eine große verteilte Netzwerkinfrastruktur von einem einzigen Zentrum aus verwalten, ohne den Aufwand für deren Erstellung aufwenden zu müssen.
Warum benötigen Sie einen weiteren Cloud-Service?
Das Hauptproblem bei der Arbeit mit Netzwerkinfrastruktur besteht nicht darin, das Netzwerk zu entwerfen und Geräte zu kaufen oder gar in einem Rack zu installieren, sondern in allem, was in Zukunft mit diesem Netzwerk noch erledigt werden muss.
Neues Netzwerk – alte Sorgen
Bei der Inbetriebnahme eines neuen Netzwerkknotens nach Installation und Anschluss der Geräte beginnt die Erstkonfiguration. Aus Sicht der „Big Bosses“ nichts Kompliziertes: „Wir nehmen die Arbeitsdokumentation für das Projekt und beginnen mit der Einrichtung ...“ Das ist so schön gesagt, wenn sich alle Netzwerkelemente in einem Rechenzentrum befinden. Wenn sie über Filialen verstreut sind, beginnen die Probleme bei der Bereitstellung des Fernzugriffs. Es ist so ein Teufelskreis: Um Fernzugriff über das Netzwerk zu erhalten, müssen Sie Netzwerkgeräte konfigurieren, und dafür benötigen Sie Zugriff über das Netzwerk ...
Wir müssen uns verschiedene Pläne einfallen lassen, um aus der oben beschriebenen Sackgasse herauszukommen. Beispielsweise wird ein Laptop mit Internetzugang über ein USB-4G-Modem über ein Patchkabel mit einem benutzerdefinierten Netzwerk verbunden. Auf diesem Laptop ist ein VPN-Client installiert, über den der Netzwerkadministrator aus der Zentrale versucht, Zugriff auf das Filialnetzwerk zu erhalten. Das Schema ist nicht das transparenteste – selbst wenn Sie einen Laptop mit vorkonfiguriertem VPN zu einem Remote-Standort bringen und darum bitten, es einzuschalten, ist es keine Tatsache, dass beim ersten Mal alles funktioniert. Vor allem, wenn es sich um eine andere Region mit einem anderen Anbieter handelt.
Es stellt sich heraus, dass der zuverlässigste Weg darin besteht, einen guten Spezialisten „am anderen Ende der Leitung“ zu haben, der sein Teil entsprechend dem Projekt konfigurieren kann. Wenn es so etwas beim Filialpersonal nicht gibt, bleiben die Optionen: entweder Outsourcing oder Geschäftsreisen.
Wir brauchen auch ein Überwachungssystem. Es muss installiert, konfiguriert und gewartet werden (zumindest den Speicherplatz überwachen und regelmäßig Backups erstellen). Und das nichts über unsere Geräte weiß, bis wir es erzählen. Dazu müssen Sie die Einstellungen aller Geräte registrieren und die Relevanz der Datensätze regelmäßig überwachen.
Es ist toll, wenn das Personal über ein eigenes „Ein-Mann-Orchester“ verfügt, das neben den spezifischen Kenntnissen eines Netzwerkadministrators auch weiß, wie man mit Zabbix oder einem anderen ähnlichen System arbeitet. Andernfalls stellen wir eine andere Person ein oder lagern diese aus.
Hinweis. Die traurigsten Fehler beginnen mit den Worten: „Was gibt es, um dieses Zabbix zu konfigurieren (Nagios, OpenView usw.)?“ Ich hole es schnell ab und es ist fertig!“
Von der Implementierung bis zum Betrieb
Schauen wir uns ein konkretes Beispiel an.
Es wurde eine Alarmmeldung empfangen, die darauf hinweist, dass irgendwo ein WLAN-Zugangspunkt nicht reagiert.
Wo befindet sie sich?
Natürlich hat ein guter Netzwerkadministrator ein eigenes persönliches Verzeichnis, in dem alles notiert wird. Die Fragen beginnen, wenn diese Informationen weitergegeben werden müssen. Sie müssen beispielsweise dringend einen Boten schicken, um die Dinge vor Ort zu regeln, und dafür müssen Sie etwas ausstellen wie: „Zugangspunkt im Business Center in der Stroiteley Street, Gebäude 1, im 3. Stock, Büro Nr. 301 neben der Eingangstür unter der Decke.“
Nehmen wir an, wir haben Glück und der Access Point wird über PoE mit Strom versorgt und der Switch ermöglicht einen Remote-Neustart. Sie müssen nicht reisen, benötigen aber Fernzugriff auf den Switch. Jetzt müssen Sie nur noch die Portweiterleitung per PAT am Router konfigurieren, das VLAN für die Verbindung von außen ermitteln und so weiter. Es ist gut, wenn alles im Voraus eingerichtet ist. Die Arbeit mag nicht schwer sein, aber sie muss erledigt werden.
Also wurde der Lebensmittelverkauf neu gestartet. Hat nicht geholfen?
Nehmen wir an, mit der Hardware stimmt etwas nicht. Nun sind wir auf der Suche nach Informationen zur Garantie, zur Inbetriebnahme und weiteren interessanten Details.
Apropos WLAN. Die Verwendung der Home-Version von WPA2-PSK, die einen Schlüssel für alle Geräte hat, wird in einer Unternehmensumgebung nicht empfohlen. Erstens ist ein Schlüssel für alle einfach unsicher, und zweitens muss man beim Ausscheiden eines Mitarbeiters diesen gemeinsamen Schlüssel ändern und die Einstellungen auf allen Geräten für alle Benutzer neu vornehmen. Um solche Probleme zu vermeiden, gibt es WPA2-Enterprise mit individueller Authentifizierung für jeden Benutzer. Dafür benötigen Sie jedoch einen RADIUS-Server – eine weitere Infrastruktureinheit, die überwacht, Backups erstellt usw. werden muss.
Bitte beachten Sie, dass wir in jeder Phase, sei es bei der Implementierung oder im Betrieb, Supportsysteme eingesetzt haben. Dazu gehören ein Laptop mit einer „Drittanbieter“-Internetverbindung, ein Überwachungssystem, eine Gerätereferenzdatenbank und RADIUS als Authentifizierungssystem. Neben Netzwerkgeräten müssen Sie auch Dienste von Drittanbietern pflegen.
In solchen Fällen hört man den Rat: „Gib es in die Cloud und leide nicht.“ Sicherlich gibt es ein Cloud-Zabbix, vielleicht gibt es irgendwo ein Cloud-RADIUS und sogar eine Cloud-Datenbank zur Verwaltung einer Geräteliste. Das Problem ist, dass dies nicht separat, sondern „in einer Flasche“ benötigt wird. Und dennoch stellen sich Fragen zur Organisation des Zugriffs, zur Ersteinrichtung des Geräts, zur Sicherheit und vielem mehr.
Wie sieht es bei der Verwendung von Nebula aus?
Natürlich weiß die „Cloud“ zunächst nichts von unseren Plänen oder der gekauften Ausrüstung.
Zunächst wird ein Organisationsprofil erstellt. Das heißt, die gesamte Infrastruktur: Zentrale und Niederlassungen wird zunächst in der Cloud registriert. Für die Delegation von Befugnissen werden Details festgelegt und Konten erstellt.
Sie können Ihre Geräte auf zwei Arten in der Cloud registrieren: auf die altmodische Art – einfach durch Eingabe der Seriennummer beim Ausfüllen eines Webformulars oder durch Scannen eines QR-Codes mit einem Mobiltelefon. Für die zweite Methode benötigen Sie lediglich ein Smartphone mit Kamera und einen Internetzugang, auch über einen Mobilfunkanbieter.
Natürlich wird die notwendige Infrastruktur zum Speichern von Informationen, sowohl Buchhaltung als auch Einstellungen, von Zyxel Nebula bereitgestellt.
Abbildung 1. Sicherheitsbericht des Nebula Control Center.
Wie sieht es mit der Einrichtung des Zugangs aus? Ports öffnen, Datenverkehr über ein eingehendes Gateway weiterleiten – all das, was Sicherheitsadministratoren liebevoll als „Lückenpicken“ bezeichnen? Glücklicherweise müssen Sie das alles nicht tun. Geräte, auf denen Nebula läuft, stellen eine ausgehende Verbindung her. Und der Administrator verbindet sich zur Konfiguration nicht mit einem separaten Gerät, sondern mit der Cloud. Nebula vermittelt zwischen zwei Verbindungen: zum Gerät und zum Computer des Netzwerkadministrators. Dies bedeutet, dass der Schritt, einen eingehenden Administrator anzurufen, minimiert oder ganz übersprungen werden kann. Und keine zusätzlichen „Löcher“ in der Firewall.
Was ist mit dem RADUIS-Server? Schließlich ist eine Art zentralisierte Authentifizierung erforderlich!
Und diese Funktionen übernimmt auch Nebula. Die Authentifizierung von Konten für den Zugriff auf Geräte erfolgt über eine sichere Datenbank. Dies vereinfacht die Delegation oder den Entzug von Rechten zur Verwaltung des Systems erheblich. Wir müssen Rechte übertragen – einen Benutzer erstellen, eine Rolle zuweisen. Wir müssen die Rechte wegnehmen – wir führen die umgekehrten Schritte durch.
Unabhängig davon ist WPA2-Enterprise zu erwähnen, das einen separaten Authentifizierungsdienst erfordert. Zyxel Nebula verfügt über ein eigenes Analogon – DPPSK, mit dem Sie WPA2-PSK mit einem individuellen Schlüssel für jeden Benutzer verwenden können.
„Unbequeme“ Fragen
Im Folgenden versuchen wir, Antworten auf die kniffligsten Fragen zu geben, die beim Einstieg in einen Cloud-Dienst häufig gestellt werden
Ist es wirklich sicher?
Bei jeder Delegation von Kontrolle und Verwaltung zur Gewährleistung der Sicherheit spielen zwei Faktoren eine wichtige Rolle: Anonymisierung und Verschlüsselung.
Die Verwendung von Verschlüsselung zum Schutz des Datenverkehrs vor neugierigen Blicken ist den Lesern mehr oder weniger vertraut.
Durch die Anonymisierung werden Informationen über den Eigentümer und die Quelle vor dem Personal des Cloud-Anbieters verborgen. Persönliche Informationen werden entfernt und Datensätzen wird eine „gesichtslose“ Kennung zugewiesen. Weder der Cloud-Softwareentwickler noch der Administrator, der das Cloud-System verwaltet, können den Eigentümer der Anfragen kennen. "Von wo ist das gekommen? Wen könnte das interessieren?“ – solche Fragen bleiben unbeantwortet. Der Mangel an Informationen über den Eigentümer und die Quelle macht Insider zu einer sinnlosen Zeitverschwendung.
Wenn wir diesen Ansatz mit der traditionellen Praxis des Outsourcings oder der Einstellung eines neuen Administrators vergleichen, ist es offensichtlich, dass Cloud-Technologien sicherer sind. Ein neu eingestellter IT-Spezialist weiß ziemlich viel über sein Unternehmen und kann wohl oder übel erhebliche Sicherheitsschäden verursachen. Die Frage der Kündigung oder Beendigung des Vertrags muss noch geklärt werden. Manchmal erfordert dies neben der Sperrung oder Löschung eines Kontos auch eine globale Änderung der Passwörter für den Zugriff auf Dienste sowie eine Überprüfung aller Ressourcen auf „vergessene“ Einstiegspunkte und mögliche „Lesezeichen“.
Wie viel teurer oder billiger ist Nebula als ein neuer Administrator?
Alles ist relativ. Die Grundfunktionen von Nebula sind kostenlos verfügbar. Was könnte eigentlich noch günstiger sein?
Auf einen Netzwerkadministrator oder eine ihn vertretende Person kann man natürlich nicht ganz verzichten. Die Frage ist die Anzahl der Personen, ihre Spezialisierung und Verteilung auf die Standorte.
Was den kostenpflichtigen erweiterten Service betrifft, ist eine direkte Frage: teurer oder billiger – ein solcher Ansatz wird immer ungenau und einseitig sein. Es wäre richtiger, viele Faktoren zu vergleichen, angefangen vom Geld über die Bezahlung der Arbeit bestimmter Spezialisten bis hin zu den Kosten für die Sicherstellung ihrer Interaktion mit einem Auftragnehmer oder einer Einzelperson: Qualitätskontrolle, Erstellung von Dokumentationen, Aufrechterhaltung des Sicherheitsniveaus usw bald.
Wenn wir über die Frage sprechen, ob es rentabel ist oder nicht, ein kostenpflichtiges Leistungspaket (Pro-Pack) zu erwerben, dann könnte eine ungefähre Antwort so klingen: Wenn die Organisation klein ist, kann man mit dem Basispaket auskommen Version: Wenn die Organisation wächst, ist es sinnvoll, über Pro-Pack nachzudenken. Die Unterschiede zwischen den Versionen des Zyxel-Nebels sind in Tabelle 1 zu sehen.
Tabelle 1. Unterschiede zwischen den Basis- und Pro-Pack-Funktionssätzen für Nebula.
Dazu gehören erweiterte Berichterstellung, Benutzerüberwachung, Konfigurationsklonen und vieles mehr.
Wie sieht es mit Verkehrsschutz aus?
Nebula verwendet das Protokoll um den sicheren Betrieb von Netzwerkgeräten zu gewährleisten.
NETCONF kann auf mehreren Transportprotokollen ausgeführt werden:
- ();
- ();
- ();
- ().
Wenn wir NETCONF mit anderen Methoden vergleichen, beispielsweise der Verwaltung über SNMP, ist Folgendes zu beachten NETKONF Unterstützt ausgehende TCP-Verbindungen zur Überwindung der NAT-Barriere und gilt als zuverlässiger.
Wie sieht es mit der Hardware-Unterstützung aus?
Natürlich sollte man den Serverraum nicht in einen Zoo mit Vertretern seltener und gefährdeter Gerätearten verwandeln. Es ist äußerst wünschenswert, dass die durch Managementtechnologie vereinte Ausrüstung alle Richtungen abdeckt: vom zentralen Switch bis zu den Zugangspunkten. Die Ingenieure von Zyxel haben sich um diese Möglichkeit gekümmert. Nebula betreibt viele Geräte:
- 10G-Zentralschalter;
- Zugangsebenenschalter;
- PoE-Switches;
- Zugangspunkte;
- Netzwerk-Gateways.
Mit einer breiten Palette unterstützter Geräte können Sie Netzwerke für verschiedene Arten von Aufgaben aufbauen. Dies gilt insbesondere für Unternehmen, die nicht nach oben, sondern nach außen wachsen und ständig neue Geschäftsfelder erkunden.
Kontinuierliche Entwicklung
Bei Netzwerkgeräten mit einer herkömmlichen Verwaltungsmethode gibt es nur eine Möglichkeit zur Verbesserung: die Änderung des Geräts selbst, sei es neue Firmware oder zusätzliche Module. Im Fall von Zyxel Nebula gibt es einen zusätzlichen Verbesserungspfad – durch die Verbesserung der Cloud-Infrastruktur. Beispielsweise nach der Aktualisierung des Nebula Control Center (NCC) auf Version 10.1. (21. September 2020) Den Benutzern stehen neue Funktionen zur Verfügung. Hier sind einige davon:
- Der Eigentümer einer Organisation kann nun alle Eigentumsrechte auf einen anderen Administrator in derselben Organisation übertragen;
- eine neue Rolle namens „Eigentümervertreter“, die über dieselben Rechte wie der Organisationseigentümer verfügt;
- neue organisationsweite Firmware-Update-Funktion (Pro-Pack-Funktion);
- Der Topologie wurden zwei neue Optionen hinzugefügt: Neustart des Geräts und Ein- und Ausschalten des PoE-Ports (Pro-Pack-Funktion);
- Unterstützung für neue Access Point-Modelle: WAC500, WAC500H, WAC5302D-Sv2 und NWA1123ACv3;
- Unterstützung der Gutscheinauthentifizierung mit QR-Code-Druck (Pro-Pack-Funktion).
Nützliche Links
Source: habr.com