Το άρθρο θα συζητήσει τα προβλήματα οργάνωσης της υποδομής δικτύου με τον παραδοσιακό τρόπο και τις μεθόδους επίλυσης των ίδιων ζητημάτων χρησιμοποιώντας τεχνολογίες cloud.
Για την αναφορά. Το Nebula είναι ένα περιβάλλον cloud SaaS για απομακρυσμένη συντήρηση υποδομής δικτύου. Η διαχείριση όλων των συσκευών με δυνατότητα Nebula γίνεται από το cloud μέσω μιας ασφαλούς σύνδεσης. Μπορείτε να διαχειριστείτε μια μεγάλη κατανεμημένη υποδομή δικτύου από ένα μόνο κέντρο χωρίς να ξοδέψετε την προσπάθεια δημιουργίας της.
Γιατί χρειάζεστε άλλη υπηρεσία cloud;
Το κύριο πρόβλημα όταν εργάζεστε με την υποδομή δικτύου δεν είναι ο σχεδιασμός του δικτύου και η αγορά εξοπλισμού, ή ακόμα και η εγκατάστασή του σε rack, αλλά οτιδήποτε άλλο θα πρέπει να γίνει με αυτό το δίκτυο στο μέλλον.
Νέο δίκτυο - παλιές ανησυχίες
Όταν τίθεται σε λειτουργία ένας νέος κόμβος δικτύου μετά την εγκατάσταση και τη σύνδεση του εξοπλισμού, ξεκινά η αρχική διαμόρφωση. Από την άποψη των "μεγάλων αφεντικών" - τίποτα περίπλοκο: "Παίρνουμε την τεκμηρίωση εργασίας για το έργο και ξεκινάμε τη ρύθμιση..." Αυτό λέγεται τόσο καλά όταν όλα τα στοιχεία δικτύου βρίσκονται σε ένα κέντρο δεδομένων. Εάν είναι διάσπαρτα σε κλάδους, αρχίζει ο πονοκέφαλος της παροχής απομακρυσμένης πρόσβασης. Είναι ένας τόσο φαύλος κύκλος: για να αποκτήσετε απομακρυσμένη πρόσβαση μέσω του δικτύου, πρέπει να διαμορφώσετε τον εξοπλισμό δικτύου και για αυτό χρειάζεστε πρόσβαση μέσω του δικτύου...
Πρέπει να καταλήξουμε σε διάφορα σχέδια για να βγούμε από το αδιέξοδο που περιγράφηκε παραπάνω. Για παράδειγμα, ένας φορητός υπολογιστής με πρόσβαση στο Διαδίκτυο μέσω μόντεμ USB 4G συνδέεται μέσω καλωδίου ενημέρωσης κώδικα σε ένα προσαρμοσμένο δίκτυο. Σε αυτόν τον φορητό υπολογιστή είναι εγκατεστημένο ένα πρόγραμμα-πελάτης VPN και μέσω αυτού ο διαχειριστής δικτύου από τα κεντρικά γραφεία προσπαθεί να αποκτήσει πρόσβαση στο δίκτυο καταστημάτων. Το σχέδιο δεν είναι το πιο διαφανές - ακόμα κι αν φέρετε έναν φορητό υπολογιστή με προρυθμισμένο VPN σε έναν απομακρυσμένο ιστότοπο και ζητήσετε να το ενεργοποιήσετε, απέχει πολύ από το γεγονός ότι όλα θα λειτουργήσουν την πρώτη φορά. Ειδικά αν μιλάμε για διαφορετική περιοχή με διαφορετικό πάροχο.
Αποδεικνύεται ότι ο πιο αξιόπιστος τρόπος είναι να έχετε έναν καλό ειδικό "στην άλλη άκρη της γραμμής" που μπορεί να διαμορφώσει το μέρος του σύμφωνα με το έργο. Αν δεν υπάρχει κάτι τέτοιο στο προσωπικό του υποκαταστήματος, οι επιλογές παραμένουν: είτε outsourcing είτε επαγγελματικά ταξίδια.
Χρειαζόμαστε επίσης ένα σύστημα παρακολούθησης. Πρέπει να εγκατασταθεί, να ρυθμιστεί, να συντηρηθεί (τουλάχιστον να παρακολουθεί το χώρο στο δίσκο και να δημιουργεί τακτικά αντίγραφα ασφαλείας). Και που δεν γνωρίζει τίποτα για τις συσκευές μας μέχρι να το πούμε. Για να το κάνετε αυτό, πρέπει να καταχωρίσετε ρυθμίσεις για όλα τα κομμάτια του εξοπλισμού και να παρακολουθείτε τακτικά τη συνάφεια των εγγραφών.
Είναι υπέροχο όταν το προσωπικό έχει τη δική του «μονοπρόσωπη ορχήστρα», η οποία, εκτός από τις συγκεκριμένες γνώσεις ενός διαχειριστή δικτύου, ξέρει πώς να συνεργάζεται με το Zabbix ή άλλο παρόμοιο σύστημα. Διαφορετικά, προσλαμβάνουμε άλλο άτομο στο προσωπικό ή το αναθέτουμε σε τρίτους.
Σημείωση. Τα πιο θλιβερά λάθη ξεκινούν με τις λέξεις: «Τι υπάρχει για να ρυθμίσετε αυτό το Zabbix (Nagios, OpenView, κ.λπ.); Θα το πάρω γρήγορα και είναι έτοιμο!»
Από την υλοποίηση στη λειτουργία
Ας εξετάσουμε ένα συγκεκριμένο παράδειγμα.
Λήφθηκε ένα μήνυμα συναγερμού που υποδεικνύει ότι ένα σημείο πρόσβασης WiFi κάπου δεν αποκρίνεται.
Που είναι αυτή?
Φυσικά, ένας καλός διαχειριστής δικτύου έχει τον προσωπικό του κατάλογο στον οποίο είναι γραμμένα τα πάντα. Οι ερωτήσεις ξεκινούν όταν αυτές οι πληροφορίες πρέπει να κοινοποιηθούν. Για παράδειγμα, πρέπει να στείλετε επειγόντως έναν αγγελιοφόρο για να τακτοποιήσει τα πράγματα επί τόπου και για αυτό πρέπει να εκδώσετε κάτι όπως: «Σημείο πρόσβασης στο επιχειρηματικό κέντρο στην οδό Stroiteley, κτίριο 1, στον 3ο όροφο, δωμάτιο αρ. 301 δίπλα στην εξώπορτα κάτω από την οροφή."
Ας πούμε ότι είμαστε τυχεροί και το σημείο πρόσβασης τροφοδοτείται μέσω PoE και ο διακόπτης επιτρέπει την επανεκκίνηση του από απόσταση. Δεν χρειάζεται να ταξιδέψετε, αλλά χρειάζεστε απομακρυσμένη πρόσβαση στον διακόπτη. Το μόνο που μένει είναι να διαμορφώσετε την προώθηση θύρας μέσω PAT στο δρομολογητή, να βρείτε το VLAN για σύνδεση από έξω και ούτω καθεξής. Είναι καλό αν όλα έχουν ρυθμιστεί εκ των προτέρων. Η δουλειά μπορεί να μην είναι δύσκολη, αλλά πρέπει να γίνει.
Έτσι, το κατάστημα τροφίμων επανεκκινήθηκε. Δεν βοήθησε;
Ας πούμε ότι κάτι δεν πάει καλά στο υλικό. Τώρα αναζητούμε πληροφορίες σχετικά με την εγγύηση, την εκκίνηση και άλλες λεπτομέρειες ενδιαφέροντος.
Μιλώντας για WiFi. Η χρήση της οικιακής έκδοσης του WPA2-PSK, η οποία έχει ένα κλειδί για όλες τις συσκευές, δεν συνιστάται σε εταιρικό περιβάλλον. Πρώτον, ένα κλειδί για όλους είναι απλά μη ασφαλές και δεύτερον, όταν ένας υπάλληλος αποχωρεί, πρέπει να αλλάξετε αυτό το κοινό κλειδί και να κάνετε ξανά τις ρυθμίσεις σε όλες τις συσκευές για όλους τους χρήστες. Για να αποφύγετε τέτοια προβλήματα, υπάρχει το WPA2-Enterprise με ατομικό έλεγχο ταυτότητας για κάθε χρήστη. Αλλά για αυτό χρειάζεστε έναν διακομιστή RADIUS - μια άλλη μονάδα υποδομής που πρέπει να ελέγχεται, να δημιουργείτε αντίγραφα ασφαλείας και ούτω καθεξής.
Λάβετε υπόψη ότι σε κάθε στάδιο, είτε πρόκειται για υλοποίηση είτε για λειτουργία, χρησιμοποιήσαμε συστήματα υποστήριξης. Αυτό περιλαμβάνει φορητό υπολογιστή με σύνδεση στο Διαδίκτυο "τρίτου κατασκευαστή", σύστημα παρακολούθησης, βάση δεδομένων αναφοράς εξοπλισμού και RADIUS ως σύστημα ελέγχου ταυτότητας. Εκτός από τις συσκευές δικτύου, πρέπει επίσης να διατηρείτε υπηρεσίες τρίτων.
Σε τέτοιες περιπτώσεις, μπορείτε να ακούσετε τη συμβουλή: «Δώστε το στο σύννεφο και μην υποφέρετε». Σίγουρα υπάρχει ένα cloud Zabbix, ίσως υπάρχει κάπου ένα cloud RADIUS, ακόμη και μια βάση δεδομένων cloud για τη διατήρηση μιας λίστας συσκευών. Το πρόβλημα είναι ότι αυτό δεν χρειάζεται ξεχωριστά, αλλά "σε ένα μπουκάλι". Και ακόμα, προκύπτουν ερωτήματα σχετικά με την οργάνωση της πρόσβασης, την αρχική ρύθμιση της συσκευής, την ασφάλεια και πολλά άλλα.
Πώς φαίνεται όταν χρησιμοποιείτε το Nebula;
Φυσικά, αρχικά το «σύννεφο» δεν γνωρίζει τίποτα για τα σχέδιά μας ή τον εξοπλισμό που αγοράσαμε.
Αρχικά, δημιουργείται ένα προφίλ οργανισμού. Δηλαδή, ολόκληρη η υποδομή: έδρα και υποκαταστήματα καταχωρείται πρώτα στο cloud. Καθορίζονται λεπτομέρειες και δημιουργούνται λογαριασμοί για ανάθεση εξουσίας.
Μπορείτε να καταχωρήσετε τις συσκευές σας στο cloud με δύο τρόπους: τον παλιό τρόπο - απλά εισάγοντας τον σειριακό αριθμό όταν συμπληρώνετε μια φόρμα web ή σαρώνοντας έναν κωδικό QR χρησιμοποιώντας ένα κινητό τηλέφωνο. Το μόνο που χρειάζεστε για τη δεύτερη μέθοδο είναι ένα smartphone με κάμερα και πρόσβαση στο Διαδίκτυο, μεταξύ άλλων μέσω παρόχου κινητής τηλεφωνίας.
Φυσικά, η απαραίτητη υποδομή για την αποθήκευση πληροφοριών, τόσο λογιστικών όσο και ρυθμίσεων, παρέχεται από το Zyxel Nebula.
Εικόνα 1. Αναφορά ασφαλείας Κέντρου Ελέγχου Νεφελωμάτων.
Τι γίνεται με τη ρύθμιση της πρόσβασης; Άνοιγμα θυρών, προώθηση της κυκλοφορίας μέσω μιας εισερχόμενης πύλης, όλα αυτά που οι διαχειριστές ασφαλείας αποκαλούν στοργικά «τρύπες επιλογής»; Ευτυχώς, δεν χρειάζεται να τα κάνετε όλα αυτά. Οι συσκευές που εκτελούν το Nebula δημιουργούν μια εξερχόμενη σύνδεση. Και ο διαχειριστής δεν συνδέεται σε ξεχωριστή συσκευή, αλλά στο cloud για διαμόρφωση. Το Nebula μεσολαβεί μεταξύ δύο συνδέσεων: στη συσκευή και στον υπολογιστή του διαχειριστή του δικτύου. Αυτό σημαίνει ότι το στάδιο της κλήσης ενός εισερχόμενου διαχειριστή μπορεί να ελαχιστοποιηθεί ή να παραλειφθεί εντελώς. Και χωρίς πρόσθετες «τρύπες» στο τείχος προστασίας.
Τι γίνεται με τον διακομιστή RADUIS; Άλλωστε, χρειάζεται κάποιου είδους κεντρικό έλεγχο ταυτότητας!
Και αυτές οι λειτουργίες αναλαμβάνονται επίσης από το Nebula. Ο έλεγχος ταυτότητας των λογαριασμών για πρόσβαση στον εξοπλισμό πραγματοποιείται μέσω μιας ασφαλούς βάσης δεδομένων. Αυτό απλοποιεί σε μεγάλο βαθμό την ανάθεση ή την απόσυρση δικαιωμάτων διαχείρισης του συστήματος. Πρέπει να μεταφέρουμε δικαιώματα - να δημιουργήσουμε έναν χρήστη, να εκχωρήσουμε έναν ρόλο. Πρέπει να αφαιρέσουμε τα δικαιώματα - κάνουμε τα αντίστροφα βήματα.
Ξεχωριστά, αξίζει να αναφέρουμε το WPA2-Enterprise, το οποίο απαιτεί ξεχωριστή υπηρεσία ελέγχου ταυτότητας. Το Zyxel Nebula έχει το δικό του ανάλογο - DPPSK, το οποίο σας επιτρέπει να χρησιμοποιείτε το WPA2-PSK με ένα μεμονωμένο κλειδί για κάθε χρήστη.
«Αβολικές» ερωτήσεις
Παρακάτω θα προσπαθήσουμε να δώσουμε απαντήσεις στις πιο δύσκολες ερωτήσεις που τίθενται συχνά κατά την είσοδο σε μια υπηρεσία cloud
Είναι πραγματικά ασφαλές;
Σε κάθε ανάθεση ελέγχου και διαχείρισης για τη διασφάλιση της ασφάλειας, δύο παράγοντες παίζουν σημαντικό ρόλο: η ανωνυμοποίηση και η κρυπτογράφηση.
Η χρήση κρυπτογράφησης για την προστασία της κυκλοφορίας από τα αδιάκριτα βλέμματα είναι κάτι με το οποίο είναι λίγο πολύ εξοικειωμένοι οι αναγνώστες.
Η ανωνυμοποίηση αποκρύπτει πληροφορίες σχετικά με τον ιδιοκτήτη και την πηγή από το προσωπικό του παρόχου cloud. Οι προσωπικές πληροφορίες αφαιρούνται και στα αρχεία εκχωρείται ένα «απρόσωπο» αναγνωριστικό. Ούτε ο προγραμματιστής λογισμικού cloud ούτε ο διαχειριστής που συντηρεί το σύστημα cloud δεν μπορούν να γνωρίζουν τον κάτοχο των αιτημάτων. «Από πού προέκυψε αυτό; Ποιος μπορεί να ενδιαφέρεται για αυτό;» - τέτοια ερωτήματα θα παραμείνουν αναπάντητα. Η έλλειψη πληροφοριών σχετικά με τον ιδιοκτήτη και την πηγή καθιστά τους εμπιστευτικούς χρήστες άσκοπο χάσιμο χρόνου.
Εάν συγκρίνουμε αυτήν την προσέγγιση με την παραδοσιακή πρακτική της εξωτερικής ανάθεσης ή της πρόσληψης ενός εισερχόμενου διαχειριστή, είναι προφανές ότι οι τεχνολογίες cloud είναι πιο ασφαλείς. Ένας εισερχόμενος ειδικός πληροφορικής γνωρίζει πολλά για τον οργανισμό του και μπορεί, ηθελημένα, να προκαλέσει σημαντική ζημιά όσον αφορά την ασφάλεια. Το θέμα της απόλυσης ή της καταγγελίας της σύμβασης πρέπει ακόμη να επιλυθεί. Μερικές φορές, εκτός από τον αποκλεισμό ή τη διαγραφή ενός λογαριασμού, αυτό συνεπάγεται συνολική αλλαγή των κωδικών πρόσβασης για πρόσβαση σε υπηρεσίες, καθώς και έλεγχο όλων των πόρων για «ξεχασμένα» σημεία εισόδου και πιθανούς «σελιδοδείκτες».
Πόσο πιο ακριβό ή φθηνότερο είναι το Nebula από έναν εισερχόμενο διαχειριστή;
Όλα είναι σχετικά. Οι βασικές λειτουργίες του Nebula είναι διαθέσιμες δωρεάν. Στην πραγματικότητα, τι θα μπορούσε να είναι ακόμα φθηνότερο;
Φυσικά, είναι αδύνατο να γίνει εντελώς χωρίς έναν διαχειριστή δικτύου ή ένα άτομο που τον αντικαθιστά. Το ερώτημα είναι ο αριθμός των ατόμων, η εξειδίκευση και η κατανομή τους στους ιστότοπους.
Όσον αφορά την επί πληρωμή εκτεταμένη υπηρεσία, θέτοντας μια άμεση ερώτηση: πιο ακριβή ή φθηνότερη - μια τέτοια προσέγγιση θα είναι πάντα ανακριβής και μονόπλευρη. Θα ήταν πιο σωστό να συγκρίνουμε πολλούς παράγοντες, που κυμαίνονται από χρήματα για να πληρώσουν για την εργασία συγκεκριμένων ειδικών και τελειώνουν με το κόστος διασφάλισης της αλληλεπίδρασής τους με έναν ανάδοχο ή άτομο: ποιοτικός έλεγχος, κατάρτιση τεκμηρίωσης, διατήρηση του επιπέδου ασφάλειας και σύντομα.
Εάν μιλάμε για το θέμα του εάν είναι κερδοφόρο ή μη κερδοφόρο να αγοράσετε ένα πακέτο υπηρεσιών επί πληρωμή (Pro-Pack), τότε μια κατά προσέγγιση απάντηση μπορεί να ακούγεται ως εξής: εάν ο οργανισμός είναι μικρός, μπορείτε να τα βγάλετε πέρα με τα βασικά έκδοση, εάν ο οργανισμός αναπτύσσεται, τότε είναι λογικό να σκεφτούμε το Pro-Pack. Οι διαφορές μεταξύ των εκδόσεων του νεφελώματος Zyxel φαίνονται στον Πίνακα 1.
Πίνακας 1. Διαφορές μεταξύ των συνόλων βασικών και Pro-Pack χαρακτηριστικών για το Nebula.
Αυτό περιλαμβάνει προηγμένες αναφορές, έλεγχο χρήστη, κλωνοποίηση ρυθμίσεων και πολλά άλλα.
Τι γίνεται με την προστασία της κυκλοφορίας;
Το Nebula χρησιμοποιεί το πρωτόκολλο για τη διασφάλιση της ασφαλούς λειτουργίας του εξοπλισμού δικτύου.
Το NETCONF μπορεί να τρέξει πάνω από πολλά πρωτόκολλα μεταφοράς:
- ();
- ();
- ();
- ().
Εάν συγκρίνουμε το NETCONF με άλλες μεθόδους, για παράδειγμα, διαχείριση μέσω SNMP, θα πρέπει να σημειωθεί ότι NETCONF υποστηρίζει εξερχόμενη σύνδεση TCP για την υπέρβαση του φραγμού NAT και θεωρείται πιο αξιόπιστη.
Τι γίνεται με την υποστήριξη υλικού;
Φυσικά, δεν πρέπει να μετατρέψετε το δωμάτιο διακομιστή σε ζωολογικό κήπο με εκπροσώπους σπάνιων και απειλούμενων τύπων εξοπλισμού. Είναι πολύ επιθυμητό ο εξοπλισμός που ενώνεται με την τεχνολογία διαχείρισης να καλύπτει όλες τις κατευθύνσεις: από τον κεντρικό διακόπτη έως τα σημεία πρόσβασης. Οι μηχανικοί της Zyxel φρόντισαν για αυτή τη δυνατότητα. Το Nebula τρέχει πολλές συσκευές:
- Κεντρικοί διακόπτες 10G.
- διακόπτες επιπέδου πρόσβασης.
- Διακόπτες PoE.
- σημεία πρόσβασης;
- πύλες δικτύου.
Χρησιμοποιώντας ένα ευρύ φάσμα υποστηριζόμενων συσκευών, μπορείτε να δημιουργήσετε δίκτυα για διάφορους τύπους εργασιών. Αυτό ισχύει ιδιαίτερα για τις εταιρείες που αναπτύσσονται όχι ανοδικά, αλλά προς τα έξω, εξερευνώντας συνεχώς νέους τομείς επιχειρηματικής δραστηριότητας.
Συνεχής ανάπτυξη
Οι συσκευές δικτύου με μια παραδοσιακή μέθοδο διαχείρισης έχουν μόνο έναν τρόπο βελτίωσης - αλλαγή της ίδιας της συσκευής, είτε πρόκειται για νέο υλικολογισμικό είτε για πρόσθετες μονάδες. Στην περίπτωση του νεφελώματος Zyxel, υπάρχει μια πρόσθετη διαδρομή για βελτίωση - μέσω της βελτίωσης της υποδομής cloud. Για παράδειγμα, μετά την ενημέρωση του Nebula Control Center (NCC) στην έκδοση 10.1. (21 Σεπτεμβρίου 2020) νέες λειτουργίες είναι διαθέσιμες στους χρήστες, εδώ είναι μερικές από αυτές:
- Ο κάτοχος ενός οργανισμού μπορεί πλέον να μεταβιβάσει όλα τα δικαιώματα ιδιοκτησίας σε άλλον διαχειριστή στον ίδιο οργανισμό.
- ένας νέος ρόλος που ονομάζεται Εκπρόσωπος Ιδιοκτητών, ο οποίος έχει τα ίδια δικαιώματα με τον ιδιοκτήτη του οργανισμού.
- νέα δυνατότητα ενημέρωσης υλικολογισμικού σε όλο τον οργανισμό (λειτουργία Pro-Pack).
- δύο νέες επιλογές έχουν προστεθεί στην τοπολογία: επανεκκίνηση της συσκευής και ενεργοποίηση και απενεργοποίηση της θύρας PoE (λειτουργία Pro-Pack).
- υποστήριξη για νέα μοντέλα σημείων πρόσβασης: WAC500, WAC500H, WAC5302D-Sv2 και NWA1123ACv3.
- υποστήριξη για έλεγχο ταυτότητας κουπονιών με εκτύπωση κωδικού QR (λειτουργία Pro-Pack).
χρήσιμοι σύνδεσμοι
Πηγή: www.habr.com