Artikuluan sare-azpiegiturak modu tradizionalean antolatzeko arazoak eta hodeiko teknologiak erabiliz arazo berdinak konpontzeko metodoak eztabaidatuko dira.
Erreferentzia gisa. Nebula SaaS hodei ingurune bat da, sareko azpiegiturak urrunetik mantentzeko. Nebula gaitutako gailu guztiak hodeitik kudeatzen dira konexio seguru baten bidez. Banatutako sare-azpiegitura handi bat zentro bakar batetik kudea dezakezu hura sortzeko ahaleginik egin gabe.
Zergatik behar duzu beste hodeiko zerbitzu bat?
Sareko azpiegiturekin lan egitean arazo nagusia ez da sarea diseinatzea eta ekipoak erostea, ezta rack batean instalatzea ere, etorkizunean sare honekin egin beharko den guztia baizik.
Sare berria - kezka zaharrak
Ekipamendua instalatu eta konektatu ondoren sare-nodo berri bat martxan jartzen denean, hasierako konfigurazioa hasten da. "Nagusi handien" ikuspuntutik - ezer konplikatua: "Proiektuaren lan-dokumentazioa hartu eta konfiguratzen hasten gara..." Hori oso ondo esaten da sareko elementu guztiak datu-zentro batean daudenean. Adarretan sakabanatuta badaude, urruneko sarbidea ematearen buruhaustea hasten da. Zirkulu gaiztoa da: sarean urruneko sarbidea lortzeko, sareko ekipoak konfiguratu behar dituzu, eta horretarako sarearen bidez sarbidea behar duzu...
Goian azaldutako impassetik ateratzeko hainbat eskema asmatu behar ditugu. Adibidez, USB 4G modem baten bidez Interneterako sarbidea duen ordenagailu eramangarri bat adabaki kable baten bidez konektatzen da sare pertsonalizatu batera. Ordenagailu eramangarri honetan VPN bezero bat instalatzen da, eta haren bidez egoitzako sareko administratzaileak sukurtsalen sarera sartzen saiatzen da. Eskema ez da gardenena - aldez aurretik konfiguratutako VPN bat duen ordenagailu eramangarri bat urruneko gune batera eraman eta pizteko eskatu arren, oso urrun dago dena lehen aldiz funtzionatuko duela. Batez ere beste eskualde bati buruz ari bagara beste hornitzaile batekin.
Ematen du modurik fidagarriena "lerroaren beste muturrean" espezialista on bat izatea dela, eta bere zatia proiektuaren arabera konfigura dezakeena. Bulegoko langileetan horrelakorik ez badago, aukerak geratzen dira: edo azpikontratazioa edo negozio bidaiak.
Jarraipen sistema bat ere behar dugu. Instalatu, konfiguratu, mantendu egin behar da (gutxienez kontrolatu diskoko espazioa eta egin ohiko babeskopiak). Eta horrek ez daki ezer gure gailuei buruz esan arte. Horretarako, ekipo guztien ezarpenak erregistratu eta erregistroen garrantzia aldizka kontrolatu behar dituzu.
Oso ona da langileek bere "orkestra bakarreko" dutenean, sareko administratzaile baten ezagutza espezifikoez gain, Zabbix edo antzeko beste sistema batekin lan egiten dakienean. Bestela, langileen beste pertsona bat kontratatzen dugu edo azpikontratatzen dugu.
Oharra. Akats tristeenak hitz hauekin hasten dira: βZer dago Zabbix hau konfiguratzeko (Nagios, OpenView, etab.)? Azkar jasoko dut eta prest dago!"
Inplementaziotik funtzionamendura
Ikus dezagun adibide zehatz bat.
Alarma-mezu bat jaso da nonbait WiFi sarbide-puntu batek ez duela erantzuten adierazten.
Non dago?
Jakina, sareko administratzaile on batek bere direktorio pertsonala dauka eta bertan dena idatzita dago. Galderak informazio hori partekatu behar denean hasten dira. Esaterako, premiazko mezulari bat bidali behar duzu gauzak tokian bertan ordenatzeko, eta horretarako honelako zerbait igorri behar duzu: "Stroiteley Street-eko negozio-zentroko sarbide-puntua, 1. eraikina, 3. solairuan, gela zk. 301 sabai azpiko atearen ondoan".
Demagun zortea dugula eta sarbide-puntua PoE bidez elikatzen dela eta etengailuak urrunetik berrabiarazteko aukera ematen du. Ez duzu bidaiatu behar, baina urrutiko sarbidea behar duzu switcherako. Bideratzailean PAT bidez portuak birbidaltzea, kanpotik konektatzeko VLANa irudikatzea eta abar da geratzen dena. Ona da dena aldez aurretik konfiguratuta badago. Lana ez da zaila izango, baina egin beharra dago.
Beraz, janari-saltokia berrabiarazi zen. Ez al duzu lagundu?
Demagun hardwarean zerbait gaizki dagoela. Orain bermeari, abiarazteari eta interesgarri diren beste xehetasun batzuei buruzko informazioa bilatzen ari gara.
WiFiari buruz hitz egiten. WPA2-PSK etxeko bertsioa erabiltzea, gailu guztietarako gako bakarra duena, ez da gomendagarria ingurune korporatibo batean. Lehenik eta behin, guztientzako gako bat ez da segurua, eta bigarrenik, langile bat irteten denean, gako komun hori aldatu eta gailu guztietan ezarpenak berriro egin behar dituzu erabiltzaile guztientzat. Horrelako arazoak ekiditeko, WPA2-Enterprise dago erabiltzaile bakoitzaren autentifikazio indibiduala duena. Baina horretarako RADIUS zerbitzari bat behar duzu - kontrolatu behar den beste azpiegitura-unitate bat, babeskopiak egin eta abar.
Kontuan izan fase guztietan, inplementazioa edo eragiketa izan, laguntza-sistemak erabiltzen ditugula. Horrek "hirugarrenen" Interneteko konexioa duen ordenagailu eramangarri bat, monitorizazio sistema bat, ekipoen erreferentzia datu-base bat eta RADIUS autentifikazio sistema gisa barne hartzen ditu. Sareko gailuez gain, hirugarrenen zerbitzuak ere mantendu behar dituzu.
Horrelakoetan, aholkua entzun dezakezu: "Eman hodeiari eta ez sufritu". Seguru hodei Zabbix bat dagoela, beharbada hodei RADIUS bat dago nonbait, eta baita hodeiko datu-base bat ere gailuen zerrenda mantentzeko. Arazoa da hori ez dela bereizita behar, "botila batean" baizik. Hala ere, galderak sortzen dira sarbidea antolatzeari, gailuaren hasierako konfigurazioari, segurtasunari eta askoz gehiagori buruz.
Nolakoa da Nebula erabiltzean?
Noski, hasieran "hodeiak" ez daki ezer gure planei edo erositako ekipoei buruz.
Lehenik eta behin, erakundearen profila sortzen da. Hau da, azpiegitura osoa: egoitzak eta sukurtsalak hodeian erregistratzen dira lehenik. Xehetasunak zehazten dira eta kontuak sortzen dira agintea eskuordetzeko.
Zure gailuak hodeian erregistratu ditzakezu bi modutara: antzinako erara - web-inprimaki bat betetzean serie-zenbakia sartu besterik ez dago edo QR kode bat eskaneatu telefono mugikorra erabiliz. Bigarren metodorako behar duzun guztia kamera bat eta Interneterako sarbidea duen telefono bat da, hornitzaile mugikor baten bidez barne.
Jakina, informazioa gordetzeko beharrezkoa den azpiegitura, bai kontabilitateak bai ezarpenak, Zyxel Nebulak eskaintzen du.
1. Irudia. Nebula Kontrol Zentroaren segurtasun-txostena.
Zer gertatzen da sarbidea konfiguratzearekin? Portuak irekitzea, trafikoa sarrerako atebide batetik birbidaltzea, segurtasun-administratzaileek maitasunez "zuloak hautatzea" deitzen duten guztia? Zorionez, ez duzu hori guztia egin behar. Nebula exekutatzen duten gailuek irteerako konexioa ezartzen dute. Eta administratzaileak ez du gailu bereizi batera konektatzen, konfiguraziorako hodeira baizik. Nebulak bi konexioren arteko bitartekaritza egiten du: gailuarekin eta sareko administratzailearen ordenagailuarekin. Horrek esan nahi du sarrerako administratzaile bati deitzeko fasea gutxitu edo guztiz saltatu daitekeela. Eta ez dago "zulo" gehigarririk suebakian.
Zer gertatzen da RADUIS zerbitzariarekin? Azken finean, nolabaiteko autentifikazio zentralizatua behar da!
Eta funtzio hauek Nebulosak ere hartzen ditu. Ekipamenduetara sartzeko kontuen autentifikazioa datu-base seguru baten bidez gertatzen da. Horrek asko errazten du sistema kudeatzeko eskubideak eskuordetzea edo kentzea. Eskubideak transferitu behar ditugu: erabiltzaile bat sortu, rol bat esleitu. Eskubideak kendu behar ditugu - alderantzizko urratsak egiten ditugu.
Bereiz, WPA2-Enterprise aipatzea merezi du, aparteko autentifikazio-zerbitzu bat behar duena. Zyxel Nebulak bere analogikoa du - DPPSK, eta horrek WPA2-PSK erabiltzeko aukera ematen du erabiltzaile bakoitzarentzat gako indibidual batekin.
Galdera "desegokiak".
Jarraian, hodeiko zerbitzu batean sartzean maiz egiten diren galdera zailenei erantzunak ematen saiatuko gara
Benetan segurua al da?
Segurtasuna bermatzeko kontrol eta kudeaketa edozein eskuordetzetan, bi faktorek zeresan handia dute: anonimizazioak eta enkriptatzea.
Zifraketa erabiltzea trafikoa begietatik babesteko irakurleek gehiago edo gutxiago ezagutzen duten zerbait da.
Anonimizazioak jabeari eta iturriari buruzko informazioa ezkutatzen du hodeiko hornitzaileen langileei. Informazio pertsonala kentzen da eta erregistroei "aurpegirik gabeko" identifikatzaile bat esleitzen zaie. Ez hodeiko softwarearen garatzaileak ez hodeiko sistema mantentzen duen administratzaileak ezin dute eskaeren jabea ezagutu. "Nondik atera da hau? Nori interesatuko zaio?β - galdera horiek erantzun gabe geratuko dira. Jabeari eta iturriari buruzko informazio faltak denbora galtzea alferrikako bihurtzen du.
Ikuspegi hau kanpo-kontratazioaren edo sarrerako administratzaile bat kontratatzeko ohiko praktikarekin alderatzen badugu, argi dago hodeiko teknologiak seguruagoak direla. Sarrerako IT espezialista batek asko daki bere erakundeari buruz, eta nahi eta nahi ez, kalte handiak eragin ditzake segurtasunari dagokionez. Kaleratzearen edo kontratuaren amaieraren arazoa oraindik ebatzi behar da. Batzuetan, kontu bat blokeatzeaz edo ezabatzeaz gain, zerbitzuetara sartzeko pasahitzen aldaketa globala dakar, baita "ahaztutako" sarrera-puntuen eta balizko "laster-marken" baliabide guztien ikuskapena ere.
Zenbat garestiagoa edo merkeagoa da Nebula sarrerako administratzailea baino?
Dena erlatiboa da. Nebularen oinarrizko ezaugarriak doan daude eskuragarri. Egia esan, zer izan daiteke are merkeagoa?
Jakina, ezinezkoa da sareko administratzaile edo pertsona batek ordezkatu gabe erabat egitea. Kontua da jende kopurua, haien espezializazioa eta banaketa guneetan.
Ordainpeko zerbitzu hedatuari dagokionez, galdera zuzena egitea: garestiagoa edo merkeagoa - halako ikuspegia beti izango da zehatza eta aldebakarrekoa. Zuzenagoa litzateke faktore asko alderatzea, dirutik hasi eta espezialisten lana ordaintzeraino eta kontratistarekin edo norbanakoarekin duten elkarreragina ziurtatzeko kostuekin amaituz: kalitate kontrola, dokumentazioa egitea, segurtasun maila mantentzea eta abar.
Ordaindutako zerbitzu pakete bat erostea (Pro-Pack) errentagarria den ala ez errentagarria den gaiari buruz ari bagara, orduan gutxi gorabeherako erantzuna honelakoa izan daiteke: erakundea txikia bada, oinarrizkoekin aurrera egin dezakezu. bertsioa, erakundea hazten ari bada, orduan zentzuzkoa da Pro-Pack-en pentsatzea. Zyxel Nebulosaren bertsioen arteko desberdintasunak 1. taulan ikus daitezke.
1. taula. Nebularako oinarrizko eta Pro-Pack eginbide multzoen arteko desberdintasunak.
Horrek txosten aurreratuak, erabiltzaileen auditoretzak, konfigurazio-klonazioa eta askoz gehiago barne hartzen ditu.
Zer gertatzen da trafikoaren babesarekin?
Nebulosa protokoloa erabiltzen du sareko ekipoen funtzionamendu segurua bermatzeko.
NETCONF hainbat garraio-protokoloren gainean exekutatu daiteke:
- ();
- ();
- ();
- ().
NETCONF beste metodo batzuekin alderatzen badugu, adibidez, SNMP bidezko kudeaketa, kontuan izan behar da NETCONF NAT oztopoa gainditzeko irteerako TCP konexioa onartzen du eta fidagarriagoa da.
Zer gertatzen da hardware laguntzarekin?
Jakina, ez zenuke zerbitzari gela zoo bihurtu behar ekipamendu arraroen eta arriskuan daudenen ordezkariekin. Oso desiragarria da kudeaketa-teknologiak batutako ekipamenduak norabide guztiak estaltzea: etengailu zentraletik hasi eta sarbide puntuetaraino. Zyxeleko ingeniariek arduratu zuten aukera hori. Nebulak gailu asko exekutatzen ditu:
- 10G etengailu zentralak;
- sarbide-maila etengailuak;
- etengailuak PoErekin;
- sarbide puntuak;
- sareko pasabideak.
Onartutako gailu sorta zabala erabiliz, hainbat zeregin motatarako sareak eraiki ditzakezu. Hau bereziki egia da hazten ez diren enpresentzat, baizik eta kanporantz hazten ari diren enpresentzat, negozioak egiteko eremu berriak etengabe aztertzen ari direnak.
Etengabeko garapena
Kudeaketa metodo tradizionala duten sareko gailuek hobetzeko modu bakarra dute: gailua bera aldatzea, izan firmware berria edo modulu osagarriak. Zyxel Nebulosaren kasuan, hobekuntzarako bide gehigarri bat dago, hodeiko azpiegitura hobetuz. Adibidez, Nebula Control Center (NCC) 10.1 bertsiora eguneratu ondoren. (21ko irailak 2020) eginbide berriak erabilgarri daude erabiltzaileentzat, hona hemen horietako batzuk:
- Erakunde baten jabeak orain erakunde bereko beste administratzaile bati transferi ditzake jabetza eskubide guztiak;
- Jabearen Ordezkaria izeneko rol berri bat, erakundearen jabearen eskubide berberak dituena;
- Erakunde osorako firmware eguneratzeko eginbide berria (Pro-Pack eginbidea);
- bi aukera berri gehitu zaizkio topologiari: gailua berrabiarazi eta PoE ataka piztea eta itzaltzea (Pro-Pack funtzioa);
- sarbide-puntu eredu berrietarako laguntza: WAC500, WAC500H, WAC5302D-Sv2 eta NWA1123ACv3;
- QR kodea inprimatzeko bonoen autentifikaziorako laguntza (Pro-Pack funtzioa).
Esteka interesgarriak
Iturria: www.habr.com