Construír unha infraestrutura de rede baseada en Nebula. Parte 1: problemas e solucións

O artigo discutirá os problemas de organizar a infraestrutura de rede do xeito tradicional e os métodos para resolver os mesmos problemas utilizando tecnoloxías na nube.

A referencia. Nebula é un ambiente de nube SaaS para o mantemento remoto da infraestrutura de rede. Todos os dispositivos compatibles con Nebula xestionanse desde a nube mediante unha conexión segura. Pode xestionar unha gran infraestrutura de rede distribuída desde un único centro sen gastar o esforzo de creala.

Por que necesitas outro servizo na nube?

O principal problema cando se traballa coa infraestrutura de rede non é deseñar a rede e comprar equipos, nin sequera instalalos nun rack, senón todo o que haberá que facer con esta rede no futuro.

Nova rede - vellas preocupacións

Ao poñer en funcionamento un novo nodo de rede despois de instalar e conectar o equipo, comeza a configuración inicial. Desde o punto de vista dos "grandes xefes" - nada complicado: "Collemos a documentación de traballo para o proxecto e comezamos a configurar..." Isto é tan ben dito cando todos os elementos da rede están situados nun centro de datos. Se están espallados por ramas, comeza a dor de cabeza de proporcionar acceso remoto. É un círculo tan vicioso: para obter acceso remoto a través da rede, cómpre configurar os equipos de rede, e para iso necesitas acceso a través da rede...

Temos que elaborar varios esquemas para saír do impasse descrito anteriormente. Por exemplo, un portátil con acceso a Internet a través dun módem USB 4G está conectado mediante un cable de conexión a unha rede personalizada. Neste portátil está instalado un cliente VPN e, a través del, o administrador de rede da sede tenta acceder á rede de sucursais. O esquema non é o máis transparente: aínda que traes un portátil cunha VPN preconfigurada a un sitio remoto e pidas acendelo, non é certo que todo funcione a primeira vez. Especialmente se estamos a falar dunha rexión diferente cun provedor diferente.

Resulta que o xeito máis fiable é ter un bo especialista "no outro extremo da liña" que poida configurar a súa parte segundo o proxecto. Se non hai tal cousa no persoal da sucursal, as opcións seguen sendo: ou externalización ou viaxes de negocios.

Tamén necesitamos un sistema de vixilancia. Debe instalarse, configurarse e manterse (polo menos supervisar o espazo no disco e facer copias de seguridade regulares). E que non sabe nada dos nosos dispositivos ata que non llo contamos. Para iso, cómpre rexistrar a configuración de todos os equipos e controlar regularmente a relevancia dos rexistros.

É xenial cando o persoal ten a súa propia "orquestra dun home", que, ademais dos coñecementos específicos dun administrador de rede, sabe como traballar con Zabbix ou outro sistema similar. En caso contrario, contratamos outra persoa do persoal ou subcontratamos.

Nota. Os erros máis tristes comezan coas palabras: “Que hai para configurar este Zabbix (Nagios, OpenView, etc.)? Collereino rapidamente e xa está listo!"

Desde a implantación ata o funcionamento

Vexamos un exemplo específico.

Recibiuse unha mensaxe de alarma que indica que un punto de acceso WiFi dalgún lugar non responde.

Onde está ela?

Por suposto, un bo administrador de rede ten o seu propio directorio persoal no que se anota todo. As preguntas comezan cando hai que compartir esta información. Por exemplo, cómpre enviar urxentemente un mensaxeiro para resolver as cousas no lugar e, para iso, debe emitir algo así como: "Punto de acceso no centro de negocios de Stroiteley Street, edificio 1, no 3º andar, cuarto núm. 301 xunto á porta de entrada baixo o teito".

Digamos que temos sorte e que o punto de acceso está alimentado a través de PoE e o interruptor permite que se reinicie de forma remota. Non necesitas viaxar, pero necesitas acceso remoto ao interruptor. Todo o que queda é configurar o reenvío de portos mediante PAT no enrutador, descubrir a VLAN para conectarse desde fóra, etc. É bo se todo está configurado con antelación. O traballo pode non ser difícil, pero hai que facelo.

Entón, o punto de venda de alimentos foi reiniciado. Non axudou?

Digamos que algo está mal no hardware. Agora buscamos información sobre a garantía, posta en marcha e outros detalles de interese.

Falando de WiFi. Non se recomenda utilizar a versión doméstica de WPA2-PSK, que ten unha tecla para todos os dispositivos, nun entorno corporativo. En primeiro lugar, unha tecla para todos é simplemente insegura e, en segundo lugar, cando un empregado sae, tes que cambiar esta chave común e volver facer a configuración en todos os dispositivos para todos os usuarios. Para evitar tales problemas, existe WPA2-Enterprise con autenticación individual para cada usuario. Pero para iso necesitas un servidor RADIUS: outra unidade de infraestrutura que hai que controlar, facer copias de seguridade, etc.

Teña en conta que en cada fase, xa sexa de implementación ou de operación, utilizamos sistemas de soporte. Isto inclúe un portátil cunha conexión a Internet de "terceiros", un sistema de vixilancia, unha base de datos de referencia de equipos e RADIUS como sistema de autenticación. Ademais dos dispositivos de rede, tamén tes que manter servizos de terceiros.

Nestes casos, podes escoitar o consello: "Dállello á nube e non sufras". Seguramente hai unha nube Zabbix, quizais hai unha nube RADIUS nalgún lugar, e ata unha base de datos en nube para manter unha lista de dispositivos. O problema é que isto non é necesario por separado, senón "nunha botella". E aínda así, xorden preguntas sobre a organización do acceso, a configuración inicial do dispositivo, a seguridade e moito máis.

Como se ve cando se usa Nebula?

Por suposto, inicialmente a "nube" non sabe nada dos nosos plans nin dos equipos adquiridos.

En primeiro lugar, créase un perfil de organización. É dicir, toda a infraestrutura: sedes e sucursais rexístrase primeiro na nube. Especifícanse os detalles e créanse contas para a delegación de autoridade.

Podes rexistrar os teus dispositivos na nube de dúas formas: á antiga: simplemente introducindo o número de serie ao cubrir un formulario web ou escaneando un código QR cun teléfono móbil. Todo o que necesitas para o segundo método é un teléfono intelixente con cámara e acceso a Internet, incluso a través dun provedor móbil.

Por suposto, Zyxel Nebula proporciona a infraestrutura necesaria para almacenar información, tanto de contabilidade como de configuración.

Figura 1. Informe de seguridade do Nebula Control Center.

Que pasa coa configuración do acceso? Abrir portos, reenviar o tráfico a través dunha pasarela de entrada, todo o que os administradores de seguridade chaman cariñosamente "escoller buratos"? Afortunadamente, non necesitas facer todo isto. Os dispositivos que executan Nebula establecen unha conexión de saída. E o administrador conéctase non a un dispositivo separado, senón á nube para a súa configuración. Nebula media entre dúas conexións: ao dispositivo e ao ordenador do administrador da rede. Isto significa que a fase de chamar a un administrador entrante pode minimizarse ou omitirse por completo. E non hai "buratos" adicionais no firewall.

E o servidor RADUIS? Despois de todo, é necesario algún tipo de autenticación centralizada!

E estas funcións tamén son asumidas por Nebula. A autenticación das contas para o acceso aos equipos prodúcese a través dunha base de datos segura. Isto simplifica moito a delegación ou retirada de dereitos para xestionar o sistema. Necesitamos transferir dereitos: crear un usuario, asignar un rol. Necesitamos quitar os dereitos: realizamos os pasos inversos.

Por separado, paga a pena mencionar WPA2-Enterprise, que require un servizo de autenticación separado. Zyxel Nebula ten o seu propio analóxico - DPPSK, que lle permite usar WPA2-PSK cunha clave individual para cada usuario.

Preguntas "incómodas".

A continuación trataremos de dar respostas ás preguntas máis complicadas que adoitan facerse ao entrar nun servizo na nube

É realmente seguro?

En calquera delegación de control e xestión para garantir a seguridade, dous factores xogan un papel importante: a anonimización e o cifrado.

Usar o cifrado para protexer o tráfico de miradas indiscretas é algo co que os lectores están máis ou menos familiarizados.

A anonimización oculta información sobre o propietario e a fonte do persoal do provedor da nube. Elimínase a información persoal e asígnaselle aos rexistros un identificador "sen rostro". Nin o desenvolvedor de software na nube nin o administrador que mantén o sistema na nube poden coñecer o propietario das solicitudes. "¿De onde veu isto? Quen podería estar interesado nisto?" - tales preguntas permanecerán sen resposta. A falta de información sobre o propietario e a fonte fai que o insider sexa unha perda de tempo inútil.

Se comparamos este enfoque coa práctica tradicional de subcontratar ou contratar un administrador entrante, é obvio que as tecnoloxías na nube son máis seguras. Un especialista en informática entrante sabe bastante sobre a súa organización e pode, queira ou non, causar un dano importante en termos de seguridade. A cuestión do despedimento ou a extinción do contrato aínda está pendente de resolver. Ás veces, ademais de bloquear ou eliminar unha conta, isto supón un cambio global de contrasinais para acceder aos servizos, así como unha auditoría de todos os recursos para puntos de entrada "esquecidos" e posibles "marcadores".

Canto máis caro ou máis barato é Nebula que un administrador entrante?

Todo é relativo. As funcións básicas de Nebula están dispoñibles de balde. En realidade, que podería ser aínda máis barato?

Por suposto, é imposible prescindir completamente dun administrador de rede ou dunha persoa que o substitúa. A cuestión é o número de persoas, a súa especialización e distribución entre sitios.

En canto ao servizo estendido de pago, facer unha pregunta directa: máis caro ou máis barato; tal enfoque sempre será inexacto e unilateral. Sería máis correcto comparar moitos factores, que van desde o diñeiro para pagar o traballo de especialistas específicos e rematando cos custos de garantir a súa interacción cun contratista ou particular: control de calidade, elaboración da documentación, mantemento do nivel de seguridade e así por diante.

Se estamos a falar do tema de se é ou non rendible mercar un paquete de servizos de pago (Pro-Pack), entón unha resposta aproximada pode soar así: se a organización é pequena, podes saír co básico. versión, se a organización está crecendo, ten sentido pensar en Pro-Pack. As diferenzas entre as versións de Zyxel Nebula pódense ver na Táboa 1.

Táboa 1. Diferenzas entre os conxuntos de funcións básico e Pro-Pack para Nebula.

Isto inclúe informes avanzados, auditoría de usuarios, clonación de configuracións e moito máis.

Que pasa coa protección do tráfico?

Nebula usa o protocolo NETCONF para garantir o funcionamento seguro dos equipos de rede.

NETCONF pode executarse enriba de varios protocolos de transporte:

• SSH (RFC 4742);
• XABÓN (RFC 4743);
• BIP (RFC 4744);
• TLS (RFC 5539).

Se comparamos NETCONF con outros métodos, por exemplo, a xestión mediante SNMP, hai que ter en conta que NETCONF admite a conexión TCP de saída para superar a barreira NAT e considérase máis fiable.

E o soporte de hardware?

Por suposto, non debes converter a sala de servidores nun zoolóxico con representantes de equipos raros e en perigo de extinción. É moi desexable que os equipos unidos pola tecnoloxía de xestión cubran todas as direccións: dende o interruptor central ata os puntos de acceso. Os enxeñeiros de Zyxel encargáronse desta posibilidade. Nebula executa moitos dispositivos:

• interruptores centrais 10G;
• interruptores de nivel de acceso;
• interruptores PoE;
• puntos de acceso;
• pasarelas de rede.

Usando unha ampla gama de dispositivos compatibles, podes crear redes para varios tipos de tarefas. Isto é especialmente certo para as empresas que non están crecendo cara arriba, senón cara a fóra, que exploran constantemente novas áreas para facer negocios.

Desenvolvemento continuo

Os dispositivos de rede cun método de xestión tradicional só teñen un xeito de mellorar: cambiar o propio dispositivo, xa sexa un novo firmware ou módulos adicionais. No caso de Zyxel Nebula, hai un camiño adicional para mellorar: a través da mellora da infraestrutura da nube. Por exemplo, despois de actualizar Nebula Control Center (NCC) á versión 10.1. (21 de setembro de 2020) as novas funcións están dispoñibles para os usuarios, aquí tes algunhas delas:

• O propietario dunha organización agora pode transferir todos os dereitos de propiedade a outro administrador da mesma organización;
• un novo rol chamado Owner Representative, que ten os mesmos dereitos que o propietario da organización;
• nova función de actualización de firmware para toda a organización (función Pro-Pack);
• engadíronse dúas novas opcións á topoloxía: reiniciar o dispositivo e acender e apagar o porto PoE (función Pro-Pack);
• soporte para novos modelos de puntos de acceso: WAC500, WAC500H, WAC5302D-Sv2 e NWA1123ACv3;
• soporte para autenticación de vales con impresión de códigos QR (función Pro-Pack).

Ligazóns útiles

1. Chat de Telegram Zyxel
2. Foro de equipos Zyxel
3. Moitos vídeos útiles na canle de Youtube
4. Zyxel Nebula - facilidade de xestión como base para o aforro
5. Diferenza entre as versións de Zyxel Nebula
6. Zyxel Nebula e crecemento da empresa
7. Nube de supernova da nebulosa Zyxel: un camiño rentable cara á seguridade?
8. Zyxel Nebula: opcións para o teu negocio

Fonte: www.habr.com