Միգամածության վրա հիմնված ցանցային ենթակառուցվածքի կառուցում: Մաս 1 - խնդիրներ և լուծումներ

Հոդվածում կքննարկվեն ավանդական եղանակով ցանցային ենթակառուցվածքի կազմակերպման խնդիրները և նույն խնդիրները ամպային տեխնոլոգիաների միջոցով լուծելու մեթոդները:

Համար. Nebula-ն SaaS ամպային միջավայր է ցանցային ենթակառուցվածքի հեռակառավարման համար: Nebula-ով միացված բոլոր սարքերը կառավարվում են ամպից՝ անվտանգ կապի միջոցով: Դուք կարող եք կառավարել մեծ բաշխված ցանցային ենթակառուցվածքը մեկ կենտրոնից՝ առանց դրա ստեղծման ջանքերը ծախսելու:

Ինչու՞ է ձեզ անհրաժեշտ մեկ այլ ամպային ծառայություն:

Ցանցային ենթակառուցվածքի հետ աշխատելիս հիմնական խնդիրը ցանցի նախագծումն ու սարքավորումներ ձեռք բերելը կամ նույնիսկ դարակաշարում տեղադրելը չէ, այլ այն ամենը, ինչ պետք է անել այս ցանցի հետ ապագայում:

Նոր ցանց՝ հին հոգսեր

Սարքավորումը տեղադրելուց և միացնելուց հետո ցանցի նոր հանգույցը շահագործման հանձնելիս սկսվում է նախնական կոնֆիգուրացիան: «Մեծ ղեկավարների» տեսանկյունից ոչ մի բարդ բան չկա. «Մենք վերցնում ենք նախագծի աշխատանքային փաստաթղթերը և սկսում ենք կարգավորել...» Սա այնքան լավ է ասված, երբ ցանցի բոլոր տարրերը տեղակայված են մեկ տվյալների կենտրոնում: Եթե ​​դրանք ցրված են ճյուղերով, ապա սկսվում է հեռահար մուտք ապահովելու գլխացավը։ Դա այնքան արատավոր շրջան է. ցանցից հեռահար մուտք ստանալու համար անհրաժեշտ է կարգավորել ցանցային սարքավորումները, և դրա համար անհրաժեշտ է մուտք գործել ցանցի միջոցով...

Մենք պետք է տարբեր սխեմաներ մշակենք վերը նկարագրված փակուղուց դուրս գալու համար։ Օրինակ, USB 4G մոդեմի միջոցով ինտերնետ հասանելիությամբ նոութբուքը միացված է կարկատանի միջոցով հատուկ ցանցին: Այս նոութբուքի վրա տեղադրված է VPN-հաճախորդ, որի միջոցով ցանցի ադմինիստրատորը շտաբից փորձում է մուտք գործել մասնաճյուղային ցանց: Սխեման ամենաթափանցիկ չէ. նույնիսկ եթե դուք նախապես կազմաձևված VPN-ով նոութբուք եք բերում հեռավոր կայք և խնդրեք միացնել այն, հեռու է այն փաստից, որ ամեն ինչ կաշխատի առաջին անգամ: Հատկապես, եթե մենք խոսում ենք այլ տարածաշրջանի մասին, այլ մատակարարով:

Պարզվում է, որ ամենահուսալի միջոցը «գծի մյուս ծայրում» լավ մասնագետ ունենալն է, ով կարող է իր մասը կարգավորել ըստ նախագծի։ Եթե ​​մասնաճյուղի աշխատակազմում նման բան չկա, տարբերակները մնում են՝ կա՛մ աութսորսինգ, կա՛մ գործուղում:

Մեզ պետք է նաև մոնիտորինգի համակարգ։ Այն պետք է տեղադրվի, կազմաձևվի, պահպանվի (առնվազն վերահսկել սկավառակի տարածությունը և կանոնավոր կրկնօրինակումներ անել): Եվ որը ոչինչ չգիտի մեր սարքերի մասին, քանի դեռ մենք դա չենք ասում: Դա անելու համար դուք պետք է գրանցեք պարամետրերը բոլոր սարքավորումների համար և պարբերաբար վերահսկեք գրառումների համապատասխանությունը:

Հիանալի է, երբ անձնակազմն ունի իր «մեկ մարդու նվագախումբը», որը, բացի ցանցային ադմինիստրատորի հատուկ գիտելիքներից, գիտի ինչպես աշխատել Zabbix-ի կամ նմանատիպ այլ համակարգի հետ: Հակառակ դեպքում, մենք վարձում ենք մեկ այլ անձի աշխատակազմում կամ աութսորսինգ ենք անում:

Նշում. Ամենատխուր սխալները սկսվում են հետևյալ բառերով. «Ի՞նչ կա այս Zabbix-ը կարգավորելու համար (Nagios, OpenView և այլն): Ես արագ կվերցնեմ այն ​​և պատրաստ է»:

Իրագործումից մինչև գործարկում

Եկեք նայենք կոնկրետ օրինակին:

Տագնապի հաղորդագրություն է ստացվել, որը ցույց է տալիս, որ WiFi մուտքի կետն ինչ-որ տեղ չի արձագանքում:

Որտեղ է նա գտնվում:

Իհարկե, լավ ցանցային ադմինիստրատորն ունի իր անձնական գրացուցակը, որտեղ ամեն ինչ գրված է: Հարցերը սկսվում են, երբ այս տեղեկատվությունը պետք է տարածվի: Օրինակ, դուք շտապ պետք է մեսենջեր ուղարկեք, որպեսզի ամեն ինչ տեղում դասավորվի, և դրա համար պետք է թողարկեք նման բան. 1 առաստաղի տակ մուտքի դռան կողքին»։

Ենթադրենք, մեր բախտը բերել է, և մուտքի կետը սնուցվում է PoE-ի միջոցով, և անջատիչը թույլ է տալիս այն վերագործարկել հեռակա կարգով: Ձեզ հարկավոր չէ ճանապարհորդել, սակայն ձեզ անհրաժեշտ է հեռահար մուտք դեպի անջատիչ: Մնում է միայն կարգավորել նավահանգիստների փոխանցումը PAT-ի միջոցով երթուղիչի վրա, պարզել VLAN-ը դրսից միանալու համար և այլն: Լավ է, եթե ամեն ինչ նախապես կարգավորվի: Աշխատանքը գուցե դժվար չէ, բայց պետք է անել։

Այսպիսով, սննդի կետը վերագործարկվեց: Չե՞ք օգնել:

Ենթադրենք, սարքաշարում ինչ-որ բան այն չէ: Այժմ մենք տեղեկություններ ենք փնտրում երաշխիքի, մեկնարկի և հետաքրքրող այլ մանրամասների մասին:

Խոսելով WiFi-ի մասին. Կորպորատիվ միջավայրում խորհուրդ չի տրվում օգտագործել WPA2-PSK-ի տնային տարբերակը, որն ունի մեկ բանալի բոլոր սարքերի համար: Նախ, բոլորի համար մեկ բանալին պարզապես անվտանգ չէ, և երկրորդը, երբ մեկ աշխատակից հեռանում է, դուք պետք է փոխեք այս ընդհանուր բանալին և նորից կատարեք կարգավորումները բոլոր սարքերում բոլոր օգտագործողների համար: Նման խնդիրներից խուսափելու համար կա WPA2-Enterprise՝ յուրաքանչյուր օգտագործողի համար անհատական ​​նույնականացումով: Բայց դրա համար անհրաժեշտ է RADIUS սերվեր՝ մեկ այլ ենթակառուցվածքային միավոր, որը պետք է վերահսկվի, կրկնօրինակումներ արվեն և այլն:

Խնդրում ենք նկատի ունենալ, որ յուրաքանչյուր փուլում, լինի դա իրականացում, թե գործարկում, մենք օգտագործել ենք աջակցության համակարգեր: Սա ներառում է «երրորդ կողմի» ինտերնետ կապով նոութբուք, մոնիտորինգի համակարգ, սարքավորումների տվյալների բազա և RADIUS՝ որպես նույնականացման համակարգ: Ցանցային սարքերից բացի, դուք պետք է սպասարկեք նաև երրորդ կողմի ծառայություններ:

Նման դեպքերում կարող եք լսել խորհուրդը՝ «Տվեք ամպին և մի տանջվեք»։ Անշուշտ կա Zabbix ամպ, երևի ինչ-որ տեղ կա ամպային շառավիղ, և նույնիսկ ամպային տվյալների բազա՝ սարքերի ցանկը պահելու համար: Դժբախտությունն այն է, որ դա անհրաժեշտ է ոչ թե առանձին, այլ «մեկ շշով»: Եվ այնուամենայնիվ, հարցեր են առաջանում մուտքի կազմակերպման, սարքի սկզբնական տեղադրման, անվտանգության և շատ ավելին:

Ինչպիսի՞ն է այն Nebula-ն օգտագործելիս:

Իհարկե, սկզբում «ամպը» ոչինչ չգիտի մեր պլանների կամ գնված սարքավորումների մասին:

Նախ, ստեղծվում է կազմակերպության պրոֆիլը: Այսինքն՝ ամբողջ ենթակառուցվածքը՝ շտաբը և մասնաճյուղերը, նախ գրանցվում են ամպի մեջ։ Մանրամասները նշվում են և ստեղծվում են հաշիվներ լիազորությունների պատվիրակման համար:

Դուք կարող եք գրանցել ձեր սարքերը ամպում երկու եղանակով՝ հին ձևով. պարզապես մուտքագրելով սերիական համարը վեբ ձևը լրացնելիս կամ QR կոդը սկանավորելով բջջային հեռախոսի միջոցով: Երկրորդ մեթոդի համար անհրաժեշտ է միայն սմարթֆոն՝ տեսախցիկով և ինտերնետ հասանելիությամբ, այդ թվում՝ բջջային պրովայդերի միջոցով։

Իհարկե, տեղեկատվության պահպանման համար անհրաժեշտ ենթակառուցվածքը՝ և՛ հաշվապահական, և՛ կարգավորումները, տրամադրվում է Zyxel Nebula-ի կողմից։

Նկար 1. Nebula Control Center անվտանգության հաշվետվություն:

Ինչ վերաբերում է մուտքի կարգավորմանը: Նավահանգիստներ բացե՞լը, մուտքային դարպասի միջոցով երթևեկությունը փոխանցելը, այն ամենը, ինչ անվտանգության ադմինիստրատորները սիրալիրորեն անվանում են «փակելու անցքեր»: Բարեբախտաբար, ձեզ հարկավոր չէ անել այս ամենը: Nebula-ով աշխատող սարքերը ելքային կապ են հաստատում: Իսկ ադմինիստրատորը միանում է ոչ թե առանձին սարքին, այլ ամպին կոնֆիգուրացիայի համար։ Միգամածությունը միջնորդում է երկու կապերի միջև՝ սարքին և ցանցի ադմինիստրատորի համակարգչին: Սա նշանակում է, որ մուտքային ադմինին զանգահարելու փուլը կարելի է նվազագույնի հասցնել կամ ընդհանրապես բաց թողնել: Եվ ոչ մի լրացուցիչ «անցք» firewall-ում:

Ինչ վերաբերում է RADUIS սերվերին: Ի վերջո, անհրաժեշտ է որոշակի կենտրոնացված նույնականացում:

Եվ այս գործառույթները նույնպես ստանձնում է Nebula-ն։ Սարքավորումների հասանելիության համար հաշիվների իսկությունը կատարվում է անվտանգ տվյալների բազայի միջոցով: Սա մեծապես հեշտացնում է համակարգի կառավարման իրավունքի պատվիրակումը կամ չեղարկումը: Պետք է իրավունքներ փոխանցենք՝ օգտատեր ստեղծել, դեր նշանակել։ Մենք պետք է խլենք իրավունքները՝ մենք կատարում ենք հակառակ քայլերը։

Առանձին-առանձին, հարկ է նշել WPA2-Enterprise-ը, որը պահանջում է նույնականացման առանձին ծառայություն: Zyxel Nebula-ն ունի իր անալոգը՝ DPPSK, որը թույլ է տալիս օգտագործել WPA2-PSK-ը՝ յուրաքանչյուր օգտագործողի համար անհատական ​​բանալիով:

«Անհարմար» հարցեր

Ստորև մենք կփորձենք տալ ամենաբարդ հարցերի պատասխանները, որոնք հաճախ տրվում են ամպային ծառայություն մտնելիս

Արդյո՞ք դա իսկապես անվտանգ է:

Անվտանգությունն ապահովելու համար վերահսկման և կառավարման ցանկացած պատվիրակության մեջ երկու գործոն կարևոր դեր է խաղում՝ անանունացում և գաղտնագրում:

Երթևեկությունը հետաքրքրասեր աչքերից պաշտպանելու համար գաղտնագրման օգտագործումը մի բան է, որին քիչ թե շատ ծանոթ են ընթերցողները:

Անանունացումը թաքցնում է սեփականատիրոջ և աղբյուրի մասին տեղեկատվությունը ամպային մատակարարի անձնակազմից: Անձնական տվյալները հեռացվում են, և գրառումներին վերագրվում է «անդեմ» նույնացուցիչ: Ոչ ամպային ծրագրերի մշակողը, ոչ էլ ամպային համակարգը պահպանող ադմինիստրատորը չեն կարող իմանալ հարցումների տիրոջը: «Որտեղի՞ց է սա եկել. Ո՞ւմ կարող է սա հետաքրքրել»,- նման հարցերը կմնան անպատասխան։ Սեփականատիրոջ և աղբյուրի մասին տեղեկատվության բացակայությունը ինսայդերին ժամանակի անիմաստ վատնում է դարձնում:

Եթե ​​համեմատենք այս մոտեցումը աութսորսինգի կամ մուտքային ադմինիստրատոր վարձելու ավանդական պրակտիկայի հետ, ապա ակնհայտ է, որ ամպային տեխնոլոգիաներն ավելի անվտանգ են։ Ներգնա ՏՏ մասնագետը բավականին շատ բան գիտի իր կազմակերպության մասին և կարող է կամա թե ակամա զգալի վնաս պատճառել անվտանգության առումով: Պայմանագրի արձակման կամ խզման հարցը դեռ պետք է լուծվի։ Երբեմն, բացի հաշիվը արգելափակելուց կամ ջնջելուց, դա ենթադրում է ծառայություններ մուտք գործելու համար գաղտնաբառերի գլոբալ փոփոխություն, ինչպես նաև «մոռացված» մուտքի կետերի և հնարավոր «էջանիշների» բոլոր ռեսուրսների աուդիտ:

Որքա՞ն ավելի թանկ կամ էժան է Nebula-ն, քան մուտքային ադմինիստրատորը:

Ամեն ինչ հարաբերական է։ Nebula-ի հիմնական հատկանիշները հասանելի են անվճար: Իրականում, ի՞նչը կարող է լինել ավելի էժան:

Իհարկե, անհնար է ամբողջությամբ անել առանց ցանցի ադմինիստրատորի կամ նրան փոխարինող անձի: Հարցը մարդկանց քանակն է, նրանց մասնագիտացումը և բաշխվածությունը կայքերում:

Ինչ վերաբերում է վճարովի ընդլայնված ծառայությանը, ուղղակի հարց տալով՝ ավելի թանկ կամ ավելի էժան, նման մոտեցումը միշտ կլինի ոչ ճշգրիտ և միակողմանի։ Ավելի ճիշտ կլինի համեմատել բազմաթիվ գործոններ՝ սկսած փողից, կոնկրետ մասնագետների աշխատանքի համար վճարելուց և վերջացրած կապալառուի կամ անհատի հետ նրանց փոխգործակցությունն ապահովելու ծախսերով. որակի վերահսկում, փաստաթղթերի կազմում, անվտանգության մակարդակի պահպանում և այլն։ այսպես շարունակ։

Եթե ​​մենք խոսում ենք այն թեմայի մասին, թե շահավետ է, թե ոչ ձեռնտու է գնել ծառայությունների վճարովի փաթեթ (Pro-Pack), ապա մոտավոր պատասխանը կարող է հնչել այսպես. տարբերակ, եթե կազմակերպությունն աճում է, ապա իմաստ ունի մտածել Pro-Pack-ի մասին: Zyxel Nebula-ի տարբերակների միջև եղած տարբերությունները կարելի է տեսնել Աղյուսակ 1-ում:

Աղյուսակ 1. Nebula-ի հիմնական և Pro-Pack առանձնահատկությունների հավաքածուների տարբերությունները:

Սա ներառում է առաջադեմ հաշվետվություններ, օգտվողների աուդիտ, կոնֆիգուրացիայի կլոնավորում և շատ ավելին:

Ինչ վերաբերում է երթեւեկության պաշտպանությանը:

Nebula-ն օգտագործում է արձանագրությունը NETCONF ապահովել ցանցային սարքավորումների անվտանգ շահագործումը.

NETCONF-ը կարող է աշխատել մի քանի տրանսպորտային արձանագրությունների վրա.

• SSH (RFC 4742);
• SOAP (RFC 4743);
• ԲԻՊ (RFC 4744);
• TLS (RFC 5539).

Եթե ​​համեմատենք NETCONF-ը այլ մեթոդների հետ, օրինակ՝ կառավարումը SNMP-ի միջոցով, ապա պետք է նշել, որ NETCONF աջակցում է ելքային TCP կապին NAT արգելքը հաղթահարելու համար և համարվում է ավելի հուսալի:

Ինչ վերաբերում է ապարատային աջակցությանը:

Իհարկե, դուք չպետք է սերվերի սենյակը վերածեք կենդանաբանական այգու՝ հազվագյուտ և վտանգված տեսակի սարքավորումների ներկայացուցիչներով: Շատ ցանկալի է, որ կառավարման տեխնոլոգիայով միավորված սարքավորումները ծածկեն բոլոր ուղղությունները՝ կենտրոնական անջատիչից մինչև մուտքի կետեր: Zyxel-ի ինժեներները հոգացել են այս հնարավորության մասին: Nebula-ն գործարկում է բազմաթիվ սարքեր.

• 10G կենտրոնական անջատիչներ;
• մուտքի մակարդակի անջատիչներ;
• PoE անջատիչներ;
• մուտքի կետեր;
• ցանցային դարպասներ.

Օգտագործելով աջակցվող սարքերի լայն տեսականի, դուք կարող եք ցանցեր ստեղծել տարբեր տեսակի առաջադրանքների համար: Սա հատկապես վերաբերում է այն ընկերություններին, որոնք աճում են ոչ թե դեպի վեր, այլ դեպի դուրս՝ մշտապես ուսումնասիրելով բիզնես վարելու նոր ոլորտներ:

Շարունակական զարգացում

Ավանդական կառավարման մեթոդով ցանցային սարքերը բարելավման միայն մեկ ճանապարհ ունեն՝ փոխել սարքն ինքնին, լինի դա նոր որոնվածը, թե լրացուցիչ մոդուլներ: Zyxel Nebula-ի դեպքում կա բարելավման լրացուցիչ ճանապարհ՝ ամպային ենթակառուցվածքի բարելավման միջոցով: Օրինակ, Nebula Control Center (NCC) 10.1 տարբերակին թարմացնելուց հետո: (սեպտեմբերի 21, 2020) օգտատերերին հասանելի են նոր հնարավորություններ, ահա դրանցից մի քանիսը.

• Կազմակերպության սեփականատերն այժմ կարող է սեփականության բոլոր իրավունքները փոխանցել նույն կազմակերպության մեկ այլ ադմինիստրատորի.
• նոր դեր, որը կոչվում է Սեփականատիրոջ ներկայացուցիչ, որն ունի նույն իրավունքները, ինչ կազմակերպության սեփականատերը.
• որոնվածի թարմացման նոր գործառույթ ամբողջ կազմակերպության համար (Pro-Pack հատկություն);
• Տոպոլոգիայում ավելացվել է երկու նոր տարբերակ՝ սարքի վերագործարկում և PoE պորտի միացումն ու անջատումը (Pro-Pack ֆունկցիան);
• աջակցություն նոր մուտքի կետերի մոդելներին՝ WAC500, WAC500H, WAC5302D-Sv2 և NWA1123ACv3;
• QR կոդի տպագրությամբ վաուչերի նույնականացման աջակցություն (Pro-Pack ֆունկցիա):

Օգտակար հղումներ

1. Telegram զրույց Zyxel
2. Zyxel սարքավորումների ֆորում
3. Շատ օգտակար տեսանյութեր Youtube-ի ալիքում
4. Zyxel Nebula - կառավարման հեշտությունը որպես խնայողությունների հիմք
5. Տարբերությունը Zyxel Nebula-ի տարբերակների միջև
6. Zyxel Nebula-ն և ընկերության աճը
7. Zyxel Nebula սուպերնոր ամպը` ծախսարդյունավետ ճանապարհ դեպի անվտանգություն:
8. Zyxel Nebula – Ընտրանքներ ձեր բիզնեսի համար

Source: www.habr.com