Membangun infrastruktur jaringan berbasis Nebula. Bagian 1 - masalah dan solusi

Artikel ini akan membahas masalah pengorganisasian infrastruktur jaringan dengan cara tradisional dan metode untuk menyelesaikan masalah yang sama menggunakan teknologi cloud.

Untuk referensi. Nebula adalah lingkungan cloud SaaS untuk memelihara infrastruktur jaringan dari jarak jauh. Semua perangkat yang mendukung Nebula dikelola dari cloud melalui koneksi aman. Anda dapat mengelola infrastruktur jaringan terdistribusi besar dari satu pusat tanpa mengeluarkan upaya untuk membuatnya.

Mengapa Anda memerlukan layanan cloud lain?

Masalah utama ketika bekerja dengan infrastruktur jaringan bukanlah merancang jaringan dan membeli peralatan, atau bahkan memasangnya di rak, tetapi segala hal lain yang harus dilakukan dengan jaringan ini di masa depan.

Jaringan baru - kekhawatiran lama

Ketika node jaringan baru dioperasikan setelah memasang dan menghubungkan peralatan, konfigurasi awal dimulai. Dari sudut pandang "bos besar" - tidak ada yang rumit: "Kami mengambil dokumentasi kerja untuk proyek tersebut dan mulai menyiapkan..." Hal ini dikatakan dengan baik ketika semua elemen jaringan ditempatkan di satu pusat data. Jika mereka tersebar di seluruh cabang, kesulitan dalam menyediakan akses jarak jauh pun dimulai. Ini adalah lingkaran setan: untuk mendapatkan akses jarak jauh melalui jaringan, Anda perlu mengkonfigurasi peralatan jaringan, dan untuk ini Anda memerlukan akses melalui jaringan...

Kita harus memikirkan berbagai skema untuk keluar dari kebuntuan yang dijelaskan di atas. Misalnya, laptop dengan akses Internet melalui modem USB 4G terhubung melalui kabel patch ke jaringan khusus. Klien VPN diinstal pada laptop ini, dan melaluinya administrator jaringan dari kantor pusat mencoba mendapatkan akses ke jaringan cabang. Skema ini bukan yang paling transparan - bahkan jika Anda membawa laptop dengan VPN yang telah dikonfigurasi sebelumnya ke situs jarak jauh dan meminta untuk mengaktifkannya, itu jauh dari fakta bahwa semuanya akan berfungsi pertama kali. Apalagi jika kita berbicara tentang wilayah yang berbeda dengan penyedia yang berbeda.

Ternyata cara yang paling dapat diandalkan adalah dengan memiliki spesialis yang baik “di sisi lain” yang dapat mengkonfigurasi bagiannya sesuai dengan proyek. Jika tidak ada hal seperti itu di staf cabang, pilihannya tetap ada: outsourcing atau perjalanan bisnis.

Kita juga membutuhkan sistem pemantauan. Itu perlu diinstal, dikonfigurasi, dipelihara (setidaknya memonitor ruang disk dan membuat cadangan rutin). Dan siapa yang tidak mengetahui apa pun tentang perangkat kita sampai kita memberitahukannya. Untuk melakukan ini, Anda perlu mendaftarkan pengaturan untuk semua peralatan dan secara teratur memantau relevansi catatan.

Sangat menyenangkan bila staf memiliki "orkestra satu orang" sendiri, yang, selain pengetahuan khusus sebagai administrator jaringan, juga tahu cara bekerja dengan Zabbix atau sistem serupa lainnya. Jika tidak, kami mempekerjakan orang lain sebagai staf atau melakukan outsourcing.

Catatan. Kesalahan paling menyedihkan dimulai dengan kata-kata: “Apa yang dapat dikonfigurasi Zabbix ini (Nagios, OpenView, dll.)? Saya akan segera mengambilnya dan siap!”

Mulai dari implementasi hingga operasional

Mari pertimbangkan contoh spesifik.

Pesan alarm diterima yang menunjukkan bahwa titik akses WiFi di suatu tempat tidak merespons.

Dimana dia?

Tentu saja, administrator jaringan yang baik memiliki direktori pribadinya sendiri yang mencatat segala sesuatunya. Pertanyaan dimulai ketika informasi ini perlu dibagikan. Misalnya, Anda sangat perlu mengirim utusan untuk menyelesaikan masalah di tempat, dan untuk ini Anda perlu mengeluarkan sesuatu seperti: “Titik akses di pusat bisnis di Stroiteley Street, gedung 1, di lantai 3, kamar No. 301 di sebelah pintu depan di bawah langit-langit."

Katakanlah kita beruntung dan titik akses diberi daya melalui PoE, dan sakelar memungkinkannya untuk di-boot ulang dari jarak jauh. Anda tidak perlu bepergian, tetapi Anda memerlukan akses jarak jauh ke saklar. Yang tersisa hanyalah mengkonfigurasi penerusan port melalui PAT pada router, mencari tahu VLAN untuk koneksi dari luar, dan seterusnya. Ada baiknya jika semuanya sudah diatur terlebih dahulu. Pekerjaannya mungkin tidak sulit, tetapi perlu dilakukan.

Jadi, outlet makanan di-reboot. Tidak membantu?

Katakanlah ada sesuatu yang salah pada perangkat kerasnya. Sekarang kami mencari informasi tentang garansi, permulaan, dan detail menarik lainnya.

Berbicara tentang WiFi. Menggunakan WPA2-PSK versi rumah, yang memiliki satu kunci untuk semua perangkat, tidak disarankan di lingkungan perusahaan. Pertama, satu kunci untuk semua orang tidak aman, dan kedua, ketika satu karyawan keluar, Anda harus mengubah kunci umum ini dan melakukan kembali pengaturan pada semua perangkat untuk semua pengguna. Untuk menghindari masalah seperti itu, terdapat WPA2-Enterprise dengan otentikasi individual untuk setiap pengguna. Namun untuk ini Anda memerlukan server RADIUS - unit infrastruktur lain yang perlu dikontrol, dibuat cadangannya, dan sebagainya.

Harap dicatat bahwa pada setiap tahap, baik implementasi atau pengoperasian, kami menggunakan sistem pendukung. Ini termasuk laptop dengan koneksi Internet “pihak ketiga”, sistem pemantauan, database referensi peralatan, dan RADIUS sebagai sistem otentikasi. Selain perangkat jaringan, Anda juga harus memelihara layanan pihak ketiga.

Dalam kasus seperti ini, Anda dapat mendengar nasihat: “Berikan pada cloud dan jangan menderita.” Pastinya ada cloud Zabbix, mungkin ada cloud RADIUS di suatu tempat, dan bahkan database cloud untuk memelihara daftar perangkat. Masalahnya adalah ini tidak diperlukan secara terpisah, tetapi “dalam satu botol”. Namun, masih ada pertanyaan tentang pengaturan akses, pengaturan awal perangkat, keamanan, dan banyak lagi.

Seperti apa tampilannya saat menggunakan Nebula?

Tentu saja, pada awalnya “cloud” tidak mengetahui apa pun tentang rencana kami atau peralatan yang dibeli.

Pertama, profil organisasi dibuat. Artinya, seluruh infrastruktur: kantor pusat dan cabang pertama kali didaftarkan di cloud. Detailnya ditentukan dan akun dibuat untuk pendelegasian wewenang.

Anda dapat mendaftarkan perangkat Anda di cloud dengan dua cara: cara lama - cukup dengan memasukkan nomor seri saat mengisi formulir web atau dengan memindai kode QR menggunakan ponsel. Yang Anda perlukan untuk cara kedua adalah smartphone dengan kamera dan akses Internet, termasuk melalui operator seluler.

Tentu saja, infrastruktur yang diperlukan untuk menyimpan informasi, baik akuntansi maupun pengaturan, disediakan oleh Zyxel Nebula.

Gambar 1. Laporan keamanan Pusat Kontrol Nebula.

Bagaimana dengan pengaturan akses? Membuka port, meneruskan lalu lintas melalui gateway masuk, semua yang oleh administrator keamanan disebut sebagai “mengambil lubang”? Untungnya, Anda tidak perlu melakukan semua ini. Perangkat yang menjalankan Nebula membuat koneksi keluar. Dan administrator tidak terhubung ke perangkat terpisah, tetapi ke cloud untuk konfigurasi. Nebula menjadi perantara antara dua koneksi: ke perangkat dan ke komputer administrator jaringan. Artinya tahapan pemanggilan admin yang masuk bisa diminimalkan atau dilewati sama sekali. Dan tidak ada “lubang” tambahan di firewall.

Bagaimana dengan server RADUIS? Lagi pula, diperlukan semacam otentikasi terpusat!

Dan fungsi-fungsi ini juga diambil alih oleh Nebula. Otentikasi akun untuk akses ke peralatan terjadi melalui database yang aman. Hal ini sangat menyederhanakan pendelegasian atau penarikan hak untuk mengelola sistem. Kita perlu mentransfer hak - membuat pengguna, menetapkan peran. Kita perlu mengambil haknya - kita melakukan langkah sebaliknya.

Secara terpisah, perlu disebutkan WPA2-Enterprise, yang memerlukan layanan otentikasi terpisah. Zyxel Nebula memiliki analognya sendiri - DPPSK, yang memungkinkan Anda menggunakan WPA2-PSK dengan kunci individual untuk setiap pengguna.

Pertanyaan yang "tidak nyaman".

Di bawah ini kami akan mencoba memberikan jawaban atas pertanyaan paling rumit yang sering ditanyakan saat memasuki layanan cloud

Apakah ini benar-benar aman?

Dalam setiap pendelegasian kendali dan manajemen untuk menjamin keamanan, dua faktor memainkan peran penting: anonimisasi dan enkripsi.

Menggunakan enkripsi untuk melindungi lalu lintas dari pengintaian adalah sesuatu yang kurang lebih sudah familiar bagi pembaca.

Anonimisasi menyembunyikan informasi tentang pemilik dan sumber dari personel penyedia cloud. Informasi pribadi dihapus dan catatan diberi pengenal “tanpa wajah”. Baik pengembang perangkat lunak cloud maupun administrator yang memelihara sistem cloud tidak dapat mengetahui pemilik permintaan tersebut. "Dari mana asalnya ini? Siapa yang mungkin tertarik dengan hal ini?” – pertanyaan seperti itu tidak akan terjawab. Kurangnya informasi tentang pemilik dan sumber membuat orang dalam hanya membuang-buang waktu.

Jika kita membandingkan pendekatan ini dengan praktik tradisional outsourcing atau mempekerjakan administrator baru, jelas bahwa teknologi cloud lebih aman. Seorang spesialis TI baru mengetahui cukup banyak tentang organisasinya, dan mau tidak mau, dapat menyebabkan kerugian yang signifikan dalam hal keamanan. Persoalan pemberhentian atau pemutusan kontrak masih perlu diselesaikan. Terkadang, selain memblokir atau menghapus akun, hal ini memerlukan perubahan kata sandi global untuk mengakses layanan, serta audit semua sumber daya untuk titik masuk yang “terlupakan” dan kemungkinan “bookmark”.

Seberapa mahal atau murahnya Nebula dibandingkan admin masuk?

Semuanya relatif. Fitur dasar Nebula tersedia secara gratis. Sebenarnya, apa lagi yang bisa lebih murah?

Tentu saja, tidak mungkin dilakukan sepenuhnya tanpa administrator jaringan atau orang yang menggantikannya. Pertanyaannya adalah jumlah orang, spesialisasi dan distribusi mereka di seluruh lokasi.

Mengenai layanan tambahan berbayar, mengajukan pertanyaan langsung: lebih mahal atau lebih murah - pendekatan seperti itu akan selalu tidak akurat dan sepihak. Akan lebih tepat untuk membandingkan banyak faktor, mulai dari uang untuk membayar pekerjaan spesialis tertentu dan diakhiri dengan biaya untuk memastikan interaksi mereka dengan kontraktor atau individu: kendali mutu, penyusunan dokumentasi, menjaga tingkat keamanan, dan segera.

Jika kita berbicara tentang topik apakah membeli paket layanan berbayar (Pro-Pack) menguntungkan atau tidak, maka perkiraan jawabannya mungkin terdengar seperti ini: jika organisasinya kecil, Anda dapat bertahan dengan dasar versi, jika organisasi berkembang, maka masuk akal untuk memikirkan Pro-Pack. Perbedaan antar versi Nebula Zyxel dapat dilihat pada Tabel 1.

Tabel 1. Perbedaan antara rangkaian fitur dasar dan Pro-Pack untuk Nebula.

Ini termasuk pelaporan tingkat lanjut, audit pengguna, kloning konfigurasi, dan banyak lagi.

Bagaimana dengan perlindungan lalu lintas?

Nebula menggunakan protokol NETCONF untuk memastikan pengoperasian peralatan jaringan yang aman.

NETCONF dapat berjalan di atas beberapa protokol transport:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• BERBUNYI (RFC 4744);
• TLS (RFC 5539).

Jika kita membandingkan NETCONF dengan metode lain, misalnya manajemen melalui SNMP, perlu diperhatikan hal ini NETCONF mendukung koneksi TCP keluar untuk mengatasi penghalang NAT dan dianggap lebih dapat diandalkan.

Bagaimana dengan dukungan perangkat keras?

Tentu saja, Anda tidak boleh mengubah ruang server menjadi kebun binatang dengan perwakilan jenis peralatan langka dan terancam punah. Sangat diharapkan bahwa peralatan yang disatukan oleh teknologi manajemen mencakup semua bidang: dari saklar pusat hingga titik akses. Insinyur Zyxel menangani kemungkinan ini. Nebula menjalankan banyak perangkat:

• Sakelar pusat 10G;
• sakelar tingkat akses;
• beralih dengan PoE;
• titik akses;
• gateway jaringan.

Dengan menggunakan berbagai perangkat yang didukung, Anda dapat membangun jaringan untuk berbagai jenis tugas. Hal ini terutama berlaku bagi perusahaan yang tidak berkembang ke atas, tetapi ke luar, terus-menerus mengeksplorasi bidang-bidang baru dalam menjalankan bisnis.

Pengembangan berkelanjutan

Perangkat jaringan dengan metode manajemen tradisional hanya memiliki satu cara perbaikan - mengubah perangkat itu sendiri, baik itu firmware baru atau modul tambahan. Dalam kasus Zyxel Nebula, ada jalur perbaikan tambahan - melalui peningkatan infrastruktur cloud. Misalnya setelah memperbarui Nebula Control Center (NCC) ke versi 10.1. (21 September 2020) fitur baru tersedia untuk pengguna, berikut beberapa di antaranya:

• Pemilik suatu organisasi kini dapat mengalihkan seluruh hak kepemilikan kepada administrator lain di organisasi yang sama;
• peran baru yang disebut Perwakilan Pemilik, yang memiliki hak yang sama dengan pemilik organisasi;
• fitur pembaruan firmware baru di seluruh organisasi (fitur Pro-Pack);
• dua opsi baru telah ditambahkan ke topologi: me-reboot perangkat dan menghidupkan dan mematikan port PoE (fungsi Pro-Pack);
• dukungan untuk model titik akses baru: WAC500, WAC500H, WAC5302D-Sv2 dan NWA1123ACv3;
• dukungan untuk otentikasi voucher dengan pencetakan kode QR (fungsi Pro-Pack).

Berguna Link

1. Obrolan Telegram Zyxel
2. Forum Peralatan Zyxel
3. Banyak video bermanfaat di saluran Youtube
4. Zyxel Nebula - kemudahan pengelolaan sebagai dasar penghematan
5. Perbedaan antara versi Nebula Zyxel
6. Zyxel Nebula dan pertumbuhan perusahaan
7. Cloud supernova Zyxel Nebula - jalur keamanan yang hemat biaya?
8. Zyxel Nebula – Pilihan untuk Bisnis Anda

Sumber: www.habr.com