Artikel kasebut bakal ngrembug masalah ngatur infrastruktur jaringan kanthi cara tradisional lan cara kanggo ngrampungake masalah sing padha nggunakake teknologi awan.
Kanggo referensi. Nebula minangka lingkungan maya SaaS kanggo njaga infrastruktur jaringan saka jarak jauh. Kabeh piranti sing aktif Nebula dikelola saka awan liwat sambungan sing aman. Sampeyan bisa ngatur infrastruktur jaringan sing disebarake gedhe saka pusat siji tanpa mbuwang gaweyan kanggo nggawe.
Napa sampeyan butuh layanan awan liyane?
Masalah utama nalika nggarap infrastruktur jaringan ora ngrancang jaringan lan tuku peralatan, utawa malah nginstal ing rak, nanging kabeh sing kudu ditindakake ing jaringan iki ing mangsa ngarep.
Jaringan anyar - kuwatir lawas
Nalika nglebokake simpul jaringan anyar sawise nginstal lan nyambungake peralatan, konfigurasi awal diwiwiti. Saka sudut pandang "panggedhe gedhe" - ora ana sing rumit: "Kita njupuk dokumentasi kerja kanggo proyek kasebut lan miwiti nyiyapake ..." Iki diucapake kanthi apik nalika kabeh unsur jaringan dumunung ing siji pusat data. Yen padha kasebar ing cabang, sirah kanggo nyedhiyani akses remot wiwit. Iki minangka bunder ganas: kanggo entuk akses remot liwat jaringan, sampeyan kudu ngatur peralatan jaringan, lan iki sampeyan butuh akses liwat jaringan ...
Kita kudu nggawe macem-macem rencana kanggo metu saka impasse kasebut ing ndhuwur. Contone, laptop kanthi akses Internet liwat modem USB 4G disambungake liwat kabel patch menyang jaringan khusus. Klien VPN diinstal ing laptop iki, lan liwat administrator jaringan saka markas nyoba entuk akses menyang jaringan cabang. Skema kasebut ora paling transparan - sanajan sampeyan nggawa laptop kanthi VPN sing wis dikonfigurasi menyang situs remot lan njaluk diuripake, iku adoh saka kasunyatan manawa kabeh bakal bisa digunakake sepisanan. Utamane yen kita ngomong babagan wilayah sing beda karo panyedhiya sing beda.
Pranyata cara sing paling dipercaya yaiku duwe spesialis sing apik "ing ujung liyane" sing bisa ngatur bagean kasebut miturut proyek kasebut. Yen ora ana sing kaya ngono ing staf cabang, pilihan tetep: outsourcing utawa lelungan bisnis.
Kita uga butuh sistem pemantauan. Perlu diinstal, dikonfigurasi, dijaga (paling ora ngawasi ruang disk lan nggawe serep biasa). Lan sing ora ngerti apa-apa babagan piranti nganti kita ngandhani. Kanggo nindakake iki, sampeyan kudu ndhaptar setelan kanggo kabeh peralatan lan terus-terusan ngawasi relevansi cathetan kasebut.
Iku apik nalika Staff wis dhewe "orkestra siji-wong", kang, saliyane kawruh tartamtu saka administrator jaringan, ngerti carane bisa karo Zabbix utawa sistem liyane padha. Yen ora, kita nyewa wong liya ing staf utawa outsource.
Wigati. Kesalahan sing paling sedhih diwiwiti kanthi tembung: "Apa sing ana kanggo ngatur Zabbix iki (Nagios, OpenView, lsp)? Aku bakal cepet njupuk lan wis siyap!”
Saka implementasine nganti operasi
Ayo nimbang conto tartamtu.
Pesen weker ditampa sing nuduhake yen titik akses WiFi nang endi wae ora nanggapi.
Endi dheweke?
Mesthine, administrator jaringan sing apik duwe direktori pribadhi dhewe sing kabeh ditulis. Pitakonan diwiwiti nalika informasi iki kudu dituduhake. Contone, sampeyan kudu ngirim utusan kanthi cepet kanggo ngurutake perkara kasebut, lan sampeyan kudu ngetokake kaya: "Titik akses ing pusat bisnis ing Stroiteley Street, bangunan 1, ing lantai 3, kamar No. 301 ing jejere lawang ngarep ing langit-langit."
Ayo dadi ngomong kita Bejo lan titik akses powered liwat PoE, lan ngalih ngidini kanggo rebooted mbatalake. Sampeyan ora perlu kanggo lelungan, nanging sampeyan kudu akses remot kanggo ngalih. Kabeh sing isih kanggo ngatur port Terusake liwat PAT ing dalan, tokoh metu VLAN kanggo nyambungake saka njaba, lan ing. Iku apik yen kabeh wis diatur sadurunge. Pakaryan bisa uga ora angel, nanging kudu ditindakake.
Dadi, stopkontak panganan wis diwiwiti maneh. Apa ora mbantu?
Ayo dadi ngomong soko salah ing hardware. Saiki kita nggoleki informasi babagan garansi, wiwitan lan rincian liyane sing menarik.
Ngomong babagan WiFi. Nggunakake versi ngarep WPA2-PSK, sing nduweni siji tombol kanggo kabeh piranti, ora dianjurake ing lingkungan perusahaan. Kaping pisanan, siji tombol kanggo kabeh wong mung ora aman, lan kaloro, nalika siji karyawan ninggalake, sampeyan kudu ngganti tombol umum iki lan nindakake maneh setelan ing kabeh piranti kanggo kabeh pangguna. Kanggo ngindhari masalah kasebut, ana WPA2-Enterprise kanthi otentikasi individu kanggo saben pangguna. Nanging kanggo iki sampeyan butuh server RADIUS - unit infrastruktur liyane sing kudu dikontrol, gawe serep, lan liya-liyane.
Wigati dimangerteni manawa ing saben tahapan, yaiku implementasi utawa operasi, kita nggunakake sistem dhukungan. Iki kalebu laptop kanthi sambungan Internet "pihak katelu", sistem pemantauan, basis data referensi peralatan, lan RADIUS minangka sistem otentikasi. Saliyane piranti jaringan, sampeyan uga kudu njaga layanan pihak katelu.
Ing kasus kaya mengkono, sampeyan bisa krungu saran: "Wenehake menyang méga lan aja nandhang sangsara." Mesthi ana Zabbix maya, mbok menawa ana RADIUS awan nang endi wae, lan malah database maya kanggo njaga dhaptar piranti. Masalahe yaiku iki ora dibutuhake kanthi kapisah, nanging "ing siji botol." Lan isih ana pitakonan babagan ngatur akses, persiyapan piranti awal, keamanan, lan liya-liyane.
Apa sing katon nalika nggunakake Nebula?
Mesthine, wiwitane "awan" ora ngerti apa-apa babagan rencana utawa peralatan sing dituku.
Kaping pisanan, profil organisasi digawe. Yaiku, kabeh infrastruktur: markas lan cabang pisanan didaftar ing awan. Rincian kasebut ditemtokake lan akun digawe kanggo delegasi wewenang.
Sampeyan bisa ndhaptar piranti ing méga kanthi rong cara: cara lawas - mung ngetik nomer seri nalika ngisi formulir web utawa mindhai kode QR nggunakake ponsel. Kabeh sing dibutuhake kanggo cara liya yaiku smartphone kanthi kamera lan akses Internet, kalebu liwat panyedhiya seluler.
Mesthi, infrastruktur sing dibutuhake kanggo nyimpen informasi, akuntansi lan setelan, diwenehake dening Zyxel Nebula.
Gambar 1. Laporan keamanan Pusat Kontrol Nebula.
Apa babagan nyetel akses? Mbukak port, nerusake lalu lintas liwat gateway mlebu, kabeh sing administrator keamanan affectionately disebut "bolongan njupuk"? Untunge, sampeyan ora perlu nindakake kabeh iki. Piranti sing nganggo Nebula nggawe sambungan metu. Lan administrator ora nyambung menyang piranti sing kapisah, nanging menyang awan kanggo konfigurasi. Nebula mediasi antarane rong sambungan: menyang piranti lan menyang komputer administrator jaringan. Iki tegese tahap nelpon admin sing mlebu bisa diminimalisir utawa dilewati kabeh. Lan ora ana tambahan "bolongan" ing firewall.
Apa bab server RADUIS? Sawise kabeh, sawetara jinis otentikasi terpusat dibutuhake!
Lan fungsi kasebut uga dijupuk dening Nebula. Otentikasi akun kanggo akses menyang peralatan dumadi liwat database aman. Iki banget nyederhanakake delegasi utawa penarikan hak kanggo ngatur sistem kasebut. Kita kudu nransfer hak - nggawe pangguna, nemtokake peran. We kudu njupuk adoh hak - kita nindakake langkah mbalikke.
Dhewe, kudu disebutake WPA2-Enterprise, sing mbutuhake layanan otentikasi sing kapisah. Zyxel Nebula duwe analog dhewe - DPPSK, sing ngidini sampeyan nggunakake WPA2-PSK kanthi kunci individu kanggo saben pangguna.
Pitakonan "ora trep".
Ing ngisor iki, kita bakal nyoba menehi jawaban kanggo pitakonan paling angel sing asring ditakoni nalika mlebu layanan awan
Apa pancen aman?
Ing sembarang delegasi kontrol lan manajemen kanggo njamin keamanan, rong faktor nduweni peran penting: anonimisasi lan enkripsi.
Nggunakake enkripsi kanggo nglindhungi lalu lintas saka prying mata iku soko sing maca kurang luwih menowo.
Anonymization ndhelikake informasi babagan pemilik lan sumber saka personel panyedhiya maya. Informasi pribadhi dibusak lan cathetan diwenehi pengenal "tanpa pasuryan". Ora ana pangembang piranti lunak awan utawa administrator sing njaga sistem awan ora bisa ngerti sing duwe panjaluk kasebut. “Saka ngendi iki? Sapa sing bisa kasengsem babagan iki?” - pitakonan kaya ngono bakal tetep ora dijawab. Kurang informasi babagan pemilik lan sumber nggawe wong njero dadi sampah wektu sing ora ana gunane.
Yen kita mbandhingake pendekatan iki karo praktik tradisional outsourcing utawa nyewa administrator sing mlebu, jelas yen teknologi maya luwih aman. Spesialis IT sing mlebu ngerti akeh babagan organisasine, lan bisa, ora sengaja, nyebabake karusakan sing signifikan babagan keamanan. Masalah pemecatan utawa mungkasi kontrak isih kudu dirampungake. Kadhangkala, saliyane kanggo mblokir utawa mbusak akun, iki mbutuhake owah-owahan sandhi global kanggo ngakses layanan, uga audit kabeh sumber daya kanggo titik entri "lali" lan bisa uga "tetenger".
Nebula luwih larang utawa luwih murah tinimbang admin sing mlebu?
Kabeh iku relatif. Fitur dhasar Nebula kasedhiya gratis. Bener, apa sing bisa luwih murah?
Mesthi, ora bisa rampung tanpa administrator jaringan utawa wong sing ngganti dheweke. Pitakonan yaiku jumlah wong, spesialisasi lan distribusi ing situs.
Kanggo layanan lengkap sing dibayar, takon langsung: luwih larang utawa luwih murah - pendekatan kasebut mesthi ora akurat lan sepihak. Bakal luwih bener kanggo mbandhingake akeh faktor, wiwit saka dhuwit kanggo mbayar pakaryan khusus lan pungkasane biaya kanggo njamin interaksi karo kontraktor utawa individu: kontrol kualitas, nggawe dokumentasi, njaga tingkat keamanan, lan sateruse.
Yen kita ngomong babagan topik apa nguntungake utawa ora duwe bathi kanggo tuku paket layanan sing dibayar (Pro-Pack), mula jawaban kira-kira bisa kaya mangkene: yen organisasi cilik, sampeyan bisa entuk dhasar. versi, yen organisasi wis akeh, banjur iku ndadekake pangertèn kanggo mikir bab Pro-Pack. Bedane antarane versi Zyxel Nebula bisa dideleng ing Tabel 1.
Tabel 1. Bedane antarane set fitur dhasar lan Pro-Pack kanggo Nebula.
Iki kalebu laporan canggih, audit pangguna, kloning konfigurasi, lan liya-liyane.
Kepiye babagan perlindungan lalu lintas?
Nebula nggunakake protokol kanggo mesthekake operasi aman saka peralatan jaringan.
NETCONF bisa mlaku ing ndhuwur sawetara protokol transportasi:
- ();
- ();
- ();
- ().
Yen kita mbandhingake NETCONF karo cara liyane, contone, manajemen liwat SNMP, iku kudu nyatet sing NETCONF ndhukung sambungan TCP metu kanggo ngatasi alangan NAT lan dianggep luwih dipercaya.
Kepiye babagan dhukungan hardware?
Mesthine, sampeyan ora kudu ngowahi ruangan server dadi kebon binatang kanthi wakil saka jinis peralatan sing langka lan kaancam. Apike banget yen peralatan sing digabung karo teknologi manajemen nutupi kabeh arah: saka saklar tengah menyang titik akses. engineers Zyxel njupuk care saka kamungkinan iki. Nebula mbukak akeh piranti:
- 10G ngalih tengah;
- ngalih tingkat akses;
- ngalih karo PoE;
- titik akses;
- gateway jaringan.
Nggunakake macem-macem piranti sing didhukung, sampeyan bisa mbangun jaringan kanggo macem-macem jinis tugas. Iki utamané bener kanggo perusahaan sing tuwuh ora munggah, nanging metu, terus-terusan njelajah wilayah anyar kanggo nindakake bisnis.
Pengembangan terus-terusan
Piranti jaringan kanthi cara manajemen tradisional mung duwe siji cara perbaikan - ngganti piranti kasebut dhewe, dadi perangkat kukuh anyar utawa modul tambahan. Ing kasus Zyxel Nebula, ana dalan tambahan kanggo dandan - kanthi nambah infrastruktur awan. Contone, sawise nganyari Nebula Control Center (NCC) kanggo versi 10.1. (21 September 2020) fitur-fitur anyar kasedhiya kanggo pangguna, ing ngisor iki sawetara:
- Pamilik organisasi saiki bisa nransfer kabeh hak kepemilikan menyang administrator liyane ing organisasi sing padha;
- peran anyar sing disebut Owner Representative, sing nduweni hak sing padha karo pemilik organisasi;
- fitur nganyari perangkat kukuh anyar ing saindhenging organisasi (fitur Pro-Pack);
- rong opsi anyar wis ditambahake ing topologi: rebooting piranti lan nguripake lan mateni daya port PoE (fungsi Pro-Pack);
- dhukungan kanggo model titik akses anyar: WAC500, WAC500H, WAC5302D-Sv2 lan NWA1123ACv3;
- dhukungan kanggo otentikasi voucer kanthi printing kode QR (fungsi Pro-Pack).
link migunani
Source: www.habr.com