🥇Tīkla infrastruktūras izveide, pamatojoties uz miglāju. 1. daļa - problēmas un risinājumi

Rakstā tiks apskatītas tīkla infrastruktūras organizēšanas problēmas tradicionālā veidā un metodes to pašu problēmu risināšanai, izmantojot mākoņtehnoloģijas.

Par atskaites. Nebula ir SaaS mākoņa vide tīkla infrastruktūras attālinātai uzturēšanai. Visas Miglāja iespējotās ierīces tiek pārvaldītas no mākoņa, izmantojot drošu savienojumu. Lielu izkliedētā tīkla infrastruktūru varat pārvaldīt no viena centra, netērējot pūles tās izveidei.

Kāpēc jums ir nepieciešams cits mākoņpakalpojums?

Galvenā problēma, strādājot ar tīkla infrastruktūru, ir nevis tīkla projektēšana un aprīkojuma iegāde vai pat uzstādīšana plauktā, bet gan viss pārējais, kas ar šo tīklu turpmāk būs jādara.

Jauns tīkls - vecas rūpes

Nododot ekspluatācijā jaunu tīkla mezglu pēc aprīkojuma uzstādīšanas un pievienošanas, sākas sākotnējā konfigurācija. No “lielo priekšnieku” viedokļa - nekas sarežģīts: “Paņemam projekta darba dokumentāciju un sākam kārtot...” Tas ir tik labi pateikts, kad visi tīkla elementi atrodas vienā datu centrā. Ja tie ir izkaisīti pa zariem, sākas galvassāpes, kas saistītas ar attālās piekļuves nodrošināšanu. Tas ir tāds apburtais loks: lai iegūtu attālo piekļuvi tīklā, ir jākonfigurē tīkla aprīkojums, un šim nolūkam ir nepieciešama piekļuve tīklam...

Mums ir jāizdomā dažādas shēmas, kā izkļūt no iepriekš aprakstītā strupceļa. Piemēram, klēpjdators ar piekļuvi internetam, izmantojot USB 4G modemu, ir savienots ar plākstera vadu ar pielāgotu tīklu. Šajā klēpjdatorā ir instalēts VPN klients, un caur to galvenās mītnes tīkla administrators mēģina piekļūt filiāļu tīklam. Shēma nav pati pārskatāmākā – pat ja uz attālo vietni atvedat klēpjdatoru ar iepriekš konfigurētu VPN un lūdzat to ieslēgt, tas ir tālu no fakta, ka viss darbosies pirmajā reizē. It īpaši, ja mēs runājam par citu reģionu ar citu pakalpojumu sniedzēju.

Izrādās, visdrošākais veids ir, ja “otrpus līnijas” ir labs speciālists, kurš var konfigurēt savu daļu atbilstoši projektam. Ja filiāles darbinieku vidū tāda nav, paliek izvēles iespējas: vai nu izmantot ārpakalpojumus, vai komandējumi.

Mums ir vajadzīga arī uzraudzības sistēma. Tas ir jāinstalē, jākonfigurē, jāuztur (vismaz jāuzrauga diska vieta un regulāri jāveido dublējumkopijas). Un kas neko nezina par mūsu ierīcēm, kamēr mēs to nepaziņojam. Lai to izdarītu, jums jāreģistrē visu iekārtu iestatījumi un regulāri jāuzrauga ierakstu atbilstība.

Ir lieliski, ja personālam ir savs “viena cilvēka orķestris”, kas papildus specifiskām tīkla administratora zināšanām prot strādāt ar Zabbix vai citu līdzīgu sistēmu. Pretējā gadījumā mēs pieņemam darbā citu personu vai ārpakalpojumu sniedzēju.

Piezīme. Skumjākās kļūdas sākas ar vārdiem: “Ko tur konfigurēt šo Zabbix (Nagios, OpenView utt.)? Es to ātri paņemšu, un tas ir gatavs!

No ieviešanas līdz darbībai

Apskatīsim konkrētu piemēru.

Tika saņemts trauksmes ziņojums, ka kaut kur nereaģē WiFi piekļuves punkts.

Kur tas ir?

Protams, labam tīkla administratoram ir savs personīgais direktorijs, kurā viss ir pierakstīts. Jautājumi sākas, kad šī informācija ir jādalās. Piemēram, steidzami jānosūta ziņnesis, lai sakārtotu lietas uz vietas, un šim nolūkam ir jāizsniedz kaut kas līdzīgs: “Piekļuves punkts biznesa centrā Stroiteley ielā, 1. korpusā, 3. stāvā, telpa Nr. 301 blakus ārdurvīm zem griestiem."

Pieņemsim, ka mums ir paveicies un piekļuves punkts tiek darbināts, izmantojot PoE, un slēdzis ļauj to attālināti atsāknēt. Jums nav jāceļo, bet ir nepieciešama attāla piekļuve slēdžam. Atliek tikai maršrutētājā konfigurēt portu pārsūtīšanu caur PAT, izdomāt VLAN savienojuma izveidei no ārpuses utt. Ir labi, ja viss ir iestatīts iepriekš. Darbs var nebūt grūts, bet tas ir jādara.

Tātad, pārtikas tirdzniecības vieta tika atsāknēta. Nepalīdzēja?

Pieņemsim, ka kaut kas nav kārtībā ar aparatūru. Tagad meklējam informāciju par garantiju, palaišanu un citām interesējošām detaļām.

Runājot par WiFi. Korporatīvajā vidē nav ieteicams izmantot WPA2-PSK mājas versiju, kurai ir viena atslēga visām ierīcēm. Pirmkārt, viena atslēga visiem ir vienkārši nedroša, otrkārt, vienam darbiniekam aizejot, ir jāmaina šī kopējā atslēga un jāatkārto iestatījumi visās ierīcēs visiem lietotājiem. Lai izvairītos no šādām problēmām, ir WPA2-Enterprise ar individuālu autentifikāciju katram lietotājam. Bet šim jums ir nepieciešams RADIUS serveris - cita infrastruktūras vienība, kas jāvada, jāveido dublējumkopijas utt.

Lūdzu, ņemiet vērā, ka katrā posmā, neatkarīgi no tā, vai tā ir ieviešana vai darbība, mēs izmantojām atbalsta sistēmas. Tas ietver klēpjdatoru ar “trešās puses” interneta pieslēgumu, uzraudzības sistēmu, aprīkojuma atsauces datu bāzi un RADIUS kā autentifikācijas sistēmu. Papildus tīkla ierīcēm jums ir jāuztur arī trešo pušu pakalpojumi.

Šādos gadījumos jūs varat dzirdēt padomu: "Dodiet to mākonim un necietiet." Noteikti ir mākonis Zabbix, iespējams, kaut kur ir mākoņa RADIUS un pat mākoņu datu bāze, lai uzturētu ierīču sarakstu. Problēma ir tāda, ka tas nav vajadzīgs atsevišķi, bet gan "vienā pudelē". Un joprojām rodas jautājumi par piekļuves organizēšanu, sākotnējo ierīces iestatīšanu, drošību un daudz ko citu.

Kā tas izskatās, izmantojot miglāju?

Protams, sākotnēji “mākonis” neko nezina ne par mūsu plāniem, ne par iegādāto tehniku.

Pirmkārt, tiek izveidots organizācijas profils. Tas ir, visa infrastruktūra: galvenā mītne un filiāles vispirms tiek reģistrētas mākonī. Detaļas ir norādītas un tiek izveidoti konti pilnvaru deleģēšanai.

Ierīces mākonī varat reģistrēt divos veidos: vecmodīgā veidā – vienkārši ievadot sērijas numuru, aizpildot tīmekļa veidlapu, vai skenējot QR kodu, izmantojot mobilo tālruni. Viss, kas jums nepieciešams otrajai metodei, ir viedtālrunis ar kameru un piekļuvi internetam, tostarp izmantojot mobilo sakaru pakalpojumu sniedzēju.

Protams, nepieciešamo infrastruktūru informācijas glabāšanai gan uzskaitei, gan iestatījumiem nodrošina Zyxel Nebula.

1. attēls. Miglāja vadības centra drošības ziņojums.

Kā ar piekļuves iestatīšanu? Portu atvēršana, datplūsmas pārsūtīšana caur ienākošo vārteju — tas viss, ko drošības administratori mīļi sauc par “caurumu atlasi”? Par laimi, jums tas viss nav jādara. Ierīces, kurās darbojas Nebula, izveido izejošo savienojumu. Un administrators savieno nevis ar atsevišķu ierīci, bet gan ar mākoni konfigurēšanai. Miglājs veic starpnieku starp diviem savienojumiem: ar ierīci un tīkla administratora datoru. Tas nozīmē, ka ienākošā administratora izsaukšanas posmu var samazināt vai izlaist pavisam. Un nekādu papildu “caurumu” ugunsmūrī.

Kā ar RADUIS serveri? Galu galā kaut kāda centralizēta autentifikācija ir vajadzīga!

Un šīs funkcijas arī pārņem Miglājs. Kontu autentifikācija, lai piekļūtu aprīkojumam, tiek veikta, izmantojot drošu datu bāzi. Tas ievērojami vienkāršo sistēmas pārvaldības tiesību deleģēšanu vai atsaukšanu. Mums ir jānodod tiesības - jāizveido lietotājs, jāpiešķir loma. Mums ir jāatņem tiesības - mēs veicam apgrieztās darbības.

Atsevišķi ir vērts pieminēt WPA2-Enterprise, kam nepieciešams atsevišķs autentifikācijas pakalpojums. Zyxel Nebula ir savs analogs - DPPSK, kas ļauj izmantot WPA2-PSK ar individuālu atslēgu katram lietotājam.

"Neērti" jautājumi

Zemāk mēs centīsimies sniegt atbildes uz sarežģītākajiem jautājumiem, kas bieži tiek uzdoti, ienākot mākoņpakalpojumā

Vai tas tiešām ir droši?

Jebkurā kontroles un pārvaldības deleģēšanā drošības nodrošināšanai svarīga loma ir diviem faktoriem: anonimizācijai un šifrēšanai.

Šifrēšanas izmantošana, lai aizsargātu trafiku no nevēlamiem skatieniem, lasītājiem ir vairāk vai mazāk pazīstama.

Anonimizācija slēpj informāciju par īpašnieku un avotu no mākoņa pakalpojumu sniedzēja personāla. Personiskā informācija tiek noņemta, un ierakstiem tiek piešķirts “bez sejas” identifikators. Ne mākoņa programmatūras izstrādātājs, ne mākoņsistēmu uzturošais administrators nevar zināt pieprasījumu īpašnieku. "No kurienes tas nāca? Kuru tas varētu interesēt?” – šādi jautājumi paliks neatbildēti. Informācijas trūkums par īpašnieku un avotu padara iekšējo informāciju par bezjēdzīgu laika izšķiešanu.

Ja salīdzinām šo pieeju ar tradicionālo praksi izmantot ārpakalpojumus vai algot ienākošo administratoru, ir acīmredzams, ka mākoņtehnoloģijas ir drošākas. Ienākošais IT speciālists diezgan daudz zina par savu organizāciju un, gribot negribot, var nodarīt būtisku kaitējumu drošības ziņā. Vēl jāatrisina jautājums par atlaišanu vai līguma laušanu. Dažreiz papildus konta bloķēšanai vai dzēšanai tas ietver globālu paroļu maiņu, lai piekļūtu pakalpojumiem, kā arī visu resursu auditu “aizmirstajiem” ieejas punktiem un iespējamām “grāmatzīmēm”.

Cik daudz dārgāks vai lētāks ir Nebula nekā ienākošais administrators?

Viss ir relatīvs. Nebula pamatfunkcijas ir pieejamas bez maksas. Patiesībā, kas varētu būt vēl lētāks?

Protams, nav iespējams pilnībā iztikt bez tīkla administratora vai personas, kas viņu aizstāj. Jautājums ir par cilvēku skaitu, viņu specializāciju un izplatību vietnēs.

Kas attiecas uz maksas paplašināto pakalpojumu, uzdodot tiešu jautājumu: dārgāk vai lētāk - šāda pieeja vienmēr būs neprecīza un vienpusīga. Pareizāk būtu salīdzināt daudzus faktorus, sākot no naudas līdz samaksai par konkrētu speciālistu darbu un beidzot ar izmaksām par viņu mijiedarbības nodrošināšanu ar darbuzņēmēju vai privātpersonu: kvalitātes kontrole, dokumentācijas noformēšana, drošības līmeņa uzturēšana un tā tālāk.

Ja mēs runājam par tēmu, vai ir izdevīgi vai neizdevīgi iegādāties maksas pakalpojumu paketi (Pro-Pack), tad aptuvenā atbilde varētu izklausīties šādi: ja organizācija ir maza, jūs varat iztikt ar pamata versija, ja organizācija aug, tad ir jēga padomāt par Pro-Pack. Atšķirības starp Zyxel miglāja versijām ir redzamas 1. tabulā.

1. tabula. Atšķirības starp Miglāja pamata un Pro-Pack funkciju komplektiem.

Tas ietver uzlabotus pārskatus, lietotāju auditu, konfigurācijas klonēšanu un daudz ko citu.

Kā ar satiksmes aizsardzību?

Miglājs izmanto protokolu NETCONF nodrošināt drošu tīkla iekārtu darbību.

NETCONF var darboties, izmantojot vairākus transporta protokolus:

Ja salīdzinām NETCONF ar citām metodēm, piemēram, pārvaldību caur SNMP, jāatzīmē, ka NETCONF atbalsta izejošo TCP savienojumu, lai pārvarētu NAT barjeru, un tiek uzskatīts par uzticamāku.

Kā ar aparatūras atbalstu?

Protams, serveru telpu nevajadzētu pārvērst par zoodārzu ar retu un apdraudētu aprīkojuma veidu pārstāvjiem. Ir ļoti vēlams, lai vadības tehnoloģijas apvienotās iekārtas aptvertu visus virzienus: no centrālā slēdža līdz piekļuves punktiem. Zyxel inženieri parūpējās par šo iespēju. Miglājs darbina daudzas ierīces:

10G centrālie slēdži;
piekļuves līmeņa slēdži;
PoE slēdži;
piekļuves punkti;
tīkla vārtejas.

Izmantojot plašu atbalstīto ierīču klāstu, varat izveidot tīklus dažāda veida uzdevumiem. Tas jo īpaši attiecas uz uzņēmumiem, kas aug nevis uz augšu, bet gan uz āru, pastāvīgi pētot jaunas uzņēmējdarbības jomas.

Nepārtraukta attīstība

Tīkla ierīcēm ar tradicionālo pārvaldības metodi ir tikai viens veids, kā uzlabot - mainīt pašu ierīci, vai tā būtu jauna programmaparatūra vai papildu moduļi. Zyxel miglāja gadījumā ir papildu ceļš uz uzlabojumiem - uzlabojot mākoņa infrastruktūru. Piemēram, pēc Miglāja vadības centra (NCC) atjaunināšanas uz versiju 10.1. (21. gada 2020. septembris) lietotājiem ir pieejamas jaunas funkcijas. Tālāk ir norādītas dažas no tām.

Organizācijas īpašnieks tagad var nodot visas īpašumtiesības citam administratoram tajā pašā organizācijā;
jauna loma ar nosaukumu Owner Representant, kurai ir tādas pašas tiesības kā organizācijas īpašniekam;
jauna visas organizācijas programmaparatūras atjaunināšanas funkcija (Pro-Pack funkcija);
topoloģijai ir pievienotas divas jaunas iespējas: ierīces pārstartēšana un PoE porta strāvas ieslēgšana un izslēgšana (Pro-Pack funkcija);
atbalsts jauniem piekļuves punktu modeļiem: WAC500, WAC500H, WAC5302D-Sv2 un NWA1123ACv3;
atbalsts kuponu autentifikācijai ar QR koda drukāšanu (Pro-Pack funkcija).

Noderīgas saites

Avots: www.habr.com

Tīkla infrastruktūras izveide, pamatojoties uz miglāju. 1. daļa - problēmas un risinājumi