Нийтлэлд сүлжээний дэд бүтцийг уламжлалт аргаар зохион байгуулахад тулгарч буй асуудлууд, үүлэн технологи ашиглан ижил асуудлыг шийдвэрлэх аргуудыг авч үзэх болно.
Лавлагаа авах. Nebula нь сүлжээний дэд бүтцийг алсаас хадгалахад зориулагдсан SaaS үүл орчин юм. Nebula-г идэвхжүүлсэн бүх төхөөрөмжийг үүлнээс найдвартай холболтоор удирддаг. Та том хэмжээний тархсан сүлжээний дэд бүтцийг бий болгоход хүчин чармайлт гаргахгүйгээр нэг төвөөс удирдах боломжтой.
Яагаад танд өөр үүлэн үйлчилгээ хэрэгтэй байна вэ?
Сүлжээний дэд бүтэцтэй ажиллахад тулгардаг гол асуудал бол сүлжээг төлөвлөх, тоног төхөөрөмж худалдан авах, тэр ч байтугай тавиур дээр суурилуулах биш, харин ирээдүйд энэ сүлжээгээр хийх ёстой бусад бүх зүйл юм.
Шинэ сүлжээ - хуучин санаа зоволт
Тоног төхөөрөмжийг суурилуулж, холбосны дараа шинэ сүлжээний зангилааг ашиглалтад оруулах үед анхны тохиргоо эхэлнэ. "Том дарга нар"-ын үүднээс - ямар ч төвөгтэй зүйл байхгүй: "Бид төслийн ажлын баримт бичгийг авч, тохируулж эхэлдэг ..." Сүлжээний бүх элементүүд нэг мэдээллийн төвд байрладаг бол үүнийг маш сайн хэлсэн. Хэрэв тэдгээр нь салбаруудаар тархсан бол алсын зайнаас хандах толгойны өвчин эхэлдэг. Энэ бол маш харгис тойрог юм: сүлжээгээр алсаас хандахын тулд та сүлжээний тоног төхөөрөмжийг тохируулах хэрэгтэй бөгөөд үүний тулд танд сүлжээгээр хандах хэрэгтэй ...
Дээр дурдсан мухардлаас гарахын тулд бид янз бүрийн схемийг гаргаж ирэх ёстой. Жишээлбэл, USB 4G модемоор интернетэд холбогдсон зөөврийн компьютер нь засварын утсаар захиалгат сүлжээнд холбогдсон байна. Энэхүү зөөврийн компьютер дээр VPN клиент суулгасан бөгөөд түүгээр дамжуулан төв оффисын сүлжээний администратор салбар сүлжээнд нэвтрэхийг оролддог. Энэ схем нь хамгийн ил тод биш юм - та урьдчилан тохируулсан VPN-тэй зөөврийн компьютерээ алсын сайт руу авчирч, асаахыг хүссэн ч бүх зүйл анх удаа ажиллах болно гэсэн баримтаас хол байна. Ялангуяа бид өөр үйлчилгээ үзүүлэгчтэй өөр бүс нутгийн тухай ярьж байгаа бол.
Төслийн дагуу өөрийн хэсгийг тохируулах чадвартай "шугамын нөгөө үзүүрт" сайн мэргэжилтэн байх нь хамгийн найдвартай арга юм. Салбарын ажилтнуудад ийм зүйл байхгүй бол аутсорсинг эсвэл бизнес аялал хийх сонголтууд хэвээр байна.
Бидэнд бас хяналтын систем хэрэгтэй. Үүнийг суулгах, тохируулах, засвар үйлчилгээ хийх шаардлагатай (дор хаяж дискний зайг хянаж, тогтмол нөөцлөлт хийх). Бид үүнийг хэлэх хүртэл бидний төхөөрөмжийн талаар юу ч мэдэхгүй. Үүнийг хийхийн тулд та бүх тоног төхөөрөмжийн тохиргоог бүртгэж, бүртгэлүүдийн хамаарлыг тогтмол хянах хэрэгтэй.
Ажилтнууд сүлжээний администраторын тодорхой мэдлэгээс гадна Zabbix эсвэл өөр ижил төстэй системтэй хэрхэн ажиллахаа мэддэг өөрийн "нэг хүний найрал хөгжим"тэй бол үнэхээр сайхан хэрэг юм. Үгүй бол бид өөр хүнийг орон тоогоор ажилд авах эсвэл аутсорсинг хийх.
Анхаарна уу. Хамгийн гунигтай алдаанууд нь: "Энэ Zabbix (Nagios, OpenView гэх мэт) -ийг тохируулахад юу байна вэ? Би үүнийг хурдан авах болно, тэр бэлэн байна!"
Хэрэгжүүлэхээс үйл ажиллагаа хүртэл
Тодорхой жишээг авч үзье.
Wi-Fi хандалтын цэг хаа нэгтээ хариу өгөхгүй байна гэсэн дохиолол хүлээн авлаа.
Тэр хаана байна?
Мэдээжийн хэрэг, сайн сүлжээний администратор бүх зүйлийг бичсэн өөрийн хувийн лавлахтай байдаг. Энэ мэдээллийг хуваалцах шаардлагатай үед асуултууд эхэлдэг. Жишээлбэл, та яаралтай элч илгээж, асуудлыг газар дээр нь цэгцлэх хэрэгтэй бөгөөд үүний тулд та дараахь зүйлийг хийх хэрэгтэй: "Строителей гудамж, 1-р байр, 3-р давхарт байрлах бизнес төвийн нэвтрэх цэг, №301 өрөө. XNUMX таазны доорх урд хаалганы хажууд."
Бид азтай гэж бодъё, хандалтын цэг нь PoE-ээр тэжээгддэг бөгөөд шилжүүлэгч нь алсаас дахин ачаалах боломжийг олгодог. Та аялах шаардлагагүй, гэхдээ шилжүүлэгч рүү алсаас хандах хэрэгтэй. Үлдсэн зүйл бол чиглүүлэгч дээрх PAT-ээр дамжуулан порт дамжуулахыг тохируулах, гаднаас холбогдох VLAN-г олох гэх мэт. Бүх зүйлийг урьдчилан тохируулсан бол сайн. Ажил нь хэцүү биш байж болох ч үүнийг хийх хэрэгтэй.
Тиймээс хоолны цэгийг дахин ачааллаа. Туслаагүй юу?
Техник хангамжид ямар нэг зүйл буруу байна гэж хэлье. Одоо бид баталгаат хугацаа, эхлүүлэх болон бусад сонирхсон дэлгэрэнгүй мэдээллийг хайж байна.
WiFi-ийн тухай ярьж байна. Бүх төхөөрөмжид зориулсан нэг түлхүүртэй WPA2-PSK-ийн гэрийн хувилбарыг корпорацийн орчинд ашиглахыг зөвлөдөггүй. Нэгдүгээрт, хүн бүрт зориулсан нэг түлхүүр нь зүгээр л аюултай, хоёрдугаарт, нэг ажилтан явахад та энэ нийтлэг түлхүүрийг өөрчилж, бүх хэрэглэгчдэд зориулсан бүх төхөөрөмж дээрх тохиргоог дахин хийх хэрэгтэй. Ийм бэрхшээлээс зайлсхийхийн тулд хэрэглэгч бүрийн бие даасан баталгаажуулалт бүхий WPA2-Enterprise байдаг. Гэхдээ үүний тулд танд RADIUS сервер хэрэгтэй - өөр нэг дэд бүтцийн нэгжийг хянах, нөөцлөлт хийх гэх мэт.
Хэрэгжилт, үйл ажиллагаа гэх мэт бүх үе шатанд бид туслах системийг ашигладаг болохыг анхаарна уу. Үүнд "гуравдагч этгээдийн" интернет холболттой зөөврийн компьютер, хяналтын систем, тоног төхөөрөмжийн лавлагааны мэдээллийн сан, баталгаажуулалтын систем болох RADIUS орно. Сүлжээний төхөөрөмжүүдээс гадна та гуравдагч талын үйлчилгээнд засвар үйлчилгээ хийх ёстой.
Ийм тохиолдолд та "Үүнийг үүлэнд өг, бүү зов" гэсэн зөвлөгөөг сонсож болно. Мэдээжийн хэрэг Zabbix үүл байдаг, магадгүй хаа нэгтээ үүлэн RADIUS, тэр ч байтугай төхөөрөмжүүдийн жагсаалтыг хадгалах үүл мэдээллийн сан байдаг. Асуудал нь энэ нь тусад нь биш, харин "нэг саванд" хэрэгтэй юм. Гэсэн хэдий ч хандалтыг зохион байгуулах, төхөөрөмжийн анхны тохиргоо, аюулгүй байдал болон бусад олон асуултууд гарч ирдэг.
Мананцарыг ашиглахад ямар харагддаг вэ?
Мэдээжийн хэрэг, эхлээд "үүл" бидний төлөвлөгөө, худалдаж авсан тоног төхөөрөмжийн талаар юу ч мэдэхгүй.
Эхлээд байгууллагын профайлыг үүсгэнэ. Өөрөөр хэлбэл, бүхэл бүтэн дэд бүтэц: төв байр, салбарууд эхлээд үүлэн дээр бүртгэгдсэн байдаг. Дэлгэрэнгүй мэдээллийг тодорхойлж, эрх мэдлийг шилжүүлэх дансуудыг бий болгодог.
Та төхөөрөмжөө клоуд дээр хоёр аргаар бүртгүүлэх боломжтой: хуучин загвараар - вэб маягт бөглөхдөө серийн дугаар оруулах эсвэл гар утас ашиглан QR кодыг сканнердах замаар. Хоёрдахь аргын хувьд танд хэрэгтэй бүх зүйл бол камер, интернетэд холбогдсон ухаалаг утас, тэр дундаа гар утасны үйлчилгээ үзүүлэгчээр дамжуулан.
Мэдээжийн хэрэг нягтлан бодох бүртгэл, тохиргоог хадгалахад шаардлагатай дэд бүтцийг Zyxel Nebula хангадаг.
Зураг 1. Мананцарын удирдлагын төвийн аюулгүй байдлын тайлан.
Хандалтыг тохируулах талаар? Портуудыг нээх, ирж буй гарцаар дамжуулан урсгалыг дамжуулах зэрэг аюулгүй байдлын администраторууд "цооног сонгох" гэж элэгсэглэн дууддаг уу? Аз болоход энэ бүгдийг хийх шаардлагагүй. Nebula-г ажиллуулж буй төхөөрөмжүүд нь гадагш холболт үүсгэдэг. Мөн администратор нь тусдаа төхөөрөмжид биш, харин тохиргоог хийхийн тулд үүлэнд холбогддог. Мананцар нь төхөөрөмж болон сүлжээний администраторын компьютер гэсэн хоёр холболтын хооронд зуучилдаг. Энэ нь ирж буй админ руу залгах үе шатыг багасгах эсвэл бүрмөсөн алгасах боломжтой гэсэн үг юм. Мөн галт хананд нэмэлт "нүх" байхгүй.
RADUIS серверийн талаар юу хэлэх вэ? Эцсийн эцэст ямар нэгэн төвлөрсөн баталгаажуулалт шаардлагатай байна!
Мөн эдгээр функцийг мананцар хариуцдаг. Тоног төхөөрөмжид нэвтрэх бүртгэлийг баталгаажуулах нь аюулгүй мэдээллийн баазаар дамждаг. Энэ нь системийг удирдах эрхийг шилжүүлэх эсвэл эргүүлэн татах ажлыг ихээхэн хялбаршуулдаг. Бид эрхийг шилжүүлэх хэрэгтэй - хэрэглэгч үүсгэх, үүрэг өгөх. Бид эрхийг хасах хэрэгтэй - бид урвуу алхмуудыг хийдэг.
Тусдаа баталгаажуулалтын үйлчилгээг шаарддаг WPA2-Enterprise-ийг дурдах нь зүйтэй. Zyxel мананцар нь өөрийн аналог - DPPSK-тэй бөгөөд энэ нь WPA2-PSK-ийг хэрэглэгч бүрийн хувийн түлхүүрээр ашиглах боломжийг олгодог.
"Эвгүй" асуултууд
Доор бид үүлэн үйлчилгээнд нэвтрэх үед ихэвчлэн асуудаг хамгийн төвөгтэй асуултуудад хариулт өгөхийг хичээх болно
Энэ үнэхээр аюулгүй юу?
Аюулгүй байдлыг хангахын тулд хяналт, удирдлагын аливаа төлөөлөгчийн хувьд нэрээ нууцлах, шифрлэх гэсэн хоёр хүчин зүйл чухал үүрэг гүйцэтгэдэг.
Траффикийг бусдын нүднээс хамгаалахын тулд шифрлэлтийг ашиглах нь уншигчдад бага эсвэл бага мэддэг зүйл юм.
Нэргүй болгох нь үүлэн үйлчилгээ үзүүлэгчийн ажилтнуудаас эзэмшигч болон эх сурвалжийн талаарх мэдээллийг нуудаг. Хувийн мэдээллийг устгаж, бүртгэлд "нүүр царайгүй" таних тэмдэг өгдөг. Клоуд програм хангамж хөгжүүлэгч эсвэл үүлэн системийг ажиллуулж буй администратор аль аль нь хүсэлтийн эзэмшигчийг мэдэхгүй. "Энэ хаанаас ирсэн юм бэ? Үүнийг хэн сонирхож болох вэ?" - ийм асуулт хариултгүй хэвээр байх болно. Эзэмшигч, эх сурвалжийн талаархи мэдээлэл дутмаг байгаа нь дотоод хүмүүсийг дэмий хоосон цаг үрдэг.
Хэрэв бид энэ аргыг аутсорсинг хийх эсвэл ирж буй администраторыг ажилд авах уламжлалт практиктай харьцуулж үзвэл үүлэн технологи нь илүү аюулгүй болох нь ойлгомжтой. Ирж буй мэдээллийн технологийн мэргэжилтэн нь байгууллагынхаа талаар маш их зүйлийг мэддэг бөгөөд аюулгүй байдлын хувьд дур зоргоороо ихээхэн хохирол учруулж болзошгүй юм. Ажлаас халах, гэрээг цуцлах асуудлыг шийдвэрлэх шаардлагатай хэвээр байна. Заримдаа энэ нь бүртгэлийг хаах, устгахаас гадна үйлчилгээнд нэвтрэх нууц үгийг дэлхийн хэмжээнд өөрчлөх, мөн "мартсан" нэвтрэх цэгүүд болон боломжит "хавчуурга" -ын бүх нөөцийн аудитыг шаарддаг.
Nebula нь ирж буй админаас хэр үнэтэй эсвэл хямд вэ?
Бүх зүйл харьцангуй. Небулагийн үндсэн шинж чанаруудыг үнэ төлбөргүй авах боломжтой. Үнэндээ, үүнээс ч хямд юу байж болох вэ?
Мэдээжийн хэрэг, сүлжээний администратор эсвэл түүнийг орлох хүнгүйгээр үүнийг бүрэн хийх боломжгүй юм. Асуулт бол хүмүүсийн тоо, тэдний мэргэшил, сайтууд дахь тархалт юм.
Төлбөртэй өргөтгөсөн үйлчилгээний хувьд шууд асуулт асуух нь: илүү үнэтэй эсвэл хямд - ийм хандлага нь үргэлж буруу, нэг талыг барьсан байх болно. Мөнгөөөс эхлээд тодорхой мэргэжилтнүүдийн ажлын хөлс, гэрээлэгч эсвэл хувь хүнтэй харилцах харилцааг хангах зардал хүртэлх чанарын хяналт, бичиг баримт бүрдүүлэх, аюулгүй байдлын түвшинг хадгалах зэрэг олон хүчин зүйлийг харьцуулах нь илүү зөв байх болно. гэх мэт.
Хэрэв бид төлбөртэй багц үйлчилгээг (Pro-Pack) худалдаж авах нь ашигтай эсвэл ашиггүй эсэх талаар ярьж байгаа бол ойролцоогоор хариулт нь иймэрхүү сонсогдож магадгүй юм: хэрэв байгууллага жижиг бол та үндсэн мэдээллээр хангаж чадна. хувилбар, хэрэв байгууллага хөгжиж байгаа бол Pro-Pack-ийн талаар бодох нь зүйтэй юм. Zyxel мананцарын хувилбаруудын ялгааг 1-р хүснэгтээс харж болно.
Хүснэгт 1. Nebula-д зориулсан үндсэн болон Pro-Pack функцүүдийн хоорондын ялгаа.
Үүнд дэвшилтэт тайлан, хэрэглэгчийн аудит, тохиргооны клончлол болон бусад олон зүйлс орно.
Замын хөдөлгөөний хамгаалалтын талаар юу хэлэх вэ?
Мананцар нь протоколыг ашигладаг сүлжээний тоног төхөөрөмжийн аюулгүй ажиллагааг хангах.
NETCONF нь хэд хэдэн тээврийн протокол дээр ажиллаж болно:
- ();
- ();
- ();
- ().
Хэрэв бид NETCONF-ийг бусад аргуудтай, жишээлбэл, SNMP-ээр дамжуулан удирдах аргатай харьцуулж үзвэл үүнийг тэмдэглэх нь зүйтэй NETCONF NAT саадыг даван туулахын тулд гарах TCP холболтыг дэмждэг бөгөөд илүү найдвартай гэж үздэг.
Техник хангамжийн дэмжлэгийн талаар юу хэлэх вэ?
Мэдээжийн хэрэг, та серверийн өрөөг ховор, ховордсон тоног төхөөрөмжийн төлөөлөгчидтэй амьтны хүрээлэн болгон хувиргах ёсгүй. Удирдлагын технологид нэгдсэн тоног төхөөрөмж нь төв шилжүүлэгчээс нэвтрэх цэг хүртэлх бүх чиглэлийг хамарсан байх нь зүйтэй юм. Zyxel инженерүүд энэ боломжийг анхаарч үзсэн. Мананцар олон төхөөрөмж ажиллуулдаг:
- 10G төв унтраалга;
- хандалтын түвшний унтраалга;
- PoE-тэй унтраалга;
- нэвтрэх цэгүүд;
- сүлжээний гарцууд.
Өргөн хүрээний дэмжигдсэн төхөөрөмжүүдийг ашигласнаар та янз бүрийн төрлийн ажлуудад зориулж сүлжээ үүсгэж болно. Энэ нь ялангуяа дээшээ биш харин гадагшаа хөгжиж, бизнес эрхлэх шинэ чиглэлийг байнга эрэлхийлдэг компаниудын хувьд үнэн юм.
Тасралтгүй хөгжүүлэлт
Уламжлалт удирдлагын арга бүхий сүлжээний төхөөрөмжүүд нь сайжруулах цорын ганц арга замтай байдаг - шинэ програм хангамж эсвэл нэмэлт модулиудаас үл хамааран төхөөрөмжийг өөрөө өөрчлөх. Zyxel мананцарын хувьд үүлэн дэд бүтцийг сайжруулах замаар сайжруулах нэмэлт арга зам бий. Жишээлбэл, мананцарын хяналтын төвийг (NCC) 10.1 хувилбар болгон шинэчилсний дараа. (21 оны 2020-р сарын XNUMX) шинэ боломжуудыг хэрэглэгчид ашиглах боломжтой бөгөөд тэдгээрийн заримыг энд дурдав:
- Байгууллагын эзэн одоо бүх өмчлөх эрхийг нэг байгууллагын өөр админд шилжүүлэх боломжтой;
- Байгууллагын өмчлөгчтэй адил эрх бүхий өмчлөгчийн төлөөлөгч хэмээх шинэ үүрэг;
- байгууллагын хэмжээнд шинэ програм хангамжийг шинэчлэх боломж (Pro-Pack функц);
- топологид хоёр шинэ сонголт нэмэгдсэн: төхөөрөмжийг дахин ачаалах, PoE портыг асаах, унтраах (Pro-Pack функц);
- хандалтын цэгийн шинэ загваруудын дэмжлэг: WAC500, WAC500H, WAC5302D-Sv2 болон NWA1123ACv3;
- QR код хэвлэх (Pro-Pack функц) бүхий ваучерын баталгаажуулалтыг дэмжих.
Ашигтай холбоосууд
Эх сурвалж: www.habr.com