Membina infrastruktur rangkaian berdasarkan Nebula. Bahagian 1 - masalah dan penyelesaian

Artikel ini akan membincangkan masalah mengatur infrastruktur rangkaian dengan cara dan kaedah tradisional untuk menyelesaikan isu yang sama menggunakan teknologi awan.

Untuk rujukan. Nebula ialah persekitaran awan SaaS untuk menyelenggara infrastruktur rangkaian dari jauh. Semua peranti berdaya Nebula diuruskan dari awan melalui sambungan selamat. Anda boleh menguruskan infrastruktur rangkaian teragih yang besar dari satu pusat tanpa perlu berusaha untuk menciptanya.

Mengapa anda memerlukan perkhidmatan awan yang lain?

Masalah utama apabila bekerja dengan infrastruktur rangkaian bukanlah mereka bentuk rangkaian dan membeli peralatan, atau memasangnya dalam rak, tetapi semua perkara lain yang perlu dilakukan dengan rangkaian ini pada masa hadapan.

Rangkaian baru - kebimbangan lama

Apabila meletakkan nod rangkaian baharu beroperasi selepas memasang dan menyambungkan peralatan, konfigurasi awal bermula. Dari sudut pandangan "bos besar" - tidak ada yang rumit: "Kami mengambil dokumentasi kerja untuk projek itu dan mula menyediakan ..." Ini dikatakan dengan baik apabila semua elemen rangkaian terletak dalam satu pusat data. Jika mereka bertaburan di seluruh cawangan, sakit kepala menyediakan akses jauh bermula. Ini adalah lingkaran ganas: untuk mendapatkan akses jauh melalui rangkaian, anda perlu mengkonfigurasi peralatan rangkaian, dan untuk ini anda memerlukan akses melalui rangkaian...

Kita perlu membuat pelbagai skim untuk keluar dari kebuntuan yang dinyatakan di atas. Contohnya, komputer riba dengan akses Internet melalui modem USB 4G disambungkan melalui kord tampalan ke rangkaian tersuai. Pelanggan VPN dipasang pada komputer riba ini, dan melaluinya pentadbir rangkaian dari ibu pejabat cuba mendapatkan akses kepada rangkaian cawangan. Skim ini bukanlah yang paling telus - walaupun anda membawa komputer riba dengan VPN pra-konfigurasi ke tapak jauh dan meminta untuk menghidupkannya, ia adalah jauh dari fakta bahawa semuanya akan berfungsi pada kali pertama. Terutama jika kita bercakap tentang wilayah yang berbeza dengan pembekal yang berbeza.

Ternyata cara yang paling boleh dipercayai ialah mempunyai pakar yang baik "di hujung talian" yang boleh mengkonfigurasi bahagiannya mengikut projek. Jika tiada perkara sedemikian dalam kakitangan cawangan, pilihan kekal: sama ada penyumberan luar atau perjalanan perniagaan.

Kami juga memerlukan sistem pemantauan. Ia perlu dipasang, dikonfigurasikan, diselenggara (sekurang-kurangnya memantau ruang cakera dan membuat sandaran biasa). Dan yang tidak tahu apa-apa tentang peranti kami sehingga kami memberitahunya. Untuk melakukan ini, anda perlu mendaftar tetapan untuk semua peralatan dan sentiasa memantau perkaitan rekod.

Ia bagus apabila kakitangan mempunyai "orkestra satu orang" sendiri, yang, sebagai tambahan kepada pengetahuan khusus pentadbir rangkaian, tahu cara bekerja dengan Zabbix atau sistem lain yang serupa. Jika tidak, kami mengupah orang lain sebagai kakitangan atau menyumber luarnya.

Perhatian. Kesilapan yang paling menyedihkan bermula dengan perkataan: "Apakah yang ada untuk mengkonfigurasi Zabbix ini (Nagios, OpenView, dll.)? Saya akan cepat mengambilnya dan ia sudah siap!”

Dari pelaksanaan hingga operasi

Mari lihat contoh khusus.

Mesej penggera telah diterima menunjukkan bahawa pusat akses WiFi di suatu tempat tidak bertindak balas.

Dimana dia?

Sudah tentu, pentadbir rangkaian yang baik mempunyai direktori peribadinya sendiri di mana segala-galanya ditulis. Soalan bermula apabila maklumat ini perlu dikongsi. Sebagai contoh, anda perlu menghantar utusan dengan segera untuk menyelesaikan perkara di tempat kejadian, dan untuk ini anda perlu mengeluarkan sesuatu seperti: "Titik akses di pusat perniagaan di Jalan Stroiteley, bangunan 1, di tingkat 3, pejabat No. 301 di sebelah pintu masuk di bawah siling."

Katakan kita bernasib baik dan titik akses dikuasakan melalui PoE, dan suis membolehkannya dibut semula dari jauh. Anda tidak perlu melakukan perjalanan, tetapi anda memerlukan akses jauh ke suis. Apa yang tinggal ialah mengkonfigurasi pemajuan port melalui PAT pada penghala, memikirkan VLAN untuk menyambung dari luar, dan sebagainya. Ada baiknya jika segala-galanya disediakan lebih awal. Kerja itu mungkin tidak sukar, tetapi ia perlu dilakukan.

Jadi, saluran makanan telah dibut semula. Tidak membantu?

Katakan ada yang tidak kena dalam perkakasan. Kini kami sedang mencari maklumat tentang jaminan, permulaan dan butiran lain yang menarik.

Bercakap tentang WiFi. Menggunakan versi rumah WPA2-PSK, yang mempunyai satu kunci untuk semua peranti, tidak disyorkan dalam persekitaran korporat. Pertama, satu kunci untuk semua orang adalah tidak selamat, dan kedua, apabila seorang pekerja pergi, anda perlu menukar kunci biasa ini dan melakukan semula tetapan pada semua peranti untuk semua pengguna. Untuk mengelakkan masalah sedemikian, terdapat WPA2-Enterprise dengan pengesahan individu untuk setiap pengguna. Tetapi untuk ini anda memerlukan pelayan RADIUS - unit infrastruktur lain yang perlu dikawal, sandaran dibuat dan sebagainya.

Sila ambil perhatian bahawa pada setiap peringkat, sama ada pelaksanaan atau operasi, kami menggunakan sistem sokongan. Ini termasuk komputer riba dengan sambungan Internet "pihak ketiga", sistem pemantauan, pangkalan data rujukan peralatan dan RADIUS sebagai sistem pengesahan. Selain peranti rangkaian, anda juga perlu mengekalkan perkhidmatan pihak ketiga.

Dalam kes sedemikian, anda boleh mendengar nasihat: "Berikan kepada awan dan jangan menderita." Pasti ada awan Zabbix, mungkin ada RADIUS awan di suatu tempat, dan juga pangkalan data awan untuk mengekalkan senarai peranti. Masalahnya ialah ini tidak diperlukan secara berasingan, tetapi "dalam satu botol." Namun begitu, persoalan timbul tentang mengatur akses, persediaan peranti awal, keselamatan dan banyak lagi.

Apakah rupanya apabila menggunakan Nebula?

Sudah tentu, pada mulanya "awan" tidak mengetahui apa-apa tentang rancangan kami atau peralatan yang dibeli.

Pertama, profil organisasi dibuat. Iaitu, keseluruhan infrastruktur: ibu pejabat dan cawangan pertama kali didaftarkan dalam awan. Butiran ditentukan dan akaun dibuat untuk perwakilan kuasa.

Anda boleh mendaftarkan peranti anda di awan dalam dua cara: cara lama - hanya dengan memasukkan nombor siri semasa mengisi borang web atau dengan mengimbas kod QR menggunakan telefon mudah alih. Apa yang anda perlukan untuk kaedah kedua ialah telefon pintar dengan kamera dan akses Internet, termasuk melalui pembekal mudah alih.

Sudah tentu, infrastruktur yang diperlukan untuk menyimpan maklumat, kedua-dua perakaunan dan tetapan, disediakan oleh Zyxel Nebula.

Rajah 1. Laporan keselamatan Pusat Kawalan Nebula.

Bagaimana dengan menyediakan akses? Membuka port, memajukan trafik melalui gerbang masuk, semua yang pentadbir keselamatan dengan penuh kasih sayang memanggil "memilih lubang"? Nasib baik, anda tidak perlu melakukan semua ini. Peranti yang menjalankan Nebula mewujudkan sambungan keluar. Dan pentadbir menyambung bukan ke peranti yang berasingan, tetapi ke awan untuk konfigurasi. Nebula menjadi pengantara antara dua sambungan: ke peranti dan ke komputer pentadbir rangkaian. Ini bermakna peringkat memanggil pentadbir masuk boleh diminimumkan atau dilangkau sama sekali. Dan tiada "lubang" tambahan dalam tembok api.

Bagaimana dengan pelayan RADUIS? Lagipun, beberapa jenis pengesahan terpusat diperlukan!

Dan fungsi ini juga diambil alih oleh Nebula. Pengesahan akaun untuk akses kepada peralatan berlaku melalui pangkalan data yang selamat. Ini sangat memudahkan pendelegasian atau penarikan balik hak untuk mengurus sistem. Kita perlu memindahkan hak - cipta pengguna, berikan peranan. Kita perlu mengambil hak - kita melakukan langkah sebaliknya.

Secara berasingan, perlu disebutkan WPA2-Enterprise, yang memerlukan perkhidmatan pengesahan yang berasingan. Zyxel Nebula mempunyai analognya sendiri - DPPSK, yang membolehkan anda menggunakan WPA2-PSK dengan kunci individu untuk setiap pengguna.

Soalan "menyusahkan".

Di bawah ini kami akan cuba memberikan jawapan kepada soalan paling rumit yang sering ditanya apabila memasuki perkhidmatan awan

Adakah ia benar-benar selamat?

Dalam mana-mana delegasi kawalan dan pengurusan untuk memastikan keselamatan, dua faktor memainkan peranan penting: anonimasi dan penyulitan.

Menggunakan penyulitan untuk melindungi trafik daripada mengintip adalah sesuatu yang lebih kurang biasa dibaca oleh pembaca.

Anonymization menyembunyikan maklumat tentang pemilik dan sumber daripada kakitangan pembekal awan. Maklumat peribadi dialih keluar dan rekod diberikan pengecam "tidak berwajah". Baik pembangun perisian awan mahupun pentadbir yang menyelenggara sistem awan tidak boleh mengetahui pemilik permintaan tersebut. "Dari mana datangnya ini? Siapa yang mungkin berminat dengan ini?” - soalan seperti itu tidak akan dijawab. Kekurangan maklumat tentang pemilik dan sumber menjadikan orang dalam membuang masa yang sia-sia.

Jika kita membandingkan pendekatan ini dengan amalan tradisional penyumberan luar atau mengupah pentadbir masuk, adalah jelas bahawa teknologi awan adalah lebih selamat. Seorang pakar IT yang akan datang tahu banyak tentang organisasinya, dan boleh, mahu tidak mahu, menyebabkan kemudaratan yang ketara dari segi keselamatan. Isu pemecatan atau penamatan kontrak masih perlu diselesaikan. Kadangkala, selain menyekat atau memadam akaun, ini memerlukan perubahan global kata laluan untuk mengakses perkhidmatan, serta audit semua sumber untuk titik masuk "terlupa" dan "penanda halaman" yang mungkin.

Berapa lebih mahal atau lebih murah Nebula daripada pentadbir masuk?

Semuanya adalah relatif. Ciri asas Nebula tersedia secara percuma. Sebenarnya, apa yang boleh lebih murah?

Sudah tentu, adalah mustahil untuk dilakukan sepenuhnya tanpa pentadbir rangkaian atau seseorang yang menggantikannya. Persoalannya ialah bilangan orang, pengkhususan dan pengedaran mereka di seluruh tapak.

Bagi perkhidmatan lanjutan berbayar, bertanya soalan langsung: lebih mahal atau lebih murah - pendekatan sedemikian akan sentiasa tidak tepat dan berat sebelah. Adalah lebih tepat untuk membandingkan banyak faktor, daripada wang untuk membayar kerja pakar tertentu dan berakhir dengan kos memastikan interaksi mereka dengan kontraktor atau individu: kawalan kualiti, penyediaan dokumentasi, mengekalkan tahap keselamatan, dan seterusnya.

Jika kita bercakap tentang topik sama ada menguntungkan atau tidak menguntungkan untuk membeli pakej perkhidmatan berbayar (Pro-Pack), maka jawapan anggaran mungkin berbunyi seperti ini: jika organisasi kecil, anda boleh bertahan dengan asas versi, jika organisasi berkembang, maka masuk akal untuk memikirkan Pro-Pack. Perbezaan antara versi Zyxel Nebula boleh dilihat dalam Jadual 1.

Jadual 1. Perbezaan antara set ciri asas dan Pro-Pack untuk Nebula.

Ini termasuk pelaporan lanjutan, pengauditan pengguna, pengklonan konfigurasi dan banyak lagi.

Bagaimana dengan perlindungan lalu lintas?

Nebula menggunakan protokol NETCONF untuk memastikan operasi peralatan rangkaian yang selamat.

NETCONF boleh berjalan di atas beberapa protokol pengangkutan:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• BIP (RFC 4744);
• TLS (RFC 5539).

Jika kita membandingkan NETCONF dengan kaedah lain, sebagai contoh, pengurusan melalui SNMP, perlu diperhatikan bahawa NETCONF menyokong sambungan TCP keluar untuk mengatasi halangan NAT dan dianggap lebih dipercayai.

Bagaimana pula dengan sokongan perkakasan?

Sudah tentu, anda tidak sepatutnya menjadikan bilik pelayan sebagai zoo dengan wakil jenis peralatan yang jarang ditemui dan terancam. Adalah sangat diingini bahawa peralatan yang disatukan oleh teknologi pengurusan meliputi semua arah: dari suis pusat ke pusat akses. Jurutera Zyxel menguruskan kemungkinan ini. Nebula menjalankan banyak peranti:

• Suis pusat 10G;
• suis tahap akses;
• suis dengan PoE;
• titik akses;
• gerbang rangkaian.

Menggunakan pelbagai jenis peranti yang disokong, anda boleh membina rangkaian untuk pelbagai jenis tugas. Ini terutama berlaku untuk syarikat yang berkembang bukan ke atas, tetapi ke luar, sentiasa meneroka bidang baharu untuk menjalankan perniagaan.

Perkembangan berterusan

Peranti rangkaian dengan kaedah pengurusan tradisional hanya mempunyai satu cara penambahbaikan - menukar peranti itu sendiri, sama ada perisian tegar baharu atau modul tambahan. Dalam kes Zyxel Nebula, terdapat laluan tambahan untuk penambahbaikan - melalui penambahbaikan infrastruktur awan. Contohnya, selepas mengemas kini Pusat Kawalan Nebula (NCC) kepada versi 10.1. (21 September 2020) ciri baharu tersedia kepada pengguna, berikut adalah beberapa daripadanya:

• Pemilik organisasi kini boleh memindahkan semua hak pemilikan kepada pentadbir lain dalam organisasi yang sama;
• peranan baharu yang dipanggil Wakil Pemilik, yang mempunyai hak yang sama seperti pemilik organisasi;
• ciri kemas kini perisian tegar seluruh organisasi baharu (ciri Pro-Pack);
• dua pilihan baharu telah ditambahkan pada topologi: but semula peranti dan menghidupkan dan mematikan kuasa port PoE (fungsi Pro-Pack);
• sokongan untuk model pusat akses baharu: WAC500, WAC500H, WAC5302D-Sv2 dan NWA1123ACv3;
• sokongan untuk pengesahan baucar dengan percetakan kod QR (fungsi Pro-Pack).

Pautan berguna

1. Sembang telegram Zyxel
2. Forum Peralatan Zyxel
3. Banyak video berguna di saluran Youtube
4. Zyxel Nebula - kemudahan pengurusan sebagai asas untuk simpanan
5. Perbezaan antara versi Zyxel Nebula
6. Zyxel Nebula dan pertumbuhan syarikat
7. Awan supernova Zyxel Nebula - laluan kos efektif untuk keselamatan?
8. Zyxel Nebula – Pilihan untuk Perniagaan Anda

Sumber: www.habr.com