L-artiklu se jiddiskuti l-problemi tal-organizzazzjoni tal-infrastruttura tan-netwerk bil-mod tradizzjonali u metodi biex jissolvew l-istess kwistjonijiet bl-użu ta 'teknoloġiji cloud.
Għal referenza. Nebula huwa ambjent tas-sħab SaaS għall-manutenzjoni mill-bogħod tal-infrastruttura tan-netwerk. L-apparati kollha li jaħdmu b'Nebula huma ġestiti mill-cloud permezz ta' konnessjoni sigura. Tista 'timmaniġġja infrastruttura ta' netwerk imqassam kbir minn ċentru wieħed mingħajr ma tonfoq l-isforz biex toħloqha.
Għaliex għandek bżonn servizz cloud ieħor?
Il-problema ewlenija meta taħdem ma 'infrastruttura tan-netwerk mhix iddisinjar tan-netwerk u x-xiri ta' tagħmir, jew saħansitra tinstallah f'rack, iżda kull ħaġa oħra li trid issir b'dan in-netwerk fil-futur.
Netwerk ġdid - inkwiet qodma
Meta tħaddem node tan-netwerk ġdid wara l-installazzjoni u l-konnessjoni tat-tagħmir, tibda l-konfigurazzjoni inizjali. Mill-perspettiva tal-"pumijiet kbar" - xejn ikkumplikat: "Nieħdu d-dokumentazzjoni tax-xogħol għall-proġett u nibdew inwaqqfu..." Dan jingħad sew meta l-elementi kollha tan-netwerk jinsabu f'ċentru tad-dejta wieħed. Jekk ikunu mxerrda madwar fergħat, jibda l-uġigħ ta 'ras li jipprovdi aċċess mill-bogħod. Huwa tali ċirku vizzjuż: biex tikseb aċċess mill-bogħod fuq in-netwerk, għandek bżonn tikkonfigura t-tagħmir tan-netwerk, u għal dan għandek bżonn aċċess fuq in-netwerk...
Irridu noħorġu b’diversi skemi biex noħorġu mill-impass deskritt hawn fuq. Pereżempju, laptop b'aċċess għall-Internet permezz ta 'modem USB 4G huwa konness permezz ta' korda ta 'garża ma' netwerk tad-dwana. Klijent VPN huwa installat fuq dan il-laptop, u permezz tiegħu l-amministratur tan-netwerk mill-kwartieri ġenerali jipprova jikseb aċċess għan-netwerk tal-fergħat. L-iskema mhix l-aktar trasparenti - anki jekk ġġib laptop b'VPN ikkonfigurat minn qabel f'sit remot u titlob biex tixgħel, huwa 'l bogħod mill-fatt li kollox se jaħdem l-ewwel darba. Speċjalment jekk qed nitkellmu dwar reġjun differenti b'fornitur differenti.
Jirriżulta li l-aktar mod affidabbli huwa li jkollok speċjalista tajjeb "min-naħa l-oħra tal-linja" li jista 'jikkonfigura l-parti tiegħu skont il-proġett. Jekk ma jkun hemm l-ebda ħaġa bħal din fil-persunal tal-fergħa, l-għażliet jibqgħu: jew esternalizzazzjoni jew ivvjaġġar tan-negozju.
Għandna bżonn ukoll sistema ta’ monitoraġġ. Jeħtieġ li tiġi installata, konfigurata, miżmuma (mill-inqas tissorvelja l-ispazju tad-diska u tagħmel backups regolari). U li ma jaf xejn dwar l-apparati tagħna sakemm ngħidulu. Biex tagħmel dan, trid tirreġistra s-settings għall-biċċiet kollha tat-tagħmir u tissorvelja regolarment ir-rilevanza tar-rekords.
Huwa kbir meta l-istaff ikollu l-"orkestra ta 'raġel wieħed", li, minbarra l-għarfien speċifiku ta' amministratur tan-netwerk, jaf kif jaħdem ma' Zabbix jew sistema simili oħra. Inkella, nimpjegaw persuna oħra fuq persunal jew jesternalizzawha.
Innota. L-iżbalji l-aktar koroh jibdew bil-kliem: “X’hemm biex jiġi kkonfigurat dan Zabbix (Nagios, OpenView, eċċ.)? Niġborha malajr u lesta!”
Mill-implimentazzjoni għall-operazzjoni
Ejja nħarsu lejn eżempju speċifiku.
Wasal messaġġ ta' allarm li jindika li punt ta' aċċess għal WiFi x'imkien mhux qed jirrispondi.
Fejn hi?
Naturalment, amministratur tajjeb tan-netwerk għandu direttorju personali tiegħu stess li fih kollox huwa miktub. Il-mistoqsijiet jibdew meta din l-informazzjoni trid tiġi kondiviża. Pereżempju, għandek bżonn urġenti li tibgħat messaġġier biex issolvi l-affarijiet fuq il-post, u għal dan għandek bżonn toħroġ xi ħaġa bħal: "Punt ta 'aċċess fiċ-ċentru tan-negozju fi Triq Stroiteley, bini 1, fit-3 sular, kamra Nru. 301 ħdejn il-bieb ta’ barra taħt is-saqaf.”
Ejja ngħidu li aħna xxurtjati u l-punt ta 'aċċess huwa mħaddem permezz PoE, u l-iswiċċ jippermetti li jerġa' jibda mill-bogħod. M'għandekx bżonn tivvjaġġa, iżda għandek bżonn aċċess mill-bogħod għas-swiċċ. Li jibqa 'huwa li jiġi kkonfigurat port forwarding permezz ta' PAT fuq ir-router, insemmu l-VLAN għall-konnessjoni minn barra, eċċ. Tajjeb jekk kollox jitwaqqaf minn qabel. Ix-xogħol jista 'ma jkunx diffiċli, iżda jeħtieġ li jsir.
Allura, l-iżbokk tal-ikel reġa' rebooteja. Ma għenitx?
Ejja ngħidu xi ħaġa ħażina fil-hardware. Issa qed infittxu informazzjoni dwar il-garanzija, il-bidu u dettalji oħra ta 'interess.
Nitkellmu dwar WiFi. L-użu tal-verżjoni tad-dar ta 'WPA2-PSK, li għandu ċavetta waħda għall-apparati kollha, mhuwiex rakkomandat f'ambjent korporattiv. L-ewwelnett, ċavetta waħda għal kulħadd hija sempliċement mhux sigura, u t-tieni, meta impjegat wieħed jitlaq, trid tibdel din iċ-ċavetta komuni u terġa 'tagħmel is-settings fuq l-apparati kollha għall-utenti kollha. Biex tevita problemi bħal dawn, hemm WPA2-Enterprise b'awtentikazzjoni individwali għal kull utent. Iżda għal dan għandek bżonn server RADIUS - unità infrastrutturali oħra li trid tiġi kkontrollata, isiru backups, eċċ.
Jekk jogħġbok innota li f'kull stadju, kemm jekk ikun implimentazzjoni jew operazzjoni, użajna sistemi ta 'appoġġ. Dan jinkludi laptop b’konnessjoni tal-Internet ta’ “parti terza”, sistema ta’ monitoraġġ, database ta’ referenza għat-tagħmir, u RADIUS bħala sistema ta’ awtentikazzjoni. Minbarra l-apparati tan-netwerk, għandek iżżomm ukoll servizzi ta 'partijiet terzi.
F'każijiet bħal dawn, tista 'tisma' l-parir: "Agħtih lis-sħaba u tbatix." Żgur li hemm sħaba Zabbix, forsi hemm sħaba RADIUS x'imkien, u anke database sħaba biex tinżamm lista ta 'apparati. L-inkwiet huwa li dan mhux meħtieġ separatament, iżda "fi flixkun wieħed." U xorta, iqumu mistoqsijiet dwar l-organizzazzjoni tal-aċċess, is-setup inizjali tal-apparat, is-sigurtà, u ħafna aktar.
Kif tidher meta tuża Nebula?
Naturalment, inizjalment is-"sħaba" ma taf xejn dwar il-pjanijiet tagħna jew it-tagħmir mixtri.
L-ewwel, jinħoloq profil ta 'organizzazzjoni. Jiġifieri, l-infrastruttura kollha: il-kwartieri ġenerali u l-fergħat hija l-ewwel irreġistrata fil-cloud. Id-dettalji huma speċifikati u jinħolqu kontijiet għad-delega tal-awtorità.
Tista' tirreġistra t-tagħmir tiegħek fis-sħab b'żewġ modi: l-antik - sempliċiment billi ddaħħal in-numru tas-serje meta timla formola tal-web jew billi tiskennja kodiċi QR permezz ta' mowbajl. Kulma għandek bżonn għat-tieni metodu huwa smartphone b'kamera u aċċess għall-Internet, inkluż permezz ta 'fornitur tal-mowbajl.
Naturalment, l-infrastruttura meħtieġa għall-ħażna tal-informazzjoni, kemm il-kontabilità kif ukoll is-settings, hija pprovduta minn Zyxel Nebula.
Figura 1. Rapport tas-sigurtà taċ-Ċentru tal-Kontroll tan-Nebula.
Xi ngħidu dwar it-twaqqif tal-aċċess? Il-ftuħ tal-portijiet, it-trażmissjoni tat-traffiku minn portal li jkun dieħel, dak kollu li l-amministraturi tas-sigurtà jsejħu b'affezzjoni "picking holes"? Fortunatament, m'għandekx bżonn tagħmel dan kollu. L-apparati li jmexxu Nebula jistabbilixxu konnessjoni 'l barra. U l-amministratur jgħaqqad mhux ma 'apparat separat, iżda mal-sħaba għall-konfigurazzjoni. Nebula timmedja bejn żewġ konnessjonijiet: mal-apparat u mal-kompjuter tal-amministratur tan-netwerk. Dan ifisser li l-istadju ta 'sejħa ta' admin deħlin jista 'jiġi minimizzat jew maqbeż għal kollox. U l-ebda "toqob" addizzjonali fil-firewall.
Xi ngħidu dwar is-server RADUIS? Wara kollox, hemm bżonn ta 'xi tip ta' awtentikazzjoni ċentralizzata!
U dawn il-funzjonijiet jittieħdu wkoll minn Nebula. L-awtentikazzjoni tal-kontijiet għall-aċċess għat-tagħmir isseħħ permezz ta' database sigura. Dan jissimplifika bil-kbir id-delega jew l-irtirar tad-drittijiet għall-ġestjoni tas-sistema. Għandna bżonn nittrasferixxu drittijiet - noħolqu utent, jassenjaw rwol. Għandna bżonn inneħħu d-drittijiet - nagħmlu l-passi bil-maqlub.
Separatament, ta 'min isemmi WPA2-Enterprise, li teħtieġ servizz ta' awtentikazzjoni separat. Zyxel Nebula għandu l-analogu tiegħu stess - DPPSK, li jippermettilek tuża WPA2-PSK b'ċavetta individwali għal kull utent.
Mistoqsijiet "inkonvenjenti".
Hawn taħt se nippruvaw nagħtu tweġibiet għall-iktar mistoqsijiet delikati li spiss jiġu mitluba meta nidħlu f'servizz tal-cloud
Huwa verament sigur?
Fi kwalunkwe delegazzjoni ta 'kontroll u ġestjoni biex tiġi żgurata s-sigurtà, żewġ fatturi għandhom rwol importanti: l-anonimizzazzjoni u l-encryption.
L-użu tal-kriptaġġ biex jipproteġi t-traffiku minn għajnejhom hija xi ħaġa li l-qarrejja huma ftit jew wisq familjari magħha.
L-anonimizzazzjoni taħbi informazzjoni dwar is-sid u s-sors mill-persunal tal-fornitur tas-sħab. L-informazzjoni personali titneħħa u r-rekords jiġu assenjati identifikatur "bla wiċċ". La l-iżviluppatur tas-software tas-sħab u lanqas l-amministratur li jżomm is-sistema tas-sħab ma jistgħu jkunu jafu lil sid it-talbiet. “Minfejn ġie dan? Min jista’ jkun interessat f’dan?” – mistoqsijiet bħal dawn se jibqgħu mingħajr tweġiba. In-nuqqas ta 'informazzjoni dwar is-sid u s-sors jagħmel insider ħela ta' ħin inutli.
Jekk inqabblu dan l-approċċ mal-prattika tradizzjonali ta 'esternalizzazzjoni jew kiri ta' amministratur deħlin, huwa ovvju li t-teknoloġiji tal-cloud huma aktar sikuri. Speċjalista tal-IT li jkun deħlin jaf ħafna dwar l-organizzazzjoni tiegħu, u jista’, irid jew le, jikkawża ħsara sinifikanti f’termini ta’ sigurtà. Il-kwistjoni tat-tkeċċija jew it-terminazzjoni tal-kuntratt għad trid tiġi solvuta. Xi drabi, minbarra l-imblukkar jew it-tħassir ta’ kont, dan jinvolvi bidla globali tal-passwords għall-aċċess għas-servizzi, kif ukoll verifika tar-riżorsi kollha għal punti ta’ dħul “minsija” u “bookmarks” possibbli.
Kemm jiswa aktar jew irħas Nebula minn amministratur li jkun deħlin?
Kollox huwa relattiv. Il-karatteristiċi bażiċi ta' Nebula huma disponibbli b'xejn. Fil-fatt, x'jista' jkun saħansitra orħos?
Naturalment, huwa impossibbli li tagħmel kompletament mingħajr amministratur tan-netwerk jew persuna li tissostitwixxih. Il-mistoqsija hija n-numru ta 'nies, l-ispeċjalizzazzjoni tagħhom u d-distribuzzjoni bejn is-siti.
Fir-rigward tas-servizz estiż imħallas, tistaqsi mistoqsija diretta: aktar għaljin jew irħas - approċċ bħal dan dejjem se jkun mhux preċiż u fuq naħa waħda. Ikun aktar korrett li jitqabblu ħafna fatturi, li jvarjaw minn flus għal ħlas għax-xogħol ta 'speċjalisti speċifiċi u jispiċċaw bl-ispejjeż biex tiġi żgurata l-interazzjoni tagħhom ma' kuntrattur jew individwu: kontroll tal-kwalità, tfassil ta 'dokumentazzjoni, żamma tal-livell ta' sigurtà, u hekk fuq.
Jekk qed nitkellmu dwar is-suġġett ta 'jekk huwiex profittabbli jew le li tixtri pakkett imħallas ta' servizzi (Pro-Pack), allura tweġiba approssimattiva tista 'tħoss bħal din: jekk l-organizzazzjoni hija żgħira, tista' tgħaddi bil-bażiku. verżjoni, jekk l-organizzazzjoni qed tikber, allura jagħmel sens li wieħed jaħseb dwar Pro-Pack. Id-differenzi bejn il-verżjonijiet ta 'Zyxel Nebula jistgħu jidhru fit-Tabella 1.
Tabella 1. Differenzi bejn is-settijiet ta' karatteristiċi bażiċi u Pro-Pack għal Nebula.
Dan jinkludi rappurtar avvanzat, verifika tal-utent, klonazzjoni tal-konfigurazzjoni, u ħafna aktar.
Xi ngħidu dwar il-protezzjoni tat-traffiku?
Nebula juża l-protokoll biex jiġi żgurat it-tħaddim sikur tat-tagħmir tan-netwerk.
NETCONF jista’ jaħdem flimkien ma’ diversi protokolli tat-trasport:
- ();
- ();
- ();
- ().
Jekk inqabblu NETCONF ma 'metodi oħra, pereżempju, ġestjoni permezz ta' SNMP, għandu jiġi nnutat li NETCONF jappoġġja konnessjoni TCP ħierġa biex tegħleb l-ostaklu NAT u hija kkunsidrata aktar affidabbli.
Xi ngħidu dwar l-appoġġ tal-ħardwer?
Naturalment, m'għandekx iddawwar il-kamra tas-server f'zoo b'rappreżentanti ta 'tipi ta' tagħmir rari u fil-periklu. Huwa mixtieq ħafna li t-tagħmir magħqud minn teknoloġija ta 'ġestjoni jkopri d-direzzjonijiet kollha: mill-iswiċċ ċentrali għall-punti ta' aċċess. L-inġiniera ta’ Zyxel ħadu ħsieb din il-possibbiltà. Nebula tħaddem ħafna apparati:
- 10G swiċċijiet ċentrali;
- Swiċċijiet tal-livell ta' aċċess;
- Swiċċijiet PoE;
- punti ta' aċċess;
- gateways tan-netwerk.
Billi tuża firxa wiesgħa ta 'apparati appoġġjati, tista' tibni netwerks għal diversi tipi ta 'kompiti. Dan hu veru speċjalment għal kumpaniji li qed jikbru mhux 'il fuq, iżda 'l barra, li kontinwament jesploraw oqsma ġodda biex jagħmlu n-negozju.
Żvilupp kontinwu
L-apparati tan-netwerk b'metodu ta 'ġestjoni tradizzjonali għandhom mod wieħed biss ta' titjib - jibdlu l-apparat innifsu, kemm jekk ikun firmware ġdid jew moduli addizzjonali. Fil-każ ta 'Zyxel Nebula, hemm triq addizzjonali għat-titjib - permezz tat-titjib tal-infrastruttura tal-cloud. Per eżempju, wara li taġġorna Nebula Control Center (NCC) għall-verżjoni 10.1. (21 ta' Settembru, 2020) karatteristiċi ġodda huma disponibbli għall-utenti, hawn xi wħud minnhom:
- Is-sid ta' organizzazzjoni issa jista' jittrasferixxi d-drittijiet kollha ta' sjieda lil amministratur ieħor fl-istess organizzazzjoni;
- rwol ġdid imsejjaħ Rappreżentant tas-Sid, li għandu l-istess drittijiet bħas-sid tal-organizzazzjoni;
- karatteristika ġdida ta 'aġġornament tal-firmware għall-organizzazzjoni kollha (karatteristika Pro-Pack);
- żewġ għażliet ġodda ġew miżjuda mat-topoloġija: rebooting tal-apparat u tixgħel u titfi l-enerġija tal-port PoE (funzjoni Pro-Pack);
- appoġġ għal mudelli ġodda ta 'punti ta' aċċess: WAC500, WAC500H, WAC5302D-Sv2 u NWA1123ACv3;
- appoġġ għall-awtentikazzjoni tal-vawċers bl-istampar tal-kodiċi QR (funzjoni Pro-Pack).
Links utli
Sors: www.habr.com