Het artikel bespreekt de problemen van het op de traditionele manier organiseren van de netwerkinfrastructuur en methoden voor het oplossen van dezelfde problemen met behulp van cloudtechnologieën.
Ter referentie. Nebula is een SaaS-cloudomgeving voor het op afstand onderhouden van de netwerkinfrastructuur. Alle Nebula-apparaten worden beheerd vanuit de cloud via een beveiligde verbinding. U kunt een grote gedistribueerde netwerkinfrastructuur beheren vanuit één enkel centrum, zonder dat u de moeite hoeft te doen om deze te creëren.
Waarom heb je nog een clouddienst nodig?
Het grootste probleem bij het werken met netwerkinfrastructuur is niet het ontwerpen van het netwerk en het aanschaffen van apparatuur, of zelfs het installeren ervan in een rack, maar al het andere dat in de toekomst met dit netwerk zal moeten gebeuren.
Nieuw netwerk - oude zorgen
Bij het in gebruik nemen van een nieuw netwerkknooppunt na het installeren en aansluiten van de apparatuur, begint de initiële configuratie. Vanuit het standpunt van de “grote bazen” - niets ingewikkelds: “We nemen de werkdocumentatie voor het project en beginnen met het opzetten...” Dit is zo goed gezegd als alle netwerkelementen zich in één datacenter bevinden. Als ze verspreid zijn over vestigingen, begint de hoofdpijn van het bieden van externe toegang. Het is zo'n vicieuze cirkel: om externe toegang via het netwerk te krijgen, moet je netwerkapparatuur configureren, en daarvoor heb je toegang via het netwerk nodig...
We moeten verschillende plannen bedenken om uit de hierboven beschreven impasse te komen. Een laptop met internettoegang via een USB 4G-modem wordt bijvoorbeeld via een patchkabel aangesloten op een aangepast netwerk. Op deze laptop is een VPN-client geïnstalleerd, waarmee de netwerkbeheerder van het hoofdkantoor toegang probeert te krijgen tot het vestigingsnetwerk. Het schema is niet het meest transparant - zelfs als je een laptop met een vooraf geconfigureerde VPN naar een externe locatie brengt en vraagt om deze in te schakelen, is het verre van een feit dat alles de eerste keer zal werken. Zeker als we het hebben over een andere regio met een andere aanbieder.
Het blijkt dat de meest betrouwbare manier is om een goede specialist “aan de andere kant van de lijn” te hebben die zijn onderdeel kan configureren volgens het project. Als zoiets niet aanwezig is in het filiaalpersoneel, blijven de opties bestaan: uitbesteden of zakenreizen.
We hebben ook een monitoringsysteem nodig. Het moet worden geïnstalleerd, geconfigureerd en onderhouden (tenminste de schijfruimte controleren en regelmatig back-ups maken). En die niets over onze apparaten weet totdat we het vertellen. Om dit te doen, moet u instellingen voor alle apparaten registreren en regelmatig de relevantie van de records controleren.
Het is fijn als het personeel een eigen ‘eenmansorkest’ heeft, dat naast de specifieke kennis van een netwerkbeheerder ook weet te werken met Zabbix of een ander soortgelijk systeem. Anders nemen we een andere persoon in dienst of besteden we het uit.
Opmerking. De treurigste fouten beginnen met de woorden: “Wat is er om deze Zabbix te configureren (Nagios, OpenView, etc.)? Ik haal het snel op en het is klaar!”
Van implementatie tot exploitatie
Laten we een specifiek voorbeeld bekijken.
Er is een alarmmelding ontvangen die aangeeft dat een WiFi-toegangspunt ergens niet reageert.
Waar is het?
Natuurlijk heeft een goede netwerkbeheerder zijn eigen persoonlijke directory waarin alles wordt opgeschreven. De vragen beginnen wanneer deze informatie moet worden gedeeld. U moet bijvoorbeeld dringend een boodschapper sturen om de zaken ter plekke te regelen, en hiervoor moet u zoiets uitgeven als: "Toegangspunt in het zakencentrum aan Stroiteley Street, gebouw 1, op de 3e verdieping, kamer nr. 301 naast de voordeur onder plafond."
Laten we zeggen dat we geluk hebben en dat het toegangspunt wordt gevoed via PoE, en dat de switch het op afstand opnieuw kan opstarten. U hoeft niet te reizen, maar u heeft wel externe toegang tot de switch nodig. Het enige dat overblijft is het configureren van port forwarding via PAT op de router, het uitzoeken van het VLAN voor verbinding van buitenaf, enzovoort. Het is goed als alles van tevoren is geregeld. Het werk is misschien niet moeilijk, maar het moet gedaan worden.
Dus de voedselwinkel werd opnieuw opgestart. Heeft niet geholpen?
Laten we zeggen dat er iets mis is in de hardware. Nu zijn we op zoek naar informatie over de garantie, het opstarten en andere interessante details.
Over WiFi gesproken. Het gebruik van de thuisversie van WPA2-PSK, die één sleutel heeft voor alle apparaten, wordt niet aanbevolen in een zakelijke omgeving. Ten eerste is één sleutel voor iedereen simpelweg onveilig, en ten tweede moet je, wanneer één medewerker vertrekt, deze gemeenschappelijke sleutel wijzigen en de instellingen op alle apparaten voor alle gebruikers opnieuw uitvoeren. Om dergelijke problemen te voorkomen, is er WPA2-Enterprise met individuele authenticatie voor elke gebruiker. Maar hiervoor heb je een RADIUS-server nodig: een andere infrastructuureenheid die moet worden beheerd, back-ups moeten worden gemaakt, enzovoort.
Houd er rekening mee dat we in elke fase, of het nu om de implementatie of de exploitatie ging, gebruik maakten van ondersteunende systemen. Dit omvat een laptop met een internetverbinding van een derde partij, een monitoringsysteem, een database met apparatuurreferenties en RADIUS als authenticatiesysteem. Naast netwerkapparaten moet u ook diensten van derden onderhouden.
In dergelijke gevallen kun je het advies horen: “Geef het aan de cloud en lijd niet.” Er is vast wel een cloud Zabbix, misschien is er ergens een cloud RADIUS, en zelfs een clouddatabase om een lijst met apparaten bij te houden. Het probleem is dat dit niet afzonderlijk nodig is, maar ‘in één fles’. En toch rijzen er vragen over het organiseren van toegang, de initiële installatie van apparaten, beveiliging en nog veel meer.
Hoe ziet het eruit als je Nebula gebruikt?
Natuurlijk weet de ‘cloud’ aanvankelijk niets van onze plannen of de aangeschafte apparatuur.
Eerst wordt een organisatieprofiel aangemaakt. Dat wil zeggen: de gehele infrastructuur: hoofdkantoor en vestigingen worden eerst in de cloud geregistreerd. Details worden gespecificeerd en accounts worden aangemaakt voor het delegeren van bevoegdheden.
U kunt uw apparaten op twee manieren in de cloud registreren: op de ouderwetse manier - simpelweg door het serienummer in te voeren bij het invullen van een webformulier of door een QR-code te scannen met een mobiele telefoon. Voor de tweede methode heb je alleen een smartphone met camera en internettoegang nodig, ook via een mobiele provider.
Uiteraard wordt de benodigde infrastructuur voor het opslaan van informatie, zowel boekhouding als instellingen, geleverd door Zyxel Nebula.
Figuur 1. Beveiligingsrapport van het Nebula Control Center.
Hoe zit het met het instellen van toegang? Poorten openen, verkeer doorsturen via een inkomende gateway, dat alles wat beveiligingsbeheerders liefkozend 'picking holes' noemen? Gelukkig hoef je dit allemaal niet te doen. Apparaten waarop Nebula draait, brengen een uitgaande verbinding tot stand. En de beheerder maakt voor configuratie geen verbinding met een apart apparaat, maar met de cloud. Nebula bemiddelt tussen twee verbindingen: naar het apparaat en naar de computer van de netwerkbeheerder. Dit betekent dat de fase van het bellen van een inkomende beheerder kan worden geminimaliseerd of helemaal kan worden overgeslagen. En geen extra “gaten” in de firewall.
Hoe zit het met de RADUIS-server? Er is immers een vorm van gecentraliseerde authenticatie nodig!
En ook deze functies worden overgenomen door Nebula. Authenticatie van accounts voor toegang tot apparatuur vindt plaats via een beveiligde database. Dit vereenvoudigt de delegatie of intrekking van rechten om het systeem te beheren aanzienlijk. We moeten rechten overdragen - een gebruiker aanmaken, een rol toewijzen. We moeten de rechten wegnemen – we voeren de omgekeerde stappen uit.
Afzonderlijk is het de moeite waard om WPA2-Enterprise te vermelden, waarvoor een afzonderlijke authenticatieservice vereist is. Zyxel Nebula heeft zijn eigen analoog - DPPSK, waarmee u WPA2-PSK kunt gebruiken met een individuele sleutel voor elke gebruiker.
"Onhandige" vragen
Hieronder proberen we antwoorden te geven op de meest lastige vragen die vaak gesteld worden bij het betreden van een clouddienst
Is het echt veilig?
Bij elke delegatie van controle en beheer om de veiligheid te garanderen, spelen twee factoren een belangrijke rol: anonimisering en encryptie.
Het gebruik van encryptie om verkeer te beschermen tegen nieuwsgierige blikken is iets waar lezers min of meer bekend mee zijn.
Anonimisering verbergt informatie over de eigenaar en bron voor het personeel van de cloudprovider. Persoonlijke informatie wordt verwijderd en records krijgen een ‘gezichtsloze’ identificatie toegewezen. Noch de cloudsoftwareontwikkelaar, noch de beheerder die het cloudsysteem onderhoudt, kan de eigenaar van de verzoeken kennen. "Waar komt dit vandaan? Wie zou hierin geïnteresseerd kunnen zijn?” - dergelijke vragen zullen onbeantwoord blijven. Het gebrek aan informatie over de eigenaar en bron maakt insider tot een zinloze tijdverspilling.
Als we deze aanpak vergelijken met de traditionele praktijk van het uitbesteden of inhuren van een inkomende beheerder, is het duidelijk dat cloudtechnologieën veiliger zijn. Een aankomende IT-specialist weet heel veel over zijn organisatie en kan, willens en wetens, flinke schade aanrichten op het gebied van de beveiliging. De kwestie van ontslag of beëindiging van het contract moet nog worden opgelost. Soms brengt dit, naast het blokkeren of verwijderen van een account, een wereldwijde verandering van wachtwoorden voor toegang tot diensten met zich mee, evenals een audit van alle bronnen op ‘vergeten’ toegangspunten en mogelijke ‘bladwijzers’.
Hoeveel duurder of goedkoper is Nebula dan een inkomende beheerder?
Alles is relatief. De basisfuncties van Nebula zijn gratis beschikbaar. Wat kan eigenlijk nog goedkoper?
Het is natuurlijk onmogelijk om volledig te doen zonder een netwerkbeheerder of een persoon die hem vervangt. De vraag is het aantal mensen, hun specialisatie en de verdeling over de locaties.
Wat betreft de betaalde uitgebreide service, een directe vraag stellen: duurder of goedkoper - een dergelijke benadering zal altijd onnauwkeurig en eenzijdig zijn. Het zou juister zijn om veel factoren met elkaar te vergelijken, variërend van geld tot de betaling voor het werk van specifieke specialisten en eindigend met de kosten voor het verzekeren van hun interactie met een aannemer of individu: kwaliteitscontrole, het opstellen van documentatie, het handhaven van het beveiligingsniveau, en spoedig.
Als we het hebben over het onderwerp of het winstgevend of niet winstgevend is om een betaald dienstenpakket (Pro-Pack) aan te schaffen, dan zou een benaderend antwoord als volgt kunnen klinken: als de organisatie klein is, kun je rondkomen met de basis versie, als de organisatie groeit, dan is het zinvol om aan Pro-Pack te denken. De verschillen tussen versies van Zyxel Nebula zijn te zien in Tabel 1.
Tabel 1. Verschillen tussen de basis- en Pro-Pack-functiesets voor Nebula.
Dit omvat geavanceerde rapportage, gebruikersaudit, configuratieklonen en nog veel meer.
Hoe zit het met de verkeersveiligheid?
Nebula gebruikt het protocol om een veilige werking van netwerkapparatuur te garanderen.
NETCONF kan bovenop verschillende transportprotocollen draaien:
- ();
- ();
- ();
- ().
Als we NETCONF vergelijken met andere methoden, bijvoorbeeld beheer via SNMP, moet dat worden opgemerkt NETCONF ondersteunt uitgaande TCP-verbindingen om de NAT-barrière te overwinnen en wordt als betrouwbaarder beschouwd.
Hoe zit het met hardwareondersteuning?
Natuurlijk mag je van de serverruimte geen dierentuin maken met vertegenwoordigers van zeldzame en bedreigde soorten apparatuur. Het is zeer wenselijk dat apparatuur verenigd door managementtechnologie alle richtingen bestrijkt: van de centrale switch tot toegangspunten. De ingenieurs van Zyxel zorgden voor deze mogelijkheid. Nebula bestuurt veel apparaten:
- 10G centrale schakelaars;
- schakelaars op toegangsniveau;
- schakelaars met PoE;
- toegangspunten;
- netwerkgateways.
Met behulp van een breed scala aan ondersteunde apparaten kunt u netwerken bouwen voor verschillende soorten taken. Dit geldt vooral voor bedrijven die niet naar boven maar naar buiten groeien en voortdurend nieuwe gebieden verkennen om zaken te doen.
Continue ontwikkeling
Netwerkapparaten met een traditionele beheermethode hebben maar één manier om te verbeteren: het apparaat zelf veranderen, of het nu gaat om nieuwe firmware of extra modules. In het geval van Zyxel Nebula is er een extra pad voor verbetering: door het verbeteren van de cloudinfrastructuur. Bijvoorbeeld na het updaten van Nebula Control Center (NCC) naar versie 10.1. (21 september 2020) Er zijn nieuwe functies beschikbaar voor gebruikers, hier zijn er enkele:
- De eigenaar van een organisatie kan nu alle eigendomsrechten overdragen aan een andere beheerder in dezelfde organisatie;
- een nieuwe rol genaamd Eigenaarvertegenwoordiger, die dezelfde rechten heeft als de eigenaar van de organisatie;
- nieuwe firmware-updatefunctie voor de hele organisatie (Pro-Pack-functie);
- er zijn twee nieuwe opties aan de topologie toegevoegd: het apparaat opnieuw opstarten en de PoE-poort in- en uitschakelen (Pro-Pack-functie);
- ondersteuning voor nieuwe access point-modellen: WAC500, WAC500H, WAC5302D-Sv2 en NWA1123ACv3;
- ondersteuning voor voucherauthenticatie met afdrukken van QR-codes (Pro-Pack-functie).
Nuttige links
Bron: www.habr.com