Bygge en nettverksinfrastruktur basert på Nebula. Del 1 - problemer og løsninger

Artikkelen vil diskutere problemene med å organisere nettverksinfrastruktur på tradisjonell måte og metoder for å løse de samme problemene ved hjelp av skyteknologier.

For referanse. Nebula er et SaaS-skymiljø for eksternt vedlikehold av nettverksinfrastruktur. Alle Nebula-aktiverte enheter administreres fra skyen via en sikker tilkobling. Du kan administrere en stor distribuert nettverksinfrastruktur fra ett enkelt senter uten å bruke krefter på å lage den.

Hvorfor trenger du en annen skytjeneste?

Hovedproblemet når du jobber med nettverksinfrastruktur er ikke å designe nettverket og kjøpe utstyr, eller til og med installere det i et rack, men alt annet som må gjøres med dette nettverket i fremtiden.

Nytt nettverk - gamle bekymringer

Når du setter en ny nettverksnode i drift etter installasjon og tilkobling av utstyret, begynner den første konfigurasjonen. Fra synspunktet til de "store sjefene" - ikke noe komplisert: "Vi tar arbeidsdokumentasjonen for prosjektet og begynner å sette opp..." Dette er så godt sagt når alle nettverkselementene er plassert i ett datasenter. Hvis de er spredt over grener, begynner hodepinen med å gi ekstern tilgang. Det er en så ond sirkel: for å få ekstern tilgang over nettverket, må du konfigurere nettverksutstyr, og for dette trenger du tilgang over nettverket ...

Vi må komme med ulike ordninger for å komme oss ut av blindveien beskrevet ovenfor. For eksempel kobles en bærbar PC med Internett-tilgang via et USB 4G-modem via en patchkabel til et tilpasset nettverk. En VPN-klient er installert på denne bærbare datamaskinen, og gjennom den prøver nettverksadministratoren fra hovedkvarteret å få tilgang til filialnettet. Ordningen er ikke den mest gjennomsiktige – selv om du tar med en bærbar PC med forhåndskonfigurert VPN til en ekstern side og ber om å slå den på, er det langt fra et faktum at alt vil fungere første gang. Spesielt hvis vi snakker om en annen region med en annen leverandør.

Det viser seg at den mest pålitelige måten er å ha en god spesialist "på den andre enden av linjen" som kan konfigurere sin del i henhold til prosjektet. Hvis det ikke er noe slikt i avdelingspersonalet, gjenstår alternativene: enten outsourcing eller forretningsreiser.

Vi trenger også et overvåkingssystem. Den må installeres, konfigureres, vedlikeholdes (i det minste overvåke diskplass og ta regelmessige sikkerhetskopier). Og som ikke vet noe om enhetene våre før vi forteller det. For å gjøre dette må du registrere innstillinger for alt utstyr og regelmessig overvåke relevansen til postene.

Det er flott når personalet har sitt eget "enmannsorkester", som, i tillegg til den spesifikke kunnskapen til en nettverksadministrator, vet hvordan man jobber med Zabbix eller et annet lignende system. Ellers ansetter vi en annen person i staben eller setter den ut.

Note. De tristeste feilene begynner med ordene: "Hva er det for å konfigurere denne Zabbix (Nagios, OpenView, etc.)? Jeg henter den raskt og den er klar!"

Fra implementering til drift

La oss se på et spesifikt eksempel.

En alarmmelding ble mottatt som indikerer at et WiFi-tilgangspunkt et sted ikke svarer.

Hvor er hun?

Selvfølgelig har en god nettverksadministrator sin egen personlige katalog der alt er skrevet ned. Spørsmålene begynner når denne informasjonen må deles. For eksempel må du raskt sende en messenger for å ordne opp på stedet, og for dette må du utstede noe sånt som: "Tilgangspunkt i forretningssenteret på Stroiteley Street, bygning 1, i 3. etasje, rom nr. 301 ved siden av inngangsdøren under taket."

La oss si at vi er heldige og at tilgangspunktet drives via PoE, og bryteren lar den startes på nytt eksternt. Du trenger ikke reise, men du trenger ekstern tilgang til bryteren. Alt som gjenstår er å konfigurere portvideresending via PAT på ruteren, finne ut VLAN for tilkobling utenfra, og så videre. Det er bra om alt er satt opp på forhånd. Arbeidet er kanskje ikke vanskelig, men det må gjøres.

Så matutsalget ble startet på nytt. hjalp det ikke?

La oss si at noe er galt i maskinvaren. Nå ser vi etter informasjon om garanti, oppstart og andre detaljer av interesse.

Apropos WiFi. Bruk av hjemmeversjonen av WPA2-PSK, som har én nøkkel for alle enheter, anbefales ikke i et bedriftsmiljø. For det første er én nøkkel for alle rett og slett utrygg, og for det andre, når én ansatt slutter, må du endre denne fellesnøkkelen og gjøre innstillingene på nytt på alle enheter for alle brukere. For å unngå slike problemer er det WPA2-Enterprise med individuell autentisering for hver bruker. Men for dette trenger du en RADIUS-server – en annen infrastrukturenhet som må kontrolleres, sikkerhetskopieres og så videre.

Vær oppmerksom på at vi brukte støttesystemer på alle trinn, enten det er implementering eller drift. Dette inkluderer en bærbar datamaskin med en "tredjeparts" Internett-tilkobling, et overvåkingssystem, en utstyrsreferansedatabase og RADIUS som et autentiseringssystem. I tillegg til nettverksenheter, må du også vedlikeholde tredjepartstjenester.

I slike tilfeller kan du høre rådet: "Gi det til skyen og ikke lid." Det er sikkert en sky Zabbix, kanskje det er en sky RADIUS et sted, og til og med en skydatabase for å opprettholde en liste over enheter. Problemet er at dette ikke er nødvendig separat, men "i en flaske." Og fortsatt dukker det opp spørsmål om organisering av tilgang, innledende enhetsoppsett, sikkerhet og mye mer.

Hvordan ser det ut når du bruker Nebula?

I utgangspunktet vet selvfølgelig ikke "skyen" noe om planene våre eller det kjøpte utstyret.

Først opprettes en organisasjonsprofil. Det vil si at hele infrastrukturen: hovedkvarter og filialer blir først registrert i skyen. Detaljer spesifiseres og kontoer opprettes for delegering av myndighet.

Du kan registrere enhetene dine i skyen på to måter: på den gamle måten – ganske enkelt ved å taste inn serienummeret når du fyller ut et nettskjema eller ved å skanne en QR-kode ved hjelp av en mobiltelefon. Alt du trenger for den andre metoden er en smarttelefon med kamera og Internett-tilgang, inkludert gjennom en mobilleverandør.

Den nødvendige infrastrukturen for lagring av informasjon, både regnskap og innstillinger, leveres selvfølgelig av Zyxel Nebula.

Figur 1. Sikkerhetsrapport for Nebula Control Center.

Hva med å sette opp tilgang? Åpne porter, videresende trafikk gjennom en innkommende gateway, alt det sikkerhetsadministratorer kjærlig kaller "plukke hull"? Heldigvis trenger du ikke gjøre alt dette. Enheter som kjører Nebula oppretter en utgående tilkobling. Og administratoren kobler ikke til en separat enhet, men til skyen for konfigurasjon. Nebula medierer mellom to tilkoblinger: til enheten og til nettverksadministratorens datamaskin. Dette betyr at stadiet for å ringe en innkommende administrator kan minimeres eller hoppes over helt. Og ingen ekstra "hull" i brannmuren.

Hva med RADUIS-serveren? Tross alt trengs en slags sentralisert autentisering!

Og disse funksjonene er også overtatt av Nebula. Autentisering av kontoer for tilgang til utstyr skjer gjennom en sikker database. Dette forenkler i stor grad delegering eller tilbaketrekking av rettigheter til å administrere systemet. Vi må overføre rettigheter - opprette en bruker, tildele en rolle. Vi må ta fra oss rettighetene – vi utfører de omvendte trinnene.

Separat er det verdt å nevne WPA2-Enterprise, som krever en egen autentiseringstjeneste. Zyxel Nebula har sin egen analog - DPPSK, som lar deg bruke WPA2-PSK med en individuell nøkkel for hver bruker.

"Upraktiske" spørsmål

Nedenfor skal vi prøve å gi svar på de mest vanskelige spørsmålene som ofte stilles når du går inn i en skytjeneste

Er det virkelig trygt?

I enhver delegering av kontroll og administrasjon for å sikre sikkerhet, spiller to faktorer en viktig rolle: anonymisering og kryptering.

Å bruke kryptering for å beskytte trafikken mot nysgjerrige øyne er noe leserne er mer eller mindre kjent med.

Anonymisering skjuler informasjon om eieren og kilden fra skyleverandørens personell. Personlig informasjon fjernes og arkivene tildeles en "ansiktsløs" identifikator. Verken skyprogramvareutvikleren eller administratoren som vedlikeholder skysystemet kan kjenne eieren av forespørslene. "Hvor kom dette fra? Hvem kan være interessert i dette?» - slike spørsmål vil forbli ubesvart. Mangelen på informasjon om eieren og kilden gjør insider til et meningsløst sløsing med tid.

Hvis vi sammenligner denne tilnærmingen med den tradisjonelle praksisen med å outsource eller ansette en innkommende administrator, er det åpenbart at skyteknologier er tryggere. En innkommende IT-spesialist vet ganske mye om sin organisasjon, og kan, med vilje, forårsake betydelig skade når det gjelder sikkerhet. Spørsmålet om oppsigelse eller oppsigelse av kontrakten må fortsatt løses. Noen ganger, i tillegg til å blokkere eller slette en konto, innebærer dette en global endring av passord for tilgang til tjenester, samt en revisjon av alle ressurser for "glemte" inngangspunkter og mulige "bokmerker".

Hvor mye dyrere eller billigere er Nebula enn en innkommende admin?

Alt er relativt. Nebulas grunnleggende funksjoner er tilgjengelige gratis. Egentlig, hva kan være enda billigere?

Selvfølgelig er det umulig å gjøre det helt uten en nettverksadministrator eller en person som erstatter ham. Spørsmålet er antall personer, deres spesialisering og fordeling på tvers av nettsteder.

Når det gjelder den betalte utvidede tjenesten, å stille et direkte spørsmål: dyrere eller billigere - en slik tilnærming vil alltid være unøyaktig og ensidig. Det ville være mer riktig å sammenligne mange faktorer, alt fra penger til å betale for arbeidet til spesifikke spesialister og slutter med kostnadene for å sikre deres samhandling med en entreprenør eller enkeltperson: kvalitetskontroll, utarbeide dokumentasjon, opprettholde sikkerhetsnivået, og så videre.

Hvis vi snakker om temaet om det er lønnsomt eller ikke lønnsomt å kjøpe en betalt pakke med tjenester (Pro-Pack), kan et omtrentlig svar høres slik ut: hvis organisasjonen er liten, kan du klare deg med det grunnleggende versjon, hvis organisasjonen vokser, er det fornuftig å tenke på Pro-Pack. Forskjellene mellom versjoner av Zyxel Nebula kan sees i tabell 1.

Tabell 1. Forskjeller mellom basis- og Pro-Pack-funksjonssettene for Nebula.

Dette inkluderer avansert rapportering, brukerrevisjon, konfigurasjonskloning og mye mer.

Hva med trafikksikring?

Nebula bruker protokollen NETCONF for å sikre sikker drift av nettverksutstyr.

NETCONF kan kjøre på toppen av flere transportprotokoller:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• BEEP (RFC 4744);
• TLS (RFC 5539).

Hvis vi sammenligner NETCONF med andre metoder, for eksempel administrasjon via SNMP, bør det bemerkes at NETCONF støtter utgående TCP-tilkobling for å overvinne NAT-barrieren og anses som mer pålitelig.

Hva med maskinvarestøtte?

Selvfølgelig bør du ikke gjøre serverrommet om til en dyrehage med representanter for sjeldne og truede typer utstyr. Det er svært ønskelig at utstyr forent med styringsteknologi dekker alle retninger: fra den sentrale bryteren til tilgangspunkter. Zyxel-ingeniører tok seg av denne muligheten. Nebula kjører mange enheter:

• 10G sentrale brytere;
• tilgangsnivå brytere;
• PoE brytere;
• tilgangspunkter;
• nettverksporter.

Ved å bruke et bredt spekter av støttede enheter kan du bygge nettverk for ulike typer oppgaver. Dette gjelder spesielt for selskaper som ikke vokser oppover, men utover, og som stadig utforsker nye områder for å gjøre forretninger.

Kontinuerlig utvikling

Nettverksenheter med en tradisjonell administrasjonsmetode har bare én måte å forbedre seg på - å endre selve enheten, enten det er ny fastvare eller tilleggsmoduler. Når det gjelder Zyxel Nebula, er det en ekstra vei for forbedring - gjennom å forbedre skyinfrastrukturen. For eksempel etter oppdatering av Nebula Control Center (NCC) til versjon 10.1. (21. september 2020) nye funksjoner er tilgjengelige for brukere, her er noen av dem:

• Eieren av en organisasjon kan nå overføre alle eierskapsrettigheter til en annen administrator i samme organisasjon;
• en ny rolle kalt Eierrepresentant, som har samme rettigheter som organisasjonseieren;
• ny organisasjonsomfattende fastvareoppdateringsfunksjon (Pro-Pack-funksjon);
• to nye alternativer er lagt til topologien: omstart av enheten og slå PoE-porten på og av (Pro-Pack-funksjon);
• støtte for nye tilgangspunktmodeller: WAC500, WAC500H, WAC5302D-Sv2 og NWA1123ACv3;
• støtte for voucher-autentisering med QR-kodeutskrift (Pro-Pack-funksjon).

Nyttige lenker

1. Telegram chat Zyxel
2. Zyxel utstyrsforum
3. Mange nyttige videoer på Youtube-kanalen
4. Zyxel Nebula - enkel administrasjon som grunnlag for besparelser
5. Forskjellen mellom Zyxel Nebula-versjoner
6. Zyxel Nebula og bedriftsvekst
7. Zyxel Nebula supernova-sky - en kostnadseffektiv vei til sikkerhet?
8. Zyxel Nebula – Alternativer for bedriften din

Kilde: www.habr.com