Construirea unei infrastructuri de rețea bazată pe Nebula. Partea 1 - probleme și soluții

Articolul va discuta problemele de organizare a infrastructurii de rețea în mod tradițional și metode de rezolvare a acelorași probleme folosind tehnologiile cloud.

Pentru referință. Nebula este un mediu cloud SaaS pentru întreținerea de la distanță a infrastructurii de rețea. Toate dispozitivele compatibile cu Nebula sunt gestionate din cloud printr-o conexiune securizată. Puteți gestiona o infrastructură mare de rețea distribuită dintr-un singur centru fără a cheltui efortul de a o crea.

De ce aveți nevoie de un alt serviciu cloud?

Principala problemă atunci când lucrați cu infrastructura de rețea nu este proiectarea rețelei și achiziționarea de echipamente sau chiar instalarea acesteia într-un rack, ci tot ce va trebui făcut cu această rețea în viitor.

Rețea nouă - griji vechi

La punerea în funcțiune a unui nou nod de rețea după instalarea și conectarea echipamentului, începe configurația inițială. Din punctul de vedere al „marilor șefi” - nimic complicat: „Luăm documentația de lucru pentru proiect și începem configurarea...” Acest lucru este atât de bine spus când toate elementele de rețea sunt situate într-un singur centru de date. Dacă sunt împrăștiate în ramuri, începe durerea de cap de a oferi acces la distanță. Este un cerc atât de vicios: pentru a obține acces la distanță prin rețea, trebuie să configurați echipamentele de rețea și pentru aceasta aveți nevoie de acces prin rețea...

Trebuie să venim cu diverse scheme pentru a ieși din impasul descris mai sus. De exemplu, un laptop cu acces la Internet printr-un modem USB 4G este conectat printr-un cablu de corecție la o rețea personalizată. Pe acest laptop este instalat un client VPN, iar prin acesta administratorul de rețea de la sediu încearcă să obțină acces la rețeaua de filiale. Schema nu este cea mai transparentă - chiar dacă aduceți un laptop cu un VPN preconfigurat pe un site la distanță și cereți să îl porniți, este departe de a fi un fapt că totul va funcționa prima dată. Mai ales dacă vorbim despre o regiune diferită cu alt furnizor.

Se pare că cea mai fiabilă modalitate este să ai un bun specialist „la celălalt capăt al liniei” care să-și configureze partea în funcție de proiect. Dacă nu există așa ceva în personalul sucursalei, opțiunile rămân: fie externalizare, fie călătorii de afaceri.

Avem nevoie și de un sistem de monitorizare. Trebuie instalat, configurat, întreținut (cel puțin monitorizați spațiul pe disc și faceți copii de rezervă regulate). Și care nu știe nimic despre dispozitivele noastre până nu o spunem. Pentru a face acest lucru, trebuie să înregistrați setările pentru toate echipamentele și să monitorizați în mod regulat relevanța înregistrărilor.

Este grozav când personalul are propria „orchestră de un singur om”, care, pe lângă cunoștințele specifice ale unui administrator de rețea, știe să lucreze cu Zabbix sau alt sistem similar. În caz contrar, angajăm o altă persoană din personal sau o externalizăm.

Notă. Cele mai triste greșeli încep cu cuvintele: „Ce este acolo pentru a configura acest Zabbix (Nagios, OpenView etc.)? O voi ridica repede și este gata!”

De la implementare la exploatare

Să luăm în considerare un exemplu concret.

A fost primit un mesaj de alarmă care indică faptul că un punct de acces WiFi de undeva nu răspunde.

Unde este?

Desigur, un administrator de rețea bun are propriul director personal în care totul este notat. Întrebările încep atunci când aceste informații trebuie împărtășite. De exemplu, trebuie să trimiteți urgent un mesager pentru a rezolva lucrurile la fața locului, iar pentru aceasta trebuie să emiteți ceva de genul: „Punctul de acces în centrul de afaceri de pe strada Stroiteley, clădirea 1, la etajul 3, camera nr. 301 lângă ușa din față sub tavan.”

Să presupunem că suntem norocoși și că punctul de acces este alimentat prin PoE, iar comutatorul îi permite să fie repornit de la distanță. Nu trebuie să călătoriți, dar aveți nevoie de acces de la distanță la comutator. Tot ce rămâne este să configurați redirecționarea portului prin PAT pe router, să descoperiți VLAN-ul pentru conectarea din exterior și așa mai departe. Este bine dacă totul este configurat în avans. Munca poate să nu fie dificilă, dar trebuie făcută.

Așadar, magazinul de alimente a fost repornit. Nu a ajutat?

Să spunem că ceva nu este în regulă în hardware. Acum căutăm informații despre garanție, pornire și alte detalii de interes.

Apropo de WiFi. Utilizarea versiunii de acasă a WPA2-PSK, care are o singură cheie pentru toate dispozitivele, nu este recomandată într-un mediu corporativ. În primul rând, o cheie pentru toată lumea este pur și simplu nesigură și, în al doilea rând, când un angajat pleacă, trebuie să modificați această cheie comună și să refaceți setările pe toate dispozitivele pentru toți utilizatorii. Pentru a evita astfel de probleme, există WPA2-Enterprise cu autentificare individuală pentru fiecare utilizator. Dar pentru asta ai nevoie de un server RADIUS - o altă unitate de infrastructură care trebuie monitorizată, făcute copii de rezervă și așa mai departe.

Vă rugăm să rețineți că în fiecare etapă, fie că este vorba de implementare sau operare, am folosit sisteme de suport. Aceasta include un laptop cu o conexiune la internet „terță parte”, un sistem de monitorizare, o bază de date de referință pentru echipamente și RADIUS ca sistem de autentificare. Pe lângă dispozitivele de rețea, trebuie să întrețineți și servicii terțe.

În astfel de cazuri, puteți auzi sfatul: „Dă-l norului și nu suferi”. Cu siguranță există un cloud Zabbix, poate există un cloud RADIUS undeva și chiar o bază de date cloud pentru a menține o listă de dispozitive. Problema este că acest lucru nu este necesar separat, ci „într-o sticlă”. Și totuși, apar întrebări despre organizarea accesului, configurarea inițială a dispozitivului, securitate și multe altele.

Cum arată când folosești Nebula?

Desigur, inițial „norul” nu știe nimic despre planurile noastre sau despre echipamentele achiziționate.

În primul rând, este creat un profil de organizație. Adică întreaga infrastructură: sediile și sucursalele sunt înregistrate mai întâi în cloud. Sunt specificate detalii și sunt create conturi pentru delegarea de autoritate.

Vă puteți înregistra dispozitivele în cloud în două moduri: modul vechi - pur și simplu introducând numărul de serie atunci când completați un formular web sau scanând un cod QR folosind un telefon mobil. Tot ce aveți nevoie pentru a doua metodă este un smartphone cu cameră și acces la internet, inclusiv prin intermediul unui furnizor de telefonie mobilă.

Desigur, infrastructura necesară pentru stocarea informațiilor, atât de contabilitate, cât și de setări, este asigurată de Zyxel Nebula.

Figura 1. Raport de securitate Nebula Control Center.

Dar setarea accesului? Deschiderea de porturi, redirecționarea traficului printr-un gateway de intrare, tot ceea ce administratorii de securitate le numesc cu afecțiune „culegând găuri”? Din fericire, nu trebuie să faci toate acestea. Dispozitivele care rulează Nebula stabilesc o conexiune de ieșire. Și administratorul se conectează nu la un dispozitiv separat, ci la cloud pentru configurare. Nebula mediază între două conexiuni: la dispozitiv și la computerul administratorului de rețea. Aceasta înseamnă că etapa de apelare a unui administrator care intră poate fi redusă la minimum sau sărită cu totul. Și fără „găuri” suplimentare în firewall.

Dar serverul RADUIS? La urma urmei, este nevoie de un fel de autentificare centralizată!

Și aceste funcții sunt preluate și de Nebula. Autentificarea conturilor pentru accesul la echipamente are loc printr-o bază de date securizată. Acest lucru simplifică foarte mult delegarea sau retragerea drepturilor de gestionare a sistemului. Trebuie să transferăm drepturi - să creăm un utilizator, să atribuim un rol. Trebuie să luăm drepturile - facem pașii inversi.

Separat, merită menționat WPA2-Enterprise, care necesită un serviciu de autentificare separat. Zyxel Nebula are propriul său analog - DPPSK, care vă permite să utilizați WPA2-PSK cu o cheie individuală pentru fiecare utilizator.

Întrebări „inconveniente”.

Mai jos vom încerca să dăm răspunsuri la cele mai dificile întrebări care sunt adesea adresate la intrarea într-un serviciu cloud

Este cu adevărat sigur?

În orice delegare de control și management pentru asigurarea securității, doi factori joacă un rol important: anonimizarea și criptarea.

Utilizarea criptării pentru a proteja traficul de privirile indiscrete este ceva cu care cititorii sunt mai mult sau mai puțin familiarizați.

Anonimizarea ascunde informațiile despre proprietar și sursă de la personalul furnizorului de cloud. Informațiile personale sunt eliminate și înregistrărilor li se atribuie un identificator „fără chip”. Nici dezvoltatorul de software cloud și nici administratorul care întreține sistemul cloud nu poate cunoaște proprietarul solicitărilor. „De unde a venit asta? Cine ar putea fi interesat de asta?” - astfel de întrebări vor rămâne fără răspuns. Lipsa de informații despre proprietar și sursă face din interior o pierdere inutilă de timp.

Dacă comparăm această abordare cu practica tradițională de externalizare sau de angajare a unui administrator, este evident că tehnologiile cloud sunt mai sigure. Un specialist IT nou știe destul de multe despre organizația sa și poate, vrând-nevrând, să provoace prejudicii semnificative în ceea ce privește securitatea. Problema concedierii sau rezilierii contractului mai trebuie rezolvată. Uneori, pe lângă blocarea sau ștergerea unui cont, aceasta presupune o schimbare globală a parolelor pentru accesarea serviciilor, precum și un audit al tuturor resurselor pentru punctele de intrare „uitate” și posibilele „marcaje”.

Cât de mult mai scump sau mai ieftin este Nebula decât un administrator care vine?

Totul este relativ. Caracteristicile de bază ale Nebula sunt disponibile gratuit. De fapt, ce ar putea fi și mai ieftin?

Desigur, este imposibil să faci complet fără un administrator de rețea sau o persoană care îl înlocuiește. Întrebarea este numărul de oameni, specializarea și distribuția acestora pe site-uri.

În ceea ce privește serviciul extins plătit, puneți o întrebare directă: mai scump sau mai ieftin - o astfel de abordare va fi întotdeauna inexactă și unilaterală. Ar fi mai corect să comparăm mulți factori, de la bani până la plata muncii specialiștilor specifici și terminând cu costurile de asigurare a interacțiunii acestora cu un antreprenor sau un individ: controlul calității, întocmirea documentației, menținerea nivelului de securitate și curând.

Dacă vorbim despre subiectul dacă este profitabil sau nu profitabil să achiziționați un pachet de servicii plătit (Pro-Pack), atunci un răspuns aproximativ ar putea suna astfel: dacă organizația este mică, vă puteți descurca cu cele de bază. versiune, dacă organizația este în creștere, atunci este logic să ne gândim la Pro-Pack. Diferențele dintre versiunile Nebuloasei Zyxel pot fi văzute în Tabelul 1.

Tabel 1. Diferențele dintre seturile de caracteristici de bază și Pro-Pack pentru Nebula.

Aceasta include raportarea avansată, auditarea utilizatorilor, clonarea configurației și multe altele.

Dar protecția traficului?

Nebula folosește protocolul NETCONF pentru a asigura funcționarea în siguranță a echipamentelor de rețea.

NETCONF poate rula pe mai multe protocoale de transport:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• bip (RFC 4744);
• TLS (RFC 5539).

Dacă comparăm NETCONF cu alte metode, de exemplu, managementul prin SNMP, trebuie menționat că NETCONF acceptă conexiunea TCP de ieșire pentru a depăși bariera NAT și este considerat mai fiabil.

Dar suportul hardware?

Desigur, nu ar trebui să transformați camera serverului într-o grădină zoologică cu reprezentanți ai unor tipuri de echipamente rare și pe cale de dispariție. Este foarte de dorit ca echipamentele unite de tehnologia de management să acopere toate direcțiile: de la comutatorul central la punctele de acces. Inginerii Zyxel s-au ocupat de această posibilitate. Nebula rulează multe dispozitive:

• Comutatoare centrale 10G;
• comutatoare de nivel de acces;
• comutatoare cu PoE;
• puncte de acces;
• gateway-uri de rețea.

Folosind o gamă largă de dispozitive acceptate, puteți construi rețele pentru diferite tipuri de sarcini. Acest lucru este valabil mai ales pentru companiile care nu cresc în sus, ci spre exterior, explorând în mod constant noi domenii pentru a face afaceri.

Dezvoltare continuă

Dispozitivele de rețea cu o metodă tradițională de gestionare au o singură modalitate de îmbunătățire - schimbarea dispozitivului în sine, fie că este vorba de firmware nou sau module suplimentare. În cazul Zyxel Nebula, există o cale suplimentară de îmbunătățire - prin îmbunătățirea infrastructurii cloud. De exemplu, după actualizarea Nebula Control Center (NCC) la versiunea 10.1. (21 septembrie 2020) noi funcții sunt disponibile pentru utilizatori, iată câteva dintre ele:

• Proprietarul unei organizații poate transfera acum toate drepturile de proprietate către alt administrator din aceeași organizație;
• un nou rol numit Owner Representative, care are aceleași drepturi ca și proprietarul organizației;
• noua funcție de actualizare a firmware-ului la nivelul întregii organizații (funcția Pro-Pack);
• două noi opțiuni au fost adăugate topologiei: repornirea dispozitivului și pornirea și oprirea portului PoE (funcția Pro-Pack);
• suport pentru noi modele de puncte de acces: WAC500, WAC500H, WAC5302D-Sv2 și NWA1123ACv3;
• suport pentru autentificarea voucherului cu imprimare cod QR (funcția Pro-Pack).

Link-uri utile

1. Telegram chat Zyxel
2. Forumul echipamentelor Zyxel
3. O mulțime de videoclipuri utile pe canalul de Youtube
4. Zyxel Nebula - ușurință de gestionare ca bază pentru economii
5. Diferența dintre versiunile Zyxel Nebula
6. Zyxel Nebula și creșterea companiei
7. Norul de supernovă Zyxel Nebula - o cale rentabilă către securitate?
8. Zyxel Nebula – Opțiuni pentru afacerea dvs

Sursa: www.habr.com