Ndërtimi i një infrastrukture rrjeti të bazuar në Nebula. Pjesa 1 - problemet dhe zgjidhjet

Artikulli do të diskutojë problemet e organizimit të infrastrukturës së rrjetit në mënyrën tradicionale dhe metodat për zgjidhjen e të njëjtave çështje duke përdorur teknologjitë cloud.

Për referencë. Nebula është një mjedis cloud SaaS për mirëmbajtjen e infrastrukturës së rrjetit në distancë. Të gjitha pajisjet e aktivizuara me Nebula menaxhohen nga cloud nëpërmjet një lidhjeje të sigurt. Ju mund të menaxhoni një infrastrukturë të madhe rrjeti të shpërndarë nga një qendër e vetme, pa shpenzuar përpjekjet për ta krijuar atë.

Pse keni nevojë për një shërbim tjetër cloud?

Problemi kryesor kur punoni me infrastrukturën e rrjetit nuk është projektimi i rrjetit dhe blerja e pajisjeve, apo edhe instalimi i tij në raft, por gjithçka tjetër që do të duhet të bëhet me këtë rrjet në të ardhmen.

Rrjeti i ri - shqetësime të vjetra

Kur vendosni në funksion një nyje të re rrjeti pas instalimit dhe lidhjes së pajisjes, fillon konfigurimi fillestar. Nga këndvështrimi i "bosëve të mëdhenj" - asgjë e komplikuar: "Ne marrim dokumentacionin e punës për projektin dhe fillojmë të konfigurojmë..." Kjo thuhet aq mirë kur të gjithë elementët e rrjetit janë të vendosur në një qendër të dhënash. Nëse ato shpërndahen nëpër degë, fillon dhimbja e kokës për sigurimin e aksesit në distancë. Është një rreth kaq vicioz: për të marrë akses në distancë në rrjet, duhet të konfiguroni pajisjet e rrjetit, dhe për këtë ju nevojitet akses në rrjet...

Na duhet të dalim me skema të ndryshme për të dalë nga ngërçi i përshkruar më sipër. Për shembull, një laptop me akses në internet nëpërmjet një modemi USB 4G lidhet nëpërmjet një kordoni patch me një rrjet të personalizuar. Në këtë laptop është instaluar një klient VPN dhe përmes tij administratori i rrjetit nga selia përpiqet të ketë akses në rrjetin e degëve. Skema nuk është më transparente - edhe nëse sillni një laptop me një VPN të para-konfiguruar në një sit të largët dhe kërkoni ta ndizni atë, është larg nga fakti që gjithçka do të funksionojë herën e parë. Sidomos nëse po flasim për një rajon tjetër me një ofrues tjetër.

Rezulton se mënyra më e besueshme është të kesh një specialist të mirë "në anën tjetër të linjës", i cili mund të konfigurojë pjesën e tij sipas projektit. Nëse nuk ka një gjë të tillë në stafin e degës, opsionet mbeten: ose outsourcing ose udhëtime biznesi.

Ne kemi nevojë edhe për një sistem monitorimi. Duhet të instalohet, konfigurohet, mirëmbahet (të paktën monitoroni hapësirën e diskut dhe bëni kopje rezervë të rregullt). Dhe që nuk di asgjë për pajisjet tona derisa ta tregojmë. Për ta bërë këtë, duhet të regjistroni cilësimet për të gjitha pjesët e pajisjeve dhe të monitoroni rregullisht rëndësinë e të dhënave.

Është mirë kur stafi ka "orkestrën e vet me një person", e cila, përveç njohurive specifike të një administratori rrjeti, di të punojë me Zabbix ose një sistem tjetër të ngjashëm. Përndryshe, ne punësojmë një person tjetër në staf ose e kontraktojmë atë.

Shënim. Gabimet më të trishta fillojnë me fjalët: "Çfarë ka për të konfiguruar këtë Zabbix (Nagios, OpenView, etj.)? Do ta marr shpejt dhe është gati!”

Nga zbatimi në funksionim

Le të shohim një shembull specifik.

Është marrë një mesazh alarmi që tregon se një pikë aksesi WiFi diku nuk po përgjigjet.

Ku eshte?

Sigurisht, një administrator i mirë i rrjetit ka drejtorinë e tij personale në të cilën shkruhet gjithçka. Pyetjet fillojnë kur ky informacion duhet të ndahet. Për shembull, ju duhet urgjentisht të dërgoni një lajmëtar për t'i zgjidhur gjërat në vend, dhe për këtë ju duhet të lëshoni diçka si: "Pika e hyrjes në qendrën e biznesit në Rrugën Stroiteley, ndërtesa 1, në katin e 3-të, dhoma nr. 301 ngjitur me derën e përparme nën tavan."

Le të themi se jemi me fat dhe pika e hyrjes mundësohet nëpërmjet PoE, dhe çelësi lejon që ajo të rindizet nga distanca. Nuk keni nevojë të udhëtoni, por keni nevojë për qasje në distancë te çelësi. E tëra që mbetet është të konfiguroni përcjelljen e portit përmes PAT në ruter, të kuptoni VLAN-in për t'u lidhur nga jashtë, etj. Është mirë nëse gjithçka është vendosur paraprakisht. Puna mund të mos jetë e vështirë, por duhet bërë.

Pra, pika e ushqimit u rindez. Nuk ndihmoi?

Le të themi se diçka nuk është në rregull në harduer. Tani ne po kërkojmë informacion në lidhje me garancinë, fillimin dhe detaje të tjera me interes.

Duke folur për WiFi. Përdorimi i versionit shtëpiak të WPA2-PSK, i cili ka një çelës për të gjitha pajisjet, nuk rekomandohet në një mjedis të korporatës. Së pari, një çelës për të gjithë është thjesht i pasigurt, dhe së dyti, kur një punonjës largohet, ju duhet të ndryshoni këtë çelës të përbashkët dhe të ribëni cilësimet në të gjitha pajisjet për të gjithë përdoruesit. Për të shmangur probleme të tilla, ekziston WPA2-Enterprise me vërtetim individual për çdo përdorues. Por për këtë ju nevojitet një server RADIUS - një njësi tjetër infrastrukture që duhet të monitorohet, të bëhen kopje rezervë, e kështu me radhë.

Ju lutemi vini re se në çdo fazë, qoftë zbatimi apo funksionimi, ne kemi përdorur sisteme mbështetëse. Kjo përfshin një laptop me një lidhje interneti "të palëve të treta", një sistem monitorimi, një bazë të dhënash referimi të pajisjeve dhe RADIUS si një sistem vërtetimi. Përveç pajisjeve të rrjetit, duhet të mirëmbani edhe shërbime të palëve të treta.

Në raste të tilla, mund të dëgjoni këshillën: "Jepjani resë dhe mos vuani". Me siguri ekziston një Zabbix cloud, ndoshta ka një RADIUS cloud diku, dhe madje edhe një bazë të dhënash cloud për të mbajtur një listë të pajisjeve. Problemi është se kjo nuk nevojitet veçmas, por "në një shishe". E megjithatë, lindin pyetje rreth organizimit të aksesit, konfigurimit fillestar të pajisjes, sigurisë dhe shumë më tepër.

Si duket kur përdoret Nebula?

Sigurisht, fillimisht "reja" nuk di asgjë për planet tona apo pajisjet e blera.

Së pari, krijohet një profil i organizatës. Kjo do të thotë, e gjithë infrastruktura: selia dhe degët regjistrohen fillimisht në cloud. Përcaktohen detajet dhe krijohen llogaritë për delegimin e autoritetit.

Ju mund t'i regjistroni pajisjet tuaja në cloud në dy mënyra: në mënyrën e vjetër - thjesht duke futur numrin serial kur plotësoni një formular në internet ose duke skanuar një kod QR duke përdorur një telefon celular. Gjithçka që ju nevojitet për metodën e dytë është një smartphone me një aparat fotografik dhe akses në internet, duke përfshirë një ofrues celular.

Sigurisht, infrastruktura e nevojshme për ruajtjen e informacionit, si kontabiliteti ashtu edhe cilësimet, ofrohet nga Zyxel Nebula.

Figura 1. Raporti i sigurisë së Qendrës së Kontrollit të Mjegullnajës.

Po në lidhje me konfigurimin e aksesit? Hapja e porteve, përcjellja e trafikut përmes një porte hyrëse, gjithçka që administratorët e sigurisë e quajnë me dashuri "vrima të zgjedhjes"? Për fat të mirë, nuk keni nevojë t'i bëni të gjitha këto. Pajisjet që përdorin Nebula krijojnë një lidhje dalëse. Dhe administratori nuk lidhet me një pajisje të veçantë, por me renë për konfigurim. Mjegullnaja ndërmjetëson midis dy lidhjeve: me pajisjen dhe me kompjuterin e administratorit të rrjetit. Kjo do të thotë që faza e thirrjes së një administratori në hyrje mund të minimizohet ose të anashkalohet fare. Dhe nuk ka "vrima" shtesë në murin e zjarrit.

Po serveri RADUIS? Në fund të fundit, nevojitet një lloj vërtetimi i centralizuar!

Dhe këto funksione janë marrë gjithashtu nga Nebula. Autentifikimi i llogarive për akses në pajisje ndodh përmes një baze të dhënash të sigurt. Kjo thjeshton shumë delegimin ose tërheqjen e të drejtave për të menaxhuar sistemin. Ne duhet të transferojmë të drejtat - të krijojmë një përdorues, të caktojmë një rol. Ne duhet të heqim të drejtat - ne kryejmë hapat e kundërt.

Më vete, vlen të përmendet WPA2-Enterprise, e cila kërkon një shërbim të veçantë vërtetimi. Nebula Zyxel ka analogun e vet - DPPSK, i cili ju lejon të përdorni WPA2-PSK me një çelës individual për secilin përdorues.

Pyetje "të papërshtatshme".

Më poshtë do të përpiqemi të japim përgjigje për pyetjet më të ndërlikuara që bëhen shpesh kur hyni në një shërbim cloud

A është vërtet i sigurt?

Në çdo delegim të kontrollit dhe menaxhimit për të garantuar sigurinë, dy faktorë luajnë një rol të rëndësishëm: anonimizimi dhe kriptimi.

Përdorimi i kriptimit për të mbrojtur trafikun nga sytë kureshtarë është diçka me të cilën lexuesit janë pak a shumë të njohur.

Anonimizimi fsheh informacionin për pronarin dhe burimin nga personeli i ofruesit të resë kompjuterike. Informacioni personal hiqet dhe regjistrimeve u caktohet një identifikues "pa fytyrë". As zhvilluesi i softuerit cloud dhe as administratori që mirëmban sistemin cloud nuk mund ta njohin pronarin e kërkesave. “Nga erdhi kjo? Kush mund të jetë i interesuar për këtë? - pyetje të tilla do të mbeten pa përgjigje. Mungesa e informacionit për pronarin dhe burimin e bën personin e brendshëm një humbje kohe të kotë.

Nëse e krahasojmë këtë qasje me praktikën tradicionale të kontraktimit ose punësimit të një administratori në hyrje, është e qartë se teknologjitë cloud janë më të sigurta. Një specialist i IT-së në hyrje di shumë për organizatën e tij dhe mundet, pa dashur, të shkaktojë dëm të konsiderueshëm përsa i përket sigurisë. Ende duhet zgjidhur çështja e shkarkimit apo zgjidhjes së kontratës. Ndonjëherë, përveç bllokimit ose fshirjes së një llogarie, kjo përfshin një ndryshim global të fjalëkalimeve për aksesimin e shërbimeve, si dhe një auditim të të gjitha burimeve për pikat e hyrjes "të harruara" dhe "shënuesit" e mundshëm.

Sa më e shtrenjtë apo më e lirë është Nebula se një administrator në hyrje?

Gjithçka është relative. Karakteristikat themelore të Nebula ofrohen falas. Në fakt, çfarë mund të jetë edhe më lirë?

Sigurisht, është e pamundur të bëhet plotësisht pa një administrator rrjeti ose një person që e zëvendëson atë. Pyetja është numri i njerëzve, specializimi dhe shpërndarja e tyre nëpër faqe.

Sa i përket shërbimit të zgjatur të paguar, duke bërë një pyetje të drejtpërdrejtë: më e shtrenjtë ose më e lirë - një qasje e tillë do të jetë gjithmonë e pasaktë dhe e njëanshme. Do të ishte më korrekte të krahasoheshin shumë faktorë, duke filluar nga paratë për të paguar për punën e specialistëve të veçantë dhe duke përfunduar me kostot e sigurimit të ndërveprimit të tyre me një kontraktor ose individ: kontrolli i cilësisë, hartimi i dokumentacionit, ruajtja e nivelit të sigurisë dhe kështu me radhë.

Nëse po flasim për temën nëse është fitimprurëse apo jo fitimprurëse për të blerë një paketë shërbimesh me pagesë (Pro-Pack), atëherë një përgjigje e përafërt mund të duket si kjo: nëse organizata është e vogël, mund të përballeni me bazën version, nëse organizata po rritet, atëherë ka kuptim të mendoni për Pro-Pack. Dallimet midis versioneve të Mjegullnajës Zyxel mund të shihen në Tabelën 1.

Tabela 1. Dallimet midis grupeve të veçorive bazë dhe Pro-Pack për Nebula.

Kjo përfshin raportimin e avancuar, auditimin e përdoruesit, klonimin e konfigurimit dhe shumë më tepër.

Po në lidhje me mbrojtjen e trafikut?

Mjegullnaja përdor protokollin NETCONF për të siguruar funksionimin e sigurt të pajisjeve të rrjetit.

NETCONF mund të funksionojë në krye të disa protokolleve të transportit:

• SSH (RFC4742);
• SOAP (RFC4743);
• Bip (RFC4744);
• TLS (RFC5539).

Nëse krahasojmë NETCONF me metoda të tjera, për shembull, menaxhimi nëpërmjet SNMP, duhet theksuar se NETCONF mbështet lidhjen dalëse TCP për të kapërcyer pengesën NAT dhe konsiderohet më e besueshme.

Po në lidhje me mbështetjen e harduerit?

Sigurisht, nuk duhet ta ktheni dhomën e serverit në një kopsht zoologjik me përfaqësues të llojeve të rralla dhe të rrezikuara të pajisjeve. Është shumë e dëshirueshme që pajisjet e bashkuara nga teknologjia e menaxhimit të mbulojnë të gjitha drejtimet: nga çelësi qendror deri te pikat e hyrjes. Inxhinierët e Zyxel u kujdesën për këtë mundësi. Nebula drejton shumë pajisje:

• Ndërprerës qendror 10G;
• çelësat e nivelit të aksesit;
• çelsat PoE;
• pikat e hyrjes;
• portat e rrjetit.

Duke përdorur një gamë të gjerë pajisjesh të mbështetura, mund të ndërtoni rrjete për lloje të ndryshme detyrash. Kjo është veçanërisht e vërtetë për kompanitë që po rriten jo në rritje, por nga jashtë, duke eksploruar vazhdimisht fusha të reja për të bërë biznes.

Zhvillimi i vazhdueshëm

Pajisjet e rrjetit me një metodë tradicionale të menaxhimit kanë vetëm një mënyrë përmirësimi - ndryshimin e vetë pajisjes, qoftë firmware i ri ose module shtesë. Në rastin e Mjegullnajës Zyxel, ekziston një rrugë shtesë për përmirësim - përmes përmirësimit të infrastrukturës së cloud. Për shembull, pas përditësimit të Qendrës së Kontrollit të Nebula (NCC) në versionin 10.1. (21 shtator 2020) funksione të reja janë të disponueshme për përdoruesit, këtu janë disa prej tyre:

• Pronari i një organizate tani mund t'i transferojë të gjitha të drejtat e pronësisë tek një administrator tjetër në të njëjtën organizatë;
• një rol të ri të quajtur Përfaqësuesi i Pronarëve, i cili ka të njëjtat të drejta si pronari i organizatës;
• veçori e re e përditësimit të firmuerit në mbarë organizatën (funksioni Pro-Pack);
• topologjisë i janë shtuar dy opsione të reja: rindezja e pajisjes dhe ndezja dhe çaktivizimi i portës PoE (funksioni Pro-Pack);
• mbështetje për modelet e reja të pikave të aksesit: WAC500, WAC500H, WAC5302D-Sv2 dhe NWA1123ACv3;
• mbështetje për vërtetimin e kuponëve me printimin e kodit QR (funksioni Pro-Pack).

Lidhje të dobishme

1. Biseda në telegram Zyxel
2. Forumi i Pajisjeve Zyxel
3. Shumë video të dobishme në kanalin Youtube
4. Mjegullnaja Zyxel - lehtësia e menaxhimit si bazë për kursime
5. Dallimi midis versioneve të Zyxel Nebula
6. Mjegullnaja Zyxel dhe rritja e kompanisë
7. Reja e supernovës Zyxel Mjegullnaja - një rrugë me kosto efektive drejt sigurisë?
8. Mjegullnaja Zyxel – Opsione për biznesin tuaj

Burimi: www.habr.com