Ngawangun infrastruktur jaringan dumasar kana Nebula. Bagian 1 - masalah sareng solusi

Tulisan bakal ngabahas masalah pangatur infrastruktur jaringan ku cara tradisional sareng metode pikeun ngarengsekeun masalah anu sami nganggo téknologi awan.

Kanggo rujukan. Nebula mangrupikeun lingkungan awan SaaS pikeun ngajaga infrastruktur jaringan jarak jauh. Sadaya alat anu diaktipkeun Nebula dikokolakeun tina awan ngalangkungan sambungan anu aman. Anjeun tiasa ngatur hiji infrastruktur jaringan disebarkeun badag ti puseur tunggal tanpa expending usaha nyieun eta.

Naha anjeun peryogi jasa awan anu sanés?

Masalah utama nalika damel sareng infrastruktur jaringan henteu ngarancang jaringan sareng mésér alat, atanapi bahkan masangna dina rak, tapi sadayana anu kedah dilakukeun ku jaringan ieu di hareup.

jaringan anyar - worries heubeul

При вводе в эксплуатацию нового узла сети после монтажа и подключения оборудования начинается первоначальная настройка. С точки зрения «большого начальства» — ничего сложного: «Берем рабочую документацию по проекту и начинаем настраивать…» Это так здорово говорится, когда все сетевые элементы стоят в одном ЦОД. Если же они разбросаны по филиалам, начинается головная боль с обеспечением удаленного доступа. Такой вот замкнутый круг: чтобы получить удаленный доступ по сети, нужно настроить сетевое оборудование, а для этого нужен доступ по сети…

Urang kedah ngadamel sababaraha skéma pikeun kaluar tina jalan buntu anu dijelaskeun di luhur. Contona, hiji laptop kalawan aksés Internet via USB 4G modem disambungkeun via patch cord ka jaringan custom. Klien VPN dipasang dina laptop ieu, sareng ngalangkungan éta administrator jaringan ti markas nyobian kéngingkeun aksés kana jaringan cabang. Skéma éta sanés anu paling transparan - sanaos anjeun nyangking laptop sareng VPN anu tos dikonpigurasikeun ka situs jauh sareng naroskeun pikeun dihurungkeun, éta jauh tina kanyataan yén sadayana bakal jalan pertama kalina. Utamana lamun urang ngobrol ngeunaan wewengkon béda jeung panyadia béda.

Tétéla yén cara anu paling dipercaya nyaéta gaduh spesialis anu saé "dina tungtung anu sanés" anu tiasa ngonpigurasikeun bagianna dumasar kana proyék. Upami teu aya hal sapertos kitu dina staf cabang, pilihan tetep: boh outsourcing atanapi perjalanan bisnis.

Urang ogé peryogi sistem monitoring. Perlu dipasang, dikonpigurasi, dijaga (sahenteuna ngawas rohangan disk sareng ngadamel cadangan biasa). Sareng anu henteu terang ngeunaan alat kami dugi ka urang nyarioskeunana. Jang ngalampahkeun ieu, anjeun kudu ngadaptar setélan pikeun sakabéh parabot sarta rutin ngawas relevansi rékaman.

Ieu hébat lamun staf boga sorangan "orchestra hiji-lalaki", nu, sajaba pangaweruh husus ngeunaan administrator jaringan, weruh kumaha carana digawekeun ku Zabbix atawa sistem sejen nu sarupa. Upami teu kitu, urang nyewa jalma séjén on staf atawa outsource eta.

Catetan. Kasalahan anu paling hanjelu dimimitian ku kecap: "Naon anu aya pikeun ngonpigurasikeun Zabbix ieu (Nagios, OpenView, jsb)? Abdi badé angkat sareng éta siap! ”

Ti palaksanaan nepi ka operasi

Hayu urang nempo conto husus.

Получено тревожное сообщение о том, что где-то не отвечает точка доступа WiFi.

Dimana manehna?

Tangtosna, administrator jaringan anu saé ngagaduhan diréktori pribadina dimana sadayana ditulis. Patarosan dimimitian nalika inpormasi ieu kedah dibagikeun. Salaku conto, anjeun kedah gancang ngirim utusan pikeun nyortir hal-hal di tempat, sareng pikeun ieu anjeun kedah ngaluarkeun sapertos kieu: "Titik aksés di pusat bisnis di Jalan Stroiteley, gedong 1, di lantai 3, kamar No. 301 gigireun panto hareup handapeun siling ".

Sebutkeun urang untung sareng titik aksés didamel ku PoE, sareng saklar ngamungkinkeun éta tiasa di-reboot tina jarak jauh. Anjeun teu kedah ngarambat, tapi anjeun peryogi aksés jauh ka saklar. Kabéh anu tetep nyaéta pikeun ngonpigurasikeun port diteruskeun via PAT on router dina, angka kaluar VLAN pikeun nyambungkeun ti luar, jeung saterusna. Éta hadé lamun sagalana geus diatur sateuacanna. Pagawean bisa jadi teu hese, tapi kudu dipigawé.

Ku kituna, outlet dahareun ieu rebooted. Teu mantuan?

Hayu urang nyebutkeun aya nu salah dina hardware. Ayeuna urang milarian inpormasi ngeunaan garansi, ngamimitian sareng detil anu dipikaresep.

Ngomongkeun WiFi. Nganggo versi asal WPA2-PSK, anu gaduh hiji konci pikeun sadaya alat, henteu disarankeun di lingkungan perusahaan. Anu mimiti, hiji konci pikeun sarerea ngan saukur teu aman, sareng kadua, nalika saurang karyawan angkat, anjeun kedah ngarobih konci umum ieu sareng ngalakukeun deui setélan dina sadaya alat pikeun sadaya pangguna. Pikeun ngahindarkeun masalah sapertos kitu, aya WPA2-Enterprise kalayan auténtikasi individu pikeun unggal pangguna. Tapi pikeun ieu anjeun peryogi server RADIUS - unit infrastruktur sanés anu kedah dikontrol, ngadamel cadangan, sareng saterasna.

Punten dicatet yén dina unggal tahapan, boh palaksanaan atanapi operasi, kami nganggo sistem dukungan. Ieu kalebet laptop sareng sambungan Internét "pihak katilu", sistem ngawaskeun, pangkalan data rujukan peralatan, sareng RADIUS salaku sistem auténtikasi. Salian alat jaringan, anjeun ogé kedah ngajaga jasa pihak katilu.

Dina kasus sapertos kitu, anjeun tiasa ngadangu naséhat: "Pasihan ka méga sareng ulah sangsara." Pasti aya awan Zabbix, meureun aya awan RADIUS wae, komo database awan pikeun ngajaga daptar alat. Masalahna nyaéta yén ieu henteu diperyogikeun nyalira, tapi "dina hiji botol." Sareng tetep, patarosan timbul ngeunaan ngatur aksés, setelan awal alat, kaamanan, sareng seueur deui.

Kumaha rupana nalika nganggo Nebula?

Tangtosna, mimitina "awan" henteu terang nanaon ngeunaan rencana urang atanapi alat anu dibeli.

Kahiji, hiji profil organisasi dijieun. Hartina, sakabéh infrastruktur: markas jeung cabang munggaran didaptarkeun dina awan. Rincian dieusian sareng akun didamel pikeun delegasi wewenang.

Anjeun tiasa ngadaptarkeun alat anjeun dina méga ku dua cara: cara baheula - cukup ku cara nuliskeun nomer séri nalika ngeusian formulir wéb atanapi ku nyeken kode QR nganggo telepon sélulér. Sadaya anu anjeun peryogikeun pikeun metodeu kadua nyaéta smartphone sareng kaméra sareng aksés Internét, kalebet ngalangkungan panyadia sélulér.

Разумеется, необходимую инфраструктуру для хранения информации, как учетной, так и настроек предоставляет Zyxel Nebula.

Рисунок 1. Отчет безопасности Nebula Control Center.

Kumaha upami nyetél aksés? Ngabuka palabuhan, neraskeun lalu lintas ngalangkungan gerbang anu asup, sadaya anu ku pangurus kaamanan nyebat "liang nyokot"? Untungna, anjeun teu kedah ngalakukeun sadayana ieu. Alat nu ngajalankeun Nebula nyieun sambungan kaluar. Jeung administrator teu nyambung ka alat misah, tapi ka awan pikeun konfigurasi. Nebula jadi perantara antara dua sambungan: ka alat jeung ka komputer administrator jaringan. Ieu ngandung harti yén tahap nelepon hiji admin asup bisa diminimalkeun atawa skipped sakabehna. Tur euweuh "liang" tambahan dina firewall nu.

Kumaha upami server RADUIS? Barina ogé, sababaraha jinis auténtikasi terpusat diperyogikeun!

Sareng fungsi ieu ogé direbut ku Nebula. Auténtikasi akun pikeun aksés ka alat-alat lumangsung ngaliwatan database aman. Ieu greatly simplifies delegasi atawa ditarikna hak pikeun ngatur sistem. Urang kudu mindahkeun hak - nyieun pamaké, nangtukeun peran. Urang kedah ngaleungitkeun hak - urang ngalaksanakeun léngkah sabalikna.

Kapisah, kedah disebatkeun WPA2-Enterprise, anu peryogi jasa auténtikasi anu misah. Zyxel Nebula gaduh analog sorangan - DPPSK, anu ngamungkinkeun anjeun ngagunakeun WPA2-PSK kalayan konci individu pikeun unggal pangguna.

«Неудобные» вопросы

Di handap ieu kami bakal nyobian masihan jawaban kana patarosan anu paling rumit anu sering ditaroskeun nalika ngalebetkeun jasa awan

Éta bener aman?

Dina sagala delegasi kontrol jeung manajemén pikeun mastikeun kaamanan, dua faktor maénkeun peran penting: anonymization jeung enkripsi.

Ngagunakeun enkripsi ngajaga lalulintas ti prying panon hiji hal anu maca leuwih atawa kurang akrab jeung.

Anonymization nyumputkeun inpormasi ngeunaan nu gaduh sareng sumber ti tanaga panyadia awan. Inpormasi pribadi dihapus sareng rékaman ditugaskeun identifier "faceless". Sanes pamekar parangkat lunak awan atanapi pangurus anu ngajaga sistem awan tiasa terang anu gaduh pamundut. “Ti mana ieu asalna? Saha anu tiasa resep kana ieu? ”- patarosan sapertos kitu bakal tetep teu dijawab. Kurangna inpormasi ngeunaan juragan sareng sumber ngajadikeun insider janten runtah waktos anu teu aya gunana.

Upami urang ngabandingkeun pendekatan ieu sareng prakték tradisional outsourcing atanapi nyewa administrator anu asup, écés yén téknologi awan langkung aman. Spesialis IT anu datang terang seueur pisan ngeunaan organisasina, sareng tiasa, teu aya waé, nyababkeun cilaka anu signifikan dina hal kaamanan. Isu PHK atawa terminasi kontrak masih perlu direngsekeun. Sakapeung, salian pikeun meungpeuk atanapi ngahapus akun, ieu peryogi parobihan kecap konci global pikeun ngaksés jasa, ogé pamariksaan sadaya sumber pikeun titik éntri "hilap" sareng kamungkinan "téténggér".

Sabaraha langkung mahal atanapi langkung mirah Nebula tibatan admin anu asup?

Всё познается в сравнении. Базовые функции Nebula доступны бесплатно. Собственно, что может быть ещё дешевле?

Разумеется, совершенно обойтись без сетевого администратора или лица, его заменяющего не получится. Вопрос в количестве людей, их специализации и распределении по площадкам.

Sedengkeun pikeun layanan nambahan mayar, naroskeun patarosan langsung: langkung mahal atanapi langkung mirah - pendekatan sapertos bakal salawasna taliti tur hiji sisi. Éta bakal langkung leres pikeun ngabandingkeun sababaraha faktor, mimitian ti artos pikeun mayar padamelan spesialis khusus sareng ditungtungan ku biaya pikeun mastikeun interaksina sareng kontraktor atanapi individu: kontrol kualitas, nyusun dokuméntasi, ngajaga tingkat kaamanan, sareng saterusna.

Upami urang nyarioskeun topik naha éta nguntungkeun atanapi henteu nguntungkeun mésér pakét jasa anu mayar (Pro-Pack), maka perkiraan jawaban tiasa disada sapertos kieu: upami organisasi leutik, anjeun tiasa nampi ku dasarna. versi, lamun organisasi tumuwuh, mangka ngajadikeun rasa mikir ngeunaan Pro-Pack. Bédana antara vérsi Zyxel Nebula tiasa ditingali dina Tabél 1.

Таблица 1. Различия наборов функций базовой версии и версии Pro-Pack для Nebula.

Ieu kalebet ngalaporkeun canggih, pamariksaan pangguna, kloning konfigurasi, sareng seueur deui.

Kumaha upami panyalindungan lalulintas?

Nebula ngagunakeun protokol NETCONF pikeun mastikeun operasi aman pakakas jaringan.

NETCONF tiasa dijalankeun di luhur sababaraha protokol angkutan:

• SSH (RFC 4742);
• sabun (RFC 4743);
• BIIP (RFC 4744);
• TLS (RFC 5539).

Lamun urang ngabandingkeun NETCONF kalawan métode séjénna, contona, manajemén via SNMP, éta kudu dicatet yén NETCONF поддерживает исходящее TCP-соединение для преодоления барьера NAT и считается более надежным.

Kumaha upami dukungan hardware?

Разумеется, не стоит превращать серверную в зоопарк с представителями редких и вымирающих видов оборудования. Крайне желательно, чтобы оборудование, объединенное технологией управления, закрывало все направления: от центрального коммутатора до точек доступа. Инженеры Zyxel позаботились о такой возможности. Под управлением Nebula работает множество устройств:

• 10G switch sentral;
• saklar tingkat aksés;
• switch kalawan PoE;
• точки доступа;
• gateway jaringan.

Nganggo rupa-rupa alat anu dirojong, anjeun tiasa ngawangun jaringan pikeun sababaraha jinis tugas. Ieu hususna leres pikeun perusahaan anu henteu tumbuh ka luhur, tapi ka luar, terus-terusan ngajalajah daérah anyar pikeun usaha.

ngembangkeun kontinyu

Alat jaringan sareng metode manajemén tradisional ngan ukur aya hiji cara pikeun ningkatkeun - ngarobih alat éta sorangan, naha éta firmware énggal atanapi modul tambahan. Dina kasus Zyxel Nebula, aya jalur tambahan pikeun perbaikan - ngalangkungan ningkatkeun infrastruktur awan. Contona, sanggeus ngamutahirkeun Nebula Control Center (NCC) kana versi 10.1. (21 Séptémber 2020) fitur anyar sayogi pikeun pangguna, ieu sababaraha diantarana:

• Pamilik organisasi ayeuna tiasa nransferkeun sadaya hak kapamilikan ka administrator sanés dina organisasi anu sami;
• kalungguhan anyar anu disebut Perwakilan Pamilik, anu ngagaduhan hak anu sami sareng anu gaduh organisasi;
• fitur update firmware-lega organisasi anyar (fitur Pro-Pack);
• dua pilihan anyar geus ditambahkeun kana topology nu: rebooting alat jeung ngahurungkeun kakuatan port PoE sareng mareuman (fungsi Pro-Pack);
• rojongan pikeun model titik aksés anyar: WAC500, WAC500H, WAC5302D-Sv2 na NWA1123ACv3;
• поддержка аутентификации по ваучерам с печатью QR-кодов (функция Pro-Pack).

link mangpaat

1. Telegram obrolan Zyxel
2. Forum Equipment Zyxel
3. Много полезного видео на канале Youtube
4. Zyxel Nebula - betah manajemén salaku dadasar pikeun tabungan
5. Bédana antara versi Zyxel Nebula
6. Zyxel Nebula и рост компании
7. Zyxel Nebula supernova awan - jalur ongkos-éféktif pikeun kaamanan?
8. Zyxel Nebula - Pilihan pikeun Usaha Anjeun

sumber: www.habr.com