Artikeln kommer att diskutera problemen med att organisera nätverksinfrastruktur på traditionellt sätt och metoder för att lösa samma problem med hjälp av molnteknik.
För referens. Nebula är en SaaS-molnmiljö för fjärrunderhåll av nätverksinfrastruktur. Alla Nebula-aktiverade enheter hanteras från molnet via en säker anslutning. Du kan hantera en stor distribuerad nätverksinfrastruktur från ett enda center utan att behöva anstränga dig för att skapa den.
Varför behöver du en annan molntjänst?
Det största problemet när man arbetar med nätverksinfrastruktur är inte att designa nätverket och köpa utrustning, eller ens installera det i ett rack, utan allt annat som kommer att behöva göras med detta nätverk i framtiden.
Nytt nätverk - gamla bekymmer
När en ny nätverksnod tas i drift efter installation och anslutning av utrustningen börjar den initiala konfigurationen. Ur de "stora cheferna" - inget komplicerat: "Vi tar arbetsdokumentationen för projektet och börjar sätta upp..." Detta är så väl sagt när alla nätverkselement finns i ett datacenter. Om de är utspridda över grenar börjar huvudvärken med att tillhandahålla fjärråtkomst. Det är en sådan ond cirkel: för att få fjärråtkomst över nätverket måste du konfigurera nätverksutrustning, och för detta behöver du åtkomst över nätverket...
Vi måste komma på olika scheman för att ta oss ur den återvändsgränd som beskrivs ovan. Till exempel ansluts en bärbar dator med internetåtkomst via ett USB 4G-modem via en patchkabel till ett anpassat nätverk. En VPN-klient är installerad på denna bärbara dator, och genom den försöker nätverksadministratören från huvudkontoret få tillgång till filialnätet. Systemet är inte det mest transparenta - även om du tar med dig en bärbar dator med ett förkonfigurerat VPN till en fjärrplats och ber om att få slå på den, är det långt ifrån ett faktum att allt kommer att fungera första gången. Speciellt om vi pratar om en annan region med en annan leverantör.
Det visar sig att det mest pålitliga sättet är att ha en bra specialist "i andra änden av linjen" som kan konfigurera sin del enligt projektet. Om det inte finns något sådant i kontorspersonalen kvarstår alternativen: antingen outsourcing eller tjänsteresor.
Vi behöver också ett övervakningssystem. Det måste installeras, konfigureras, underhållas (åtminstone övervaka diskutrymme och göra regelbundna säkerhetskopior). Och som inte vet något om våra enheter förrän vi berättar det. För att göra detta måste du registrera inställningar för all utrustning och regelbundet övervaka posternas relevans.
Det är bra när personalen har en egen "enmansorkester", som förutom nätverksadministratörens specifika kunskaper vet hur man arbetar med Zabbix eller något annat liknande system. Annars anställer vi ytterligare en person i personalen eller lägger ut den på entreprenad.
Observera. De sorgligaste misstagen börjar med orden: "Vad finns det för att konfigurera denna Zabbix (Nagios, OpenView, etc.)? Jag hämtar den snabbt och den är klar!"
Från genomförande till drift
Låt oss överväga ett specifikt exempel.
Ett larmmeddelande mottogs som indikerar att en WiFi-åtkomstpunkt någonstans inte svarar.
Var är det?
Naturligtvis har en bra nätverksadministratör sin egen personliga katalog där allt är nedskrivet. Frågorna börjar när denna information behöver delas. Till exempel måste du snabbt skicka en budbärare för att reda ut saker på plats, och för detta måste du utfärda något som: "Åtkomstpunkt i affärscentret på Stroiteley Street, byggnad 1, på 3:e våningen, rum nr. 301 bredvid ytterdörren under tak."
Låt oss säga att vi har tur och att åtkomstpunkten drivs via PoE, och switchen gör att den kan startas om på distans. Du behöver inte resa, men du behöver fjärråtkomst till switchen. Allt som återstår är att konfigurera portvidarebefordran via PAT på routern, ta reda på VLAN för anslutning utifrån och så vidare. Det är bra om allt är inställt i förväg. Arbetet är kanske inte svårt, men det måste göras.
Så matstället startade om. Hjälpte inte?
Låt oss säga att något är fel i hårdvaran. Nu söker vi information om garanti, uppstart och andra detaljer av intresse.
På tal om wifi. Att använda hemversionen av WPA2-PSK, som har en nyckel för alla enheter, rekommenderas inte i en företagsmiljö. För det första är en nyckel för alla helt enkelt osäker, och för det andra, när en anställd slutar måste du ändra denna gemensamma nyckel och göra om inställningarna på alla enheter för alla användare. För att undvika sådana problem finns WPA2-Enterprise med individuell autentisering för varje användare. Men för detta behöver du en RADIUS-server - ytterligare en infrastrukturenhet som måste kontrolleras, säkerhetskopieras och så vidare.
Observera att vi i varje skede, vare sig det gäller implementering eller drift, använde supportsystem. Detta inkluderar en bärbar dator med en "tredje parts" Internetanslutning, ett övervakningssystem, en referensdatabas för utrustning och RADIUS som autentiseringssystem. Förutom nätverksenheter måste du även underhålla tredjepartstjänster.
I sådana fall kan du höra rådet: "Ge det till molnet och lid inte." Visst finns det ett moln Zabbix, kanske det finns ett moln RADIUS någonstans, och till och med en molndatabas för att upprätthålla en lista över enheter. Problemet är att detta inte behövs separat, utan "i en flaska." Och fortfarande uppstår frågor om organisering av åtkomst, initial enhetskonfiguration, säkerhet och mycket mer.
Hur ser det ut när du använder Nebula?
Naturligtvis vet "molnet" till en början ingenting om våra planer eller den köpta utrustningen.
Först skapas en organisationsprofil. Det vill säga hela infrastrukturen: huvudkontor och filialer registreras först i molnet. Detaljer specificeras och konton skapas för delegering av befogenheter.
Du kan registrera dina enheter i molnet på två sätt: på gammaldags sätt - helt enkelt genom att ange serienumret när du fyller i ett webbformulär eller genom att skanna en QR-kod med en mobiltelefon. Allt du behöver för den andra metoden är en smartphone med kamera och internetåtkomst, inklusive via en mobilleverantör.
Naturligtvis tillhandahålls den nödvändiga infrastrukturen för att lagra information, både redovisning och inställningar, av Zyxel Nebula.
Figur 1. Säkerhetsrapport för Nebula Control Center.
Hur är det med att ställa in åtkomst? Att öppna portar, vidarebefordra trafik genom en inkommande gateway, allt det som säkerhetsadministratörer kärleksfullt kallar "plocka hål"? Lyckligtvis behöver du inte göra allt detta. Enheter som kör Nebula upprättar en utgående anslutning. Och administratören ansluter inte till en separat enhet, utan till molnet för konfiguration. Nebula förmedlar mellan två anslutningar: till enheten och till nätverksadministratörens dator. Detta innebär att steget att ringa en inkommande administratör kan minimeras eller hoppas över helt. Och inga ytterligare "hål" i brandväggen.
Hur är det med RADUIS-servern? Det behövs trots allt någon form av centraliserad autentisering!
Och dessa funktioner tas också över av Nebula. Autentisering av konton för åtkomst till utrustning sker genom en säker databas. Detta förenklar avsevärt delegeringen eller återkallelsen av rättigheter att hantera systemet. Vi måste överföra rättigheter – skapa en användare, tilldela en roll. Vi måste ta bort rättigheterna – vi utför de omvända stegen.
Separat är det värt att nämna WPA2-Enterprise, som kräver en separat autentiseringstjänst. Zyxel Nebula har sin egen analog - DPPSK, som låter dig använda WPA2-PSK med en individuell nyckel för varje användare.
"Obekväma" frågor
Nedan ska vi försöka ge svar på de mest kluriga frågorna som ofta ställs när man går in i en molntjänst
Är det verkligen säkert?
I varje delegering av kontroll och hantering för att säkerställa säkerheten spelar två faktorer en viktig roll: anonymisering och kryptering.
Att använda kryptering för att skydda trafik från nyfikna ögon är något som läsarna är mer eller mindre bekanta med.
Anonymisering döljer information om ägaren och källan från molnleverantörens personal. Personlig information tas bort och register tilldelas en "ansiktslös" identifierare. Varken molnprogramvaruutvecklaren eller administratören som underhåller molnsystemet kan känna till ägaren till förfrågningarna. "Var kom detta ifrån? Vem kan vara intresserad av detta?” - sådana frågor kommer att förbli obesvarade. Bristen på information om ägaren och källan gör insider till ett meningslöst slöseri med tid.
Om vi jämför detta tillvägagångssätt med den traditionella praxisen att outsourca eller anställa en inkommande administratör, är det uppenbart att molnteknik är säkrare. En inkommande IT-specialist vet ganska mycket om sin organisation och kan, med vilje, orsaka betydande skada när det gäller säkerhet. Frågan om uppsägning eller uppsägning av kontraktet måste fortfarande lösas. Ibland, förutom att blockera eller radera ett konto, innebär detta en global ändring av lösenord för åtkomst till tjänster, såväl som en granskning av alla resurser för "glömda" ingångspunkter och möjliga "bokmärken".
Hur mycket dyrare eller billigare är Nebula än en inkommande administratör?
Allt är relativt. Nebulas grundläggande funktioner är tillgängliga gratis. Egentligen, vad kan vara ännu billigare?
Naturligtvis är det omöjligt att helt göra utan en nätverksadministratör eller en person som ersätter honom. Frågan är antalet personer, deras specialisering och fördelning över sajter.
När det gäller den betalda utökade tjänsten, ställa en direkt fråga: dyrare eller billigare - ett sådant tillvägagångssätt kommer alltid att vara felaktigt och ensidigt. Det skulle vara mer korrekt att jämföra många faktorer, allt från pengar till betalning för specifika specialisters arbete och slutar med kostnaderna för att säkerställa deras interaktion med en entreprenör eller individ: kvalitetskontroll, upprättande av dokumentation, upprätthållande av säkerhetsnivån och så vidare.
Om vi pratar om ämnet om det är lönsamt eller inte lönsamt att köpa ett betalpaket med tjänster (Pro-Pack), kan ett ungefärligt svar låta så här: om organisationen är liten kan du klara dig med de grundläggande version, om organisationen växer, då är det vettigt att tänka på Pro-Pack. Skillnaderna mellan versioner av Zyxel Nebula kan ses i Tabell 1.
Tabell 1. Skillnader mellan grund- och Pro-Pack-funktionsuppsättningarna för Nebula.
Detta inkluderar avancerad rapportering, användarrevision, konfigurationskloning och mycket mer.
Hur är det med trafikskyddet?
Nebula använder protokollet för att säkerställa säker drift av nätverksutrustning.
NETCONF kan köras ovanpå flera transportprotokoll:
- ();
- ();
- ();
- ().
Om vi jämför NETCONF med andra metoder, till exempel hantering via SNMP, bör det noteras att NETCONF stöder utgående TCP-anslutning för att övervinna NAT-barriären och anses vara mer tillförlitlig.
Hur är det med hårdvarustöd?
Naturligtvis bör du inte förvandla serverrummet till en djurpark med representanter för sällsynta och hotade typer av utrustning. Det är mycket önskvärt att utrustning förenad med ledningsteknik täcker alla riktningar: från den centrala omkopplaren till åtkomstpunkter. Zyxels ingenjörer tog hand om denna möjlighet. Nebula driver många enheter:
- 10G centrala omkopplare;
- omkopplare för åtkomstnivå;
- switchar med PoE;
- åtkomstpunkter;
- nätverksgateways.
Genom att använda ett brett utbud av enheter som stöds kan du bygga nätverk för olika typer av uppgifter. Detta gäller särskilt för företag som växer inte uppåt, utan utåt, och ständigt utforskar nya områden för att göra affärer.
Kontinuerlig utveckling
Nätverksenheter med en traditionell hanteringsmetod har bara ett sätt att förbättra - att ändra själva enheten, vare sig det är ny firmware eller ytterligare moduler. När det gäller Zyxel Nebula finns det ytterligare en väg för förbättring - genom att förbättra molninfrastrukturen. Till exempel efter att ha uppdaterat Nebula Control Center (NCC) till version 10.1. (21 september 2020) nya funktioner är tillgängliga för användare, här är några av dem:
- Ägaren av en organisation kan nu överföra alla äganderättigheter till en annan administratör i samma organisation;
- en ny roll som kallas Ägarrepresentant, som har samma rättigheter som organisationens ägare;
- ny funktion för uppdatering av firmware för hela organisationen (Pro-Pack-funktion);
- två nya alternativ har lagts till i topologin: starta om enheten och slå på och stänga av PoE-portens ström (Pro-Pack-funktion);
- stöd för nya accesspunktsmodeller: WAC500, WAC500H, WAC5302D-Sv2 och NWA1123ACv3;
- stöd för voucherautentisering med QR-kodsutskrift (Pro-Pack funktion).
Användbara länkar
Källa: will.com