Kujenga miundombinu ya mtandao kulingana na Nebula. Sehemu ya 1 - matatizo na ufumbuzi

Nakala hiyo itajadili shida za kuandaa miundombinu ya mtandao kwa njia ya jadi na njia za kutatua maswala sawa kwa kutumia teknolojia za wingu.

Kwa kumbukumbu. Nebula ni mazingira ya wingu ya SaaS ya kudumisha miundombinu ya mtandao kwa mbali. Vifaa vyote vinavyotumia Nebula vinadhibitiwa kutoka kwa wingu kupitia muunganisho salama. Unaweza kusimamia miundombinu kubwa ya mtandao iliyosambazwa kutoka kwa kituo kimoja bila kutumia juhudi za kuunda.

Kwa nini unahitaji huduma nyingine ya wingu?

Shida kuu wakati wa kufanya kazi na miundombinu ya mtandao sio kuunda mtandao na ununuzi wa vifaa, au hata kuiweka kwenye rack, lakini kila kitu kingine ambacho kitalazimika kufanywa na mtandao huu katika siku zijazo.

Mtandao mpya - wasiwasi wa zamani

Wakati wa kuweka node mpya ya mtandao katika operesheni baada ya kufunga na kuunganisha vifaa, usanidi wa awali huanza. Kutoka kwa mtazamo wa "wakubwa wakubwa" - hakuna ngumu: "Tunachukua nyaraka za kufanya kazi kwa mradi huo na kuanza kuanzisha ..." Hii inasemwa vizuri wakati vipengele vyote vya mtandao viko kwenye kituo kimoja cha data. Ikiwa wametawanyika katika matawi, maumivu ya kichwa ya kutoa ufikiaji wa mbali huanza. Ni mduara mbaya sana: kupata ufikiaji wa mbali kwenye mtandao, unahitaji kusanidi vifaa vya mtandao, na kwa hili unahitaji ufikiaji kwenye mtandao ...

Inabidi tuje na mipango mbalimbali ya kujiondoa katika mkwamo ulioelezwa hapo juu. Kwa mfano, kompyuta ya mkononi yenye upatikanaji wa Intaneti kupitia modem ya USB 4G imeunganishwa kupitia kamba ya kiraka kwenye mtandao maalum. Mteja wa VPN amewekwa kwenye kompyuta ndogo hii, na kupitia hiyo msimamizi wa mtandao kutoka makao makuu anajaribu kupata ufikiaji wa mtandao wa tawi. Mpango huo sio wazi zaidi - hata ukileta kompyuta ya mkononi iliyo na VPN iliyosanidiwa awali kwenye tovuti ya mbali na kuomba kuiwasha, ni mbali na ukweli kwamba kila kitu kitafanya kazi mara ya kwanza. Hasa ikiwa tunazungumza juu ya eneo tofauti na mtoaji tofauti.

Inatokea kwamba njia ya kuaminika zaidi ni kuwa na mtaalamu mzuri "kwa upande mwingine wa mstari" ambaye anaweza kusanidi sehemu yake kulingana na mradi huo. Ikiwa hakuna kitu kama hicho katika wafanyikazi wa tawi, chaguzi zinabaki: aidha utaftaji wa nje au kusafiri kwa biashara.

Pia tunahitaji mfumo wa ufuatiliaji. Inahitaji kusakinishwa, kusanidiwa, kudumishwa (angalau kufuatilia nafasi ya diski na kufanya chelezo mara kwa mara). Na ambayo haijui chochote kuhusu vifaa vyetu hadi tuiambie. Ili kufanya hivyo, unahitaji kujiandikisha mipangilio ya vipande vyote vya vifaa na kufuatilia mara kwa mara umuhimu wa rekodi.

Ni nzuri sana wakati wafanyakazi wana "orchestra ya mtu mmoja", ambayo, pamoja na ujuzi maalum wa msimamizi wa mtandao, anajua jinsi ya kufanya kazi na Zabbix au mfumo mwingine sawa. Vinginevyo, tunaajiri mtu mwingine kwa wafanyikazi au kutoka nje.

Kumbuka. Makosa ya kusikitisha zaidi huanza na maneno: "Kuna nini cha kusanidi Zabbix hii (Nagios, OpenView, nk)? Nitaichukua haraka na iko tayari!”

Kutoka utekelezaji hadi uendeshaji

Hebu tuangalie mfano maalum.

Ujumbe wa kengele ulipokelewa ukionyesha kuwa sehemu ya ufikiaji ya WiFi mahali fulani haijibu.

Yuko wapi?

Bila shaka, msimamizi mzuri wa mtandao ana saraka yake ya kibinafsi ambayo kila kitu kimeandikwa. Maswali huanza wakati habari hii inahitaji kushirikiwa. Kwa mfano, unahitaji haraka kutuma mjumbe kutatua mambo papo hapo, na kwa hili unahitaji kutoa kitu kama: "Mahali pa ufikiaji katika kituo cha biashara kwenye Mtaa wa Stroiteley, jengo la 1, kwenye ghorofa ya 3, ofisi Na. 301 karibu na mlango wa kuingilia chini ya dari."

Wacha tuseme tuna bahati na eneo la ufikiaji linawezeshwa kupitia PoE, na swichi inaruhusu kuwashwa tena kwa mbali. Huhitaji kusafiri, lakini unahitaji ufikiaji wa mbali kwa swichi. Kinachobaki ni kusanidi usambazaji wa bandari kupitia PAT kwenye kipanga njia, tambua VLAN ya kuunganisha kutoka nje, na kadhalika. Ni vizuri ikiwa kila kitu kimewekwa mapema. Kazi haiwezi kuwa ngumu, lakini inahitaji kufanywa.

Kwa hivyo, duka la chakula lilianzishwa tena. Haikusaidia?

Wacha tuseme kuna kitu kibaya katika vifaa. Sasa tunatafuta habari kuhusu dhamana, kuanza na maelezo mengine ya riba.

Akizungumza ya WiFi. Kutumia toleo la nyumbani la WPA2-PSK, ambalo lina ufunguo mmoja kwa vifaa vyote, haipendekezi katika mazingira ya ushirika. Kwanza, ufunguo mmoja kwa kila mtu sio salama, na pili, wakati mfanyakazi mmoja anaondoka, unapaswa kubadilisha ufunguo huu wa kawaida na ufanye upya mipangilio kwenye vifaa vyote kwa watumiaji wote. Ili kuzuia shida kama hizo, kuna WPA2-Enterprise na uthibitishaji wa kibinafsi kwa kila mtumiaji. Lakini kwa hili unahitaji seva ya RADIUS - kitengo kingine cha miundombinu kinachohitaji kudhibitiwa, chelezo zilizofanywa, na kadhalika.

Tafadhali kumbuka kuwa katika kila hatua, iwe ni utekelezaji au uendeshaji, tulitumia mifumo ya usaidizi. Hii inajumuisha kompyuta ndogo iliyo na muunganisho wa Mtandao wa "watu wengine", mfumo wa ufuatiliaji, hifadhidata ya marejeleo ya vifaa, na RADIUS kama mfumo wa uthibitishaji. Mbali na vifaa vya mtandao, unapaswa pia kudumisha huduma za watu wengine.

Katika hali kama hizi, unaweza kusikia ushauri: "Ipe kwa wingu na usiteseke." Hakika kuna Zabbix ya wingu, labda kuna RADIUS ya wingu mahali fulani, na hata hifadhidata ya wingu ili kudumisha orodha ya vifaa. Shida ni kwamba hii haihitajiki kando, lakini "kwenye chupa moja." Na bado, maswali huibuka kuhusu kupanga ufikiaji, usanidi wa awali wa kifaa, usalama, na mengi zaidi.

Je, inaonekanaje unapotumia Nebula?

Bila shaka, awali "wingu" haijui chochote kuhusu mipango yetu au vifaa vya kununuliwa.

Kwanza, wasifu wa shirika huundwa. Hiyo ni, miundombinu yote: makao makuu na matawi yamesajiliwa kwanza katika wingu. Maelezo yamebainishwa na akaunti zinaundwa kwa ajili ya kukasimu mamlaka.

Unaweza kusajili vifaa vyako kwenye wingu kwa njia mbili: mtindo wa zamani - kwa kuingiza nambari ya serial wakati wa kujaza fomu ya wavuti au kwa kuchanganua msimbo wa QR kwa kutumia simu ya rununu. Wote unahitaji kwa njia ya pili ni smartphone yenye kamera na upatikanaji wa mtandao, ikiwa ni pamoja na kupitia mtoa huduma wa simu.

Bila shaka, miundombinu muhimu ya kuhifadhi habari, uhasibu na mipangilio, hutolewa na Zyxel Nebula.

Kielelezo 1. Ripoti ya usalama ya Kituo cha Kudhibiti cha Nebula.

Vipi kuhusu kusanidi ufikiaji? Kufungua bandari, kusambaza trafiki kupitia lango linaloingia, yote ambayo wasimamizi wa usalama huita kwa upendo "kuchota mashimo"? Kwa bahati nzuri, hauitaji kufanya haya yote. Vifaa vinavyoendesha Nebula huanzisha muunganisho unaotoka. Na msimamizi huunganisha si kwa kifaa tofauti, lakini kwa wingu kwa usanidi. Nebula hupatanisha kati ya miunganisho miwili: kwa kifaa na kwa kompyuta ya msimamizi wa mtandao. Hii ina maana kwamba hatua ya kumpigia simu msimamizi anayeingia inaweza kupunguzwa au kurukwa kabisa. Na hakuna "mashimo" ya ziada kwenye firewall.

Vipi kuhusu seva ya RADUIS? Baada ya yote, aina fulani ya uthibitishaji wa kati inahitajika!

Na kazi hizi pia zinachukuliwa na Nebula. Uthibitishaji wa akaunti za upatikanaji wa vifaa hutokea kupitia hifadhidata salama. Hili hurahisisha sana utoaji au uondoaji wa haki za kusimamia mfumo. Tunahitaji kuhamisha haki - kuunda mtumiaji, kukabidhi jukumu. Tunahitaji kuchukua haki - tunafanya hatua za kinyume.

Kwa kando, inafaa kutaja WPA2-Enterprise, ambayo inahitaji huduma tofauti ya uthibitishaji. Zyxel Nebula ina analog yake - DPPSK, ambayo inakuwezesha kutumia WPA2-PSK na ufunguo wa mtu binafsi kwa kila mtumiaji.

Maswali "yasiyofaa".

Hapo chini tutajaribu kutoa majibu kwa maswali magumu ambayo mara nyingi huulizwa wakati wa kuingia kwenye huduma ya wingu

Je, ni salama kweli?

Katika ujumbe wowote wa udhibiti na usimamizi ili kuhakikisha usalama, mambo mawili yana jukumu muhimu: kutokujulikana na usimbaji fiche.

Kutumia usimbaji fiche ili kulinda trafiki dhidi ya macho ya kupenya ni jambo ambalo wasomaji wanafahamu zaidi au kidogo.

Kuficha utambulisho huficha maelezo kuhusu mmiliki na chanzo kutoka kwa wafanyikazi wa huduma ya wingu. Taarifa za kibinafsi huondolewa na rekodi hupewa kitambulisho "kisicho na uso". Sio msanidi programu wa wingu au msimamizi anayedumisha mfumo wa wingu anayeweza kujua mmiliki wa maombi. "Hii imetoka wapi? Ni nani anayeweza kupendezwa na hii?" - maswali kama haya yatabaki bila majibu. Ukosefu wa habari kuhusu mmiliki na chanzo hufanya mtu wa ndani kupoteza muda usio na maana.

Tukilinganisha mbinu hii na desturi ya kitamaduni ya kuajiri au kuajiri msimamizi anayeingia, ni dhahiri kwamba teknolojia za wingu ni salama zaidi. Mtaalamu wa IT anayeingia anajua mengi kuhusu shirika lake, na anaweza, kwa hiari, kusababisha madhara makubwa katika masuala ya usalama. Suala la kufukuzwa au kusitishwa kwa mkataba bado linahitaji kutatuliwa. Wakati mwingine, pamoja na kuzuia au kufuta akaunti, hii inajumuisha mabadiliko ya kimataifa ya nywila kwa ajili ya kupata huduma, pamoja na ukaguzi wa rasilimali zote za pointi "zilizosahaulika" na "alamisho" zinazowezekana.

Je, Nebula ni ghali au nafuu zaidi kiasi gani kuliko msimamizi anayeingia?

Kila kitu ni jamaa. Vipengele vya msingi vya Nebula vinapatikana bila malipo. Kweli, ni nini kinachoweza kuwa nafuu zaidi?

Bila shaka, haiwezekani kufanya kabisa bila msimamizi wa mtandao au mtu kuchukua nafasi yake. Swali ni idadi ya watu, utaalamu wao na usambazaji katika tovuti.

Kwa ajili ya huduma iliyopanuliwa iliyolipwa, kuuliza swali la moja kwa moja: ghali zaidi au nafuu - njia hiyo itakuwa daima isiyo sahihi na ya upande mmoja. Itakuwa sahihi zaidi kulinganisha mambo mengi, kuanzia pesa kulipia kazi ya wataalam maalum na kuishia na gharama za kuhakikisha mwingiliano wao na mkandarasi au mtu binafsi: udhibiti wa ubora, kuchora nyaraka, kudumisha kiwango cha usalama, na. kadhalika.

Ikiwa tunazungumza juu ya mada ya ikiwa ni faida au haina faida kununua kifurushi cha huduma zilizolipwa (Pro-Pack), basi jibu la takriban linaweza kusikika kama hii: ikiwa shirika ni ndogo, unaweza kupata na msingi. toleo, ikiwa shirika linakua, basi ni mantiki kufikiria kuhusu Pro-Pack. Tofauti kati ya matoleo ya Zyxel Nebula inaweza kuonekana katika Jedwali 1.

Jedwali 1. Tofauti kati ya seti za kipengele cha msingi na Pro-Pack kwa Nebula.

Hii ni pamoja na kuripoti kwa hali ya juu, ukaguzi wa watumiaji, uundaji wa usanidi, na mengi zaidi.

Vipi kuhusu ulinzi wa trafiki?

Nebula hutumia itifaki NETCONF ili kuhakikisha uendeshaji salama wa vifaa vya mtandao.

NETCONF inaweza kukimbia juu ya itifaki kadhaa za usafirishaji:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• NYUKI (RFC 4744);
• TLS (RFC 5539).

Ikiwa tunalinganisha NETCONF na njia zingine, kwa mfano, usimamizi kupitia SNMP, inapaswa kuzingatiwa kuwa NETCONF inasaidia muunganisho wa TCP unaotoka ili kushinda kizuizi cha NAT na inachukuliwa kuwa ya kuaminika zaidi.

Vipi kuhusu usaidizi wa vifaa?

Bila shaka, hupaswi kugeuza chumba cha seva kwenye zoo na wawakilishi wa aina za nadra na za hatari za vifaa. Inastahili sana kuwa vifaa vilivyounganishwa na teknolojia ya usimamizi vinashughulikia pande zote: kutoka kwa kubadili kati hadi pointi za kufikia. Wahandisi wa Zyxel walitunza uwezekano huu. Nebula inaendesha vifaa vingi:

• 10G swichi za kati;
• swichi za kiwango cha ufikiaji;
• swichi na PoE;
• pointi za kufikia;
• milango ya mtandao.

Kwa kutumia anuwai ya vifaa vinavyotumika, unaweza kuunda mitandao kwa aina mbalimbali za kazi. Hii ni kweli hasa kwa makampuni ambayo yanakua sio juu, lakini nje, daima yanachunguza maeneo mapya ya kufanya biashara.

Maendeleo ya kuendelea

Vifaa vya mtandao vilivyo na njia ya usimamizi wa jadi vina njia moja tu ya uboreshaji - kubadilisha kifaa yenyewe, iwe firmware mpya au moduli za ziada. Kwa upande wa Zyxel Nebula, kuna njia ya ziada ya kuboresha - kupitia kuboresha miundombinu ya wingu. Kwa mfano, baada ya kusasisha Kituo cha Kudhibiti cha Nebula (NCC) hadi toleo la 10.1. (Septemba 21, 2020) vipengele vipya vinapatikana kwa watumiaji, hapa ni baadhi yao:

• Mmiliki wa shirika sasa anaweza kuhamisha haki zote za umiliki kwa msimamizi mwingine katika shirika sawa;
• jukumu jipya linaloitwa Mwakilishi wa Mmiliki, ambaye ana haki sawa na mmiliki wa shirika;
• kipengele kipya cha sasisho la programu dhibiti ya shirika zima (kipengele cha Pro-Pack);
• chaguo mbili mpya zimeongezwa kwenye topolojia: kuanzisha upya kifaa na kugeuka na kuzima nguvu ya bandari ya PoE (Pro-Pack kazi);
• usaidizi wa mifano mpya ya vituo vya ufikiaji: WAC500, WAC500H, WAC5302D-Sv2 na NWA1123ACv3;
• usaidizi wa uthibitishaji wa vocha na uchapishaji wa msimbo wa QR (kazi ya Pro-Pack).

Viungo muhimu

1. Gumzo la Telegraph Zyxel
2. Jukwaa la Vifaa vya Zyxel
3. Video nyingi muhimu kwenye chaneli ya Youtube
4. Zyxel Nebula - urahisi wa usimamizi kama msingi wa kuweka akiba
5. Tofauti kati ya matoleo ya Zyxel Nebula
6. Zyxel Nebula na ukuaji wa kampuni
7. Zyxel Nebula supernova wingu - njia ya gharama nafuu kwa usalama?
8. Zyxel Nebula - Chaguzi kwa Biashara Yako

Chanzo: mapenzi.com