การสร้างโครงสร้างพื้นฐานเครือข่ายโดยใช้เนบิวลา ส่วนที่ 1 - ปัญหาและแนวทางแก้ไข

บทความนี้จะหารือเกี่ยวกับปัญหาการจัดโครงสร้างพื้นฐานเครือข่ายในวิธีดั้งเดิมและวิธีการแก้ไขปัญหาเดียวกันโดยใช้เทคโนโลยีคลาวด์

สำหรับการอ้างอิง Nebula คือสภาพแวดล้อมคลาวด์ SaaS สำหรับการบำรุงรักษาโครงสร้างพื้นฐานเครือข่ายจากระยะไกล อุปกรณ์ที่ใช้ Nebula ทั้งหมดได้รับการจัดการจากคลาวด์ผ่านการเชื่อมต่อที่ปลอดภัย คุณสามารถจัดการโครงสร้างพื้นฐานเครือข่ายแบบกระจายขนาดใหญ่ได้จากศูนย์เดียวโดยไม่ต้องเปลืองแรงในการสร้างมันขึ้นมา

ทำไมคุณถึงต้องการบริการคลาวด์อื่น?

ปัญหาหลักเมื่อทำงานกับโครงสร้างพื้นฐานเครือข่ายไม่ได้อยู่ที่การออกแบบเครือข่ายและการซื้ออุปกรณ์ หรือแม้แต่การติดตั้งในชั้นวาง แต่เป็นทุกสิ่งทุกอย่างที่จะต้องทำกับเครือข่ายนี้ในอนาคต

เครือข่ายใหม่-ความกังวลเก่า

เมื่อนำโหนดเครือข่ายใหม่ไปใช้งานหลังจากติดตั้งและเชื่อมต่ออุปกรณ์ การกำหนดค่าเริ่มต้นจะเริ่มต้นขึ้น จากมุมมองของ "หัวหน้าใหญ่" - ไม่มีอะไรซับซ้อน: "เราใช้เอกสารการทำงานสำหรับโครงการและเริ่มการตั้งค่า ... " นี่เป็นการกล่าวที่ดีเมื่อองค์ประกอบเครือข่ายทั้งหมดตั้งอยู่ในศูนย์ข้อมูลแห่งเดียว หากพวกมันกระจัดกระจายไปตามกิ่งก้าน ความปวดหัวในการเข้าถึงระยะไกลจะเริ่มต้นขึ้น มันเป็นวงจรอุบาทว์: ในการเข้าถึงระยะไกลผ่านเครือข่าย คุณต้องกำหนดค่าอุปกรณ์เครือข่าย และด้วยเหตุนี้ คุณต้องเข้าถึงผ่านเครือข่าย...

เราจะต้องคิดแผนการต่างๆ เพื่อหลุดพ้นจากทางตันที่อธิบายไว้ข้างต้น ตัวอย่างเช่น แล็ปท็อปที่เชื่อมต่ออินเทอร์เน็ตผ่านโมเด็ม USB 4G จะเชื่อมต่อผ่านสายแพทช์กับเครือข่ายที่กำหนดเอง แล็ปท็อปเครื่องนี้ติดตั้งไคลเอนต์ VPN และผู้ดูแลระบบเครือข่ายจากสำนักงานใหญ่พยายามเข้าถึงเครือข่ายสาขาผ่านไคลเอนต์ โครงการนี้ไม่โปร่งใสที่สุด - แม้ว่าคุณจะนำแล็ปท็อปที่มี VPN ที่กำหนดค่าไว้ล่วงหน้าไปยังไซต์ระยะไกลและขอให้เปิดใช้งาน แต่ก็ยังห่างไกลจากข้อเท็จจริงที่ว่าทุกอย่างจะทำงานได้ในครั้งแรก โดยเฉพาะอย่างยิ่งหากเรากำลังพูดถึงภูมิภาคอื่นกับผู้ให้บริการรายอื่น

ปรากฎว่าวิธีที่น่าเชื่อถือที่สุดคือการมีผู้เชี่ยวชาญที่ดี "ในอีกด้านหนึ่ง" ซึ่งสามารถกำหนดค่าส่วนของตนตามโครงการได้ หากไม่มีสิ่งนั้นในพนักงานสาขา ทางเลือกจะยังคงอยู่: การจ้างบุคคลภายนอกหรือการเดินทางเพื่อธุรกิจ

เรายังต้องมีระบบติดตามด้วย จำเป็นต้องติดตั้ง กำหนดค่า บำรุงรักษา (อย่างน้อยก็ตรวจสอบพื้นที่ดิสก์และทำการสำรองข้อมูลเป็นประจำ) และที่ไม่รู้อะไรเกี่ยวกับอุปกรณ์ของเราจนกว่าเราจะบอกมัน ในการดำเนินการนี้ คุณจะต้องลงทะเบียนการตั้งค่าสำหรับอุปกรณ์ทุกชิ้นและติดตามความเกี่ยวข้องของบันทึกอย่างสม่ำเสมอ

จะดีมากเมื่อพนักงานมี "วงดนตรีคนเดียว" ของตัวเอง ซึ่งนอกเหนือจากความรู้เฉพาะของผู้ดูแลระบบเครือข่ายแล้ว ยังรู้วิธีทำงานร่วมกับ Zabbix หรือระบบอื่นที่คล้ายคลึงกันอีกด้วย มิฉะนั้น เราจะจ้างบุคคลอื่นเป็นพนักงานหรือจ้างบุคคลภายนอก

หมายเหตุ ข้อผิดพลาดที่น่าเศร้าที่สุดเริ่มต้นด้วยคำว่า: “มีอะไรให้กำหนดค่า Zabbix นี้ (Nagios, OpenView ฯลฯ )? ฉันจะรีบไปรับมันและมันพร้อม!”

จากการปฏิบัติสู่การปฏิบัติ

ลองดูตัวอย่างที่เฉพาะเจาะจง

ได้รับข้อความแจ้งเตือนว่าจุดเข้าใช้งาน WiFi บางแห่งไม่ตอบสนอง

เธออยู่ที่ไหน?

แน่นอนว่าผู้ดูแลระบบเครือข่ายที่ดีย่อมมีไดเร็กทอรีส่วนตัวของตัวเองซึ่งทุกอย่างจะถูกจดบันทึกไว้ คำถามเริ่มต้นเมื่อจำเป็นต้องแบ่งปันข้อมูลนี้ ตัวอย่างเช่น คุณต้องส่งผู้ส่งสารอย่างเร่งด่วนเพื่อจัดการสิ่งต่าง ๆ ทันที และสำหรับสิ่งนี้คุณต้องออกบางอย่างเช่น: “จุดเข้าใช้งานในศูนย์ธุรกิจบนถนน Stroiteley อาคาร 1 บนชั้น 3 ห้องหมายเลข 301” XNUMX ข้างประตูหน้าใต้เพดาน”

สมมติว่าเราโชคดีและจุดเข้าใช้งานนั้นขับเคลื่อนผ่าน PoE และสวิตช์ทำให้สามารถรีบูตจากระยะไกลได้ คุณไม่จำเป็นต้องเดินทาง แต่คุณต้องเข้าถึงสวิตช์จากระยะไกล สิ่งที่เหลืออยู่คือการกำหนดค่าการส่งต่อพอร์ตผ่าน PAT บนเราเตอร์ ค้นหา VLAN สำหรับการเชื่อมต่อจากภายนอก และอื่นๆ คงจะดีถ้าทุกอย่างถูกตั้งค่าไว้ล่วงหน้า งานอาจไม่ยากแต่ก็ต้องทำให้สำเร็จ

ร้านอาหารจึงถูกรีบูทใหม่ ไม่ได้ช่วยเหรอ?

สมมติว่ามีบางอย่างผิดปกติในฮาร์ดแวร์ ตอนนี้เรากำลังมองหาข้อมูลเกี่ยวกับการรับประกัน การเริ่มต้นใช้งาน และรายละเอียดอื่นๆ ที่น่าสนใจ

เมื่อพูดถึงไวไฟ ไม่แนะนำให้ใช้ WPA2-PSK เวอร์ชันโฮมซึ่งมีคีย์เดียวสำหรับอุปกรณ์ทั้งหมด ไม่แนะนำให้ใช้ในสภาพแวดล้อมขององค์กร ประการแรก คีย์เดียวสำหรับทุกคนนั้นไม่ปลอดภัย และประการที่สอง เมื่อพนักงานคนหนึ่งลาออก คุณจะต้องเปลี่ยนคีย์ทั่วไปนี้และทำการตั้งค่าใหม่บนอุปกรณ์ทั้งหมดสำหรับผู้ใช้ทุกคน เพื่อหลีกเลี่ยงปัญหาดังกล่าว เราจึงมี WPA2-Enterprise พร้อมการตรวจสอบสิทธิ์ส่วนบุคคลสำหรับผู้ใช้แต่ละราย แต่สำหรับสิ่งนี้ คุณต้องมีเซิร์ฟเวอร์ RADIUS ซึ่งเป็นหน่วยโครงสร้างพื้นฐานอื่นที่ต้องได้รับการควบคุม ทำการสำรองข้อมูล และอื่นๆ

โปรดทราบว่าในทุกขั้นตอน ไม่ว่าจะเป็นการใช้งานหรือการดำเนินงาน เราใช้ระบบสนับสนุน ซึ่งรวมถึงแล็ปท็อปที่มีการเชื่อมต่ออินเทอร์เน็ต "บุคคลที่สาม" ระบบตรวจสอบ ฐานข้อมูลอ้างอิงอุปกรณ์ และ RADIUS เป็นระบบตรวจสอบความถูกต้อง นอกจากอุปกรณ์เครือข่ายแล้ว คุณยังต้องดูแลรักษาบริการของบุคคลที่สามอีกด้วย

ในกรณีเช่นนี้ คุณสามารถได้ยินคำแนะนำ: “Give it to the cloud and don’t punish.” แน่นอนว่ามีคลาวด์ Zabbix บางทีอาจมี RADIUS คลาวด์อยู่ที่ไหนสักแห่งและแม้แต่ฐานข้อมูลคลาวด์เพื่อรักษารายการอุปกรณ์ ปัญหาคือไม่จำเป็นต้องใช้แยกต่างหาก แต่ "ในขวดเดียว" ยังคงมีคำถามเกิดขึ้นเกี่ยวกับการจัดระเบียบการเข้าถึง การตั้งค่าอุปกรณ์เบื้องต้น ความปลอดภัย และอื่นๆ อีกมากมาย

เมื่อใช้เนบิวลาจะมีลักษณะอย่างไร

แน่นอนว่าในตอนแรก “คลาวด์” ไม่รู้อะไรเลยเกี่ยวกับแผนของเราหรืออุปกรณ์ที่ซื้อมา

ขั้นแรก สร้างโปรไฟล์องค์กร นั่นคือโครงสร้างพื้นฐานทั้งหมด: สำนักงานใหญ่และสาขาได้รับการลงทะเบียนในระบบคลาวด์เป็นครั้งแรก มีการระบุรายละเอียดและสร้างบัญชีเพื่อมอบอำนาจ

คุณสามารถลงทะเบียนอุปกรณ์ของคุณในระบบคลาวด์ได้สองวิธี: แบบเก่า - เพียงป้อนหมายเลขซีเรียลเมื่อกรอกแบบฟอร์มบนเว็บ หรือโดยการสแกนโค้ด QR โดยใช้โทรศัพท์มือถือ สิ่งที่คุณต้องมีสำหรับวิธีที่สองคือสมาร์ทโฟนที่มีกล้องและอินเทอร์เน็ต รวมถึงผ่านผู้ให้บริการมือถือ

แน่นอนว่า Zyxel Nebula เป็นผู้จัดหาโครงสร้างพื้นฐานที่จำเป็นสำหรับการจัดเก็บข้อมูล ทั้งด้านบัญชีและการตั้งค่า

รูปที่ 1 รายงานความปลอดภัยของศูนย์ควบคุมเนบิวลา

แล้วการตั้งค่าการเข้าถึงล่ะ? การเปิดพอร์ต การส่งต่อการรับส่งข้อมูลผ่านเกตเวย์ขาเข้า ทั้งหมดที่ผู้ดูแลระบบความปลอดภัยเรียกเสน่หาว่า "การเลือกช่องโหว่" โชคดีที่คุณไม่จำเป็นต้องทำทั้งหมดนี้ อุปกรณ์ที่ใช้ Nebula จะสร้างการเชื่อมต่อขาออก และผู้ดูแลระบบไม่ได้เชื่อมต่อกับอุปกรณ์แยกต่างหาก แต่เชื่อมต่อกับคลาวด์เพื่อการกำหนดค่า เนบิวลาเป็นสื่อกลางระหว่างการเชื่อมต่อสองแบบ: ไปยังอุปกรณ์และกับคอมพิวเตอร์ของผู้ดูแลระบบเครือข่าย ซึ่งหมายความว่าขั้นตอนการโทรหาผู้ดูแลระบบที่เข้ามาสามารถย่อหรือข้ามไปได้เลย และไม่มี “ช่องโหว่” เพิ่มเติมในไฟร์วอลล์

แล้วเซิร์ฟเวอร์ RADUIS ล่ะ? ท้ายที่สุดแล้ว จำเป็นต้องมีการรับรองความถูกต้องแบบรวมศูนย์บางประเภท!

และฟังก์ชันเหล่านี้ก็ถูกเนบิวลาเข้ายึดครองด้วย การรับรองความถูกต้องของบัญชีสำหรับการเข้าถึงอุปกรณ์เกิดขึ้นผ่านฐานข้อมูลที่ปลอดภัย สิ่งนี้ช่วยลดความยุ่งยากในการมอบหมายหรือเพิกถอนสิทธิ์ในการจัดการระบบได้อย่างมาก เราจำเป็นต้องโอนสิทธิ์ - สร้างผู้ใช้ กำหนดบทบาท เราจำเป็นต้องเพิกถอนสิทธิ์ - เราทำขั้นตอนย้อนกลับ

แยกกันเป็นมูลค่าการกล่าวขวัญ WPA2-Enterprise ซึ่งต้องการบริการตรวจสอบสิทธิ์แยกต่างหาก Zyxel Nebula มีอะนาล็อกของตัวเอง - DPPSK ซึ่งอนุญาตให้คุณใช้ WPA2-PSK กับรหัสเฉพาะสำหรับผู้ใช้แต่ละคน

คำถามที่ "ไม่สะดวก"

ด้านล่างนี้เราจะพยายามให้คำตอบสำหรับคำถามที่ยุ่งยากที่สุดซึ่งมักถูกถามเมื่อเข้าสู่บริการคลาวด์

ปลอดภัยจริงหรือ?

ในการมอบหมายการควบคุมและการจัดการเพื่อให้มั่นใจในความปลอดภัย ปัจจัยสองประการที่มีบทบาทสำคัญ: การทำให้ไม่ระบุชื่อและการเข้ารหัส

การใช้การเข้ารหัสเพื่อป้องกันการรับส่งข้อมูลจากการสอดรู้สอดเห็นเป็นสิ่งที่ผู้อ่านคุ้นเคยไม่มากก็น้อย

การลบข้อมูลระบุตัวตนจะซ่อนข้อมูลเกี่ยวกับเจ้าของและแหล่งที่มาจากบุคลากรของผู้ให้บริการคลาวด์ ข้อมูลส่วนบุคคลจะถูกลบออกและบันทึกจะถูกกำหนดให้เป็นตัวระบุแบบ "ไร้ตัวตน" ทั้งนักพัฒนาซอฟต์แวร์คลาวด์และผู้ดูแลระบบที่ดูแลระบบคลาวด์ไม่สามารถรู้จักเจ้าของคำขอได้ "นี่มาจากไหน? ใครบ้างที่อาจสนใจสิ่งนี้” - คำถามดังกล่าวจะยังไม่มีคำตอบ การขาดข้อมูลเกี่ยวกับเจ้าของและแหล่งที่มาทำให้คนวงในเสียเวลาอย่างไร้จุดหมาย

หากเราเปรียบเทียบแนวทางนี้กับแนวทางปฏิบัติแบบดั้งเดิมของการจ้างบุคคลภายนอกหรือการจ้างผู้ดูแลระบบที่เข้ามาใหม่ จะเห็นได้ชัดว่าเทคโนโลยีคลาวด์ปลอดภัยกว่า ผู้เชี่ยวชาญด้านไอทีที่เข้ามาใหม่มีความรู้ค่อนข้างมากเกี่ยวกับองค์กรของเขา และสามารถที่จะก่อให้เกิดอันตรายร้ายแรงในแง่ของความปลอดภัยได้ ปัญหาการเลิกจ้างหรือการบอกเลิกสัญญายังคงต้องได้รับการแก้ไข บางครั้ง นอกเหนือจากการบล็อกหรือลบบัญชีแล้ว สิ่งนี้ยังรวมถึงการเปลี่ยนแปลงรหัสผ่านทั่วโลกสำหรับการเข้าถึงบริการ รวมถึงการตรวจสอบทรัพยากรทั้งหมดสำหรับจุดเข้าใช้งานที่ "ถูกลืม" และ "บุ๊กมาร์ก" ที่เป็นไปได้

Nebula มีราคาแพงกว่าหรือถูกกว่าผู้ดูแลระบบที่เข้ามามากแค่ไหน?

ทุกสิ่งมีความสัมพันธ์กัน คุณสมบัติพื้นฐานของเนบิวลามีให้ใช้งานฟรี จริงๆ แล้วอะไรจะถูกกว่านี้ล่ะ?

แน่นอนว่าเป็นไปไม่ได้เลยหากไม่มีผู้ดูแลระบบเครือข่ายหรือบุคคลที่มาแทนที่เขา คำถามคือจำนวนคน ความเชี่ยวชาญเฉพาะทาง และการกระจายตัวทั่วทั้งไซต์งาน

สำหรับบริการเสริมแบบชำระเงิน ให้ถามคำถามตรงๆ: แพงกว่าหรือถูกกว่า - วิธีการดังกล่าวจะไม่ถูกต้องและเป็นฝ่ายเดียวเสมอ การเปรียบเทียบปัจจัยหลายประการจะถูกต้องมากกว่า นับตั้งแต่เงินที่จ่ายให้กับการทำงานของผู้เชี่ยวชาญเฉพาะด้านและจบลงด้วยค่าใช้จ่ายในการรับรองการมีปฏิสัมพันธ์กับผู้รับเหมาหรือบุคคล: การควบคุมคุณภาพ การจัดทำเอกสาร การรักษาระดับความปลอดภัย และ เร็วๆ นี้.

หากเรากำลังพูดถึงหัวข้อว่าการซื้อแพ็คเกจบริการแบบชำระเงิน (Pro-Pack) ได้กำไรหรือไม่ทำกำไร คำตอบโดยประมาณอาจมีลักษณะดังนี้: หากองค์กรมีขนาดเล็ก คุณสามารถผ่านพื้นฐานไปได้ หากองค์กรกำลังเติบโต ก็สมเหตุสมผลที่จะคิดถึง Pro-Pack ความแตกต่างระหว่างเวอร์ชันต่างๆ ของ Zyxel Nebula สามารถดูได้ในตารางที่ 1

ตารางที่ 1 ความแตกต่างระหว่างชุดคุณลักษณะพื้นฐานและชุด Pro-Pack สำหรับ Nebula

ซึ่งรวมถึงการรายงานขั้นสูง การตรวจสอบผู้ใช้ การโคลนการกำหนดค่า และอื่นๆ อีกมากมาย

แล้วการป้องกันการจราจรล่ะ?

เนบิวลาใช้โปรโตคอล เน็ตคอนเอฟ เพื่อให้มั่นใจว่าอุปกรณ์เครือข่ายทำงานอย่างปลอดภัย

NETCONF สามารถทำงานบนโปรโตคอลการขนส่งหลายแบบ:

• SSH (RFC 4742);
• สบู่ (RFC 4743);
• เสียงบี๊บ (RFC 4744);
• TLS (RFC 5539).

หากเราเปรียบเทียบ NETCONF กับวิธีอื่นๆ เช่น การจัดการผ่าน SNMP ก็ควรสังเกตว่า เน็ตคอนเอฟ รองรับการเชื่อมต่อ TCP ขาออกเพื่อเอาชนะอุปสรรค NAT และถือว่ามีความน่าเชื่อถือมากกว่า

แล้วการสนับสนุนฮาร์ดแวร์ล่ะ?

แน่นอนว่าคุณไม่ควรเปลี่ยนห้องเซิร์ฟเวอร์ให้เป็นสวนสัตว์โดยมีตัวแทนอุปกรณ์ประเภทหายากและใกล้สูญพันธุ์ เป็นที่พึงปรารถนาอย่างยิ่งว่าอุปกรณ์ที่ใช้เทคโนโลยีการจัดการจะครอบคลุมทุกทิศทางตั้งแต่สวิตช์ส่วนกลางไปจนถึงจุดเข้าใช้งาน วิศวกรของไซเซลดูแลความเป็นไปได้นี้ เนบิวลามีอุปกรณ์มากมาย:

• สวิตช์กลาง 10G;
• สวิตช์ระดับการเข้าถึง
• สวิตช์ด้วย PoE;
• จุดเข้าใช้งาน;
• เกตเวย์เครือข่าย

ด้วยการใช้อุปกรณ์ที่รองรับที่หลากหลาย คุณสามารถสร้างเครือข่ายสำหรับงานประเภทต่างๆ ได้ นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับบริษัทที่ไม่ได้เติบโตสูงขึ้น แต่เติบโตภายนอกและสำรวจพื้นที่ใหม่ๆ ในการทำธุรกิจอยู่ตลอดเวลา

การพัฒนาต่อเนื่อง

อุปกรณ์เครือข่ายที่มีวิธีการจัดการแบบดั้งเดิมมีวิธีการปรับปรุงเพียงวิธีเดียวเท่านั้น - การเปลี่ยนอุปกรณ์เอง ไม่ว่าจะเป็นเฟิร์มแวร์ใหม่หรือโมดูลเพิ่มเติม ในกรณีของ Zyxel Nebula มีเส้นทางเพิ่มเติมสำหรับการปรับปรุง - ผ่านการปรับปรุงโครงสร้างพื้นฐานคลาวด์ ตัวอย่างเช่น หลังจากอัปเดต Nebula Control Center (NCC) เป็นเวอร์ชัน 10.1 (21 กันยายน 2020) ฟีเจอร์ใหม่พร้อมให้ผู้ใช้ใช้งานได้ นี่คือบางส่วน:

• ขณะนี้เจ้าขององค์กรสามารถโอนสิทธิ์การเป็นเจ้าของทั้งหมดให้กับผู้ดูแลระบบรายอื่นในองค์กรเดียวกันได้
• บทบาทใหม่ที่เรียกว่า Owner Representative ซึ่งมีสิทธิเช่นเดียวกับเจ้าขององค์กร
• คุณสมบัติการอัพเดตเฟิร์มแวร์ทั่วทั้งองค์กร (คุณสมบัติ Pro-Pack);
• มีการเพิ่มสองตัวเลือกใหม่ให้กับโทโพโลยี: การรีบูตอุปกรณ์และการเปิดและปิดพอร์ต PoE (ฟังก์ชัน Pro-Pack);
• รองรับจุดเข้าใช้งานรุ่นใหม่: WAC500, WAC500H, WAC5302D-Sv2 และ NWA1123ACv3;
• รองรับการตรวจสอบบัตรกำนัลด้วยการพิมพ์รหัส QR (ฟังก์ชั่น Pro-Pack)

ลิงค์ที่มีประโยชน์

1. โทรเลขแชทไซเซล
2. ฟอรัมอุปกรณ์ไซเซล
3. วิดีโอที่มีประโยชน์มากมายในช่อง Youtube
4. Zyxel Nebula - ความง่ายในการจัดการเป็นพื้นฐานสำหรับการประหยัด
5. ความแตกต่างระหว่างรุ่น Zyxel Nebula
6. Zyxel Nebula และการเติบโตของบริษัท
7. Zyxel Nebula supernova cloud - เส้นทางสู่การรักษาความปลอดภัยที่คุ้มค่าหรือไม่?
8. Zyxel Nebula – ตัวเลือกสำหรับธุรกิจของคุณ

ที่มา: will.com