Pagbuo ng imprastraktura ng network batay sa Nebula. Bahagi 1 - mga problema at solusyon

Tatalakayin ng artikulo ang mga problema sa pag-aayos ng imprastraktura ng network sa tradisyonal na paraan at mga pamamaraan para sa paglutas ng parehong mga isyu gamit ang mga teknolohiya ng ulap.

Para sa sanggunian. Ang Nebula ay isang SaaS cloud environment para sa malayuang pagpapanatili ng imprastraktura ng network. Ang lahat ng Nebula-enabled na device ay pinamamahalaan mula sa cloud sa pamamagitan ng secure na koneksyon. Maaari mong pamahalaan ang isang malaking imprastraktura ng network na ipinamamahagi mula sa iisang sentro nang hindi ginugugol ang pagsisikap sa paglikha nito.

Bakit kailangan mo ng isa pang serbisyo sa cloud?

Ang pangunahing problema kapag nagtatrabaho sa imprastraktura ng network ay hindi pagdidisenyo ng network at pagbili ng mga kagamitan, o kahit na pag-install nito sa isang rack, ngunit lahat ng iba pa na kailangang gawin sa network na ito sa hinaharap.

Bagong network - lumang alalahanin

Kapag naglalagay ng bagong network node sa pagpapatakbo pagkatapos i-install at ikonekta ang kagamitan, magsisimula ang paunang pagsasaayos. Mula sa punto ng view ng "malaking bosses" - walang kumplikado: "Kinuha namin ang gumaganang dokumentasyon para sa proyekto at simulan ang pag-set up ..." Ito ay napakahusay na sinabi kapag ang lahat ng mga elemento ng network ay matatagpuan sa isang data center. Kung sila ay nakakalat sa mga sangay, ang sakit ng ulo ng pagbibigay ng malayuang pag-access ay magsisimula. Ito ay isang mabisyo na bilog: upang makakuha ng malayuang pag-access sa network, kailangan mong i-configure ang kagamitan sa network, at para dito kailangan mo ng access sa network...

Kailangan nating makabuo ng iba't ibang mga pamamaraan upang makaalis sa hindi pagkakasundo na inilarawan sa itaas. Halimbawa, ang isang laptop na may Internet access sa pamamagitan ng USB 4G modem ay konektado sa pamamagitan ng isang patch cord sa isang custom na network. Ang isang VPN client ay naka-install sa laptop na ito, at sa pamamagitan nito ang network administrator mula sa punong-tanggapan ay sumusubok na makakuha ng access sa network ng sangay. Ang scheme ay hindi ang pinaka-transparent - kahit na magdala ka ng isang laptop na may pre-configure na VPN sa isang malayong site at hilingin na i-on ito, ito ay malayo sa isang katotohanan na ang lahat ay gagana sa unang pagkakataon. Lalo na kung pinag-uusapan natin ang tungkol sa ibang rehiyon na may ibang provider.

Ito ay lumiliko na ang pinaka-maaasahang paraan ay ang pagkakaroon ng isang mahusay na espesyalista "sa kabilang dulo ng linya" na maaaring i-configure ang kanyang bahagi ayon sa proyekto. Kung walang ganoong bagay sa kawani ng sangay, ang mga pagpipilian ay mananatili: alinman sa outsourcing o paglalakbay sa negosyo.

Kailangan din natin ng monitoring system. Kailangan itong mai-install, i-configure, mapanatili (hindi bababa sa subaybayan ang puwang sa disk at gumawa ng mga regular na backup). At walang alam tungkol sa aming mga device hanggang sa sabihin namin ito. Upang gawin ito, kailangan mong magrehistro ng mga setting para sa lahat ng mga piraso ng kagamitan at regular na subaybayan ang kaugnayan ng mga talaan.

Napakahusay kapag ang kawani ay may sariling "one-man orchestra", na, bilang karagdagan sa tiyak na kaalaman ng isang administrator ng network, alam kung paano magtrabaho kasama ang Zabbix o isa pang katulad na sistema. Kung hindi, kumukuha kami ng ibang tao sa staff o i-outsource ito.

Tandaan. Ang pinakamalungkot na pagkakamali ay nagsisimula sa mga salitang: "Ano ang naroroon upang i-configure ang Zabbix na ito (Nagios, OpenView, atbp.)? Mabilis kong kukunin at handa na!"

Mula sa pagpapatupad hanggang sa operasyon

Tingnan natin ang isang partikular na halimbawa.

May natanggap na mensahe ng alarma na nagsasaad na hindi tumutugon ang isang WiFi access point sa isang lugar.

Saan siya matatagpuan?

Siyempre, ang isang mahusay na administrator ng network ay may sariling personal na direktoryo kung saan nakasulat ang lahat. Magsisimula ang mga tanong kapag kailangang ibahagi ang impormasyong ito. Halimbawa, kailangan mong agad na magpadala ng isang messenger upang ayusin ang mga bagay sa lugar, at para dito kailangan mong mag-isyu ng isang bagay tulad ng: "Access point sa business center sa Stroiteley Street, building 1, sa 3rd floor, office No. 301 sa tabi ng entrance door sa ilalim ng kisame."

Sabihin nating masuwerte tayo at ang access point ay pinapagana sa pamamagitan ng PoE, at pinapayagan ito ng switch na i-reboot nang malayuan. Hindi mo kailangang maglakbay, ngunit kailangan mo ng malayuang pag-access sa switch. Ang natitira na lang ay i-configure ang port forwarding sa pamamagitan ng PAT sa router, alamin ang VLAN para sa pagkonekta mula sa labas, at iba pa. Mabuti kung naka-set up nang maaga ang lahat. Maaaring hindi mahirap ang gawain, ngunit kailangan itong gawin.

Kaya, na-reboot ang outlet ng pagkain. Hindi nakakatulong?

Sabihin nating may mali sa hardware. Ngayon ay naghahanap kami ng impormasyon tungkol sa warranty, start-up at iba pang detalye ng interes.

Nagsasalita ng WiFi. Ang paggamit ng home version ng WPA2-PSK, na may isang key para sa lahat ng device, ay hindi inirerekomenda sa isang corporate environment. Una, ang isang key para sa lahat ay hindi ligtas, at pangalawa, kapag umalis ang isang empleyado, kailangan mong baguhin ang karaniwang key na ito at muling gawin ang mga setting sa lahat ng device para sa lahat ng user. Upang maiwasan ang mga ganitong problema, mayroong WPA2-Enterprise na may indibidwal na pagpapatunay para sa bawat user. Ngunit para dito kailangan mo ng RADIUS server - isa pang yunit ng imprastraktura na kailangang kontrolin, ginawa ang mga backup, at iba pa.

Pakitandaan na sa bawat yugto, ito man ay pagpapatupad o pagpapatakbo, gumamit kami ng mga support system. Kabilang dito ang isang laptop na may "third-party" na koneksyon sa Internet, isang monitoring system, isang database ng sanggunian ng kagamitan, at RADIUS bilang isang sistema ng pagpapatunay. Bilang karagdagan sa mga network device, kailangan mo ring panatilihin ang mga serbisyo ng third-party.

Sa ganitong mga kaso, maririnig mo ang payo: "Ibigay ito sa ulap at huwag magdusa." Tiyak na mayroong isang cloud Zabbix, marahil mayroong isang cloud RADIUS sa isang lugar, at kahit isang cloud database upang mapanatili ang isang listahan ng mga device. Ang problema ay hindi ito kailangan nang hiwalay, ngunit "sa isang bote." At gayon pa man, may mga tanong tungkol sa pag-aayos ng access, paunang pag-setup ng device, seguridad, at marami pa.

Ano ang hitsura nito kapag gumagamit ng Nebula?

Siyempre, sa simula ay walang alam ang “cloud” tungkol sa aming mga plano o sa biniling kagamitan.

Una, gumawa ng profile ng organisasyon. Iyon ay, ang buong imprastraktura: punong-tanggapan at mga sangay ay unang nakarehistro sa cloud. Tinukoy ang mga detalye at ginawa ang mga account para sa delegasyon ng awtoridad.

Maaari mong irehistro ang iyong mga device sa cloud sa dalawang paraan: ang lumang paraan - sa pamamagitan lamang ng paglalagay ng serial number kapag pinupunan ang isang web form o sa pamamagitan ng pag-scan ng QR code gamit ang isang mobile phone. Ang kailangan mo lang para sa pangalawang paraan ay isang smartphone na may camera at Internet access, kabilang ang sa pamamagitan ng isang mobile provider.

Siyempre, ang kinakailangang imprastraktura para sa pag-iimbak ng impormasyon, parehong accounting at mga setting, ay ibinibigay ng Zyxel Nebula.

Figure 1. Ulat sa seguridad ng Nebula Control Center.

Paano ang tungkol sa pagse-set up ng access? Pagbubukas ng mga port, pagpapasa ng trapiko sa pamamagitan ng isang papasok na gateway, ang lahat na magiliw na tinatawag ng mga administrador ng seguridad na "mga butas sa pagpili"? Sa kabutihang palad, hindi mo kailangang gawin ang lahat ng ito. Ang mga device na nagpapatakbo ng Nebula ay nagtatatag ng papalabas na koneksyon. At hindi kumokonekta ang administrator sa isang hiwalay na device, ngunit sa cloud para sa pagsasaayos. Ang Nebula ay namamagitan sa dalawang koneksyon: sa device at sa computer ng administrator ng network. Nangangahulugan ito na ang yugto ng pagtawag sa isang papasok na admin ay maaaring mabawasan o ganap na laktawan. At walang karagdagang "butas" sa firewall.

Paano ang server ng RADUIS? Pagkatapos ng lahat, kailangan ang ilang uri ng sentralisadong pagpapatunay!

At ang mga function na ito ay kinuha din ng Nebula. Ang pagpapatunay ng mga account para sa pag-access sa kagamitan ay nangyayari sa pamamagitan ng isang secure na database. Lubos nitong pinapasimple ang delegasyon o pag-withdraw ng mga karapatan para pamahalaan ang system. Kailangan naming ilipat ang mga karapatan - lumikha ng isang gumagamit, magtalaga ng isang tungkulin. Kailangan nating alisin ang mga karapatan - ginagawa natin ang mga kabaligtaran na hakbang.

Hiwalay, ito ay nagkakahalaga ng pagbanggit ng WPA2-Enterprise, na nangangailangan ng isang hiwalay na serbisyo sa pagpapatunay. Ang Zyxel Nebula ay may sariling analogue - DPPSK, na nagbibigay-daan sa iyong gamitin ang WPA2-PSK na may indibidwal na key para sa bawat user.

"Hindi maginhawa" na mga tanong

Sa ibaba ay susubukan naming magbigay ng mga sagot sa mga pinaka nakakalito na tanong na madalas itanong kapag pumapasok sa isang serbisyo sa cloud

Ligtas ba talaga?

Sa anumang delegasyon ng kontrol at pamamahala upang matiyak ang seguridad, dalawang salik ang gumaganap ng mahalagang papel: anonymization at pag-encrypt.

Ang paggamit ng encryption upang protektahan ang trapiko mula sa mga mapanlinlang na mata ay isang bagay na halos pamilyar sa mga mambabasa.

Itinatago ng anonymization ang impormasyon tungkol sa may-ari at pinagmulan mula sa mga tauhan ng cloud provider. Ang personal na impormasyon ay tinanggal at ang mga talaan ay itinalaga ng isang "walang mukha" na pagkakakilanlan. Hindi maaaring malaman ng developer ng cloud software o ng administrator na nagpapanatili ng cloud system ang may-ari ng mga kahilingan. "Saan ito nanggaling? Sino ang maaaring interesado dito?" - ang mga tanong na ito ay mananatiling hindi masasagot. Ang kakulangan ng impormasyon tungkol sa may-ari at pinagmulan ay ginagawang isang walang kabuluhang pag-aaksaya ng oras ang tagaloob.

Kung ihahambing natin ang diskarteng ito sa tradisyunal na kasanayan ng outsourcing o pagkuha ng papasok na administrator, malinaw na mas ligtas ang mga teknolohiya sa cloud. Ang isang papasok na IT specialist ay napakaraming alam tungkol sa kanyang organisasyon, at maaari, sa ayaw at sa gusto, magdulot ng malaking pinsala sa mga tuntunin ng seguridad. Kailangan pa ring lutasin ang isyu ng dismissal o pagwawakas ng kontrata. Minsan, bilang karagdagan sa pagharang o pagtanggal ng account, nangangailangan ito ng pandaigdigang pagbabago ng mga password para sa pag-access ng mga serbisyo, pati na rin ang pag-audit ng lahat ng mga mapagkukunan para sa "nakalimutan" na mga entry point at posibleng "mga bookmark."

Magkano ang mas mahal o mas mura ang Nebula kaysa sa isang papasok na admin?

Relatibo ang lahat. Ang mga pangunahing tampok ng Nebula ay magagamit nang libre. Sa totoo lang, ano ang maaaring maging mas mura?

Siyempre, imposibleng ganap na gawin nang walang isang administrator ng network o isang taong papalit sa kanya. Ang tanong ay ang bilang ng mga tao, ang kanilang espesyalisasyon at pamamahagi sa mga site.

Tulad ng para sa bayad na pinalawig na serbisyo, nagtatanong ng isang direktang tanong: mas mahal o mas mura - ang gayong diskarte ay palaging magiging hindi tumpak at isang panig. Mas tama kung ihambing ang maraming salik, mula sa pera upang bayaran ang trabaho ng mga partikular na espesyalista at magtatapos sa mga gastos sa pagtiyak ng kanilang pakikipag-ugnayan sa isang kontratista o indibidwal: kontrol sa kalidad, pagguhit ng dokumentasyon, pagpapanatili ng antas ng seguridad, at iba pa.

Kung pinag-uusapan natin ang paksa kung kumikita o hindi kumikita ang pagbili ng isang bayad na pakete ng mga serbisyo (Pro-Pack), kung gayon ang isang tinatayang sagot ay maaaring ganito ang tunog: kung maliit ang organisasyon, maaari kang makayanan gamit ang pangunahing bersyon, kung lumalaki ang organisasyon, makatuwirang isipin ang tungkol sa Pro-Pack. Ang mga pagkakaiba sa pagitan ng mga bersyon ng Zyxel Nebula ay makikita sa Talahanayan 1.

Talahanayan 1. Mga pagkakaiba sa pagitan ng basic at Pro-Pack feature set para sa Nebula.

Kabilang dito ang advanced na pag-uulat, pag-audit ng user, pag-clone ng configuration, at marami pang iba.

Paano naman ang proteksyon sa trapiko?

Ginagamit ng Nebula ang protocol NETCONF upang matiyak ang ligtas na operasyon ng mga kagamitan sa network.

Maaaring tumakbo ang NETCONF sa ibabaw ng ilang transport protocol:

• SSH (RFC 4742);
• SOAP (RFC 4743);
• MABUTI (RFC 4744);
• TLS (RFC 5539).

Kung ihahambing natin ang NETCONF sa iba pang mga pamamaraan, halimbawa, pamamahala sa pamamagitan ng SNMP, dapat tandaan na NETCONF sumusuporta sa papalabas na koneksyon sa TCP upang malampasan ang hadlang sa NAT at itinuturing na mas maaasahan.

Paano ang suporta sa hardware?

Siyempre, hindi mo dapat gawing zoo ang silid ng server na may mga kinatawan ng mga bihirang at endangered na uri ng kagamitan. Lubhang kanais-nais na ang mga kagamitan na pinagsama ng teknolohiya ng pamamahala ay sumasakop sa lahat ng direksyon: mula sa gitnang switch hanggang sa mga access point. Inalagaan ng mga inhinyero ng Zyxel ang posibilidad na ito. Ang Nebula ay nagpapatakbo ng maraming device:

• 10G gitnang switch;
• mga switch sa antas ng pag-access;
• Mga switch ng PoE;
• punto ng access;
• network gateway.

Gamit ang malawak na hanay ng mga sinusuportahang device, maaari kang bumuo ng mga network para sa iba't ibang uri ng mga gawain. Ito ay totoo lalo na para sa mga kumpanyang lumalago hindi pataas, ngunit palabas, patuloy na naggalugad ng mga bagong lugar para sa pagnenegosyo.

Patuloy na pag-unlad

Ang mga network device na may tradisyunal na paraan ng pamamahala ay may isang paraan lamang ng pagpapabuti - ang pagpapalit ng device mismo, ito man ay bagong firmware o karagdagang mga module. Sa kaso ng Zyxel Nebula, mayroong karagdagang landas para sa pagpapabuti - sa pamamagitan ng pagpapabuti ng imprastraktura ng ulap. Halimbawa, pagkatapos i-update ang Nebula Control Center (NCC) sa bersyon 10.1. (September 21, 2020) available ang mga bagong feature sa mga user, narito ang ilan sa mga ito:

• Ang may-ari ng isang organisasyon ay maaari na ngayong ilipat ang lahat ng mga karapatan sa pagmamay-ari sa isa pang administrator sa parehong organisasyon;
• isang bagong tungkulin na tinatawag na Owner Representative, na may parehong mga karapatan bilang may-ari ng organisasyon;
• bagong feature sa pag-update ng firmware sa buong organisasyon (Pro-Pack feature);
• dalawang bagong opsyon ang naidagdag sa topology: pag-reboot ng device at pag-on at off ng PoE port power (Pro-Pack function);
• suporta para sa mga bagong modelo ng access point: WAC500, WAC500H, WAC5302D-Sv2 at NWA1123ACv3;
• suporta para sa pagpapatunay ng voucher gamit ang pag-print ng QR code (Pro-Pack function).

Kapaki-pakinabang na mga link

1. Telegram chat Zyxel
2. Zyxel Equipment Forum
3. Maraming mga kapaki-pakinabang na video sa Youtube channel
4. Zyxel Nebula - kadalian ng pamamahala bilang batayan para sa pagtitipid
5. Pagkakaiba sa pagitan ng mga bersyon ng Zyxel Nebula
6. Zyxel Nebula at paglago ng kumpanya
7. Zyxel Nebula supernova cloud - isang cost-effective na landas patungo sa seguridad?
8. Zyxel Nebula – Mga Opsyon para sa Iyong Negosyo

Pinagmulan: www.habr.com