Maqolada tarmoq infratuzilmasini an'anaviy usulda tashkil etish muammolari va bulutli texnologiyalardan foydalangan holda bir xil muammolarni hal qilish usullari muhokama qilinadi.
Malumot uchun. Nebula - bu tarmoq infratuzilmasini masofadan turib saqlash uchun SaaS bulutli muhiti. Nebula-ni yoqadigan barcha qurilmalar xavfsiz ulanish orqali bulutdan boshqariladi. Katta taqsimlangan tarmoq infratuzilmasini yaratish uchun kuch sarflamasdan bitta markazdan boshqarishingiz mumkin.
Nima uchun sizga boshqa bulut xizmati kerak?
Tarmoq infratuzilmasi bilan ishlashda asosiy muammo tarmoqni loyihalash va uskunani sotib olish yoki hatto uni rafga o'rnatish emas, balki kelajakda ushbu tarmoq bilan bajarilishi kerak bo'lgan barcha narsalardir.
Yangi tarmoq - eski tashvishlar
Uskunani o'rnatish va ulashdan keyin yangi tarmoq tugunini ishga tushirishda dastlabki konfiguratsiya boshlanadi. "Katta xo'jayinlar" nuqtai nazaridan - hech qanday murakkab narsa yo'q: "Biz loyiha uchun ishchi hujjatlarni olamiz va sozlashni boshlaymiz ..." Bu tarmoqning barcha elementlari bitta ma'lumot markazida joylashganida juda yaxshi aytiladi. Agar ular filiallar bo'ylab tarqalib ketgan bo'lsa, masofadan kirishni ta'minlashning bosh og'rig'i boshlanadi. Bu shunday shafqatsiz doira: tarmoq orqali masofadan kirish uchun siz tarmoq uskunasini sozlashingiz kerak va buning uchun sizga tarmoq orqali kirish kerak ...
Yuqorida tavsiflangan boshi berk ko'chadan chiqish uchun turli sxemalarni o'ylab topishimiz kerak. Misol uchun, USB 4G-modem orqali Internetga kirish imkoniga ega noutbuk maxsus tarmoqqa yamoq kabeli orqali ulangan. Ushbu noutbukda VPN mijozi o'rnatilgan va u orqali shtab-kvartiraning tarmoq ma'muri filial tarmog'iga kirishga harakat qiladi. Sxema eng shaffof emas - hatto uzoq saytga oldindan sozlangan VPN bilan noutbukni olib kelib, uni yoqishni so'rasangiz ham, hamma narsa birinchi marta ishlaydi, degan haqiqatdan yiroq. Ayniqsa, agar biz boshqa provayder bilan boshqa mintaqa haqida gapiradigan bo'lsak.
Ma'lum bo'lishicha, eng ishonchli yo'l - "chiziqning narigi tomonida" o'z qismini loyihaga muvofiq sozlashi mumkin bo'lgan yaxshi mutaxassisga ega bo'lish. Agar filial xodimlarida bunday narsa bo'lmasa, variantlar qoladi: autsorsing yoki ish safari.
Bizga ham monitoring tizimi kerak. Uni o'rnatish, sozlash, saqlash kerak (hech bo'lmaganda diskdagi bo'sh joyni kuzatib boring va muntazam zaxira nusxalarini yarating). Va biz aytmagunimizcha, bizning qurilmalarimiz haqida hech narsa bilmaydi. Buning uchun siz barcha jihozlar uchun sozlamalarni ro'yxatdan o'tkazishingiz va yozuvlarning dolzarbligini muntazam ravishda kuzatib borishingiz kerak.
Xodimning tarmoq ma'murining maxsus bilimlaridan tashqari, Zabbix yoki boshqa shunga o'xshash tizim bilan qanday ishlashni biladigan o'z "bir kishilik orkestri" bo'lsa, bu juda yaxshi. Aks holda, biz boshqa odamni xodimlarga yollaymiz yoki uni autsorsing qilamiz.
Eslatma. Eng achinarli xatolar quyidagi so'zlar bilan boshlanadi: "Ushbu Zabbixni (Nagios, OpenView va boshqalar) sozlash uchun nima bor? Men tezda olib ketaman va u tayyor!
Amalga oshirishdan foydalanishgacha
Keling, aniq bir misolni ko'rib chiqaylik.
Wi-Fi kirish nuqtasi biror joyda javob bermayotganini bildiruvchi signal xabari olindi.
U qayerda joylashgan?
Albatta, yaxshi tarmoq ma'muri o'zining shaxsiy katalogiga ega bo'lib, unda hamma narsa yozilgan. Savollar bu ma'lumot almashish kerak bo'lganda boshlanadi. Masalan, siz zudlik bilan narsalarni joyida hal qilish uchun messenjerni yuborishingiz kerak va buning uchun siz quyidagi narsalarni berishingiz kerak: “Stroiteley ko'chasidagi biznes markazidagi kirish punkti, 1-bino, 3-qavat, №301 xona. XNUMX shift ostidagi old eshik yonida."
Aytaylik, omadimiz keldi va kirish nuqtasi PoE orqali quvvatlanadi va kalit uni masofadan turib qayta ishga tushirishga imkon beradi. Sayohat qilishingiz shart emas, lekin kalitga masofadan kirish kerak. Routerda PAT orqali portni yo'naltirishni sozlash, tashqaridan ulanish uchun VLAN-ni aniqlash va hokazo. Agar hamma narsa oldindan tuzilgan bo'lsa yaxshi bo'ladi. Ish qiyin bo'lmasligi mumkin, lekin buni qilish kerak.
Shunday qilib, oziq-ovqat do'koni qayta ishga tushirildi. Yordam bermadimi?
Aytaylik, apparatda biror narsa noto'g'ri. Endi biz kafolat, ishga tushirish va boshqa qiziqarli ma'lumotlar haqida ma'lumot qidirmoqdamiz.
WiFi haqida gapirganda. Barcha qurilmalar uchun bitta kalitga ega bo'lgan WPA2-PSK uy versiyasidan foydalanish korporativ muhitda tavsiya etilmaydi. Birinchidan, hamma uchun bitta kalit shunchaki xavfsiz emas, ikkinchidan, bitta xodim ketganda, siz ushbu umumiy kalitni o'zgartirishingiz va barcha foydalanuvchilar uchun barcha qurilmalardagi sozlamalarni qayta bajarishingiz kerak. Bunday muammolarni oldini olish uchun har bir foydalanuvchi uchun individual autentifikatsiyaga ega WPA2-Enterprise mavjud. Ammo buning uchun sizga RADIUS server kerak - boshqarilishi kerak bo'lgan boshqa infratuzilma birligi, zaxira nusxalarini yaratish va hokazo.
Iltimos, shuni yodda tutingki, har bir bosqichda, xoh u amalga oshirish yoki ishlatish, biz qo'llab-quvvatlash tizimlaridan foydalanganmiz. Bunga "uchinchi tomon" Internetga ulanishi bo'lgan noutbuk, monitoring tizimi, uskunalar ma'lumot bazasi va autentifikatsiya tizimi sifatida RADIUS kiradi. Tarmoq qurilmalariga qo'shimcha ravishda siz uchinchi tomon xizmatlarini ham saqlashingiz kerak.
Bunday hollarda siz maslahatni eshitishingiz mumkin: "Bulutga bering va azob chekmang". Albatta, Zabbix buluti bor, ehtimol qaerdadir bulutli RADIUS va hatto qurilmalar ro'yxatini yuritish uchun bulutli ma'lumotlar bazasi mavjud. Muammo shundaki, bu alohida emas, balki "bir shishada" kerak. Va shunga qaramay, kirishni tashkil qilish, qurilmani dastlabki sozlash, xavfsizlik va boshqalar haqida savollar tug'iladi.
Tumanlikdan foydalanganda u nimaga o'xshaydi?
Albatta, dastlab "bulut" bizning rejalarimiz yoki sotib olingan uskunalar haqida hech narsa bilmaydi.
Birinchidan, tashkilot profili yaratiladi. Ya'ni, butun infratuzilma: shtab-kvartira va filiallar avval bulutda ro'yxatga olinadi. Tafsilotlar ko'rsatiladi va vakolatlarni topshirish uchun hisoblar yaratiladi.
Qurilmalaringizni bulutda ikki usulda ro‘yxatdan o‘tkazishingiz mumkin: eski usulda – veb-shaklni to‘ldirishda seriya raqamini kiritish yoki mobil telefon yordamida QR kodni skanerlash orqali. Ikkinchi usul uchun sizga kerak bo'lgan narsa - bu kameraga ega smartfon va Internetga kirish, shu jumladan mobil provayder orqali.
Albatta, ma'lumotlarni saqlash uchun zarur infratuzilma, ham buxgalteriya hisobi, ham sozlamalar Zyxel Nebula tomonidan taqdim etiladi.
Shakl 1. Tumanlikni boshqarish markazi xavfsizlik hisoboti.
Kirishni sozlash haqida nima deyish mumkin? Portlarni ochish, kiruvchi shlyuz orqali trafikni yo'naltirish, xavfsizlik ma'murlari mehr bilan "teshiklarni tanlash" deb atashadimi? Yaxshiyamki, bularning barchasini qilishning hojati yo'q. Nebula bilan ishlaydigan qurilmalar chiquvchi ulanishni o'rnatadi. Va administrator alohida qurilmaga emas, balki konfiguratsiya uchun bulutga ulanadi. Tumanlik ikkita ulanish o'rtasida vositachilik qiladi: qurilmaga va tarmoq ma'murining kompyuteriga. Bu kiruvchi administratorni chaqirish bosqichini minimallashtirish yoki umuman o'tkazib yuborish mumkinligini anglatadi. Va xavfsizlik devorida qo'shimcha "teshiklar" yo'q.
RADUIS serveri haqida nima deyish mumkin? Axir, qandaydir markazlashtirilgan autentifikatsiya kerak!
Va bu funktsiyalarni ham tumanlik o'z zimmasiga oladi. Uskunaga kirish uchun hisoblarning autentifikatsiyasi xavfsiz ma'lumotlar bazasi orqali amalga oshiriladi. Bu tizimni boshqarish huquqini topshirish yoki olib qo'yishni sezilarli darajada osonlashtiradi. Biz huquqlarni uzatishimiz kerak - foydalanuvchi yarating, rol tayinlang. Biz huquqlarni olib qo'yishimiz kerak - biz teskari qadamlarni bajaramiz.
Alohida-alohida, alohida autentifikatsiya xizmatini talab qiladigan WPA2-Enterprise-ni eslatib o'tish kerak. Zyxel Nebula o'z analogiga ega - DPPSK, bu har bir foydalanuvchi uchun individual kalit bilan WPA2-PSK dan foydalanish imkonini beradi.
"Noqulay" savollar
Quyida biz bulut xizmatiga kirishda tez-tez so'raladigan eng qiyin savollarga javob berishga harakat qilamiz
Bu haqiqatan ham xavfsizmi?
Xavfsizlikni ta'minlash uchun har qanday nazorat va boshqaruv delegatsiyasida ikkita omil muhim rol o'ynaydi: anonimlashtirish va shifrlash.
Trafikni begona ko'zlardan himoya qilish uchun shifrlashdan foydalanish o'quvchilarga ko'proq yoki kamroq tanish bo'lgan narsadir.
Anonimizatsiya egasi va manba haqidagi ma'lumotlarni bulutli provayder xodimlaridan yashiradi. Shaxsiy ma'lumotlar o'chiriladi va yozuvlarga "yuzsiz" identifikator beriladi. Bulutli dasturiy ta'minot ishlab chiqaruvchisi ham, bulutli tizimga xizmat ko'rsatuvchi administrator ham so'rovlar egasini bila olmaydi. "Bu qaerdan paydo bo'ldi? Bundan kim manfaatdor bo'lishi mumkin?" - bu kabi savollar javobsiz qoladi. Egasi va manbasi haqidagi ma'lumotlarning etishmasligi insayderni vaqtni behuda sarflashga olib keladi.
Agar biz ushbu yondashuvni an'anaviy autsorsing yoki kiruvchi ma'murni yollash amaliyoti bilan taqqoslasak, bulutli texnologiyalar xavfsizroq ekanligi aniq. Kelayotgan IT mutaxassisi o'z tashkiloti haqida juda ko'p narsalarni biladi va ixtiyoriy ravishda xavfsizlik nuqtai nazaridan katta zarar etkazishi mumkin. Ishdan bo'shatish yoki shartnomani bekor qilish masalasi hali ham hal qilinishi kerak. Ba'zan, hisobni bloklash yoki o'chirishdan tashqari, bu xizmatlarga kirish uchun parollarni global o'zgartirishni, shuningdek, "unutilgan" kirish nuqtalari va mumkin bo'lgan "xatcho'plar" uchun barcha resurslarni tekshirishni talab qiladi.
Tumanlik kiruvchi administratorga qaraganda qanchalik qimmatroq yoki arzonroq?
Hamma narsa nisbiy. Tumanlikning asosiy xususiyatlari bepul mavjud. Aslida, nima arzonroq bo'lishi mumkin?
Albatta, tarmoq ma'muri yoki uning o'rnini bosadigan shaxssiz butunlay qilish mumkin emas. Savol odamlar soni, ularning ixtisoslashuvi va saytlar bo'ylab taqsimlanishi.
Pulli kengaytirilgan xizmatga kelsak, to'g'ridan-to'g'ri savol berish: qimmatroq yoki arzonroq - bunday yondashuv har doim noto'g'ri va bir tomonlama bo'ladi. Puldan tortib ma'lum mutaxassislarning ishiga haq to'lashgacha va ularning pudratchi yoki jismoniy shaxs bilan o'zaro munosabatlarini ta'minlash xarajatlarigacha bo'lgan ko'plab omillarni taqqoslash to'g'ri bo'ladi: sifat nazorati, hujjatlarni rasmiylashtirish, xavfsizlik darajasini saqlash va boshqalar. hokazo.
Agar biz pullik xizmatlar to'plamini (Pro-Pack) sotib olish foydali yoki foydali emasligi haqida gapiradigan bo'lsak, unda taxminiy javob quyidagicha bo'lishi mumkin: agar tashkilot kichik bo'lsa, siz asosiy narsa bilan shug'ullanishingiz mumkin. versiyasi, agar tashkilot o'sib borayotgan bo'lsa, unda Pro-Pack haqida o'ylash mantiqan. Zyxel tumanligi versiyalari orasidagi farqlarni 1-jadvalda ko'rish mumkin.
Jadval 1. Tumanlik uchun asosiy va Pro-Pack funksiyalar to'plami o'rtasidagi farqlar.
Bunga ilg'or hisobot, foydalanuvchi auditi, konfiguratsiyani klonlash va boshqalar kiradi.
Yo'l harakati xavfsizligi haqida nima deyish mumkin?
Nebula protokoldan foydalanadi tarmoq uskunasining xavfsiz ishlashini ta'minlash.
NETCONF bir nechta transport protokollari ustida ishlashi mumkin:
- ();
- ();
- ();
- ().
Agar NETCONFni boshqa usullar bilan solishtirsak, masalan, SNMP orqali boshqarish, shuni ta'kidlash kerak NETCONF NAT to'sig'ini yengish uchun chiquvchi TCP ulanishini qo'llab-quvvatlaydi va yanada ishonchli hisoblanadi.
Uskuna yordami haqida nima deyish mumkin?
Albatta, server xonasini noyob va yo'qolib ketish xavfi ostida turgan uskunalar vakillari joylashgan hayvonot bog'iga aylantirmasligingiz kerak. Boshqaruv texnologiyasi bilan birlashtirilgan uskunalar barcha yo'nalishlarni qamrab olishi juda ma'qul: markaziy kalitdan kirish nuqtalarigacha. Zyxel muhandislari bu imkoniyat haqida g'amxo'rlik qilishdi. Nebula ko'plab qurilmalarni boshqaradi:
- 10G markaziy kalitlari;
- kirish darajasi kalitlari;
- PoE bilan kalitlar;
- kirish nuqtalari;
- tarmoq shlyuzlari.
Ko'plab qo'llab-quvvatlanadigan qurilmalardan foydalanib, siz har xil turdagi vazifalar uchun tarmoqlar qurishingiz mumkin. Bu, ayniqsa, yuqoriga emas, balki tashqariga qarab o'sib borayotgan, doimiy ravishda biznes yuritish uchun yangi yo'nalishlarni o'rganayotgan kompaniyalar uchun to'g'ri keladi.
Har doim rivojlanish
An'anaviy boshqaruv usuliga ega tarmoq qurilmalari takomillashtirishning faqat bitta usuliga ega - qurilmaning o'zini o'zgartirish, u yangi proshivka yoki qo'shimcha modullar. Zyxel tumanligi misolida, bulut infratuzilmasini yaxshilash orqali yaxshilashning qo'shimcha yo'li mavjud. Masalan, Nebula Control Center (NCC) ni 10.1 versiyasiga yangilagandan so'ng. (21-yil 2020-sentyabr) foydalanuvchilar uchun yangi funksiyalar mavjud, ulardan ba’zilari:
- Tashkilot egasi endi barcha egalik huquqlarini bir tashkilotdagi boshqa ma'murga o'tkazishi mumkin;
- tashkilot egasi bilan bir xil huquqlarga ega bo'lgan Egasi vakili deb nomlangan yangi rol;
- tashkilot miqyosida yangi proshivka yangilash xususiyati (Pro-Pack xususiyati);
- topologiyaga ikkita yangi variant qo'shildi: qurilmani qayta ishga tushirish va PoE portini yoqish va o'chirish (Pro-Pack funksiyasi);
- yangi kirish nuqtasi modellarini qo'llab-quvvatlash: WAC500, WAC500H, WAC5302D-Sv2 va NWA1123ACv3;
- QR kodini chop etish bilan vaucher autentifikatsiyasini qo'llab-quvvatlash (Pro-Pack funktsiyasi).
Foydali havolalar
Manba: www.habr.com