本文将讨论以传统方式组织网络基础设施的问题以及使用云技术解决相同问题的方法。
以供参考。 Nebula 是一个用于远程维护网络基础设施的 SaaS 云环境。 所有支持 Nebula 的设备均通过安全连接从云端进行管理。 您可以从单个中心管理大型分布式网络基础设施,而无需花费精力来创建它。
为什么需要另一个云服务?
使用网络基础设施时的主要问题不是设计网络和购买设备,甚至不是将其安装在机架中,而是将来必须使用该网络完成的其他所有事情。
新网络-旧忧
当安装并连接设备后将新的网络节点投入运行时,初始配置开始。 从“大老板”的角度来看 - 没什么复杂的:“我们获取该项目的工作文档并开始设置......”当所有网络元素都位于一个数据中心时,这句话说得很好。 如果它们分散在各个分支机构,那么提供远程访问的麻烦就开始了。 这就形成了这样一个恶性循环:要通过网络进行远程访问,你需要配置网络设备,为此你需要通过网络访问......
我们必须想出各种方案来摆脱上述僵局。 例如,通过 USB 4G 调制解调器接入互联网的笔记本电脑通过跳线连接到自定义网络。 这台笔记本电脑上安装了 VPN 客户端,总部的网络管理员可以通过该客户端尝试访问分支机构网络。 该方案并不是最透明的 - 即使您将一台预配置 VPN 的笔记本电脑带到远程站点并要求将其打开,也远非一切都能一次正常运行的事实。 特别是当我们谈论不同地区的不同提供商时。
事实证明,最可靠的方法是在“线路的另一端”有一位优秀的专家,他可以根据项目配置自己的部分。 如果分行员工没有这样的情况,那么还有选择:要么外包,要么出差。
我们还需要一个监控系统。 它需要安装、配置、维护(至少监控磁盘空间并定期备份)。 在我们告诉它之前,它对我们的设备一无所知。 为此,您需要注册所有设备的设置并定期监控记录的相关性。
如果员工拥有自己的“单人管弦乐队”,除了网络管理员的具体知识之外,还知道如何使用 Zabbix 或其他类似系统,那就太好了。 否则,我们会雇用另一名员工或将其外包。
注。 最悲惨的错误始于这样的话:“有什么可以配置这个 Zabbix(Nagios、OpenView 等)? 我赶紧去捡起来,好了!”
从实施到运营
让我们看一个具体的例子。
收到一条警报消息,表明某处的 WiFi 接入点没有响应。
她在哪?
当然,一个好的网络管理员有他自己的个人目录,里面记录了一切。 当需要共享此信息时,问题就开始了。 例如,您迫切需要派一个信使去现场解决问题,为此您需要发出类似这样的信息:“接入点位于 Stroiteley 街 1 号楼 3 楼 301 号房间的商务中心。” XNUMX 就在天花板下前门旁边。”
假设我们很幸运,接入点通过 PoE 供电,并且交换机允许其远程重新启动。 您不需要出差,但需要远程访问交换机。 剩下的就是在路由器上通过 PAT 配置端口转发,找出用于从外部连接的 VLAN,等等。 如果一切都提前设置好就好了。 这项工作可能并不困难,但需要完成。
于是,餐饮店重新开业。 没有帮助?
假设硬件出了问题。 现在我们正在寻找有关保修、启动和其他感兴趣的细节的信息。
说到无线网络。 不建议在企业环境中使用家庭版 WPA2-PSK,该版本对所有设备都具有一键功能。 首先,每个人都有一把钥匙是不安全的,其次,当一名员工离开时,你必须更改这个公用钥匙并为所有用户在所有设备上重新进行设置。 为了避免此类麻烦,WPA2-Enterprise 为每个用户提供了单独的身份验证。 但为此,您需要一个 RADIUS 服务器 - 另一个需要控制、进行备份等的基础设施单元。
请注意,在每个阶段,无论是实施还是运营,我们都使用了支持系统。 这包括一台具有“第三方”互联网连接的笔记本电脑、一个监控系统、一个设备参考数据库以及作为身份验证系统的 RADIUS。 除了网络设备之外,您还必须维护第三方服务。
在这种情况下,您可以听到这样的建议:“把它交给云,不要受苦。” 肯定有一个云 Zabbix,也许某个地方有一个云 RADIUS,甚至还有一个云数据库来维护设备列表。 问题是,这不是单独需要的,而是“在一个瓶子里”。 尽管如此,仍然出现了有关组织访问、初始设备设置、安全性等方面的问题。
使用 Nebula 时会是什么样子?
当然,最初“云”对我们的计划或购买的设备一无所知。
首先,创建组织概况。 也就是说,整个基础设施:总部和分支机构首先注册在云端。 指定详细信息并创建帐户以进行授权。
您可以通过两种方式在云中注册您的设备:传统方式 - 只需在填写网络表单时输入序列号或使用手机扫描二维码即可。 第二种方法只需要一部带摄像头和互联网接入的智能手机,包括通过移动提供商。
当然,合勤星云提供了存储信息(包括会计和设置)所需的基础设施。
图 1. 星云控制中心安全报告。
设置访问权限怎么样? 打开端口、通过传入网关转发流量,所有这些都被安全管理员亲切地称为“挖洞”吗? 幸运的是,您不需要执行所有这些操作。 运行 Nebula 的设备建立传出连接。 管理员不是连接到单独的设备,而是连接到云端进行配置。 Nebula 在两个连接之间进行调解:设备连接和网络管理员计算机连接。 这意味着可以最小化或完全跳过呼叫传入管理员的阶段。 并且防火墙上没有额外的“漏洞”。
RADUIS 服务器怎么样? 毕竟,需要某种集中式身份验证!
而这些功能也都被Nebula接手了。 通过安全数据库对访问设备的帐户进行身份验证。 这极大地简化了管理系统的权利的委派或撤回。 我们需要转移权限——创建用户,分配角色。 我们需要取消权利——我们执行相反的步骤。
另外,值得一提的是 WPA2-Enterprise,它需要单独的身份验证服务。 Zyxel Nebula 有自己的类似物 - DPPSK,它允许您使用 WPA2-PSK 并为每个用户提供单独的密钥。
“不方便”的问题
下面我们将尝试回答进入云服务时经常被问到的最棘手的问题
真的安全吗?
在任何确保安全的控制和管理委派中,有两个因素发挥着重要作用:匿名化和加密。
使用加密来保护流量免遭窥探是读者或多或少熟悉的事情。
匿名化向云提供商人员隐藏了有关所有者和来源的信息。 个人信息被删除,记录被分配一个“匿名”标识符。 云软件开发人员和维护云系统的管理员都无法知道请求的所有者。 “这个是从哪里来的? 谁可能对此感兴趣?”——这样的问题仍然没有答案。 由于缺乏有关所有者和来源的信息,内部人士毫无意义地浪费时间。
如果我们将这种方法与外包或雇用新任管理员的传统做法进行比较,很明显云技术更安全。 新上任的 IT 专家对他的组织非常了解,并且无论愿意与否,都可能在安全方面造成重大损害。 解雇或终止合同的问题仍需解决。 有时,除了阻止或删除帐户之外,还需要对访问服务的密码进行全局更改,以及对所有资源进行审核以查找“忘记”的入口点和可能的“书签”。
Nebula 比新任管理员贵或便宜多少?
一切都是相对的。 Nebula 的基本功能是免费提供的。 事实上,还有什么可以更便宜呢?
当然,完全没有网络管理员或者替代他的人是不可能的。 问题在于人员的数量、他们的专业化以及跨站点的分布。
至于付费延伸服务,直接问一个问题:更贵还是更便宜——这样的做法永远是不准确和片面的。 比较许多因素会更正确,从支付特定专家工作的费用到确保他们与承包商或个人互动的成本:质量控制、起草文件、维护安全水平以及很快。
如果我们谈论购买付费服务包(Pro-Pack)是否有利可图的话题,那么大概的答案可能是这样的:如果组织规模较小,您可以通过基本的服务勉强度日。版本,如果组织正在成长,那么考虑 Pro-Pack 是有意义的。 Zyxel Nebula 版本之间的差异如表 1 所示。
表 1. Nebula 基本功能集和 Pro-Pack 功能集之间的差异。
这包括高级报告、用户审核、配置克隆等等。
交通保障呢?
星云使用协议 确保网络设备安全运行。
NETCONF 可以在多种传输协议之上运行:
- ();
- ();
- ();
- ().
如果我们将NETCONF与其他方法(例如通过SNMP进行管理)进行比较,需要注意的是: 网络会议 支持传出 TCP 连接以克服 NAT 屏障,被认为更可靠。
硬件支持怎么样?
当然,你不应该把服务器机房变成一个动物园,里面有稀有和濒危类型的设备。 非常希望通过管理技术统一的设备能够覆盖从中央交换机到接入点的各个方向。 合勤科技的工程师考虑到了这种可能性。 Nebula 运行许多设备:
- 10G中央交换机;
- 访问级别开关;
- 带 PoE 的交换机;
- 接入点;
- 网络网关。
使用各种受支持的设备,您可以为各种类型的任务构建网络。 对于那些不是向上发展而是向外发展、不断探索新的业务领域的公司来说尤其如此。
持续发展
采用传统管理方法的网络设备只有一种改进方法——改变设备本身,无论是新固件还是附加模块。 就合勤星云而言,还有一条额外的改进途径 - 通过改进云基础设施。 例如,将 Nebula Control Center (NCC) 更新到版本 10.1 后。 (21 年 2020 月 XNUMX 日)新功能可供用户使用,以下是其中的一些功能:
- 组织的所有者现在可以将所有所有权转让给同一组织中的另一个管理员;
- 一个名为所有者代表的新角色,它与组织所有者具有相同的权利;
- 新的组织范围固件更新功能(Pro-Pack 功能);
- 拓扑中添加了两个新选项:重新启动设备以及打开和关闭 PoE 端口电源(Pro-Pack 功能);
- 支持新的接入点型号:WAC500、WAC500H、WAC5302D-Sv2 和 NWA1123ACv3;
- 支持二维码打印凭证验证(Pro-Pack 功能)。
有用的链接
来源: habr.com