本文將討論以傳統方式組織網路基礎架構的問題以及使用雲端技術解決相同問題的方法。
以供參考。 Nebula 是一個用於遠端維護網路基礎架構的 SaaS 雲端環境。 所有支援 Nebula 的裝置均透過安全連線從雲端進行管理。 您可以從單一中心管理大型分散式網路基礎設施,而無需花費精力來創建它。
為什麼需要另一個雲端服務?
使用網路基礎設施時的主要問題不是設計網路和購買設備,甚至不是將其安裝在機架中,而是將來必須使用該網路完成的其他所有事情。
新網路-舊憂
當安裝並連接設備後將新的網路節點投入運作時,初始設定開始。 從「大老闆」的角度來看 - 沒什麼複雜的:「我們取得該專案的工作文件並開始設定...」當所有網路元素都位於一個資料中心時,這句話說得很好。 如果它們分散在各個分支機構,那麼提供遠端存取的麻煩就開始了。 這就形成了這樣一個惡性循環:要透過網路進行遠端訪問,你需要設定網路設備,為此你需要透過網路存取...
我們必須想出各種方案來擺脫上述僵局。 例如,透過 USB 4G 數據機連接到網路的筆記型電腦透過跳線連接到自訂網路。 這台筆記型電腦上安裝了 VPN 用戶端,總部的網路管理員可以透過該用戶端嘗試存取分公司網路。 該方案並不是最透明的 - 即使您將一台預先配置 VPN 的筆記型電腦帶到遠端站點並要求將其打開,也遠非一切都能一次正常運行的事實。 特別是當我們談論不同地區的不同提供者時。
事實證明,最可靠的方法是在「線路的另一端」有一位優秀的專家,他可以根據專案配置自己的部分。 如果分行員工沒有這樣的情況,那麼還有選擇:要嘛外包,要嘛出差。
我們還需要一個監控系統。 它需要安裝、配置、維護(至少監控磁碟空間並定期備份)。 在我們告訴它之前,它對我們的設備一無所知。 為此,您需要註冊所有設備的設定並定期監控記錄的相關性。
如果員工擁有自己的“單人管弦樂團”,除了網路管理員的具體知識之外,還知道如何使用 Zabbix 或其他類似系統,那就太好了。 否則,我們會僱用另一名員工或將其外包。
注。 最悲慘的錯誤始於這樣的話:「有什麼可以配置這個 Zabbix(Nagios、OpenView 等)? 我趕緊去撿起來,好了!”
從實施到運營
我們來看一個具體的例子。
收到警報訊息,表示某處的 WiFi 接入點沒有回應。
它在哪裡?
當然,一個好的網路管理員有他自己的個人目錄,裡面記錄了一切。 當需要共享此資訊時,問題就開始了。 例如,您迫切需要派一個信差到現場解決問題,為此您需要發出類似這樣的訊息:「接入點位於 Stroiteley 街 1 號樓 3 樓 301 號房間的商務中心。」XNUMX 就在天花板下前門旁邊。”
假設我們很幸運,接入點透過 PoE 供電,並且交換器允許其遠端重新啟動。 您不需要出差,但需要遠端存取交換器。 剩下的就是在路由器上透過 PAT 設定連接埠轉發,找出用於從外部連接的 VLAN,等等。 如果一切都提前設定好就好了。 這項工作可能並不困難,但需要完成。
於是,餐飲店重新開業。 沒有幫助?
假設硬體出了問題。 現在我們正在尋找有關保固、啟動和其他感興趣的細節的資訊。
說到無線網路。 不建議在企業環境中使用家庭版 WPA2-PSK,該版本對所有裝置都具有一鍵功能。 首先,每個人都有一把鑰匙根本不安全,其次,當一名員工離開時,你必須更改這個公用鑰匙並為所有用戶在所有設備上重新進行設定。 為了避免此類麻煩,WPA2-Enterprise 為每個使用者提供了單獨的身份驗證。 但為此,您需要一個 RADIUS 伺服器 - 另一個需要控制、進行備份等的基礎架構單元。
請注意,在每個階段,無論是實施還是運營,我們都使用了支援系統。 這包括一台具有「第三方」互聯網連接的筆記型電腦、一個監控系統、一個設備參考資料庫以及作為身份驗證系統的 RADIUS。 除了網路設備之外,您還必須維護第三方服務。
在這種情況下,您可以聽到這樣的建議:“把它交給雲,不要受苦。” 肯定有一個雲端 Zabbix,也許某個地方有一個雲端 RADIUS,甚至還有一個雲端資料庫來維護設備清單。 問題是,這不是單獨需要的,而是「在一個瓶子裡」。 儘管如此,仍然出現了有關組織訪問、初始設備設定、安全性等方面的問題。
使用 Nebula 時會是什麼樣子?
當然,最初「雲端」對我們的計畫或購買的設備一無所知。
首先,建立組織概況。 也就是說,整個基礎設施:總部和分支機構首先註冊在雲端。 指定詳細資訊並建立帳戶以進行授權。
您可以透過兩種方式在雲端註冊您的裝置:傳統方式 - 只需在填寫網頁表單時輸入序號或使用手機掃描二維碼。 第二種方法只需要一部有相機和網路連線的智慧型手機,包括透過行動供應商。
當然,合勤星雲提供了儲存資訊(包括會計和設定)所需的基礎設施。
圖 1. 星雲控制中心安全報告。
設定存取權限怎麼樣? 開啟連接埠、透過傳入網關轉送流量,所有這些都被安全管理員親切地稱為「挖洞」嗎? 幸運的是,您不需要執行所有這些操作。 運作 Nebula 的裝置建立傳出連線。 管理員不是連接到單獨的設備,而是連接到雲端進行配置。 Nebula 在兩個連線之間進行調解:裝置連線和網路管理員電腦連線。 這意味著可以最小化或完全跳過呼叫傳入管理員的階段。 並且防火牆上沒有額外的「漏洞」。
RADUIS 伺服器怎麼樣? 畢竟,需要某種集中式身分驗證!
而這些功能也都被Nebula接手了。 透過安全資料庫對存取設備的帳戶進行身份驗證。 這極大地簡化了管理系統的權利的委派或撤回。 我們需要轉移權限-建立用戶,分配角色。 我們需要取消權利——我們執行相反的步驟。
另外,值得一提的是 WPA2-Enterprise,它需要單獨的驗證服務。 Zyxel Nebula 有自己的類似物 - DPPSK,它允許您使用 WPA2-PSK 並為每個用戶提供單獨的金鑰。
「不方便」的問題
以下我們將嘗試回答進入雲端服務時經常被問到的最棘手的問題
真的安全嗎?
在任何確保安全的控制和管理委派中,有兩個因素發揮重要作用:匿名化和加密。
使用加密來保護流量免遭窺探是讀者或多或少熟悉的事。
匿名化向雲端提供者人員隱藏了有關所有者和來源的資訊。 個人資訊被刪除,記錄被分配一個「匿名」標識符。 雲端軟體開發人員和維護雲端系統的管理員都無法知道請求的擁有者。 「這個是從哪裡來的? 誰可能對此感興趣?」——這樣的問題仍然沒有答案。 由於缺乏有關所有者和來源的信息,內部人士毫無意義地浪費時間。
如果我們將這種方法與外包或僱用新任管理員的傳統做法進行比較,很明顯雲端技術更安全。 新上任的 IT 專家對他的組織非常了解,無論願意與否,都可能在安全方面造成重大損害。 解僱或終止合約的問題仍需解決。 有時,除了封鎖或刪除帳戶之外,還需要對存取服務的密碼進行全域更改,以及對所有資源進行審核以查找「忘記」的入口點和可能的「書籤」。
Nebula 比新任管理員貴或便宜多少?
一切都是相對的。 Nebula 的基本功能是免費提供的。 事實上,還有什麼可以更便宜呢?
當然,完全沒有網路管理員或替代他的人是不可能的。 問題在於人員的數量、他們的專業化以及跨站點的分佈。
至於付費延伸服務,直接問一個問題:更貴還是更便宜──這樣的做法永遠是不準確且片面的。 比較許多因素會更正確,從支付特定專家工作的費用到確保他們與承包商或個人互動的成本:品質控制、起草文件、維護安全水平以及很快。
如果我們談論購買付費服務包(Pro-Pack)是否有利可圖的話題,那麼大概的答案可能是這樣的:如果組織規模較小,您可以通過基本的服務勉強度日。版本,如果組織正在成長,那麼考慮Pro-Pack 是有意義的。 Zyxel Nebula 版本之間的差異如表 1 所示。
表 1. Nebula 基本功能集和 Pro-Pack 功能集之間的差異。
這包括高級報告、用戶審核、配置克隆等等。
交通保障呢?
星雲使用協定 確保網路設備安全運作。
NETCONF 可以在多種傳輸協定之上運作:
- ();
- ();
- ();
- ().
如果我們將NETCONF與其他方法(例如透過SNMP進行管理)進行比較,需要注意的是: 網絡會議 支援傳出 TCP 連線以克服 NAT 屏障,被認為更可靠。
硬體支援怎麼樣?
當然,你不應該把伺服器機房變成一個動物園,裡面有稀有和瀕危類型的設備。 非常希望透過管理技術統一的設備能夠覆蓋從中央交換器到接入點的各個方向。 合勤科技的工程師考慮到了這種可能性。 Nebula 運行許多裝置:
- 10G中央交換器;
- 訪問級別開關;
- 附 PoE 的交換器;
- 接入點;
- 網路網關。
使用各種受支援的設備,您可以為各種類型的任務建立網路。 對於那些不是向上發展而是向外發展、不斷探索新的業務領域的公司來說尤其如此。
持續發展
採用傳統管理方法的網路設備只有一種改進方法——改變設備本身,無論是新韌體還是附加模組。 就合勤星雲而言,還有一條額外的改進途徑 - 透過改善雲端基礎架構。 例如,將 Nebula Control Center (NCC) 更新至版本 10.1 後。 (21 年 2020 月 XNUMX 日)新功能可供使用者使用,以下是其中的一些功能:
- 組織的所有者現在可以將所有所有權轉讓給同一組織中的另一個管理員;
- 一個名為所有者代表的新角色,它與組織所有者俱有相同的權利;
- 新的組織範圍韌體更新功能(Pro-Pack 功能);
- 拓撲中新增了兩個新選項:重新啟動裝置以及開啟和關閉 PoE 連接埠電源(Pro-Pack 功能);
- 支援新的存取點型號:WAC500、WAC500H、WAC5302D-Sv2 和 NWA1123ACv3;
- 支援二維碼列印憑證驗證(Pro-Pack 功能)。
有用的鏈接
來源: www.habr.com