Русский
Русский
English
Статистика
Реклама

Saas сервисы

Готовый мониторинг за 10 минут и 0 рублей

23.06.2020 10:15:03 | Автор: admin
В предыдущих статьях мы рассказали про историю (1, 2) создания системы управления ИТ инфраструктурой Veliam. А так же сделали обзор ее основных возможностей. Сейчас пришло время подробнее остановиться на таком компоненте системы, как мониторинг. С него началось развитие продукта, так что за подробностями приглашаю под cut.

Напомню тем, кто не читал предыдущие статьи, некоторые основные моменты мониторинга в Veliam:

  1. Он полностью построен на безагентной модели. Метрики с Windows машин собираются через wmi, с Linux по ssh. На наблюдаемые машины ничего устанавливать не нужно.
  2. Система из коробки имеет предустановленный набор метрик, триггеров, оповещений и т.д. То есть она полностью готова к работе сразу, без предварительной настройки.
  3. Вся информация хранится и обрабатывается в облаке Veliam, а сама система работает по модели SaaS.
  4. 50 объектов мониторинга включены в бесплатный тарифный план.

Для того, чтобы начать пользоваться встроенным мониторингом, вам необходимо зарегистрироваться в личном кабинете, развернуть у себя в локальной сети сервер мониторинга и связать его с личным кабинетом. Затем установить у себя на компьютере клиент Veliam для настройки системы. Подробно все это рассмотрено в прошлой статье.

Поиск и добавление объектов


После разворачивания системы Veliam и установки у себя на компьютере клиента для управления, у вас все готово для добавления объектов мониторинга. Сделать это можно как вручную, так и автоматически с помощью сканирования локальной сети. Достаточно задать диапазон адресов для сканирования и система выполнит поиск хостов.


Напоминаю, что в бесплатной лицензии можно мониторить 50 объектов. Если при сканировании их будет обнаружено больше, в систему будут добавлены только 50. При этом 50 объектов считаются по всем серверам мониторинга, привязанным к учетной записи. Так что если у вас через другой сервер мониторинга уже было добавлено 20 объектов, то в текущем поиске будут найдены не более 30 хостов.

Во время сканирования проверяются открытые tcp порты и делается резолвинг DNS или Netbios имени на основе ip адреса. После сканирования, найденные объекты можно распределить по директориям вручную. Примерно так:


Из этого списка хостов можно к любому подключиться по rdp, ssh или winbox. Для этого необходимо только указать учетные данные для подключения.

Выглядит подключение к серверу вот так


Отдельно можно добавить мониторинг сайта. Veliam делает простые проверки доступности, проверяет код ответа веб сервера и сохраняет примерное время отклика.


В систему могут быть добавлены любые устройства, видимые в сети. В простейшем случае они будут проверяться на доступность с помощью пингов. Устройства с операционными системами Windows или Linux будут автоматически опрашиваться по списку предопределенных метрик, о которых мы поговорим далее.

Сбор статистических данных


Для того, чтобы Veliam начал собирать данные, нужно указать учетную запись администратора или пользователя с достаточными правами от целевого сервера. Если на всех серверах одна и та же учетная запись, то указать ее можно сразу на группу серверов или вообще на всю инфраструктуру. Для подключения к серверам не забудьте настроить соответствующие разрешения в фаерволах.

После того, как вы укажите учетные данные, система автоматически начнет собирать информацию. Для Windows системы она будет следующая:

  • Базовые метрики по CPU, RAM, дискам;
  • Информация об ОС, типе процессора, оперативной памяти, дискам, сетевым адаптерам;
  • Список локальных пользователей и их статус (активен, отключен);
  • Информация о сетевых папках;
  • Список установленного ПО;
  • Для серверов будут указаны установленные серверные роли;
  • Список остановленных служб с автоматическим запуском;
  • История аутентификаций пользователей в системе.


Для Linux систем на текущий момент собираются только базовые метрики производительности (CPU, RAM, Disk) и информация о системе и процессоре.

Если добавлен сайт, то для него осуществляется контроль за сроком действия ssl сертификата и делегирования домена, помимо указанного ранее времени отклика и кода ответа веб сервера.

Для числовых метрик сохраняются исторические данные, которые можно просматривать за различные промежутки времени. Все данные хранятся в облаке Veliam, а время хранения зависит от выбранного тарифа.


Работа с инцидентами


Для числовых метрик заданы пороговые значения, после превышения которых срабатывает триггер. Их можно настраивать индивидуально на каждом хосте, либо сразу на всей группе. Например, для группы, включающей в себя пользовательские компьютеры, можно отключить триггер, реагирующий на сетевую доступность хоста.


После сработки триггера, автоматически отправляется сообщение на почту администратора. Отдельно настраивать способы уведомлений не нужно. Это работает сразу же из коробки. Так же вы можете выбирать инциденты, на которые будете получать уведомления.


Помимо почты возможна отправка оповещений в телеграм. Вам не нужно создавать своего бота для этого. Все работает через систему Veliam. Все, что вам придется сделать, это открыть в телеграме ссылку на нашего бота, и он сразу начнет отправлять вам уведомления.


Одновременно с отправкой оповещения, создается инцидент во встроенной HelpDesk системе. Вы можете прокомментировать событие, назначить исполнителя, в том числе себя, закрыть заявку или отложить на какое-то время.


Теперь внимание! Вы тут же из заявки можете посмотреть всю информацию по хосту и графики, а также подключиться к нему. Для этого предусмотрены отдельные кнопки. При этом вам не нужно использовать vpn или какие-то дополнительные технические средства. Если система заведена в Veliam, вы к ней подключаетесь из клиента напрямую по rdp или ssh, в случае mikrotik через winbox.

Подключение к серверу из заявки
image

Объясняю, почему это удобно, особенно в наше время, когда все на удаленной работе. Если у вас много распределенных объектов, особенно сильно разных, подключение к ним организовано так же различными способами. Например, вы подключены к объектам одной инфраструктуры по vpn с пробросом маршрутов или дефолтного шлюза, а вам в это время надо подключиться к другой инфраструктуре тоже по vpn и тоже с заменой дефолтного шлюза. После нового подключения к vpn, старые коннекты могут быть разорваны.

Может показаться, что не всем это актуально, но опыт удаленной технической поддержки подсказывает, что возникают такие ситуации нередко. Возможность просто и быстро, без нарушения привычного рабочего процесса, подключаться к проблемным хостам, очень упрощает оперативный разбор полетов. Мы не знаем ни одной системы мониторинга, где бы подключение к проблемным хостам было реализовано так же быстро и просто.

Вся история работы и переписка по заявке сохраняются. Так как в Veliam гибкая система прав доступа, в единой системе могут работать разные сотрудники с разными проектами.

Примерно так выглядит интерфейс сотрудника, работающего с заявками.


Напоминаю, что весь описанный выше функционал готов к работе сразу после установки. Не нужно ничего отдельно настраивать. Вы просто добавляете объекты в мониторинг, и по ним сразу же собираются метрики, данные, работают триггеры и создаются инциденты. Все, что вам нужно, это только откалибровать систему в виде пороговых значений триггеров и указать контакты для оповещений.

Уведомления


Как уже было сказано ранее, Veliam на текущий момент поддерживает 2 способа уведомлений пользователей о проблемах:

  1. По электронной почте.
  2. Через мессенджер Telegram.


Список событий, на которые необходимо получать оповещения по тому или иному способу, можно гибко настраивать.


Связь осуществляется через нас, так что ни почтовые параметры, ни бота для телеграма настраивать не надо. Все работает сразу же после установки.

Важной особенностью такого подхода является то, что вам не надо мониторить сам мониторинг. Если сервер для сбора метрик в локальной сети станет недоступен, например из-за падения интернета в офисе, вы получите уведомление из облака о том, что ваша инфраструктура недоступна.

Заключение


Мы рассмотрели отдельно часть функционала системы Veliam, который в отрыве от всего остального может показаться простым, повторяющим другие многочисленные системы мониторинга. Тем не менее, даже в таком ракурсе стоит обратить внимание на несколько отличительных черт:

  1. Простота и скорость настройки. Запустить в работу систему можно за 10 минут. Плюс, не надо следить за самим мониторингом, базой данных и т.д. Все данные хранятся в облаке и там же обрабатываются, что накладывает минимальные системные требования и квалификацию персонала на обслуживание системы.
  2. Все базовые метрики, триггеры и уведомления уже настроены. Вам достаточно только скорректировать лимиты, но можно и этого не делать, если устраивают предложенные. Система сразу же начинает работать.
  3. Безагентный мониторинг позволяет не трогать целевые хосты вообще. Если вы только тестируете систему, можете сделать это совершенно безболезненно и быстро.
  4. Готовая интеграция с HelpDesk системой, которая в том числе может работать с заявками пользователей. Об этом мы вам подробно расскажем в следующей статье.

Таким образом, даже в отдельном виде мониторинг может представлять интерес для некоторых категорий пользователей. А вместе с другими системами Veliam, такими как Удаленный доступ и HelpDesk, делает набор функционала уникальным в контексте единой экосистемы управления ИТ инфраструктурой.

Попробуйте Veliam, если у вас есть потребность в мониторинге и он еще не внедрен. Сделать это просто и быстро. Бесплатный тариф полнофункционален. Более подробно посмотреть на все возможности системы можно в Руководстве пользователя.
Подробнее..

Прячем RDP и быстро помогаем пользователям

30.06.2020 10:05:46 | Автор: admin
Дорогой читатель! Нам не терпится познакомить тебя с одной уникальной и полезной возможностью нашей системы управления ИТ инфраструктурой, которая делает трудолюбивых пользователей счастливыми, а лентяев и прогульщиков несчастными. За подробностями приглашаем по кат.

Мы уже подробно рассказали об особенностях разработки (1, 2), основном функционале Veliam и отдельно о мониторинге в предыдущих статьях, самое интересное оставив на потом. Сегодня речь пойдет об удаленном подключении как пользователей к своим компьютерам и терминалам, так и сотрудников тех. поддержки к пользователям.

Подход Veliam к предоставлению удаленного доступа


Традиционно для нашего продукта, упор в функционале сделан на простоту настройки и использования. Продукт готов к работе сразу же после установки и не требует предварительной настройки и доведения до ума.

Мы просто передаем пользователю один файл для подключения к удаленному ресурсу. Для удобства называем его Veliam Connector. Это исполняемый файл, после запуска которого пользователь вводит свои учетные данные и подключается туда, куда настроено в коннекторе. Подробно о принципе работы рассказано во второй части статьи про разработку системы.

Подключение происходит через наше облако и не требует настройки vpn, проброса портов, либо еще каких-то подобных технических решений. Мы снимаем с пользователя эти хлопоты. Рассказываем подробно, как это все организовать.

Удаленный доступ обычных сотрудников


Итак, представим, что у нас есть сервер терминалов, куда пользователи подключаются для работы в 1С. Отдельно у нас есть компьютер бухгалтера и юриста. Они не хотят работать полностью в терминале, предпочитая удаленно подключаться к своим рабочим компьютерам в офисе.

Нам нужно предоставить всем категориям пользователей удаленный доступ к ресурсам. Мы идем в клиент Veliam, откуда осуществляется управление системой. Переходим в раздел Удаленный доступ и создаем необходимые подключения.

Все предельно просто. Для того, чтобы настроить удаленное подключение, достаточно указать сервер мониторинга, через которое будет осуществляться подключение и адрес сервера терминалов. Он должен быть в сетевой доступности с сервером мониторинга.


Пароль можно не указывать, так как пользователь все равно будет вводить непосредственно свои учетные данные на самом сервере в момент RDP подключения. В данном случае пароль ограничивает инициализацию соединения через облако, организуя дополнительную защиту соединения.

Дополнительной полезной возможностью является то, что вы можете сразу же в момент создания ограничить срок действия настраиваемого подключения. Например, пользователь уходит в отпуск и хочет иметь возможность по необходимости удаленно подключаться. Вы сразу ставите срок действия подключения в 2 недели. В любой момент вы можете это изменить, либо полностью отключить доступ и ярлык перестанет работать.

После создания соединения, вам достаточно скачать ярлык для его использования и передать всем пользователям терминала.


Ярлык представляет из себя исполняемый файл, после запуска которого пользователь подключается к терминалу. Выглядит это следующим образом.

Удаленное подключение пользователя


Для пользователей терминала ярлык может быть один и тот же, так как подключаются они к одному и тому же серверу. Отдельным сотрудникам нужно сделать индивидуальные ярлыки для подключения к своим компьютерам.

Как вы можете наблюдать, все сделано максимально просто. Пользователю не нужно ничего настраивать на своем компьютере. Мало того, что это не нагружает его домашний компьютер или ноутбук посторонним софтом, так еще и не надо никого просить помочь с настройкой.

Удаленная работа с Veliam доступна пользователям с любым компьютером и доступом в интернет. В ближайшее время мы готовимся выпустить коннектор для операционной системы MacOS. В данный момент он существует только для ОС Windows.

Количество ярлыков, которые можно создать для удаленного доступа не ограничено. То есть использовать этот функционал можно совершенно бесплатно. Напоминаем, что система работает по принципу SaaS, а тарификация зависит от количества хостов сети, добавленных в мониторинг и пользователей системы HelpDesk. 50 хостов и пользователей входят в бесплатный тарифный план.

Удаленный доступ к серверам


Мы уже рассказывали в статье про мониторинг, как можно легко и быстро подключиться к наблюдаемому серверу. В контексте данной статьи об этом стоит тоже упомянуть.

Удобное подключение организовано не только для пользователей, но и сотрудников тех. поддержки. Если вы заранее указали в свойствах хоста учетные данные для удаленного подключения к оборудованию, то сможете подключиться прямо из клиента Veliam. Вам достаточно будет просто нажать на хост, что инициирует соединение.

Удаленное подключение к серверу


Так же организован удаленный доступ к серверу прямо из инцидента, который автоматически создается при срабатывании триггера из системы мониторинга. Ниже пример того, как это выглядит на практике.

Удаленное подключение к серверу из заявки


Вы где-нибудь видели подобное удобство, организованное с такой же простотой? Мы нет. Напоминаем, что весь этот функционал вы можете попробовать абсолютно бесплатно.

Helpdesk система


Рассмотрим отдельно HelpDesk систему, которая вкупе с быстрым удаленным доступом, в том числе к компьютеру из заявки, делает систему Veliam целостным продуктом для управлением всей ИТ инфраструктурой.

Для HelpDesk системы вам необходимо через клиент создать сотрудников тех. поддержки и пользователей системы. Последние могут быть автоматически добавлены из AD. Для распределения доступа к заявкам и проектам сотрудников тех. поддержки используется ролевая модель доступа с гибкими настройками.

Как обычно в системе сделан акцент на простоту и удобство работы обычных пользователей. После добавления в систему, ему на почту приходит письмо со ссылкой на HelpDesk.


Не нужен ни логин, ни пароль. Вход сразу по ссылке. Тут же в письме можно сохранить ярлык на рабочий стол, по которому можно будет заходить в систему.

Интерфейс создания заявки простой и лаконичный. Ничего лишнего, при этом есть все необходимое. Пользователь счастлив.


Не нужно изучать никаких инструкций. Соответственно, тех. поддержке не нужно их писать. Человек просто проходит по ссылке и сразу создает заявку. В дальнейшем всю информацию по ней получает на почту.


Работа технической поддержки с заявками


Дальше заявка уходит в тех. поддержку, где с ней начинает работать сотрудник с соответствующими правами доступа.


Внимание! Интересная возможность. Саппорт может сразу же из заявки подключиться к пользователю по VNC, в том случае, если у обоих он установлен в системе. У сотрудника server, у тех. поддержки viewer. Как обычно, соединение происходит через облако Veliam, так что не нужно дополнительно ничего настраивать для сетевой связности.

Прямое подключение из заявки


Помимо этого присутствует типовой набор возможностей классической HelpDesk системы. Заявку можно:

  1. отложить на какой-то срок;
  2. закрыть;
  3. изменить исполнителя;
  4. перенести в другой проект;
  5. написать сообщение пользователю;
  6. приложить файл и т.д.

Вот еще несколько полезных особенностей, которые есть не везде, но при этом они повышают удобство реальной эксплуатации:

  • Вы можете назначить заявку другому исполнителю и подписаться на изменения по ней, чтобы быть в курсе дальнейших событий.
  • Сотрудник, который работает с заявкой, может указать статус Исполняется. У каждого сотрудника может быть только одна такая метка. С помощью этого функционала можно наблюдать за работой персонала и быть в курсе их текущих задач, с которыми они работают в данный момент.

Напоминаем, что помимо заявок от пользователей, в общую HelpDesk систему попадают инциденты, созданные автоматически системой мониторинга при срабатывании триггеров. Об этом мы рассказывали подробно в прошлой статье.

Таким образом, единая система замыкает на себя как обслуживание пользователей, так и инфраструктуру, что согласитесь, очень удобно. Попробуйте и убедитесь в этом сами.

Установка и запуск в работу занимают не более 10-ти минут. На бесплатном тарифе никаких ограничений, кроме количества хостов и пользователей системы. Порог тарифа в 50 хостов или пользователей достаточной высокий, что позволяет полноценно и без лишних затрат все проверить. Вам наверняка понравится.
Подробнее..

Как тратить меньше времени на обучение стажеров-аналитиков и повысить его качество

15.07.2020 14:22:53 | Автор: admin


Привет, Хабр! Мы аналитики команды ITSM 365. Наши клиенты бизнесмены, которые используют облачное service desk решение. Мы много с ними общаемся и решаем их проблемы, делаем статьи и вебинары о продукте и занимаемся его развитием.


Найти сотрудника, который смог бы выполнять все эти задачи, непросто. Когда количество клиентов начало расти, поняли, что без новых рук не обойтись. Однако поиски затянулись: на рынке нужных кандидатов не оказалось. Решили пригласить стажеров и научить всему сами. И вот к нам идут четыре студента! Как ввести в строй всех разом? Решение создать курсы для стажеров за месяц. Задача казалась почти невыполнимой, но мы сделали это! И теперь делимся своим опытом с вами.



Раньше на наставничество уходило 30 часов в месяц


Первое время наставник тратил на обучение одного-двух новичков по 7-8 часов в неделю. За это время они знакомились с продуктом, изучали техническую документацию и учились работать в ИТ-системе. После этого их постепенно подключали к поддержке клиентов.


Мы передавали несложные обращения клиентов новым сотрудникам: они знакомились с вопросом и спрашивали у наставника, что нужно делать дальше и как лучше ответить. На этом этапе новички постигали принципы работы: как общаться с клиентом, выявлять проблему, описывать решение, правильно оформлять комментарии и т.п. Наставник устно объяснял все тонкости. Только после этого новички начинали решать вопросы самостоятельно.


Когда к нам на стажировку пришли 4 человека, время на погружение в рабочие процессы нужно было сокращать. Во-первых, на их обучение уходило бы в два раза больше времени, чем на двух новичков, и аналитик-наставник не успевал бы делать свою основную работу. Во-вторых, хотелось быстрее ввести ребят в строй и получить самостоятельных специалистов.


За счет чего сократить время на обучение стажеров



Последовательность этапов создания курсов


Устное объяснение новичку принципов поддержки занимало большую часть времени наставника. Чтобы снизить эту нагрузку, решили собрать наши принципы, систематизировать их и сделать по ним отдельный обучающий материал.


Для этого первым делом провели мозговой штурм и попросили каждого члена команды написать принципы, которых они придерживаются в работе. Получился внушительный список советов, основанных на многолетнем практическом опыте.


Следующий этап анализ собранного материала: какие принципы действительно работают, а какие вызывают сомнения. Обсудили, отсеяли неактуальные и оставили только самые ценные рекомендации.


По тематике принципы поделили на 3 группы:


  1. Взаимодействие с клиентом.
    Один из важнейших навыков специалиста клиентского сервиса. Стажер должен понимать, как общаться с клиентом, что делать, если собеседник настроен агрессивно и т.п.
  2. Оформление комментариев.
    Чаще всего мы общаемся с клиентом в переписке. Пользователь оставляет заявку с описанием проблемы, а аналитик отвечает на нее в комментариях. От того, насколько правильным и понятным будет объяснение, зависит скорость решения вопроса и удовлетворенность клиента.
  3. Тайм-менеджемент.
    Принципы из этой группы помогут новичку понять, как организовать рабочее время, чтобы успеть закрыть все задачи в срок.

Затем каждой группе придумали практические задания, которые помогут стажерам лучше воспринять информацию и сразу отработать полученные знания.


Последним шагом оставалось придумать, как всё упаковать.


Почему выбрали формат курсов


Собирая принципы, мы планировали оформить их в виде баннеров, однако материала оказалось слишком много, и от этой идеи пришлось отказаться. Другой вариант сделать презентацию, но в нее не так просто включить практические задания. Наставнику пришлось бы тратить дополнительное время на их проверку. А значит, это нам не подходит. Попросили совета у нашего специалиста по дистанционному обучению. В итоге решили оформить материал в виде курсов.


Дело в том, что уже больше года мы создаем курсы для клиентов, в которых рассказываем, как использовать все возможности продукта. Возникла мысль переиспользовать контент. Во-первых, это позволило бы познакомить стажеров с особенностями нашей платформы с помощью курсов для клиентов. Во-вторых, по этому примеру можно создать для стажеров обучающие курсы и обозначить в них важнейшие принципы нашей работы.


В этом варианте учитывались все требования: большой объем информации укладывался в интересный игровой формат с интерактивными заданиями. Курсы помогли бы разбавить монотонное изучение технической документации и повысить мотивацию стажеров. То, что нужно!


Приступили к оформлению контента. Подключили дизайнеров, продумали графику, цветовое решение и загрузили в конструктор курсов. После оставалось лишь открыть стажерам доступ и следить за их результатами.



В курсах чередуются слайды с теорией и практикой


Чтобы новичкам было проще воспринимать учебные материалы, решили ввести героя: девушку, внешне похожую на одного из наставников команды. Она встречает стажера с первых слайдов и ведет по всему курсу, объясняя принципы работы бизнес-аналитика ITSM 365.



Во время обучения стажеров сопровождает виртуальный наставник


Как изменился процесс обучения


С появлением курсов наставник тратит меньше времени на погружение стажера в специфику работы. Новичкам прививается самостоятельность. При этом качество обучения объективно выросло: стажеры делают намного меньше ошибок, сталкиваясь с реальными задачами клиентов.


Основные результаты внедрения курсов для стажеров:


  1. Курс структурировал и систематизировал все те принципы работы, которые до этого устно передавались новичкам от опытных сотрудников.
  2. Обучение стажеров стало более интересным за счет игрового формата и интерактивности курсов.
  3. Новичок получает обратную связь сразу во время прохождения курсов. Если верно выполнил задание, то понял тему, а если нет можно повторить материал и попробовать ещу.


Если ошибся в задании, можно пройти тему еще раз


Итог наша команда справилась! Четыре студента, которые пришли на стажировку в ITSM 365 полгода назад, сейчас вместе с опытными аналитиками отвечают на обращения клиентов в поддержке и активно подключаются к другим задачам. Также мы получили неожиданный профит: созданными курсами заинтересовались сотрудники других подразделений компании.


А у вас есть свои лайфхаки, которые помогают лучше организовать обучение стажеров? Напишите в комментариях. Интересно узнать ваш опыт!

Подробнее..

Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения

24.09.2020 12:15:14 | Автор: admin


В статье пойдет речь о проблемах организации сетевой инфраструктуры традиционным способом и о методах решения тех же самых вопросов при помощи облачных технологий.


Для справки. Nebula облачная среда SaaS для удаленного поддержания сетевой инфраструктуры. Все устройства, поддерживающие Nebula, управляются из облака через безопасное соединение. Можно управлять крупной распределенной сетевой инфраструктурой из единого центра, не затратив усилия по его созданию.


Для чего нужен очередной облачный сервис?


Основная проблема при работе с сетевой инфраструктурой это не проектирование сети и закупка оборудования, и даже не монтаж в стойку, а все то остальное, что с этой сетью в дальнейшем предстоит делать.


Сеть новая заботы старые


При вводе в эксплуатацию нового узла сети после монтажа и подключения оборудования начинается первоначальная настройка. С точки зрения большого начальства ничего сложного: Берем рабочую документацию по проекту и начинаем настраивать... Это так здорово говорится, когда все сетевые элементы стоят в одном ЦОД. Если же они разбросаны по филиалам, начинается головная боль с обеспечением удаленного доступа. Такой вот замкнутый круг: чтобы получить удаленный доступ по сети, нужно настроить сетевое оборудование, а для этого нужен доступ по сети...


Приходится придумывать различные схемы для выхода из вышеописанного тупика. Например, ноутбук с доступом в Интернет через USB 4G модем подключается через патчкорд к настраиваемой сети. На этом ноутбуке поднимается VPN клиент, и через него сетевой администратор из штаб-квартиры пытается получить доступ к сети филиала. Схема не самая прозрачная даже если привезти ноутбук с заранее настроенным VPN на удаленную площадку и попросить его включить, далеко не факт что всё заработает с первого раза. Особенно если речь о другом регионе с другим провайдером.


Получается, самый надежный способ держать на другом конце провода хорошего специалиста, который сможет настроить свою часть согласно проекту. Если такого в штате филиала не имеется, остаются варианты: либо аутсорсинг, либо командировка.


Ещё нужна система мониторинга. Её требуется установить, настроить, обслуживать (хотя бы следить за местом на диске, и регулярно делать резервные копии). И которая ничего не знает о наших устройствах, пока мы ей не сообщим. Для этого нужно прописать настройки для всех единиц оборудования и регулярно следить за актуальностью записей.


Замечательно, когда в штате есть свой человек-оркестр, который, помимо специфических знаний сетевого администратора, умеет работать с Zabbix или с другой аналогичной системой. В противном случае берем ещё одного человека в штат или отдаем на аутсорсинг.


Примечание. Самые печальные проколы начинаются со слов: Да что там этот Zabbix (Nagios,OpenView и т.д.) настраивать? Я сейчас вот его быстренько подниму и готово!


От внедрения к эксплуатации


Рассмотрим конкретный пример.


Получено тревожное сообщение о том, что где-то не отвечает точка доступа WiFi.


Где она находится?


Разумеется, у хорошего сетевого администратора есть свой личный справочник, в котором всё записано. Вопросы начинаются, когда этой информацией нужно делиться. Например, надо срочно послать гонца, чтобы разобраться на месте, а для этого нужно выдать что-то вроде: Точка доступа в бизнес-центре на улице Строителей, дом 1, на 3-м этаже, кабинет N 301 рядом с входной дверью под потолком.


Допустим, нам повезло и точка доступа питается через PoE, а коммутатор позволяет её перезагрузить удаленно. Ехать не надо, но нужен удаленный доступ до коммутатора. Остается настроить проброс портов через PAT на маршрутизаторе, разобраться с VLAN для подключения извне и так далее. Хорошо, если все настроено заранее. Работа, может, и не сложная, но делать нужно.


Итак, точку по питанию перезагрузили. Не помогло?


Допустим, что-то не так в аппаратной части. Теперь ищем информацию о гарантии, начале эксплуатации и других интересующих деталях.


Кстати о WiFi. Использование домашнего варианта WPA2-PSK, в котором один ключ на все устройства в корпоративной среде не рекомендуется. Во-первых, один ключ на всех это попросту небезопасно, во-вторых, когда один сотрудник увольняется, то приходится менять этот общий ключ и заново выполнять настройки на всех устройствах у всех пользователей. Чтобы избежать подобных неприятностей, существует WPA2-Enterprise с индивидуальной аутентификацией для каждого пользователя. Но для этого нужен RADIUS сервер ещё одна инфраструктурная единица, которую надо контролировать, делать резервные копии и так далее.


Обратите внимание, на каждом этапе, будь то внедрение или эксплуатация, мы пользовались вспомогательными системами. Это и ноутбук со сторонним выходом в Интернет, и система мониторинга, и справочная база по оборудованию, и RADIUS как система аутентификации. Помимо сетевых устройств, приходится обслуживать ещё и сторонние сервисы.


В таких случаях можно услышать совет: Отдать в облако и не мучиться. Наверняка есть облачный Zabbix, возможно где-то есть облачный RADIUS, и даже облачная база данных, чтобы вести список устройств. Беда в том, что это нужно не порознь, а в одном флаконе. И всё равно встают вопросы организации доступа, первоначальной настройки устройств, безопасности и многое другое.


Как это выглядит при использовании Nebula?


Разумеется, первоначально облако ничего не знает ни о наших планах, ни о приобретенном оборудовании.


Сперва создается профиль организации. То есть вся инфраструктура: штаб-квартира и филиалы вначале прописывается в облаке. Указываются реквизиты, создаются учетные записи для делегирования полномочий.


Зарегистрировать используемые устройства в облаке можно двумя способами: по старинке просто вписав серийник при заполнении веб-формы или отсканировав QR-код при помощи мобильного телефона. Всё что нужно для второго способа смартфон с камерой и доступом в Интернет, в том числе через мобильного провайдера.


Разумеется, необходимую инфраструктуру для хранения информации, как учетной, так и настроек предоставляет Zyxel Nebula.



Рисунок 1. Отчет безопасности Nebula Control Center.


А что с настройкой доступа? Открытием портов, пробросом трафика через входящий шлюз, всем тем, что администраторы безопасности ласково называют: наковырять дырок? К счастью, этого всего делать не нужно. Устройства под управлением Nebula устанавливают исходящее соединение. И администратор для настройки подключается не к отдельному устройству, а к облаку. Nebula выступает посредником между двумя соединениями: с устройством и с компьютером сетевого администратора. Это означает, что этап с вызовом приходящего админа можно свести к минимуму, либо пропустить вовсе. И никаких дополнительных дырок на файрволе.


А как же RADUIS сервер? Ведь нужна какая-то централизованная аутентификация!


И эти функцию тоже берет на себя Nеbula. Аутентификации учетных записей для доступа к оборудования идет через защищенную базу данных. Это сильно упрощает делегирование или изъятие прав по управлению системой. Нужно передать права заводим пользователя, назначаем роль. Нужно отобрать права выполняем обратные действия.


Отдельно стоит сказать о WPA2-Enterprise, для которого нужен отдельный сервис аутентификации. У Zyxel Nebula есть собственный аналог DPPSK, который позволяет использовать WPA2-PSK с индивидуальным ключом для каждого пользователя.


Неудобные вопросы


Ниже попробуем дать ответы на наиболее каверзные вопросы, которые часто задают при вхождении в облачный сервис


А это точно безопасно?


При любом делегировании контроля и управления для обеспечения безопасности важную роль играют два фактора: анонимизация и шифрование.


Использование шифрования для защиты трафика от посторонних глаз это читателям более или менее знакомо.


Анонимизация скрывает от персонала облачного провайдера информацию о владельце и источнике. Персональная информация удаляется, а записям присваивается безликий идентификатор. Ни разработчик облачного ПО, ни администратор, обслуживающий облачную систему не могут знать владельца запросов. Откуда это пришло? Кого это может заинтересовать?, такие вопросы останутся без ответа. Отсутствие данных о владельце и источнике делает инсайдинг бессмысленной тратой времени.


Если сравнивать данный подход с традиционной практикой передачи на аутсорсинг или найма приходящего админа очевидно, что облачные технологии безопаснее. Приходящий ИТ специалист знает о своей подопечной организации достаточно много, и может волей или неволей нанести существенный вред в плане безопасности. Ещё надо решить вопрос увольнения или завершения договора. Иногда, помимо блокировки или удаления учетной записи, это влечет глобальную смену паролей для доступа к сервисам, а также аудит всех ресурсов на предмет забытых точек входа и возможных закладок.


Насколько Nebula дороже или дешевле приходящего админа?


Всё познается в сравнении. Базовые функции Nebula доступны бесплатно. Собственно, что может быть ещё дешевле?


Разумеется, совершенно обойтись без сетевого администратора или лица, его заменяющего не получится. Вопрос в количестве людей, их специализации и распределении по площадкам.


Что же касается платного расширенного сервиса, то ставить прямой вопрос: дороже или дешевле такой подход всегда будет неточным и однобоким. Правильнее будет сравнить множество факторов, начиная от денег на оплату работы конкретных специалистов и заканчивая затратами по обеспечению их взаимодействия с подрядной организацией или физлицом: контроль качества выполнения, составление документации, поддержание уровня безопасности и так далее.


Если же говорить на тему выгодно или не выгодно приобретать платный пакет услуг (Pro-Pack), то примерный ответ может звучать так: если организация маленькая, можно обойтись базовой версией, если организация растет, то имеет смысл подумать о Pro-Pack. Различие между версиями Zyxel Nebula можно посмотреть в таблице 1.


Таблица 1. Различия наборов функций базовой версии и версии Pro-Pack для Nebula.



Это и расширенная отчетность, и аудит пользователей, и клонирование конфигурации, и многое другое.


А что с защитой трафика?


Nebula использует протокол NETCONF для обеспечения безопасности работы с сетевым оборудованием.


NETCONF может работать поверх нескольких транспортных протоколов:



Если сравнивать NETCONF с другими методами, например, управление через SNMP следует отметить, что NETCONF поддерживает исходящее TCP-соединение для преодоления барьера NAT и считается более надежным.


Что с поддержкой оборудования?


Разумеется, не стоит превращать серверную в зоопарк с представителями редких и вымирающих видов оборудования. Крайне желательно, чтобы оборудование, объединенное технологией управления, закрывало все направления: от центрального коммутатора до точек доступа. Инженеры Zyxel позаботились о такой возможности. Под управлением Nebula работает множество устройств:


  • центральные коммутаторы 10G;


  • коммутаторы уровня доступа;


  • коммутаторы с PoE;


  • точки доступа;


  • сетевые шлюзы.



Используя широкий спектр поддерживаемых устройств можно строить сети под различные типы задач. Особенно это актуально для компаний, которые растут не вверх, а вширь, постоянно осваивая новые площадки для ведения бизнеса.


Постоянное развитие


Сетевые устройства с традиционным методом управления имеют только один путь совершенствования изменение самого устройства, будь то новая прошивка или дополнительные модули. В случае с Zyxel Nebula есть дополнительный путь для улучшений через совершенствование облачной инфраструктуры. Например, после обновления Nebula Control Center (NCC) до версии 10.1. (21 сентября 2020) пользователям доступны новые возможности, вот некоторые из них:


  • владелец организации теперь может передать все права владения другому администратору в той же организации;


  • новая роль под названием Представитель владельца, которая имеет те же права, что и владелец организации;


  • новая функция обновления прошивки в масштабах всей организации (функция Pro-Pack);


  • в топологию добавлены две новые опции: перезагрузка устройства и включение и выключение питания порта PoE (функция Pro-Pack);


  • поддержка новых моделей точек доступа: WAC500, WAC500H, WAC5302D-Sv2 и NWA1123ACv3;


  • поддержка аутентификации по ваучерам с печатьюQR-кодов (функцияPro-Pack).



Полезные ссылки


  1. Telegram chat Zyxel


  2. Форум по оборудованию Zyxel


  3. Много полезного видео на канале Youtube


  4. Zyxel Nebula простота управления как основа экономии


  5. Различие между версиями Zyxel Nebula


  6. Zyxel Nebula и рост компании


  7. Сверхновое облако Zyxel Nebula экономичный путь к безопасности?


  8. Zyxel Nebula Options for Your Business


Подробнее..

Особенности применения управляемых и неуправляемых коммутаторов

27.10.2020 12:09:43 | Автор: admin


Какой коммутатор использовать для решения той или иной задачи: управляемый или неуправляемый? Разумеется, однозначные ответы вроде: Нужно брать который круче или который дешевле не подходят, оборудование нужно подбираться строго по требуемым характеристикам. А какие они, эти характеристики? И какие существуют преимущества у той или иной группы устройств?


Примечание. В этой статье мы говорим о сетях семейства Ethernet, в том числе: Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet. Для экономии времени все эти сети для краткости мы будем называть термином Ethernet.


Для чего нужны неуправляемые коммутаторы


Неуправляемыми коммутаторами называют самые простые устройства без возможности принудительно изменять какие-либо характеристики. В основе лежит принцип: включил и работай.


Преимущества неуправляемых коммутаторов


Как уже было сказано, это достаточно простые устройства. Они не содержат сложных контроллеров, не требуют повышенного питания, меньше греются, их работу сложнее нарушить, а при выходе из строя их довольно просто заменить (не надо ничего перенастраивать).


Ещё один несомненный плюс неуправляемые коммутаторы стоят дешевле.


Такие устройства применяются в простых сетях, где не требуется применения сложных сетевых конфигураций. Тут надо отменить, что под понятием простые сети может скрываться вполне себе развитая инфраструктура среднего предприятия на 100+ локальных клиентов.


Ещё одна область применения в отдельных выделенных сетях, куда посторонним вход запрещен. Например, в сети видеонаблюдения, в которой кроме службы безопасности и администратора остальным сотрудникам офиса делать нечего.


Из практики. Сетевые инфраструктуры только из неуправляемых коммутаторов без применения другого сетевого оборудования (за исключением Интернет-шлюза) редко переходят за порог 254 устройства. Такие LAN часто оформляются в виде одной подсети класса С. На это есть свои причины если слишком много устройств находится в одном широковещательном домене, то служебный Ethernet трафик достигает существенной величины и начинает мешать передаче информации. Это связано с тем, что каждое устройство обязано принять и обработать широковещательные кадры, а это, в свою очередь создает ненужную нагрузку и засоряет канал связи. Чем больше устройств, тем больше широковещательных посылок время от времени проходит по сети, которые принимают все эти же устройства. В свою очередь маска подсети класса С 255.255.255.0 и префикс 192.168.xxx.xxx популярные значения, а предел в 254 устройства для сетей этого класса является, помимо всего прочего, своего рода психологической отметкой, когда приходит понимание, что c разросшейся сетью надо что-то делать.


Ещё одна сфера применения неуправляемых коммутаторов удешевление сетевой инфраструктуры. Строить развернутую сеть на базе только управляемых коммутаторов достаточно дорогое удовольствие. На практике возникают случаи, когда большое число однотипных устройств находятся в одной подсети и расположены относительно недалеко. В качестве примера можно привести пользователей тонких клиентов в опенспейсе, которым назначен отдельный изолированный VLAN. В таких простых случаях функции управления на коммутаторе уровня доступа не так уж и востребовано. За вопросы безопасности и перенаправления трафика отвечает уровень распределения (агрегации) и далее ядро сети.


Ещё один классический пример: специально выделенная сеть для управления оборудованием, куда подключены, интерфейсы IPMI для управления серверами, IP-KVM и так далее.


Для таких сегментов можно использовать один или несколько неуправляемых коммутаторов с Uplink в выделенный VLAN для связи с остальной сетевой инфраструктурой. Разумеется, в этом случае теряется возможность гибкого управления целым фрагментом, но так ли уж нужно чем-то там управлять?


Некоторые мифы и заблуждения


Миф 1. Неуправляемые коммутаторы это отсталое старьё, рассчитанное на небольшие скорости (до 1 Гбит/сек. максимум), сейчас все новые современные коммутаторы управляемые.


Это далеко не так. Неуправляемые коммутаторы выпускаются и успешно применяются. Мало того, обеспечивают вполне приличные скорости. В качестве примера можно привести современные мультигигабитные коммутаторы, позволяющие повысить скорость передачи данных без замены кабельной системы.



Рисунок 1. Zyxel XGS1010-12 12-портовый неуправляемый мультигигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+


Миф 2. Сейчас неуправляемые коммутаторы это для не корпоративных сетей. Они не выпускаются в формфакторе 19 дюймовых стоек и содержат не больше 16-ти портов.


Это тоже не соответствует действительности стоечные неуправляемые коммутаторы выпускаются и находят свое место в том числе в корпоративных сетях. В качестве примера можно привести Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор с гигабитным Uplink.



Рисунок 2. Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор в стоечном исполнении.


Миф 3. С PoE бывают только управляемые коммутаторы. Аналогичное заблуждение: с PoE только неуправляемые.


На самом деле и управляемые, и неуправляемые коммутаторы бывают как с PoE, так и без. Все зависит от конкретной модели и линейки оборудования. Для более подробного ознакомления рекомендуем статью IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино.



Рисунок 3. Zyxel GS1300-26HP 24-портовый гигабитный (+2 Uplink) неуправляемый коммутатор для систем видеонаблюдения с расширенной поддержкой PoE.


Удивительное рядом. Можно ли управлять неуправляемым коммутатором? Казалось бы, ответ уже понятен из названия (вот и Капитан Очевидность нам то же самое говорит). Однако, что мы понимаем под словом управлять? Например, отключать или включать питание, или выполнить перезапуск устройства это ведь тоже управление? В этом случае нам помогут такие устройства как SmartPDU. Часто под управлением понимают настройку запретов и разрешений для клиентского доступа. В этом случае, например, можно не выключать порты, а настроить фильтрацию по MAC этажом выше, то есть на управляемом коммутаторе уровня распределения (агрегации). Тогда на верхний уровень будет проходить трафик только от разрешенных MAC. Разумеется, злоумышленник в качестве цели для атаки может избрать рядом стоящие компьютеры или тонкие клиенты, но для нанесения большого вреда вроде положить ядро сети фильтрация по MAC на уровне распределения (агрегации) создает определенные затруднения. В итоге коммутатор как был, так и остается неуправляемым, но мы можем управлять его окружением и даже выполнять какие-то действия с ним самим.


Ограничение неуправляемых коммутаторов


Ограничение одно и весьма большое неуправляемость. Если нужно что-то большее, чем просто соединять два порта и передавать кадры Ethernet нужно использовать управляемые коммутаторы.


Управляемые коммутаторы


В отличие от их более простых собратьев, которые выше канального уровня (2-й уровень модели OSI) не поднимались, управляемые коммутаторы выпускаются уровней L2, L2+, L3 и даже L3+.


При таком разнообразии описать все функции и особенности работы в рамках одной статьи просто нереально. Поэтому мы ограничимся описанием основных возможностей управляемых коммутаторов уровня L2.


Функции управления в коммутаторах L2


Управляемые коммутаторы L2 вещь довольно распространенная. Например, их удобно использовать на уровне доступа, чтобы гибко управлять клиентским трафиком.


Коммутаторы L2 можно встретить и на уровне ядра сети. Коммутаторы на этом участке обеспечивают скоростное взаимодействие всех ветвей сети. При такой загрузке те или иные крутые функции L3 оказываются не востребованы, а иногда просто мешают. Роль анализаторов и фильтров трафика в такой архитектуре целиком возложена на коммутаторы уровня распределения (агрегации).


Ниже приводится очень сокращенный список функций управления, характерный для коммутаторов L2. Разумеется, для коммутаторов L2+ и, тем более, L3 список возможностей будет куда как длиннее. Но даже из этого сокращенного перечня хорошо понятны отличия от их неуправляемых собратьев.


Возможность удаленной перезагрузки или выключения


Редко, но такая возможность бывает востребована. Например, перезагрузка может потребоваться при перепрошивке устройства или необходимости откатиться назад без сохранения конфигурации. Выключение коммутатора тоже может быть полезно. Например, мягкое выключение коммутатора уровня доступа может быть эффективно в качестве крайней меры при опасности массового заражения рабочих станций.


Port UP/Down


Возможность отключить порты весьма полезная возможность для поддержания требуемого уровня безопасности. Работающая сетевая розетка в тихом месте, оставленная без присмотра это потенциальная дыра. Самый простой способ избавиться от такой беды просто перевести порт на коммутаторе в состояние Down.


Пример: неиспользуемые розетки в переговорной. Изредка они нужны, когда необходимо подключить дополнительное оборудование, например, для видеоконференций, а также ПК, МФУ и другие устройства. Однако при собеседовании кандидатов для приема на работу такие свободные порты могут оказаться брешью в безопасности, которую лучше прикрыть.


Разумеется, можно постоянно бегать в серверную и отключать-подключать порты вручную, выдергивая патчкорды из коммутатора или патчпанели. Но такой подход чреват не только необходимостью постоянно держать поблизости человека, способного это проделать, но и быстрым выходом разъемов из строя. Поэтому возможности менять состояние Up-Down для каждого порта рано или поздно окупится.


Защита от петель


Ошибки в виде двойного подключения приводят к созданию петель в сетях Ethernet и лишают сеть работоспособности.


Для их защиты придуманы специальные средства в первую очередь мы говорим о семействе протоколов STP (Spanning Tree Protocol), который, кроме защиты от петель, предотвращает возникновение широковещательного шторма в сетях. Протоколы семейства STP работают на 2 уровне модели OSI (L2).


Агрегирование каналов


Позволяет объединить два или несколько портов (обычно применяется число, кратное 2) в один канал передачи данных. Один из известных проколов для агрегации LACP (Link Aggregation Control Protocol), поддерживаемый большинством Unix-like операционных систем. LACP работает в режиме Active-Active и, благодаря ему, помимо повышения отказоустойчивости увеличивается и скорость передачи данных


Поддержка VLAN


VLAN (Virtual Local Area Network) группа устройств, обменивающихся трафиком на канальном уровне (2 уровень сетевой модели OSI), хотя физически они могут быть подключены к разным коммутаторам.


Известен и обратный прием, когда один коммутатор при помощи VLAN нарезается на несколько независимых сегментов. Устройства из разных VLAN по умолчанию (без маршрутизации) недоступны на канальном уровне, не важно, подключены они к одному коммутатору или к разным. В то время как устройства из одного VLAN могут общаться между собой на канальном уровне, даже будучи подключенными к разным коммутаторам.


Это применяется как при разделении сети на подсети, например, для снижения уровня широковещательного трафика, так и для объединения устройств из различных сегментов крупной корпоративной сети в одну подсеть, организованную по единым правилам.


Например, если всей бухгалтерии, находящейся на 2-м, 3-м и 5-м этажах необходимо дать доступ к серверу 1С, но при этом запретить доступ к сети вычислительного кластера для инженерных расчетов, то разумнее всего сделать дополнительный VLAN, настроить общие ограничения, после чего приписать к нему порты всех бухгалтерских компьютеров.


QoS


Под QoS (Quality of Service) обычно подразумевают способность сети обеспечить необходимый уровень сервиса заданному сетевому трафику.


Например, в сети, при работе оборудования для видеоконференций, трафик между источником и приемником видеотрансляции будет более приоритетным, чем, например, копирование документов для инженеров техподдержки.


Существует множество различных инструментов, облегчающие подобные задачи, в том числе создание аппаратных очередей, flow-control и так далее.


Безопасность


Под безопасностью можно понимать самые разнообразные функции, например, те же VLAN.


Также среди наиболее известных: Port Security, фильтрация Layer 3 IP, фильтрация Layer 4 TCP/UDP.


Например, вот список функций безопасности для коммутаторов L2 серии GS2220:


  • Port security
  • Фильтрация Layer 2 MAC
  • Фильтрация Layer 3 IP
  • Фильтрация Layer 4 TCP/UDP
  • Static MAC forwarding
  • Несколько серверов RADIUS
  • Несколько серверов TACACS+
  • 802.1x VLAN and 802.1p assignment by RADIUS
  • Аутентификация RADIUS
  • Аутентификация TACACS+
  • TACACS+ аккаунтинг
  • RADIUS аккаунтинг
  • Авторизация RADIUS
  • Авторизация TACACS+
  • SSH v2
  • SSL
  • MAC freeze
  • DHCP snooping IPv4
  • DHCP snooping IPv6
  • ARP inspection
  • Static IP-MAC-Port binding
  • Policy-based security filtering
  • Port isolation
  • IP source guard (IPv4/IPv6)
  • MAC search
  • Guest VLAN
  • ACL packet filtering (IPv4/IPv6)
  • CPU protection
  • Interface related trap enable disable (by port)
  • MAC-based authentication per VLAN

Как видим, есть довольно много возможностей, которые востребованы в тех или иных обстоятельствах.



Рисунок 4. GS2220-50HP 48-портовый гигабитный PoE коммутатор L2 c 2 Uplink SFP GBE.


Управление


Возможности управления и контроля могут быть самые различные. Например, через веб-интерфейс, CLI (интерфейс командной строки), настройка через консольный порт RS-232, сохранение, извлечение и клонирование конфигурации, расписание включения PoE (для коммутаторов с PoE).


Для случаев расследования нарушений безопасности и анализа сетевых проблем интерес вызывают такие функции, как зеркалирование портов.


Старый добрый SNMP протокол тоже играет немаловажную роль, как в плане опроса и управления по протоколам SNMP v1/2c/3, так и оповещения с использованием механизма SNMP Trap.


И, наконец, последний писк моды централизованное управление через облачную систему, такую как Zyxel Nebula, позволяющую забыть о вопросах локального доступа для управления, учета оборудования и других наболевших темах.


Что в итоге


Не бывает плохих и хороших направлений развития сетевых устройств. Для каждого типа оборудования существует своя область применения. Зная особенности того или иного класса устройств, можно подобрать для каждой задачи наиболее эффективное решение.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино
  5. 12-портовый неуправляемый многогигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+
  6. Специализированный коммутатор для систем видеонаблюдения GS1300 Series
  7. 8/16/24-портовые гигабитные неуправляемые коммутаторы серии GS1100
  8. Управляемые 10/28/50-портовые гигабитные коммутаторы L2 серии
Подробнее..

53 совета как поднять нерабочую сеть

17.11.2020 12:21:43 | Автор: admin


Ноябрь месяц особенный. Целых два профессиональных праздника для российских безопасников: День специалиста по безопасности в России 12 ноября и Международный день защиты информации 30 ноября.


Находясь между этими датами, невольно задумываешься на тему: а что есть безопасность в принципе? И что приносит больший вред: внешние атаки или сумасшедшие ошибки, странные предрассудки и просто нежелание что-либо сделать хорошо?


Предлагаем вашему вниманию перечень вредных советов, надеюсь, они вам понравятся.


Для начала пример из жизни


Один замечательный начальник отдела ИТ искренне считал, что главное это быстро бегать по заявкам пользователей, производя впечатление максимальной загруженности. А ещё важно экономить на всём. На каждом совещании он не забывал похвалить себя и свой отдел, рассказывая, сколько чего было сэкономлено для компании.


Примечателен тот факт, что в сети ранее была создана вся необходимая структура для обеспечения стабильности, безопасности и т.д. В том числе закуплены коммутаторы L3, новенькие точки доступа Wi-Fi и много другого полезного.


Но вся эта техника просто не использовалась. А зачем? Никто этого не оценит. Зато быстро прибежавшего сисадмина сразу после телефонного звонка пользователи обязательно похвалят и даже угостят карамелькой. Пара новейших коммутаторов грустно лежала в коробке, потому что установить их было просто некому.


В итоге всё находилось в одной подсети. Ни о каких VLAN не могло быть и речи.


Разумеется, и СХД, и рабочие станции, и даже веб-сервер с внешним сайтом компании всё было в одной сети класса С. Все 254 адреса были давным-давно оприходованы. И когда возник дефицит IP адресов, то начальник отдела ИТ принял оригинальное решение: урезать диапазон динамических IP адресов и снизить время лизинга IP адресов на DHCP сервере до 1 секунды.
Таким образом, компьютеры тех сотрудников, кто приходили на работу пораньше, получали доступ к локальной сети, а опоздавшие или те, кто приходил ровно к началу рабочего дня курили бамбук. Классический вариант: кто раньше встал, того и тапки. Тем самым удалось и модернизации избежать, и дисциплину поднять, ведь теперь работники, мало того, что стараются прийти пораньше, так ещё и на работе задерживаются.
Но как же быть с теми хитрецами, кто не выключал компьютеры, уходя домой, чтобы сохранить доступ в сеть? Очень просто: все компьютеры, кроме ноутбуков топ-менеджеров в 22-00 выключались принудительно.


Кроссовый журнал не вёлся. Мало того, повсеместно применялись сплиттеры, когда два компьютера сотрудников подключались к сети через одну настенную розетку. Сплиттеры делались силами сотрудников ИТ отдела из обычных внешних телефонных розеток и хитрых патчкордов, где с одной стороны был RJ45, а с другой телефонный штекер.


К любым, даже самым простым мерам безопасности вроде обновить антивирусные базы этот начальник ИТ относился с опасением. Фразы у нас честная фирма, нам нечего скрывать и да кому мы нужны были главным определяющим фактором при принятии решений. Все работники имели права администратора на своем компьютере. Примерно треть пользователей администраторы домена. А вдруг ответственному сотруднику внезапно понадобится какой-нибудь информационный ресурс для работы? Пароли были самые простые. Пользователи ведь не должны напрягаться, чтобы запоминать сложные пароли? Сочетание 1234 уже считалось вполне нормальным.


Вы считаете это выдумкой? Или такое возможно только в маленьких компаниях вроде Я, секретарша и директор? Увы, этот пример целиком взят из жизни.


Мало того, фирма, где это происходило довольно крупная столичная компания, вполне современная, так сказать, внедряющая прогрессивные методы работы с клиентами.


Почему руководство компании терпело этот кавардак? Все вокруг искренне считали, что без этого незаменимого сотрудника в этом хаосе больше никто не разберется. Поэтому уволить такого ценного кадра, чтобы сделать резервную копию (кстати, системы резервного копирования не было тоже, её пришлось бы строить с нуля) и потом всё отстроить заново никак не решались. Всё-таки бизнес простаивать будет, а так, пусть через пень колоду, но вроде пока ещё как-то работает...


Чтобы избежать таких даже не ошибок, а просто нелепостей, предлагаем вашему вниманию перечень вредных советов. Если им не следовать, то можно избежать многих проблем.


Проектирование и документация


При построении сети не составляйте даже эскизного проекта. Все решения должны приниматься спонтанно.


Если начальство требует привлечь для проекта стороннюю организацию, то выбирайте самый дешевый вариант. Из всех предложений на рынке наймите самую низкооплачиваемую команду проектировщиков.


Наличие документации совершенно не важно, лучше если её вообще не будет. И уж точно вас не должны волновать несоответствие в документации и того, что есть в реальности.


Логическая организация и сервисы


Не разделяйте сети. Не используйте VLAN. На самом деле это придумали те, кто просто хочет побольше заморочиться.


Не используйте STP и другие средства отказоустойчивости. Чем больше петель и обрывов тем круче сеть.


Никакого контроля за IP адресами. Пусть и сервер DHCP, и статические адреса берутся из одного диапазона адресов не глядя. Если кому-то не повезло и адреса совпали дело житейское. Повезет в следующий раз. И вообще, Что наша жизнь? Игра!


Не планируйте запас IP адресов на вырост. Помните, что простой сети класса С и любимой маски 255.255.255.0 хватит на все случаи жизни.


Если у вас есть промышленное оборудование с IoT, то подключайте офисную сеть к промышленной напрямую в один и тот же сегмент сети, и всё это сразу подключите к Интернет через самый дешевый роутер.


Оборудование


Не обращайте внимание на элементную базу. Качество монтажа, качество комплектующих вещи абсолютно незначимые.


Обязательно используйте оборудование от самых разных производителей, в первую очередь неизвестных и малоизвестных фирм. Вообще зоопарк из самых диковинных образчиков сетевых устройств это удивляет воображение и дает волю фантазии. Лучше всего сочетаются ископаемые древности с новехонькой техникой от NoName производителей.


Совет: чем диковиннее железки, тем больше вероятность, что только вы будете знать, как управиться со всем этим разношерстым хозяйством. А если и не знаете, то не расстраивайтесь, ведь никто другой, скорее всего, это тоже не знает.*

При выборе оборудования не обращайте внимание на наличие русскоязычной техподдержки сами во всем разберемся.


Не используйте резервирование. Ничего страшного если что-то постоит без работы, кто-нибудь да отремонтирует.


Не заключайте договор о расширенной гарантии и поддержке. Сгорит значит сгорит. Нужно стоически принимать удары судьбы.


Не имейте спасательного фонда. Только с колес. Если что-то выйдет из строя всегда можно срочно купить устройство на замену, желательно за наличные из такого же хлама, что подвернется под руку.


Wi-Fi


При развертывании Wi-Fi не используйте гостевую сеть. Смело раздавайте всем на право и налево ключ от офисного Wi-Fi. Разумеется, пароль обязательно быть один на всех. Никаких RADUS, Dynamic Personal Pre-Shared Key (DPPSK) и прочих ненужных вещей!


Покупайте устаревшие модели точек доступа просто потому что они дешевле. Лучше брать с рук или на рынке, без гарантии и документации, от неизвестного производителя.


Разместите точку единственную доступа в самом труднодоступном изолированном месте. Глухой подвал с железной дверь вполне подойдет.


Используйте только одну точку доступа на всех. Если все жалуются, что у них не ловит пусть поищут в офисе место, где сигнал стабильней. Например, пусть все выйдут в коридор.


Поставьте рядом с точкой доступа побольше микроволновок, устройств с BlueTooth и других гаджетов, использующих радиовещание или создающее помехи.


Если начальство требует что-то сделать с Wi-Fi, который не ловит разместите несколько одинаковых точек доступа рядом друг другом. Не настраивайте никаких параметров для снижения взаимного влияния.


Не используйте никакие средства Wi-Fi роуминга. Контроллеры точек Wi-Fi (даже если за эту функцию не надо платить, и она уже есть в сетевом оборудовании) жутко обременительная вещь.


Никогда не используйте облачные решения для контроля точек доступа. Лучше всё настраивать вручную.


Не используйте удаленное управление точками доступа. Например, чтобы перезагрузить точку по питанию, лучше послать человека с раскладной лестницей.


Не используйте PoE для питания точек доступа. Если розеток недостаточно или точки находятся в трудно доступных местах используйте обычные удлинители для электропитания. Хорошей идеей также будет втыкать удлинители электропитания один в другой, чтобы получить нужную длину. Если искрит значит работает!


Не используйте шифрование в Wi-Fi. Если этого требует начальство используйте самый простой вариант. Если ваша точка доступа всё ещё поддерживает WEP используйте именно это. А то вдруг кто-то придет с устаревшим ноутбуком, который поддерживает только этот вариант...


СКС и учет оборудования


Никакой маркировки кабелей! Забудьте про кроссовый журнал. Только по памяти или методом "тыка".


Совет: Чтобы узнавать, что куда подключено, лучше всего просто выдернуть патчкорд из порта, и подождать, кто прибежит. Так можно узнать не только какое оборудование висит на данном проводе, но и насколько оно важно для работы сети.

Не ведите никакого учета оборудования. Только то, что в голове, только по памяти. Если заставляют вести документацию смело пишите в ней что попало. И, конечно, не вздумайте использовать никакую централизованную облачную систему.


Всегда прокладывайте СКС самым дешевым и устаревшим кабелем. Помните, что категория 5 (не 5E, а именно чистая пятерка) на высоких скоростях работает ничуть не хуже, чем более современные 5E, 6, 6A, 7...


Покупайте только самые дешевые патчкорды.


Не используйте патчпанели. Лучше всего провод сразу из стены обжать и воткнуть в порт оборудования.


Старый разболтанный обжимной инструмент от неизвестного производителя это самый лучший вариант для оконцовывания кабелей. Не имейте ничего хорошего и надежного.


Безопасность


Используйте только самые простые пароли. Лучше использовать пароли по умолчанию. Если интерфейс требует сменить пароль введите очень простой, который можно получить из словаря


Не используйте VPN и любое другое шифрование трафика. Честным людям нечего скрывать.


Не читайте логи безопасности. Всё равно ничего полезного там не прочтете, а если прочтете, то всё равно не поймете.


В настройках безопасности используйте самый простой режим по умолчанию.


Используйте прямое подключение через Интернет. Никаких этих дурацких вещей вроде DMZ и тому подобного. Только сразу напрямую к серверам во внутренней сети. И никаких дополнительных средств защиты!


Используйте неизвестные программы от третьих лиц вместо фирменного ПО. Например, зачем использовать Zyxel One Network, если можно воспользоваться каким-нибудь левым сканером сети с хакерского сайта, желательно ещё и крякнутой версией.


Совет. Разумеется, это всё гораздо надежнее, чем использовать облачные решения, ведь там за безопасностью следят злые админы, а это добрые люди на форуме посоветовали. Поэтому в облако ни-ни.

Не используйте антивирус. Ни на шлюзе, нигде. Все знают, что антивирус замедляет компьютеры. Пусть всё добро из Интернет незамедлительно проходит сразу на серверы и компьютеры пользователей.


Не используйте антиспам. Любая фильтрация нарушает свободу переписки. Вдруг прямо сейчас кто-то из сотрудников получит письмо о наследстве из Нигерии. Он непременно будет вам признателен за эту возможность.


Не проводите поведенческого анализа действий пользователей в сети. Пусть сотрудники качают всё, что им вздумается. Чем больше они скачают на компьютеры, тем меньше останется в Интернет, и ваша компания станет несомненно богаче.


Модернизация имеющейся сети


Всячески уклоняйтесь от модернизации. По большому счету не важно, какая пропускная способность сети. Ethernet HUB 10Mb/s ни в чем не уступает коммутатору L3 10 Gigabit Ethernet.


Совет 1. Если начальство всё же настаивает на модернизации сети, начните проводить плановые работы в самое неудобное время, например, в активные бизнес-часы. Посидят несколько часов без сети авось поумнеют и отвяжутся со своей модернизацией.

Совет 2. Составьте список из самого дорого оборудования (пусть даже вам не так нужен весь этот набор функций) и запросите для начальства счет с кругленькой цифрой. Они непременно откажутся от планов модернизации, увидев, как много денег им придется потратить.

При выполнении работ не составляйте никаких планов заранее. Всё должно происходить строго по наитию. Спонтанные решения всегда лучше тщательного предварительной проработки.


Никогда, вы слышите, никогда не читайте документацию! Даже если ничего не знаете, методом тыка действовать всегда лучше, чем вооружившись инструкцией. И вообще, это глупо тратить бесценное время на чтение, если уже сразу можно начать ковыряться в настройках и железе.


Не обновляйте firmware сетевого оборудования. Не используйте централизованную систему контроля версий прошивок.


Даже если оборудование уже куплено, просто не устанавливайте его. Ведь для этого нужно научится с ним работать, потом произвести плановую остановку, выполнить какие-то действия по замене и настройке Проще потратить деньги и отчитаться.


Совет. Если установки не избежать, то по возможности оттяните её как можно дольше, когда новое оборудование уже изрядно устареет. Так вы всегда можете сказать: "Ну вот видите, поставили новое, а получился всё равно отстой".

Мониторинг


Не контролируйте сеть. Не читайте логи. Вообще не используйте систему мониторинга. И уж точно не используйте никакие облачные системы от производителя.


Не настраивайте никакого информирования: ни по почте, ни по СМС, ни-че-го Пока не знаете о проблеме и голова не болит.


Не используйте никакую удаленную систему управления. Только личный приход в серверную избавит вас от большинства проблем.


Работа с персоналом


Не определяйте даже примерно зоны ответственности. Пусть все отвечают за всё.


Настоящий профессионал всегда знает всё. Если человек говорит, что с чем-то до этого момента не сталкивался и ему надо почитать литературу это слабак, его надо немедленно уволить и нанять всезнайку. Эффект Даннинга-Крюгера выдумали просто так, для утешения неудачников.


Никогда не признавайте свои ошибки. Лучше потихоньку замести следы или доказывать, что оно само так получилось.


Всегда нанимайте для выполнения работ случайных людей подешевле. Помните, что хороший специалист всегда соглашается поработать бесплатно, а самые крутые ещё доплатят вам, потому что работать в этой компании большая честь для них.


Никогда ничего не проверяйте и не тестируйте. Помните, что настоящие профессионалы никогда не ошибаются.



Вот и закончился наш список. Разумеется, это всего лишь шутка. Но в каждой шутки есть доля правды.


И мы выражаем поддержку тем, кто не допускает подобных вещей или вынужден бороться против подобного.


Полезные ссылки


Telegram chat Zyxel


Форум по оборудованию Zyxel


Много полезного видео на канале Youtube

Подробнее..

Убираем старые проблемы защиты крупных и малых сетей

24.11.2020 12:18:29 | Автор: admin


Черепаха особое построение римских легионеров.


До сих пор существует практика разделять подход к безопасности для небольших компаний и для крупного бизнеса. С одной стороны, вроде бы логика в этом прослеживается. Якобы для штаб-квартиры в столице требуется высокий уровень безопасности, а для небольшого филиала уровень попроще и пониже.


Но, может быть, стоит посмотреть с другой стороны? Владельцы хотят максимально обезопасить свой бизнес, даже если он небольшой. А если государственная организация находится не в столице, то это не значит, что она должна работать с перебоями только потому, что в ИТ из-за проблем с безопасностью что-то нарушилось и никак не восстановят.


Когда вместо того, чтобы взламывать хорошо оберегаемый центральный узел, достаточно получить доступ к менее защищённой сети филиала это уже давно является классикой жанра. А сетевые администраторы постоянно решают множество интересных проблем из-за необходимости поддерживать одновременно целый зоопарк линеек оборудования: посерьёзнее и подороже для штаб-квартиры и попроще и подешевле для филиалов и небольших предприятий.


С другой стороны, и на уровне Enterprise возникает ситуация, что любое локальное решение может быть недостаточным. Проще говоря, какую сверхмощную железку ни поставишь её возможностей всё равно будет мало.


Zyxel знает про эти проблемы и предлагает комплексный подход для решения.


Во-первых, можно сделать продуктовую линейку соответствующих устройств более широкой. Включающей оборудование как для небольшой сети, так и для крупной ИТ инфраструктуры.


Во-вторых, подключить внешние облачные сервисы. Тогда небольшие мощности используемого железа компенсируются за счёт возможностей облака.


Ниже мы разберём, как это выглядит на практике. Забегая вперёд, стоит сказать, что речь пойдёт о недавно поступившей в продажу платформе USG FLEX.


Почему облачные технологии так важны?


Коллективная защита


Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.


Борьба средств безопасности против сетевых угроз это уже не классический сценарий самый твёрдый наконечник против самого крепкого щита, сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит. Тут самое время попросить помощи у соратников. Если сложить щиты в плотную конструкцию, можно отразить гораздо больше атак с самых разных сторон, нежели в одиночку.


В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время крутили пальцем у виска, предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.


Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.


Это интересно. Уже в следующей прошивке будет выпущена полноценная поддержка централизованного облака Zyxel Nebula. Появится возможность использовать облачные ресурсы не только для защиты, но и реализовать централизованное управление крупной сетевой инфраструктурой, подключившись к облаку. Новая прошивка планируется в марте 2021 года.

Что делается для повышения защиты?


В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.


То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.


Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.


Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря облаку.


В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.


Откуда поступают данные о вредоносных элементах?


В облачной базе данных, поддерживающей USG FLEX, собираются подробные сведения, предоставляемые ведущими компаниями и организациями в области кибербезопасности для накопления информации о проблемных файлах и данных об угрозах. Сбор информации происходит постоянно в режиме реального времени. Мощная база данных позволяет повысить точность выявления вредоносного кода.


Отдельно стоит отметить хорошую контекстную фильтрацию, а также специальный фильтр CTIRU (Counter-Terrorism Internet Referral Unit) для ограничения доступа к экстремистской информации. В последнее время, к сожалению, эта функция становится необходимой.


Давайте попробуем галопом-по-европам пробежаться по основным ступенькам защиты, предоставляемым USG FLEX.


Среди функций безопасности стоит выделить такие возможности, как:


  • антивирусная защита;
  • антиспам;
  • фильтрация URL и IDP для отражения атак извне;
  • Патруль приложений;
  • контентная фильтрация (вместе с Патрулем приложений эти функции блокируют доступ пользователей к посторонним приложениям и web-сайтам);
  • инспекция SSL с поддержкой TLS 1.3. (для анализа защищённого трафика).

Применение этих сервисов позволяет ликвидировать слабые места в системе защиты корпоративной сети.


Аналитические отчёты и углублённый анализ угроз


В принципе, у Zyxel всегда было неплохо со статистикой и построение отчётов. В USG FLEX это поучило дальнейшее развитие. Графические диаграммы по статистике угроз, сводка статистики по трафику выводятся на главной консоли межсетевых экранов, это позволяет быстро понять, что происходит в сети.


Сервис SecuReporter предоставляет детальный анализ угроз, что даёт возможность вовремя проследить изменения в сети и вовремя избежать неприятностей.


Когда все события отображаются на одной централизованной консоли это удобно. Управлять разными клиентами и устройствами теперь стало проще.


Не только безопасность


Как говорится, безопасность безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?


Много разных VPN


Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым полевым офисам.


Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах всё равно можно настроить подключение по VPN к удалённому офису.


Для чего нужна расширенная подписка?


При построении защищённых сетей возникает противоречивая ситуация. С одной стороны, необходимо установить высокий уровень безопасности без разделения предприятий на малые и большие (бедные и богатые, столичные и провинциальные и так далее). С другой стороны, для каждой ситуации необходим индивидуальный подход. Порой приходится работать максимально гибко, с привлечением набора дополнительных, но необязательных функций. Для этого и существует расширенная подписка


Расширенная подписка добавляет лицензии на Unified Threat Management для поддержки функций:


  • Web Filtering Блокирование доступа к опасным и подозрительным web-сайтам;
  • IPS (IDP) проверка пакетов на наличие вредоносного кода;
  • Application Patrol анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
  • Anti-Malware проверка файлов и выявление опасных сюрпризов с использованием облачных мощностей;
  • Email Security поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
  • SecuReporter расширенный анализ в области безопасности, построение подробных отчётов.

Пакет сервисов Hospitality


USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.


Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.


Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.


Примечание. Hospitality это индустрия гостеприимства (отели, рестораны, кафе...), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством приходящих сотрудников.

Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.


SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.


Миграция без усилий и проблем


Если используются лицензии серии USG в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.


Подробнее об устройствах USG FLEX


Прежде чем приступим к описанию, остановимся на ключевых моментах.


Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.


Тут возникает масса интересных сюрпризов. Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только на бумаге), так ещё и настройка всего этого хозяйства может занять значительное время. Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.


В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.


Совет. Чтобы получить устройство на тест, нужно прислать запрос по адресу: Sales_rusc@zyxel.eu

Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:


  • USG FLEX 100 и версию с точкой доступа Wi-Fi USG FLEX 100W.
  • USG FLEX 200;
  • USG FLEX 500;
  • USG FLEX 700.

Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.


Ниже мы остановимся подробно на каждой модели USG FLEX.


Описание USG FLEX 100


Это самый простой, экономичный, но, тем не менее, надёжный вариант защиты для небольших филиалов и малых сетей.


Устройство мало потребляет, питание осуществляется от внешнего адаптера на 2A, 12V постоянного тока.


Имеет 4 порта LAN/DMZ, 1 порт WAN, 1 порт SFP.


Также присутствует порт USB, через который можно подключит USB-модем для создания резервного канала.



Рисунок 1. Внешний вид USG FLEX 100.



Несколько слов о USG FLEX 100W


В принципе, модель USG FLEX 100W отличается от модели USG FLEX 100 только встроенным модулем Wi-Fi.


Характеристики Wi-Fi:


  • Соответствие стандартам 802.11 a/b/g/n/ac
  • Частота радиосвязи 2.4 / 5 ГГц
  • Количество радио модулей 2
  • Количество SSID 8
  • Количество антенн 3 съёмные антенны
  • Усиление антенны 2 дБи @ 2.4 ГГц
  • Скорость передачи данных 802.11n: до 450 Мбит/сек, 802.11ac: до 1300 Мбит/сек.


Рисунок 2. Внешний вид USG FLEX 100W.


Как уже было сказано выше, основные отличия лежат в количественных показателях:


  • Пропускная способность SPI (Мбит/сёк) 900
  • Пропускная способность VPN (Мбит/сёк) 270
  • Пропускная способность IDP(Мбит/сёк) 540
  • Пропускная способность AV (Мбит/сёк) 360
  • Пропускная способность UTM (AV и IDP) 360
  • Максимум одновременных TCP сессий 300,000
  • Максимум одновременных туннелей IPSec 40
  • Максимум одновременных туннелей SSL 30

Описание USG FLEX 200


А это уже вариант немного мощнее.


Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.


Для питания нужен уже блок на 2,5A 12V постоянного тока.



Рисунок 3. Внешний вид USG FLEX 200.


По производительности и пропускной способности показатели также выше:


  • Пропускная способность SPI (Мбит/сёк) 1,800
  • Пропускная способность VPN (Мбит/сёк) 450
  • Пропускная способность IDP(Мбит/сёк) 1,100
  • Пропускная способность AV (Мбит/сёк) 570
  • Пропускная способность UTM (AV и IDP) 550
  • Максимум одновременных TCP сессий 600,000
  • Максимум одновременных туннелей IPSec 100
  • Максимум одновременных туннелей SSL 60
  • VLAN интерфейсы 16

Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.


Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.


Описание USG FLEX 500


Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0


Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала можно легко переназначить 3 WAN и 4 LAN порта.

Видно, что это универсальное устройство для решения широкого спектра задач.


Для питания нужен ещё более мощный блок 4.17А, 12V постоянного тока.


Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.



Рисунок 4. Внешний вид USG FLEX 500.


Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:


  • Пропускная способность SPI (Мбит/сёк) 2,300
  • Пропускная способность VPN (Мбит/сёк) 810
  • Пропускная способность IDP(Мбит/сёк) 1,500
  • Пропускная способность AV (Мбит/сёк) 800
  • Пропускная способность UTM (AV и IDP) 800
  • Максимум одновременных TCP сессий 1,000,000
  • Максимум одновременных туннелей IPSec 300
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 64

Описание USG FLEX 700


Это устройство появилось позже всех, его можно назвать флагманом линейки. Имеет целых 12 конфигурируемых портов, 2 порта SFP, 2 порта USB 3.0


Питание производится из стандартной сети переменного тока 100-240V, 50/60Hz, ~2.5А.


Для охлаждения применяется встроенный вентилятор.


Это классическое устройство для серверной или кроссовой, с широкими возможностями как для обеспечения безопасности, так и для организации работы сети.



Рисунок 5. Внешний вид USG FLEX 700.


Имеет самую высокую производительность из всех USG FLEX на данный момент


  • Пропускная способность SPI (Мбит/сёк) 5,400
  • Пропускная способность VPN (Мбит/сёк) 1,100
  • Пропускная способность IDP(Мбит/сёк) 2,000
  • Пропускная способность AV (Мбит/сёк) 1,450
  • Пропускная способность UTM (AV и IDP) 1,350
  • Максимум одновременных TCP сессий 1,600,000
  • Максимум одновременных туннелей IPSec 500
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 128


Подведём небольшой итог:


  • И большие и малые сети требуют заботы о безопасности.
  • Облачные решение упрощают построение и обслуживание защищённой сети.
  • Новая линейка Zyxel USG FLEX как раз для этого и создавалась.

Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Преимущества USG FLEX
  5. Полезная статья в КБ о USG FLEX
  6. Видео: Перенос лицензий с устройств USG на устройства USG FLEX Series
  7. Описание USG-FLEX-100
  8. Описание USG-FLEX-100W
  9. Описание USG-FLEX-200
  10. Описание USG-FLEX-500
  11. Описание USG-FLEX-700
Подробнее..

Коммутаторы L2, L2 и L3 что, когда, куда, откуда, как, зачем и почему?

15.12.2020 12:20:26 | Автор: admin


Но это же в любом учебнике по сетям написано! возмутится нетерпеливый читатель.


Однако, не нужно спешить с выводами. Написано по этому поводу много, но, к сожалению, далеко не всегда понятным языком. Вот и рождаются вредные мифы.


Поэтому не всегда в точности понятно, когда и куда какое устройство приспособить. Представьте, звонит сисадмину начальник ИТ отдела и требует быстро подобрать в запас очень бюджетный коммутатор, и чтобы все основные функции закрывал, пока деньги не перехватили и настроение у директора хорошее.


И начинает наш герой ломать голову: взять L3, чтобы на все случаи жизни, но он дорогой или взять подешевле L2, а вдруг прогадаешь Да ещё этот L2+ непонятно что за промежуточный уровень...


Подобные сомнения иногда обуревают даже опытных специалистов, когда встаёт вопрос выбора устройств при жёстком лимите бюджета.


Для начала опровергнем основные мифы


Коммутатор L3 имеет большую пропускную способность чем L2?


Такой взаимосвязи нет. Всё зависит от аппаратного и программного обеспечения (firmware), размещённых портов (интерфейсов), поддержки соответствующих стандартов.


Разумеется, связь с использованием коммутатора уровня L3 через сетевой интерфейс 1Gb/s будет медленнее, чем с использованием коммутатора L2 через 10 Gb/s.


Возможно, этот миф связан с тем, что коммутаторы L3 поддерживают больше функций, что находит отражение в аппаратном обеспечении: быстрее процессор, больше памяти, нежели чем у коммутаторов L2 того же поколения. Но, во-первых, иногда коммутаторы L2 тоже выпускаются на базе мощных контроллеров, позволяющих быстро обрабатывать служебные данные и пересылать кадры Ethernet, во-вторых, даже усиленному железу коммутатора L3 есть чем заняться: управлять VLAN, анализировать ACL на основе IP и так далее. Поэтому если судить по загрузке, однозначно ответить на вопрос: Какой коммутатор мощнее? не получится.


Коммутаторы L3 более современные, а L2 уже вчерашний день?


Это вовсе не так. На сегодняшний день выпускаются как коммутаторы L2, так и коммутаторы L3. Коммутаторов уровня L2 выпускается достаточно много, потому что работать им приходится чаще всего на уровне доступа (пользователей), где и портов, и коммутаторов требуется значительно больше.


Немного теории в вопросах и ответах


Откуда взялись эти названия L2, L3?


Из 7 уровней модели OSI.


Коммутатор L2 работает на втором, канальном уровне.


Коммутатор L3 работает как на втором, так и на третьем уровне.


Примечание. Сетевая модель OSI (The Open Systems Interconnection model) определяет различные уровни взаимодействия систем. При таком разбиении каждому уровню отводится своя роль и назначены определённые функции для взаимодействия по сети.

Таблица 1. Уровни модели OSI ISO


Уровень Тип обрабатываемых данных Функции
7. Приложений Данные пользователей прикладного ПО Программы и сервисы обмена данными
6. Представлений Закодированные данные пользователей Общий формат представления данных, сжатие, шифрование
5. Сеансовый Сессии Установление сессий между приложениями
4. Транспортный Сегменты Адресация процессов, сегментация/повторная сборка данных, управляемые потоки, надёжная доставка
3. Сетевой Дейтаграммы/пакеты Передача сообщений между удалёнными устройствами, выбор наилучшего маршрута, логическая адресация
2. Канальный Кадры Доступ к среде передачи и физическая адресация
1. Физический Биты Передача электрических сигналов между устройствами

А просто, понятно и в двух словах?


В самом простом случае коммутатор служит для связи нескольких устройств локальной сети (LAN). Этими устройствами могут быть, например, отдельные компьютеры или другие коммутаторы.


Именно так работает коммутатор L2 на уровне Ethernet: анализирует аппаратные MAC адреса, заносит их в таблицу коммутации и согласно этой таблице перераспределяет трафик.


Коммутатор L3 тоже может анализировать пакеты по MAC адресам и перенаправлять кадры между подключёнными устройствами, но, помимо пересылки Ethernet кадров, он умеет перенаправлять трафик, основываясь на анализе IP адресов и выполнять функции внутреннего маршрутизатора.


А подробней?


Коммутатор L2 обрабатывает и регистрирует MAC адреса фреймов, осуществляет физическую адресацию и управления потоком данных. Некоторые дополнительные функции: VLAN, QoS поддерживаются только на уровне, необходимом для передачи параметров или для участия в общей схеме сети. Например, на коммутаторе L2 можно прописать несколько VLAN, но нельзя настроить полноценную маршрутизацию между ними, для этого уже нужен коммутатор L3. Проще говоря, коммутатор уровня L2 обеспечивает некоторые дополнительные функции, но не управляет ими в масштабе сети.


В отличие от своих более простых собратьев, коммутаторы L3 могут брать на себя функции маршрутизаторов, в том числе проверку логической адресации и выбор пути (маршрута) доставки данных. Благодаря повсеместному внедрению стека протоколов TCP/IP, коммутаторы уровня L3 являются важной частью сети, так как могут выполнять пересылку пакетов не только на основе анализа MAC адресов, но и поднимаясь на этаж выше, то есть на основе IP адресов и соответствующих протоколов маршрутизации


Разумеется, никому в голову не придёт строить внешнюю разветвлённую сеть с BGP маршрутизацией на базе коммутаторов. Однако для внутренней маршрутизации в пределах локальной сети такой вариант вполне подходит. Мало того, это позволяет экономить на приобретении дополнительных устройств (маршрутизаторов), использовать универсальный подход к организации сети.


Из-за поддержки многих функций коммутатор уровня L3 имеют более сложную внутреннюю конфигурацию и, соответственно, стоят дороже. Иногда пользователь встаёт перед выбором: купить более простой и бюджетный вариант с Layer 2 или более дорогой и продвинутый Layer 3.


А что за дополнительные уровни: доступа, агрегации, ядра?


Помимо уровней модели OSI: Layer 2, Layer 3, в литературе часто упоминаются уровень доступа, уровень агрегации, уровень ядра сети.


Подробней об этом мы писали в статье Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети


Если описать кратко:


  • Уровень доступа группа коммутаторов, основной задачей которых является подключения пользователей к сети.
  • Уровень агрегации (или уровень распределения) следующая группа, которая объединяет коммутаторы уровня доступа, позволяет выполнить настройки управления и маршрутизации и делегирует Uplink на более высокий уровень уровень ядра сети.
  • Уровень ядра сети центральный узел, который объединяет все ветви коммутаторов уровня агрегации с подключёнными коммутаторами уровня доступа в единую сеть.

Если сравнивать с древовидной структурой, то ядро сети это ствол, уровень агрегации/распределения это крупные ветви, коммутаторы уровня доступа мелкие веточки, а компьютеры пользователей это листья.



Рисунок 1. Уровни построения локальной сети.


Коммутаторы, которые служат для объединения других коммутаторов в единую сеть, называют коммутаторы уровня агрегации (или коммутаторы уровня распределения).


Если же говорить про уровень ядра сети, то для него существуют свои мощные коммутаторы, основная задача которых максимально быстро передавать трафик. Функции управления при этом довольно часто делегируется на уровень агрегации.


Есть ли связь между понятиями уровней L2 и L3 с уровнем доступа и уровнем агрегации? Традиционно считается, что для уровня доступа лучше подходят коммутаторы L2 (в первую очередь из-за более низкой цены, а для уровня агрегации лучше выбирать L3 ради повышенной функциональности.


Чем хорош такой подход? Устанавливать более функциональные и дорогие коммутаторы уровня L3 на уровне доступа может быть неоправданным шагом, если их функции маршрутизации и контроля не будут востребованы. А этих же функций будет недоставать более простым коммутаторам L2 на уровне агрегации (распределения).


Теория это отлично, но начальник требует побыстрее подобрать подходящий коммутатор...


Если есть сомнения какой уровень коммутатора выбрать: уровня 2 или уровня 3, во главу угла нужно ставить вопрос, где его предполагается использовать. Если в наличии только небольшая сеть, позволяющая всем работать в единственном широковещательном домене, можно остановить свой выбор на одном или двух коммутаторах L2.


Второй случай, где коммутаторы второго уровня хорошо себя чувствуют уровень доступа, то есть там, где компьютеры пользователей подключаются к локальной сети.


Если необходим коммутатор для объединения (агрегирования) нескольких простых коммутаторов доступа пользователей для этой роли лучше подходит коммутатор уровня 3. Помимо объединения в сеть, он может выполнять маршрутизацию между VLAN, управлять прохождением трафика при помощи ACL (Access Control List), обеспечивать заданный уровень ширины пропускания (QoS) и так далее.


Ещё одна область, где коммутаторы L3 часто бывают востребованы если необходимо обеспечить повышенные требования к безопасности, например, более гибкое разграничение доступа. Некоторые функции, доступные для этого уровня, например, управление трафиком на уровне IP адресов, будут неосуществимы стандартными средства уровня L2.


Чем отличаются коммутаторы L2 и L2+


L2+ это коммутатор второго уровня с добавленными функциями. Например, может быть добавлена поддержка статической маршрутизации, физического объединения в стек нескольких коммутаторов для отказоустойчивости, дополнительные функции безопасности и так далее.


Примечание. В сравнительной таблице, приводимой в конце статьи, можно видеть, что уровни L2 и L2+ могут различаться на одну-две функции. Однако даже такая небольшая деталь может оказаться критичной, например, для вопросов отказоустойчивости или безопасности.

От слова к делу! Сравним разные коммутаторы на примере


Для наглядности выберем три модели примерно одного уровня. Понятно, что коммутаторы L2, L2+ и L3 здорово отличаются по функциям. Поэтому приходится использовать общие признаки. Например, сравнивать коммутаторы на 5 и 50 портов (включая Uplink) будет некорректно.


В итоге мы выбрали три коммутатора:



Обратите внимание, что внешне устройств довольно похожи, чего не скажешь об их возможностях и предполагаемых ролях. Для наглядности ниже приводим небольшой фрагмент сравнительной таблицы функций.


А функций у этих моделей коммутаторов очень много. Чтобы не пытаться объять необъятное, мы выбрали наиболее очевидные функциональные области: управление трафиком, безопасность и маршрутизация. Другие группы опций тоже отличаются, но не так очевидно.


Zyxel XGS4600-32 коммутатор Layer 3


  • Имеет 24 гигабитных порта под витую пару, 4 порта Combo (SFP/RJ45) и четыре интегрированных 10-Gigabit SFP+
  • Поддерживает объединение в физический стек с использованием одного или двух слотов 10-Gigabit SFP+.
  • Поддерживает и статическую, и динамическую маршрутизацию.
  • Имеет два отдельных разъёма подключения питания.


Рисунок 2. Коммутатор Zyxel XGS4600-32 коммутатор Layer 3.


Zyxel XGS2210 коммутатор Layer 2+


Одно из предназначений создание сети для передачи трафика VoIP, видеоконференций, IPTV и IP-камер видеонаблюдения наблюдения и управление трафиком современных конвергентных приложений.


Поддерживает объединение в физический стек с помощью двух портов 10-Gigabit SFP+.


Поддерживает PoE (стандарты IEEE 802.3af PoE и 802.3at PoE Plus) до 30Ватт на порт для питания устройств с большей потребляемой мощностью, например, это могут быть точки доступа 802.11ac и IP-видеотелефоны.


В данной модели присутствуют дополнительные средства поддержки безопасности, например, IP source guard, DHCP snooping и ARP inspection, механизмы фильтрации L2, L3 и L4, функцию MAC freeze, изоляцию портов и создание гостевой VLAN.


Добавлены элементы статической маршрутизации IPv4/v6 и назначение DHCP relay с конкретным IP интерфейсом отправителя.



Рисунок 3. Zyxel XGS2210 коммутатор Layer 2+


Zyxel GS2220 коммутатор Layer 2


Интересно, что серия GS2220 это гибридные коммутаторы с доступными вариантами управления: через облако Zyxel Nebula, через локальное подключение, плюс поддержка SNMP.


Из интересных функций можно выделить L2 multicast, IGMP snooping, Multicast VLAN Registration (MVR).
Данная модель неплохо подходит и для обеспечения сетевой среды VoIP, видеоконференций и IPTV.



Рисунок 4. Zyxel GS2220 коммутатор Layer 2.


Это интересно


Компания Zyxel Networks сообщила о поддержке своих коммутаторов в специализированном режиме Networked AV (созданного совместно с компанией ATEN), позволяющего облегчить внедрение AV-систем на базе коммутаторов и повысить эффективность их использования.


Стоит отметить специальную программу мастер настройки. Она специально разработана для удобного управления функциями, которые часто используются при настройке сетей потоковой передачи аудио/видео.


Также появилась новая консоль Networked AV dashboard для контроля основных параметров: данные о портах, расход электроэнергии, и другая информация, благодаря которой можно сразу проверить текущее состояние сети и настроить коммутатор.


Для гигабитных управляемых коммутаторов второго уровня серии GS2220 режим Networked AV доступен с сентября 2020 года (нужно обновить микропрограмму до версии v4.70 или более поздней). Для коммутаторов серии XGS2210 доступ ожидается до конца 2020 года.


Таблица 2. Сравнение коммутаторов XGS4600-32 (L3), XGS2210-28 (L2+) и GS2220-28 (L2).



* Функции, доступные также в облачном режиме управления.


Небольшие итоги


Каждая вещь хороша на своём месте (спасибо, капитан Очевидность).


Нет смысла переплачивать за более высокий уровень коммутатора только потому, что он кажется круче. В то же время скупой платит дважды, и нехватка критической функции может потребовать дополнительных расходов в виде замены коммутатора.


В некоторых случаях выручают коммутаторы L2+ как компромиссный вариант. Функции, которых нет в L2, но есть в L2+ могут быть весьма полезны и способны вывести сетевую инфраструктуру на новый уровень отказоустойчивости и безопасности


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы Zyxel L3 серии XGS4600
  5. Коммутаторы Zyxel L2+ серии XGS2210
  6. Коммутаторы Zyxel L2 серии GS2220
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  8. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
Подробнее..

Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа

25.02.2021 12:15:55 | Автор: admin


Как решить вопрос с аутентификацией, если инфраструктура совсем небольшая и под рукой нет ничего кроме аппаратного межсетевого экрана? Как обойтись без настройки второго сервера RADIUS и всё равно реализовать отказоустойчивое решение? И как выглядит вариант, когда всё управляется из облака?
В этой статье рассказывается сразу о двух возможностях аутентификации: встроенного сервиса аутентификации на межсетевом экране и аутентификации в Zyxel Nebula.


В статье Настройка WPA2 Enterprise c RADIUS мы описали вариант использования корпоративной схемы аутентификации с внешним сервером RADIUS. Для создания такой системы нужен ни много ни мало сам сервер RADIUS (для этого нам понадобилось развернуть на отдельной машине с Linux пакет Free RADIUS).


Напомню, для чего это нужно. Когда используется простая схема WPA2 Personal c единственным ключом на все беспроводные устройства это годится только для небольших сетей. Основное ограничение в том, что заменить такой ключ весьма непросто придётся вводить заново на всех устройствах всех пользователей, кто подключается к WiFi сети. А менять рано или поздно придётся. Среди причин наиболее частыми называют компрометацию со стороны пользователей и сугубо кадровые процессы: увольнение, перевод на другую работу и так далее.


Примечание. Ситуация осложняется, когда приходится иметь дело с VIP пользователями. Застать их на месте, чтобы заменить ключ, довольно трудно, кроме всего прочего у них обычно целая куча устройств: смартфон, ноутбук, планшет и даже телевизор. И всем нужно обращаться в общую сеть и далее в Интернет.

Но что делать, если такая в виде отдельного сервера RADIUS (пусть даже и виртуального) недоступна. В статье Что останется в серверной прорисовывается вполне понятная картина: по вполне естественным причинам в небольшой серверной в лучшем случае остаётся сетевое оборудование для удалённого доступа и вспомогательные системы вроде NAS для резервных копий рабочих станций.


Для совсем маленьких организаций может встать ещё и такой вопрос: А где размещать виртуальную машину с RADIUS?


Можно арендовать виртуалку на облачном сервисе. Это стоит определённых денег. Мало того, о такой виртуальной машине всё равно нужно заботиться: проводить обновление, аудит безопасности, читать логи, следить за состоянием файловой системы и так далее То есть это вполне себе ощутимые затраты: как финансовые, так и трудовые. И всё только ради RADIUS?


А можно как-то по-другому? Чтобы и сервис авторизации получить, и виртуалку разворачивать не пришлось и сделать всё это бесплатно? Оказывается, у Zyxel есть целых два варианта, как это можно сделать красиво, просто и без лишних затрат.


Вначале рассмотрим способ, близкий к уже знакомому традиционному сервису.


Проверьте может быть RADIUS есть в вашем шлюзе?


В шлюзах от Zyxel уже есть встроенный сервис RADIUS. То есть если используется, например, сетевой экран, то в нём уже есть всё необходимое для аутентификации WPA2 Enterprise.


Достаточно просто приобрести нужное устройство, подключиться к нему удалённо и выполнить настройки.


Практически в любой современной ИТ инфраструктуре можно встретить межсетевой экран для доступа в Интернет. В случае с оборудованием от Zyxel можно получить не только защиту от внешних (и внутренних!) атак, но и систему аутентификации WPA2 Enterprise c реквизитами для отдельных пользователей, и ничего устанавливать не надо, всё работает из коробки.


Однако, любая замечательная функция без конкретного описания так и останется потенциальной возможностью. Чтобы этого не произошло в этот раз, проиллюстрируем на примере как можно всё настроить, используя уже имеющиеся средства.


В качестве шлюза, сервера RADIUS у нас используется облачный межсетевой экран. Помимо основных обязанностей он может выполнять функции контроллера точек доступа.


Мы уже писали ранее об устройствах из этой линейке в статье Убираем старые проблемы защиты крупных и малых сетей.


Для примера такой схемы аутентификации прекрасно подойдёт USG FLEX 200 уже не начальный уровень, но и не топовая модель в линейке. Эта модель хорошо подходит в качестве межсетевого экрана для небольших и средних офисов.


Коротко о межсетевом экране USG FLEX 200:


  • поддержка облачных технологий Zyxel Security Cloud (в первую очередь это отличный инструмент для сбора информации об угрозах из различных источников) и Cloud Query Express (облачная база данных для надёжной защиты от вирусов);
  • фильтрация URL и IDP для отражения атак извне;
  • патруль приложений и Контентная фильтрация для контроля доступа пользователей к приложениям и web-сайтам.


Рисунок 1. Межсетевой экран USG FLEX 200.


В качестве точки для нашей демонстрации выберем ту же самую NWA210AX, уже знакомую нам по статье Настройка WPA2 Enterprise c RADIUS.


Коротко о точке доступа WA210AX устройстве:


  • поддержка Wi-Fi 6;
  • 6 пространственных потоков (4x4:4 в 5 ГГц, 2x2:2 в 2,4 ГГц);
  • поддержка OFDMA и MUMIMO;
  • имеется как локальное, так и облачное управление через Zyxel Nebula.


Рисунок 2. Точка доступа NWA210AX.


В итоге мы должны получить тот же самый результат, что и с внешним сервером, но без расходования дополнительных ресурсов на хостинг виртуальной машины и без лишних телодвижений по развёртыванию сервиса RADIUS, настройке firewalll, настройке средств безопасности и так далее.


От слова к делу настраиваем встроенный сервис RADIUS


Начинаем с получения IP адреса. Для этого воспользуемся утилитой ZON Zyxel One Network Utility, которая собирает данные обо всех устройствах Zyxel в доступном сегменте сети.


Примечание. На самом деле у программы ZON есть много других замечательных функций, но описание всех возможностей выходит за рамки данной статьи.


Рисунок 3. Утилита ZON для нашего примера


Итак, мы знаем IP адреса устройств, к которым нам предстоит подключиться.


Настройка службы на межсетевом экране


Для начала настроим службу аутентификации на межсетевом экране. Для этого необходимо зайти на веб-интерфейс. Вводим его адрес в браузере, переходим на нужную страницу. Тут у нас спросят логин и пароль. Так как это первый запуск, то используем значения по умолчанию: admin и 1234, нажимаем кнопку Login и попадаем в панель Dashboard.



Рисунок 4. Окно входа на USG FLEX 200.



Рисунок 5. Dashboard на USG FLEX 200.


Далее переходим в раздел Configuration System Auth. Server.


Первое что необходимо включить саму службу сервера аутентификации


Активируем элемент Enable Authentication Server, нажимаем Apply внизу экрана и наш сервис переходит в активное состояние.



Рисунок 6. Enable Authentication Server.


Теперь, действуя по той же схеме, что и с внешним RADIUS, в области Trusted Client необходимо указать сегмент сети, откуда будут поступать запросы и там же записать секретный ключ для аутентификации.


Нажимаем экранную кнопку Add для вызова окна Add Trusted Client.



Рисунок 7. Окно Add Trusted Client.


Соответственно, указываем в поле Profile Name имя сети, в нашем случае inside_network


IP Address и Netmask (адрес и маску подсети) 192.168.1.0 255.255.255.0.


Поле Description заполняется по желанию.


Не забываем про галочку Activate, иначе данная клиентская сеть будет игнорироваться нашим сервером аутентификации.


Нажимаем OK для окна Add Trusted Client и потом кнопку Apply для всего раздела Auth. Server. Всё, наши значения должны примениться.


После этого переходим в раздел Configuration Object User/Group и добавляем учётные записи для нужных пользователей.



Рисунок 8. Учётные записи User/Group в разделе Object (Configuration).


Нажимаем Add появится окно Add A User.



Рисунок 9. Окно ввода пользователя.


В принципе, нам нужно ввести только имя пользователя и пароль, можно ещё добавить описание. Другие настройки лучше оставить без изменений.



Рисунок 10. Новые учётные записи: ivan и rodeon с пометкой WiFi User.


Настройка точки доступа для использования сервиса аутентификации


В принципе, настройка точки доступа для аутентификации со встроенным RADIUS на шлюзе Zyxel производится аналогично, как и было показано в статье Настройка WPA2 Enterprise c RADIUS


Для начала подключаемся к нужному IP через окно браузера, вводим имя пользователя и пароль (по умолчания также admin и 1234).



Рисунок 11. Окно входа на NWA210AX.


Далее переходим в меню Configuration AP management Wlan setting.


Нас интересует область MB SSID setting. Здесь нужно отредактировать профили Wiz_SSD_1 и Wiz_SSD_2.



Рисунок 12. Configuration AP management Wlan setting.



Рисунок 13. Настройка профиля SSID Profile Wiz_SSD_1.


Нажимаем на кнопочку редактировать, напоминающие редакторский блокнот с карандашом. Появляется окно Edit SSID Profile Wiz_SSD_1. В нем нас интересуют настройки Security Profile Wiz_Sec_Profile_1 (такая же кнопочка редактировать в виде блокнота с карандашом). Дальше появляется окно Edit Security Profile Wiz_Sec_Profile_1.



Рисунок 14. Окно Edit Security Profile Wiz_Sec_Profile_1.


В этом окне и выполняем необходимые настройки.


Для основного сервера вводим IP address, UDP Port и секретный ключ.


Для подтверждения нажимаем OK.


Аналогичным образом редактируем второй профиль SSID Profile Wiz_SSD_2.


Нажимаем Apply в разделе Configuration AP management Wlan setting для применения настроек.


Переходим к настройке клиента


В статье Настройка WPA2 Enterprise c RADIUS была иллюстрация на примере Mac OS X. Теперь для разнообразия подключим ноутбук с Windows 10.


Нажимаем внизу в разделе уведомления на Панели задач значок запуска беспроводных сетей. В появившемся списке выбираем пункт Zyxel. Появится окно с запросом имени пользователя и персонального ключа.



Рисунок 15. Настройка клиента.


Вводим необходимые реквизиты и подключаемся к системе.


Мы сейчас прошли весь этап настройки с внешним готовым сервисом RADIUS на межсетевом экране. Даже без стандартных действий для серверной системы: установки пакетов, настройки firewall, тестирования самой сервисной службы всё равно операция заняла достаточно много времени. Можно ли это сделать побыстрее и с меньшими трудозатратами? Можно, если использовать Zyxel Nebula. Но об этом ниже.


Отказоустойчивость и второй RADIUS сервер


Для среды production в компаниях уровня Enterprise нужно отказоустойчивое решение. Для таких целей часто используется второй сервер аутентификации.


Довольно большое распространение получили системы на базе MS Windows, где, благодаря серверной роли Network Policy Server и авторизации в Active Directory, можно настроить два сервера аутентификации для WPA2 Enterprise, и у них будет единая синхронизированная база данных пользователей и ключей.


Что касается схемы с RADIUS сервером на единственном шлюзе, то этот вариант больше подходит для небольших офисов, не имеющих собственной внутренней инфраструктуры. Проще говоря, для тех, у кого нет своих серверов и бизнес-процессы завязаны на использование облачных ресурсов. Электронная почта, файлообмен, резервное копирование и даже бухгалтерия всё это можно получить на внешних ресурсах. По правде говоря, в этом случае при отказе единственного межсетевого экрана офисная сеть становится практически бесполезна, и в принципе уже всё равно что там с сервисом аутентификации.


Обратите внимание. При падении службы аутентификации не происходит немедленного разрыва сетевых связей, установленных благодаря сервису аутентификации. Все уже подключённые клиенты продолжат работать в локальной сети. А вот новые подключения установить будет невозможно. В то же время наличие отказоустойчивой схемы из двух шлюзов позволит избежать подобных неприятностей.

Эту задачу можно решить другим способом реализовать отказоустойчивую схему из двух шлюзов. В этом случае при отказе основного устройства работу подхватит резервное, и все сервисы, размещённые на сетевом шлюзе, в том числе аутентификация, продолжат работать.


Но всё можно решить ещё проще при использовании аутентификации в облачном сервисе Zyxel Nebula. В этом случае за отказоустойчивость самой системы отвечает мощный промышленный программно-аппаратный комплекс. Разумеется, серверы Nebula размещены в ЦОД, выполняются все необходимые процедуры по поддержанию заявленного уровня высокой доступности и так далее. Единственное, что требуется от локального офиса канал в Интернет.


Пользователю остаётся только подключить устройство к облаку Zyxel Nebula и воспользоваться всеми заявленными преимуществами.


Использование Nebula на конкретном примере


Сейчас мы уже не будем настраивать наш межсетевой экран, так как для облачной аутентификации не играет другой роли кроме как шлюз в Интернет. Доступ в беспроводную сеть будет по-прежнему идти через точку доступа NWA210AX, а за остальное, включая аутентификацию пользователей и настройку оборудования, будет отвечать Zyxel Nebula.


В рамках данной статьи не будем детально описывать весь процесс первичной настройки сервиса Zyxel Nebula, так как он касается не только беспроводной сети, но и многих других аспектов сетевой инфраструктуры.


Будем считать, что организация уже зарегистрирована в Zyxel Nebula, уже есть учётная запись администратора и создана хотя бы одна площадка.


А сейчас мы просто переходим на сайт nebula.zyxel.com вводим пароль и попадаем в облачный интерфейс.



Рисунок 16. Вход в Zyxel Nebula.


Вначале нужно зарегистрировать точку доступа. Можно воспользоваться специальным приложением для IOS или Android и просто отсканировать QR-код. Это удобно если устройство находится под рукой. Если нужно зарегистрировать удалённо, это можно сделать, зная MAC адрес и серийный номер, указав их в интерфейсе. Это метод наиболее универсальный, им и воспользуемся.


Обратите внимание. Для настройки устройств с Zyxel Nebula нам нужно только, чтобы точка доступа была подключена к сети, при этом используется исходящее соединение. То есть не нужно открывать входящие порты, пробрасывать трафик через PAT всё выполняется в рамках исходящего подключения к облаку.


Выполняем переход Площадка Конфигурация Добавление устройств и нажимаем кнопку Регистрация.



Рисунок 17. Раздел Площадка Конфигурация Добавление устройства.


Появится окно Регистрация по МАС-адресу и серийному номеру. Вводим необходимые параметры.


После ввода серийного номера и MAC Nebula сразу определяет устройство.



Рисунок 18. Окно Регистрация по МАС-адресу и серийному номеру.


Обратите внимание на важное предупреждение на красный символ со значком i:


Устройства Nebula Flex будут настроены центром управления Nebula, а настройки, используемые в автономном режиме, будут потеряны. После отмены регистрации в центре управления Nebula устройства получат заводские настройки.


В нашем случае это хорошо для аутентификации важно соблюдать принцип единоначалия. Важно помнить, что все настройки, которые были выполнены для RADIUS на шлюзе при переходе в облако отменяются.


Если действия пользователя приводят к изменению лицензии, это также отображается внизу окна.


Ставим галочку Подтверждение и нажимаем OK.


Вновь ведённую точку доступа можно увидеть в разделе Точки доступа Мониторинг Точки доступа.



Рисунок 19. Раздел Точки доступа Мониторинг Точки доступа.


Переходим в раздел Точки доступа Аутентификация. Здесь мы просто выбираем тип аутентификации WPA2 Enterprise.



Рисунок 20. Раздел Точки доступа Мониторинг Точки доступа


Обратите внимание. Так как устройства в Nebula используют исходящее соединение, то для того, чтобы они получили и применили новую конфигурацию, требуется некоторое время. В сообщении интерфейса Nebula указано, что требуется не больше 1-2 минут. На практике это занимает несколько секунд.

Нам осталось ввести учётные записи пользователей.


Нам нужен раздел Площадка Конфигурация Облачная аутентификация и далее раздел Пользователи. Нажимаем кнопку Добавить и появляется окно для создания пользователя. На рисунке ниже у нас уже создан пользователь ivan и открыто окно для редактирования реквизитов.



Рисунок 21. Учётная запись пользователя.


Далее снова берём ноутбук и настраиваем доступ к сети.


Windows выводит уже знакомое приглашение ввести логи и пароль.



Рисунок 22. Подключение к WiFi.


Но после ввода появляется ещё одно интересное сообщение:



Рисунок 23. Сообщение о подключении к сети Nebula.


В данном случае нас всё устраивает, поэтому спокойно подключаемся к WiFi сети.


Как видим, если не считать регистрации устройств, которая выполняется однократно, вся настройка сводится к выбору типа аутентификации и создания учётных записей пользователей. Никаких сторонних сервисов настраивать не нужно.


Подводя итоги


Решить вопросы аутентификации и авторизации можно несколькими способами. Например, полностью взять инициативу на себя и реализовать сервис с нуля, начиная от выбора аппаратного обеспечения для физического сервера (или виртуальной среды), соответствующего приложения, базы данных для хранения учётных записей, интерфейса для настройки.


Можно упростить задачу и использовать встроенные решения, как, например, в межсетевом экране USG FLEX. А может быть лучше максимально упростить задачу и просто использовать облачный сервис со всеми удобными функциями? Выбор, как всегда, за конечным потребителем.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Настройка WPA2 Enterprise c RADIUS
  5. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  6. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX
  7. Межсетевой экран USG FLEX 200
  8. Zyxel ONE Network Utility (ZON)
  9. Zyxel Nebula
Подробнее..

Построение сети в загородном доме нюансы и возможности

25.03.2021 12:22:32 | Автор: admin


Когда говорят о загородном доме, каждый представляет что-то своё. Для кого-то это лесная избушка на курьих ножках, для кого-то многоэтажный жилой комплекс. Поэтому и связь в этих условиях будет организована по-разному. В статье приводится описание различных нюансов, которые полезно знать при организации загородной сети.


Осторожно! Впереди много текста и упоминаний о различных сетевых устройствах. Будем рассказывать, что и для каких ситуаций можно применить.


Что понимать под словами загородный дом?


Иногда загородный дом находится в прямой видимости с городских улиц, иногда это лесная сторожка. Разумеется, цели и характер пребывания в загородном доме тоже будет различаться (спасибо, Капитан Очевидность).


Помимо чисто физических факторов очень важно определиться: Как именно люди хотят проводить время в загородной резиденции?. Это будет спартанское уединение в отрыве от цивилизации, времяпрепровождение из разряда почти как дома, только лучше или это место для удалённой работы одного или нескольких человек?


Случаи бывают самые разные.


Пример. ИТ специалист, работает в крупном интеграторе. Имеет квартиру в одном из городов Подмосковья и дачу в посёлке недалёко от МКАД. Всю рабочую неделю проводит на работе и даче, а домой в городскую квартиру ездит по выходным исключительно за уютом и благами цивилизации. В общем, всё наоборот.

Давать общие советы из разряда: Я-то лучше знаю!, вещь совершенно неблагодарная. Ниже мы попробуем представить несколько возможных вариантов загородной домашней сети с оглядкой на суровую правду жизни.


Решение для простых ситуаций


Если мобильный сигнал достаточно устойчив и неплохо принимается внутри помещения, при этом не требуется большая площадь покрытия, то можно закрыть большинство сетевых вопросов, разместив внутри дома маршрутизатор WiFi AC2050 LTE5388-M804. Он предназначен для внутренних помещений, выглядит симпатично и с успехом впишется в дачный интерьер. Кстати, есть поддержка резервирования между сотовой сетью и Ethernet WAN, так что позволяет использовать все доступные варианты, в том числе и местного проводного оператора.



Рисунок 1. LTE Cat.12 маршрутизатор резервирования WiFi AC2050 LTE5388-M804


Методы борьбы за качество связи


Как мы уже писали в статье в статье LTE как символ
независимости
, работать через местного провайдера в небольшом населённом пункте ещё та заморочка. Часто возникает ситуация как в песне про Остров невезения: Крокодил не ловится, не растёт кокос. Если у вас в загородном посёлке местный интернет-провайдер оказывает приличный уровень сервиса несомненно, удача на вашей стороне.


Во многих местах вне городской инфраструктуры получить доступ в сеть Интернет можно только через мобильного оператора. И тут вступают в дело факторы устойчивой мобильной связи, в том числе:


  1. Уровень сигнала на стороне абонента;
  2. Ширина канала на стороне оператора;
  3. Нагрузка на базовые станции оператора в районе получения услуги.

К сожалению, на что-то самостоятельно повлиять можно только в рамках пункта 1, да и то довольно условно. Мы не можем заставить сотового оператора дополнительно закупить пару-тройку базовых станций, чтобы улучшить покрытие, но можем приобрести более чувствительное оборудование для приёма и разместить его в наиболее удачном месте.


Проще говоря, беспроводное устройство: 3G/LTE/4G роутер необходимо разместить в зоне наиболее уверенного приёма сигнала. В первую очередь это нужно для того, чтобы не тратить время и ресурсы на исправление ошибок, связанных с низким уровнем сигнала. Одно из самых простых решений поднять повыше приёмник (передатчик), антенну или всё вместе, чтобы окружающий ландшафт не загораживал путь для прохождения сигнала.


Если этого не хватает, есть ещё несколько возможностей.


Например, проверить настройки чувствительности при приёме сигнала. В случае с роутером и аналогичным умным устройством это можно сделать через встроенный веб-интерфейс.


Можно попробовать другой вариант подключить внешнюю антенну, чтобы ловить больше энергии от радиоволн. Проще говоря, когда на пути радиоволны встречается электрический проводник, то количество электромагнитной энергии, преобразуемой в электрическую, зависит от размера, формы и материала проводника. Поэтому использование специализированных внешних антенн в принципе может помочь.


Примечание. Если где-то у окна или вне помещения сигнал 3G или 4G (LTE) вполне доступен, а в самом помещении ловится еле-еле или не доступен совсем стоит проверить работу с выносной антенной.

Также стоит критично подходить к выбору оборудования для приёма сигнала от сотового оператора. Большую роль играют возможности устройства анализировать входящий сигнал и вычленять из него рабочую составляющую, отбрасывая помехи, наложения другого сигнала и прочий ненужный фон.


Разумеется, ни один из приведённых выше методов не является панацеей от плохого сигнала, но использование всех доступных возможностей часто даёт неплохие результаты.


Другой щекотливый момент нагрузка на базовые станции. Боротmся с этим путём написания жалоб вряд ли получится. Дело в том, что любой сотовый оператор преследует исключительно свои интересы. Если получается взимать с потребителей деньги за весьма посредственный доступ Интернет, никто не будет ничего менять.


Ещё один нюанс, который приходится учитывать пиковая нагрузка в определённые часы. Например, когда в пятницу все соседи приехали на свои дачи и начинают звонить, писать, пересылать видео о том, как добрались.


Единственное, что можно сделать в такой ситуации подключить второй канал.


Примечание. Резервирование особенно эффективно, если большинство соседей предпочитают одного оператора и его базовая станция закипает от нагрузки тогда есть хорошие шансы, что на резервном канале от другого оператора ситуация будет лучше.

Маршрутизатор для внешнего размещения


Как было сказано выше, первое, что приходит на ум взять и перенести роутер с его антенной в нужное место. Однако для этого нужно выбрать модель, специально предназначенную для работы на улице. Имея защиту от влаги и перепада температур, такое устройство без особых проблем будет работать на высоте вне помещения. Особенно удобно, когда питание подаётся через PoE, и тянуть второй провод для питания не нужно. Даже если нет PoE коммутатора, то единственного кабеля
Ethernet хватит, чтобы получить сигнал от роутера, например, для ноутбука и подать на сам роутер питание через PoE инжектор.


Можно пойти проторенным путём и приобрести модель, уже неплохо показавшую себя в боях за загородный Интернет, например, уличный маршрутизатор 4G LTE-A Zyxel LTE7480-M804 Такой роутер способен обеспечить уверенный приём в труднодоступных местах и пережить капризы погоды при наружном размещении. И это достаточно недорогой вариант.



Рисунок 2. Уличный маршрутизатор LTE7480-M804.


Можно использовать и другую схему: уличный маршрутизатор обеспечивает только связь с провайдером, а за внутренние коммуникации отвечает локальная сеть с дополнительными точками доступа, коммутатором и так далее. Об организации локальной сети будет сказано ниже.


Для такого случая подойдёт недавно поступивший в продажу уличный маршрутизатор 5G/4G/LTE-A NR7101, со множеством полезных функций.



Рисунок 3. Уличный маршрутизатор 5G/4G/LTE-A NR7101.


Стоит отметить, что помимо поддержки 5G в нем реализовано много всего нового и интересного, например, более полная реализация набора LTE/4G и другие полезные нововведения.


Внутреннее устройство с возможностью подключения внешней антенны


В качестве такого устройства можно порекомендовать маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200. Он позволяет использовать два канала связи, например, один встроенный LTE/3G с установкой SIM карты, другой стандартный проводной вход WAN. Если у вас под боком неплохой проводной провайдер можно подключить его как основной или резервный канал (в зависимости от качества сервиса).


И что важно в наличии два внешних разъёма SMA для антенн LTE/3G.



Рисунок 4. Маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200.


Альтернативный Интернет из кармана


Ещё один вариант использование дополнительных устройств в качестве резерва на крайний случай. При плохом прохождении сигнала можно в качестве запасного варианта просто достать и включить портативный маршрутизатор.


Примечание. Мини-роутер можно использовать как индивидуальное устройство для доступа в Интернет. Например, в рабочие дни подключив к ноутбуку как резервный канал связи, а в выходные совместно с WiFi роутером для раздачи другим потребителям.

В этом случае пользователь избавлен от необходимости вынимать-вставлять устройство в USB порт маршрутизатора для создания резервного канала. Нужно только включить компактный роутер, пользователи подключаются к соответствующей WiFi сети и получают доступ в Интернет. Простое временное решение.


В частности, симпатичное устройство NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6 вполне может решить проблему доступа в часы пик, через подключение к другому оператору. Этот малыш поддерживает все последние стандарты, например, очень неплохо иметь поддержку поздних спецификаций LTE/4G, WiFi 6 и другие полезные возможности.



Рисунок 5. Компактный маршрутизатор NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6.


Но не забудем и про старых знакомых, которые не раз выручали своих хозяев в сложной обстановке, например, в командировках, автомобильных пробках, пропадании основных каналов связи и других непредвиденных ситуациях. Для такого варианта вполне подойдёт Zyxel LTE2566-M634-EUZNV1F. Это портативный LTE Cat.6 WiFi маршрутизатор (используется одна сим-карта), есть поддержка 802.11ac (2,4 и 5 ГГц, скорость до 300+866 Мбит/с). Есть автономная батарея до 10 часов, питание через micro USB, то есть можно подключить PowerBank.



Рисунок 6. Компактный маршрутизатор LTE2566-M634-EUZNV1F с поддержкой 802.11ac.


Организация внутренней локальной сети


Если в маленькие дачные домики приезжают, чтобы на короткое время сбежать от городской жизни, работы и обилия информации, то для коммуникаций в загородных коттеджах предъявляются более серьёзные требования. Люди, живущие в таких домах, хотят иметь надёжную связь, например, для того, чтобы быть в курсе происходящих событий, работать удалённо, в общем, держать руку на пульсе жизни. Здесь нужна более серьёзная инфраструктура, чем сеть из одного-единственного WiFi роутера.


Совет. Чтобы избавиться от большинства проблем, связанных с подбором и согласованием между собой оборудования, используйте комплексное решение одного вендора.

Начнём с проводов


А почему это с проводов? просит пытливый читатель. Казалось бы, всё можно сделать проще поставил WiFi точки доступа и вперёд! Но везде есть свои нюансы.


Разумеется, можно построить всю сеть исключительно на беспроводном оборудовании. Такая организация сети называется Mesh. Но тогда, во-первых, часть ресурсов приём-передачи будет расходоваться на связь точек доступа и маршрутизатора между собой, и не только для передачи данных, но и для обмена служебной информацией.


Например, если в точке доступа два радиомодуля, то при достаточно высокой плотности устройств (приставки, планшеты, смартфоны, телевизоры и так далее) если один из радиомодулей будет использоваться и для Mesh и для клиентов, то в этом диапазоне будет потеря производительности.


Если в точках стоят два радиомодуля (2.4ГГц и 5ГГц), можно, например, радиомодуль 5ГГц отдать только для Mesh, а 2.4 ГГц только для клиентов. Проблем с приёмом на 2.4ГГц не будет, но зато теряется канал 5ГГц. Не проще ли подключить точки доступа и сетевой экран в коммутатор?


Во-вторых, некоторые устройства предпочтительней использовать в проводной локальной сети, например, настольный компьютер, сетевой принтер и так далее.


В-третьих, существуют ещё и камеры видеонаблюдения. Для передачи хорошей устойчивой картинки проводное соединение подходит гораздо лучше.


И на закуску если устройства (камеры, точки доступа и так далее) могут питаться через PoE, то гораздо проще приобрести коммутатор с PoE и не морочить себе голову с инжекторами или дополнительными блоками питания.


Например, можно остановиться на небольшом компактном 8-портовом гигабитном PoE коммутаторе GS1008HP.


Для небольшой домашней сети сложные функции вроде ACL не особенно нужны. Поэтому вполне подойдёт коммутатор без функций управления, зато простой и надёжный, главное бесшумный. Вполне себе бюджетное решение.



Рисунок 7. 8-портовый гигабитный PoE коммутатор GS1008HP.


Если же PoE необязательно, но требуется повышенная скорость обмена, можно остановиться на 12-портовом мультигигабитном коммутаторе XGS1010-12 с 2 портами 2.5GB/s, 2 портами 10G SFP+ (остальные 8 портов под витую пару Gigabit Ethernet).


В этом случае и вариантов для применения куда как больше, и возможностей хватает. Например, в мультигигабитные порты можно подключить точки доступа, в один из гигабитных портов минисервер (или NAS) с сетевым портом 10G SFP+, а второй порт 10G SFP+ зарезервировать как UPLINK. Но это всего лишь один из возможных сценариев.



Рисунок 8. 12-портовый мультигигабитный коммутатор XGS1010-12.


Если в доме есть своя сеть для видеонаблюдения из двух IP камер и более, то регистратор и видеокамеры рекомендуют подключить в отдельную сеть с коммутатором PoE (иногда даже со своим доступом Интернет), чтобы видеотрафик не мешал работе домашних или офисных устройств, а те, в свою очередь не забивали канал для передачи видеокартинки. Следовать или нет данной рекомендации дело за проектировщиком сети, но такой вариант следует иметь в виду.


Ещё один из возможных вариантов использование коммутатора, управляемого из облачной среды Zyxel Nebula. Например, 8-портовый гигабитный коммутатор с PoE GS1920-8HP вполне способен стать мини-ядром небольшой сетевой инфраструктуры с управлением из облака.



Рисунок 9. 8-портовый гигабитный смарт-управляемый коммутатор с PoE GS1920-8hp.


А что с внутренней беспроводной сетью


Загородный дом всё-таки это не высокотехнологичный офис с массой наёмных сотрудников. Беспроводная сеть в загородном доме должна обеспечивать приемлемое покрытие, но при этом сеть не должна быть дорогой.


Примечание. Если говорить о покрытии WiFi для совсем небольшого участка (до 6 соток) с маленьким садовым домиком: одна комната, кухня + веранда, то, вероятней всего, речь идёт о площади самого домика и прилегающей территории: веранда, беседка, лавочка у ворот Вряд-ли кто-то будет пытаться ловить WiFi в крапиве возле забора на противоположной стороне участка. Однако для крупных домовладений ситуация может быть совсем иной.

Может показаться интересным подход к построению беспроводной сети на основе недорогих точек доступа. Вопросы покрытия и возможности подключения новых клиентских устройств решаются за счёт добавления недорогих точек в систему. Мы уже писали о таком подходе в статье Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты


Неплохо, чтобы беспроводные устройства поддерживали стандарт 802.11ax (WiFi 6). Нововведения, пришедшие с ним, затронули и скорость передачи данных, и улучшения в сфере безопасности, и возможность подключать больше устройств появилось много изменений к лучшему. Для таких требований можно рекомендовать двухдиапазонную точку доступа NWA110AX со всеми нужными функциями 802.11ax (WiFi 6).



Рисунок 10. Двухдиапазонная точка доступа NWA110AX с поддержкой 802.11ax (WiFi
6).


Если нужен совсем недорогой вариант, при котором функции WiFi 6 не так уж востребованы, но, тем не менее, важна устойчивая связь можно посмотреть в сторону последней модели стандарта 802.11ac точки доступа NWA1123ACv3.



Рисунок 11. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3. (Выглядит очень схоже с NWA110AX).


Совет. Не стоит ограничивать свой выбор только двумя моделями. Zyxel Networks представляет довольно широкий спектр точек доступа с поддержкой облачной системы управления Nebula или без неё. Поэтому стоит рассмотреть весь список предложений.

Во многих случаях хорошим подспорьем при настройке и администрировании может оказаться облачная система Zyxel Nebula. Например, набор из коммутатора GS1920-8HP и точек доступа NWA110AX вполне может стать основой такой облачной системы. Это, конечно, вариант для крупных домов или для ситуаций, когда нужно обеспечить удалённую техподдержку пусть маленькой, но очень важной компьютерной сети, от которой многое зависит.


Подведём итоги


Как уже было сказано в начале статьи загородные дома целиком зависят от индивидуальных предпочтений и возможностей владельцев и располагаются в самых разных местах, каждый со своей спецификой.


Мы попытались крупными мазками нарисовать несколько вариантов построения сети в загородном доме, попутно разбирая возможные проблемы.


Будем рады, если эта статья поможет при решении подобных задач.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованиюZyxel
  3. Много полезного видео на канале YouTube
  4. Двухдиапазонная точка доступа NWA110AX
  5. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3
  6. 8-портовый гигабитный PoE коммутатор GS1008HP
  7. 12-портовый мультигигабитный коммутатор XGS1010-12
  8. Мобильный роутер NR2101 WiFi AX1800
  9. Мобильный роутер LTE2566-M634-EUZNV1F
  10. Уличный маршрутизатор 5G/4G/LTE-A NR7101
  11. Уличный маршрутизатор 4G LTE-AZyxel LTE7480-M804
  12. LTE маршрутизатор WiFi AC2050 LTE5388-M804
  13. LTE как символ независимости
  14. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  15. Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты
  16. Zyxel Nebula
Подробнее..

Облачный интерфейс управления взгляд под другим углом

27.04.2021 12:23:09 | Автор: admin


Мы много писали про облачное управление: о стратегии применения, построении готовых решений, о нюансах использования, об эксплуатации в реальных условиях. Однако любая технология должна быть не только стратегически правильной, но и продукты, созданные на её основе удобными для работы.


Инженеры и дизайнеры Zyxel постарались учесть все вопросы при создании удобного интерфейса для облачной среды Nebula. Но люди индивидуальны и зависимость от привычного окружения у каждого своя.


Как быстрее понять основные принципы и адаптироваться к новому стилю работы об этом и пойдёт речь.


В данной статьe мы постарались ответить на следующие вопросы:


  • Основные отличия в идеологии управления;
  • Зачем нужны Организация и Площадка;
  • Как ускорить процесс регистрации устройств в облаке.

Также мы подготовили ответы на вопросы, которые встретились в комментариях.


Вместо предисловия


Облачная среда управления Nebula это новое направление по сравнению с традиционным интерфейсом.


Любое нововведение требует период адаптации, это старо как мир. И всё равно каждый раз это выглядит как в известной фразе Виктора Степановича Черномырдина: Никогда такого не было, и вот опять!


Иногда возникают ситуации, когда даже небольшие изменения могут вызвать противоречивое отношение.


Например, дежурный администратор, привыкший к одному виду расположения элементов, может чувствовать себя немного не в своей тарелке.


Обычно локальный интерфейс для управления чем-либо строится по хорошо знакомой схеме: Вот конкретное устройство. Слева список разделов, справа область информации и объектов управления (см. рисунок).



Рисунок 1. Пример локального интерфейса Zyxel (USG FLEX 200). Слева разделы интерфейса, справа рабочая область.


В Nebula всё выглядит примерно также, но немного по-другому. Почему так происходит, давайте разбираться.


https://habrastorage.org/webt/5l/08/jz/5l08jzmrpvallezv7zfgtfv3gn8.png
Рисунок 2. Пример веб-интерфейса Nebula.


Различия в интерфейсе


В отличие от локального интерфейса, где нужно просто хорошо управлять одним-единственным устройством и всё, Zyxel Nebula проектировалась как глобальная система управления распределённой инфраструктурой.


Очень часто компания не монолитная структура, а штаб-квартира с филиалами. Почти всегда присутствует разделение по географическому или какому-либо другому признаку, а то и по всём сразу.


Мало того отдельные департаменты внутри организационной единицы могут иметь свою собственную инфраструктуру. Например, отдел разработки может иметь свой production (для внутренних нужд), свою тестовую среду, свои вспомогательные серверы (например, свой DHCP) и всё это отдельно от основных служб и сервисов.


Наконец, в компании может быть не один ЦОД, не одна серверная, и тем более не единственная стойка с серверами. Что и накладывает отпечаток на управление всем этим хозяйством.



Рисунок 3. Интерфейс Nebula. Показано подменю с выбором раздела


Соответственно, в глобальном интерфейсе управления необходимо создать виртуальную инфраструктуру, адекватную той, что уже существует в реальности.


Ещё один интересный нюанс кроется в идеологии подключения. Когда подключаетесь напрямую нужно учитывать дополнительные условия, например, имеет устройство постоянный адрес, открыты ли порты и так далее. Для работы с Nebula эти вопросы неактуальны, зато могут встретиться другие важные моменты, например, включен ли на самом устройстве параметр Nebula Control Center Discovery, чтобы устройство смогло самостоятельно найти облако.


Организация и Площадка


Начнём с начала и попробуем зарегистрироваться в Nebula c чистого листа.


При регистрации в Zyxel Nebula первое, что предстоит сделать создать корневую структурную единицу Предприятие и одну нижестоящую инфраструктурную единицу Площадку.


Таким образом каждое подразделение, ЦОД, серверная, и всё что мы хотим, как-то отделить можно разместить на отдельных площадках.



Рисунок 4. Создание организации и первой площадки.


Какие это даёт преимущества?


Во-первых, можно делать общие настройки для всех единиц оборудования на одной Площадке. Не надо дублировать одно и то же для каждого устройства.


Во-вторых, можно делегировать управление Площадкой сотрудникам с разными ролями. Например, дежурный администратор может только просматривать информацию, чтобы создать заявку. А сетевой администратор, работающий в филиале вносить необходимые изменения, но в рамках своей Площадки. Это удобно, и никто не мешает друг другу.


Некоторые особенности работы с интерфейсом Nebula


Разумеется, не все настройки можно вынести в общий раздел. Поэтому в интерфейсе Nebula сохраняются специализированные подразделы по типу оборудования: Шлюз безопасности, Коммутаторы, Точки доступа.


При этом наличие группы общих настроек, размещённой в разделе Площадка вносит некоторое разнообразие в привычном алгоритме работы администратора.



Рисунок 5. Настройка портов выбранного коммутатора в разделе Коммутаторы Конфигурация


Совет. Перед началом работы внимательно просмотрите общие настройки в разделе Площадка, отметьте для себя пункты, которые могут понадобиться. После этого будет проще разбираться с настройками для каждого типа оборудования в тематических разделах.

Некоторые вопросы при добавлении устройств


На самом деле вся система Nebula спроектирована так, чтобы не было проблем. Однако существуют ещё внешние факторы, на которые разработчики не могут повлиять при всём желании.


Например, если при подключении устройства используется недостаточно быстрое соединение, то и регистрация устройств в сети будет недостаточно быстрой.


Ещё одним важным фактором является использование исходящих соединений для связи устройств с облачной средой управления. То есть Nebula не разыскивает устройства, например, по белым IP адресам, и не подключается к ним по заранее открытым портам на файерволе, а именно сами устройства связываются с облачной средой управления по протоколу NETCONF.


Это и безопасней (никаких дырок на файрволе) и проще организовать не нужно обзаводиться постоянным белым IP адресом, или возиться с настройкой DDNS (динамического DNS). Гораздо проще подождать, пока устройство само установит соединение.


Выглядит это тривиально: зарегистрировали устройство, допустим, через мобильное приложение, а в интерфейсе Nebula оно появляется само, пусть не сразу, но спустя некоторое время.


Давайте опишем, как происходит регистрация и какие этапы она проходит.


Зарегистрировать устройство можно двумя способами: послав код устройства через приложение Nebula Mobile (IOS, Android) или указав реквизиты: MAC адрес и серийный номер вручную.



Рисунок 6. Регистрация через мобильное приложение.


Рассмотрим мобильную регистрацию.


Вначале пользователь выбирает нужную организацию и площадку. Если доступна только одна организация или площадка одна, этот вопрос автоматически снимается.


После сканирования QR кода автоматически распознаются тип и модель устройства, а также MAC адрес и серийный номер.


Эта информация проходит процедуру анонимизации и шифрования и записывается в базу данных.


Обязательно должен быть включён параметр Nebula Control Center Discovery, который запускает процесс поиска и соединения с облачным центром управления. (Как включить можно посмотреть в документации на конкретную модель).


Если устройство онлайн, и у него задействован описанный выше параметр через некоторое время оно установит связь с облачной средой управления, автоматически подключится к нему, получит идентификатор, и можно будет управлять через облако.



Рисунок 7. Включение параметра Nebula Control Center Discovery.


Схожим образом происходит регистрация вручную с вводом MAC адреса и серийного номера в веб-интерфейсе, но при этом данные сразу вводятся в облако, их не нужно вытаскивать из QR кода и передавать по беспроводной связи.



Рисунок 8. Регистрация устройства через веб-интерфейс.


По идее, если введённая информация верна, ничего делать не нужно, и устройство через какое-то время окажется в сети Nebula (в обычной ситуации это может занять до 2х минут). Но иногда хочется всё получить как можно быстрее.


Рассмотрим такой вариант зарегистрировали устройство в Nebula Mobile, а оно не успело появиться в интерфейсе, и время появления хочется сократить.


Можно попробовать перезагрузить устройство оно сразу после запуска установит соединение. В некоторых случаях это позволит немного ускорить регистрацию (или просто чем-то занять себя во время ожидания).


Ещё один способ ускорить процесс регистрировать устройства вручную через веб-интерфейс. В этом случае не используется этап дешифровки QR кода, и при наличии более скоростного и стабильного проводного соединения данные могут быть переданы быстрее.


Примечание. Если разные люди в одно и то же время попытаются, зарегистрировать устройство, например, и через мобильное приложение, и через веб-интерфейс, то Nebula примет данные источника, который успел первым передать информацию. Опоздавший получит сообщение о том, что устройство уже зарегистрировано.

Ещё один вариант ошибки оборудование зарегистрировано, но в интерфейсе Nebula отображается неактивным. Это говорит о том, что устройство просто не успело соединиться с Nebula для первичного обмена информацией. У пользователя есть выбор: немного подождать или для ускорения перезагрузить устройство.


Ещё одна помеха на пути к быстрой регистрации неторопливый Интернет-браузер, который показывает старую картинку. Помогает обнуление кэша или просто завершить работу браузера (все сессии и процессы) и запустить его, снова подключившись к своему аккаунту в Nebula.


Вопросы и ответы


Ниже постараемся ответить на некоторые вопросы, которые возникают у людей, недавно столкнувшихся с облачными системами управления.


А что если отключат Интернет? Всё, приплыли?


На самом деле ситуация не так трагична, как кажется. Локальные устройства, управляемые через Nebula: точки доступа, коммутаторы, и даже Интернет-шлюз (его локальные функции, такие как DHCP или RADIUS сервер) продолжат функционировать. Возникнут трудности с управлением, но локальная сеть не упадёт, и пользователи смогут выполнять ту часть работы, для которой не нужен выход в Интернет, например, работать в 1С на локальном сервере.


При восстановлении канала восстановится и стандартная функция управления.


Проще говоря, тот же принцип, что и при любом централизованном управлении:


  • Что успели настроить до потери связи с центром, то работает.
  • Во время отсутствияуправляющего центра изменения внести не получится.
  • Канал подняли можно продолжить настройки.

Важно. Для устройств, подключённых к Nebula остаётся возможность управления через CLI (или веб-интерфейс, в зависимости от модели).

Разумеется, для безотказной работы необходимо иметь резервный Интернет-канал, для любого сценария управления: с Nebula или локально. Потому что связь с внешним миром это такой же необходимый ресурс, как и всё остальное, а для бесперебойной работы необходимо резервирование.


А что если данные из облака утекут? Тогда инфраструктурой может управлять кто захочет?


В данном случае стоит рассмотреть сценарий, когда происходит утечка данных, пригодных к использованию посторонними лицами. Данных в таком виде Nebula просто не хранит.


Во-первых, хранятся только данные, которые действительно необходимы для выполнения узкоспециализированных атомарных операций и для построения отчётов, опять же, строго по запросу администратора. Объём СХД, как известно, не резиновый. Поэтому хранить данные на случай вдруг понадобится никто не будет.


Во-вторых, очень важно в каком виде хранятся данные.


  1. Все данные при поступлении анонимизируются. Проще говоря, понять где чья запись от какого клиента может только сама Nebula.
  2. Все данные хранятся в зашифрованном виде.
  3. Используется такая замечательная вещь, как двухфакторная аутентификация. В случае её использования попытки порулить чужой системой останутся безуспешными, если только вы сами не делегируете полномочия.

Примечание. Информацию из первоисточников можно получить по ссылкам в самой Nebula в меню Помощь Политика обработки данных.

Дополнительно публикуем две ссылки на документы в открытом доступе:



С другой стороны, при использовании традиционного необлачного управления с прямым подключением проблем с безопасностью может быть гораздо больше. Например, потерянный служебный ноутбук или принудительное изъятие рабочего ПК сетевого администратора в рамках каких-то там мероприятий увы, не самый невероятный сценарий. И ситуация при этом может оказаться гораздо более печальна, чем та, когда всё управляется удалённо через облако.


Регистрация в Nebula это дорога в один конец? Обратно в автономный режим переключить устройство уже не получится?


Устройства можно перевести в автономный режим работы, просто удалив их из Организации через тот же интерфейс Nebula.


А что если придётся передать устройство в другое подразделение (филиал, дочернюю компанию)?


Если речь идёт о передаче устройств в рамках одной компании можно просто переместить устройство между площадками. Если же для каждого подразделения существует своя организация в Nebula тогда их нужно удалить из Организации и зарегистрировать заново.


Подводя итоги


Zyxel Nebula проектировалась как система управления распределённой инфраструктурой. Для неё всё равно, где находится оборудование, важно, чтобы устройства имели выход в Интернет.


Это накладывает определённый отпечаток на идеологию управления, и, как следствие, на интерфейс пользователя. При работе с любой системой возникают некоторые нюансы, о которых полезно знать перед началом эксплуатации.


Полезные ссылки


  1. Регистрация в Zyxel Nebula тут все начинается
  2. Telegram chat Zyxel
  3. Форум по оборудованию Zyxel
  4. Много полезного видео на канале Youtube
  5. Unlock Networking Possibilities with Cloud Nebula Secure Cloud Networking Solution
  6. NEBULA CONTROL CENTERGDPR DATA PROCESSING ADDENDUM
  7. Преимущества USG FLEX
  8. Полезная статья в КБ о USG FLEX
  9. Перенос лицензий с устройств USG на устройства USG FLEX Series (видео)
  10. Служба поддержки Nebula для пользователей проф. версии Nebula (английский язык)
  11. Форум Zyxel Nebula (можно создать запрос)
  12. Техподдержка Zyxel
  13. Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа
  14. Настройка WPA2 Enterprise с RADIUS
  15. Сверхновое облако Zyxel Nebula экономичный путь к безопасности?
  16. Zyxel Nebula и рост компании
  17. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  18. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  19. Zyxel Nebula простота управления как основа экономии
  20. Не боимся облаков
  21. Журнал LAN: Знакомство с Zyxel Nebula
Подробнее..

Коммутаторы ядра сети что это такое, для чего нужны и как выглядят

25.05.2021 12:05:50 | Автор: admin


О периферийных устройствах написано достаточно много. Это и понятно, потому что большое число задач требует разнообразный парк оборудования: точки доступа, коммутаторы уровня доступа, межсетевые экраны и так далее.


В случае с корпоративной ИТ инфраструктурой все эти компоненты работают на нижних этажах, обеспечивая доступ пользователей и конечных устройств к сети.


А вот про уровень ядра сети сказано довольно мало. Причина вполне понятна больших организаций меньше, чем маленьких, поэтому крупных корпоративных сетей также меньше. Попытаемся восполнить этот пробел. Для начала расскажем об общих чертах и потом перейдём к конкретным моделям (описанию и вариантам использования). Помимо общих принципов, разберём конкретные модели по винтикам, (в том числе и буквально отверткой), чтобы посмотреть, что и как устроено.


Попробуем расколоть этот орешек знаний, чтобы добраться до ядра.


Вступление


Как мы уже писали ранее в статье Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему? корпоративную сеть можно условно разделить на три уровня:


  • Уровень доступа предназначен для подключения клиентских устройств.
  • Уровень агрегации/распределения, который, как следует из названия, является промежуточным и служит для предварительного управление трафиком.
  • Уровень ядра сети.


Рисунок 1. Уровни корпоративной сети


Коммутаторы ядра находятся в самом центре корпоративной сети и обеспечивают общую коммутацию (а если необходимо, то и маршрутизацию), связывающие все остальные сегменты.


Разумеется, нельзя каждый уровень рассматривать отдельно от предыдущего.


Общее увеличение трафика на уровне доступа ведёт к дополнительной нагрузке на коммутаторы уровня распределения, что в итоге влияет на загрузку ядра. Разумеется, возможны ситуации, когда всплеск трафика локализован в рамках одного сегмента (в переделах одного коммутатора уровня агрегации или даже уровня доступа). Но если имеется общая тенденция к росту трафика и передаваемых объёмов, это всё равно приводит к повышению нагрузки на ядро сети.


Поэтому важно учитывать не только сиюминутные потребности, но и что ждёт в будущем.


Особенности нагрузки в ядре сильно отличаются от нагрузки на уровне доступа. Если коммутатор уровня доступа привязан к работе пользователей (которых может попросту не быть в офисе), то на коммутаторе ядра будет присутствовать трафик обмена данными между серверами, СХД, облачными системами для резервного копирования и т.д. Поэтому коммутаторы ядра необязательно самые быстрые, но уж точно самые надёжные, рассчитанные на долговременную загрузку


Важный нюанс уровень ядра наиболее критичен к простоям при выполнении технических работ. Выключение и замена одного коммутаторов уровня ядра приводит к бездействию большого числа участников сетевого обмена. Поэтому желание сократить число и продолжительность таких остановок вполне объяснимо. Для этого необходимо: во-первых, выбрать оптимальную архитектуру будущей сети, во-вторых, подобрать наиболее подходящие коммутаторы ядра.


Примечание. Учитывая массовый характер закупок, особенно при развёртывании сети с нуля, ошибка при выборе коммутаторов уровня распределения/агрегации и даже уровня доступа тоже может обернуться значительными финансовыми потерями. И хотя масштабы катастрофы принято оценивать по количеству простаивающих узлов за выбранный промежуток времени, к выбору оборудования для младших уровней следует подходить не менее ответственно.

Особенности коммутаторов ядра


Как уже было сказано выше, в ИТ инфраструктуре корпоративной сети коммутаторы уровня ядра являются центральным звеном, который объединяет другие сегменты (обычно уровня агрегации/распределения, реже уровня доступа). Через ядро проходит большая часть от всего трафика между клиентами, серверами, Интернет и так далее.


Поэтому главное умение ядра сети не падать при максимальной загрузке. Этот уровень всегда состоит из высокоскоростных коммутаторов и маршрутизаторов, производительных и отказоустойчивых. Немаловажную роль играет железо, в том числе характеристики коммутирующей матрицы, производительность процессора или контроллер.


Примечание. Универсалы vs узких профи Существует мнение, что для высокоскоростной передачи трафика, коммутаторы ядра не должны выполнять какие-либо манипуляции с пакетами, такие как маршрутизация между VLAN, ACL (Access Control List) и так далее в такой архитектуре все эти функции возложены на коммутаторы уровня агрегации/доступа. Однако построить идеальную инфраструктуру и уложиться в выделенный бюджет удаётся далеко не всегда. Часто на используется некий смешанный вариант, при котором уровень ядра и уровень агрегации/доступа является неким общим уровнем ядра+распределения. Разумеется, с точки зрения классической архитектуры это выглядит как вопиющее отступление от правил, зато с финансовой стороны вполне разумно.

А теперь кратко, просто и понятными словами


Проще говоря, коммутаторы уровня ядра это очень надёжные производительные коммутаторы L3 или L2+, которые могут выполнять те или иные задачи, но главное устойчивая передача трафика. Ниже мы подробно остановимся на некоторых нюансах.


Производительность


Как уже было сказано выше, скорость пересылки пакетов и ёмкость коммутации важные характеристики для коммутатора ядра в корпоративных сетях. Ядро должно обеспечивать требуемую скорость и пропускную способность.


Хорошая новость трафик не берётся из ниоткуда. То есть, зная кого, чего и сколько вы собираетесь подключить к сети и какой толщины будут внешние каналы, можно спрогнозировать верхнюю и нижнюю цифры по загрузке ядра сети. А дальше уже дело за выбором оборудования.


Разумеется, корпоративная жизнь порой подбрасывает сюрпризы вроде рождения новых бизнес-подразделений с нуля или построения новых сегментов вроде приватных облаков. Поэтому резервировать от 20 до 35% запаса производительности на вырост и такой же резерв по количеству портов для ядра сети это совсем неплохая идея. Как было сказано выше, обосновать остановку или временное замедление в работе практический всей корпоративной сети, чтобы заменить коммутатор в ядре та ещё задачка.


Надёжность оборудования


При проектировании ядра уделяют больше внимания избыточности по сравнению с другими уровнями. Вроде всё понятно: зачем и почему, но давайте посмотрим более детально.


Как было сказано выше, нагрузка на коммутаторы уровня ядра имеет другой характер, нежели уровня доступа. Соответственно, температурное воздействие тоже выше, и самое главное держится на одной отметке. И это должно учитываться при проектировании системы охлаждения.


Ещё один важный нюанс электропитание. Наличие двух источников питания не роскошь, а необходимость. Разумеется, можно использовать дополнительные хитрые внешние модули АВР (Автоматический Ввод Резерва) или SmartPDU, которые позволяют переключить подачу энергии на резервную линию, даже если на самом устройстве один блок питания. Но что будет с ядром сети, если единственный блок питания внутри коммутатора выйдет из строя? Нужно ли это проверять?


При наличии второго блока питания, когда один из них выходит из строя, другой немедленно берёт на себя все функции по обеспечению энергоснабжения. То есть стандартная схема: Active-Passive вполне пригодится.


Многое зависит от производителя блока питания и элементной базы. Если внутри всё сделано непонятно из чего и непонятно как наверное, вообще не стоит устанавливать подобное оборудование, а уж в ядро сети тем более.


Устойчивость к атакам и пиковым нагрузкам


Поскольку коммутаторы ядра являются центром сети, они должны уметь не только быстро перебрасывать Ethernet кадры, но и обладать расширенной защитой от DDoS с использованием протоколов уровня 2 и 3. И дело тут не только в злобных хакерах. Криво работающее сетевое приложение может навести шороху не меньше, нежели тёмные рыцари клавиатуры.


Кроме защиты от атак, сама по себе возможность работы при пиковых нагрузках является важной характеристикой. Обычно советуют избегать таких конфигураций, как дотошные списки доступа и фильтрация пакетов, особенно на фоне деградации производительности. Но в любом случае запас по мощности не повредит.


Стек и масштабирование. Агрегирование каналов.


Разумеется, ситуация, когда из-за проблемы с центральным коммутатором не работает крупный сегмент, а то и вся корпоративная сеть мало кого устраивает. Чтобы избежать ситуаций, когда одно-единственное устройство объединяет большое число подключений и в случае выхода из строя ничто не может взять на себя его функции используют резервирование и объединяют сетевое оборудование в стек.


Стек это соединение нескольких физических коммутаторов в один супер-коммутатор, когда при выходе одного из физических устройств отказоустойчивая схема продолжает работать.


Однако на одной только отказоустойчивости свет клином не сошёлся. Рано или поздно сеть разрастётся и возникнет дефицит вычислительных ресурсов и свободных портов. Даже если вначале были закуплены коммутаторы с хорошим запасом по портам и мощности, всё равно рано или поздно придётся проводить модернизацию. Стек коммутаторов даёт нам возможность добавить в ядро новые устройства, не снимая с эксплуатации старые.


Например, серия XGS4600 поддерживает стек до 4 коммутаторов, а XGS3700 до 8. Проще говоря, если у вас в ядре присутствует, допустим два коммутатора XGS4600-52F, вы можете удвоить их количество, доведя их число до 4, не прерывая работу сети.


Также полезным выглядит использование отказоустойчивых протоколов, например, VRRP для построения отказоустойчивой схемы маршрутизации.


Крайне важно, чтобы остальные участники сетевого обмена не теряли связь с ядром. Для этого используется агрегирование каналов, когда несколько физических портов на коммутаторе уровня агрегации/распределения объединяются в общий UPLink и подключаются к двум портам на коммутаторах уровня ядра. Таким образом при обрыве подключения на одном из портов, связь всё равно не теряется.


QoS


Quality of Service (QoS) является важной функцией, позволяющей обеспечить стабильное прохождение определённых типов трафика. Например, на современных предприятиях требуется видеоконференцсвязь. Такой трафик требует непрерывной передачи голоса и видеоданных, в отличие, например, от просмотра текстовых страниц в формате html. Ещё один пример резервное копирование, когда данные идут плотным потоком и необходимо успеть всё передать за короткое окно бэкапа. В таких случаях выручает использование системы приоритетов и ограничение полосы пропускания. То есть QoS.


Благодаря QoS коммутаторы ядра получают возможность предоставлять разную полосу пропускания различным приложениям в соответствии с характеристиками. По сравнению с трафиком, который не так требователен к полосе пропускания и задержкам во времени (например, электронная почта), критический трафик получит более высокий приоритет, и будет передаваться с высокой скоростью и гарантированно низкой потерей пакетов.


Управление


Для описания основных принципов работы с коммутаторы ядра сети очень даже подходит известная пословица: Работает? Не трогай!.


Но бывают ситуации, когда трогать нужно, например, при модернизации всей сети, подключения дополнительных сегментов и так далее.


И, разумеется, необходимо вовремя получать данные о работе сетевого оборудования.


Поэтому коммутаторы ядра сети поддерживают различные методы контроля и управления, начиная от SNMP и заканчивая подключением консоли.


Также полезно иметь выделенный порт управления (не объединяемый с передачей данных), который можно подключить в отдельный VLAN или даже коммутатор. Помимо повышения уровня безопасности, это позволяет упорядочить архитектуру сети и сохранить возможность управления даже при резком возрастании трафика через ядро.


Ниже идут описания и ТТХ конкретных моделей от Zyxel. Если не любите, когда производитель в своём же блоге описывает спецификации и возможности своих же устройств и считаете это сплошной рекламой можно сразу перейти в следующий раздел: Подведение итогов и рекомендации.

Рассмотрим на конкретных моделях


В качестве примера мы выбрали линейку коммутаторов, предназначенных для уровней ядра и агрегации/распределении. Откуда такое двойное назначение? Всё зависит от целей и задач, в первую очередь от архитектуры корпоративной сети. Бывают ситуации, когда на коммутаторы уровня агрегации/распределения ложится нагрузка, сопоставимая с уровнем ядра сети. Например, если активно используется маршрутизация между VLAN, списки доступа (ACL), фильтрация трафика и так далее.


Запас мощности и широкий набор возможностей в любом случае не помешает.


О каких моделях речь?


На сегодняшний день линейка XGS4600 насчитывает 3 коммутатора: XGS4600-32, XGS4600-32F, XGS4600-52F. Основное различие между ними в количестве и конструкции портов. Ниже приводится таблица, в которой указаны основные различия и общие моменты.


Характеристика XGS460032 XGS460032F XGS460052F
Общее число портов 32 32 52
Gigabit SFP - 24 48
100/1000 Mbps 24 - -
Gigabit combo (SFP/RJ45) 4 4 -
10-Gigabit SFP+ 4 4 4
Производительность коммутации (Gbps) 136 136 176
Скорость пересылки пакетов (Mpps) 101.1 101.1 130.9
Буфер пакетов (байт) 4 Мбайт 4 Мбайт 4 Мбайт
Таблица MAC-адресов 32 Кбайт 32 Кбайт 32 Кбайт
Таблица пересылки L3 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6
Таблица маршрутизации 12 тыс. 12 тыс. 12 тыс.
Число IP интерфейсов 256 256 256
Flash/RAM 64 Мб / 1 Гб 64 Мб / 1 Гб 64 Мб / 1 Гб

Ниже мы кратко опишем, почему эти коммутаторы пригодны для использования в качестве ядра сети.


Стек и High Availability


С помощью одного или двух слотов 10-Gigabit SFP+ можно объединить в физический стек до 4 коммутаторов. Также поддерживается динамическая маршрутизация для упрощения обмена данными между подсетями. Эта функция очень удобна для больших отелей, университетов и других компаний, где используется сложная сетевая инфраструктура. Для коммутаторов серии XGS4600 можно приобрести дополнительную лицензию с поддержкой протоколов OSPFv3 и RIPng для динамической маршрутизации IPv6.


XGS4600 Series оборудован гигабитными портами и четырьмя интегрированными слотами 10-Gigabit SFP+.


Другие меры обеспечения надёжности


Помимо объединения в стек, коммутаторы серии хранят два файла конфигурации и два образа микропрограммы. Это своего рода защита от случайных сбоев. Представьте, что закачанный файл микропрограммы оказался повреждён при передаче по сети. Наличие второго файла позволяет решить эту проблему без лишней крови, просто перезагрузив устройство с рабочей прошивкой.


Примерно такой же алгоритм восстановления, если изменения конфигурации оказались несовместимы с жизнью. Просто подгружаем другой файл и дело в шляпе.


Схема питания два независимых блока


XGS4600 Series поддерживает резервирование питания по схеме Active-Standby. В случае выхода из строя основного источника питания коммутатор будет работать от резервного источника питания.


Сами блоки питания от известного производителя DELTA Electronics.


А что с железом?


  • Центральным узлом является процессор (CPU) 1GHz ARM cortex-A9.
  • Switch controller BCM56340.
  • RAM 1GB.
  • Flash 64MB.

Разумеется, лучше один раз увидеть, чем сто раз услышать (а ещё лучше пощупать своими руками). И мы прямо в офисе вскрыли две модели чтобы посмотреть, что внутри.


Ниже прилагаем несколько фотоснимков, сделанных прямо в офисе Zyxel Россия.


Интересная информация. Zyxelне пытается поймать своих клиентов на мелочах. Хитрые пломбы, болтики из мягкой стали (у которых шлицы повреждаются даже при самом аккуратном откручивании), голографические наклейки и прочие уловки с целью лишить потребителя гарантийного обслуживания это всё не нужно.


Рисунок 2. Коммутаторы серии XGS4600, вид спереди: вверху XGS4600-32F, снизу XGS4600-32



Рисунок 3. Коммутаторы серии XGS4600, вид сзади: вверху XGS4600-32F, снизу XGS4600-32.


Во всех моделях, предназначенных для ядра два блока питания.



Рисунок 4. Внутреннее устройство коммутатора XGS4600-32.


Правильная компоновка и аккуратный монтаж плат и разъёмов очень важны. У производителя не должно возникать желания впихать невпихуемое в небольшой корпус.


Присутствуют мощные радиаторы и блок из трёх вентиляторов. Для коммутаторов ядра сети важно иметь хорошее охлаждение.



Рисунок 5. Коммутатор XGS4600-32 блоки питания.



Рисунок 6. Коммутатор XGS4600-32. Фрагмент материнской платы с микросхемами памяти.



Рисунок 7. Крупным планом.



Рисунок 8. Внутреннее устройство коммутатора XGS4600-32F.



Рисунок 9. Блок питания коммутатора XGS4600-32F.



Рисунок 10. В правой части расположены UPLINK, порт MGMT для управления коммутатором и консольный порт.


Обратите внимание на выделенный порт управления (OOB) на панели он показан как MGMT. В отличие от консольного RS-232 (который тоже в наличии) данный порт предназначен для удалённого управления устройством по сети.


Также присутствует индикатор номера коммутатора в стеке Stack ID.


Различные функции


Как уже было сказано выше, несмотря на то, что основная задача ядра стабильная работа под нагрузкой, время от времени возникает необходимость управлять трафиком, и это требует определённых инструментов.


Например, поддержка VLAN, а также QoS и списки доступа довольно полезные функции.


Полный список функций можно посмотреть здесь.


Подведение итогов и рекомендации


Невозможно объять необъятное, поэтому наш рассказ про коммутаторы ядра подходит к концу.


Существует множество факторов, которые определяют, какие коммутаторы ядра наиболее подходят для ядра сети в каждом конкретном случае. Однако существуют некоторые общие рекомендации, которые желательно соблюдать, чтобы избежать длительных простоев сетевой инфраструктуры.


Помимо голой теории мы показали, как эти особенности выглядят на примере конкретной реализации. Описанные принципы подходят при оценке любых других коммутаторов уровня ядра сети. Надеемся, это поможет при разработке новых проектов и модернизации уже существующих.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  5. Коммутаторы Zyxel L3 серии XGS4600
  6. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  8. Особенности применения управляемых и неуправляемых коммутаторов
  9. Как SFP, SFP+ и XFP делают нашу жизнь проще
Подробнее..

Из песочницы Бизнес-экспансия во Вьетнам новые возможности после пандемии

13.11.2020 12:14:13 | Автор: admin
Успешнее других стран Азии справившись с пандемией COVID-19, Вьетнам становится одним из самых привлекательных мест для электронного бизнеса в мире. Изучаем особенности продвижения цифровых проектов во Вьетнаме вместе с двумя экспертами: руководителем международного платежного провайдера и эквайера ECOMMPAY в Азиатско-Тихоокеанском регионе, экспертом Gate2Asia Одри Оттевангер (Audrey Ottevanger) и менеджером по глобальному развитию бизнеса и электронной коммерции компании Softline Антоном Мезенцевым.



Об уникальности вьетнамской экономики говорит статистика. В стране с 90-миллионным населением уровень безработицы составляет всего 2,2%. 70% граждан имеют доступ к интернету. Возраст большинства пользователей 25-34 года.

По оценкам экспертов, сектор электронной коммерции во Вьетнаме в ближайшие шесть лет вырастет в 10 раз и достигнет 50 млрд долларов. С учетом одного из самых высоких в мире показателей роста ВВП (около 6% в год), Вьетнам становится одной из самых привлекательных стран для экспансии иностранного, в том числе российского и европейского, бизнеса. Но для успешного продвижения проектов в этой стране необходимо учитывать ряд ее специфических особенностей.

Цифровой Вьетнам: все только начинается


В 2019 году Вьетнам занял 57-ю строчку рейтинга Global Connectivity Index, определяющего готовность страны к переходу на цифровую экономику. По готовности к применению облачных технологий Вьетнам пока занимает 14-е место среди стран Азиатско-Тихоокеанского региона. По прогнозам, рынок облачных услуг во Вьетнаме вырастет со 165 млн долларов в 2019 году до 291 млн долларов к 2024 году.

Пандемия COVID-19 резко усилила цифровую трансформацию как B2B, так и B2C секторов экономики страны, затронув не только крупные предприятия, но также малый и средний бизнес. Сегодня здесь востребованы решения для совместной работы, программное обеспечение для управления розничной торговлей и обслуживания клиентов, HR, маркетинга, логистики и кибербезопасности. При этом рынок еще долго будет оставаться далеким от насыщения.

Местная специфика: блекауты, кибербезопасность и родной язык




Рассказывает Одри Оттевангер

Несмотря на почти тотальную интернет-грамотность (в среднем вьетнамцы проводят в сети от 3 до 5 часов в день, пользуясь в основном мобильным интернетом), здесь достаточно спокойно относятся к частым локальным отключениям электроэнергии. Вьетнам занимает 77-е место в мире по энергоэффективности, согласно Global Energy Architecture Performance Index.

Другим фактором, ограничивающим интернет-бизнес во Вьетнаме, является местное законодательство. К примеру, личные данные граждан Вьетнама нельзя хранить за пределами страны, поэтому интернет-компаниям, выходящим на вьетнамский рынок, стоит обзавестись локальными серверами.

Как и в большинстве азиатских стран, проводящих политику протекционизма, во Вьетнаме действуют withholding-налоги, препятствующие выведению иностранными компаниями средств за рубеж. Это также необходимо учитывать, открывая бизнес в этой стране.

Наконец, немаловажным фактором, который может серьезно повлиять на работу иностранной компании во Вьетнаме, являются особенности местного менталитета. Вьетнамцы далеко не всегда могут и хотят говорить по-английски (в местных школах до сих пор преподают в основном французский), предпочитая изъясняться на родном языке. Это касается как потенциальных клиентов, так и наемных работников.

Кроме того, неписанные правила местного менеджмента отличаются от принятых в Европе. Например, во Вьетнаме далеко не всегда работает система поощрений и штрафов: здесь важны эмоционально выстроенные отношения и общая доброжелательная атмосфера. А командная работа более применима на низших ступенях корпоративной иерархии. Чем выше должность тем важнее единоначалие.

После карантина: платежи ушли в онлайн

Важнейшим фактором, определяющим успешность бизнеса в любой стране, является понимание платежного поведения ее жителей. Платежный ландшафт во Вьетнаме отличается не только от европейского. Вьетнамцы привыкли оплачивать покупки и услуги иначе, чем жители других стран Азиатско-Тихоокеанского региона. Причем это касается и B2B, и B2C-секторов экономики.

Особенно ярко эта разница проявилась в этом году, во время и после карантинных ограничений, вызвавших бурный рост электронных платежей не только во Вьетнаме, но и во всем мире.
Безналичные платежи составляют 20% от общего числа транзакций во Вьетнаме. В последние месяцы, из-за пандемии, популярность онлайн-платежей резко возросла. По официальным данным, общее количество безналичных платежных операций через систему Государственного банка увеличилось на 76% по сравнению с тем же периодом прошлого года.

При этом особой популярностью пользуются мобильные платежи через местные альтернативные платежные системы, такие, как Momo, Moca и ZaloPay. На них приходится до 90% мобильных платежей в стране. Что касается немобильных локальных способов оплаты, без которых никуда, так это онлайн-банкинг, локальные ATM карты, Viettel Post & Vietnam Post, а также Nganluong.

Рост платежных операций с помощью QR-кода местной системы VNPAY в феврале 2020 года увеличился до 600%. Одновременно с этим платежная система Visa объявила об открытии к 2023 году 300 тыс новых пунктов приема карт во Вьетнаме в содружестве с местными банками.

Как начать работать на вьетнамском рынке


Вот полезные лайфхаки от Антона Мезенцева, менеджера по глобальному развитию бизнеса и электронной коммерции компании Softline и Ивана Осипова, руководителя подразделения международных платежных систем. Компания уже не первый год работает на вьетнамском рынке. Возможно, эти советы избавят вас от лишних проблем или недопонимания ваших вьетнамских клиентов и партнеров.

  • Очевидно, но нельзя не сказать тестируйте. Одним из заключительных шагов перед запуском проекта во Вьетнаме стала кастомизация решения под местных пользователей, что напрямую связано со сложившейся специфической культурой онлайн-платежей в регионе. Чтобы лучше справиться с решением этой задачи, мы провели UX-тестирование нашего решения. Благодаря данным исследования, мы узнали много нового. Например, формы инвойсов во Вьетнаме должны разительно отличаться от тех, что мы привыкли рассылать на других рынках, оплаты по локальным картам проходят после входа в онлайн банк клиента, а на этапе платежа местные потребители привыкли к большому количеству редиректов в процессе оплаты заказа.
  • Проявлять терпение в переговорах. В переговорах на английском языке во Вьетнаме часто возникает непонимание, из-за чего требуются новые раунды, и процесс затягивается. Длительные переговоры присущи большинству азиатских стран партнеры не готовы принимать решения здесь и сейчас. Ведение переговоров сопровождается тщательным выстраиванием межличностных отношений. Только после того, как удается заручиться доверием азиатского партнера, можно рассчитывать на положительный результат.
  • Локализовать службу поддержки пользователей. Обязательное условие работы во Вьетнаме организация поддержки пользователей на родном языке. Но это не все. Вьетнамские пользователи часто предпочитают обращаться не в техподдержку, а звонить напрямую на мобильный телефон директора филиала или другого руководителя, находя контакты в интернете. С такой особенностью проактивного поведения потребителей нужно смириться как с данностью.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru