Русский
Русский
English
Статистика
Реклама

Zyxel

Более 100 тыс. файрволов и VPN-шлюзов Zyxel содержали бэкдор-аккаунт

03.01.2021 10:14:54 | Автор: admin

Источник

Более ста тысяч межсетевых экранов, VPN-шлюзов и контроллеров точек доступа от Zyxel содержали жёстко закодированный административный бэкдор-аккаунт, который при случае мог открыть киберпреступникам root-доступ к устройствам через SSH-интерфейс или веб-панель администратора.

Опасную учётную запись обнаружили специалисты компании Eye Control, базирующейся в Нидерландах. Они же порекомендовали владельцам всех затронутых устройств как можно скорее обновить их, поскольку уязвимость действительно крайне неприятная.

Злоумышленники любого уровня от операторов DDoS-ботнетов, до правительственных кибергруппировок и создателей шифровальщиков могут использовать обнаруженный бэкдор-аккаунт для проникновения во внутренние сети.

Среди уязвимых устройств есть популярные модели корпоративного уровня от Zyxel. Как правило, такие девайсы используются в частных организациях и правительственных сетях. Эксперты выделили следующие линейки продуктов, владельцам которых стоит опасаться бэкдора:

  • ATP-серия используется преимущественно как межсетевой экран;

  • USG-серия используется как гибрид файрвола и VPN-шлюза;

  • Серия USG FLEX также используется как файрвол и VPN-шлюз;

  • VPN-серия используется исключительно как VPN-шлюз;

  • NXC-серия используется как контроллер точки доступа WLAN.

На сегодняшний день патчи готовы только для ATP, USG, USG Flex и VPN. Согласно официальному сообщению Zyxel, серия NXC получит обновление в апреле 2021 года.

Как отметили исследователи из Eye Control, выявленный бэдор-аккаунт использовал имя пользователя zyfwp и пароль PrOw!aN_fXp. Все выпущенные патчи закрывают этот недокументированный доступ.

Пароль в виде открытого текста можно было найти в одном из системных бинарников. У аккаунта был root-доступ на устройстве, поскольку он использовался для установки обновлений прошивки, пишут эксперты вотчёте.

Источник

Подробнее..

Wi-Fiв офис, на склад, завод, банк Сценарии внедренияи сборкиWi-Fiв сферы бизнеса.(Часть2)

27.04.2021 12:23:09 | Автор: admin

Оглавление

  1. Введение

  2. Wi-Fi и размер бизнеса

    2.1для малого бизнеса

    2.2для среднего

    2.3дляenterprise

  3. Сценарии примененияWi-Fiв сферах бизнеса

    3.1 Wi-Fiна заводе

    3.2Умный ритейл.Wi-Fiв магазины и ТРЦ.

    -Сеть магазинов

    -МаркетингТРЦ

    3.3Wi-Fiв отеле, ресторане, кафе.

    3.4Wi-Fiвбанках

    3.5Wi-Fiна складе

  4. Заключение

Введение

В прошлойстатьерассказ шел о технологиях и инструментах, которые внедряют вWi-Fi. Часть 2 будет о типовых сценариях внедрения. Если лень читать- проматывай(ссылка на ту же статью в блог)вниз, там будет калькулятор. Калькулятор учитывает вендора, количество точек доступа и дополнительный функционал.

Сразу оговорюсь, статья будет не только оWi-Fi6в вакууме. В каждом кейсе будет примеси других технологийи оборудования. Все статьи я составлял с помощью решений отCiscoи Aruba/Huaweiкакальтернатива.Но это не значит, что мы не найдем аналогов наZyxel.

Начнем с решений в зависимости от масштаба бизнеса. Каждый класс предприятий имеет свой подходк построение беспроводной сети.

Wi-Fi и размер бизнеса

Малый бизнес

В малом бизнесе требования к WI-Fiсетям минимальные. В офисе на20-30человек хватит1-2точек доступа.Контроллер не нужен, либо им может стать точка доступа.Если в офис приходят посетители, стоит позаботиться о гостевом доступе.Возможна интеграция склада и терминалов сбора данных через беспроводноесоединение.Кибербезопасность ограничивается антивирусами на конечном устройстве и двухфакторной аутентификацией(CiscoDuo).

Средний бизнес

Схема беспроводной сети в средней компании уже включает в себя контроллер. Контроллер управляет подключенными точками доступа. В компаниях с виртуализацией контроллер может устанавливаться на виртуальную машину.

Еще всреднем бизнесе появляется понятие кибербезопасности. Дополнительно к аутентификации добавляется межсетевой экран для анализа вирусов в трафике.В теории каждый узел может быть защищен.Вопрос: стоит ли объект защитыпотраченныхсредств.

Офис нашей компанииОфис нашей компании

В офисе любого размера есть потребность в мобильных сотрудниках.Удаленкаэкономит деньги на аренду и содержания офиса. Командировки помогают вести проект и разговаривать с сотрудниками на месте. Выезды к заказчику приближают его к покупке.Чтобы безопасно подключаться к инфраструктуре нуженбезопасный канал.CiscoAnyConnectего предоставляет.

Типовой дизайн:

Требуется подключенияWi-Fiи сетевых служб в офисе под ключ. В офисе должны быть проводная и беспроводная инфраструктура, гостевой доступ, система безопасности, унифицированные коммуникации.

Помещение 1500 м2

Кол-во сотрудников: 150 человек

Решения кейса

На уровень ядра устанавливается коммутатор доступа-Catalyst9500.

На уровне доступа-Catalyst9200.Точки доступа-CiscoAironet9117или 9120.

КонтроллерCatalyst9800-L.(может быть виртуальным)

Управление и контроль:CiscoISE(Опция)

Безопасность периметра:Firepower1010+Duo(Опция)

Продукты:CiscoDNA,Firepower+Duo+ESA/WSA,Cisco ISE, Cisco Aironet 9117.

ИнфраструктураСМБв вакуумеИнфраструктураСМБв вакууме

Enterprise

Организация

WLANна уровнебранча(офиса компании), не отличается от среднего.На глобальномуровне добавляются коммутаторы ядра иDNACenter.Enterpriseотличается от СМБпостроением кибербезопасности в компании,интеграциейбизнес-приложений(но о них мы поговорим в другой статье)и повышенной отказоустойчивостью.

Так может выглядетьIT-инфраструктураEnterpriseТак может выглядетьIT-инфраструктураEnterprise

ВEnterpriseсегментекибербезопасность более актуальна,чем в среднем бизнесе.Точекпроникновения злоумышленниковбольше, чем в среднем бизнесе.Цена ошибкивыше. Стоимость простоя региональнойсети магазиновможетдостигатьсотен миллионов рублей.

Категории средств безопасности:

  • Сканеры уязвимости

  • SIEM-системы

  • Защита приложений

  • WebApplicationFirewall

  • CDN

Каждая категория закрываетпотребностьEnterpriseв безопасности.Но эта статья больше для СМБ, поэтому не будем углубляться вподробностирешенийдля большого бизнеса.

Сценарии применения Wi-Fi в сферах бизнеса

Описание сценариев применения будет по принципу.

  • Типовой дизайн предприятия сценария

  • Технологии для решения задач сценария

  • Решения кейса

  • (Иногда) Схема исполнения

Все описанныесценарии- общее среднее по сфере бизнеса. Типовые проблемы, которые мы часто встречаем у заказчиков, описаны ниже.

Каждый бизнес особенный, и кейс может отличаться от Вашего.

Wi-Fi на заводе

Wi-fiсеть на заводе строится по подобию складской сети. Разница в производственной линии и более агрессивной среде.

Типовой дизайн:в промзоне размещенарматурныйзавод.Управление завода намерено внедритьтерминалы сбора данныхдлямаркировкиконечной продукции. На территории цеха отсутствует беспроводная сеть- ее нужнопостроить с нуля. Финансовые потери от 1 дня простоя составляютот10до 80млн рублейв зависимости от контракта.

Стандартный вид производственного предприятия изнутриСтандартный вид производственного предприятия изнутри

Применимые технологии:

Задача похожа на организациюWi-Fiна складе, с важным отличием. Есть производственная линия, управляемая промышленными ПК. Терминалы сбора данных, вместе с высоким темпом производства нагружают беспроводную сеть. Высокая цена простоя требует вложений в кибербезопасность.

Основной акцент делается на непрерывности производственного процесса.

Риски прерывания по частиITинфраструктуры:

  • Прерывание сигналовIOTустройств из-за перекрытий и чугунного оборудования

  • Физическое повреждениеIT-оборудования

  • Остановка процессов вследствие вредоносного ПО и хакерской атаки

Направленные антенны

Электромагнитные помехи, изоляционные материалы, плотные перекрытия, балки, опоры мешают распространениюWi-Fiсигнала. Без направленной антенны сигнал потеряется.ТехнологияBeamFormingподойдет для агрессивной среды завода.

Wi-Fi антенна (не в вакууме)Wi-Fi антенна (не в вакууме)

Кибербезопасность

Атака на производственную цепь- цель для злоумышленников.Основные цели- бизнес-данные,энергоснабжение, АСУ-ТП.Отвязать сеть, возможно, лучшее решение для безопасности производственного цикла. Все управление производством сводится к1-2ПК. На них установлены специальное ПО управления.

Атака на производственные процессы может проходить не впрямую на ПК управления. А через офис. Фишинговая рассылка может быть адресована в центральный офис компании, а затем прислана директору завода. Поэтому для защиты сети нужен мониторинг трафика.

Задача безопасностисводится к безопасности этихпромышленныхПК и смежных устройств.Фаерволлы, Многофакторная аутентификация и анализ трафика сети обезопасят промышленную сеть.

Пример использования:

Складское помещение нуждается в бесперебойномwi-fi.Работа на территории ведется в 3 смены. Стоимость простоя:10 млн. руб./сутки.

Одноэтажное здание

Площадь: 20000 м2

Кол-во ТСД: 20шт.

Кол-во ноутбуков15шт.

Решения кейса

На уровень ядра устанавливается коммутатор доступа-Catalyst9400.

На уровне доступа-Catalyst9200.Точки доступа-CiscoAironet9117с внешнимиантенами.

Промышленные коммутаторы:CiscoIE1000с защищенными портамиTACACS(Опция)

Контроллервотказоустойчивой конфигурации(может быть виртуальным).

Управление и контроль:CiscoISE(Опция)

Безопасность периметра:Firepower+Duo(Опция)

Продукты:

Cisco:МаршрутизаторCisco ISE(Опция),МСЭFirepower+Duo,КонтроллерточекдоступаWiFiC9800-40-K9,точкидоступаCisco Aironet 9117 Out-Door.

Huawei:USG6320,КонтроллерHuawei AC6508,точкидоступаAirEngine6760X1

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа518 Series,управлениеAruba Central

Умный ритейл. Wi-Fi в магазинах и ТРЦ

Wi-Fiв ритейле использует службы склада, создает гостевой доступдля посетителейи служит для маркетинговых исследований иуведомлений.Wi-Fiмаркетинг, наверное, единственное применение технологии, которое может приносить прямую прибыль компании. ФактическиWi-Fiвмагазинеили в офисе продаж являетсяобразующейтехнологией.Склад магазина использует терминалы сбора данных, они беспроводные.

Сеть магазинов

Кейс: сетьпродуктовыхмагазиновне имеет беспроводной сети в каждой точке продаж. Проблемы недочета товарапривели к модернизации системы склада ивнедрению терминалов сбора данных (ТСД). Каждый ТСД требует подключения к беспроводной сети,значитв каждой точке продаж должен быть местныйWi-Fi.

Решение:организация беспроводной сети в точке продаж-задачане сложная.Сложности начинаютсяворганизациимагазиновв единую сетьи управление беспроводной сетью изцентрального офиса.Для построения таких сетей используютсявиртуальные контроллеры.Контроллеры размещаются на виртуальных машинах и используют мощности, которые ей выделены. Обслуживание виртуального контроллера не требует присутствия администратора в серверной. Администратор может управлять оборудованием хоть у себя дома.

Может выглядеть такМожет выглядеть так

Технологии и средства

Виртуальный контроллер

WLC(Опция)

(WirelessLocalController)может контролировать разветвленные сети, вроде той, что в кейсе. Основныепроблемыв управлении такими сетями:

  • нехватка информации о магазине(качество покрытия,загруженность устройств, безопасность в сетях, время на устранение ошибок и их кол-во)

  • Отдельные дорогостоящие специалисты на конечныхточках (магазины, офисы ит.п.)

  • Увеличение человеко-часов на обслуживание инфраструктуры как в магазине, так и в центральном офисе

WLC управляет всеми точкамидоступаизцентра управления. Центр управления это веб-интерфейсы, или CLI с которого администратор управляет параметрами каждой подключенной точки.

DNA(Опция)

DNAуправляет всеми сетевыми устройствами, чего не может сделать WLC. Этовиртуальные маршрутизаторы, коммутаторы, межсетевые экраны,контроллеры точек доступа и сами точки доступа.

Вот как выглядит пункт управления DNAВот как выглядит пункт управления DNA

Обычно DNA внедряется как подспорье раздутомуштатуинженеров.Однако внедрение DNA- дорогостоящий процесс.

Система по своим характеристиками и цене подходит среднему иEnterpriseбизнесу.

Продукты:

Cisco:МСЭFirepower 2100,контроллерКонтроллерWiFiC9800-40-K9(может быть виртуальным),точкидоступаCatalyst 9113, DNA(возможно).

Huawei:МСЭUSG 6320,КонтроллерHuawei AC6508,точкидоступаAirEngine8760-X1

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа515 Series,управлениеAruba Central

МаркетингТРЦ

Кейс: Маркетинговый отдел торгового центра Юпитер сообщил о снижении спроса на продукцию. Маркетологи сошлись во мнении, что посетители хотят более индивидуального подхода. Было принято решение внедрить систему умногоWi-Fiивидеоаналитики.

WI-Fiзона в ТРЦWI-Fiзона в ТРЦ

Решение:

Технологии трекинга на территории магазина появились4-5лет назад.Последние 2 года маркетинг активно внедрял эти технологии. И сейчас Вы наблюдаете их у себя в уведомлениях на телефоне.

Эта связка дает информацию:

  • о поле

  • возрасте

  • предпочтениях

  • семейном положении

  • покупательской способности

В умелых руках эти инструменты продают посетителю те товары, которые, возможно, хочет купить покупатель.

Пример: В середине зимы вы пришли в торговый центр, в котором уже были раньше. После 10 мин прогулки в таком центре, на телефон приходитpush-уведомление магазина N с предложением купить пальто по скидке. Система предложила пальто, по нескольким причинам.

1.Скоро будет весна

2. Вы уже покупали в магазине N одежду

3. Вы даже примеряли пальто в магазинах конкурентов.

Точки доступа поддерживаютBluetoothТочки доступа поддерживаютBluetooth

Каждаякрупицаинформации- процентквероятности покупки. Как только количество информации наберет критическую массу произойдет продажа.

Точность предложения, зависит от количества информации о покупателе. Никто не любит, когда "впаривают" ненужный товар. Системы аналитики на базеwi-fiсделают предложение точнее.

Продукты:

Cisco:МСЭFirepower 2100,контроллерКонтроллерWiFiC9800-40-K9(может быть виртуальным),точкидоступаCatalyst 9130,DNA(Опция), Duo(Опция).

Huawei:МСЭUSG6320,КонтроллерHuawei AC6508,точкидоступаAirEngine8760-X1

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа530Series,управлениеAruba Central

Wi-Fi в отеле, ресторане, кафе (HoReCa)

В гостиничном и ресторанном бизнесе беспроводная связь является правилом хорошего тона. Вы можете работать вкомандировке, Вы показываете презентации на переговорах в кафе или ресторане.

По факту,внедрение передовых технологий вотель- имиджевый вопрос.ХорошееWi-Fiсоединение воспринимается пользователями как стандарт, а не как дополнительное удобство.

Типовой дизайн(на примере гостиницы):

Для гостиниц характерна разветвленная сетьwi-fiточек. Так как каждый номер должен быть покрытWi-Fiсигналом, сетьпотребность в большом количестве точек.На территории отеля нет посторонних точек, значит нет конфликтамежду сигналами,интерференциии пр. Есть только большое количество перекрытий и стен.

Типовой дизайн этажа гостиницыТиповой дизайн этажа гостиницы

Технологиии сферы применения:

ГостеваяWi-Fiсеть отеля

Гостевой беспроводной сети уделяют особое внимание. Гости приезжают на командировку, по работе, или в качестве фрилансеров. Оставлять их без качественнойWi-Fiсети- удар по репутации. Вряд ли они вернутся при следующей поездке или порекомендуют отель друзьям, если сеть будет прерываться и мешать работе.

BeamForming

Поможет преодолеть стены между номерами.BeamFormingусиливает слабый сигнал, в частности, для преодоления стен.Следовательно, чтобы покрыть всю площадь сигналом, потребуется меньше точек доступа.

BSSColoring

В зонах, где конечные устройства находятся между точками доступа,антенна конечного устройства может подключаться то к одной, то к другой антенне. Из-за этого сигнал будет прерываться.

IOTи умное управление отелем(Опция)

В отель можно внедрить все то же самое что и в умный дом.Но в отеле есть котельные, электрощитовые, системы управления отелем и пр.IOTустройства и беспроводная сеть поможет управлять всеми основными системамииз единого центра.

Управление:

  • освещением, влажностью,отоплением

  • датчики движения

  • сетью, розетками

  • электронными дверьмии окнами

  • IOT-техника (умные пылесосы, колонки, телевизоры ит.п.)

Таким образом обслуживание зданием можно управлять из дома. Это ведет к снижению затрат на инфраструктуру.

Авторизация пользователейи гостевой портал

В последнее время стали популярны гостевые порталы. На гостевом портале пользователь может заказать еду в номер, подключить каналы на ТВ и забронировать время на лечебные процедуры.Пользователи заходятна портал повнутреннейсетигостиницы, без подключения к интернету.

Есть далеко не во всех отеляхЕсть далеко не во всех отелях

Пример использования:

Отель 5Season7-х этажноездание. В здание проведен10-гигабитный интернет, но ссамого начала модернизации, постояльцы жаловались на плохойWi-Fi.В конечном счете,руководство приняло решение модернизировать беспроводную сеть отеля.Тем более, что появились технологии умного управления отелем.Это внедрение повысит статус отеля среди конкурентов.

Кол-во номеров: 110шт.

Кол-воIOTустройств-2000 единиц

Решения кейса

На уровеньдоступаустанавливаются2коммутатора-Catalyst9400встэке.

На уровне доступана каждый этаж устанавливается коммутаторыCatalyst9300.Точки доступа-CiscoAironet9120сфункциейCleanAir.

Контроллер9000в отказоустойчивой конфигурации(может быть виртуальным).

Управление и контроль:CiscoISE

Безопасность периметра:Firepower2100.

Продукты:

Cisco:МСЭFirepower2100,контроллерКонтроллерWiFiC9800-40-K9,точкидоступаCatalyst9120,DNA(Опция),ISE,Duo(Опция).

Huawei:МСЭUSG6320,КонтроллерHuawei AC6508,точкидоступаAirEngine8760-X1

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа550Series,управлениеAruba Central

Финансовый сектор

Под эту категорию попадают банки, компании-брокеры,финтехстартапы. Поотчетув IV квартале2020гогода совершено 29 преступлений в финансовом секторе. Главные объекты атаки- сетевое оборудование (26 из 29 атак).

Банковский залБанковский зал

Чтобы обезопасить компанию от хакеров, стоимость взлома должен бытьвысокой. Чем больше времени, денег, человеческих ресурсов потратит хакер, тем вероятнее, что взлом не случится.Без сомнения,это самый эффективным способ защиты.

В 95% банках установленwi-fi, но только 23% используютдополнительныесредства безопасности. Дополнительные средства безопасности это- песочницы, многофакторная аутентификация, анализ поведения пользователей, мониторинг сетевой активности. Каждый из перечисленных пунктов делает дорожеценувзлома.

Дизайн сети

Сетевая топология- тоже способ построить безопасность.Не будем заострять внимание на высоте монтажа точек.

Существуют требования к дизайну сети:

  • Выделение специальных зон для гостевого доступа

  • Разные права доступа гостевого и офисного доступа

  • Подавление сигнала за пределами зон

Для безопасности сети на каждом узле должна быть своя защита. На уровнекоммутатора- политика управления портами, на уровне контроллера- построение политики подключения, на уровне файрволла- аналитика поведения пользователей и аутентификация.

Так выглядит подключенные IT-продукты в банковской сфере 2019 годаТак выглядит подключенные IT-продукты в банковской сфере 2019 года

Более подробно о средствахзащиты

Песочницы

Термин не совсем правильный в рамкахWi-Fi, но раскрывающий суть. В сети создается промежуточная зона, сSSL(или другой) сертификацией.Любойвредоносповредит только виртуальную машину, на которой размещены ПО и данные.Оригиналы же будут не тронуты.

(Более подробныйответесть уKaspersky)

Шифрование потоков данных/Мониторингзашифрованного трафика злоумышленник может перехватить данные вwi-fi.Это может быть инсайдерская информация или имена доверенных лиц, которые он потом использует. Чтобы не допустить утечки, данные должны шифроваться.Шифрование происходит на уровне точек доступа и контроллера. Никакого дополнительного ПО не нужно.

Многофакторная аутентификацияИЛИ авторизация- распространенный способ защиты сетей. Простой принцип действия- любой, кто заходит в сеть, подтверждает личность генерируемым паролем, письмом илибиометрией. Способов идентификации много.

Аналитика поведения пользователей

Системы анализа пользователей в сети, пока чтоbest-practiceв мире сетевой безопасности. Сложность обмана такой системы стоит дорогов расчете денег и человеческих ресурсов.

Принцип действия систем поведенческой аналитики-

Создается образ посетителя сети, который наделяется определенными параметрами (их очень много).

  • Частота (ГГц)

  • Фреймы

  • Количество

  • Используемые приложения

  • Базовая скорость

  • Скачки триангуляции

  • И многое, многое другое (см. документацию)

Стандартный посетитель сети находится в допустимых пределах. Как только пределы нарушены, системаищет паттерны злоумышленникаили вредоносного ПО. В случае совпадения пользователь блокируется.

Продукты:

Cisco:МСЭFirepower2100,контроллерКонтроллерWiFiC9800-40-K9(может быть виртуальным),точкидоступаCatalyst9120,DNA,ISE(Опция),Duo,WirelessIPS(Fortigate)илиCyberThreatDefense,CiscoDNA(Опция),CiscoUmbrella(Опция),ESA/WSA(Опция),SecureX(Опция).

Huawei:МСЭUSG6320, КонтроллерHuaweiAC6508,точкидоступаAirEngine8760-X1

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа550Series,управлениеAruba Central

Wi-Fi на складе

Типовой сценарий:

Высокие стеллажи спаллетамитовара, высокие потолки, высокое содержание пылии влажности делают распространения сигнала сложным и неравномерным. Зимой неотапливаемые склады страдают от влажности и низких температур.

К складскойWi-Fiсети подключаются терминалы сбора данных, сканеры штрихкодов и ноутбуки.Каждый терминал или ноутбук обращаются к базам данных и бизнес-приложениям.

Как видно из примера условия беспроводной сети на складе можно считать сложными, если не агрессивными.

Классическая картина на складеКлассическая картина на складе

Проблема решается комплексно

Защита от помех и высокоскоростные точки доступа.

У вендоров уже появились точки доступа с защитой от помех.Например,уCiscoэтоCleanAir.Технологиянаходит источник(и) помех и перенастраивает сеть для лучшего сигнала.

Управление политиками доступа.

У ТОП производителей точек доступа есть контроллеры с дополнительным ПО, для управления.Платформы управления могут автоматически управлять и балансировать точки доступа.

Правильное расположение точек доступа.

Даже6йстандарт не обойдет стеллаж толщиной в 3 метра. Только правильное расположение точек доступа покроет сигналом весь склад.

Чтобыузнатьгде сигнал ловит хуже, нуженпредиктивныйанализ. Есть несколько способов исполненияпредиктива.

Первыйспособ- без выхода на местность.

В специальной программе строят план помещения, указывают материалы перекрытия, высоту потолков и другие подробности.На план наносят точки доступа, и программа обсчитывает распространение сигнала. Если покрытие сигналом устраивает- точки устанавливаются в реальности.

Второй способ-с выходом на местность.

На территории предприятия устанавливаются тестовые точки доступа. Далее инженер ходит сWi-Fiантеннойпо территории склада и проверяет уровень сигнала. Преимущество метода в высокой точности, так как покрытие проверяется на практике.

Так выглядит планпредиктиваТак выглядит планпредиктива

Пример использования:

Складское помещениенуждается в бесперебойномwi-fi.Работа на территорииведется в 3 смены. Стоимость простоя: 150k$/сутки.

Одноэтажное здание

Площадь: 25 000 м2

Кол-во ТСД: 25шт.

Кол-во ноутбуков 20 шт.

Решения кейса

На уровеньдоступаустанавливается коммутатор доступа-Catalyst9400.

На уровне доступа-Catalyst9200.Точки доступа-CiscoAironet9117с внешнимиантеннами.

КонтроллерWiFiC9800-40-K9(может быть виртуальным)в отказоустойчивой конфигурации.

Управление и контроль:CiscoISE(Опция)

Безопасность периметра:МСЭFirepower2100.

Так может выглядеть инфраструктура на складеТак может выглядеть инфраструктура на складе

Продукты:

Cisco:МСЭFirepower1100,контроллерКонтроллерWiFiC9800-40-K9,точкидоступаAironet1560,ISE,Duo,CiscoDNA.

Huawei:МСЭUSG6320, КонтроллерHuaweiAC6508,точкидоступаAirEngine6760-X1E

Aruba:КонтроллерMobility Conductor Hardware Appliance,точкидоступа513Series,управлениеAruba Central

Калькулятор есть в статье в блоге

В этомкалькуляторе подобраныминимальные позициипо которым, можно примерно понятьот какой цены начинается внедрение WI-Fi.

Заключение

В этих двух статьях я постарался широкими мазкамиописатькак и куда внедряетсяWi-Fi.

Статья не освещает каждую сферу глубокои не стоит читать ее как руководство.Чтобыподобратьрешения под конкретный случай пишите нам наzakaz@olly.ru

Подробнее..

ATEN и Zyxel вместе это больше, чем каждый сам по себе

26.01.2021 12:18:23 | Автор: admin


Инженеры из российских представительств ATEN и Zyxel протестировали новые решения для AVoverIP. О том, как всё происходило, о самой технологии, а также средствах применения и пойдёт речь в этой статье.


Для чего передавать видеосигнал по локальной сети и кому это нужно


Первоначально для передачи видео использовалось аналоговое оборудование. Наверное, в некоторых домах до сих пор по этой же технологии работает местное кабельное телевидение. К счастью славная эра коаксиального кабеля, а также аналоговых разветвителей, повторителей подходит к концу.


С переходом на цифровой формат, как это обычно бывает, одни проблемы ушли, другие появились. Постепенный отказ от коаксиального кабеля с его специфическими проблемами: помехами, особенностями прокладки и подключения это несомненный шаг вперёд. Но, тем не менее, разработчики современных систем передачи видео постоянно ищут новые возможности.


Взять хотя бы HDMI. Казалось бы, готовая отработанная технология, бери и пользуйся. И получаем невысокую дальность, критичность к качеству кабеля (в первую очередь к его цене). Существуют возможности удлинить участок передачи сигнала по HDMI, есть специальные повторители, разветвители один-ко-многим но всё это упирается в серьёзные технологические трудности и стоит очень немалых денег. Проще говоря, на большие расстояния видеосигнал передавать будет не так уж и легко.


Следующим шагом явились специализированные стандарты, использующие более простые носители для передачи сигнала. Например, HDBaseT позволяет использовать классическую витую пару (категории 5E и выше). Это значительный шаг вперёд, потому что цена кабеля (витой пары), а также разъёмов, патчпанелей значительно ниже по сравнению с аналогичным предложением на базе HDMI. И самое главное новые стандарты позволяют передавать видеоинформацию на более внушительные расстояния (до 100м для HDBaseT). Данные технологии до сих пор используются на участках, где крайне критично распространение высококачественного сигнала без задержек, например, видео 4K c цифровой субдискретизацией 4:4:4.


AVoverIP


Описанные выше удлинители видео по Сat.5E и Сat.6 работают по своим технологиям конвертации сигнала. Например, стандарт HDBaseT несовместим с обычными коммутаторами, хотя это цифровой стандарт и среда передачи та же витая пара.


С одной стороны, вроде даже и хорошо: политика изоляции решает часть проблем, например, нет конкуренции за аппаратные ресурсы. Однако это требует дополнительных затрат, в первую очередь финансовых. И всегда может возникнуть ситуация, когда по какой-то причине нельзя создать дополнительную отдельную сеть исключительно для видео. Поэтому попытки использовать обычную компьютерную сеть передачи данных для трансляции видеосигнала предпринимались с самого начала её появления.


AVoverIP как раз и есть концепция передачи аудио-видео сигналов в стандартной сети. Какие выгоды она даёт?


  • Упрощается передача видеоконтента благодаря отсутствию дополнительных элементов, удешевляется построение системы, упрощается обслуживание.
  • Интеграция с существующими ИТ системами означает не только возможность использовать то же оборудование, но и уже существующие системы для контроля и управления сетью.
  • Не нужно дополнительно тратить деньги на дорогостоящее обучение специалистов ProAV.
  • Упрощаются вопросы проектирования, модернизации, логистики и так далее.

Но самый важный момент масштабирование системы в будущем. Традиционную IP LAN развивать гораздо проще, чем специализированную сеть ProAV. Это касается как локальной инфраструктуры, так и передачи данных на большие расстояния.


Если AVoverIP это так просто, зачем ещё что-то тестировать?


У AVoverIP, как у любой технологии, есть свои специфичные особенности. Например, высокие накладные расходы при инкапсуляции-деинкапсуляции видеотрафика для передачи по обычной LAN. Проще говоря, видеосигнал сначала необходимо преобразовать в IP трафик, далее в Ethernet-кадры и в таком виде передавать через коммутаторы, а на принимающем устройстве выполнить обратное преобразование. Разумеется, все это требует дополнительных системных ресурсов. Поэтому возможны задержки как при преобразовании, так и при передаче трафика по локальной компьютерной сети. Такая вот плата за универсальность.


Ключевым моментом при использовании технологии AVoverIP является способ передачи, то есть multicast. Это по сути определяет наличие дополнительных требований к коммутатору и его настройке.


Видео, особенно 4К, создаёт большой поток multicast-трафика, и при неправильном управлении, AV устройства (как, впрочем, и другие) в такой сети могут работать некорректно.


Для адаптации к передаче по сети порой приходится идти на маленькие хитрости вроде смены субдискретизации цвета с 4:4:4 на 4:2:0. Также иногда приходится мириться с крайне малыми задержками по сравнению с прямым видеовыводом (\~0.1 сек.).


Multicast и IGMP


Как было сказано выше, одним из главных условий для использования того или иного сетевого оборудования для AVoverIP является передача multicast трафика и поддержка соответствующих возможностей управления.


Для решения подобных задач был придуман IGMP (Internet Group Management Protocol) протокол управления групповой (multicast) передачей данных в IP сетях. Применяется для работы с сетевым оборудованием и конечными сетевыми клиентами для организации участников сетевого обмена в группы.


Существуют три версии протокола IGMP:


  1. IGMP v1, описан в RFC1112;
  2. IGMP v2, описан в RFC2236;
  3. IGMP v3, описан в RFC3376 .

IGMP применяется в целях упрощения динамической регистрации отдельных узлов LAN в multicast-группе. Клиенты сети определяют участие в группе, посылая соответствующие IGMP-сообщения. В свою очередь сетевое оборудование, использующее IGMP, получает IGMP-сообщения и периодически посылает запросы, чтобы определить какие группы активны или неактивны в данной сети.


Рекомендация. IGMP уязвим к специализированным атакам, поэтому функции по его поддержке лучше отключать на тот период, когда они не нужны. Многие сетевые устройства позволяют деактивировать те или иные функции по поддержке IGMP.


Участие Zyxel в построении сетей AVoverIP


Видео это замечательно, но при чём здесь Zyxel? воскликнет нетерпеливый читатель.


Напомним, что Zyxel Networks заключила партнёрское соглашение с лидером индустрии AV компанией ATEN для развития решений в секторе информационных технологий передачи аудио/видео. Это позволит улучшить совместимость и повысить надёжность систем видеопередачи, в первую очередь AVoverIP.


28сентября 2020 года компания Zyxel Networks объявила о новой функции для своих коммутаторов Networked AV, разработанной совместно с компанией ATEN, благодаря которой стало легче проводить внедрение AV-систем. Мы уже упоминали об этом в статье Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?


Для улучшения поддержки различных сетевых приложений в специализированном режиме Networked AV используется специальный мастер настройки. Эта часть общего ПО коммутаторов специально разработана для удобного доступа к функциям, чаще всего применяемым при конфигурировании сетей, по которым в потоковом режиме передаётся аудио/видео. Для отображения основных параметров используется новая консоль Networked AV Dashboard. Благодаря новым функциям сетевые администраторы могут сразу определить текущее состояние сети и легко настроить нужный коммутатор. В списке параметров для контроля: сведения о портах, системная информация, энергопотребление.


Лучше один раз увидеть


Разумеется, любая система показывает свои качества: как лучшие, так и худшие именно во время практического использования.


Представители компаний Zyxel и ATEN провели совместное тестирование, чтобы определить взаимную совместимость оборудования и показать, как выглядит на практике использование таких гибридных решений.


Испытания проводились на тестовой площадке российского представительства компании ATEN.


Цель тестирования


Наглядно показать, что AVoverIP является профессиональным решением для удлинения\коммутации сигнала. При соблюдении должных условий эксплуатации результат будет на уровне или близко к уровню уже использующихся решений в этой области. (Разумеется, с учётом некоторых ограничения, как, например, субдискретизация цвета и задержки по сравнению с прямым видеовыводом.)


Также интересен момент централизованного управления всеми устройствами и возможности создания видео-стен и коммутации сигналов, используя только удлинители (приёмник и передатчик AVoverIP).


Фактически проводилось два эксперимента:


  1. Тесты при участии оборудования для трансляции видео (VE) передатчики и приёмники 4K HDMI-сигнала по IP-подключению с поддержкой PoE.
  2. Тесты при участии HDMI KVM-удлинителей (KE) с доступом по IP и поддержкой 4K.

Почему потребовалось два теста? Потому что передача видео это многопрофильная область, требующая целого спектра различных технологий. Окружающая нас реальность сложна и удивительна, и попытки её записать на видеоустройство, и чтобы потом передать по проводу требуют целого спектра различных технологий.


Возьмём к примеру такую вещь как видеотрансляции. Спортивные мероприятия, выступления знаменитостей, конференции глав государств Что это на самом деле? В первую очередь это передача один-ко-многим. И эти картинки бывают очень динамичные, напряжённые, в которых важен каждый момент.


Чтобы передать такое видеоизображение на большие расстояния нужны технологии которые создавались для дальней связи


Представьте себе проведение чемпионата мира или церемонию вручение Оскара. Зрители, смотрящие на экраны, не заметят задержку в несколько секунд, но никогда не простят рассыпавшейся картинки во время решающего момента или чёрного экрана в момент смены изображения на видео-стене. Небольшие потери качества, например, смена дискретизации цвета с 4:4:4 на 4:2:0 тоже особенной роли не сыграет. А вот различимые артефакты изрядно попортят нервы зрителям.


Именно для таких целей предназначены оборудования серии VE передатчики и приёмники 4K HDMI-сигнала по IP сетям. Такие устройства трудятся не только на развлекательном поприще, а решают вполне серьёзные задачи вроде создания интерактивных диспетчерских, координационных центров везде, где требуется передать динамичную картинку.


Но если нам понадобится передавать высококачественное статичное изображение? Например, чтобы посмотреть чертёж в CAD, детализированную фотосъёмку и так далее? Разумеется, для таких задач понадобятся другие устройства. Вот как раз HDMI KVM-удлинители (KE) с поддержкой 4K для таких задач и предназначены. Ниже описаны тесты сначала для устройств VE, а после (в следующей статье) для KE (IP KVM).


Тестирование систем VE


Используемое оборудование


В сетевого оборудования передачи данных Zyxel GS2220-28HP


Сетевые кабели патчкорды Cat. 5.E



Рисунок 1. 28-портовый гигабитный коммутатор L2 Zyxel GS2220-28HP.


Передатчик сигнала ATEN VE8952T



Рисунок 2. Передатчик 4K HDMI сигнала по IP подключению с поддержкой PoE VE8952T.


Приёмник сигнала ATEN VE8952R



Рисунок 3. Приемник 4K HDMI сигнала по IP подключению с поддержкой PoE VE8952R.


Для визуального наблюдения использовалась видео-стена из 4х мониторов LG 49UH5C-BF


Собранный стенд представлен на рисунке 4. Слева расположены источники сигнала VE8952T, справа приёмники VE8952R.


Так как мониторов всего четыре, то левый нижний монитор на этапе 1 подключался к источнику видеосигнала, а на этапе 2 к четвёртому приёмнику сигнала.



Рисунок 4. Стенд в сборе для тестирования систем VE (мониторы не показаны). Подключён коммутатор GS2220-28HP.


В качестве источника ПК с видеосигналом 3840x2160@30 Гц


Программа тестирования


Что требовалось проверить и проанализировать:


  1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP.
  2. Насколько синхронно работают все 4 IP приёмника от одного IP передатчика.
  3. Подрыв и скорость переключения.
  4. Загрузки канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.
  5. Что будет, если подключить в коммутатор стороннее сетевое устройство, допустим, FastEthernet (100Mb/s).
  6. Сравнение качество картинки в динамике и проверочная таблица.
  7. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.
  8. Какие настроить коммутаторы, и когда нужен VLAN.

Полученные результаты для устройств VE


1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP задержка видна по секундомеру, около 60-80 мс в среднем.



Рисунок 5. VE задержка относительно источника. Нижний левый монитор подключён к источнику.


Как уже было сказано, на практике такие задержки заметить очень трудно, зато передаваемая картинка выглядит практически без искажений.


В живом формате это можно увидеть на видео:


задержка видеосигнала относительно оригинала при передаче по IP

2. Насколько синхронно 4xIP приёмника транслируют видео от одного IP передатчика устройства работают синхронно, расхождения проходят в несколько сотых долей секунды.


Рисунок 6. VE 4xIP приёмника транслируют видео от одного IP передатчика совершенно синхронно. Нижний левый монитор подключён к 4му приёмнику.


В этом можно убедиться на видео:


Насколько синхронно четыре IP приёмника транслируют видео от одного IP передатчика


3. Подрыв и скорость переключения подрыв небольшой, укладывающийся в доли секунды, как и переключение.


И по уже сформировавшейся традиции ниже приводим подтверждающее видео:


тест на синхронность

VE скорость переключения

4. Загрузки канала около 50% в пике, и около 10% в статике.



Рисунок 7. Загрузка канала в статике около 10%.



Рисунок 8. Загрузка канала на пике около 50%.


5. Что будет, если подключить в коммутатор стороннее сетевое устройство при подключении стороннего сетевого устройства Fast Ethernet эффекта развала изображения и фактического переполнения канала добиться не удалось.


Рекомендация. На практике некоторые устройства Fast Ethernet (чаще всего это дешёвое или устаревшее оборудование) с поддержкой multicast имеют свойство засорять сеть, в результате видео транслируется покадрово. Необходимо избегать подобных ситуаций ещё на этапе проектирования. Как минимум, держать устройства для приёма и передачи видеосигнала в отдельном VLAN.


6. Сравнение качество картинки в динамике и проверочная таблица. Картинки в динамике тестировались на переключение и синхронность. В сравнении с оригиналом видна задержка относительно источника. Проверочные таблицы крупным и мелким планом показывают потери линий или цветов и размытость текста (VE8952 выводит картинку с цветовой субдискретизацией 4:2:0).



Рисунок 9. Проверочные таблицы: слева и справа разные устройства. Слева оригинал, справа изображение, переданное через VE8952.


6. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.


7. Какие настроить коммутаторы, и когда нужен VLAN.


Мы планировали ответить на вопросы 6 и 7 уже после всех тестов, включая модели КЕ. Забегая вперёд, хочется отметить хороший результат при использовании коммутаторов Zyxel.


А новый модуль от Networked AV пришёлся весьма кстати и сильно облегчил настройку.


Продолжение о тестировании устройств КЕ и общие итоги тестирования в следующей статье.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованиюZyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  5. Коммутаторы Zyxel L2+ серии XGS2210
  6. Коммутаторы Zyxel L2 серии GS2220
  7. Коммутаторы Zyxel L2 серии XS3800-28
  8. Цветовая субдискретизация понятным языком немного отдаём, чтобы много выиграть
  9. Теория IGMP
  10. Передатчик 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952T
  11. Приёмник 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952R
  12. Оригинальный текст RFC1112
  13. Оригинальный текст RFC2236
  14. Оригинальный текст RFC3376
  15. Why ATEN\'s Video over IP Solution?

Ссылки Youtube на видеоматериалы, которые упоминаются в статье:


Подробнее..

ATEN и Zyxel вместе это больше, чем каждый сам по себе (продолжение)

27.01.2021 12:10:40 | Автор: admin


Ранее мы писали о тестировании совместных разработок для AVoverIP от ATEN и Zyxel. В этой статье мы продолжим разговор и представим результаты проверки устройств IP KVM-удлинителя 4K от компании ATEN с передачей видео-трафика по LAN коммутаторам Zyxel с поддержкой технологии Networked AV.


Кратко о чём шла речь в предыдущей главе.


Передача видео по IP-сетям давно перестала быть чем-то из ряда вон выходящим. У решений из сегмента AV-overIP много преимуществ. В первую очередь они позволяют избавиться от ограничений по длине кабеля.


Есть ещё одно немаловажное важное правило, работающее в случае применения традиционного видеооборудования ProAV: Чем больше потребителей, тем здоровее ящик, и тем больше проводов из него выходит, но AV-overIP лишены этих недостатков.


Для передачи трафика AV-overIP можно использовать обычное сетевое оборудование. В принципе можно взять любой управляемый коммутатор, поддерживающий multicast, IGMP, QoS и так далее, а потом потратить сколько-то там человеко-часов на его настройку. И так каждый раз, когда нужно передать или размножить видеосигнал.


Для упрощения этих действий ATEN и Zyxel подготовили совместное решение, значительно облегчающее жизнь сетевым администраторам и видеоинженерам Networked AV.


Но есть и другие особенности, например, высокие накладные расходы на кодирование видеотрафика в процессе передаче его по обычной компьютерной сети. Поэтому увидеть процесс вживую это всегда полезно.


Забегая вперед, скажем, что набор: видео-оборудование от ATEN совместно с коммутаторами Zyxel показали себя очень хорошо. Но лучше описать всё по порядку.


В предыдущей главе были описаны более традиционные устройства (серия VE), используемые для трансляции динамических видеоизображений, например, спортивных матчей, записей выступлений, создания видео-стен и так далее.
Обо всём об этом и шла речь в первой части ATEN и Zyxel: вместе это больше, чем каждый сам по себе


Сейчас мы поговорим о довольно своеобразном типе устройств, которое тоже используется для передачи изображений по IP сетям серии KE, это IP KVM-удлинители способные передавать видео до 4K при 30Hz.


Тестирование систем КE


Отличия систем KE IP KVM с поддержкой разрешения до 4K от системы трансляции HDMI видео по IP (VE)


Изначально IP KVM предназначались для удалённого управления серверами и рабочими станциями. Возрастающие требования к качеству изображения и необходимость консолидации вычислительных ресурсов привели к тому, что для определённых ситуация стала актуальной передача видео сигнала как есть с максимально высоким качеством и в составе большой, управляемой сети таких же устройств (например, любой центр управления или диспетчерская).


Концептуально, такая сеть из устройств (также используется термин матрица) предназначена для других целей, нежели чем VE. Если сравнивать особенности применения: передача контрольных видео-изображений промышленных объектов носит более статичный характер, чем трансляция футбольного матча. Следовательно, передающее оборудование должно быть устроено иначе.


Ниже перечислены особенности IP KVM-удлинителей 4K и специфические требования к ним.


  1. Система на базе KE позволяет создавать неограниченную матрицу, состоящую из рабочих мест операторов (до 4 мониторов с разрешением до 4К в 4:4:4), и управляемых устройств, а также видео-стен (и всё это в одной сети), между которыми могут работать операторы.
  2. Благодаря системам КЕ операторы могут работать с клавиатурой, мышью на удалённых серверах и стенах, пробрасывать сигнал USB (USB-накопитель, принтер и так далее), пробрасывать и получать сигнал последовательного интерфейса и аудио.
  3. Дополнительно для работы операторов с разным уровнем доступа, можно реализовать принудительную аутентификацию, управлять пробросом интерфейсов и другие полезные функции, знакомые нам в ИТ, но нетипичные для систем передачи видео.

Несмотря на специфическое название: IP KVM-удлинители, эти устройства могут работать не только в режиме: клиент-сервер. Поскольку это KVM-решение, они могут функционировать во всех типичных для KVM-устройств режимах: один-к-одному (точка-точка), много-к-одному (один оператор много серверов), режим совместной работы один-ко-многим. То есть трансляцию сигнала от передатчика (сервера) к нескольким приемникам (операторам), и управляющих сигналов клавитуры и мыши от операторов к передатчику, подключенному к серверу.


При этом возможно активировать режим разграничений уровней доступа для операторов. То есть возможна совместная работа с одинаковым уровнем доступа (операторы будут мешать друг другу в процессе работы), режим Эксклюзивного пользователя единоличный доступ к серверу (все остальные сигналы от других операторов перестают приниматься), режим просмотра для оператора (это уже фактически мультивещание в стиле VE) и многое другое.


Нюансы, которые было интересно проверить в данном тестировании:


  • передача 4К в полном цвете 4:4:4 с использованием технологий сжатия без потерь по витой паре это особенно важно для отображения статической информации (таблицы с цифрами, графики и т.д.);
  • оба режима предварительных настроек отображения текст и видео, для них используются разные алгоритмы компрессии без потерь;
  • более быстрое переключение источников при использовании функции Fast Switching (основное предназначение которой оптимизация системы с парком разномастных мониторов и, как, следствие различными разрешениями экранов).

Для устройств KE с разрешением FullHD, основанными на подключении DVI, изначально всё более или менее понятно в гигабитный поток, передаваемый сетевым коммутатором, даже 2 сигнала DVI + USB 2.0 помещаются без особых проблем. Гораздо интереснее проверить передачу видео 4К через HDMI (DisplayPort) на новом поколении этих устройств.


На практике, если для проброса видео такого качества не хватает мощности сетевого оборудования приходится использовать сжатие, то есть понижать качество картинки в обмен на высвобождение сетевых ресурсов. (ATEN, как вендор, предусмотрел данный вариант можно использовать 5 степеней компрессии.) Разумеется, при использовании сжатия будут потери, на первый взгляд незаметные, но вполне различимые в некоторых фрагментах.


Другой вариант на самом устройстве принудительно выставить ограничение канала, например, 100Mb/s, в таком случае будет наблюдаться заметное снижение трафика через канал, что повлияет на качество выводимого контента.


При тестировании проверялись следующие ключевые моменты:


  • нагрузка на коммутатор при всех операциях;
  • работа multicast;
  • использование клавиатуры, мыши, USB;
  • поддержка звука.

Используемое оборудование


В роли HDMI IP KVM с доступом по IP и поддержкой 4K использовалась модель ATEN KE8950. Штатный режим работы этих устройств позволяет передавать изображение до 3840x2160@30 Гц.



Рисунок 1. Набор HDMI KVM-удлинителя с доступом по IP ATEN KE8950 (серверная и клиентская часть).


В качестве сетевого оборудования передачи данных выступил всё тот же Zyxel GS2220-28HP, уже знакомый нам по первой части.


Сетевые кабели патчкорды Cat. 5.E



Рисунок 2. Коммутатор Zyxel GS2220-28HP.


Итоговый вариант стенда показан на рисунке 13. Слева расположены передатчики (серверная часть KVM), справа приёмники (клиентская часть).



Рисунок 3. Стенд в сборе для тестирования систем VE (мониторы не показаны). Подключён коммутатор Zyxel GS2220-28HP.


Для контроля видео использовались настольные мониторы Samsung (см. рисунок 4).


Программа тестирования


Что требовалось проверить и проанализировать (аналогично устройствам VE из первой части):


  1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP.
  2. Насколько синхронно работают все 4 IP приёмника от одного IP передатчика.
  3. Подрыв и скорость переключения.
  4. Загрузки канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.
  5. Что будет, если подключить в коммутатор стороннее сетевое устройство, допустим, FastEthernet (100Mb/s).
  6. Сравнение качество картинки в динамике и проверочная таблица.
  7. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.
  8. Как настроить коммутаторы, и когда нужен VLAN.

Полученные результаты для устройств KE


1. Задержка при передаче показала примерно одинаковый результат около 31мс.



Рисунок 4. Задержка при передаче графики для устройств ATEN KE8950.


Видео с задержкой можно посмотреть по ссылке на канале Youtube:


Видео с задержкой

2. Синхронность передачи в пределах ожидаемых значений.


Однако, как уже говорилось выше, серия КЕ служит в первую очередь для передачи статического трафика и этот показатель в данном случае не так интересен (в отличие от VE).


3. С подрывом и скорость переключения дело обстоит примерно так же, как и c VE значения лежат в пределах допустимых величин.


Видео скорость переключения также можно увидеть по ссылке на канале Youtube:


Видео скорость переключения

4. Загрузка канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.


Несмотря на то, что для передачи изображения максимального качества канал утилизируется по максимуму, и загрузка превышает 90%, коммутатор Gigabit Ethernet вполне справляется с такой задачей.


При ограничении используемой полосы со 100% до 10% (100Mbs/s вместо 1Gb/s) или при сжатии c с потерями нагрузка на коммутатор падает до ожидаемых значений около 10% и 50% соответственно. Это говорит о том, что система видеопередачи ведёт себя предсказуемо. Предсказуемость поведения важнейшее условие при реализации больших проектов. Ниже приводится информация о загрузке, полученная с непосредственно с коммутатора стенда Zyxel GS2220-28HP.


При добавлении в поток проброса USB сигнала, потоковая загрузка мало менялась выше 90%, на 1-2 %. В том числе при попытке проброситьUSBс флеш-накопителя. Причина невысокая скорость передачи USB 2.0 (в данном случае до 12Mb/s), что фактически составляет малую часть гигабитного канала.



Рисунок 5. Загрузка при передаче трафика в штатный режим работы 3840x2160 при 30 Гц без каких-либо ограничений (загрузка 93%).



Рисунок 6. Загрузка канала при сжатии с потерями (загрузка 57%).



Рисунок 7. Загрузка канала при сжатии с потерями (загрузка 57%).


5. Что будет, если подключить в коммутатор стороннее сетевое устройство?


Как и в случае с VE ничего ужасного не произошло. Стенд продолжил работать в штатном режиме, подключение лишних устройств не влияет на его работу. Однако настоятельно рекомендуется использовать VLAN для изоляции передачи видео от остальных видов трафика. Как говорится, бережёного бог бережёт.


6. Сравнение качество картинки в динамике и проверочная таблица.


Ниже мы приводим по 2 картинки: с текстом и с таблицами.


Как следует из примеров, разницы на них не видно, в этом главное отличие устройств KE (IP KVM) от VE. (Фотографии сделаны обычным фотоаппаратом, поэтому возможны некоторые искажения при фотосъёмке).



Рисунок 8. Картинка с текстом (оригинал).



Рисунок 9. Картинка с текстом при передаче через IP KVM ATEN KE8950.



Рисунок 10. Цветовая таблица (оригинал).



Рисунок 11. Цветовая таблица при передаче через IP KVM ATEN KE8950.


Пришло время ответить на общие вопросы нашего тестирования


7. Какие коммутаторы Zyxel подходят для тех или иных систем передачи видеонаблюдения?


Для простых случаев хватит коммутатора Zyxel GS2220.


Когда необходимо использовать каскадирование\стэкирование коммутаторов подойдёт Zyxel L2+ серии XGS2210 таким образом можно увеличить количество портов и обеспечить диверсификацию. Также эти модели коммутаторов имеют возможности для питания оборудования видеопередачи (VE или KE) через PoE.



Рисунок 12. Коммутатор Zyxel XGS2210.


Для больших инсталляций с топологиями звезда подойдёт коммутатор Zyxel XS3800-28 SFP+LAN 10Gb.



Рисунок 13. Коммутатор Zyxel XS3800-28 SFP+LAN 10Gb.


8. О функциях в коммутаторах Zyxel, добавленных в результате партнёрства с ATEN.


Последние доступные на сайте Zyxel прошивки включают режим Networked AV, облегчающий настройку оптимизации коммутаторов для передачи IPvideo трафика. В режиме Networked AV упрощено создание VLAN, присутствует Dashboard с информацией о загрузке портов со временем обновления от 1 до 60 секунд. Проще говоря, это такая кнопка Сделать Всё Хорошо, активизация которой облегчает жизнь при работе с AVoverIP.


Также во всех устройствах присутствует возможность создания VLAN для разделения трафика AVoverIP от любого другого, когда нет возможности использовать коммутатор исключительно для устройств VE.


Не только Networked AV


Ниже перечислены полезные сервисы, которые реализованы в вышеупомянутых коммутаторах и могут пригодиться при работе с AVoverIP:


L2 multicast


  • IGMP snooping (v1, v2, v3)
  • IGMP snooping fast leave
  • Configurable IGMP snooping timer and priority
  • IGMP snooping statistics
  • IGMP throttling
  • MVR support
  • IGMP filtering
  • IGMP snooping immediate leave
  • IGMP proxy mode & snooping mode selection
  • MLD snooping

Управление трафиком


  • 802.1Q Статические VLAN / Динамические VLAN: 1K/4K
  • Port-based VLAN
  • Protocol-based VLAN
  • IP subnet-based VLAN
  • MAC-based VLAN
  • Private VLAN
  • Voice VLAN
  • Vendor ID based VLAN
  • VLAN ingress filtering
  • GVRP
  • L2PT

Качество сервиса (QoS)


  • Storm control and event log: Broadcast, multicast, unknown unicast (DLF)
  • Port-based rate limiting (ingress/ egress)
  • Rate limiting per IP/TCP/UDP per port
  • Policy-based rate limiting
  • 802.3x flow control
  • 802.1p Class of Service (SPQ, WFQ, WRR, hybrid-SPQ combination capable)
  • DiffServ (DSCP)

Что в итоге?


Технология AVoverIP позволяет решить много задач: масштабируемость, передача на большие расстояния, использование существующей инфраструктуры и самое главное данный сервис из разряда только для богатых организаций переходит в разряд доступно для всех.


Этому способствует совместная работа различных вендоров, результатом которой является улучшение оборудования для передачи AVoverIP трафика.


Такой подход продемонстрировали компании Zyxel и ATEN, итогом которого стал режим Networked AV.


Несмотря на то, что технология ProAV не спешит сдавать позиции, оставляя за собой нишу там, где крайне критично передача картинки без малейших искажений, возможности AVoverIP дают основание надеяться, что при соответствующих усилиях со стороны вендоров AVoverIP будет развиваться и повсеместно заменять более старые стандарты передачи видео-трафика.


Полезные ссылки


  1. ATEN и Zyxel: вместе это больше, чем каждый сам по себе
  2. Telegram chat Zyxel
  3. Форум по оборудованию Zyxel
  4. Много полезного видео на канале Youtube
  5. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  6. Коммутаторы Zyxel L2+ серии XGS2210
  7. Коммутаторы Zyxel L2 серии GS2220
  8. Коммутаторы Zyxel L2 серии XS3800-28
  9. Цветовая субдискретизация понятным языком немного отдаём, чтобы много выиграть
  10. Теория IGMP
  11. Передатчик 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952T
  12. Приёмник 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952R
  13. HDMI KVM-удлинитель с доступом по IP и поддержкой 4KKE8950
  14. Оригинальный текст RFC1112;
  15. Оригинальный текст RFC2236;
  16. Оригинальный текст RFC3376.
  17. Why ATEN\'s Video over IP Solution?

Ссылки Youtube на видеоматериалы:


Часть 1



Часть 2


Подробнее..

Паук для паутины или центральный узел распределенной сети

27.07.2020 12:16:39 | Автор: admin


На что обратить внимание при выборе VPN маршрутизатора для распределенной сети? И какими функциями он должен обладать? Этому и посвящен наш обзор ZyWALL VPN1000


Введение


До этого большая часть наших публикаций была посвящена младшим устройствам VPN для доступа в сеть с периферийных объектов. Например, для связи различных филиалов со штаб-квартирой, доступа в Сеть небольших самостоятельных компаний, а то и вовсе частных домов. Пришло время поговорить о центральном узле для распределенной сети.


Понятно, что построить современную сеть крупного предприятия только на базе устройств эконом-класса не получится. И организовать облачный сервис по предоставления услуг потребителям тоже. Где-то должно быть установлено оборудование, способное обслужить большое число клиентов одновременно. В этот раз мы поговорим об одном таком устройстве Zyxel VPN1000.


И для больших, и для маленьких участников сетевого обмена можно выделить критерии, по которым оценивается пригодность того или иного устройства для решения задачи.


Ниже приводятся основные из них:


  • технические и функциональные возможности;
  • управление;
  • безопасность;
  • отказоустойчивость.

Трудно выделить что более важно, а без чего можно обойтись. Нужно всё. Если устройство по какому-то критерию не дотягивает до уровня предъявляемых требований это чревато проблемами в дальнейшем.


Однако те или иные особенности устройств, призванных обеспечить работу центральных узлов и оборудования, работающего в основном на периферии, могут значительно отличаться.


Для центрального узла на первое место выходит вычислительная мощность это ведет за собой принудительное охлаждение, и, следовательно, шум от вентилятора. Для периферийных устройств, которые обычно располагаются в офисах и жилых помещениях, шумная работа уже практически неприемлема.


Ещё интересный момент распределение портов. В периферийных устройствах более или менее понятно, как оно будет использоваться и сколько будет подключено клиентов. Поэтому можно задать жесткое разделение портов на WAN, LAN, DMZ, выполнить жесткую привязку к протоколу и так далее. В центральном узле такой уверенности нет. Например, добавили новый сегмент сети, который требует подключения через собственный интерфейс и как это сделать? Тут требуется более универсальное решение с возможностью гибкой настройки интерфейсов.


Важный нюанс насыщенность устройства различными функциями. Разумеется, подход, когда одна единица оборудования хорошо выполняет одну-единственную задачу, имеет свои преимущества. Но самая интересная ситуация начинается, когда нужно сделать шаг влево, шаг вправо. Разумеется, можно при каждой новой задаче дополнительно покупать ещё одно целевое устройство. И так пока не закончится бюджет или место в стойке.


В противовес этому расширенный набор функций позволяет обойтись одним устройством при решении нескольких вопросов. Например, ZyWALL VPN1000 поддерживает несколько типов соединений по VPN, включая SSL и IPsec VPN, а также удаленные подключения для сотрудников. То есть одна железка закрывает вопросы как межсайтовых, так и клиентских подключений. Но тут есть одно но. Чтобы это работало, нужно иметь запас по производительности. Например, в случае с ZyWALL VPN1000 аппаратное ядро IPsec VPN обеспечивает высокую производительность VPN туннеля, а балансировка/резервирование VPN с алгоритмами SHA2 и IKEv2 обеспечивают высокую надежность и безопасность для бизнеса.


Ниже перечислены некоторые полезные функции, которые закрывают одно или несколько направлений, описанных выше.


SD-WAN предоставляет платформу для облачного управления, получая преимущества централизованного управления связью между сайтами с возможностью удаленного контроля и мониторинга. ZyWALL VPN1000 также поддерживает соответствующий режим работы там, где требуются расширенные функции VPN.


Поддержка облачных платформ для критически важных сервисов. ZyWALL VPN1000 проверен для использования с Microsoft Azure и AWS. Применение заранее проверенных устройств предпочтительнее для организации любого уровня, особенно если в ИТ инфраструктуре используется сочетание локальной сети и облака.


Контентная фильтрация усиливает безопасность путем блокировки доступа к вредоносным или нежелательным веб-сайтам. Предотвращает загрузку вредоносных программ с ненадежных или взломанных сайтов. В случае с ZyWALL VPN1000 годовая лицензия на данный сервис уже сразу входит в комплект поставки.


Гео-политики (Geo IP) позволяют отслеживать трафик и проводить анализ местоположения IP-адресов, отказывая в доступе из ненужных или потенциально опасных регионов. Годовая лицензия на этот сервис также включена в комплект при приобретении устройства.


Управление беспроводной сетью в ZyWALL VPN1000 включает контроллер беспроводной сети, позволяющий управлять до 1032 точек доступа из централизованного пользовательского интерфейса. Предприятия могут развернуть или расширить управляемую сеть Wi-Fi с минимальными усилиями. Стоит отметить, что цифра 1032 это действительно много. Из расчета, что к одной точке доступа может подключаться до 10 пользователей, получается достаточно внушительная цифра.


Балансировка и резервирование. Серия VPN поддерживает балансировку нагрузки и резервирование по нескольким внешним интерфейсам. То есть можно подключить несколько каналов от нескольких провайдеров, тем самым оградив себя от проблем со связью.


Возможность резервирования устройства (Device HA) для безостановочного соединения, даже когда одно из устройств вышло из строя. Без этого трудно обойтись, если необходимо организовать работу 24/7 с минимальным временем простоя.


Zyxel Device HA Pro работает в режиме active/passive, для которого не требуется сложная процедура настройки. Это позволяет понизить порог вхождения и сразу начать использовать резервирование. В отличие от active/active, когда системному администратору необходимо пройти дополнительную подготовку, уметь настраивать динамическую маршрутизацию, понимать, что такое асимметричные пакеты и т.д. настройка режима active/passive работает значительно проще и требует меньше временных затрат.


При использовании Zyxel Device HA Pro устройства обмениваются сигналами heartbeat через выделенный порт. Порты активного и пассивного устройства для heartbeat подключаются через кабель Ethernet. Пассивное устройство полностью синхронизирует информацию с активным устройством. В частности, между устройствами синхронизируются все сессии, туннели, учетные записи пользователей. Помимо этого, пассивное устройство сохраняет резервную копию файла конфигурации на случай сбоя активного устройства. Таким образом, в случае отказа основного устройства переход получается бесшовным.


Стоит отметить, что в системах active/active все равно приходится резервировать 20-25% системных ресурсов для переключения при отказах. При active/passive одно устройство целиком находится в состоянии резерва, и готово сразу обрабатывать сетевой трафик и поддерживать нормальную работу сети.


Говоря простым языком: При использовании Zyxel Device HA Pro и наличии резервного канала бизнес защищен как от потери связи по вине провайдера, так и от проблем в результате выхода из строя маршрутизатора.


Резюмируя всё вышесказанное


Для центрального узла распределенной сети лучше использовать устройство с некоторым запасом портов (интерфейсов подключения). При этом желательно иметь интерфейсы как RJ45 для простоты и удешевления подключения, так и SFP для выбора между оптоволоконным соединением и витой парой.


Это устройство должно быть:


  • производительное, адаптированное к скачкообразному изменению нагрузки;
  • с понятным интерфейсом работы;
  • с богатым, но не избыточным количеством встроенных функций, в том числе касательно обеспечения безопасности;
  • с возможностью построения отказоустойчивых схем дублирование каналов и дублирование устройств;
  • поддерживающее управление, чтобы всей разветвленной инфраструктурой в виде центрального узла и периферийных устройств управлять из одной точки;
  • как вишенка на торте поддержка современных веяний вроде интеграции с облачными ресурсами и так далее.

ZyWALL VPN1000 в роли центрального узла сети


При первом взгляде на ZyWALL VPN1000 видно, что портов в Zyxel не пожалели.


У нас имеется:


  • 12 настраиваемых портов RJ45 (GBE);


  • 2 настраиваемых порта SFP (GBE);


  • 2 порта USB 3.0 с поддержкой 3G/4G модемов.




Рисунок 1. Общий вид ZyWALL VPN1000.


Сразу нужно отметить устройство не для домашнего офиса, в первую очередь из-за производительных вентиляторов. Их тут целых четыре.



Рисунок 2. Задняя панель ZyWALL VPN1000.


Посмотрим, как выглядит интерфейс.


Сразу стоит обратить внимание на важное обстоятельство. Функций очень много, и подробно описывать в рамках одной статьи не получится. Но что хорошо в продукции Zyxel есть очень подробная документация, в первую очередь руководство пользователя (администратора). Поэтому, чтобы получить представление о богатстве функций, просто пробежимся по вкладкам.


По умолчанию порт 1 и порт 2 отданы под WAN. Начиная с третьего порта идут интерфейсы для локальной сети.


3й порт c IP по умолчанию 192.168.1.1 вполне подходит для подключения.


Подключаем патчкорд, переходим по адресу https://192.168.1.1 и можно наблюдать окно регистрации пользователя веб-интерфейса.


Примечание. Для управления можно использовать облачную систему управления SD-WAN.



Рисунок 3. Окно ввода логина и пароля


Проходим процедуру ввода логина и пароля и получаем на экране окно Dashboard. Собственно, как и положено для Dashboard максимум оперативной информации на каждом клочке экранного пространства.



Рисунок 4. ZyWALL VPN1000 Dashboard.


Вкладка "Быстрая настройка" (Wizards)


Помощников в интерфейсе целых два: для настройки WAN и настройки VPN. На самом деле помощники штука хорошая, позволяет выполнить шаблонные настройки, даже не имея опыта работы с устройством. Ну а для тех, кто хочет большего, как было сказано выше существует подробная документация.



Рисунок 5. Вкладка "Быстрая настройка".


Вкладка Мониторинг


Судя по всему, инженеры из Zyxel решили поступить по принципу: мониторим всё что можно. Разумеется, для устройства, выполняющего роль центрального узла, тотальный контроль совсем не повредит.


Даже просто развернув все пункты на боковой панели, становится очевидным богатство выбора.



Рисунок 6. Вкладка Мониторинг с развернутыми подпунктами.


Вкладка Конфигурация


Здесь богатство функций ещё более очевидно.


Например, очень симпатично оформлено управление портами устройства.



Рисунок 7. Вкладка Конфигурация с развернутыми подпунктами.


Вкладка Обслуживание


Содержит подразделы для обновления прошивки, диагностики, просмотра правил маршрутизации и завершения работы.


Данные функции носят вспомогательный характер и в той или иной мере присутствуют практически в каждом сетевом устройстве.



Рисунок 8. Вкладка Обслуживание с развернутыми подпунктами.


Сравнительные характеристики


Наш обзор был бы неполным без сравнения с другими аналогами.


Ниже представлена таблица ближайших к ZyWALL VPN1000 аналогов и список функций для сравнения.


Таблица 1. Сравнение ZyWALL VPN1000 с аналогами.



Пояснения к таблице 1:


*1: Необходима лицензия


* 2: Low Touch Provision: администратор должен сначала сконфигурировать устройство локально перед ZTP.


* 3: на основе сеанса: DPS будет применяться только к новому сеансу; это не повлияет на текущий сеанс.


Как видим, в чем-то аналоги догоняют героя нашего обзора, например, Fortinet FG100E тоже имеет встроенную WAN оптимизацию, а Meraki MX100 имеет встроенную функцию AutoVPN (site-to-site), но в целом по комплексному набору функций ZyWALL VPN1000 однозначно лидирует.


Рекомендации при выборе устройств для центрального узла (не только Zyxel)


Выбирая устройства для организации центрального узла разветвленной сети со множеством филиалов следует ориентироваться на целый ряд параметров: технические возможности, удобство управления, обеспечение безопасности и отказоустойчивости.


Широкий набор функций, большое количество физических портов с возможностью гибкой настройки: WAN, LAN, DMZ и наличие других приятных функций, вроде контроллера управления точками доступа позволяют разом закрыть множество задач.


Немаловажную роль играют наличие документации и удобный интерфейс управления.


Имея под рукой такие, казалось бы, простые вещи, не так уж трудно создавать сетевые инфраструктуры, захватывающие различные сайты и локации, а применение облака SD-WAN позволяет делать это максимально гибко и безопасно.


Полезные ссылки


Разбор рынка SD-WAN: какие существуют решения и кому они нужны


Zyxel Device HA Pro повышает отказоустойчивость сети


Использование функции GeoIP в шлюзах безопасности серии ATP/VPN/Zywall/USG


Что останется в серверной?


Два в одном, или миграция контроллера точки доступа в шлюз


Телеграм-чат Zyxel для специалистов

Подробнее..

Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты

28.08.2020 12:23:00 | Автор: admin


Продолжаем разговор о методах повышения безопасности сетей. В этой статье поговорим о дополнительных мерах безопасности и организации более защищенных беспроводных сетей.


Предисловие ко второй части


В предыдущей статье Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты шла речь о проблемах безопасности сети WiFi и прямых методах защиты от несанкционированного доступа. Были рассмотрены очевидные меры для предотвращения перехвата трафика: шифрование, скрытие сети и фильтрация по MAC, а также специальные методы, например, борьба с Rogue AP. Однако помимо прямых способов защиты существуют ещё и косвенные. Это технологии, которые не только помогают улучшить качество связи, но и дополнительно способствуют улучшению защиты.


Две главных особенности беспроводных сетей: удаленный бесконтактный доступ и радиоэфир как широковещательная среда передачи данных, где любой приемник сигнала может прослушивать эфир, а любой передатчик может забивать сеть бесполезными передачами и просто радиопомехами. Это, помимо всего прочего, не лучшим образом сказывается на общей безопасности беспроводной сети.


Одной безопасностью жив не будешь. Наде ещё как-то работать, то есть обмениваться данными. А с этой стороны к WiFi много других претензий:


  • пробелы в покрытии (белые пятна);


  • влияние внешних источников и соседних точек доступа друг на друга.



Как следствие, из-за описанных выше проблем снижается качество сигнала, связь теряет устойчивость, падает скорость обмена данными.


Разумеется, поклонники проводных сетей с удовольствием отметят, что при использовании кабельных и, тем более, оптоволоконных соединений, таких проблем не наблюдается.


Возникает вопрос: а можно как-то решить эти вопросы, не прибегая к каким-либо кардинальным средствам вроде переподключения всех недовольных к проводной сети?


Где начало всех проблем?


На момент зарождения офисных и прочих WiFi сетей чаще всего поступали по нехитрому алгоритму: ставили одну-единственную точку доступа в центре периметра с целью максимального покрытия. Если для удаленных участков мощности сигнала не хватало, к точке доступа добавлялась усиливающая антенна. Очень редко добавлялась вторая точка доступа, например, для удаленного директорского кабинета. Вот, пожалуй, и все усовершенствования.


Такой подход имел свои основания. Во-первых, на заре становления беспроводных сетей оборудование для них стоило дорого. Во-вторых, установить больше точек доступа означало столкнуться с вопросами, на которые тогда не было ответов. Например, как организовать бесшовное переключение клиента между точками? Как бороться с взаимной интерференцией? Как упростить и упорядочить управление точками, например, одновременное применение запретов/разрешений, мониторинг и так далее. Поэтому гораздо проще было поступить по принципу: чем меньше устройств, тем лучше.


В то же время точка доступа, размещенная под потолком, вещала по круговой (точнее сказать, округлой) диаграмме.


Однако формы архитектурных строений не очень хорошо вписываются в округлые диаграммы распространения сигнала. Поэтому куда-то сигнал почти не доходит, и его нужно усиливать, а где-то вещание выходит за рамки периметра и становится доступным для посторонних.



Рисунок 1. Пример покрытия при использование единственной точки в офисе.


Примечание. Речь идет о грубом приближении, в котором не учитываются препятствия для распространения, а также направленность сигнала. На практике формы диаграмм для разных моделей точек могут отличаться.


Ситуацию можно улучшить, если использовать больше точек доступа.


Во-первых, это позволит более эффективно распределить передающие устройства по площади помещения.


Во-вторых, появляется возможность снизить уровень сигнала, не позволяя ему выходить за периметр офиса или другого объекта. В этом случае, чтобы считать трафик беспроводной сети, нужно почти вплотную приблизиться к периметру или даже войти в его пределы. Примерно так же действует злоумышленник, чтобы вклиниться во внутреннюю проводную сеть.



Рисунок 2. Увеличение числа точек доступа позволяет лучше распределить покрытие.


Давайте ещё раз рассмотрим оба рисунка. На первом четко прослеживается одна из главных уязвимостей беспроводной сети сигнал можно ловить на приличном расстоянии.


На втором рисунке ситуация не так запущена. Чем больше точек доступа, тем эффективнее зона покрытия и при этом мощность сигнала уже почти не выходит за пределы периметра, грубо говоря, за пределы кабинета, офиса, здания и других возможных объектов.


Злоумышленнику придется как-то незаметно подкрадываться поближе, чтобы перехватить относительно слабый сигнал \"с улицы\" или \"с коридора\" и так далее. Для этого надо вплотную приблизиться к офисному зданию, чтобы, например, встать под окнами. Либо пытаться проникнуть в само офисное здание. В любом случае это повышает риск засветиться на видеонаблюдении, попасть на глаза охране. При этом значительно сокращается временной интервал для атаки. Это уже трудно назвать \"идеальными условиями для взлома\".


Разумеется, остается ещё один "первородный грех": беспроводные сети вещают в доступном диапазоне, который могут перехватить все клиенты. Действительно, сеть WiFi можно сравнить с Ethernet-HUB, где сигнал передается сразу на все порты. Чтобы этого избежать, в идеале каждая пара устройств должна общаться на своем частотном канале, в который не должен встревать никто другой.


Вот вкратце основные проблемы. Рассмотрим пути их решения.


Средства защиты: прямые и косвенные


Как уже было сказано в предыдущей статье, идеальной защиты добиться в любом случае не получится. Но можно максимально затруднить проведение атаки, сделав результат нерентабельным по отношению к затраченным усилиям.


Условно средства защиты можно разделить на две основные группы:


  • технологии прямой защиты трафика, такие как шифрование или фильтрация по MAC;


  • технологии, изначально предназначенные для других целей, например, для повышения скорости, но при этом косвенным образом усложняющие жизнь злоумышленнику.



О первой группе было рассказано в первой части. Но в нашем арсенале есть ещё и дополнительные косвенные меры. Как уже было сказано выше, увеличение числа точек доступа позволяет снизить уровень сигнала и сделать равномерной зону покрытия, а это усложняет жизнь злоумышленнику.


Еще один нюанс повышение скорости передачи данных упрощает применение дополнительных мер безопасности. Например, можно на каждом ноутбуке установить VPN клиент и передавать данные даже внутри локальной сети по зашифрованным каналам. Это потребует некоторых ресурсов, в том числе и аппаратных, но уровень защиты при этом существенно повышается.


Ниже мы приводим описание технологий, которые позволяют улучшить работу сети и косвенным образом повысить степень защиты.


Косвенные средства улучшения защиты что может помочь?


Client Steering


Функция Client Steering предлагает клиентским устройствам вначале использовать диапазон 5ГГц. Если эта возможность клиенту недоступна, он всё равно сможет использовать 2.4ГГц. Для устаревших сетей с малым числом точек доступа основная работа строится в диапазоне 2.4ГГц. Для частотного диапазона 5ГГц схема с одной точкой доступа во многих случаях окажется неприемлема. Дело в том, что сигнал с большей частотой хуже проходит сквозь стены и огибает препятствия. Обычная рекомендация: для обеспечения гарантированной связи в диапазоне 5ГГц предпочтительнее работать в прямой видимости от точки доступа.


В современных стандартах 802.11aс и 802.11ax за счет большего числа каналов можно установить несколько точек доступа на более близком расстоянии, что позволяет снизить мощность, при этом не потеряв, а даже выиграв в скорости передачи данных. В итоге применение диапазона 5ГГц усложняет жизнь злоумышленников, но улучшает качество связи для клиентов, находящихся в пределах доступности.


Данная функция представлена:


  • в точках доступа Nebula и NebulaFlex;


  • в межсетевых экранах с функцией контроллера.



Auto Healing


Как было сказано выше, контуры периметра помещения плохо вписываются в округлые диаграммы точек доступа.


Чтобы решить эту проблему, во-первых, нужно использовать оптимальное количество точек доступа, во-вторых, уменьшить взаимное влияние. Но если просто взять и вручную снизить мощность передатчиков такое прямолинейное вмешательство может привести к ухудшению связи. Особенно это будет ощутимо при выходе одной или нескольких точек доступа из строя.


Auto Healing позволяет оперативно подстраивать мощность без потери надежности и скорости передачи данных.


При использовании этой функции контроллер проверяет состояние и работоспособность точек доступа. Если одна из них не работает, то соседние получают указание увеличить мощность сигнала, чтобы заполнить белое пятно. После того как точка доступа снова заработала, соседние точки получают указание уменьшить мощность сигнала, чтобы снизить уровень взаимных помех.


Бесшовный WiFi роуминг


На первый взгляд, эту технологию трудно назвать повышающей уровень безопасности, скорее, наоборот, ведь она облегчает переключение клиента (в том числе злоумышленника) между точками доступа в одной сети. Но если используется две или более точки доступа, нужно обеспечить удобную работу без лишних проблем. Помимо этого, если точка доступа перегружена, она хуже справляется с функциями защиты, такими как шифрование, возникают задержки при обмене данными и другие неприятные вещи. В этом плане бесшовный роуминг большое подспорье, чтобы гибко распределить нагрузку и обеспечить бесперебойную работу в защищенном режиме.


Настройка пороговых значений уровня сигнала для подключения и отключения беспроводных клиентов (Signal Threshold или Signal Strength Range)


При использовании одинокой точки доступа эта функция, в принципе, значения не имеет. Но при условии, когда работают несколько точек, управляемых контроллером, можно организовать мобильное распределение клиентов по разным AP. Стоит напомнить, что функции контроллера точек доступа есть во многих линейках маршрутизаторов от Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.


В указанных выше устройствах есть функция для отключения клиента, который подключен к SSID со слабым сигналом. Слабый означает, что сигнал ниже порога, установленного на контроллере. После того, как клиент был отключен, он отправит пробный запрос для поиска другой точки доступа.


Например, клиент подключился к точке доступа с сигналом ниже -65dBm, если порог отключения станции -60dBm, в этом случае точка доступа отключит клиента с таким уровнем сигнала. Теперь клиент запускает процедуру переподключения и уже подключится к другой точке доступа с сигналом, превышающим или равным -60dBm (пороговое значение сигнала станции).


Это имеет важную роль при использовании нескольких точек доступа. Тем самым предотвращается ситуация, когда большая часть клиентов скапливается на одной точке, в то время как другие точки доступа простаивают.


Помимо этого, можно ограничить подключение клиентов со слабым сигналом, с большой вероятностью находящихся за периметром помещения, к примеру, за стеной в соседнем офисе, что также позволяет рассматривать данную функцию как косвенный метод защиты.


Переход на WiFi 6 как один из путей повышения уровня безопасности


О преимуществах прямых средств защиты мы уже говорили ранее в предыдущей статье Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты.


Сети WiFi 6 обеспечивают более высокую скорость передачи данных. С одной стороны, новая группа стандартов позволяет увеличить скорость, с другой разместить ещё больше точек доступа на той же площади. Новый стандарт позволяет использовать меньшую мощность для передачи на более высокой скорости.


Повышение скорости обмена данными.


Переход на WiFi 6 предполагает повышение скорости обмена до 11Gb/s (тип модуляции 1024-QAM, каналы 160 МГц). При этом новые устройства, поддерживающие WiFi 6 обладают большей производительностью. Одной из главных проблем при внедрении дополнительных мер безопасности, таких как VPN канал для каждого пользователя это падение скорости. С WiFi 6 станет легче применять дополнительные системы защиты.


BSS Coloring


Ранее мы писали, что более равномерное покрытие позволяет снизить проникновение сигнала WiFi за периметр. Но при дальнейшем росте числа точек доступа даже использование Auto Healing может быть недостаточно, так как чужой трафик от соседней точки всё равно будет проникать в зону приема.


При использовании BSS Coloring точка доступа оставляет специальные метки (раскрашивает) свои пакеты данных. Это позволяет игнорировать влияние соседних передающих устройств (точек доступа).


Улучшенный MU-MIMO


В 802.11ax также есть важные улучшения технологии MU-MIMO (Multi-User Multiple Input Multiple Output). MU-MIMO позволяет точке доступа обмениваться данными с несколькими устройствами одновременно. Но в предыдущем стандарте эта технология могла поддерживать только группы из четырех клиентов на одной частоте. Это облегчало передачу, но не прием. WiFi 6 использует многопользовательский MIMO 8x8 для передачи и приема.


Примечание. Стандарт 802.11ax увеличивает размер групп MU-MIMO во входящем потоке, обеспечивая более эффективную производительность сети WiFi. Многопользовательский исходящий канал MIMO является новым дополнением к 802.11ax.


OFDMA (Orthogonal frequency-division multiple access)


Это новый метод доступа к каналам и управления разработан на основе технологий, которые уже были опробованы в технологии сотовой связи LTE.


OFDMA позволяет отправлять более одного сигнала по одной и той же линии или каналу одновременно, назначая интервал времени для каждой передачи и применяя частотное разделение. В результате не только растет скорость за счет лучшей утилизации канала, но и повышается безопасность.


Резюме


Сети WiFi с каждым годом становятся всё более безопасными. Использование современных технологий позволяет организовать приемлемый уровень защиты.


Прямые методы защиты в виде шифрования трафика весьма неплохо себя зарекомендовали. Не забываем и про дополнительные меры: фильтрация по MAC, скрытие идентификатора сети, Rogue AP Detection (Rogue AP Containment).


Но есть ещё и косвенные меры, улучшающие совместную работу беспроводных устройств и повышающие скорость обмена данных.


Использование новых технологий позволяет снизить уровень сигнала от точек, сделав покрытие более равномерным, что неплохо сказываются на самочувствии всей беспроводной сети в целом, в том числе и на безопасности.


Здравый смысл подсказывает, что для повышения безопасности все средства хороши: и прямые, и косвенные. Такое сочетание позволяет максимально усложнить жизнь злоумышленнику.


Полезные ссылки:


  1. Telegram chat Zyxel


  2. Форум по оборудованию Zyxel


  3. Много полезного видео на канале Zyxel (Youtube)


  4. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты


  5. Wi-Fi или витая пара что лучше?


  6. Синхронизация точек доступа Wi-Fi для совместной работы


  7. Wi-Fi 6: нужен ли новый стандарт беспроводной связи обычному пользователю и если да, то зачем?


  8. WiFi 6 MU-MIMO и OFDMA: Две опоры вашего успеха в будущем


  9. Будущее WiFi


  10. Использование мультигигабитных коммутаторов как философия компромисса


  11. Два в одном, или миграция контроллера точки доступа в шлюз


  12. WiFi 6 уже здесь: что предлагает рынок и зачем нам эта технология


  13. Улучшаем работу Wi-Fi. Общие принципы и полезные штуки


  14. Улучшаем работу Wi-Fi. Часть 2. Особенности оборудования


  15. Улучшаем работу Wi-Fi. Часть 3. Размещение точек доступа


  16. Синхронизация точек доступа Wi-Fi для совместной работы


  17. Свои 5 копеек: Wi-Fi сегодня и завтра


Подробнее..

Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения

24.09.2020 12:15:14 | Автор: admin


В статье пойдет речь о проблемах организации сетевой инфраструктуры традиционным способом и о методах решения тех же самых вопросов при помощи облачных технологий.


Для справки. Nebula облачная среда SaaS для удаленного поддержания сетевой инфраструктуры. Все устройства, поддерживающие Nebula, управляются из облака через безопасное соединение. Можно управлять крупной распределенной сетевой инфраструктурой из единого центра, не затратив усилия по его созданию.


Для чего нужен очередной облачный сервис?


Основная проблема при работе с сетевой инфраструктурой это не проектирование сети и закупка оборудования, и даже не монтаж в стойку, а все то остальное, что с этой сетью в дальнейшем предстоит делать.


Сеть новая заботы старые


При вводе в эксплуатацию нового узла сети после монтажа и подключения оборудования начинается первоначальная настройка. С точки зрения большого начальства ничего сложного: Берем рабочую документацию по проекту и начинаем настраивать... Это так здорово говорится, когда все сетевые элементы стоят в одном ЦОД. Если же они разбросаны по филиалам, начинается головная боль с обеспечением удаленного доступа. Такой вот замкнутый круг: чтобы получить удаленный доступ по сети, нужно настроить сетевое оборудование, а для этого нужен доступ по сети...


Приходится придумывать различные схемы для выхода из вышеописанного тупика. Например, ноутбук с доступом в Интернет через USB 4G модем подключается через патчкорд к настраиваемой сети. На этом ноутбуке поднимается VPN клиент, и через него сетевой администратор из штаб-квартиры пытается получить доступ к сети филиала. Схема не самая прозрачная даже если привезти ноутбук с заранее настроенным VPN на удаленную площадку и попросить его включить, далеко не факт что всё заработает с первого раза. Особенно если речь о другом регионе с другим провайдером.


Получается, самый надежный способ держать на другом конце провода хорошего специалиста, который сможет настроить свою часть согласно проекту. Если такого в штате филиала не имеется, остаются варианты: либо аутсорсинг, либо командировка.


Ещё нужна система мониторинга. Её требуется установить, настроить, обслуживать (хотя бы следить за местом на диске, и регулярно делать резервные копии). И которая ничего не знает о наших устройствах, пока мы ей не сообщим. Для этого нужно прописать настройки для всех единиц оборудования и регулярно следить за актуальностью записей.


Замечательно, когда в штате есть свой человек-оркестр, который, помимо специфических знаний сетевого администратора, умеет работать с Zabbix или с другой аналогичной системой. В противном случае берем ещё одного человека в штат или отдаем на аутсорсинг.


Примечание. Самые печальные проколы начинаются со слов: Да что там этот Zabbix (Nagios,OpenView и т.д.) настраивать? Я сейчас вот его быстренько подниму и готово!


От внедрения к эксплуатации


Рассмотрим конкретный пример.


Получено тревожное сообщение о том, что где-то не отвечает точка доступа WiFi.


Где она находится?


Разумеется, у хорошего сетевого администратора есть свой личный справочник, в котором всё записано. Вопросы начинаются, когда этой информацией нужно делиться. Например, надо срочно послать гонца, чтобы разобраться на месте, а для этого нужно выдать что-то вроде: Точка доступа в бизнес-центре на улице Строителей, дом 1, на 3-м этаже, кабинет N 301 рядом с входной дверью под потолком.


Допустим, нам повезло и точка доступа питается через PoE, а коммутатор позволяет её перезагрузить удаленно. Ехать не надо, но нужен удаленный доступ до коммутатора. Остается настроить проброс портов через PAT на маршрутизаторе, разобраться с VLAN для подключения извне и так далее. Хорошо, если все настроено заранее. Работа, может, и не сложная, но делать нужно.


Итак, точку по питанию перезагрузили. Не помогло?


Допустим, что-то не так в аппаратной части. Теперь ищем информацию о гарантии, начале эксплуатации и других интересующих деталях.


Кстати о WiFi. Использование домашнего варианта WPA2-PSK, в котором один ключ на все устройства в корпоративной среде не рекомендуется. Во-первых, один ключ на всех это попросту небезопасно, во-вторых, когда один сотрудник увольняется, то приходится менять этот общий ключ и заново выполнять настройки на всех устройствах у всех пользователей. Чтобы избежать подобных неприятностей, существует WPA2-Enterprise с индивидуальной аутентификацией для каждого пользователя. Но для этого нужен RADIUS сервер ещё одна инфраструктурная единица, которую надо контролировать, делать резервные копии и так далее.


Обратите внимание, на каждом этапе, будь то внедрение или эксплуатация, мы пользовались вспомогательными системами. Это и ноутбук со сторонним выходом в Интернет, и система мониторинга, и справочная база по оборудованию, и RADIUS как система аутентификации. Помимо сетевых устройств, приходится обслуживать ещё и сторонние сервисы.


В таких случаях можно услышать совет: Отдать в облако и не мучиться. Наверняка есть облачный Zabbix, возможно где-то есть облачный RADIUS, и даже облачная база данных, чтобы вести список устройств. Беда в том, что это нужно не порознь, а в одном флаконе. И всё равно встают вопросы организации доступа, первоначальной настройки устройств, безопасности и многое другое.


Как это выглядит при использовании Nebula?


Разумеется, первоначально облако ничего не знает ни о наших планах, ни о приобретенном оборудовании.


Сперва создается профиль организации. То есть вся инфраструктура: штаб-квартира и филиалы вначале прописывается в облаке. Указываются реквизиты, создаются учетные записи для делегирования полномочий.


Зарегистрировать используемые устройства в облаке можно двумя способами: по старинке просто вписав серийник при заполнении веб-формы или отсканировав QR-код при помощи мобильного телефона. Всё что нужно для второго способа смартфон с камерой и доступом в Интернет, в том числе через мобильного провайдера.


Разумеется, необходимую инфраструктуру для хранения информации, как учетной, так и настроек предоставляет Zyxel Nebula.



Рисунок 1. Отчет безопасности Nebula Control Center.


А что с настройкой доступа? Открытием портов, пробросом трафика через входящий шлюз, всем тем, что администраторы безопасности ласково называют: наковырять дырок? К счастью, этого всего делать не нужно. Устройства под управлением Nebula устанавливают исходящее соединение. И администратор для настройки подключается не к отдельному устройству, а к облаку. Nebula выступает посредником между двумя соединениями: с устройством и с компьютером сетевого администратора. Это означает, что этап с вызовом приходящего админа можно свести к минимуму, либо пропустить вовсе. И никаких дополнительных дырок на файрволе.


А как же RADUIS сервер? Ведь нужна какая-то централизованная аутентификация!


И эти функцию тоже берет на себя Nеbula. Аутентификации учетных записей для доступа к оборудования идет через защищенную базу данных. Это сильно упрощает делегирование или изъятие прав по управлению системой. Нужно передать права заводим пользователя, назначаем роль. Нужно отобрать права выполняем обратные действия.


Отдельно стоит сказать о WPA2-Enterprise, для которого нужен отдельный сервис аутентификации. У Zyxel Nebula есть собственный аналог DPPSK, который позволяет использовать WPA2-PSK с индивидуальным ключом для каждого пользователя.


Неудобные вопросы


Ниже попробуем дать ответы на наиболее каверзные вопросы, которые часто задают при вхождении в облачный сервис


А это точно безопасно?


При любом делегировании контроля и управления для обеспечения безопасности важную роль играют два фактора: анонимизация и шифрование.


Использование шифрования для защиты трафика от посторонних глаз это читателям более или менее знакомо.


Анонимизация скрывает от персонала облачного провайдера информацию о владельце и источнике. Персональная информация удаляется, а записям присваивается безликий идентификатор. Ни разработчик облачного ПО, ни администратор, обслуживающий облачную систему не могут знать владельца запросов. Откуда это пришло? Кого это может заинтересовать?, такие вопросы останутся без ответа. Отсутствие данных о владельце и источнике делает инсайдинг бессмысленной тратой времени.


Если сравнивать данный подход с традиционной практикой передачи на аутсорсинг или найма приходящего админа очевидно, что облачные технологии безопаснее. Приходящий ИТ специалист знает о своей подопечной организации достаточно много, и может волей или неволей нанести существенный вред в плане безопасности. Ещё надо решить вопрос увольнения или завершения договора. Иногда, помимо блокировки или удаления учетной записи, это влечет глобальную смену паролей для доступа к сервисам, а также аудит всех ресурсов на предмет забытых точек входа и возможных закладок.


Насколько Nebula дороже или дешевле приходящего админа?


Всё познается в сравнении. Базовые функции Nebula доступны бесплатно. Собственно, что может быть ещё дешевле?


Разумеется, совершенно обойтись без сетевого администратора или лица, его заменяющего не получится. Вопрос в количестве людей, их специализации и распределении по площадкам.


Что же касается платного расширенного сервиса, то ставить прямой вопрос: дороже или дешевле такой подход всегда будет неточным и однобоким. Правильнее будет сравнить множество факторов, начиная от денег на оплату работы конкретных специалистов и заканчивая затратами по обеспечению их взаимодействия с подрядной организацией или физлицом: контроль качества выполнения, составление документации, поддержание уровня безопасности и так далее.


Если же говорить на тему выгодно или не выгодно приобретать платный пакет услуг (Pro-Pack), то примерный ответ может звучать так: если организация маленькая, можно обойтись базовой версией, если организация растет, то имеет смысл подумать о Pro-Pack. Различие между версиями Zyxel Nebula можно посмотреть в таблице 1.


Таблица 1. Различия наборов функций базовой версии и версии Pro-Pack для Nebula.



Это и расширенная отчетность, и аудит пользователей, и клонирование конфигурации, и многое другое.


А что с защитой трафика?


Nebula использует протокол NETCONF для обеспечения безопасности работы с сетевым оборудованием.


NETCONF может работать поверх нескольких транспортных протоколов:



Если сравнивать NETCONF с другими методами, например, управление через SNMP следует отметить, что NETCONF поддерживает исходящее TCP-соединение для преодоления барьера NAT и считается более надежным.


Что с поддержкой оборудования?


Разумеется, не стоит превращать серверную в зоопарк с представителями редких и вымирающих видов оборудования. Крайне желательно, чтобы оборудование, объединенное технологией управления, закрывало все направления: от центрального коммутатора до точек доступа. Инженеры Zyxel позаботились о такой возможности. Под управлением Nebula работает множество устройств:


  • центральные коммутаторы 10G;


  • коммутаторы уровня доступа;


  • коммутаторы с PoE;


  • точки доступа;


  • сетевые шлюзы.



Используя широкий спектр поддерживаемых устройств можно строить сети под различные типы задач. Особенно это актуально для компаний, которые растут не вверх, а вширь, постоянно осваивая новые площадки для ведения бизнеса.


Постоянное развитие


Сетевые устройства с традиционным методом управления имеют только один путь совершенствования изменение самого устройства, будь то новая прошивка или дополнительные модули. В случае с Zyxel Nebula есть дополнительный путь для улучшений через совершенствование облачной инфраструктуры. Например, после обновления Nebula Control Center (NCC) до версии 10.1. (21 сентября 2020) пользователям доступны новые возможности, вот некоторые из них:


  • владелец организации теперь может передать все права владения другому администратору в той же организации;


  • новая роль под названием Представитель владельца, которая имеет те же права, что и владелец организации;


  • новая функция обновления прошивки в масштабах всей организации (функция Pro-Pack);


  • в топологию добавлены две новые опции: перезагрузка устройства и включение и выключение питания порта PoE (функция Pro-Pack);


  • поддержка новых моделей точек доступа: WAC500, WAC500H, WAC5302D-Sv2 и NWA1123ACv3;


  • поддержка аутентификации по ваучерам с печатьюQR-кодов (функцияPro-Pack).



Полезные ссылки


  1. Telegram chat Zyxel


  2. Форум по оборудованию Zyxel


  3. Много полезного видео на канале Youtube


  4. Zyxel Nebula простота управления как основа экономии


  5. Различие между версиями Zyxel Nebula


  6. Zyxel Nebula и рост компании


  7. Сверхновое облако Zyxel Nebula экономичный путь к безопасности?


  8. Zyxel Nebula Options for Your Business


Подробнее..

Особенности применения управляемых и неуправляемых коммутаторов

27.10.2020 12:09:43 | Автор: admin


Какой коммутатор использовать для решения той или иной задачи: управляемый или неуправляемый? Разумеется, однозначные ответы вроде: Нужно брать который круче или который дешевле не подходят, оборудование нужно подбираться строго по требуемым характеристикам. А какие они, эти характеристики? И какие существуют преимущества у той или иной группы устройств?


Примечание. В этой статье мы говорим о сетях семейства Ethernet, в том числе: Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet. Для экономии времени все эти сети для краткости мы будем называть термином Ethernet.


Для чего нужны неуправляемые коммутаторы


Неуправляемыми коммутаторами называют самые простые устройства без возможности принудительно изменять какие-либо характеристики. В основе лежит принцип: включил и работай.


Преимущества неуправляемых коммутаторов


Как уже было сказано, это достаточно простые устройства. Они не содержат сложных контроллеров, не требуют повышенного питания, меньше греются, их работу сложнее нарушить, а при выходе из строя их довольно просто заменить (не надо ничего перенастраивать).


Ещё один несомненный плюс неуправляемые коммутаторы стоят дешевле.


Такие устройства применяются в простых сетях, где не требуется применения сложных сетевых конфигураций. Тут надо отменить, что под понятием простые сети может скрываться вполне себе развитая инфраструктура среднего предприятия на 100+ локальных клиентов.


Ещё одна область применения в отдельных выделенных сетях, куда посторонним вход запрещен. Например, в сети видеонаблюдения, в которой кроме службы безопасности и администратора остальным сотрудникам офиса делать нечего.


Из практики. Сетевые инфраструктуры только из неуправляемых коммутаторов без применения другого сетевого оборудования (за исключением Интернет-шлюза) редко переходят за порог 254 устройства. Такие LAN часто оформляются в виде одной подсети класса С. На это есть свои причины если слишком много устройств находится в одном широковещательном домене, то служебный Ethernet трафик достигает существенной величины и начинает мешать передаче информации. Это связано с тем, что каждое устройство обязано принять и обработать широковещательные кадры, а это, в свою очередь создает ненужную нагрузку и засоряет канал связи. Чем больше устройств, тем больше широковещательных посылок время от времени проходит по сети, которые принимают все эти же устройства. В свою очередь маска подсети класса С 255.255.255.0 и префикс 192.168.xxx.xxx популярные значения, а предел в 254 устройства для сетей этого класса является, помимо всего прочего, своего рода психологической отметкой, когда приходит понимание, что c разросшейся сетью надо что-то делать.


Ещё одна сфера применения неуправляемых коммутаторов удешевление сетевой инфраструктуры. Строить развернутую сеть на базе только управляемых коммутаторов достаточно дорогое удовольствие. На практике возникают случаи, когда большое число однотипных устройств находятся в одной подсети и расположены относительно недалеко. В качестве примера можно привести пользователей тонких клиентов в опенспейсе, которым назначен отдельный изолированный VLAN. В таких простых случаях функции управления на коммутаторе уровня доступа не так уж и востребовано. За вопросы безопасности и перенаправления трафика отвечает уровень распределения (агрегации) и далее ядро сети.


Ещё один классический пример: специально выделенная сеть для управления оборудованием, куда подключены, интерфейсы IPMI для управления серверами, IP-KVM и так далее.


Для таких сегментов можно использовать один или несколько неуправляемых коммутаторов с Uplink в выделенный VLAN для связи с остальной сетевой инфраструктурой. Разумеется, в этом случае теряется возможность гибкого управления целым фрагментом, но так ли уж нужно чем-то там управлять?


Некоторые мифы и заблуждения


Миф 1. Неуправляемые коммутаторы это отсталое старьё, рассчитанное на небольшие скорости (до 1 Гбит/сек. максимум), сейчас все новые современные коммутаторы управляемые.


Это далеко не так. Неуправляемые коммутаторы выпускаются и успешно применяются. Мало того, обеспечивают вполне приличные скорости. В качестве примера можно привести современные мультигигабитные коммутаторы, позволяющие повысить скорость передачи данных без замены кабельной системы.



Рисунок 1. Zyxel XGS1010-12 12-портовый неуправляемый мультигигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+


Миф 2. Сейчас неуправляемые коммутаторы это для не корпоративных сетей. Они не выпускаются в формфакторе 19 дюймовых стоек и содержат не больше 16-ти портов.


Это тоже не соответствует действительности стоечные неуправляемые коммутаторы выпускаются и находят свое место в том числе в корпоративных сетях. В качестве примера можно привести Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор с гигабитным Uplink.



Рисунок 2. Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор в стоечном исполнении.


Миф 3. С PoE бывают только управляемые коммутаторы. Аналогичное заблуждение: с PoE только неуправляемые.


На самом деле и управляемые, и неуправляемые коммутаторы бывают как с PoE, так и без. Все зависит от конкретной модели и линейки оборудования. Для более подробного ознакомления рекомендуем статью IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино.



Рисунок 3. Zyxel GS1300-26HP 24-портовый гигабитный (+2 Uplink) неуправляемый коммутатор для систем видеонаблюдения с расширенной поддержкой PoE.


Удивительное рядом. Можно ли управлять неуправляемым коммутатором? Казалось бы, ответ уже понятен из названия (вот и Капитан Очевидность нам то же самое говорит). Однако, что мы понимаем под словом управлять? Например, отключать или включать питание, или выполнить перезапуск устройства это ведь тоже управление? В этом случае нам помогут такие устройства как SmartPDU. Часто под управлением понимают настройку запретов и разрешений для клиентского доступа. В этом случае, например, можно не выключать порты, а настроить фильтрацию по MAC этажом выше, то есть на управляемом коммутаторе уровня распределения (агрегации). Тогда на верхний уровень будет проходить трафик только от разрешенных MAC. Разумеется, злоумышленник в качестве цели для атаки может избрать рядом стоящие компьютеры или тонкие клиенты, но для нанесения большого вреда вроде положить ядро сети фильтрация по MAC на уровне распределения (агрегации) создает определенные затруднения. В итоге коммутатор как был, так и остается неуправляемым, но мы можем управлять его окружением и даже выполнять какие-то действия с ним самим.


Ограничение неуправляемых коммутаторов


Ограничение одно и весьма большое неуправляемость. Если нужно что-то большее, чем просто соединять два порта и передавать кадры Ethernet нужно использовать управляемые коммутаторы.


Управляемые коммутаторы


В отличие от их более простых собратьев, которые выше канального уровня (2-й уровень модели OSI) не поднимались, управляемые коммутаторы выпускаются уровней L2, L2+, L3 и даже L3+.


При таком разнообразии описать все функции и особенности работы в рамках одной статьи просто нереально. Поэтому мы ограничимся описанием основных возможностей управляемых коммутаторов уровня L2.


Функции управления в коммутаторах L2


Управляемые коммутаторы L2 вещь довольно распространенная. Например, их удобно использовать на уровне доступа, чтобы гибко управлять клиентским трафиком.


Коммутаторы L2 можно встретить и на уровне ядра сети. Коммутаторы на этом участке обеспечивают скоростное взаимодействие всех ветвей сети. При такой загрузке те или иные крутые функции L3 оказываются не востребованы, а иногда просто мешают. Роль анализаторов и фильтров трафика в такой архитектуре целиком возложена на коммутаторы уровня распределения (агрегации).


Ниже приводится очень сокращенный список функций управления, характерный для коммутаторов L2. Разумеется, для коммутаторов L2+ и, тем более, L3 список возможностей будет куда как длиннее. Но даже из этого сокращенного перечня хорошо понятны отличия от их неуправляемых собратьев.


Возможность удаленной перезагрузки или выключения


Редко, но такая возможность бывает востребована. Например, перезагрузка может потребоваться при перепрошивке устройства или необходимости откатиться назад без сохранения конфигурации. Выключение коммутатора тоже может быть полезно. Например, мягкое выключение коммутатора уровня доступа может быть эффективно в качестве крайней меры при опасности массового заражения рабочих станций.


Port UP/Down


Возможность отключить порты весьма полезная возможность для поддержания требуемого уровня безопасности. Работающая сетевая розетка в тихом месте, оставленная без присмотра это потенциальная дыра. Самый простой способ избавиться от такой беды просто перевести порт на коммутаторе в состояние Down.


Пример: неиспользуемые розетки в переговорной. Изредка они нужны, когда необходимо подключить дополнительное оборудование, например, для видеоконференций, а также ПК, МФУ и другие устройства. Однако при собеседовании кандидатов для приема на работу такие свободные порты могут оказаться брешью в безопасности, которую лучше прикрыть.


Разумеется, можно постоянно бегать в серверную и отключать-подключать порты вручную, выдергивая патчкорды из коммутатора или патчпанели. Но такой подход чреват не только необходимостью постоянно держать поблизости человека, способного это проделать, но и быстрым выходом разъемов из строя. Поэтому возможности менять состояние Up-Down для каждого порта рано или поздно окупится.


Защита от петель


Ошибки в виде двойного подключения приводят к созданию петель в сетях Ethernet и лишают сеть работоспособности.


Для их защиты придуманы специальные средства в первую очередь мы говорим о семействе протоколов STP (Spanning Tree Protocol), который, кроме защиты от петель, предотвращает возникновение широковещательного шторма в сетях. Протоколы семейства STP работают на 2 уровне модели OSI (L2).


Агрегирование каналов


Позволяет объединить два или несколько портов (обычно применяется число, кратное 2) в один канал передачи данных. Один из известных проколов для агрегации LACP (Link Aggregation Control Protocol), поддерживаемый большинством Unix-like операционных систем. LACP работает в режиме Active-Active и, благодаря ему, помимо повышения отказоустойчивости увеличивается и скорость передачи данных


Поддержка VLAN


VLAN (Virtual Local Area Network) группа устройств, обменивающихся трафиком на канальном уровне (2 уровень сетевой модели OSI), хотя физически они могут быть подключены к разным коммутаторам.


Известен и обратный прием, когда один коммутатор при помощи VLAN нарезается на несколько независимых сегментов. Устройства из разных VLAN по умолчанию (без маршрутизации) недоступны на канальном уровне, не важно, подключены они к одному коммутатору или к разным. В то время как устройства из одного VLAN могут общаться между собой на канальном уровне, даже будучи подключенными к разным коммутаторам.


Это применяется как при разделении сети на подсети, например, для снижения уровня широковещательного трафика, так и для объединения устройств из различных сегментов крупной корпоративной сети в одну подсеть, организованную по единым правилам.


Например, если всей бухгалтерии, находящейся на 2-м, 3-м и 5-м этажах необходимо дать доступ к серверу 1С, но при этом запретить доступ к сети вычислительного кластера для инженерных расчетов, то разумнее всего сделать дополнительный VLAN, настроить общие ограничения, после чего приписать к нему порты всех бухгалтерских компьютеров.


QoS


Под QoS (Quality of Service) обычно подразумевают способность сети обеспечить необходимый уровень сервиса заданному сетевому трафику.


Например, в сети, при работе оборудования для видеоконференций, трафик между источником и приемником видеотрансляции будет более приоритетным, чем, например, копирование документов для инженеров техподдержки.


Существует множество различных инструментов, облегчающие подобные задачи, в том числе создание аппаратных очередей, flow-control и так далее.


Безопасность


Под безопасностью можно понимать самые разнообразные функции, например, те же VLAN.


Также среди наиболее известных: Port Security, фильтрация Layer 3 IP, фильтрация Layer 4 TCP/UDP.


Например, вот список функций безопасности для коммутаторов L2 серии GS2220:


  • Port security
  • Фильтрация Layer 2 MAC
  • Фильтрация Layer 3 IP
  • Фильтрация Layer 4 TCP/UDP
  • Static MAC forwarding
  • Несколько серверов RADIUS
  • Несколько серверов TACACS+
  • 802.1x VLAN and 802.1p assignment by RADIUS
  • Аутентификация RADIUS
  • Аутентификация TACACS+
  • TACACS+ аккаунтинг
  • RADIUS аккаунтинг
  • Авторизация RADIUS
  • Авторизация TACACS+
  • SSH v2
  • SSL
  • MAC freeze
  • DHCP snooping IPv4
  • DHCP snooping IPv6
  • ARP inspection
  • Static IP-MAC-Port binding
  • Policy-based security filtering
  • Port isolation
  • IP source guard (IPv4/IPv6)
  • MAC search
  • Guest VLAN
  • ACL packet filtering (IPv4/IPv6)
  • CPU protection
  • Interface related trap enable disable (by port)
  • MAC-based authentication per VLAN

Как видим, есть довольно много возможностей, которые востребованы в тех или иных обстоятельствах.



Рисунок 4. GS2220-50HP 48-портовый гигабитный PoE коммутатор L2 c 2 Uplink SFP GBE.


Управление


Возможности управления и контроля могут быть самые различные. Например, через веб-интерфейс, CLI (интерфейс командной строки), настройка через консольный порт RS-232, сохранение, извлечение и клонирование конфигурации, расписание включения PoE (для коммутаторов с PoE).


Для случаев расследования нарушений безопасности и анализа сетевых проблем интерес вызывают такие функции, как зеркалирование портов.


Старый добрый SNMP протокол тоже играет немаловажную роль, как в плане опроса и управления по протоколам SNMP v1/2c/3, так и оповещения с использованием механизма SNMP Trap.


И, наконец, последний писк моды централизованное управление через облачную систему, такую как Zyxel Nebula, позволяющую забыть о вопросах локального доступа для управления, учета оборудования и других наболевших темах.


Что в итоге


Не бывает плохих и хороших направлений развития сетевых устройств. Для каждого типа оборудования существует своя область применения. Зная особенности того или иного класса устройств, можно подобрать для каждой задачи наиболее эффективное решение.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино
  5. 12-портовый неуправляемый многогигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+
  6. Специализированный коммутатор для систем видеонаблюдения GS1300 Series
  7. 8/16/24-портовые гигабитные неуправляемые коммутаторы серии GS1100
  8. Управляемые 10/28/50-портовые гигабитные коммутаторы L2 серии
Подробнее..

53 совета как поднять нерабочую сеть

17.11.2020 12:21:43 | Автор: admin


Ноябрь месяц особенный. Целых два профессиональных праздника для российских безопасников: День специалиста по безопасности в России 12 ноября и Международный день защиты информации 30 ноября.


Находясь между этими датами, невольно задумываешься на тему: а что есть безопасность в принципе? И что приносит больший вред: внешние атаки или сумасшедшие ошибки, странные предрассудки и просто нежелание что-либо сделать хорошо?


Предлагаем вашему вниманию перечень вредных советов, надеюсь, они вам понравятся.


Для начала пример из жизни


Один замечательный начальник отдела ИТ искренне считал, что главное это быстро бегать по заявкам пользователей, производя впечатление максимальной загруженности. А ещё важно экономить на всём. На каждом совещании он не забывал похвалить себя и свой отдел, рассказывая, сколько чего было сэкономлено для компании.


Примечателен тот факт, что в сети ранее была создана вся необходимая структура для обеспечения стабильности, безопасности и т.д. В том числе закуплены коммутаторы L3, новенькие точки доступа Wi-Fi и много другого полезного.


Но вся эта техника просто не использовалась. А зачем? Никто этого не оценит. Зато быстро прибежавшего сисадмина сразу после телефонного звонка пользователи обязательно похвалят и даже угостят карамелькой. Пара новейших коммутаторов грустно лежала в коробке, потому что установить их было просто некому.


В итоге всё находилось в одной подсети. Ни о каких VLAN не могло быть и речи.


Разумеется, и СХД, и рабочие станции, и даже веб-сервер с внешним сайтом компании всё было в одной сети класса С. Все 254 адреса были давным-давно оприходованы. И когда возник дефицит IP адресов, то начальник отдела ИТ принял оригинальное решение: урезать диапазон динамических IP адресов и снизить время лизинга IP адресов на DHCP сервере до 1 секунды.
Таким образом, компьютеры тех сотрудников, кто приходили на работу пораньше, получали доступ к локальной сети, а опоздавшие или те, кто приходил ровно к началу рабочего дня курили бамбук. Классический вариант: кто раньше встал, того и тапки. Тем самым удалось и модернизации избежать, и дисциплину поднять, ведь теперь работники, мало того, что стараются прийти пораньше, так ещё и на работе задерживаются.
Но как же быть с теми хитрецами, кто не выключал компьютеры, уходя домой, чтобы сохранить доступ в сеть? Очень просто: все компьютеры, кроме ноутбуков топ-менеджеров в 22-00 выключались принудительно.


Кроссовый журнал не вёлся. Мало того, повсеместно применялись сплиттеры, когда два компьютера сотрудников подключались к сети через одну настенную розетку. Сплиттеры делались силами сотрудников ИТ отдела из обычных внешних телефонных розеток и хитрых патчкордов, где с одной стороны был RJ45, а с другой телефонный штекер.


К любым, даже самым простым мерам безопасности вроде обновить антивирусные базы этот начальник ИТ относился с опасением. Фразы у нас честная фирма, нам нечего скрывать и да кому мы нужны были главным определяющим фактором при принятии решений. Все работники имели права администратора на своем компьютере. Примерно треть пользователей администраторы домена. А вдруг ответственному сотруднику внезапно понадобится какой-нибудь информационный ресурс для работы? Пароли были самые простые. Пользователи ведь не должны напрягаться, чтобы запоминать сложные пароли? Сочетание 1234 уже считалось вполне нормальным.


Вы считаете это выдумкой? Или такое возможно только в маленьких компаниях вроде Я, секретарша и директор? Увы, этот пример целиком взят из жизни.


Мало того, фирма, где это происходило довольно крупная столичная компания, вполне современная, так сказать, внедряющая прогрессивные методы работы с клиентами.


Почему руководство компании терпело этот кавардак? Все вокруг искренне считали, что без этого незаменимого сотрудника в этом хаосе больше никто не разберется. Поэтому уволить такого ценного кадра, чтобы сделать резервную копию (кстати, системы резервного копирования не было тоже, её пришлось бы строить с нуля) и потом всё отстроить заново никак не решались. Всё-таки бизнес простаивать будет, а так, пусть через пень колоду, но вроде пока ещё как-то работает...


Чтобы избежать таких даже не ошибок, а просто нелепостей, предлагаем вашему вниманию перечень вредных советов. Если им не следовать, то можно избежать многих проблем.


Проектирование и документация


При построении сети не составляйте даже эскизного проекта. Все решения должны приниматься спонтанно.


Если начальство требует привлечь для проекта стороннюю организацию, то выбирайте самый дешевый вариант. Из всех предложений на рынке наймите самую низкооплачиваемую команду проектировщиков.


Наличие документации совершенно не важно, лучше если её вообще не будет. И уж точно вас не должны волновать несоответствие в документации и того, что есть в реальности.


Логическая организация и сервисы


Не разделяйте сети. Не используйте VLAN. На самом деле это придумали те, кто просто хочет побольше заморочиться.


Не используйте STP и другие средства отказоустойчивости. Чем больше петель и обрывов тем круче сеть.


Никакого контроля за IP адресами. Пусть и сервер DHCP, и статические адреса берутся из одного диапазона адресов не глядя. Если кому-то не повезло и адреса совпали дело житейское. Повезет в следующий раз. И вообще, Что наша жизнь? Игра!


Не планируйте запас IP адресов на вырост. Помните, что простой сети класса С и любимой маски 255.255.255.0 хватит на все случаи жизни.


Если у вас есть промышленное оборудование с IoT, то подключайте офисную сеть к промышленной напрямую в один и тот же сегмент сети, и всё это сразу подключите к Интернет через самый дешевый роутер.


Оборудование


Не обращайте внимание на элементную базу. Качество монтажа, качество комплектующих вещи абсолютно незначимые.


Обязательно используйте оборудование от самых разных производителей, в первую очередь неизвестных и малоизвестных фирм. Вообще зоопарк из самых диковинных образчиков сетевых устройств это удивляет воображение и дает волю фантазии. Лучше всего сочетаются ископаемые древности с новехонькой техникой от NoName производителей.


Совет: чем диковиннее железки, тем больше вероятность, что только вы будете знать, как управиться со всем этим разношерстым хозяйством. А если и не знаете, то не расстраивайтесь, ведь никто другой, скорее всего, это тоже не знает.*

При выборе оборудования не обращайте внимание на наличие русскоязычной техподдержки сами во всем разберемся.


Не используйте резервирование. Ничего страшного если что-то постоит без работы, кто-нибудь да отремонтирует.


Не заключайте договор о расширенной гарантии и поддержке. Сгорит значит сгорит. Нужно стоически принимать удары судьбы.


Не имейте спасательного фонда. Только с колес. Если что-то выйдет из строя всегда можно срочно купить устройство на замену, желательно за наличные из такого же хлама, что подвернется под руку.


Wi-Fi


При развертывании Wi-Fi не используйте гостевую сеть. Смело раздавайте всем на право и налево ключ от офисного Wi-Fi. Разумеется, пароль обязательно быть один на всех. Никаких RADUS, Dynamic Personal Pre-Shared Key (DPPSK) и прочих ненужных вещей!


Покупайте устаревшие модели точек доступа просто потому что они дешевле. Лучше брать с рук или на рынке, без гарантии и документации, от неизвестного производителя.


Разместите точку единственную доступа в самом труднодоступном изолированном месте. Глухой подвал с железной дверь вполне подойдет.


Используйте только одну точку доступа на всех. Если все жалуются, что у них не ловит пусть поищут в офисе место, где сигнал стабильней. Например, пусть все выйдут в коридор.


Поставьте рядом с точкой доступа побольше микроволновок, устройств с BlueTooth и других гаджетов, использующих радиовещание или создающее помехи.


Если начальство требует что-то сделать с Wi-Fi, который не ловит разместите несколько одинаковых точек доступа рядом друг другом. Не настраивайте никаких параметров для снижения взаимного влияния.


Не используйте никакие средства Wi-Fi роуминга. Контроллеры точек Wi-Fi (даже если за эту функцию не надо платить, и она уже есть в сетевом оборудовании) жутко обременительная вещь.


Никогда не используйте облачные решения для контроля точек доступа. Лучше всё настраивать вручную.


Не используйте удаленное управление точками доступа. Например, чтобы перезагрузить точку по питанию, лучше послать человека с раскладной лестницей.


Не используйте PoE для питания точек доступа. Если розеток недостаточно или точки находятся в трудно доступных местах используйте обычные удлинители для электропитания. Хорошей идеей также будет втыкать удлинители электропитания один в другой, чтобы получить нужную длину. Если искрит значит работает!


Не используйте шифрование в Wi-Fi. Если этого требует начальство используйте самый простой вариант. Если ваша точка доступа всё ещё поддерживает WEP используйте именно это. А то вдруг кто-то придет с устаревшим ноутбуком, который поддерживает только этот вариант...


СКС и учет оборудования


Никакой маркировки кабелей! Забудьте про кроссовый журнал. Только по памяти или методом "тыка".


Совет: Чтобы узнавать, что куда подключено, лучше всего просто выдернуть патчкорд из порта, и подождать, кто прибежит. Так можно узнать не только какое оборудование висит на данном проводе, но и насколько оно важно для работы сети.

Не ведите никакого учета оборудования. Только то, что в голове, только по памяти. Если заставляют вести документацию смело пишите в ней что попало. И, конечно, не вздумайте использовать никакую централизованную облачную систему.


Всегда прокладывайте СКС самым дешевым и устаревшим кабелем. Помните, что категория 5 (не 5E, а именно чистая пятерка) на высоких скоростях работает ничуть не хуже, чем более современные 5E, 6, 6A, 7...


Покупайте только самые дешевые патчкорды.


Не используйте патчпанели. Лучше всего провод сразу из стены обжать и воткнуть в порт оборудования.


Старый разболтанный обжимной инструмент от неизвестного производителя это самый лучший вариант для оконцовывания кабелей. Не имейте ничего хорошего и надежного.


Безопасность


Используйте только самые простые пароли. Лучше использовать пароли по умолчанию. Если интерфейс требует сменить пароль введите очень простой, который можно получить из словаря


Не используйте VPN и любое другое шифрование трафика. Честным людям нечего скрывать.


Не читайте логи безопасности. Всё равно ничего полезного там не прочтете, а если прочтете, то всё равно не поймете.


В настройках безопасности используйте самый простой режим по умолчанию.


Используйте прямое подключение через Интернет. Никаких этих дурацких вещей вроде DMZ и тому подобного. Только сразу напрямую к серверам во внутренней сети. И никаких дополнительных средств защиты!


Используйте неизвестные программы от третьих лиц вместо фирменного ПО. Например, зачем использовать Zyxel One Network, если можно воспользоваться каким-нибудь левым сканером сети с хакерского сайта, желательно ещё и крякнутой версией.


Совет. Разумеется, это всё гораздо надежнее, чем использовать облачные решения, ведь там за безопасностью следят злые админы, а это добрые люди на форуме посоветовали. Поэтому в облако ни-ни.

Не используйте антивирус. Ни на шлюзе, нигде. Все знают, что антивирус замедляет компьютеры. Пусть всё добро из Интернет незамедлительно проходит сразу на серверы и компьютеры пользователей.


Не используйте антиспам. Любая фильтрация нарушает свободу переписки. Вдруг прямо сейчас кто-то из сотрудников получит письмо о наследстве из Нигерии. Он непременно будет вам признателен за эту возможность.


Не проводите поведенческого анализа действий пользователей в сети. Пусть сотрудники качают всё, что им вздумается. Чем больше они скачают на компьютеры, тем меньше останется в Интернет, и ваша компания станет несомненно богаче.


Модернизация имеющейся сети


Всячески уклоняйтесь от модернизации. По большому счету не важно, какая пропускная способность сети. Ethernet HUB 10Mb/s ни в чем не уступает коммутатору L3 10 Gigabit Ethernet.


Совет 1. Если начальство всё же настаивает на модернизации сети, начните проводить плановые работы в самое неудобное время, например, в активные бизнес-часы. Посидят несколько часов без сети авось поумнеют и отвяжутся со своей модернизацией.

Совет 2. Составьте список из самого дорого оборудования (пусть даже вам не так нужен весь этот набор функций) и запросите для начальства счет с кругленькой цифрой. Они непременно откажутся от планов модернизации, увидев, как много денег им придется потратить.

При выполнении работ не составляйте никаких планов заранее. Всё должно происходить строго по наитию. Спонтанные решения всегда лучше тщательного предварительной проработки.


Никогда, вы слышите, никогда не читайте документацию! Даже если ничего не знаете, методом тыка действовать всегда лучше, чем вооружившись инструкцией. И вообще, это глупо тратить бесценное время на чтение, если уже сразу можно начать ковыряться в настройках и железе.


Не обновляйте firmware сетевого оборудования. Не используйте централизованную систему контроля версий прошивок.


Даже если оборудование уже куплено, просто не устанавливайте его. Ведь для этого нужно научится с ним работать, потом произвести плановую остановку, выполнить какие-то действия по замене и настройке Проще потратить деньги и отчитаться.


Совет. Если установки не избежать, то по возможности оттяните её как можно дольше, когда новое оборудование уже изрядно устареет. Так вы всегда можете сказать: "Ну вот видите, поставили новое, а получился всё равно отстой".

Мониторинг


Не контролируйте сеть. Не читайте логи. Вообще не используйте систему мониторинга. И уж точно не используйте никакие облачные системы от производителя.


Не настраивайте никакого информирования: ни по почте, ни по СМС, ни-че-го Пока не знаете о проблеме и голова не болит.


Не используйте никакую удаленную систему управления. Только личный приход в серверную избавит вас от большинства проблем.


Работа с персоналом


Не определяйте даже примерно зоны ответственности. Пусть все отвечают за всё.


Настоящий профессионал всегда знает всё. Если человек говорит, что с чем-то до этого момента не сталкивался и ему надо почитать литературу это слабак, его надо немедленно уволить и нанять всезнайку. Эффект Даннинга-Крюгера выдумали просто так, для утешения неудачников.


Никогда не признавайте свои ошибки. Лучше потихоньку замести следы или доказывать, что оно само так получилось.


Всегда нанимайте для выполнения работ случайных людей подешевле. Помните, что хороший специалист всегда соглашается поработать бесплатно, а самые крутые ещё доплатят вам, потому что работать в этой компании большая честь для них.


Никогда ничего не проверяйте и не тестируйте. Помните, что настоящие профессионалы никогда не ошибаются.



Вот и закончился наш список. Разумеется, это всего лишь шутка. Но в каждой шутки есть доля правды.


И мы выражаем поддержку тем, кто не допускает подобных вещей или вынужден бороться против подобного.


Полезные ссылки


Telegram chat Zyxel


Форум по оборудованию Zyxel


Много полезного видео на канале Youtube

Подробнее..

Убираем старые проблемы защиты крупных и малых сетей

24.11.2020 12:18:29 | Автор: admin


Черепаха особое построение римских легионеров.


До сих пор существует практика разделять подход к безопасности для небольших компаний и для крупного бизнеса. С одной стороны, вроде бы логика в этом прослеживается. Якобы для штаб-квартиры в столице требуется высокий уровень безопасности, а для небольшого филиала уровень попроще и пониже.


Но, может быть, стоит посмотреть с другой стороны? Владельцы хотят максимально обезопасить свой бизнес, даже если он небольшой. А если государственная организация находится не в столице, то это не значит, что она должна работать с перебоями только потому, что в ИТ из-за проблем с безопасностью что-то нарушилось и никак не восстановят.


Когда вместо того, чтобы взламывать хорошо оберегаемый центральный узел, достаточно получить доступ к менее защищённой сети филиала это уже давно является классикой жанра. А сетевые администраторы постоянно решают множество интересных проблем из-за необходимости поддерживать одновременно целый зоопарк линеек оборудования: посерьёзнее и подороже для штаб-квартиры и попроще и подешевле для филиалов и небольших предприятий.


С другой стороны, и на уровне Enterprise возникает ситуация, что любое локальное решение может быть недостаточным. Проще говоря, какую сверхмощную железку ни поставишь её возможностей всё равно будет мало.


Zyxel знает про эти проблемы и предлагает комплексный подход для решения.


Во-первых, можно сделать продуктовую линейку соответствующих устройств более широкой. Включающей оборудование как для небольшой сети, так и для крупной ИТ инфраструктуры.


Во-вторых, подключить внешние облачные сервисы. Тогда небольшие мощности используемого железа компенсируются за счёт возможностей облака.


Ниже мы разберём, как это выглядит на практике. Забегая вперёд, стоит сказать, что речь пойдёт о недавно поступившей в продажу платформе USG FLEX.


Почему облачные технологии так важны?


Коллективная защита


Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.


Борьба средств безопасности против сетевых угроз это уже не классический сценарий самый твёрдый наконечник против самого крепкого щита, сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит. Тут самое время попросить помощи у соратников. Если сложить щиты в плотную конструкцию, можно отразить гораздо больше атак с самых разных сторон, нежели в одиночку.


В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время крутили пальцем у виска, предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.


Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.


Это интересно. Уже в следующей прошивке будет выпущена полноценная поддержка централизованного облака Zyxel Nebula. Появится возможность использовать облачные ресурсы не только для защиты, но и реализовать централизованное управление крупной сетевой инфраструктурой, подключившись к облаку. Новая прошивка планируется в марте 2021 года.

Что делается для повышения защиты?


В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.


То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.


Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.


Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря облаку.


В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.


Откуда поступают данные о вредоносных элементах?


В облачной базе данных, поддерживающей USG FLEX, собираются подробные сведения, предоставляемые ведущими компаниями и организациями в области кибербезопасности для накопления информации о проблемных файлах и данных об угрозах. Сбор информации происходит постоянно в режиме реального времени. Мощная база данных позволяет повысить точность выявления вредоносного кода.


Отдельно стоит отметить хорошую контекстную фильтрацию, а также специальный фильтр CTIRU (Counter-Terrorism Internet Referral Unit) для ограничения доступа к экстремистской информации. В последнее время, к сожалению, эта функция становится необходимой.


Давайте попробуем галопом-по-европам пробежаться по основным ступенькам защиты, предоставляемым USG FLEX.


Среди функций безопасности стоит выделить такие возможности, как:


  • антивирусная защита;
  • антиспам;
  • фильтрация URL и IDP для отражения атак извне;
  • Патруль приложений;
  • контентная фильтрация (вместе с Патрулем приложений эти функции блокируют доступ пользователей к посторонним приложениям и web-сайтам);
  • инспекция SSL с поддержкой TLS 1.3. (для анализа защищённого трафика).

Применение этих сервисов позволяет ликвидировать слабые места в системе защиты корпоративной сети.


Аналитические отчёты и углублённый анализ угроз


В принципе, у Zyxel всегда было неплохо со статистикой и построение отчётов. В USG FLEX это поучило дальнейшее развитие. Графические диаграммы по статистике угроз, сводка статистики по трафику выводятся на главной консоли межсетевых экранов, это позволяет быстро понять, что происходит в сети.


Сервис SecuReporter предоставляет детальный анализ угроз, что даёт возможность вовремя проследить изменения в сети и вовремя избежать неприятностей.


Когда все события отображаются на одной централизованной консоли это удобно. Управлять разными клиентами и устройствами теперь стало проще.


Не только безопасность


Как говорится, безопасность безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?


Много разных VPN


Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым полевым офисам.


Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах всё равно можно настроить подключение по VPN к удалённому офису.


Для чего нужна расширенная подписка?


При построении защищённых сетей возникает противоречивая ситуация. С одной стороны, необходимо установить высокий уровень безопасности без разделения предприятий на малые и большие (бедные и богатые, столичные и провинциальные и так далее). С другой стороны, для каждой ситуации необходим индивидуальный подход. Порой приходится работать максимально гибко, с привлечением набора дополнительных, но необязательных функций. Для этого и существует расширенная подписка


Расширенная подписка добавляет лицензии на Unified Threat Management для поддержки функций:


  • Web Filtering Блокирование доступа к опасным и подозрительным web-сайтам;
  • IPS (IDP) проверка пакетов на наличие вредоносного кода;
  • Application Patrol анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
  • Anti-Malware проверка файлов и выявление опасных сюрпризов с использованием облачных мощностей;
  • Email Security поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
  • SecuReporter расширенный анализ в области безопасности, построение подробных отчётов.

Пакет сервисов Hospitality


USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.


Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.


Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.


Примечание. Hospitality это индустрия гостеприимства (отели, рестораны, кафе...), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством приходящих сотрудников.

Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.


SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.


Миграция без усилий и проблем


Если используются лицензии серии USG в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.


Подробнее об устройствах USG FLEX


Прежде чем приступим к описанию, остановимся на ключевых моментах.


Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.


Тут возникает масса интересных сюрпризов. Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только на бумаге), так ещё и настройка всего этого хозяйства может занять значительное время. Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.


В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.


Совет. Чтобы получить устройство на тест, нужно прислать запрос по адресу: Sales_rusc@zyxel.eu

Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:


  • USG FLEX 100 и версию с точкой доступа Wi-Fi USG FLEX 100W.
  • USG FLEX 200;
  • USG FLEX 500;
  • USG FLEX 700.

Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.


Ниже мы остановимся подробно на каждой модели USG FLEX.


Описание USG FLEX 100


Это самый простой, экономичный, но, тем не менее, надёжный вариант защиты для небольших филиалов и малых сетей.


Устройство мало потребляет, питание осуществляется от внешнего адаптера на 2A, 12V постоянного тока.


Имеет 4 порта LAN/DMZ, 1 порт WAN, 1 порт SFP.


Также присутствует порт USB, через который можно подключит USB-модем для создания резервного канала.



Рисунок 1. Внешний вид USG FLEX 100.



Несколько слов о USG FLEX 100W


В принципе, модель USG FLEX 100W отличается от модели USG FLEX 100 только встроенным модулем Wi-Fi.


Характеристики Wi-Fi:


  • Соответствие стандартам 802.11 a/b/g/n/ac
  • Частота радиосвязи 2.4 / 5 ГГц
  • Количество радио модулей 2
  • Количество SSID 8
  • Количество антенн 3 съёмные антенны
  • Усиление антенны 2 дБи @ 2.4 ГГц
  • Скорость передачи данных 802.11n: до 450 Мбит/сек, 802.11ac: до 1300 Мбит/сек.


Рисунок 2. Внешний вид USG FLEX 100W.


Как уже было сказано выше, основные отличия лежат в количественных показателях:


  • Пропускная способность SPI (Мбит/сёк) 900
  • Пропускная способность VPN (Мбит/сёк) 270
  • Пропускная способность IDP(Мбит/сёк) 540
  • Пропускная способность AV (Мбит/сёк) 360
  • Пропускная способность UTM (AV и IDP) 360
  • Максимум одновременных TCP сессий 300,000
  • Максимум одновременных туннелей IPSec 40
  • Максимум одновременных туннелей SSL 30

Описание USG FLEX 200


А это уже вариант немного мощнее.


Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.


Для питания нужен уже блок на 2,5A 12V постоянного тока.



Рисунок 3. Внешний вид USG FLEX 200.


По производительности и пропускной способности показатели также выше:


  • Пропускная способность SPI (Мбит/сёк) 1,800
  • Пропускная способность VPN (Мбит/сёк) 450
  • Пропускная способность IDP(Мбит/сёк) 1,100
  • Пропускная способность AV (Мбит/сёк) 570
  • Пропускная способность UTM (AV и IDP) 550
  • Максимум одновременных TCP сессий 600,000
  • Максимум одновременных туннелей IPSec 100
  • Максимум одновременных туннелей SSL 60
  • VLAN интерфейсы 16

Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.


Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.


Описание USG FLEX 500


Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0


Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала можно легко переназначить 3 WAN и 4 LAN порта.

Видно, что это универсальное устройство для решения широкого спектра задач.


Для питания нужен ещё более мощный блок 4.17А, 12V постоянного тока.


Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.



Рисунок 4. Внешний вид USG FLEX 500.


Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:


  • Пропускная способность SPI (Мбит/сёк) 2,300
  • Пропускная способность VPN (Мбит/сёк) 810
  • Пропускная способность IDP(Мбит/сёк) 1,500
  • Пропускная способность AV (Мбит/сёк) 800
  • Пропускная способность UTM (AV и IDP) 800
  • Максимум одновременных TCP сессий 1,000,000
  • Максимум одновременных туннелей IPSec 300
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 64

Описание USG FLEX 700


Это устройство появилось позже всех, его можно назвать флагманом линейки. Имеет целых 12 конфигурируемых портов, 2 порта SFP, 2 порта USB 3.0


Питание производится из стандартной сети переменного тока 100-240V, 50/60Hz, ~2.5А.


Для охлаждения применяется встроенный вентилятор.


Это классическое устройство для серверной или кроссовой, с широкими возможностями как для обеспечения безопасности, так и для организации работы сети.



Рисунок 5. Внешний вид USG FLEX 700.


Имеет самую высокую производительность из всех USG FLEX на данный момент


  • Пропускная способность SPI (Мбит/сёк) 5,400
  • Пропускная способность VPN (Мбит/сёк) 1,100
  • Пропускная способность IDP(Мбит/сёк) 2,000
  • Пропускная способность AV (Мбит/сёк) 1,450
  • Пропускная способность UTM (AV и IDP) 1,350
  • Максимум одновременных TCP сессий 1,600,000
  • Максимум одновременных туннелей IPSec 500
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 128


Подведём небольшой итог:


  • И большие и малые сети требуют заботы о безопасности.
  • Облачные решение упрощают построение и обслуживание защищённой сети.
  • Новая линейка Zyxel USG FLEX как раз для этого и создавалась.

Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Преимущества USG FLEX
  5. Полезная статья в КБ о USG FLEX
  6. Видео: Перенос лицензий с устройств USG на устройства USG FLEX Series
  7. Описание USG-FLEX-100
  8. Описание USG-FLEX-100W
  9. Описание USG-FLEX-200
  10. Описание USG-FLEX-500
  11. Описание USG-FLEX-700
Подробнее..

Коммутаторы L2, L2 и L3 что, когда, куда, откуда, как, зачем и почему?

15.12.2020 12:20:26 | Автор: admin


Но это же в любом учебнике по сетям написано! возмутится нетерпеливый читатель.


Однако, не нужно спешить с выводами. Написано по этому поводу много, но, к сожалению, далеко не всегда понятным языком. Вот и рождаются вредные мифы.


Поэтому не всегда в точности понятно, когда и куда какое устройство приспособить. Представьте, звонит сисадмину начальник ИТ отдела и требует быстро подобрать в запас очень бюджетный коммутатор, и чтобы все основные функции закрывал, пока деньги не перехватили и настроение у директора хорошее.


И начинает наш герой ломать голову: взять L3, чтобы на все случаи жизни, но он дорогой или взять подешевле L2, а вдруг прогадаешь Да ещё этот L2+ непонятно что за промежуточный уровень...


Подобные сомнения иногда обуревают даже опытных специалистов, когда встаёт вопрос выбора устройств при жёстком лимите бюджета.


Для начала опровергнем основные мифы


Коммутатор L3 имеет большую пропускную способность чем L2?


Такой взаимосвязи нет. Всё зависит от аппаратного и программного обеспечения (firmware), размещённых портов (интерфейсов), поддержки соответствующих стандартов.


Разумеется, связь с использованием коммутатора уровня L3 через сетевой интерфейс 1Gb/s будет медленнее, чем с использованием коммутатора L2 через 10 Gb/s.


Возможно, этот миф связан с тем, что коммутаторы L3 поддерживают больше функций, что находит отражение в аппаратном обеспечении: быстрее процессор, больше памяти, нежели чем у коммутаторов L2 того же поколения. Но, во-первых, иногда коммутаторы L2 тоже выпускаются на базе мощных контроллеров, позволяющих быстро обрабатывать служебные данные и пересылать кадры Ethernet, во-вторых, даже усиленному железу коммутатора L3 есть чем заняться: управлять VLAN, анализировать ACL на основе IP и так далее. Поэтому если судить по загрузке, однозначно ответить на вопрос: Какой коммутатор мощнее? не получится.


Коммутаторы L3 более современные, а L2 уже вчерашний день?


Это вовсе не так. На сегодняшний день выпускаются как коммутаторы L2, так и коммутаторы L3. Коммутаторов уровня L2 выпускается достаточно много, потому что работать им приходится чаще всего на уровне доступа (пользователей), где и портов, и коммутаторов требуется значительно больше.


Немного теории в вопросах и ответах


Откуда взялись эти названия L2, L3?


Из 7 уровней модели OSI.


Коммутатор L2 работает на втором, канальном уровне.


Коммутатор L3 работает как на втором, так и на третьем уровне.


Примечание. Сетевая модель OSI (The Open Systems Interconnection model) определяет различные уровни взаимодействия систем. При таком разбиении каждому уровню отводится своя роль и назначены определённые функции для взаимодействия по сети.

Таблица 1. Уровни модели OSI ISO


Уровень Тип обрабатываемых данных Функции
7. Приложений Данные пользователей прикладного ПО Программы и сервисы обмена данными
6. Представлений Закодированные данные пользователей Общий формат представления данных, сжатие, шифрование
5. Сеансовый Сессии Установление сессий между приложениями
4. Транспортный Сегменты Адресация процессов, сегментация/повторная сборка данных, управляемые потоки, надёжная доставка
3. Сетевой Дейтаграммы/пакеты Передача сообщений между удалёнными устройствами, выбор наилучшего маршрута, логическая адресация
2. Канальный Кадры Доступ к среде передачи и физическая адресация
1. Физический Биты Передача электрических сигналов между устройствами

А просто, понятно и в двух словах?


В самом простом случае коммутатор служит для связи нескольких устройств локальной сети (LAN). Этими устройствами могут быть, например, отдельные компьютеры или другие коммутаторы.


Именно так работает коммутатор L2 на уровне Ethernet: анализирует аппаратные MAC адреса, заносит их в таблицу коммутации и согласно этой таблице перераспределяет трафик.


Коммутатор L3 тоже может анализировать пакеты по MAC адресам и перенаправлять кадры между подключёнными устройствами, но, помимо пересылки Ethernet кадров, он умеет перенаправлять трафик, основываясь на анализе IP адресов и выполнять функции внутреннего маршрутизатора.


А подробней?


Коммутатор L2 обрабатывает и регистрирует MAC адреса фреймов, осуществляет физическую адресацию и управления потоком данных. Некоторые дополнительные функции: VLAN, QoS поддерживаются только на уровне, необходимом для передачи параметров или для участия в общей схеме сети. Например, на коммутаторе L2 можно прописать несколько VLAN, но нельзя настроить полноценную маршрутизацию между ними, для этого уже нужен коммутатор L3. Проще говоря, коммутатор уровня L2 обеспечивает некоторые дополнительные функции, но не управляет ими в масштабе сети.


В отличие от своих более простых собратьев, коммутаторы L3 могут брать на себя функции маршрутизаторов, в том числе проверку логической адресации и выбор пути (маршрута) доставки данных. Благодаря повсеместному внедрению стека протоколов TCP/IP, коммутаторы уровня L3 являются важной частью сети, так как могут выполнять пересылку пакетов не только на основе анализа MAC адресов, но и поднимаясь на этаж выше, то есть на основе IP адресов и соответствующих протоколов маршрутизации


Разумеется, никому в голову не придёт строить внешнюю разветвлённую сеть с BGP маршрутизацией на базе коммутаторов. Однако для внутренней маршрутизации в пределах локальной сети такой вариант вполне подходит. Мало того, это позволяет экономить на приобретении дополнительных устройств (маршрутизаторов), использовать универсальный подход к организации сети.


Из-за поддержки многих функций коммутатор уровня L3 имеют более сложную внутреннюю конфигурацию и, соответственно, стоят дороже. Иногда пользователь встаёт перед выбором: купить более простой и бюджетный вариант с Layer 2 или более дорогой и продвинутый Layer 3.


А что за дополнительные уровни: доступа, агрегации, ядра?


Помимо уровней модели OSI: Layer 2, Layer 3, в литературе часто упоминаются уровень доступа, уровень агрегации, уровень ядра сети.


Подробней об этом мы писали в статье Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети


Если описать кратко:


  • Уровень доступа группа коммутаторов, основной задачей которых является подключения пользователей к сети.
  • Уровень агрегации (или уровень распределения) следующая группа, которая объединяет коммутаторы уровня доступа, позволяет выполнить настройки управления и маршрутизации и делегирует Uplink на более высокий уровень уровень ядра сети.
  • Уровень ядра сети центральный узел, который объединяет все ветви коммутаторов уровня агрегации с подключёнными коммутаторами уровня доступа в единую сеть.

Если сравнивать с древовидной структурой, то ядро сети это ствол, уровень агрегации/распределения это крупные ветви, коммутаторы уровня доступа мелкие веточки, а компьютеры пользователей это листья.



Рисунок 1. Уровни построения локальной сети.


Коммутаторы, которые служат для объединения других коммутаторов в единую сеть, называют коммутаторы уровня агрегации (или коммутаторы уровня распределения).


Если же говорить про уровень ядра сети, то для него существуют свои мощные коммутаторы, основная задача которых максимально быстро передавать трафик. Функции управления при этом довольно часто делегируется на уровень агрегации.


Есть ли связь между понятиями уровней L2 и L3 с уровнем доступа и уровнем агрегации? Традиционно считается, что для уровня доступа лучше подходят коммутаторы L2 (в первую очередь из-за более низкой цены, а для уровня агрегации лучше выбирать L3 ради повышенной функциональности.


Чем хорош такой подход? Устанавливать более функциональные и дорогие коммутаторы уровня L3 на уровне доступа может быть неоправданным шагом, если их функции маршрутизации и контроля не будут востребованы. А этих же функций будет недоставать более простым коммутаторам L2 на уровне агрегации (распределения).


Теория это отлично, но начальник требует побыстрее подобрать подходящий коммутатор...


Если есть сомнения какой уровень коммутатора выбрать: уровня 2 или уровня 3, во главу угла нужно ставить вопрос, где его предполагается использовать. Если в наличии только небольшая сеть, позволяющая всем работать в единственном широковещательном домене, можно остановить свой выбор на одном или двух коммутаторах L2.


Второй случай, где коммутаторы второго уровня хорошо себя чувствуют уровень доступа, то есть там, где компьютеры пользователей подключаются к локальной сети.


Если необходим коммутатор для объединения (агрегирования) нескольких простых коммутаторов доступа пользователей для этой роли лучше подходит коммутатор уровня 3. Помимо объединения в сеть, он может выполнять маршрутизацию между VLAN, управлять прохождением трафика при помощи ACL (Access Control List), обеспечивать заданный уровень ширины пропускания (QoS) и так далее.


Ещё одна область, где коммутаторы L3 часто бывают востребованы если необходимо обеспечить повышенные требования к безопасности, например, более гибкое разграничение доступа. Некоторые функции, доступные для этого уровня, например, управление трафиком на уровне IP адресов, будут неосуществимы стандартными средства уровня L2.


Чем отличаются коммутаторы L2 и L2+


L2+ это коммутатор второго уровня с добавленными функциями. Например, может быть добавлена поддержка статической маршрутизации, физического объединения в стек нескольких коммутаторов для отказоустойчивости, дополнительные функции безопасности и так далее.


Примечание. В сравнительной таблице, приводимой в конце статьи, можно видеть, что уровни L2 и L2+ могут различаться на одну-две функции. Однако даже такая небольшая деталь может оказаться критичной, например, для вопросов отказоустойчивости или безопасности.

От слова к делу! Сравним разные коммутаторы на примере


Для наглядности выберем три модели примерно одного уровня. Понятно, что коммутаторы L2, L2+ и L3 здорово отличаются по функциям. Поэтому приходится использовать общие признаки. Например, сравнивать коммутаторы на 5 и 50 портов (включая Uplink) будет некорректно.


В итоге мы выбрали три коммутатора:



Обратите внимание, что внешне устройств довольно похожи, чего не скажешь об их возможностях и предполагаемых ролях. Для наглядности ниже приводим небольшой фрагмент сравнительной таблицы функций.


А функций у этих моделей коммутаторов очень много. Чтобы не пытаться объять необъятное, мы выбрали наиболее очевидные функциональные области: управление трафиком, безопасность и маршрутизация. Другие группы опций тоже отличаются, но не так очевидно.


Zyxel XGS4600-32 коммутатор Layer 3


  • Имеет 24 гигабитных порта под витую пару, 4 порта Combo (SFP/RJ45) и четыре интегрированных 10-Gigabit SFP+
  • Поддерживает объединение в физический стек с использованием одного или двух слотов 10-Gigabit SFP+.
  • Поддерживает и статическую, и динамическую маршрутизацию.
  • Имеет два отдельных разъёма подключения питания.


Рисунок 2. Коммутатор Zyxel XGS4600-32 коммутатор Layer 3.


Zyxel XGS2210 коммутатор Layer 2+


Одно из предназначений создание сети для передачи трафика VoIP, видеоконференций, IPTV и IP-камер видеонаблюдения наблюдения и управление трафиком современных конвергентных приложений.


Поддерживает объединение в физический стек с помощью двух портов 10-Gigabit SFP+.


Поддерживает PoE (стандарты IEEE 802.3af PoE и 802.3at PoE Plus) до 30Ватт на порт для питания устройств с большей потребляемой мощностью, например, это могут быть точки доступа 802.11ac и IP-видеотелефоны.


В данной модели присутствуют дополнительные средства поддержки безопасности, например, IP source guard, DHCP snooping и ARP inspection, механизмы фильтрации L2, L3 и L4, функцию MAC freeze, изоляцию портов и создание гостевой VLAN.


Добавлены элементы статической маршрутизации IPv4/v6 и назначение DHCP relay с конкретным IP интерфейсом отправителя.



Рисунок 3. Zyxel XGS2210 коммутатор Layer 2+


Zyxel GS2220 коммутатор Layer 2


Интересно, что серия GS2220 это гибридные коммутаторы с доступными вариантами управления: через облако Zyxel Nebula, через локальное подключение, плюс поддержка SNMP.


Из интересных функций можно выделить L2 multicast, IGMP snooping, Multicast VLAN Registration (MVR).
Данная модель неплохо подходит и для обеспечения сетевой среды VoIP, видеоконференций и IPTV.



Рисунок 4. Zyxel GS2220 коммутатор Layer 2.


Это интересно


Компания Zyxel Networks сообщила о поддержке своих коммутаторов в специализированном режиме Networked AV (созданного совместно с компанией ATEN), позволяющего облегчить внедрение AV-систем на базе коммутаторов и повысить эффективность их использования.


Стоит отметить специальную программу мастер настройки. Она специально разработана для удобного управления функциями, которые часто используются при настройке сетей потоковой передачи аудио/видео.


Также появилась новая консоль Networked AV dashboard для контроля основных параметров: данные о портах, расход электроэнергии, и другая информация, благодаря которой можно сразу проверить текущее состояние сети и настроить коммутатор.


Для гигабитных управляемых коммутаторов второго уровня серии GS2220 режим Networked AV доступен с сентября 2020 года (нужно обновить микропрограмму до версии v4.70 или более поздней). Для коммутаторов серии XGS2210 доступ ожидается до конца 2020 года.


Таблица 2. Сравнение коммутаторов XGS4600-32 (L3), XGS2210-28 (L2+) и GS2220-28 (L2).



* Функции, доступные также в облачном режиме управления.


Небольшие итоги


Каждая вещь хороша на своём месте (спасибо, капитан Очевидность).


Нет смысла переплачивать за более высокий уровень коммутатора только потому, что он кажется круче. В то же время скупой платит дважды, и нехватка критической функции может потребовать дополнительных расходов в виде замены коммутатора.


В некоторых случаях выручают коммутаторы L2+ как компромиссный вариант. Функции, которых нет в L2, но есть в L2+ могут быть весьма полезны и способны вывести сетевую инфраструктуру на новый уровень отказоустойчивости и безопасности


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы Zyxel L3 серии XGS4600
  5. Коммутаторы Zyxel L2+ серии XGS2210
  6. Коммутаторы Zyxel L2 серии GS2220
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  8. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
Подробнее..

Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа

25.02.2021 12:15:55 | Автор: admin


Как решить вопрос с аутентификацией, если инфраструктура совсем небольшая и под рукой нет ничего кроме аппаратного межсетевого экрана? Как обойтись без настройки второго сервера RADIUS и всё равно реализовать отказоустойчивое решение? И как выглядит вариант, когда всё управляется из облака?
В этой статье рассказывается сразу о двух возможностях аутентификации: встроенного сервиса аутентификации на межсетевом экране и аутентификации в Zyxel Nebula.


В статье Настройка WPA2 Enterprise c RADIUS мы описали вариант использования корпоративной схемы аутентификации с внешним сервером RADIUS. Для создания такой системы нужен ни много ни мало сам сервер RADIUS (для этого нам понадобилось развернуть на отдельной машине с Linux пакет Free RADIUS).


Напомню, для чего это нужно. Когда используется простая схема WPA2 Personal c единственным ключом на все беспроводные устройства это годится только для небольших сетей. Основное ограничение в том, что заменить такой ключ весьма непросто придётся вводить заново на всех устройствах всех пользователей, кто подключается к WiFi сети. А менять рано или поздно придётся. Среди причин наиболее частыми называют компрометацию со стороны пользователей и сугубо кадровые процессы: увольнение, перевод на другую работу и так далее.


Примечание. Ситуация осложняется, когда приходится иметь дело с VIP пользователями. Застать их на месте, чтобы заменить ключ, довольно трудно, кроме всего прочего у них обычно целая куча устройств: смартфон, ноутбук, планшет и даже телевизор. И всем нужно обращаться в общую сеть и далее в Интернет.

Но что делать, если такая в виде отдельного сервера RADIUS (пусть даже и виртуального) недоступна. В статье Что останется в серверной прорисовывается вполне понятная картина: по вполне естественным причинам в небольшой серверной в лучшем случае остаётся сетевое оборудование для удалённого доступа и вспомогательные системы вроде NAS для резервных копий рабочих станций.


Для совсем маленьких организаций может встать ещё и такой вопрос: А где размещать виртуальную машину с RADIUS?


Можно арендовать виртуалку на облачном сервисе. Это стоит определённых денег. Мало того, о такой виртуальной машине всё равно нужно заботиться: проводить обновление, аудит безопасности, читать логи, следить за состоянием файловой системы и так далее То есть это вполне себе ощутимые затраты: как финансовые, так и трудовые. И всё только ради RADIUS?


А можно как-то по-другому? Чтобы и сервис авторизации получить, и виртуалку разворачивать не пришлось и сделать всё это бесплатно? Оказывается, у Zyxel есть целых два варианта, как это можно сделать красиво, просто и без лишних затрат.


Вначале рассмотрим способ, близкий к уже знакомому традиционному сервису.


Проверьте может быть RADIUS есть в вашем шлюзе?


В шлюзах от Zyxel уже есть встроенный сервис RADIUS. То есть если используется, например, сетевой экран, то в нём уже есть всё необходимое для аутентификации WPA2 Enterprise.


Достаточно просто приобрести нужное устройство, подключиться к нему удалённо и выполнить настройки.


Практически в любой современной ИТ инфраструктуре можно встретить межсетевой экран для доступа в Интернет. В случае с оборудованием от Zyxel можно получить не только защиту от внешних (и внутренних!) атак, но и систему аутентификации WPA2 Enterprise c реквизитами для отдельных пользователей, и ничего устанавливать не надо, всё работает из коробки.


Однако, любая замечательная функция без конкретного описания так и останется потенциальной возможностью. Чтобы этого не произошло в этот раз, проиллюстрируем на примере как можно всё настроить, используя уже имеющиеся средства.


В качестве шлюза, сервера RADIUS у нас используется облачный межсетевой экран. Помимо основных обязанностей он может выполнять функции контроллера точек доступа.


Мы уже писали ранее об устройствах из этой линейке в статье Убираем старые проблемы защиты крупных и малых сетей.


Для примера такой схемы аутентификации прекрасно подойдёт USG FLEX 200 уже не начальный уровень, но и не топовая модель в линейке. Эта модель хорошо подходит в качестве межсетевого экрана для небольших и средних офисов.


Коротко о межсетевом экране USG FLEX 200:


  • поддержка облачных технологий Zyxel Security Cloud (в первую очередь это отличный инструмент для сбора информации об угрозах из различных источников) и Cloud Query Express (облачная база данных для надёжной защиты от вирусов);
  • фильтрация URL и IDP для отражения атак извне;
  • патруль приложений и Контентная фильтрация для контроля доступа пользователей к приложениям и web-сайтам.


Рисунок 1. Межсетевой экран USG FLEX 200.


В качестве точки для нашей демонстрации выберем ту же самую NWA210AX, уже знакомую нам по статье Настройка WPA2 Enterprise c RADIUS.


Коротко о точке доступа WA210AX устройстве:


  • поддержка Wi-Fi 6;
  • 6 пространственных потоков (4x4:4 в 5 ГГц, 2x2:2 в 2,4 ГГц);
  • поддержка OFDMA и MUMIMO;
  • имеется как локальное, так и облачное управление через Zyxel Nebula.


Рисунок 2. Точка доступа NWA210AX.


В итоге мы должны получить тот же самый результат, что и с внешним сервером, но без расходования дополнительных ресурсов на хостинг виртуальной машины и без лишних телодвижений по развёртыванию сервиса RADIUS, настройке firewalll, настройке средств безопасности и так далее.


От слова к делу настраиваем встроенный сервис RADIUS


Начинаем с получения IP адреса. Для этого воспользуемся утилитой ZON Zyxel One Network Utility, которая собирает данные обо всех устройствах Zyxel в доступном сегменте сети.


Примечание. На самом деле у программы ZON есть много других замечательных функций, но описание всех возможностей выходит за рамки данной статьи.


Рисунок 3. Утилита ZON для нашего примера


Итак, мы знаем IP адреса устройств, к которым нам предстоит подключиться.


Настройка службы на межсетевом экране


Для начала настроим службу аутентификации на межсетевом экране. Для этого необходимо зайти на веб-интерфейс. Вводим его адрес в браузере, переходим на нужную страницу. Тут у нас спросят логин и пароль. Так как это первый запуск, то используем значения по умолчанию: admin и 1234, нажимаем кнопку Login и попадаем в панель Dashboard.



Рисунок 4. Окно входа на USG FLEX 200.



Рисунок 5. Dashboard на USG FLEX 200.


Далее переходим в раздел Configuration System Auth. Server.


Первое что необходимо включить саму службу сервера аутентификации


Активируем элемент Enable Authentication Server, нажимаем Apply внизу экрана и наш сервис переходит в активное состояние.



Рисунок 6. Enable Authentication Server.


Теперь, действуя по той же схеме, что и с внешним RADIUS, в области Trusted Client необходимо указать сегмент сети, откуда будут поступать запросы и там же записать секретный ключ для аутентификации.


Нажимаем экранную кнопку Add для вызова окна Add Trusted Client.



Рисунок 7. Окно Add Trusted Client.


Соответственно, указываем в поле Profile Name имя сети, в нашем случае inside_network


IP Address и Netmask (адрес и маску подсети) 192.168.1.0 255.255.255.0.


Поле Description заполняется по желанию.


Не забываем про галочку Activate, иначе данная клиентская сеть будет игнорироваться нашим сервером аутентификации.


Нажимаем OK для окна Add Trusted Client и потом кнопку Apply для всего раздела Auth. Server. Всё, наши значения должны примениться.


После этого переходим в раздел Configuration Object User/Group и добавляем учётные записи для нужных пользователей.



Рисунок 8. Учётные записи User/Group в разделе Object (Configuration).


Нажимаем Add появится окно Add A User.



Рисунок 9. Окно ввода пользователя.


В принципе, нам нужно ввести только имя пользователя и пароль, можно ещё добавить описание. Другие настройки лучше оставить без изменений.



Рисунок 10. Новые учётные записи: ivan и rodeon с пометкой WiFi User.


Настройка точки доступа для использования сервиса аутентификации


В принципе, настройка точки доступа для аутентификации со встроенным RADIUS на шлюзе Zyxel производится аналогично, как и было показано в статье Настройка WPA2 Enterprise c RADIUS


Для начала подключаемся к нужному IP через окно браузера, вводим имя пользователя и пароль (по умолчания также admin и 1234).



Рисунок 11. Окно входа на NWA210AX.


Далее переходим в меню Configuration AP management Wlan setting.


Нас интересует область MB SSID setting. Здесь нужно отредактировать профили Wiz_SSD_1 и Wiz_SSD_2.



Рисунок 12. Configuration AP management Wlan setting.



Рисунок 13. Настройка профиля SSID Profile Wiz_SSD_1.


Нажимаем на кнопочку редактировать, напоминающие редакторский блокнот с карандашом. Появляется окно Edit SSID Profile Wiz_SSD_1. В нем нас интересуют настройки Security Profile Wiz_Sec_Profile_1 (такая же кнопочка редактировать в виде блокнота с карандашом). Дальше появляется окно Edit Security Profile Wiz_Sec_Profile_1.



Рисунок 14. Окно Edit Security Profile Wiz_Sec_Profile_1.


В этом окне и выполняем необходимые настройки.


Для основного сервера вводим IP address, UDP Port и секретный ключ.


Для подтверждения нажимаем OK.


Аналогичным образом редактируем второй профиль SSID Profile Wiz_SSD_2.


Нажимаем Apply в разделе Configuration AP management Wlan setting для применения настроек.


Переходим к настройке клиента


В статье Настройка WPA2 Enterprise c RADIUS была иллюстрация на примере Mac OS X. Теперь для разнообразия подключим ноутбук с Windows 10.


Нажимаем внизу в разделе уведомления на Панели задач значок запуска беспроводных сетей. В появившемся списке выбираем пункт Zyxel. Появится окно с запросом имени пользователя и персонального ключа.



Рисунок 15. Настройка клиента.


Вводим необходимые реквизиты и подключаемся к системе.


Мы сейчас прошли весь этап настройки с внешним готовым сервисом RADIUS на межсетевом экране. Даже без стандартных действий для серверной системы: установки пакетов, настройки firewall, тестирования самой сервисной службы всё равно операция заняла достаточно много времени. Можно ли это сделать побыстрее и с меньшими трудозатратами? Можно, если использовать Zyxel Nebula. Но об этом ниже.


Отказоустойчивость и второй RADIUS сервер


Для среды production в компаниях уровня Enterprise нужно отказоустойчивое решение. Для таких целей часто используется второй сервер аутентификации.


Довольно большое распространение получили системы на базе MS Windows, где, благодаря серверной роли Network Policy Server и авторизации в Active Directory, можно настроить два сервера аутентификации для WPA2 Enterprise, и у них будет единая синхронизированная база данных пользователей и ключей.


Что касается схемы с RADIUS сервером на единственном шлюзе, то этот вариант больше подходит для небольших офисов, не имеющих собственной внутренней инфраструктуры. Проще говоря, для тех, у кого нет своих серверов и бизнес-процессы завязаны на использование облачных ресурсов. Электронная почта, файлообмен, резервное копирование и даже бухгалтерия всё это можно получить на внешних ресурсах. По правде говоря, в этом случае при отказе единственного межсетевого экрана офисная сеть становится практически бесполезна, и в принципе уже всё равно что там с сервисом аутентификации.


Обратите внимание. При падении службы аутентификации не происходит немедленного разрыва сетевых связей, установленных благодаря сервису аутентификации. Все уже подключённые клиенты продолжат работать в локальной сети. А вот новые подключения установить будет невозможно. В то же время наличие отказоустойчивой схемы из двух шлюзов позволит избежать подобных неприятностей.

Эту задачу можно решить другим способом реализовать отказоустойчивую схему из двух шлюзов. В этом случае при отказе основного устройства работу подхватит резервное, и все сервисы, размещённые на сетевом шлюзе, в том числе аутентификация, продолжат работать.


Но всё можно решить ещё проще при использовании аутентификации в облачном сервисе Zyxel Nebula. В этом случае за отказоустойчивость самой системы отвечает мощный промышленный программно-аппаратный комплекс. Разумеется, серверы Nebula размещены в ЦОД, выполняются все необходимые процедуры по поддержанию заявленного уровня высокой доступности и так далее. Единственное, что требуется от локального офиса канал в Интернет.


Пользователю остаётся только подключить устройство к облаку Zyxel Nebula и воспользоваться всеми заявленными преимуществами.


Использование Nebula на конкретном примере


Сейчас мы уже не будем настраивать наш межсетевой экран, так как для облачной аутентификации не играет другой роли кроме как шлюз в Интернет. Доступ в беспроводную сеть будет по-прежнему идти через точку доступа NWA210AX, а за остальное, включая аутентификацию пользователей и настройку оборудования, будет отвечать Zyxel Nebula.


В рамках данной статьи не будем детально описывать весь процесс первичной настройки сервиса Zyxel Nebula, так как он касается не только беспроводной сети, но и многих других аспектов сетевой инфраструктуры.


Будем считать, что организация уже зарегистрирована в Zyxel Nebula, уже есть учётная запись администратора и создана хотя бы одна площадка.


А сейчас мы просто переходим на сайт nebula.zyxel.com вводим пароль и попадаем в облачный интерфейс.



Рисунок 16. Вход в Zyxel Nebula.


Вначале нужно зарегистрировать точку доступа. Можно воспользоваться специальным приложением для IOS или Android и просто отсканировать QR-код. Это удобно если устройство находится под рукой. Если нужно зарегистрировать удалённо, это можно сделать, зная MAC адрес и серийный номер, указав их в интерфейсе. Это метод наиболее универсальный, им и воспользуемся.


Обратите внимание. Для настройки устройств с Zyxel Nebula нам нужно только, чтобы точка доступа была подключена к сети, при этом используется исходящее соединение. То есть не нужно открывать входящие порты, пробрасывать трафик через PAT всё выполняется в рамках исходящего подключения к облаку.


Выполняем переход Площадка Конфигурация Добавление устройств и нажимаем кнопку Регистрация.



Рисунок 17. Раздел Площадка Конфигурация Добавление устройства.


Появится окно Регистрация по МАС-адресу и серийному номеру. Вводим необходимые параметры.


После ввода серийного номера и MAC Nebula сразу определяет устройство.



Рисунок 18. Окно Регистрация по МАС-адресу и серийному номеру.


Обратите внимание на важное предупреждение на красный символ со значком i:


Устройства Nebula Flex будут настроены центром управления Nebula, а настройки, используемые в автономном режиме, будут потеряны. После отмены регистрации в центре управления Nebula устройства получат заводские настройки.


В нашем случае это хорошо для аутентификации важно соблюдать принцип единоначалия. Важно помнить, что все настройки, которые были выполнены для RADIUS на шлюзе при переходе в облако отменяются.


Если действия пользователя приводят к изменению лицензии, это также отображается внизу окна.


Ставим галочку Подтверждение и нажимаем OK.


Вновь ведённую точку доступа можно увидеть в разделе Точки доступа Мониторинг Точки доступа.



Рисунок 19. Раздел Точки доступа Мониторинг Точки доступа.


Переходим в раздел Точки доступа Аутентификация. Здесь мы просто выбираем тип аутентификации WPA2 Enterprise.



Рисунок 20. Раздел Точки доступа Мониторинг Точки доступа


Обратите внимание. Так как устройства в Nebula используют исходящее соединение, то для того, чтобы они получили и применили новую конфигурацию, требуется некоторое время. В сообщении интерфейса Nebula указано, что требуется не больше 1-2 минут. На практике это занимает несколько секунд.

Нам осталось ввести учётные записи пользователей.


Нам нужен раздел Площадка Конфигурация Облачная аутентификация и далее раздел Пользователи. Нажимаем кнопку Добавить и появляется окно для создания пользователя. На рисунке ниже у нас уже создан пользователь ivan и открыто окно для редактирования реквизитов.



Рисунок 21. Учётная запись пользователя.


Далее снова берём ноутбук и настраиваем доступ к сети.


Windows выводит уже знакомое приглашение ввести логи и пароль.



Рисунок 22. Подключение к WiFi.


Но после ввода появляется ещё одно интересное сообщение:



Рисунок 23. Сообщение о подключении к сети Nebula.


В данном случае нас всё устраивает, поэтому спокойно подключаемся к WiFi сети.


Как видим, если не считать регистрации устройств, которая выполняется однократно, вся настройка сводится к выбору типа аутентификации и создания учётных записей пользователей. Никаких сторонних сервисов настраивать не нужно.


Подводя итоги


Решить вопросы аутентификации и авторизации можно несколькими способами. Например, полностью взять инициативу на себя и реализовать сервис с нуля, начиная от выбора аппаратного обеспечения для физического сервера (или виртуальной среды), соответствующего приложения, базы данных для хранения учётных записей, интерфейса для настройки.


Можно упростить задачу и использовать встроенные решения, как, например, в межсетевом экране USG FLEX. А может быть лучше максимально упростить задачу и просто использовать облачный сервис со всеми удобными функциями? Выбор, как всегда, за конечным потребителем.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Настройка WPA2 Enterprise c RADIUS
  5. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  6. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX
  7. Межсетевой экран USG FLEX 200
  8. Zyxel ONE Network Utility (ZON)
  9. Zyxel Nebula
Подробнее..

Построение сети в загородном доме нюансы и возможности

25.03.2021 12:22:32 | Автор: admin


Когда говорят о загородном доме, каждый представляет что-то своё. Для кого-то это лесная избушка на курьих ножках, для кого-то многоэтажный жилой комплекс. Поэтому и связь в этих условиях будет организована по-разному. В статье приводится описание различных нюансов, которые полезно знать при организации загородной сети.


Осторожно! Впереди много текста и упоминаний о различных сетевых устройствах. Будем рассказывать, что и для каких ситуаций можно применить.


Что понимать под словами загородный дом?


Иногда загородный дом находится в прямой видимости с городских улиц, иногда это лесная сторожка. Разумеется, цели и характер пребывания в загородном доме тоже будет различаться (спасибо, Капитан Очевидность).


Помимо чисто физических факторов очень важно определиться: Как именно люди хотят проводить время в загородной резиденции?. Это будет спартанское уединение в отрыве от цивилизации, времяпрепровождение из разряда почти как дома, только лучше или это место для удалённой работы одного или нескольких человек?


Случаи бывают самые разные.


Пример. ИТ специалист, работает в крупном интеграторе. Имеет квартиру в одном из городов Подмосковья и дачу в посёлке недалёко от МКАД. Всю рабочую неделю проводит на работе и даче, а домой в городскую квартиру ездит по выходным исключительно за уютом и благами цивилизации. В общем, всё наоборот.

Давать общие советы из разряда: Я-то лучше знаю!, вещь совершенно неблагодарная. Ниже мы попробуем представить несколько возможных вариантов загородной домашней сети с оглядкой на суровую правду жизни.


Решение для простых ситуаций


Если мобильный сигнал достаточно устойчив и неплохо принимается внутри помещения, при этом не требуется большая площадь покрытия, то можно закрыть большинство сетевых вопросов, разместив внутри дома маршрутизатор WiFi AC2050 LTE5388-M804. Он предназначен для внутренних помещений, выглядит симпатично и с успехом впишется в дачный интерьер. Кстати, есть поддержка резервирования между сотовой сетью и Ethernet WAN, так что позволяет использовать все доступные варианты, в том числе и местного проводного оператора.



Рисунок 1. LTE Cat.12 маршрутизатор резервирования WiFi AC2050 LTE5388-M804


Методы борьбы за качество связи


Как мы уже писали в статье в статье LTE как символ
независимости
, работать через местного провайдера в небольшом населённом пункте ещё та заморочка. Часто возникает ситуация как в песне про Остров невезения: Крокодил не ловится, не растёт кокос. Если у вас в загородном посёлке местный интернет-провайдер оказывает приличный уровень сервиса несомненно, удача на вашей стороне.


Во многих местах вне городской инфраструктуры получить доступ в сеть Интернет можно только через мобильного оператора. И тут вступают в дело факторы устойчивой мобильной связи, в том числе:


  1. Уровень сигнала на стороне абонента;
  2. Ширина канала на стороне оператора;
  3. Нагрузка на базовые станции оператора в районе получения услуги.

К сожалению, на что-то самостоятельно повлиять можно только в рамках пункта 1, да и то довольно условно. Мы не можем заставить сотового оператора дополнительно закупить пару-тройку базовых станций, чтобы улучшить покрытие, но можем приобрести более чувствительное оборудование для приёма и разместить его в наиболее удачном месте.


Проще говоря, беспроводное устройство: 3G/LTE/4G роутер необходимо разместить в зоне наиболее уверенного приёма сигнала. В первую очередь это нужно для того, чтобы не тратить время и ресурсы на исправление ошибок, связанных с низким уровнем сигнала. Одно из самых простых решений поднять повыше приёмник (передатчик), антенну или всё вместе, чтобы окружающий ландшафт не загораживал путь для прохождения сигнала.


Если этого не хватает, есть ещё несколько возможностей.


Например, проверить настройки чувствительности при приёме сигнала. В случае с роутером и аналогичным умным устройством это можно сделать через встроенный веб-интерфейс.


Можно попробовать другой вариант подключить внешнюю антенну, чтобы ловить больше энергии от радиоволн. Проще говоря, когда на пути радиоволны встречается электрический проводник, то количество электромагнитной энергии, преобразуемой в электрическую, зависит от размера, формы и материала проводника. Поэтому использование специализированных внешних антенн в принципе может помочь.


Примечание. Если где-то у окна или вне помещения сигнал 3G или 4G (LTE) вполне доступен, а в самом помещении ловится еле-еле или не доступен совсем стоит проверить работу с выносной антенной.

Также стоит критично подходить к выбору оборудования для приёма сигнала от сотового оператора. Большую роль играют возможности устройства анализировать входящий сигнал и вычленять из него рабочую составляющую, отбрасывая помехи, наложения другого сигнала и прочий ненужный фон.


Разумеется, ни один из приведённых выше методов не является панацеей от плохого сигнала, но использование всех доступных возможностей часто даёт неплохие результаты.


Другой щекотливый момент нагрузка на базовые станции. Боротmся с этим путём написания жалоб вряд ли получится. Дело в том, что любой сотовый оператор преследует исключительно свои интересы. Если получается взимать с потребителей деньги за весьма посредственный доступ Интернет, никто не будет ничего менять.


Ещё один нюанс, который приходится учитывать пиковая нагрузка в определённые часы. Например, когда в пятницу все соседи приехали на свои дачи и начинают звонить, писать, пересылать видео о том, как добрались.


Единственное, что можно сделать в такой ситуации подключить второй канал.


Примечание. Резервирование особенно эффективно, если большинство соседей предпочитают одного оператора и его базовая станция закипает от нагрузки тогда есть хорошие шансы, что на резервном канале от другого оператора ситуация будет лучше.

Маршрутизатор для внешнего размещения


Как было сказано выше, первое, что приходит на ум взять и перенести роутер с его антенной в нужное место. Однако для этого нужно выбрать модель, специально предназначенную для работы на улице. Имея защиту от влаги и перепада температур, такое устройство без особых проблем будет работать на высоте вне помещения. Особенно удобно, когда питание подаётся через PoE, и тянуть второй провод для питания не нужно. Даже если нет PoE коммутатора, то единственного кабеля
Ethernet хватит, чтобы получить сигнал от роутера, например, для ноутбука и подать на сам роутер питание через PoE инжектор.


Можно пойти проторенным путём и приобрести модель, уже неплохо показавшую себя в боях за загородный Интернет, например, уличный маршрутизатор 4G LTE-A Zyxel LTE7480-M804 Такой роутер способен обеспечить уверенный приём в труднодоступных местах и пережить капризы погоды при наружном размещении. И это достаточно недорогой вариант.



Рисунок 2. Уличный маршрутизатор LTE7480-M804.


Можно использовать и другую схему: уличный маршрутизатор обеспечивает только связь с провайдером, а за внутренние коммуникации отвечает локальная сеть с дополнительными точками доступа, коммутатором и так далее. Об организации локальной сети будет сказано ниже.


Для такого случая подойдёт недавно поступивший в продажу уличный маршрутизатор 5G/4G/LTE-A NR7101, со множеством полезных функций.



Рисунок 3. Уличный маршрутизатор 5G/4G/LTE-A NR7101.


Стоит отметить, что помимо поддержки 5G в нем реализовано много всего нового и интересного, например, более полная реализация набора LTE/4G и другие полезные нововведения.


Внутреннее устройство с возможностью подключения внешней антенны


В качестве такого устройства можно порекомендовать маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200. Он позволяет использовать два канала связи, например, один встроенный LTE/3G с установкой SIM карты, другой стандартный проводной вход WAN. Если у вас под боком неплохой проводной провайдер можно подключить его как основной или резервный канал (в зависимости от качества сервиса).


И что важно в наличии два внешних разъёма SMA для антенн LTE/3G.



Рисунок 4. Маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200.


Альтернативный Интернет из кармана


Ещё один вариант использование дополнительных устройств в качестве резерва на крайний случай. При плохом прохождении сигнала можно в качестве запасного варианта просто достать и включить портативный маршрутизатор.


Примечание. Мини-роутер можно использовать как индивидуальное устройство для доступа в Интернет. Например, в рабочие дни подключив к ноутбуку как резервный канал связи, а в выходные совместно с WiFi роутером для раздачи другим потребителям.

В этом случае пользователь избавлен от необходимости вынимать-вставлять устройство в USB порт маршрутизатора для создания резервного канала. Нужно только включить компактный роутер, пользователи подключаются к соответствующей WiFi сети и получают доступ в Интернет. Простое временное решение.


В частности, симпатичное устройство NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6 вполне может решить проблему доступа в часы пик, через подключение к другому оператору. Этот малыш поддерживает все последние стандарты, например, очень неплохо иметь поддержку поздних спецификаций LTE/4G, WiFi 6 и другие полезные возможности.



Рисунок 5. Компактный маршрутизатор NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6.


Но не забудем и про старых знакомых, которые не раз выручали своих хозяев в сложной обстановке, например, в командировках, автомобильных пробках, пропадании основных каналов связи и других непредвиденных ситуациях. Для такого варианта вполне подойдёт Zyxel LTE2566-M634-EUZNV1F. Это портативный LTE Cat.6 WiFi маршрутизатор (используется одна сим-карта), есть поддержка 802.11ac (2,4 и 5 ГГц, скорость до 300+866 Мбит/с). Есть автономная батарея до 10 часов, питание через micro USB, то есть можно подключить PowerBank.



Рисунок 6. Компактный маршрутизатор LTE2566-M634-EUZNV1F с поддержкой 802.11ac.


Организация внутренней локальной сети


Если в маленькие дачные домики приезжают, чтобы на короткое время сбежать от городской жизни, работы и обилия информации, то для коммуникаций в загородных коттеджах предъявляются более серьёзные требования. Люди, живущие в таких домах, хотят иметь надёжную связь, например, для того, чтобы быть в курсе происходящих событий, работать удалённо, в общем, держать руку на пульсе жизни. Здесь нужна более серьёзная инфраструктура, чем сеть из одного-единственного WiFi роутера.


Совет. Чтобы избавиться от большинства проблем, связанных с подбором и согласованием между собой оборудования, используйте комплексное решение одного вендора.

Начнём с проводов


А почему это с проводов? просит пытливый читатель. Казалось бы, всё можно сделать проще поставил WiFi точки доступа и вперёд! Но везде есть свои нюансы.


Разумеется, можно построить всю сеть исключительно на беспроводном оборудовании. Такая организация сети называется Mesh. Но тогда, во-первых, часть ресурсов приём-передачи будет расходоваться на связь точек доступа и маршрутизатора между собой, и не только для передачи данных, но и для обмена служебной информацией.


Например, если в точке доступа два радиомодуля, то при достаточно высокой плотности устройств (приставки, планшеты, смартфоны, телевизоры и так далее) если один из радиомодулей будет использоваться и для Mesh и для клиентов, то в этом диапазоне будет потеря производительности.


Если в точках стоят два радиомодуля (2.4ГГц и 5ГГц), можно, например, радиомодуль 5ГГц отдать только для Mesh, а 2.4 ГГц только для клиентов. Проблем с приёмом на 2.4ГГц не будет, но зато теряется канал 5ГГц. Не проще ли подключить точки доступа и сетевой экран в коммутатор?


Во-вторых, некоторые устройства предпочтительней использовать в проводной локальной сети, например, настольный компьютер, сетевой принтер и так далее.


В-третьих, существуют ещё и камеры видеонаблюдения. Для передачи хорошей устойчивой картинки проводное соединение подходит гораздо лучше.


И на закуску если устройства (камеры, точки доступа и так далее) могут питаться через PoE, то гораздо проще приобрести коммутатор с PoE и не морочить себе голову с инжекторами или дополнительными блоками питания.


Например, можно остановиться на небольшом компактном 8-портовом гигабитном PoE коммутаторе GS1008HP.


Для небольшой домашней сети сложные функции вроде ACL не особенно нужны. Поэтому вполне подойдёт коммутатор без функций управления, зато простой и надёжный, главное бесшумный. Вполне себе бюджетное решение.



Рисунок 7. 8-портовый гигабитный PoE коммутатор GS1008HP.


Если же PoE необязательно, но требуется повышенная скорость обмена, можно остановиться на 12-портовом мультигигабитном коммутаторе XGS1010-12 с 2 портами 2.5GB/s, 2 портами 10G SFP+ (остальные 8 портов под витую пару Gigabit Ethernet).


В этом случае и вариантов для применения куда как больше, и возможностей хватает. Например, в мультигигабитные порты можно подключить точки доступа, в один из гигабитных портов минисервер (или NAS) с сетевым портом 10G SFP+, а второй порт 10G SFP+ зарезервировать как UPLINK. Но это всего лишь один из возможных сценариев.



Рисунок 8. 12-портовый мультигигабитный коммутатор XGS1010-12.


Если в доме есть своя сеть для видеонаблюдения из двух IP камер и более, то регистратор и видеокамеры рекомендуют подключить в отдельную сеть с коммутатором PoE (иногда даже со своим доступом Интернет), чтобы видеотрафик не мешал работе домашних или офисных устройств, а те, в свою очередь не забивали канал для передачи видеокартинки. Следовать или нет данной рекомендации дело за проектировщиком сети, но такой вариант следует иметь в виду.


Ещё один из возможных вариантов использование коммутатора, управляемого из облачной среды Zyxel Nebula. Например, 8-портовый гигабитный коммутатор с PoE GS1920-8HP вполне способен стать мини-ядром небольшой сетевой инфраструктуры с управлением из облака.



Рисунок 9. 8-портовый гигабитный смарт-управляемый коммутатор с PoE GS1920-8hp.


А что с внутренней беспроводной сетью


Загородный дом всё-таки это не высокотехнологичный офис с массой наёмных сотрудников. Беспроводная сеть в загородном доме должна обеспечивать приемлемое покрытие, но при этом сеть не должна быть дорогой.


Примечание. Если говорить о покрытии WiFi для совсем небольшого участка (до 6 соток) с маленьким садовым домиком: одна комната, кухня + веранда, то, вероятней всего, речь идёт о площади самого домика и прилегающей территории: веранда, беседка, лавочка у ворот Вряд-ли кто-то будет пытаться ловить WiFi в крапиве возле забора на противоположной стороне участка. Однако для крупных домовладений ситуация может быть совсем иной.

Может показаться интересным подход к построению беспроводной сети на основе недорогих точек доступа. Вопросы покрытия и возможности подключения новых клиентских устройств решаются за счёт добавления недорогих точек в систему. Мы уже писали о таком подходе в статье Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты


Неплохо, чтобы беспроводные устройства поддерживали стандарт 802.11ax (WiFi 6). Нововведения, пришедшие с ним, затронули и скорость передачи данных, и улучшения в сфере безопасности, и возможность подключать больше устройств появилось много изменений к лучшему. Для таких требований можно рекомендовать двухдиапазонную точку доступа NWA110AX со всеми нужными функциями 802.11ax (WiFi 6).



Рисунок 10. Двухдиапазонная точка доступа NWA110AX с поддержкой 802.11ax (WiFi
6).


Если нужен совсем недорогой вариант, при котором функции WiFi 6 не так уж востребованы, но, тем не менее, важна устойчивая связь можно посмотреть в сторону последней модели стандарта 802.11ac точки доступа NWA1123ACv3.



Рисунок 11. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3. (Выглядит очень схоже с NWA110AX).


Совет. Не стоит ограничивать свой выбор только двумя моделями. Zyxel Networks представляет довольно широкий спектр точек доступа с поддержкой облачной системы управления Nebula или без неё. Поэтому стоит рассмотреть весь список предложений.

Во многих случаях хорошим подспорьем при настройке и администрировании может оказаться облачная система Zyxel Nebula. Например, набор из коммутатора GS1920-8HP и точек доступа NWA110AX вполне может стать основой такой облачной системы. Это, конечно, вариант для крупных домов или для ситуаций, когда нужно обеспечить удалённую техподдержку пусть маленькой, но очень важной компьютерной сети, от которой многое зависит.


Подведём итоги


Как уже было сказано в начале статьи загородные дома целиком зависят от индивидуальных предпочтений и возможностей владельцев и располагаются в самых разных местах, каждый со своей спецификой.


Мы попытались крупными мазками нарисовать несколько вариантов построения сети в загородном доме, попутно разбирая возможные проблемы.


Будем рады, если эта статья поможет при решении подобных задач.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованиюZyxel
  3. Много полезного видео на канале YouTube
  4. Двухдиапазонная точка доступа NWA110AX
  5. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3
  6. 8-портовый гигабитный PoE коммутатор GS1008HP
  7. 12-портовый мультигигабитный коммутатор XGS1010-12
  8. Мобильный роутер NR2101 WiFi AX1800
  9. Мобильный роутер LTE2566-M634-EUZNV1F
  10. Уличный маршрутизатор 5G/4G/LTE-A NR7101
  11. Уличный маршрутизатор 4G LTE-AZyxel LTE7480-M804
  12. LTE маршрутизатор WiFi AC2050 LTE5388-M804
  13. LTE как символ независимости
  14. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  15. Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты
  16. Zyxel Nebula
Подробнее..

Облачный интерфейс управления взгляд под другим углом

27.04.2021 12:23:09 | Автор: admin


Мы много писали про облачное управление: о стратегии применения, построении готовых решений, о нюансах использования, об эксплуатации в реальных условиях. Однако любая технология должна быть не только стратегически правильной, но и продукты, созданные на её основе удобными для работы.


Инженеры и дизайнеры Zyxel постарались учесть все вопросы при создании удобного интерфейса для облачной среды Nebula. Но люди индивидуальны и зависимость от привычного окружения у каждого своя.


Как быстрее понять основные принципы и адаптироваться к новому стилю работы об этом и пойдёт речь.


В данной статьe мы постарались ответить на следующие вопросы:


  • Основные отличия в идеологии управления;
  • Зачем нужны Организация и Площадка;
  • Как ускорить процесс регистрации устройств в облаке.

Также мы подготовили ответы на вопросы, которые встретились в комментариях.


Вместо предисловия


Облачная среда управления Nebula это новое направление по сравнению с традиционным интерфейсом.


Любое нововведение требует период адаптации, это старо как мир. И всё равно каждый раз это выглядит как в известной фразе Виктора Степановича Черномырдина: Никогда такого не было, и вот опять!


Иногда возникают ситуации, когда даже небольшие изменения могут вызвать противоречивое отношение.


Например, дежурный администратор, привыкший к одному виду расположения элементов, может чувствовать себя немного не в своей тарелке.


Обычно локальный интерфейс для управления чем-либо строится по хорошо знакомой схеме: Вот конкретное устройство. Слева список разделов, справа область информации и объектов управления (см. рисунок).



Рисунок 1. Пример локального интерфейса Zyxel (USG FLEX 200). Слева разделы интерфейса, справа рабочая область.


В Nebula всё выглядит примерно также, но немного по-другому. Почему так происходит, давайте разбираться.


https://habrastorage.org/webt/5l/08/jz/5l08jzmrpvallezv7zfgtfv3gn8.png
Рисунок 2. Пример веб-интерфейса Nebula.


Различия в интерфейсе


В отличие от локального интерфейса, где нужно просто хорошо управлять одним-единственным устройством и всё, Zyxel Nebula проектировалась как глобальная система управления распределённой инфраструктурой.


Очень часто компания не монолитная структура, а штаб-квартира с филиалами. Почти всегда присутствует разделение по географическому или какому-либо другому признаку, а то и по всём сразу.


Мало того отдельные департаменты внутри организационной единицы могут иметь свою собственную инфраструктуру. Например, отдел разработки может иметь свой production (для внутренних нужд), свою тестовую среду, свои вспомогательные серверы (например, свой DHCP) и всё это отдельно от основных служб и сервисов.


Наконец, в компании может быть не один ЦОД, не одна серверная, и тем более не единственная стойка с серверами. Что и накладывает отпечаток на управление всем этим хозяйством.



Рисунок 3. Интерфейс Nebula. Показано подменю с выбором раздела


Соответственно, в глобальном интерфейсе управления необходимо создать виртуальную инфраструктуру, адекватную той, что уже существует в реальности.


Ещё один интересный нюанс кроется в идеологии подключения. Когда подключаетесь напрямую нужно учитывать дополнительные условия, например, имеет устройство постоянный адрес, открыты ли порты и так далее. Для работы с Nebula эти вопросы неактуальны, зато могут встретиться другие важные моменты, например, включен ли на самом устройстве параметр Nebula Control Center Discovery, чтобы устройство смогло самостоятельно найти облако.


Организация и Площадка


Начнём с начала и попробуем зарегистрироваться в Nebula c чистого листа.


При регистрации в Zyxel Nebula первое, что предстоит сделать создать корневую структурную единицу Предприятие и одну нижестоящую инфраструктурную единицу Площадку.


Таким образом каждое подразделение, ЦОД, серверная, и всё что мы хотим, как-то отделить можно разместить на отдельных площадках.



Рисунок 4. Создание организации и первой площадки.


Какие это даёт преимущества?


Во-первых, можно делать общие настройки для всех единиц оборудования на одной Площадке. Не надо дублировать одно и то же для каждого устройства.


Во-вторых, можно делегировать управление Площадкой сотрудникам с разными ролями. Например, дежурный администратор может только просматривать информацию, чтобы создать заявку. А сетевой администратор, работающий в филиале вносить необходимые изменения, но в рамках своей Площадки. Это удобно, и никто не мешает друг другу.


Некоторые особенности работы с интерфейсом Nebula


Разумеется, не все настройки можно вынести в общий раздел. Поэтому в интерфейсе Nebula сохраняются специализированные подразделы по типу оборудования: Шлюз безопасности, Коммутаторы, Точки доступа.


При этом наличие группы общих настроек, размещённой в разделе Площадка вносит некоторое разнообразие в привычном алгоритме работы администратора.



Рисунок 5. Настройка портов выбранного коммутатора в разделе Коммутаторы Конфигурация


Совет. Перед началом работы внимательно просмотрите общие настройки в разделе Площадка, отметьте для себя пункты, которые могут понадобиться. После этого будет проще разбираться с настройками для каждого типа оборудования в тематических разделах.

Некоторые вопросы при добавлении устройств


На самом деле вся система Nebula спроектирована так, чтобы не было проблем. Однако существуют ещё внешние факторы, на которые разработчики не могут повлиять при всём желании.


Например, если при подключении устройства используется недостаточно быстрое соединение, то и регистрация устройств в сети будет недостаточно быстрой.


Ещё одним важным фактором является использование исходящих соединений для связи устройств с облачной средой управления. То есть Nebula не разыскивает устройства, например, по белым IP адресам, и не подключается к ним по заранее открытым портам на файерволе, а именно сами устройства связываются с облачной средой управления по протоколу NETCONF.


Это и безопасней (никаких дырок на файрволе) и проще организовать не нужно обзаводиться постоянным белым IP адресом, или возиться с настройкой DDNS (динамического DNS). Гораздо проще подождать, пока устройство само установит соединение.


Выглядит это тривиально: зарегистрировали устройство, допустим, через мобильное приложение, а в интерфейсе Nebula оно появляется само, пусть не сразу, но спустя некоторое время.


Давайте опишем, как происходит регистрация и какие этапы она проходит.


Зарегистрировать устройство можно двумя способами: послав код устройства через приложение Nebula Mobile (IOS, Android) или указав реквизиты: MAC адрес и серийный номер вручную.



Рисунок 6. Регистрация через мобильное приложение.


Рассмотрим мобильную регистрацию.


Вначале пользователь выбирает нужную организацию и площадку. Если доступна только одна организация или площадка одна, этот вопрос автоматически снимается.


После сканирования QR кода автоматически распознаются тип и модель устройства, а также MAC адрес и серийный номер.


Эта информация проходит процедуру анонимизации и шифрования и записывается в базу данных.


Обязательно должен быть включён параметр Nebula Control Center Discovery, который запускает процесс поиска и соединения с облачным центром управления. (Как включить можно посмотреть в документации на конкретную модель).


Если устройство онлайн, и у него задействован описанный выше параметр через некоторое время оно установит связь с облачной средой управления, автоматически подключится к нему, получит идентификатор, и можно будет управлять через облако.



Рисунок 7. Включение параметра Nebula Control Center Discovery.


Схожим образом происходит регистрация вручную с вводом MAC адреса и серийного номера в веб-интерфейсе, но при этом данные сразу вводятся в облако, их не нужно вытаскивать из QR кода и передавать по беспроводной связи.



Рисунок 8. Регистрация устройства через веб-интерфейс.


По идее, если введённая информация верна, ничего делать не нужно, и устройство через какое-то время окажется в сети Nebula (в обычной ситуации это может занять до 2х минут). Но иногда хочется всё получить как можно быстрее.


Рассмотрим такой вариант зарегистрировали устройство в Nebula Mobile, а оно не успело появиться в интерфейсе, и время появления хочется сократить.


Можно попробовать перезагрузить устройство оно сразу после запуска установит соединение. В некоторых случаях это позволит немного ускорить регистрацию (или просто чем-то занять себя во время ожидания).


Ещё один способ ускорить процесс регистрировать устройства вручную через веб-интерфейс. В этом случае не используется этап дешифровки QR кода, и при наличии более скоростного и стабильного проводного соединения данные могут быть переданы быстрее.


Примечание. Если разные люди в одно и то же время попытаются, зарегистрировать устройство, например, и через мобильное приложение, и через веб-интерфейс, то Nebula примет данные источника, который успел первым передать информацию. Опоздавший получит сообщение о том, что устройство уже зарегистрировано.

Ещё один вариант ошибки оборудование зарегистрировано, но в интерфейсе Nebula отображается неактивным. Это говорит о том, что устройство просто не успело соединиться с Nebula для первичного обмена информацией. У пользователя есть выбор: немного подождать или для ускорения перезагрузить устройство.


Ещё одна помеха на пути к быстрой регистрации неторопливый Интернет-браузер, который показывает старую картинку. Помогает обнуление кэша или просто завершить работу браузера (все сессии и процессы) и запустить его, снова подключившись к своему аккаунту в Nebula.


Вопросы и ответы


Ниже постараемся ответить на некоторые вопросы, которые возникают у людей, недавно столкнувшихся с облачными системами управления.


А что если отключат Интернет? Всё, приплыли?


На самом деле ситуация не так трагична, как кажется. Локальные устройства, управляемые через Nebula: точки доступа, коммутаторы, и даже Интернет-шлюз (его локальные функции, такие как DHCP или RADIUS сервер) продолжат функционировать. Возникнут трудности с управлением, но локальная сеть не упадёт, и пользователи смогут выполнять ту часть работы, для которой не нужен выход в Интернет, например, работать в 1С на локальном сервере.


При восстановлении канала восстановится и стандартная функция управления.


Проще говоря, тот же принцип, что и при любом централизованном управлении:


  • Что успели настроить до потери связи с центром, то работает.
  • Во время отсутствияуправляющего центра изменения внести не получится.
  • Канал подняли можно продолжить настройки.

Важно. Для устройств, подключённых к Nebula остаётся возможность управления через CLI (или веб-интерфейс, в зависимости от модели).

Разумеется, для безотказной работы необходимо иметь резервный Интернет-канал, для любого сценария управления: с Nebula или локально. Потому что связь с внешним миром это такой же необходимый ресурс, как и всё остальное, а для бесперебойной работы необходимо резервирование.


А что если данные из облака утекут? Тогда инфраструктурой может управлять кто захочет?


В данном случае стоит рассмотреть сценарий, когда происходит утечка данных, пригодных к использованию посторонними лицами. Данных в таком виде Nebula просто не хранит.


Во-первых, хранятся только данные, которые действительно необходимы для выполнения узкоспециализированных атомарных операций и для построения отчётов, опять же, строго по запросу администратора. Объём СХД, как известно, не резиновый. Поэтому хранить данные на случай вдруг понадобится никто не будет.


Во-вторых, очень важно в каком виде хранятся данные.


  1. Все данные при поступлении анонимизируются. Проще говоря, понять где чья запись от какого клиента может только сама Nebula.
  2. Все данные хранятся в зашифрованном виде.
  3. Используется такая замечательная вещь, как двухфакторная аутентификация. В случае её использования попытки порулить чужой системой останутся безуспешными, если только вы сами не делегируете полномочия.

Примечание. Информацию из первоисточников можно получить по ссылкам в самой Nebula в меню Помощь Политика обработки данных.

Дополнительно публикуем две ссылки на документы в открытом доступе:



С другой стороны, при использовании традиционного необлачного управления с прямым подключением проблем с безопасностью может быть гораздо больше. Например, потерянный служебный ноутбук или принудительное изъятие рабочего ПК сетевого администратора в рамках каких-то там мероприятий увы, не самый невероятный сценарий. И ситуация при этом может оказаться гораздо более печальна, чем та, когда всё управляется удалённо через облако.


Регистрация в Nebula это дорога в один конец? Обратно в автономный режим переключить устройство уже не получится?


Устройства можно перевести в автономный режим работы, просто удалив их из Организации через тот же интерфейс Nebula.


А что если придётся передать устройство в другое подразделение (филиал, дочернюю компанию)?


Если речь идёт о передаче устройств в рамках одной компании можно просто переместить устройство между площадками. Если же для каждого подразделения существует своя организация в Nebula тогда их нужно удалить из Организации и зарегистрировать заново.


Подводя итоги


Zyxel Nebula проектировалась как система управления распределённой инфраструктурой. Для неё всё равно, где находится оборудование, важно, чтобы устройства имели выход в Интернет.


Это накладывает определённый отпечаток на идеологию управления, и, как следствие, на интерфейс пользователя. При работе с любой системой возникают некоторые нюансы, о которых полезно знать перед началом эксплуатации.


Полезные ссылки


  1. Регистрация в Zyxel Nebula тут все начинается
  2. Telegram chat Zyxel
  3. Форум по оборудованию Zyxel
  4. Много полезного видео на канале Youtube
  5. Unlock Networking Possibilities with Cloud Nebula Secure Cloud Networking Solution
  6. NEBULA CONTROL CENTERGDPR DATA PROCESSING ADDENDUM
  7. Преимущества USG FLEX
  8. Полезная статья в КБ о USG FLEX
  9. Перенос лицензий с устройств USG на устройства USG FLEX Series (видео)
  10. Служба поддержки Nebula для пользователей проф. версии Nebula (английский язык)
  11. Форум Zyxel Nebula (можно создать запрос)
  12. Техподдержка Zyxel
  13. Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа
  14. Настройка WPA2 Enterprise с RADIUS
  15. Сверхновое облако Zyxel Nebula экономичный путь к безопасности?
  16. Zyxel Nebula и рост компании
  17. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  18. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  19. Zyxel Nebula простота управления как основа экономии
  20. Не боимся облаков
  21. Журнал LAN: Знакомство с Zyxel Nebula
Подробнее..

Коммутаторы ядра сети что это такое, для чего нужны и как выглядят

25.05.2021 12:05:50 | Автор: admin


О периферийных устройствах написано достаточно много. Это и понятно, потому что большое число задач требует разнообразный парк оборудования: точки доступа, коммутаторы уровня доступа, межсетевые экраны и так далее.


В случае с корпоративной ИТ инфраструктурой все эти компоненты работают на нижних этажах, обеспечивая доступ пользователей и конечных устройств к сети.


А вот про уровень ядра сети сказано довольно мало. Причина вполне понятна больших организаций меньше, чем маленьких, поэтому крупных корпоративных сетей также меньше. Попытаемся восполнить этот пробел. Для начала расскажем об общих чертах и потом перейдём к конкретным моделям (описанию и вариантам использования). Помимо общих принципов, разберём конкретные модели по винтикам, (в том числе и буквально отверткой), чтобы посмотреть, что и как устроено.


Попробуем расколоть этот орешек знаний, чтобы добраться до ядра.


Вступление


Как мы уже писали ранее в статье Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему? корпоративную сеть можно условно разделить на три уровня:


  • Уровень доступа предназначен для подключения клиентских устройств.
  • Уровень агрегации/распределения, который, как следует из названия, является промежуточным и служит для предварительного управление трафиком.
  • Уровень ядра сети.


Рисунок 1. Уровни корпоративной сети


Коммутаторы ядра находятся в самом центре корпоративной сети и обеспечивают общую коммутацию (а если необходимо, то и маршрутизацию), связывающие все остальные сегменты.


Разумеется, нельзя каждый уровень рассматривать отдельно от предыдущего.


Общее увеличение трафика на уровне доступа ведёт к дополнительной нагрузке на коммутаторы уровня распределения, что в итоге влияет на загрузку ядра. Разумеется, возможны ситуации, когда всплеск трафика локализован в рамках одного сегмента (в переделах одного коммутатора уровня агрегации или даже уровня доступа). Но если имеется общая тенденция к росту трафика и передаваемых объёмов, это всё равно приводит к повышению нагрузки на ядро сети.


Поэтому важно учитывать не только сиюминутные потребности, но и что ждёт в будущем.


Особенности нагрузки в ядре сильно отличаются от нагрузки на уровне доступа. Если коммутатор уровня доступа привязан к работе пользователей (которых может попросту не быть в офисе), то на коммутаторе ядра будет присутствовать трафик обмена данными между серверами, СХД, облачными системами для резервного копирования и т.д. Поэтому коммутаторы ядра необязательно самые быстрые, но уж точно самые надёжные, рассчитанные на долговременную загрузку


Важный нюанс уровень ядра наиболее критичен к простоям при выполнении технических работ. Выключение и замена одного коммутаторов уровня ядра приводит к бездействию большого числа участников сетевого обмена. Поэтому желание сократить число и продолжительность таких остановок вполне объяснимо. Для этого необходимо: во-первых, выбрать оптимальную архитектуру будущей сети, во-вторых, подобрать наиболее подходящие коммутаторы ядра.


Примечание. Учитывая массовый характер закупок, особенно при развёртывании сети с нуля, ошибка при выборе коммутаторов уровня распределения/агрегации и даже уровня доступа тоже может обернуться значительными финансовыми потерями. И хотя масштабы катастрофы принято оценивать по количеству простаивающих узлов за выбранный промежуток времени, к выбору оборудования для младших уровней следует подходить не менее ответственно.

Особенности коммутаторов ядра


Как уже было сказано выше, в ИТ инфраструктуре корпоративной сети коммутаторы уровня ядра являются центральным звеном, который объединяет другие сегменты (обычно уровня агрегации/распределения, реже уровня доступа). Через ядро проходит большая часть от всего трафика между клиентами, серверами, Интернет и так далее.


Поэтому главное умение ядра сети не падать при максимальной загрузке. Этот уровень всегда состоит из высокоскоростных коммутаторов и маршрутизаторов, производительных и отказоустойчивых. Немаловажную роль играет железо, в том числе характеристики коммутирующей матрицы, производительность процессора или контроллер.


Примечание. Универсалы vs узких профи Существует мнение, что для высокоскоростной передачи трафика, коммутаторы ядра не должны выполнять какие-либо манипуляции с пакетами, такие как маршрутизация между VLAN, ACL (Access Control List) и так далее в такой архитектуре все эти функции возложены на коммутаторы уровня агрегации/доступа. Однако построить идеальную инфраструктуру и уложиться в выделенный бюджет удаётся далеко не всегда. Часто на используется некий смешанный вариант, при котором уровень ядра и уровень агрегации/доступа является неким общим уровнем ядра+распределения. Разумеется, с точки зрения классической архитектуры это выглядит как вопиющее отступление от правил, зато с финансовой стороны вполне разумно.

А теперь кратко, просто и понятными словами


Проще говоря, коммутаторы уровня ядра это очень надёжные производительные коммутаторы L3 или L2+, которые могут выполнять те или иные задачи, но главное устойчивая передача трафика. Ниже мы подробно остановимся на некоторых нюансах.


Производительность


Как уже было сказано выше, скорость пересылки пакетов и ёмкость коммутации важные характеристики для коммутатора ядра в корпоративных сетях. Ядро должно обеспечивать требуемую скорость и пропускную способность.


Хорошая новость трафик не берётся из ниоткуда. То есть, зная кого, чего и сколько вы собираетесь подключить к сети и какой толщины будут внешние каналы, можно спрогнозировать верхнюю и нижнюю цифры по загрузке ядра сети. А дальше уже дело за выбором оборудования.


Разумеется, корпоративная жизнь порой подбрасывает сюрпризы вроде рождения новых бизнес-подразделений с нуля или построения новых сегментов вроде приватных облаков. Поэтому резервировать от 20 до 35% запаса производительности на вырост и такой же резерв по количеству портов для ядра сети это совсем неплохая идея. Как было сказано выше, обосновать остановку или временное замедление в работе практический всей корпоративной сети, чтобы заменить коммутатор в ядре та ещё задачка.


Надёжность оборудования


При проектировании ядра уделяют больше внимания избыточности по сравнению с другими уровнями. Вроде всё понятно: зачем и почему, но давайте посмотрим более детально.


Как было сказано выше, нагрузка на коммутаторы уровня ядра имеет другой характер, нежели уровня доступа. Соответственно, температурное воздействие тоже выше, и самое главное держится на одной отметке. И это должно учитываться при проектировании системы охлаждения.


Ещё один важный нюанс электропитание. Наличие двух источников питания не роскошь, а необходимость. Разумеется, можно использовать дополнительные хитрые внешние модули АВР (Автоматический Ввод Резерва) или SmartPDU, которые позволяют переключить подачу энергии на резервную линию, даже если на самом устройстве один блок питания. Но что будет с ядром сети, если единственный блок питания внутри коммутатора выйдет из строя? Нужно ли это проверять?


При наличии второго блока питания, когда один из них выходит из строя, другой немедленно берёт на себя все функции по обеспечению энергоснабжения. То есть стандартная схема: Active-Passive вполне пригодится.


Многое зависит от производителя блока питания и элементной базы. Если внутри всё сделано непонятно из чего и непонятно как наверное, вообще не стоит устанавливать подобное оборудование, а уж в ядро сети тем более.


Устойчивость к атакам и пиковым нагрузкам


Поскольку коммутаторы ядра являются центром сети, они должны уметь не только быстро перебрасывать Ethernet кадры, но и обладать расширенной защитой от DDoS с использованием протоколов уровня 2 и 3. И дело тут не только в злобных хакерах. Криво работающее сетевое приложение может навести шороху не меньше, нежели тёмные рыцари клавиатуры.


Кроме защиты от атак, сама по себе возможность работы при пиковых нагрузках является важной характеристикой. Обычно советуют избегать таких конфигураций, как дотошные списки доступа и фильтрация пакетов, особенно на фоне деградации производительности. Но в любом случае запас по мощности не повредит.


Стек и масштабирование. Агрегирование каналов.


Разумеется, ситуация, когда из-за проблемы с центральным коммутатором не работает крупный сегмент, а то и вся корпоративная сеть мало кого устраивает. Чтобы избежать ситуаций, когда одно-единственное устройство объединяет большое число подключений и в случае выхода из строя ничто не может взять на себя его функции используют резервирование и объединяют сетевое оборудование в стек.


Стек это соединение нескольких физических коммутаторов в один супер-коммутатор, когда при выходе одного из физических устройств отказоустойчивая схема продолжает работать.


Однако на одной только отказоустойчивости свет клином не сошёлся. Рано или поздно сеть разрастётся и возникнет дефицит вычислительных ресурсов и свободных портов. Даже если вначале были закуплены коммутаторы с хорошим запасом по портам и мощности, всё равно рано или поздно придётся проводить модернизацию. Стек коммутаторов даёт нам возможность добавить в ядро новые устройства, не снимая с эксплуатации старые.


Например, серия XGS4600 поддерживает стек до 4 коммутаторов, а XGS3700 до 8. Проще говоря, если у вас в ядре присутствует, допустим два коммутатора XGS4600-52F, вы можете удвоить их количество, доведя их число до 4, не прерывая работу сети.


Также полезным выглядит использование отказоустойчивых протоколов, например, VRRP для построения отказоустойчивой схемы маршрутизации.


Крайне важно, чтобы остальные участники сетевого обмена не теряли связь с ядром. Для этого используется агрегирование каналов, когда несколько физических портов на коммутаторе уровня агрегации/распределения объединяются в общий UPLink и подключаются к двум портам на коммутаторах уровня ядра. Таким образом при обрыве подключения на одном из портов, связь всё равно не теряется.


QoS


Quality of Service (QoS) является важной функцией, позволяющей обеспечить стабильное прохождение определённых типов трафика. Например, на современных предприятиях требуется видеоконференцсвязь. Такой трафик требует непрерывной передачи голоса и видеоданных, в отличие, например, от просмотра текстовых страниц в формате html. Ещё один пример резервное копирование, когда данные идут плотным потоком и необходимо успеть всё передать за короткое окно бэкапа. В таких случаях выручает использование системы приоритетов и ограничение полосы пропускания. То есть QoS.


Благодаря QoS коммутаторы ядра получают возможность предоставлять разную полосу пропускания различным приложениям в соответствии с характеристиками. По сравнению с трафиком, который не так требователен к полосе пропускания и задержкам во времени (например, электронная почта), критический трафик получит более высокий приоритет, и будет передаваться с высокой скоростью и гарантированно низкой потерей пакетов.


Управление


Для описания основных принципов работы с коммутаторы ядра сети очень даже подходит известная пословица: Работает? Не трогай!.


Но бывают ситуации, когда трогать нужно, например, при модернизации всей сети, подключения дополнительных сегментов и так далее.


И, разумеется, необходимо вовремя получать данные о работе сетевого оборудования.


Поэтому коммутаторы ядра сети поддерживают различные методы контроля и управления, начиная от SNMP и заканчивая подключением консоли.


Также полезно иметь выделенный порт управления (не объединяемый с передачей данных), который можно подключить в отдельный VLAN или даже коммутатор. Помимо повышения уровня безопасности, это позволяет упорядочить архитектуру сети и сохранить возможность управления даже при резком возрастании трафика через ядро.


Ниже идут описания и ТТХ конкретных моделей от Zyxel. Если не любите, когда производитель в своём же блоге описывает спецификации и возможности своих же устройств и считаете это сплошной рекламой можно сразу перейти в следующий раздел: Подведение итогов и рекомендации.

Рассмотрим на конкретных моделях


В качестве примера мы выбрали линейку коммутаторов, предназначенных для уровней ядра и агрегации/распределении. Откуда такое двойное назначение? Всё зависит от целей и задач, в первую очередь от архитектуры корпоративной сети. Бывают ситуации, когда на коммутаторы уровня агрегации/распределения ложится нагрузка, сопоставимая с уровнем ядра сети. Например, если активно используется маршрутизация между VLAN, списки доступа (ACL), фильтрация трафика и так далее.


Запас мощности и широкий набор возможностей в любом случае не помешает.


О каких моделях речь?


На сегодняшний день линейка XGS4600 насчитывает 3 коммутатора: XGS4600-32, XGS4600-32F, XGS4600-52F. Основное различие между ними в количестве и конструкции портов. Ниже приводится таблица, в которой указаны основные различия и общие моменты.


Характеристика XGS460032 XGS460032F XGS460052F
Общее число портов 32 32 52
Gigabit SFP - 24 48
100/1000 Mbps 24 - -
Gigabit combo (SFP/RJ45) 4 4 -
10-Gigabit SFP+ 4 4 4
Производительность коммутации (Gbps) 136 136 176
Скорость пересылки пакетов (Mpps) 101.1 101.1 130.9
Буфер пакетов (байт) 4 Мбайт 4 Мбайт 4 Мбайт
Таблица MAC-адресов 32 Кбайт 32 Кбайт 32 Кбайт
Таблица пересылки L3 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6
Таблица маршрутизации 12 тыс. 12 тыс. 12 тыс.
Число IP интерфейсов 256 256 256
Flash/RAM 64 Мб / 1 Гб 64 Мб / 1 Гб 64 Мб / 1 Гб

Ниже мы кратко опишем, почему эти коммутаторы пригодны для использования в качестве ядра сети.


Стек и High Availability


С помощью одного или двух слотов 10-Gigabit SFP+ можно объединить в физический стек до 4 коммутаторов. Также поддерживается динамическая маршрутизация для упрощения обмена данными между подсетями. Эта функция очень удобна для больших отелей, университетов и других компаний, где используется сложная сетевая инфраструктура. Для коммутаторов серии XGS4600 можно приобрести дополнительную лицензию с поддержкой протоколов OSPFv3 и RIPng для динамической маршрутизации IPv6.


XGS4600 Series оборудован гигабитными портами и четырьмя интегрированными слотами 10-Gigabit SFP+.


Другие меры обеспечения надёжности


Помимо объединения в стек, коммутаторы серии хранят два файла конфигурации и два образа микропрограммы. Это своего рода защита от случайных сбоев. Представьте, что закачанный файл микропрограммы оказался повреждён при передаче по сети. Наличие второго файла позволяет решить эту проблему без лишней крови, просто перезагрузив устройство с рабочей прошивкой.


Примерно такой же алгоритм восстановления, если изменения конфигурации оказались несовместимы с жизнью. Просто подгружаем другой файл и дело в шляпе.


Схема питания два независимых блока


XGS4600 Series поддерживает резервирование питания по схеме Active-Standby. В случае выхода из строя основного источника питания коммутатор будет работать от резервного источника питания.


Сами блоки питания от известного производителя DELTA Electronics.


А что с железом?


  • Центральным узлом является процессор (CPU) 1GHz ARM cortex-A9.
  • Switch controller BCM56340.
  • RAM 1GB.
  • Flash 64MB.

Разумеется, лучше один раз увидеть, чем сто раз услышать (а ещё лучше пощупать своими руками). И мы прямо в офисе вскрыли две модели чтобы посмотреть, что внутри.


Ниже прилагаем несколько фотоснимков, сделанных прямо в офисе Zyxel Россия.


Интересная информация. Zyxelне пытается поймать своих клиентов на мелочах. Хитрые пломбы, болтики из мягкой стали (у которых шлицы повреждаются даже при самом аккуратном откручивании), голографические наклейки и прочие уловки с целью лишить потребителя гарантийного обслуживания это всё не нужно.


Рисунок 2. Коммутаторы серии XGS4600, вид спереди: вверху XGS4600-32F, снизу XGS4600-32



Рисунок 3. Коммутаторы серии XGS4600, вид сзади: вверху XGS4600-32F, снизу XGS4600-32.


Во всех моделях, предназначенных для ядра два блока питания.



Рисунок 4. Внутреннее устройство коммутатора XGS4600-32.


Правильная компоновка и аккуратный монтаж плат и разъёмов очень важны. У производителя не должно возникать желания впихать невпихуемое в небольшой корпус.


Присутствуют мощные радиаторы и блок из трёх вентиляторов. Для коммутаторов ядра сети важно иметь хорошее охлаждение.



Рисунок 5. Коммутатор XGS4600-32 блоки питания.



Рисунок 6. Коммутатор XGS4600-32. Фрагмент материнской платы с микросхемами памяти.



Рисунок 7. Крупным планом.



Рисунок 8. Внутреннее устройство коммутатора XGS4600-32F.



Рисунок 9. Блок питания коммутатора XGS4600-32F.



Рисунок 10. В правой части расположены UPLINK, порт MGMT для управления коммутатором и консольный порт.


Обратите внимание на выделенный порт управления (OOB) на панели он показан как MGMT. В отличие от консольного RS-232 (который тоже в наличии) данный порт предназначен для удалённого управления устройством по сети.


Также присутствует индикатор номера коммутатора в стеке Stack ID.


Различные функции


Как уже было сказано выше, несмотря на то, что основная задача ядра стабильная работа под нагрузкой, время от времени возникает необходимость управлять трафиком, и это требует определённых инструментов.


Например, поддержка VLAN, а также QoS и списки доступа довольно полезные функции.


Полный список функций можно посмотреть здесь.


Подведение итогов и рекомендации


Невозможно объять необъятное, поэтому наш рассказ про коммутаторы ядра подходит к концу.


Существует множество факторов, которые определяют, какие коммутаторы ядра наиболее подходят для ядра сети в каждом конкретном случае. Однако существуют некоторые общие рекомендации, которые желательно соблюдать, чтобы избежать длительных простоев сетевой инфраструктуры.


Помимо голой теории мы показали, как эти особенности выглядят на примере конкретной реализации. Описанные принципы подходят при оценке любых других коммутаторов уровня ядра сети. Надеемся, это поможет при разработке новых проектов и модернизации уже существующих.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  5. Коммутаторы Zyxel L3 серии XGS4600
  6. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  8. Особенности применения управляемых и неуправляемых коммутаторов
  9. Как SFP, SFP+ и XFP делают нашу жизнь проще
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru