Русский
Русский
English
Статистика
Реклама

Межсетевые экраны

Если не хватает NSX Edge как клиенты нашего облака переезжают в сервис NGFW

20.05.2021 12:07:50 | Автор: admin

Когда клиент размещает свой сайт, почту или другой сервис в нашем облаке на базе VMware, то в 90% случаев в качестве граничного устройства используется виртуальный маршрутизатор NSX Edge. Это решение выполняет для виртуального дата-центра функции межсетевого экрана, NAT, DHCP, VPN и так далее.

Но если, например, клиент привык получать на межсетевом экране расширенную аналитику по трафику и более детальный мониторинг, то в облаке ему может понадобиться межсетевой экран нового поколения (Next Generation Firewall, NGFW). К тому же, такие решения предоставляют модули IPS и IDS, антивирус и другие фишки. Для клиентов c такими запросами в качестве одного из решений мы предлагаем NGFW как сервис на базе FortiGate. В статье покажу, как и для чего мы организуем переезд в этот сервис.

Когда стоит рассмотреть NGFW как сервис

Чаще всего наши клиенты рассматривают альтернативы NSX Edge, если на уровне межсетевого экрана нужно решать дополнительные задачи:

  • обнаруживать и предотвращать вторжения с помощью модулей IPS и IDS;

  • обеспечивать дополнительную антивирусную защиту;

  • контролировать приложения, которые используют сотрудники на рабочих местах в облаке;

  • интегрировать политики безопасности с каталогами AD и IDM;

  • отслеживать и расследовать сложные атаки и инциденты с помощью продвинутой аналитики.

Вместо сервиса можно выбрать и приватное решение закупить виртуальные или физические ресурсы в частное облако под нужды заказчика. К примеру, частное решение разворачивается, если нужен межсетевой экран, сертифицированный по требованиям ФСТЭК. Но у частного варианта есть минус: если проект живет в приватном облаке долго, рано или поздно может возникнуть проблема сайзинга. Например, мы закупили для проекта заказчика межсетевые экраны с небольшим запасом, под этот объем закупили лицензии. Через несколько лет трафик вырос сильнее ожидаемого. Заказчик захотел расширить пропускную способность и уперся в пакетную политику лицензирования вендора: докупить ровно необходимое количество лицензий было нельзя.

NGFW как сервис позволяет избежать проблем с сайзингом, если предсказать рост пропускной способности нельзя. В этом случае заказчику на одном из межсетевых экранов предоставляются выделенные сетевые сегменты виртуальные домены (VDOMы). Трафик предоставляется по принципу Pay-as-you-go: заказчик платит только за ту пропускную способность, которую потребил на виртуальном домене. Количество VDOMов можно увеличивать: в сервисе за это отвечает сервис-провайдер, заказчику достаточно сформулировать запрос.

Вот как упрощенно выглядит сегментация:

Это же решение используется и в составе сервиса виртуальных рабочих столов.Это же решение используется и в составе сервиса виртуальных рабочих столов.

Еще одна причина для перехода на NGFW как сервис желание заказчика отдать администрирование на сторону. Настройка таких межсетевых экранов требует знания нюансов конкретного вендора, и не у каждого заказчика есть специалисты нужного профиля. В сервисе с администрированием заказчику не нужно самому настраивать правила и анализировать трафик и срабатывания: этим занимается сервис-провайдер. При необходимости заказчик может поправить свою политику доступа или создать NAT преобразование сетевых адресов.

Как происходит переезд

При переезде из NSX Edge есть один нюанс: у клиента поменяется внешняя адресация. Мы заранее предупреждаем об этом клиента и затем идем пошагово по нашему плану.

Перенос "как есть". На первом этапе вся защита переносится в том виде, в котором ее настроил заказчик.

  1. Общаемся с клиентом, выясняем его задачи и уточняем, какие модули NGFW нужны.

  2. Запрашиваему клиента необходимую информацию:

    • как сегментирована сеть,

    • какие VLANы используются,

    • какие типы сетей: routed, isolated,

    • как клиент выходит в интернет,

    • какая полоса пропускания,

    • как все мониторится,

    • какие NAT-трансляции используются.

    Так мы выстраиваем архитектуру будущего решения.

  3. Запрашиваем конфигурацию с оборудования заказчика либо просим доступ к Edge, чтобы выгрузить конфигурацию самим.

  4. Анализируем конфигурацию и заводим сети клиентов: создаем отдельный VDOM на FortiGate и подаем туда VLANы.

  5. Переносим все правила доступа со старого оборудования.

  6. Создаем NAT-трансляции с новыми адресами, составляем IP-план и отправляем его клиенту.

  7. Преднастраиваем VPN-туннели.

  8. Согласовываем время даунтайма во время миграции. Общее время зависит от количества VLANов.

  9. Переводим трафик с минимальным простоем. Чаще всего делаем это ночью, чтобы влияние переезда было минимальным. Тушим интерфейс на Edge и поднимаем интерфейс с таким же адресом на FortiGate. Параллельно с этим клиент меняет DNS. На каждый VLAN достаточно несколько минут.

Если в этом процессе возникнет какая-то проблема, мы сможем откатиться назад за пару минут.

Оптимизация. После переноса мы мониторим активность, наблюдаем за трафиком и собираем аналитику. Через неделю анализируем работу правил и проверяем их корректность. Какие-то могут оказаться слишком широкими или слишком узкими, они могут затенять друг друга. Если видим какие-то неработающие правила, обсуждаем с клиентом и при необходимости выключаем или корректируем их.

Тут видим, что для выбранного правила трафика вообще нет.Тут видим, что для выбранного правила трафика вообще нет.

Включение модулей безопасности. Здесь мы настраиваем модули NGFW: IPS, контроль приложений, антивирус, всю работу делаем в тесной связке с клиентом. Сначала мы создаем профили безопасности в режиме мониторинга и только наблюдаем за срабатываниями, но не блокируем их. Например, у нас начал срабатывать модуль IPS. Сначала мы смотрим, что это за трафик, и сообщаем клиенту. Решение принимаем совместно: блокировать такие срабатывания, или это легитимный трафик и срабатывание оказалось ложным. Только после совместного обсуждения включаем правила в режиме блокировки.

Так выглядит топ критичных угроз за семь дней в модуле IPS.Так выглядит топ критичных угроз за семь дней в модуле IPS.

Как решаются особые кейсы NGFW+

Иногда NGFW как сервис становится частью комплексного решения, к которому мы подключаем другие модули:

  • система управления журналами безопасности,

  • VPN-клиенты,

  • сервис защиты веб-приложений (WAF),

  • другие.

Кратко расскажу, как эти решения работают совместно.

Журналы событий FortiAnalyzer вместе с NGFW помогают видеть более детальную картину трафика. Например, есть модуль индикаторов компрометации: мы видим, что какие-то хосты ломятся на скомпрометированные IP-адреса. Этот трафик блокируется, а хосты мы проверяем антивирусом.

Отдельной политикой на NGFW можно настроить передачу трафика по syslogу в клиентскую SIEM-систему. Или можем просто передавать журналы в клиентский лог-коллектор через IPsec.

FortiAnalyzer также помогает организовать долговременное хранение журналов.

Дополнительный VPN-шлюз для доступа к внутренней инфраструктуре можно настроить с помощью FortiClient VPN. Это средство для защиты конечных точек (endpoint-защиты). С его помощью доступ на удаленный сервер настраивается определенным группам пользователей.

WAF совместно с NGFW позволяет вести на межсетевой экран уже очищенный трафик. Мы уже рассказывали, как устроен наш комплексный WAF как сервис и как мы предусмотрели в нем дополнительную защиту от DDoS и сканирование. С подключением NGFW его схема будет выглядеть так:

Клиентам с WAF мы рекомендуем ограничивать на межсетевом экране доступ к сайтам только с адресов WAF. NGFW в этой связке работает в режиме explicit proxy: запрещено все, что не разрешено.

Разрешен только трафик с WAF.Разрешен только трафик с WAF.

WAF в такой схеме отбивает все, что связано с вебом. NGFW работает и на вход, и на выход: он также контролирует выход базы данных и веб-серверов за обновлениями. Также NGFW следит за взаимодействием внутренних серверов между собой: как один сегмент сети общается с другим. Даже если какой-то внутренний сервер заразится, то сегментация сети на NGFW не позволит заразе распространиться дальше.

Такие комплексные решения помогают нам в крупных и сложных проектах. Для заказчика они более выгодны и позволяют снять нагрузку с сотрудников.

Единственный случай, когда лучше выбрать комплексный сервис в виде частного решения, необходимость сертификации NGFW или WAF по требованиям ФСТЭК. Администрировать такое решение тоже может сервис-провайдер, но это будет межсетевой экран или WAF под конкретного заказчика.

Подробнее..

ATEN и Zyxel вместе это больше, чем каждый сам по себе

26.01.2021 12:18:23 | Автор: admin


Инженеры из российских представительств ATEN и Zyxel протестировали новые решения для AVoverIP. О том, как всё происходило, о самой технологии, а также средствах применения и пойдёт речь в этой статье.


Для чего передавать видеосигнал по локальной сети и кому это нужно


Первоначально для передачи видео использовалось аналоговое оборудование. Наверное, в некоторых домах до сих пор по этой же технологии работает местное кабельное телевидение. К счастью славная эра коаксиального кабеля, а также аналоговых разветвителей, повторителей подходит к концу.


С переходом на цифровой формат, как это обычно бывает, одни проблемы ушли, другие появились. Постепенный отказ от коаксиального кабеля с его специфическими проблемами: помехами, особенностями прокладки и подключения это несомненный шаг вперёд. Но, тем не менее, разработчики современных систем передачи видео постоянно ищут новые возможности.


Взять хотя бы HDMI. Казалось бы, готовая отработанная технология, бери и пользуйся. И получаем невысокую дальность, критичность к качеству кабеля (в первую очередь к его цене). Существуют возможности удлинить участок передачи сигнала по HDMI, есть специальные повторители, разветвители один-ко-многим но всё это упирается в серьёзные технологические трудности и стоит очень немалых денег. Проще говоря, на большие расстояния видеосигнал передавать будет не так уж и легко.


Следующим шагом явились специализированные стандарты, использующие более простые носители для передачи сигнала. Например, HDBaseT позволяет использовать классическую витую пару (категории 5E и выше). Это значительный шаг вперёд, потому что цена кабеля (витой пары), а также разъёмов, патчпанелей значительно ниже по сравнению с аналогичным предложением на базе HDMI. И самое главное новые стандарты позволяют передавать видеоинформацию на более внушительные расстояния (до 100м для HDBaseT). Данные технологии до сих пор используются на участках, где крайне критично распространение высококачественного сигнала без задержек, например, видео 4K c цифровой субдискретизацией 4:4:4.


AVoverIP


Описанные выше удлинители видео по Сat.5E и Сat.6 работают по своим технологиям конвертации сигнала. Например, стандарт HDBaseT несовместим с обычными коммутаторами, хотя это цифровой стандарт и среда передачи та же витая пара.


С одной стороны, вроде даже и хорошо: политика изоляции решает часть проблем, например, нет конкуренции за аппаратные ресурсы. Однако это требует дополнительных затрат, в первую очередь финансовых. И всегда может возникнуть ситуация, когда по какой-то причине нельзя создать дополнительную отдельную сеть исключительно для видео. Поэтому попытки использовать обычную компьютерную сеть передачи данных для трансляции видеосигнала предпринимались с самого начала её появления.


AVoverIP как раз и есть концепция передачи аудио-видео сигналов в стандартной сети. Какие выгоды она даёт?


  • Упрощается передача видеоконтента благодаря отсутствию дополнительных элементов, удешевляется построение системы, упрощается обслуживание.
  • Интеграция с существующими ИТ системами означает не только возможность использовать то же оборудование, но и уже существующие системы для контроля и управления сетью.
  • Не нужно дополнительно тратить деньги на дорогостоящее обучение специалистов ProAV.
  • Упрощаются вопросы проектирования, модернизации, логистики и так далее.

Но самый важный момент масштабирование системы в будущем. Традиционную IP LAN развивать гораздо проще, чем специализированную сеть ProAV. Это касается как локальной инфраструктуры, так и передачи данных на большие расстояния.


Если AVoverIP это так просто, зачем ещё что-то тестировать?


У AVoverIP, как у любой технологии, есть свои специфичные особенности. Например, высокие накладные расходы при инкапсуляции-деинкапсуляции видеотрафика для передачи по обычной LAN. Проще говоря, видеосигнал сначала необходимо преобразовать в IP трафик, далее в Ethernet-кадры и в таком виде передавать через коммутаторы, а на принимающем устройстве выполнить обратное преобразование. Разумеется, все это требует дополнительных системных ресурсов. Поэтому возможны задержки как при преобразовании, так и при передаче трафика по локальной компьютерной сети. Такая вот плата за универсальность.


Ключевым моментом при использовании технологии AVoverIP является способ передачи, то есть multicast. Это по сути определяет наличие дополнительных требований к коммутатору и его настройке.


Видео, особенно 4К, создаёт большой поток multicast-трафика, и при неправильном управлении, AV устройства (как, впрочем, и другие) в такой сети могут работать некорректно.


Для адаптации к передаче по сети порой приходится идти на маленькие хитрости вроде смены субдискретизации цвета с 4:4:4 на 4:2:0. Также иногда приходится мириться с крайне малыми задержками по сравнению с прямым видеовыводом (\~0.1 сек.).


Multicast и IGMP


Как было сказано выше, одним из главных условий для использования того или иного сетевого оборудования для AVoverIP является передача multicast трафика и поддержка соответствующих возможностей управления.


Для решения подобных задач был придуман IGMP (Internet Group Management Protocol) протокол управления групповой (multicast) передачей данных в IP сетях. Применяется для работы с сетевым оборудованием и конечными сетевыми клиентами для организации участников сетевого обмена в группы.


Существуют три версии протокола IGMP:


  1. IGMP v1, описан в RFC1112;
  2. IGMP v2, описан в RFC2236;
  3. IGMP v3, описан в RFC3376 .

IGMP применяется в целях упрощения динамической регистрации отдельных узлов LAN в multicast-группе. Клиенты сети определяют участие в группе, посылая соответствующие IGMP-сообщения. В свою очередь сетевое оборудование, использующее IGMP, получает IGMP-сообщения и периодически посылает запросы, чтобы определить какие группы активны или неактивны в данной сети.


Рекомендация. IGMP уязвим к специализированным атакам, поэтому функции по его поддержке лучше отключать на тот период, когда они не нужны. Многие сетевые устройства позволяют деактивировать те или иные функции по поддержке IGMP.


Участие Zyxel в построении сетей AVoverIP


Видео это замечательно, но при чём здесь Zyxel? воскликнет нетерпеливый читатель.


Напомним, что Zyxel Networks заключила партнёрское соглашение с лидером индустрии AV компанией ATEN для развития решений в секторе информационных технологий передачи аудио/видео. Это позволит улучшить совместимость и повысить надёжность систем видеопередачи, в первую очередь AVoverIP.


28сентября 2020 года компания Zyxel Networks объявила о новой функции для своих коммутаторов Networked AV, разработанной совместно с компанией ATEN, благодаря которой стало легче проводить внедрение AV-систем. Мы уже упоминали об этом в статье Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?


Для улучшения поддержки различных сетевых приложений в специализированном режиме Networked AV используется специальный мастер настройки. Эта часть общего ПО коммутаторов специально разработана для удобного доступа к функциям, чаще всего применяемым при конфигурировании сетей, по которым в потоковом режиме передаётся аудио/видео. Для отображения основных параметров используется новая консоль Networked AV Dashboard. Благодаря новым функциям сетевые администраторы могут сразу определить текущее состояние сети и легко настроить нужный коммутатор. В списке параметров для контроля: сведения о портах, системная информация, энергопотребление.


Лучше один раз увидеть


Разумеется, любая система показывает свои качества: как лучшие, так и худшие именно во время практического использования.


Представители компаний Zyxel и ATEN провели совместное тестирование, чтобы определить взаимную совместимость оборудования и показать, как выглядит на практике использование таких гибридных решений.


Испытания проводились на тестовой площадке российского представительства компании ATEN.


Цель тестирования


Наглядно показать, что AVoverIP является профессиональным решением для удлинения\коммутации сигнала. При соблюдении должных условий эксплуатации результат будет на уровне или близко к уровню уже использующихся решений в этой области. (Разумеется, с учётом некоторых ограничения, как, например, субдискретизация цвета и задержки по сравнению с прямым видеовыводом.)


Также интересен момент централизованного управления всеми устройствами и возможности создания видео-стен и коммутации сигналов, используя только удлинители (приёмник и передатчик AVoverIP).


Фактически проводилось два эксперимента:


  1. Тесты при участии оборудования для трансляции видео (VE) передатчики и приёмники 4K HDMI-сигнала по IP-подключению с поддержкой PoE.
  2. Тесты при участии HDMI KVM-удлинителей (KE) с доступом по IP и поддержкой 4K.

Почему потребовалось два теста? Потому что передача видео это многопрофильная область, требующая целого спектра различных технологий. Окружающая нас реальность сложна и удивительна, и попытки её записать на видеоустройство, и чтобы потом передать по проводу требуют целого спектра различных технологий.


Возьмём к примеру такую вещь как видеотрансляции. Спортивные мероприятия, выступления знаменитостей, конференции глав государств Что это на самом деле? В первую очередь это передача один-ко-многим. И эти картинки бывают очень динамичные, напряжённые, в которых важен каждый момент.


Чтобы передать такое видеоизображение на большие расстояния нужны технологии которые создавались для дальней связи


Представьте себе проведение чемпионата мира или церемонию вручение Оскара. Зрители, смотрящие на экраны, не заметят задержку в несколько секунд, но никогда не простят рассыпавшейся картинки во время решающего момента или чёрного экрана в момент смены изображения на видео-стене. Небольшие потери качества, например, смена дискретизации цвета с 4:4:4 на 4:2:0 тоже особенной роли не сыграет. А вот различимые артефакты изрядно попортят нервы зрителям.


Именно для таких целей предназначены оборудования серии VE передатчики и приёмники 4K HDMI-сигнала по IP сетям. Такие устройства трудятся не только на развлекательном поприще, а решают вполне серьёзные задачи вроде создания интерактивных диспетчерских, координационных центров везде, где требуется передать динамичную картинку.


Но если нам понадобится передавать высококачественное статичное изображение? Например, чтобы посмотреть чертёж в CAD, детализированную фотосъёмку и так далее? Разумеется, для таких задач понадобятся другие устройства. Вот как раз HDMI KVM-удлинители (KE) с поддержкой 4K для таких задач и предназначены. Ниже описаны тесты сначала для устройств VE, а после (в следующей статье) для KE (IP KVM).


Тестирование систем VE


Используемое оборудование


В сетевого оборудования передачи данных Zyxel GS2220-28HP


Сетевые кабели патчкорды Cat. 5.E



Рисунок 1. 28-портовый гигабитный коммутатор L2 Zyxel GS2220-28HP.


Передатчик сигнала ATEN VE8952T



Рисунок 2. Передатчик 4K HDMI сигнала по IP подключению с поддержкой PoE VE8952T.


Приёмник сигнала ATEN VE8952R



Рисунок 3. Приемник 4K HDMI сигнала по IP подключению с поддержкой PoE VE8952R.


Для визуального наблюдения использовалась видео-стена из 4х мониторов LG 49UH5C-BF


Собранный стенд представлен на рисунке 4. Слева расположены источники сигнала VE8952T, справа приёмники VE8952R.


Так как мониторов всего четыре, то левый нижний монитор на этапе 1 подключался к источнику видеосигнала, а на этапе 2 к четвёртому приёмнику сигнала.



Рисунок 4. Стенд в сборе для тестирования систем VE (мониторы не показаны). Подключён коммутатор GS2220-28HP.


В качестве источника ПК с видеосигналом 3840x2160@30 Гц


Программа тестирования


Что требовалось проверить и проанализировать:


  1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP.
  2. Насколько синхронно работают все 4 IP приёмника от одного IP передатчика.
  3. Подрыв и скорость переключения.
  4. Загрузки канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.
  5. Что будет, если подключить в коммутатор стороннее сетевое устройство, допустим, FastEthernet (100Mb/s).
  6. Сравнение качество картинки в динамике и проверочная таблица.
  7. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.
  8. Какие настроить коммутаторы, и когда нужен VLAN.

Полученные результаты для устройств VE


1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP задержка видна по секундомеру, около 60-80 мс в среднем.



Рисунок 5. VE задержка относительно источника. Нижний левый монитор подключён к источнику.


Как уже было сказано, на практике такие задержки заметить очень трудно, зато передаваемая картинка выглядит практически без искажений.


В живом формате это можно увидеть на видео:


задержка видеосигнала относительно оригинала при передаче по IP

2. Насколько синхронно 4xIP приёмника транслируют видео от одного IP передатчика устройства работают синхронно, расхождения проходят в несколько сотых долей секунды.


Рисунок 6. VE 4xIP приёмника транслируют видео от одного IP передатчика совершенно синхронно. Нижний левый монитор подключён к 4му приёмнику.


В этом можно убедиться на видео:


Насколько синхронно четыре IP приёмника транслируют видео от одного IP передатчика


3. Подрыв и скорость переключения подрыв небольшой, укладывающийся в доли секунды, как и переключение.


И по уже сформировавшейся традиции ниже приводим подтверждающее видео:


тест на синхронность

VE скорость переключения

4. Загрузки канала около 50% в пике, и около 10% в статике.



Рисунок 7. Загрузка канала в статике около 10%.



Рисунок 8. Загрузка канала на пике около 50%.


5. Что будет, если подключить в коммутатор стороннее сетевое устройство при подключении стороннего сетевого устройства Fast Ethernet эффекта развала изображения и фактического переполнения канала добиться не удалось.


Рекомендация. На практике некоторые устройства Fast Ethernet (чаще всего это дешёвое или устаревшее оборудование) с поддержкой multicast имеют свойство засорять сеть, в результате видео транслируется покадрово. Необходимо избегать подобных ситуаций ещё на этапе проектирования. Как минимум, держать устройства для приёма и передачи видеосигнала в отдельном VLAN.


6. Сравнение качество картинки в динамике и проверочная таблица. Картинки в динамике тестировались на переключение и синхронность. В сравнении с оригиналом видна задержка относительно источника. Проверочные таблицы крупным и мелким планом показывают потери линий или цветов и размытость текста (VE8952 выводит картинку с цветовой субдискретизацией 4:2:0).



Рисунок 9. Проверочные таблицы: слева и справа разные устройства. Слева оригинал, справа изображение, переданное через VE8952.


6. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.


7. Какие настроить коммутаторы, и когда нужен VLAN.


Мы планировали ответить на вопросы 6 и 7 уже после всех тестов, включая модели КЕ. Забегая вперёд, хочется отметить хороший результат при использовании коммутаторов Zyxel.


А новый модуль от Networked AV пришёлся весьма кстати и сильно облегчил настройку.


Продолжение о тестировании устройств КЕ и общие итоги тестирования в следующей статье.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованиюZyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  5. Коммутаторы Zyxel L2+ серии XGS2210
  6. Коммутаторы Zyxel L2 серии GS2220
  7. Коммутаторы Zyxel L2 серии XS3800-28
  8. Цветовая субдискретизация понятным языком немного отдаём, чтобы много выиграть
  9. Теория IGMP
  10. Передатчик 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952T
  11. Приёмник 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952R
  12. Оригинальный текст RFC1112
  13. Оригинальный текст RFC2236
  14. Оригинальный текст RFC3376
  15. Why ATEN\'s Video over IP Solution?

Ссылки Youtube на видеоматериалы, которые упоминаются в статье:


Подробнее..

ATEN и Zyxel вместе это больше, чем каждый сам по себе (продолжение)

27.01.2021 12:10:40 | Автор: admin


Ранее мы писали о тестировании совместных разработок для AVoverIP от ATEN и Zyxel. В этой статье мы продолжим разговор и представим результаты проверки устройств IP KVM-удлинителя 4K от компании ATEN с передачей видео-трафика по LAN коммутаторам Zyxel с поддержкой технологии Networked AV.


Кратко о чём шла речь в предыдущей главе.


Передача видео по IP-сетям давно перестала быть чем-то из ряда вон выходящим. У решений из сегмента AV-overIP много преимуществ. В первую очередь они позволяют избавиться от ограничений по длине кабеля.


Есть ещё одно немаловажное важное правило, работающее в случае применения традиционного видеооборудования ProAV: Чем больше потребителей, тем здоровее ящик, и тем больше проводов из него выходит, но AV-overIP лишены этих недостатков.


Для передачи трафика AV-overIP можно использовать обычное сетевое оборудование. В принципе можно взять любой управляемый коммутатор, поддерживающий multicast, IGMP, QoS и так далее, а потом потратить сколько-то там человеко-часов на его настройку. И так каждый раз, когда нужно передать или размножить видеосигнал.


Для упрощения этих действий ATEN и Zyxel подготовили совместное решение, значительно облегчающее жизнь сетевым администраторам и видеоинженерам Networked AV.


Но есть и другие особенности, например, высокие накладные расходы на кодирование видеотрафика в процессе передаче его по обычной компьютерной сети. Поэтому увидеть процесс вживую это всегда полезно.


Забегая вперед, скажем, что набор: видео-оборудование от ATEN совместно с коммутаторами Zyxel показали себя очень хорошо. Но лучше описать всё по порядку.


В предыдущей главе были описаны более традиционные устройства (серия VE), используемые для трансляции динамических видеоизображений, например, спортивных матчей, записей выступлений, создания видео-стен и так далее.
Обо всём об этом и шла речь в первой части ATEN и Zyxel: вместе это больше, чем каждый сам по себе


Сейчас мы поговорим о довольно своеобразном типе устройств, которое тоже используется для передачи изображений по IP сетям серии KE, это IP KVM-удлинители способные передавать видео до 4K при 30Hz.


Тестирование систем КE


Отличия систем KE IP KVM с поддержкой разрешения до 4K от системы трансляции HDMI видео по IP (VE)


Изначально IP KVM предназначались для удалённого управления серверами и рабочими станциями. Возрастающие требования к качеству изображения и необходимость консолидации вычислительных ресурсов привели к тому, что для определённых ситуация стала актуальной передача видео сигнала как есть с максимально высоким качеством и в составе большой, управляемой сети таких же устройств (например, любой центр управления или диспетчерская).


Концептуально, такая сеть из устройств (также используется термин матрица) предназначена для других целей, нежели чем VE. Если сравнивать особенности применения: передача контрольных видео-изображений промышленных объектов носит более статичный характер, чем трансляция футбольного матча. Следовательно, передающее оборудование должно быть устроено иначе.


Ниже перечислены особенности IP KVM-удлинителей 4K и специфические требования к ним.


  1. Система на базе KE позволяет создавать неограниченную матрицу, состоящую из рабочих мест операторов (до 4 мониторов с разрешением до 4К в 4:4:4), и управляемых устройств, а также видео-стен (и всё это в одной сети), между которыми могут работать операторы.
  2. Благодаря системам КЕ операторы могут работать с клавиатурой, мышью на удалённых серверах и стенах, пробрасывать сигнал USB (USB-накопитель, принтер и так далее), пробрасывать и получать сигнал последовательного интерфейса и аудио.
  3. Дополнительно для работы операторов с разным уровнем доступа, можно реализовать принудительную аутентификацию, управлять пробросом интерфейсов и другие полезные функции, знакомые нам в ИТ, но нетипичные для систем передачи видео.

Несмотря на специфическое название: IP KVM-удлинители, эти устройства могут работать не только в режиме: клиент-сервер. Поскольку это KVM-решение, они могут функционировать во всех типичных для KVM-устройств режимах: один-к-одному (точка-точка), много-к-одному (один оператор много серверов), режим совместной работы один-ко-многим. То есть трансляцию сигнала от передатчика (сервера) к нескольким приемникам (операторам), и управляющих сигналов клавитуры и мыши от операторов к передатчику, подключенному к серверу.


При этом возможно активировать режим разграничений уровней доступа для операторов. То есть возможна совместная работа с одинаковым уровнем доступа (операторы будут мешать друг другу в процессе работы), режим Эксклюзивного пользователя единоличный доступ к серверу (все остальные сигналы от других операторов перестают приниматься), режим просмотра для оператора (это уже фактически мультивещание в стиле VE) и многое другое.


Нюансы, которые было интересно проверить в данном тестировании:


  • передача 4К в полном цвете 4:4:4 с использованием технологий сжатия без потерь по витой паре это особенно важно для отображения статической информации (таблицы с цифрами, графики и т.д.);
  • оба режима предварительных настроек отображения текст и видео, для них используются разные алгоритмы компрессии без потерь;
  • более быстрое переключение источников при использовании функции Fast Switching (основное предназначение которой оптимизация системы с парком разномастных мониторов и, как, следствие различными разрешениями экранов).

Для устройств KE с разрешением FullHD, основанными на подключении DVI, изначально всё более или менее понятно в гигабитный поток, передаваемый сетевым коммутатором, даже 2 сигнала DVI + USB 2.0 помещаются без особых проблем. Гораздо интереснее проверить передачу видео 4К через HDMI (DisplayPort) на новом поколении этих устройств.


На практике, если для проброса видео такого качества не хватает мощности сетевого оборудования приходится использовать сжатие, то есть понижать качество картинки в обмен на высвобождение сетевых ресурсов. (ATEN, как вендор, предусмотрел данный вариант можно использовать 5 степеней компрессии.) Разумеется, при использовании сжатия будут потери, на первый взгляд незаметные, но вполне различимые в некоторых фрагментах.


Другой вариант на самом устройстве принудительно выставить ограничение канала, например, 100Mb/s, в таком случае будет наблюдаться заметное снижение трафика через канал, что повлияет на качество выводимого контента.


При тестировании проверялись следующие ключевые моменты:


  • нагрузка на коммутатор при всех операциях;
  • работа multicast;
  • использование клавиатуры, мыши, USB;
  • поддержка звука.

Используемое оборудование


В роли HDMI IP KVM с доступом по IP и поддержкой 4K использовалась модель ATEN KE8950. Штатный режим работы этих устройств позволяет передавать изображение до 3840x2160@30 Гц.



Рисунок 1. Набор HDMI KVM-удлинителя с доступом по IP ATEN KE8950 (серверная и клиентская часть).


В качестве сетевого оборудования передачи данных выступил всё тот же Zyxel GS2220-28HP, уже знакомый нам по первой части.


Сетевые кабели патчкорды Cat. 5.E



Рисунок 2. Коммутатор Zyxel GS2220-28HP.


Итоговый вариант стенда показан на рисунке 13. Слева расположены передатчики (серверная часть KVM), справа приёмники (клиентская часть).



Рисунок 3. Стенд в сборе для тестирования систем VE (мониторы не показаны). Подключён коммутатор Zyxel GS2220-28HP.


Для контроля видео использовались настольные мониторы Samsung (см. рисунок 4).


Программа тестирования


Что требовалось проверить и проанализировать (аналогично устройствам VE из первой части):


  1. Заметна ли задержка видеосигнала относительно оригинала при передаче по IP.
  2. Насколько синхронно работают все 4 IP приёмника от одного IP передатчика.
  3. Подрыв и скорость переключения.
  4. Загрузки канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.
  5. Что будет, если подключить в коммутатор стороннее сетевое устройство, допустим, FastEthernet (100Mb/s).
  6. Сравнение качество картинки в динамике и проверочная таблица.
  7. Какие модели коммутаторов Zyxel можно рекомендовать и в каких случаях.
  8. Как настроить коммутаторы, и когда нужен VLAN.

Полученные результаты для устройств KE


1. Задержка при передаче показала примерно одинаковый результат около 31мс.



Рисунок 4. Задержка при передаче графики для устройств ATEN KE8950.


Видео с задержкой можно посмотреть по ссылке на канале Youtube:


Видео с задержкой

2. Синхронность передачи в пределах ожидаемых значений.


Однако, как уже говорилось выше, серия КЕ служит в первую очередь для передачи статического трафика и этот показатель в данном случае не так интересен (в отличие от VE).


3. С подрывом и скорость переключения дело обстоит примерно так же, как и c VE значения лежат в пределах допустимых величин.


Видео скорость переключения также можно увидеть по ссылке на канале Youtube:


Видео скорость переключения

4. Загрузка канала IP в зависимости от контента (видео, статика) с помощью средств контроля для коммутаторов Zyxel.


Несмотря на то, что для передачи изображения максимального качества канал утилизируется по максимуму, и загрузка превышает 90%, коммутатор Gigabit Ethernet вполне справляется с такой задачей.


При ограничении используемой полосы со 100% до 10% (100Mbs/s вместо 1Gb/s) или при сжатии c с потерями нагрузка на коммутатор падает до ожидаемых значений около 10% и 50% соответственно. Это говорит о том, что система видеопередачи ведёт себя предсказуемо. Предсказуемость поведения важнейшее условие при реализации больших проектов. Ниже приводится информация о загрузке, полученная с непосредственно с коммутатора стенда Zyxel GS2220-28HP.


При добавлении в поток проброса USB сигнала, потоковая загрузка мало менялась выше 90%, на 1-2 %. В том числе при попытке проброситьUSBс флеш-накопителя. Причина невысокая скорость передачи USB 2.0 (в данном случае до 12Mb/s), что фактически составляет малую часть гигабитного канала.



Рисунок 5. Загрузка при передаче трафика в штатный режим работы 3840x2160 при 30 Гц без каких-либо ограничений (загрузка 93%).



Рисунок 6. Загрузка канала при сжатии с потерями (загрузка 57%).



Рисунок 7. Загрузка канала при сжатии с потерями (загрузка 57%).


5. Что будет, если подключить в коммутатор стороннее сетевое устройство?


Как и в случае с VE ничего ужасного не произошло. Стенд продолжил работать в штатном режиме, подключение лишних устройств не влияет на его работу. Однако настоятельно рекомендуется использовать VLAN для изоляции передачи видео от остальных видов трафика. Как говорится, бережёного бог бережёт.


6. Сравнение качество картинки в динамике и проверочная таблица.


Ниже мы приводим по 2 картинки: с текстом и с таблицами.


Как следует из примеров, разницы на них не видно, в этом главное отличие устройств KE (IP KVM) от VE. (Фотографии сделаны обычным фотоаппаратом, поэтому возможны некоторые искажения при фотосъёмке).



Рисунок 8. Картинка с текстом (оригинал).



Рисунок 9. Картинка с текстом при передаче через IP KVM ATEN KE8950.



Рисунок 10. Цветовая таблица (оригинал).



Рисунок 11. Цветовая таблица при передаче через IP KVM ATEN KE8950.


Пришло время ответить на общие вопросы нашего тестирования


7. Какие коммутаторы Zyxel подходят для тех или иных систем передачи видеонаблюдения?


Для простых случаев хватит коммутатора Zyxel GS2220.


Когда необходимо использовать каскадирование\стэкирование коммутаторов подойдёт Zyxel L2+ серии XGS2210 таким образом можно увеличить количество портов и обеспечить диверсификацию. Также эти модели коммутаторов имеют возможности для питания оборудования видеопередачи (VE или KE) через PoE.



Рисунок 12. Коммутатор Zyxel XGS2210.


Для больших инсталляций с топологиями звезда подойдёт коммутатор Zyxel XS3800-28 SFP+LAN 10Gb.



Рисунок 13. Коммутатор Zyxel XS3800-28 SFP+LAN 10Gb.


8. О функциях в коммутаторах Zyxel, добавленных в результате партнёрства с ATEN.


Последние доступные на сайте Zyxel прошивки включают режим Networked AV, облегчающий настройку оптимизации коммутаторов для передачи IPvideo трафика. В режиме Networked AV упрощено создание VLAN, присутствует Dashboard с информацией о загрузке портов со временем обновления от 1 до 60 секунд. Проще говоря, это такая кнопка Сделать Всё Хорошо, активизация которой облегчает жизнь при работе с AVoverIP.


Также во всех устройствах присутствует возможность создания VLAN для разделения трафика AVoverIP от любого другого, когда нет возможности использовать коммутатор исключительно для устройств VE.


Не только Networked AV


Ниже перечислены полезные сервисы, которые реализованы в вышеупомянутых коммутаторах и могут пригодиться при работе с AVoverIP:


L2 multicast


  • IGMP snooping (v1, v2, v3)
  • IGMP snooping fast leave
  • Configurable IGMP snooping timer and priority
  • IGMP snooping statistics
  • IGMP throttling
  • MVR support
  • IGMP filtering
  • IGMP snooping immediate leave
  • IGMP proxy mode & snooping mode selection
  • MLD snooping

Управление трафиком


  • 802.1Q Статические VLAN / Динамические VLAN: 1K/4K
  • Port-based VLAN
  • Protocol-based VLAN
  • IP subnet-based VLAN
  • MAC-based VLAN
  • Private VLAN
  • Voice VLAN
  • Vendor ID based VLAN
  • VLAN ingress filtering
  • GVRP
  • L2PT

Качество сервиса (QoS)


  • Storm control and event log: Broadcast, multicast, unknown unicast (DLF)
  • Port-based rate limiting (ingress/ egress)
  • Rate limiting per IP/TCP/UDP per port
  • Policy-based rate limiting
  • 802.3x flow control
  • 802.1p Class of Service (SPQ, WFQ, WRR, hybrid-SPQ combination capable)
  • DiffServ (DSCP)

Что в итоге?


Технология AVoverIP позволяет решить много задач: масштабируемость, передача на большие расстояния, использование существующей инфраструктуры и самое главное данный сервис из разряда только для богатых организаций переходит в разряд доступно для всех.


Этому способствует совместная работа различных вендоров, результатом которой является улучшение оборудования для передачи AVoverIP трафика.


Такой подход продемонстрировали компании Zyxel и ATEN, итогом которого стал режим Networked AV.


Несмотря на то, что технология ProAV не спешит сдавать позиции, оставляя за собой нишу там, где крайне критично передача картинки без малейших искажений, возможности AVoverIP дают основание надеяться, что при соответствующих усилиях со стороны вендоров AVoverIP будет развиваться и повсеместно заменять более старые стандарты передачи видео-трафика.


Полезные ссылки


  1. ATEN и Zyxel: вместе это больше, чем каждый сам по себе
  2. Telegram chat Zyxel
  3. Форум по оборудованию Zyxel
  4. Много полезного видео на канале Youtube
  5. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  6. Коммутаторы Zyxel L2+ серии XGS2210
  7. Коммутаторы Zyxel L2 серии GS2220
  8. Коммутаторы Zyxel L2 серии XS3800-28
  9. Цветовая субдискретизация понятным языком немного отдаём, чтобы много выиграть
  10. Теория IGMP
  11. Передатчик 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952T
  12. Приёмник 4K HDMI-сигнала по IP-подключению с поддержкой PoEVE8952R
  13. HDMI KVM-удлинитель с доступом по IP и поддержкой 4KKE8950
  14. Оригинальный текст RFC1112;
  15. Оригинальный текст RFC2236;
  16. Оригинальный текст RFC3376.
  17. Why ATEN\'s Video over IP Solution?

Ссылки Youtube на видеоматериалы:


Часть 1



Часть 2


Подробнее..

Особенности применения управляемых и неуправляемых коммутаторов

27.10.2020 12:09:43 | Автор: admin


Какой коммутатор использовать для решения той или иной задачи: управляемый или неуправляемый? Разумеется, однозначные ответы вроде: Нужно брать который круче или который дешевле не подходят, оборудование нужно подбираться строго по требуемым характеристикам. А какие они, эти характеристики? И какие существуют преимущества у той или иной группы устройств?


Примечание. В этой статье мы говорим о сетях семейства Ethernet, в том числе: Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet. Для экономии времени все эти сети для краткости мы будем называть термином Ethernet.


Для чего нужны неуправляемые коммутаторы


Неуправляемыми коммутаторами называют самые простые устройства без возможности принудительно изменять какие-либо характеристики. В основе лежит принцип: включил и работай.


Преимущества неуправляемых коммутаторов


Как уже было сказано, это достаточно простые устройства. Они не содержат сложных контроллеров, не требуют повышенного питания, меньше греются, их работу сложнее нарушить, а при выходе из строя их довольно просто заменить (не надо ничего перенастраивать).


Ещё один несомненный плюс неуправляемые коммутаторы стоят дешевле.


Такие устройства применяются в простых сетях, где не требуется применения сложных сетевых конфигураций. Тут надо отменить, что под понятием простые сети может скрываться вполне себе развитая инфраструктура среднего предприятия на 100+ локальных клиентов.


Ещё одна область применения в отдельных выделенных сетях, куда посторонним вход запрещен. Например, в сети видеонаблюдения, в которой кроме службы безопасности и администратора остальным сотрудникам офиса делать нечего.


Из практики. Сетевые инфраструктуры только из неуправляемых коммутаторов без применения другого сетевого оборудования (за исключением Интернет-шлюза) редко переходят за порог 254 устройства. Такие LAN часто оформляются в виде одной подсети класса С. На это есть свои причины если слишком много устройств находится в одном широковещательном домене, то служебный Ethernet трафик достигает существенной величины и начинает мешать передаче информации. Это связано с тем, что каждое устройство обязано принять и обработать широковещательные кадры, а это, в свою очередь создает ненужную нагрузку и засоряет канал связи. Чем больше устройств, тем больше широковещательных посылок время от времени проходит по сети, которые принимают все эти же устройства. В свою очередь маска подсети класса С 255.255.255.0 и префикс 192.168.xxx.xxx популярные значения, а предел в 254 устройства для сетей этого класса является, помимо всего прочего, своего рода психологической отметкой, когда приходит понимание, что c разросшейся сетью надо что-то делать.


Ещё одна сфера применения неуправляемых коммутаторов удешевление сетевой инфраструктуры. Строить развернутую сеть на базе только управляемых коммутаторов достаточно дорогое удовольствие. На практике возникают случаи, когда большое число однотипных устройств находятся в одной подсети и расположены относительно недалеко. В качестве примера можно привести пользователей тонких клиентов в опенспейсе, которым назначен отдельный изолированный VLAN. В таких простых случаях функции управления на коммутаторе уровня доступа не так уж и востребовано. За вопросы безопасности и перенаправления трафика отвечает уровень распределения (агрегации) и далее ядро сети.


Ещё один классический пример: специально выделенная сеть для управления оборудованием, куда подключены, интерфейсы IPMI для управления серверами, IP-KVM и так далее.


Для таких сегментов можно использовать один или несколько неуправляемых коммутаторов с Uplink в выделенный VLAN для связи с остальной сетевой инфраструктурой. Разумеется, в этом случае теряется возможность гибкого управления целым фрагментом, но так ли уж нужно чем-то там управлять?


Некоторые мифы и заблуждения


Миф 1. Неуправляемые коммутаторы это отсталое старьё, рассчитанное на небольшие скорости (до 1 Гбит/сек. максимум), сейчас все новые современные коммутаторы управляемые.


Это далеко не так. Неуправляемые коммутаторы выпускаются и успешно применяются. Мало того, обеспечивают вполне приличные скорости. В качестве примера можно привести современные мультигигабитные коммутаторы, позволяющие повысить скорость передачи данных без замены кабельной системы.



Рисунок 1. Zyxel XGS1010-12 12-портовый неуправляемый мультигигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+


Миф 2. Сейчас неуправляемые коммутаторы это для не корпоративных сетей. Они не выпускаются в формфакторе 19 дюймовых стоек и содержат не больше 16-ти портов.


Это тоже не соответствует действительности стоечные неуправляемые коммутаторы выпускаются и находят свое место в том числе в корпоративных сетях. В качестве примера можно привести Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор с гигабитным Uplink.



Рисунок 2. Zyxel GS1100-24 24-портовый гигабитный неуправляемый коммутатор в стоечном исполнении.


Миф 3. С PoE бывают только управляемые коммутаторы. Аналогичное заблуждение: с PoE только неуправляемые.


На самом деле и управляемые, и неуправляемые коммутаторы бывают как с PoE, так и без. Все зависит от конкретной модели и линейки оборудования. Для более подробного ознакомления рекомендуем статью IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино.



Рисунок 3. Zyxel GS1300-26HP 24-портовый гигабитный (+2 Uplink) неуправляемый коммутатор для систем видеонаблюдения с расширенной поддержкой PoE.


Удивительное рядом. Можно ли управлять неуправляемым коммутатором? Казалось бы, ответ уже понятен из названия (вот и Капитан Очевидность нам то же самое говорит). Однако, что мы понимаем под словом управлять? Например, отключать или включать питание, или выполнить перезапуск устройства это ведь тоже управление? В этом случае нам помогут такие устройства как SmartPDU. Часто под управлением понимают настройку запретов и разрешений для клиентского доступа. В этом случае, например, можно не выключать порты, а настроить фильтрацию по MAC этажом выше, то есть на управляемом коммутаторе уровня распределения (агрегации). Тогда на верхний уровень будет проходить трафик только от разрешенных MAC. Разумеется, злоумышленник в качестве цели для атаки может избрать рядом стоящие компьютеры или тонкие клиенты, но для нанесения большого вреда вроде положить ядро сети фильтрация по MAC на уровне распределения (агрегации) создает определенные затруднения. В итоге коммутатор как был, так и остается неуправляемым, но мы можем управлять его окружением и даже выполнять какие-то действия с ним самим.


Ограничение неуправляемых коммутаторов


Ограничение одно и весьма большое неуправляемость. Если нужно что-то большее, чем просто соединять два порта и передавать кадры Ethernet нужно использовать управляемые коммутаторы.


Управляемые коммутаторы


В отличие от их более простых собратьев, которые выше канального уровня (2-й уровень модели OSI) не поднимались, управляемые коммутаторы выпускаются уровней L2, L2+, L3 и даже L3+.


При таком разнообразии описать все функции и особенности работы в рамках одной статьи просто нереально. Поэтому мы ограничимся описанием основных возможностей управляемых коммутаторов уровня L2.


Функции управления в коммутаторах L2


Управляемые коммутаторы L2 вещь довольно распространенная. Например, их удобно использовать на уровне доступа, чтобы гибко управлять клиентским трафиком.


Коммутаторы L2 можно встретить и на уровне ядра сети. Коммутаторы на этом участке обеспечивают скоростное взаимодействие всех ветвей сети. При такой загрузке те или иные крутые функции L3 оказываются не востребованы, а иногда просто мешают. Роль анализаторов и фильтров трафика в такой архитектуре целиком возложена на коммутаторы уровня распределения (агрегации).


Ниже приводится очень сокращенный список функций управления, характерный для коммутаторов L2. Разумеется, для коммутаторов L2+ и, тем более, L3 список возможностей будет куда как длиннее. Но даже из этого сокращенного перечня хорошо понятны отличия от их неуправляемых собратьев.


Возможность удаленной перезагрузки или выключения


Редко, но такая возможность бывает востребована. Например, перезагрузка может потребоваться при перепрошивке устройства или необходимости откатиться назад без сохранения конфигурации. Выключение коммутатора тоже может быть полезно. Например, мягкое выключение коммутатора уровня доступа может быть эффективно в качестве крайней меры при опасности массового заражения рабочих станций.


Port UP/Down


Возможность отключить порты весьма полезная возможность для поддержания требуемого уровня безопасности. Работающая сетевая розетка в тихом месте, оставленная без присмотра это потенциальная дыра. Самый простой способ избавиться от такой беды просто перевести порт на коммутаторе в состояние Down.


Пример: неиспользуемые розетки в переговорной. Изредка они нужны, когда необходимо подключить дополнительное оборудование, например, для видеоконференций, а также ПК, МФУ и другие устройства. Однако при собеседовании кандидатов для приема на работу такие свободные порты могут оказаться брешью в безопасности, которую лучше прикрыть.


Разумеется, можно постоянно бегать в серверную и отключать-подключать порты вручную, выдергивая патчкорды из коммутатора или патчпанели. Но такой подход чреват не только необходимостью постоянно держать поблизости человека, способного это проделать, но и быстрым выходом разъемов из строя. Поэтому возможности менять состояние Up-Down для каждого порта рано или поздно окупится.


Защита от петель


Ошибки в виде двойного подключения приводят к созданию петель в сетях Ethernet и лишают сеть работоспособности.


Для их защиты придуманы специальные средства в первую очередь мы говорим о семействе протоколов STP (Spanning Tree Protocol), который, кроме защиты от петель, предотвращает возникновение широковещательного шторма в сетях. Протоколы семейства STP работают на 2 уровне модели OSI (L2).


Агрегирование каналов


Позволяет объединить два или несколько портов (обычно применяется число, кратное 2) в один канал передачи данных. Один из известных проколов для агрегации LACP (Link Aggregation Control Protocol), поддерживаемый большинством Unix-like операционных систем. LACP работает в режиме Active-Active и, благодаря ему, помимо повышения отказоустойчивости увеличивается и скорость передачи данных


Поддержка VLAN


VLAN (Virtual Local Area Network) группа устройств, обменивающихся трафиком на канальном уровне (2 уровень сетевой модели OSI), хотя физически они могут быть подключены к разным коммутаторам.


Известен и обратный прием, когда один коммутатор при помощи VLAN нарезается на несколько независимых сегментов. Устройства из разных VLAN по умолчанию (без маршрутизации) недоступны на канальном уровне, не важно, подключены они к одному коммутатору или к разным. В то время как устройства из одного VLAN могут общаться между собой на канальном уровне, даже будучи подключенными к разным коммутаторам.


Это применяется как при разделении сети на подсети, например, для снижения уровня широковещательного трафика, так и для объединения устройств из различных сегментов крупной корпоративной сети в одну подсеть, организованную по единым правилам.


Например, если всей бухгалтерии, находящейся на 2-м, 3-м и 5-м этажах необходимо дать доступ к серверу 1С, но при этом запретить доступ к сети вычислительного кластера для инженерных расчетов, то разумнее всего сделать дополнительный VLAN, настроить общие ограничения, после чего приписать к нему порты всех бухгалтерских компьютеров.


QoS


Под QoS (Quality of Service) обычно подразумевают способность сети обеспечить необходимый уровень сервиса заданному сетевому трафику.


Например, в сети, при работе оборудования для видеоконференций, трафик между источником и приемником видеотрансляции будет более приоритетным, чем, например, копирование документов для инженеров техподдержки.


Существует множество различных инструментов, облегчающие подобные задачи, в том числе создание аппаратных очередей, flow-control и так далее.


Безопасность


Под безопасностью можно понимать самые разнообразные функции, например, те же VLAN.


Также среди наиболее известных: Port Security, фильтрация Layer 3 IP, фильтрация Layer 4 TCP/UDP.


Например, вот список функций безопасности для коммутаторов L2 серии GS2220:


  • Port security
  • Фильтрация Layer 2 MAC
  • Фильтрация Layer 3 IP
  • Фильтрация Layer 4 TCP/UDP
  • Static MAC forwarding
  • Несколько серверов RADIUS
  • Несколько серверов TACACS+
  • 802.1x VLAN and 802.1p assignment by RADIUS
  • Аутентификация RADIUS
  • Аутентификация TACACS+
  • TACACS+ аккаунтинг
  • RADIUS аккаунтинг
  • Авторизация RADIUS
  • Авторизация TACACS+
  • SSH v2
  • SSL
  • MAC freeze
  • DHCP snooping IPv4
  • DHCP snooping IPv6
  • ARP inspection
  • Static IP-MAC-Port binding
  • Policy-based security filtering
  • Port isolation
  • IP source guard (IPv4/IPv6)
  • MAC search
  • Guest VLAN
  • ACL packet filtering (IPv4/IPv6)
  • CPU protection
  • Interface related trap enable disable (by port)
  • MAC-based authentication per VLAN

Как видим, есть довольно много возможностей, которые востребованы в тех или иных обстоятельствах.



Рисунок 4. GS2220-50HP 48-портовый гигабитный PoE коммутатор L2 c 2 Uplink SFP GBE.


Управление


Возможности управления и контроля могут быть самые различные. Например, через веб-интерфейс, CLI (интерфейс командной строки), настройка через консольный порт RS-232, сохранение, извлечение и клонирование конфигурации, расписание включения PoE (для коммутаторов с PoE).


Для случаев расследования нарушений безопасности и анализа сетевых проблем интерес вызывают такие функции, как зеркалирование портов.


Старый добрый SNMP протокол тоже играет немаловажную роль, как в плане опроса и управления по протоколам SNMP v1/2c/3, так и оповещения с использованием механизма SNMP Trap.


И, наконец, последний писк моды централизованное управление через облачную систему, такую как Zyxel Nebula, позволяющую забыть о вопросах локального доступа для управления, учета оборудования и других наболевших темах.


Что в итоге


Не бывает плохих и хороших направлений развития сетевых устройств. Для каждого типа оборудования существует своя область применения. Зная особенности того или иного класса устройств, можно подобрать для каждой задачи наиболее эффективное решение.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. IP-камеры PoE, особые требования и бесперебойная работа сводим всё воедино
  5. 12-портовый неуправляемый многогигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+
  6. Специализированный коммутатор для систем видеонаблюдения GS1300 Series
  7. 8/16/24-портовые гигабитные неуправляемые коммутаторы серии GS1100
  8. Управляемые 10/28/50-портовые гигабитные коммутаторы L2 серии
Подробнее..

53 совета как поднять нерабочую сеть

17.11.2020 12:21:43 | Автор: admin


Ноябрь месяц особенный. Целых два профессиональных праздника для российских безопасников: День специалиста по безопасности в России 12 ноября и Международный день защиты информации 30 ноября.


Находясь между этими датами, невольно задумываешься на тему: а что есть безопасность в принципе? И что приносит больший вред: внешние атаки или сумасшедшие ошибки, странные предрассудки и просто нежелание что-либо сделать хорошо?


Предлагаем вашему вниманию перечень вредных советов, надеюсь, они вам понравятся.


Для начала пример из жизни


Один замечательный начальник отдела ИТ искренне считал, что главное это быстро бегать по заявкам пользователей, производя впечатление максимальной загруженности. А ещё важно экономить на всём. На каждом совещании он не забывал похвалить себя и свой отдел, рассказывая, сколько чего было сэкономлено для компании.


Примечателен тот факт, что в сети ранее была создана вся необходимая структура для обеспечения стабильности, безопасности и т.д. В том числе закуплены коммутаторы L3, новенькие точки доступа Wi-Fi и много другого полезного.


Но вся эта техника просто не использовалась. А зачем? Никто этого не оценит. Зато быстро прибежавшего сисадмина сразу после телефонного звонка пользователи обязательно похвалят и даже угостят карамелькой. Пара новейших коммутаторов грустно лежала в коробке, потому что установить их было просто некому.


В итоге всё находилось в одной подсети. Ни о каких VLAN не могло быть и речи.


Разумеется, и СХД, и рабочие станции, и даже веб-сервер с внешним сайтом компании всё было в одной сети класса С. Все 254 адреса были давным-давно оприходованы. И когда возник дефицит IP адресов, то начальник отдела ИТ принял оригинальное решение: урезать диапазон динамических IP адресов и снизить время лизинга IP адресов на DHCP сервере до 1 секунды.
Таким образом, компьютеры тех сотрудников, кто приходили на работу пораньше, получали доступ к локальной сети, а опоздавшие или те, кто приходил ровно к началу рабочего дня курили бамбук. Классический вариант: кто раньше встал, того и тапки. Тем самым удалось и модернизации избежать, и дисциплину поднять, ведь теперь работники, мало того, что стараются прийти пораньше, так ещё и на работе задерживаются.
Но как же быть с теми хитрецами, кто не выключал компьютеры, уходя домой, чтобы сохранить доступ в сеть? Очень просто: все компьютеры, кроме ноутбуков топ-менеджеров в 22-00 выключались принудительно.


Кроссовый журнал не вёлся. Мало того, повсеместно применялись сплиттеры, когда два компьютера сотрудников подключались к сети через одну настенную розетку. Сплиттеры делались силами сотрудников ИТ отдела из обычных внешних телефонных розеток и хитрых патчкордов, где с одной стороны был RJ45, а с другой телефонный штекер.


К любым, даже самым простым мерам безопасности вроде обновить антивирусные базы этот начальник ИТ относился с опасением. Фразы у нас честная фирма, нам нечего скрывать и да кому мы нужны были главным определяющим фактором при принятии решений. Все работники имели права администратора на своем компьютере. Примерно треть пользователей администраторы домена. А вдруг ответственному сотруднику внезапно понадобится какой-нибудь информационный ресурс для работы? Пароли были самые простые. Пользователи ведь не должны напрягаться, чтобы запоминать сложные пароли? Сочетание 1234 уже считалось вполне нормальным.


Вы считаете это выдумкой? Или такое возможно только в маленьких компаниях вроде Я, секретарша и директор? Увы, этот пример целиком взят из жизни.


Мало того, фирма, где это происходило довольно крупная столичная компания, вполне современная, так сказать, внедряющая прогрессивные методы работы с клиентами.


Почему руководство компании терпело этот кавардак? Все вокруг искренне считали, что без этого незаменимого сотрудника в этом хаосе больше никто не разберется. Поэтому уволить такого ценного кадра, чтобы сделать резервную копию (кстати, системы резервного копирования не было тоже, её пришлось бы строить с нуля) и потом всё отстроить заново никак не решались. Всё-таки бизнес простаивать будет, а так, пусть через пень колоду, но вроде пока ещё как-то работает...


Чтобы избежать таких даже не ошибок, а просто нелепостей, предлагаем вашему вниманию перечень вредных советов. Если им не следовать, то можно избежать многих проблем.


Проектирование и документация


При построении сети не составляйте даже эскизного проекта. Все решения должны приниматься спонтанно.


Если начальство требует привлечь для проекта стороннюю организацию, то выбирайте самый дешевый вариант. Из всех предложений на рынке наймите самую низкооплачиваемую команду проектировщиков.


Наличие документации совершенно не важно, лучше если её вообще не будет. И уж точно вас не должны волновать несоответствие в документации и того, что есть в реальности.


Логическая организация и сервисы


Не разделяйте сети. Не используйте VLAN. На самом деле это придумали те, кто просто хочет побольше заморочиться.


Не используйте STP и другие средства отказоустойчивости. Чем больше петель и обрывов тем круче сеть.


Никакого контроля за IP адресами. Пусть и сервер DHCP, и статические адреса берутся из одного диапазона адресов не глядя. Если кому-то не повезло и адреса совпали дело житейское. Повезет в следующий раз. И вообще, Что наша жизнь? Игра!


Не планируйте запас IP адресов на вырост. Помните, что простой сети класса С и любимой маски 255.255.255.0 хватит на все случаи жизни.


Если у вас есть промышленное оборудование с IoT, то подключайте офисную сеть к промышленной напрямую в один и тот же сегмент сети, и всё это сразу подключите к Интернет через самый дешевый роутер.


Оборудование


Не обращайте внимание на элементную базу. Качество монтажа, качество комплектующих вещи абсолютно незначимые.


Обязательно используйте оборудование от самых разных производителей, в первую очередь неизвестных и малоизвестных фирм. Вообще зоопарк из самых диковинных образчиков сетевых устройств это удивляет воображение и дает волю фантазии. Лучше всего сочетаются ископаемые древности с новехонькой техникой от NoName производителей.


Совет: чем диковиннее железки, тем больше вероятность, что только вы будете знать, как управиться со всем этим разношерстым хозяйством. А если и не знаете, то не расстраивайтесь, ведь никто другой, скорее всего, это тоже не знает.*

При выборе оборудования не обращайте внимание на наличие русскоязычной техподдержки сами во всем разберемся.


Не используйте резервирование. Ничего страшного если что-то постоит без работы, кто-нибудь да отремонтирует.


Не заключайте договор о расширенной гарантии и поддержке. Сгорит значит сгорит. Нужно стоически принимать удары судьбы.


Не имейте спасательного фонда. Только с колес. Если что-то выйдет из строя всегда можно срочно купить устройство на замену, желательно за наличные из такого же хлама, что подвернется под руку.


Wi-Fi


При развертывании Wi-Fi не используйте гостевую сеть. Смело раздавайте всем на право и налево ключ от офисного Wi-Fi. Разумеется, пароль обязательно быть один на всех. Никаких RADUS, Dynamic Personal Pre-Shared Key (DPPSK) и прочих ненужных вещей!


Покупайте устаревшие модели точек доступа просто потому что они дешевле. Лучше брать с рук или на рынке, без гарантии и документации, от неизвестного производителя.


Разместите точку единственную доступа в самом труднодоступном изолированном месте. Глухой подвал с железной дверь вполне подойдет.


Используйте только одну точку доступа на всех. Если все жалуются, что у них не ловит пусть поищут в офисе место, где сигнал стабильней. Например, пусть все выйдут в коридор.


Поставьте рядом с точкой доступа побольше микроволновок, устройств с BlueTooth и других гаджетов, использующих радиовещание или создающее помехи.


Если начальство требует что-то сделать с Wi-Fi, который не ловит разместите несколько одинаковых точек доступа рядом друг другом. Не настраивайте никаких параметров для снижения взаимного влияния.


Не используйте никакие средства Wi-Fi роуминга. Контроллеры точек Wi-Fi (даже если за эту функцию не надо платить, и она уже есть в сетевом оборудовании) жутко обременительная вещь.


Никогда не используйте облачные решения для контроля точек доступа. Лучше всё настраивать вручную.


Не используйте удаленное управление точками доступа. Например, чтобы перезагрузить точку по питанию, лучше послать человека с раскладной лестницей.


Не используйте PoE для питания точек доступа. Если розеток недостаточно или точки находятся в трудно доступных местах используйте обычные удлинители для электропитания. Хорошей идеей также будет втыкать удлинители электропитания один в другой, чтобы получить нужную длину. Если искрит значит работает!


Не используйте шифрование в Wi-Fi. Если этого требует начальство используйте самый простой вариант. Если ваша точка доступа всё ещё поддерживает WEP используйте именно это. А то вдруг кто-то придет с устаревшим ноутбуком, который поддерживает только этот вариант...


СКС и учет оборудования


Никакой маркировки кабелей! Забудьте про кроссовый журнал. Только по памяти или методом "тыка".


Совет: Чтобы узнавать, что куда подключено, лучше всего просто выдернуть патчкорд из порта, и подождать, кто прибежит. Так можно узнать не только какое оборудование висит на данном проводе, но и насколько оно важно для работы сети.

Не ведите никакого учета оборудования. Только то, что в голове, только по памяти. Если заставляют вести документацию смело пишите в ней что попало. И, конечно, не вздумайте использовать никакую централизованную облачную систему.


Всегда прокладывайте СКС самым дешевым и устаревшим кабелем. Помните, что категория 5 (не 5E, а именно чистая пятерка) на высоких скоростях работает ничуть не хуже, чем более современные 5E, 6, 6A, 7...


Покупайте только самые дешевые патчкорды.


Не используйте патчпанели. Лучше всего провод сразу из стены обжать и воткнуть в порт оборудования.


Старый разболтанный обжимной инструмент от неизвестного производителя это самый лучший вариант для оконцовывания кабелей. Не имейте ничего хорошего и надежного.


Безопасность


Используйте только самые простые пароли. Лучше использовать пароли по умолчанию. Если интерфейс требует сменить пароль введите очень простой, который можно получить из словаря


Не используйте VPN и любое другое шифрование трафика. Честным людям нечего скрывать.


Не читайте логи безопасности. Всё равно ничего полезного там не прочтете, а если прочтете, то всё равно не поймете.


В настройках безопасности используйте самый простой режим по умолчанию.


Используйте прямое подключение через Интернет. Никаких этих дурацких вещей вроде DMZ и тому подобного. Только сразу напрямую к серверам во внутренней сети. И никаких дополнительных средств защиты!


Используйте неизвестные программы от третьих лиц вместо фирменного ПО. Например, зачем использовать Zyxel One Network, если можно воспользоваться каким-нибудь левым сканером сети с хакерского сайта, желательно ещё и крякнутой версией.


Совет. Разумеется, это всё гораздо надежнее, чем использовать облачные решения, ведь там за безопасностью следят злые админы, а это добрые люди на форуме посоветовали. Поэтому в облако ни-ни.

Не используйте антивирус. Ни на шлюзе, нигде. Все знают, что антивирус замедляет компьютеры. Пусть всё добро из Интернет незамедлительно проходит сразу на серверы и компьютеры пользователей.


Не используйте антиспам. Любая фильтрация нарушает свободу переписки. Вдруг прямо сейчас кто-то из сотрудников получит письмо о наследстве из Нигерии. Он непременно будет вам признателен за эту возможность.


Не проводите поведенческого анализа действий пользователей в сети. Пусть сотрудники качают всё, что им вздумается. Чем больше они скачают на компьютеры, тем меньше останется в Интернет, и ваша компания станет несомненно богаче.


Модернизация имеющейся сети


Всячески уклоняйтесь от модернизации. По большому счету не важно, какая пропускная способность сети. Ethernet HUB 10Mb/s ни в чем не уступает коммутатору L3 10 Gigabit Ethernet.


Совет 1. Если начальство всё же настаивает на модернизации сети, начните проводить плановые работы в самое неудобное время, например, в активные бизнес-часы. Посидят несколько часов без сети авось поумнеют и отвяжутся со своей модернизацией.

Совет 2. Составьте список из самого дорого оборудования (пусть даже вам не так нужен весь этот набор функций) и запросите для начальства счет с кругленькой цифрой. Они непременно откажутся от планов модернизации, увидев, как много денег им придется потратить.

При выполнении работ не составляйте никаких планов заранее. Всё должно происходить строго по наитию. Спонтанные решения всегда лучше тщательного предварительной проработки.


Никогда, вы слышите, никогда не читайте документацию! Даже если ничего не знаете, методом тыка действовать всегда лучше, чем вооружившись инструкцией. И вообще, это глупо тратить бесценное время на чтение, если уже сразу можно начать ковыряться в настройках и железе.


Не обновляйте firmware сетевого оборудования. Не используйте централизованную систему контроля версий прошивок.


Даже если оборудование уже куплено, просто не устанавливайте его. Ведь для этого нужно научится с ним работать, потом произвести плановую остановку, выполнить какие-то действия по замене и настройке Проще потратить деньги и отчитаться.


Совет. Если установки не избежать, то по возможности оттяните её как можно дольше, когда новое оборудование уже изрядно устареет. Так вы всегда можете сказать: "Ну вот видите, поставили новое, а получился всё равно отстой".

Мониторинг


Не контролируйте сеть. Не читайте логи. Вообще не используйте систему мониторинга. И уж точно не используйте никакие облачные системы от производителя.


Не настраивайте никакого информирования: ни по почте, ни по СМС, ни-че-го Пока не знаете о проблеме и голова не болит.


Не используйте никакую удаленную систему управления. Только личный приход в серверную избавит вас от большинства проблем.


Работа с персоналом


Не определяйте даже примерно зоны ответственности. Пусть все отвечают за всё.


Настоящий профессионал всегда знает всё. Если человек говорит, что с чем-то до этого момента не сталкивался и ему надо почитать литературу это слабак, его надо немедленно уволить и нанять всезнайку. Эффект Даннинга-Крюгера выдумали просто так, для утешения неудачников.


Никогда не признавайте свои ошибки. Лучше потихоньку замести следы или доказывать, что оно само так получилось.


Всегда нанимайте для выполнения работ случайных людей подешевле. Помните, что хороший специалист всегда соглашается поработать бесплатно, а самые крутые ещё доплатят вам, потому что работать в этой компании большая честь для них.


Никогда ничего не проверяйте и не тестируйте. Помните, что настоящие профессионалы никогда не ошибаются.



Вот и закончился наш список. Разумеется, это всего лишь шутка. Но в каждой шутки есть доля правды.


И мы выражаем поддержку тем, кто не допускает подобных вещей или вынужден бороться против подобного.


Полезные ссылки


Telegram chat Zyxel


Форум по оборудованию Zyxel


Много полезного видео на канале Youtube

Подробнее..

Убираем старые проблемы защиты крупных и малых сетей

24.11.2020 12:18:29 | Автор: admin


Черепаха особое построение римских легионеров.


До сих пор существует практика разделять подход к безопасности для небольших компаний и для крупного бизнеса. С одной стороны, вроде бы логика в этом прослеживается. Якобы для штаб-квартиры в столице требуется высокий уровень безопасности, а для небольшого филиала уровень попроще и пониже.


Но, может быть, стоит посмотреть с другой стороны? Владельцы хотят максимально обезопасить свой бизнес, даже если он небольшой. А если государственная организация находится не в столице, то это не значит, что она должна работать с перебоями только потому, что в ИТ из-за проблем с безопасностью что-то нарушилось и никак не восстановят.


Когда вместо того, чтобы взламывать хорошо оберегаемый центральный узел, достаточно получить доступ к менее защищённой сети филиала это уже давно является классикой жанра. А сетевые администраторы постоянно решают множество интересных проблем из-за необходимости поддерживать одновременно целый зоопарк линеек оборудования: посерьёзнее и подороже для штаб-квартиры и попроще и подешевле для филиалов и небольших предприятий.


С другой стороны, и на уровне Enterprise возникает ситуация, что любое локальное решение может быть недостаточным. Проще говоря, какую сверхмощную железку ни поставишь её возможностей всё равно будет мало.


Zyxel знает про эти проблемы и предлагает комплексный подход для решения.


Во-первых, можно сделать продуктовую линейку соответствующих устройств более широкой. Включающей оборудование как для небольшой сети, так и для крупной ИТ инфраструктуры.


Во-вторых, подключить внешние облачные сервисы. Тогда небольшие мощности используемого железа компенсируются за счёт возможностей облака.


Ниже мы разберём, как это выглядит на практике. Забегая вперёд, стоит сказать, что речь пойдёт о недавно поступившей в продажу платформе USG FLEX.


Почему облачные технологии так важны?


Коллективная защита


Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.


Борьба средств безопасности против сетевых угроз это уже не классический сценарий самый твёрдый наконечник против самого крепкого щита, сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит. Тут самое время попросить помощи у соратников. Если сложить щиты в плотную конструкцию, можно отразить гораздо больше атак с самых разных сторон, нежели в одиночку.


В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время крутили пальцем у виска, предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.


Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.


Это интересно. Уже в следующей прошивке будет выпущена полноценная поддержка централизованного облака Zyxel Nebula. Появится возможность использовать облачные ресурсы не только для защиты, но и реализовать централизованное управление крупной сетевой инфраструктурой, подключившись к облаку. Новая прошивка планируется в марте 2021 года.

Что делается для повышения защиты?


В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.


То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.


Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.


Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря облаку.


В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.


Откуда поступают данные о вредоносных элементах?


В облачной базе данных, поддерживающей USG FLEX, собираются подробные сведения, предоставляемые ведущими компаниями и организациями в области кибербезопасности для накопления информации о проблемных файлах и данных об угрозах. Сбор информации происходит постоянно в режиме реального времени. Мощная база данных позволяет повысить точность выявления вредоносного кода.


Отдельно стоит отметить хорошую контекстную фильтрацию, а также специальный фильтр CTIRU (Counter-Terrorism Internet Referral Unit) для ограничения доступа к экстремистской информации. В последнее время, к сожалению, эта функция становится необходимой.


Давайте попробуем галопом-по-европам пробежаться по основным ступенькам защиты, предоставляемым USG FLEX.


Среди функций безопасности стоит выделить такие возможности, как:


  • антивирусная защита;
  • антиспам;
  • фильтрация URL и IDP для отражения атак извне;
  • Патруль приложений;
  • контентная фильтрация (вместе с Патрулем приложений эти функции блокируют доступ пользователей к посторонним приложениям и web-сайтам);
  • инспекция SSL с поддержкой TLS 1.3. (для анализа защищённого трафика).

Применение этих сервисов позволяет ликвидировать слабые места в системе защиты корпоративной сети.


Аналитические отчёты и углублённый анализ угроз


В принципе, у Zyxel всегда было неплохо со статистикой и построение отчётов. В USG FLEX это поучило дальнейшее развитие. Графические диаграммы по статистике угроз, сводка статистики по трафику выводятся на главной консоли межсетевых экранов, это позволяет быстро понять, что происходит в сети.


Сервис SecuReporter предоставляет детальный анализ угроз, что даёт возможность вовремя проследить изменения в сети и вовремя избежать неприятностей.


Когда все события отображаются на одной централизованной консоли это удобно. Управлять разными клиентами и устройствами теперь стало проще.


Не только безопасность


Как говорится, безопасность безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?


Много разных VPN


Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым полевым офисам.


Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах всё равно можно настроить подключение по VPN к удалённому офису.


Для чего нужна расширенная подписка?


При построении защищённых сетей возникает противоречивая ситуация. С одной стороны, необходимо установить высокий уровень безопасности без разделения предприятий на малые и большие (бедные и богатые, столичные и провинциальные и так далее). С другой стороны, для каждой ситуации необходим индивидуальный подход. Порой приходится работать максимально гибко, с привлечением набора дополнительных, но необязательных функций. Для этого и существует расширенная подписка


Расширенная подписка добавляет лицензии на Unified Threat Management для поддержки функций:


  • Web Filtering Блокирование доступа к опасным и подозрительным web-сайтам;
  • IPS (IDP) проверка пакетов на наличие вредоносного кода;
  • Application Patrol анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
  • Anti-Malware проверка файлов и выявление опасных сюрпризов с использованием облачных мощностей;
  • Email Security поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
  • SecuReporter расширенный анализ в области безопасности, построение подробных отчётов.

Пакет сервисов Hospitality


USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.


Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.


Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.


Примечание. Hospitality это индустрия гостеприимства (отели, рестораны, кафе...), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством приходящих сотрудников.

Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.


SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.


Миграция без усилий и проблем


Если используются лицензии серии USG в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.


Подробнее об устройствах USG FLEX


Прежде чем приступим к описанию, остановимся на ключевых моментах.


Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.


Тут возникает масса интересных сюрпризов. Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только на бумаге), так ещё и настройка всего этого хозяйства может занять значительное время. Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.


В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.


Совет. Чтобы получить устройство на тест, нужно прислать запрос по адресу: Sales_rusc@zyxel.eu

Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:


  • USG FLEX 100 и версию с точкой доступа Wi-Fi USG FLEX 100W.
  • USG FLEX 200;
  • USG FLEX 500;
  • USG FLEX 700.

Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.


Ниже мы остановимся подробно на каждой модели USG FLEX.


Описание USG FLEX 100


Это самый простой, экономичный, но, тем не менее, надёжный вариант защиты для небольших филиалов и малых сетей.


Устройство мало потребляет, питание осуществляется от внешнего адаптера на 2A, 12V постоянного тока.


Имеет 4 порта LAN/DMZ, 1 порт WAN, 1 порт SFP.


Также присутствует порт USB, через который можно подключит USB-модем для создания резервного канала.



Рисунок 1. Внешний вид USG FLEX 100.



Несколько слов о USG FLEX 100W


В принципе, модель USG FLEX 100W отличается от модели USG FLEX 100 только встроенным модулем Wi-Fi.


Характеристики Wi-Fi:


  • Соответствие стандартам 802.11 a/b/g/n/ac
  • Частота радиосвязи 2.4 / 5 ГГц
  • Количество радио модулей 2
  • Количество SSID 8
  • Количество антенн 3 съёмные антенны
  • Усиление антенны 2 дБи @ 2.4 ГГц
  • Скорость передачи данных 802.11n: до 450 Мбит/сек, 802.11ac: до 1300 Мбит/сек.


Рисунок 2. Внешний вид USG FLEX 100W.


Как уже было сказано выше, основные отличия лежат в количественных показателях:


  • Пропускная способность SPI (Мбит/сёк) 900
  • Пропускная способность VPN (Мбит/сёк) 270
  • Пропускная способность IDP(Мбит/сёк) 540
  • Пропускная способность AV (Мбит/сёк) 360
  • Пропускная способность UTM (AV и IDP) 360
  • Максимум одновременных TCP сессий 300,000
  • Максимум одновременных туннелей IPSec 40
  • Максимум одновременных туннелей SSL 30

Описание USG FLEX 200


А это уже вариант немного мощнее.


Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.


Для питания нужен уже блок на 2,5A 12V постоянного тока.



Рисунок 3. Внешний вид USG FLEX 200.


По производительности и пропускной способности показатели также выше:


  • Пропускная способность SPI (Мбит/сёк) 1,800
  • Пропускная способность VPN (Мбит/сёк) 450
  • Пропускная способность IDP(Мбит/сёк) 1,100
  • Пропускная способность AV (Мбит/сёк) 570
  • Пропускная способность UTM (AV и IDP) 550
  • Максимум одновременных TCP сессий 600,000
  • Максимум одновременных туннелей IPSec 100
  • Максимум одновременных туннелей SSL 60
  • VLAN интерфейсы 16

Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.


Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.


Описание USG FLEX 500


Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0


Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала можно легко переназначить 3 WAN и 4 LAN порта.

Видно, что это универсальное устройство для решения широкого спектра задач.


Для питания нужен ещё более мощный блок 4.17А, 12V постоянного тока.


Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.



Рисунок 4. Внешний вид USG FLEX 500.


Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:


  • Пропускная способность SPI (Мбит/сёк) 2,300
  • Пропускная способность VPN (Мбит/сёк) 810
  • Пропускная способность IDP(Мбит/сёк) 1,500
  • Пропускная способность AV (Мбит/сёк) 800
  • Пропускная способность UTM (AV и IDP) 800
  • Максимум одновременных TCP сессий 1,000,000
  • Максимум одновременных туннелей IPSec 300
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 64

Описание USG FLEX 700


Это устройство появилось позже всех, его можно назвать флагманом линейки. Имеет целых 12 конфигурируемых портов, 2 порта SFP, 2 порта USB 3.0


Питание производится из стандартной сети переменного тока 100-240V, 50/60Hz, ~2.5А.


Для охлаждения применяется встроенный вентилятор.


Это классическое устройство для серверной или кроссовой, с широкими возможностями как для обеспечения безопасности, так и для организации работы сети.



Рисунок 5. Внешний вид USG FLEX 700.


Имеет самую высокую производительность из всех USG FLEX на данный момент


  • Пропускная способность SPI (Мбит/сёк) 5,400
  • Пропускная способность VPN (Мбит/сёк) 1,100
  • Пропускная способность IDP(Мбит/сёк) 2,000
  • Пропускная способность AV (Мбит/сёк) 1,450
  • Пропускная способность UTM (AV и IDP) 1,350
  • Максимум одновременных TCP сессий 1,600,000
  • Максимум одновременных туннелей IPSec 500
  • Максимум одновременных туннелей SSL 150
  • VLAN интерфейсы 128


Подведём небольшой итог:


  • И большие и малые сети требуют заботы о безопасности.
  • Облачные решение упрощают построение и обслуживание защищённой сети.
  • Новая линейка Zyxel USG FLEX как раз для этого и создавалась.

Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Преимущества USG FLEX
  5. Полезная статья в КБ о USG FLEX
  6. Видео: Перенос лицензий с устройств USG на устройства USG FLEX Series
  7. Описание USG-FLEX-100
  8. Описание USG-FLEX-100W
  9. Описание USG-FLEX-200
  10. Описание USG-FLEX-500
  11. Описание USG-FLEX-700
Подробнее..

Коммутаторы L2, L2 и L3 что, когда, куда, откуда, как, зачем и почему?

15.12.2020 12:20:26 | Автор: admin


Но это же в любом учебнике по сетям написано! возмутится нетерпеливый читатель.


Однако, не нужно спешить с выводами. Написано по этому поводу много, но, к сожалению, далеко не всегда понятным языком. Вот и рождаются вредные мифы.


Поэтому не всегда в точности понятно, когда и куда какое устройство приспособить. Представьте, звонит сисадмину начальник ИТ отдела и требует быстро подобрать в запас очень бюджетный коммутатор, и чтобы все основные функции закрывал, пока деньги не перехватили и настроение у директора хорошее.


И начинает наш герой ломать голову: взять L3, чтобы на все случаи жизни, но он дорогой или взять подешевле L2, а вдруг прогадаешь Да ещё этот L2+ непонятно что за промежуточный уровень...


Подобные сомнения иногда обуревают даже опытных специалистов, когда встаёт вопрос выбора устройств при жёстком лимите бюджета.


Для начала опровергнем основные мифы


Коммутатор L3 имеет большую пропускную способность чем L2?


Такой взаимосвязи нет. Всё зависит от аппаратного и программного обеспечения (firmware), размещённых портов (интерфейсов), поддержки соответствующих стандартов.


Разумеется, связь с использованием коммутатора уровня L3 через сетевой интерфейс 1Gb/s будет медленнее, чем с использованием коммутатора L2 через 10 Gb/s.


Возможно, этот миф связан с тем, что коммутаторы L3 поддерживают больше функций, что находит отражение в аппаратном обеспечении: быстрее процессор, больше памяти, нежели чем у коммутаторов L2 того же поколения. Но, во-первых, иногда коммутаторы L2 тоже выпускаются на базе мощных контроллеров, позволяющих быстро обрабатывать служебные данные и пересылать кадры Ethernet, во-вторых, даже усиленному железу коммутатора L3 есть чем заняться: управлять VLAN, анализировать ACL на основе IP и так далее. Поэтому если судить по загрузке, однозначно ответить на вопрос: Какой коммутатор мощнее? не получится.


Коммутаторы L3 более современные, а L2 уже вчерашний день?


Это вовсе не так. На сегодняшний день выпускаются как коммутаторы L2, так и коммутаторы L3. Коммутаторов уровня L2 выпускается достаточно много, потому что работать им приходится чаще всего на уровне доступа (пользователей), где и портов, и коммутаторов требуется значительно больше.


Немного теории в вопросах и ответах


Откуда взялись эти названия L2, L3?


Из 7 уровней модели OSI.


Коммутатор L2 работает на втором, канальном уровне.


Коммутатор L3 работает как на втором, так и на третьем уровне.


Примечание. Сетевая модель OSI (The Open Systems Interconnection model) определяет различные уровни взаимодействия систем. При таком разбиении каждому уровню отводится своя роль и назначены определённые функции для взаимодействия по сети.

Таблица 1. Уровни модели OSI ISO


Уровень Тип обрабатываемых данных Функции
7. Приложений Данные пользователей прикладного ПО Программы и сервисы обмена данными
6. Представлений Закодированные данные пользователей Общий формат представления данных, сжатие, шифрование
5. Сеансовый Сессии Установление сессий между приложениями
4. Транспортный Сегменты Адресация процессов, сегментация/повторная сборка данных, управляемые потоки, надёжная доставка
3. Сетевой Дейтаграммы/пакеты Передача сообщений между удалёнными устройствами, выбор наилучшего маршрута, логическая адресация
2. Канальный Кадры Доступ к среде передачи и физическая адресация
1. Физический Биты Передача электрических сигналов между устройствами

А просто, понятно и в двух словах?


В самом простом случае коммутатор служит для связи нескольких устройств локальной сети (LAN). Этими устройствами могут быть, например, отдельные компьютеры или другие коммутаторы.


Именно так работает коммутатор L2 на уровне Ethernet: анализирует аппаратные MAC адреса, заносит их в таблицу коммутации и согласно этой таблице перераспределяет трафик.


Коммутатор L3 тоже может анализировать пакеты по MAC адресам и перенаправлять кадры между подключёнными устройствами, но, помимо пересылки Ethernet кадров, он умеет перенаправлять трафик, основываясь на анализе IP адресов и выполнять функции внутреннего маршрутизатора.


А подробней?


Коммутатор L2 обрабатывает и регистрирует MAC адреса фреймов, осуществляет физическую адресацию и управления потоком данных. Некоторые дополнительные функции: VLAN, QoS поддерживаются только на уровне, необходимом для передачи параметров или для участия в общей схеме сети. Например, на коммутаторе L2 можно прописать несколько VLAN, но нельзя настроить полноценную маршрутизацию между ними, для этого уже нужен коммутатор L3. Проще говоря, коммутатор уровня L2 обеспечивает некоторые дополнительные функции, но не управляет ими в масштабе сети.


В отличие от своих более простых собратьев, коммутаторы L3 могут брать на себя функции маршрутизаторов, в том числе проверку логической адресации и выбор пути (маршрута) доставки данных. Благодаря повсеместному внедрению стека протоколов TCP/IP, коммутаторы уровня L3 являются важной частью сети, так как могут выполнять пересылку пакетов не только на основе анализа MAC адресов, но и поднимаясь на этаж выше, то есть на основе IP адресов и соответствующих протоколов маршрутизации


Разумеется, никому в голову не придёт строить внешнюю разветвлённую сеть с BGP маршрутизацией на базе коммутаторов. Однако для внутренней маршрутизации в пределах локальной сети такой вариант вполне подходит. Мало того, это позволяет экономить на приобретении дополнительных устройств (маршрутизаторов), использовать универсальный подход к организации сети.


Из-за поддержки многих функций коммутатор уровня L3 имеют более сложную внутреннюю конфигурацию и, соответственно, стоят дороже. Иногда пользователь встаёт перед выбором: купить более простой и бюджетный вариант с Layer 2 или более дорогой и продвинутый Layer 3.


А что за дополнительные уровни: доступа, агрегации, ядра?


Помимо уровней модели OSI: Layer 2, Layer 3, в литературе часто упоминаются уровень доступа, уровень агрегации, уровень ядра сети.


Подробней об этом мы писали в статье Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети


Если описать кратко:


  • Уровень доступа группа коммутаторов, основной задачей которых является подключения пользователей к сети.
  • Уровень агрегации (или уровень распределения) следующая группа, которая объединяет коммутаторы уровня доступа, позволяет выполнить настройки управления и маршрутизации и делегирует Uplink на более высокий уровень уровень ядра сети.
  • Уровень ядра сети центральный узел, который объединяет все ветви коммутаторов уровня агрегации с подключёнными коммутаторами уровня доступа в единую сеть.

Если сравнивать с древовидной структурой, то ядро сети это ствол, уровень агрегации/распределения это крупные ветви, коммутаторы уровня доступа мелкие веточки, а компьютеры пользователей это листья.



Рисунок 1. Уровни построения локальной сети.


Коммутаторы, которые служат для объединения других коммутаторов в единую сеть, называют коммутаторы уровня агрегации (или коммутаторы уровня распределения).


Если же говорить про уровень ядра сети, то для него существуют свои мощные коммутаторы, основная задача которых максимально быстро передавать трафик. Функции управления при этом довольно часто делегируется на уровень агрегации.


Есть ли связь между понятиями уровней L2 и L3 с уровнем доступа и уровнем агрегации? Традиционно считается, что для уровня доступа лучше подходят коммутаторы L2 (в первую очередь из-за более низкой цены, а для уровня агрегации лучше выбирать L3 ради повышенной функциональности.


Чем хорош такой подход? Устанавливать более функциональные и дорогие коммутаторы уровня L3 на уровне доступа может быть неоправданным шагом, если их функции маршрутизации и контроля не будут востребованы. А этих же функций будет недоставать более простым коммутаторам L2 на уровне агрегации (распределения).


Теория это отлично, но начальник требует побыстрее подобрать подходящий коммутатор...


Если есть сомнения какой уровень коммутатора выбрать: уровня 2 или уровня 3, во главу угла нужно ставить вопрос, где его предполагается использовать. Если в наличии только небольшая сеть, позволяющая всем работать в единственном широковещательном домене, можно остановить свой выбор на одном или двух коммутаторах L2.


Второй случай, где коммутаторы второго уровня хорошо себя чувствуют уровень доступа, то есть там, где компьютеры пользователей подключаются к локальной сети.


Если необходим коммутатор для объединения (агрегирования) нескольких простых коммутаторов доступа пользователей для этой роли лучше подходит коммутатор уровня 3. Помимо объединения в сеть, он может выполнять маршрутизацию между VLAN, управлять прохождением трафика при помощи ACL (Access Control List), обеспечивать заданный уровень ширины пропускания (QoS) и так далее.


Ещё одна область, где коммутаторы L3 часто бывают востребованы если необходимо обеспечить повышенные требования к безопасности, например, более гибкое разграничение доступа. Некоторые функции, доступные для этого уровня, например, управление трафиком на уровне IP адресов, будут неосуществимы стандартными средства уровня L2.


Чем отличаются коммутаторы L2 и L2+


L2+ это коммутатор второго уровня с добавленными функциями. Например, может быть добавлена поддержка статической маршрутизации, физического объединения в стек нескольких коммутаторов для отказоустойчивости, дополнительные функции безопасности и так далее.


Примечание. В сравнительной таблице, приводимой в конце статьи, можно видеть, что уровни L2 и L2+ могут различаться на одну-две функции. Однако даже такая небольшая деталь может оказаться критичной, например, для вопросов отказоустойчивости или безопасности.

От слова к делу! Сравним разные коммутаторы на примере


Для наглядности выберем три модели примерно одного уровня. Понятно, что коммутаторы L2, L2+ и L3 здорово отличаются по функциям. Поэтому приходится использовать общие признаки. Например, сравнивать коммутаторы на 5 и 50 портов (включая Uplink) будет некорректно.


В итоге мы выбрали три коммутатора:



Обратите внимание, что внешне устройств довольно похожи, чего не скажешь об их возможностях и предполагаемых ролях. Для наглядности ниже приводим небольшой фрагмент сравнительной таблицы функций.


А функций у этих моделей коммутаторов очень много. Чтобы не пытаться объять необъятное, мы выбрали наиболее очевидные функциональные области: управление трафиком, безопасность и маршрутизация. Другие группы опций тоже отличаются, но не так очевидно.


Zyxel XGS4600-32 коммутатор Layer 3


  • Имеет 24 гигабитных порта под витую пару, 4 порта Combo (SFP/RJ45) и четыре интегрированных 10-Gigabit SFP+
  • Поддерживает объединение в физический стек с использованием одного или двух слотов 10-Gigabit SFP+.
  • Поддерживает и статическую, и динамическую маршрутизацию.
  • Имеет два отдельных разъёма подключения питания.


Рисунок 2. Коммутатор Zyxel XGS4600-32 коммутатор Layer 3.


Zyxel XGS2210 коммутатор Layer 2+


Одно из предназначений создание сети для передачи трафика VoIP, видеоконференций, IPTV и IP-камер видеонаблюдения наблюдения и управление трафиком современных конвергентных приложений.


Поддерживает объединение в физический стек с помощью двух портов 10-Gigabit SFP+.


Поддерживает PoE (стандарты IEEE 802.3af PoE и 802.3at PoE Plus) до 30Ватт на порт для питания устройств с большей потребляемой мощностью, например, это могут быть точки доступа 802.11ac и IP-видеотелефоны.


В данной модели присутствуют дополнительные средства поддержки безопасности, например, IP source guard, DHCP snooping и ARP inspection, механизмы фильтрации L2, L3 и L4, функцию MAC freeze, изоляцию портов и создание гостевой VLAN.


Добавлены элементы статической маршрутизации IPv4/v6 и назначение DHCP relay с конкретным IP интерфейсом отправителя.



Рисунок 3. Zyxel XGS2210 коммутатор Layer 2+


Zyxel GS2220 коммутатор Layer 2


Интересно, что серия GS2220 это гибридные коммутаторы с доступными вариантами управления: через облако Zyxel Nebula, через локальное подключение, плюс поддержка SNMP.


Из интересных функций можно выделить L2 multicast, IGMP snooping, Multicast VLAN Registration (MVR).
Данная модель неплохо подходит и для обеспечения сетевой среды VoIP, видеоконференций и IPTV.



Рисунок 4. Zyxel GS2220 коммутатор Layer 2.


Это интересно


Компания Zyxel Networks сообщила о поддержке своих коммутаторов в специализированном режиме Networked AV (созданного совместно с компанией ATEN), позволяющего облегчить внедрение AV-систем на базе коммутаторов и повысить эффективность их использования.


Стоит отметить специальную программу мастер настройки. Она специально разработана для удобного управления функциями, которые часто используются при настройке сетей потоковой передачи аудио/видео.


Также появилась новая консоль Networked AV dashboard для контроля основных параметров: данные о портах, расход электроэнергии, и другая информация, благодаря которой можно сразу проверить текущее состояние сети и настроить коммутатор.


Для гигабитных управляемых коммутаторов второго уровня серии GS2220 режим Networked AV доступен с сентября 2020 года (нужно обновить микропрограмму до версии v4.70 или более поздней). Для коммутаторов серии XGS2210 доступ ожидается до конца 2020 года.


Таблица 2. Сравнение коммутаторов XGS4600-32 (L3), XGS2210-28 (L2+) и GS2220-28 (L2).



* Функции, доступные также в облачном режиме управления.


Небольшие итоги


Каждая вещь хороша на своём месте (спасибо, капитан Очевидность).


Нет смысла переплачивать за более высокий уровень коммутатора только потому, что он кажется круче. В то же время скупой платит дважды, и нехватка критической функции может потребовать дополнительных расходов в виде замены коммутатора.


В некоторых случаях выручают коммутаторы L2+ как компромиссный вариант. Функции, которых нет в L2, но есть в L2+ могут быть весьма полезны и способны вывести сетевую инфраструктуру на новый уровень отказоустойчивости и безопасности


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы Zyxel L3 серии XGS4600
  5. Коммутаторы Zyxel L2+ серии XGS2210
  6. Коммутаторы Zyxel L2 серии GS2220
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  8. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
Подробнее..

Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа

25.02.2021 12:15:55 | Автор: admin


Как решить вопрос с аутентификацией, если инфраструктура совсем небольшая и под рукой нет ничего кроме аппаратного межсетевого экрана? Как обойтись без настройки второго сервера RADIUS и всё равно реализовать отказоустойчивое решение? И как выглядит вариант, когда всё управляется из облака?
В этой статье рассказывается сразу о двух возможностях аутентификации: встроенного сервиса аутентификации на межсетевом экране и аутентификации в Zyxel Nebula.


В статье Настройка WPA2 Enterprise c RADIUS мы описали вариант использования корпоративной схемы аутентификации с внешним сервером RADIUS. Для создания такой системы нужен ни много ни мало сам сервер RADIUS (для этого нам понадобилось развернуть на отдельной машине с Linux пакет Free RADIUS).


Напомню, для чего это нужно. Когда используется простая схема WPA2 Personal c единственным ключом на все беспроводные устройства это годится только для небольших сетей. Основное ограничение в том, что заменить такой ключ весьма непросто придётся вводить заново на всех устройствах всех пользователей, кто подключается к WiFi сети. А менять рано или поздно придётся. Среди причин наиболее частыми называют компрометацию со стороны пользователей и сугубо кадровые процессы: увольнение, перевод на другую работу и так далее.


Примечание. Ситуация осложняется, когда приходится иметь дело с VIP пользователями. Застать их на месте, чтобы заменить ключ, довольно трудно, кроме всего прочего у них обычно целая куча устройств: смартфон, ноутбук, планшет и даже телевизор. И всем нужно обращаться в общую сеть и далее в Интернет.

Но что делать, если такая в виде отдельного сервера RADIUS (пусть даже и виртуального) недоступна. В статье Что останется в серверной прорисовывается вполне понятная картина: по вполне естественным причинам в небольшой серверной в лучшем случае остаётся сетевое оборудование для удалённого доступа и вспомогательные системы вроде NAS для резервных копий рабочих станций.


Для совсем маленьких организаций может встать ещё и такой вопрос: А где размещать виртуальную машину с RADIUS?


Можно арендовать виртуалку на облачном сервисе. Это стоит определённых денег. Мало того, о такой виртуальной машине всё равно нужно заботиться: проводить обновление, аудит безопасности, читать логи, следить за состоянием файловой системы и так далее То есть это вполне себе ощутимые затраты: как финансовые, так и трудовые. И всё только ради RADIUS?


А можно как-то по-другому? Чтобы и сервис авторизации получить, и виртуалку разворачивать не пришлось и сделать всё это бесплатно? Оказывается, у Zyxel есть целых два варианта, как это можно сделать красиво, просто и без лишних затрат.


Вначале рассмотрим способ, близкий к уже знакомому традиционному сервису.


Проверьте может быть RADIUS есть в вашем шлюзе?


В шлюзах от Zyxel уже есть встроенный сервис RADIUS. То есть если используется, например, сетевой экран, то в нём уже есть всё необходимое для аутентификации WPA2 Enterprise.


Достаточно просто приобрести нужное устройство, подключиться к нему удалённо и выполнить настройки.


Практически в любой современной ИТ инфраструктуре можно встретить межсетевой экран для доступа в Интернет. В случае с оборудованием от Zyxel можно получить не только защиту от внешних (и внутренних!) атак, но и систему аутентификации WPA2 Enterprise c реквизитами для отдельных пользователей, и ничего устанавливать не надо, всё работает из коробки.


Однако, любая замечательная функция без конкретного описания так и останется потенциальной возможностью. Чтобы этого не произошло в этот раз, проиллюстрируем на примере как можно всё настроить, используя уже имеющиеся средства.


В качестве шлюза, сервера RADIUS у нас используется облачный межсетевой экран. Помимо основных обязанностей он может выполнять функции контроллера точек доступа.


Мы уже писали ранее об устройствах из этой линейке в статье Убираем старые проблемы защиты крупных и малых сетей.


Для примера такой схемы аутентификации прекрасно подойдёт USG FLEX 200 уже не начальный уровень, но и не топовая модель в линейке. Эта модель хорошо подходит в качестве межсетевого экрана для небольших и средних офисов.


Коротко о межсетевом экране USG FLEX 200:


  • поддержка облачных технологий Zyxel Security Cloud (в первую очередь это отличный инструмент для сбора информации об угрозах из различных источников) и Cloud Query Express (облачная база данных для надёжной защиты от вирусов);
  • фильтрация URL и IDP для отражения атак извне;
  • патруль приложений и Контентная фильтрация для контроля доступа пользователей к приложениям и web-сайтам.


Рисунок 1. Межсетевой экран USG FLEX 200.


В качестве точки для нашей демонстрации выберем ту же самую NWA210AX, уже знакомую нам по статье Настройка WPA2 Enterprise c RADIUS.


Коротко о точке доступа WA210AX устройстве:


  • поддержка Wi-Fi 6;
  • 6 пространственных потоков (4x4:4 в 5 ГГц, 2x2:2 в 2,4 ГГц);
  • поддержка OFDMA и MUMIMO;
  • имеется как локальное, так и облачное управление через Zyxel Nebula.


Рисунок 2. Точка доступа NWA210AX.


В итоге мы должны получить тот же самый результат, что и с внешним сервером, но без расходования дополнительных ресурсов на хостинг виртуальной машины и без лишних телодвижений по развёртыванию сервиса RADIUS, настройке firewalll, настройке средств безопасности и так далее.


От слова к делу настраиваем встроенный сервис RADIUS


Начинаем с получения IP адреса. Для этого воспользуемся утилитой ZON Zyxel One Network Utility, которая собирает данные обо всех устройствах Zyxel в доступном сегменте сети.


Примечание. На самом деле у программы ZON есть много других замечательных функций, но описание всех возможностей выходит за рамки данной статьи.


Рисунок 3. Утилита ZON для нашего примера


Итак, мы знаем IP адреса устройств, к которым нам предстоит подключиться.


Настройка службы на межсетевом экране


Для начала настроим службу аутентификации на межсетевом экране. Для этого необходимо зайти на веб-интерфейс. Вводим его адрес в браузере, переходим на нужную страницу. Тут у нас спросят логин и пароль. Так как это первый запуск, то используем значения по умолчанию: admin и 1234, нажимаем кнопку Login и попадаем в панель Dashboard.



Рисунок 4. Окно входа на USG FLEX 200.



Рисунок 5. Dashboard на USG FLEX 200.


Далее переходим в раздел Configuration System Auth. Server.


Первое что необходимо включить саму службу сервера аутентификации


Активируем элемент Enable Authentication Server, нажимаем Apply внизу экрана и наш сервис переходит в активное состояние.



Рисунок 6. Enable Authentication Server.


Теперь, действуя по той же схеме, что и с внешним RADIUS, в области Trusted Client необходимо указать сегмент сети, откуда будут поступать запросы и там же записать секретный ключ для аутентификации.


Нажимаем экранную кнопку Add для вызова окна Add Trusted Client.



Рисунок 7. Окно Add Trusted Client.


Соответственно, указываем в поле Profile Name имя сети, в нашем случае inside_network


IP Address и Netmask (адрес и маску подсети) 192.168.1.0 255.255.255.0.


Поле Description заполняется по желанию.


Не забываем про галочку Activate, иначе данная клиентская сеть будет игнорироваться нашим сервером аутентификации.


Нажимаем OK для окна Add Trusted Client и потом кнопку Apply для всего раздела Auth. Server. Всё, наши значения должны примениться.


После этого переходим в раздел Configuration Object User/Group и добавляем учётные записи для нужных пользователей.



Рисунок 8. Учётные записи User/Group в разделе Object (Configuration).


Нажимаем Add появится окно Add A User.



Рисунок 9. Окно ввода пользователя.


В принципе, нам нужно ввести только имя пользователя и пароль, можно ещё добавить описание. Другие настройки лучше оставить без изменений.



Рисунок 10. Новые учётные записи: ivan и rodeon с пометкой WiFi User.


Настройка точки доступа для использования сервиса аутентификации


В принципе, настройка точки доступа для аутентификации со встроенным RADIUS на шлюзе Zyxel производится аналогично, как и было показано в статье Настройка WPA2 Enterprise c RADIUS


Для начала подключаемся к нужному IP через окно браузера, вводим имя пользователя и пароль (по умолчания также admin и 1234).



Рисунок 11. Окно входа на NWA210AX.


Далее переходим в меню Configuration AP management Wlan setting.


Нас интересует область MB SSID setting. Здесь нужно отредактировать профили Wiz_SSD_1 и Wiz_SSD_2.



Рисунок 12. Configuration AP management Wlan setting.



Рисунок 13. Настройка профиля SSID Profile Wiz_SSD_1.


Нажимаем на кнопочку редактировать, напоминающие редакторский блокнот с карандашом. Появляется окно Edit SSID Profile Wiz_SSD_1. В нем нас интересуют настройки Security Profile Wiz_Sec_Profile_1 (такая же кнопочка редактировать в виде блокнота с карандашом). Дальше появляется окно Edit Security Profile Wiz_Sec_Profile_1.



Рисунок 14. Окно Edit Security Profile Wiz_Sec_Profile_1.


В этом окне и выполняем необходимые настройки.


Для основного сервера вводим IP address, UDP Port и секретный ключ.


Для подтверждения нажимаем OK.


Аналогичным образом редактируем второй профиль SSID Profile Wiz_SSD_2.


Нажимаем Apply в разделе Configuration AP management Wlan setting для применения настроек.


Переходим к настройке клиента


В статье Настройка WPA2 Enterprise c RADIUS была иллюстрация на примере Mac OS X. Теперь для разнообразия подключим ноутбук с Windows 10.


Нажимаем внизу в разделе уведомления на Панели задач значок запуска беспроводных сетей. В появившемся списке выбираем пункт Zyxel. Появится окно с запросом имени пользователя и персонального ключа.



Рисунок 15. Настройка клиента.


Вводим необходимые реквизиты и подключаемся к системе.


Мы сейчас прошли весь этап настройки с внешним готовым сервисом RADIUS на межсетевом экране. Даже без стандартных действий для серверной системы: установки пакетов, настройки firewall, тестирования самой сервисной службы всё равно операция заняла достаточно много времени. Можно ли это сделать побыстрее и с меньшими трудозатратами? Можно, если использовать Zyxel Nebula. Но об этом ниже.


Отказоустойчивость и второй RADIUS сервер


Для среды production в компаниях уровня Enterprise нужно отказоустойчивое решение. Для таких целей часто используется второй сервер аутентификации.


Довольно большое распространение получили системы на базе MS Windows, где, благодаря серверной роли Network Policy Server и авторизации в Active Directory, можно настроить два сервера аутентификации для WPA2 Enterprise, и у них будет единая синхронизированная база данных пользователей и ключей.


Что касается схемы с RADIUS сервером на единственном шлюзе, то этот вариант больше подходит для небольших офисов, не имеющих собственной внутренней инфраструктуры. Проще говоря, для тех, у кого нет своих серверов и бизнес-процессы завязаны на использование облачных ресурсов. Электронная почта, файлообмен, резервное копирование и даже бухгалтерия всё это можно получить на внешних ресурсах. По правде говоря, в этом случае при отказе единственного межсетевого экрана офисная сеть становится практически бесполезна, и в принципе уже всё равно что там с сервисом аутентификации.


Обратите внимание. При падении службы аутентификации не происходит немедленного разрыва сетевых связей, установленных благодаря сервису аутентификации. Все уже подключённые клиенты продолжат работать в локальной сети. А вот новые подключения установить будет невозможно. В то же время наличие отказоустойчивой схемы из двух шлюзов позволит избежать подобных неприятностей.

Эту задачу можно решить другим способом реализовать отказоустойчивую схему из двух шлюзов. В этом случае при отказе основного устройства работу подхватит резервное, и все сервисы, размещённые на сетевом шлюзе, в том числе аутентификация, продолжат работать.


Но всё можно решить ещё проще при использовании аутентификации в облачном сервисе Zyxel Nebula. В этом случае за отказоустойчивость самой системы отвечает мощный промышленный программно-аппаратный комплекс. Разумеется, серверы Nebula размещены в ЦОД, выполняются все необходимые процедуры по поддержанию заявленного уровня высокой доступности и так далее. Единственное, что требуется от локального офиса канал в Интернет.


Пользователю остаётся только подключить устройство к облаку Zyxel Nebula и воспользоваться всеми заявленными преимуществами.


Использование Nebula на конкретном примере


Сейчас мы уже не будем настраивать наш межсетевой экран, так как для облачной аутентификации не играет другой роли кроме как шлюз в Интернет. Доступ в беспроводную сеть будет по-прежнему идти через точку доступа NWA210AX, а за остальное, включая аутентификацию пользователей и настройку оборудования, будет отвечать Zyxel Nebula.


В рамках данной статьи не будем детально описывать весь процесс первичной настройки сервиса Zyxel Nebula, так как он касается не только беспроводной сети, но и многих других аспектов сетевой инфраструктуры.


Будем считать, что организация уже зарегистрирована в Zyxel Nebula, уже есть учётная запись администратора и создана хотя бы одна площадка.


А сейчас мы просто переходим на сайт nebula.zyxel.com вводим пароль и попадаем в облачный интерфейс.



Рисунок 16. Вход в Zyxel Nebula.


Вначале нужно зарегистрировать точку доступа. Можно воспользоваться специальным приложением для IOS или Android и просто отсканировать QR-код. Это удобно если устройство находится под рукой. Если нужно зарегистрировать удалённо, это можно сделать, зная MAC адрес и серийный номер, указав их в интерфейсе. Это метод наиболее универсальный, им и воспользуемся.


Обратите внимание. Для настройки устройств с Zyxel Nebula нам нужно только, чтобы точка доступа была подключена к сети, при этом используется исходящее соединение. То есть не нужно открывать входящие порты, пробрасывать трафик через PAT всё выполняется в рамках исходящего подключения к облаку.


Выполняем переход Площадка Конфигурация Добавление устройств и нажимаем кнопку Регистрация.



Рисунок 17. Раздел Площадка Конфигурация Добавление устройства.


Появится окно Регистрация по МАС-адресу и серийному номеру. Вводим необходимые параметры.


После ввода серийного номера и MAC Nebula сразу определяет устройство.



Рисунок 18. Окно Регистрация по МАС-адресу и серийному номеру.


Обратите внимание на важное предупреждение на красный символ со значком i:


Устройства Nebula Flex будут настроены центром управления Nebula, а настройки, используемые в автономном режиме, будут потеряны. После отмены регистрации в центре управления Nebula устройства получат заводские настройки.


В нашем случае это хорошо для аутентификации важно соблюдать принцип единоначалия. Важно помнить, что все настройки, которые были выполнены для RADIUS на шлюзе при переходе в облако отменяются.


Если действия пользователя приводят к изменению лицензии, это также отображается внизу окна.


Ставим галочку Подтверждение и нажимаем OK.


Вновь ведённую точку доступа можно увидеть в разделе Точки доступа Мониторинг Точки доступа.



Рисунок 19. Раздел Точки доступа Мониторинг Точки доступа.


Переходим в раздел Точки доступа Аутентификация. Здесь мы просто выбираем тип аутентификации WPA2 Enterprise.



Рисунок 20. Раздел Точки доступа Мониторинг Точки доступа


Обратите внимание. Так как устройства в Nebula используют исходящее соединение, то для того, чтобы они получили и применили новую конфигурацию, требуется некоторое время. В сообщении интерфейса Nebula указано, что требуется не больше 1-2 минут. На практике это занимает несколько секунд.

Нам осталось ввести учётные записи пользователей.


Нам нужен раздел Площадка Конфигурация Облачная аутентификация и далее раздел Пользователи. Нажимаем кнопку Добавить и появляется окно для создания пользователя. На рисунке ниже у нас уже создан пользователь ivan и открыто окно для редактирования реквизитов.



Рисунок 21. Учётная запись пользователя.


Далее снова берём ноутбук и настраиваем доступ к сети.


Windows выводит уже знакомое приглашение ввести логи и пароль.



Рисунок 22. Подключение к WiFi.


Но после ввода появляется ещё одно интересное сообщение:



Рисунок 23. Сообщение о подключении к сети Nebula.


В данном случае нас всё устраивает, поэтому спокойно подключаемся к WiFi сети.


Как видим, если не считать регистрации устройств, которая выполняется однократно, вся настройка сводится к выбору типа аутентификации и создания учётных записей пользователей. Никаких сторонних сервисов настраивать не нужно.


Подводя итоги


Решить вопросы аутентификации и авторизации можно несколькими способами. Например, полностью взять инициативу на себя и реализовать сервис с нуля, начиная от выбора аппаратного обеспечения для физического сервера (или виртуальной среды), соответствующего приложения, базы данных для хранения учётных записей, интерфейса для настройки.


Можно упростить задачу и использовать встроенные решения, как, например, в межсетевом экране USG FLEX. А может быть лучше максимально упростить задачу и просто использовать облачный сервис со всеми удобными функциями? Выбор, как всегда, за конечным потребителем.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Настройка WPA2 Enterprise c RADIUS
  5. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  6. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX
  7. Межсетевой экран USG FLEX 200
  8. Zyxel ONE Network Utility (ZON)
  9. Zyxel Nebula
Подробнее..

Построение сети в загородном доме нюансы и возможности

25.03.2021 12:22:32 | Автор: admin


Когда говорят о загородном доме, каждый представляет что-то своё. Для кого-то это лесная избушка на курьих ножках, для кого-то многоэтажный жилой комплекс. Поэтому и связь в этих условиях будет организована по-разному. В статье приводится описание различных нюансов, которые полезно знать при организации загородной сети.


Осторожно! Впереди много текста и упоминаний о различных сетевых устройствах. Будем рассказывать, что и для каких ситуаций можно применить.


Что понимать под словами загородный дом?


Иногда загородный дом находится в прямой видимости с городских улиц, иногда это лесная сторожка. Разумеется, цели и характер пребывания в загородном доме тоже будет различаться (спасибо, Капитан Очевидность).


Помимо чисто физических факторов очень важно определиться: Как именно люди хотят проводить время в загородной резиденции?. Это будет спартанское уединение в отрыве от цивилизации, времяпрепровождение из разряда почти как дома, только лучше или это место для удалённой работы одного или нескольких человек?


Случаи бывают самые разные.


Пример. ИТ специалист, работает в крупном интеграторе. Имеет квартиру в одном из городов Подмосковья и дачу в посёлке недалёко от МКАД. Всю рабочую неделю проводит на работе и даче, а домой в городскую квартиру ездит по выходным исключительно за уютом и благами цивилизации. В общем, всё наоборот.

Давать общие советы из разряда: Я-то лучше знаю!, вещь совершенно неблагодарная. Ниже мы попробуем представить несколько возможных вариантов загородной домашней сети с оглядкой на суровую правду жизни.


Решение для простых ситуаций


Если мобильный сигнал достаточно устойчив и неплохо принимается внутри помещения, при этом не требуется большая площадь покрытия, то можно закрыть большинство сетевых вопросов, разместив внутри дома маршрутизатор WiFi AC2050 LTE5388-M804. Он предназначен для внутренних помещений, выглядит симпатично и с успехом впишется в дачный интерьер. Кстати, есть поддержка резервирования между сотовой сетью и Ethernet WAN, так что позволяет использовать все доступные варианты, в том числе и местного проводного оператора.



Рисунок 1. LTE Cat.12 маршрутизатор резервирования WiFi AC2050 LTE5388-M804


Методы борьбы за качество связи


Как мы уже писали в статье в статье LTE как символ
независимости
, работать через местного провайдера в небольшом населённом пункте ещё та заморочка. Часто возникает ситуация как в песне про Остров невезения: Крокодил не ловится, не растёт кокос. Если у вас в загородном посёлке местный интернет-провайдер оказывает приличный уровень сервиса несомненно, удача на вашей стороне.


Во многих местах вне городской инфраструктуры получить доступ в сеть Интернет можно только через мобильного оператора. И тут вступают в дело факторы устойчивой мобильной связи, в том числе:


  1. Уровень сигнала на стороне абонента;
  2. Ширина канала на стороне оператора;
  3. Нагрузка на базовые станции оператора в районе получения услуги.

К сожалению, на что-то самостоятельно повлиять можно только в рамках пункта 1, да и то довольно условно. Мы не можем заставить сотового оператора дополнительно закупить пару-тройку базовых станций, чтобы улучшить покрытие, но можем приобрести более чувствительное оборудование для приёма и разместить его в наиболее удачном месте.


Проще говоря, беспроводное устройство: 3G/LTE/4G роутер необходимо разместить в зоне наиболее уверенного приёма сигнала. В первую очередь это нужно для того, чтобы не тратить время и ресурсы на исправление ошибок, связанных с низким уровнем сигнала. Одно из самых простых решений поднять повыше приёмник (передатчик), антенну или всё вместе, чтобы окружающий ландшафт не загораживал путь для прохождения сигнала.


Если этого не хватает, есть ещё несколько возможностей.


Например, проверить настройки чувствительности при приёме сигнала. В случае с роутером и аналогичным умным устройством это можно сделать через встроенный веб-интерфейс.


Можно попробовать другой вариант подключить внешнюю антенну, чтобы ловить больше энергии от радиоволн. Проще говоря, когда на пути радиоволны встречается электрический проводник, то количество электромагнитной энергии, преобразуемой в электрическую, зависит от размера, формы и материала проводника. Поэтому использование специализированных внешних антенн в принципе может помочь.


Примечание. Если где-то у окна или вне помещения сигнал 3G или 4G (LTE) вполне доступен, а в самом помещении ловится еле-еле или не доступен совсем стоит проверить работу с выносной антенной.

Также стоит критично подходить к выбору оборудования для приёма сигнала от сотового оператора. Большую роль играют возможности устройства анализировать входящий сигнал и вычленять из него рабочую составляющую, отбрасывая помехи, наложения другого сигнала и прочий ненужный фон.


Разумеется, ни один из приведённых выше методов не является панацеей от плохого сигнала, но использование всех доступных возможностей часто даёт неплохие результаты.


Другой щекотливый момент нагрузка на базовые станции. Боротmся с этим путём написания жалоб вряд ли получится. Дело в том, что любой сотовый оператор преследует исключительно свои интересы. Если получается взимать с потребителей деньги за весьма посредственный доступ Интернет, никто не будет ничего менять.


Ещё один нюанс, который приходится учитывать пиковая нагрузка в определённые часы. Например, когда в пятницу все соседи приехали на свои дачи и начинают звонить, писать, пересылать видео о том, как добрались.


Единственное, что можно сделать в такой ситуации подключить второй канал.


Примечание. Резервирование особенно эффективно, если большинство соседей предпочитают одного оператора и его базовая станция закипает от нагрузки тогда есть хорошие шансы, что на резервном канале от другого оператора ситуация будет лучше.

Маршрутизатор для внешнего размещения


Как было сказано выше, первое, что приходит на ум взять и перенести роутер с его антенной в нужное место. Однако для этого нужно выбрать модель, специально предназначенную для работы на улице. Имея защиту от влаги и перепада температур, такое устройство без особых проблем будет работать на высоте вне помещения. Особенно удобно, когда питание подаётся через PoE, и тянуть второй провод для питания не нужно. Даже если нет PoE коммутатора, то единственного кабеля
Ethernet хватит, чтобы получить сигнал от роутера, например, для ноутбука и подать на сам роутер питание через PoE инжектор.


Можно пойти проторенным путём и приобрести модель, уже неплохо показавшую себя в боях за загородный Интернет, например, уличный маршрутизатор 4G LTE-A Zyxel LTE7480-M804 Такой роутер способен обеспечить уверенный приём в труднодоступных местах и пережить капризы погоды при наружном размещении. И это достаточно недорогой вариант.



Рисунок 2. Уличный маршрутизатор LTE7480-M804.


Можно использовать и другую схему: уличный маршрутизатор обеспечивает только связь с провайдером, а за внутренние коммуникации отвечает локальная сеть с дополнительными точками доступа, коммутатором и так далее. Об организации локальной сети будет сказано ниже.


Для такого случая подойдёт недавно поступивший в продажу уличный маршрутизатор 5G/4G/LTE-A NR7101, со множеством полезных функций.



Рисунок 3. Уличный маршрутизатор 5G/4G/LTE-A NR7101.


Стоит отметить, что помимо поддержки 5G в нем реализовано много всего нового и интересного, например, более полная реализация набора LTE/4G и другие полезные нововведения.


Внутреннее устройство с возможностью подключения внешней антенны


В качестве такого устройства можно порекомендовать маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200. Он позволяет использовать два канала связи, например, один встроенный LTE/3G с установкой SIM карты, другой стандартный проводной вход WAN. Если у вас под боком неплохой проводной провайдер можно подключить его как основной или резервный канал (в зависимости от качества сервиса).


И что важно в наличии два внешних разъёма SMA для антенн LTE/3G.



Рисунок 4. Маршрутизатор с функциями межсетевого экрана LTE3301-PLUS Cat.6 WiFi AC1200.


Альтернативный Интернет из кармана


Ещё один вариант использование дополнительных устройств в качестве резерва на крайний случай. При плохом прохождении сигнала можно в качестве запасного варианта просто достать и включить портативный маршрутизатор.


Примечание. Мини-роутер можно использовать как индивидуальное устройство для доступа в Интернет. Например, в рабочие дни подключив к ноутбуку как резервный канал связи, а в выходные совместно с WiFi роутером для раздачи другим потребителям.

В этом случае пользователь избавлен от необходимости вынимать-вставлять устройство в USB порт маршрутизатора для создания резервного канала. Нужно только включить компактный роутер, пользователи подключаются к соответствующей WiFi сети и получают доступ в Интернет. Простое временное решение.


В частности, симпатичное устройство NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6 вполне может решить проблему доступа в часы пик, через подключение к другому оператору. Этот малыш поддерживает все последние стандарты, например, очень неплохо иметь поддержку поздних спецификаций LTE/4G, WiFi 6 и другие полезные возможности.



Рисунок 5. Компактный маршрутизатор NR2101 WiFi AX1800 с поддержкой 5G/4G/LTE-A и WiFi 6.


Но не забудем и про старых знакомых, которые не раз выручали своих хозяев в сложной обстановке, например, в командировках, автомобильных пробках, пропадании основных каналов связи и других непредвиденных ситуациях. Для такого варианта вполне подойдёт Zyxel LTE2566-M634-EUZNV1F. Это портативный LTE Cat.6 WiFi маршрутизатор (используется одна сим-карта), есть поддержка 802.11ac (2,4 и 5 ГГц, скорость до 300+866 Мбит/с). Есть автономная батарея до 10 часов, питание через micro USB, то есть можно подключить PowerBank.



Рисунок 6. Компактный маршрутизатор LTE2566-M634-EUZNV1F с поддержкой 802.11ac.


Организация внутренней локальной сети


Если в маленькие дачные домики приезжают, чтобы на короткое время сбежать от городской жизни, работы и обилия информации, то для коммуникаций в загородных коттеджах предъявляются более серьёзные требования. Люди, живущие в таких домах, хотят иметь надёжную связь, например, для того, чтобы быть в курсе происходящих событий, работать удалённо, в общем, держать руку на пульсе жизни. Здесь нужна более серьёзная инфраструктура, чем сеть из одного-единственного WiFi роутера.


Совет. Чтобы избавиться от большинства проблем, связанных с подбором и согласованием между собой оборудования, используйте комплексное решение одного вендора.

Начнём с проводов


А почему это с проводов? просит пытливый читатель. Казалось бы, всё можно сделать проще поставил WiFi точки доступа и вперёд! Но везде есть свои нюансы.


Разумеется, можно построить всю сеть исключительно на беспроводном оборудовании. Такая организация сети называется Mesh. Но тогда, во-первых, часть ресурсов приём-передачи будет расходоваться на связь точек доступа и маршрутизатора между собой, и не только для передачи данных, но и для обмена служебной информацией.


Например, если в точке доступа два радиомодуля, то при достаточно высокой плотности устройств (приставки, планшеты, смартфоны, телевизоры и так далее) если один из радиомодулей будет использоваться и для Mesh и для клиентов, то в этом диапазоне будет потеря производительности.


Если в точках стоят два радиомодуля (2.4ГГц и 5ГГц), можно, например, радиомодуль 5ГГц отдать только для Mesh, а 2.4 ГГц только для клиентов. Проблем с приёмом на 2.4ГГц не будет, но зато теряется канал 5ГГц. Не проще ли подключить точки доступа и сетевой экран в коммутатор?


Во-вторых, некоторые устройства предпочтительней использовать в проводной локальной сети, например, настольный компьютер, сетевой принтер и так далее.


В-третьих, существуют ещё и камеры видеонаблюдения. Для передачи хорошей устойчивой картинки проводное соединение подходит гораздо лучше.


И на закуску если устройства (камеры, точки доступа и так далее) могут питаться через PoE, то гораздо проще приобрести коммутатор с PoE и не морочить себе голову с инжекторами или дополнительными блоками питания.


Например, можно остановиться на небольшом компактном 8-портовом гигабитном PoE коммутаторе GS1008HP.


Для небольшой домашней сети сложные функции вроде ACL не особенно нужны. Поэтому вполне подойдёт коммутатор без функций управления, зато простой и надёжный, главное бесшумный. Вполне себе бюджетное решение.



Рисунок 7. 8-портовый гигабитный PoE коммутатор GS1008HP.


Если же PoE необязательно, но требуется повышенная скорость обмена, можно остановиться на 12-портовом мультигигабитном коммутаторе XGS1010-12 с 2 портами 2.5GB/s, 2 портами 10G SFP+ (остальные 8 портов под витую пару Gigabit Ethernet).


В этом случае и вариантов для применения куда как больше, и возможностей хватает. Например, в мультигигабитные порты можно подключить точки доступа, в один из гигабитных портов минисервер (или NAS) с сетевым портом 10G SFP+, а второй порт 10G SFP+ зарезервировать как UPLINK. Но это всего лишь один из возможных сценариев.



Рисунок 8. 12-портовый мультигигабитный коммутатор XGS1010-12.


Если в доме есть своя сеть для видеонаблюдения из двух IP камер и более, то регистратор и видеокамеры рекомендуют подключить в отдельную сеть с коммутатором PoE (иногда даже со своим доступом Интернет), чтобы видеотрафик не мешал работе домашних или офисных устройств, а те, в свою очередь не забивали канал для передачи видеокартинки. Следовать или нет данной рекомендации дело за проектировщиком сети, но такой вариант следует иметь в виду.


Ещё один из возможных вариантов использование коммутатора, управляемого из облачной среды Zyxel Nebula. Например, 8-портовый гигабитный коммутатор с PoE GS1920-8HP вполне способен стать мини-ядром небольшой сетевой инфраструктуры с управлением из облака.



Рисунок 9. 8-портовый гигабитный смарт-управляемый коммутатор с PoE GS1920-8hp.


А что с внутренней беспроводной сетью


Загородный дом всё-таки это не высокотехнологичный офис с массой наёмных сотрудников. Беспроводная сеть в загородном доме должна обеспечивать приемлемое покрытие, но при этом сеть не должна быть дорогой.


Примечание. Если говорить о покрытии WiFi для совсем небольшого участка (до 6 соток) с маленьким садовым домиком: одна комната, кухня + веранда, то, вероятней всего, речь идёт о площади самого домика и прилегающей территории: веранда, беседка, лавочка у ворот Вряд-ли кто-то будет пытаться ловить WiFi в крапиве возле забора на противоположной стороне участка. Однако для крупных домовладений ситуация может быть совсем иной.

Может показаться интересным подход к построению беспроводной сети на основе недорогих точек доступа. Вопросы покрытия и возможности подключения новых клиентских устройств решаются за счёт добавления недорогих точек в систему. Мы уже писали о таком подходе в статье Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты


Неплохо, чтобы беспроводные устройства поддерживали стандарт 802.11ax (WiFi 6). Нововведения, пришедшие с ним, затронули и скорость передачи данных, и улучшения в сфере безопасности, и возможность подключать больше устройств появилось много изменений к лучшему. Для таких требований можно рекомендовать двухдиапазонную точку доступа NWA110AX со всеми нужными функциями 802.11ax (WiFi 6).



Рисунок 10. Двухдиапазонная точка доступа NWA110AX с поддержкой 802.11ax (WiFi
6).


Если нужен совсем недорогой вариант, при котором функции WiFi 6 не так уж востребованы, но, тем не менее, важна устойчивая связь можно посмотреть в сторону последней модели стандарта 802.11ac точки доступа NWA1123ACv3.



Рисунок 11. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3. (Выглядит очень схоже с NWA110AX).


Совет. Не стоит ограничивать свой выбор только двумя моделями. Zyxel Networks представляет довольно широкий спектр точек доступа с поддержкой облачной системы управления Nebula или без неё. Поэтому стоит рассмотреть весь список предложений.

Во многих случаях хорошим подспорьем при настройке и администрировании может оказаться облачная система Zyxel Nebula. Например, набор из коммутатора GS1920-8HP и точек доступа NWA110AX вполне может стать основой такой облачной системы. Это, конечно, вариант для крупных домов или для ситуаций, когда нужно обеспечить удалённую техподдержку пусть маленькой, но очень важной компьютерной сети, от которой многое зависит.


Подведём итоги


Как уже было сказано в начале статьи загородные дома целиком зависят от индивидуальных предпочтений и возможностей владельцев и располагаются в самых разных местах, каждый со своей спецификой.


Мы попытались крупными мазками нарисовать несколько вариантов построения сети в загородном доме, попутно разбирая возможные проблемы.


Будем рады, если эта статья поможет при решении подобных задач.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованиюZyxel
  3. Много полезного видео на канале YouTube
  4. Двухдиапазонная точка доступа NWA110AX
  5. Двухдиапазонная точка доступа 802.11aс Wave 2 NWA1123ACv3
  6. 8-портовый гигабитный PoE коммутатор GS1008HP
  7. 12-портовый мультигигабитный коммутатор XGS1010-12
  8. Мобильный роутер NR2101 WiFi AX1800
  9. Мобильный роутер LTE2566-M634-EUZNV1F
  10. Уличный маршрутизатор 5G/4G/LTE-A NR7101
  11. Уличный маршрутизатор 4G LTE-AZyxel LTE7480-M804
  12. LTE маршрутизатор WiFi AC2050 LTE5388-M804
  13. LTE как символ независимости
  14. Особенности защиты беспроводных и проводных сетей. Часть 1 Прямые меры защиты
  15. Особенности защиты беспроводных и проводных сетей. Часть 2 Косвенные меры защиты
  16. Zyxel Nebula
Подробнее..

Облачный интерфейс управления взгляд под другим углом

27.04.2021 12:23:09 | Автор: admin


Мы много писали про облачное управление: о стратегии применения, построении готовых решений, о нюансах использования, об эксплуатации в реальных условиях. Однако любая технология должна быть не только стратегически правильной, но и продукты, созданные на её основе удобными для работы.


Инженеры и дизайнеры Zyxel постарались учесть все вопросы при создании удобного интерфейса для облачной среды Nebula. Но люди индивидуальны и зависимость от привычного окружения у каждого своя.


Как быстрее понять основные принципы и адаптироваться к новому стилю работы об этом и пойдёт речь.


В данной статьe мы постарались ответить на следующие вопросы:


  • Основные отличия в идеологии управления;
  • Зачем нужны Организация и Площадка;
  • Как ускорить процесс регистрации устройств в облаке.

Также мы подготовили ответы на вопросы, которые встретились в комментариях.


Вместо предисловия


Облачная среда управления Nebula это новое направление по сравнению с традиционным интерфейсом.


Любое нововведение требует период адаптации, это старо как мир. И всё равно каждый раз это выглядит как в известной фразе Виктора Степановича Черномырдина: Никогда такого не было, и вот опять!


Иногда возникают ситуации, когда даже небольшие изменения могут вызвать противоречивое отношение.


Например, дежурный администратор, привыкший к одному виду расположения элементов, может чувствовать себя немного не в своей тарелке.


Обычно локальный интерфейс для управления чем-либо строится по хорошо знакомой схеме: Вот конкретное устройство. Слева список разделов, справа область информации и объектов управления (см. рисунок).



Рисунок 1. Пример локального интерфейса Zyxel (USG FLEX 200). Слева разделы интерфейса, справа рабочая область.


В Nebula всё выглядит примерно также, но немного по-другому. Почему так происходит, давайте разбираться.


https://habrastorage.org/webt/5l/08/jz/5l08jzmrpvallezv7zfgtfv3gn8.png
Рисунок 2. Пример веб-интерфейса Nebula.


Различия в интерфейсе


В отличие от локального интерфейса, где нужно просто хорошо управлять одним-единственным устройством и всё, Zyxel Nebula проектировалась как глобальная система управления распределённой инфраструктурой.


Очень часто компания не монолитная структура, а штаб-квартира с филиалами. Почти всегда присутствует разделение по географическому или какому-либо другому признаку, а то и по всём сразу.


Мало того отдельные департаменты внутри организационной единицы могут иметь свою собственную инфраструктуру. Например, отдел разработки может иметь свой production (для внутренних нужд), свою тестовую среду, свои вспомогательные серверы (например, свой DHCP) и всё это отдельно от основных служб и сервисов.


Наконец, в компании может быть не один ЦОД, не одна серверная, и тем более не единственная стойка с серверами. Что и накладывает отпечаток на управление всем этим хозяйством.



Рисунок 3. Интерфейс Nebula. Показано подменю с выбором раздела


Соответственно, в глобальном интерфейсе управления необходимо создать виртуальную инфраструктуру, адекватную той, что уже существует в реальности.


Ещё один интересный нюанс кроется в идеологии подключения. Когда подключаетесь напрямую нужно учитывать дополнительные условия, например, имеет устройство постоянный адрес, открыты ли порты и так далее. Для работы с Nebula эти вопросы неактуальны, зато могут встретиться другие важные моменты, например, включен ли на самом устройстве параметр Nebula Control Center Discovery, чтобы устройство смогло самостоятельно найти облако.


Организация и Площадка


Начнём с начала и попробуем зарегистрироваться в Nebula c чистого листа.


При регистрации в Zyxel Nebula первое, что предстоит сделать создать корневую структурную единицу Предприятие и одну нижестоящую инфраструктурную единицу Площадку.


Таким образом каждое подразделение, ЦОД, серверная, и всё что мы хотим, как-то отделить можно разместить на отдельных площадках.



Рисунок 4. Создание организации и первой площадки.


Какие это даёт преимущества?


Во-первых, можно делать общие настройки для всех единиц оборудования на одной Площадке. Не надо дублировать одно и то же для каждого устройства.


Во-вторых, можно делегировать управление Площадкой сотрудникам с разными ролями. Например, дежурный администратор может только просматривать информацию, чтобы создать заявку. А сетевой администратор, работающий в филиале вносить необходимые изменения, но в рамках своей Площадки. Это удобно, и никто не мешает друг другу.


Некоторые особенности работы с интерфейсом Nebula


Разумеется, не все настройки можно вынести в общий раздел. Поэтому в интерфейсе Nebula сохраняются специализированные подразделы по типу оборудования: Шлюз безопасности, Коммутаторы, Точки доступа.


При этом наличие группы общих настроек, размещённой в разделе Площадка вносит некоторое разнообразие в привычном алгоритме работы администратора.



Рисунок 5. Настройка портов выбранного коммутатора в разделе Коммутаторы Конфигурация


Совет. Перед началом работы внимательно просмотрите общие настройки в разделе Площадка, отметьте для себя пункты, которые могут понадобиться. После этого будет проще разбираться с настройками для каждого типа оборудования в тематических разделах.

Некоторые вопросы при добавлении устройств


На самом деле вся система Nebula спроектирована так, чтобы не было проблем. Однако существуют ещё внешние факторы, на которые разработчики не могут повлиять при всём желании.


Например, если при подключении устройства используется недостаточно быстрое соединение, то и регистрация устройств в сети будет недостаточно быстрой.


Ещё одним важным фактором является использование исходящих соединений для связи устройств с облачной средой управления. То есть Nebula не разыскивает устройства, например, по белым IP адресам, и не подключается к ним по заранее открытым портам на файерволе, а именно сами устройства связываются с облачной средой управления по протоколу NETCONF.


Это и безопасней (никаких дырок на файрволе) и проще организовать не нужно обзаводиться постоянным белым IP адресом, или возиться с настройкой DDNS (динамического DNS). Гораздо проще подождать, пока устройство само установит соединение.


Выглядит это тривиально: зарегистрировали устройство, допустим, через мобильное приложение, а в интерфейсе Nebula оно появляется само, пусть не сразу, но спустя некоторое время.


Давайте опишем, как происходит регистрация и какие этапы она проходит.


Зарегистрировать устройство можно двумя способами: послав код устройства через приложение Nebula Mobile (IOS, Android) или указав реквизиты: MAC адрес и серийный номер вручную.



Рисунок 6. Регистрация через мобильное приложение.


Рассмотрим мобильную регистрацию.


Вначале пользователь выбирает нужную организацию и площадку. Если доступна только одна организация или площадка одна, этот вопрос автоматически снимается.


После сканирования QR кода автоматически распознаются тип и модель устройства, а также MAC адрес и серийный номер.


Эта информация проходит процедуру анонимизации и шифрования и записывается в базу данных.


Обязательно должен быть включён параметр Nebula Control Center Discovery, который запускает процесс поиска и соединения с облачным центром управления. (Как включить можно посмотреть в документации на конкретную модель).


Если устройство онлайн, и у него задействован описанный выше параметр через некоторое время оно установит связь с облачной средой управления, автоматически подключится к нему, получит идентификатор, и можно будет управлять через облако.



Рисунок 7. Включение параметра Nebula Control Center Discovery.


Схожим образом происходит регистрация вручную с вводом MAC адреса и серийного номера в веб-интерфейсе, но при этом данные сразу вводятся в облако, их не нужно вытаскивать из QR кода и передавать по беспроводной связи.



Рисунок 8. Регистрация устройства через веб-интерфейс.


По идее, если введённая информация верна, ничего делать не нужно, и устройство через какое-то время окажется в сети Nebula (в обычной ситуации это может занять до 2х минут). Но иногда хочется всё получить как можно быстрее.


Рассмотрим такой вариант зарегистрировали устройство в Nebula Mobile, а оно не успело появиться в интерфейсе, и время появления хочется сократить.


Можно попробовать перезагрузить устройство оно сразу после запуска установит соединение. В некоторых случаях это позволит немного ускорить регистрацию (или просто чем-то занять себя во время ожидания).


Ещё один способ ускорить процесс регистрировать устройства вручную через веб-интерфейс. В этом случае не используется этап дешифровки QR кода, и при наличии более скоростного и стабильного проводного соединения данные могут быть переданы быстрее.


Примечание. Если разные люди в одно и то же время попытаются, зарегистрировать устройство, например, и через мобильное приложение, и через веб-интерфейс, то Nebula примет данные источника, который успел первым передать информацию. Опоздавший получит сообщение о том, что устройство уже зарегистрировано.

Ещё один вариант ошибки оборудование зарегистрировано, но в интерфейсе Nebula отображается неактивным. Это говорит о том, что устройство просто не успело соединиться с Nebula для первичного обмена информацией. У пользователя есть выбор: немного подождать или для ускорения перезагрузить устройство.


Ещё одна помеха на пути к быстрой регистрации неторопливый Интернет-браузер, который показывает старую картинку. Помогает обнуление кэша или просто завершить работу браузера (все сессии и процессы) и запустить его, снова подключившись к своему аккаунту в Nebula.


Вопросы и ответы


Ниже постараемся ответить на некоторые вопросы, которые возникают у людей, недавно столкнувшихся с облачными системами управления.


А что если отключат Интернет? Всё, приплыли?


На самом деле ситуация не так трагична, как кажется. Локальные устройства, управляемые через Nebula: точки доступа, коммутаторы, и даже Интернет-шлюз (его локальные функции, такие как DHCP или RADIUS сервер) продолжат функционировать. Возникнут трудности с управлением, но локальная сеть не упадёт, и пользователи смогут выполнять ту часть работы, для которой не нужен выход в Интернет, например, работать в 1С на локальном сервере.


При восстановлении канала восстановится и стандартная функция управления.


Проще говоря, тот же принцип, что и при любом централизованном управлении:


  • Что успели настроить до потери связи с центром, то работает.
  • Во время отсутствияуправляющего центра изменения внести не получится.
  • Канал подняли можно продолжить настройки.

Важно. Для устройств, подключённых к Nebula остаётся возможность управления через CLI (или веб-интерфейс, в зависимости от модели).

Разумеется, для безотказной работы необходимо иметь резервный Интернет-канал, для любого сценария управления: с Nebula или локально. Потому что связь с внешним миром это такой же необходимый ресурс, как и всё остальное, а для бесперебойной работы необходимо резервирование.


А что если данные из облака утекут? Тогда инфраструктурой может управлять кто захочет?


В данном случае стоит рассмотреть сценарий, когда происходит утечка данных, пригодных к использованию посторонними лицами. Данных в таком виде Nebula просто не хранит.


Во-первых, хранятся только данные, которые действительно необходимы для выполнения узкоспециализированных атомарных операций и для построения отчётов, опять же, строго по запросу администратора. Объём СХД, как известно, не резиновый. Поэтому хранить данные на случай вдруг понадобится никто не будет.


Во-вторых, очень важно в каком виде хранятся данные.


  1. Все данные при поступлении анонимизируются. Проще говоря, понять где чья запись от какого клиента может только сама Nebula.
  2. Все данные хранятся в зашифрованном виде.
  3. Используется такая замечательная вещь, как двухфакторная аутентификация. В случае её использования попытки порулить чужой системой останутся безуспешными, если только вы сами не делегируете полномочия.

Примечание. Информацию из первоисточников можно получить по ссылкам в самой Nebula в меню Помощь Политика обработки данных.

Дополнительно публикуем две ссылки на документы в открытом доступе:



С другой стороны, при использовании традиционного необлачного управления с прямым подключением проблем с безопасностью может быть гораздо больше. Например, потерянный служебный ноутбук или принудительное изъятие рабочего ПК сетевого администратора в рамках каких-то там мероприятий увы, не самый невероятный сценарий. И ситуация при этом может оказаться гораздо более печальна, чем та, когда всё управляется удалённо через облако.


Регистрация в Nebula это дорога в один конец? Обратно в автономный режим переключить устройство уже не получится?


Устройства можно перевести в автономный режим работы, просто удалив их из Организации через тот же интерфейс Nebula.


А что если придётся передать устройство в другое подразделение (филиал, дочернюю компанию)?


Если речь идёт о передаче устройств в рамках одной компании можно просто переместить устройство между площадками. Если же для каждого подразделения существует своя организация в Nebula тогда их нужно удалить из Организации и зарегистрировать заново.


Подводя итоги


Zyxel Nebula проектировалась как система управления распределённой инфраструктурой. Для неё всё равно, где находится оборудование, важно, чтобы устройства имели выход в Интернет.


Это накладывает определённый отпечаток на идеологию управления, и, как следствие, на интерфейс пользователя. При работе с любой системой возникают некоторые нюансы, о которых полезно знать перед началом эксплуатации.


Полезные ссылки


  1. Регистрация в Zyxel Nebula тут все начинается
  2. Telegram chat Zyxel
  3. Форум по оборудованию Zyxel
  4. Много полезного видео на канале Youtube
  5. Unlock Networking Possibilities with Cloud Nebula Secure Cloud Networking Solution
  6. NEBULA CONTROL CENTERGDPR DATA PROCESSING ADDENDUM
  7. Преимущества USG FLEX
  8. Полезная статья в КБ о USG FLEX
  9. Перенос лицензий с устройств USG на устройства USG FLEX Series (видео)
  10. Служба поддержки Nebula для пользователей проф. версии Nebula (английский язык)
  11. Форум Zyxel Nebula (можно создать запрос)
  12. Техподдержка Zyxel
  13. Nebula или RADIUS на примерах что выбрать для персональной аутентификации для точки доступа
  14. Настройка WPA2 Enterprise с RADIUS
  15. Сверхновое облако Zyxel Nebula экономичный путь к безопасности?
  16. Zyxel Nebula и рост компании
  17. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  18. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  19. Zyxel Nebula простота управления как основа экономии
  20. Не боимся облаков
  21. Журнал LAN: Знакомство с Zyxel Nebula
Подробнее..

Коммутаторы ядра сети что это такое, для чего нужны и как выглядят

25.05.2021 12:05:50 | Автор: admin


О периферийных устройствах написано достаточно много. Это и понятно, потому что большое число задач требует разнообразный парк оборудования: точки доступа, коммутаторы уровня доступа, межсетевые экраны и так далее.


В случае с корпоративной ИТ инфраструктурой все эти компоненты работают на нижних этажах, обеспечивая доступ пользователей и конечных устройств к сети.


А вот про уровень ядра сети сказано довольно мало. Причина вполне понятна больших организаций меньше, чем маленьких, поэтому крупных корпоративных сетей также меньше. Попытаемся восполнить этот пробел. Для начала расскажем об общих чертах и потом перейдём к конкретным моделям (описанию и вариантам использования). Помимо общих принципов, разберём конкретные модели по винтикам, (в том числе и буквально отверткой), чтобы посмотреть, что и как устроено.


Попробуем расколоть этот орешек знаний, чтобы добраться до ядра.


Вступление


Как мы уже писали ранее в статье Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему? корпоративную сеть можно условно разделить на три уровня:


  • Уровень доступа предназначен для подключения клиентских устройств.
  • Уровень агрегации/распределения, который, как следует из названия, является промежуточным и служит для предварительного управление трафиком.
  • Уровень ядра сети.


Рисунок 1. Уровни корпоративной сети


Коммутаторы ядра находятся в самом центре корпоративной сети и обеспечивают общую коммутацию (а если необходимо, то и маршрутизацию), связывающие все остальные сегменты.


Разумеется, нельзя каждый уровень рассматривать отдельно от предыдущего.


Общее увеличение трафика на уровне доступа ведёт к дополнительной нагрузке на коммутаторы уровня распределения, что в итоге влияет на загрузку ядра. Разумеется, возможны ситуации, когда всплеск трафика локализован в рамках одного сегмента (в переделах одного коммутатора уровня агрегации или даже уровня доступа). Но если имеется общая тенденция к росту трафика и передаваемых объёмов, это всё равно приводит к повышению нагрузки на ядро сети.


Поэтому важно учитывать не только сиюминутные потребности, но и что ждёт в будущем.


Особенности нагрузки в ядре сильно отличаются от нагрузки на уровне доступа. Если коммутатор уровня доступа привязан к работе пользователей (которых может попросту не быть в офисе), то на коммутаторе ядра будет присутствовать трафик обмена данными между серверами, СХД, облачными системами для резервного копирования и т.д. Поэтому коммутаторы ядра необязательно самые быстрые, но уж точно самые надёжные, рассчитанные на долговременную загрузку


Важный нюанс уровень ядра наиболее критичен к простоям при выполнении технических работ. Выключение и замена одного коммутаторов уровня ядра приводит к бездействию большого числа участников сетевого обмена. Поэтому желание сократить число и продолжительность таких остановок вполне объяснимо. Для этого необходимо: во-первых, выбрать оптимальную архитектуру будущей сети, во-вторых, подобрать наиболее подходящие коммутаторы ядра.


Примечание. Учитывая массовый характер закупок, особенно при развёртывании сети с нуля, ошибка при выборе коммутаторов уровня распределения/агрегации и даже уровня доступа тоже может обернуться значительными финансовыми потерями. И хотя масштабы катастрофы принято оценивать по количеству простаивающих узлов за выбранный промежуток времени, к выбору оборудования для младших уровней следует подходить не менее ответственно.

Особенности коммутаторов ядра


Как уже было сказано выше, в ИТ инфраструктуре корпоративной сети коммутаторы уровня ядра являются центральным звеном, который объединяет другие сегменты (обычно уровня агрегации/распределения, реже уровня доступа). Через ядро проходит большая часть от всего трафика между клиентами, серверами, Интернет и так далее.


Поэтому главное умение ядра сети не падать при максимальной загрузке. Этот уровень всегда состоит из высокоскоростных коммутаторов и маршрутизаторов, производительных и отказоустойчивых. Немаловажную роль играет железо, в том числе характеристики коммутирующей матрицы, производительность процессора или контроллер.


Примечание. Универсалы vs узких профи Существует мнение, что для высокоскоростной передачи трафика, коммутаторы ядра не должны выполнять какие-либо манипуляции с пакетами, такие как маршрутизация между VLAN, ACL (Access Control List) и так далее в такой архитектуре все эти функции возложены на коммутаторы уровня агрегации/доступа. Однако построить идеальную инфраструктуру и уложиться в выделенный бюджет удаётся далеко не всегда. Часто на используется некий смешанный вариант, при котором уровень ядра и уровень агрегации/доступа является неким общим уровнем ядра+распределения. Разумеется, с точки зрения классической архитектуры это выглядит как вопиющее отступление от правил, зато с финансовой стороны вполне разумно.

А теперь кратко, просто и понятными словами


Проще говоря, коммутаторы уровня ядра это очень надёжные производительные коммутаторы L3 или L2+, которые могут выполнять те или иные задачи, но главное устойчивая передача трафика. Ниже мы подробно остановимся на некоторых нюансах.


Производительность


Как уже было сказано выше, скорость пересылки пакетов и ёмкость коммутации важные характеристики для коммутатора ядра в корпоративных сетях. Ядро должно обеспечивать требуемую скорость и пропускную способность.


Хорошая новость трафик не берётся из ниоткуда. То есть, зная кого, чего и сколько вы собираетесь подключить к сети и какой толщины будут внешние каналы, можно спрогнозировать верхнюю и нижнюю цифры по загрузке ядра сети. А дальше уже дело за выбором оборудования.


Разумеется, корпоративная жизнь порой подбрасывает сюрпризы вроде рождения новых бизнес-подразделений с нуля или построения новых сегментов вроде приватных облаков. Поэтому резервировать от 20 до 35% запаса производительности на вырост и такой же резерв по количеству портов для ядра сети это совсем неплохая идея. Как было сказано выше, обосновать остановку или временное замедление в работе практический всей корпоративной сети, чтобы заменить коммутатор в ядре та ещё задачка.


Надёжность оборудования


При проектировании ядра уделяют больше внимания избыточности по сравнению с другими уровнями. Вроде всё понятно: зачем и почему, но давайте посмотрим более детально.


Как было сказано выше, нагрузка на коммутаторы уровня ядра имеет другой характер, нежели уровня доступа. Соответственно, температурное воздействие тоже выше, и самое главное держится на одной отметке. И это должно учитываться при проектировании системы охлаждения.


Ещё один важный нюанс электропитание. Наличие двух источников питания не роскошь, а необходимость. Разумеется, можно использовать дополнительные хитрые внешние модули АВР (Автоматический Ввод Резерва) или SmartPDU, которые позволяют переключить подачу энергии на резервную линию, даже если на самом устройстве один блок питания. Но что будет с ядром сети, если единственный блок питания внутри коммутатора выйдет из строя? Нужно ли это проверять?


При наличии второго блока питания, когда один из них выходит из строя, другой немедленно берёт на себя все функции по обеспечению энергоснабжения. То есть стандартная схема: Active-Passive вполне пригодится.


Многое зависит от производителя блока питания и элементной базы. Если внутри всё сделано непонятно из чего и непонятно как наверное, вообще не стоит устанавливать подобное оборудование, а уж в ядро сети тем более.


Устойчивость к атакам и пиковым нагрузкам


Поскольку коммутаторы ядра являются центром сети, они должны уметь не только быстро перебрасывать Ethernet кадры, но и обладать расширенной защитой от DDoS с использованием протоколов уровня 2 и 3. И дело тут не только в злобных хакерах. Криво работающее сетевое приложение может навести шороху не меньше, нежели тёмные рыцари клавиатуры.


Кроме защиты от атак, сама по себе возможность работы при пиковых нагрузках является важной характеристикой. Обычно советуют избегать таких конфигураций, как дотошные списки доступа и фильтрация пакетов, особенно на фоне деградации производительности. Но в любом случае запас по мощности не повредит.


Стек и масштабирование. Агрегирование каналов.


Разумеется, ситуация, когда из-за проблемы с центральным коммутатором не работает крупный сегмент, а то и вся корпоративная сеть мало кого устраивает. Чтобы избежать ситуаций, когда одно-единственное устройство объединяет большое число подключений и в случае выхода из строя ничто не может взять на себя его функции используют резервирование и объединяют сетевое оборудование в стек.


Стек это соединение нескольких физических коммутаторов в один супер-коммутатор, когда при выходе одного из физических устройств отказоустойчивая схема продолжает работать.


Однако на одной только отказоустойчивости свет клином не сошёлся. Рано или поздно сеть разрастётся и возникнет дефицит вычислительных ресурсов и свободных портов. Даже если вначале были закуплены коммутаторы с хорошим запасом по портам и мощности, всё равно рано или поздно придётся проводить модернизацию. Стек коммутаторов даёт нам возможность добавить в ядро новые устройства, не снимая с эксплуатации старые.


Например, серия XGS4600 поддерживает стек до 4 коммутаторов, а XGS3700 до 8. Проще говоря, если у вас в ядре присутствует, допустим два коммутатора XGS4600-52F, вы можете удвоить их количество, доведя их число до 4, не прерывая работу сети.


Также полезным выглядит использование отказоустойчивых протоколов, например, VRRP для построения отказоустойчивой схемы маршрутизации.


Крайне важно, чтобы остальные участники сетевого обмена не теряли связь с ядром. Для этого используется агрегирование каналов, когда несколько физических портов на коммутаторе уровня агрегации/распределения объединяются в общий UPLink и подключаются к двум портам на коммутаторах уровня ядра. Таким образом при обрыве подключения на одном из портов, связь всё равно не теряется.


QoS


Quality of Service (QoS) является важной функцией, позволяющей обеспечить стабильное прохождение определённых типов трафика. Например, на современных предприятиях требуется видеоконференцсвязь. Такой трафик требует непрерывной передачи голоса и видеоданных, в отличие, например, от просмотра текстовых страниц в формате html. Ещё один пример резервное копирование, когда данные идут плотным потоком и необходимо успеть всё передать за короткое окно бэкапа. В таких случаях выручает использование системы приоритетов и ограничение полосы пропускания. То есть QoS.


Благодаря QoS коммутаторы ядра получают возможность предоставлять разную полосу пропускания различным приложениям в соответствии с характеристиками. По сравнению с трафиком, который не так требователен к полосе пропускания и задержкам во времени (например, электронная почта), критический трафик получит более высокий приоритет, и будет передаваться с высокой скоростью и гарантированно низкой потерей пакетов.


Управление


Для описания основных принципов работы с коммутаторы ядра сети очень даже подходит известная пословица: Работает? Не трогай!.


Но бывают ситуации, когда трогать нужно, например, при модернизации всей сети, подключения дополнительных сегментов и так далее.


И, разумеется, необходимо вовремя получать данные о работе сетевого оборудования.


Поэтому коммутаторы ядра сети поддерживают различные методы контроля и управления, начиная от SNMP и заканчивая подключением консоли.


Также полезно иметь выделенный порт управления (не объединяемый с передачей данных), который можно подключить в отдельный VLAN или даже коммутатор. Помимо повышения уровня безопасности, это позволяет упорядочить архитектуру сети и сохранить возможность управления даже при резком возрастании трафика через ядро.


Ниже идут описания и ТТХ конкретных моделей от Zyxel. Если не любите, когда производитель в своём же блоге описывает спецификации и возможности своих же устройств и считаете это сплошной рекламой можно сразу перейти в следующий раздел: Подведение итогов и рекомендации.

Рассмотрим на конкретных моделях


В качестве примера мы выбрали линейку коммутаторов, предназначенных для уровней ядра и агрегации/распределении. Откуда такое двойное назначение? Всё зависит от целей и задач, в первую очередь от архитектуры корпоративной сети. Бывают ситуации, когда на коммутаторы уровня агрегации/распределения ложится нагрузка, сопоставимая с уровнем ядра сети. Например, если активно используется маршрутизация между VLAN, списки доступа (ACL), фильтрация трафика и так далее.


Запас мощности и широкий набор возможностей в любом случае не помешает.


О каких моделях речь?


На сегодняшний день линейка XGS4600 насчитывает 3 коммутатора: XGS4600-32, XGS4600-32F, XGS4600-52F. Основное различие между ними в количестве и конструкции портов. Ниже приводится таблица, в которой указаны основные различия и общие моменты.


Характеристика XGS460032 XGS460032F XGS460052F
Общее число портов 32 32 52
Gigabit SFP - 24 48
100/1000 Mbps 24 - -
Gigabit combo (SFP/RJ45) 4 4 -
10-Gigabit SFP+ 4 4 4
Производительность коммутации (Gbps) 136 136 176
Скорость пересылки пакетов (Mpps) 101.1 101.1 130.9
Буфер пакетов (байт) 4 Мбайт 4 Мбайт 4 Мбайт
Таблица MAC-адресов 32 Кбайт 32 Кбайт 32 Кбайт
Таблица пересылки L3 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6 Макс. 8 тыс. записей IPv4; Макс. 4 тыс. записей IPv6
Таблица маршрутизации 12 тыс. 12 тыс. 12 тыс.
Число IP интерфейсов 256 256 256
Flash/RAM 64 Мб / 1 Гб 64 Мб / 1 Гб 64 Мб / 1 Гб

Ниже мы кратко опишем, почему эти коммутаторы пригодны для использования в качестве ядра сети.


Стек и High Availability


С помощью одного или двух слотов 10-Gigabit SFP+ можно объединить в физический стек до 4 коммутаторов. Также поддерживается динамическая маршрутизация для упрощения обмена данными между подсетями. Эта функция очень удобна для больших отелей, университетов и других компаний, где используется сложная сетевая инфраструктура. Для коммутаторов серии XGS4600 можно приобрести дополнительную лицензию с поддержкой протоколов OSPFv3 и RIPng для динамической маршрутизации IPv6.


XGS4600 Series оборудован гигабитными портами и четырьмя интегрированными слотами 10-Gigabit SFP+.


Другие меры обеспечения надёжности


Помимо объединения в стек, коммутаторы серии хранят два файла конфигурации и два образа микропрограммы. Это своего рода защита от случайных сбоев. Представьте, что закачанный файл микропрограммы оказался повреждён при передаче по сети. Наличие второго файла позволяет решить эту проблему без лишней крови, просто перезагрузив устройство с рабочей прошивкой.


Примерно такой же алгоритм восстановления, если изменения конфигурации оказались несовместимы с жизнью. Просто подгружаем другой файл и дело в шляпе.


Схема питания два независимых блока


XGS4600 Series поддерживает резервирование питания по схеме Active-Standby. В случае выхода из строя основного источника питания коммутатор будет работать от резервного источника питания.


Сами блоки питания от известного производителя DELTA Electronics.


А что с железом?


  • Центральным узлом является процессор (CPU) 1GHz ARM cortex-A9.
  • Switch controller BCM56340.
  • RAM 1GB.
  • Flash 64MB.

Разумеется, лучше один раз увидеть, чем сто раз услышать (а ещё лучше пощупать своими руками). И мы прямо в офисе вскрыли две модели чтобы посмотреть, что внутри.


Ниже прилагаем несколько фотоснимков, сделанных прямо в офисе Zyxel Россия.


Интересная информация. Zyxelне пытается поймать своих клиентов на мелочах. Хитрые пломбы, болтики из мягкой стали (у которых шлицы повреждаются даже при самом аккуратном откручивании), голографические наклейки и прочие уловки с целью лишить потребителя гарантийного обслуживания это всё не нужно.


Рисунок 2. Коммутаторы серии XGS4600, вид спереди: вверху XGS4600-32F, снизу XGS4600-32



Рисунок 3. Коммутаторы серии XGS4600, вид сзади: вверху XGS4600-32F, снизу XGS4600-32.


Во всех моделях, предназначенных для ядра два блока питания.



Рисунок 4. Внутреннее устройство коммутатора XGS4600-32.


Правильная компоновка и аккуратный монтаж плат и разъёмов очень важны. У производителя не должно возникать желания впихать невпихуемое в небольшой корпус.


Присутствуют мощные радиаторы и блок из трёх вентиляторов. Для коммутаторов ядра сети важно иметь хорошее охлаждение.



Рисунок 5. Коммутатор XGS4600-32 блоки питания.



Рисунок 6. Коммутатор XGS4600-32. Фрагмент материнской платы с микросхемами памяти.



Рисунок 7. Крупным планом.



Рисунок 8. Внутреннее устройство коммутатора XGS4600-32F.



Рисунок 9. Блок питания коммутатора XGS4600-32F.



Рисунок 10. В правой части расположены UPLINK, порт MGMT для управления коммутатором и консольный порт.


Обратите внимание на выделенный порт управления (OOB) на панели он показан как MGMT. В отличие от консольного RS-232 (который тоже в наличии) данный порт предназначен для удалённого управления устройством по сети.


Также присутствует индикатор номера коммутатора в стеке Stack ID.


Различные функции


Как уже было сказано выше, несмотря на то, что основная задача ядра стабильная работа под нагрузкой, время от времени возникает необходимость управлять трафиком, и это требует определённых инструментов.


Например, поддержка VLAN, а также QoS и списки доступа довольно полезные функции.


Полный список функций можно посмотреть здесь.


Подведение итогов и рекомендации


Невозможно объять необъятное, поэтому наш рассказ про коммутаторы ядра подходит к концу.


Существует множество факторов, которые определяют, какие коммутаторы ядра наиболее подходят для ядра сети в каждом конкретном случае. Однако существуют некоторые общие рекомендации, которые желательно соблюдать, чтобы избежать длительных простоев сетевой инфраструктуры.


Помимо голой теории мы показали, как эти особенности выглядят на примере конкретной реализации. Описанные принципы подходят при оценке любых других коммутаторов уровня ядра сети. Надеемся, это поможет при разработке новых проектов и модернизации уже существующих.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Коммутаторы L2, L2+ и L3 что, когда, куда, откуда, как, зачем и почему?
  5. Коммутаторы Zyxel L3 серии XGS4600
  6. Построение сетевой инфраструктуры на базе Nebula. Часть 1 задачи и решения
  7. Построение сетевой инфраструктуры на базе Nebula. Часть 2 пример сети
  8. Особенности применения управляемых и неуправляемых коммутаторов
  9. Как SFP, SFP+ и XFP делают нашу жизнь проще
Подробнее..

Что стало причиной сбоя 30 августа, в ходе которого мировой трафик упал на 3,5

01.09.2020 14:23:02 | Автор: admin
Глобальный сбой работоспособности интернета произошел по вине американского провайдера CenturyLink. Из-за некорректной настройки межсетевого экрана, у пользователей по всему миру наблюдались проблемы с доступом к Google, службам Microsoft, облачным сервисам Amazon, сервису микроблогов Twitter, Discord, сервисам Electronic Arts, Blizzard, Steam, веб-сайту Reddit и многим другим.



Причиной сбоя стало то, что CenturyLink, являясь Level3-провайдером, некорректно сформулировал правило BGP Flowspec в протоколе безопасности. BGP Flowspec используется для перенаправления трафика, так что эта ошибка привела к серьезным проблемам с маршрутизацией внутри сети провайдера, что сказалось и на стабильности глобального интернета. Конечно, сильнее всего пострадали пользователи в США, но отголоски проблем ощущались по всему миру.

Важно отметить, что CenturyLink является третьей про размерам телекоммуникационной компанией Америки, сразу после AT&T и Verizon.

BGP Flowspec по IETF имеет код спецификации RFC 5575 и описан как многопротокольное расширение BGP MP-BGP, которое содержит информацию о доступности сетевого уровня Network Layer Reachability Information (NLRI). BGP FlowSpec это альтернативный метод сброса атакующего DDoS-трафика с маршрута, который считается более тонким способом уклониться от атаки, нежели RTBH (Remote Triggered Black Hole Filtering), когда блокируется весь трафик с адреса атаки, либо трафик до адреса назначения. Вообще, RTBH, по сути оружие судного дня и является крайним средством для прекращения атаки, так как его применение зачастую позволяет атакующему добиться желаемого, то есть изоляции одного из адресов.

BGP FlowSpec действует более тонко и по сути, является фильтром межсетевого экрана, который который вводится в BGP для фильтрации определенных портов и протоколов и определяет, какой трафик по какому маршруту пропускать. Таким образом, белый трафик проходит до адреса назначения, а определенный, как DDoS сбрасывается с маршрута. Трафик анализируется минимум по 12 параметрам NLRI:

  1. Destination Prefix. Определяет префикс назначения для соответствия.
  2. Source Prefix. Определяет исходный префикс.
  3. Протокол IP. Содержит набор пар {оператор, значение}, которые используются для сопоставления байта значения протокола IP в IP-пакетах.
  4. Порт. Определяет, будут ли пакеты обрабатываться TCP, UDP или оба.
  5. Порт назначения. Определяет порт назначения, на который будет влиять FlowSpec.
  6. Исходный порт. Определяет исходный порт, на который будет влиять FlowSpec.
  7. Тип ICMP.
  8. Код ICMP.
  9. Флаги TCP.
  10. Длина пакета. Соответствие общей длине IP-пакета (исключая уровень 2, но включая IP-заголовок).
  11. DSCP. Соответствие по параметру Class Of Service flag.
  12. Fragment Encoding

Каких-то полноценных отчетов о сбое от самих CenturyLink нет, они только упоминают свой дата-центр недалеко от Онтарио. Однако сбой маршрутизации был достаточно серьезным, чтобы на него обратили внимание не только рядовые пользователи, но и инженеры CloudFlare, которые тоже пользуются услугами CenturyLink как крупного провайдера.

Согласно отчету CloudFlare о произошедшем сбое, все началось с резкого роста 522 ошибки в 10:03 по Гринвичу, 30 августа.



Так, автоматической системе ре-машрутизации на случай сбоев удалось сократить количество ошибок и снизить их до 25% от пикового значения, но проблемы со связностью сети и доступностью ресурсов все еще сохранялись и имели глобальный характер. Все это было сделано в окне между 10:03 на начало сбоя и до 10:11 по UTC. За эти восемь минут автоматика и инженеры отключили свою инфраструктуру в 48 (!) городах Северной Америки от CenturyLink и перебросили трафик на резервные каналы других провайдеров.

Очевидно, что так поступали не только в CloudFlare. Однако это не позволило полностью решить проблему. Для наглядности, какое влияние проблемный провайдер имеет на телеком-рынок США и Канады, инженеры компании привели официальную карту доступности услуг CenturyLink:



В США провайдером пользуется 49 миллионов человек, а это означает, что для некоторых клиентов, если говорить об отчете CloudFlare, и даже целых дата-центров, CenturyLink является единственным доступным провайдером.

В итоге, из-за почти полного падения CenturyLink, специалисты CloudFlare зафиксировали сокращение мирового интернет-трафика на 3,5%. Вот как это выглядело на графике по шести основным провайдерам, с которыми работает компания. CenturyLink на нем красный.



О том, что сбой был глобальный, а не просто проблемы в дата-центре под Онтарио, как заявил сам провайдер, свидетельствует и размер обновлений правил Flowspec. Обычно размер обновления конфигураций BGP Flowspec составляет около 2 мегабайт, но специалисты CloudFlare зафиксировали обновления конфигураций BGP размером до 26 Мб (!).



Эти обновления, которые распространяются раз в 15 минут, делятся с узлами сети информацией об изменениях в работоспособности маршрутов. Это позволяет гибко реагировать на какие-то локальные проблемы. Обновления размером в 10-15 раз выше обычных говорят о том, что практически вся сеть провайдера легла или наблюдались крайне серьезные проблемы со связностью.

В CloudFlare считают, что причиной сбоя стало некорректное глобальное правило BGP Flowspec, которое получило подавляющее большинство маршрутизаторов, которые потом ушли в реверсивную перезагрузку в попытках восстановить соединение. Это укладывается в картину сбоя, который продолжался более 4 часов. Именно при перегрузке памяти и ЦП маршрутизаторов инженеры могли потерять удаленный доступ к ряду узлов и управляющих интерфейсов.

К слову, подобная история далеко не уникальна. Чуть более года назад интернет по всему миру прилег по вине самих CloudFlare и сбоя в работе их DNS, плюс эта же компания честно упоминает о похожих проблемах с Flowspec еще семь лет назад, после которых они отказались от его использования.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru