Zyxel Nebula. Облачный сервис для управления сетью

 АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Zyxel Nebula
Облачный сервис для управления сетью

Облачные сервисы позволяют решать множество как пользовательских, так и административных задач. Расскажем какие административные задачи по управлению сетью можно решать с помощью сервиса Zyxel Nebula

На сегодняшний день на рынке существует множество различных средств мониторинга и управления сетевым оборудованием, практически каждый серьезный разработчик телекоммуникационного оборудования предлагает решение дляуправления своими продуктами. Однако большинство из этих решений являются достаточно громоздкими, требуют серьезных капитальных затрат на внедрение и, как правило, дороги в сопровождении. Для такой дороговизны естьмножество причин.

Zyxel Nebula NSG50 Порты 10/100/1000 Mbps RJ-45 – 4 x LAN (GbE), 2 x WAN (1x SFP, 1x GbE) USB-порты – 1 Конструкция без вентилятора Пропускная способность межсетевого экрана SPI (Mbps)*2 – 300 Пропускная способность VPN (Mbps)*3 – 70 Пропускная способность IDP (Mbps)*4 – 120 Неограниченное число пользователей Максимальное число одновременных сессий TCP*5 – 20000 Максимальное число одновременных туннелей IPsec VPN*6 – 10 Поддержка IPv6 Интерфейсов VLAN – 8 шт.

Во-первых, средства управления географически распределенным сетевым оборудованием должны в обязательном порядке иметь отказоустойчивую конфигурацию. Ведь выход из строя такой системы сделает централизованное управление практически невозможным, а в результате и вся сеть может стать слабоуправляемой, в отдельных случаях даже полностью неуправляемой. Это требует дополнительных расходов, так как необходимо обеспечить дублирование серверов управления, их электропитания, каналов связи и других компонентов.

Во-вторых, для сопровождения данных решений требуется наличие высококвалифицированных специалистов, занимающихся их обслуживанием. Здесь также работоспособность системы управления сетевым оборудованием полностью зависит от квалификации тех, кто занимается ее обслуживанием.

В случае если специалист не способен оперативно решать возникающие проблемы, система рискует стать неработоспособной. Соответственно, квалифицированные специалисты стоят дорого.

Не всем компаниям под силу решение данных проблем. Многие организации, даже имея небольшую филиальную сеть, не могут себе позволить полноценную систему централизованного мониторинга и управления, ограничиваясь лишь удаленным подключением к каждому сетевому устройству в случае необходимости.

Бюджетные облака

Бюджетным вариантом решения проблемы централизованного управления сетевым оборудованием является использование облачных сервисов. После приобретения оборудования администратор регистрируется в облаке, указывая данные своих устройств, и затем через веб-консоль осуществляет управление данными устройствами.

Однако большинство таких облачных сервисов, так или инач, фокусируется на управлении только беспроводными компонентами сети, прежде всего точками доступа. Но при этом не стоит забывать, что администраторам также интересна информация о загруженности маршрутизаторов, производительности коммутаторов и попытках атак на межсетевые экраны. И в этом отношении Zyxel выгодно отличается от других производителей, так как их сервис Zyxel Nebula позволяет централизованно управлять компонентами всей сети, состоящей из множества сегментов даже в разных концах мира.

Сервис Nebula

Сервис Nebula поддерживает не только беспроводные точки доступа, но также и маршрутизаторы, межсетевые экраны, PoE-коммутаторы и многое другое. В консоли Nebula можно получать информацию по трафику, о состоянии устройств, расположении сегмента сети и его загруженности. Также можно нанести на карту расположение компонентов сети и наблюдать за состоянием компонентов сети с географической привязкой оборудования и каналов.

Управляемая из облака точка доступа стандарта 802.11n/ac NAP102 – управляемая из облака 802.11ac точка доступа Nebula с двумя радиомодулями; NAP203 – управляемая из облака 802.11ac двухдиапазонная точка доступа Nebula с двумя радиомодулями с антенной MIMO 3x3; NAP303 – управляемая из облака 802.11ac точка доступа Nebula с двумя радиомодулями со смарт-антенной MIMO 3x3; NAP353 – управляемая из облака 802.11ac точка доступа с двумя радиомодулями и внешней антенной MIMO 3x3 для размещения вне помещений. Точки доступа Zyxel Nebula автоматически конфигурируются после установки и автоматически подключаются к облаку Nebula, все это, как и предоставление ресурсов, мониторинг и диагностику можно выполнять везде, где есть доступ вИнтернет и в любое время; с этими задачами справятся даже обычные пользователи. После установки, с помощью мобильного приложения Zyxel Nebula, инженер сканирует QR код, расположенный на корпусе устройства, и оно автоматически подключается к сети, скачивает последние прошивки и становиться полностью готовым к работе. Для обеспечения наивысшей производительности, емкости и покрытия точки доступа Zyxel Nebula используют инновационные технологии антенн Smart Antenna и Dual-optimized Antenna. Усовершенствованная конструкция антенны адаптируется к разным сценариям использования, в том числе к сценариям с большим числом пользователей, повышенными требованиями к производительности и работе в условиях сильных помех. В точках доступа Zyxel Nebula APs применены мощные функции сетевой безопасности, обеспечивающие защиту конфиденциальности, аутентификацию и шифрование данных. Важно то, что точки доступа Zyxel Nebula реализуют современный протокол NETCONF, считающийся оптимальным для сетевых облачных инфраструктур и гарантирующий безопасную передачу трафика данных между облаком и устройствами.

Далее мы рассмотрим особенности работы с данным облачным сервисом. По сути, Nebula представляет собой облачный сервис для создания и управления сетями через интернет по модели Software as a Service (SaaS). Все устройства, входящие в облако Nebula, управляются из облака через безопасное TLS-соединение. Тем самым администратор сети может управлять своими устройствами из любой точки, где есть доступ к сети Интернет, и вносить изменения в политики и настройки сети через центральную панель управления.

В качестве ядра для облачной среды сервис Nebula использует Amazon Web Service (AWS), что позволяет обеспечить как необходимый уровень обслуживания облачных компонентов и их отказоустойчивости, так и защиту трафика, взаимодействующего с облаком.

Технической особенностью сетевого взаимодействия с облаком является разделение трафика при его обработке. Так, служебная информация (конфигурация, данные мониторинга, статистика и т.д.) передаются в облако при помощи защищенного соединения с использованием специализированного протокола NETCONF, а пользовательский трафик отправляется сразу к целевому серверу, не проходя через облако.

Протокол NETCONF использует TCP для взаимодействия через NAT и считается более надежным, чем использовавшийся ранее SNMP. Также данный протокол использует меньше трафика, что важно при управлении сетью через облако.

Начало работы

Благодаря облачной архитектуре сервиса Nebula администратору не требуется разворачивать какие-либо программные компоненты для работы с облаком. Для того чтобы начать работу, необходимо лишь развернуть сетевую инфраструктуру, поддерживающую работу с данным сервисом. В качестве примера я использовал устройство Zyxel NSG50 и точки беспроводного доступа.

Далее необходимо зарегистрироваться на портале https://portal.myzyxel.com/users/sign_in. Впоследствии созданную учетную запись можно будет использовать для доступа в облако Nebula. Наличие учетной записи на данном портале позволяет получать информацию о новых версиях ПО и выходах обновлений. Для работы с облаком необходимо подключиться уже непосредственно к центру управления Nebula Control Center (NCC) по адресу https://nebula.zyxel.com. Стоит отметить, что с NCC можно работать не только с персонального компьютера, но и с мобильного телефона или планшета.

Строим сеть

При первом подключении к облаку необходимо зарегистрировать свою организацию, прописать ее инфраструктуру и зарегистрировать имеющееся оборудование. Данный процесс состоит из трех шагов. На первом мы указываем организацию, которая осуществляет управление облаком. Здесь все достаточно просто и понятно. На втором шаге необходимо создать структуру корпоративной сети. Здесь предлагается делить сеть на сайты. В общем случае деление предлагается делать по географическому признаку.

На третьем шаге необходимо зарегистрировать имеющиеся устройства в облаке. Процесс регистрации заключается в указании МАС-адреса и серийного номера данного устройства. Эту информацию можно найти как на корпусе, так и налокальной консоли администрирования подключаемого устройства. Здесь важно правильно привязать устройства к соответствующим сайтам.

В целом процесс настройки является достаточно простым и не требует никаких дополнительных знаний.

Рабочая консоль

После успешного выполнения всех подготовительных действий мы попадаем в основную рабочую консоль, выглядящую следующим образом (см. рис. 1).

Рисунок 1. Основная консоль управления облака Nebula

На главной странице веб-интерфейса облачного сервиса администратору доступна основная информация о состоянии подключенных устройств, пропускной способности каналов связи, суммарной статистике по трафику и наиболее активных клиентах.

В консоли группируются три типа устройств: шлюзы, коммутаторы и беспроводные точки доступа. При этом для каждой группы устройств возможны свои настройки. Так, для точек доступа администратор может настроить не только SSID, метод аутентификации, канал, но и балансировку нагрузки и тип журналируемых событий. Для коммутаторов возможна настройка портов, фильтрация по IP-адресам, использование RADIUS, настройка Rapid Spanning Tree, QoS, VLAN. Также администратор может указать расписание распределения питания между PoE-устройствами и другие параметры. Для шлюзов администратор может указать настройки межсетевого экранирования, VPN, аутентификацию и другие настройки (см .рис. 2).

Рисунок 2. Управление шлюзом безопасности

В целом управлять устройствами из консоли достаточно удобно, так как нет необходимости локально подключаться к каждому из управляемых устройств и при этом можно централизованно изменять настройки и вести мониторинг загрузки оборудования и каналов.

Управление правами

Облачные решения традиционно выдвигают повышенные требования к обеспечению защиты доступа. Поэтому при работе с Nebula можно достаточно гибко настраивать права доступа к системе посредством распределения доступа поролям. При управлении ролями владелец сети может назначить разные роли для работающих с ней администраторов. Каждой роли можно назначить тот или иной набор функций по управлению сетью и настройке гостевого доступа. Благодаря такому гибкому функционалу по управлению доступом можно раздать права администраторам филиальных сетей так, что у них не будет доступа к администрированию узлов в других сетях организации.

Продолжая тему управления географически распределенной сетью, стоит отметить, что Nebula Control Center автоматически записывает время входа и IP-адрес каждого зарегистрированного в системе администратора. Это позволяет отслеживать, кто, когда и какие изменения внес в систему, что в свою очередь дает возможность избежать распространенных ситуаций, когда неизвестно, кто из администраторов внес то или иное изменение.

Мониторинг

Одним из важнейших элементов систем централизованного управления является возможность автоматического построения отчетов в режиме реального времени, так как своевременное уведомление о проблемах позволяет предотвратить ихс минимальными потерями. В облаке Nebula мониторинг состояния сети происходит в режиме 24/7.

Для построения общего отчета в веб-консоли необходимо выбрать Site wide – Summary report. В открывшемся окне подробно отображаются состояние всех устройств, находящихся на данном сайте, их загрузка, географическое расположение на карте. При нажатии на конкретное устройство можно перейти в раздел с его настройками. Таким образом, администраторы получают информацию обо всей активности в сети, в том числе о работе установленного оборудования. Подобные отчеты могут быть сохранены и впоследствии использоваться во время установки новых устройств или расширения сети. При этом стоит отметить, что все отчеты гибко настраиваются, так что администраторы получают только необходимую информацию.

Еще один важный инструмент оперативного уведомления администраторов – это алерты. В веб-консоли Nebula можно настроить отправку алертов на заданные адреса электронной почты. В разделе Site wide, Alert settings, можно настроить отправку уведомлений об отключении беспроводных точек доступа за заданный интервал времени. Для коммутаторов можно настроить не только уведомления об отключении всего устройства, но также и об отключении отдельных портов. Для шлюзов безопасности могут отправляться уведомления об их отключении, исчерпании пула IP-адресов, выдаваемых по DHCP, а также о создании или завершении VPN-соединения. Кроме того, можно настроить отправку уведомлений вслучае изменения конфигурации устройств.

Всегда корректные настройки

Интересной особенностью Nebula является функционал по контролю настроек. Устройства Nebula могут запрашивать настройки прямо из Nebula Control Center и получать их через облако. Это позволяет всегда поддерживать сеть в рабочем состоянии и избегать ситуаций, связанных с некорректными локальными настройками устройств на местах.

Больше мобильности

Как уже упоминалось ранее, работать в облаке Nebula можно и с помощью мобильных устройств. При этом выполнение административных задач можно существенно ускорить за счет встроенного приложения для iOS и Android. Например, с помощью сканера QR-кода можно оперативно регистрировать новые устройства, просто отсканировав штрих-код. Также можно сфотографировать установленные устройства и оставить изображения в приложении. Кроме того, администраторам доступны все те же возможности, что есть и в основной консоли.

В заключение хотелось бы подвести некоторые итоги. Итак, Zyxel Nebula – это облачный сервис, позволяющий осуществлять централизованное управление сетью из одного места при помощи простых инструментов. Данный сервис предназначен прежде всего для использования на предприятиях малого и среднего бизнеса, которые имеют несколько филиалов. Кроме того, сервис может быть полезен для фирм, которые постоянно расширяются, так как можно безлишних затрат быстро добавлять сетевое оборудование и распространять на него все корпоративные настройки и политики.

В целом стоит отметить, что Nebula является недорогим, но при этом достаточно простым и гибким решением для централизованного управления сетью.

Ключевые слова: тестирование, Zyxel Nebula, облачные решения, сервисы.

Комментарии могут оставлять только зарегистрированные пользователи