Автор:
Алексей Бережной
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
В статье обсуждаются стратегии развития, а также рассматривается конкретный пример для экономичной компьютерной сети небольшой организации.
Большой сетевой вопрос для малого бизнеса Постановка задачи и тестирование решения
В статье обсуждаются стратегии развития, а также рассматривается конкретный пример для экономичной компьютерной сети небольшой организации
Эта статья посвящена малому и среднему бизнесу, его проблемам и решениям. Рассматриваются вопросы, связанные с финансированием закупок и выбором стратегии, а также готовое решение для сетевой структуры малого бизнеса.
Вот так, личным тестированием конкретных устройств, мы и ответим на вопрос, можно ли построить недорогую сеть для небольшого предприятия.
Малый бизнес и проблема финансирования
Что делает руководитель организации, когда нужны деньги на крупную покупку, например на сетевое оборудование? Запрашивает у бухгалтера наличие свободных средств. А если свободных денег нет?
У малого бизнеса нет таких возможностей, как у крупной организации. Есть небольшие суммы, но даже в совокупности их явно недостаточно для одновременной закупки серьезного парка оборудования. Подобная ситуация характерна длябольшинства предприятий на этапе становления.
То есть нужно либо где-то занимать средства, либо ждать, пока бизнес заработает нужную сумму.
Чтобы появились средства на новую сетевую инфраструктуру нужно повысить оборот, а повысить оборот не дают сдерживающие факторы, в том числе и старое сетевое оборудование.
И это классическая ситуация из серии «Ключ от срочной медицинской комнаты хранится в срочной медицинской комнате» характерна для большинства российских предприятий.
Можно, конечно, взять кредит, но это дополнительный риск для бизнеса.
Навязчивые бренды
Что делает системный администратор, когда ему нужно закупить сетевое оборудование?
В первую очередь ищет в интернете ответы вопрос: оборудование от какого вендора выбрать?
И тут возникает весьма закономерный процесс. Чем дороже бренд, тем больше у него денег на рекламу, на продвижение своей продукции и тем больше его присутствие в Сети. Проще говоря, чем выше стоимость оборудования, темнавязчивее реклама, в том числе и скрытая.
Ситуация здорово осложняется политикой сертификации. Чем дороже стоит оборудование, тем выше стоимость обучения у вендора, тем выше плата за попытку сдачи экзамена. А чем труднее получить сертификат, тем весомее он выглядит в глазах неискушенной публики.
Когда сотрудник имеет стену, увешанную всевозможными сертификатами с его фамилией, то меньше риск, что такого «ценного кадра» сократят за ненадобностью, даже если он просто почивает на лаврах и не приносит особой пользы.
Поэтому он изо всех сил будет защищать именно тот бренд, на курсах которого он когда-то учился или сдавал экзамены на сертификат. Вне зависимости от цены, наличия аналогичных предложений у конкурентов, нужд предприятия и такдалее.
Итак, с одной стороны, на сисадмина обрушивается мощный информационный поток в интернете и СМИ, создаваемый на деньги раскрученных вендоров, продвигающих свои бренды.
С другой стороны, любой новичок в этом деле сразу становится объектом «агрессивного убеждения» со стороны всевозможных «сертифицированных специалистов» от этих же самых раскрученных вендоров.
И обычный человек, не слишком искушенный в скрытых приемах маркетинга, просто выписывает в столбик название моделей дорогого бренда, узнает цены, оформляет данный перечень в виде служебной записки и несет на подпись генеральному директору.
Разумеется, сумма затрат при таком подходе оказывается неподъемной для малого бизнеса.
Казалось бы, все пропало. Не будет развития. Малый бизнес так и останется малым бизнесом. Или же надо идти на поклон в банк и брать кредит. Но, к счастью, существует другой путь.
Механизм поэтапных инвестиций
Как уже говорилось выше, малый и даже средний бизнес не может сразу выделить крупную сумму. Но это не значит, что денег нет совсем. Просто имеющиеся суммы недостаточны для единовременных больших платежей.
Нужна возможность вкладывать деньги понемногу.
Можно попытаться приобрести в рассрочку. Но такую привилегию готовы предоставить далеко не все дилеры.
И тут возникает еще один интересный нюанс. Ни один настоящий специалист не может до конца быть уверенным в том, что именно эта инфраструктура станет актуальной в будущем.
Информационные технологии развиваются с большой скоростью. Поэтому, если сейчас влезть в долги и закупить максимум оборудования по высокой цене, со временем все то же самое можно будет купить дешевле. Или эти устройства будут вообще не актуальны, и понадобится снова брать кредит (рассрочку) на модернизацию.
То есть нужно приобретать оборудование поэтапно, строго в соответствии с текущими нуждами и небольшим запасом на ближайшее время.
Одно дело, когда речь идет об интеграционном проекте для крупной корпорации, которая уже много лет существует на рынке. В этом случае можно опереться на опыт предыдущих проектов, проанализировать статистику, посмотреть динамику развития и так далее.
И совсем другое дело, когда закупается оборудование для малого или даже среднего бизнеса, который только встал на ноги и начал потихоньку расти. В такой ситуации пытаться что-то предсказывать, как говорится, обойдется себе дороже.
К сожалению (или к счастью), раскрученные вендоры с дорогим оборудованием, как правило, ориентированы на нужды корпораций. Здесь главное оружие – это принуждение к большим оптовым закупкам в рамках крупных интеграционных проектов. Для большой партии цена снижается, получение поддержки упрощается. А вот с небольшими поставками крупным дилерам и раскрученным вендорам работать не так интересно.
Поэтому нужно ориентироваться на производителей, которые не болеют «звездной болезнью» и предлагают оборудование с хорошими потребительскими качествами по невысоким ценам. При этом они готовы работать с небольшими партиями.
То есть поддерживают тот самый механизм поэтапного инвестирования.
В долгосрочной перспективе за счет развития и распространения технологий, появления новых предложений, а также за счет возможности маневра приобретение оборудования малыми партиями и поэтапная модернизация в итоге выходят даже дешевле, чем «выгодная оптовая закупка с запасом».
Стоимость обучения и сертификации
Компьютерная сеть любого предприятия нуждается не только в хорошем оборудовании, но и в высокопрофессиональных специалистах.
Но для постижения таинств сетевой «кухни» необходимо иметь каналы получения информации. Такая информация бывает двух типов: общего плана, касающаяся, например, международных стандартов, протоколов, механизмов передачи данных и так далее. Ее можно получить из открытых источников.
И есть специализированная информация, касающаяся только аспектов работы с конкретным оборудованием. И тут организация доставки этих знаний лежит целиком на совести производителя.
Пользуясь механизмами раскрутки своего бренда, искусственно нагнетая ажиотаж, «звездные» вендоры взвинчивают цены за обучение на специализированных курсах. Мало того, цена каждой попытки сдачи экзамена также является достаточно высокой.
Хорошо, когда организация крупная и легко может позволить себе платить большие суммы за обучение и сертификацию. Гораздо сложнее, когда большинство задач сводится до уровня «поставил и забыл, поломалось – вспомнил – починил». Для малого и среднего бизнеса обучение от дорогого вендора – задача неподъемная.
В то же время, если работать без информационной поддержки, действуя только «научным тыком», будет только хуже.
И тут большую роль играет то, как сам производитель устройств позаботился о возможностях донести информацию до потребителя. Насколько доступна база знаний, как хорошо она пополняется, какого качества документация, насколько полно в ней освещены те или иные вопросы.
При этом возможность специализированной подготовки так или иначе должна присутствовать. Нужны обучающие курсы от вендора, с тестированием результатов, необходима обратная связь с преподавателем для уточнения каких-либо специфичных вопросов и так далее.
То есть, с одной стороны, достаточно информации в открытых источниках, с другой – доступны недорогие курсы от вендора.
И всегда нужно заботиться о хорошем качестве материала и доступности для понимания.
Критерии выбора оборудования
Итак, вначале нам необходимо выбрать производителя, чье оборудование стоит недорого, при этом устройства и лицензии доступны для приобретения небольшими партиями.
Еще нужны развитая информационная поддержка и возможность обучения специалистов за невысокую цену.
Звучит как сказка?
Вовсе нет, если обратить взор не на раскрученные бренды, а на более доступных вендоров.
К сожалению, в последнее время появился еще один фактор, который сильно сужает наш выбор. Это антироссийские санкции. Малому и среднему бизнесу на этапе становления очень трудно предугадать, попадет компания под санкции илинет.
Кроме того, соблюдающий санкции производитель со временем может ограничить количество филиалов, число специалистов, а то и вовсе свернуть свое присутствие в России.
Разумеется, никто не будет отнимать купленное оборудование. Но что касается обновления прошивки, покупки запчастей, получения консультации – с этим могут быть проблемы.
Почему сейчас речь идет о выборе одного-единственного вендора? При использовании оборудования от разных производителей затраты на обучение, освоение новой техники, а также элементов управления значительно возрастают. И всегда остается риск неполной совместимости по тем или иным критериям. Поэтому лучше выбрать один надежный бренд, чем устраивать «зоопарк».
Исходя из всего вышеописанного перечень более или менее известных, проверенных временем производителей оказался не так уж и широк.
Я остановил свой выбор на четырех вендорах:
- NETGEAR,
- Huawei,
- Zyxel,
- D-Link.
NETGEAR – это американская фирма, и так как США поддерживают санкции против России, эту фирму придется из данного списка исключить. К сожалению, приходится констатировать факт, что NETGEAR фактически ушла с рынка РФ всередине 2018 года.
Huawei в последнее время сильно тяготеет к сегменту крупного бизнеса. У него относительно дорогая система обучения и сертификации и сам спектр оборудования больше ориентирован на корпорации, нежели на малые офисы.
Остаются Zyxel и D-Link.
D-Link в свое время приобрел не самую лучшую репутацию из-за некоторых неудачных моделей. Возможно, это отношение несколько предвзятое, и при отсутствии других альтернатив мы бы остановили выбор на нем.
В итоге остается Zyxel [1]. Это тайваньская фирма, то есть в санкциях не участвует, имеет неплохую репутацию (достаточно вспомнить знаменитые проводные модемы Zyxel), при этом имеет собственную систему обучения, развитую базу знаний, документацию по каждому продукту.
Обратите внимание, что мы не рассматриваем решения от отечественных производителей. Дело в том, что у российских производителей сетевого оборудования почему-то «не принято» писать хорошую подробную документацию, которую интересно читать, а также «не принято» организовывать недорогие курсы с понятной методикой обучения, внедрять свою систему сертификации и так далее.
Поэтому если в компании нет под рукой сетевого гуру-универсала, способного настроить любое оборудование без документации, то на этапе становления и развития для молодой компании лучше пользоваться хорошо документированными продуктами. Подробнее о проблемах сетевого оборудования от российских производителей можно прочитать в статье «Российское сетевое оборудование: как дела на этом фронте?» [2].
Что будем тестировать
После рассмотрения всех нюансов, касающихся выбора стратегии развития и тактики претворения в жизнь, самое время перейти к практике.
Мы определились с главным критерием – поддержка поэтапного инвестирования. То есть вендор должен допускать покупку оборудования и лицензий малыми партиями, само оборудование должно быть недорогим.
При этом должна существовать развитая система информационной поддержки.
В связи с этим у нас выбран вендор оборудования – Zyxel.
На малых и средних предприятиях часто работает только один системный администратор, на плечи которого ложится вся поддержка ИТ-инфраструктуры.
Вот и посмотрим, может ли один человек самолично собрать, установить и настроить минимальный набор оборудования: маршрутизатор, коммутатор и точку доступа, при этом не прибегая к услугам сетевого гуру, а пользуясь только штатной документацией, базой знаний, услугами техподдержки и доступными интернет-ресурсами.
Выбор оборудования
В качестве джентльменского набора был выбран комплект из защищенного шлюза, коммутатора и точки доступа (см. таблицу 1).
Таблица 1. Список оборудования для небольшой фирмы
Наименование |
Модель |
Интернет-шлюз |
Zyxel USG 60 |
Коммутатор |
Zyxel GS1920-24HP (PoE) |
Точка доступа |
Zyxel WAC6103D-I |
Схема сети для тестирования представлена на рис. 1.
Рисунок 1. Схема сети для тестирования
Во-первых, так как системный администратор у нас предположительно один, поэтому стоит сократить количество элементов для контроля.
А точка доступа Zyxel WAC6103D-I напрямую управляется из маршрутизатора USG60.
Сам маршрутизатор USG60 – это не просто шлюз до провайдера, а мощное универсальное средство обеспечения корпоративной безопасности.
Ранее в серии статей «Создаем ИТ-структуру, устойчивую к вредоносному ПО» [3, 4] была указана необходимость иметь антивирусный шлюз для защиты периметра сети. Вот USG и является таким шлюзом.
В качестве антивирусного движка используется Safe Stream II – это продукт «Лаборатории Касперского», адаптированный для применения на специализированных устройствах. Несмотря на то что в нем нет некоторых функций – карантина и глубокого эвристического анализа, – он очень неплохо отсеивает большинство вирусного и троянского мусора еще на этапе входа во внутреннюю сеть.
На борту шлюза также находятся модули антиспама и контентной фильтрации от Cyren Technology, что позволяет на начальном этапе небольшой компании не тратить деньги и другие ресурсы на специфические средства защиты.
Что касается коммутатора, то был выбран самый простой в настройке, или, как говорят, смарт-коммутатор.
Сборка и настройка
Сама распаковка и сборка много времени не заняли. Я принципиально не просил помощи и прикрутил в лабораторный серверный шкафчик все устройства самостоятельно.
И шлюз, и коммутатор крепятся к передней стороне стойки только за счет соответствующих скоб, или, как говорят системные администраторы, «висят на стоечных ушах» (см. рис. 2-5).
Рисунок 2. Шлюз Zyxel USG60 с креплением в стойку
Рисунок 3. Коммутатор Zyxel GS1920-24HP с комплектом крепления, кабелем и инструкцией
Рисунок 4. Точка доступа Zyxel WAC6103D-I
Рисунок 5. Собранный стенд до подключения
Шлюз USG60 очень легко монтируется. С коммутатором пришлось немного повозиться, и, пока закрутил все четыре стоечных болта, левая рука устала поддерживать коммутатор снизу.
Совет: если будете монтировать в одиночку, запаситесь магнитной отверткой, а стоечные клетевые гайки вставляйте заранее в ячейки, это позволит сэкономить время и не так уставать во время монтажа.
У меня гайки в стойке остались от прошлых экспериментов, поэтому таких вопросов не возникло. И я использовал не родной крепеж, а тот, который остался от прошлых устройств. Но это в принципе не так важно. Главное, что один человек это может собрать и подключить.
Примечание. Точку доступа в дальнейшем предполагается разместить на стену.
Осталось подключить кабели, в первую очередь WAN от провайдера, и настроить доступ в Сеть и Wi-Fi.
Что же касается проводной локальной сети, то в данном случае особых настроек не требуется, потому что у нас компания маленькая, пока обходимся одним VLAN и одной подсетью класса С – 192.168.1.0/24.
Настройка шлюза и управление точкой доступа
При настройке незнакомого оборудования возникает несколько стандартных вопросов.
Вопрос первый – документация. Не могу утверждать про все оборудование Zyxel, но для шлюзов серии USG [5] она просто роскошная.
Если пройти по ссылке [6] и скачать ее себе на планшет, ноутбук и так далее, то «приятное легкое чтение на ночь» обеспечено. Как-никак 1053 страницы.
Инструкция написана очень подробно, информации содержит очень много. Поэтому крайне важно уяснить для себя основные принципы, а потом благодаря этому пониманию работать будет гораздо легче.
Вопрос второй – удобство настройки. Сам процесс настройки выглядит не очень сложным. Для начала подключаемся удаленно через обычный веб-браузер по протоколу HTTPS. Адрес по умолчанию 192.168.1.1.
Если вдруг возникает неприятность вроде недоступности HTTPS-страницы в браузере из-за устаревшего протокола шифрования, то ликвидировать проблему можно, воспользовавшись либо статьей из базы знаний, либо инструкцией наHabr.com [8].
Примечание. Компания Zyxel довольно ответственно подходит к информационной поддержке своей продукции. Помимо обычных путей распространения через официальный сайт, есть еще корпоративный блог на Habr.com, статьи вкомпьютерных СМИ и так далее. Это компенсирует сухой стиль штатной документации.
Ниже описаны основные принципы настройки оборудования от Zyxel, в частности интернет-шлюзов.
Принцип 1. Упрощение по умолчанию
В устройствах, предназначенных для среднего и малого бизнеса, есть два режима настройки: «Простой режим» (см. рис. 6) и «Режим опытный пользователь».
Рисунок 6. «Простой режим» интерфейса шлюза USG60
В «Простом режиме» есть основные Мастера (Wizards) для настройки основных элементов работы.
Вот так, например, выглядит Мастер общих настроек (см. рис. 7).
Рисунок 7. «Простой режим» – общие настройки Zyxel USG60
Вот так просто можно настроить Wi-Fi (см. рис. 8).
Рисунок 8. «Простой режим» настройки Wi-Fi (Zyxel USG60)
Для большинства ситуаций достаточно «Простого режима». Если нужно что-то быстро поднять, запустить, настроить – пользуйтесь этой возможностью.
Мало того, если возникли затруднения, иногда лучше вначале создать некий черновой вариант в «Простом режиме», а потом уже вносить дополнительные изменения настроек в «Режиме опытный пользователь».
«Режим опытный пользователь» предназначен для внесения более тонких настроек.
И даже в «Режиме опытный пользователь» присутствуют Мастера для облегчения настройки тех или иных сервисов. Например, общие настройки и VPN.
Принцип 2. Объекты и правила
Основной принцип при настройке шлюзов Zyxel заключается в следующем: сначала определяются объекты, потом на базе совокупности объектов создаются правила.
Если кто-то еще помнит, был такой интересный продукт – программный шлюз от Microsoft – MS ISA 2000, 2004, 2006. Общий принцип настройки довольно похож.
Для того чтобы продемонстрировать, как работает этот принцип управления, рассмотрим конкретное правило для проброса портов. Допустим, приходящий системный администратор хочет получить доступ к консоли управления коммутатором извне.
Правило создается в разделе Политики → Политика безопасности (см. рис. 9).
Рисунок 9. Создание правила для доступа к веб-интерфейсу управления коммутатором
Практически все объекты, например WAN, LAN, уже присутствовали в системе. А вот настроек для GS1920 не было, и прежде, чем добавить правило, их надо создать. Для этого переходим в раздел Объект → Сервис (см. рис. 10).
Рисунок 10. Объект GS1920, созданный для перенаправления портов
Еще раз стоит заострить внимание. Если речь идет о каком-то действии, политике, правиле, это нужно искать в соответствующем разделе с аналогичным наименованием. Например, управление точками доступа – в разделе Беспроводная сеть → Управление точками доступа (см. рис. 11).
Рисунок 11. Управление точками доступа
А вот свойства этих точек доступа – это уже настройка объектов, в данном случае объектом является точка доступа. Например, по какому протоколу подключаться, какой ключ для доступа («пароль от Wi-Fi) – это настраивается в разделе Объект → Профили точек доступа → Список безопасности → Редактировать профиль безопасности (см. рис. 12).
Рисунок 12. Настройка ключа для доступа в Wi-Fi
Принцип 3. Все можно сделать из командной строки
У всех устройств Zyxel имеется развитый интерфейс командной строки, напоминающий Cisco IOS. Все, что делается из веб-интерфейса, может быть выполнено через CLI.
Отличия от интерфейса Cisco, конечно же, есть. Но все-таки такие команды, как:
show run
configure terminal
повторяют известный синтаксис. Поэтому, если приходилось настраивать аналогичное оборудование, сильно долго копаться при освоении нового не придется.
Руководство по использованию CLI для USG60 можно скачать здесь [10].
Настройка коммутатора
Настройка коммутаторов серии GS1920 [11] вообще не вызывает никаких затруднений. Просто подключаемся через веб-интерфейс по полученному IP (адрес для внутренней сети есть в разделе шлюза с перечнем подключенных устройств по DHCP) и смотрим, что нам позволено.
Вот так выглядит общий вид интерфейса после входа (см. рис. 13). А вот так выглядит настройка портов (см. рис. 14).
Рисунок 13. Вид интерфейса после входа в систему
Рисунок 14. Настройка портов на коммутаторе Zyxel GS1920
Благодаря нашему тестированию мы определили, что в принципе один ИТ-специалист, не являющийся опытным сетевым администратором, может в одиночку развернуть и настроить сеть для малого бизнеса на основе оборудования отZyxel.
Надо отметить, что был выбран не самый простой вариант, например, процесс настройки оборудования, предназначенного для использования в облачной среде Zyxel Nebula, будет еще проще.
Например, не пришлось бы настраивать правило для доступа к веб-интерфейсу коммутатора извне.
Но в принципе наборы Мастеров и понимание основных принципов позволяют справляться с основными задачами поддержки сети малого и среднего бизнеса.
- Официальный сайт компании Zyxel – https://www.zyxel.com/ru/ru/.
- Бережной А. Российское сетевое оборудование: как дела на этом фронте? // «Системный администратор», № 3, 2018 г. – С. 20-24. URL: http://samag.ru/archive/article/3606.
- Бережной А. Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 1. // «Системный администратор», № 6, 2010 г. – С. 48-53. URL: http://samag.ru/archive/article/984.
- Бережной А. Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 2. // «Системный администратор», спецвыпуск № 2 «Безопасность», 2010 г. – С. 18-23. URL: http://samag.ru/archive/article/1066.
- Страничка, посвященная унифицированным шлюзам безопасности Zyxel USG – https://www.zyxel.com/ru/ru/products_services/Unified-Security-Gateway-USG40-40W-60-60W/.
- Ссылка для загрузки последней документации на Zyxel USG60 – ftp://ftp.zyxel.com/USG60/user_guide/USG60_V4.32_Ed1.pdf.
- Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 1. Выбор стратегии и решения – https://habr.com/company/zyxel/blog/352734/.
- Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 2. Антивирусный шлюз USG40W от Zyxel – https://habr.com/company/zyxel/blog/358612/.
- Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 3 (статья в корпоративном блоге Zyxel) – https://habr.com/company/zyxel/blog/413977/.
- Руководство по использованию CLI для USG60 (на английском языке) – ftp://ftp2.zyxel.com/USG60/cli_reference_guide/USG60_7.pdf.
- Смарт-коммутатор с расширенным функционалом (серия GS1920) – https://www.zyxel.com/ru/ru/products_services/24-48-port-GbE-Smart-Managed-Switch-GS1920-Series/overview.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
|