В предыдущей статье мы рассмотрели общие вопросы построения сети с облачным управлением Zyxel Nebula. В этот раз подойдем к вопросу с практической стороны и создадим пример небольшой сети для средней компании, используя исключительно оборудование с управлением Zyxel Nebula.


Немного теории


Современная локальная сеть редко представляет собой однородную структуру. Для лучшей организации и адаптации к нуждам потребителей сетевые устройства подразделяются на несколько основных групп согласно выполняемой роли. Поэтому прежде чем приступим к разработке сетевой инфраструктуры, будет полезно вспомнить основные уровни организации корпоративной сети.


Уровень доступа. Согласно названию, служит для доступа пользователей к сети. Фактически, на этом уровне пропускная способность более мощных «верхних этажей» сети делится между отдельными пользователями. Поэтому для подключения пользовательских устройств используются коммутаторы с не самыми скоростными портами, но с Uplink, соответствующими скорости более высоких уровней, например, уровня распределения (Distribution).


Помимо коммутаторов на данном уровне располагаются и точки доступа WiFi, через которые пользователи с мобильными устройствами подключаются по беспроводным каналам.


Уровень распределения (Distribution). Помимо подключения коммутаторов уровня доступа, на этом уровне выполняется множество других вещей, таких как разделение пользователей на VLAN, распределение доступа на уровне контрольных списков (Access Control List), поддержка QoS и так далее. Соответственно, применяется оборудование с разнообразными возможностями управления: коммутаторы L3 или L2+


Уровень ядра сети. На данном уровне организовано взаимодействие между крупными сегментами сети, уже сформированными на уровне распределения. Несмотря на красивое название «Ядро Сети», часто на этом уровне работают простые коммутаторы со скромными возможностями управления (L2), но поддерживающие высокоскоростные соединения для передачи информации с максимально возможной производительностью.


Серверный уровень. Иногда в литературе можно встретить упоминание отдельного уровня, предназначенного для подключения серверов. Из-за роста объемов обрабатываемых данных возникла необходимость выделить серверное и часть сетевого оборудования в отдельный уровень с целью более гибкого управления, в том числе выделения широкополосных каналов.


Уровень Интернет-шлюзов. На практике добавляется ещё один уровень — в виде одного или нескольких каналов для взаимодействия локальной сети с внешним миром. На этом уровне происходит тщательная фильтрация трафика с целью защиты от вредоносного кода, спама, фишинговых вложений и так далее. Также на этом уровне часто располагаются системы шифрования для поддержания защищенных VPN каналов между локальными сетями и отдельными клиентами.




При создании небольших сетей в целях экономии и упрощения архитектуры объединяют три «верхних» уровня: агрегации, ядра сети и серверный. Это позволяет вместо «послойного разделения» использовать один или несколько «мощных и умных» коммутаторов, закрывая тем самым все вопросы по управлению и скоростному обмену. Назовем этот объединенный слой условно «центральным узлом сети». Этот упрощенный вариант и будет описан в качестве примера.


Различие Nebula Native, Nebula Flex или Nebula Flex Pro


На странице сайта Zyxel, посвященной Nebula, можно увидеть, что устройства условно распределены по трем разделам.


Так что же означают эти таинственные слова: Nebula Native, Nebula Flex или Nebula Flex Pro? На самом деле всё просто.


Native — это устройства которые могут работать только в облачном режиме (и в комплекте идёт подписка на проф. версию на 1 год, для точек доступа — на 3 года).


Nebula FLEX — могут работать в автономном и облачном режиме (в комплекте подписок нет)


Nebula FLEX PRO — могут работать в автономном и облачном режиме (а точки доступа — ещё и с аппаратным контроллером), и в комплекте идёт подписка на проф. версию на 1 год


Других отличий для работы с Nebula Native, Nebula Flex или Nebula Flex Pro нет. Все устройства прекрасно интегрируются в одну рабочую среду, без проблем взаимодействуют друг с другом и управляются из единого центра.


Когда заканчивается подписка, набор функций из Pro-Pack отключается или становится недоступным для изменений. Поэтому за него не нужно платить. В то же время Zyxel, в отличие от некоторых других вендоров, не придерживается политики «штрафов за пропуски», когда при возобновлении подписки необходимо оплатить весь пропущенный период. В случае с Nebula Pro-Pack, как и с другими сервисами от Zyxel покупатель платит только за фактически предоставленную и потребленную услугу.


Описание примера сетевой инфраструктуры


В данном случае мы создаем локальную сеть, рассчитанную на длительную работу без непосредственного участия администратора. Проще говоря, ИТ специалист на площадке отсутствует или приходит по вызову. Основное управление осуществляется через облачную инфраструктуру. Это накладывает некоторый отпечаток на конфигурацию оборудования.


Мы заранее предполагаем, что регулярно проводить модернизацию и заниматься проблемами быстродействия особо некому. В данном случае выгоднее заложить некоторый резерв аппаратных ресурсов. Проще говоря, сделать запас «на вырост». Поэтому не «жадничаем», а по возможности выбираем более мощное оборудование, пусть даже более дорогое, в расчете, что оно окупится благодаря снижению стоимости владения.


Допустим, у нас сеть для средней компании, которая демонстрирует устойчивое развитие, но при этом число людей в штаб-квартире кардинально не увеличивается. Основной рост идет за счет филиалов и внешних точек присутствия бизнеса. Если всё переводить на число пользователей в сети, то будем считать, что в нашей сети работает около 150 человек, это число со временем увеличится, но не стремительно.


Собственно, сейчас мы строим сеть для центрального офиса такого «крепкого середнячка».


Итоговый вариант нашей сети показан на рисунке 1.



Рисунок 1. Пример сети с управлением через Nebula.


Начнем с Интернет-шлюза. Операция по замене оборудования в целях модернизации Интернет-шлюза: демонтажу старого, установке и настройке нового устройства занимает некоторое время, в течении которого люди остаются без связи с внешним миром. Поэтому мы выбираем достаточно мощный вариант — шлюз безопасности Zyxel Nebula NSG300.



Рисунок 2. Внешний вид Zyxel Nebula NSG300.


Это верхняя модель линейки шлюзов безопасности с управлением из облака Nebula. По сравнению со своими «младшими братьями» он представляет собой сугубо серверную «железку»: имеет уровень производительности для VPN соединений 750 Mbps, пропускная способность межсетевого экрана SPI — 40000 Mbps, максимальное число одновременных сессий — 500 000. По другим показателям также зарезервирован достаточно хороший запас пропускной способности. В принципе, все модели шлюзов NSG (с облачным управлением Nebula) имеют полный набор функций защиты: Application Patrol, Intrusion Detection and Prevention (IDP), управление полосой пропускания, Content Filtering, встроенный антивирус. Также все модели имеют функцию WAN Failover — при потере канала через основное соединение он автоматически перенаправит трафик на резервное.


_Примечание. Помимо линейки NSG в продаже есть шлюзы серии USG FLEX, в первом квартале 21 года в них будет добавлена поддержка Nebula, и линейка шлюзов для организации сети с облачным управлением значительно расширится._


Следующим важным моментом будет выбор коммутатора для центрального узла. Поскольку мы отказались от классической многоуровневой схемы, и, следовательно, от предельно узкой специализации оборудования на каждом уровне, то выбранные модели должны демонстрировать крайне разносторонние возможности для сетевых подключений.


В этом плане отлично подходит 28-портовый управляемый коммутатор 10GbE L2+ Zyxel Nebula Flex Pro XS3800-28. Что привлекательного в данной модели?


В первую очередь это большое количество различных портов для разных целей.


Таблица 1. Распределение портов коммутатора Zyxel Nebula Flex Pro XS3800-28.


Порты Количество
100M/1G/2.5G/5G/10G Ethernet (RJ-45) 4
Multi-Gigabit combo (100M/1G/2.5G/5G/10G) RJ-45/(1G/10G) SFP+ 8
1G/10G SFP+ 16
Общее число портов 28

Как видим, присутствуют порты, что называется, на любой вкус.


Ещё один важный момент: два источника питания (100 — 240В переменного тока, 50/60 Гц). Для коммутатора центрального узла, от работоспособности которого зависит очень многое, это достаточно очевидное преимущество.



Рисунок 3. 28-портовый управляемый коммутатор 10GbE L2+ XS3800-28


Что касается реализованных функций, как в плане производительности, так и обеспечения отказоустойчивости и безопасности, то их число весьма впечатляет. Посмотреть перечень всех функций можно на страничке продукта.


Уровень доступа мы начнем с рассмотрения точек доступа WiFi. Ниже приводится список критерием для отбора.


  1. Как было сказано выше, мы используем современное оборудование, чтобы сократить работы по модернизации в будущем. Поэтому приветствуется поддержка самых современных стандартов, включая WiFi 6.


  2. Будем руководствоваться принципом, что большим числом точек легче «закрыть» необходимую площадь для распространения сигнала WiFi. Помимо улучшения качеств связи, такой подход снижает вероятность и «комфортность» подключения к корпоративной сети WiFi за периметром помещения (здания), что повышает уровень безопасности. Подробнее об этом можно прочитать в статье Особенности защиты беспроводных и проводных сетей. Часть 2 — Косвенные меры защиты.


  3. Так как сеть строится в расчете на максимально возможное удаленное управление, то поддержка питания через PoE является важной функцией, благодаря которой мы можем перезагрузить точку доступа удаленно. Даже если вдруг точка доступа по какой-то причине зависнет, например, из-за активных внешних помех, то перезагрузка по питанию вернет её в рабочее состояние.



Исходя из вышеописанных требований поступаем по принципу: лучше иметь больше недорогих точек доступа, распределенных по всей рабочей площади, чем считанное количество мощных и дорогих. Для эффективного использования большего числа точек применяются технологии Auto Healing, BSS Coloring и так далее (см. Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты).


Также, используя функцию Enhanced Open для WiFi 6, можно организовать гостевую сеть и тем самым решить вопрос с предоставлением временного доступа в Интернет, например, для клиентов или партнеров на переговорах.


В итоге выбор пал на модель Nebula Flex NWA110AX. Это двухдиапазонная точка поддерживает стандарт 802.11ax (WiFi 6) и питание PoE (802.3) с макс. энергопотреблением 17 Вт (12В постоянного тока, 1.5А). Связь с сетью осуществляется через интерфейс Gigabit Ethernet. Разумеется, это не самый быстрый вариант подключения для AP на данный момент, есть и точки доступа с мультигигабитными портами, например, Zyxel Nebula Flex Pro WAX650S, однако модели со скоростными интерфейсами стоят дороже. Но раз мы решили поставить больше точек, то можем обойтись без высокой скорости проводного подключения для каждой точки в обмен на бюджетное решение.



Рисунок 4. Точка доступа Nebula Flex NWA110AX.


Следующим этапом является подбор оборудования для коммутаторов уровня доступа.


Для нашей сети среднего предприятия подойдет гигабитный коммутатор с Uplink 10 Gigabit Ethernet. Так как у нас точки доступа питаются через PoE, то коммутатор для связи с ними должен обеспечивать и эту функцию. Коммутатор, который мы выбрали для центрального узла — Nebula Flex Pro XS3800-28, не поддерживает PoE. Поэтому точки доступа будут подключаться к коммутаторам уровня доступа.


Есть один нюанс: если сеть достаточно разветвленная и группы пользователей располагаются далеко друг от друга, то лучше использовать больше коммутаторов с небольшим числом портов, что позволит не переплачивать за более дорогие модели. Если же пользователи размещены компактно, тогда выгоднее использовать коммутаторы с большой плотностью портов. Дело в том, что два отдельных коммутатора обойдутся дороже, чем один на удвоенное количество портов, и это, не считая затрат на организацию Uplink, размещение самих коммутаторов: коммутационные шкафы, электрические розетки или PDU и так далее. Если все сидят в одном «опенспейсе», то использование множества коммутаторов на малое число портов выглядит нерационально.


Поэтому предлагаем сразу две модели коммутаторов Nebula Flex Gigabit SFP+ для Uplink, имеют поддержку PoE. У Nebula Flex XGS1930-52HP: XGS1930-28HP на 24 порта для подключения пользователей и XGS1930-52HP на 48 портов соответственно. Обе модели имеют по 4 порта 10 несколько выше производительность. Сравнительные характеристики можно посмотреть в таблице на сайте Zyxel.





*Рисунок 6. Гибридный Smart L2+ коммутатор Zyxel NebulaFlex XGS1930-52HP


Таким образом, точки доступа Nebula Flex NWA110AX подключаются к коммутаторам Nebula Flex XGS1930-28HP или Nebula Flex XGS1930-52HP, получают питание и имеют возможность аппаратной перезагрузки через PoE. И на коммутаторах, и на точках доступа — гигабитные порты. Так как мы приняли решение использовать концепцию с большим числом недорогих точек доступа, то несмотря на гигабитное (1Gbps), а не мультигигабитное (2.5Gbps или 5Gbps) подключение точек доступа к проводной сети, проблема узкого места не является особенно острой.


Заключение


Данная схема имеет все основания быть реализованной при подходящих условиях. Однако некоторые нюансы так и остались «за кадром». Например, ситуации, когда нельзя протянуть кабель — в этом случае приходится использовать функцию WiFi Mesh, для этого лучше выбрать точки доступа со смарт-антенной 4x4.


Однако целью данного эскизного наброска было показать возможность организации сетевой инфраструктуры, сверху до низу управляемой из облака Nebula. Надеемся, что этот пример окажется полезным.


Полезные ссылки


  1. Telegram chat Zyxel
  2. Форум по оборудованию Zyxel
  3. Много полезного видео на канале Youtube
  4. Построение сетевой инфраструктуры на базе Nebula. Часть 1 — задачи и решения
  5. Шлюзы безопасности с управлением из облака Nebula
  6. 28-портовый управляемый коммутатор 10GbE L2+ XS3800-28
  7. Гибридные Smart L2+ коммутаторы Zyxel NebulaFlex Серия XGS1930 с 4xSFP+
  8. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA110AX
  9. Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты
  10. Особенности защиты беспроводных и проводных сетей. Часть 2 — Косвенные меры защиты
  11. Межсетевой экран USG FLEX