Как построить сетевую инфраструктуру целиком с управлением из «облака»?
Чем это поможет сетевому администратору?
Почему это может упростить жизнь пользователям?
Что делать, если сетевой администратор не может срочно появиться на удалённой площадке?
В этой статье расскажем о новых функциях Zyxel Nebula. Чтобы ответить на максимально большое количество вопросов, вначале идёт общая информация, а потом рассмотрим конкретный пример из разряда: «Как это работает».
Что такое облачная сеть Nebula?
Nebula Cloud Networking — это облачная среда управления сетевым оборудованием, политиками безопасности и другими элементами сетевой инфраструктуры.
Проще говоря, достаточно зарегистрировать поддерживаемое оборудование в облаке, и можно управлять точками доступа, коммутаторами и шлюзам Zyxel Nebula.
Из полезных особенностей можно отметить безопасную и доступную систему взаимодействия с устройствами на площадке. Как это работает:
- Сетевые устройства, поддерживающие управление Zyxel Nebula, устанавливают исходящее соединение до центра управления Nebula.
- Администратор, в свою очередь также устанавливает исходящее соединение до центра управления Nebula.
- Облако Nebula состыковывает эти два соединения в канал связи от администратора до устройства.
Благодаря исходящему соединению, в большинстве случаев не требуется дополнительная настройка шлюзов, сетевых экранов и так далее.
Можно легко восстановить потерянное соединение с удалённой площадкой, просто сбросив оборудование к заводским настройкам. Вариант не идеальный, но по сравнению с перелётом на другой конец земного шара может оказаться вполне приемлемым.
И, разумеется, есть набор функций управления, контроля и мониторинга.
Новая версия — новые возможности
11 апреля 2021 г., с 1:00 до 5:00 по всемирному времени, будет обновляться Центр управления Nebula до версии 11.0.
Почему это событие так важно, и мы решили написать целую статью?
Во-первых, стал шире диапазон поддерживаемого оборудования — с новым обновлением будут работать:
- точки доступа серий NAP, NebulaFlex и NebulaFlex Pro;
- коммутаторы серий NSG, GS2220, GS1920, XGS1930, GS1350 и XS3800-28;
- межсетевые экраны серий NSG и USG FLEX, которые скоро получат новую микропрограмму с поддержкой всех функций.
Теперь на базе оборудования в Zyxel Nebula можно построить целую инфраструктуру для немаленькой компании. При этом управление развитой сетью будет полностью удалённым, сетевой администратор может избежать выезда на площадку даже в момент первоначальной настройки оборудования.
Во-вторых, стало ещё проще создавать и развёртывать удалённые филиалы, менять место расположения, нанимать людей из других регионов, передавать полномочия и многие другие вещи.
Владельцы вышеперечисленного оборудования получат по email уведомления о выходе новых прошивок, а также инструкции по настройке.
Что интересного в работе с оборудованием?
Раз мы заговорили об программно-аппаратном обеспечении, сразу стоит сказать, что ещё может быть интересно в этом плане. Помимо просто возможностей включения устройств в «облако», стали доступны дополнительные возможности, которых не было ранее.
Новые функции для точек доступа
- Поддержка совместного обнаружения и реагирования (CDR) от межсетевых экранов USG FLEX для блокировки или помещения в карантин зловредных клиентов, подключающихся к WiFi. Функция доступна для моделей: WAX650S, WAX610D, WAX510D, WAC500 и WAC500H (функция проф. версии Nebula и UTM Pack в USG FLEX).
- Возможно создание зашифрованного L2 туннеля к межсетевому экрану USG FLEX (особенно полезно при удалённой работе из дома). Поддерживаемые модели: WAX650S, WAX610D, WAX510D, WAC500 и WAC500H (функция Secure WiFi в USG FLEX).
- Двухфакторная аутентификация (2FA) с Google Authenticator. Поддерживаемые модели: WAX650S, WAX610D, WAX510D, WAC500 и WAC500H.
- Программируемый SSID для создания уникальных SSID на всех точках доступа, например, в отелях (функция версии Pro Nebula).
- Упрощённый режим настройки SSID для быстрой конфигурации WiFi.
- Поддержка конфигурации протокола IEEE802.11d, позволяющая минимизировать проблему взаимодействия с беспроводными клиентами.
- Поддержка управления минимальной скоростью (WLAN Rate) для оптимизации сети WiFi.
Новые функции для коммутаторов
Разумеется, обновления вышли и для этой сферы. Среди новых полезных функций:
- Поддержка IP интерфейсов для статической маршрутизации, автоперезагрузки портов по питанию, ONVIF, SNMP и мониторинга (функция проф. версии).
- Поддержка настройки статических маршрутов (функция проф. версии).
- Поддержка протокола ONVIF для обнаружения IP камер и NVR в серии GS1350 (функция проф. версии).
- Мониторинг устройств с помощью протокола ONVIF (функция проф. версии).
- Поддержка блокировки устройств со страницы клиентов площадки.
Также для диагностических инструментов добавлена таблица MAC адресов, ARP таблица и таблица маршрутизации в реальном времени
Новые функции для межсетевых экранов
Важный момент в новой версии — поддержка межсетевых экранов серии USG FLEX с прошивкой 5.0. Как уже было сказано выше, теперь можно организовать полноценную инфраструктуру, начиная от шлюза и заканчивая точкой доступа на шлюзах с повышенной защитой. Помимо этого, есть ещё ряд интересных новшеств:
- Синхронизация профилей безопасности для настройки параметров служб безопасности на уровне организации и применения к площадкам-участникам (функция UTM Pack).
- Топология VPN c информацией о подключении площадок преобразована в конфигурацию Smart VPN, что позволяет легко создавать масштабируемые сети (области) VPN между головным офисом и филиалами (функция проф. версии, бесплатна до конца 2021 года).
- Совместное обнаружение и реагирование (CDR) для отслеживания, блокировки (или помещения в карантин) опасных клиентов, как беспроводных, так и проводных. (Функция UTM Pack, действия по блокировке и карантину для USG FLEX и точек доступа доступны в проф. версии).
- Поддержка защищённого туннелирования L2 с удалёнными точками доступа (функция Secure WiFi).
- Сводная информация об используемых приложениях в сети по всей площадке с классификацией по категориям для лучшего контроля (функция UTM Pack или NSS Pack).
- Контентная фильтрация по DNS (функция UTM Pack).
- Поддержка SecuReporter для аналитики и отчётов служб безопасности в серии USG FLEX (функция UTM Pack).
Общие изменения в Zyxel Nebula
Изменения коснулись и Zyxel Nebula в целом.
Введена новая модель лицензирования по устройствам, которая упрощает управление лицензиями, и отменена старая модель лицензирования с общим сроком действия.
Добавлена новая версия Nebula Plus Pack с наиболее часто запрашиваемыми проф. функциями.
Добавлена новая лицензия Nebula MSP Pack для доступа к межорганизационным функциям, таким как портал организаций (раньше был в базовой версии) и брендинг (раньше был в проф. версии). Лицензия активируется на учётную запись администратора.
Для Nebula MSP Pack добавлены новые функции «Команда администраторов» и «Межорганизационная синхронизация конфигураций».
Добавлен наборы функций для создания группы организаций, позволяющий легко управлять двумя или более проф. организациями в группе (функция проф. версии).
Период мониторинга для базовой (бесплатной) версии теперь составляет 24 часа; максимальное число (активных) учётных записей в облачном сервере аутентификации теперь равно 50.
Для базовой (бесплатной) версии добавлен экономный режим, отключающий сбор статистики (кроме логов), если администратор не обращался к организации более 1 месяца.
Переработана облачная аутентификация. Теперь легче контролировать доступ учётных записей к сети.
Добавлена двухфакторная аутентификация (2FA) для сервера облачной аутентификации. 2FA можно включить индивидуально, например, на определённом SSID.
Добавлен журнал событий площадки для отображения действий, производимых на площадке.
Появилась новая страница для отображения всех клиентов площадки, подключённых различным типам устройств.
Расширены настройки оповещений для многих параметров, связанных с USG FLEX.
Рассмотрим конкретный пример
Обычно сетевая инфраструктура состоит из набора схожего оборудования: столько-то коммутаторов того или иного типа, точек доступа и шлюзы для доступа в Интернет (один или несколько).
Поэтому остановимся на таком списке:
- межсетевой экран USG FLEX 200;
- 12-портовый мультигигабитный коммутатор L2+ (PoE) — XS1930-12HP
- двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX;
- двухдиапазонная точка доступа NWA1123ACv3 (802.11aс Wave 2).
Рисунок 1. Межсетевой экран USG FLEX 200.
Рисунок 2. 12-портовый мультигигабитный коммутатор L2+ (PoE) — XS1930-12HP.
Рисунок 3. Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX.
Рисунок 4. Двухдиапазонная точка доступа NWA1123ACv3 (802.11aс Wave 2).
К сожалению, в рамках одной статьи невозможно описать все функции Zyxel Nebula. Их реально очень много (после обновления стало ещё больше).
О некоторых нюансах мы уже писали в статьях ранее, например, Построение сетевой инфраструктуры на базе Nebula. Часть 1 — задачи и решения и Построение сетевой инфраструктуры на базе Nebula. Часть 2 — пример сети (см. также раздел Полезные ссылки в конце статьи), детальная процедура настройки Настройка smart-оборудования Zyxel в автономном и «облачном» режимах
О шлюзах USG FLEX 200 есть дополнительная информация в статье Убираем старые проблемы защиты крупных и малых сетей
О коммутаторах более подробно можно прочитать в статье Использование мультигигабитных коммутаторов как философия компромисса
Для информации. Помимо работы в режиме управления из облака, все устройства Zyxel могут использоваться автономно с управлением через локальные инструменты управления.
Сейчас это оборудование зарегистрируем в Nebula и рассмотрим некоторые возможности для работы.
Регистрация оборудования
Zyxel Nebula изначально проектировалась для удалённой работы, для того, чтобы освободить сетевого администратора от поездок на удалённую площадку.
Поэтому существует два варианта регистрации оборудования: через мобильное приложение с вводом QR кода и вручную через сайт.
В приложении Nebula Mobile отсканировать QR код и ввести устройство может, например, рядовой сотрудник техподдержки или даже кладовщик. Новая единица сетевой инфраструктуры после включения или перезагрузки становится доступна для удалённого сетевого администратора.
Если под рукой нет подходящего смартфона или планшета, или использовать его неудобно, можно остановиться на варианте с ручным вводом серийного номера и MAC адреса. Достаточно узнать серийный номер и MAC, которые написаны и на самом оборудовании, и на упаковочной коробке. Далее переходим в раздел «Площадка — Конфигурация — Добавление устройств» и нажимаем кнопку «Добавить».
Рисунок 6. Площадка — Конфигурация — Добавление устройств.
Примечание. После регистрации устройства (по QR коду или серийному номеру + MAC) информация о нём сразу добавляется в организацию (площадку). Перезагружать устройство не нужно, остаётся только подождать, когда оно проверит доступ к облаку (это может занять до 5 минут), проверит регистрацию, само перезагрузится в облачный режим управления. Если же перезагрузить вручную, то после загрузки устройство сразу проверит доступ к облаку — в некоторых случаях это может ускорить запрос, но делать это не обязательно. Важно, чтобы та или иная единица сетевого оборудования сразу получила правильные настройки от DHCP-сервера (включая Default Gateway), или указать вручную адрес со шлюзом для доступа в Интернет.
Начало работы
После подключения устройства, находящиеся онлайн, доступны для настроек. Например, посмотреть список точек доступа можно в разделе «Точки доступа — Мониторинг — Точки доступа».
Рисунок 7. Список подключённых точек доступа.
И можно выполнять начинать работу по настройке.
Рисунок 8. Zyxel Nebula — Обзор сетей (SSID).
Аналогичным способом можно посмотреть перечень другого оборудования, например, «Коммутаторы — Мониторинг — Коммутаторы».
Рисунок 9. Раздел коммутаторы.
И далее начинать работу, например, посмотреть состояние портов в «Коммутаторы — Конфигурация — Порты».
Рисунок 10. Управление портами коммутаторами.
Вместо заключения
Вышедшее обновление Nebula фактически является важным шагом на пути развития всей экосистемы Zyxel. Помимо новых функций и расширенной поддержки оборудования, изменилась идеология работы в сторону дальнейшего развития комплексных решений «под ключ».
В следующей статье мы продолжим рассказ об инфраструктуре на базе Zyxel Nebula.
Полезные ссылки
- Telegram chat Zyxel
- Форум по оборудованию Zyxel
- Много полезного видео на канале Youtube
- Преимущества USG FLEX
- Полезная статья в КБ о USG FLEX
- Перенос лицензий с устройств USG на устройства USG FLEX Series (видео)
- Служба поддержки Nebula для пользователей проф. версии Nebula (английский язык)
- Форум Zyxel Nebula (можно создать запрос)
- Техподдержка Zyxel
- Nebula или RADIUS на примерах — что выбрать для персональной аутентификации для точки доступа
- Настройка WPA2 Enterprise c RADIUS
- Сверхновое облако Zyxel Nebula — экономичный путь к безопасности?
- Zyxel Nebula и рост компании
- Построение сетевой инфраструктуры на базе Nebula. Часть 1 — задачи и решения
- Построение сетевой инфраструктуры на базе Nebula. Часть 2 — пример сети
- Zyxel Nebula — простота управления как основа экономии
- Не боимся «облаков»
- Маршрутизируем и защищаем сеть
- Межсетевой экран USG FLEX 200;
- 12-портовый мультигигабитный коммутатор L2+ (PoE) — XS1930-12HP
- Двухдиапазонная точка доступа 802.11ax (WiFi 6) NWA210AX;
- Двухдиапазонная точка доступа NWA1123ACv3 (802.11aс Wave 2).
- Журнал LAN: Знакомство с Zyxel Nebula
bibliary
А потом утечка из облака и твоими устройствами начинают управлять все кому не попадя :(
Zyxel_Tech Автор
Во-первых, хранятся только данные, необходимые для непосредственного выполнения тех или иных действий. «Чужого нам не надо».
Во-вторых, хранимые данные в Nebula:
1. Анонимизируются;
2. Шифруются.
Стоит также отметить, что «необлачный» метод управления, когда администратор напрямую подключается к удалённым устройствам, также имеет свои минусы в плане безопасности. Например, в случае потери ноутбука или изъятии рабочего ПК все сохраненные данные переходят в чужие руки.
Uzer44
Не соглашусь. Реализация от hp с оболочкой hpe imc который доступен только в корпоративной сети. Ну а как попасть в такую сеть есть масса решений вполне себе доступных и относительно безопасных
The_Kf
А потом у тебя ложится канал в интернет (или облако) и ты не можешь ничего починить/управлять
lovely
Zyxel_Russia
Связь не оборвется, вернее с небулой оборвется, но вся сеть будет работать на прежних настройках, таким образом будет время подумать что делать, да управлять устройствами можно будет попрежнему через ssh. Но крайне маловероятно что заблокируют сервера амазон, тем более не в америке, а в ирландии, на них столько сервисов в рунете крутится, что это будет катастрофа.
У нас были сложности с доступом к облаку у людей (клиентов) из-за «ковровых» блокировок IP адресов (по телеграму). Выводы нужные сделаны, в прошлый раз меняли IP, теперь знаем что и как делать. Решение будет быстрым.