С разрешения владельца сегодня в этой статье посмотрим не только на функционал, но и разберём роутер NSG200 Nebula Security Gateway.
Это представитель оборудования, которое полностью заточено на работу в программно-определяемой сети SDN, в которой архитектурный уровень управления выполняется через портал nebula.zyxel.com
Давайте более детально посмотрим как NSG200 управляется и что у него под крышкой.
Управление
Подключив этот роутер к своему компу и набрав в браузере 192.168.1.1 Вы уведите вэб интерфейс. Введя логин и пароль admin/123456 он потребует Вас сменить на что-то более надёжное.
После смены пароля вы попадаете в основной интерфейс, где увидите… да практически ничего:
По сути Вы можете настроить только интернет соединение, чтобы NSG200 смог подключиться к узлу управления Nebula.
Вот там будет доступен весь функционал полноценного мощного роутера с VPN, обнаружением вторжения, контекстным фильтром и т.д.
Неужели NSG бесполезен без Nebula?
Zyxel Nebula — проверенная годами система. Огромное количество компаний закупает оборудование именно с возможностью управления через nebula.zyxel.com.
Но если Вы параноик, а руководство закупило две сотни таких устройств?
То Вам на помощь придёт полноценный command line interface (CLI).
Через него вы можете получить доступ ко всему функционалу данного устройства. Мне показалось, что через CLI можно получить даже больше, чем через Небулу, так как можно организовать автоматическое управление роутерами через Ansible.
Но всё же данной устройство заточено на управление с центрального узла. Поэтому смысла рассматривать возможности CLI в данной статье я не вижу.
Регистрируем NSG200 на Nebula.Zyxel.com
Для начала убедитесь, что из сети, которая будет использоваться как WAN на Вашем роутере, доступны адреса серверов nebula
Далее если ещё не созданы, то создаём учётную запись, организацию и площадки. Всё же держать логичную орг. структуру существенно помогает в администрировании. Затем добавляем наши устройства на площадку.
Регистрируем по серийному номеру и мак-адресу.
У меня возник вопрос: могут ли «угнать» управление устройством с нэбулы? По быстрому создал ещё одну учётку и попробовал добавить этот же роутер.
Фиг вам! Если железка привязана к Вашему аккаунту, даже если не установлена на площадку, то управление ею никто не получит. Если будет необходимость передать другому человеку, то роутер можно будет отвязать от учётки. Очень похоже на iCloud.
После привязки к центру управления, на всех устройствах этого места установки задаётся единый пароль и посмотреть/поменять его можно здесь:
А если интернет кончится?
У кого-то может возникнуть вопрос, что делать если придётся экстренно сменить провайдера, а доступа к интерфейсу nebula админ не дал? Маловероятная ситуация, но всё же стоит внимания.
Я лично вижу следующее решение: сбрасываем на заводские настройки, заходим на вэб интерфейс и настраиваем новое подключение.
Увидев сервера Nebula, роутер всосёт в себя старые настройки.
Чем можно управлять через Nebula.Zyxel.com
Да практически всем функционалом!
Настроить сеть локальную сеть? Легко!
Закрутить гайки на фаерволе? Или ограничить работу конкретных приложений и сервисов? В три клика
Хорошо зарекомендовавший себя контекстный фильтр тоже доступен:
NSG200 так же может служить контроллером HotSpot.
Можно организовать «Captive portal» (страница авторизации) для любых участников сети. То есть можно использовать для Wi-Fi любые точки доступа для хотспота, но получать идентификацию клиентов.
Например, приземлить все точки Вай-Фай и гостевые компьютеры в какой-то vlan (например, vlan 55) и его завернуть на страницу авторизации.
Кстати, Captive portal можно использовать для принудительного вывода страницы (например, корпоративного портала) при открытии браузера даже на недоменном устройстве!
VPN
Чтобы объединить офисы в локальную сеть достаточно, чтобы хотя бы один роутер имел белый статический ip адрес. Его указать, что он будет сервером. Так же легко поменять серверный vpn роутер на другой. Например, в случае с проблемой на канале в одном офисе, можно серверную функцию передать на роутер в другом офисе со стабильным интернетом.
Выбираем локальную сеть которая имеет право ходить в удалённые офисы и жмём save.
Развернуть новый филиал в другом городе/офисе проще не куда. Для этого в местных магазинах руководитель офиса покупает любую модель с Nebula, например, NSG50, втыкает в WAN порт шнурок провайдера и отправляет админу фото мака и серийного номера роутера. Если провайдер выдаёт коннект не по DHCP (что сегодня уже редко), то нужно зайти в вэб-интерфейс и настроить соединение через конкретного провайдера. Всё остальное сделает системный администратор центрального офиса.
Что внутри?
Маршрутизатор, по своей сути, является сердцем корпоративной сети. Он часто несёт роль не только «тупой НАТилки», но и другие важные функции небольшой организации, такие как контроль доступа в интернет, фаервол, ВПН и т.д. Он может даже выступать контроллером точек WiFi.
Быстрая замена часто возможна только на такой же, если имеется бэкап конфига.
По этой причине требования к аппаратной части очень высоки.
Внешний вид имеет необычный дизайн. Для установки в стандартную стойку в комплекте имеются «уши».
Метал корпуса очень толстый. Мне кажется, что прочность корпуса и «ушей» выше, чем у других вендоров, которые я «лапал» в своей практике. Думаю можно положить на него сверху какой-нибудь сервер 1U
Под крышкой нас встречает небольшая плата с очень массивным радиатором
Между процессором и радиатором толстая термопрокладка
Процессор
OCTEON II CN6230-1000BG900-AAP
Это четырёх ядерный MIPS64 процессор от Marvell. Контроллер памяти у него имеет скорость 1600 MHz
В качестве оперативной памяти используются чипы Nanya nt5cc128m16jr-ek
Каждый чип на 2gb и рассчитан на частоту 1866MHz.
В данной модели их установлено 4 штуки, но пропускная способность памяти ограничено процессором в 1600MHz. Можно сказать, что установлена с запасом прочности.
Интересное решение отдельной платой установить NAND-память на 4Gb от micron
Контроллер памяти от тайваньского производителя phison ps2251-50-f
Могу предположить, что Zyxel учёл тот факт, что NAND-память и её контроллер самое слабое звено (по ясным причинам) в данной сборке и сделал его съёмным. Таким образом ремонт данного роутера в сервисном центре чаще всего будет заключаться в заливке новой прошивки на данную флэшку и вставку в разъём на плате.
За сетевые интерфейсы отвечает realtek RTL8370MB, в спецификации которого указано, что он умеет разруливать 8+2-портовыми управляемыми свичами.
А вот сами трансформаторные модули портов от американской компании Bothhand
Каждый модуль G2PM109N2 рассчитан на обслуживание двух портов.
Заключение
Как бы консервативно настроенные админы не упирались, но развитие SDN сетей активно идёт, увлекая всё больше сторонников.
За счёт реализации похода Zyxel Nebula скорость запуска в обслуживание корпоративной сети существенно увеличивается.
Более того, можно существенно экономить на высоко квалифицированном IT персонале, так как от админов на местах требуется только смонтировать и подключить кабеля. Всё остальное сделает администратор из головного офиса.
Так же из полезных плюшек — не надо париться по поводу бэкапа конфигов. Они все хранятся на Нэбуле. Ударила молния в роутер — просто выкинул старый, установил на стену/шкаф и добавил новый роутер на туже площадку в Nebula. Всё!
Качество компонентов и сборки на оценку оставляю Вам.
Но моё мнение, что данный роутер собран очень качество и производитель не экономил на компонентах.
Не всегда подход «дёшево и долго» нужен современному бизнесу. Чаще всего скорость открытия филиалов может играть существенную роль на всём бизнесе.
Поэтому бизнес должен чётко для себя понимать, что ему подходит: быстро и надёжно, либо дёшево и долго…
P.S.: Обсудить данную статью и задать иные вопросы по оборудованию Zyxel приглашаю в Телеграм-чат @zyxelru
DoMoVoY
Изменение и хранение конфигурации через сторонний сервер — это не SDN. И частота измеряемая в Mbps — это за гранью зла. При первой ошибке я подумал, что это опечатка. Но так везде! Создалось ощущение, что автор некомпетентен.
LMonoceros Автор
Поправил. Что-то переклинило в маркировки частоты. Поправил.
А вот на это требую обоснования!
Чем подход с nebula противоречит определению:
DoMoVoY
В SDN control plane находится на отдельном сервере. На оборудовании остается только data plane, непрерывно связанный с контроллером, например по протоколу OpenFlow. Контроллер непрерывно участвует в работе оборудования и управляет созданием Flow между конечными портам. Одно из применений создание сервиса/vlan/flow (например от гипервизора виртуализации или от других ИТ систем) на конечных портах и SDN контроллер сам настраивает инфраструктуру прозрачно.
В данном случае control plane и data plane присутствуют на устройстве и оно является standalone устройством.
Этот подход zyxel больше похож на ACS управления CPE по протоколу TR-069. Сам разработчик называет эту систему как Control Center. Ни единого упоминания о SDN.