Под влиянием пользовательских предпочтений корпоративные ИТ претерпели за последние годы серьезные изменения. Характерный пример — разрешение на подключение к корпоративной сети устройств, принадлежащих сотрудникам (Bring Your Own Device, BYOD). Впрочем, хотя многие в обыденной жизни (и тайком на работе) пользуются самыми разными облачными сервисами, в частности облачными хранилищами, компании до сих пор настороженно относятся к таким возможностям.

Между тем облачные сервисы помогают эффективно решать многие задачи, и одна из них — удаленное управление сетевым оборудованием в компании с распределенной структурой. Первые подобные предложения были нацелены на достаточно узкий сегмент — управление беспроводными точками доступа. Теперь на рынке имеются решения, например Zyxel Nebula, с помощью которых можно контролировать не только точки доступа, но и другое сетевое оборудование.

Из облачного центра управления Nebula Command Center можно осуществлять мониторинг и настройку Nebula-совместимых устройств Zyxel. На данный момент в линейке совместимого оборудования четыре точки доступа с поддержкой 802.11ac (плюс три гибридные точки доступа, которые могут работать и автономно), пять моделей коммутаторов (три из них с поддержкой PoE+) и три модели шлюзов с функциями обнаружения и предотвращения вторжений.

Это оборудование Zyxel стоит ненамного дороже, чем то, в котором отсутствует поддержка управления из облака, причем производитель предоставляет полную годовую лицензию на использование сервиса Nebula. Чтобы более подробно ознакомиться с основными возможностями Nebula, мы воспользовались предложением московского офиса Zyxel подключиться к тестовой сети. В принципе, то же самое может сделать любой желающий, подключившись к живой демонстрации на сайте Nebula (в режиме просмотра — без возможности администрирования).

РАЗВЕРТЫВАЕМ СЕТЬ

Если у вас уже есть учетная запись Zyxel, ею можно воспользоваться для регистрации на сайте Nebula. Сначала надо создать организацию (в нашем случае это уже было сделано). Под одной учетной записью разрешается регистрировать несколько организаций, что удобно для сервис-провайдеров, но без необходимости лучше их не плодить, поскольку эту операцию отменить нельзя (возможность удаления организаций должна появиться в следующем крупном обновлении Nebula Phase4). Создание отдельного филиала (площадка или сайт — в терминологии Nebula) для конкретной организации осуществляется в пару кликов — достаточно указать имя новой площадки и часовой пояс.

Оборудование можно добавить сразу при создании сайта, указав МАС-адрес и серийный номер. Тем, кто не знает, где их найти, помогут подсказки — как и вся процедура развертывания сети, они явно рассчитаны на неопытных пользователей сетевого оборудования. Конфигурацию оборудования можно клонировать путем копирования параметров любой из существующих площадок. Таким образом, если офисы имеют типовое оснащение, настройку достаточно произвести один раз. Сделать это можно до физической установки устройств при условии регистрации оборудования. Для ускорения процесса регистрации сразу нескольких устройств можно воспользоваться шаблонами, а уже имеющиеся устройства быстро перерегистрировать — снять с регистрации на одном сайте и добавить на другой.

Регистрацию оборудования можно отложить и сделать это позже с помощью мобильного приложения — для кого-то такой вариант проще. После входа в приложение надо выбрать организацию и офис, щелкнуть на значок «добавить» («+») и отсканировать QR-код на коробке или устройстве. Устройство автоматически добавится к указанному сайту. QR-код — небольшого размера, и, чтобы поймать его в фокус, нужна некоторая сноровка — ввести MAC-адрес и серийный номер вручную было бы ненамного дольше. Но зато отсканировать код может любой пользователь на удаленной площадке, если до отправки оборудование не было зарегистрировано.

Помимо регистрации, приложение можно использовать для просмотра статуса устройств (online/offline) и уровня их загрузки. Пока оборудование не подключено физически, его статус отображается как offline; после подключения надо немного подождать (как утверждают в Zyxel, в среднем около 3–5 мин), пока он изменится на online.

В нашей тестовой конфигурации было установлено три Nebula-совместимых устройства: шлюз NSG200, коммутатор NSW100-10P и точка доступа NWA1123-AC HD. Online-статуса точки доступа пришлось ждать больше десяти минут. Используемая модель предусматривает работу в двух режимах — автономном (обычном) и облачном. По умолчанию предполагается первый, поэтому смена прошивки (ее загрузка из облака, установка и перезагрузка ТД) заняла некоторое время. В III квартале должны появиться коммутаторы, которые тоже работают в двух режимах.

Впрочем, 10 мин первоначального ожидания — не такая большая плата за возможность удаленного администрирования по сравнению с необходимостью выезда специалиста на место. К тому же при последующем отключении и включении устройства становились доступными гораздо быстрее. (Изменение статуса происходит с некоторой задержкой и влияет только на выполнение мониторинга и администрирования устройств, но не отражается на их функционировании — так, к точке доступа можно было подключиться еще до того, как ее статус сменился на online.)

Функциональность мобильного приложения ограничивается регистрацией устройств и просмотром статуса оборудования, поэтому для полноценного управления и мониторинга придется вернуться в Command Center на сайте Nebula.

ОБЗОР ИНТЕРФЕЙСА NCC

Портал NCC имеет простой и приятный дизайн. Администратор может просмотреть сводную информацию по каждой конкретной организации (если их несколько) или площадке и более детально по каждому виду оборудования (точка доступа, коммутатор, шлюз). Управляющая панель позволяет одним взглядом оценить общее состояние и загруженность оборудования и соединений на конкретной площадке. Здесь же отображается информация о подключенных клиентах, потребляемом ими трафике и используемых приложениях (статистика по трафику приложений доступна только при наличии лицензии на IDP), а также о выделенном бюджете PoE.

Управляющая панель позволяет одним взглядом оценить общее состояние и загруженность оборудования и соединений на конкретной площадке.
Управляющая панель позволяет одним взглядом оценить общее состояние и загруженность оборудования и соединений на конкретной площадке.

Меню содержит пять основных пунктов: организация, сайт, ТД, коммутатор и шлюз. Каждый из них, в свою очередь, делится на два подменю — мониторинга и настройки. В режиме мониторинга можно просматривать статистику не только на текущий момент, но и за различные предшествующие периоды вплоть до одного года. Для определения местонахождения устройства можно посмотреть его расположение на карте Google (если привязка по IP-адресу была осуществлена некорректно, его можно расположить в нужном месте вручную). Для более точного позиционирования предусмотрена возможность добавления планов зданий.

Для определения местонахождения устройства можно посмотреть его расположение на карте Google
Для определения местонахождения устройства можно посмотреть его расположение на карте Google

Подменю конфигурации предоставляет множество опций настройки. Так, например, для точек доступа можно настроить до 8 SSID, задать расписание и привязать к каждой SSID портал регистрации (captive portal). Для аутентификации на точке доступа и портале, помимо стандартных WPA2 и WPA2 Enterprise, предлагается задействовать различные механизмы, в том числе облачную Nebula Cloud Authentication (это облачная база пользователей со своими учетными записями).

Знакомство с Zyxel Nebula
Для точек доступа можно настроить до 8 SSID, задать расписание и привязать к каждой SSID портал регистрации 

Точки доступа поддерживают режим балансировки точек нагрузки. Эта опция полезна, когда подключается много клиентов, число которых можно ограничить — например, от 1 до 127 (на один радиомодуль). При отключенной опции диссоциации и в случае превышения заданного лимита клиент будет направлен на другую точку доступа. При включенной — произойдет удаление неактивных клиентов (в зависимости от периода их неактивности) и клиентов с низким уровнем сигнала.

На коммутаторах настроек меньше. Для каждого порта можно настроить поддерживаемые VLAN, режим автосогласования скорости канала, контроль широковещательных штормов, расписание PoE и т. д. Общий бюджет PoE рассчитан на питание соответствующих устройств, но может быть распределен между оборудованием PoE и PoE+. Порт можно отключить/включить для перезагрузки подключенного устройства. Вместе с тем коммутаторы поддерживают и не самый необходимый для них функционал: фильтрацию по IP-адресам и аутентификацию клиентов на сервере RADIUS.

Наиболее широкий выбор настроек доступен для шлюза. Они заслуживают отдельного рассмотрения (см. следующий раздел). Помимо NCC, устройствами можно управлять и через Web-интерфейс (это может пригодиться в случае недоступности сервиса Nebula), но в нем поддерживается ограниченный набор настроек.

ПАТРУЛЬ ПРИЛОЖЕНИЙ

Шлюз работает в двух режимах— c поддержкой NAT и как обычный маршрутизатор. Локальные порты шлюза можно разбить на две группы и таким образом создать две подсети — каждую со своими правилами. Контроль доступа в Интернет для каждой из локальных подсетей настраивается аналогично точкам доступа. Портал регистрации включается и на самом шлюзе. Для аутентификации можно использовать Nebula Cloud Authentication, RADIUS-сервер или Active Directory.

В облако направляется только служебная информация, а пользовательский трафик передается напрямую по месту назначения. К тому же NCC позволяет легко и просто создать VPN между сайтами, так что о защищенности пользовательского трафика беспокоиться не приходится. VPN поддерживаются на всех шлюзах, но у каждой модели свой лимит на количество каналов: 10 в случае NSG50 и 200 для NSG200.

Возможны две топологии VPN — site-to-site (соединение напрямую) и hub-and-spoke (через центральный офис). Для создания VPN достаточно указать шлюзы, между которыми будут создаваться VPN, а также задать подключаемые через него порт WAN, внешний IP-адрес шлюза и внутреннюю локальную подсеть(-и). После этого туннели будут созданы автоматически (шлюзы, не поддерживающие Nebula, можно добавить вручную).

Шлюз может выполнять функции межсетевого экрана. Пока возможна настройка только исходящих правил. Функция Application Patrol («патруль приложений») сканирует трафик вплоть до седьмого уровня модели OSI и проверяет его на соответствие различным сигнатурам — например, можно заблокировать определенные мессенджеры (Telegram не блокируется, сигнатуры пока не нашли), клиентов одноранговых сетей, торренты. Всего доступно около 3000 сигнатур, то есть шлюз способен распознавать до 3000 приложений.

Кроме того, на шлюзе имеется система обнаружения и предотвращения вторжений (для ее использования нужна отдельная лицензия). Ее можно включить в пункте меню Security Filtering в режиме мониторинга (detection) и/или блокировки (prevention).

РАЗГРАНИЧЕНИЕ ПРАВ

NCC позволяет осуществлять детальное разграничение прав администраторов, которым можно назначать различные полномочия — для всей организации или только для конкретного сайта, с полными правами или только просмотра. Отдельная роль (Guest Ambassador) предусмотрена для настройки гостевых учетных записей. Помимо этого, можно предоставить инсталлятору права для регистрации оборудования. Все действия администраторов (произведенные ими изменения в конфигурации) протоколируются.

При удаленном входе NCC предлагает настроить двухфакторную аутентификацию. В качестве второго контрольного пункта можно использовать приложение Google Authenticator или электронную почту, на которую приходит ссылка для верификации.

По умолчанию все предупреждения отключены, их надо настроить вручную. Предупреждения будут отсылаться по указанным адресам электронной почты при наступлении таких событий, как недоступность устройств в течение заданного интервала времени (от 5 мин до 1 ч), установлении или разрыве канала VPN, а также при любых изменениях конфигурации.

Сессия не завершается автоматически. Это выяснилось, когда я, не выйдя из панели управления, снова открыл ее спустя несколько часов. Время неактивности, после которого сессия автоматически прерывается, можно настроить, но по умолчанию эта опция отключена. Поскольку, судя по содержанию подсказок, NCC разрабатывался в расчете на неопытных администраторов, в целях безопасности имело бы смысл выставить соответствующие ограничения.

УПРАВЛЕНИЕ ЛИЦЕНЗИЯМИ

В первый год после покупки оборудования действует полная (профессиональная) лицензия. Для простоты продления лицензии компания Zyxel ввела систему баллов (points): заказчик может приобрести необходимое количество баллов на нужный срок, рассчитав их требуемое количество с помощью имеющегося на сайте калькулятора.

Баллы перераспределяются между управляемыми устройствами, чтобы срок действия всех лицензий заканчивался одновременно. Это удобно, но следует помнить, что на использование IDP и патруля приложений требуется отдельная лицензия.

При желании можно приобрести пожизненную (бессрочную) лицензию. Розничная цена годовой лицензии на точку доступа составляет 46 долларов, а бессрочной — порядка 200 долларов. Годовая лицензия обойдется в 15–20% от закупочной стоимости оборудования. В компании приводят следующий расчет: за решение Zyxel Nebula на 50–100 пользователей в составе шлюза NSG100, 10 точек доступа NAP102, одного PoE-коммутатора NSW100-28P и трех 24-портовых коммутаторов NSW100-28 придется заплатить около 270 тыс. руб., а за продление лицензии на Nebula — примерно 47 тыс. руб.

 

Впрочем, многим небольшим компаниям лицензии не понадобятся, если им не нужны дополнительные сервисы безопасности, в частности IDP. По завершении срока действия профессиональной лицензии остаются доступны практически все возможности мониторинга и управления за исключением авторизации в облаке (поддержки Nebula Cloud Authentication). Кроме того, может быть зарегистрировано не более 5 администраторов, а глубина протоколирования событий ограничивается 7 днями.

ОБЛАЧНАЯ НЕЗАВИСИМОСТЬ

Облачный центр управления сетью Nebula Command Center предназначен для организаций с несколькими небольшими офисами. Это решение разрабатывалось в расчете на то, что подключением оборудования будут заниматься не сетевые администраторы, а обычные пользователи. Кроме того, подключение однотипных офисов значительно упрощается благодаря возможности клонирования настроек.

Конечно, для управления сетью понадобится опытный администратор, но не нужно держать отдельного специалиста в каждом офисе. Zyxel не предлагает специальных курсов по управлению сетью с помощью NCC: любой администратор, знающий английский язык на базовом уровне, может без труда разобраться в настройках, однако рекомендуется пройти курсы Zyxel Certified Network Engineer. Кроме того, всегда можно задать вопрос на форуме Nebula, где ответ дается достаточно оперативно.

Для использования преимуществ облачного управления не обязательно устанавливать все три типа устройств в каждом офисе. Например, можно ограничиться беспроводными точками доступа, причем их не обязательно подключать к Интернету напрямую — они могут располагаться за МСЭ или маршрутизатором.

В случае NCC наличие постоянного доступа в облако не столь критично, как для других облачных сервисов. Сеть будет работать в любом случае, но нельзя осуществлять настройку и менять конфигурацию оборудования. (Впрочем, как отмечалось, поддерживается удаленный доступ через Web-интерфейс с ограниченными возможностями управления).

Временные проблемы с доступностью NCC возникли в связи с блокировками Telegram. Виртуальные машины с NCC располагаются на серверах Amazon, адреса которых были заблокированы. Каждая компания должна самостоятельно оценивать соответствующие риски для своего бизнеса. Обеспечение доступа через VPN не только для администраторов, но и для офисного оборудования заметно снизит удобство использования сервиса. В настоящее время Zyxel рассматривает возможность реализации локальной версии сервиса.

Конечно, все имеет свою цену. Преимущества облачного управления доступны только для Nebula-совместимого оборудования Zyxel. Впрочем, и линейка устройств, и их функционал постоянно расширяются: на ноябрь запланирован выпуск Nebula Phase 4 со множеством новых функций.

В целом Nebula представляется нам удобной, достаточно функциональной и недорогой альтернативой для схожих предложений от известных производителей.