Zyxel IAP500BE — промышленная точка доступа класса Wi‑Fi 7, ориентированная не столько на типовой офисный сценарий, сколько на работу в технически сложной среде, где на первый план выходят стабильность, отказоустойчивость и предсказуемость поведения оборудования.

Zyxel CX4800-56F - это высокоплотный L3-агрегационный оптический коммутатор, в котором компания впервые применила 100G-порты: 8 аплинков QSFP28 100GbE дополняют 48 слотов SFP+/SFP28 с поддержкой 10/25GbE, образуя единый 56-портовый стек для агрегации трафика в кампусных и датацентровых фабриках. При паспортной коммутационной матрице до 4 Тбит/с и скорости форвардинга до 2 млрд пакетов в секунду, данный коммутатор уверенно закрывает сценарии высоконагруженных магистралей, где критичны не только полосы пропускания, но и задержки.

Tailscale теперь можно централизованно разворачивать на шлюзе безопасности. Расскажем как развернуть Tailscale и Headscale на Zyxel USG Flex500, пробросить внутренние сети, организовать выходной узел (exit node), а также использовать уникальные возможности - от публикации локальных сервисов до mesh-маршрутизации через NAT и firewall.

Это модель под Wi-Fi 7 с упрощённой радио частью, имеющей антенную формулу 2x2:2 и ширину канала до 240 МГц, что даёт общую скорость «по воздуху» – до 5.1 Гбит/с. Имея 2.5-гигабитный сетевой порт, точка доступа вполне может потянуть такие сложные задачи, как бэкап клиентских ноутбуков, синхронизация медиа-архивов, просмотр потокового видео в любом разрешении, и в общем, всё то что требует передачи больших объёмов данных «по воздуху», не очень требовательно к задержкам и частоте эфира.

В современных беспроводных сетях точки доступа взаимодействуют между собой, обмениваясь клиентами для балансировки нагрузки и переключения подвижного абонента на станцию с более высоким уровнем сигнала. Чтобы для клиента процесс переключения между точками доступа оставался незаметным и не приводил к паузе или разрыву связи звонка через мессенджер, применяются протоколы 802.11k и 802.11r, отвечающие за переход между беспроводными станциями и сохранение при этом аутентификации.

Суммарная пропускная способность ZyXEL WBE530 составляет 10.8 ГБит/с, но ясно-понятно, что достигается она в идеальных условиях, когда часть клиентов "не заходят в провод", а обмениваются трафиком через Wi-Fi. Точка доступа имеет два сетевых интерфейса 2.5 Гбит/с, питание по PoE с мощностью до 21 Вт и 3 радиомодуля с 6 потоками (2х2 для 2.4 ГГц, 2x2 для 5 ГГц и 2x2 для 6 ГГц диапазонов), поддерживается ширина канала 160 и 320 МГц для 5 и 6 ГГц диапазонов.

Модель NWA210BE – это модель стандарта Wi-Fi 7 среднего ценового диапазона, она имеет 2 радиомодуля с формулами 2x2:2 для 2.4 ГГц и 4x4:4 для 5 и 6 ГГц. Диапазоны 5 и 6 ГГц управляются одним радиомодулем BandFlex, поэтому одновременно может работать только один из них. NWA210BE поддерживает ширину канала в 320 МГц, что позволяет добиваться высокой скорости «точка-точка», что может быть востребовано при построении беспроводных мостов или подключении NVR камер высокого разрешения.

Keenetic KN-3911 - это высокоскоростная модель для тех счастливчиков, которых провайдеры подключают на скорости выше 1 Гбит/с, и кто хочет использовать для доступа в интернет нормальное устройство, с постоянно обновляемой прошивкой, быстрым Wi-Fi и поддержкой всех современных туннелей.

Следуя рекомендациям «best practice», различные по назначению сетевые устройства, такие как IoT, рабочие компьютеры, смартфоны, гостевые устройства, должны всегда находиться в разных подсетях, и в идеале – терминироваться через общий шлюз безопасности, однако в некоторых случаях, например, когда шлюз не справляется с потоком трафика, распределение по подсетям можно возложить на сетевой коммутатор, чтобы разделять разные устройства по VLAN-ам, разделяя таким образом доступ к разным сетям уже на надёжном и быстром L2 уровне. Здесь возникает вопрос, каким образом справиться с большим парком устройств, чтобы не прописывать правила для каждого индивидуально, и отказаться от небезопасной авторизации по MAC-адресу?

Zyxel USG Flex 100AX – это шлюз безопасности начального уровня, который предназначен для установки в небольших офисах и филиалах, в тех случаях, когда в компании есть жёсткие требования безопасности или имеется сложная многоранговая сеть, в которой неплохо было бы ограничить доступ сотрудников к разным социальным сетям и ненужным ресурсам и иметь дополнительную линию защиты сетевого периметра.

Перед нами довольно интересный класс L3 коммутаторов: мультигигабитные PoE модели с относительно небольшим числом портов, средним по современным меркам бюджетом PoE, но 10-гигабитными аплинками. Интересны они тем, что 2.5G PoE + 10G производитель уместил в компактном 9-дюймовом рэковом корпусе с бесшумным вентилятором, и такой свитч можно устанавливать дома, в 1-комнатном офисе, под фальш-потолком или в узких телекоммуникационных шкафах.

Мы возьмём два коммутатора: тайваньский брендовый Zyxel и китайский аналог от малоизвестного производителя и посмотрим на различия в конструкции, и на что они влияют, чтобы ответить на вопрос - имеет ли смысл переплачивать за конструктивные особенности?

Типичная атака через IoT выглядит следующим образом: устройство подключается к зловредному интернет-ресурсу напрямую или через собственный VPN, скачивает и устанавливает на себя зловредный код, после чего начинает быть либо частью крупной ботофермы для атак на сторонние ресурсы и использования в качестве резидентного прокси, либо просто шпионит за вашей сетью, пытаясь перехватить какие-то данные, вытащить информацию с открытых ресурсов или наносит вред любым другим способом. Защитить свою сеть от возможных IoT-атак несложно.

Дашборд беспроводной сети не только позволит вам отслеживать загрузку точек доступа, их температуру и иные показатели, но и обмениваться графиками и диаграммами с коллегами или службой поддержки. С помощью Grafana можно настроить мониторинг устройств Keenetic, экспортируя данные через Web API.

Поговорим о преимуществах технологии сегментной маршрутизации на базе IPv6, вытесняющей собой протоколы распределения меток LDP и резервирования сетевых ресурсов, RSVP на примере 10-гигабитного маршрутизатора для малого бизнеса и рассмотрим как технология FlexE помогает поддерживать гарантированный уровень полосы для клиентов.

Если у вас в компании используется Zabbix для мониторинга инфраструктуры, вы можете интегрировать в эту платформу роутеры и точки доступа Keenetic, следуя нашей инструкции. Это существенно облегчает обслуживание сети и расследование инцидентов.

Рассматриваемая модель представляет собой 28-портовый коммутатор, в котором 4 порта – это гигабитная оптика для Uplink, а остальные 24 порта – это 1-гигабитные RJ45 PoE с общим бюджетом питания 370 Вт, причём каждый из этих портов может работать как в режиме 802.3af (до 15.4 Вт), так и в режиме 802.at (до 30 Вт). При интеграции в проект следует учитывать некоторые особенности данного коммутатора.

Не так давно компания Human Security выявила целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями. Заражёнными оказались не только Android-ТВ приставки, но и планшетные ПК, носимые устройства и даже автомобили. Некоторые IoT устройства даже могут быть заражены вирусами или троянскими программами уже на этапе их производства или при продаже, и поскольку без IoT сегодня нельзя представить современную компанию, важно правильно защитить свою сеть.

Одной из наиболее востребованных функций стека является объединение портов из разных коммутаторов в общие LAG группы, чтобы получалась отказоустойчивая сеть, выдерживающая поломку n-(n-1) свитчей. Здесь хочу обратить внимание на то, что современные корпоративные коммутаторы Zyxel поддерживают объединение до 8 портов в транк. Так что если в вашей сети могут вылететь 7 коммутаторов из 8 - ну что ж, сеть продолжит работать.

Одним из способов защиты веб-сервиса может быть ограничение доступа к нему по IP, в том числе по GeoIP, на основе расположения пользователя. Мы настроим защиту без использования платных сервисов, без Maxmind, без регистрации и SMS