Быстрая настройка беспроводной сети через Zyxel Nebula при развёртывании в филиалах
Рассмотрим типовой случай: крупная торговая сеть открывает сотню новых магазинов, в каждом из которых планируется использование IoT-инфраструктуры с использованием Wi-Fi 6. Для того, чтобы облегчить настройку и ввод в эксплуатацию оборудования, проще говоря, чтобы сисадмин не мотался по всем 100 магазинам, можно перевернуть процесс развёртывания с ног на голову: сначала настроить сеть, а потом уже прокладывать кабели и монтировать устройства. Сегодня ZyXEL предоставляет вам такую возможность при использовании сервиса Nebula.
Вкратце напомню, что Nebula Control Center - это централизованный облачный сетевой контроллер, с помощью которого можно конфигурировать сети, связывая между собой устройства, даже не зная их адресов. Прекрасный пример такой оркестрации мы рассматривали в статье о настройке различных VPN-сценариев через Nebula. Одним из плюсов использования облачного контроллера в сложной корпоративной среде является то, что вы вообще не касаетесь правил Firewall, маршрутизации и проброса портов, а значит не можете случайно заблокировать устройствам доступ в сеть, после чего придётся сбрасывать девайс к заводским настройкам. Даже если вы ошибётесь в правилах для LAN, у вас всегда останется доступ к устройствам через WAN, и львиную долю возни вы оставите для своих конкурентов, которые по-старинке настраивают сеть через CLI или WebUI.
Шаг 1. Регистрация устройств в системе
Итак, давайте рассмотрим типичный сценарий, при котором компания планирует развёртывание Wi-Fi 6 инфраструктуры на периферийных объектах. В идеальном случае поставщик снабжает товар XML-файлом со списком серийных номеров устройств, чтобы покупателю легче было добавить в Nebula Control Center большое количество устройств, если речь идёт о десятках или сотнях единицах оборудования.
Но если такой список не предоставили, системный администратор перед тем, как распределить оборудование по монтажным группам, со смартфона сканирует QR-код на каждой упаковке, добавляя устройства в свою организацию через приложение Nebula Control Center.
Шаг 2. Создание пользователей и сетей
Пока новые устройства едут на места постоянной дислокации, можно в спокойной обстановке настроить параметры беспроводных сетей для каждой из площадки. Здесь всё просто: для каждой из локаций можно задать SSID-ы, расписание подачи питания PoE и 2-факторную авторизацию, о чём мы писали ранее. То есть, на каждой площадке у вас может быть свой набор пользователей со своим типом авторизации в системе
.
Одной из новых функций Nebula является выделение каждому пользователю собственного VLAN для максимальной изоляции его от остальной сети. Но, к сожалению, годы идут, а полноценной оркестрации виртуальных сетей в системе так и не появилось, поэтому принцип «один пользователь - один VLAN» здесь очень уместен. А ещё можно создать отдельный голосовой VLAN и виртуальную сеть на основе Vendor ID.
При покупке дополнительных лицензий, в разделе «Организация» можно будет создавать шаблоны для площадок и коммутаторов различных моделей с нужными настройками портов и VLAN, чтобы затем привязывать их к нужным свитчам, автоматически присваивая им заранее определённые настройки.
Коммутатор Zyxel GS1915-8EP
Сегодня у Zyxel даже коммутаторы начального уровня поддерживают управление через Nebula, и модель GS1915-8EP - отличный тому пример. Это 1-гигабитный smart-managed свитч с поддержкой PoE на каждом из 8 портов, предназначенная для монтирования Wi-Fi систем и сетей видеонаблюдения на небольших объектах, таких как кафе, гостевой домик, автосервис или небольшой офис. Этот свитч имеет пассивное охлаждение, и может устанавливаться даже на рабочем месте, так как не занимает много пространства, не шумит, но при этом может обслуживать сеть с общим бюджетом PoE до 60 Ватт.
В серии GS1915 есть модели на 8 и 24 порта, с поддержкой PoE и без. Все свитчи данной серии имеют одинаковый буфер пакетов, равный 525 Кб и неблокируемую коммутационную матрицу с ёмкостью, равной удвоенной производительности всех портов.
Из интересных функций хочу выделить компонент CPU Protection, который защищает процессор коммутатора от зависаний при аномально высоком трафике из-за DoS-атаки или неполадках сетевого оборудования. Для работы с многоадресными потоками реализован IGMP Snooping и L2 Multicast, имеется возможность настройки приоритетного прохождения трафика по стандарту 802.1p. Для агрегации каналов поддерживается LACP (до 4 групп), для защиты от ошибок при перепрошивке - технология Dual Image, а о качестве сборки лучше всего говорит ограниченная пожизненная гарантия на устройство.
Для каждого из портов можно индивидуально задать алгоритм защиты от петель: либо RSTP, либо алгоритм LoopGuard, способный реагировать на петли, образующиеся за следующим коммутатором, подключенным к этому порту. Современные коммутаторы поддерживают различные технологии для снижения энергопотребления, в том числе управление питанием по расписанию, и компании Zyxel здесь есть чем гордиться.
Шаг 3. PoE
На объектах, работающих не в три смены, пожалуй пригодится расписание подачи питания через PoE, и каждому порту коммутатора можно прикрепить свой график. Вручную можно запустить Power Cycle для одного или нескольких портов, если нужно перегрузить, например, зависшую IP-камеру.
На каждый порт добавлена функция тестирования кабеля, а по графикам видно как менялось энергопотребление за последние 24 часа (при покупке лицензии - до 30 дней). А ещё есть интересная возможность задания приоритета PoE для каждого из портов. В случае, когда общее энергопотребление устройств превышает возможности коммутатора, он отключит порты с меньшим приоритетом, сохранив при этом работоспособность критически важных устройств.
Шаг 4. Параметры безопасности
Здесь я хочу сделать небольшое отступление и сказать, что сегодня всё чаще какие-то функции безопасности выносятся непосредственно на точки доступа, что позволяет выстраивать дополнительную линию защиты внутри периметра. Ну а что? Процессоры ТД уже достаточно мощные не только для работы NAT, но и для применения различных репутационных фильтров, позволяющих отсекать зловредный трафик не только в момент атаки на сеть, но и когда заражённое устройство пытается получить доступ к подозрительным сайтам. Согласитесь, если IoT датчик постоянно пытается выйти в сеть ToR или стучится на какой-то облачный хостинг, вы захотите не просто об этом знать, а предотвратить такую возможность в принципе. У топовых точек доступа, таких как ZyXEL WAX650S есть встроенные службы безопасности, которые решают проблему защиты внутри периметра по постоянно обновляемым сигнатурам.
Ну а для разграничения доступа на L2-уровне вы просто можете применять несколько SSID-ов с разными VLAN-ами, причём задавая теги, вы можете назначать разные беспроводные сети разным точкам доступа в пределах одной площадки. В принципе, возвращаясь к абзацу выше, можно вообще на каких-то SSID-ах включить режим маршрутизатора, а на каких-то - режим моста, и применить оба режима одновременно к одной и той же точке доступа. В результате одни клиенты будут работать за NAT, а другие - подключены к сети напрямую, но снова хочу сказать, что этот режим поддерживают не все точки доступа.
Ну а проще всего использовать изоляцию на L2-уровне через список доверенных MAC-адресов. Здесь, например, мы можем указать только MAC-адрес шлюза безопасности и быть уверенными, что беспроводные клиенты не получат доступ ни к каким иным устройствам или приложениям в нашей сети. Весь их трафик будет проходить через внутренний Firewall.
Обратите внимание: всё, что относится ко второму уровню и VLAN, организуется на уровне SSID-ов, а к ограничению доступа к интернет-ресурсам хоть и работает не на всех точках доступа, но настраивается глобально на всю площадку.
Zyxel NWA90AX
Одна из самых простых точек доступа с поддержкой Wi-Fi 6, PoE и управлением из облака, у Zyxel - это NWA90AX. Это потолочная модель с поддержкой переключения клиента между диапазонами (Band Steering), бесшовным роумингом и возможностью работы в Mesh-сетях.
Радио модуль поддерживает формат 2x2 MU-MIMO, что даёт суммарную скорость 1775 Мбит/с при использовании одновременно 2.4 и 5 ГГц диапазонов. Максимальная ширина канала - 80 МГц.
Модель NWA90AX имеет скромные коэффициенты усиления по обоим диапазонам: 3 дБи для 2.4 ГГц и 4 дБи для 5 ГГц, диаграмма направленности - почти идеально круговая как в горизонтальной, так и в вертикальной плоскостях. Исходя из этого, идеальным местом установки будут перекрытия между этажами, чтобы точка охватывала пространство и под собой и над собой. В коттеджах и загородных домах NWA90AX имеет смысл размещать под потолком первого этажа, тогда она охватит собой и второй этаж.
В целом же, NWA90AX - это бюджетное решение для массовой установки, и каких-то интересных функций, которые есть у более дорогих моделей Zyxel, вы тут не найдёте. Её основной плюс в том, что она маленькая, миленькая, работает с Nebula и стоит недорого.
Шаг 5. Настраиваем логи и Алерты
С точки зрения протоколирования событий, в Nebula всё организовано достаточно интересно: отдельно выводится журнал сразу для всех точек доступа на площадке и отдельно - для всех коммутаторов, плюс к этому можно вывести общий лог-файл для всей сети локации. При расследовании инцидентов вам доступны поиск по ключевым словам и диапазону дат, что позволяет читать логи по каждому порту коммутатора индивидуально(!), но с базовой лицензией журнал сохраняется лишь 24 часа, поэтому имеет смысл включить отправку журнала на ваш Syslog сервер в облаке, чтобы мониторить систему через ELK, Loki или подобный программный стек.
В дополнении к логам, вы можете просматривать сводные отчёты по классам устройств, что даст вам понимание загрузки портов, энергопотребления PoE устройств, загрузки точек доступа и беспроводных сетей, а так же информацию о самых активных приложениях и клиентах.
С базовой лицензией вам доступны оповещения только через Push уведомления, а за возможность отправки сообщений на E-Mail уже придётся платить. Что же до уведомлений через Telegram, то об этом нет ни слова. Триггеры для срабатывания алертов фиксированы, и создание своих правил для уведомлений не предусмотрено.
Среди доступных триггеров лишь те, которые непосредственно влияют на работу сети, типа «переход устройств в оффлайн», «добавление / удаление устройств с площадки», «подключение/отключение WAN» и так далее. Алертов по температуре или ошибкам на физическом уровне почему-то нет.
Заключительные шаги
На данном этапе можно сказать, что наша сеть настроена, и монтажникам на объектах останется только закрепить точки доступа, установить коммутаторы, обжать витую пару и включить питание. Как только устройства будут запущены и обнаружат доступ в интернет, они автоматически скачают конфигурацию с облака Nebula, и вам останется лишь обновить прошивку одним кликом сразу для всего парка устройств, и наблюдать за потоками трафика в визуально приятном интерфейсе.
Централизованный облачный контроллер избавит вас от настроек проброса портов и обеспечения лишнего слоя защиты для управляющей сети, поэтому даже на объектах, работающих через LTE и за NAT, вы сохраните контроль за инфраструктурой так же, как если бы точки доступа и коммутаторы лежали у вас на столе.
Михаил Дегтярёв (aka LIKE OFF)
29/08.2022
