Облачные сервисы давно уже стали настоящим спасением для стартапов и малого бизнеса, особенно для молодых развивающихся компаний, у которых ограничены возможности капитальных инвестиций, но вся необходимая инфраструктура должна быть здесь и сейчас. Взять хотя бы виртуальную АТС, которую можно подключить за сутки с минимальными вложениями. Требования сотрудников к организации корпоративной сети гораздо более простые по сравнению с телефонией, но от этого они не становятся менее критичными. По сути, нам хочется, как дома, один раз законнектиться и больше не думать о сети. Руководство, кроме того, ставит во главу угла информационную безопасность и возможность в любое время контролировать доступ, трафик, настройки сети и возможные неполадки, которые необходимо оперативно устранять.
Для крупной компании в решении этих задач особых проблем не возникает: к их услугам на рынке достаточно большое количество систем управления сетевым оборудовнием, мощных и функциональных, которые, однако, довольно дорогие по стоимости внедрения и обслуживания. Хотя бы потому, что для качественной поддержки такой системы требуется квалифицированный специалист. Кроме того, при расширении бизнеса и необходимости масштабировать систему под единым управлением зачастую требуется производить конфигурацию каждого из устройствиндивидуально, что также не слишком удобно и довольно ресурсозатратно.
Собственно, перед тестированием системы Nebula в подобных условиях мы и оказались: два объекта, находящиеся в десятках километров друг от друга. Отсутствие сисадмина и в целом ограниченные условия из-за режима самоизоляции. Необходимость организовать сеть с единым центром управления «уже вчера» и минимальный бюджет. Забегая впероед: это оказалось ненамного сложнее, чем установить обычный Wi-Fi роутер, который есть у каждого дома.
Вот, какое оборудование Zyxel Nebula оказалось в нашем распоряжении:
Весь этот комплекс нам удалось очень быстро развернуть и настроить, используя действующий интернет-канал, смартфон с приложением Nebula и усилия одного сотрудника, который до этого в основном имел дело только с домашними роутерами. Но для начала стоит описать каждое устройство подробнее.
Ценность шлюза безопасности в нашем комплексе выражается не только его сравнительной стоимостью: именно это устройство позволит нам питать уверенность в безопасности сетевой инфраструктуры. Программно-аппаратный межсетевой экран предназначен для решения целого ряда задач, связанных с защитой локальной офисной сети: контроль трафика (специальная система обнаружения и предотвращения вторжений с технологией Deep Packet Inspection – DPI), управление полосой пропускания, конфигурация VPN-соединения, автоматическая настройка политик доступа, параметров конфигурации, обновления микрокода и сигнатур.
Внешне это очень стильное устройство: традиционный металлический корпус дополнен декором из светлого пластика. На передней панели – два порта USB 2.0, два порта для подключения интернет-кабеля от провайдера (WAN) и пять портов для организации локальной сети (LAN/DMZ). Заметим сразу что наличие двух портов WAN дает нам возможность при необходимости резервировать сетевое подключение, еще больше повышая надежность и доступность сети. Случаев, когда небольшой компании критически важно было бы иметь два интернет-канала одновременно, мы знаем не так уж много, но всё-таки они есть.
Также на передней панели устройства находится отверстие для ручной перезагрузки (reset) и два индикатора: состояние питания и системы. Каждый порт также оборудован индикатором состояния и активности, поэтому при правильном подключении патч-корда к порту никаких сомнений в работоспособности соединения не возникает. На задней панели шлюза расположены гнездо для подключения питания и порт консоли DB9.
Габариты коробки – 33x18,7x4,4 см, вес около 2 кг. Устройство снабжено системой пассивного охлаждения (вентилятором) и при работе слегка потрескивает. При этом оно также нагревается, и для его стабильной работы (заявлена рабочая температура от 0 до +40 градусов) необходимо предусмотреть свободное пространство сзади и, конечно же, ничем не накрывать. Возможна установка шлюза в серверную стойку, но у нас ее не было, поставили просто на ровную поверхность.
«Шлюзы Zyxel Nebula могут идентифицировать, классифицировать и контролировать Web-приложения, связанные с социальными сетями, играми, выполнением должностных обязанностей и другие Web-приложения вместе с их поведением; на основе этой информации администраторы могут блокировать посторонние приложения и предотвращать использование ими полосы пропускания», – пишет производитель в обзоре своего устройства. И, конечно, стоит добавить, что управление шлюзом происходит из облака – об этом речь пойжет чуть ниже.
Гибридный гигабитный Smart-коммутатор Zyxel NebulaFlex на 8 LAN-портов (100/1000 Mbps) необходим для проводного подключения к сети рабочих ПК и точек доступа, а также для более логичного управления этими устройствами, которое также производится из облака или локально, в автономном режиме.
Важной для нас особенностью стало то, что коммутатор обеспечивает 30 Вт на порт, то есть поддерживает подключение устройств по технологии PoE/PoE+. А одна из точек доступа у нас как раз питается только так.
На передней панели устройства расположились уже названные 8 портов, а также пара сдвоенных RJ45/SFP порта – каждый со светодиодными индикаторами. Также здесь несколько индикаторов состояния: питание, система, облачный режим и locator. Индикатор использования PoE. Два отверстия для сброса (reset) и восстановления (restore). На задней панели крепеж для заземления и гнездо для подключения питания.
По габаритам коммутатор чуть меньше шлюза, 26,7x 16,2x4,4 см, вес 1,9 кг. В комплекте – кабель питания, наборы для настольного (ножки) и настенного монтажа. Вентилятор в данной модели отсутствует, и работает она бесшумно. Впрочем, поскольку коммутатор работает рядом с сетевым экраном, визуально нам эта особенность ничего не дает – зато, вероятно, на экологию офисного пространства влияет положительно. Нагревается в основном снизу – только там нет вентиляционных отверстий.
Производитель указывает такие «умные» (Smart) функции коммутатора, как поддержка VLAN, LACP, IPv6, STP и IGMP, QoS, ACL, Port Security, управление по SNMP, работа с сервером Syslog.
Организовать беспроводную сеть в наших офисах мы попробовали с помощью двух точек доступа Zyxel серии NWA1123.
Первая из них – NWA1123-ACv2, потолочная точка доступа 802.11ac с двумя радиомодулями и PoE – небольшой белый пластиковый цилиндр диаметром 13 см и высотой 5,5 см. Выглядит она вполне презентабельно и, оправдывая свою спецификацию, будет органично смотреться на потолке – конечно если он у вас не натяжной или подвесной. Впрочем, крепежная пластина, входящая в комплект, позволяет устанавливать ее и на стене – провода аккуратно убираются за упор для плотной притирки с поверхностью. Мы же в качестве эксперимента (и благодаря пятиметровому патч-корду) позволили себе примерить прибор на самых разных поверхностях и в самых разных плоскостях, ловя наилучший сигнал. Забегая вперед, скажем: сигнал везде был хороший.
И неслучайно. По утверждению разработчика, точка доступа Zyxel NWA1123-ACv2 802.11ac обеспечивает комбинированную скорость передачи данных до 1.2Gbps. Оптимизированная антенна и усовершенствованные радиомодули на базе специально настроенного программного обеспечения и инновационного оборудования, DCS и балансировка нагрузки – всё это способствует производительной и бесперебойной работе WiFi-сети с этого устройства. Кроме того, оно передает сигнал в одном из двух диапазонов: 2.4 или 5 GHz – на случай, если основной диапазон 2.4 GHz сильно зашумлен.
С обратной стороны базовой станции расположен гигабитный сетевой порт RJ45, вход блока питания, отверстие для сброса (reset) и консольный порт под заглушкой. Впрочем, блок питания необходим не только в том случае, если недоступно питание по технологии PoE.
Гибридная точка доступа Zyxel NWA1123-AC Pro – это такая эффектная «летающая тарелка», которая к тому же переливается сигнальными огнями. Как и положено тарелке, она плоская (3,5 см), однако чуть приплюснутая с краев (диаметр около 20 см).
На передней панели – семь световых индикаторов, самыми важными из которых, конечно, являются индикатор включения и сети: как и предыдущая модель, данная так же поддерживает два диапазона частот: 2.4 и 5 GHz. На задней панели – порты LAN и питания PoE, аппаратный переключатель конфигурации антенн «потолок-стена» (ceiling-wall) для обеспечения оптимального сигнала в разных положениях, а также отверстие reset и скрытый заглушкой консольный порт.
Благодаря порту LAN к точке доступа можно подключить еще одно сетевое устройство – например видеокамеру. А вот порт PoE... Да-да, устройство поддерживает питание только по технологии Power over Ethernet, и это стоит учитывать при подключении. Для непосвященных: просто через интернет-кабель, идущий от провайдера, такая точка доступа питаться не будет. Необходим специальный порт, достаточно мощный для поддержки PoE – как, например, у нашего коммутатора (см. выше), или PoE-инжектор.
Обе точки доступа укомплектованы патч-кордами Ethernet 45, а вторая опционально PoE-инжектором (у нас не было, так как предполагалось подключать устройство к PoE-коммутатору). Оставалось только подобрать патч-корд для соединения шлюза с коммутатором. К счастью, это стало для нас самой сложной заминкой при подключении системы. Потому что всё остальное, что относится к техническим моментам, прошло как по маслу.
В заголовке этого обзора указано, что мы развернули офисную сеть всего примерно за 20 минут. Это действительно так, ведь в момент сбора и настройки системы нам не пришлось тратить время на регистрацию устройств (поиск нужного сайта и т. д.). Мы зарегистрировали их заранее через мобильное приложение Zyxel Nebula (аналогично это можно сделать и через веб-интерфейс).
Создатели Nebula создали действительно удобную систему управления сетью в облаке с доступом администратора в личный кабинет из любой точки мира. Добавление нового устройства через приложение – предельно простая операция, которую можно совершить даже тогда, когда эти устройства еще неактивны и ни к чему не подключены. Правда, камеры 8 Mp на смартфоне оказалось недостаточно, чтобы распознать миниатюрный QR-код. Но не беда: второй способ зарегистрировать оборудование – вручную заполнить поля «MAC-адрес» и «серийный номер» (есть возле QR-кодов на каждом устройстве) – оказался не намного более затратным по времени. Пара минут – и все четыре устройства оказались в облачной системе. Чуть раньше мы зарегистрировали там организацию-владельца сети.
В мобильном приложении Nebula сосредоточены все важнейшие функции мониторинга сети предприятия. На начальной вкладке (Dashboard – Home) демонстрируется статус (онлайн-офлайн) точек доступа (AP Status), коммутаторов (Switch Status), шлюзов (Gateway Status) и подключенных к сети беспроводных пользовательских устройств (Wireless Clients), а также – статистику потребленного клиентами трафика. Углубившись в каждый из этих разделов, можно отдельно посмотреть информацию по каждому из устройств: в том числе, его текущую конфигурацию и местоположение, а в случае коммутатора, к примеру, – схему задействованных портов.
На вкладке «Wi-Fi» приводятся сведения о состоянии сети: название SSID, портал аутентификации (при его наличии), ограничение скорости download/upload – и дается возможность прямо из приложения изменять ключевые параметры сети.
Из других интересных особенностей приложения Nebula отметим прямой выход на форум производителя, где, в том числе, существует ветка обсуждений на русском языке. Возможность обновить прошивку устройств – если вышла новая версия. А также настройка аларм-оповещений, поступающих администратору в случае отключения одного из устройств или VPN-соединения.
Как итог: аппаратная часть нашей сети была подключена следующим образом: интернет – сетевой шлюз – коммутатор – точки доступа. Позднее мы перенесли вторую точку доступа (NWA1123-ACv2) на второй объект, где подключили напрямую к интернет-кабелю. При этом перерегистрировать ее не пришлось – все настройки сохранились.
Облачный центр управления сетью Nebula Cloud Platform располагается по адресу nebula.zyxel.com и, что важно, русифицирован. Как и в мобильном приложении, в браузерной версии функционал разделен по типу сетевых устройств: собственно площадка, шлюз безопасности, коммутаторы и точки доступа – и возможности их мониторинга либо настройки. Вкладка «Портал организаций» содержит перечень владельцев сетевых устройств (организаций) и тип их лицензии.
Вкладка «Организация» открывает доступ к мониторингу и настройкам внутри конкретной организации. В первую очередь, здесь прописываются администраторы системы управления сетью и ее владелец (по умолчанию). В дальнейшем администраторы могут зарегистрироваться в облаке самостоятельно используя указанный здесь адрес электронной почты. Важно также, что в системе ведется журнал изменений с указанием, какой из админов в какое время внес коррективы в ту или иную настройку.
Здесь же в подразделе «Инвентарь» расположен перечень занесенных в систему сетевых устройств и можно добавить недостающие устройства по их MAC-адресам и серийным номерам. Если устройств много – либо они расположены удаленно – и вбить вручную данные невозможно, можно воспользоваться импортом записей.
Также во вкладке «Организация» доступно управление лицензиями и конфигурациями устройств (например, можно перенести настройки портов коммутатора на все другие выбранные устройства), а также создание облачной аутентификации для конкретного пользователя.
Первый подраздел вкладки «Площадка» – панель мониторинга, на которой, как в мобильном приложении, в онлайн-режиме отслеживаются ключевые показатели работы сетевых устройств: статус и нагрузка точек доступа, шлюзов и коммутаторов, количество подключенных к сети беспроводных клиентов, данные о потреблении PoE и скорости WAN на аплинк и даунлинк. Здесь же аналитическая статистика: топ SSID, точек доступа (по клиентам и трафику) и беспроводных клиентов; распределение беспроводных клиентов по производителям и операционным системам. Все эти данные расположены по принципу динамических плиток, которые можно убирать и добавлять в меню, а также перекомпоновывать так, как удобно администратору. Более подробно эти данные раскрываются в подразделе «Сводный отчет». Очевидно, что чем больше в сети клиентов, тем эта статистика будет интересней и насыщенней.
Из других важных вещей, которые полезно настроить в рамках площадки целиком, – оповещения администратора при переходе устройств в режим офлайн или изменении параметров конфигурации (настраивается гибко), управление прошивками сетевых устройств с возможностью апгрейда прямо из облачного сервиса (сразу же или по заданному расписанию).
Здесь же можно добавлять устройства в систему именно на эту площадку – если у вас к одной организации привязано несколько площадок.
Вкладка «Шлюз безопасности» начинается с подробного отчета об устройстве: конфигурация, схема портов, статус (в том числе журнал событий) и диагностика по различным показателям (трафик, клиенты, пинг и другим). В подразделе «Клиенты» – перечень всех устройств (сетевых и клиентских) с указанием на применяемые к ним политики безопасности. Доступен отчет служб безопасности (антивирус, патруль приложений, фильтрация контента) и мониторинг VPN-туннелей, а также сводный отчет.
Конфигурирование шлюза безопасности подразумевает несколько опций, которые подключаются в зависимости от политик безопасности компании: это различные политики маршрутизации трафика, настройки программного брандмауэра, создание портала авторизации, выор метода доступа к сети и другое.
На вкладке «Коммутаторы» – все необходимые конфигурации и мониторинг данного типа устройств. Вероятно, они будут наиболее интересны компаниям с разветвленной сетью устройств, соединенных в сеть по проводам.
Для нас же основной интерес представляют «Точки доступа» – на этой вкладке будут производиться манипуляции, наиболее важные для работы портативных устройств: ноутбуков и смартфонов. Для начала мы снабдили точки доступа описанием – условными «new» и «old» (по очередности подключения), так их легче различать.
В подразделе «Клиенты» также добавили гаджетам наших пользователей условные имена. Стоит еще раз отметить, что, углубившись в настройки каждого из устройств, мы можем получить подробную статистику их использования, спецификацию (ОС, производитель, сетевые возможности), журнал событий. В подразделе «Обзор сетей» в одном месте собраны данные обо всех сетевых настройках – с возможностью их изменения.
Подраздел «Аутентификация» открывает – наконец! – настройки доступа к сети. Дело в том, что если сразу физически объединить все устройства и подключить к действующей сети, – они сразу же и начнут работать, по сути – раздавать незапароленный Wi-Fi. Поэтому настройку сети необходимо начать, как нам видится, именно с настроек доступа. В Nebula используются следующие варианты настройки доступа: открытая сеть, открытая с шифрованием, по паролю или MAC-адресу, а также WPA-Enterprise с уникальным именем-паролем. Можно включить и авторизацию: с помощью пользовательского соглашения или облачной аутентификации, в том числе через Facebook.
Заслуживает внимания раздел «доступность SSID». Здесь можно настроить расписание работы точек доступа вручную или по шаблонам: например, чтобы сеть работала только в будни или ежедневно с 8 до 17 часов и т. д. В подразделе «Радиионастройки» мы можем регулировать максимальную мощность передатчика и ширину канала в каждом из двух представленных диапазонах.
Если на одном объекте несколько точек доступа и много клиентских устройств, важно обеспечить равномерное распределение нагрузки на базовые станции. Для этого в подразделе «Общие настройки» существует опция «Балансировка нагрузки», которая не допускает превышения пользователей, «висящих» на одной точке доступа. Параллельно замечаем, что система предполагает до 127 беспроводных подключений на один радиомодуль, то есть до 254 на одну точку доступа.
Добавим, что свич и точки доступа могут управляться как из облака, так и локально через инструмент Zyxel NebulaFlex.
Конечно, нам стало интересно, насколько производительной оказалась наша сеть. Мы провели несколько speed-тестов проводного и беспроводного подключения.
Тест подключения на ноутбуке показал, что наша сеть выжимает практически максимальную скорость на 100-мегабитном канале, который ограничен тарифом провайдера. По сети Wi-Fi пинг оказался 6 ms, скорость на скачивание 84 Mbps, на загрузку около 92 Mbps. При проводном подключении остались примерно такими же: пинг 4 ms, скорость на скачивание до 82 Mbps, на загрузку до 93 Mbps. Использовался онлайн-сервис Ookla.
Для офиса с населением до 50 человек этого будет избыточно, учитывая то, что рекомендованная скорость офисного Интернета – 1-2 Мбит/сек на одного пользователя. Очевидно, что даже используя 100-мегабитный канал можно «посадить» на одну точку доступа гораздо больше пользователей, но это далеко не предел возможной скорости для системы.
Платформа Nebula опровергает мнение о том, что грамотная организация безопасной и качественной сетевой инфраструктуры на SMB-предприятии – дорогое и трудоемкое удовольствие. Запустить такую систему и управлять ею на начальном уровне (без погружения в тонкости и нюансы) под силу «обычному» пользователю – например, в том случае, когда услуги профессионального сисадмина временно недоступны (удаленная работа – один из таких случаев).
Особенно сильно выручает облачный сервис при масштабировании сети: если необходимо организовать сеть с единым центром управления на нескольких географически разнесенных объектах или просто подключить новый объект. Всё, что касается настройки параметров, конфигураций и политик безопасности, – можно произвести удаленно, сотруднику на месте достаточно просто подключить устройство к итнернет-кабелю.
Также стоит сказать о том, что мы использовали полный комплекс сетевых устройств, но каждое из них может быть исключено из этого комплекса – концептуально управление сетью из облака от этого не поменяется. Например, можно подключить точку доступа прямо к шлюзу минуя коммутатор, если сотрудники не «привязаны» к стационарным ПК и используют ноутбуки или смартфоны. Можно даже подключить всего одну точку доступа прямо к интернет-кабелю – как обычный домашний роутер. Затраты на аппаратное обеспечение вашей сетевой инфраструктуры и уровень безопасности зависит только от конкретных задач организации.