Geekly articles weekly

Configuración de equipos inteligentes Zyxel en modos independientes y en la nube



¿De qué trata el artículo?
1. Descripción breve y desempaquetado del conmutador inteligente Zyxel XGS1930-28HP y el punto de acceso NWA1123-ACv2

2. Descripción del proceso de configuración:

  • desconectado
  • Modo de nube usando el Centro de Control de Nebulosa (NCC)

3. la solución a una serie de problemas menores que surgieron durante el proceso de configuración

Para aquellos que son demasiado flojos para leer:
1. No se encontraron problemas críticos al configurar el equipo.

2. El uso de Zyxel NCC simplifica y acelera enormemente el proceso de configuración del equipo (en comparación con la configuración fuera de línea)

3. La licencia gratuita de NCC es adecuada para su uso en productos en los siguientes casos:
3.1. Pequeña cantidad de equipo
3.2. Falta de requisitos para el almacenamiento a largo plazo de datos y registros de monitoreo histórico

4. La funcionalidad NCC es suficiente para configurar el equipo para casos típicos de SOHO.

5. A partir de "por ahora": NCC no es muy adecuado para los casos que requieren un ajuste preciso de ACL directamente en el conmutador; el editor de reglas "independiente" está mejor desarrollado.

Contenido


1. ¿Qué estamos probando?
1.1. Interruptor Zyxel XGS1930-28HP
1.1.1. Foto
1.1.2. Información general
1.1.3. Paquete paquete

1.2. Punto de acceso Zyxel NWA1123-ACv2
1.2.1 Foto
1.2.2. Información general
1.2.3 Paquete paquete

2. Prueba
2.1. Configuración del banco de pruebas

2.2. Configuración sin conexión
2.2.1. Interruptor
2.2.2. Punto de acceso

2.3. Restablecer

2.4. Configuración mediante el Centro de control de nebulosa
2.4.1 Algunas palabras sobre el servicio.
2.4.2 Licencias NCC

2.4.3 Configurando un Switch usando NCC
2.4.3.1. Registrar el conmutador con NCC
2.4.3.2. Proceso de configuración

2.4.4 Configuración del punto de acceso
2.4.4.1. Registrar punto de acceso en NCC
2.4.4.2. Proceso de configuración

3. Opinión del autor.

4. gracias

¿Qué estamos probando?


Interruptor Zyxel XGS1930-28HP


Foto









Información general


Fabricante
Zyxel
Modelo
XGS1930-28HP
Tipo de interruptor
L2 +
Número de puertos 1G RJ45 con soporte PoE 802.3at
24
Presupuesto PoE
375 W (hasta 15,4 W en todos los puertos, 30 W / puerto máx.)
Puertos 10G SFP +
4 4
Cantidad de PSU
1
Soporte de apilamiento
no
Monitoreo y capacidades de gestión
- interfaz web
- SNMP v1-3
- RMON
- CLI limitada
- gestión de "nube" utilizando SaaS del fabricante
Especificación completa
www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP--Uplink-XGS1930-Series/specifications

Paquete paquete


El interruptor viene en una caja de cartón estándar.
Todas las partes se ensamblan en una caja separada de un tamaño más pequeño.

El paquete es el siguiente:


1 - interruptor
2 - manual de usuario
3 - "Advertencias de seguridad"
4 - Declaración de conformidad de la UE (información de cumplimiento normativo de la UE)
5 - tarjeta de garantía
6.7 - soportes de bastidor ("orejas")
8 - un conjunto de "patas" de goma para montaje en escritorio
9 - un conjunto de tornillos para unir "orejas" al interruptor
10 - juego de tornillos para montar el interruptor en un rack de 19 "
11 - cable de alimentación C13 / Schuko

Notas del probador:
La muestra proporcionada es un interruptor de nivel de acceso L2 + PoE moderno y típico.
Adecuado para conectar dispositivos finales en redes corporativas (Small Business).

A pesar del ancho de banda relativamente alto y la presencia de puertos 10G, no es adecuado para su uso en condiciones de centro de datos debido a:
- retardo de conmutación relativamente alto
- falta de una fuente de alimentación de respaldo

La funcionalidad L2 + es típica para las líneas Smart / Small Business de otros proveedores (enrutamiento estático, L3-L4 ACL, DCHP Relay).
No hay soporte de espionaje DHCP.

Los métodos de administración son limitados (que generalmente es típico para los conmutadores inteligentes)
No:
- gestión completa de conmutadores a través de la CLI
- opciones de configuración a través del puerto COM


Punto de acceso Zyxel NWA1123-ACv2



Foto









Información general


Fabricante
Zyxel
Modelo
NWA1123-ACv2
Rangos de frecuencia admitidos
2,4 GHz (IEEE802.11 b / g / n)
5 GHz: (IEEE 802.11 a / n / ac)
Cantidad de módulos de radio
2
Antenas
2T2R MIMO
Puertos Ethernet
1x1G RJ45
Nutrición
802.3af / at o PSU local
Monitoreo y capacidades de gestión
- interfaz web
- SNMP v1-3
- RMON
- CLI
- gestión de "nube" utilizando SaaS del fabricante
Especificación completa
www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/specifications

Paquete paquete



1 - Punto de acceso Zyxel NWA1123-ACv2
2 - fuente de alimentación externa con enchufe UK
3 - Enchufe Schuko (enchufe de la UE) para fuente de alimentación externa
4 - montaje de montaje
5 - 2 juegos de tacos
6-2 tornillos
7 - manual de usuario
8 - tarjeta de garantía
10 - Advertencias de seguridad
11 - Declaración de conformidad de la UE (información de cumplimiento normativo de la UE)

Prueba


Configuración del banco de pruebas


Emulamos una red bastante típica de una pequeña oficina (Small Business, por otro lado).

Segmentación de red:



Asignación de puerto de conmutador:



Redes inalámbricas:



Notas del probador:
1. Utilizamos el MikroTik RB750UP como un enrutador de banco de pruebas.

Se usa para:

- terminación de VLAN y enrutamiento de tráfico entre ellas
- terminación del enlace ascendente
- enrutamiento estático del tráfico de Internet y SNAT en la interfaz externa

Porque El rendimiento de enrutamiento en esta prueba no es crítico: 100M de puertos en el enrutador serán suficientes.

2. En el segmento vlan.MGMT, utilizamos DHCP (recomendación de Zyxel para una configuración inicial óptima)

3. Restringimos las restricciones de acceso entre segmentos de la red interna utilizando el conmutador ACL (para familiarizarnos con el proceso de configuración de ACL).

Soporte montado:



Configuración sin conexión


Interruptor


1. Descargue el manual, lea.
2. Capturamos el interruptor y un punto en DHCP
3. Vaya a la interfaz web del conmutador por dirección IP.
4. Seleccione el modo de configuración fuera de línea, inicie sesión con la cuenta predeterminada (admin / 1234)



5. Intentando configurar VLAN y puertos usando el asistente



Notas del probador:

1.Las capacidades del asistente son muy limitadas, es mejor aplicar inmediatamente la configuración predeterminada y cambiar a una interfaz web completa.

Que pasa

- No puede configurar más de 5 VLAN a la vez
- El puerto troncal solo se puede conectar a todo el conjunto de VLAN (pero no a un subconjunto).
- No se puede cambiar la VLAN MGMT.
- no hay soporte para el modo de operación de puerto híbrido.
El puerto puede estar sin etiquetar (acceder) o pasar el tráfico de todas las VLAN etiquetadas (troncal)

2. No hay posibilidad de sintonizar a través de la CLI (de hecho, lo que generalmente es normal para esta clase de conmutadores):




6. Cree el MGMT VIF a través de la interfaz web ("Configuración básica"> "Configuración de IP"> "Configuración de IP")

7. Agregar restricciones de acceso para la red de invitados.

El proceso no es completamente intuitivo, pero lo suficientemente simple.

Es necesario:

- crear: reglas de clasificación L2-L4 ("Clasificador")
- Crear políticas de acceso basadas en reglas de clasificación de tráfico ("Regla de política")

7.1. Conozca el clasificador. Vaya a "Aplicación avanzada"> "Clasificador"> "Configuración del clasificador"





Creamos varias reglas de clasificación para la red de invitados:



7.2. Vaya a "Aplicación avanzada"> "Regla de política" y cree varias políticas basadas en reglas de clasificación.





7.3. Comprobación del funcionamiento de la ACL:



Punto de acceso


1. Descargue el manual, lea
2. Vaya a la interfaz web del punto de acceso.
3. Inicie sesión con credenciales predeterminadas (admin / 1234)
4. Cambie la contraseña (un paso obligatorio, no podrá ir más allá sin esto)
5. Crear un SSID. La configuración está muy oculta.

5.1. Agregue perfiles de seguridad para redes de invitados y corporativas
“Configuración”> “Objeto”> “Perfil AP”> “SSID”> “Lista de seguridad”





5.2.Adición de SSID invitado y corporativo
“Configuración”> “Objeto”> “Perfil AP”> “SSID”> “Lista de SSID”



6. Vaya a "AP Management" y seleccione qué SSID transmitirá qué rango.
Supongamos que un SSID invitado debe transmitir en 2.4 + 5 GHz, mientras que un SSID corporativo solo debe transmitir en 5 GHz.



7. Opcional: cambie la configuración de las interfaces de radio y los canales de transmisión.

Reconfigurar la interfaz de gestión.

"Configuración"> "Red"

Para nuestro caso:

- cambiamos VID Management-VLAN'a
- cambiar la dirección IP
- cambiar el modo de etiquetado

Después de eso, la sesión de administración con el punto de acceso se interrumpirá (debido a la pérdida de conectividad L2).

8. Cambie el modo de operación del puerto del punto de acceso en el conmutador (troncal en lugar de acceso)



9. Verifique la accesibilidad del punto de acceso a través de la interfaz de administración y el funcionamiento de ambos SSID




Restablecer


En el punto de acceso:
En el interruptor:



Configuración mediante el Centro de control de nebulosa


Algunas palabras sobre el servicio.


Nebula Control Center (NCC) : solución SaaS para monitorear y administrar equipos de red Zyxel.

Los siguientes son compatibles:

- interruptores
- puntos de acceso
- pasarelas de seguridad

La funcionalidad se describe en detalle aquí .

Licencias NCC


Hay 3 tipos de licencias:

1. libre, limitado en funcionalidad
2. Pagado con renovación anual
3. pagado de por vida

Comparación detallada de licencias

Solo se licencia la cantidad de dispositivos, no hay diferencia en la funcionalidad entre las licencias pagas.

En cuanto a la versión gratuita:

1. el número de dispositivos controlados no está limitado

2. las limitaciones funcionales se relacionan con:

- seguridad (autorización en puertos 802.1X, la capacidad de auditar acciones, etc.)
- gestión de configuración masiva
- monitoreo (la capacidad de configurar disparadores, períodos de almacenamiento más cortos de datos históricos)

Conclusión
La licencia gratuita de NCC se puede usar en productos para:

- un pequeño número de equipos (es decir, en el caso de que no se requiera la funcionalidad de gestión de configuración en masa)
- falta de requisitos para el almacenamiento a largo plazo de datos y registros históricos de monitoreo

Interruptor


Registrar el conmutador con NCC

1. El proceso de registro es el siguiente:
2. Registre una cuenta en nebula.zyxel.com
3. Deseable: configuramos la autenticación de dos factores
4. Crear organización y sitio
5. Vinculamos el dispositivo a la cuenta escaneando el código QR o ingresando manualmente la dirección MAC y el número de serie en Nebula
6. BENEFICIOS!

El código QR se puede encontrar en la interfaz web ( "Básico"> "Gestión de la nube"> "Registro de conmutador de nebulosa" ) o en la caja del dispositivo.

Escanee el código QR con la aplicación Nebula Mobile ( Apple App Store , Google Play )

Para los curiosos: se intentó volver a registrar el dispositivo con una cuenta diferente.
No es un paseo;)

Después de registrarse con NCC:

- la configuración del interruptor se restablece a los valores de fábrica
- el firmware y la configuración actuales se vierten en el conmutador desde la nube.
- la autenticación local está bloqueada
- el interruptor aparece en la interfaz web de NCC

Se ve así:

Deschboard:

<Img src = el « lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >

Cambiar perfil:



Registros:



Información del puerto:



Proceso de configuración

Regrese a la tarea original y cambie la configuración

1. Configure las VLAN y los puertos.

Puerto de punto de acceso:



Enrutador:



Terminal:



Nota del probador: para la configuración a través de NCC, por alguna razón, solo se admiten los modos híbridos y de acceso de los puertos (pero no troncal).

No puede configurar un puerto sin especificar la VLAN / PVID nativa.

Alternativamente, puede especificar VLAN no utilizada en prod como PVID.



2. Cambie la MGMT-VLAN ("Switch"> "Switch Configuration"> "VLAN Configuration")

3. Configure la ACL para la red de invitados.

Esto se hace a través de "Switch"> "Switch Configuration"> "IP Filtering".

El editor de reglas es el siguiente:



Nota del probador: para comparar, una vez más daré capturas de pantalla del editor local de ACL.

La nube claramente está perdiendo en el número de opciones.







Punto de acceso


Registrar punto de acceso en NCC

Según la documentación, para un nuevo punto de acceso, el proceso debe ser el siguiente:

1. Autorización de la interfaz web del punto de acceso
2. Cambiar la contraseña predeterminada
3. Escanear un código QR usando una aplicación móvil.
El código QR aparece en PopUp después de la autorización.

Nota del probador:

Si no se muestra el código QR, la razón más probable es el firmware desactualizado (como sucedió en mi caso).

Se actualiza de la siguiente manera:

- descargue el firmware de la sección correspondiente del sitio web del fabricante
- descomprimir el archivo con firmware
- vaya a "Mantenimiento"> "Administrador de archivos"> "Paquete de firmware"
- Rellene el archivo * .BIN con firmware
- espere 3-5 minutos Proceso de parpadeo en progreso.

Puntos delgados:

- La barra de progreso "Carga de firmware" se llenará indefinidamente durante un parpadeo, esto es normal .
- Una señal de que el proceso está sucediendo es un parpadeo rápido de un indicador LED rojo en un punto.
- Una señal de que el proceso ha terminado y que el punto funciona normalmente: el indicador LED parpadea lentamente en verde.
- En este caso, no se muestra nada en la interfaz web, la barra de progreso continuará llenándose.


Al final del parpadeo, actualizamos la página.

Nos encontramos con la ventana de autorización y el siguiente asistente.

Haga clic en "Cancelar" y vea la interfaz actualizada y el código QR:



Escanee el código QR en Nebula Mobile, espere de 5 a 10 minutos.

Durante este tiempo:

- la configuración de los puntos se restablece a los valores de fábrica
- el firmware y la configuración actuales se vierten desde la nube.

Nota del probador: un punto interesante: a diferencia de un interruptor, la autorización local en un punto no está bloqueada.


Después de ajustar automáticamente el punto, puede ir a la interfaz web y ver el estado de la conexión a la nube:



Panel de control para puntos de acceso:



Perfil del punto de acceso:



Página de registro:



Las opciones de filtrado de registros son inferiores a las de los conmutadores.

Proceso de configuración

1. Vaya al perfil del punto de acceso, cambie la VLAN MGMT.



2. Vaya a "AP"> "Configurar"> "SSID", cree un SSID invitado y corporativo:



No olvide habilitar el segundo SSID.


3. Vaya a "AP"> "Configurar"> "Autenticación".

Cree un perfil de seguridad para el SSID corporativo e invitado.





3. Configure la parte de radio:



4. Conéctese a ambas redes, verifique la operación.

Opinión del probador


1. No se encontraron problemas críticos al configurar el equipo.

2. El uso de Zyxel NCC simplifica y acelera enormemente el proceso de configuración del equipo (en comparación con la configuración fuera de línea)

3. La licencia gratuita de NCC es adecuada para su uso en productos en los siguientes casos:
3.1. Pequeña cantidad de equipo
3.2. Falta de requisitos para el almacenamiento a largo plazo de datos y registros de monitoreo histórico

4. La funcionalidad NCC es suficiente para configurar el equipo para casos típicos de SOHO.

5. A partir de "por ahora" - NCC no es muy adecuado para casos que requieren un ajuste preciso de ACL directamente en el conmutador - el editor de reglas "independiente" está mejor desarrollado.

Gracias


- colegas de MTI para la pronta entrega de equipos de prueba
- colegas de Zyxel por respuestas constructivas a las preguntas que surgieron durante la redacción de este artículo
- lectores que han dominado esta hoja hasta el final;)

Source: https://habr.com/ru/post/438008/

More articles:


All Articles