Zyxel-Nebel - einfache Verwaltung als Grundlage für Einsparungen

Anstelle des Vorworts

Dieser Artikel widmet sich völlig "nicht-technischen" Dingen wie Einfachheit und einfacher Verwaltung. Hier geht es nicht um Ergonomie und verschiedene Funktionen der Benutzeroberfläche, sondern um einen integrierten Ansatz.

Was vereinfacht das Steuerungssystem?

Wenn Sie beispielsweise einen regulären Administrator danach fragen, können Sie die folgenden Antworten hören:

"Nun, es wird bequemer zu arbeiten ..."
"Noch einmal, du musst nicht zum Serverraum laufen oder im Dienst schreiben, ruf an ..."
"Aber für mich, wenn es nur irgendwie funktioniert hat, schläft der Administrator - der Verkehr ist an" ...

Tatsächlich ist die Antwort auf diese Frage recht einfach: Je einfacher das System im Management ist, desto mehr Zeit und Geld können Sie sparen.

Man könnte sagen, dass dies nur für Anfänger gilt. Und sobald der IT-Spezialist den Status eines Netzwerk-Gurus erhält, beginnt er sofort, Netzwerkprobleme "one-left" zu lösen, und das unbequeme Management wird durch Wissen und Erfahrung kompensiert.

Aber das ist nicht so.

Tatsache ist, dass der größte Teil des gesamten Betriebsvolumens zum Einrichten und Aufrechterhalten eines Netzwerks beliebiger Komplexität von Routineoperationen belegt wird. Und je komplexer das Netzwerk ist, desto höher sind die Qualifikationen eines Netzwerkadministrators. Und das bedeutet - je mehr Geld die Organisation für Routineoperationen verliert.

Gleichzeitig nimmt für weniger erfahrene Spezialisten jeder Systemverwaltungsvorgang noch mehr Zeit in Anspruch.

Es stellt sich als Paradox heraus: Unabhängig von den Qualifikationen des Netzwerkadministrators können Sie Bargeldverluste aufgrund eines ineffizienten Netzwerkinfrastruktur-Managementsystems immer noch nicht vermeiden.

Man kann für jeden Einzelfall sagen, dass sie hier mehr verloren haben, hier weniger, aber im Großen und Ganzen hat es noch niemand geschafft, solche Kosten zu vermeiden.

Wohin geht die Zeit?

Bisher haben wir nur allgemeine Worte gesprochen: ineffizient, unruhig, unangenehm ...
Aber was ist eigentlich ein effektives System?

Geht es nur um Design? Design ist natürlich wichtig, aber Tatsache ist, dass alle Menschen unterschiedlich sind. Und viele Designlösungen, die für manche Menschen entwickelt wurden, sind für andere kategorisch nicht geeignet. Aus diesem Grund gibt es immer noch verschiedene Anwendungen von Drittanbietern zum Verwalten dieser oder jener Hardware und Software.

Was ist eine Routine? In diesem Fall müssen Sie eine Reihe kleiner sich wiederholender Vorgänge ausführen. Oder umgekehrt, um eine bestimmte Reihe von vielen verschiedenen Aktionen auszuführen, deren Zusammenhang manchmal nicht ganz offensichtlich erscheint.

Einer der wichtigsten Punkte ist das Vorhandensein oder Fehlen eines integrierten Ansatzes. Wenn es möglich ist, einige allgemeine Muster zu entwickeln und darauf basierend geeignete Tools zur Erleichterung des Managements zu erstellen, ist dies eine große Hilfe.

Eine Routine besteht darin, dass jedes Gerät separat konfiguriert werden muss und nur in seltenen Fällen eine Art Werkstück wie Konfigurationsdateivorlagen angewendet werden kann.

Eine andere Sache ist, wenn der Netzwerkadministrator Vorlagen, Richtlinien und Gruppeneinstellungen vorkonfigurieren und anschließend anwenden kann.

Einfach ausgedrückt ist es gut, wenn Sie nicht Ihre Zeit damit verbringen müssen, alles und jeden ständig zu konfigurieren. Und dementsprechend ständige Dokumentation.

Dazu müssen Sie unabhängig eine bestimmte einheitliche Netzwerkinfrastruktur aufbauen, häufig unter Verwendung von Entwicklungen von Drittunternehmen, und nur dann können Sie die Ergebnisse Ihrer harten Arbeit nutzen.

Und wieder zurück, woher wir kamen? Zu den Kosten, jetzt für den Bau des Systems?

Es wäre viel besser, wenn zusammen mit der Netzwerkausrüstung sofort „out of the box“ ein einheitliches Managementsystem funktioniert.

Eine solche Möglichkeit besteht bereits.

Zyxel-Nebel als Symbol für einfache Bedienung

Wie oben erwähnt, ist die Arbeit mit allen Netzwerkgeräten viel einfacher, wenn sie auf wundersame Weise mit einem einzelnen Steuerknoten verbunden sind.

Nehmen Sie zum Beispiel eine so einfache Aufgabe wie das Einrichten eines VPN.

Wenn Sie ein ähnliches System auf Netzwerk-Gateways erstellen, die nach der herkömmlichen Methode verwaltet werden, müssen Sie viel Zeit und Mühe aufwenden.

Lassen Sie uns die Situation analysieren, in der ein IPSec-Kanal zwischen zwei Hardware-Gateways ZyWALL USG 50 und ZyWALL USG 100 erstellt wird.

Hinweis Diese Beschreibung dient in erster Linie dazu, die Merkmale der schrittweisen Konfiguration von zwei Netzwerk-Gateways auf herkömmliche Weise zu veranschaulichen. Unabhängig davon, ob Sie die webbasierte oder die Befehlszeilenschnittstelle verwenden, müssen Sie alle diese Konfigurationsschritte ausführen.

Die folgenden Schritte müssen auf der ZyWALL USG 50 ausgeführt werden:

1. Legen Sie im Menü Netzwerk - Schnittstelle - Ethernet eine statische IP-Adresse auf der wan1-Schnittstelle fest.
2. Erstellen Sie im Menü Objekt - Adresse ein Objekt, in dem das Remote-Subnetz angezeigt wird.
3. Um einen IPSec-Tunnel zu erstellen, rufen Sie das Menü VPN - IPSec VPN - VPN Gateway auf und erstellen Sie eine neue Regel mit der IP-Adresse des Remote-VPN-Gateways.
4. Geben Sie im Feld Meine Adresse - Schnittstelle die wan1-Schnittstelle und im Feld Peer-Gateway- Adresse - Statische Adresse die IP-Adresse des Gateways an, mit dem die ZyWALL USG 50 einen VPN-Tunnel einrichten wird. Und im Feld Pre-Shared Key - ein vorab vereinbarter Schlüssel, der auf beiden Seiten des Tunnels zusammenfallen sollte.
5. Wechseln Sie nach dem Vornehmen der VPN-Gateway-Einstellungen zum Menü VPN - IPSec VPN - VPN-Verbindung , um die VPN-Verbindung weiter zu konfigurieren.
6. Im Abschnitt Anwendungsszenario müssen Sie den Wert von Standort zu Standort auswählen. Im Feld VPN-Gateway ist eine vordefinierte Regel erforderlich.
7. Geben Sie im Feld Lokale Richtlinie das lokale Subnetz und im Feld Remote-Richtlinie das Remote-Subnetz an
8. Als Nächstes müssen Sie im Menü Netzwerk - Zone die Zone IPSec_VPN bearbeiten, zu der die zuvor erstellte VPN-Verbindung gehört.
9. Danach müssen Sie im Menü Netzwerk - Firewall eine Firewall-Regel erstellen, um den Netzwerkverkehr vom VPN-Tunnel an das lokale Subnetz weiterzuleiten. Geben Sie als Nächstes die Richtung an, in der der Verkehr in Bezug auf die Zone IPSec_VPN reguliert wird, in die der erstellte IPSec-Tunnel eintritt.

Hinweis Die Firewall des ZyWALL USG 100-Hardware-Gateways ist auf die gleiche Weise konfiguriert.

Das ist noch nicht alles. Fahren wir mit der Einrichtung der ZyWALL USG 100 fort

1. Legen Sie im Menü Netzwerk - Schnittstelle - Ethernet eine statische IP-Adresse für wan1 fest.
2. Im Menü Objekt - Adresse müssen Sie ein Objekt erstellen, in dem das Remote-Subnetz angezeigt wird.
3. Um einen IPSec-Tunnel im Menü VPN - IPSec VPN - VPN Gateway zu erstellen, müssen Sie eine neue Regel mit der IP-Adresse des Remote-VPN-Gateways erstellen.
4. Im Feld Meine Adresse - Schnittstelle müssen Sie die wan1-Schnittstelle angeben und im Feld Peer-Gateway-Adresse - Statische Adresse die IP-Adresse des Gateways angeben, mit dem die ZyWALL USG 100 einen VPN-Tunnel einrichten wird. Geben Sie im Feld Pre-Shared Key einen vorab vereinbarten Schlüssel ein, der auf beiden Seiten des Tunnels übereinstimmen soll.
5. Nach der Konfiguration des VPN-Gateways müssen Sie zum Menü VPN - IPSec VPN - VPN- Verbindung wechseln, um die VPN-Verbindung weiter zu konfigurieren.
6. Wählen Sie im Abschnitt Anwendungsszenario den Wert Site-to-Site aus, und wählen Sie im Feld VPN-Gateway eine vordefinierte Regel aus.
7. Im Feld Lokale Richtlinie müssen Sie das lokale Subnetz und im Feld Remote-Richtlinie das Remote-Subnetz angeben.
8. Als Nächstes müssen Sie die Firewall auf der ZyWALL USG 100 konfigurieren. Sie wird auf die gleiche Weise wie auf der ZyWALL USG 50 konfiguriert.

Schließlich wird die VPN-Verbindung hergestellt.

Wie ich oben sagte, bestand der Zweck dieser kurzen Beschreibung darin, viele Einstellungen an Geräten mit herkömmlichen Steuerungen zu demonstrieren. Eine vollständige Beschreibung mit allen Details finden Sie hier .

Natürlich können verschiedene Anbieter unterschiedliche Schritte ausführen. Im Allgemeinen bleibt die Bedeutung jedoch erhalten: Zuerst führen wir eine schrittweise Konfiguration auf einem Knoten durch, dann auf dem zweiten. Wenn Sie einen Fehler gemacht haben oder etwas nicht berücksichtigt haben, überprüfen und überprüfen wir alles vom ersten Schritt an.

Wenn das Unternehmen über eine entwickelte Netzwerkinfrastruktur verfügt - mit dieser Verwaltungsmethode wird sich der Netzwerkadministrator nicht langweilen.

Und in Zyxel Nebula auf Geräten reicht es aus, VPN zu aktivieren und das Subnetz anzugeben, wie in Abbildung 1 dargestellt. Und wie normale Benutzer gerne sagen: "Es wird von alleine funktionieren."


Abbildung 1. VPN-Einrichtung in Zyxel Nebula

Richtlinien und allgemeine Einstellungen

In der Regel werden in jeder Infrastruktureinheit - der IT-Infrastruktur außerhalb des Netzwerkumfangs - gemeinsame Einstellungen verwendet.

In Ermangelung von Automatisierungstools muss der Administrator eine Verbindung zu jedem Gerät herstellen und die Einstellungen dort manuell bearbeiten.

Aber selbst wenn Sie vorab erstellte Leerzeichen verwenden, kann der Einrichtungsprozess viel Zeit in Anspruch nehmen. Das Herunterladen einer vorbereiteten Konfigurationsdatei auf jedes Gerät ist im Prinzip eine ernste Aufgabe. Ganz zu schweigen von der Vorbereitung einer solchen Datei

Im Zyxel-Nebel ist dieser Vorgang viel einfacher.

Alle Einstellungen gelten sofort für alle Geräte, die zu einem Standort gehören.

Wenn Sie Einstellungen von einer Organisation (Organisation) zu einer anderen übertragen müssen, wird hierfür das Menü Organisation - Konfigurationssynchronisierung verwendet. Dort können Sie auswählen, welche Einstellungen an welche Organisationen oder Geräte übertragen werden sollen. Und die Fähigkeit, Einstellungen zu übertragen, wird mit der Entwicklung des Zyxel-Nebels allmählich zunehmen.


Abbildung 2. Abschnitt Konfiguration Sync Zyxel Nebula

Über die Buchhaltung und jede andere Buchhaltung

Abschließend möchte ich an eine so wunderbare Aufgabe des IT-Personals wie Inventarisierung und Buchhaltung von Geräten erinnern.

Natürlich sollte das Rechnungswesen dies gemäß der Logik und den Stellenbeschreibungen tun. In Russland ist es jedoch selten, dass ein Buchhalter in der Lage ist, eine normale Gerätebuchhaltung durchzuführen, ohne eine IT-Abteilung einzubeziehen.

Das Rechnungswesen schreibt nicht nur in seinem 1C, es hat auch nicht immer eine technische Bedeutung. Mit dem gleichen Erfolg ist es möglich, alle Switches, Router usw. als "Punkt 1", "Punkt 2", "Punkt 3" zu notieren, wenn nur die Beträge unter Berücksichtigung der Abschreibungen korrekt angegeben wurden.

Es kommt häufig vor, dass IT-Spezialisten ihre interne „Buchhaltung“ durchführen, um zu verstehen, welche Geräte sich befinden, wer aufgelistet ist und wohin sie bewegt werden.

Und hier kann Zyxel Nebula auch einen unschätzbaren Service bieten.

Erstens sind Netzwerkgeräte bereits in eine einzige Datenbank integriert.
Zweitens sind sie bereits der einen oder anderen Niederlassung zugeordnet.
Drittens können Sie sofort und einfach Informationen wie die Seriennummer, das Datum der Inbetriebnahme und sogar die Google-Karte abrufen, auf der sie sich jetzt befindet.

Diese Informationen werden automatisch in der Zyxel Nebula-Datenbank angezeigt, und es ist nicht erforderlich, sie manuell einzugeben, wie beispielsweise im Buchhaltungssystem.

Nicht weniger interessant ist der Prozess der Abrechnung von Anmeldungen und Passwörtern

Jeder am besten qualifizierte Spezialist ist eine normale Person. Wer kann krank werden, sich verlieben, alles fallen lassen und bis ans Ende der Welt ruckeln oder einfach das Passwort vergessen.

Daher ist auf die eine oder andere Weise in jeder Organisation ein Passwortabrechnungssystem vorhanden. Eine andere Sache ist, dass es auf verschiedene Arten organisiert werden kann.

Beispielsweise kann der CIO alle Passwörter in seinem Notizbuch aufzeichnen. Es scheint zweckmäßig zu sein und der Träger ist nicht flüchtig und wird von der verantwortlichen Person gespeichert. Es ist jedoch nicht immer bequem, den geliebten Chef über jede neue Änderung der Zugangsdaten zu informieren, insbesondere während der Nachtarbeit. Und dann ist alles vergessen. Wieder seinen Chef mitten in der Nacht aufzuwecken, damit er das Passwort auffordert - natürlich ist es möglich, aber irgendwie ist es völlig nicht menschlich.
Es gibt noch eine andere Option: Wenn der CIO das begehrte Notebook verliert und ... ist es besser, überhaupt nicht darüber nachzudenken.

Es besteht weiterhin die Möglichkeit, alle Arten von Programmen für die Kennwortabrechnung zu verwenden. Mit Verschlüsselung und anderen tollen Dingen.

Früher oder später tritt jedoch eine Situation auf, die in einem von Murphys Gesetzen beschrieben ist: "Der Schlüssel zur Notaufnahme wird in der Notaufnahme aufbewahrt." Das heißt, um auf das Kennwortspeicherprogramm zuzugreifen, müssen Sie ein Kennwort oder sogar mehrere Kennwörter kennen, z. B. ein Kennwort für den Zugriff auf eine Workstation, ein Kennwort für den Zugriff auf eine Netzwerkressource, ein Kennwort zum Öffnen des Programms selbst ...

Mit Zyxel Nebula ist dies sehr einfach zu lösen. Der Eigentümer registriert die Infrastruktur für sich selbst und fügt dem Management einen Administrator hinzu.

Für den Administrator erfolgt der Zugriff auf die Geräte gemäß den gewährten Rechten. Er muss nur in die Cloud gehen.

Wenn der Administrator das Kennwort verloren hat, ist das Ändern kein Problem. Wenn der Administrator gegangen ist, entfernt der Eigentümer es und fügt ein neues hinzu.

Fazit

Zusammenfassend möchte ich auf einfache Arithmetik achten. Sehen Sie, wie viel Text die Beschreibung traditioneller Lösungen aufnimmt und wie viel - Management mit Zyxel Nebula.

Diese einfachen Zahlen sprechen für sich.

Quellen

[1] Eine Seite auf der offiziellen Zyxel-Website, die dem Nebel gewidmet ist.

[2] A. Lakhtin. Ein Beispiel für die Erstellung eines einfachen IPSec-VPN-Tunnels zwischen zwei Hardware-Gateways der ZyWALL USG-Serie . Knowledge Base-Artikel.

[3] Die Zyxel-Nebel-Supernova-Wolke ist ein wirtschaftlicher Weg zur Sicherheit. ?

[4] Zyxel-Nebel und Unternehmenswachstum .

[5] Wir haben keine Angst vor "Wolken" .