Worum geht es in dem Artikel?1. Kurzer Überblick und Auspacken des Zyxel XGS1930-28HP Smart Switch und des NWA1123-ACv2 Access Points
2. Beschreibung des Einrichtungsprozesses:
- offline
- Cloud-Modus mit dem Nebula Control Center (NCC)
3. Die Lösung für eine Reihe kleinerer Probleme, die während des Einrichtungsprozesses aufgetreten sind
Für diejenigen, die zu faul sind, um zu lesen:1. Beim Einrichten des Geräts wurden keine kritischen Probleme festgestellt.
2. Die Verwendung von Zyxel NCC vereinfacht und beschleunigt die Einrichtung von Geräten erheblich (im Vergleich zur Offline-Konfiguration).
3. Die kostenlose NCC-Lizenz ist für die Verwendung in Produkten in den folgenden Fällen geeignet:
3.1. Kleine Menge an Ausrüstung
3.2. Fehlende Anforderungen für die Langzeitspeicherung historischer Überwachungsdaten und -protokolle
4. Die NCC-Funktionalität reicht aus, um das Gerät für typische SOHO-Fälle zu konfigurieren.
5. Ab "vorerst" - NCC ist nicht für Fälle geeignet, in denen eine Feinabstimmung der ACL direkt am Switch erforderlich ist - ist der "eigenständige" Regeleditor besser entwickelt.
Inhalt
1. Was testen wir?1.1. Zyxel XGS1930-28HP Switch1.1.1. Foto1.1.2. allgemeine Informationen1.1.3. Paketpaket1.2. Zyxel Access Point NWA1123-ACv21.2.1. Foto1.2.2. allgemeine Informationen1.2.3. Paketpaket2. Testen2.1. Testbed-Konfiguration2.2. Offline-Einrichtung2.2.1. Wechseln2.2.2. Zugangspunkt2.3. Zurücksetzen2.4. Einrichtung über das Nebula Control Center2.4.1. Ein paar Worte zum Service2.4.2. NCC-Lizenzierung2.4.3. Switch mit NCC konfigurieren2.4.3.1. Registrieren des Switches bei NCC2.4.3.2. Einrichtungsprozess2.4.4. Access Point Setup2.4.4.1. Registrieren Sie den Access Point im NCC2.4.4.2. Einrichtungsprozess3. Meinung des Autors4. DankeWas testen wir?
Zyxel XGS1930-28HP Switch
Foto
allgemeine Informationen
Paketpaket
Der Schalter wird in einem Standardkarton geliefert.
Alle Teile werden in einer separaten Box kleinerer Größe zusammengebaut.
Das Paket lautet wie folgt:
1 - Schalter
2 - Bedienungsanleitung
3 - "Sicherheitswarnungen"
4 - EU-Konformitätserklärung (Informationen zur Einhaltung der EU-Vorschriften)
5 - Garantiekarte
6.7 - Rackhalterungen („Ohren“)
8 - ein Satz Gummibeine für die Desktop-Montage
9 - ein Satz Schrauben zum Befestigen von „Ohren“ am Schalter
10 - Satz Schrauben zur Montage des Schalters in einem 19-Zoll-Rack
11 - Stromkabel C13 / Schuko
Testernotizen:
Das bereitgestellte Beispiel ist ein typischer moderner L2 + PoE-Switch der Zugriffsebene.
Geeignet zum Anschließen von Endgeräten in Unternehmensnetzwerken (Small Business).
Trotz der relativ hohen Bandbreite und des Vorhandenseins von 10G-Ports ist es aus folgenden Gründen nicht für den Einsatz unter Rechenzentrumsbedingungen geeignet.
- relativ hohe Schaltverzögerung
- Fehlen einer Notstromversorgung
Die L2 + -Funktionalität ist typisch für Smart / Small Business-Bereiche anderer Anbieter (statisches Routing, L3-L4-ACL, DCHP-Relay).
Keine DHCP-Snooping-Unterstützung.
Die Verwaltungsmethoden sind begrenzt (was im Allgemeinen für Smart Switches typisch ist).
Nein:
- Vollständige Switch-Verwaltung über die CLI
- Konfigurationsoptionen über COM-Port
Zyxel Access Point NWA1123-ACv2
Foto
allgemeine Informationen
Paketpaket
1 - Zyxel NWA1123-ACv2 Access Point
2 - externes Netzteil mit UK-Stecker
3 - Schuko-Stecker (EU-Stecker) zur externen Stromversorgung
4 - Montagehalterung
5 - 2 Sätze Dübel
6 - 2 Schrauben
7 - Bedienungsanleitung
8 - Garantiekarte
10 - Sicherheitshinweise
11 - EU-Konformitätserklärung (Informationen zur Einhaltung der EU-Vorschriften)
Testen
Testbed-Konfiguration
Wir emulieren ein ziemlich typisches Netzwerk eines kleinen Büros (Small Business dagegen).
Netzwerksegmentierung:
Switch-Port-Zuordnung:
Drahtlose Netzwerke:
Testernotizen:
1. Wir verwenden den MikroTik RB750UP als Prüfstandfräser.
Es wird verwendet für:
- Beendigung von VLANs und Weiterleitung des Datenverkehrs zwischen ihnen
- Uplink-Beendigung
- statisches Routing von Internetverkehr und SNAT auf der externen Schnittstelle
Weil Die Routing-Leistung in diesem Test ist nicht kritisch - 100 Millionen Ports am Router reichen aus.
2. Im Segment vlan.MGMT verwenden wir DHCP (Zyxel-Empfehlung für eine optimale Erstkonfiguration).
3. Wir beschränken die Zugriffsbeschränkungen zwischen Segmenten des internen Netzwerks mithilfe des ACL-Switch (um uns mit dem ACL-Konfigurationsprozess vertraut zu machen).Zusammengebauter Stand:
Offline-Einrichtung
Wechseln
1. Laden Sie das Handbuch herunter und lesen Sie es.
2. Wir fangen den Schalter und einen Punkt in DHCP
3. Wechseln Sie über die IP-Adresse zur Weboberfläche des Switch.
4. Wählen Sie den Offline-Konfigurationsmodus und melden Sie sich mit dem Standardkonto an (admin / 1234).
5. Versuchen Sie, VLANs und Ports mit dem Assistenten zu konfigurieren
Testernotizen:
1. Die Funktionen des Assistenten sind sehr begrenzt. Es ist besser, die Standardeinstellungen sofort anzuwenden und zu einer vollständigen Weboberfläche zu wechseln.
Was ist los:
- Sie können nicht mehr als 5 VLANs gleichzeitig konfigurieren
- Der Trunk-Port kann nur an die gesamte Gruppe von VLANs angeschlossen werden (jedoch nicht an eine Teilmenge).
- MGMT-VLAN kann nicht geändert werden.
- Der Hybrid-Port-Betriebsmodus wird nicht unterstützt.
Der Port kann entweder nicht markiert sein (Zugriff) oder den Datenverkehr aller markierten VLANs weiterleiten (Trunk).
2. Es gibt keine Möglichkeit, über die CLI abzustimmen (was für diese Klasse von Switches im Allgemeinen normal ist):
6. Erstellen Sie das MGMT VIF über die Weboberfläche („Grundeinstellung“> „IP-Setup“> „IP-Konfiguration“).
7. Hinzufügen von Zugriffsbeschränkungen für das Gastnetzwerk.
Der Prozess ist nicht ganz intuitiv, aber einfach genug.
Es ist notwendig:
- erstellen: L2-L4 Klassifizierungsregeln ("Klassifizierer")
- Erstellen Sie Zugriffsrichtlinien basierend auf Verkehrsklassifizierungsregeln („Richtlinienregel“).
7.1. Lernen Sie den Klassifikator kennen. Gehen Sie zu "Erweiterte Anwendung"> "Klassifizierer"> "Klassifiziererkonfiguration".
Wir erstellen verschiedene Klassifizierungsregeln für das Gastnetzwerk:
7.2. Gehen Sie zu "Erweiterte Anwendung"> "Richtlinienregel" und erstellen Sie mehrere Richtlinien basierend auf Klassifizierungsregeln.
7.3. Überprüfen der Funktion der ACL:
Zugangspunkt
1. Laden Sie das Handbuch herunter und lesen Sie es
2. Gehen Sie zur Weboberfläche des Access Points
3. Melden Sie sich mit den Standardanmeldeinformationen an (admin / 1234).
4. Ändern Sie das Passwort (ein obligatorischer Schritt, ohne den Sie nicht weiter gehen können)
5. Erstellen Sie eine SSID. Einstellungen sind ziemlich tief verborgen.
5.1. Fügen Sie Sicherheitsprofile für Gast- und Unternehmensnetzwerke hinzu
"Konfiguration"> "Objekt"> "AP-Profil"> "SSID"> "Sicherheitsliste"
5.2. Hinzufügen einer Gast- und Unternehmens-SSID
"Konfiguration"> "Objekt"> "AP-Profil"> "SSID"> "SSID-Liste"
6. Gehen Sie zu „AP-Verwaltung“ und wählen Sie aus, welche SSID welchen Bereich sendet.
Angenommen, eine Gast-SSID sollte mit 2,4 + 5 GHz senden, während eine Unternehmens-SSID nur mit 5 GHz senden sollte.
7. Optional - Ändern Sie die Einstellungen der Funkschnittstellen und Sendekanäle.
Neukonfiguration der Verwaltungsschnittstelle.
"Konfiguration"> "Netzwerk"
Für unseren Fall:
- Wir ändern VID Management-VLAN'a
- Ändern Sie die IP-Adresse
- Ändern Sie den Tagging-Modus
Danach wird die Verwaltungssitzung mit dem Zugriffspunkt unterbrochen (aufgrund eines Verlusts der L2-Konnektivität).
8. Ändern Sie die Betriebsart des Access Point-Ports am Switch (Trunk statt Access).
9. Überprüfen Sie die Zugänglichkeit des Zugangspunkts über die Verwaltungsschnittstelle und den Betrieb beider SSIDs
Zurücksetzen
Am Zugangspunkt:
Auf dem Schalter:
Einrichtung über das Nebula Control Center
Ein paar Worte zum Service
Nebula Control Center (NCC) - SaaS-Lösung zur Überwachung und Verwaltung von Zyxel-Netzwerkgeräten.
Folgendes wird unterstützt:
- Schalter
- Zugangspunkte
- Sicherheitsgateways
Die Funktionalität wird
hier ausführlich beschrieben.
NCC-Lizenzierung
Es gibt 3 Arten von Lizenzen:
1. kostenlos, in der Funktionalität eingeschränkt
2. Bezahlt mit jährlicher Verlängerung
3. bezahlte Lebenszeit
Detaillierter LizenzvergleichNur die Anzahl der Geräte ist lizenziert, es gibt keinen Unterschied in der Funktionalität zwischen kostenpflichtigen Lizenzen.
In Bezug auf die kostenlose Version:1. Die Anzahl der gesteuerten Geräte ist nicht begrenzt
2. Funktionseinschränkungen beziehen sich auf:
- Sicherheit (Autorisierung an 802.1X-Ports, Möglichkeit zum Überwachen von Aktionen usw.)
- Massenkonfigurationsmanagement
- Überwachung (die Möglichkeit, Trigger zu konfigurieren, verkürzte Speicherzeiten historischer Daten)
Fazit:
Die kostenlose NCC-Lizenz kann in folgenden Produkten verwendet werden für:
- eine kleine Anzahl von Geräten (d. H. In dem Fall, in dem die Funktionalität des Massenkonfigurationsmanagements nicht erforderlich ist)
- Fehlende Anforderungen für die Langzeitspeicherung historischer Überwachungsdaten und -protokolleWechseln
Registrieren des Switches bei NCC
1. Der Registrierungsprozess ist wie folgt:
2. Registrieren Sie ein Konto auf
nebula.zyxel.com3. Wünschenswert - Wir konfigurieren die Zwei-Faktor-Authentifizierung
4. Organisation und Site erstellen
5. Wir binden das Gerät an das Konto, indem wir den QR-Code scannen oder die MAC-Adresse und die Seriennummer manuell in Nebula eingeben
6. GEWINN!
Den QR-Code finden Sie in der Weboberfläche (
"Basic"> "Cloud Management"> "Nebula Switch Registration" ) oder auf der Gerätebox.
Scannen Sie den QR-Code mit der Nebula Mobile-Anwendung (
Apple App Store ,
Google Play ).
Für Neugierige: Es wurde versucht, das Gerät unter einem anderen Konto neu zu registrieren.
Keine Fahrt;)Nach der Registrierung bei NCC:
- Schaltereinstellungen werden auf die Werkseinstellungen zurückgesetzt
- Die aktuelle Firmware und Konfiguration werden aus der Cloud in den Switch eingegossen.
- Die lokale Authentifizierung ist blockiert
- Der Schalter wird in der NCC-Weboberfläche angezeigt
Es sieht so aus:
Deschboard:
<Img src = «
lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >
Profil wechseln:
Protokolle:
Hafeninformationen:
Einrichtungsprozess
Zurück zur ursprünglichen Aufgabe und Setup wechseln
1. Konfigurieren Sie VLANs und Ports.
Access Point Port:
Router:
Terminal:
Hinweis des Testers: Für die Konfiguration über NCC werden aus irgendeinem Grund nur Hybrid- und Zugriffsmodi von Ports unterstützt (jedoch kein Trunk).
Sie können einen Port nicht konfigurieren, ohne natives VLAN / PVID anzugeben.
Alternativ können Sie nicht verwendetes VLAN in prod als PVID angeben.
2. Ändern Sie das MGMT-VLAN („Switch“> „Switch-Konfiguration“> „VLAN-Konfiguration“).
3. Konfigurieren Sie die ACL für das Gastnetzwerk.
Dies erfolgt über „Switch“> „Switch-Konfiguration“> „IP-Filterung“.
Der Regeleditor lautet wie folgt:
Tester Hinweis: Zum Vergleich werde ich noch einmal Screenshots des lokalen ACL-Editors geben.
Die Anzahl der Optionen in der Cloud verliert deutlich.
Zugangspunkt
Registrieren Sie den Access Point im NCC
Laut Dokumentation sollte der Prozess für einen neuen Zugangspunkt wie folgt ablaufen:
1. Autorisierung der Weboberfläche des Access Points
2. Ändern Sie das Standardkennwort
3. Scannen eines QR-Codes mit einer mobilen Anwendung.
Der QR-Code wird nach der Autorisierung in PopUp angezeigt.
Tester Hinweis:Wenn der QR-Code nicht angezeigt wird, ist der wahrscheinlichste Grund die veraltete Firmware (wie in meinem Fall).
Es wird wie folgt aktualisiert:
- Laden Sie die Firmware vom entsprechenden Abschnitt auf der Website des Herstellers herunter
- Packen Sie das Archiv mit Firmware aus
- Gehen Sie zu "Wartung"> "Dateimanager"> "Firmware-Paket".
- Füllen Sie die * .BIN-Datei mit der Firmware aus
- 3-5 Minuten warten Blinkvorgang läuft.
Dünne Punkte:
- Der Fortschrittsbalken „Firmware hochladen“ füllt sich während eines Flashens auf unbestimmte Zeit. Dies ist normal .
- Ein Zeichen dafür, dass der Prozess läuft, ist ein schnelles Blinken einer roten LED-Anzeige an einem Punkt.
- Ein Zeichen dafür, dass der Vorgang abgeschlossen ist und der Punkt normal funktioniert - die LED-Anzeige blinkt langsam grün.
- In diesem Fall wird nichts in der Weboberfläche angezeigt, der Fortschrittsbalken füllt sich weiterhin.
Am Ende des Blinkens aktualisieren wir die Seite.
Wir werden vom Autorisierungsfenster und dem nächsten Assistenten empfangen.
Klicken Sie auf "Abbrechen" und sehen Sie sich die aktualisierte Benutzeroberfläche und den aktualisierten QR-Code an:
Scannen Sie den QR-Code in Nebula Mobile und warten Sie 5-10 Minuten.
Während dieser Zeit:
- Die Punkteinstellungen werden auf die Werkseinstellungen zurückgesetzt
- Die aktuelle Firmware und Konfiguration werden aus der Cloud übertragen.
Anmerkung des Testers: Ein interessanter Punkt - Im Gegensatz zu einem Switch wird die lokale Autorisierung für einen Punkt nicht blockiert.
Nachdem Sie den Punkt automatisch eingestellt haben, können Sie zur Weboberfläche den Status der Verbindung zur Cloud anzeigen:
Dashboard für Zugangspunkte:
Zugangspunktprofil:
Protokollseite:
Die Protokollfilteroptionen sind geringer als bei Switches.
Einrichtungsprozess
1. Gehen Sie zum Profil des Access Points und ändern Sie das MGMT-VLAN.
2. Gehen Sie zu "AP"> "Konfigurieren"> "SSIDs", erstellen Sie eine Gast- und Unternehmens-SSID:
Vergessen Sie nicht, die zweite SSID zu aktivieren.
3. Gehen Sie zu "AP"> "Konfigurieren"> "Authentifizierung".
Erstellen Sie ein Sicherheitsprofil für die Unternehmens- und Gast-SSID.
3. Richten Sie den Radioteil ein:
4. Stellen Sie eine Verbindung zu beiden Netzwerken her und überprüfen Sie den Betrieb.
Die Meinung des Testers
1. Beim Einrichten des Geräts wurden keine kritischen Probleme festgestellt.
2. Die Verwendung von Zyxel NCC vereinfacht und beschleunigt die Einrichtung von Geräten erheblich (im Vergleich zur Offline-Konfiguration).
3. Die kostenlose NCC-Lizenz ist für die Verwendung in Produkten in den folgenden Fällen geeignet:
3.1. Kleine Menge an Ausrüstung
3.2. Fehlende Anforderungen für die Langzeitspeicherung historischer Überwachungsdaten und -protokolle
4. Die NCC-Funktionalität reicht aus, um das Gerät für typische SOHO-Fälle zu konfigurieren.
5. Ab "vorerst" - NCC ist nicht gut geeignet für Fälle, in denen eine Feinabstimmung der ACL direkt am Switch erforderlich ist - ist der "eigenständige" Regeleditor besser entwickelt.
Vielen Dank
- Kollegen von MTI für die sofortige Lieferung von Testgeräten
- Kollegen von Zyxel für konstruktive Antworten auf Fragen, die beim Schreiben dieses Artikels entstanden sind
- Leser, die dieses Blatt bis zum Ende beherrschen;)