Nebulosa Zyxel: facilidad de administración como base para el ahorro

En lugar del prólogo

Este artículo está dedicado a cosas completamente "no técnicas" como la simplicidad y la facilidad de administración. No se trata de ergonomía y varias características de la interfaz, sino de un enfoque integrado.

¿Qué simplifica el sistema de control?

Si pregunta sobre esto, por ejemplo, un administrador regular, puede escuchar las siguientes respuestas:

"Bueno, será más conveniente trabajar ..."
"Una vez más, no tienes que correr a la sala de servidores o escribir de guardia, llama ..."
"Pero para mí, si solo funcionara de alguna manera, el administrador está durmiendo, el tráfico está encendido" ...

De hecho, la respuesta a esta pregunta es bastante simple: cuanto más simple es la administración del sistema, más tiempo y dinero puede ahorrar.

Se podría decir que esto es cierto solo para principiantes. Y tan pronto como el especialista de TI recibe el estado de un gurú de la red, comienza a resolver los problemas de la red "de una vez" y la gestión inconveniente se compensa con el conocimiento y la experiencia.

Pero esto no es así.

El hecho es que la mayor parte del volumen total de operaciones para establecer y mantener una red de cualquier complejidad está ocupada por operaciones de rutina. Y cuanto más compleja sea la red, mayores serán las calificaciones de un administrador de red. Y eso significa: cuanto más dinero pierde la organización en las operaciones de rutina.

Al mismo tiempo, para especialistas menos experimentados, cada operación de administración del sistema lleva aún más tiempo.

Resulta una paradoja: independientemente de las calificaciones del administrador de la red, aún no puede evitar la pérdida de dinero debido a un sistema de administración de infraestructura de red ineficaz.

Es posible decir para cada caso específico que aquí perdieron más, aquí perdieron menos, pero en general nadie ha logrado evitar tales costos.

¿A dónde va el tiempo?

Hasta ahora, solo hemos hablado palabras generales: ineficiente, incómodo, incómodo ...
Pero, ¿qué es realmente un sistema efectivo?

¿Se trata de diseño? El diseño, por supuesto, es importante, pero el hecho es que todas las personas son diferentes. Y muchas soluciones de diseño creadas para algunas personas categóricamente no son adecuadas para otras. Es por eso que todavía hay varias aplicaciones de terceros para administrar este o aquel hardware y software.

¿Qué es una rutina? Esto es cuando tienes que hacer un montón de pequeñas operaciones repetitivas. O viceversa, para realizar un cierto conjunto de muchas acciones diferentes, la conexión entre las cuales, a veces, no parece del todo obvia.

Uno de los puntos clave es la presencia o ausencia de un enfoque integrado. Si es posible desarrollar algunos patrones generales y basarse en ellos para crear herramientas apropiadas para facilitar la gestión, esta es una gran ayuda.

Una rutina es cuando cada dispositivo tiene que configurarse por separado y solo en casos excepcionales es posible aplicar algún tipo de pieza de trabajo, como plantillas de archivos de configuración.

Otra cosa es si el administrador de la red puede preconfigurar y posteriormente aplicar cualquier plantilla, política o configuración de grupo.

En pocas palabras, es bueno cuando no tienes que pasar tu tiempo configurando constantemente todo y todo. Y, en consecuencia, documentación constante.

Para hacer esto, debe construir de manera independiente algún tipo de infraestructura de red unificada, a menudo utilizando desarrollos de compañías de terceros, y solo entonces puede usar los resultados de su arduo trabajo.

Y de nuevo, ¿de regreso a donde venimos? A los costos, ahora para la construcción del sistema?

Sería mucho mejor si, junto con el equipo de red, inmediatamente, "listo para usar", un sistema de gestión unificado comienza a funcionar.

Tal oportunidad ya existe.

Nebulosa Zyxel como símbolo de facilidad de operación

Como se mencionó anteriormente, cuando todo el equipo de red se conecta milagrosamente a un solo nodo de control, trabajar con él es mucho más fácil.

Tomemos, por ejemplo, una tarea tan simple como configurar una VPN.

Si crea un sistema similar en las puertas de enlace de red administradas por el método tradicional, tendrá que dedicar mucho tiempo y esfuerzo.

Examinemos la situación cuando se construye un canal IPsec entre dos puertas de enlace de hardware ZyWALL USG 50 y ZyWALL USG 100.

Nota Esta descripción se proporciona principalmente para mostrar las características de la configuración paso a paso de dos puertas de enlace de red de la manera tradicional. Independientemente de si utilizará la interfaz basada en web o de línea de comandos, aún debe completar todos estos pasos de configuración.

Los siguientes pasos deben realizarse en el ZyWALL USG 50:

1. En el menú Red - Interfaz - Ethernet , configure una dirección IP estática en la interfaz wan1.
2. En el menú Objeto - Dirección, cree un objeto en el que se indicará la subred remota.
3. Para crear un túnel IPSec, vaya al menú VPN - VPN IPSec - VPN Gateway y cree una nueva regla con la dirección IP de la puerta de enlace VPN remota.
4. En el campo Mi dirección - Interfaz , especifique la interfaz wan1, y en el campo Dirección de puerta de enlace par - Dirección estática especifique la dirección IP de la puerta de enlace con la que el ZyWALL USG 50 establecerá un túnel VPN. Y en el campo Clave precompartida: una clave acordada previamente, que debe coincidir en ambos lados del túnel.
5. Después de hacer la configuración de VPN Gateway, vaya al menú VPN - VPN IPSec - Conexión VPN para configurar aún más la conexión VPN.
6. En la sección Escenario de aplicación , debe seleccionar el valor de sitio a sitio, y en el campo VPN Gateway , se requiere una regla predefinida.
7. En el campo Política local, especifique la subred local y en el campo Política remota, especifique la subred remota
8. A continuación, desde el menú Red - Zona, debe editar la zona IPSec_VPN, de la cual será miembro la conexión VPN creada anteriormente.
9. Después de eso, desde el menú Red - Firewall, debe crear una regla de firewall para pasar el tráfico de red desde el túnel VPN a la subred local. A continuación, indique la dirección que regula el tráfico en relación con la zona IPSec_VPN, donde ingresa el túnel IPSec creado.

Nota El firewall en la puerta de enlace de hardware ZyWALL USG 100 está configurado de la misma manera.

Eso no es todo. Pasemos a configurar el ZyWALL USG 100

1. En el menú Red - Interfaz - Ethernet , configure una dirección IP estática en wan1.
2. En el menú Objeto - Dirección, debe crear un objeto en el que se indicará la subred remota.
3. Para crear un túnel IPSec, use el menú VPN - VPN IPSec - VPN Gateway para crear una nueva regla con la dirección IP de la puerta de enlace VPN remota.
4. En el campo Mi dirección - Interfaz , debe especificar la interfaz wan1, y en el campo Dirección de puerta de enlace par - Dirección estática, especifique la dirección IP de la puerta de enlace con la que el ZyWALL USG 100 establecerá un túnel VPN. En el campo Clave precompartida: ingrese una clave previamente acordada, que debe coincidir en ambos lados del túnel.
5. Después de configurar la puerta de enlace VPN, deberá ir al menú VPN - VPN IPSec - Conexión VPN para configurar aún más la conexión VPN.
6. En la sección Escenario de aplicación , seleccione el valor Sitio a sitio y en el campo VPN Gateway , seleccione una regla predefinida.
7. En el campo Política local, debe especificar la subred local, y en el campo Política remota, la subred remota.
8. A continuación, debe configurar el firewall en el ZyWALL USG 100. Se configura de la misma manera que en el ZyWALL USG 50.

Finalmente, se crea la conexión VPN.

Como dije anteriormente, el propósito de esta breve descripción era demostrar una gran cantidad de configuraciones en equipos con controles tradicionales. Una descripción completa con todos los detalles se puede leer aquí .

Por supuesto, varios proveedores pueden tener diferentes pasos. Pero en general, el significado permanece: primero, realizamos la configuración paso a paso en un nodo, luego en el segundo. Si cometió un error o no tuvo en cuenta algo, verificamos y verificamos todo desde el primer paso.

Si la empresa tiene una infraestructura de red desarrollada, con este método de administración, el administrador de la red no se aburrirá.

Y en la Nebulosa Zyxel en dispositivos, es suficiente para habilitar VPN y especificar la subred, como se muestra en la Figura 1. Y como a los usuarios comunes les gusta decir: "Funcionará por sí solo".


Figura 1. Configuración de VPN en la Nebulosa Zyxel

Políticas y configuración general

Como regla general, en cada unidad de infraestructura, la infraestructura de TI ubicada fuera del perímetro de la red, se utilizan configuraciones comunes.

En ausencia de herramientas de automatización, el administrador debe conectarse a cada dispositivo y editar la configuración manualmente allí.

Pero incluso si utiliza espacios en blanco creados previamente, el proceso de configuración puede llevar mucho tiempo. Descargar un archivo de configuración preparado previamente para cada dispositivo es, en principio, un trabajo serio. Sin mencionar el proceso de preparación de dicho archivo

En la Nebulosa Zyxel, este proceso es mucho más simple.

Todas las configuraciones se aplican inmediatamente a todos los dispositivos que pertenecen a un sitio.

Y si necesita transferir la configuración de una organización (Organización) a otra, entonces se utiliza el menú Organización - Sincronización de configuración. Allí puede elegir qué configuraciones transferir y a qué organizaciones o dispositivos. Y la capacidad de transferir configuraciones aumentará gradualmente con el desarrollo de la Nebulosa Zyxel.


Figura 2. Sección Configuración Sincronización Nebulosa Zyxel

Sobre contabilidad y cualquier otra contabilidad

Bueno, en conclusión, me gustaría recordar un deber tan maravilloso del personal de TI como el inventario y la contabilidad de los equipos.

Por supuesto, de acuerdo con la lógica y las descripciones de trabajo, la contabilidad debe hacer esto. Pero en Rusia es raro cuando un contador es capaz de llevar a cabo la contabilidad normal del equipo sin involucrar a un departamento de TI.

La contabilidad no solo escribe en su 1C, sino que no siempre tiene ningún significado técnico. Con el mismo éxito, es posible anotar todos los conmutadores, enrutadores, etc. como "punto 1", "punto 2", "punto 3" si solo las cantidades se indicaron correctamente teniendo en cuenta la depreciación.

A menudo ocurre cuando los especialistas de TI llevan a cabo su "contabilidad" interna para comprender qué equipo se encuentra, quién está en la lista y dónde se está moviendo.

Y aquí Zyxel Nebula también puede proporcionar un servicio invaluable.

Primero, los dispositivos de red ya están integrados en una sola base de datos.
En segundo lugar, ya están asignados a una u otra rama.
En tercer lugar, puede obtener de forma fácil y sencilla información como el número de serie, la fecha de inicio de la operación e incluso mirar el mapa de Google donde se encuentra ahora.

Esta información aparece automáticamente en la base de datos de la Nebulosa Zyxel; no es necesario ingresarla manualmente, como, por ejemplo, en el sistema de contabilidad.

No menos interesante es el proceso de contabilización de inicios de sesión y contraseñas

Cualquier especialista más calificado es una persona común. Quién puede enfermarse, enamorarse, decidir dejar todo y sacudirse hasta el fin del mundo o simplemente olvidar la contraseña.

Por lo tanto, de una forma u otra, un sistema de contabilidad de contraseñas está presente en cada organización. Otra cosa es que se puede organizar de diferentes maneras.

Por ejemplo, el CIO puede registrar todas las contraseñas en su cuaderno. Parece conveniente y el transportista no es volátil y lo almacena la persona responsable. Pero no siempre es conveniente informar al querido jefe de cada nuevo cambio de detalles de acceso, especialmente durante el trabajo nocturno. Y luego todo está olvidado. Nuevamente, despertar a su jefe en medio de la noche para que le solicite la contraseña; por supuesto, es posible, pero de alguna manera no es completamente humano.
Hay otra opción: cuando el CIO pierde el codiciado portátil y ... es mejor no pensar en ello en absoluto.

Todavía hay una opción para usar todo tipo de programas para la contabilidad de contraseñas. Con encriptación y otras grandes cosas.

Pero tarde o temprano surge una situación descrita en una de las leyes de Murphy: "La llave de la sala médica de emergencia se almacena en la sala médica de emergencia". Es decir, para acceder al programa de almacenamiento de contraseñas, necesita conocer una contraseña, o incluso más de una, por ejemplo, una contraseña para acceder a una estación de trabajo, una contraseña para acceder a un recurso de red, una contraseña para abrir el programa en sí ...

Con la Nebulosa Zyxel, esto es muy fácil de resolver. El propietario registra la infraestructura por sí mismo y agrega un administrador a la administración.

Para el administrador, el acceso a los dispositivos se realiza de acuerdo con los derechos otorgados. Solo necesita ir a la nube.

Si el administrador ha perdido la contraseña, cambiar no es un problema. Si el administrador se fue, el propietario lo elimina y agrega uno nuevo.

Conclusión

En resumen, quiero prestar atención a la aritmética simple. Vea cuánto texto ocupa la descripción de las soluciones tradicionales y cuánto: la administración con Zyxel Nebula.

Estos números simples hablan por sí mismos.

Fuentes

[1] Una página en el sitio web oficial de Zyxel dedicada a Nebula.

[2] A. Lakhtin. Un ejemplo de cómo crear un túnel VPN IPSec simple entre dos puertas de enlace de hardware de la serie ZyWALL USG . Artículo de base de conocimiento.

[3] La nube de supernova de la Nebulosa Zyxel es una forma económica de seguridad. ?

[4] Nebulosa Zyxel y crecimiento de la empresa .

[5] No tenemos miedo a las "nubes" .