De quoi parle l'article?1. Brève présentation et déballage du commutateur intelligent Zyxel XGS1930-28HP et du point d'accès NWA1123-ACv2
2. Description du processus d'installation:
- hors ligne
- Mode cloud à l'aide du Nebula Control Center (NCC)
3. la solution à un certain nombre de problèmes mineurs survenus au cours du processus d'installation
Pour ceux qui sont trop paresseux pour lire:1. Aucun problème critique n'a été détecté lors de l'installation de l'équipement.
2. L'utilisation de Zyxel NCC simplifie et accélère considérablement le processus de configuration de l'équipement (par rapport à une configuration hors ligne)
3. La licence NCC gratuite peut être utilisée dans prod dans les cas suivants:
3.1. Petite quantité d'équipement
3.2. Manque d'exigences pour le stockage à long terme des données de surveillance et des journaux historiques
4. La fonctionnalité NCC est suffisante pour configurer l'équipement pour les cas SOHO typiques.
5. À partir de «pour l'instant» - NCC n'est pas bien adapté aux cas dans lesquels un réglage fin de l'ACL directement sur le commutateur est requis - l'éditeur de règles «autonome» est mieux développé.
Table des matières
1. Que testons-nous?1.1. Zyxel XGS1930-28HP Switch1.1.1. La photo1.1.2. Informations générales1.1.3. Paquet de paquet1.2. Point d'accès Zyxel NWA1123-ACv21.2.1. La photo1.2.2. Informations générales1.2.3. Paquet de paquet2. Test2.1. Configuration du banc d'essai2.2. Configuration hors ligne2.2.1. Commutateur2.2.2. Point d'accès2.3. Réinitialiser2.4. Configuration à l'aide du Nebula Control Center2.4.1. Quelques mots sur le service2.4.2. Licence NCC2.4.3. Configuration d'un commutateur à l'aide de NCC2.4.3.1. Enregistrement du commutateur auprès de NCC2.4.3.2. Processus d'installation2.4.4. Configuration du point d'accès2.4.4.1. Enregistrer un point d'accès dans NCC2.4.4.2. Processus d'installation3. Opinion de l'auteur4. MerciQue testons-nous?
Zyxel XGS1930-28HP Switch
La photo
Informations générales
Paquet de paquet
L'interrupteur est livré dans une boîte en carton standard.
Toutes les pièces sont assemblées dans une boîte séparée de plus petite taille.
Le package est le suivant:
1 - interrupteur
2 - manuel d'utilisation
3 - «Avertissements de sécurité»
4 - Déclaration de conformité UE (informations de conformité à la réglementation de l'UE)
5 - carte de garantie
6.7 - supports de rack («oreilles»)
8 - un ensemble de «pieds» en caoutchouc pour montage sur bureau
9 - un ensemble de boulons pour fixer les «oreilles» à l'interrupteur
10 - jeu de boulons pour monter l'interrupteur dans un rack 19 ”
11 - câble d'alimentation C13 / Schuko
Notes du testeur:
L'échantillon fourni est un commutateur PoE L2 + PoE moderne typique.
Convient pour la connexion d'appareils terminaux dans les réseaux d'entreprise (petites entreprises).
Malgré la bande passante relativement élevée et la présence de ports 10G, il ne convient pas pour une utilisation dans des conditions de centre de données en raison de:
- retard de commutation relativement élevé
- absence d'alimentation de secours
La fonctionnalité L2 + est typique des lignes Smart / Small Business d'autres fournisseurs (routage statique, L3-L4 ACL, relais DCHP).
Pas de prise en charge de l'espionnage DHCP.
Les méthodes de gestion sont limitées (ce qui est généralement typique des commutateurs intelligents)
Non:
- gestion complète des commutateurs via la CLI
- options de configuration via le port COM
Point d'accès Zyxel NWA1123-ACv2
La photo
Informations générales
Paquet de paquet
1 - Point d'accès Zyxel NWA1123-ACv2
2 - alimentation externe avec prise UK
3 - Fiche Schuko (EU Plug) pour alimentation externe
4 - support de montage
5-2 jeux de chevilles
6-2 vis
7 - manuel d'utilisation
8 - carte de garantie
10 - Avertissements de sécurité
11 - Déclaration de conformité UE (informations de conformité à la réglementation de l'UE)
Test
Configuration du banc d'essai
Nous émulons un réseau assez typique d'un petit bureau (Small Business, d'autre part).
Segmentation du réseau:
Allocation des ports de commutation:
Réseaux sans fil:
Notes du testeur:
1. Nous utilisons le MikroTik RB750UP comme routeur de banc d'essai.
Il est utilisé pour:
- terminaison des VLAN et acheminement du trafic entre eux
- terminaison de liaison montante
- routage statique du trafic Internet et SNAT sur l'interface externe
Parce que les performances de routage dans ce test ne sont pas critiques - 100M de ports sur le routeur seront suffisants.
2. Dans le segment vlan.MGMT, nous utilisons DHCP (recommandation Zyxel pour une configuration initiale optimale)
3. Nous restreignons les restrictions d'accès entre les segments du réseau interne à l'aide du commutateur ACL (afin de nous familiariser avec le processus de configuration ACL).Support assemblé:
Configuration hors ligne
Commutateur
1. Téléchargez le manuel, lisez.
2. Nous attrapons le commutateur et un point dans DHCP
3. Accédez à l'interface Web du commutateur par adresse IP.
4. Sélectionnez le mode de configuration hors ligne, connectez-vous en utilisant le compte par défaut (admin / 1234)
5. Essayer de configurer des VLAN et des ports à l'aide de l'assistant
Notes du testeur:
Les capacités de l'assistant sont très limitées, il est préférable d'appliquer immédiatement les paramètres par défaut et de passer à une interface Web complète.
Quel est le problème:
- Vous ne pouvez pas configurer plus de 5 VLAN à la fois
- Le port de jonction ne peut être connecté qu'à l'ensemble des VLAN (mais pas à un sous-ensemble).
- Impossible de modifier MGMT VLAN.
- le mode de fonctionnement du port hybride n'est pas pris en charge.
Le port peut être non balisé (accès) ou transmettre le trafic de tous les VLAN balisés (tronc)
2. Il n'y a aucune possibilité de réglage via la CLI (en fait, ce qui est généralement normal pour cette classe de commutateurs):
6. Créez le MGMT VIF via l'interface Web ("Paramètres de base"> "Configuration IP"> "Configuration IP")
7.Ajout de restrictions d'accès au réseau invité.
Le processus n'est pas entièrement intuitif, mais assez simple.
Il faut:
- créer: règles de classification L2-L4 («Classificateur»)
- créer des politiques d'accès basées sur des règles de classification du trafic («règle de politique»)
7.1. Apprenez à connaître le classificateur. Allez dans «Application avancée»> «Classificateur»> «Configuration du classificateur»
Nous créons plusieurs règles de classification pour le réseau invité:
7.2. Allez dans «Application avancée»> «Règle de politique» et créez plusieurs politiques basées sur des règles de classification.
7.3. Vérification du fonctionnement de l'ACL:
Point d'accès
1. Téléchargez le manuel, lisez
2. Accédez à l'interface Web du point d'accès
3. Connectez-vous avec les informations d'identification par défaut (admin / 1234)
4. Modifiez le mot de passe (étape obligatoire, vous n'obtiendrez plus
5. Créez un SSID. Les paramètres sont masqués assez profondément.
5.1. Ajouter des profils de sécurité pour les réseaux invités et d'entreprise
"Configuration"> "Objet"> "Profil AP"> "SSID"> "Liste de sécurité"
5.2.Ajout d'un SSID invité et d'entreprise
"Configuration"> "Objet"> "Profil AP"> "SSID"> "Liste SSID"
6. Allez dans "AP Management" et sélectionnez le SSID qui diffusera quelle plage.
Supposons qu'un SSID invité devrait diffuser en 2,4 + 5 GHz, tandis qu'un SSID d'entreprise ne devrait diffuser qu'en 5 GHz.
7. Facultatif - modifiez les paramètres des interfaces radio et des canaux de diffusion.
Reconfiguration de l'interface de gestion.
"Configuration"> "Réseau"
Pour notre cas:
- nous changeons VID Management-VLAN'a
- changer l'adresse IP
- changer le mode de marquage
Après cela, la session de gestion avec le point d'accès sera interrompue (en raison de la perte de connectivité L2).
8. Modifiez le mode de fonctionnement du port du point d'accès sur le commutateur (jonction au lieu d'accès)
9. Vérifiez l'accessibilité du point d'accès via l'interface de gestion et le fonctionnement des deux SSID
Réinitialiser
Au point d'accès:
Sur l'interrupteur:
Configuration à l'aide du Nebula Control Center
Quelques mots sur le service
Nebula Control Center (NCC) - Solution SaaS pour la surveillance et la gestion des équipements réseau Zyxel.
Les éléments suivants sont pris en charge:
- interrupteurs
- points d'accès
- passerelles de sécurité
La fonctionnalité est décrite en détail
ici .
Licence NCC
Il existe 3 types de licences:
1. gratuit, limité en fonctionnalités
2. Payé avec renouvellement annuel
3. durée de vie payée
Comparaison détaillée des licencesSeul le nombre d'appareils est sous licence, il n'y a pas de différence de fonctionnalité entre les licences payantes.
Concernant la version gratuite:1. le nombre d'appareils contrôlés n'est pas limité
2. les limitations fonctionnelles concernent:
- sécurité (autorisation sur les ports 802.1X, possibilité d'auditer les actions, etc.)
- gestion de configuration de masse
- surveillance (possibilité de configurer des déclencheurs, périodes de stockage raccourcies des données historiques)
Conclusion:
La licence NCC gratuite est utilisable en prod pour:
- un petit nombre d'équipements (c'est-à-dire dans le cas où la fonctionnalité de gestion de configuration de masse n'est pas revendiquée)
- manque d'exigences pour le stockage à long terme des données et journaux de surveillance historiquesCommutateur
Enregistrement du commutateur auprès de NCC
1. Le processus d'inscription est le suivant:
2. Créez un compte sur
nebula.zyxel.com3. Souhaitable - nous configurons l'authentification à deux facteurs
4. Créer une organisation et un site
5. Nous lions l'appareil au compte en scannant le code QR ou en entrant manuellement l'adresse MAC et le numéro de série dans Nebula
6. PROFIT!
Le code QR se trouve dans l'interface Web (
«Basique»> «Gestion du cloud»> «Enregistrement du commutateur de nébuleuse» ) ou sur la boîte de l'appareil.
Scannez le code QR à l'aide de l'application Nebula Mobile (
Apple App Store ,
Google Play )
Pour les curieux: une tentative a été faite pour réenregistrer l'appareil sous un autre compte.
Pas un tour;)Après vous être inscrit auprès de la CCN:
- les paramètres de commutation sont réinitialisés à l'usine
- le firmware et la configuration actuels sont versés dans le commutateur depuis le cloud.
- l'authentification locale est bloquée
- le commutateur apparaît dans l'interface Web NCC
Cela ressemble à ceci:
Tableau:
<Img src = «
lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >
Profil de commutateur:
Journaux:
Informations sur le port:
Processus d'installation
Retour à la tâche d'origine et configuration du commutateur
1. Configurez les VLAN et les ports.
Port du point d'accès:
Routeur:
Terminal:
Testeur Remarque: pour la configuration via NCC, pour une raison quelconque, seuls les modes hybrides et d'accès des ports sont pris en charge (mais pas les troncs).
Vous ne pouvez pas configurer un port sans spécifier VLAN / PVID natif.
Alternativement, vous pouvez spécifier le VLAN inutilisé dans prod comme PVID.
2. Modifiez le MGMT-VLAN ("Switch"> "Switch Configuration"> "VLAN Configuration")
3. Configurez l'ACL pour le réseau invité.
Cela se fait via «Switch»> «Switch Configuration»> «IP Filtering».
L'éditeur de règles est le suivant:
Note du testeur: à titre de comparaison, je vais à nouveau donner des captures d'écran de l'éditeur ACL local.
Le cloud perd clairement en nombre d'options.
Point d'accès
Enregistrer un point d'accès dans NCC
Selon la documentation, pour un nouveau point d'accès, le processus devrait se dérouler comme suit:
1. Autorisation de l'interface web du point d'accès
2. Modifiez le mot de passe par défaut
3. Numérisation d'un code QR à l'aide d'une application mobile.
Le code QR apparaît dans PopUp après autorisation.
Remarque du testeur:Si le code QR ne s'affiche pas, la raison la plus probable est le firmware obsolète (comme cela s'est produit dans mon cas).
Il est mis à jour comme suit:
- télécharger le firmware à partir de la section correspondante du site Web du fabricant
- décompressez l'archive avec le firmware
- allez dans «Maintenance»> «File Manager»> «Firmware Package»
- remplissez le fichier * .BIN avec le firmware
- attendez 3-5 minutes Processus de clignotement en cours.
Points minces:
- La barre de progression «Téléchargement du firmware» se remplit indéfiniment lors d'un clignotement, c'est normal .
- Un signe que le processus est en cours est un clignotement rapide d'un indicateur LED rouge sur un point.
- Un signe que le processus est terminé et que le point fonctionne normalement - le voyant LED clignote lentement en vert.
- Dans ce cas, rien ne s'affiche dans l'interface Web, la barre de progression continuera de se remplir.
À la fin du clignotement, nous actualisons la page.
Nous sommes accueillis par la fenêtre d'autorisation et le prochain assistant.
Cliquez sur «Annuler» et voyez l'interface mise à jour et le code QR:
Scannez le code QR dans Nebula Mobile, attendez 5 à 10 minutes.
Pendant ce temps:
- les paramètres de points sont réinitialisés à l'usine
- le firmware et la configuration actuels sont versés depuis le cloud.
Note du testeur: un point intéressant - contrairement à un switch, l'autorisation locale sur un point n'est pas bloquée.
Après avoir réglé automatiquement le point, vous pouvez accéder à l'interface Web et voir l'état de la connexion au cloud:
Tableau de bord des points d'accès:
Profil du point d'accès:
Page de journal:
Les options de filtrage des journaux sont inférieures à celles des commutateurs.
Processus d'installation
1. Accédez au profil du point d'accès, modifiez le MGMT VLAN.
2. Allez dans «AP»> «Configurer»> «SSID», créez un SSID invité et d'entreprise:
N'oubliez pas d'activer le deuxième SSID.
3. Allez dans "AP"> "Configurer"> "Authentification".
Créez un profil de sécurité pour le SSID d'entreprise et invité.
3. Configurez la partie radio:
4. Connectez-vous aux deux réseaux, vérifiez le fonctionnement.
Opinion du testeur
1. Aucun problème critique n'a été détecté lors de l'installation de l'équipement.
2. L'utilisation de Zyxel NCC simplifie et accélère considérablement le processus de configuration de l'équipement (par rapport à une configuration hors ligne)
3. La licence NCC gratuite peut être utilisée dans prod dans les cas suivants:
3.1. Petite quantité d'équipement
3.2. Manque d'exigences pour le stockage à long terme des données de surveillance et des journaux historiques
4. La fonctionnalité NCC est suffisante pour configurer l'équipement pour les cas SOHO typiques.
5. À partir de «pour l'instant» - NCC n'est pas bien adapté aux cas dans lesquels un réglage fin de l'ACL directement sur le commutateur est requis - l'éditeur de règles «autonome» est mieux développé.
Je vous remercie
- des collègues du MTI pour une livraison rapide des équipements de test
- des collègues de Zyxel pour des réponses constructives aux questions qui se sont posées lors de la rédaction de cet article
- lecteurs ayant maîtrisé cette fiche jusqu'au bout;)