Geekly articles weekly

Mengkonfigurasi peralatan pintar Zyxel dalam mode mandiri dan cloud



Tentang apa artikel itu?
1. Tinjauan singkat dan unboxing smart switch Zyxel XGS1930-28HP dan titik akses NWA1123-ACv2

2. Deskripsi proses pengaturan:

  • offline
  • Mode cloud menggunakan Nebula Control Center (NCC)

3. Solusi untuk sejumlah masalah kecil yang dihadapi selama proses pengaturan

Bagi mereka yang terlalu malas untuk membaca:
1. Tidak ditemukan masalah kritis saat menyiapkan peralatan.

2. Menggunakan Zyxel NCC sangat menyederhanakan dan mempercepat proses pengaturan peralatan (dibandingkan dengan konfigurasi offline)

3. Lisensi NCC gratis cocok untuk digunakan dalam kasus-kasus berikut:
3.1. Sejumlah kecil peralatan
3.2. Kurangnya persyaratan untuk penyimpanan jangka panjang dari data dan log pemantauan historis

4. Fungsi NCC cukup untuk mengkonfigurasi peralatan untuk kasus SOHO yang khas.

5. Pada "untuk saat ini" - NCC tidak cukup cocok untuk kasus yang memerlukan ACL fine tuning langsung pada saklar - editor aturan "berdiri sendiri" lebih baik dikembangkan.

Isi


1. Apa yang kami uji?
1.1. Zyxel XGS1930-28HP Beralih
1.1.1. Foto
1.1.2. Informasi umum
1.1.3. Paket bundel

1.2. Zyxel Access Point NWA1123-ACv2
1.2.1. Foto
1.2.2. Informasi umum
1.2.3. Paket bundel

2. Pengujian
2.1. Konfigurasi yang diuji

2.2. Pengaturan Offline
2.2.1. Beralih
2.2.2. Jalur akses

2.3. Setel ulang

2.4. Pengaturan menggunakan Pusat Kontrol Nebula
2.4.1. Beberapa kata tentang layanan ini
2.4.2. Lisensi NCC

2.4.3. Mengkonfigurasi Switch Menggunakan NCC
2.4.3.1. Mendaftarkan Switch dengan NCC
2.4.3.2. Proses pengaturan

2.4.4. Pengaturan Titik Akses
2.4.4.1. Daftarkan Jalur Akses di NCC
2.4.4.2. Proses pengaturan

3. Opini penulis

4. Terima kasih

Apa yang kami uji?


Zyxel XGS1930-28HP Beralih


Foto









Informasi umum


Pabrikan
Zyxel
Model
XGS1930-28HP
Ganti tipe
L2 +
Jumlah port RJ45 1G dengan dukungan PoE 802.3at
24
Anggaran PoE
375 W (hingga 15,4 W pada semua port, maks. 30 W / port)
10G SFP + Ports
4
Jumlah PSU
1
Dukungan Susun
tidak
Kemampuan pemantauan dan manajemen
- antarmuka web
- SNMP v1-3
- RMON
- CLI terbatas
- Manajemen "cloud" menggunakan SaaS dari produsen
Spesifikasi lengkap
www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP--Uplink-XGS1930-Series/specifications

Paket bundel


Saklar tersedia dalam kotak kardus standar.
Semua bagian dirakit dalam kotak terpisah dengan ukuran lebih kecil.

Paketnya adalah sebagai berikut:


1 - beralih
2 - manual pengguna
3 - “Peringatan Keselamatan”
4 - Pernyataan Kesesuaian UE (Informasi Kepatuhan Peraturan UE)
5 - kartu garansi
6.7 - dudukan rak ("telinga")
8 - satu set "kaki" karet untuk pemasangan di desktop
9 - satu set baut untuk memasang "telinga" ke sakelar
10 - set baut untuk memasang sakelar di rak 19 ”
11 - kabel daya C13 / Schuko

Catatan penguji:
Sampel yang disediakan adalah saklar tingkat akses L2 + PoE modern yang khas.
Cocok untuk menghubungkan perangkat akhir di jaringan perusahaan (Usaha Kecil).

Meskipun bandwidth yang relatif tinggi dan kehadiran port 10G, itu tidak cocok untuk digunakan dalam kondisi pusat data karena:
- delay switching yang relatif tinggi
- kurangnya catu daya cadangan

Fungsionalitas L2 + adalah tipikal untuk lini Smart / Small Business dari vendor lain (routing statis, L3-L4 ACL, DCHP Relay).
Tidak ada dukungan pengintai DHCP.

Metode manajemen terbatas (yang umumnya tipikal untuk sakelar pintar)
Tidak
- Manajemen saklar penuh melalui CLI
- opsi konfigurasi melalui port COM


Zyxel Access Point NWA1123-ACv2



Foto









Informasi umum


Pabrikan
Zyxel
Model
NWA1123-ACv2
Rentang frekuensi yang didukung
2,4 GHz (IEEE802.11 b / g / n)
5 GHz: (IEEE 802.11 a / n / ac)
Jumlah Modul Radio
2
Antena
2T2R MIMO
Port Ethernet
1x1G RJ45
Nutrisi
802.3af / at atau PSU lokal
Kemampuan pemantauan dan manajemen
- antarmuka web
- SNMP v1-3
- RMON
- CLI
- Manajemen "cloud" menggunakan SaaS dari produsen
Spesifikasi lengkap
www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/spesifikasi

Paket bundel



1 - Zyxel NWA1123-ACv2 Access Point
2 - catu daya eksternal dengan UK Plug
3 - colokan Schuko (EU Plug) untuk catu daya eksternal
4 - pemasangan mount
5 - 2 set pena
6 - 2 sekrup
7 - manual pengguna
8 - kartu garansi
10 - Peringatan Keselamatan
11 - Pernyataan Kesesuaian UE (Informasi Kesesuaian Peraturan UE)

Pengujian


Konfigurasi yang diuji


Kami meniru jaringan kantor kecil yang cukup khas (Usaha Kecil, di sisi lain).

Segmentasi jaringan:



Ganti Alokasi Port:



Jaringan nirkabel:



Catatan penguji:
1. Kami menggunakan MikroTik RB750UP sebagai router tes bangku.

Ini digunakan untuk:

- terminasi VLAN dan lalu lintas perutean di antara keduanya
- terminasi uplink
- Routing statis lalu lintas Internet dan SNAT pada antarmuka eksternal

Karena kinerja routing dalam tes ini tidak kritis - port 100M pada router akan cukup.

2. Di segmen vlan.MGMT, kami menggunakan DHCP (rekomendasi Zyxel untuk konfigurasi awal yang optimal)

3. Kami membatasi pembatasan akses antara segmen jaringan internal menggunakan saklar ACL (untuk membiasakan diri dengan proses konfigurasi ACL).

Berdiri dirakit:



Pengaturan Offline


Beralih


1. Unduh manual, baca.
2. Kami menangkap sakelar dan titik di DHCP
3. Buka antarmuka web sakelar menurut alamat IP.
4. Pilih mode konfigurasi offline, masuk menggunakan akun default (admin / 1234)



5. Mencoba mengkonfigurasi VLAN dan port menggunakan Wizard



Catatan penguji:

1. Kemampuan Wizard sangat terbatas, lebih baik segera menerapkan pengaturan default dan beralih ke antarmuka web penuh.

Apa yang salah:

- Anda dapat mengonfigurasi tidak lebih dari 5 VLAN sekaligus
- Port trunk hanya dapat dilampirkan ke seluruh rangkaian VLAN (tetapi bukan subset).
- Tidak dapat mengubah MGMT VLAN.
- tidak ada dukungan untuk mode port hybrid.
Port dapat tidak diberi tag (akses) atau melewatkan lalu lintas semua VLAN yang ditandai (trunk)

2. Tidak ada kemungkinan penyetelan melalui CLI (pada kenyataannya, yang umumnya normal untuk kelas sakelar ini):




6. Buat MGMT VIF melalui antarmuka web ("Pengaturan dasar"> "Pengaturan IP"> "Konfigurasi IP")

7. Menambahkan batasan akses untuk jaringan tamu.

Prosesnya tidak sepenuhnya intuitif, tetapi cukup sederhana.

Itu perlu:

- buat: aturan klasifikasi L2-L4 ("Klasifikasi")
- membuat kebijakan akses berdasarkan aturan klasifikasi lalu lintas ("Aturan kebijakan")

7.1. Kenali penggolongnya. Pergi ke "Aplikasi Lanjutan"> "Klasifikasi"> "Konfigurasi Klasifikasi"





Kami membuat beberapa aturan klasifikasi untuk jaringan tamu:



7.2. Pergi ke "Aplikasi Lanjutan"> "Aturan Kebijakan" dan buat beberapa kebijakan berdasarkan aturan klasifikasi.





7.3. Periksa ACL:



Jalur akses


1. Unduh manual, baca
2. Buka antarmuka web dari titik akses
3. Masuk dengan kredensial default (admin / 1234)
4. Ubah kata sandi (langkah wajib, Anda tidak akan bisa melangkah lebih jauh tanpa ini)
5. Buat SSID. Pengaturan disembunyikan cukup dalam.

5.1. Tambahkan profil keamanan untuk jaringan tamu dan perusahaan
"Konfigurasi"> "Objek"> "Profil AP"> "SSID"> "Daftar keamanan"





5.2.Tambahkan tamu dan SSID perusahaan
"Konfigurasi"> "Objek"> "Profil AP"> "SSID"> "Daftar SSID"



6. Buka "Manajemen AP" dan pilih SSID mana yang akan menyiarkan rentang apa.
Misalkan tamu SSID harus disiarkan dalam 2,4 + 5 GHz, sedangkan SSID perusahaan hanya boleh disiarkan dalam 5 GHz.



7. Opsional - ubah pengaturan antarmuka radio dan saluran siaran.

Mengkonfigurasi ulang antarmuka manajemen.

"Konfigurasi"> "Jaringan"

Untuk kasus kami:

- kami mengubah Manajemen VID-VLAN'a
- ubah alamat IP
- ubah mode penandaan

Setelah itu, sesi manajemen dengan titik akses akan terputus (karena kehilangan konektivitas L2).

8. Ubah mode pengoperasian port titik akses pada sakelar (trunk alih-alih akses)



9. Periksa aksesibilitas titik akses melalui antarmuka manajemen dan pengoperasian kedua SSID




Setel ulang


Di titik akses:
Di sakelar:



Pengaturan menggunakan Pusat Kontrol Nebula


Beberapa kata tentang layanan ini


Nebula Control Center (NCC) - solusi SaaS untuk memantau dan mengelola peralatan jaringan Zyxel.

Yang berikut ini didukung:

- sakelar
- jalur akses
- gateway keamanan

Fungsionalitas dijelaskan secara rinci di sini .

Lisensi NCC


Ada 3 jenis lisensi:

1. gratis, terbatas fungsinya
2. Dibayar dengan pembaruan tahunan
3. dibayar seumur hidup

Perbandingan lisensi terperinci

Hanya jumlah perangkat yang dilisensikan, tidak ada perbedaan fungsionalitas antara lisensi berbayar.

Mengenai versi gratis:

1. jumlah perangkat yang dikendalikan tidak terbatas

2. keterbatasan fungsional berkaitan dengan:

- keamanan (otorisasi pada port 802.1X, kemampuan untuk mengaudit tindakan, dll.)
- manajemen konfigurasi massal
- pemantauan (kemampuan untuk mengkonfigurasi pemicu, periode penyimpanan yang singkat dari data historis)

Kesimpulan:
Lisensi NCC gratis dapat digunakan untuk:

- sejumlah kecil peralatan (mis., dalam kasus ketika fungsionalitas manajemen konfigurasi massal tidak diperlukan)
- kurangnya persyaratan untuk penyimpanan jangka panjang dari data dan log pemantauan historis

Beralih


Mendaftarkan Switch dengan NCC

1. Proses pendaftaran adalah sebagai berikut:
2. Daftarkan akun di nebula.zyxel.com
3. Diinginkan - kami mengonfigurasi otentikasi dua faktor
4. Buat Organisasi dan Situs
5. Kami mengikat perangkat ke akun dengan memindai kode QR atau secara manual memasukkan alamat MAC dan nomor seri di Nebula
6. KEUNTUNGAN!

Kode QR dapat ditemukan di antarmuka web ( "Basic"> "Cloud Management"> "Nebula Switch Registration" ) atau di kotak perangkat.

Memindai kode QR menggunakan aplikasi Nebula Mobile ( Apple App Store , Google Play )

Bagi yang penasaran: upaya dilakukan untuk mendaftarkan ulang perangkat di bawah akun yang berbeda.
Bukan tumpangan;)

Setelah mendaftar dengan NCC:

- Pengaturan sakelar diatur ulang ke pabrik
- firmware dan konfigurasi saat ini dituangkan ke sakelar dari cloud.
- otentikasi lokal diblokir
- sakelar muncul di antarmuka web NCC

Ini terlihat seperti ini:

Papan tulis:

<Img src = « lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >

Ganti Profil:



Log:



Informasi Pelabuhan:



Proses pengaturan

Kembali ke tugas semula dan alihkan pengaturan

1. Konfigurasikan VLAN dan porta.

Port Jalur Akses:



Router:



Terminal:



Catatan Penguji: untuk konfigurasi melalui NCC, untuk beberapa alasan, hanya mode hybrid dan akses port yang didukung (tetapi tidak trunk).

Anda tidak dapat mengonfigurasi port tanpa menentukan VLAN / PVID asli.

Atau, Anda dapat menentukan VLAN yang tidak digunakan di prod sebagai PVID.



2. Ubah MGMT-VLAN ("Switch"> "Switch Configuration"> "Konfigurasi VLAN")

3. Konfigurasikan ACL untuk jaringan tamu.

Ini dilakukan melalui "Switch"> "Switch Configuration"> "IP Filtering".

Editor aturan adalah sebagai berikut:



Catatan penguji: untuk perbandingan, sekali lagi saya akan memberikan tangkapan layar dari editor ACL lokal.

Awan jelas kehilangan dalam sejumlah opsi.







Jalur akses


Daftarkan Jalur Akses di NCC

Menurut dokumentasi, untuk titik akses baru, prosesnya harus sebagai berikut:

1. Otorisasi antarmuka web dari titik akses
2. Ubah kata sandi standar
3. Memindai kode QR menggunakan aplikasi seluler.
Kode QR muncul di PopUp setelah otorisasi.

Catatan Penguji:

Jika kode QR tidak ditampilkan, alasan yang paling mungkin adalah firmware yang ketinggalan zaman (seperti yang terjadi dalam kasus saya).

Itu diperbarui sebagai berikut:

- Unduh firmware dari bagian yang sesuai dari situs web produsen
- Buka arsip dengan firmware
- pergi ke "Maintenance"> "File Manager"> "Firmware Package"
- isi file * .BIN dengan firmware
- tunggu 3-5 menit Proses flashing sedang berlangsung.

Poin tipis:

- Bilah progres "Mengunggah firmware" akan terisi tanpa batas selama proses flashing, ini normal .
- Tanda bahwa proses sedang berlangsung adalah berkedip cepat indikator LED merah pada suatu titik.
- Tanda bahwa proses telah selesai dan titik berfungsi normal - indikator LED perlahan berkedip hijau.
- Dalam hal ini, tidak ada yang ditampilkan di antarmuka web, bilah progres akan terus terisi.


Di akhir proses flashing, kami me-refresh halaman.

Kami bertemu dengan jendela otorisasi dan Wizard berikutnya.

Klik "Batal" dan lihat antarmuka yang diperbarui dan kode QR:



Pindai kode QR di Nebula Mobile, tunggu 5-10 menit.

Selama ini:

- Pengaturan titik diatur ulang ke pabrik
- firmware dan konfigurasi saat ini dituangkan dari cloud.

Catatan penguji: titik menarik - tidak seperti sakelar, otorisasi lokal pada titik tidak diblokir.


Setelah menyetel titik secara otomatis, Anda dapat pergi ke antarmuka web dan melihat status koneksi ke cloud:



Dasbor untuk titik akses:



Profil Titik Akses:



Halaman log:



Opsi pemfilteran log kurang dari untuk sakelar.

Proses pengaturan

1. Buka profil jalur akses, ubah VLAN MGMT.



2. Buka "AP"> "Konfigurasi"> "SSID", buat SSID tamu dan perusahaan:



Jangan lupa untuk mengaktifkan SSID kedua.


3. Buka "AP"> "Konfigurasi"> "Otentikasi".

Buat profil keamanan untuk SSID perusahaan dan tamu.





3. Siapkan bagian radio:



4. Hubungkan ke kedua jaringan, periksa operasi.

Pendapat tester


1. Tidak ditemukan masalah kritis saat menyiapkan peralatan.

2. Menggunakan Zyxel NCC sangat menyederhanakan dan mempercepat proses pengaturan peralatan (dibandingkan dengan konfigurasi offline)

3. Lisensi NCC gratis cocok untuk digunakan dalam kasus-kasus berikut:
3.1. Sejumlah kecil peralatan
3.2. Kurangnya persyaratan untuk penyimpanan jangka panjang dari data dan log pemantauan historis

4. Fungsi NCC cukup untuk mengkonfigurasi peralatan untuk kasus SOHO yang khas.

5. Mulai dari "untuk sekarang" - NCC tidak cocok untuk kasus-kasus di mana diperlukan penyetelan ACL langsung pada sakelar - editor aturan "stand-alone" lebih baik dikembangkan.

Terima kasih


- kolega dari MTI untuk pengiriman peralatan uji yang cepat
- kolega dari Zyxel untuk jawaban konstruktif untuk pertanyaan yang muncul selama penulisan artikel ini
- pembaca yang telah menguasai lembar ini sampai akhir;)

Source: https://habr.com/ru/post/id438008/

More articles:


All Articles