Sobre o que é o artigo?1. Breve visão geral e unboxing do switch inteligente Zyxel XGS1930-28HP e do ponto de acesso NWA1123-ACv2
2. Descrição do processo de instalação:
- offline
- Modo de nuvem usando o Nebula Control Center (NCC)
3. a solução para vários problemas menores que surgiram durante o processo de instalação
Para quem tem preguiça de ler:1. Não foram encontrados problemas críticos durante a instalação do equipamento.
2. O uso do Zyxel NCC simplifica e acelera muito o processo de instalação de equipamentos (em comparação com a configuração offline)
3. A licença NCC gratuita é adequada para uso em prod nos seguintes casos:
3.1 Pequena quantidade de equipamentos
3.2 Falta de requisitos para armazenamento a longo prazo de dados e logs históricos de monitoramento
4. A funcionalidade NCC é suficiente para configurar o equipamento para casos típicos de SOHO.
5. A partir de "por enquanto" - o NCC não é adequado para os casos em que é necessário o ajuste fino da ACL diretamente no comutador - o editor de regras "independente" é melhor desenvolvido.
Conteúdo
1. O que estamos testando?1.1 Zyxel XGS1930-28HP Switch1.1.1 Foto1.1.2 Informação geral1.1.3 Pacote1.2 Ponto de acesso Zyxel NWA1123-ACv21.2.1 Foto1.2.2 Informação geral1.2.3 Pacote2. Teste2.1 Configuração do Testbed2.2 Configuração offline2.2.1 Switch2.2.2 Ponto de acesso2.3 Reset2.4 Configuração usando o Nebula Control Center2.4.1 Algumas palavras sobre o serviço2.4.2 Licenciamento NCC2.4.3 Configurando um comutador usando NCC2.4.3.1 Registrando o switch na NCC2.4.3.2 Processo de instalação2.4.4 Configuração do ponto de acesso2.4.4.1 Registrar ponto de acesso no NCC2.4.4.2 Processo de instalação3. Opinião do autor4. obrigadoO que estamos testando?
Zyxel XGS1930-28HP Switch
Foto
Informação geral
Pacote
O interruptor vem em uma caixa de papelão padrão.
Todas as peças são montadas em uma caixa separada de tamanho menor.
O pacote é o seguinte:
1 - interruptor
2 - manual do usuário
3 - "Avisos de segurança"
4 - Declaração de conformidade da UE (informações de conformidade regulamentar da UE)
5 - cartão de garantia
6.7 - montagens em rack (“orelhas”)
8 - um conjunto de “pernas” de borracha para montagem em mesa
9 - um conjunto de parafusos para prender “orelhas” ao interruptor
10 - conjunto de parafusos para montar o interruptor em um rack de 19 ”
11 - cabo de alimentação C13 / Schuko
Notas do testador:
A amostra fornecida é um comutador de nível de acesso L2 + PoE moderno e típico.
Adequado para conectar dispositivos finais em redes corporativas (pequenas empresas).
Apesar da largura de banda relativamente alta e da presença de portas 10G, ela não é adequada para uso em condições de data center devido a:
- atraso de comutação relativamente alto
- falta de uma fonte de alimentação de backup
A funcionalidade L2 + é típica para linhas de Smart / Small Business de outros fornecedores (roteamento estático, L3-L4 ACL, relé DCHP).
Não há suporte para bisbilhotar DHCP.
Os métodos de gerenciamento são limitados (o que geralmente é típico para comutadores inteligentes)
Não:
- gerenciamento completo de switches através da CLI
- opções de configuração via porta COM
Ponto de acesso Zyxel NWA1123-ACv2
Foto
Informação geral
Pacote
1 - Ponto de acesso Zyxel NWA1123-ACv2
2 - fonte de alimentação externa com plugue do Reino Unido
3 - Ficha Schuko (ficha UE) para fonte de alimentação externa
4 - montagem de montagem
5 - 2 conjuntos de buchas
6 - 2 parafusos
7 - manual do usuário
8 - cartão de garantia
10 - Avisos de segurança
11 - Declaração de conformidade da UE (informações sobre conformidade com regulamentos da UE)
Teste
Configuração do Testbed
Emulamos uma rede bastante típica de um pequeno escritório (Small Business, por outro lado).
Segmentação de rede:
Alocação de porta de switch:
Redes sem fio:
Notas do testador:
1. Usamos o MikroTik RB750UP como um roteador de bancada de teste.
É usado para:
- terminação de VLANs e roteamento de tráfego entre elas
- terminação de ligação ascendente
- roteamento estático do tráfego da Internet e SNAT na interface externa
Porque o desempenho do roteamento neste teste não é crítico - portas 100M no roteador serão suficientes.
2. No segmento vlan.MGMT, usamos DHCP (recomendação da Zyxel para configuração inicial ideal)
3. Restringimos as restrições de acesso entre segmentos da rede interna usando o switch ACL (para nos familiarizarmos com o processo de configuração da ACL).Suporte montado:
Configuração offline
Switch
1. Faça o download do manual, leia.
2. Pegamos o switch e um ponto no DHCP
3. Acesse a interface da web do switch por endereço IP.
4. Selecione o modo de configuração offline, efetue login usando a conta padrão (admin / 1234)
5. Tentando configurar VLANs e portas usando o Assistente
Notas do testador:
1.Os recursos do Wizard são muito limitados, é melhor aplicar imediatamente as configurações padrão e mudar para uma interface da Web completa.
O que há de errado:
- Você pode configurar não mais que 5 VLANs por vez
- A porta de tronco pode ser conectada apenas a todo o conjunto de VLANs (mas não a um subconjunto).
- Não é possível alterar a MGMT VLAN.
- não há suporte para o modo de operação de porta híbrida.
A porta pode ser desmarcada (acesso) ou passar o tráfego de todas as VLANs identificadas (tronco)
2. Não há possibilidade de ajustar a CLI (de fato, o que geralmente é normal para essa classe de comutadores):
6. Crie o MGMT VIF através da interface da web ("Configuração básica"> "Configuração de IP"> "Configuração de IP")
7.Adicionar restrições de acesso à rede de convidados.
O processo não é totalmente intuitivo, mas bastante simples.
É necessário:
- criar: regras de classificação L2-L4 ("Classificador")
- criar políticas de acesso com base nas regras de classificação de tráfego ("Regra de política")
7.1 Conheça o classificador. Vá para "Aplicativo avançado"> "Classificador"> "Configuração do classificador"
Criamos várias regras de classificação para a rede de convidados:
7.2 Vá para "Aplicativo avançado"> "Regra de política" e crie várias políticas com base nas regras de classificação.
7.3 Verificando a operação da ACL:
Ponto de acesso
1. Baixe o manual, leia
2. Vá para a interface da web do ponto de acesso
3. Faça login com credenciais padrão (admin / 1234)
4. Altere a senha (uma etapa obrigatória, você não terá mais nada
5. Crie um SSID. As configurações estão ocultas profundamente.
5.1 Adicione perfis de segurança para redes corporativas e de convidados
"Configuração"> "Objeto"> "Perfil AP"> "SSID"> "Lista de segurança"
5.2.Adição de SSID convidado e corporativo
"Configuração"> "Objeto"> "Perfil AP"> "SSID"> "Lista SSID"
6. Vá para "Gerenciamento de AP" e selecione qual SSID transmitirá qual faixa.
Suponha que um SSID convidado deve transmitir em 2,4 + 5 GHz, enquanto um SSID corporativo deve transmitir somente em 5 GHz.
7. Opcional - altere as configurações das interfaces de rádio e canais de transmissão.
Reconfigurando a interface de gerenciamento.
"Configuração"> "Rede"
Para o nosso caso:
- mudamos o VID Management-VLAN'a
- alterar o endereço IP
- alterar o modo de marcação
Depois disso, a sessão de gerenciamento com o ponto de acesso será interrompida (devido à perda da conectividade L2).
8. Altere o modo de operação da porta do ponto de acesso no comutador (tronco em vez de acesso)
9. Verifique a acessibilidade do ponto de acesso através da interface de gerenciamento e a operação dos dois SSIDs
Reset
No ponto de acesso:
No interruptor:
Configuração usando o Nebula Control Center
Algumas palavras sobre o serviço
Nebula Control Center (NCC) - solução SaaS para monitorar e gerenciar equipamentos de rede Zyxel.
Os seguintes são suportados:
- interruptores
- pontos de acesso
- gateways de segurança
A funcionalidade é descrita em detalhes
aqui .
Licenciamento NCC
Existem 3 tipos de licenças:
1. grátis, com funcionalidade limitada
2. Pago com renovação anual
3. vida paga
Comparação detalhada de licençasSomente o número de dispositivos é licenciado, não há diferença na funcionalidade entre licenças pagas.
Em relação à versão gratuita:1. número de dispositivos controlados não é limitado
2. As limitações funcionais dizem respeito a:
- segurança (autorização nas portas 802.1X, capacidade de auditar ações etc.)
- gerenciamento de configuração em massa
- monitoramento (capacidade de configurar gatilhos, períodos mais curtos de armazenamento de dados históricos)
Conclusão:
A licença NCC gratuita é utilizável em prod para:
- um pequeno número de equipamentos (ou seja, quando a funcionalidade do gerenciamento de configuração em massa não é necessária)
- falta de requisitos para armazenamento a longo prazo de dados e registros históricos de monitoramentoSwitch
Registrando o switch na NCC
1. O processo de registro é o seguinte:
2. Registre uma conta no
nebula.zyxel.com3. Desejável - configuramos a autenticação de dois fatores
4. Crie organização e site
5. Vinculamos o dispositivo à conta digitalizando o código QR ou inserindo manualmente o endereço MAC e o número de série no Nebula
6. LUCRO!
O código QR pode ser encontrado na interface da web (
"Básico"> "Gerenciamento de nuvem"> "Registro do comutador de nebulosa" ) ou na caixa do dispositivo.
Digitalize o código QR usando o aplicativo Nebula Mobile (
Apple App Store ,
Google Play )
Para os curiosos: foi feita uma tentativa de registrar novamente o dispositivo em uma conta diferente.
Não é um passeio;)Depois de se registrar no NCC:
- as configurações do interruptor são redefinidas para a fábrica
- o firmware e a configuração atuais são despejados no switch da nuvem.
- autenticação local está bloqueada
- o switch aparece na interface da web da NCC
É assim:
Deschboard:
<Img src = «
lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >
Alternar perfil:
Registros:
Informações sobre o porto:
Processo de instalação
Voltar à tarefa original e mudar a configuração
1. Configure VLANs e portas.
Porta do ponto de acesso:
Roteador:
Terminal:
Nota do testador: para configuração através da NCC, por algum motivo, apenas os modos híbrido e de acesso das portas são suportados (mas não o tronco).
Você não pode configurar uma porta sem especificar VLAN / PVID nativo.
Como alternativa, você pode especificar uma VLAN não utilizada no prod como PVID.
2. Altere o MGMT-VLAN ("Switch"> "Switch Configuration"> "VLAN Configuration")
3. Configure a ACL para a rede de convidados.
Isso é feito através de "Switch"> "Configuração do switch"> "Filtragem de IP".
O editor de regras é o seguinte:
Nota do testador: para comparação, mais uma vez darei capturas de tela do editor ACL local.
A nuvem está claramente perdendo o número de opções.
Ponto de acesso
Registrar ponto de acesso no NCC
De acordo com a documentação, para um novo ponto de acesso, o processo deve ser o seguinte:
1. Autorização da interface web do ponto de acesso
2. Altere a senha padrão
3. Digitalizando um código QR usando um aplicativo móvel.
O código QR aparece no PopUp após a autorização.
Nota do testador:Se o código QR não for exibido, o motivo mais provável é o firmware desatualizado (como aconteceu no meu caso).
É atualizado da seguinte forma:
- faça o download do firmware na seção correspondente do site do fabricante
- descompacte o arquivo com o firmware
- vá para "Manutenção"> "Gerenciador de Arquivos"> "Pacote de Firmware"
- preencha o arquivo * .BIN com firmware
- aguarde 3-5 minutos Processo intermitente em andamento.
Pontos finos:
- A barra de progresso "Upload de firmware" será preenchida indefinidamente durante uma piscada, isso é normal .
- Um sinal de que o processo está em andamento é um piscar rápido de um indicador LED vermelho em um ponto.
- Um sinal de que o processo terminou e o ponto está funcionando normalmente - o indicador LED pisca lentamente em verde.
- Nesse caso, nada é exibido na interface da web, a barra de progresso continuará sendo preenchida.
No final do piscar, atualizamos a página.
Somos atendidos pela janela de autorização e pelo próximo Assistente.
Clique em "Cancelar" e veja a interface atualizada e o código QR:
Digitalize o código QR no Nebula Mobile, aguarde 5 a 10 minutos.
Durante esse período:
- as configurações de ponto são redefinidas para a fábrica
- o firmware e a configuração atuais são lançados da nuvem.
Nota do testador: um ponto interessante - ao contrário de um comutador, a autorização local em um ponto não é bloqueada.
Após o ajuste automático do ponto, você pode acessar a interface da web e ver o status da conexão com a nuvem:
Painel para pontos de acesso:
Perfil do ponto de acesso:
Página de log:
As opções de filtragem de log são menores que as dos switches.
Processo de instalação
1. Vá para o perfil do ponto de acesso, altere a MGMT VLAN.
2. Vá para "AP"> "Configurar"> "SSIDs", crie um convidado e um SSID corporativo:
Não se esqueça de ativar o segundo SSID.
3. Vá para "AP"> "Configurar"> "Autenticação".
Crie um perfil de segurança para o SSID corporativo e convidado.
3. Configure a parte do rádio:
4. Conecte-se às duas redes, verifique a operação.
Opinião do testador
1. Não foram encontrados problemas críticos durante a instalação do equipamento.
2. O uso do Zyxel NCC simplifica e acelera muito o processo de instalação de equipamentos (em comparação com a configuração offline)
3. A licença NCC gratuita é adequada para uso em prod nos seguintes casos:
3.1 Pequena quantidade de equipamentos
3.2 Falta de requisitos para armazenamento a longo prazo de dados e logs históricos de monitoramento
4. A funcionalidade NCC é suficiente para configurar o equipamento para casos típicos de SOHO.
5. A partir de "por enquanto" - o NCC não é adequado para os casos em que é necessário o ajuste fino da ACL diretamente no comutador - o editor de regras "independente" é melhor desenvolvido.
Obrigada
- colegas do MTI pela pronta entrega do equipamento de teste
- colegas da Zyxel para respostas construtivas a perguntas que surgiram durante a redação deste artigo
- leitores que dominam esta folha até o fim;)