Geekly articles weekly

在独立和云模式下配置Zyxel智能设备



这篇文章是关于什么的?
1. Zyxel XGS1930-28HP智能交换机和NWA1123-ACv2接入点的简要概述和拆箱

2.设置过程说明:

  • 下线
  • 使用星云控制中心(NCC)的云模式

3.解决安装过程中遇到的一些小问题

对于那些懒得阅读的人:
1.设置设备时未发现严重问题。

2.使用Zyxel NCC大大简化并加快了设备设置过程(与离线配置相比)

3.在以下情况下,免费的NCC许可证适用于产品:
3.1。 设备数量少
3.2。 缺乏长期存储历史监视数据和日志的要求

4. NCC功能足以为典型的SOHO情况配置设备。

5.从“目前”开始-NCC不太适合需要直接在交换机上对ACL进行微调的情况-更好地开发了“独立”规则编辑器。

目录内容


1.我们正在测试什么?
1.1。 Zyxel XGS1930-28HP开关
1.1.1。 相片
1.1.2。 一般资讯
1.1.3。 套餐捆绑

1.2。 Zyxel接入点NWA1123-ACv2
1.2.1。 相片
1.2.2。 一般资讯
1.2.3。 套餐捆绑

2.测试
2.1。 测试台配置

2.2。 离线设定
2.2.1。 切换开关
2.2.2。 接入点

2.3。 重设

2.4。 使用星云控制中心进行设置
2.4.1。 关于服务的几句话
2.4.2。 NCC许可

2.4.3。 使用NCC配置交换机
2.4.3.1。 向NCC注册交换机
2.4.3.2。 设定程序

2.4.4。 接入点设置
2.4.4.1。 在NCC中注册访问点
2.4.4.2。 设定程序

3.作者的意见

4.谢谢

我们正在测试什么?


Zyxel XGS1930-28HP开关


相片









一般资讯


制造商
合勤
型号
XGS1930-28HP
开关类型
L2 +
支持PoE 802.3at的1G RJ45端口数量
24
PoE预算
375 W(所有端口最高15.4 W,最大30 W /端口)
10G SFP +端口
4
电源数量
1个
堆叠支持
没有啦
监控和管理能力
-网络界面
-SNMP v1-3
-RMON
-有限的CLI
-使用制造商的SaaS进行“云”管理
完整规格
www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP--Uplink-XGS1930系列/规格

套餐捆绑


开关位于标准纸箱中。
所有零件均组装在一个较小的单独盒子中。

软件包如下:


1-开关
2-用户手册
3-“安全警告”
4-欧盟符合性声明(欧盟法规符合性信息)
5-保修卡
6.7-机架安装(“耳”)
8-用于桌面安装的一组橡胶“支脚”
9-一组用于将“耳”连接到开关的螺栓
10套螺栓,用于将交换机安装在19英寸的机架中
11-电源线C13 / Schuko

测试人员注意事项:
提供的样本是访问级别的典型现代L2 + PoE交换机。
适用于连接企业网络中的终端设备(小型企业)。

尽管带宽相对较高且存在10G端口,但由于以下原因,它不适合在数据中心环境中使用:
-较高的切换延迟
-缺少备用电源

L2 +功能是其他供应商的智能/小型企业系列的典型功能(静态路由,L3-L4 ACL,DCHP中继)。
不支持DHCP监听。

管理方法是有限的(通常对于智能交换机来说是典型的)
否:
-通过CLI进行全面的交换机管理
-通过COM端口的配置选项


Zyxel接入点NWA1123-ACv2



相片









一般资讯


制造商
合勤
型号
NWA1123-ACv2
支持的频率范围
2.4 GHz(IEEE802.11 b / g / n)
5 GHz:(IEEE 802.11 a / n / ac)
无线电模块数量
2
天线类
2T2R MIMO
以太网端口
1个1G RJ45
营养学
802.3af / at或本地PSU
监控和管理能力
-网络界面
-SNMP v1-3
-RMON
-CLI
-使用制造商的SaaS进行“云”管理
完整规格
www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/规格

套餐捆绑



1-Zyxel NWA1123-ACv2接入点
2-带UK插头的外部电源
3-Schuko插头(EU插头),用于外部电源
4-安装支架
5-2套榫
6-2颗螺丝
7-用户手册
8-保修卡
10-安全警告
11-欧盟符合性声明(欧盟法规符合性信息)

测试中


测试台配置


我们模拟了一个相当典型的小型办公室网络(另一方面是“小型企业”)。

网络细分:



交换机端口分配:



无线网络:



测试人员注意事项:
1.我们将MikroTik RB750UP用作测试平台路由器。

它用于:

-VLAN的终止以及它们之间的路由通信
-上行链路终止
-外部接口上Internet流量和SNAT的静态路由

因为 在此测试中,路由性能并不重要-路由器上的100M端口就足够了。

2.在vlan.MGMT段中,我们使用DHCP(Zyxel建议用于最佳初始配置)

3.我们使用ACL交换机在内部网络的各部分之间实施访问限制(以使您熟悉ACL配置过程)。

组装架:



离线设定


切换开关


1.下载手册,阅读。
2.我们在DHCP中捕获了交换机和一点
3.通过IP地址进入交换机的Web界面。
4.选择脱机配置模式,使用默认帐户(admin / 1234)登录



5.尝试使用向导配置VLAN和端口



测试人员注意事项:

1.Wizard的功能非常有限,最好立即应用默认设置并切换到完整的Web界面。

怎么了

-一次最多只能配置5个VLAN
-中继端口只能连接到整个VLAN(但不能连接到子集)。
-无法更改MGMT VLAN。
-不支持混合端口操作模式。
端口可以​​不加标签(访问),也可以传递所有加标签的VLAN的流量(中继)

2.无法通过CLI进行调整(实际上,对于此类开关,这通常是正常的):




6.通过Web界面创建MGMT VIF(“基本设置”>“ IP设置”>“ IP配置”)

7.添加访客网络的访问限制。

该过程并不完全直观,但足够简单。

有必要:

-创建:L2-L4分类规则(“分类符”)
-根据流量分类规则(“策略规则”)创建访问策略

7.1。 了解分类器。 转到“高级应用程序”>“分类器”>“分类器配置”





我们为访客网络创建一些分类规则:



7.2。 转到“高级应用程序”>“策略规​​则”,然后基于分类规则创建多个策略。





7.3。 检查ACL的操作:



接入点


1.下载手册,阅读
2.转到访问点的Web界面
3.使用默认凭据登录(admin / 1234)
4.更改密码(必须执行的步骤,否则,您将无法继续操作)
5.创建一个SSID。 设置隐藏得很深。

5.1。 添加访客和公司网络的安全配置文件
“配置”>“对象”>“ AP配置文件”>“ SSID”>“安全列表”





5.2。添加访客和公司SSID
“配置”>“对象”>“ AP配置文件”>“ SSID”>“ SSID列表”



6.转到“ AP管理”,然后选择哪个SSID将广播什么范围。
假设访客SSID应该以2.4 + 5 GHz广播,而公司SSID应该仅以5 GHz广播。



7.可选-更改无线电接口和广播频道的设置。

重新配置管理界面。

“配置”>“网络”

对于我们的情况:

-我们更改了VID管理-VLAN'a
-更改IP地址
-更改标记模式

此后,与接入点的管理会话将被中断(由于L2连接丢失)。

8.更改交换机上接入点端口的操作模式(用干线代替接入)



9.通过管理界面检查访问点的可访问性以及两个SSID的操作




重设


在接入点:
在交换机上:



使用星云控制中心进行设置


关于服务的几句话


星云控制中心(NCC) -用于监视和管理Zyxel网络设备的SaaS解决方案。

支持以下内容:

-开关
-接入点
-安全网关

该功能在此处详细介绍。

NCC许可


许可证共有3种:

1.免费,功能有限
2.每年续约付费
3.带薪终身

详细的许可证比较

仅许可了数量的设备,付费许可证之间的功能没有差异。

关于免费版本:

1.受控设备数量不限

2.功能限制涉及:

-安全性(802.1X端口上的授权,审核操作的能力等)
-批量配置管理
-监视(配置触发器的能力,缩短了历史数据的存储时间)

结论:
免费的NCC许可证可用于以下产品:

-少量设备(即在不需要大规模配置管理功能的情况下)
-缺乏长期存储历史监测数据和日​​志的要求

切换开关


向NCC注册交换机

1.注册过程如下:
2.在nebula.zyxel.com上注册一个帐户
3.理想-我们配置两因素身份验证
4.创建组织和站点
5.我们通过扫描QR码或在星云中手动输入MAC地址和序列号将设备绑定到帐户
6.利润!

可以在网络界面( “基本”>“云管理”>“星云开关注册” )或设备的包装箱中找到QR码。

使用Nebula Mobile应用程序( Apple App StoreGoogle Play )扫描QR码

出于好奇:尝试使用其他帐户重新注册设备。
不搭便车;)

在NCC注册后:

-开关设置恢复为出厂设置
-当前的固件和配置从云端注入到交换机中。
-本地身份验证被阻止
-开关显示在NCC Web界面中

看起来像这样:

底盘

<IMG中的src =« lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ >

开关配置文件:



日志:



港口信息:



设定程序

返回原始任务并切换设置

1.配置VLAN和端口。

接入点端口:



路由器:



航站楼:



测试仪注:由于某些原因,通过NCC进行配置时,仅支持端口的混合和访问模式(但不支持中继)。

如果不指定本地VLAN / PVID,则无法配置端口。

或者,您可以将prod中未使用的VLAN指定为PVID。



2.更改MGMT-VLAN(“交换机”>“交换机配置”>“ VLAN配置”)

3.为访客网络配置ACL。

这是通过“交换机”>“交换机配置”>“ IP过滤”完成的。

规则编辑器如下:



测试人员注意:为了进行比较,我将再次提供本地ACL编辑器的屏幕截图。

云显然在选择数量上正在减少。







接入点


在NCC中注册访问点

根据文档,对于新的接入点,该过程应如下所示:

1.授权访问点的Web界面
2.更改默认密码
3.使用移动应用程序扫描QR码。
授权后,QR码将显示在PopUp中。

测试人员注意:

如果未显示QR码,则最可能的原因是固件过时(如我的情况)。

更新如下:

-从制造商网站的相应部分下载固件
-使用固件解压缩存档
-转到“维护”>“文件管理器”>“固件包”
-用固件填写* .BIN文件
-等待3-5分钟 正在进行闪烁过程。

薄点:

-闪烁期间,进度条“正在上传固件”将无限期填充, 这是正常现象
-该过程正在进行的迹象是一个点上的红色LED指示灯快速闪烁。
-表示过程已结束且圆点正常工作的信号-LED指示灯缓慢闪烁绿色。
-在这种情况下,Web界面中不会显示任何内容,进度条将继续填满。


闪烁结束时,我们刷新页面。

授权窗口和下一个向导会满足我们的要求。

点击“取消”,查看更新的界面和QR码:



在Nebula Mobile中扫描QR码,等待5-10分钟。

在这段时间内:

-点设置恢复为出厂设置
-当前的固件和配置是从云中注入的。

测试人员的注意事项:一个有趣的点-与开关不同,不会阻塞该点的本地授权。


自动调整点后,您可以转到Web界面并查看与云的连接状态:



接入点仪表板:



接入点配置文件:



日志页面:



日志过滤选项少于交换机。

设定程序

1.转到接入点的配置文件,更改MGMT VLAN。



2.转到“ AP”>“配置”>“ SSID”,创建访客和公司SSID:



不要忘记启用第二个SSID。


3.转到“ AP”>“配置”>“身份验证”。

为公司和来宾SSID创建安全配置文件。





3.设置收音机部分:



4.连接到两个网络,检查操作。

测试员的意见


1.设置设备时未发现严重问题。

2.使用Zyxel NCC大大简化并加快了设备设置过程(与离线配置相比)

3.在以下情况下,免费的NCC许可证适用于产品:
3.1。 设备数量少
3.2。 缺乏长期存储历史监视数据和日志的要求

4. NCC功能足以为典型的SOHO情况配置设备。

5.从“目前”开始-NCC不太适合需要直接在交换机上对ACL进行微调的情况-更好地开发了“独立”规则编辑器。

谢谢啦


-MTI的同事及时交付测试设备
-Zyxel的同事对本文撰写过程中出现的问题提供了建设性的答案
-精通此表的读者;)

Source: https://habr.com/ru/post/zh-CN438008/

More articles:


All Articles