Считается, что серьёзная сетевая инфраструктура — это должно стоить дорого, и чем больше в ней устройств, тем лучше. Но всегда ли справедлив этот принцип? Попробуем разобраться на примере управления точками доступа Wi-Fi.


Введение


Управление сетью Wi-Fi заслуживает пристального внимания: как со стороны системного или сетевого администратора, так и при внедрении специального оборудования. Иначе можно запросто получить весьма интересные, но нежелательные «странности» при работе сетевых устройств.


Один из таких примеров рассмотрен нами в статье Синхронизация точек доступа Wi-Fi для совместной работы.


В этой же статье приводится информация о специализированных Wi-Fi контроллерах, при помощи которых и производится управление. Но что это получается? Обязательно покупать ещё одно устройство, настраивать его, обновлять прошивку и так далее?


Это и ещё одна точка отказа (например, может выйти из строя блок питания после броска напряжения), и ещё один объект для обслуживания (хотя бы время от времени нужно обновить прошивку).


К счастью, инженеры Zyxel предусмотрели и более универсальный вариант, добавив функции управления точками доступа в другие устройства, в частности, в межсетевые экраны.


Такой подход более удобен для управления сетевой инфраструктурой в целом. Хотя теоретически и можно представить разделение обязанностей из серии: один человек занимается только администрированием Интернет-шлюза, другой занимается только администрированием Wi-Fi контроллеров и точек доступа, но на практике такой подход встречается крайне редко, обычно есть один сетевой администратор или целое административное звено, в чьи обязанности входит поддержание работы всей сети.


Управление точками доступа поддерживают практически все серии сетевых шлюзов: ATP, USG, VPN, ZyWALL и USG FLEX. Собственно, у сетевого администратора есть где разгуляться в плане выбора.


Универсальный подход к управлению точками доступа и организации шлюза в вопросах и ответах


Мы предлагаем читателям ответы на наиболее часто возникающие вопросы (FAQ), которые помогут лучше сориентироваться при выборе альтернативных вариантов.


Вопросы и ответы по общей организации инфраструктуры и бизнес-процессов


Вопрос 1. Для каких случаев такой подход: шлюз и AP контроллер — два в одном — наиболее удобно?


Ответ: Удобно и для малых компаний, и для больших организаций.


Для небольших компаний это удобно снижением затрат на момент становления бизнеса: одно устройство стоит дешевле чем два. Соответственно, и «приходящему админу» проще администрировать одно устройство.


Для больших компаний такой подход удобен тем, что позволяет ликвидировать дополнительную точку отказа, нуждающуюся в обслуживании. Это важно, например, при использовании систем контроля электропитания (watchdog), позволяющих автоматически перезапускать устройство по питанию при возникновении определённых условий.


Вопрос 2. Не получится ли так, что из-за размещения на одном устройстве между управлением точками доступа и поддержанием функций Интернет-шлюза возникнет конкуренция за аппаратные ресурсы: процессор, память?


Нет, если приобретать соответствующее устройство для нужного количества точек доступа. Любое устройство: ATP, USG, USG FLEX, VPN, ZyWALL проектируется с соблюдением баланса между количеством максимально возможных пользователей Wi-Fi и обеспечении максимальной производительности шлюза при доступе в Интернет.


Скорее наоборот, имея Интернет-шлюз отдельно и контроллер точек доступа (NXC) отдельно, можно получить тот самый дисбаланс производительности, например, когда контроллер доступа уже обновили на более производительный, а Интернет-шлюз — ещё нет (или наоборот).


Вопросы и ответы по лицензированию


Вопрос 3. Какие из устройств: ATP, USG, VPN, USG FLEX лучше подходят для управления точками доступа.


Ответ: Все эти устройства неплохо справляются с управлением беспроводный сетью. Набор функции Wi-Fi контроллера у них примерно одинаковый. Другое дело, что для бизнеса могут быть кричные другие направления, например, функции доступа VPN (серия VPN) или усиленные защитные механизмы (серия ATP).


Поэтому правильней будет использовать комплексный подход при проектировании будущей сети и модернизации уже имеющейся.


Если же говорить только о стоимости самих устройств, то самый бюджетный вариант — серия VPN.


Вопрос 4. На какую из моделей серии VPN можно заменить NXC2500 чтобы было подешевле и на какую модель — чтобы была максимально полноценная замена?


Ответ: Если точек меньше 36, то на для начального уровня достаточно ZyWALL VPN50, если больше — то на ZyWALL VPN100.



Рисунок 1. Межсетевой экран ZyWALL VPN50.


Вопрос 5. Аналогичный вопрос для более старших моделей. На что из VPN меняем
NXC5000, чтобы было подешевле и на что меняем NXC5500, чтобы была максимально
полноценная замена?


Ответ: Если точек меньше 132, то на для начального уровня достаточно ZyWALL VPN300,
если больше — то нужно использовать ZyWALL VPN1000.



Рисунок 2. Межсетевой экран ZyWALL VPN300.



Рисунок 3. Межсетевой экран ZyWALL VPN1000.


Важно. Говоря о начальном уровне, мы обсуждаем именно самую простую ситуацию —только управление Wi-Fi. Например, VPN50 может не подойти в случае необходимости использовать резервный канал WAN по витой паре, для которого у VPN100 есть специальный второй порт WAN, а начиная от VPN300 можно перенастроить любой из имеющихся сетевых интерфейсов.


Как было сказано выше, в зависимости от количества точек вместо серии NXC можно применять не только серию VPN, но и другие.


В таблице 1 показано — количество точек доступа, которым можно управлять «сразу из коробки» (без приобретения лицензии):


Таблица 1. Число точек доступа, доступное для управления по умолчанию.


NXC ATP USG USG FLEX VPN ZyWALL
NXC2500: 8 ATP100/100W/200/500/700/800: 8* USG40/40W: 2 USG FLEX 100: 8 VPN50/100/300/1000: 4 ZyWALL 110/310: 2
NXC5500: 64 USG60/60W: 2 USG FLEX 200: 8 ZyWALL 1100: 2
USG110/210/310: 2 USG FLEX 500: 8
USG1100/1900: 2

В таблице 2. показано максимальное количество точек для всех устройств.


Таблица 2. Максимальное количество лицензий управления точками доступа для разных семейств.


NXC ATP USG USG FLEX VPN ZyWALL
NXC2500: 64 ATP100/100W: 24 USG40/40W: 18 USG FLEX 100: 24 VPN50: 36 ZyWALL 110: 34
NXC5500: 1026 ATP200: 40 USG60/60W: 18 USG FLEX 200: 40 VPN100: 68 ZyWALL 310: 34
ATP500: 72 USG110/210: 34 USG FLEX 500: 72 VPN300: 132 ZyWALL 1100: 130
ATP700: 264 USG310: 34 VPN1000: 1032
ATP800: 520 USG1100: 130
USG1900: 130

*У серии ATP с подпиской Gold Pack (которая входит в комплект на 1 год) доступно максимальное кол-во точек доступа.


Важно! Для NXC были лицензии на добавление 8, 32 и 64 точек доступа. Для межсетевых экранов есть лицензии на 2, 4, 8 и 64 точки — то есть более гибкое лицензирование.


Помимо этого, для работы функции ZyMesh на серии NXC требовалась соответствующая лицензия, а для межсетевых экранов она не нужна (входит в комплект).


Примечание. Функция ZyMesh позволяет уйти от необходимости прокладывать кабель для подключения новых точек доступа Wi-Fi и предоставляет механизм отказоустойчивости на базе Wi-Fi с возможностью выбора из нескольких маршрутов для каждой точки доступа с функцией повторителя. В противном случае для расширения покрытия Wi-Fi при настройке соединения WDS администратор сети должен на каждой точке доступа назначать канал и MAC-адрес. ZyMesh позволяет автоматически распределить ресурсы, благодаря чему управление становится
значительно проще.


Вопрос 6. А как быть с резервированием? Нужно ли дублировать количество лицензий?


Ответ: При резервировании Wi-Fi контроллера серии NXC требовался комплект лицензий на каждое устройство, для межсетевых экранов — в случае резервирования нужны лицензии только на одно устройство.


Технические вопросы, возникающие при построении или администрировании Wi-Fi сети и ответы на них


Вопрос 7. Как известно, «бескровной замены» одного на другое не бывает. Какие функции могут оказаться недоступны при замене NXC на управление с маршрутизатора, например, серии VPN?


Ответ: в межсетевых экранах нет и в ближайшее время не будет поддержки аутентификации по QR коду (QR Code Captive Portal Auth) и совместной работы аутентификации по MAC с портальной аутентификацией (MAC Auth fallback to Portal Auth).


Однако есть и хорошие новости. Несмотря на то, что в межсетевых экранах пока нет полноценной поддержки Wi-Fi 6 с WPA3, эта функция появится в прошивке версии 4.60, которая выйдет в сентябре.


Вопрос 8. Какие функции, полезные для WLAN, можно получить в результате такой замены?


Ответ: Как было сказано выше, в межсетевых экранах функция ZyMesh доступна бесплатно, а также в случае резервирования устройства (Device HA Pro) для беспроводных (и не только) клиентов переход на резервное устройство будет бесшовным, так как между межсетевыми экранами синхронизируются все открытые сессии и авторизованные пользователи.


Вопрос 9. Как дела с безопасностью? Как повлияет использование управления точками доступа с маршрутизаторов серий ATP, USG, VPN, ZyWALL и USG FLEX на безопасность Wi-Fi сети.


Ответ: При использовании маршрутизаторов описанных выше серий (особенно хочется выделить ATP по его богатству защитных функций) сетевому администратору доступен весь набор средств для повышения уровня безопасности, который есть в соответствующих межсетевых экранах: контентный фильтр, Geo IP, антивирус, IDP, патруль приложений (в зависимости от конкретной модели).


Поэтому уровень безопасности от этого только возрастет.


Подробнее об этих функциях можно прочитать в разделе Сервисы безопасности — Фильтрация контента Content Filtering 2.0 на сайте Zyxel. Также стоит прочесть статью в нашем корпоративном блоге Завтрак съешь сам, работой поделись с «облаком»


Вопрос 10. С какими точками доступа могут взаимодействовать межсетевые экраны ATP, USG, VPN, ZyWALL и USG FLEX?


Ответ: Ниже идёт список точек доступа, которыми могут управлять указанные межсетевые экраны:


  • NWA3160-N
  • NWA3550-N
  • NWA3560-N
  • NWA5160N
  • NWA5550-N
  • NWA5560-N
  • NWA5121-NI
  • NWA5123-NI
  • NWA5121-N
  • NWA5301-NJ
  • WAC6502D-E
  • WAC6502D-S
  • WAC6503D-S
  • WAC6553D-E
  • WAC6103D-I
  • NWA5123-A
  • WAC5302D-S
  • NWA5123-AC HD
  • WAC6303D-S
  • WAC6552D-S
  • WAX650S*
  • WAX510D*
    * в режиме совместимости (без поддержки WPA3)

Заключение


Эффективное построение ИТ инфраструктуры — это не всегда дорого и не всегда требует больших ресурсов. Иногда приобретая одно устройство можно решить целый набор задач: от фильтрации контента в сети до управления точками доступа.


Полезные ссылки


  1. Синхронизация точек доступа Wi-Fi для совместной работы.


  2. Завтрак съешь сам, работой поделись с «облаком»


  3. Cервисы безопасности — Фильтрация контента Content Filtering 2.0
    на сайте Zyxel


  4. Описание ZyWALL VPN50


  5. Описание ZyWALL VPN100


  6. Описание ZyWALL VPN300


  7. Описание ZyWALL VPN1000


  8. Русскоязычный телеграм-чат Zyxel для профессионалов


  9. Русскоязычные форумы Zyxel для профессионалов