Сетевое оборудование

В предыдущих двух частях (раз, два) мы рассмотрели принципы, на основе которых построена новая пользовательская фабрика, и рассказали про миграцию всех рабочих мест. Теперь пришла пора поговорить о серверной фабрике.

Введение

Мы писали, мы писали, наши пальчики устали. Почему мы вдруг решили начать с этого детского двустишия? Всё очень просто. В данной статье мы хотели познакомить читателей с возможностями нашего самого современного решения по обеспечению сетевой безопасности – линейкой межсетевых экранов Zyxel ATP. В качестве примера была выбрана средняя модель линейки — ATP500. На её основе мы планировали не только сделать качественное описание функциональности всей линейки брандмауэров, но и поделиться результатами тестов, измерив производительность устройства при выполнении большинства типовых операций фильтрации пользовательского трафика. Взглянув на объём получающегося материала, мы решили разделить текст на две или даже три статьи: сегодня мы опишем основные возможности по обеспечению безопасности, а также познакомимся с настройками устройства, а все измерения и дизайн отложим до следующих публикаций.

Объём материала связан с тем количеством функций многоуровневой защиты, которые предлагают межсетевые экраны Zyxel: это и исполнение кода в песочнице, и машинное обучение, и использование облачной базы данных актуальных угроз, и система предотвращения вторжений, и система безопасности для приложений и веб, и многое-многое другое.


Итак, приступим!

Ни для кого не секрет, что в настоящий момент всем современным организациям необходима внутренняя сеть передачи данных. При этом подавляющее большинство администраторов подобных сетей считают, что качественная сеть, построенная на базе решений А-вендоров, таких как Cisco – это прерогатива средних и крупных компаний. Небольшие же организации привыкли использовать либо оборудование и программное обеспечение производителей уровня ниже, либо использовать оборудование для домашнего использования. Недостатки этого подхода очевидны: отсутствие качественной поддержки, неоднородность сетевой инфраструктуры, сложное управление и мониторинг и многое другое.

Для того, чтобы развеять миф о том, что качественную сеть могут позволить себе только компании с большим бюджетом на ИТ, Cisco отдельно проработала линейку продукции с оптимальной стоимостью для небольших компаний, которая носит название Cisco Small Business. При разработке этих продуктов Cisco стремилась достичь не только невысокой стоимости и простоты, которые свойственны для небольших сетей, но и надежности и управляемости, присущих сетям средних и крупных организаций.

Убедиться в простоте и надёжности решений Cisco Small Business на практике можно в специально организованном для этого show-room в г. Санкт-Петербург 7 августа 2019 года: любой ИТ-специалист может посетить демонстрацию и ознакомиться с возможностями решений Cisco Small Business, а также проконсультироваться с экспертами по вопросам внедрения и эксплуатации. Записаться на посещение show-room-а можно по ссылке.

В конце июня прошло очередное заседание IP Club — сообщества, созданного Huawei для обмена мнениями и обсуждения инноваций в области сетевых технологий. Спектр поднятых на нем вопросов был достаточно широк: от глобальных трендов индустрии и бизнес-задач, стоящих перед заказчиками, до конкретных продуктов и решений, а также вариантов их внедрения. На встрече эксперты из российского подразделения корпоративных решений и из штаб-квартиры компании представили её новую продуктовую стратегию по направлению сетевых решений, а также открыли подробности о недавно вышедших продуктах Huawei.



Поскольку в отведенные несколько часов хотелось вместить максимум полезного, мероприятие получилось информационно насыщенным. Чтобы не злоупотреблять пропускной способностью Хабра и вашим вниманием, в посте мы поделимся основными тезисами, которые обсуждались на «речной прогулке» IP Club. Не стесняйтесь задавать вопросы! Краткие ответы будем давать тут же. Ну а требующие более основательного подхода раскроем в отдельных материалах.

Празднование пятничное, админское, и в их день. С конкурсами, играми и закидонами. Как это было 8 лет назад.

<< До этого: ARPANET — пакет

При помощи ARPANET Роберт Тэйлор и Ларри Робертс собирались объединить множество разных исследовательских институтов, у каждого из которых был свой собственный компьютер, за ПО и железо которого он нёс полную ответственность. Однако ПО и оборудование самой сети находилось в туманной срединной области, и не принадлежало ни одному из этих мест. В период времени с 1967 по 1968 года Робертс, глава сетевого проекта бюро технологий обработки информации (Information Processing Technology Office, IPTO), должен был определить, кому строить и обслуживать сеть, и где должны пролегать границы между сетью и институтами.

Скептики

Проблема структурирования сети была, по меньшей мере, настолько же политической, насколько и технической. Научные руководители исследовательских центров ARPA в целом не одобряли идею ARPANET. Некоторые ясно продемонстрировали всякое отсутствие желания присоединяться к сети когда бы то ни было; мало кто из них горел энтузиазмом. Каждому центру пришлось бы приложить серьёзные усилия, чтобы позволить другим пользоваться их весьма дорогим и очень редким компьютером. Такое предоставление доступа демонстрировало явные недостатки (потерю ценного ресурса), при этом его потенциальные достоинства оставались неопределёнными и смутными.

Расширение больших городов и образование агломераций — один из важных трендов социального развития сегодня. Одна только Москва в 2019 году должна расшириться на 4 млн квадратных метров жилья (и это не считая 15 населенных пунктов, которые присоединятся к 2020 году). На всей этой огромной территории операторам связи придется предоставлять пользователям доступ к интернету. Это могут быть как городские микрорайоны с плотной многоэтажной застройкой, так и более «разряженные» коттеджные поселки. Для этих случаев требования к оборудованию несколько различаются. Мы проанализировали каждый из этих сценариев и создали универсальную модель оптического коммутатора — T2600G-28SQ. В этом посте мы подробно разберем возможности устройства, которые будут интересны операторам связи по всей России.

Казалось бы простое устройство — консольный сервер, однако на сегодняшний день это не просто глупое устройство, а умная платформа для создания экосистемы по управлению и автоматизации развёртывания активного сетевого оборудования. Ведь у неё есть самое главное — классическая консоль, которая даёт безграничный набор возможностей.

Всё крутится вокруг повышения доступности с высоким вниманием к безопасности и удобству использования. Если Вы строите ИТ систему в которой нужно обеспечить 99,999% доступности, то решения OpenGear помогут в этом. В них Вы найдете и классическую консоль с централизованным доступом и NetOps/DevOps модули для автоматизации.

Решение включает в себя:

• Failover to Cellular — Аварийное переключение на сотовую связь — данная возможность позволяет поддерживать связь по каналам 4G LTE или 3G, когда основной канал недоступен.
• Smart Out-of-Band — работает независимо от основной сети, автоматически обнаруживает и устраняет проблемы. Это позволяет сократить расходы и минимизировать время простоя.
• Zero Touch Provisioning — упрощает процесс развертывания оборудования, а также автоматизирует повторяющиеся задачи, уменьшая долю вмешательства человека в процесс, что в свою очередь снижает количество возможных ошибок.
• Централизованное управление — позволяет легко получить доступ к любому активному сетевому оборудованию за 3 клика, где бы оно не находилось.

Надеюсь, Вам будет интересно)

Взлом сетевого оборудования домашних и корпоративных пользователей может стать причиной убытков десятки и сотни миллионов долларов США. Так, ботнет Mirai, который изначально распространялся путем заражения роутеров, нанес ущерб глобальной экономике в сотни миллионов долларов США.

Вполне вероятно, что производители сетевых устройств, осознав проблему, закрыли «дыры» и сделали свои системы неуязвимыми для зловредов? На самом деле, не совсем так. Какие-то отдельные дыры были исправлены, но масштабные взломы все еще случаются. Один из ярких примеров — недавнее обнаружение в маршрутизаторах Cisco уязвимостей глобального масштаба.

В предыдущих сериях: «Джет» перешел на новую сеть на базе небезызвестного вендора. Как происходил процесс аудита систем, сбора «хотелок» и укрощения «заповедника мутантов» читайте в первой части.

В этот раз я расскажу о процессе миграции пользователей (более 1600 человек) со старой сети на новую. Всех заинтересовавшихся приглашаю под кат.

UNO 1000/2000 — это полноценные X86-компьютеры для встраиваемых систем, в форм-факторе готовых модулей, с возможностью установки на стол, стену, DIN-рейку, или VESA. Платформу легко использовать для любых специфических задач, благодаря широкому выбору фирменных модулей расширения iDoor, позволяющих добавить нужные интерфейсы в устройство.

Главные особенности линейки:

• Полностью пассивное охлаждение — отсутствие движущихся частей, вентиляторов и вентиляционных отверстий радиаторов. Внутри устройств не накапливается пыль, они реже требуют обслуживания.
• Полноценная архитектура X86 — нет необходимости портировать старые программы, как в случае с архитектурами MIPS или ARM. Имеется возможность установки десктопных версий Windows.
• Встроенные порты I/O — интегрированные цифровые порты ввода-вывода для подключения периферийных устройств
• Встроенные интерфейсы RS-232/485/422 — нет необходимости подключать внешние адаптеры последовательных интерфейсов
• Модули расширения iDoor — более 30 типов фирменных плат расширения позволяют собрать подходящую конфигурацию
• Напряжение питания от 9V до 36V DC — широкий диапазон рабочего напряжения позволяет установить устройство в существующие системы, без преобразователей.

Технология «Power-over-Ethernet», или сокращенно «РоЕ», плотно вошла в нашу жизнь и неразрывно связана с преобладающим большинством инсталляций систем IP-телефонии, видеонаблюдения и беспроводных сетей. Последнее обновление стандарта IEEE 802.3, в части нам привычного «РоЕ», было проведено в 2012 году. Тогда, во время очередного пересмотра стандарта, в него были включены уже принятые дополнения, включая 802.3at-2009 (Power over Ethernet enhancements — 25.5 W), известный нам как «PoE+». Сегодня на рынок сетевых коммутаторов выходят продукты с поддержкой технологий «Fast-PoE» и «Perpetual-PoE». Являются ли данные возможности коммутаторов частью стандарта или нет, давайте попробуем разобраться в нашей статье.

Приветствую, уважаемые хаброжители и случайные гости. В данном цикле статей речь пойдет о построении несложной сети для фирмы, которая не является слишком требовательной к своей ИТ- инфраструктуре, но в то же время имеет необходимость в обеспечении своих работников качественным подключением к Интернету, доступом к общим файловым ресурсам, обеспечением сотрудникам VPN доступа к рабочему месту и подключение системы видеонаблюдения, доступ к которой имелся бы из любой точки мира. Для сегмента малого бизнеса очень свойственным является быстрый рост и, соответственно, перепланирование сети. В этой статье мы начнем с одного офиса на 15 рабочих мест и далее будем расширять сеть. Так, если будет интересна какая-то тема, пишите в комменты, будем пытаться внедрить ее в статью. Буду предполагать, что читатель знаком с основами компьютерных сетей, но на все технические термины буду приводить ссылки на Википедию, если что-то не понятно — кликайте и исправляйте этот недочет.

В предыдущем выпуске я описал фреймворк сетевой автоматизации. По отзывам у некоторых людей даже этот первый подход к проблеме уже разложил некоторые вопросы по полочкам. И это очень меня радует, потому что наша цель в цикле — не обмазать питоновскими скриптами анзибль, а выстроить систему.

Этот же фреймворк задаёт порядок, в котором мы будем разбираться с вопросом.
И виртуализация сети, которой посвящён этот выпуск, не особо укладывается в тематику АДСМ, где мы разбираем автоматику.

Но давайте взглянем на неё под другим углом.

Уже давно одной сетью пользуются многие сервисы. В случае оператора связи это 2G, 3G, LTE, ШПД и B2B, например. В случае ДЦ: связность для разных клиентов, Интернет, блочное хранилище, объектное хранилище.

И все сервисы требуют изоляции друг от друга. Так появились оверлейные сети.

И все сервисы не хотят ждать, когда человек настроит их вручную. Так появились оркестраторы и SDN.

Первый подход к систематической автоматизации сети, точнее её части, давно предпринят и много где внедрён в жизнь: VMWare, OpenStack, Google Compute Cloud, AWS, Facebook.

Вот с ним сегодня и поразбираемся.

Тема дачного мобильного Интернета не отпускает меня и я решил продолжить тесты. В прошлый раз я протестировал российский промышленный роутер, а на этот раз я сравню готовые изделия, в которые достаточно вставить sim-карту и смонтировать на стойке, чтобы получить вполне приличный Интернет. Испытуемыми будут уличные роутеры Zyxel LTE7460 и Microdrive NR-410. Вперед, к стабильному и быстрому интернету в своем доме!

Основная страница мониторинга.

SD-Access — это реализация нового подхода к строительству локальных сетей от Cisco. Сетевые устройства объединяются в фабрику, поверх неё строится оверлей, и всем этим управляет центральный компонент — DNA Center. Выросло всё это из систем мониторинга сети, только теперь мутировавшая система мониторинга не просто мониторит, но собирает подробную телеметрию, конфигурирует всю сеть как единое устройство, находит в ней проблемы, предлагает их решения и вдобавок энфорсит политики безопасности.

Забегая вперёд, скажу, что решение довольно громоздкое и на данный момент нетривиальное в плане освоения, но чем больше сеть и чем важнее безопасность, тем выгоднее на него переходить: серьёзно упрощает управление и траблшутинг.

Предыстория – как мы на это решились?

Заказчик переезжал в новый свежекупленный офис из арендуемого. Локальную сеть планировали сделать по традиционной схеме: коммутаторы ядра, коммутаторы доступа плюс какой-нибудь привычный мониторинг. В это время мы как раз развернули стенд с SD-Access в нашей лаборатории и успели немного пощупать решение и пройти обучение с очень кстати посетившим Москву экспертом из французского офиса Cisco.

Заключительная, самая скучная статья-справочник. Читать её для общего развития смысла наверное нет, но когда это случится — она вам очень поможет.

В линейках коммутаторов SLX, VSP и EXOS от Extreme Networks есть модели c особой аппаратной архитектурой под общим названием «Insight». В отличие от стандартного исполнения, когда Contol и Data Plane коммутатора связаны только шиной PCIe (со всеми вытекающими ограничениями пропускной способности), «Insight» свичи имеют несколько интерфейсов Data Plane включенных напрямую в виртуальные машины, которые развернуты на Control Plane. Рассмотрим, как это работает и какие ресурсы утилизируются:

Обычно, когда говорят, что можно повысить качество работы чего-либо, то имеют в виду внедрение каких-либо новинок, обновлений, в общем всего того, что связано с приобретением новой техники.

Однако в погоне за техническими новинками иногда упускаются такие важные вещи как условия эксплуатации, размещение оборудования.

В статьях «Улучшаем работу Wi-Fi. Общие принципы и полезные штуки» и
«Улучшаем работу Wi-Fi. Часть 2. Особенности оборудования» мы уже поднимали вопрос о том, как сделать сеть Wi-Fi более эффективной.

Ниже мы рассмотрим вопросы размещения точек доступа и зоны покрытия.

<< До этого: Расширяя интерактивность

К середине 1960-х первые вычислительные системы с разделением времени в целом повторили раннюю историю первых телефонных коммутаторов. Предприниматели создавали эти коммутаторы, чтобы позволить подписчикам пользоваться услугами такси, врача или пожарной бригады. Однако подписчики вскоре обнаружили, что местные коммутаторы точно так же подходят для общения и социализации друг с другом. Точно так же и системы с разделением времени, сначала созданные для того, чтобы пользователи могли «вызывать» себе вычислительные мощности, вскоре превратились в коммунальные коммутаторы со встроенной системой обмена сообщениями. В следующем десятилетии компьютеры пройдут очередной этап истории телефона – появление взаимосвязи коммутаторов, образующей региональные и междугородние сети.