Как стать автором
Обновить

Настройка smart-оборудования Zyxel в автономном и «облачном» режимах

Время на прочтение 9 мин
Количество просмотров 13K


О чем статья?
1. Короткий обзор и unboxing smart-коммутатора Zyxel XGS1930-28HP и точки доступа NWA1123-ACv2

2. Описание процесса настройки:

  • в автономном режиме
  • “облачном” режиме с использованием Nebula Control Center (NCC)

3. решение ряда мелких проблем, возникших в процессе настройки

Для тех, кому лень читать:
1. Критичных проблем при настройке оборудования обнаружено не было.

2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Содержание


1. Что тестируем?
1.1. Коммутатор Zyxel XGS1930-28HP
1.1.1. Фото
1.1.2. Общая информация
1.1.3. Комплектация

1.2. Точка доступа Zyxel NWA1123-ACv2
1.2.1. Фото
1.2.2. Общая информация
1.2.3. Комплектация

2. Тестирование
2.1. Конфигурация тестового стенда

2.2. Настройка в автономном режиме
2.2.1. Коммутатор
2.2.2. Точка доступа

2.3. Сброс настроек

2.4. Настройка с использованием Nebula Control Center
2.4.1. Несколько слов о сервисе
2.4.2. Лицензирование NCC

2.4.3. Настройка коммутатора с использованием NCC
2.4.3.1. Регистрация коммутатора в NCC
2.4.3.2. Процесс настройки

2.4.4. Настройка точки доступа
2.4.4.1. Регистрация точки доступа в NCC
2.4.4.2. Процесс настройки

3. Мнение автора

4. Спасибо

Что тестируем?


Коммутатор Zyxel XGS1930-28HP


Фото









Общая информация


Производитель
Zyxel
Модель
XGS1930-28HP
Тип коммутатора
L2+
Кол-во 1G RJ45 портов с поддержкой PoE 802.3at
24
PoE-бюджет
375 Вт (до 15.4Вт на все порты, 30 Вт/порт макс.)
Кол-во 10G SFP+ портов
4
Кол-во БП
1
Поддержка стекирования
нет
Возможности мониторинга и управления
— Web-интерфейс
— SNMP v1-3
— RMON
— ограниченный CLI
— “облачное” управление с помощью SaaS от производителя
Полная спецификация
www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP--Uplink-XGS1930-Series/specifications

Комплектация


Поставляется коммутатор в стандартной картонной коробке.
Все запчасти собраны в отдельную коробку меньшего размера.

Комплектация выглядит следующим образом:


1 — коммутатор
2 — руководство пользователя
3 — “Safety Warnings”
4 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)
5 — гарантийный талон
6,7 — стоечные крепления (“уши”)
8 — комплект резиновых “ножек” для desktop-монтажа
9 — комплект болтиков для крепления “ушей” к коммутатору
10 — комплект болтов для монтажа коммутатора в 19” стойку
11 — кабель питания C13/Schuko

Заметки тестировщика:
Предоставленный образец — типичный современный L2+ PoE-коммутатор уровня доступа.
Подходит для подключения конечных устройств в корпоративных сетях (Small Business).

Несмотря на относительно высокую пропускную способность и наличие 10G-портов — не подходит для использования в условиях ЦОД в силу:
— относительно высокой задержки коммутации
— отсутствия резервного блока питания

L2+ функционал типичен для Smart / Small Business линеек других вендоров (статическая маршрутизация, L3-L4 ACL, DCHP Relay).
Нет поддержки DHCP Snooping.

Способы управления ограничены (что, в общем-то типично для smart-коммутаторов)
Нет:
— полноценного управления коммутатором через CLI
— возможности настройки через COM-порт


Точка доступа Zyxel NWA1123-ACv2



Фото









Общая информация


Производитель
Zyxel
Модель
NWA1123-ACv2
Поддерживаемые частотные диапазоны
2.4 ГГц (IEEE802.11 b/g/n)
5 Ггц: (IEEE 802.11 a/n/ac)
Кол-во радиомодулей
2
Антенны
2T2R MIMO
Кол-во Ethernet-портов
1x1G RJ45
Питание
802.3af/at или локальный БП
Возможности мониторинга и управления
— Web-интерфейс
— SNMP v1-3
— RMON
— CLI
— “облачное” управление с помощью SaaS от производителя
Полная спецификация
www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/specifications

Комплектация



1 — точка доступа Zyxel NWA1123-ACv2
2 — внешний блок питания с вилкой UK Plug
3 — сменная вилка Schuko (EU Plug) для внешнего БП
4 — монтажное крепление
5 — 2 набора дюбелей
6 — 2 шурупа
7 — руководство пользователя
8 — гарантийный талон
10 — Safety Warnings
11 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)

Тестирование


Конфигурация тестового стенда


Эмулируем достаточно типичную сеть небольшого офиса (Small Business же).

Сегментация сети:



Распределение портов коммутатора:



Беспроводные сети:



Заметки тестировщика:
1. В качестве маршрутизатора тестового стенда используем MikroTik RB750UP.

Он используется для:

— терминирования VLAN’ов и маршрутизации трафика между ними
— терминирования аплинка
— статической маршрутизации интернет-трафика и SNAT на внешнем интерфейсе

Т.к. производительность маршрутизации в рамках этого теста не критично — 100М-портов на маршрутизаторе будет достаточно.

2. В сегменте vlan.MGMT используем DHCP (рекомендация Zyxel относительно оптимальной первичной настройки)

3. Ограничения доступа между сегментами внутренней сети реализуем с помощью ACL коммутатора (ради того, чтобы ознакомиться с процессом настройки ACL).


Стенд в собранном виде:



Настройка в автономном режиме


Коммутатор


1. Качаем мануал, читаем.
2. Ловим коммутатор и точку в DHCP
3. Заходим на веб-интерфейс коммутатора по IP-адресу.
4. Выбираем режим автономной конфигурации, авторизуемся под учетной записью по-умолчанию (admin/1234)



5. Пытаемся настроить VLAN’ы и порты с помощью Wizard’a



Заметки тестировщика:

1.Возможности Wizard’a сильно ограничены, лучше сразу применять настройки по-умолчанию и переходить в полноценный веб-интерфейс.

Что не так:

— настроить можно не более 5 VLAN’ов за раз
— транковый порт при можно привязать только ко всему набору VLAN’ов (но не подмножеству).
— нельзя сменить MGMT VLAN.
— нет поддержки hybrid режима работы портов.
Порт может или нетегированным (access) или пропускать трафик всех тегированных VLAN’ов (trunk)

2. Возможности настройки через CLI, по факту, нет (что, в общем, нормально для этого класса коммутаторов):




6. Cоздаем MGMT VIF через веб-интерфейс (“Basic setting” > “IP Setup” > “IP Configuration”)

7.Добавляем ограничения доступа для гостевой сети.

Процесс не совсем интуитивен, но достаточно прост.

Необходимо:

— создать: L2-L4 правила классификации (“Classifier”)
— создать политики доступа, основанные на правилах классификации трафика (“Policy rule”)

7.1. Знакомимся с классификатором. Переходим в “Advanced Application” > “Classifier” > “Classifier configuration”





Создаем несколько правил классификации для гостевой сети:



7.2. Переходим в “Advanced Application” > “Policy Rule” и создаем несколько политик на основе правил классификации.





7.3. Проверяем работу ACL:



Точка доступа


1. Качаем мануал, читаем
2. Заходим на веб-интерфейс точки доступа
3. Авторизуемся с учетными данными по-умолчанию (admin/1234)
4. Меняем пароль (обязательный шаг, без этого дальше пройти не получится)
5. Создаем SSID. Настройки спрятаны довольно глубоко.

5.1. Добавляем профили безопасности для гостевой и корпоративной сетей
“Configuration” > “Object” > “AP Profile” > “SSID” > “Security list”





5.2.Добавляем гостевой и корпоративный SSID
“Configuration” >“Object” > “AP Profile” > “SSID” > “SSID list”



6. Переходим в “AP Management” и выбираем, какой SSID каком диапазоне будет вещать.
Предположим, гостевой SSID должен вещать в 2.4+5 ГГц, а корпоративный — только в 5Ггц.



7. Опционально — изменяем настройки радио-интерфейсов и каналов вещания.

Перенастраиваем менеджмент-интерфейс.

“Configuration” > “Network”

Для нашего кейса:

— изменяем VID Management-VLAN’a
— изменяем IP-адрес
— изменяем режим теггирования

После этого менеджмент-сессия с точкой доступа прервется (из-за потери L2-связности).

8. Изменяем режим работы порта точки доступа на коммутаторе (trunk вместо access)



9. Проверяем доступность точки доступа по менеджмент-интерфейсу и работу обоих SSID




Сброс настроек


На точке доступа:
На коммутаторе:



Настройка с использованием Nebula Control Center


Несколько слов о сервисе


Nebula Control Center (NCC) — SaaS-решение для мониторинга и управления сетевым оборудованием Zyxel.

Поддерживаются:

— коммутаторы
— точки доступа
— шлюзы безопасности

Детально функционал описывается здесь.

Лицензирование NCC


Есть 3 вида лицензий:

1. бесплатная, ограниченная по функционалу
2. платная c ежегодным продлением
3. платная пожизненная

Детальное сравнение лицензий

Лицензируется только кол-во устройств, разницы по функционалу между платными лицензиями нет.

Относительно бесплатной версии:

1. кол-во управляемых устройств не ограничено

2. ограничения функционала касаются:

— безопасности (авторизация на портах 802.1X, возможности аудита действий и т.п)
— массового управления конфигурациями
— мониторинга (возможность настройки триггеров, сокращенные сроки хранения исторических данных)

Вывод:
Бесплатная лицензия NCC пригодна к использованию в prod при:

— небольшом кол-ве оборудования (т.е. в случае, когда функционал массового управления конфигурациями не востребован)
— отсутствии требований к длительному хранению исторических данных мониторинга и логов


Коммутатор


Регистрация коммутатора в NCC

1. Процесс регистрации выглядит следующим образом:
2. Региструем учетную запись на nebula.zyxel.com
3. Желательно — настраиваем двухфакторную аутентификацию
4. Создаем Organization и Site
5. Привязываем устройство к учетной записи, просканировав QR-код или вручную введя MAC-адрес и серийный номер в Nebula
6. PROFIT!

QR-код можно найти в веб-интерфейсе («Basic» > «Cloud Management» > «Nebula Switch Registration») или на коробке устройства.

Сканировать QR-код нужно с помощью приложения Nebula Mobile (Apple App Store, Google Play)

Для любопытных: была выполнена попытка повторной регистрации устройства под другой учетной записью.
Не прокатило ;)


После регистрации в NCC:

— настройки коммутатора сбрасываются на заводские
— в коммутатор из облака заливаются актуальные прошивка и конфиг.
— блокируется локальная аутентификация
— коммутатор появляется в веб-интерфейсе NCC

Выглядит это следующим образом:

Дешборд:

<img src=«lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ>

Профиль коммутатора:



Логи:



Информация по порту:



Процесс настройки

Вернемся к исходной задаче и настройке коммутатора

1.Настраиваем VLAN’ы и порты.

Порт точки доступа:



Маршрутизатора:



Терминала:



Заметка тестировщика: при настройке через NCC почему-то поддерживаются только hybrid и access режимы работы портов (но не trunk).

Настроить порт без указания native VLAN / PVID нельзя.

Как вариант — можно в качестве PVID указать неиспользуемый в prod VLAN.




2. Меняем MGMT-VLAN (“Switch” > “Switch Configuration” > “VLAN Configuration”)

3. Настраиваем ACL для гостевой сети.

Делается это через “Switch” > “Switch Configuration” > “IP Filtering”.

Редактор правил выглядит следующим образом:



Заметка тестировщика: для сравнения, еще раз приведу скриншоты локального редактора ACL.

Облачный явно проигрывает по кол-ву опций.







Точка доступа


Регистрация точки доступа в NCC

Согласно документации, для новой точки доступа процесс должен проходить по следующей схеме:

1. Авторизация веб-интерфейсе точки доступа
2. Смена пароля по-умолчанию
3. Сканирование QR-кода с помощью мобильного приложения.
QR-код появляется в PopUp после авторизации.

Заметка тестировщика:

Если QR-код не отображается — наиболее вероятной причиной является устаревшая прошивка (как и произошло в моем случае).

Обновляется она следующим образом:

— качаем прошивку с соответствующего раздела сайта производителя
— распаковываем архив с прошивкой
— переходим в “Maintenance” > “File Manager” > “Firmware Package”
— заливаем *.BIN файл с прошивкой
— ждем 3-5 мин. Идет процесс перепрошивки.

Тонкие моменты:

— Прогрессбар “Uploading firmware” во время перепрошивки будет заполняться бесконечно, это нормально.
— Признак того, что процесс идет — быстрое мигание красным LED-индикатора на точке.
— Признак того, что процесс окончен и точка нормально работает — медленное мигание LED-индикатора зеленым.
— В веб-интерфейсе при этом ничего не отображается, прогресс-бар продолжит заполняться.


По окончанию перепрошивки обновляем страницу.

Нас встречает окно авторизации и очередной Wizard.

Нажимаем “Cancel” и видим обновленный интерфейс и QR-код:



Сканируем QR-код в Nebula Mobile, ждем 5-10 минут.

За это время:

— настройки точки сбрасываются на заводские
— из облака заливается актуальная прошивка и конфиг.

Заметка тестировщика: интересный момент — в отличие от коммутатора, локальная авторизация на точке не блокируется.


После автонастройки точки можно зайти на веб-интерфейс и увидеть статус подключения к облаку:



Дешборд для точек доступа:



Профиль точки доступа:



Страница логов:



Возможностей фильтрации логов меньше, чем для коммутаторов.

Процесс настройки

1. Переходим в профиль точки доступа, меняем MGMT VLAN.



2. Переходим в “AP” > “Configure” > “SSIDs”, создаем гостевой и корпоративный SSID:



Не забываем включить второй SSID.


3. Переходим в “AP” > “Configure” > “Authentication”.

Создаем профиль безопасности для корпоративного и гостевого SSID.





3. Настраиваем радиочасть:



4. Подключаемся к обеим сетям, проверяем работу.

Мнение тестировщика


1. Критичных проблем при настройке оборудования обнаружено не было.

2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Спасибо


— коллегам из MTI за оперативную доставку тестового оборудования
— коллегам из Zyxel за конструктивные ответы на вопросы, возникшие в процессе написания этой статьи
— читателям, осилившим эту простыню до конца ;)
Теги:
Хабы:
+10
Комментарии 0
Комментарии Комментировать

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн