Настройка smart-оборудования Zyxel в автономном и «облачном» режимах



    О чем статья?
    1. Короткий обзор и unboxing smart-коммутатора Zyxel XGS1930-28HP и точки доступа NWA1123-ACv2

    2. Описание процесса настройки:

    • в автономном режиме
    • “облачном” режиме с использованием Nebula Control Center (NCC)

    3. решение ряда мелких проблем, возникших в процессе настройки

    Для тех, кому лень читать:
    1. Критичных проблем при настройке оборудования обнаружено не было.

    2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

    3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
    3.1. Небольшое кол-во оборудования
    3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

    4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

    5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

    Содержание


    1. Что тестируем?
    1.1. Коммутатор Zyxel XGS1930-28HP
    1.1.1. Фото
    1.1.2. Общая информация
    1.1.3. Комплектация

    1.2. Точка доступа Zyxel NWA1123-ACv2
    1.2.1. Фото
    1.2.2. Общая информация
    1.2.3. Комплектация

    2. Тестирование
    2.1. Конфигурация тестового стенда

    2.2. Настройка в автономном режиме
    2.2.1. Коммутатор
    2.2.2. Точка доступа

    2.3. Сброс настроек

    2.4. Настройка с использованием Nebula Control Center
    2.4.1. Несколько слов о сервисе
    2.4.2. Лицензирование NCC

    2.4.3. Настройка коммутатора с использованием NCC
    2.4.3.1. Регистрация коммутатора в NCC
    2.4.3.2. Процесс настройки

    2.4.4. Настройка точки доступа
    2.4.4.1. Регистрация точки доступа в NCC
    2.4.4.2. Процесс настройки

    3. Мнение автора

    4. Спасибо

    Что тестируем?


    Коммутатор Zyxel XGS1930-28HP


    Фото









    Общая информация


    Производитель
    Zyxel
    Модель
    XGS1930-28HP
    Тип коммутатора
    L2+
    Кол-во 1G RJ45 портов с поддержкой PoE 802.3at
    24
    PoE-бюджет
    375 Вт (до 15.4Вт на все порты, 30 Вт/порт макс.)
    Кол-во 10G SFP+ портов
    4
    Кол-во БП
    1
    Поддержка стекирования
    нет
    Возможности мониторинга и управления
    — Web-интерфейс
    — SNMP v1-3
    — RMON
    — ограниченный CLI
    — “облачное” управление с помощью SaaS от производителя
    Полная спецификация
    www.zyxel.com/products_services/24-48-port-GbE-Smart-Managed-Switch-with-4-SFP--Uplink-XGS1930-Series/specifications

    Комплектация


    Поставляется коммутатор в стандартной картонной коробке.
    Все запчасти собраны в отдельную коробку меньшего размера.

    Комплектация выглядит следующим образом:


    1 — коммутатор
    2 — руководство пользователя
    3 — “Safety Warnings”
    4 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)
    5 — гарантийный талон
    6,7 — стоечные крепления (“уши”)
    8 — комплект резиновых “ножек” для desktop-монтажа
    9 — комплект болтиков для крепления “ушей” к коммутатору
    10 — комплект болтов для монтажа коммутатора в 19” стойку
    11 — кабель питания C13/Schuko

    Заметки тестировщика:
    Предоставленный образец — типичный современный L2+ PoE-коммутатор уровня доступа.
    Подходит для подключения конечных устройств в корпоративных сетях (Small Business).

    Несмотря на относительно высокую пропускную способность и наличие 10G-портов — не подходит для использования в условиях ЦОД в силу:
    — относительно высокой задержки коммутации
    — отсутствия резервного блока питания

    L2+ функционал типичен для Smart / Small Business линеек других вендоров (статическая маршрутизация, L3-L4 ACL, DCHP Relay).
    Нет поддержки DHCP Snooping.

    Способы управления ограничены (что, в общем-то типично для smart-коммутаторов)
    Нет:
    — полноценного управления коммутатором через CLI
    — возможности настройки через COM-порт


    Точка доступа Zyxel NWA1123-ACv2



    Фото









    Общая информация


    Производитель
    Zyxel
    Модель
    NWA1123-ACv2
    Поддерживаемые частотные диапазоны
    2.4 ГГц (IEEE802.11 b/g/n)
    5 Ггц: (IEEE 802.11 a/n/ac)
    Кол-во радиомодулей
    2
    Антенны
    2T2R MIMO
    Кол-во Ethernet-портов
    1x1G RJ45
    Питание
    802.3af/at или локальный БП
    Возможности мониторинга и управления
    — Web-интерфейс
    — SNMP v1-3
    — RMON
    — CLI
    — “облачное” управление с помощью SaaS от производителя
    Полная спецификация
    www.zyxel.com/products_services/802-11ac-Dual-Radio-Ceiling-Mount-PoE-Access-Point-NWA1123-ACv2/specifications

    Комплектация



    1 — точка доступа Zyxel NWA1123-ACv2
    2 — внешний блок питания с вилкой UK Plug
    3 — сменная вилка Schuko (EU Plug) для внешнего БП
    4 — монтажное крепление
    5 — 2 набора дюбелей
    6 — 2 шурупа
    7 — руководство пользователя
    8 — гарантийный талон
    10 — Safety Warnings
    11 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)

    Тестирование


    Конфигурация тестового стенда


    Эмулируем достаточно типичную сеть небольшого офиса (Small Business же).

    Сегментация сети:



    Распределение портов коммутатора:



    Беспроводные сети:



    Заметки тестировщика:
    1. В качестве маршрутизатора тестового стенда используем MikroTik RB750UP.

    Он используется для:

    — терминирования VLAN’ов и маршрутизации трафика между ними
    — терминирования аплинка
    — статической маршрутизации интернет-трафика и SNAT на внешнем интерфейсе

    Т.к. производительность маршрутизации в рамках этого теста не критично — 100М-портов на маршрутизаторе будет достаточно.

    2. В сегменте vlan.MGMT используем DHCP (рекомендация Zyxel относительно оптимальной первичной настройки)

    3. Ограничения доступа между сегментами внутренней сети реализуем с помощью ACL коммутатора (ради того, чтобы ознакомиться с процессом настройки ACL).


    Стенд в собранном виде:



    Настройка в автономном режиме


    Коммутатор


    1. Качаем мануал, читаем.
    2. Ловим коммутатор и точку в DHCP
    3. Заходим на веб-интерфейс коммутатора по IP-адресу.
    4. Выбираем режим автономной конфигурации, авторизуемся под учетной записью по-умолчанию (admin/1234)



    5. Пытаемся настроить VLAN’ы и порты с помощью Wizard’a



    Заметки тестировщика:

    1.Возможности Wizard’a сильно ограничены, лучше сразу применять настройки по-умолчанию и переходить в полноценный веб-интерфейс.

    Что не так:

    — настроить можно не более 5 VLAN’ов за раз
    — транковый порт при можно привязать только ко всему набору VLAN’ов (но не подмножеству).
    — нельзя сменить MGMT VLAN.
    — нет поддержки hybrid режима работы портов.
    Порт может или нетегированным (access) или пропускать трафик всех тегированных VLAN’ов (trunk)

    2. Возможности настройки через CLI, по факту, нет (что, в общем, нормально для этого класса коммутаторов):




    6. Cоздаем MGMT VIF через веб-интерфейс (“Basic setting” > “IP Setup” > “IP Configuration”)

    7.Добавляем ограничения доступа для гостевой сети.

    Процесс не совсем интуитивен, но достаточно прост.

    Необходимо:

    — создать: L2-L4 правила классификации (“Classifier”)
    — создать политики доступа, основанные на правилах классификации трафика (“Policy rule”)

    7.1. Знакомимся с классификатором. Переходим в “Advanced Application” > “Classifier” > “Classifier configuration”





    Создаем несколько правил классификации для гостевой сети:



    7.2. Переходим в “Advanced Application” > “Policy Rule” и создаем несколько политик на основе правил классификации.





    7.3. Проверяем работу ACL:



    Точка доступа


    1. Качаем мануал, читаем
    2. Заходим на веб-интерфейс точки доступа
    3. Авторизуемся с учетными данными по-умолчанию (admin/1234)
    4. Меняем пароль (обязательный шаг, без этого дальше пройти не получится)
    5. Создаем SSID. Настройки спрятаны довольно глубоко.

    5.1. Добавляем профили безопасности для гостевой и корпоративной сетей
    “Configuration” > “Object” > “AP Profile” > “SSID” > “Security list”





    5.2.Добавляем гостевой и корпоративный SSID
    “Configuration” >“Object” > “AP Profile” > “SSID” > “SSID list”



    6. Переходим в “AP Management” и выбираем, какой SSID каком диапазоне будет вещать.
    Предположим, гостевой SSID должен вещать в 2.4+5 ГГц, а корпоративный — только в 5Ггц.



    7. Опционально — изменяем настройки радио-интерфейсов и каналов вещания.

    Перенастраиваем менеджмент-интерфейс.

    “Configuration” > “Network”

    Для нашего кейса:

    — изменяем VID Management-VLAN’a
    — изменяем IP-адрес
    — изменяем режим теггирования

    После этого менеджмент-сессия с точкой доступа прервется (из-за потери L2-связности).

    8. Изменяем режим работы порта точки доступа на коммутаторе (trunk вместо access)



    9. Проверяем доступность точки доступа по менеджмент-интерфейсу и работу обоих SSID




    Сброс настроек


    На точке доступа:
    На коммутаторе:



    Настройка с использованием Nebula Control Center


    Несколько слов о сервисе


    Nebula Control Center (NCC) — SaaS-решение для мониторинга и управления сетевым оборудованием Zyxel.

    Поддерживаются:

    — коммутаторы
    — точки доступа
    — шлюзы безопасности

    Детально функционал описывается здесь.

    Лицензирование NCC


    Есть 3 вида лицензий:

    1. бесплатная, ограниченная по функционалу
    2. платная c ежегодным продлением
    3. платная пожизненная

    Детальное сравнение лицензий

    Лицензируется только кол-во устройств, разницы по функционалу между платными лицензиями нет.

    Относительно бесплатной версии:

    1. кол-во управляемых устройств не ограничено

    2. ограничения функционала касаются:

    — безопасности (авторизация на портах 802.1X, возможности аудита действий и т.п)
    — массового управления конфигурациями
    — мониторинга (возможность настройки триггеров, сокращенные сроки хранения исторических данных)

    Вывод:
    Бесплатная лицензия NCC пригодна к использованию в prod при:

    — небольшом кол-ве оборудования (т.е. в случае, когда функционал массового управления конфигурациями не востребован)
    — отсутствии требований к длительному хранению исторических данных мониторинга и логов


    Коммутатор


    Регистрация коммутатора в NCC

    1. Процесс регистрации выглядит следующим образом:
    2. Региструем учетную запись на nebula.zyxel.com
    3. Желательно — настраиваем двухфакторную аутентификацию
    4. Создаем Organization и Site
    5. Привязываем устройство к учетной записи, просканировав QR-код или вручную введя MAC-адрес и серийный номер в Nebula
    6. PROFIT!

    QR-код можно найти в веб-интерфейсе («Basic» > «Cloud Management» > «Nebula Switch Registration») или на коробке устройства.

    Сканировать QR-код нужно с помощью приложения Nebula Mobile (Apple App Store, Google Play)

    Для любопытных: была выполнена попытка повторной регистрации устройства под другой учетной записью.
    Не прокатило ;)


    После регистрации в NCC:

    — настройки коммутатора сбрасываются на заводские
    — в коммутатор из облака заливаются актуальные прошивка и конфиг.
    — блокируется локальная аутентификация
    — коммутатор появляется в веб-интерфейсе NCC

    Выглядит это следующим образом:

    Дешборд:

    <img src=«lh5.googleusercontent.com/8n99bHt-Z5NMcIQCFboeXuvBZGVMSOGc3DJHPIDsWP-WZsL33BSSYzXCAAJWjHMfKnfbJ_h3AOITwaa1ABDBqB0GexleNp8NxMX5FPjD1GuowxNCA9w1QXvnNw99iy27H0kjTQYZ>

    Профиль коммутатора:



    Логи:



    Информация по порту:



    Процесс настройки

    Вернемся к исходной задаче и настройке коммутатора

    1.Настраиваем VLAN’ы и порты.

    Порт точки доступа:



    Маршрутизатора:



    Терминала:



    Заметка тестировщика: при настройке через NCC почему-то поддерживаются только hybrid и access режимы работы портов (но не trunk).

    Настроить порт без указания native VLAN / PVID нельзя.

    Как вариант — можно в качестве PVID указать неиспользуемый в prod VLAN.




    2. Меняем MGMT-VLAN (“Switch” > “Switch Configuration” > “VLAN Configuration”)

    3. Настраиваем ACL для гостевой сети.

    Делается это через “Switch” > “Switch Configuration” > “IP Filtering”.

    Редактор правил выглядит следующим образом:



    Заметка тестировщика: для сравнения, еще раз приведу скриншоты локального редактора ACL.

    Облачный явно проигрывает по кол-ву опций.







    Точка доступа


    Регистрация точки доступа в NCC

    Согласно документации, для новой точки доступа процесс должен проходить по следующей схеме:

    1. Авторизация веб-интерфейсе точки доступа
    2. Смена пароля по-умолчанию
    3. Сканирование QR-кода с помощью мобильного приложения.
    QR-код появляется в PopUp после авторизации.

    Заметка тестировщика:

    Если QR-код не отображается — наиболее вероятной причиной является устаревшая прошивка (как и произошло в моем случае).

    Обновляется она следующим образом:

    — качаем прошивку с соответствующего раздела сайта производителя
    — распаковываем архив с прошивкой
    — переходим в “Maintenance” > “File Manager” > “Firmware Package”
    — заливаем *.BIN файл с прошивкой
    — ждем 3-5 мин. Идет процесс перепрошивки.

    Тонкие моменты:

    — Прогрессбар “Uploading firmware” во время перепрошивки будет заполняться бесконечно, это нормально.
    — Признак того, что процесс идет — быстрое мигание красным LED-индикатора на точке.
    — Признак того, что процесс окончен и точка нормально работает — медленное мигание LED-индикатора зеленым.
    — В веб-интерфейсе при этом ничего не отображается, прогресс-бар продолжит заполняться.


    По окончанию перепрошивки обновляем страницу.

    Нас встречает окно авторизации и очередной Wizard.

    Нажимаем “Cancel” и видим обновленный интерфейс и QR-код:



    Сканируем QR-код в Nebula Mobile, ждем 5-10 минут.

    За это время:

    — настройки точки сбрасываются на заводские
    — из облака заливается актуальная прошивка и конфиг.

    Заметка тестировщика: интересный момент — в отличие от коммутатора, локальная авторизация на точке не блокируется.


    После автонастройки точки можно зайти на веб-интерфейс и увидеть статус подключения к облаку:



    Дешборд для точек доступа:



    Профиль точки доступа:



    Страница логов:



    Возможностей фильтрации логов меньше, чем для коммутаторов.

    Процесс настройки

    1. Переходим в профиль точки доступа, меняем MGMT VLAN.



    2. Переходим в “AP” > “Configure” > “SSIDs”, создаем гостевой и корпоративный SSID:



    Не забываем включить второй SSID.


    3. Переходим в “AP” > “Configure” > “Authentication”.

    Создаем профиль безопасности для корпоративного и гостевого SSID.





    3. Настраиваем радиочасть:



    4. Подключаемся к обеим сетям, проверяем работу.

    Мнение тестировщика


    1. Критичных проблем при настройке оборудования обнаружено не было.

    2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)

    3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
    3.1. Небольшое кол-во оборудования
    3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов

    4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.

    5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

    Спасибо


    — коллегам из MTI за оперативную доставку тестового оборудования
    — коллегам из Zyxel за конструктивные ответы на вопросы, возникшие в процессе написания этой статьи
    — читателям, осилившим эту простыню до конца ;)

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 537 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое