Разбираем роутер NSG200 Nebula Security Gateway. Вид изнутри и снаружи

    С вводом режима самоизоляции у меня дома осела и ждёт снятия ограничений на работы довольно интересная железка от Zyxel.

    С разрешения владельца сегодня в этой статье посмотрим не только на функционал, но и разберём роутер NSG200 Nebula Security Gateway.



    Это представитель оборудования, которое полностью заточено на работу в программно-определяемой сети SDN, в которой архитектурный уровень управления выполняется через портал nebula.zyxel.com

    Давайте более детально посмотрим как NSG200 управляется и что у него под крышкой.

    Управление


    Подключив этот роутер к своему компу и набрав в браузере 192.168.1.1 Вы уведите вэб интерфейс. Введя логин и пароль admin/123456 он потребует Вас сменить на что-то более надёжное.



    После смены пароля вы попадаете в основной интерфейс, где увидите… да практически ничего:



    По сути Вы можете настроить только интернет соединение, чтобы NSG200 смог подключиться к узлу управления Nebula.



    Вот там будет доступен весь функционал полноценного мощного роутера с VPN, обнаружением вторжения, контекстным фильтром и т.д.

    Неужели NSG бесполезен без Nebula?


    Zyxel Nebula — проверенная годами система. Огромное количество компаний закупает оборудование именно с возможностью управления через nebula.zyxel.com.

    Но если Вы параноик, а руководство закупило две сотни таких устройств?



    То Вам на помощь придёт полноценный command line interface (CLI).



    Через него вы можете получить доступ ко всему функционалу данного устройства. Мне показалось, что через CLI можно получить даже больше, чем через Небулу, так как можно организовать автоматическое управление роутерами через Ansible.

    Но всё же данной устройство заточено на управление с центрального узла. Поэтому смысла рассматривать возможности CLI в данной статье я не вижу.

    Регистрируем NSG200 на Nebula.Zyxel.com


    Для начала убедитесь, что из сети, которая будет использоваться как WAN на Вашем роутере, доступны адреса серверов nebula



    Далее если ещё не созданы, то создаём учётную запись, организацию и площадки. Всё же держать логичную орг. структуру существенно помогает в администрировании. Затем добавляем наши устройства на площадку.



    Регистрируем по серийному номеру и мак-адресу.



    У меня возник вопрос: могут ли «угнать» управление устройством с нэбулы? По быстрому создал ещё одну учётку и попробовал добавить этот же роутер.



    Фиг вам! Если железка привязана к Вашему аккаунту, даже если не установлена на площадку, то управление ею никто не получит. Если будет необходимость передать другому человеку, то роутер можно будет отвязать от учётки. Очень похоже на iCloud.

    После привязки к центру управления, на всех устройствах этого места установки задаётся единый пароль и посмотреть/поменять его можно здесь:



    А если интернет кончится?


    У кого-то может возникнуть вопрос, что делать если придётся экстренно сменить провайдера, а доступа к интерфейсу nebula админ не дал? Маловероятная ситуация, но всё же стоит внимания.

    Я лично вижу следующее решение: сбрасываем на заводские настройки, заходим на вэб интерфейс и настраиваем новое подключение.

    Увидев сервера Nebula, роутер всосёт в себя старые настройки.

    Чем можно управлять через Nebula.Zyxel.com


    Да практически всем функционалом!



    Настроить сеть локальную сеть? Легко!



    Закрутить гайки на фаерволе? Или ограничить работу конкретных приложений и сервисов? В три клика



    Хорошо зарекомендовавший себя контекстный фильтр тоже доступен:



    NSG200 так же может служить контроллером HotSpot.

    Можно организовать «Captive portal» (страница авторизации) для любых участников сети. То есть можно использовать для Wi-Fi любые точки доступа для хотспота, но получать идентификацию клиентов.



    Например, приземлить все точки Вай-Фай и гостевые компьютеры в какой-то vlan (например, vlan 55) и его завернуть на страницу авторизации.

    Кстати, Captive portal можно использовать для принудительного вывода страницы (например, корпоративного портала) при открытии браузера даже на недоменном устройстве!

    VPN


    Чтобы объединить офисы в локальную сеть достаточно, чтобы хотя бы один роутер имел белый статический ip адрес. Его указать, что он будет сервером. Так же легко поменять серверный vpn роутер на другой. Например, в случае с проблемой на канале в одном офисе, можно серверную функцию передать на роутер в другом офисе со стабильным интернетом.



    Выбираем локальную сеть которая имеет право ходить в удалённые офисы и жмём save.

    Развернуть новый филиал в другом городе/офисе проще не куда. Для этого в местных магазинах руководитель офиса покупает любую модель с Nebula, например, NSG50, втыкает в WAN порт шнурок провайдера и отправляет админу фото мака и серийного номера роутера. Если провайдер выдаёт коннект не по DHCP (что сегодня уже редко), то нужно зайти в вэб-интерфейс и настроить соединение через конкретного провайдера. Всё остальное сделает системный администратор центрального офиса.

    Что внутри?


    Маршрутизатор, по своей сути, является сердцем корпоративной сети. Он часто несёт роль не только «тупой НАТилки», но и другие важные функции небольшой организации, такие как контроль доступа в интернет, фаервол, ВПН и т.д. Он может даже выступать контроллером точек WiFi.

    Быстрая замена часто возможна только на такой же, если имеется бэкап конфига.
    По этой причине требования к аппаратной части очень высоки.

    Внешний вид имеет необычный дизайн. Для установки в стандартную стойку в комплекте имеются «уши».



    Метал корпуса очень толстый. Мне кажется, что прочность корпуса и «ушей» выше, чем у других вендоров, которые я «лапал» в своей практике. Думаю можно положить на него сверху какой-нибудь сервер 1U

    Другие ракурсы





    Под крышкой нас встречает небольшая плата с очень массивным радиатором



    Между процессором и радиатором толстая термопрокладка



    Процессор



    OCTEON II CN6230-1000BG900-AAP

    Это четырёх ядерный MIPS64 процессор от Marvell. Контроллер памяти у него имеет скорость 1600 MHz

    В качестве оперативной памяти используются чипы Nanya nt5cc128m16jr-ek



    Каждый чип на 2gb и рассчитан на частоту 1866MHz.

    В данной модели их установлено 4 штуки, но пропускная способность памяти ограничено процессором в 1600MHz. Можно сказать, что установлена с запасом прочности.

    Интересное решение отдельной платой установить NAND-память на 4Gb от micron





    Контроллер памяти от тайваньского производителя phison ps2251-50-f



    Могу предположить, что Zyxel учёл тот факт, что NAND-память и её контроллер самое слабое звено (по ясным причинам) в данной сборке и сделал его съёмным. Таким образом ремонт данного роутера в сервисном центре чаще всего будет заключаться в заливке новой прошивки на данную флэшку и вставку в разъём на плате.

    За сетевые интерфейсы отвечает realtek RTL8370MB, в спецификации которого указано, что он умеет разруливать 8+2-портовыми управляемыми свичами.



    А вот сами трансформаторные модули портов от американской компании Bothhand



    Каждый модуль G2PM109N2 рассчитан на обслуживание двух портов.

    Заключение


    Как бы консервативно настроенные админы не упирались, но развитие SDN сетей активно идёт, увлекая всё больше сторонников.

    За счёт реализации похода Zyxel Nebula скорость запуска в обслуживание корпоративной сети существенно увеличивается.

    Более того, можно существенно экономить на высоко квалифицированном IT персонале, так как от админов на местах требуется только смонтировать и подключить кабеля. Всё остальное сделает администратор из головного офиса.

    Так же из полезных плюшек — не надо париться по поводу бэкапа конфигов. Они все хранятся на Нэбуле. Ударила молния в роутер — просто выкинул старый, установил на стену/шкаф и добавил новый роутер на туже площадку в Nebula. Всё!

    Качество компонентов и сборки на оценку оставляю Вам.

    Но моё мнение, что данный роутер собран очень качество и производитель не экономил на компонентах.

    Не всегда подход «дёшево и долго» нужен современному бизнесу. Чаще всего скорость открытия филиалов может играть существенную роль на всём бизнесе.

    Поэтому бизнес должен чётко для себя понимать, что ему подходит: быстро и надёжно, либо дёшево и долго…

    P.S.: Обсудить данную статью и задать иные вопросы по оборудованию Zyxel приглашаю в Телеграм-чат @zyxelru
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 11

      0
      Изменение и хранение конфигурации через сторонний сервер — это не SDN. И частота измеряемая в Mbps — это за гранью зла. При первой ошибке я подумал, что это опечатка. Но так везде! Создалось ощущение, что автор некомпетентен.
      Каждый чип на 2gb и рассчитан на частоту 1866Mbps.

      В данной модели их установлено 4 штуки, но пропускная способность памяти ограничено процессором в 1600Mbps. Можно сказать, что установлена с запасом прочности.
        0
        Поправил. Что-то переклинило в маркировки частоты. Поправил.

        Изменение и хранение конфигурации через сторонний сервер — это не SDN.

        А вот на это требую обоснования!

        Чем подход с nebula противоречит определению:
        уровень управления — набор программных средств, физически отделённых от инфраструктурного уровня, обеспечивающий реализацию механизмов управления устройствами инфраструктурного уровня
          0
          В SDN control plane находится на отдельном сервере. На оборудовании остается только data plane, непрерывно связанный с контроллером, например по протоколу OpenFlow. Контроллер непрерывно участвует в работе оборудования и управляет созданием Flow между конечными портам. Одно из применений создание сервиса/vlan/flow (например от гипервизора виртуализации или от других ИТ систем) на конечных портах и SDN контроллер сам настраивает инфраструктуру прозрачно.
          В данном случае control plane и data plane присутствуют на устройстве и оно является standalone устройством.

          Этот подход zyxel больше похож на ACS управления CPE по протоколу TR-069. Сам разработчик называет эту систему как Control Center. Ни единого упоминания о SDN.
        0
        Но моё мнение, что данный роутер собран очень качество и производитель не экономил на компонентах.

        Опять питание сделано через одно место… Внутри корпуса куча свободного места, почему БП не размесить там и подавать спокойно туда питание "стандартным" проводом? Зачем эти выносные блоки питания? Они жутко не удобные особенно при размещение в стойке.

          0
          Да. Сложно об этом спорить. Надеюсь, что инженеры Zyxel это услышат.
          –1
          Странное устройство безопасности управляемое через чужой сайт в интернете.
            0
            И оно доставит много веселья при «нестандартных» настройках доступа к интернету. Типа все еще живущего у части операторов домашнего сегмента «русского pptp» (

              0
              Жечь надо провайдеров с доисторическим pptp!
                0
                И переходить к оставшемуся эффективному с gpon?
              0
              Это вопрос доверия к подрядчику.
              Ведь же компании часто отдают IT на оутсорс. А оутсорсеры, в свою очередь, часто размещают сервисы клиентов на своих ресурсках. И это нормально! Развитие той же itsumma.ru показывает востребованности таких услуг.

              Почему Zyxel не имеет право выступать аутсорсером?
                0
                Имеет, но за это всегда наступает расплата. Вариантов много. Например в какой-то момент zyxel решит, что поддержка этого сайта ему не выгодна. Или новый виток санкций и они забанят по IP всю страну. Это общие риски. А могут быть индивидуальные: пропал канал связи, ввели плату и ты не заплатил по каким-то причинам, тебя забанили.

                Если вдруг система глюканёт/взломают и организация понесёт прямые убытки с кем судиться? Допустим существует теоретическая возможность поиметь itsumma за косяки, а у nebula.zyxel.com написана подсудность китайскому суду.

                Все эти облачные сервисы это здорово, прогрессивно, удобно, но очень опасно.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое