Get best of the week

Desmontamos el enrutador NSG200 Nebula Security Gateway. Vista interior y exterior

Con la introducción del modo de autoaislamiento, me instalé en casa y espero a que se levanten las restricciones en el trabajo, una pieza de hierro bastante interesante de Zyxel.

Con el permiso del propietario, hoy en este artículo analizaremos no solo la funcionalidad, sino que también analizaremos el enrutador NSG200 Nebula Security Gateway.



Este es un representante del equipo que está completamente orientado a trabajar en una red SDN definida por software , en la que el nivel arquitectónico de control se realiza a través del portal nebula.zyxel.com.

Miremos más de cerca cómo se controla el NSG200 y qué está bajo su protección.

Controlar


Al conectar este enrutador a su computadora y escribir en el navegador 192.168.1.1, se le quitará la interfaz web. Al ingresar el nombre de usuario y la contraseña admin / 123456, deberá cambiar a algo más confiable.



Después de cambiar la contraseña, accede a la interfaz principal, donde verá ... sí, prácticamente nada: de



hecho, solo puede configurar la conexión a Internet para que el NSG200 pueda conectarse al nodo de control Nebula.



Aquí es donde estará disponible toda la funcionalidad de un potente enrutador completo con VPN, detección de intrusos, filtro de contexto, etc.

¿NSG es inútil sin nebulosa?


La Nebulosa Zyxel es un sistema probado durante años. Una gran cantidad de empresas compran equipos con la capacidad de administrar a través de nebula.zyxel.com .

Pero si eres paranoico, y el liderazgo compró doscientos de esos dispositivos?



Entonces, una interfaz de línea de comando completa (CLI) vendrá en su ayuda.



A través de él, puede acceder a toda la funcionalidad de este dispositivo. Me pareció que a través de la CLI puede obtener aún más que a través de Nebula, ya que puede organizar el control automático de enrutadores a través de Ansible.

Pero aún así, este dispositivo está afilado para el control desde un nodo central. Por lo tanto, no veo el punto de considerar las características de CLI en este artículo.

Regístrese NSG200 en Nebula.Zyxel.com


Primero, asegúrese de que las direcciones del servidor Nebula sean accesibles desde la red que se utilizará como WAN en su enrutador.



Luego, si aún no las ha creado, cree una cuenta, organización y sitios. Sigue manteniendo una organización lógica. estructura ayuda mucho en la administración. Luego agregamos nuestros dispositivos al sitio.



Regístrese por número de serie y dirección de amapola.



Tengo una pregunta: ¿pueden "robar" el control del dispositivo de una nebulosa? Rápidamente creé otra cuenta e intenté agregar el mismo enrutador.



¡Higo! Si la pieza de hierro está vinculada a su cuenta, incluso si no está instalada en el sitio, nadie tendrá control sobre ella. Si es necesario transferir a otra persona, entonces el enrutador se puede desvincular de la cuenta. Muy similar a iCloud.

Después de vincularse al centro de control, se establece una contraseña única en todos los dispositivos de esta ubicación de instalación y puede verla / cambiarla aquí:



¿Y si termina Internet?


Alguien puede preguntar qué hacer si tiene que cambiar urgentemente el proveedor, pero el administrador no le dio acceso a la interfaz de nebulosa. Una situación poco probable, pero aun así merece la atención.

Personalmente, veo la siguiente solución: restablecer la configuración de fábrica, ir a la interfaz web y configurar una nueva conexión.

Habiendo visto el servidor Nebula, el enrutador absorberá la configuración anterior.

Lo que se puede controlar a través de Nebula.Zyxel.com


¡Sí, casi toda la funcionalidad!



Configurar red de área local de red? ¡Fácil!



Apriete las tuercas en el firewall? ¿O limitar el funcionamiento de aplicaciones y servicios específicos? En tres clics, el



filtro de contexto bien establecido también está disponible: el



NSG200 también puede servir como un controlador HotSpot.

Puede organizar un "portal cautivo" (página de autorización) para cualquier participante de la red. Es decir, puede usar cualquier punto de acceso de punto de acceso para Wi-Fi, pero obtener la identificación del cliente.



Por ejemplo, para aterrizar todos los puntos de Wi-Fi y computadoras invitadas en algún vlan (por ejemplo, vlan 55) y envolverlo en la página de autorización.

Por cierto, el portal cautivo se puede usar para forzar que se muestre una página (por ejemplo, un portal corporativo) al abrir un navegador, incluso en un dispositivo que no sea de dominio.

VPN


Para unir oficinas en una red local, es suficiente que al menos un enrutador tenga una dirección IP estática blanca. Es para indicar que será un servidor. También es fácil cambiar el enrutador vpn del servidor a otro. Por ejemplo, en el caso de un problema en un canal en una oficina, puede transferir la función del servidor a un enrutador en otra oficina con Internet estable.



Elija una red local que tenga derecho a ir a oficinas remotas y haga clic en guardar.

Expandir una nueva sucursal en otra ciudad / oficina no es mucho más fácil. Para hacer esto, el jefe de la oficina en las tiendas locales compra cualquier modelo con Nebula, por ejemplo, el NSG50, conecta el cable del proveedor en el puerto WAN y envía al administrador una foto de la amapola y el número de serie del enrutador. Si el proveedor no emite una conexión a través de DHCP (que rara vez es el caso hoy en día), entonces debe ir a la interfaz web y configurar la conexión a través de un proveedor específico. El administrador del sistema de la oficina central hará todo lo demás.

¿Qué hay adentro?


El enrutador, en esencia, es el corazón de la red corporativa. A menudo desempeña el papel de no solo una "NATILK tonta", sino también otras funciones importantes de una organización pequeña, como controlar el acceso a Internet, firewall, VPN, etc. Incluso puede actuar como un controlador de punto WiFi.

El reemplazo rápido a menudo solo es posible si existe una configuración de respaldo.
Por esta razón, los requisitos de hardware son muy altos.

La apariencia tiene un diseño inusual. Para la instalación en un bastidor estándar, el kit incluye "orejas".



El cuerpo del metal es muy grueso. Me parece que la fuerza del cuerpo y las "orejas" es mayor que la de otros vendedores que "manipulé" en mi práctica. Creo que puedes poner un servidor de 1U encima

Otros ángulos





Debajo del capó, nos encontramos con un precio muy pequeño para pagar el disipador térmico masivo



entre la CPU y el



procesador grueso de la almohadilla térmica del disipador de calor



OCTEON II CN6230-1000BG900-AAP

Este procesador MIPS64 de cuatro núcleos de Marvell. Tiene un controlador de memoria con una velocidad de 1600 MHz

. Los chips Nanya nt5cc128m16jr-ek se usan como RAM.



Cada chip tiene 2 gb y está diseñado para una frecuencia de 1866 MHz.

En este modelo, hay 4 de ellos, pero el ancho de banda de la memoria está limitado por el procesador a 1600 MHz. Podemos decir que se instala con un margen de seguridad.

Una solución interesante para instalar una memoria NAND en 4 Gb desde micras como una placa separada.





Controlador de memoria del fabricante taiwanés phison ps2251-50-f



Puedo suponer que Zyxel tuvo en cuenta el hecho de que la memoria NAND y su controlador son el eslabón más débil (por razones obvias) en este ensamblaje y lo hicieron extraíble. Por lo tanto, la reparación de este enrutador en el centro de servicio con mayor frecuencia consistirá en cargar un nuevo firmware en esta unidad flash e insertarlo en el conector de la placa.

Para las interfaces de red realtek RTL8370MB responsables , en las que la especificación establece que es capaz de resolver un Switch administrado de 8 + 2 puertos.



Pero los módulos del puerto del transformador son de la compañía estadounidense Bothhand.



Cada módulo G2PM109N2 está diseñado para servir a dos puertos.

Conclusión


No importa cuán descansados ​​sean los administradores con mentalidad conservadora, el desarrollo de redes SDN está en curso, atrayendo a más y más partidarios.

Debido a la implementación de la campaña Zyxel Nebula, la velocidad de lanzamiento en el servicio de la red corporativa aumenta significativamente.

Además, puede ahorrar significativamente en personal de TI altamente calificado, ya que los administradores locales solo necesitan montar y conectar los cables. El resto lo hará el administrador de la oficina central.

También de beneficios útiles: no hay que preocuparse por las configuraciones de copia de seguridad. Todos están almacenados en Nebula. Un rayo cayó sobre el enrutador: simplemente tiró el viejo, lo instaló en la pared / gabinete y agregó un nuevo enrutador a la misma plataforma en Nebula. ¡Todas!

Les dejo la calidad de los componentes y conjuntos para su evaluación.

Pero mi opinión es que este enrutador está ensamblado de muy buena calidad y el fabricante no ahorró en componentes.

No siempre, las empresas modernas necesitan el enfoque "barato y largo". Muy a menudo, la velocidad de apertura de sucursales puede desempeñar un papel importante en todo el negocio.

Por lo tanto, una empresa debe comprender claramente por sí misma lo que le conviene: de forma rápida y confiable, o económica y durante mucho tiempo ...

PD: lo invito a discutir este artículo y hacer otras preguntas sobre el equipo Zyxel en el chat de Telegram @zyxelru

More articles:


All Articles