Tplinklogin.net

Удобство обслуживания

Удобство — параметр сугубо индивидуальный, поэтому проведём простые тесты, чтобы посмотреть, как решаются типичные для бизнес-приложений задачи, и в первом же тесте TP-Link Omada провалился с треском: контроллер проигнорировал обновление прошивки у тестовой точки доступа TP-Link EAP660 HD, которая в нашем тесте оставила от себя очень хорошее впечатление, а тут вдруг сразу провал. Я и не думал, что в 2021 году, когда от обновлений уже не знаешь, куда спрятаться, что-то в этом мире может провалить такую простую задачу, вот например Zyxel Nebula сразу сказала, что для точки доступа есть новая версия Firmware.

Чуть выше я говорил, что каждодневные проблемы могут полностью лишить вас работы Omada SDN, и это то, что у меня случилось совсем случайно — я забыл административный пароль к интерфейсу Omada. Казалось бы, рядовая процедура: вот внизу формы ввода данных кнопочка сброса паролей, нажимаю — и получаю ошибку. Я не знаю, как TP-Link собирался выслать мне ссылку для смены пароля, ведь я нигде не вводил SMTP сервер, но привязывал свой ID в облачном сервисе omada.tplinkcloud.com, который на момент подготовки статьи, не работал. Восстановить его я не смог, потому что настройки почты в интерфейсе спрятаны так далеко, что удивляешься: а почему бы при начальной инсталляции не заставить пользователя их указать? Первое, что приходит на ум в данном случае — переустановить контроллер, но правда придётся вручную искать и вычищать места, где Omada хранит пароль или делать полную переустановку Windows, и это — пол беды. Дело в том, что Omada для управления меняет пароли подключенных устройств, и когда перестанавливаешь контроллер, их надо знать, а взять их негде, так что приходится брать в руку скрепку и идти сбрасывать настройки каждой железки, что само по себе какой-то адЪ. Как в этом случае надо поступать по задумке автора: писать ли в техподдержку, или озаботиться отходными путями заранее — не ясно.

Да, спору нет — у Omada SDN более красивый интерфейс, и если вы привыкли к продукции Ubiquiti, вам будет проще на него перейти, а из-за своей простоты, этот контроллер воспринимается как-то понятнее и логичнее, чем Zyxel Nebula, но любят эти устройства не за красоту, а за способность выживать, когда всё вокруг умерло, и тут облако Nebula конечно выигрывает.

Ведение журналов

Профессиональные сисадмины предпочитают хранить логи всех событий на всех устройствах, причём вечно, но программные сетевые контроллеры созданы для другой цели — для того, чтобы вы могли легко в веб-интерфейсе мониторить состояние сети, а анализ и расследование инцидентов производятся вами на стороне уже другим софтом. Поэтому, и в Nebula и в Omada SDN вы можете настроить экспорт журнала в Syslog сервер, причём у Zyxel вы можете задать отдельные серверы для точек доступа, свитчей и шлюзов, а так же включить журналирование трафика хот-спотов. У Omada SDN в этом плане настройки поскромнее: вам доступен один адрес Syslog сервера, но в него можно сохранять журналы клиентских устройств.

В базовой версии Nebula может хранить в себе журналы 24 часа, в версии Plus — 7 дней, а в Pro версии — 1 год, у Omada SDN таких ограничений нет, но перед хардкорными администраторами Zyxel может козырнуть поддержкой SNMP, что позволит мониторить устройства, подключенные к Nebula через Prometheus или Zabbix.

Совместимость со 152 ФЗ

В идеальном случае Omada SDN вообще не хранит данных пользователя: этот контроллер установлен локально, и для пущей уверенности вы можете закрыть ему доступ в интернет через Firewall, поэтому если кто спросит, на каком сервере хранятся персональные данные ваших клиентов — можно без лишних объяснений пнуть ногой в сервак и показать: «вот на этом». В случае с Zyxel Nebula ситуация следующая: на сервере хранятся данные об авторизации администраторов только если включена облачная аутентификация (то есть учетные записи создаются в самой Nebul-е). Естественно, речь идёт именно об учётных данных администраторов Nebul-ы, и сервис позволяет ограничиться только электронной почтой, без имени.

К персональным данным, согласно 152 ФЗ, относят:

• фамилия, имя, отчество;
• место, дата рождения;
• место постоянной или временной регистрации;
• фотография или видеозапись человека, позволяющие идентифицировать человека;
• сведения о детях, родственниках, семейном положении;
• сведения о заработной плате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
• информация о судимостях, или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
• биометрические данные.

Сравнивать TP-Link Omada SDN и Zyxel Nebula по параметру соответствия законам Российской Федерации — безумие: и в том и в другом случае системы не оперируют персональными данными, и в том и в другом случае вендоры не удосужились написать какое-то общедоступное письмо или сделать какой-то сертификат соответствия требованиям 152 ФЗ для своих программных контроллеров, поэтому опасения относительно соответствия требованиям законов беспочвенны.

4 причины выбрать локальный контроллер вместо облачного

У вас параноидальные требования к безопасности. По сути, вы боитесь, что оборудование бизнес-класса будет собирать ваши данные и передавать в «облако». В этом случае вы можете закрыть локальному контроллеру и железкам доступ в сеть, сохранив вход через домен, и тогда уже обновлять прошивки вручную.
Вы боитесь явления Чебурнета (читайте мнение профессионалов о Чебурнете в нашей статье) народу, при котором на весь заграничный трафик поставят Firewall, отключат доступ к серверам Amazon и Azure

То есть в тот самый момент, когда всё вокруг будет рушиться к чертям собачьим, вам важно сохранять контроль над вашей сетью. Вы настраиваете сеть в модном ныне направлении Edge (читайте о периферийных вычисленияз здесь), и где-то «на дальней станции», на круизном лайнере или в глухой тайге, у вас просто нет постоянной связи с интернетом

Вам нужно соединить контроллер сети с какими-либо локальными сервисами мониторинга и аналитики, например с Elasticsearch или Prometheus и централизованно получать метрику уже с контроллера, а не с каждого из устройств.

На практике, если клиент требует именно локальный сетевой контроллер, то он либо боится отключения России от глобального интернета, либо не хочет, чтобы из его сети что-то куда-то уходило наружу, потому что не доверяет даже вендору. И в совсем запущенных случаях администраторы сомневаются, соответствуют ли все эти умные контроллеры требованиям 152 ФЗ, а именно — хранению персональных данных в России.

Удобство развёртывания

Пожалуй, и у TP-Link, и у Zyxel процесс развёртывания крупномасштабных инсталляций оптимизирован до предела. У Zyxel тебе просто надо взять в руки мобильник, и в приложении NebulaFlex просканировать QR-коды на корпусах или даже на коробках с железками: за один раз можно добавить в свою организацию сразу несколько единиц оборудования. Причём, прямому сканированию QR-кода всегда отдаётся приоритет, и если кто-то уже добавил оборудование в свой аккаунт, вы можете с мобильника добавить его в свой, поэтому всегда отрывайте QR-коды с корпусов после установки в людных местах. Недостаток такого алгоритма в том, что вам нужен работающий интернет в вашей сети уже на этапе развёртывания оборудования.

У TP-Link вы просто подключаете сетевыми кабелями оборудование, и контроллер сам находит в вашей сети все устройства, после чего вы можете приступить к настройке. Такой алгоритм имеет недостаток в том, что вы можете настраивать оборудование только в той сети, к которой оно подключено, то есть, если у вас два сегмента, например 192.168.1.0 и 10.10.10.0, то сначала подключаем контроллер в первую сеть и настраиваем оборудование там, а затем повторяем этот шаг для другой сети или настраиваем между ними маршрутизацию.

Естественно, что какая-то сеть уже должна работать для запуска Omada SDN. Сложности возникают при модернизации сразу нескольких подсетей: если у вас общий контроллер, то вам нужно настраивать ему доступ во все сети, например, через прописывание правил маршрутизации или NAT, и это опять же может конфликтовать с политикой безопасности компании, или вовсе оказаться невозможным.

5 причин выбрать «облачный» контроллер вместо локального

У клиента некуда установить локальный: это могут быть небольшие гостиницы и объекты с ограниченным бюджетом, в которых просто нет возможности разместить машину, на которой крутился бы контроллер.
Ваша компания обслуживает несколько объектов на outsource. Причём, совершенно необязательно, чтобы это были объекты одного заказчика: у вас всё равно остаётся единая точка входа в параметры всех сетей и всех устройств, где бы они ни находились, с сохранением всех требований конфиденциальности.
Вам нужно сбросить с себя ответственность за работу контроллера сети на вендора по условиям SLA или контракта

Вам важно сократить поверхность атаки для злоумышленника. Да, тут бы не забывать, что в случае с Zyxel Nebula вы не тратите силы и средства на администрирование операционной системы и гипервизора, на которых установлен контроллер

ОС не потребует обновления и не перезагрузится как ей вздумается, оставив вас без доступа к сети.
Вам нужна гарантированная безопасность интерфейса управления как готового сервиса, с сертификатами и публичными тестами.

Конечно, у заказчиков могут быть и другие причины выбирать готовый сервис вместо развёртывания своего, но принципиальный момент будет всё тем же: в отличии от TP-Link Omada, облако Nebula от Zyxel не привязано к «винде», которая вечно обновляется и перегружается, и если вам нужна помощь — вы можете обратиться к администратору Nebula. В случае же с Omada, администратор — это вы, и самые рядовые шаблоны поведения могут здесь вызвать остановку всей сети, о чём чуть позже.

Выводы

За программными контроллерами — будущее, и если ваш проект включает в себя хотя бы 2-3 устройства, уже имеет смысл выбирать решение с программным конфигуратором. Потому что даже на маленьких проектах ради точки доступа с коммутатором вы не будете городить систему мониторинга из Zabbix + Grafana + ElasticSearch, а встроенные интерфейсы сетевых устройств застряли где-то в конце 90-х годов, видимо уже насовсем. И уж конечно, с ростом проекта, появлением VPN-тоннелей, появлением неисправностей и попыток взлома, вам будет тем проще, чем более удобным и понятным будет единый интерфейс мониторинга и управления.

Оба решения, и Zyxel Nebula, и TP-Link Omada SDN сегодня готовы для использования в продакшн, как на боевых сетях ваших клиентов, так и на вашей инфраструктуре. Решение у Zyxel чуть более зрелое, что вполне объяснимо, учитывая что «Омаде» без году неделя, а Nebula развивается аж с 2017 года. Принципиальных отличий между размещением контроллера в облаке и на локальном сервере не так уж и много, но во всех случаях кроме Edge, облачное решение более гибкое и лёгкое, и очень хотелось бы, чтобы Omada SDN поскорей запустила свою облачную часть, чтобы соответствовать своему более сильному конкуренту от Zyxel.

Михаил Дегтярёв (aka LIKE OFF)

11/05.2021