Лучшая ос для домашнего сервера (linux и windows)

ТРИ! Выставляем базовую защиту сети

Настройки безопасности представлены правилами для ACL списков, реализуемых на шлюзе доступа, коммутаторе или точке доступа. Если вы хотите заблокировать устройствам доступ к заданным подсетям, оставив только выход в интернет, то вам сюда. Интересно, что ACL настраивается отдельно для точек доступа, свитчей и шлюзов, но принцип везде один и тот же: вы указываете, какой подсети запрещать или разрешать доступ к какому IP диапазону, ну плюс на коммутаторе эта привязка может делаться к VLAN-ам или портам.

Для защиты от DDoS атак по методу переполнения буферов присутствует антифлуд для TCP, UDP и ICMP.

А вот ограничение доступа к интернет-сайтам сделано чисто для галочки, поскольку каждый такой URL вам придётся заносить вручную. Я думаю , что пользоваться этой функцией едва ли кто-то будет.

ПЯТЬ! Настройка WLAN и IoT

Следующим этапом мы настроим беспроводную сеть на точке доступа EAP660HD. Мы создадим две сети: одну — общую, с открытым SSID в диапазонах 2.5 и 5 ГГц. Так как наша точка доступа поддерживает Wi-Fi 6 (да не просто поддерживает, а имеет 8 пространственных потоков и 2.5-гигабитное подключение), то для безопасности включим уже стандарт WPA3, оставив совместимость с WPA2. Хочу заметить, что такие параметры как Band Steering, роуминг или поддержка MESH, вообще задаются в настройках площадки и действуют глобально на всё беспроводное пространство.

Вторую сеть мы создадим только в диапазоне 2.4 ГГц, и предназначена она будет для беспроводных IoT устройств. Включив в настройках SSID параметр «Guest Network», мы запретим доступ всех подключённых к этой сетке устройств к частным IP-диапазонам вида 10.10.10.x, 192.168.x.x и т.д., сохранив при этом выход в интернет. Это самый простой способ для безопасного подключения IoT устройств: с одной стороны все эти китайские лампочки, принтеры, метеостанции сохраняют работоспособность через свои облачные сервисы, а с другой стороны даже если они будут взломаны или изначально содержат в себе эксплойты, ваша локальная сеть защищена так же надёжно, как при помощи WLAN или изоляции на уровне L2.

Конечно, можно по аналогии создать отдельный VLAN для IoT устройств и заблокировать ему доступ в локальную сеть на уровне коммутатора, но это уже избыточная защита.

ЧЕТЫРЕ! Настраиваем SD-WAN, отказоустойчивый и сбалансированный интернет

Сегодня ни одна здравомыслящая сетевая компания не обходит стороной технологию SD-WAN, и на страницах нашего ресурса вы найдёте много публикаций по теме программно определяемого доступа в интернет. Самая простая имплементация SD-WAN — это обеспечение отказоустойчивости совместно с балансировкой загрузки каналов по трафику.

Наш тестовый шлюз TP-Link TL-ER7206 имеет аж 4 WAN-порта: выделенные SFP и RJ45 и комбинированные WAN/LAN RJ45. Все порты — гигабитные, с возможностью замены MAC-адреса. При балансировке нагрузки, для каждого из портов можно задавать свой вес, отдавая приоритет наиболее быстрому.

Для того, чтобы приложения и сервисы, использующие несколько подключений, сохраняли работоспособность при одновременной работе двух интернет-каналов, контроллер Omada прописывает маршрутизацию таким образом, чтобы трафик с одних и тех же IP адресов подсети с одних и тех же портов шёл через один и тот же WAN канал.

Однако, можно и просто использовать два интернет-канала в режиме «активный/резервный» с переключением и последующим возвратом при поломке.

Периодически шлюз тестирует скорость интернета, выполняя загрузку с сайта Speedtest.net, так что если у вас в компании используются несколько каналов связи, можно настроить, чтобы шлюз всегда выбирал самый быстрый, самый малозагруженный.

ДВА! Настраиваем VLAN и подсети

В нашем случае начнём с расстановки виртуальных сетей, VLAN в меню редактирования объекта (site) в разделе Wired Networks. TP-Link Omada позволяет вам настроить VLAN двумя способами: первый — это просто виртуальная сеть сама по себе, данное разделение будет использоваться на коммутаторах. Второй — это настройка сегментов подсетей на шлюзе доступа с собственными диапазонами IP адресов и DHCP серверами, что даёт возможность сразу определять клиента в нужную виртуальную сеть и записывать в заданный IP диапазон.

Мы использовали PoE коммутатор TL-SG3210XHP-M2, который специально предназначен для развёртывания в средах Wi-Fi 6. Он имеет два 10-гигабитных SFP в качестве аплинка, а распределительная часть составляет 8 PoE+ портов RJ45 со скоростью 2.5 Гбит/с. Общий бюджет PoE оценивается в 240 Вт, сам коммутатор потребляет 17 Вт. Охлаждается устройство двумя вентиляторами, из-за чего работает вполне себе громко даже без подключенной PoE нагрузки, так что монтировать TL-SG3210XHP-M2 нужно в отдельном помещении или звукоизолированном шкафу. Коммутационная матрица равняется 80 Гбит/с, что равняется сумме скоростей всех портов в режиме дуплекса.

Интересно, что коммутатор относится к устройствам класса L2+, и может привязывать IP-адрес к порту, но не все функции L3 в данный момент настраиваются через контроллер: например, статическая маршрутизация через контроллер доступна, а VLAN VPN и привязка IP-MAC-Port настраиваются уже в Standalone режиме.

Но арсенал того, что есть сейчас итак достаточен: виртуальных сетей может быть до 4096 штук, и задавая каждый VLAN вместе с описанием, мы можем в дальнейшем оперировать с их названиями, чтобы проще было ориентироваться в профилях, подсетях и VLAN тэгах Когда дело доходит до доступа, то каждому порту можно присваивать отдельный профиль, в котором вы можете указать какой тегированный и нетегированный трафик из каких VLAN-ов будет обслуживаться именно этим портом. Для высокоприоритетного голосового трафика можно задействовать отдельный VLAN и включить LLP-MED, тогда свитч автоматом повысит приоритет по 802.11p всего трафика в этой виртуальной сети, избавив вас от конфигурирования QoS. Порты можно изолировать или отключать, ограничивать пропускную способность как для всех, так и для определённых MAC-адресов. Так же имеется поддержка агрегации каналов. Реально коммутатор мощный, и настройка здесь проще, чем где бы то ни было.

РАЗ! Устанавливаем TP-Link Omada — программный контроллер в локальной сети

Первое поколение систем SDN представляло собой физическое устройство, которое монтировалось в стойку. Затем стали появляться программные средства управления, устанавливаемые в виртуалку в локальной сети (так сделано у Ubiquiti), позже появилось облачное решение (Zyxel Nebula), работающее через интернет, а самый молодой продукт в этом классе, Omada от компании TP-Link, совмещает в себе все вышеназванные типы использования: у компании есть и аппаратные контроллеры (OC200 и OC300), есть программный под Windows и Linux, и вот-вот появится облачный

Кроме аппаратных моделей OC200 и OC300, всё остальное — бесплатно, что очень важно в условиях экономии бюджета

За исключением облачного решения, контроллер Omada располагается в вашей LAN сети, и самый простой способ его установки — это поставить куда-нибудь в виртуалку Windows Server и инсталлировать дистрибутив с сайта TP-Link, так же вам потребуется установить последнюю версию Java.

СЕМЬ! Финальный штрих

Конечно, много мелких, но полезных настроек мы оставим за кадром (как то — NAT, включение PoE по расписанию, выделение ваучеров для Wi-Fi…), ведь полный функционал «Омады» нам за один раз не раскрыть. Но вот что точно надо не забыть сделать, так это подключить облачный доступ через интернет, чтобы можно было управлять нашей сетью даже если она глубоко за NAT или имеет серый IP-адрес

Сейчас для обеспечения такого доступа обычно используется «лёгкое» облако на стороне вендора, и важно понимать, что хоть вам и придётся регистрироваться на сайте TP-Link, он в данном случае просто будет работать как шлюз доступа администратора к панели управления. Никакие персональные данные пользователей или настройки на серверах TP-Link не хранятся — только хэши паролей, но..

это мне так сказали, а в документации или на сайте об этом нигде не сказано, хотя о таких вещах надо писать в шапке сайта 36-м шрифтом, можно даже вместо логотипа.

Ну что же, осталось только скачать на смартфон программу Omada, выбрать соединение с Cloud-центром, ввести логин и пароль — и можно спокойно отправляться отдыхать на курорт: весь функционал Omada будет у вас на ладони.

Без интернет-браузера, который вечно тормозит, со всеми графиками и иконками, со всеми объектами, добавленными в контроллер — у вас полноценная облачная служба, и не важно, что сам контроллер спрятан за NAT

Выводы

Задача современного SDN контроллера ещё и в том, чтобы сохранять простоту работы с сетью по мере её роста, и у TP-Link этот момент отработан идеально. Даже если у вас в компании одна единица оборудования TP-Link, использование Omada даст свои плюсы в удобстве и информативности. Но как и любой современный продукт, у этого решения есть свои плюсы и минусы.

  • Интерфейс на английском языке. Для большинства наших читателей это не проблема, но отсутствие локализации бьёт по заказчикам, реализующим проекты для гос.компаний.
  • Функционал Omada ограничивает какие-то устройства, подключенные к нему. Вот например, не все возможности свитча реализованы в Omada, и тут ничего не поделаешь — либо свитч прописан в контроллер и управляется им, либо стоит отдельно.
  • Нет возможности вручную кликать на клиента и добавлять его к существующему профайлу, во VLAN или вовсе банить. То есть, взаимодействие с клиентом у вас сводится к ограничению скорости и выделению статического IP адреса.
  • Автоматическое обновление прошивки работает только при подключении к облачному аккаунту
  • Нет интеграции с сервисом техподдержки вендора

Всё бесплатно. Omada работает без лицензий, серийных номеров и сервисных пакетов
Очень простое добавление и удаление устройств в сети. Не нужно сканировать QR-коды, как у Zyxel или шаманить с IP-адресами, Omada увидит все доступные устройства в сети и позволит вам их перехватить. Так же легко их можно «забыть», сбросив к заводским настройкам.
Подключение к облаку не обязательно. Даже мобильное приложение может работать с локальным IP-адресом

Фактически вообще не важно, где в топологии вашей сети вы поставите контроллер: да хоть в другом филиале, но он остаётся строго под вашим контролем.
Настраиваемый интерфейс с виджетами и яркими графиками
Возможность бесконечно долго хранить логи, экспортировать их в сторонний сервер и взаимодействовать по SNMP с системами мониторинга
Возможность наблюдать интерференции в диапазоне работы точки доступа

В заключении хотелось бы отметить, что для ознакомления с Omada даже не обязательно покупать устройство TP-Link: вы можете скачать контроллер с сайта компании, произвести базовые настройки и посмотреть, насколько он подходит под ваши проекты.

Михаил Дегтярёв (aka LIKE OFF)

05/08.2021

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Зов электронных книг
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: