Zyxel Nebula против TP-Link Omada SDN: сравниваем системы централизованного управления сетью

В крупных корпоративных сетях со сложной топологией настоящим адом для администратора станет последовательное конфигурирование всех подключенных устройств, одного за другим. В таких случаях зачастую почти невозможно выявить ошибки в работе сети или определить её состояние. Программно-конфигурируемые сети не имеют этой проблемы: они в автоматическом режиме позволяют управлять сетевыми функциями через центральный контроллер и настраивать однородные устройства (например, точки доступа или коммутаторы) в пакетном режиме. Единый контроллер может помочь при возникновении проблем в сети и автоматически предложить решение, облегчить поиск и устранение неисправностей, а так же выявление инцидентов.

Когда-то давно роль контроллеров управления отводилась на отдельные устройства, что было сопряжено с определёнными трудностями: во-первых, это ещё одна позиция в общей номенклатуре, которую надо устанавливать и обслуживать, во-вторых любое аппаратное устройство заранее более проигрышно по сравнению с программным в гибкости и возможностях развития. В-третьих, как только у вас среди нескольких аппаратных контроллеров появляется программный, тут же нарушается однородность систем управления, - и рано или поздно вы в любом случае поменяете железку на софт. И тут встанет выбор: использовать централизованное локальное решение или облачное?

А давайте сравним: в левом углу ринга у нас Zyxel с уже немолодой и хорошо отточеной облачной системой оркестрации Nebula, а в правом - TP-Link с новой, но очень перспективной системой Omada SDN. Два мира, две идеологии, да будет битва!

5 причин выбрать «облачный» контроллер вместо локального

  • У клиента некуда установить локальный: это могут быть небольшие гостиницы и объекты с ограниченным бюджетом, в которых просто нет возможности разместить машину, на которой крутился бы контроллер.
  • Ваша компания обслуживает несколько объектов на outsource. Причём, совершенно необязательно, чтобы это были объекты одного заказчика: у вас всё равно остаётся единая точка входа в параметры всех сетей и всех устройств, где бы они ни находились, с сохранением всех требований конфиденциальности.
  • Вам нужно сбросить с себя ответственность за работу контроллера сети на вендора по условиям SLA или контракта.
  • Вам важно сократить поверхность атаки для злоумышленника. Да, тут бы не забывать, что в случае с Zyxel Nebula вы не тратите силы и средства на администрирование операционной системы и гипервизора, на которых установлен контроллер. ОС не потребует обновления и не перезагрузится как ей вздумается, оставив вас без доступа к сети.
  • Вам нужна гарантированная безопасность интерфейса управления как готового сервиса, с сертификатами и публичными тестами.

Конечно, у заказчиков могут быть и другие причины выбирать готовый сервис вместо развёртывания своего, но принципиальный момент будет всё тем же: в отличии от TP-Link Omada, облако Nebula от Zyxel не привязано к «винде», которая вечно обновляется и перегружается, и если вам нужна помощь - вы можете обратиться к администратору Nebula. В случае же с Omada, администратор - это вы, и самые рядовые шаблоны поведения могут здесь вызвать остановку всей сети, о чём чуть позже.

4 причины выбрать локальный контроллер вместо облачного

  • У вас параноидальные требования к безопасности. По сути, вы боитесь, что оборудование бизнес-класса будет собирать ваши данные и передавать в «облако». В этом случае вы можете закрыть локальному контроллеру и железкам доступ в сеть, сохранив вход через домен, и тогда уже обновлять прошивки вручную.
  • Вы боитесь явления Чебурнета (читайте мнение профессионалов о Чебурнете в нашей статье) народу, при котором на весь заграничный трафик поставят Firewall, отключат доступ к серверам Amazon и Azure. То есть в тот самый момент, когда всё вокруг будет рушиться к чертям собачьим, вам важно сохранять контроль над вашей сетью.
  • Вы настраиваете сеть в модном ныне направлении Edge (читайте о периферийных вычисленияз здесь), и где-то «на дальней станции», на круизном лайнере или в глухой тайге, у вас просто нет постоянной связи с интернетом.
  • Вам нужно соединить контроллер сети с какими-либо локальными сервисами мониторинга и аналитики, например с Elasticsearch или Prometheus и централизованно получать метрику уже с контроллера, а не с каждого из устройств.

На практике, если клиент требует именно локальный сетевой контроллер, то он либо боится отключения России от глобального интернета, либо не хочет, чтобы из его сети что-то куда-то уходило наружу, потому что не доверяет даже вендору. И в совсем запущенных случаях администраторы сомневаются, соответствуют ли все эти умные контроллеры требованиям 152 ФЗ, а именно - хранению персональных данных в России.

Совместимость со 152 ФЗ

В идеальном случае Omada SDN вообще не хранит данных пользователя: этот контроллер установлен локально, и для пущей уверенности вы можете закрыть ему доступ в интернет через Firewall, поэтому если кто спросит, на каком сервере хранятся персональные данные ваших клиентов - можно без лишних объяснений пнуть ногой в сервак и показать: "вот на этом". В случае с Zyxel Nebula ситуация следующая: на сервере хранятся данные об авторизации администраторов только если включена облачная аутентификация (то есть учетные записи создаются в самой Nebul-е). Естественно, речь идёт именно об учётных данных администраторов Nebul-ы, и сервис позволяет ограничиться только электронной почтой, без имени.

К персональным данным, согласно 152 ФЗ, относят:

  • фамилия, имя, отчество;
  • место, дата рождения;
  • место постоянной или временной регистрации;
  • фотография или видеозапись человека, позволяющие идентифицировать человека;
  • сведения о детях, родственниках, семейном положении;
  • сведения о заработной плате;
  • оценка навыков, личностных качеств;
  • индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  • информация о судимостях, или их отсутствии;
  • номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  • паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  • биометрические данные.

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца - уже является. Адрес электронной почты в формате "[email protected]" - не является персональными данными, а в формате "[email protected]" - уже относится к персональным данным, так как сам адрес электронной почты содержит имя, фамилию и год рождения пользователя, равно как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.

Сравнивать TP-Link Omada SDN и Zyxel Nebula по параметру соответствия законам Российской Федерации - безумие: и в том и в другом случае системы не оперируют персональными данными, и в том и в другом случае вендоры не удосужились написать какое-то общедоступное письмо или сделать какой-то сертификат соответствия требованиям 152 ФЗ для своих программных контроллеров, поэтому опасения относительно соответствия требованиям законов беспочвенны.

Поддержка со стороны оборудования

Как утверждает Zyxel, для поддержки со стороны Nebula необходимы настолько масштабные изменения в коде прошивки, что сетевое оборудование приходится разрабатывать с нуля, так что и у них, и у TP-Link модели с поддержкой программного контроллера вынесены в отдельную категорию.

На момент подготовки данной статьи, сетевая номенклатура с поддержкой программных контроллеров выглядела у двух вендоров следующим образом

Количество единиц оборудования


Поддержка Zyxel Nebula

Поддержка TP-Link Omada SDN

Точки доступа Wi-Fi

17

12

Коммутаторы

22

16

Шлюзы доступа

5

2

5G/4G маршрутизаторы

0

0

Конечно, у Zyxel модельный ряд больше сам по себе, облачная система управления разрабатывается дольше, поэтому в области номенклатуры он безоговорочный лидер. Но вот почему-то 5G/4G маршрутизаторов нет ни у того, ни у другого, а в Edge-условиях они бы очень пригодились.

Удобство развёртывания

Пожалуй, и у TP-Link, и у Zyxel процесс развёртывания крупномасштабных инсталляций оптимизирован до предела. У Zyxel тебе просто надо взять в руки мобильник, и в приложении NebulaFlex просканировать QR-коды на корпусах или даже на коробках с железками: за один раз можно добавить в свою организацию сразу несколько единиц оборудования. Причём, прямому сканированию QR-кода всегда отдаётся приоритет, и если кто-то уже добавил оборудование в свой аккаунт, вы можете с мобильника добавить его в свой, поэтому всегда отрывайте QR-коды с корпусов после установки в людных местах. Недостаток такого алгоритма в том, что вам нужен работающий интернет в вашей сети уже на этапе развёртывания оборудования.

Возможности при развёртывании сети


Zyxel Nebula

TP-Link Omada SDN

Возможность настройки сети без доступа в интернет

Нет

Да

Возможность настройки сети с нуля

Да

Нет

Необходимость настройки маршрутизации между сетями

Нет

Да

Необходимость настройки NAT для настройки на удалённых узлах через интернет

Нет

Да

У TP-Link вы просто подключаете сетевыми кабелями оборудование, и контроллер сам находит в вашей сети все устройства, после чего вы можете приступить к настройке. Такой алгоритм имеет недостаток в том, что вы можете настраивать оборудование только в той сети, к которой оно подключено, то есть, если у вас два сегмента, например 192.168.1.0 и 10.10.10.0, то сначала подключаем контроллер в первую сеть и настраиваем оборудование там, а затем повторяем этот шаг для другой сети или настраиваем между ними маршрутизацию.

Естественно, что какая-то сеть уже должна работать для запуска Omada SDN. Сложности возникают при модернизации сразу нескольких подсетей: если у вас общий контроллер, то вам нужно настраивать ему доступ во все сети, например, через прописывание правил маршрутизации или NAT, и это опять же может конфликтовать с политикой безопасности компании, или вовсе оказаться невозможным.

Удобство обслуживания

Удобство - параметр сугубо индивидуальный, поэтому проведём простые тесты, чтобы посмотреть, как решаются типичные для бизнес-приложений задачи, и в первом же тесте TP-Link Omada провалился с треском: контроллер проигнорировал обновление прошивки у тестовой точки доступа TP-Link EAP660 HD, которая в нашем тесте оставила от себя очень хорошее впечатление, а тут вдруг сразу провал. Я и не думал, что в 2021 году, когда от обновлений уже не знаешь, куда спрятаться, что-то в этом мире может провалить такую простую задачу, вот например Zyxel Nebula сразу сказала, что для точки доступа есть новая версия Firmware.

Чуть выше я говорил, что каждодневные проблемы могут полностью лишить вас работы Omada SDN, и это то, что у меня случилось совсем случайно - я забыл административный пароль к интерфейсу Omada. Казалось бы, рядовая процедура: вот внизу формы ввода данных кнопочка сброса паролей, нажимаю - и получаю ошибку. Я не знаю, как TP-Link собирался выслать мне ссылку для смены пароля, ведь я нигде не вводил SMTP сервер, но привязывал свой ID в облачном сервисе omada.tplinkcloud.com, который на момент подготовки статьи, не работал. Восстановить его я не смог, потому что настройки почты в интерфейсе спрятаны так далеко, что удивляешься: а почему бы при начальной инсталляции не заставить пользователя их указать? Первое, что приходит на ум в данном случае - переустановить контроллер, но правда придётся вручную искать и вычищать места, где Omada хранит пароль или делать полную переустановку Windows, и это - пол беды. Дело в том, что Omada для управления меняет пароли подключенных устройств, и когда перестанавливаешь контроллер, их надо знать, а взять их негде, так что приходится брать в руку скрепку и идти сбрасывать настройки каждой железки, что само по себе какой-то адЪ. Как в этом случае надо поступать по задумке автора: писать ли в техподдержку, или озаботиться отходными путями заранее - не ясно.

Тестирование типичных операций обслуживания сети


Zyxel Nebula

TP-Link Omada SDN

Обновление прошивки точки доступа

ОК

Провал

Сброс забытого пароля

ОК

Провал

Перехват устройства от другого контроллера

По скану QR-кода

Надо сбрасывать логин/пароль устройства булавкой

Да, спору нет - у Omada SDN более красивый интерфейс, и если вы привыкли к продукции Ubiquiti, вам будет проще на него перейти, а из-за своей простоты, этот контроллер воспринимается как-то понятнее и логичнее, чем Zyxel Nebula, но любят эти устройства не за красоту, а за способность выживать, когда всё вокруг умерло, и тут облако Nebula конечно выигрывает.

Ведение журналов

Профессиональные сисадмины предпочитают хранить логи всех событий на всех устройствах, причём вечно, но программные сетевые контроллеры созданы для другой цели - для того, чтобы вы могли легко в веб-интерфейсе мониторить состояние сети, а анализ и расследование инцидентов производятся вами на стороне уже другим софтом. Поэтому, и в Nebula и в Omada SDN вы можете настроить экспорт журнала в Syslog сервер, причём у Zyxel вы можете задать отдельные серверы для точек доступа, свитчей и шлюзов, а так же включить журналирование трафика хот-спотов. У Omada SDN в этом плане настройки поскромнее: вам доступен один адрес Syslog сервера, но в него можно сохранять журналы клиентских устройств.

Сравнение возможностей по ведению журналов


Zyxel Nebula

TP-Link Omada SDN

Время доступности журнала

1 день
7 дней
365 дней

Не ограничено

Поддержка Syslog server

Да

Да

Настройка нескольких Syslog серверов

Да

Нет

Поддержка SNMP

Да

Да

В базовой версии Nebula может хранить в себе журналы 24 часа, в версии Plus - 7 дней, а в Pro версии - 1 год, у Omada SDN таких ограничений нет, но перед хардкорными администраторами Zyxel может козырнуть поддержкой SNMP, что позволит мониторить устройства, подключенные к Nebula через Prometheus или Zabbix.

Выводы

За программными контроллерами - будущее, и если ваш проект включает в себя хотя бы 2-3 устройства, уже имеет смысл выбирать решение с программным конфигуратором. Потому что даже на маленьких проектах ради точки доступа с коммутатором вы не будете городить систему мониторинга из Zabbix + Grafana + ElasticSearch, а встроенные интерфейсы сетевых устройств застряли где-то в конце 90-х годов, видимо уже насовсем. И уж конечно, с ростом проекта, появлением VPN-тоннелей, появлением неисправностей и попыток взлома, вам будет тем проще, чем более удобным и понятным будет единый интерфейс мониторинга и управления.

Оба решения, и Zyxel Nebula, и TP-Link Omada SDN сегодня готовы для использования в продакшн, как на боевых сетях ваших клиентов, так и на вашей инфраструктуре. Решение у Zyxel чуть более зрелое, что вполне объяснимо, учитывая что "Омаде" без году неделя, а Nebula развивается аж с 2017 года. Принципиальных отличий между размещением контроллера в облаке и на локальном сервере не так уж и много, но во всех случаях кроме Edge, облачное решение более гибкое и лёгкое, и очень хотелось бы, чтобы Omada SDN поскорей запустила свою облачную часть, чтобы соответствовать своему более сильному конкуренту от Zyxel.

Михаил Дегтярёв (aka LIKE OFF)
11/05.2021


Похожие статьи:

Решения Wi-Fi для HoReCa от компании Zyxel. Тестируем точки доступа WAC5302D-Sv2, WAC-500H и коммутатор GS2220-28HP

Да, пусть многие считают, что Wi-Fi - он и в Африке Wi-Fi, но беспроводная сеть в кафешке будет кардинальным образом отличаться от сети в каком-нибудь цеху или на складе. Прежде всего, надо понимать, что основные клиенты публич...

Обзор сетевых карт Zyxel XGN100C и XGN100F: или AQuantia AQC100/AQC107 против Intel' 2021

С развитием Wi-Fi 6 сетевая инфраструктура плавно осваивает мультигигабитные подключения на скоростях 2.5G и 5G. Среди сетевых контроллеров, поддерживающих промежуточные скорости, безоговорочным лидером считаются контроллеры AQu...

Экосистема Omada SDN: достичь большего при меньших вложениях

Локальные сети становятся масштабнее, спрос на удобные и надёжные решения увеличивается – в то время как бюджеты на IT-инфраструктуру часто остаются прежними. Учитывая нынешние реалии, многие компании видят главным приоритетом поддержание стаби...

Обзор Zyxel XS1930-12HP: мультигигабитный PoE коммутатор как ядро Wi-Fi 6 сети

Переходя на Wi-Fi 6 вы надеетесь, что хотя бы кабельную структуру оставите прежней, пустив по старой витой паре 2.5GBase-T? Давайте посмотрим на примере универсального PoE свитча Zyxel, как работает мультигигабитный коммутатор, ...

Обзор Zyxel USG Flex 500: тестируем скорость и изучаем возможности шлюза безопасности для предприятий

В новой серии шлюзов сделан упор на скорость работы, и в режиме «Антивирус + IDP», она LAN-WAN не опускается ниже 800 Мбит/с. Отчасти этого удалось добиться за счёт двух антивирусных движков: вам доступна либо проверка каждого ф...