iRZ LINK — система управления роутерами iRZ
При наличии внешнего фиксированного IP-адреса удаленное конфигурирование роутеров может осуществляться стандартными средствами (HTTP/HTTPS, SSH, TELNET). Но такой способ не всегда технически возможен и требует временных затрат, а кроме того, написания специальных скриптов для автоматизации процесса.
Для решения задач по оптимизации управления роутерами разработана централизованная система iRZ Link (рис. 1). Она бесплатна и позволяет удаленно работать с конфигурациями роутеров iRZ серии R. iRZ Link может быть развернута как внутри интрасети организации, так и с использованием каналов связи через Интернет. При наличии подключения сервера и роутеров к Интернету для организации системы сбора и обмена данными с помощью решения iRZ Link достаточно одного внешнего фиксированного IP-адреса на стороне сервера.
Промышленные мультисетевые роутеры серии R предназначены для обеспечения высокоскоростного доступа в Интернет разнообразных промышленных M2M-решений: стационарных и мобильных терминалов, систем сигнализации и наблюдения, банкоматов и автоматов вендинговой торговли. Роутеры серии R могут объединять несколько каналов — например, проводной Ethernet, один или несколько сотовых каналов 3G/4G и Wi-Fi (как в режиме STA, так и AP). Гибкие настройки маршрутизации предоставляют возможность организовывать сверхнадежные подключения объектов с резервированием по разнотипным каналам связи. Маршрутизаторы позволяют создавать защищенные соединения VPN по протоколам OpenVPN, IPSec, DMVPN/HNRP. Благодаря открытой программной платформе OpenWRT на базе Linux устройства обладают широкими возможностями для расширения функционала и установки дополнительного ПО.
iRZ Link построена по принципу «сервер-клиент». На данный момент существуют следующие варианты запуска серверной части:
- Виртуальная машина Virtualbox версии 5.1 и выше.
- Установочный файл для ОС Linux.
- Наш сервис, доступный по адресу link.irz.net.
Клиентская часть представляет собой программный пакет, устанавливаемый на каждый роутер.
iRZ Link предполагает работу как с единичным устройством, так и с группой роутеров, объединенных по тэгам и/или моделям. Все действия выполняются пользователем удаленно через интуитивно понятный веб-интерфейс (рис. 2).
Для удобства работы в системе iRZ Link предусмотрено трехуровневое разграничение прав доступа пользователей — «администратор», «пользователь» и «оператор». Устройства объединяются в виртуальные группы (домены). Для каждого домена может быть назначен один или несколько «администраторов» (первый уровень доступа). «Администратор» обладает неограниченными правами действий в системе, в числе которых:
- добавление новых роутеров;
- обновление встроенного ПО (прошивки) роутеров;
- добавление дополнительного ПО для последующей установки;
- отправка команд роутерам;
- объединение роутеров в группы по тэгам и/или моделям для удобства поиска, отображения и управления;
- перезагрузка роутеров;
- добавление в систему новых пользователей.
«Пользователь» имеет второй уровень доступа. Для управления доступны только те устройства, которые были ему переданы «администратором». «Пользователь» имеет возможность выполнять в системе следующие действия:
- отправка shell-команд роутерам;
- перезагрузка роутеров;
- объединение роутеров в группы по тэгам и/или моделям для удобства поиска, отображения и управления.
Третий уровень доступа у пользователей со статусом «оператор». Для управления доступны только те устройства, которые были ему переданы «администратором». Единственное возможное для «оператора» действие в системе — наблюдение за состоянием имеющихся устройств.
Также в веб-интерфейсе системы для отображения доступна информация о текущем уровне загруженности CPU и объеме свободной RAM.
В настоящее время ведется разработка возможности хранения любых статистических параметров, таких как уровень сигнала и технология передачи сотового сетевого интерфейса, степень загруженности CPU и т. д. В следующих версиях iRZ Link станет возможным отображение в веб-интерфейсе любой числовой информации в виде графиков. Также будет доступна функция представления нескольких статистических параметров на одном графике для последующего анализа работы системы. Это позволит, к примеру, выявить, насколько определенный объем трафика при низком уровне сигнала влияет на количество потребляемой оперативной памяти.
Роутер обновляет информацию о своей работе на сервере согласно интервалу (Force Update Information), заданному в его настройках. По умолчанию интервал составляет 10 мин. Во время этого сеанса связи устройство передает на сервер информацию о состоянии своих сетевых интерфейсов, данные о текущем уровне загруженности CPU и объеме свободной RAM, а также обновляет эту информацию при изменении статуса одного из сетевых интерфейсов.
Для поддержания соединения устройство отправляет на сервер специальный короткий пакет данных по истечении интервала, заданного в настройке Keepalive Interval. По умолчанию данный интервал составляет 1 мин.
Роутер принимает от сервера команды и файлы прошивок во время выхода на связь по одному из вышеописанных интервалов. В зависимости от задач организации интервалы могут быть подобраны таким образом, чтобы объем потребляемого трафика был минимальным, но при этом управление устройствами и получение актуальных данных осуществлялись оперативно.
В качестве транспорта для передачи информации между устройствами и сервером используется протокол UDP с возможностью шифрования полезных данных алгоритмом AES256 по закрытому ключу. Для каждого роутера ключ шифрования указывается на сервере и на самом устройстве соответственно. Если ключи не совпадают, обмен данными производиться не будет. В том случае, если на сервере указан ключ шифрования, а на устройстве нет, данные будут передаваться в незашифрованном виде.
При развертывании системы iRZ Link предъявляются минимальные требования к оборудованию:
- 2 ГГц CPU или выше;
- 2 Гбайт RAM или выше;
- минимум 160 Гбайт HDD;
- подключение к сети с фиксированным IP-адресом.
Подводя итоги, можно выделить следующие ключевые моменты рассмотренной системы управления роутерами iRZ Link:
- возможность централизованного удаленного управления оборудованием;
- простой и интуитивно понятный интерфейс;
- простота внедрения системы в рабочий процесс;
- сокращение времени на настройку устройств;
- гибкое разграничение прав доступа для операторов системы;
- возможность шифрования полезных данных.