Review: Zyxel Nebula cloud-management platform voor access points, switches en gateways

Als het gaat om het beheren van het draadloze netwerk, is er al enige tijd een duidelijke trend zichtbaar in de markt. Evenals veel andere zaken in zakelijke omgevingen verschuift ook dit meer en meer richting de cloud. In onze review van de Xclaim Xi-3 hebben we hier een voorbeeld van gezien, maar er zijn nog wel meer van dat soort platformen. Vandaag kijken we eens wat beter naar Zyxel Nebula, een cloud-gebaseerd managment platform waarmee je naast access points ook switches en gateways kunt beheren. 

We hebben Zyxel Nebula getest in combinatie met een access point, de NAP102. Vandaar ook dat we ons in dit artikel met name zullen richten op de mogelijkheden die je hebt bij het beheren van dit type product. Nebula is er echter niet alleen voor access points, maar ook voor switches en security gateways (op dit moment nog maar een model overigens). Let wel, het is niet mogelijk om zomaar iedere switch, gateway of access point met een Zyxel-logo aan te sluiten en te beheren met Nebula. Er is voor iedere productgroep een speciale lijn in het leven geroepen. Access points die geschikt zijn voor gebruik in combinatie met Nebula hebben NAP als eerste drie tekens van het modelnummer, switches NSW en Security Gateways NSG.

Je vraagt je wellicht af waarom het Nebula-platform alleen maar werkt met deze speciale modellen. Dit doet in eerste instantie vermoeden dat we te maken hebben met fysiek verschillende producten, niet alleen met een andere firmware.

We weten van de apparatuur die geschikt is voor Nebula dat er out-of-band communicatie plaatsvindt met de cloud. Dit betekent dat de communicatie met het cloudplatform niet via hetzelfde ‘lijntje’ loopt als al het andere verkeer. Je hoeft er dus niet bang voor te zijn dat al je verzonden en ontvangen data geanalyseerd wordt of kan worden door de fabrikant, in dit geval Zyxel. Ook als er bij AWS een storing is, zoals recent het geval was, blijft de apparatuur op deze manier gewoon werken. Je kunt dan alleen tijdelijk niets managen, wat over het algemeen te overzien is. Deze scheiding is uiteraard erg prettig om te hebben en cruciaal voor om het even welk cloud-management platform. Het is niet de reden voor het feit dat alleen specifiek voor Nebula ontwikkelde producten compatibel zijn met het platform. Zyxel laat ons desgevraagd weten dat het verschil tussen Nebula-producten en niet-Nebula-producten met name zit in de complexiteit van de firmware.

Wij hebben het Nebula-platform getest met behulp van een NAP102 access point.

Wat betreft de aanschaf moet je rekening houden met zowel de aanschafkosten van de hardware als met een licentiesysteem. Hierbij is het goed om op te merken dat ieder product wordt geleverd met een jaarlicentie voor Nebula. Je hoeft dus niet meteen te gaan betalen voor het gebruik van het managementplatform, als we er voor het gemak even van uitgaan dat dit eerste jaar niet deels in de aanschafprijs van het apparaat is verwerkt.

Als we kijken naar het verschil in prijs tussen de NAP102 en de NWA5123-AC, op het eerste gezicht en op basis van de specificaties globaal dezelfde apparaten, dan is de eerste duidelijk duurder. De NWA5123-AC heeft een adviesinkoopprijs voor resellers van 168,67 euro exclusief BTW, voor de NAP102 ligt die op 200 euro. Op zich is deze vergelijking overigens niet echt eerlijk, omdat de NWA5123-AC al een tijdje op de markt is en dus ongetwijfeld al in prijs gedaald is. Daarnaast betaal je bij een NAP102 ook onherroepelijk iets voor de ontwikkeling van het Nebula-platform.

Zyxel geeft wat zij zelf Limited Lifetime-garantie noemen op haar producten. Het is altijd maar de vraag wat een fabrikant hiermee bedoelt, dus hebben we dat voor de zekerheid even nagevraagd. Limited Lifetime betekent bij Zyxel uiteraard dat er garantie op de apparatuur zit zolang ze courant zijn en dus door Zyxel worden geleverd. Nadat een product end-of-life is, is de garantie nog 5 jaar geldig. Daarnaast biedt de fabrikant je ‘advanced replacement’ aan in het geval er een apparaat moet worden vervangen. Dit houdt in dat er eerst een vervangend exemplaar wordt opgestuurd, alvorens het defecte model teruggestuurd hoeft te worden.

Licentiesysteem op basis van punten

Zyxel is voor het Nebula-platform op de proppen gekomen met een redelijk bijzonder licentiesysteem, waarbij we de term ‘bijzonder’ hier een positieve lading meegeven. Het gebruik van de licenties is namelijk gebaseerd op een puntensysteem. Waar je normaal gesproken licenties aanschaft voor een bepaalde periode en die na die periode moet verlengen, heeft Zyxel gekozen voor een wat meer dynamisch systeem, waarbij er gewerkt wordt met een enkele einddatum voor alle producten die je hebt geïnstalleerd, ongeacht wanneer dat was. Het idee achter dit systeem is dat je niet het hele jaar door licenties van producten moet verlengen, iets waar je zeker tegenaan gaat lopen als je niet al je hardware tegelijkertijd aanschaft en installeert. Zeker bij een platform waarmee je niet alleen access points maar ook switches en security gateways kunt managen en dus potentieel op veel verschillende momenten licenties activeert, is dit in theorie in ieder geval best handig.

Je vraagt je nu wellicht af hoe het licentiesysteem in de praktijk in zijn werk gaat. In de basis is het gewoon een kwestie van optellen en middelen. Zoals eerder aangehaald komt ieder product standaard met een licentie van een jaar, waarvoor per maand een punt wordt gegeven. Koop je na verloop van tijd een nieuw product, dan worden op het moment dat je dat product activeert de 12 punten van dat product opgeteld bij de resterende punten van het eerder aangeschafte product. Stel dat die nog 10 punten heeft, dan komt de ‘verzamellicentie’ uiteindelijk op 11 maanden uit op dat moment. Nadien kun je de licentie voor alle producten tegelijk verlengen.

Nemen we iets meer producten, dan kunnen we eenzelfde rekensom toepassen. Stel dat je eerst tien access point koopt en er na zes maanden nog eens twintig bij wilt plaatsen. Op dat moment kom je op een totaal aantal maanden/punten uit van 300 (20×12+10×6). Dat deel je door het aantal access points, waarna je uitkomt op een licentie voor alle producten die 10 maanden geldig is.

Zyxel gaf overigens aan ons aan dat je een licentie op ieder gewenst moment al dan niet tijdelijk stop kunt zetten. Deze is dan niet meer actief en speelt dan ook geen rol meer in de berekening van de licentie. Er wordt dan dus weer een herberekening gemaakt. Het access point moet dan wel uit de ‘inventory’ genomen worden en kan later weer worden toegevoegd. Is de licentie verlopen, dan werkt de Nebula-apparatuur nog wel gewoon, met de instellingen zoals je die via het Nebula-platform hebt ingevoerd. Let wel, alleen de basisfuncties zijn dan nog bruikbaar, iets als een captive portal kun je dan niet meer gebruiken. Ook alle monitoring en andere geavanceerde features evenals firmware upgrades behoren niet langer tot de mogelijkheden.

Als je echt wilt, kun je voor een deel misbruik maken van het systeem waar Zyxel voor gekozen heeft. Als je een access point of ander product eenmaal naar wens hebt ingesteld en je hebt geen interesse in het monitoren van de apparatuur via Nebula, zou je ervoor kunnen kiezen om de licentie niet te verlengen en vervolgens ‘gratis’ gebruik te maken van het access point of andere Nebula-apparatuur. Wil je de instellingen om wat voor reden dan ook aanpassen, dan verleng je de licentie tijdelijk weer. We verwachten overigens niet dat dit in de praktijk echt een probleem op gaat leveren, omdat juist het monitoring aspect van een platform zoals Nebula meerwaarde heeft voor veel organisaties. Ook de mogelijkheid tot het upgraden van de firmware en bijvoorbeeld het instellen van een captive portal zijn zaken waar veel organisaties naar wij verwachten niet zonder willen of kunnen. Daarnaast creëer je op deze manier een situatie die je met een platform zoals Nebula juist wilt voorkomen, namelijk het continu in de weer zijn met het beheren van licenties.

Een belangrijke vraag bij een platform zoals Nebula, is wat het kost om licenties te verlengen. Je legt je bij de keuze voor een platform zoals dit immers vast voor meerdere jaren. Niet alleen omdat je de afschrijving eruit wil halen, maar ook omdat je zonder het Nebula-platform eigenlijk niet veel kan aanvangen met de management-omgeving. Hieronder zie je hoeveel punten ieder producttype waard is per jaar. Als je daarbij in het achterhoofd houdt dat een punt ongeveer 1,25 euro kost (exclusief BTW), kun je uitrekenen wat de kosten zijn voor jouw specifieke situatie.

Bij de gateway (de NSG100) krijg je standaard overigens ook nog een jaar lang Nebula Security Services. Dat is 70 punten waard.

Installatie Nebula

Voor het daadwerkelijke beheer van de Nebula-apparatuur moet je zoals inmiddels duidelijk is in de cloud zijn. Om toegang te krijgen tot die omgeving, moet je eerst een account aanmaken. Bij Zyxel hebben ze inmiddels meerdere omgevingen waarvoor je een myZyXEL.com-account kunt gebruiken. Dat maakt het leven er niet eenvoudiger op. Ga je naar myzyxel.com en maak je daar een account aan, dan kom je niet in de Nebula-omgeving. Wel heb je daar de keuze uit twee verschillende portalen voor het beheren van licenties en dergelijke voor niet-Nebula-producten.

Voor Nebula-producten ben je bij dat portaal echter aan het verkeerde adres. Daarvoor moet je naar portal.myzyxel.com om een account aan te maken. Dit wordt overigens netjes in de handleiding aangegeven, maar echt handig zijn de meerdere portalen wat ons betreft niet. Het wordt tijd dat Zyxel hier eens wat zaken bij elkaar pakt en ze onder een enkel account hangt.

Dit is het myzyxel.com-portaal waar je moet zijn om een Nebula-account aan te maken.

Eenmaal ingelogd in de beheeromgeving kun je een en ander gaan instellen. Allereerst wordt je gevraagd om een naam te geven aan de organisatie en aan de site die je aan gaat maken. Het is namelijk mogelijk met Nebula om meerdere sites (op geografisch verschillende locaties dus) aan hetzelfde account te koppelen. Wil je graag al je klanten centraal vanuit een enkel account kunnen beheren, dan is dat dus mogelijk. Je kunt de klanten zelf dan ook toegang geven tot de beheeromgeving overigens. Hun rechten kun je dan uiteraard wel inperken.

In ons geval hebben we de Nebula-omgeving in gebruik genomen om een NAP102 access point te kunnen managen. De producten die verkocht worden onder de Nebula-naam, kunnen zoals gezegd ook echt alleen via dit cloud-platform gemanaged worden. Het is wel mogelijk om lokaal op een webinterface te komen, maar daar kun je vrijwel niets instellen, zoals je hieronder kunt zien voor de NAP102.

Je kunt via een lokaal ip-adres wel bij de NAP102 komen, maar daar kun je nagenoeg niets instellen.

Het toevoegen van producten aan de Nebula-omgeving gaat via het serienummer of het mac-adres van in ons geval het access point. Als je er behoorlijk wat achter elkaar moet installeren, is dit niet ideaal. Serienummers en mac-adressen zijn immers behoorlijk lang. Zyxel heeft echter ook een Nebula-app, waarmee je alleen de QR-code onderop het te installeren apparaat hoeft te scannen. Dat zal de zaken zeker bespoedigen. Met deze app kun je verder niet enorm veel, behalve snel een overzicht krijgen van het aantal geïnstalleerde producten, of er apparaten offline zijn en of er apparaten overbelast raken. Daarnaast kun je per apparaat een zogeheten ‘Mounting Photo’ toevoegen. Dat kan helpen bij het terugvinden van de apparatuur.

Lay-out Nebula

Eenmaal aangekomen in de interface van Zyxel Nebula, zie je dat alle mogelijkheden in tabbladen bovenaan het scherm zijn gevat. Op zich is het wat ons betreft goed dat hier is gekozen voor een relatief ‘cleane’ layout, met niet overdreven veel meteen zichtbare mogelijkheden. De nadruk ligt hier duidelijk op de verschillende categorieën producten die toegevoegd kunnen worden aan de Nebula-omgeving. Links en rechts van de ‘AP’, ‘Switch’ en ‘Gateway’ tabbladen staan de overkoepelende menu’s, ‘Site-wide’ en ‘Organization’. Visueel vinden we de Nebula-omgeving er als geheel goed uitzien, met een rustige donkerblauwe achtergrond en een duidelijk startscherm. Daar kun je meteen de nodige informatie vandaan halen over de aangesloten apparaten.

Waarom er is gekozen voor de weergave van de twee algemenere menu’s aan weerszijden van de typen apparaten die gemanaged kunnen worden, is ons niet helemaal duidelijk. Het was logischer geweest als een en ander ‘van groot naar klein’ was georganiseerd, dus van site, via organisatie naar de specifieke apparatuur. De termen ‘site-wide’ en ‘organization’ zijn bekend als je de setup doorlopen hebt, dus je weet wel wat ze betekenen. Toch is het gek dat je onder ‘Organization’ niet alleen een extra organisatie binnen een bestaande site aan kunt maken, maar ook een nieuwe site. Wij verwachten dat laatste eigenlijk aan te treffen onder het kopje ‘Site-wide’. Nu lopen de twee lagen een beetje door elkaar heen.

Alle drop-down-menu’s hebben deze indeling…

Het ‘Organization’-tabblad lijkt sowieso een beetje een allegaartje te zijn. De indeling van het drop-down-menu vloekt enigszins met die van de andere tabbladen. Met uitzondering van de ‘Help’-sectie zijn deze name alle op dezelfde manier ingedeeld, in een ‘Monitor’- en een ‘Configure’-gedeelte. Onder ‘Organization’ staan opties die wat ons betreft prima onder het ene of het andere kopje kunnen vallen. Onderdelen zoals ‘Overview’, ‘Inventory’, ‘License Management’ en ‘Change log’ passen uitstekend onder ‘Monitor’, ‘Create site’, ‘Create organization’, ‘Setting’, ‘Administrator’ en ‘Cloud Authentication’ vallen onder ‘Configure’. Het is ons niet duidelijk waarom men hier niet voor heeft gekozen bij Zyxel.

…met uitzondering van ‘Organization’, waar alles door elkaar staat.

Voor de indeling van de andere tabbladen heeft Zyxel overigens ook niet gekozen voor een enorm gangbare structuur. De ‘Monitor’ en ‘Configure’ submenu’s zijn aparte uitklapmenu’s binnen het drop-down-menu. Je zou kunnen zeggen dat Zyxel heeft geprobeerd om een ‘ouderwetse’ boomstructuur in een nieuw jasje te steken. Helemaal gecharmeerd zijn we er niet van, omdat het de mogelijkheden minder overzichtelijk maakt. Onoverkomelijk is het zeker niet wat ons betreft, het is meer een kwestie van wennen. Wij konden er snel mee uit de voeten in ieder geval.

Mogelijkheden Nebula

Wat betreft de mogelijkheden van Nebula, ben je uiteraard afhankelijk van het product dat je wilt gaan gebruiken. In ons geval was dat zoals al eerder aangegeven een NAP102 access point. In het ‘Monitor’-gedeelte moet je zijn als je op zoek bent naar logs en/of rapporten. Een en ander is net zoals het startscherm netjes en overzichtelijk vormgegeven, met duidelijke grafieken, waar van toepassing. Een Google Maps-weergave van de locatie waar je je bevindt is toegevoegd, al is die niet helemaal accuraat. Je kunt dit overigens zelf eenvoudig aanpassen. Verder kun je enkele basale netwerkcontrole-acties uitvoeren, zoals pingen en een traceroute.

Voor het instellen van de NAP102 moet je naar het ‘Configure’-gedeelte van het drop-down-menu. Dat is dan weer onderverdeeld in meerdere stukken. Voor het inrichten van de in totaal 8 ssid’s die mogelijk zijn met de NAP102, ga je uiteraard naar het kopje ‘SSID’. Hier valt op dat de niet gebruikte ssid’s standaard onzichtbaar zijn. Bovenaan moet je op ‘Show all’ klikken om deze allemaal te laten zien. Verder spreekt deze pagina voor zich.

Op de hierboven besproken pagina wordt wel aangegeven welke vorm van authenticatie er mogelijk is. Om dit ook daadwerkelijk in te stellen, moet je naar een andere sectie van dit gedeelte van het menu. Hier kun je ervoor kiezen om de authenticatie lokaal uit te voeren met behulp van een WPA2 PSK, maar ook mac-gebaseerde en WPA2-Enterprise (802.1x) authenticatie in de cloud is mogelijk. Verder kun je er hier (in het geval van een gastnetwerk) voor kiezen om een captive portal op te zetten voor je gasten, eventueel met een walled garden. Met een walled garden kunnen bezoekers die geen inloginformatie hebben naar bepaalde ip-adressen of domeinen worden geleid, waar je dan bijvoorbeeld reclame kunt maken. Tot slot heb je de mogelijkheid om de aangesloten apparaten van elkaar te isoleren, iets wat eveneens aan te raden is bij gastnetwerken. Hierbij is er een verschil tussen Layer 2 Isolation, waarbij je op basis van mac-adres kunt aangeven welke apparaten uitgesloten worden van isolatie en Intra-BSS traffic blocking, waarbij simpelweg al het verkeer tussen clients wordt geblokkeerd.

Bij het installeren van een access point is het ook zaak om goed te kijken naar de ‘Radio setting’-sectie. Daar moet je namelijk aangeven in welk land je het apparaat installeert. Je bent eigenlijk verplicht om hier het juiste land te kiezen, omdat het access point anders weleens een hogere zendsterkte kan hebben dan wettelijk is toegestaan in bijvoorbeeld Nederland of België. Verder kun je hier DCS instellen, wat staat voor Dynamic Channel Selection. Het access point kan dan dynamisch schakelen tussen kanalen op basis van de kwaliteit ervan. Tot slot kun je aangeven wat de bandbreedte per kanaal moet zijn en kun je per frequentie een soort van globale heatmap zien.

Verwacht je een drukke omgeving daar waar je een access point gaat plaatsen, dan kun je bij ‘Load balancing’ instellen hoeveel clients er tegelijkertijd verbinding hebben met het access point. Je kunt hier voor de standaard variant kiezen, waarbij clients worden losgekoppeld op het moment dat het maximum is bereikt. Daarnaast is er de Smart Classroom-modus, speciaal bedacht voor gebruik in klaslokalen. In deze modus gaat het access point anders om met overbelasting, zodat er in theorie in ieder geval een betere gebruikservaring voor de leerlingen ontstaat.

Als het gaat om de mogelijkheden binnen de Nebula-interface, kijken we als laatste nog even kort naar de al eerder aangehaalde ‘Organization’-tab. Hier moet je zijn als je wilt weten hoeveel dagen je licentie nog geldig is, kun je zien hoeveel apparaten je in de organisatie hebt uitstaan en kun je bijvoorbeeld gebruikers toevoegen voor 802.1x cloudauthenticatie. Extra beheeraccounts kun je hier eveneens aanmaken. Voor changelogs ben je hier ook op het juiste adres. Onder het niet bijster veel zeggende kopje ‘Setting’ kun je instellen na hoeveel minuten je uitgelogd wordt bij inactiviteit. Gek genoeg staat dit standaard helemaal niet aan. Zelfs na meerdere uren kun je gewoon rustig doorklikken, zonder dat je opnieuw een wachtwoord in moet voeren. Dat zouden we toch wel graag aangepast zien. Daar wordt aan gewerkt op het moment overigens, evenals aan two-factor authentication voor toegang tot de beheeromgeving. Dat laatste zou er voor de zomer nog aankomen, zo hebben wij vernomen.

Conclusie

Onze eerste kennismaking met het Nebula-platform van Zyxel is zonder twijfel een aangename. Met uitzondering van wat schoonheidsfoutjes zoals het overdreven aantal myzyxel.com-portalen, de her en der wat rommelige interface en het feit dat er standaard geen time-out op de interface staat, kunnen we niet anders zeggen dan dat dit een zeer capabel management-platform is. Of je nu meerdere sites tegelijkertijd wilt managen of een enkele site, het kan met dit platform op een relatief eenvoudige manier, zonder dat je per se veel kennis van de materie hoeft te hebben. Dat je er niet alleen access points, maar ook switches en security gateways van Zyxel mee kan beheren, is ook zeker een groot pluspunt.

Is een cloud-management platform zoals Zyxel Nebula dan de beste keuze voor iedereen? Nee, dat zeker niet. Een combinatie van controller en apparatuur on-site biedt je nog altijd beduidend meer mogelijkheden en flexibiliteit, omdat je daarmee je apparatuur tot in de puntjes kunt afregelen. Met name in high-density-omgevingen is dit aan te raden. Ook ben je voor het beheer bij een on-site configuratie minder afhankelijk van de internetverbinding en worden wijzigingen in de configuratie bijvoorbeeld sneller doorgevoerd. In het algemeen zal de installatie en het beheer wel wat meer kennis vereisen en dus niet voor iedereen weggelegd zijn.

Hou er tot slot rekening mee dat de Zyxel Nebula-omgeving alleen werkt in combinatie met specifiek hiervoor ontwikkelde hardware. Dat betekent dat je er bij het aanschaffen van Nebula-producten voor kiest om geruime tijd gebruik te maken van het platform. Zonder de cloud-infrastructuur erachter kun je namelijk nagenoeg niets met de access points, switches en security gateways die erbij horen.