ما الذي تبحث عنه عند اختيار جهاز توجيه VPN لشبكة موزعة؟ وما هي الوظائف التي ينبغي أن يكون لها؟ هذا هو ما خصصت له مراجعة ZyWALL VPN1000.
مقدمة
في السابق، كانت معظم منشوراتنا مخصصة لأجهزة VPN ذات المستوى المنخفض للوصول إلى الشبكة من المواقع الطرفية. على سبيل المثال، لربط الفروع المختلفة بالمقر الرئيسي، أو الوصول إلى شبكة الشركات الصغيرة المستقلة، أو حتى المنازل الخاصة. حان الوقت للحديث عن العقدة المركزية للشبكة الموزعة.
من الواضح أنه لن يكون من الممكن بناء شبكة حديثة لمؤسسة كبيرة إلا على أساس الأجهزة ذات الدرجة الاقتصادية. وتنظيم خدمة سحابية لتقديم الخدمات للمستهلكين أيضًا. في مكان ما يجب أن تكون هناك معدات مثبتة يمكنها خدمة عدد كبير من العملاء في نفس الوقت. هذه المرة سنتحدث عن أحد هذه الأجهزة - Zyxel VPN1000.
بالنسبة للمشاركين الكبار والصغار في تبادل الشبكات، من الممكن تحديد المعايير التي يتم من خلالها تقييم مدى ملاءمة جهاز معين لحل مشكلة ما.
وفيما يلي أهمها:
- القدرات التقنية والوظيفية؛
- مراقبة؛
- الأمن؛
- التسامح مع الخطأ.
من الصعب تحديد ما هو أكثر أهمية وما الذي يمكن فعله بدونه. كل شيء مطلوب. إذا كان الجهاز لا يلبي المتطلبات وفقا لبعض المعايير، فهذا محفوف بالمشاكل في المستقبل.
ومع ذلك، قد تختلف ميزات معينة للأجهزة المصممة لضمان تشغيل الوحدات المركزية والمعدات التي تعمل بشكل أساسي على الأطراف بشكل كبير.
بالنسبة للعقدة المركزية، تأتي قوة الحوسبة في المقام الأول - وهذا يؤدي إلى التبريد القسري، وبالتالي الضوضاء الصادرة عن المروحة. بالنسبة للأجهزة الطرفية، التي توجد عادة في المكاتب والمنازل، فإن التشغيل الصاخب يكاد يكون غير مقبول.
نقطة أخرى مثيرة للاهتمام هي توزيع الموانئ. في الأجهزة الطرفية يكون من الواضح إلى حد ما كيف سيتم استخدامه وعدد العملاء الذين سيتم توصيلهم. لذلك، يمكنك تعيين تقسيم صارم للمنافذ إلى WAN، وLAN، وDMZ، والربط الصارم بالبروتوكول، وما إلى ذلك. لا يوجد مثل هذا اليقين في المحور المركزي. على سبيل المثال، أضفنا شريحة شبكة جديدة تتطلب الاتصال من خلال الواجهة الخاصة بها - وكيفية القيام بذلك؟ وهذا يتطلب حلاً أكثر شمولاً مع القدرة على تكوين الواجهات بمرونة.
فارق بسيط مهم هو أن الجهاز غني بالوظائف المختلفة. وبطبيعة الحال، فإن النهج المتمثل في وجود قطعة واحدة من المعدات تؤدي مهمة واحدة بشكل جيد له مزاياه. لكن الوضع الأكثر إثارة للاهتمام يبدأ عندما تحتاج إلى اتخاذ خطوة إلى اليسار، وخطوة إلى اليمين. بالطبع، مع كل مهمة جديدة، يمكنك بالإضافة إلى ذلك شراء جهاز مستهدف آخر. وهكذا حتى نفاد الميزانية أو مساحة الرف.
في المقابل، تتيح لك مجموعة موسعة من الوظائف التعامل مع جهاز واحد عند حل العديد من المشكلات. على سبيل المثال، يدعم ZyWALL VPN1000 أنواعًا متعددة من اتصالات VPN، بما في ذلك SSL وIPsec VPN، بالإضافة إلى الاتصالات عن بعد للموظفين. أي أن قطعة واحدة من الأجهزة تغطي مشكلات الاتصالات عبر المواقع واتصالات العميل. ولكن هناك واحد "لكن". لكي ينجح هذا، يجب أن يكون لديك احتياطي أداء. على سبيل المثال، في حالة ZyWALL VPN1000، يوفر قلب جهاز IPsec VPN أداءً عاليًا لنفق VPN، كما توفر موازنة/تكرار VPN مع خوارزميات SHA-2 وIKEv2 موثوقية وأمانًا عاليين للأعمال.
فيما يلي بعض الميزات المفيدة التي تغطي واحدًا أو أكثر من المجالات الموضحة أعلاه.
SD-WAN يوفر منصة لإدارة السحابة، والحصول على فوائد الإدارة المركزية للاتصالات بين المواقع مع القدرة على التحكم والمراقبة عن بعد. يدعم ZyWALL VPN1000 أيضًا وضع التشغيل المقابل حيث تكون وظائف VPN المتقدمة مطلوبة.
دعم المنصات السحابية للخدمات ذات المهام الحرجة. تم اختبار ZyWALL VPN1000 للاستخدام مع Microsoft Azure وAWS. يُفضل استخدام الأجهزة التي تم اختبارها مسبقًا لأي مؤسسة على أي مستوى، خاصة إذا كانت البنية التحتية لتكنولوجيا المعلومات تستخدم مزيجًا من الشبكة المحلية والسحابة.
تصفية المحتوى يقوي الأمان عن طريق منع الوصول إلى مواقع الويب الضارة أو غير المرغوب فيها. يمنع تنزيل البرامج الضارة من مواقع غير موثوقة أو مخترقة. في حالة ZyWALL VPN1000، تم بالفعل تضمين الترخيص السنوي لهذه الخدمة في الحزمة.
الجغرافيا السياسية (الملكية الفكرية الجغرافية) تسمح لك بمراقبة حركة المرور وتحليل موقع عناوين IP، مما يمنع الوصول من المناطق غير الضرورية أو التي يحتمل أن تكون خطرة. يتم أيضًا تضمين ترخيص سنوي لهذه الخدمة عند شراء الجهاز.
إدارة الشبكات اللاسلكية يتضمن ZyWALL VPN1000 وحدة تحكم شبكة لاسلكية تسمح لك بإدارة ما يصل إلى 1032 نقطة وصول من واجهة مستخدم مركزية. يمكن للمؤسسات نشر أو توسيع شبكة Wi-Fi مُدارة بأقل جهد. ومن الجدير بالذكر أن الرقم 1032 كثير جدًا. استنادا إلى الحساب الذي يمكن أن يتصل به ما يصل إلى 10 مستخدمين بنقطة وصول واحدة، فهذا رقم مثير للإعجاب إلى حد ما.
التوازن والتكرار. تدعم سلسلة VPN موازنة التحميل والتكرار عبر واجهات خارجية متعددة. وهذا هو، يمكنك توصيل عدة قنوات من العديد من مقدمي الخدمة، وبالتالي حماية نفسك من مشاكل الاتصال.
إمكانية تكرار الجهاز (Device HA) للاتصال بدون توقف، حتى في حالة فشل أحد الأجهزة. من الصعب الاستغناء عن هذا إذا كنت بحاجة إلى تنظيم العمل على مدار الساعة طوال أيام الأسبوع بأقل وقت توقف.
يعمل جهاز Zyxel HA Pro في نشط / سلبي، والتي لا تتطلب إجراء إعداد معقد. يتيح لك ذلك خفض عتبة الدخول والبدء فورًا في استخدام الحجز. على عكس نشط / نشط، عندما يحتاج مسؤول النظام إلى الخضوع لتدريب إضافي، ليكون قادرًا على تكوين التوجيه الديناميكي، وفهم ماهية الحزم غير المتماثلة، وما إلى ذلك. - ضبط الحالة نشط / سلبي إنه يعمل بشكل أسهل بكثير ويتطلب وقتًا أقل.
عند استخدام Zyxel Device HA Pro، تقوم الأجهزة بتبادل الإشارات نبض القلب عبر منفذ مخصص. منافذ الجهاز النشطة والسلبية ل نبض القلب متصلة عبر كابل إيثرنت. يقوم الجهاز السلبي بمزامنة المعلومات بالكامل مع الجهاز النشط. على وجه الخصوص، تتم مزامنة جميع الجلسات والأنفاق وحسابات المستخدمين بين الأجهزة. بالإضافة إلى ذلك، يحتفظ الجهاز الخامل بنسخة احتياطية من ملف التكوين في حالة فشل الجهاز النشط. وهذا يضمن انتقالًا سلسًا في حالة فشل الجهاز الأساسي.
ومن الجدير بالذكر أنه في الأنظمة النشطة/ نشط لا يزال يتعين عليك حجز 20-25% من موارد النظام لتجاوز الفشل. في نشط / سلبي يوجد جهاز واحد بالكامل في حالة الاستعداد، وهو جاهز لمعالجة حركة مرور الشبكة على الفور والحفاظ على التشغيل العادي للشبكة.
بعبارات بسيطة: "عند استخدام جهاز Zyxel Device HA Pro والحصول على قناة احتياطية، تكون الشركة محمية من فقدان الاتصال بسبب خطأ الموفر، ومن المشكلات الناتجة عن فشل جهاز التوجيه.
تلخيص كل ما سبق
بالنسبة للعقدة المركزية للشبكة الموزعة، من الأفضل استخدام جهاز مزود بمصدر معين من المنافذ (واجهات الاتصال). في هذه الحالة، من المستحسن أن يكون لديك واجهات RJ45 للبساطة والاتصال الفعال من حيث التكلفة، وSFP للاختيار بين اتصال الألياف الضوئية والزوج الملتوي.
يجب أن يكون هذا الجهاز:
- منتجة ومتكيفة مع التغيرات المفاجئة في الحمل.
- مع واجهة واضحة.
- مع عدد غني، ولكن ليس مفرطًا، من الوظائف المضمنة، بما في ذلك تلك المتعلقة بالأمان؛
- مع القدرة على بناء دوائر متسامحة مع الأخطاء - تكرار القنوات وتكرار الأجهزة؛
- دعم الإدارة بحيث يمكن إدارة البنية التحتية المتفرعة بالكامل في شكل عقدة مركزية وأجهزة طرفية من نقطة واحدة؛
- مثل "الكرز على الكعكة" - دعم الاتجاهات الحديثة مثل التكامل مع الموارد السحابية وما إلى ذلك.
ZyWALL VPN1000 باعتبارها العقدة المركزية للشبكة
للوهلة الأولى على ZyWALL VPN1000، من الواضح أن Zyxel لم يدخر المنافذ.
لدينا:
-
12 منفذ RJ‑45 (GBE) قابل للتكوين؛
-
منفذا SFP قابلان للتكوين (GBE)؛
-
2 منافذ USB 3.0 مع دعم لأجهزة مودم 3G/4G.
الشكل 1. منظر عام لـ ZyWALL VPN1000.
وتجدر الإشارة على الفور إلى أن الجهاز ليس مخصصًا للمكتب المنزلي، ويرجع ذلك أساسًا إلى المراوح القوية. هناك أربعة منهم هنا.
الشكل 2. اللوحة الخلفية ZyWALL VPN1000.
دعونا نرى كيف تبدو الواجهة.
يجب عليك الانتباه على الفور إلى ظرف مهم. هناك الكثير من الوظائف ولن يكون من الممكن وصفها بالتفصيل في مقال واحد. ولكن ما هو جيد في منتجات Zyxel هو أن هناك وثائق مفصلة للغاية، أولاً وقبل كل شيء، دليل المستخدم (المسؤول). لذلك، للحصول على فكرة عن ثروة الوظائف، دعنا نتصفح علامات التبويب.
افتراضيًا، يتم تعيين المنفذ 1 والمنفذ 2 لشبكة WAN. بدءًا من المنفذ الثالث توجد واجهات للشبكة المحلية.
المنفذ الثالث ذو IP الافتراضي 3 مناسب تمامًا للاتصال.
نقوم بتوصيل patchcord، انتقل إلى العنوان ويمكنك مراقبة نافذة تسجيل المستخدم لواجهة الويب.
لاحظ. للإدارة، يمكنك استخدام نظام إدارة السحابة SD-WAN.
الشكل 3. نافذة لإدخال تسجيل الدخول وكلمة المرور
نتبع إجراءات إدخال تسجيل الدخول وكلمة المرور ونحصل على نافذة لوحة المعلومات على الشاشة. في الواقع، كما ينبغي أن يكون الأمر بالنسبة للوحة المعلومات - الحد الأقصى من المعلومات التشغيلية على كل جزء من مساحة الشاشة.
الشكل 4. ZyWALL VPN1000 - لوحة المعلومات.
علامة تبويب الإعداد السريع (المعالجات)
يوجد مساعدان في الواجهة: لإعداد شبكة WAN وإعداد VPN. في الواقع، يعد المساعدون أمرًا جيدًا، فهم يسمحون لك بإجراء إعدادات القالب حتى بدون خبرة في العمل مع الجهاز. حسنًا، بالنسبة لأولئك الذين يريدون المزيد، كما ذكرنا أعلاه، هناك وثائق مفصلة.
الشكل 5. علامة التبويب الإعداد السريع.
علامة تبويب المراقبة
على ما يبدو، قرر المهندسون من Zyxel اتباع المبدأ: نحن نراقب كل ما في وسعنا. وبطبيعة الحال، بالنسبة للجهاز الذي يعمل كمحور مركزي، فإن التحكم الكامل لن يضر على الإطلاق.
حتى مجرد توسيع جميع العناصر الموجودة على الشريط الجانبي، يصبح ثراء الاختيار واضحًا.
الشكل 6. علامة تبويب المراقبة مع العناصر الفرعية الموسعة.
علامة تبويب التكوين
هنا تكون ثروة الوظائف أكثر وضوحًا.
على سبيل المثال، تم تصميم إدارة منفذ الجهاز بشكل جيد للغاية.
الشكل 7. علامة التبويب "التكوين" مع العناصر الفرعية الموسعة.
علامة تبويب الصيانة
يحتوي على أقسام فرعية لتحديث البرامج الثابتة والتشخيصات وعرض قواعد التوجيه وإيقاف التشغيل.
هذه الوظائف ذات طبيعة مساعدة وهي موجودة بدرجة أو بأخرى في كل جهاز شبكة تقريبًا.
الشكل 8. علامة تبويب الصيانة مع العناصر الفرعية الموسعة.
الخصائص المقارنة
ستكون مراجعتنا غير مكتملة بدون المقارنة مع نظائرها الأخرى.
يوجد أدناه جدول نظائره الأقرب إلى ZyWALL VPN1000 وقائمة الوظائف للمقارنة.
الجدول 1. مقارنة ZyWALL VPN1000 مع نظائرها.
تفسيرات للجدول 1:
*1: الترخيص مطلوب
*2: توفير اللمس المنخفض: يجب على المسؤول أولاً تكوين الجهاز محليًا قبل ZTP.
*3: بناءً على الجلسة: سيتم تطبيق DPS على الجلسة الجديدة فقط؛ وهذا لن يؤثر على الجلسة الحالية.
كما ترون، في بعض النواحي، تلحق نظائرها ببطل مراجعتنا، على سبيل المثال، يحتوي Fortinet FG‑100E أيضًا على تحسين WAN مدمج، ويحتوي Meraki MX100 على AutoVPN مدمج (من الموقع إلى -site) ، ولكن بشكل عام، فإن ZyWALL VPN1000 لا لبس فيه في مجموعته الشاملة من الوظائف في المقدمة.
توصيات عند اختيار الأجهزة للعقدة المركزية (وليس فقط Zyxel)
عند اختيار أجهزة لتنظيم العقدة المركزية لشبكة واسعة النطاق بها العديد من الفروع، يجب عليك التركيز على عدد من المعلمات: القدرات التقنية وسهولة الإدارة والأمان والتسامح مع الأخطاء.
تتيح لك مجموعة واسعة من الوظائف وعدد كبير من المنافذ المادية ذات التكوين المرن: WAN وLAN وDMZ ووجود وظائف لطيفة أخرى، مثل وحدة التحكم في إدارة نقطة الوصول، إكمال العديد من المهام في وقت واحد.
يلعب توافر الوثائق وواجهة الإدارة الملائمة دورًا مهمًا.
بوجود مثل هذه الأشياء التي تبدو بسيطة في متناول اليد، ليس من الصعب جدًا إنشاء بنية تحتية للشبكة تمتد عبر مواقع ومواقع مختلفة، ويتيح لك استخدام سحابة SD-WAN القيام بذلك بأقصى قدر من المرونة والأمان.
وصلات مفيدة
المصدر: www.habr.com