Paylanmış şəbəkə üçün VPN marşrutlaşdırıcısı seçərkən nə axtarmaq lazımdır? Və hansı funksiyaları yerinə yetirməlidir? ZyWALL VPN1000 baxışımızın həsr olunduğu budur.
Giriş
Əvvəllər nəşrlərimizin əksəriyyəti periferik saytlardan şəbəkəyə daxil olmaq üçün aşağı səviyyəli VPN cihazlarına həsr olunmuşdu. Məsələn, müxtəlif filialları qərargahla birləşdirmək, kiçik müstəqil şirkətlər şəbəkəsinə və ya hətta fərdi evlərə giriş. Paylanmış şəbəkə üçün mərkəzi node haqqında danışmaq vaxtıdır.
Aydındır ki, böyük bir müəssisənin müasir şəbəkəsini yalnız ekonom-klass qurğular əsasında qurmaq mümkün olmayacaq. Həm də istehlakçılara xidmət göstərmək üçün bulud xidməti təşkil edin. Haradasa eyni zamanda çoxlu sayda müştəriyə xidmət göstərə bilən avadanlıq quraşdırılmalıdır. Bu dəfə biz belə bir cihaz - Zyxel VPN1000 haqqında danışacağıq.
Şəbəkə mübadiləsində həm böyük, həm də kiçik iştirakçılar üçün müəyyən bir cihazın problemin həlli üçün uyğunluğunun qiymətləndirildiyi meyarları müəyyən etmək mümkündür.
Aşağıda əsas olanlar:
- texniki və funksional imkanlar;
- nəzarət;
- təhlükəsizlik;
- xətaya dözümlülük.
Nəyin daha vacib olduğunu və onsuz nəyin edilə biləcəyini müəyyən etmək çətindir. Hər şey lazımdır. Cihaz bəzi meyarlara görə tələblərə cavab vermirsə, bu, gələcəkdə problemlərlə doludur.
Bununla belə, mərkəzi bölmələrin və əsasən periferiyada işləyən avadanlıqların işini təmin etmək üçün nəzərdə tutulmuş cihazların müəyyən xüsusiyyətləri əhəmiyyətli dərəcədə fərqlənə bilər.
Mərkəzi node üçün hesablama gücü ilk növbədə gəlir - bu, məcburi soyutmaya və nəticədə fandan səs-küyə səbəb olur. Adətən ofislərdə və evlərdə yerləşən periferik cihazlar üçün səs-küylü əməliyyat demək olar ki, qəbuledilməzdir.
Digər maraqlı məqam limanların paylanmasıdır. Periferik cihazlarda onun necə istifadə ediləcəyi və neçə müştərinin qoşulacağı az-çox aydındır. Buna görə də, WAN, LAN, DMZ-ə portların ciddi şəkildə bölünməsini təyin edə, protokola ciddi şəkildə bağlana və s. Mərkəzi mərkəzdə belə bir əminlik yoxdur. Məsələn, öz interfeysi vasitəsilə əlaqə tələb edən yeni şəbəkə seqmenti əlavə etdik - və bunu necə etmək olar? Bu, interfeysləri çevik şəkildə konfiqurasiya etmək imkanı ilə daha universal bir həll tələb edir.
Əhəmiyyətli bir nüans cihazın müxtəlif funksiyalarla zəngin olmasıdır. Əlbəttə ki, bir avadanlığın bir işi yaxşı yerinə yetirməsi yanaşmasının öz üstünlükləri var. Ancaq ən maraqlı vəziyyət bir addım sola, sağa bir addım atmaq lazım olduqda başlayır. Əlbəttə ki, hər yeni tapşırıqla əlavə olaraq başqa bir hədəf cihaz ala bilərsiniz. Və s. büdcə və ya raf sahəsi bitənə qədər.
Bunun əksinə olaraq, genişləndirilmiş funksiyalar dəsti bir neçə məsələni həll edərkən bir cihazla işləməyə imkan verir. Məsələn, ZyWALL VPN1000 SSL və IPsec VPN, eləcə də işçilər üçün uzaqdan bağlantılar daxil olmaqla bir çox növ VPN bağlantılarını dəstəkləyir. Yəni, bir aparat parçası həm saytlararası, həm də müştəri əlaqələri məsələlərini əhatə edir. Ancaq bir “amma” var. Bunun işləməsi üçün performans ehtiyatına sahib olmalısınız. Məsələn, ZyWALL VPN1000 vəziyyətində, IPsec VPN hardware nüvəsi yüksək VPN tunel performansını təmin edir və SHA-2 və IKEv2 alqoritmləri ilə VPN balansı/ixtisarı biznes üçün yüksək etibarlılıq və təhlükəsizlik təmin edir.
Yuxarıda təsvir edilən sahələrdən birini və ya bir neçəsini əhatə edən bəzi faydalı xüsusiyyətlər aşağıda verilmişdir.
SD WAN uzaqdan idarə etmək və nəzarət etmək imkanı ilə saytlar arasında kommunikasiyaların mərkəzləşdirilmiş idarə edilməsinin üstünlüklərini əldə edərək, bulud idarəetmə platforması təqdim edir. ZyWALL VPN1000 həmçinin qabaqcıl VPN funksiyalarının tələb olunduğu müvafiq iş rejimini dəstəkləyir.
Kritik xidmətlər üçün bulud platformalarına dəstək. ZyWALL VPN1000 Microsoft Azure və AWS ilə istifadə üçün sınaqdan keçirilmişdir. Əvvəlcədən sınaqdan keçirilmiş cihazların istifadəsi istənilən səviyyəli təşkilat üçün üstünlük təşkil edir, xüsusən İT infrastrukturu yerli şəbəkə və bulud birləşməsindən istifadə edirsə.
Məzmun filtrasiyası Zərərli və ya arzuolunmaz vebsaytlara girişi bloklayaraq təhlükəsizliyi gücləndirir. Zərərli proqramların etibarsız və ya sındırılmış saytlardan endirilməsinin qarşısını alır. ZyWALL VPN1000 vəziyyətində, bu xidmət üçün illik lisenziya artıq paketə daxildir.
Geo-siyasət (Coğrafi IP) trafikə nəzarət etməyə və lazımsız və ya potensial təhlükəli bölgələrdən girişi rədd edərək IP ünvanlarının yerini təhlil etməyə imkan verir. Cihazı alarkən bu xidmət üçün illik lisenziya da daxil edilir.
Simsiz Şəbəkə İdarəetmə ZyWALL VPN1000-ə mərkəzləşdirilmiş istifadəçi interfeysindən 1032-yə qədər giriş nöqtəsini idarə etməyə imkan verən simsiz şəbəkə nəzarətçisi daxildir. Müəssisələr idarə olunan Wi-Fi şəbəkəsini minimum səylə yerləşdirə və ya genişləndirə bilər. 1032 rəqəminin həqiqətən çox olduğunu qeyd etmək lazımdır. 10-a qədər istifadəçinin bir giriş nöqtəsinə qoşula biləcəyi hesablanmasına əsasən, bu, kifayət qədər təsir edici rəqəmdir.
Balanslaşdırma və artıqlıq. VPN seriyası çoxlu xarici interfeyslərdə yük balansını və artıqlığı dəstəkləyir. Yəni bir neçə provayderin bir neçə kanalını birləşdirə və bununla da özünüzü ünsiyyət problemlərindən qoruya bilərsiniz.
Cihaz ehtiyatının mümkünlüyü (Cihaz HA) qurğulardan biri sıradan çıxdıqda belə, fasiləsiz əlaqə üçün. Minimum fasilələrlə 24/7 işi təşkil etməlisinizsə, onsuz bunu etmək çətindir.
Zyxel Device HA Pro-da işləyir aktiv/passiv, mürəkkəb quraşdırma proseduru tələb etmir. Bu, giriş həddini aşağı salmağa və dərhal rezervasiyadan istifadə etməyə imkan verir. Fərqli aktiv/aktiv, sistem administratorunun əlavə təlim keçməsi lazım olduqda, dinamik marşrutlaşdırmanı konfiqurasiya etməyi, asimmetrik paketlərin nə olduğunu başa düşməyi və s. — rejim təyini aktiv/passiv Daha asan işləyir və daha az vaxt tələb edir.
Zyxel Device HA Pro istifadə edərkən cihazlar siqnal mübadiləsi aparır ürək atışı xüsusi port vasitəsilə. Üçün aktiv və passiv cihaz portları ürək atışı Ethernet kabeli ilə qoşulur. Passiv cihaz məlumatı aktiv cihazla tam sinxronlaşdırır. Xüsusilə, bütün seanslar, tunellər və istifadəçi hesabları cihazlar arasında sinxronlaşdırılır. Bundan əlavə, aktiv cihaz uğursuz olarsa, passiv cihaz konfiqurasiya faylının ehtiyat nüsxəsini saxlayır. Bu, əsas cihazın nasazlığı halında problemsiz keçid təmin edir.
Qeyd etmək lazımdır ki, aktiv sistemlərdə/aktiv siz hələ də uğursuzluq üçün sistem resurslarının 20-25%-ni ehtiyatda saxlamalısınız. At aktiv/passiv bir cihaz tamamilə gözləmə vəziyyətindədir və dərhal şəbəkə trafikini emal etməyə və normal şəbəkə fəaliyyətini təmin etməyə hazırdır.
Sadə dillə desək: “Zyxel Device HA Pro-dan istifadə edərkən və ehtiyat kanala malik olduqda, biznes həm provayderin təqsiri üzündən rabitə itkisindən, həm də marşrutlaşdırıcının nasazlığı nəticəsində yaranan problemlərdən qorunur.
Yuxarıda göstərilənlərin hamısını ümumiləşdirərək
Paylanmış şəbəkənin mərkəzi nodu üçün müəyyən bir port təchizatı (qoşulma interfeysləri) olan bir cihazdan istifadə etmək daha yaxşıdır. Bu halda, sadəlik və sərfəli əlaqə üçün həm RJ45 interfeysinin, həm də fiber-optik əlaqə və bükülmüş cüt arasında seçim etmək üçün SFP-nin olması arzu edilir.
Bu cihaz olmalıdır:
- məhsuldar, yükün qəfil dəyişməsinə uyğunlaşdırılmış;
- aydın interfeys ilə;
- zəngin, lakin həddindən artıq olmayan sayda daxili funksiyalar, o cümlədən təhlükəsizliklə əlaqəli;
- nasazlığa dözümlü sxemlər qurmaq imkanı ilə - kanalların təkrarlanması və cihazın təkrarlanması;
- mərkəzi qovşaq və periferik qurğular şəklində bütün şaxələnmiş infrastrukturun bir nöqtədən idarə oluna bilməsi üçün idarəetmənin dəstəklənməsi;
- "tort üzərində albalı" kimi - bulud resursları ilə inteqrasiya kimi müasir tendensiyaların dəstəklənməsi və s.
ZyWALL VPN1000 şəbəkənin mərkəzi node kimi
ZyWALL VPN1000-ə ilk baxışdan Zyxel-in portları ehtiyat etmədiyi aydındır.
Bizdə:
-
12 konfiqurasiya edilə bilən RJ‑45 (GBE) portu;
-
2 konfiqurasiya edilə bilən SFP portu (GBE);
-
2G/3.0G modemləri dəstəkləyən 3 USB 4 portu.
Şəkil 1. ZyWALL VPN1000-in ümumi görünüşü.
Dərhal qeyd etmək lazımdır ki, cihaz ilk növbədə güclü fanatlara görə ev ofisi üçün deyil. Burada onlardan dördü var.
Şəkil 2. ZyWALL VPN1000 arxa panel.
İnterfeysin necə göründüyünü görək.
Dərhal vacib bir vəziyyətə diqqət yetirməlisiniz. Bir çox funksiya var və onları bir məqalədə ətraflı təsvir etmək mümkün olmayacaq. Ancaq Zyxel məhsullarının yaxşı tərəfi odur ki, çox ətraflı sənədlər var, ilk növbədə istifadəçi (inzibatçı) təlimatı. Buna görə də, funksiyaların zənginliyi haqqında bir fikir əldə etmək üçün nişanları nəzərdən keçirək.
Varsayılan olaraq, port 1 və port 2 WAN-a təyin edilir. Üçüncü portdan başlayaraq yerli şəbəkə üçün interfeyslər var.
Standart IP 3 olan 192.168.1.1-cü port qoşulma üçün olduqca uyğundur.
Patchcordu bağlayırıq, ünvana gedirik və veb interfeysinin istifadəçi qeydiyyatı pəncərəsini müşahidə edə bilərsiniz.
Qeyd. İdarəetmə üçün SD-WAN bulud idarəetmə sistemindən istifadə edə bilərsiniz.
Şəkil 3. Login və parolun daxil edilməsi üçün pəncərə
Login və parolun daxil edilməsi prosedurundan keçirik və ekranda Dashboard pəncərəsini alırıq. Əslində, bir Dashboard üçün olduğu kimi - ekran sahəsinin hər bir parçası üçün maksimum əməliyyat məlumatı.
Şəkil 4. ZyWALL VPN1000 - Dashboard.
Tez Quraşdırma Nişanı (Sehrbazlar)
İnterfeysdə iki köməkçi var: WAN qurmaq və VPN qurmaq üçün. Əslində, köməkçilər yaxşı bir şeydir, onlar hətta cihazla işləmək təcrübəsi olmadan da şablon parametrlərini yerinə yetirməyə imkan verir. Yaxşı, daha çox istəyənlər üçün, yuxarıda qeyd edildiyi kimi, ətraflı sənədlər var.
Şəkil 5. Tez Quraşdırma nişanı.
Monitorinq nişanı
Göründüyü kimi, Zyxel-dən olan mühəndislər prinsipə əməl etməyə qərar verdilər: biz əlimizdən gələni izləyirik. Əlbəttə ki, mərkəzi mərkəz rolunu oynayan bir cihaz üçün ümumi nəzarət heç bir zərər verməyəcək.
Yan paneldəki bütün elementləri genişləndirməklə belə, seçim zənginliyi aydın olur.
Şəkil 6. Genişləndirilmiş alt elementləri olan monitorinq nişanı.
Konfiqurasiya nişanı
Burada funksiyaların zənginliyi daha aydın görünür.
Məsələn, cihaz portunun idarə edilməsi çox gözəl dizayn edilmişdir.
Şəkil 7. Genişləndirilmiş alt elementləri olan konfiqurasiya nişanı.
Baxım nişanı
Proqram təminatının yenilənməsi, diaqnostika, marşrutlaşdırma qaydalarına baxmaq və söndürmək üçün alt bölmələri ehtiva edir.
Bu funksiyalar köməkçi xarakter daşıyır və demək olar ki, hər bir şəbəkə cihazında bu və ya digər dərəcədə mövcuddur.
Şəkil 8. Genişləndirilmiş alt elementləri olan texniki xidmət nişanı.
Müqayisəli xüsusiyyətlər
Digər analoqlarla müqayisə edilmədən araşdırmamız natamam olardı.
Aşağıda ZyWALL VPN1000-ə ən yaxın analoqlar cədvəli və müqayisə üçün funksiyaların siyahısı verilmişdir.
Cədvəl 1. ZyWALL VPN1000-in analoqları ilə müqayisəsi.
Cədvəl 1 üçün izahatlar:
*1: Lisenziya tələb olunur
*2: Aşağı Toxunma Təminatı: Administrator əvvəlcə cihazı ZTP-dən əvvəl yerli olaraq konfiqurasiya etməlidir.
*3: Sessiya əsaslı: DPS yalnız yeni sessiyaya tətbiq olunacaq; bu cari sessiyaya təsir etməyəcək.
Gördüyünüz kimi, analoqlar müəyyən mənada nəzərdən keçirdiyimiz qəhrəmana çatır, məsələn, Fortinet FG‑100E-də də daxili WAN optimallaşdırması var, Meraki MX100-də isə daxili AutoVPN (sayt-a) var. -site) funksiyasını yerinə yetirir, lakin ümumilikdə ZyWALL VPN1000 hərtərəfli funksiyalar dəstində birmənalı olaraq liderdir.
Mərkəzi qovşaq üçün cihazları seçərkən tövsiyələr (yalnız Zyxel deyil)
Bir çox filialı olan geniş bir şəbəkənin mərkəzi nodunu təşkil etmək üçün cihazları seçərkən bir sıra parametrlərə diqqət yetirməlisiniz: texniki imkanlar, idarəetmə asanlığı, təhlükəsizlik və nasazlıqlara dözümlülük.
Geniş funksiyalar diapazonu, çevik konfiqurasiyaya malik çoxlu sayda fiziki portlar: WAN, LAN, DMZ və giriş nöqtəsini idarə edən nəzarətçi kimi digər gözəl funksiyaların olması bir anda bir çox işi yerinə yetirməyə imkan verir.
Sənədlərin mövcudluğu və rahat idarəetmə interfeysi mühüm rol oynayır.
Əlinizdə belə sadə görünən şeylərə malik olmaqla, müxtəlif saytları və yerləri əhatə edən şəbəkə infrastrukturlarını yaratmaq o qədər də çətin deyil və SD-WAN buludunun istifadəsi bunu maksimum çeviklik və təhlükəsizliklə etməyə imkan verir.
Faydalı linklər
Mənbə: www.habr.com