🥇Павук для павуціння або цэнтральны вузел размеркаванай сеткі

На што звярнуць увагу пры выбары маршрутызатара VPN для размеркаванай сеткі? І якімі функцыямі ён павінен валодаць? Гэтаму і прысвечаны наш агляд ZyWALL VPN1000

Увядзенне

Да гэтага большая частка нашых публікацый была прысвечана малодшым прыладам VPN для доступу ў сетку з перыферыйных аб'ектаў. Напрыклад, для сувязі розных філіялаў са штаб-кватэрай, доступу ў Сетку невялікіх самастойных кампаній, а то і зусім прыватных дамоў. Нетутэйша час пагаварыць аб цэнтральным вузле для размеркаванай сеткі.

Зразумела, што пабудаваць сучасную сетку буйнога прадпрыемства толькі на базе прылад эканом-класа не атрымаецца. І арганізаваць хмарны сэрвіс па прадастаўленні паслуг спажыўцам - таксама. Недзе павінна быць устаноўлена абсталяванне, здольнае абслужыць вялікую колькасць кліентаў адначасова. У гэты раз мы пагаворым аб адной такой прыладзе – Zyxel VPN1000.

І для вялікіх, і для маленькіх удзельнікаў сеткавага абмену можна вылучыць крытэры, па якіх ацэньваецца прыдатнасць той ці іншай прылады для рашэння задачы.

Ніжэй прыводзяцца асноўныя з іх:

тэхнічныя і функцыянальныя магчымасці;
кіраванне;
бяспека;
адмоваўстойлівасць.

Цяжка вылучыць што важнейшае, а без чаго можна абыйсціся. Трэба ўсё. Калі прылада па нейкім крытэры не дацягвае да ўзроўню прад'яўляных патрабаванняў - гэта багата праблемамі ў далейшым.

Аднак тыя ці іншыя асаблівасці прылад, закліканых забяспечыць працу цэнтральных вузлоў і абсталявання, які працуе ў асноўным на перыферыі, могуць значна адрознівацца.

Для цэнтральнага вузла на першае месца выходзіць вылічальная магутнасць - гэта вядзе за сабой прымусовае астуджэнне, і, такім чынам, шум ад вентылятара. Для перыферыйных прылад, якія звычайна размяшчаюцца ў офісах і жылых памяшканнях, шумная праца ўжо практычна непрымальная.

Яшчэ цікавы момант - размеркаванне партоў. У перыферыйных прыладах больш-менш зразумела, як яно будзе выкарыстоўвацца і колькі будзе падключана кліентаў. Таму можна задаць цвёрдае падзел портаў на WAN, LAN, DMZ, выканаць цвёрдую прывязку да пратаколу і гэтак далей. У цэнтральным вузле такой упэўненасці няма. Напрыклад, дадалі новы сегмент сеткі, які патрабуе падлучэння праз уласны інтэрфейс - і як гэта зрабіць? Тут патрабуецца больш універсальнае рашэнне з магчымасцю гнуткай наладкі інтэрфейсаў.

Важны нюанс - насычанасць прылады рознымі функцыямі. Зразумела, падыход, калі адна адзінка абсталявання добра выконвае адну-адзіную задачу, мае свае перавагі. Але самая цікавая сітуацыя пачынаецца, калі трэба зрабіць крок налева, крок направа. Зразумела, можна пры кожнай новай задачы дадаткова купляць яшчэ адна мэтавая прылада. І так пакуль не скончыцца бюджэт ці месца ў стойцы.

У процівагу гэтаму пашыраны набор функцый дазваляе абыйсціся адной прыладай пры рашэнні некалькіх пытанняў. Напрыклад, ZyWALL VPN1000 падтрымлівае некалькі тыпаў злучэнняў па VPN, у тым ліку SSL і IPsec VPN, а таксама выдаленыя падлучэнні для супрацоўнікаў. Гэта значыць адна «жалязяк» закрывае пытанні як міжсайтавых, так і кліенцкіх падлучэнняў. Але тут ёсць адно "але". Каб гэта працавала, трэба мець запас па прадукцыйнасці. Напрыклад, у выпадку з ZyWALL VPN1000 апаратнае ядро IPsec VPN забяспечвае высокую прадукцыйнасць VPN тунэля, а балансіроўка / рэзерваванне VPN з алгарытмамі SHA‑2 і IKEv2 забяспечваюць высокую надзейнасць і бяспеку для бізнесу.

Ніжэй пералічаны некаторыя карысныя функцыі, якія закрываюць адно або некалькі напрамкаў, апісаных вышэй.

SD WAN дае платформу для хмарнага кіравання, атрымліваючы перавагі цэнтралізаванага кіравання сувяззю паміж сайтамі з магчымасцю выдаленага кантролю і маніторынгу. ZyWALL VPN1000 таксама падтрымлівае які адпавядае рэжым працы тамака, дзе патрабуюцца пашыраныя функцыі VPN.

Падтрымка хмарных платформаў для крытычна важных сэрвісаў. ZyWALL VPN1000 правераны для выкарыстання з Microsoft Azure і AWS. Ужыванне загадзя правераных прылад пераважней для арганізацыі любога ўзроўня, асабліва калі ў ІТ інфраструктуры выкарыстоўваецца спалучэнне лакальнай сеткі і аблокі.

Кантэнтнае фільтраванне узмацняе бяспеку шляхам блакавання доступу да шкоднасных або непажаданых вэб-сайтаў. Прадухіляе загрузку шкоднасных праграм з ненадзейных ці ўзламаных сайтаў. У выпадку з ZyWALL VPN1000 гадавая ліцэнзія на дадзены сэрвіс ужо адразу ўваходзіць у камплект пастаўкі.

Геа-палітыкі (Geo IP) дазваляюць адсочваць трафік і праводзіць аналіз месцазнаходжання IP-адрасоў, адмаўляючы ў доступе з непатрэбных ці патэнцыйна небяспечных рэгіёнаў. Гадавая ліцэнзія на гэты сэрвіс таксама ўключана ў камплект пры набыцці прылады.

Упраўленне бесправадной сеткай у ZyWALL VPN1000 уключае кантролер бесправадной сеткі, які дазваляе кіраваць да 1032 кропак доступу з цэнтралізаванага карыстацкага інтэрфейсу. Прадпрыемствы могуць разгарнуць або пашырыць кіраваную сетку Wi-Fi з мінімальнымі намаганнямі. Варта адзначыць, што лічба 1032 - гэта сапраўды шмат. З разліку, што да адной кропкі доступу можа падлучацца да 10 карыстальнікаў, атрымліваецца дастаткова вялікая лічба.

Балансіроўка і рэзерваванне. Серыя VPN падтрымлівае балансаванне нагрузкі і рэзерваванне па некалькіх вонкавым інтэрфейсам. Гэта значыць можна падлучыць некалькі каналаў ад некалькіх правайдэраў, тым самым ахаваўшы сябе ад праблем са сувяззю.

Магчымасць рэзервавання прылады (Device HA) для няспыннага злучэння, нават калі адна з прылад выйшла са строю. Без гэтага цяжка абысціся, калі неабходна арганізаваць працу 24/7 з мінімальным часам прастою.

Zyxel Device HA Pro працуе ў рэжыме active/passive, для якога не патрабуецца складаная працэдура наладкі. Гэта дазваляе панізіць парог уваходжання і адразу пачаць выкарыстоўваць рэзерваванне. У адрозненне ад active/active, калі сістэмнаму адміністратару неабходна мінуць дадатковую падрыхтоўку, умець наладжваць дынамічную маршрутызацыю, разумець, што такое асіметрычныя пакеты і т.д. - настройка рэжыму active/passive працуе значна прасцей і патрабуе менш часавых затрат.

Пры выкарыстанні Zyxel Device HA Pro прылады абменьваюцца сігналамі сэрцабіцце праз выдзелены порт. Порты актыўнага і пасіўнага прылады для сэрцабіцце падключаюцца праз кабель Ethernet. Пасіўная прылада цалкам сінхранізуе інфармацыю з актыўнай прыладай. У прыватнасці, паміж прыладамі сінхранізуюцца ўсе сесіі, тунэлі, уліковыя запісы карыстальнікаў. Акрамя гэтага, пасіўная прылада захоўвае рэзервовую копію файла канфігурацыі на выпадак збою актыўнай прылады. Такім чынам, у выпадку адмовы асноўнай прылады пераход атрымліваецца бясшвоўным.

Варта адзначыць, што ў сістэмах active/ актыўны усё роўна даводзіцца рэзерваваць 20-25% сістэмных рэсурсаў для пераключэння пры адмовах. Пры active/passive адна прылада цалкам знаходзіцца ў стане рэзерву, і гатова адразу апрацоўваць сеткавы трафік і падтрымліваць звычайную працу сеткі.

Кажучы простай мовай: «Пры выкарыстанні Zyxel Device HA Pro і наяўнасці рэзервовага канала бізнэс абаронены як ад страты сувязі па віне правайдэра, так і ад праблем у выніку выхаду са строю маршрутызатара.

Рэзюмуючы ўсё вышэйсказанае

Для цэнтральнага вузла размеркаванай сеткі лепш выкарыстоўваць прыладу з некаторым запасам партоў (інтэрфейсаў падключэння). Пры гэтым пажадана мець інтэрфейсы як RJ45 для прастаты і патанненні падлучэння, так і SFP для выбару паміж оптавалакновым злучэннем і вітай парай.

Гэта прылада павінна быць:

прадукцыйнае, адаптаванае да скачкападобнай змены нагрузкі;
са зразумелым інтэрфейсам працы;
з багатай, але не залішняй колькасцю ўбудаваных функцый, у тым ліку датычна забеспячэнні бяспекі;
з магчымасцю пабудовы адмоваўстойлівых схем - дубліраванне каналаў і дубліраванне прылад;
якое падтрымлівае кіраванне, каб усёй разгалінаванай інфраструктурай у выглядзе цэнтральнага вузла і перыферыйных прылад кіраваць з адной кропкі;
як «вішанка на торце» - падтрымка сучасных павеваў накшталт інтэграцыі з хмарнымі рэсурсамі і гэтак далей.

ZyWALL VPN1000 у ролі цэнтральнага вузла сеткі

Пры першым поглядзе на ZyWALL VPN1000 відаць, што портаў у Zyxel не пашкадавалі.

У нас ёсць:

12 наладжвальных партоў RJ-45 (GBE);
2 наладжвальных порта SFP (GBE);
2 порта USB 3.0 з падтрымкай 3G/4G мадэмаў.

Малюнак 1. Агульны выгляд ZyWALL VPN1000.

Адразу трэба адзначыць - прылада не для хатняга офіса, у першую чаргу з-за прадукцыйных вентылятараў. Іх тут цэлых чатыры.

Малюнак 2. Задняя панэль ZyWALL VPN1000.

Паглядзім, як выглядае інтэрфейс.

Адразу варта звярнуць увагу на важную акалічнасць. Функцый вельмі шмат, і падрабязна апісваць у межах аднаго артыкула не атрымаецца. Але што добра ў прадукцыі Zyxel – ёсць вельмі падрабязная дакументацыя, у першую чаргу – кіраўніцтва карыстальніка (адміністратара). Таму, каб атрымаць уяўленне аб багацці функцый, проста прабяжымся па ўкладках.

Па змаўчанні порт 1 і порт 2 аддадзены пад WAN. Пачынальна з трэцяга порта ідуць інтэрфейсы для лакальнай сеткі.

3-й порт c IP па змаўчанні 192.168.1.1 суцэль падыходзіць для падлучэння.

Падлучальны патчкорд, пераходзім па адрасе https://192.168.1.1 і можна назіраць акно рэгістрацыі карыстальніка вэб-інтэрфейсу.

Заўвага. Для кіравання можна выкарыстоўваць хмарную сістэму кіравання SD-WAN.

Малюнак 3. Акно ўводу лагіна і пароля

Праходзім працэдуру ўводу лагіна і пароля і атрымліваем на экране акно Dashboard. Уласна, як і пакладзена для Dashboard – максімум аператыўнай інфармацыі на кожным жмутку экраннай прасторы.

Малюнак 4. ZyWALL VPN1000 – Dashboard.

Укладка "Хуткая настройка" (Wizards)

Памочнікаў у інтэрфейсе цэлых два: для наладкі WAN і налады VPN. Насамрэч памагатыя - штука добрая, дазваляе выканаць шаблонныя налады, нават не маючы досведу працы з прыладай. Ну а для тых, хто хоча большага, як было сказана вышэй - існуе падрабязная дакументацыя.

Малюнак 5. Укладка "Хуткая настройка".

Укладка Маніторынг

Судзячы па ўсім, інжынеры з Zyxel вырашылі паступіць па прынцыпе: маніторым усё што можна. Зразумела, для прылады, які выконвае ролю цэнтральнага вузла, татальны кантроль зусім не пашкодзіць.

Нават проста разгарнуўшы ўсе пункты на бакавой панэлі, становіцца відавочным багацце выбару.

Малюнак 6. Укладка Маніторынг з разгорнутымі падпунктамі.

Укладка Канфігурацыя

Тут багацце функцый яшчэ больш відавочна.

Напрыклад, вельмі сімпотна аформлена кіраванне партамі прылады.

Малюнак 7. Укладка Канфігурацыя з разгорнутымі падпунктамі.

Укладка Абслугоўванне

Змяшчае падраздзелы для абнаўлення прашыўкі, дыягностыкі, прагляду правілаў маршрутызацыі і завяршэння працы.

Дадзеныя функцыі носяць дапаможны характар і ў той ці іншай меры прысутнічаюць практычна ў кожнай сеткавай прыладзе.

Малюнак 8. Укладка Абслугоўванне з разгорнутымі падпунктамі.

Параўнальныя характарыстыкі

Наш агляд быў бы няпоўным без параўнання з іншымі аналагамі.

Ніжэй прадстаўлена табліца бліжэйшых да ZyWALL VPN1000 аналагаў і спіс функцый для параўнання.

Табліца 1. Параўнанне ZyWALL VPN1000 з аналагамі.

Тлумачэнні да табліцы 1:

*1: Неабходная ліцэнзія

* 2: Low Touch Provision: адміністратар павінен спачатку сканфігураваць прыладу лакальна перад ZTP.

* 3: на аснове сеансу: DPS будзе прымяняцца толькі да новага сеансу; гэта не паўплывае на бягучы сеанс.

Як бачым, у чымсьці аналогі даганяюць героя нашага агляду, напрыклад, Fortinet FG‑100E таксама мае ўбудаваную WAN аптымізацыю, а Meraki MX100 мае ўбудаваную функцыю AutoVPN (site-to-site), але ў цэлым па комплексным наборы функцый ZyWALL VPN1000 адназначна лідзіруе.

Рэкамендацыі пры выбары прылад для цэнтральнага вузла (не толькі Zyxel)

Выбіраючы прылады для арганізацыі цэнтральнага вузла разгалінаванай сеткі са мноствам філіялаў варта арыентавацца на цэлы шэраг параметраў: тэхнічныя магчымасці, выгода кіравання, забеспячэнне бяспекі і адмоваўстойлівасці.

Шырокі набор функцый, вялікая колькасць фізічных партоў з магчымасцю гнуткай наладкі: WAN, LAN, DMZ і наяўнасць іншых прыемных функцый, накшталт кантролера кіравання кропкамі доступу дазваляюць зараз закрыць мноства задач.

Немалаважную ролю гуляюць наяўнасць дакументацыі і зручны інтэрфейс кіравання.

Маючы пад рукой такія, здавалася б, простыя рэчы, не так ужо цяжка ствараць сеткавыя інфраструктуры, захапляльныя розныя сайты і лакацыі, а ўжыванне аблокі SD-WAN дазваляе рабіць гэта максімальна гнутка і бяспечна.