Какво да търсите при избора на VPN рутер за разпределена мрежа? И какви функции трябва да има? На това е посветен нашият преглед на ZyWALL VPN1000.
въведение
Преди това повечето от нашите публикации бяха посветени на VPN устройства от нисък клас за мрежов достъп от периферни сайтове. Например за свързване на различни клонове с централата, достъп до мрежата на малки независими компании или дори частни къщи. Време е да поговорим за централния възел за разпределената мрежа.
Ясно е, че няма да е възможно да се изгради модерна мрежа на голямо предприятие само на базата на устройства от икономична класа. И организирайте облачна услуга, за да предоставяте услуги и на потребителите. Някъде трябва да има инсталирано оборудване, което може да обслужва голям брой клиенти едновременно. Този път ще говорим за едно такова устройство - Zyxel VPN1000.
Както за големите, така и за малките участници в мрежовия обмен е възможно да се идентифицират критерии, по които се оценява пригодността на дадено устройство за решаване на проблем.
По-долу са основните:
- технически и функционални възможности;
- контрол;
- сигурност;
- отказоустойчивост.
Трудно е да се определи кое е по-важно и без какво може да се мине. Всичко е необходимо. Ако устройството не отговаря на изискванията по някакъв критерий, това е изпълнено с проблеми в бъдеще.
Въпреки това, някои характеристики на устройства, предназначени да осигурят работата на централните устройства и оборудването, работещо главно в периферията, могат да се различават значително.
За централния възел изчислителната мощност е на първо място - това води до принудително охлаждане и, следователно, шум от вентилатора. За периферните устройства, които обикновено се намират в офиси и домове, шумната работа е почти недопустима.
Друг интересен момент е разпределението на портовете. В периферните устройства е повече или по-малко ясно как ще се използва и колко клиенти ще бъдат свързани. Следователно можете да зададете строго разделение на портовете на WAN, LAN, DMZ, стриктно обвързване с протокола и т.н. В централния хъб няма такава сигурност. Например, добавихме нов мрежов сегмент, който изисква връзка през собствен интерфейс - и как да стане това? Това изисква по-универсално решение с възможност за гъвкаво конфигуриране на интерфейси.
Важен нюанс е, че устройството е богато на различни функции. Разбира се, подходът едно оборудване да изпълнява добре една задача има своите предимства. Но най-интересната ситуация започва, когато трябва да направите крачка наляво, стъпка надясно. Разбира се, с всяка нова задача можете допълнително да закупите друго целево устройство. И така до изчерпване на бюджета или мястото в стелажа.
За разлика от това, разширеният набор от функции ви позволява да работите с едно устройство, когато решавате няколко проблема. Например, ZyWALL VPN1000 поддържа множество типове VPN връзки, включително SSL и IPsec VPN, както и отдалечени връзки за служители. Това означава, че една част от хардуера покрива проблемите както на междусайтовите, така и на клиентските връзки. Но има едно „но“. За да работи това, трябва да имате резерв за изпълнение. Например, в случая на ZyWALL VPN1000, IPsec VPN хардуерното ядро осигурява висока производителност на VPN тунел, а VPN балансиране/излишък с алгоритми SHA-2 и IKEv2 осигурява висока надеждност и сигурност за бизнеса.
По-долу са изброени някои полезни функции, които покриват една или повече от областите, описани по-горе.
SD WAN предоставя платформа за облачно управление, като се възползва от предимствата на централизирано управление на комуникациите между сайтовете с възможност за дистанционно управление и наблюдение. ZyWALL VPN1000 също поддържа съответния режим на работа, където са необходими разширени VPN функции.
Поддръжка на облачни платформи за критични услуги. ZyWALL VPN1000 е тестван за използване с Microsoft Azure и AWS. Използването на предварително тествани устройства е за предпочитане за организация от всяко ниво, особено ако ИТ инфраструктурата използва комбинация от локална мрежа и облак.
Филтриране на съдържание Укрепва сигурността, като блокира достъпа до злонамерени или нежелани уебсайтове. Предотвратява изтеглянето на зловреден софтуер от ненадеждни или хакнати сайтове. В случая на ZyWALL VPN1000 годишният лиценз за тази услуга вече е включен в пакета.
Гео-политика (Гео IP) ви позволяват да наблюдавате трафика и да анализирате местоположението на IP адресите, отказвайки достъп от ненужни или потенциално опасни региони. При закупуване на устройството е включен и годишен лиценз за тази услуга.
Управление на безжична мрежа ZyWALL VPN1000 включва безжичен мрежов контролер, който ви позволява да управлявате до 1032 точки за достъп от централизиран потребителски интерфейс. Предприятията могат да внедрят или разширят управлявана Wi-Fi мрежа с минимални усилия. Заслужава да се отбележи, че числото 1032 наистина е много. Въз основа на изчислението, че до 10 потребители могат да се свържат към една точка за достъп, това е доста впечатляваща цифра.
Балансиране и излишък. Серията VPN поддържа балансиране на натоварването и резервиране в множество външни интерфейси. Тоест можете да свържете няколко канала от няколко доставчици, като по този начин се предпазите от проблеми с комуникацията.
Възможност за резервиране на устройството (Device HA) за непрекъсната връзка, дори когато едно от устройствата се повреди. Трудно е да се направи без това, ако трябва да организирате работа 24/7 с минимален престой.
Zyxel Device HA Pro работи в активен пасивен, което не изисква сложна процедура за настройка. Това ви позволява да намалите прага за влизане и веднага да започнете да използвате резервацията. За разлика от активен/активен, когато системният администратор трябва да премине допълнително обучение, да може да конфигурира динамично маршрутизиране, да разбере какво представляват асиметричните пакети и т.н. — настройка на режима активен пасивен Работи много по-лесно и отнема по-малко време.
Когато използвате Zyxel Device HA Pro, устройствата обменят сигнали сърдечен пулс чрез специален порт. Активни и пасивни портове за устройства за сърдечен пулс свързан чрез Ethernet кабел. Пасивното устройство напълно синхронизира информацията с активното устройство. По-специално, всички сесии, тунели и потребителски акаунти се синхронизират между устройствата. В допълнение, пасивното устройство поддържа резервно копие на конфигурационния файл, в случай че активното устройство се повреди. Това гарантира безпроблемен преход в случай на повреда на основното устройство.
Заслужава да се отбележи, че в активните системи/ активен все още трябва да запазите 20-25% от системните ресурси за преодоляване при отказ. При активен пасивен едно устройство е изцяло в състояние на готовност и е готово незабавно да обработва мрежовия трафик и да поддържа нормална мрежова работа.
С прости думи: „Когато използвате Zyxel Device HA Pro и имате резервен канал, бизнесът е защитен както от загуба на комуникация по вина на доставчика, така и от проблеми, произтичащи от повреда на рутера.
Обобщавайки всичко по-горе
За централния възел на разпределена мрежа е по-добре да използвате устройство с определен запас от портове (интерфейси за свързване). В този случай е желателно да има както RJ45 интерфейси за простота и рентабилна връзка, така и SFP за избор между оптична връзка и усукана двойка.
Това устройство трябва да бъде:
- продуктивни, адаптирани към резки промени в натоварването;
- с ясен интерфейс;
- с богат, но не прекомерен брой вградени функции, включително такива, свързани със сигурността;
- с възможност за изграждане на отказоустойчиви схеми - дублиране на канали и дублиране на устройства;
- поддържащо управление, така че цялата разклонена инфраструктура под формата на централен възел и периферни устройства да може да се управлява от една точка;
- като „черешка на тортата“ - поддръжка на съвременни тенденции като интеграция с облачни ресурси и др.
ZyWALL VPN1000 като централен възел на мрежата
На пръв поглед към ZyWALL VPN1000 става ясно, че Zyxel не е пестила портове.
Ние имаме:
-
12 конфигурируеми RJ‑45 (GBE) порта;
-
2 конфигурируеми SFP порта (GBE);
-
2 USB 3.0 порта с поддръжка на 3G/4G модеми.
Фигура 1. Общ изглед на ZyWALL VPN1000.
Веднага трябва да се отбележи, че устройството не е за домашен офис, главно поради мощните вентилатори. Тук има четири от тях.
Фигура 2. Заден панел на ZyWALL VPN1000.
Нека да видим как изглежда интерфейсът.
Веднага трябва да обърнете внимание на важно обстоятелство. Има много функции и няма да е възможно да ги опишем подробно в една статия. Но хубавото на продуктите на Zyxel е, че има много подробна документация, на първо място, ръководството за потребителя (администратора). Ето защо, за да получите представа за богатството от функции, нека просто да преминем през разделите.
По подразбиране порт 1 и порт 2 са присвоени на WAN. Започвайки от третия порт има интерфейси за локалната мрежа.
Третият порт с IP по подразбиране 3 е доста подходящ за връзка.
Свързваме пачкорда, отиваме на адреса и можете да наблюдавате прозореца за регистрация на потребител на уеб интерфейса.
Внимание. За управление можете да използвате системата за управление на облак SD-WAN.
Фигура 3. Прозорец за въвеждане на потребителско име и парола
Преминаваме през процедурата за въвеждане на потребителско име и парола и получаваме прозореца на таблото за управление на екрана. Всъщност, както трябва да бъде за таблото за управление - максимална оперативна информация на всяко парче екранно пространство.
Фигура 4. ZyWALL VPN1000 - Табло за управление.
Раздел за бърза настройка (съветници)
В интерфейса има два асистента: за настройка на WAN и настройка на VPN. Всъщност асистентите са добро нещо, те ви позволяват да извършвате настройки на шаблони дори без да имате опит в работата с устройството. Е, за тези, които искат повече, както споменахме по-горе, има подробна документация.
Фигура 5. Раздел Бърза настройка.
Раздел Мониторинг
Очевидно инженерите от Zyxel са решили да следват принципа: следим всичко, което можем. Разбира се, за устройство, което действа като централен хъб, пълният контрол изобщо няма да навреди.
Дори просто да разширите всички елементи в страничната лента, богатството на избор става очевидно.
Фигура 6. Раздел за наблюдение с разширени под-елементи.
Раздел Конфигурация
Тук богатството от функции е още по-очевидно.
Например, управлението на портовете на устройството е много добре проектирано.
Фигура 7. Раздел Конфигурация с разширени под-елементи.
Раздел Поддръжка
Съдържа подраздели за актуализиране на фърмуера, диагностика, преглед на правилата за маршрутизиране и изключване.
Тези функции са от спомагателен характер и присъстват в една или друга степен в почти всяко мрежово устройство.
Фигура 8. Раздел Поддръжка с разширени под-елементи.
Сравнителни характеристики
Нашият преглед би бил непълен без сравнение с други аналози.
По-долу е дадена таблица с аналози, най-близки до ZyWALL VPN1000, и списък с функции за сравнение.
Таблица 1. Сравнение на ZyWALL VPN1000 с аналози.
Обяснения към таблица 1:
*1: Изисква се лиценз
*2: Осигуряване на ниско докосване: Администраторът трябва първо да конфигурира устройството локално преди ZTP.
*3: Базирано на сесия: DPS ще се прилага само за нова сесия; това няма да засегне текущата сесия.
Както можете да видите, в някои отношения аналозите настигат героя на нашия преглед, например Fortinet FG‑100E също има вградена WAN оптимизация, а Meraki MX100 има вградена AutoVPN (site-to -site) функция, но като цяло ZyWALL VPN1000 е недвусмислен в своя изчерпателен набор от функции, който е водещ.
Препоръки при избора на устройства за централния възел (не само Zyxel)
Когато избирате устройства за организиране на централния възел на обширна мрежа с много клонове, трябва да се съсредоточите върху редица параметри: технически възможности, лекота на управление, сигурност и устойчивост на грешки.
Широка гама от функции, голям брой физически портове с гъвкава конфигурация: WAN, LAN, DMZ и наличието на други приятни функции, като например контролер за управление на точка за достъп, ви позволяват да изпълнявате много задачи наведнъж.
Важна роля играе наличието на документация и удобен интерфейс за управление.
Имайки такива на пръв поглед прости неща под ръка, не е толкова трудно да създадете мрежови инфраструктури, които обхващат различни сайтове и местоположения, а използването на SD-WAN облака ви позволява да правите това с максимална гъвкавост и сигурност.
Полезни връзки
Източник: www.habr.com