🥇Web pauk ili centralni čvor distribuirane mreže

Na što obratiti pažnju pri odabiru VPN rutera za distribuiranu mrežu? I koje funkcije treba da ima? Tome je posvećena naša ZyWALL VPN1000 recenzija.

Uvod

Ranije je većina naših publikacija bila posvećena jeftinim VPN uređajima za pristup mreži s perifernih lokacija. Na primjer, za povezivanje raznih filijala sa sjedištem, pristup Mreži malih nezavisnih kompanija, ili čak privatnih kuća. Vrijeme je da razgovaramo o centralnom čvoru za distribuiranu mrežu.

Jasno je da modernu mrežu velikog preduzeća neće biti moguće izgraditi samo na bazi uređaja ekonomske klase. I organizirajte uslugu u oblaku za pružanje usluga potrošačima. Negdje mora biti instalirana oprema koja može istovremeno opsluživati veliki broj klijenata. Ovaj put ćemo govoriti o jednom takvom uređaju - Zyxel VPN1000.

I za velike i za male učesnike u mrežnoj razmjeni moguće je identificirati kriterije po kojima se ocjenjuje prikladnost određenog uređaja za rješavanje problema.

Ispod su glavni:

tehničke i funkcionalne mogućnosti;
kontrola;
sigurnost;
tolerancije grešaka.

Teško je odrediti šta je važnije, a bez čega se može. Sve je potrebno. Ako uređaj ne ispunjava zahtjeve prema nekom kriteriju, to je preplavljeno problemima u budućnosti.

Međutim, određene karakteristike uređaja dizajniranih da osiguraju rad centralnih jedinica i opreme koja radi uglavnom na periferiji mogu se značajno razlikovati.

Za centralni čvor, računarska snaga je na prvom mestu - to dovodi do prinudnog hlađenja, a samim tim i buke ventilatora. Za periferne uređaje, koji se obično nalaze u uredima i kućama, bučan rad je gotovo neprihvatljiv.

Još jedna zanimljiva tačka je distribucija portova. Kod perifernih uređaja je manje-više jasno kako će se koristiti i koliko će klijenata biti povezano. Stoga možete postaviti striktnu podelu portova na WAN, LAN, DMZ, striktno se vezati za protokol i tako dalje. Ne postoji takva sigurnost u centralnom čvorištu. Na primjer, dodali smo novi segment mreže koji zahtijeva vezu preko vlastitog sučelja - i kako to učiniti? Ovo zahteva univerzalnije rešenje sa mogućnošću fleksibilnog konfigurisanja interfejsa.

Važna nijansa je da je uređaj bogat raznim funkcijama. Naravno, pristup da jedan komad opreme dobro obavi jedan zadatak ima svoje prednosti. Ali najzanimljivija situacija počinje kada trebate napraviti korak ulijevo, korak udesno. Naravno, uz svaki novi zadatak možete dodatno kupiti još jedan ciljni uređaj. I tako sve dok ne ponestane budžeta ili prostora u regalu.

Nasuprot tome, prošireni skup funkcija omogućava vam da se snađete s jednim uređajem kada rješavate nekoliko problema. Na primjer, ZyWALL VPN1000 podržava više vrsta VPN veza, uključujući SSL i IPsec VPN, kao i udaljene veze za zaposlene. Odnosno, jedan komad hardvera pokriva pitanja veza između lokacija i klijenata. Ali postoji jedno „ali“. Da bi ovo funkcioniralo, morate imati rezervu učinka. Na primjer, u slučaju ZyWALL VPN1000, IPsec VPN hardverska jezgra pruža visoke performanse VPN tunela, a VPN balansiranje/redundantnost sa SHA-2 i IKEv2 algoritmima pruža visoku pouzdanost i sigurnost za poslovanje.

U nastavku su navedene neke korisne funkcije koje pokrivaju jedno ili više gore opisanih područja.

SD WAN pruža platformu za upravljanje oblakom, stječući prednosti centraliziranog upravljanja komunikacijama između lokacija uz mogućnost daljinske kontrole i nadzora. ZyWALL VPN1000 također podržava odgovarajući način rada gdje su potrebne napredne VPN funkcije.

Podrška za cloud platforme za kritične usluge. ZyWALL VPN1000 je testiran za korištenje s Microsoft Azure i AWS. Upotreba prethodno testiranih uređaja je poželjna za organizaciju bilo kojeg nivoa, posebno ako IT infrastruktura koristi kombinaciju lokalne mreže i oblaka.

Filtriranje sadržaja Jača sigurnost blokiranjem pristupa zlonamjernim ili neželjenim web stranicama. Sprječava preuzimanje zlonamjernog softvera s nepouzdanih ili hakovanih stranica. U slučaju ZyWALL VPN1000, godišnja licenca za ovu uslugu je već uključena u paket.

Geo-politika (geo IP) omogućavaju vam da nadgledate promet i analizirate lokaciju IP adresa, uskraćujući pristup iz nepotrebnih ili potencijalno opasnih regija. Godišnja licenca za ovu uslugu je takođe uključena prilikom kupovine uređaja.

Upravljanje bežičnom mrežom ZyWALL VPN1000 uključuje bežični mrežni kontroler koji vam omogućava da upravljate do 1032 pristupne tačke iz centralizovanog korisničkog interfejsa. Preduzeća mogu implementirati ili proširiti upravljanu Wi-Fi mrežu uz minimalan napor. Vrijedi napomenuti da je broj 1032 zaista mnogo. Na osnovu proračuna da se do 10 korisnika može povezati na jednu pristupnu tačku, ovo je prilično impresivna brojka.

Balansiranje i redundantnost. VPN serija podržava balansiranje opterećenja i redundantnost preko više eksternih interfejsa. Odnosno, možete povezati nekoliko kanala od nekoliko provajdera, čime se zaštitite od problema u komunikaciji.

Mogućnost redundantnosti uređaja (Device HA) za neprekidnu vezu, čak i kada jedan od uređaja pokvari. Teško je bez ovoga ako trebate organizirati rad 24/7 s minimalnim zastojima.

Zyxel Device HA Pro radi u aktivno/pasivno, što ne zahtijeva složenu proceduru podešavanja. Ovo vam omogućava da snizite ulazni prag i odmah počnete koristiti rezervaciju. Za razliku od aktivan/aktivan, kada administrator sistema treba da prođe dodatnu obuku, da bude u stanju da konfiguriše dinamičko rutiranje, razume šta su asimetrični paketi itd. — podešavanje režima aktivno/pasivno Radi mnogo lakše i zahtijeva manje vremena.

Kada koristite Zyxel Device HA Pro, uređaji razmjenjuju signale srčani udar preko namjenskog porta. Aktivni i pasivni portovi uređaja za srčani udar povezan putem Ethernet kabla. Pasivni uređaj u potpunosti sinhronizuje informacije sa aktivnim uređajem. Konkretno, sve sesije, tuneli i korisnički nalozi su sinhronizovani između uređaja. Osim toga, pasivni uređaj održava rezervnu kopiju konfiguracijske datoteke u slučaju kvara na aktivnom uređaju. Ovo osigurava nesmetan prijelaz u slučaju kvara primarnog uređaja.

Vrijedi napomenuti da u aktivnim sistemima/aktivan i dalje morate rezervisati 20-25% sistemskih resursa za prekoračenje greške. At aktivno/pasivno jedan uređaj je u potpunosti u stanju pripravnosti i spreman je za trenutnu obradu mrežnog prometa i održavanje normalnog rada mreže.

Jednostavnim rečima: „Kada koristite Zyxel Device HA Pro i imate rezervni kanal, posao je zaštićen kako od gubitka komunikacije zbog greške provajdera, tako i od problema koji nastaju usled kvara rutera.

Sumirajući sve navedeno

Za centralni čvor distribuirane mreže bolje je koristiti uređaj sa određenim zalihama portova (interfejsa za povezivanje). U ovom slučaju poželjno je imati i RJ45 interfejse za jednostavnost i ekonomičnu vezu, i SFP za izbor između optičke veze i upredene parice.

Ovaj uređaj mora biti:

produktivan, prilagođen naglim promjenama opterećenja;
sa jasnim interfejsom;
sa bogatim, ali ne prevelikim brojem ugrađenih funkcija, uključujući i one vezane za sigurnost;
sa mogućnošću izgradnje kola otpornih na greške - dupliciranje kanala i dupliciranje uređaja;
podržavanje upravljanja tako da se cjelokupnom razgranatom infrastrukturom u obliku centralnog čvora i perifernim uređajima može upravljati iz jedne tačke;
kao “trešnja na torti” - podrška modernim trendovima kao što su integracija sa cloud resursima i tako dalje.

ZyWALL VPN1000 kao centralni čvor mreže

Već na prvi pogled na ZyWALL VPN1000 jasno je da Zyxel nije štedio portove.

Imamo:

12 konfigurabilnih RJ‑45 (GBE) portova;
2 konfigurabilna SFP porta (GBE);
2 USB 3.0 porta sa podrškom za 3G/4G modeme.

Slika 1. Opšti prikaz ZyWALL VPN1000.

Odmah treba napomenuti da uređaj nije za kućnu kancelariju, prvenstveno zbog snažnih ventilatora. Ovdje ih je četiri.

Slika 2. ZyWALL VPN1000 stražnja ploča.

Hajde da vidimo kako izgleda interfejs.

Treba odmah obratiti pažnju na važnu okolnost. Postoji mnogo funkcija i neće ih biti moguće detaljno opisati u jednom članku. Ali ono što je dobro kod Zyxel proizvoda je da postoji vrlo detaljna dokumentacija, prije svega, korisnički (administratorski) priručnik. Stoga, da bismo stekli predstavu o bogatstvu funkcija, prođimo kroz kartice.

Po defaultu, port 1 i port 2 su dodijeljeni WAN-u. Počevši od trećeg porta postoje interfejsi za lokalnu mrežu.

3. port sa zadanim IP 192.168.1.1 je prilično pogodan za povezivanje.

Povezujemo patchcord, idemo na adresu https://192.168.1.1 i možete posmatrati prozor za registraciju korisnika na web interfejsu.

primjedba. Za upravljanje možete koristiti SD-WAN sistem upravljanja oblakom.

Slika 3. Prozor za unos logina i lozinke

Prolazimo kroz proceduru unosa logina i lozinke i na ekranu se pojavljuje prozor Dashboard. Zapravo, kao što bi trebalo da bude za Dashboard - maksimalne operativne informacije na svakom delu ekrana.

Slika 4. ZyWALL VPN1000 - Nadzorna ploča.

Kartica za brzo podešavanje (čarobnjaci)

U interfejsu su dva pomoćnika: za podešavanje WAN-a i podešavanje VPN-a. Zapravo, pomoćnici su dobra stvar; oni vam omogućavaju da izvršite podešavanja šablona čak i bez iskustva u radu sa uređajem. Pa, za one koji žele više, kao što je gore navedeno, postoji detaljna dokumentacija.

Slika 5. Kartica Quick Setup.

Kartica Monitoring

Očigledno su inženjeri iz Zyxela odlučili slijediti princip: pratimo sve što možemo. Naravno, za uređaj koji djeluje kao centralno čvorište, potpuna kontrola neće nimalo škoditi.

Čak i samo proširenje svih stavki na bočnoj traci, bogatstvo izbora postaje očigledno.

Slika 6. Kartica Nadgledanje sa proširenim podstavkama.

Kartica Konfiguracija

Ovdje je bogatstvo funkcija još očiglednije.

Na primjer, upravljanje portom uređaja je vrlo lijepo dizajnirano.

Slika 7. Kartica Konfiguracija sa proširenim podstavkama.

Kartica Održavanje

Sadrži pododjeljke za ažuriranje firmvera, dijagnostiku, pregled pravila rutiranja i gašenje.

Ove funkcije su pomoćne prirode i prisutne su u jednoj ili drugoj mjeri u gotovo svakom mrežnom uređaju.

Slika 8. Kartica Održavanje sa proširenim podstavkama.

Uporedne karakteristike

Naš pregled bi bio nepotpun bez poređenja sa drugim analozima.

Ispod je tabela analoga najbližih ZyWALL VPN1000 i lista funkcija za poređenje.

Tabela 1. Poređenje ZyWALL VPN1000 sa analozima.

Objašnjenja za tabelu 1:

*1: Potrebna je licenca

*2: Low Touch Provision: Administrator mora prvo konfigurirati uređaj lokalno prije ZTP-a.

*3: Zasnovano na sesiji: DPS će se primjenjivati samo na novu sesiju; ovo neće uticati na trenutnu sesiju.

Kao što vidite, na neki način analozi sustižu junaka naše recenzije, na primjer, Fortinet FG‑100E također ima ugrađenu WAN optimizaciju, a Meraki MX100 ima ugrađen AutoVPN (site-to -site), ali općenito, ZyWALL VPN1000 je nedvosmislen u svom sveobuhvatnom skupu funkcija prednjači.

Preporuke pri odabiru uređaja za centralni čvor (ne samo Zyxel)

Prilikom odabira uređaja za organiziranje centralnog čvora opsežne mreže s mnogo grana, trebali biste se usredotočiti na niz parametara: tehničke mogućnosti, jednostavnost upravljanja, sigurnost i toleranciju grešaka.

Širok spektar funkcija, veliki broj fizičkih portova sa fleksibilnom konfiguracijom: WAN, LAN, DMZ i prisustvo drugih lepih funkcija, kao što je kontroler za upravljanje pristupnom tačkom, omogućavaju vam da izvršite mnoge zadatke odjednom.

Važnu ulogu igra dostupnost dokumentacije i pogodan interfejs za upravljanje.

Imajući tako naizgled jednostavne stvari pri ruci, nije tako teško stvoriti mrežnu infrastrukturu koja se proteže na različite lokacije i lokacije, a korištenje SD-WAN oblaka vam omogućava da to učinite uz maksimalnu fleksibilnost i sigurnost.