ProHoster > Bloc > Administració > Aranya per a una xarxa o node central d'una xarxa distribuïda

Aranya per a una xarxa o node central d'una xarxa distribuïda

Aranya per a una xarxa o node central d'una xarxa distribuïda
Què cal buscar en triar un encaminador VPN per a una xarxa distribuïda? I quines característiques hauria de tenir? Això és a què es dedica la nostra revisió de ZyWALL VPN1000.

Introducció

Abans d'això, la majoria de les nostres publicacions es dedicaven a dispositius VPN júniors per accedir a la xarxa des d'instal·lacions perifèriques. Per exemple, per connectar diverses oficines amb la seu, accés a la Xarxa de petites empreses independents, o fins i tot cases particulars. És hora de parlar del node central d'una xarxa distribuïda.

Està clar que no funcionarà construir una xarxa moderna d'una gran empresa només sobre la base de dispositius de classe econòmica. I també organitzeu un servei al núvol per oferir serveis als consumidors. En algun lloc, s'han d'instal·lar equips que puguin atendre un gran nombre de clients alhora. Aquesta vegada parlarem d'un d'aquests dispositius: Zyxel VPN1000.

Tant per als participants grans com petits en l'intercanvi de xarxa, es poden distingir els criteris pels quals s'avalua la idoneïtat d'un dispositiu determinat per resoldre un problema.

A continuació es mostren els principals:

  • capacitats tècniques i funcionals;
  • control;
  • seguretat;
  • falta de tolerància.

És difícil distingir què és més important i què es pot fer sense. Tot és necessari. Si el dispositiu, segons algun criteri, no arriba al nivell dels requisits, això està ple de problemes en el futur.

Tanmateix, certes característiques dels dispositius dissenyats per garantir el funcionament dels nodes centrals i dels equips que operen principalment a la perifèria poden diferir significativament.

Per al node central, la potència de càlcul és el primer: això condueix a un refredament forçat i, per tant, al soroll del ventilador. Per als perifèrics, que normalment es troben a oficines i zones residencials, el funcionament sorollós és gairebé inacceptable.

Un altre punt interessant és la distribució dels ports. En els dispositius perifèrics, queda més o menys clar com s'utilitzarà i quants clients es connectaran. Per tant, podeu configurar la partició dura dels ports a WAN, LAN, DMZ, realitzar una vinculació dura al protocol, etc. No hi ha aquesta certesa al node central. Per exemple, van afegir un nou segment de xarxa que requereix connexió mitjançant la seva pròpia interfície, i com fer-ho? Això requereix una solució més universal amb la capacitat de configurar interfícies de manera flexible.

Un matís important és la saturació del dispositiu amb diverses funcions. Per descomptat, hi ha avantatges que un únic equip faci bé una feina. Però la situació més interessant comença quan cal fer un pas a l'esquerra, un pas a la dreta. Per descomptat, també podeu comprar un altre dispositiu objectiu per a cada tasca nova. I així successivament fins que s'esgoti el pressupost o l'espai del bastidor.

En canvi, un conjunt estès de funcions us permet superar-vos amb un dispositiu quan resoleu diversos problemes. Per exemple, ZyWALL VPN1000 admet diversos tipus de connexions VPN, com ara SSL i VPN IPsec, així com connexions remotes per als empleats. És a dir, una "peça de ferro" tanca els problemes tant de les connexions entre llocs com de clients. Però hi ha un "però". Perquè això funcioni, cal tenir un marge de rendiment. Per exemple, en el cas del ZyWALL VPN1000, el nucli de maquinari VPN IPsec proporciona un alt rendiment del túnel VPN, mentre que l'equilibri/redundància VPN amb algorismes SHA-2 i IKEv2 garanteix una gran fiabilitat i seguretat empresarial.

A continuació s'enumeren algunes funcions útils que cobreixen una o més de les indicacions descrites anteriorment.

SD-WAN proporciona una plataforma per a la gestió del núvol, aprofitant la gestió centralitzada de les comunicacions entre llocs amb la possibilitat de controlar i supervisar de forma remota. ZyWALL VPN1000 també admet el mode de funcionament adequat on es requereixen funcions VPN avançades.

Suport per a plataformes en núvol per a serveis crítics. ZyWALL VPN1000 està validat per utilitzar-lo amb Microsoft Azure i AWS. L'ús de dispositius prevalidats és preferible per a qualsevol nivell d'organització, especialment si la infraestructura de TI utilitza una combinació de xarxa local i núvol.

Filtrat de continguts millora la seguretat bloquejant l'accés a llocs web maliciosos o no desitjats. Evita que es descarregui programari maliciós des de llocs no fiables o piratejats. En el cas del ZyWALL VPN1000, s'inclou immediatament al paquet una llicència anual per a aquest servei.

Polítiques geològiques (GeoIP) permeten fer un seguiment del trànsit i analitzar la ubicació de les adreces IP, negant l'accés des de regions innecessàries o potencialment perilloses. També s'inclou una llicència anual per a aquest servei amb la compra del dispositiu.

Gestió de xarxes sense fil El ZyWALL VPN1000 inclou un controlador de xarxa sense fil que us permet gestionar fins a 1032 punts d'accés des d'una interfície d'usuari centralitzada. Les empreses poden implementar o ampliar una xarxa Wi-Fi gestionada amb un esforç mínim. Val la pena assenyalar que el número 1032 és realment molt. A partir del fet que fins a 10 usuaris es poden connectar a un punt d'accés, s'obté una xifra força impressionant.

Equilibri i redundància. La sèrie VPN admet l'equilibri de càrrega i la redundància a través de múltiples interfícies externes. És a dir, podeu connectar diversos canals de diversos proveïdors, protegint-vos així dels problemes de comunicació.

Capacitat de redundància del dispositiu (dispositiu HA) per a una connexió sense parar, fins i tot quan un dels dispositius falla. És difícil prescindir-ne si necessiteu organitzar la feina les 24 hores del dia amb un temps d'inactivitat mínim.

Zyxel Device HA Pro està dins actiu/passiu, que no requereix un procediment de configuració complicat. Això us permet reduir el llindar d'entrada i començar immediatament a utilitzar la reserva. A diferència actiu/actiuquan un administrador del sistema necessita rebre una formació addicional, ser capaç de configurar l'encaminament dinàmic, entendre què són els paquets asimètrics, etc. - Configuració del mode actiu/passiu molt més fàcil i que consumeix menys temps.

Quan utilitzeu Zyxel Device HA Pro, els dispositius intercanvien senyals batec del cor a través d'un port dedicat. Ports de dispositius actius i passius per a batec del cor connectat mitjançant un cable Ethernet. El dispositiu passiu sincronitza completament la informació amb el dispositiu actiu. En particular, totes les sessions, túnels i comptes d'usuari es sincronitzen entre dispositius. A més, el dispositiu passiu conserva una còpia de seguretat del fitxer de configuració en cas que el dispositiu actiu falli. Així, en cas de fallada del dispositiu principal, la transició és perfecta.

Cal tenir en compte que en sistemes actius/actiu encara heu de reservar el 20-25% dels recursos del sistema per a la migració per error. A les actiu/passiu un dispositiu està completament en estat d'espera i està preparat per processar immediatament el trànsit de xarxa i mantenir el funcionament normal de la xarxa.

En termes senzills: "Quan s'utilitza Zyxel Device HA Pro i es disposa d'un canal de còpia de seguretat, l'empresa està protegida tant de la pèrdua de comunicació per culpa del proveïdor com de problemes com a conseqüència d'una fallada del router.

Resumint tot l'anterior

Per al node central d'una xarxa distribuïda, és millor utilitzar un dispositiu amb un determinat subministrament de ports (interfícies de connexió). Al mateix temps, és desitjable tenir interfícies RJ45 per a la senzillesa i l'economia de la connexió, i SFP per triar entre connexió de fibra òptica i parell trenat.

Aquest dispositiu ha de ser:

  • productiu, adaptat a un canvi brusc de càrrega;
  • amb una interfície clara;
  • amb un nombre ric però no redundant de funcions integrades, incloses les relacionades amb la seguretat;
  • amb la capacitat de crear esquemes tolerants a errors: duplicació de canals i duplicació de dispositius;
  • gestió de suport, de manera que tota la infraestructura ramificada en forma de node central i dispositius perifèrics es gestiona des d'un punt;
  • com a "cireta del pastís": suport per a tendències modernes com la integració amb recursos al núvol, etc.

ZyWALL VPN1000 com a node central de la xarxa

Quan mireu per primera vegada el ZyWALL VPN1000, podeu veure que els ports de Zyxel no es van estalviar.

Tenim:

  • 12 ports RJ-45 configurables (GBE);

  • 2 ports SFP configurables (GBE);

  • 2 ports USB 3.0 amb suport per a mòdems 3G/4G.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 1. Vista general del ZyWALL VPN1000.

Cal assenyalar immediatament que el dispositiu no és per a una oficina a casa, principalment a causa dels ventiladors eficients. Aquí n'hi ha quatre.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 2. Tauler posterior del ZyWALL VPN1000.

Vegem com és la interfície.

Immediatament, val la pena parar atenció a una circumstància important. Hi ha moltes funcions, i no serà possible descriure en detall en el marc d'un article. Però el que és bo dels productes Zyxel és que hi ha una documentació molt detallada, primer de tot, el manual d'usuari (administrador). Així que per fer-vos una idea de la riquesa de funcions, passem per les pestanyes.

Per defecte, el port 1 i el port 2 es donen a WAN. A partir del tercer port, hi ha interfícies per a la xarxa local.

El tercer port amb la IP predeterminada 3 és molt adequat per a la connexió.

Connectem el cable de connexió, anem a l'adreça https://192.168.1.1 i podeu observar la finestra de registre d'usuari de la interfície web.

Nota. Per a la gestió, podeu utilitzar el sistema de gestió del núvol SD-WAN.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 3. Finestra d'entrada i contrasenya

Seguim el procediment per introduir un inici de sessió i una contrasenya i obtenim la finestra Tauler de control a la pantalla. De fet, com hauria de ser per al tauler de control: informació operativa màxima a cada tros d'espai de pantalla.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 4. ZyWALL VPN1000 - Tauler de control.

Pestanya de configuració ràpida (assistents)

Hi ha dos assistents a la interfície: per configurar la WAN i configurar la VPN. De fet, els assistents són una bona cosa, us permeten realitzar configuracions de plantilles sense ni tan sols tenir experiència amb el dispositiu. Bé, per als que en vulguin més, com s'ha dit anteriorment, hi ha documentació detallada.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 5. Pestanya Configuració ràpida.

Pestanya de seguiment

Pel que sembla, els enginyers de Zyxel van decidir seguir el principi: controlem tot el que és possible. Per descomptat, per a un dispositiu que actua com a node central, el control total no fa mal.

Fins i tot amb l'ampliació de tots els elements de la barra lateral, la riquesa de l'elecció es fa evident.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 6. Pestanya de seguiment amb subelements ampliats.

Pestanya de configuració

Aquí, la riquesa de característiques és encara més evident.

Per exemple, la gestió del port del dispositiu està molt ben dissenyada.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 7. Pestanya de configuració amb subelements ampliats.

Pestanya de manteniment

Conté subseccions per actualitzar el microprogramari, diagnòstics, visualitzar les regles d'encaminament i apagar.

Aquestes funcions són de caràcter auxiliar i estan presents d'una manera o altra en gairebé tots els dispositius de la xarxa.

Aranya per a una xarxa o node central d'una xarxa distribuïda
Figura 8. Pestanya Manteniment amb subelements ampliats.

Característiques comparatives

La nostra revisió seria incompleta sense una comparació amb altres anàlegs.

A continuació es mostra una taula dels anàlegs més propers a ZyWALL VPN1000 i una llista de funcions per comparar-les.

Taula 1. Comparació de ZyWALL VPN1000 amb anàlegs.

Aranya per a una xarxa o node central d'una xarxa distribuïda

Explicacions de la taula 1:

*1: cal llicència

*2: Provisió de baix contacte: l'administrador primer ha de configurar el dispositiu localment abans de ZTP.

*3: Basat en sessió: DPS només s'aplicarà a una sessió nova; no afectarà la sessió actual.

Com podeu veure, els anàlegs estan posant-se al dia amb l'heroi de la nostra revisió d'alguna manera, per exemple, Fortinet FG-100E també té una optimització WAN integrada i Meraki MX100 té una AutoVPN (de lloc a lloc) integrada. funció, però en general, ZyWALL VPN1000 és inequívocament al capdavant.

Directrius per triar dispositius per al lloc central (no només Zyxel)

En triar dispositius per organitzar un node central d'una xarxa extensa amb moltes branques, cal centrar-se en una sèrie de paràmetres: capacitats tècniques, facilitat de gestió, seguretat i tolerància a errors.

Una àmplia gamma de funcions, un gran nombre de ports físics amb possibilitat de configuració flexible: WAN, LAN, DMZ i la presència d'altres funcions agradables, com ara un controlador de gestió de punts d'accés, permeten tancar moltes tasques alhora.

La disponibilitat de documentació i una interfície de gestió còmoda té un paper important.

Amb coses tan aparentment senzilles a la mà, no és tan difícil crear infraestructures de xarxa que capturen diversos llocs i ubicacions, i l'ús del núvol SD-WAN us permet fer-ho de la manera més flexible i segura possible.

links útils

Anàlisi del mercat SD-WAN: quines solucions existeixen i qui les necessita

Zyxel Device HA Pro millora la resistència de la xarxa

Ús de la funció GeoIP a les passarel·les de seguretat de la sèrie ATP/VPN/Zywall/USG

Què quedarà a la sala de servidors?

Dos en un o migrar un controlador de punt d'accés a una passarel·la

Xat de Telegram Zyxel per a especialistes

Font: www.habr.com

Afegeix comentari