🥇Webový pavouk nebo centrální uzel distribuované sítě

Na co si dát pozor při výběru VPN routeru pro distribuovanou síť? A jaké funkce by měl mít? Tomu je věnována naše recenze ZyWALL VPN1000.

úvod

Dříve byla většina našich publikací věnována zařízením VPN nižší třídy pro přístup k síti z periferních míst. Například pro propojení různých poboček s centrálou, přístup do Sítě malých nezávislých firem nebo i soukromých domů. Je čas mluvit o centrálním uzlu pro distribuovanou síť.

Je jasné, že nebude možné vybudovat moderní síť velkého podniku pouze na základě zařízení ekonomické třídy. A také zorganizujte cloudovou službu pro poskytování služeb spotřebitelům. Někde musí být instalováno zařízení, které dokáže obsloužit velké množství klientů současně. Tentokrát si povíme něco o jednom takovém zařízení – Zyxel VPN1000.

Pro velké i malé účastníky síťové výměny je možné identifikovat kritéria, podle kterých se posuzuje vhodnost konkrétního zařízení pro řešení problému.

Níže jsou uvedeny ty hlavní:

technické a funkční schopnosti;
řízení;
bezpečnost;
odolnost proti chybám.

Je těžké určit, co je důležitější a bez čeho se lze obejít. Všechno je potřeba. Pokud zařízení nesplňuje požadavky podle nějakého kritéria, přináší to do budoucna problémy.

Některé vlastnosti zařízení určených k zajištění chodu centrálních jednotek a zařízení pracujících převážně na periferii se však mohou výrazně lišit.

U centrálního uzlu je výpočetní výkon na prvním místě - to vede k nucenému chlazení a následně k hluku z ventilátoru. U periferních zařízení, která jsou obvykle umístěna v kancelářích a domácnostech, je hlučný provoz téměř nepřijatelný.

Dalším zajímavým bodem je rozložení portů. U periferních zařízení je víceméně jasné, jak se bude používat a kolik klientů bude připojeno. Lze tedy nastavit striktní rozdělení portů na WAN, LAN, DMZ, striktně se vázat na protokol a podobně. U centrálního uzlu taková jistota není. Například jsme přidali nový segment sítě, který vyžaduje připojení přes vlastní rozhraní – a jak to udělat? To vyžaduje univerzálnější řešení s možností flexibilně konfigurovat rozhraní.

Důležitou nuancí je, že zařízení je bohaté na různé funkce. Samozřejmě, že přístup, kdy jeden kus zařízení dobře plní jeden úkol, má své výhody. Nejzajímavější situace ale začíná, když potřebujete udělat krok doleva, krok doprava. S každým novým úkolem si samozřejmě můžete navíc koupit další cílové zařízení. A tak dále, dokud nevyčerpá rozpočet nebo místo v racku.

Naproti tomu rozšířená sada funkcí vám umožňuje vystačit si s jedním zařízením při řešení několika problémů. Například ZyWALL VPN1000 podporuje více typů VPN připojení, včetně SSL a IPsec VPN, stejně jako vzdálená připojení pro zaměstnance. To znamená, že jeden kus hardwaru pokrývá problémy s připojením mezi weby a klienty. Ale je tu jedno „ale“. Aby to fungovalo, musíte mít výkonovou rezervu. Například v případě ZyWALL VPN1000 poskytuje hardwarové jádro IPsec VPN vysoký výkon VPN tunelu a vyvažování/redundance VPN s algoritmy SHA-2 a IKEv2 poskytuje vysokou spolehlivost a bezpečnost pro podnikání.

Níže jsou uvedeny některé užitečné funkce, které pokrývají jednu nebo více oblastí popsaných výše.

SD WAN poskytuje platformu pro cloud management, získává výhody centralizované správy komunikace mezi lokalitami s možností vzdáleného ovládání a monitorování. ZyWALL VPN1000 také podporuje odpovídající režim provozu, kde jsou vyžadovány pokročilé funkce VPN.

Podpora cloudových platforem pro kritické služby. ZyWALL VPN1000 je testován pro použití s Microsoft Azure a AWS. Použití předem otestovaných zařízení je vhodnější pro organizace jakékoli úrovně, zejména pokud IT infrastruktura využívá kombinaci místní sítě a cloudu.

Filtrování obsahu Posiluje zabezpečení blokováním přístupu ke škodlivým nebo nežádoucím webům. Zabraňuje stahování malwaru z nedůvěryhodných nebo napadených stránek. V případě ZyWALL VPN1000 je roční licence na tuto službu již součástí balení.

Geopolitika (geografická IP) umožňují monitorovat provoz a analyzovat umístění IP adres a odmítnout přístup z nepotřebných nebo potenciálně nebezpečných oblastí. Při nákupu zařízení je zahrnuta i roční licence na tuto službu.

Správa bezdrátové sítě ZyWALL VPN1000 obsahuje bezdrátový síťový ovladač, který vám umožní spravovat až 1032 přístupových bodů z centralizovaného uživatelského rozhraní. Podniky mohou nasadit nebo rozšířit spravovanou síť Wi-Fi s minimálním úsilím. Za zmínku stojí, že číslo 1032 je opravdu hodně. Na základě výpočtu, že k jednomu přístupovému bodu se může připojit až 10 uživatelů, jde o poměrně působivý údaj.

Vyvážení a redundance. Řada VPN podporuje vyrovnávání zátěže a redundanci napříč několika externími rozhraními. To znamená, že můžete připojit několik kanálů od několika poskytovatelů, čímž se ochráníte před problémy s komunikací.

Možnost redundance zařízení (Device HA) pro nepřetržité připojení, i když jedno ze zařízení selže. Je obtížné se bez toho obejít, pokud potřebujete organizovat práci 24/7 s minimálními prostoji.

Zařízení Zyxel HA Pro funguje v aktivní pasivní, který nevyžaduje složitou proceduru nastavení. To vám umožní snížit vstupní práh a okamžitě začít využívat rezervaci. Na rozdíl od aktivní/aktivní, když správce systému potřebuje absolvovat další školení, umět nakonfigurovat dynamické směrování, pochopit, co jsou asymetrické pakety atd. — nastavení režimu aktivní pasivní Funguje to mnohem snadněji a vyžaduje méně času.

Při používání Zyxel Device HA Pro si zařízení vyměňují signály tlukot srdce přes vyhrazený port. Aktivní a pasivní porty zařízení pro tlukot srdce připojeno přes ethernetový kabel. Pasivní zařízení zcela synchronizuje informace s aktivním zařízením. Zejména jsou mezi zařízeními synchronizovány všechny relace, tunely a uživatelské účty. Pasivní zařízení navíc uchovává záložní kopii konfiguračního souboru pro případ, že aktivní zařízení selže. To zajišťuje bezproblémový přechod v případě selhání primárního zařízení.

Stojí za zmínku, že v aktivních systémech/ aktivní stále musíte vyhradit 20-25 % systémových prostředků pro převzetí služeb při selhání. Na aktivní pasivní jedno zařízení je zcela v pohotovostním stavu a je připraveno okamžitě zpracovat síťový provoz a udržovat normální síťový provoz.

Jednoduše řečeno: „Při používání Zyxel Device HA Pro a se záložním kanálem je podnik chráněn jak před ztrátou komunikace vinou poskytovatele, tak před problémy vyplývajícími ze selhání routeru.

Shrnutí všeho výše uvedeného

Pro centrální uzel distribuované sítě je lepší použít zařízení s určitou zásobou portů (připojovacích rozhraní). V tomto případě je žádoucí mít jak rozhraní RJ45 pro jednoduchost a nákladově efektivní připojení, tak SFP pro volbu mezi optickým připojením a kroucenou dvojlinkou.

Toto zařízení musí být:

produktivní, přizpůsobený náhlým změnám zatížení;
s jasným rozhraním;
s bohatým, ale ne nadměrným počtem vestavěných funkcí, včetně těch, které se týkají bezpečnosti;
se schopností vytvářet obvody odolné proti chybám - duplikace kanálů a duplikace zařízení;
podpora řízení tak, aby celá rozvětvená infrastruktura v podobě centrálního uzlu a periferních zařízení mohla být řízena z jednoho bodu;
jako „třešnička na dortu“ – podpora moderních trendů, jako je integrace s cloudovými zdroji a tak dále.

ZyWALL VPN1000 jako centrální uzel sítě

Na první pohled na ZyWALL VPN1000 je jasné, že Zyxel porty nešetřil.

My máme:

12 konfigurovatelných portů RJ‑45 (GBE);
2 konfigurovatelné porty SFP (GBE);
2 porty USB 3.0 s podporou 3G/4G modemů.

Obrázek 1. Celkový pohled na ZyWALL VPN1000.

Hned je třeba poznamenat, že zařízení není pro domácí kancelář, a to především kvůli výkonným ventilátorům. Tady jsou čtyři.

Obrázek 2. Zadní panel ZyWALL VPN1000.

Podívejme se, jak vypadá rozhraní.

Měli byste okamžitě věnovat pozornost důležité okolnosti. Funkce je spousta a nebude možné je podrobně popsat v jednom článku. Ale na produktech Zyxel je dobré, že existuje velmi podrobná dokumentace, především uživatelská (administrátorská) příručka. Proto, abychom si udělali představu o bohatství funkcí, pojďme si projít karty.

Ve výchozím nastavení jsou porty 1 a 2 přiřazeny k síti WAN. Počínaje třetím portem jsou rozhraní pro místní síť.

3. port s výchozí IP 192.168.1.1 je docela vhodný pro připojení.

Připojíme patchcord, jdeme na adresu https://192.168.1.1 a můžete sledovat registrační okno uživatele webového rozhraní.

Poznámka. Pro správu můžete využít cloud management systému SD-WAN.

Obrázek 3. Okno pro zadání přihlašovacího jména a hesla

Projdeme procedurou zadání přihlašovacího jména a hesla a na obrazovce se zobrazí okno Dashboard. Vlastně, jak by to mělo být pro Dashboard - maximální provozní informace na každém kousku místa na obrazovce.

Obrázek 4. ZyWALL VPN1000 - Dashboard.

Karta Rychlé nastavení (Průvodci)

V rozhraní jsou dva asistenti: pro nastavení WAN a nastavení VPN. Ve skutečnosti jsou asistenti dobrá věc, umožňují vám provádět nastavení šablon i bez zkušeností s prací se zařízením. Pro ty, kteří chtějí více, jak je uvedeno výše, je k dispozici podrobná dokumentace.

Obrázek 5. Karta Rychlé nastavení.

Záložka sledování

Inženýři ze Zyxelu se zřejmě rozhodli řídit zásadou: sledujeme vše, co se dá. U zařízení, které funguje jako centrální rozbočovač, totální kontrola samozřejmě vůbec neuškodí.

I když rozbalíte všechny položky na postranním panelu, bohatství výběru se stane zřejmým.

Obrázek 6. Záložka Sledování s rozšířenými podpoložkami.

Karta Konfigurace

Zde je bohatství funkcí ještě zřetelnější.

Velmi pěkně je zpracována například správa portů zařízení.

Obrázek 7. Karta Konfigurace s rozbalenými podpoložkami.

Karta Údržba

Obsahuje podsekce pro aktualizaci firmwaru, diagnostiku, zobrazení pravidel směrování a vypnutí.

Tyto funkce mají pomocnou povahu a jsou v té či oné míře přítomny téměř v každém síťovém zařízení.

Obrázek 8. Karta Údržba s rozbalenými podpoložkami.

Srovnávací charakteristiky

Naše recenze by byla neúplná bez srovnání s jinými analogy.

Níže je uvedena tabulka analogů nejbližších ZyWALL VPN1000 a seznam funkcí pro srovnání.

Tabulka 1. Porovnání ZyWALL VPN1000 s analogy.

Vysvětlení k tabulce 1:

*1: Vyžaduje se licence

*2: Low Touch Provision: Správce musí nejprve lokálně nakonfigurovat zařízení před ZTP.

*3: Na základě relace: DPS se bude vztahovat pouze na novou relaci; to neovlivní aktuální relaci.

Jak vidíte, v některých ohledech analogy dohánějí hrdinu naší recenze, například Fortinet FG‑100E má také vestavěnou optimalizaci WAN a Meraki MX100 má vestavěnou AutoVPN (site-to -site), ale obecně je ZyWALL VPN1000 jednoznačný ve své komplexní sadě funkcí, která vede.

Doporučení při výběru zařízení pro centrální uzel (nejen Zyxel)

Při výběru zařízení pro organizaci centrálního uzlu rozsáhlé sítě s mnoha pobočkami byste se měli zaměřit na řadu parametrů: technické možnosti, snadnost správy, bezpečnost a odolnost proti chybám.

Široká škála funkcí, velké množství fyzických portů s flexibilní konfigurací: WAN, LAN, DMZ a přítomnost dalších příjemných funkcí, jako je řadič pro správu přístupových bodů, umožňuje dokončit mnoho úkolů najednou.

Důležitou roli hraje dostupnost dokumentace a pohodlné rozhraní pro správu.

S takto zdánlivě jednoduchými věcmi po ruce není tak těžké vytvořit síťové infrastruktury, které pokrývají různá místa a umístění, a využití cloudu SD-WAN vám to umožňuje s maximální flexibilitou a bezpečností.