Beth i edrych amdano wrth ddewis llwybrydd VPN ar gyfer rhwydwaith dosbarthedig? A pha swyddogaethau ddylai fod ganddo? Dyma beth mae ein hadolygiad ZyWALL VPN1000 yn ymroddedig iddo.
Cyflwyniad
Yn flaenorol, roedd y rhan fwyaf o'n cyhoeddiadau wedi'u neilltuo i ddyfeisiau VPN pen isel ar gyfer mynediad rhwydwaith o wefannau ymylol. Er enghraifft, i gysylltu gwahanol ganghennau gyda'r pencadlys, mynediad i'r Rhwydwaith o gwmnïau annibynnol bach, neu hyd yn oed tai preifat. Mae'n bryd siarad am y nod canolog ar gyfer y rhwydwaith dosbarthedig.
Mae'n amlwg na fydd yn bosibl adeiladu rhwydwaith modern o fenter fawr yn unig ar sail dyfeisiau dosbarth economi. A threfnu gwasanaeth cwmwl i ddarparu gwasanaethau i ddefnyddwyr, hefyd. Yn rhywle mae'n rhaid gosod offer a all wasanaethu nifer fawr o gleientiaid ar yr un pryd. Y tro hwn byddwn yn siarad am un ddyfais o'r fath - Zyxel VPN1000.
Ar gyfer cyfranogwyr mawr a bach mewn cyfnewid rhwydwaith, mae'n bosibl nodi meini prawf ar gyfer asesu addasrwydd dyfais benodol ar gyfer datrys problem.
Isod mae'r prif rai:
- galluoedd technegol a swyddogaethol;
- rheolaeth;
- diogelwch;
- goddefgarwch fai.
Mae'n anodd penderfynu beth sy'n bwysicach a beth y gellir ei wneud hebddo. Mae angen popeth. Os nad yw'r ddyfais yn bodloni'r gofynion yn ôl rhai maen prawf, mae hyn yn llawn problemau yn y dyfodol.
Fodd bynnag, gall rhai nodweddion dyfeisiau a gynlluniwyd i sicrhau gweithrediad unedau canolog ac offer sy'n gweithredu'n bennaf ar y cyrion amrywio'n sylweddol.
Ar gyfer y nod canolog, pŵer cyfrifiadurol sy'n dod gyntaf - mae hyn yn arwain at oeri gorfodol, ac, o ganlyniad, sŵn o'r gefnogwr. Ar gyfer dyfeisiau ymylol, sydd fel arfer wedi'u lleoli mewn swyddfeydd a chartrefi, mae gweithrediad swnllyd bron yn annerbyniol.
Pwynt diddorol arall yw dosbarthiad porthladdoedd. Mewn dyfeisiau ymylol mae'n fwy neu'n llai clir sut y bydd yn cael ei ddefnyddio a faint o gleientiaid fydd yn cael eu cysylltu. Felly, gallwch chi osod rhaniad llym o borthladdoedd yn WAN, LAN, DMZ, yn rhwym yn llym i'r protocol, ac ati. Nid oes sicrwydd o'r fath yn y canolbwynt canolog. Er enghraifft, fe wnaethom ychwanegu segment rhwydwaith newydd sy'n gofyn am gysylltiad trwy ei ryngwyneb ei hun - a sut i wneud hyn? Mae hyn yn gofyn am ateb mwy cyffredinol gyda'r gallu i ffurfweddu rhyngwynebau yn hyblyg.
Naws pwysig yw bod y ddyfais yn gyfoethog mewn amrywiol swyddogaethau. Wrth gwrs, mae manteision i'r dull o gael un darn o offer i gyflawni un dasg yn dda. Ond mae'r sefyllfa fwyaf diddorol yn dechrau pan fydd angen i chi gymryd cam i'r chwith, cam i'r dde. Wrth gwrs, gyda phob tasg newydd gallwch hefyd brynu dyfais darged arall. Ac yn y blaen nes bod y gyllideb neu'r gofod rac yn dod i ben.
Mewn cyferbyniad, mae set ehangach o swyddogaethau yn caniatáu ichi fynd heibio ag un ddyfais wrth ddatrys sawl mater. Er enghraifft, mae'r ZyWALL VPN1000 yn cefnogi sawl math o gysylltiadau VPN, gan gynnwys SSL ac IPsec VPN, yn ogystal â chysylltiadau anghysbell i weithwyr. Hynny yw, mae un darn o galedwedd yn ymdrin â materion cysylltiadau traws-safle a chleientiaid. Ond mae un “ond”. Er mwyn i hyn weithio, mae angen i chi gael cronfa berfformiad wrth gefn. Er enghraifft, yn achos y ZyWALL VPN1000, mae craidd caledwedd IPsec VPN yn darparu perfformiad twnnel VPN uchel, ac mae cydbwyso / diswyddo VPN ag algorithmau SHA-2 ac IKEv2 yn darparu dibynadwyedd a diogelwch uchel i fusnes.
Isod, rhestrir rhai nodweddion defnyddiol sy'n cwmpasu un neu fwy o'r meysydd a ddisgrifir uchod.
SD WAN yn darparu llwyfan ar gyfer rheoli cwmwl, gan ennill buddion rheolaeth ganolog o gyfathrebu rhwng safleoedd gyda'r gallu i reoli a monitro o bell. Mae ZyWALL VPN1000 hefyd yn cefnogi'r dull gweithredu cyfatebol lle mae angen swyddogaethau VPN uwch.
Cefnogaeth i lwyfannau cwmwl ar gyfer gwasanaethau sy'n hanfodol i genhadaeth. Mae ZyWALL VPN1000 yn cael ei brofi i'w ddefnyddio gyda Microsoft Azure ac AWS. Mae defnyddio dyfeisiau sydd wedi'u profi ymlaen llaw yn well ar gyfer sefydliad o unrhyw lefel, yn enwedig os yw'r seilwaith TG yn defnyddio cyfuniad o rwydwaith lleol a chwmwl.
Hidlo cynnwys Cryfhau diogelwch trwy rwystro mynediad i wefannau maleisus neu ddigroeso. Yn atal meddalwedd maleisus rhag cael ei lawrlwytho o wefannau nad ydynt yn ymddiried ynddynt neu sydd wedi'u hacio. Yn achos ZyWALL VPN1000, mae trwydded flynyddol ar gyfer y gwasanaeth hwn eisoes wedi'i gynnwys yn y pecyn.
Geo-wleidyddiaeth (Geo IP) caniatáu i chi fonitro traffig a dadansoddi lleoliad cyfeiriadau IP, gan atal mynediad o ranbarthau diangen neu a allai fod yn beryglus. Mae trwydded flynyddol ar gyfer y gwasanaeth hwn hefyd wedi'i chynnwys wrth brynu'r ddyfais.
Rheoli Rhwydwaith Di-wifr Mae'r ZyWALL VPN1000 yn cynnwys rheolydd rhwydwaith diwifr sy'n eich galluogi i reoli hyd at 1032 o bwyntiau mynediad o ryngwyneb defnyddiwr canolog. Gall mentrau ddefnyddio neu ehangu rhwydwaith Wi-Fi a reolir heb fawr o ymdrech. Mae'n werth nodi bod y rhif 1032 yn llawer iawn. Yn seiliedig ar y cyfrifiad y gall hyd at 10 defnyddiwr gysylltu ag un pwynt mynediad, mae hwn yn ffigwr eithaf trawiadol.
Cydbwyso a diswyddo. Mae'r gyfres VPN yn cefnogi cydbwyso llwythi a diswyddo ar draws sawl rhyngwyneb allanol. Hynny yw, gallwch chi gysylltu sawl sianel gan sawl darparwr, a thrwy hynny amddiffyn eich hun rhag problemau cyfathrebu.
Posibilrwydd o ddiswyddo dyfais (Dyfais HA) ar gyfer cysylltiad di-stop, hyd yn oed pan fydd un o'r dyfeisiau'n methu. Mae'n anodd gwneud heb hyn os oes angen i chi drefnu gwaith 24/7 heb fawr o amser segur.
Mae Zyxel Device HA Pro yn gweithredu yn gweithredol/goddefol, nad oes angen gweithdrefn sefydlu gymhleth arno. Mae hyn yn caniatáu ichi ostwng y trothwy mynediad a dechrau defnyddio'r archeb ar unwaith. Yn wahanol gweithredol/active, pan fydd angen i weinyddwr y system gael hyfforddiant ychwanegol, gallu ffurfweddu llwybro deinamig, deall beth yw pecynnau anghymesur, ac ati. - gosodiad modd gweithredol/goddefol Mae'n gweithio'n llawer haws ac yn gofyn am lai o amser.
Wrth ddefnyddio Zyxel Device HA Pro, mae dyfeisiau'n cyfnewid signalau caeth y galon trwy borthladd pwrpasol. Porthladdoedd dyfais gweithredol a goddefol ar gyfer caeth y galon wedi'i gysylltu trwy gebl Ethernet. Mae'r ddyfais goddefol yn cydamseru gwybodaeth yn llwyr â'r ddyfais weithredol. Yn benodol, mae pob sesiwn, twnnel, a chyfrifon defnyddwyr yn cael eu cysoni rhwng dyfeisiau. Yn ogystal, mae'r ddyfais goddefol yn cadw copi wrth gefn o'r ffeil ffurfweddu rhag ofn y bydd y ddyfais weithredol yn methu. Mae hyn yn sicrhau trosglwyddiad di-dor os bydd dyfais sylfaenol yn methu.
Mae'n werth nodi hynny mewn systemau gweithredol/gweithgar mae'n rhaid i chi gadw 20-25% o adnoddau'r system o hyd ar gyfer methiant. Yn gweithredol/goddefol mae un ddyfais yn gyfan gwbl mewn cyflwr segur, ac mae'n barod i brosesu traffig rhwydwaith ar unwaith a chynnal gweithrediad rhwydwaith arferol.
Yn syml: “Wrth ddefnyddio'r Zyxel Device HA Pro a chael sianel wrth gefn, mae'r busnes yn cael ei amddiffyn rhag colli cyfathrebu oherwydd bai'r darparwr, a rhag problemau sy'n deillio o fethiant y llwybrydd.
Crynhoi pob un o'r uchod
Ar gyfer nod canolog rhwydwaith dosbarthedig, mae'n well defnyddio dyfais gyda chyflenwad penodol o borthladdoedd (rhyngwynebau cysylltiad). Yn yr achos hwn, mae'n ddymunol cael rhyngwynebau RJ45 ar gyfer symlrwydd a chysylltiad cost-effeithiol, a SFP ar gyfer dewis rhwng cysylltiad ffibr-optig a phâr troellog.
Rhaid i'r ddyfais hon fod yn:
- cynhyrchiol, wedi'i addasu i newidiadau sydyn mewn llwyth;
- gyda rhyngwyneb clir;
- gyda nifer gyfoethog, ond nid gormodol, o swyddogaethau adeiledig, gan gynnwys y rhai sy'n ymwneud â diogelwch;
- gyda'r gallu i adeiladu cylchedau sy'n goddef fai - dyblygu sianel a dyblygu dyfeisiau;
- cefnogi rheolaeth fel y gellir rheoli'r seilwaith canghennog cyfan ar ffurf nod canolog a dyfeisiau ymylol o un pwynt;
- fel “cherry on the cake” – cefnogaeth i dueddiadau modern megis integreiddio ag adnoddau cwmwl ac ati.
ZyWALL VPN1000 fel nod canolog y rhwydwaith
Ar yr olwg gyntaf ar y ZyWALL VPN1000, mae'n amlwg na wnaeth Zyxel sbario porthladdoedd.
Mae gennym ni:
-
12 porthladd RJ-45 (GBE) ffurfweddadwy;
-
2 borthladd SFP ffurfweddadwy (GBE);
-
2 borthladd USB 3.0 gyda chefnogaeth ar gyfer modemau 3G/4G.
Ffigur 1. Golwg gyffredinol ar ZyWALL VPN1000.
Dylid nodi ar unwaith nad yw'r ddyfais ar gyfer swyddfa gartref, yn bennaf oherwydd y cefnogwyr pwerus. Mae pedwar ohonyn nhw yma.
Ffigur 2. Panel cefn ZyWALL VPN1000.
Gadewch i ni weld sut olwg sydd ar y rhyngwyneb.
Dylech dalu sylw ar unwaith i amgylchiad pwysig. Mae yna lawer o swyddogaethau, ac ni fydd yn bosibl eu disgrifio'n fanwl mewn un erthygl. Ond yr hyn sy'n dda am gynhyrchion Zyxel yw bod dogfennaeth fanwl iawn, yn gyntaf oll, y llawlyfr defnyddiwr (gweinyddwr). Felly, i gael syniad o'r cyfoeth o swyddogaethau, gadewch i ni fynd trwy'r tabiau.
Yn ddiofyn, mae porthladd 1 a phorth 2 yn cael eu neilltuo i WAN. Gan ddechrau o'r trydydd porthladd mae rhyngwynebau ar gyfer y rhwydwaith lleol.
Mae'r 3ydd porthladd gydag IP 192.168.1.1 rhagosodedig yn eithaf addas ar gyfer cysylltiad.
Rydyn ni'n cysylltu'r patchcord, ewch i'r cyfeiriad a gallwch arsylwi ffenestr gofrestru defnyddiwr y rhyngwyneb gwe.
Nodyn. Ar gyfer rheoli, gallwch ddefnyddio system rheoli cwmwl SD-WAN.
Ffigur 3. Ffenestr ar gyfer mynd i mewn mewngofnodi a chyfrinair
Rydyn ni'n mynd trwy'r drefn o fynd i mewn i'r mewngofnodi a'r cyfrinair ac yn cael ffenestr y Dangosfwrdd ar y sgrin. Mewn gwirionedd, fel y dylai fod ar gyfer Dangosfwrdd - uchafswm gwybodaeth weithredol ar bob darn o ofod sgrin.
Ffigur 4. ZyWALL VPN1000 - Dangosfwrdd.
Tab Gosod Cyflym (Dewiniaid)
Mae dau gynorthwyydd yn y rhyngwyneb: ar gyfer sefydlu WAN a sefydlu VPN. Mewn gwirionedd, mae cynorthwywyr yn beth da; maent yn caniatáu ichi berfformio gosodiadau templed hyd yn oed heb brofiad o weithio gyda'r ddyfais. Wel, i'r rhai sydd eisiau mwy, fel y soniwyd uchod, mae dogfennaeth fanwl.
Ffigur 5. tab Setup Cyflym.
Tab monitro
Yn ôl pob tebyg, penderfynodd y peirianwyr o Zyxel ddilyn yr egwyddor: rydym yn monitro popeth o fewn ein gallu. Wrth gwrs, ar gyfer dyfais sy'n gweithredu fel canolbwynt canolog, ni fydd rheolaeth lwyr yn brifo o gwbl.
Hyd yn oed dim ond ehangu'r holl eitemau ar y bar ochr, mae'r cyfoeth o ddewis yn dod yn amlwg.
Ffigur 6. Tab monitro gydag is-eitemau estynedig.
Tab ffurfweddu
Yma mae cyfoeth y swyddogaethau hyd yn oed yn fwy amlwg.
Er enghraifft, mae rheolaeth porthladd dyfeisiau wedi'i ddylunio'n dda iawn.
Ffigur 7. Tab ffurfweddu gydag is-eitemau estynedig.
Tab cynnal a chadw
Yn cynnwys is-adrannau ar gyfer diweddaru firmware, diagnosteg, gwylio rheolau llwybro a chau i lawr.
Mae'r swyddogaethau hyn o natur ategol ac yn bresennol i raddau neu'i gilydd ym mron pob dyfais rhwydwaith.
Ffigur 8. Tab cynnal a chadw gydag is-eitemau estynedig.
Nodweddion cymharol
Byddai ein hadolygiad yn anghyflawn heb ei gymharu â analogau eraill.
Isod mae tabl o analogau sydd agosaf at ZyWALL VPN1000 a rhestr o swyddogaethau i'w cymharu.
Tabl 1. Cymharu ZyWALL VPN1000 ag analogau.
Esboniadau ar gyfer Tabl 1:
*1: Angen trwydded
* 2: Darpariaeth Cyffyrddiad Isel: Yn gyntaf rhaid i'r gweinyddwr ffurfweddu'r ddyfais yn lleol cyn ZTP.
*3: Seiliedig ar sesiwn: Dim ond i sesiwn newydd y bydd DPS yn berthnasol; ni fydd hyn yn effeithio ar y sesiwn gyfredol.
Fel y gallwch weld, mewn rhai ffyrdd mae'r analogau yn dal i fyny ag arwr ein hadolygiad, er enghraifft, mae gan y Fortinet FG-100E hefyd optimeiddio WAN integredig, ac mae gan y Meraki MX100 AutoVPN adeiledig (safle-i -site), ond yn gyffredinol, mae'r ZyWALL VPN1000 yn ddiamwys yn ei set gynhwysfawr o swyddogaethau sydd ar y blaen.
Argymhellion wrth ddewis dyfeisiau ar gyfer y nod canolog (nid yn unig Zyxel)
Wrth ddewis dyfeisiau ar gyfer trefnu nod canolog rhwydwaith helaeth gyda llawer o ganghennau, dylech ganolbwyntio ar nifer o baramedrau: galluoedd technegol, rhwyddineb rheoli, diogelwch a goddefgarwch bai.
Mae ystod eang o swyddogaethau, nifer fawr o borthladdoedd corfforol gyda chyfluniad hyblyg: WAN, LAN, DMZ a phresenoldeb swyddogaethau braf eraill, megis rheolwr rheoli pwynt mynediad, yn caniatáu ichi gwblhau llawer o dasgau ar unwaith.
Mae argaeledd dogfennaeth a rhyngwyneb rheoli cyfleus yn chwarae rhan bwysig.
Gyda phethau mor syml wrth law, nid yw mor anodd creu seilweithiau rhwydwaith sy'n rhychwantu gwahanol safleoedd a lleoliadau, ac mae defnyddio cwmwl SD-WAN yn caniatáu ichi wneud hyn gyda'r hyblygrwydd a'r diogelwch mwyaf posibl.
Dolenni defnyddiol
Ffynhonnell: hab.com