Hvad skal du kigge efter, når du vælger en VPN-router til et distribueret netværk? Og hvilke funktioner skal den have? Dette er, hvad vores anmeldelse af ZyWALL VPN1000 er dedikeret til.
Indledning
Før dette var de fleste af vores publikationer viet til junior VPN-enheder til at få adgang til netværket fra perifere faciliteter. For eksempel at forbinde forskellige filialer med hovedkvarteret, adgang til netværket af små uafhængige virksomheder eller endda private huse. Det er tid til at tale om den centrale knude for et distribueret netværk.
Det er klart, at det ikke vil fungere at bygge et moderne netværk af en stor virksomhed kun på basis af enheder i økonomiklasse. Og organiser en cloud-tjeneste for at levere tjenester til forbrugerne – også. Et eller andet sted skal der installeres udstyr, der kan betjene et stort antal kunder på samme tid. Denne gang vil vi tale om en sådan enhed - Zyxel VPN1000.
For både store og små deltagere i netværksudvekslingen kan der skelnes mellem kriterier, hvorved en bestemt enheds egnethed til at løse et problem vurderes.
Nedenfor er de vigtigste:
- tekniske og funktionelle muligheder;
- styring;
- sikkerhed;
- fejltolerance.
Det er svært at skelne mellem, hvad der er vigtigere, og hvad man kan undvære. Alt er nødvendigt. Hvis enheden ifølge et eller andet kriterium ikke når niveauet af kravene, er dette fyldt med problemer i fremtiden.
Visse funktioner i enheder designet til at sikre driften af centrale knudepunkter og udstyr, der hovedsageligt opererer i periferien, kan dog variere betydeligt.
For den centrale knude kommer computerkraft først - dette fører til tvungen køling og derfor blæserstøj. For ydre enheder, som normalt findes i kontorer og boligområder, er støjende drift næsten uacceptabel.
Et andet interessant punkt er fordelingen af havne. I perifere enheder er det mere eller mindre klart, hvordan det vil blive brugt, og hvor mange klienter der bliver tilsluttet. Derfor kan du indstille hård partitionering af porte på WAN, LAN, DMZ, udføre en hård binding til protokollen og så videre. Der er ingen sådan sikkerhed i den centrale knude. For eksempel tilføjede de et nyt netværkssegment, der kræver forbindelse gennem sit eget interface – og hvordan gør man det? Dette kræver en mere universel løsning med mulighed for fleksibelt at konfigurere grænseflader.
En vigtig nuance er enhedens mætning med forskellige funktioner. Selvfølgelig er der fordele ved at have ét stykke udstyr til at udføre et enkelt arbejde godt. Men den mest interessante situation begynder, når du skal tage et skridt til venstre, et skridt til højre. Selvfølgelig kan du desuden købe en anden målenhed for hver ny opgave. Og så videre, indtil budgettet eller reolpladsen løber tør.
I modsætning hertil giver et udvidet sæt funktioner dig mulighed for at klare dig med én enhed, når du løser flere problemer. For eksempel understøtter ZyWALL VPN1000 flere typer VPN-forbindelser, herunder SSL og IPsec VPN, samt fjernforbindelser til medarbejdere. Det vil sige, et "stykke jern" lukker problemerne med både inter-site og klientforbindelser. Men der er et "men". For at dette skal virke, skal du have en margin for ydeevne. For eksempel, i tilfældet med ZyWALL VPN1000, giver IPsec VPN-hardwarekernen høj VPN-tunnelydelse, mens VPN-balancering/redundans med SHA-2 og IKEv2-algoritmer sikrer høj pålidelighed og forretningssikkerhed.
Nedenfor er anført nogle nyttige funktioner, der dækker en eller flere af de anvisninger, der er beskrevet ovenfor.
SD-WAN giver en platform til cloud-administration, der drager fordel af centraliseret styring af kommunikation mellem websteder med mulighed for at fjernstyre og overvåge. ZyWALL VPN1000 understøtter også den passende driftstilstand, hvor avancerede VPN-funktioner er påkrævet.
Support til cloud-platforme til kritiske tjenester. ZyWALL VPN1000 er valideret til brug med Microsoft Azure og AWS. Brugen af prævaliderede enheder er at foretrække for ethvert organisationsniveau, især hvis it-infrastrukturen bruger en kombination af lokalt netværk og cloud.
Indholdsfiltrering øger sikkerheden ved at blokere adgangen til ondsindede eller uønskede websteder. Forhindrer malware i at blive downloadet fra ikke-pålidelige eller hackede websteder. I tilfældet med ZyWALL VPN1000 er en årlig licens til denne service straks inkluderet i pakken.
Geo politikker (GeoIP) giver dig mulighed for at spore trafik og analysere placeringen af IP-adresser, hvilket nægter adgang fra unødvendige eller potentielt farlige områder. En årlig licens til denne service er også inkluderet ved køb af enheden.
Håndtering af trådløst netværk ZyWALL VPN1000 inkluderer en trådløs netværkscontroller, der giver dig mulighed for at administrere op til 1032 adgangspunkter fra en centraliseret brugergrænseflade. Virksomheder kan implementere eller udvide et administreret Wi-Fi-netværk med minimal indsats. Det er værd at bemærke, at tallet 1032 er virkelig meget. Baseret på det faktum, at op til 10 brugere kan oprette forbindelse til ét adgangspunkt, opnås et ret imponerende tal.
Balancering og redundans. VPN-serien understøtter belastningsbalancering og redundans på tværs af flere eksterne grænseflader. Det vil sige, at du kan forbinde flere kanaler fra flere udbydere og derved beskytte dig mod kommunikationsproblemer.
Mulighed for enhedsredundans (enhed HA) for en non-stop forbindelse, selv når en af enhederne svigter. Det er svært at undvære det, hvis du skal organisere arbejdet 24/7 med minimal nedetid.
Zyxel Device HA Pro er inde aktiv/passiv, hvilket ikke kræver en kompliceret opsætningsprocedure. Dette giver dig mulighed for at sænke adgangstærsklen og straks begynde at bruge reservationen. I modsætning til aktiv/aktivnår en systemadministrator skal gennemgå yderligere træning, kunne konfigurere dynamisk routing, forstå hvad asymmetriske pakker er osv. - tilstandsindstilling aktiv/passiv meget nemmere og mindre tidskrævende.
Når du bruger Zyxel Device HA Pro, udveksler enheder signaler hjerteslag gennem en dedikeret port. Aktive og passive enhedsporte til hjerteslag tilsluttet via et Ethernet-kabel. Den passive enhed synkroniserer fuldstændig information med den aktive enhed. Især alle sessioner, tunneler, brugerkonti er synkroniseret mellem enheder. Derudover opbevarer den passive enhed en sikkerhedskopi af konfigurationsfilen, hvis den aktive enhed fejler. I tilfælde af en fejl i hovedenheden er overgangen således problemfri.
Det skal bemærkes, at i aktive systemer/ aktiv du skal stadig reservere 20-25 % af systemressourcerne til failover. På aktiv/passiv én enhed er helt i standbytilstand og er klar til straks at behandle netværkstrafik og opretholde normal netværksdrift.
Enkelt sagt: “Når du bruger Zyxel Device HA Pro og har en backup-kanal, er virksomheden beskyttet både mod tab af kommunikation på grund af udbyderens fejl og mod problemer som følge af en routerfejl.
Opsummerer alt ovenstående
For den centrale knude i et distribueret netværk er det bedre at bruge en enhed med en vis forsyning af porte (forbindelsesgrænseflader). Samtidig er det ønskeligt at have både RJ45 interfaces for enkelhed og billighed i forbindelse, og SFP for at vælge mellem fiberoptisk forbindelse og parsnoet.
Denne enhed skal være:
- produktiv, tilpasset til en brat ændring i belastningen;
- med en klar grænseflade;
- med et rigt, men ikke overflødigt antal indbyggede funktioner, inklusive dem, der er relateret til sikkerhed;
- med evnen til at bygge fejltolerante ordninger - duplikering af kanaler og duplikering af enheder;
- understøttende styring, således at hele den forgrenede infrastruktur i form af en central knude og perifere enheder styres fra ét punkt;
- som "creme on the cake" - understøttelse af moderne trends som integration med cloud-ressourcer og så videre.
ZyWALL VPN1000 som den centrale knude på netværket
Når du først ser på ZyWALL VPN1000, kan du se, at portene i Zyxel ikke blev sparet.
Vi har:
-
12 konfigurerbare RJ-45-porte (GBE);
-
2 konfigurerbare SFP-porte (GBE);
-
2 USB 3.0-porte med understøttelse af 3G/4G-modem.
Figur 1. Generel visning af ZyWALL VPN1000.
Det skal med det samme bemærkes, at enheden ikke er til et hjemmekontor, primært på grund af de effektive blæsere. Der er fire af dem her.
Figur 2. Bagpanel på ZyWALL VPN1000.
Lad os se, hvordan grænsefladen ser ud.
Umiddelbart er det værd at være opmærksom på en vigtig omstændighed. Der er mange funktioner, og det vil ikke være muligt at beskrive i detaljer inden for rammerne af én artikel. Men det gode ved Zyxel produkter er, at der er meget detaljeret dokumentation, først og fremmest brugermanualen (administratoren). Så for at få en idé om rigdommen af funktioner, lad os bare gå over fanerne.
Som standard er port 1 og port 2 overgivet til WAN. Fra den tredje port er der grænseflader til det lokale netværk.
Den 3. port med standard-IP 192.168.1.1 er ganske velegnet til tilslutning.
Vi forbinder patchledningen, gå til adressen og du kan se vinduet til registrering af webgrænsefladen.
Bemærk. Til administration kan du bruge SD-WAN cloud management system.
Figur 3. Vinduet til indtastning af login og adgangskode
Vi gennemgår proceduren for indtastning af login og adgangskode og får vinduet Dashboard op på skærmen. Faktisk, som det burde være for Dashboardet - maksimal driftsinformation på hvert stykke skærmplads.
Figur 4. ZyWALL VPN1000 - Dashboard.
Fanen Hurtig opsætning (guider)
Der er to assistenter i grænsefladen: til konfiguration af WAN og konfiguration af VPN. Faktisk er assistenter en god ting, de giver dig mulighed for at udføre skabelonindstillinger uden selv at have erfaring med enheden. Nå, for dem, der ønsker mere, er der som nævnt ovenfor detaljeret dokumentation.
Figur 5. Fanen Hurtig opsætning.
Fanen Overvågning
Tilsyneladende besluttede ingeniørerne fra Zyxel at følge princippet: vi overvåger alt, hvad der er muligt. Selvfølgelig, for en enhed, der fungerer som en central knude, skader total kontrol slet ikke.
Selv blot ved at udvide alle elementerne på sidebjælken, bliver rigdommen i valget indlysende.
Figur 6. Overvågningsfane med udvidede underpunkter.
Fanen Konfiguration
Her er rigdommen af funktioner endnu mere tydelig.
For eksempel er enhedsportstyringen meget flot designet.
Figur 7. Konfigurationsfane med udvidede underpunkter.
Fanen Vedligeholdelse
Indeholder underafsnit til opdatering af firmware, diagnostik, visning af routingregler og nedlukning.
Disse funktioner er af hjælpekarakter og findes på den ene eller anden måde i næsten alle netværksenheder.
Figur 8. Fanen Vedligeholdelse med udvidede underpunkter.
Sammenlignende egenskaber
Vores anmeldelse ville være ufuldstændig uden sammenligning med andre analoger.
Nedenfor er en tabel over de nærmeste analoger til ZyWALL VPN1000 og en liste over funktioner til sammenligning.
Tabel 1. Sammenligning af ZyWALL VPN1000 med analoger.
Forklaringer til tabel 1:
*1: Licens påkrævet
*2: Low Touch Provision: Administratoren skal først konfigurere enheden lokalt før ZTP.
*3: Sessionsbaseret: DPS vil kun gælde for en ny session; det vil ikke påvirke den aktuelle session.
Som du kan se, indhenter analoger helten i vores anmeldelse på nogle måder, for eksempel har Fortinet FG-100E også indbygget WAN-optimering, og Meraki MX100 har en indbygget AutoVPN (site-to-site) funktion, men generelt er ZyWALL VPN1000 utvetydigt i spidsen.
Retningslinjer for valg af enheder til det centrale websted (ikke kun Zyxel)
Når man vælger enheder til at organisere en central node i et omfattende netværk med mange grene, bør man fokusere på en række parametre: tekniske muligheder, nem administration, sikkerhed og fejltolerance.
En bred vifte af funktioner, et stort antal fysiske porte med mulighed for fleksibel konfiguration: WAN, LAN, DMZ og tilstedeværelsen af andre fine funktioner, såsom en adgangspunktstyringscontroller, giver dig mulighed for at lukke mange opgaver på én gang.
En vigtig rolle spilles af tilgængeligheden af dokumentation og en bekvem administrationsgrænseflade.
Med så tilsyneladende simple ting ved hånden er det ikke så svært at skabe netværksinfrastrukturer, der fanger forskellige steder og lokationer, og brugen af SD-WAN-skyen giver dig mulighed for at gøre dette så fleksibelt og sikkert som muligt.
Nyttige links
Kilde: www.habr.com