Worauf ist bei der Auswahl eines VPN-Routers für ein verteiltes Netzwerk zu achten? Und welche Funktionen soll es haben? Genau diesem Thema widmen wir uns in unserem ZyWALL VPN1000-Test.
Einführung
Zuvor befassten sich die meisten unserer Veröffentlichungen mit Low-End-VPN-Geräten für den Netzwerkzugriff von peripheren Standorten aus. Zum Beispiel um verschiedene Filialen mit der Zentrale zu verbinden, Zugriff auf das Netzwerk kleiner unabhängiger Unternehmen oder auch Privathäuser zu erhalten. Es ist Zeit, über den zentralen Knoten für das verteilte Netzwerk zu sprechen.
Es ist klar, dass es nicht möglich sein wird, ein modernes Netzwerk eines großen Unternehmens nur auf der Basis von Geräten der Economy-Klasse aufzubauen. Und organisieren Sie einen Cloud-Dienst, um auch Verbrauchern Dienste bereitzustellen. Irgendwo müssen Geräte installiert sein, die eine große Anzahl von Kunden gleichzeitig bedienen können. Dieses Mal werden wir über ein solches Gerät sprechen – Zyxel VPN1000.
Sowohl für große als auch für kleine Teilnehmer am Netzwerkaustausch lassen sich Kriterien identifizieren, anhand derer die Eignung eines bestimmten Geräts zur Lösung eines Problems beurteilt wird.
Nachfolgend sind die wichtigsten aufgeführt:
- technische und funktionale Fähigkeiten;
- Management;
- Sicherheit;
- Fehlertoleranz.
Es ist schwierig zu bestimmen, was wichtiger ist und worauf verzichtet werden kann. Alles wird benötigt. Wenn das Gerät die Anforderungen nach einem Kriterium nicht erfüllt, ist dies in Zukunft mit Problemen behaftet.
Allerdings können sich bestimmte Merkmale von Geräten, die den Betrieb von Zentraleinheiten und Geräten, die hauptsächlich an der Peripherie arbeiten, gewährleisten, erheblich unterscheiden.
Für den zentralen Knoten steht die Rechenleistung an erster Stelle – dies führt zu einer Zwangskühlung und damit zu Geräuschen durch den Lüfter. Bei Peripheriegeräten, die typischerweise in Büros und Privathaushalten stehen, ist ein lauter Betrieb nahezu inakzeptabel.
Ein weiterer interessanter Punkt ist die Verteilung der Ports. Bei Peripheriegeräten ist mehr oder weniger klar, wie sie genutzt werden und wie viele Clients angeschlossen werden. Daher können Sie eine strikte Aufteilung der Ports in WAN, LAN, DMZ festlegen, eine strikte Bindung an das Protokoll usw. festlegen. Am zentralen Knotenpunkt gibt es diese Gewissheit nicht. Wir haben beispielsweise ein neues Netzwerksegment hinzugefügt, das eine Verbindung über eine eigene Schnittstelle erfordert – und wie geht das? Dies erfordert eine universellere Lösung mit der Möglichkeit, Schnittstellen flexibel zu konfigurieren.
Eine wichtige Nuance ist, dass das Gerät reich an verschiedenen Funktionen ist. Natürlich hat der Ansatz, ein einziges Gerät eine einzelne Aufgabe gut ausführen zu lassen, seine Vorteile. Die interessanteste Situation beginnt jedoch, wenn Sie einen Schritt nach links oder nach rechts machen müssen. Natürlich können Sie bei jeder neuen Aufgabe zusätzlich ein weiteres Zielgerät kaufen. Und so weiter, bis das Budget oder der Platz im Rack erschöpft ist.
Im Gegensatz dazu ermöglicht ein erweiterter Funktionsumfang, dass Sie bei der Lösung mehrerer Probleme mit einem Gerät auskommen. Beispielsweise unterstützt der ZyWALL VPN1000 mehrere Arten von VPN-Verbindungen, einschließlich SSL- und IPsec-VPN, sowie Remote-Verbindungen für Mitarbeiter. Das heißt, eine Hardware deckt die Probleme sowohl standortübergreifender als auch Client-Verbindungen ab. Aber es gibt ein „aber“. Damit dies funktioniert, ist eine Leistungsreserve erforderlich. Im Fall des ZyWALL VPN1000 beispielsweise sorgt der IPsec-VPN-Hardwarekern für eine hohe VPN-Tunnelleistung, und VPN-Balancing/Redundanz mit SHA-2- und IKEv2-Algorithmen sorgt für hohe Zuverlässigkeit und Sicherheit für Unternehmen.
Nachfolgend sind einige nützliche Funktionen aufgeführt, die einen oder mehrere der oben beschriebenen Bereiche abdecken.
SD-WAN Bietet eine Plattform für das Cloud-Management und profitiert von den Vorteilen einer zentralisierten Verwaltung der Kommunikation zwischen Standorten sowie der Möglichkeit zur Fernsteuerung und -überwachung. ZyWALL VPN1000 unterstützt auch den entsprechenden Betriebsmodus, wenn erweiterte VPN-Funktionen erforderlich sind.
Unterstützung für Cloud-Plattformen für geschäftskritische Dienste. ZyWALL VPN1000 ist für die Verwendung mit Microsoft Azure und AWS getestet. Der Einsatz vorab getesteter Geräte ist für Organisationen jeder Ebene vorzuziehen, insbesondere wenn die IT-Infrastruktur eine Kombination aus lokalem Netzwerk und Cloud nutzt.
Inhaltsfilterung Erhöht die Sicherheit, indem der Zugriff auf bösartige oder unerwünschte Websites blockiert wird. Verhindert, dass Malware von nicht vertrauenswürdigen oder gehackten Websites heruntergeladen wird. Bei ZyWALL VPN1000 ist eine Jahreslizenz für diesen Dienst bereits im Paket enthalten.
Geopolitik (Geo-IP) ermöglichen es Ihnen, den Datenverkehr zu überwachen und den Standort von IP-Adressen zu analysieren und so den Zugriff aus unnötigen oder potenziell gefährlichen Regionen zu verweigern. Beim Kauf des Geräts ist auch eine Jahreslizenz für diesen Service enthalten.
Drahtloses Netzwerkmanagement Der ZyWALL VPN1000 verfügt über einen Wireless-Netzwerk-Controller, mit dem Sie bis zu 1032 Zugangspunkte über eine zentrale Benutzeroberfläche verwalten können. Unternehmen können mit minimalem Aufwand ein verwaltetes Wi-Fi-Netzwerk bereitstellen oder erweitern. Es ist erwähnenswert, dass die Zahl 1032 wirklich viel ist. Basierend auf der Berechnung, dass sich bis zu 10 Benutzer mit einem Zugangspunkt verbinden können, ist dies eine ziemlich beeindruckende Zahl.
Ausbalancierung und Redundanz. Die VPN-Serie unterstützt Lastausgleich und Redundanz über mehrere externe Schnittstellen hinweg. Das heißt, Sie können mehrere Kanäle mehrerer Anbieter verbinden und sich so vor Kommunikationsproblemen schützen.
Möglichkeit der Geräteredundanz (Device HA) für eine unterbrechungsfreie Verbindung, auch wenn eines der Geräte ausfällt. Darauf kann man nur schwer verzichten, wenn man die Arbeit rund um die Uhr mit minimalen Ausfallzeiten organisieren muss.
Zyxel Device HA Pro funktioniert in aktiv passiv, was keinen komplexen Einrichtungsvorgang erfordert. Dadurch können Sie die Eintrittsschwelle senken und die Reservierung sofort nutzen. Im Gegensatz zu aktiv/aktiv, wenn der Systemadministrator zusätzliche Schulungen absolvieren muss, in der Lage sein muss, dynamisches Routing zu konfigurieren, zu verstehen, was asymmetrische Pakete sind usw. - Modus-Einstellung aktiv passiv Es funktioniert viel einfacher und erfordert weniger Zeit.
Bei Verwendung von Zyxel Device HA Pro tauschen Geräte Signale aus Herzschlag über einen dedizierten Port. Aktive und passive Geräteanschlüsse für Herzschlag über ein Ethernet-Kabel verbunden. Das passive Gerät synchronisiert die Informationen vollständig mit dem aktiven Gerät. Insbesondere werden alle Sitzungen, Tunnel und Benutzerkonten zwischen Geräten synchronisiert. Darüber hinaus verwaltet das passive Gerät eine Sicherungskopie der Konfigurationsdatei für den Fall, dass das aktive Gerät ausfällt. Dies gewährleistet einen nahtlosen Übergang im Falle eines Ausfalls des Primärgeräts.
Es ist erwähnenswert, dass dies in aktiven Systemen der Fall ist/aktiv Sie müssen immer noch 20–25 % der Systemressourcen für den Failover reservieren. Bei aktiv passiv Ein Gerät befindet sich vollständig im Standby-Zustand und ist bereit, den Netzwerkverkehr sofort zu verarbeiten und den normalen Netzwerkbetrieb aufrechtzuerhalten.
Vereinfacht ausgedrückt: „Bei Verwendung des Zyxel Device HA Pro und einem Backup-Kanal ist das Unternehmen sowohl vor Kommunikationsverlusten durch Verschulden des Anbieters als auch vor Problemen durch den Ausfall des Routers geschützt.“
Alles oben Genannte zusammengefasst
Für den zentralen Knoten eines verteilten Netzwerks ist es besser, ein Gerät mit einem bestimmten Angebot an Ports (Verbindungsschnittstellen) zu verwenden. In diesem Fall ist es wünschenswert, sowohl RJ45-Schnittstellen für eine einfache und kostengünstige Verbindung als auch SFP für die Wahl zwischen einer Glasfaserverbindung und einer Twisted-Pair-Verbindung zu haben.
Dieses Gerät muss sein:
- produktiv, an plötzliche Laständerungen angepasst;
- mit einer übersichtlichen Oberfläche;
- mit einer reichhaltigen, aber nicht übermäßigen Anzahl integrierter Funktionen, einschließlich solcher im Zusammenhang mit der Sicherheit;
- mit der Fähigkeit, fehlertolerante Schaltkreise aufzubauen – Kanalduplizierung und Geräteduplizierung;
- Unterstützung des Managements, sodass die gesamte verzweigte Infrastruktur in Form eines zentralen Knotens und Peripheriegeräten von einem Punkt aus verwaltet werden kann;
- Als „Tüpfelchen auf dem Kuchen“ ist die Unterstützung moderner Trends wie der Integration mit Cloud-Ressourcen usw.
ZyWALL VPN1000 als zentraler Knoten des Netzwerks
Beim ersten Blick auf die ZyWALL VPN1000 wird deutlich, dass Zyxel nicht an Ports gespart hat.
Wir haben:
-
12 konfigurierbare RJ-45 (GBE)-Ports;
-
2 konfigurierbare SFP-Ports (GBE);
-
2 USB 3.0-Anschlüsse mit Unterstützung für 3G/4G-Modems.
Abbildung 1. Gesamtansicht von ZyWALL VPN1000.
Es sei gleich darauf hingewiesen, dass das Gerät nicht für das Homeoffice geeignet ist, vor allem aufgrund der leistungsstarken Lüfter. Vier davon gibt es hier.
Abbildung 2. Rückseite des ZyWALL VPN1000.
Mal sehen, wie die Schnittstelle aussieht.
Sie sollten sofort auf einen wichtigen Umstand achten. Es gibt viele Funktionen und es wird nicht möglich sein, sie in einem Artikel im Detail zu beschreiben. Das Gute an Zyxel-Produkten ist jedoch, dass es eine sehr detaillierte Dokumentation gibt, allen voran das Benutzer-(Administrator-)Handbuch. Um einen Eindruck von der Fülle an Funktionen zu bekommen, gehen wir daher einfach einmal durch die Reiter.
Standardmäßig sind Port 1 und Port 2 dem WAN zugewiesen. Ab dem dritten Port stehen Schnittstellen für das lokale Netzwerk zur Verfügung.
Der 3. Port mit der Standard-IP 192.168.1.1 ist für die Verbindung durchaus geeignet.
Wir schließen das Patchkabel an, gehen zur Adresse und Sie können das Benutzerregistrierungsfenster der Weboberfläche beobachten.
Beachten. Zur Verwaltung können Sie das SD-WAN Cloud-Management-System nutzen.
Abbildung 3. Fenster zur Eingabe von Login und Passwort
Wir durchlaufen den Vorgang der Eingabe von Login und Passwort und erhalten das Dashboard-Fenster auf dem Bildschirm. Eigentlich wie es sich für ein Dashboard gehört – maximale Betriebsinformationen auf jeder Bildschirmfläche.
Abbildung 4. ZyWALL VPN1000 – Dashboard.
Registerkarte „Schnelleinrichtung“ (Assistenten)
In der Oberfläche gibt es zwei Assistenten: zum Einrichten eines WAN und zum Einrichten eines VPN. Tatsächlich sind Assistenten eine gute Sache, sie ermöglichen es, Vorlageneinstellungen auch ohne Erfahrung im Umgang mit dem Gerät vorzunehmen. Nun, für diejenigen, die mehr wollen, gibt es, wie oben erwähnt, eine ausführliche Dokumentation.
Abbildung 5. Registerkarte „Schnelleinrichtung“.
Registerkarte „Überwachung“.
Offenbar haben sich die Ingenieure von Zyxel für den Grundsatz entschieden: Wir überwachen alles, was wir können. Bei einem Gerät, das als zentraler Knotenpunkt fungiert, schadet die vollständige Kontrolle natürlich überhaupt nicht.
Schon beim Erweitern aller Elemente in der Seitenleiste wird die große Auswahl deutlich.
Abbildung 6. Registerkarte „Überwachung“ mit erweiterten Unterelementen.
Registerkarte „Konfiguration“.
Hier kommt der Funktionsreichtum noch deutlicher zum Vorschein.
Sehr schön gestaltet ist beispielsweise die Geräte-Portverwaltung.
Abbildung 7. Registerkarte „Konfiguration“ mit erweiterten Unterelementen.
Registerkarte „Wartung“.
Enthält Unterabschnitte zum Aktualisieren der Firmware, zur Diagnose, zum Anzeigen von Routing-Regeln und zum Herunterfahren.
Diese Funktionen sind Hilfsfunktionen und in fast jedem Netzwerkgerät in gewissem Umfang vorhanden.
Abbildung 8. Registerkarte „Wartung“ mit erweiterten Unterelementen.
Vergleichsmerkmale
Ohne den Vergleich mit anderen Analoga wäre unsere Rezension unvollständig.
Nachfolgend finden Sie eine Tabelle der Analoga, die ZyWALL VPN1000 am nächsten kommen, sowie eine Liste der Funktionen zum Vergleich.
Tabelle 1. Vergleich von ZyWALL VPN1000 mit Analoga.
Erläuterungen zu Tabelle 1:
*1: Lizenz erforderlich
*2: Low Touch Provision: Der Administrator muss das Gerät vor ZTP zunächst lokal konfigurieren.
*3: Sitzungsbasiert: DPS gilt nur für neue Sitzungen; Dies hat keine Auswirkungen auf die aktuelle Sitzung.
Wie Sie sehen, holen die Analoga in mancher Hinsicht mit dem Helden unseres Tests auf, zum Beispiel verfügt der Fortinet FG-100E auch über eine integrierte WAN-Optimierung und der Meraki MX100 über ein integriertes AutoVPN (Site-to). -site)-Funktion, aber insgesamt liegt der ZyWALL VPN1000 in seinem umfassenden Funktionsumfang eindeutig an der Spitze.
Empfehlungen bei der Auswahl von Geräten für den zentralen Knoten (nicht nur Zyxel)
Bei der Auswahl von Geräten zur Organisation des zentralen Knotens eines umfangreichen Netzwerks mit vielen Zweigen sollten Sie sich auf eine Reihe von Parametern konzentrieren: technische Fähigkeiten, einfache Verwaltung, Sicherheit und Fehlertoleranz.
Ein großer Funktionsumfang, eine große Anzahl physischer Ports mit flexibler Konfiguration: WAN, LAN, DMZ und das Vorhandensein weiterer nützlicher Funktionen, wie zum Beispiel eines Access Point Management Controllers, ermöglichen es Ihnen, viele Aufgaben gleichzeitig zu erledigen.
Eine wichtige Rolle spielen dabei die Verfügbarkeit der Dokumentation und eine komfortable Verwaltungsoberfläche.
Wenn man so scheinbar einfache Dinge zur Hand hat, ist es gar nicht so schwierig, Netzwerkinfrastrukturen zu erstellen, die sich über verschiedene Standorte und Standorte erstrecken, und der Einsatz der SD-WAN-Cloud ermöglicht Ihnen dies mit maximaler Flexibilität und Sicherheit.
Nützliche Links
Source: habr.com