🥇Αράχνη Ιστού ή κεντρικός κόμβος ενός κατανεμημένου δικτύου

Τι πρέπει να προσέξετε όταν επιλέγετε έναν δρομολογητή VPN για ένα κατανεμημένο δίκτυο; Και τι λειτουργίες πρέπει να έχει; Σε αυτό είναι αφιερωμένη η κριτική μας ZyWALL VPN1000.

Εισαγωγή

Προηγουμένως, οι περισσότερες από τις δημοσιεύσεις μας ήταν αφιερωμένες σε συσκευές VPN χαμηλού επιπέδου για πρόσβαση στο δίκτυο από περιφερειακούς ιστότοπους. Για παράδειγμα, για σύνδεση διαφόρων υποκαταστημάτων με τα κεντρικά γραφεία, πρόσβαση στο Δίκτυο μικρών ανεξάρτητων εταιρειών, ή ακόμα και ιδιωτικών κατοικιών. Ήρθε η ώρα να μιλήσουμε για τον κεντρικό κόμβο για το κατανεμημένο δίκτυο.

Είναι σαφές ότι δεν θα είναι δυνατή η οικοδόμηση ενός σύγχρονου δικτύου μιας μεγάλης επιχείρησης μόνο με βάση συσκευές οικονομικής κλάσης. Και οργανώστε μια υπηρεσία cloud για την παροχή υπηρεσιών και στους καταναλωτές. Κάπου πρέπει να υπάρχει εγκατεστημένος εξοπλισμός που μπορεί να εξυπηρετήσει μεγάλο αριθμό πελατών ταυτόχρονα. Αυτή τη φορά θα μιλήσουμε για μια τέτοια συσκευή - το Zyxel VPN1000.

Τόσο για μεγάλους όσο και για μικρούς συμμετέχοντες στην ανταλλαγή δικτύου, είναι δυνατό να εντοπιστούν κριτήρια με τα οποία αξιολογείται η καταλληλότητα μιας συγκεκριμένης συσκευής για την επίλυση ενός προβλήματος.

Παρακάτω είναι τα κυριότερα:

τεχνικές και λειτουργικές δυνατότητες·
έλεγχος;
ασφάλεια ·
ανοχή σε σφάλματα.

Είναι δύσκολο να προσδιοριστεί τι είναι πιο σημαντικό και τι μπορεί να γίνει χωρίς. Όλα χρειάζονται. Εάν η συσκευή δεν πληροί τις απαιτήσεις σύμφωνα με κάποιο κριτήριο, αυτό είναι γεμάτο με προβλήματα στο μέλλον.

Ωστόσο, ορισμένα χαρακτηριστικά συσκευών που έχουν σχεδιαστεί για να διασφαλίζουν τη λειτουργία των κεντρικών μονάδων και του εξοπλισμού που λειτουργούν κυρίως στην περιφέρεια ενδέχεται να διαφέρουν σημαντικά.

Για τον κεντρικό κόμβο, η υπολογιστική ισχύς έρχεται πρώτη - αυτό οδηγεί σε εξαναγκασμένη ψύξη και, κατά συνέπεια, θόρυβο από τον ανεμιστήρα. Για περιφερειακές συσκευές, οι οποίες συνήθως βρίσκονται σε γραφεία και σπίτια, η θορυβώδης λειτουργία είναι σχεδόν απαράδεκτη.

Ένα άλλο ενδιαφέρον σημείο είναι η διανομή των λιμανιών. Στις περιφερειακές συσκευές είναι λίγο πολύ ξεκάθαρο πώς θα χρησιμοποιηθεί και πόσοι πελάτες θα συνδεθούν. Επομένως, μπορείτε να ορίσετε μια αυστηρή διαίρεση των θυρών σε WAN, LAN, DMZ, να δεσμεύσετε αυστηρά το πρωτόκολλο και ούτω καθεξής. Δεν υπάρχει τέτοια βεβαιότητα στον κεντρικό κόμβο. Για παράδειγμα, προσθέσαμε ένα νέο τμήμα δικτύου που απαιτεί σύνδεση μέσω της δικής του διεπαφής - και πώς να το κάνουμε αυτό; Αυτό απαιτεί μια πιο καθολική λύση με δυνατότητα ευέλικτης διαμόρφωσης διεπαφών.

Μια σημαντική απόχρωση είναι ότι η συσκευή είναι πλούσια σε διάφορες λειτουργίες. Φυσικά, η προσέγγιση ενός εξοπλισμού να εκτελεί καλά μια εργασία έχει τα πλεονεκτήματά της. Αλλά η πιο ενδιαφέρουσα κατάσταση ξεκινά όταν πρέπει να κάνετε ένα βήμα προς τα αριστερά, ένα βήμα προς τα δεξιά. Φυσικά, με κάθε νέα εργασία μπορείτε επιπλέον να αγοράσετε μια άλλη συσκευή-στόχο. Και ούτω καθεξής μέχρι να εξαντληθεί ο χώρος του προϋπολογισμού ή του rack.

Αντίθετα, ένα διευρυμένο σύνολο λειτουργιών σάς επιτρέπει να τα βάζετε πέρα με μία συσκευή κατά την επίλυση πολλών προβλημάτων. Για παράδειγμα, το ZyWALL VPN1000 υποστηρίζει πολλούς τύπους συνδέσεων VPN, συμπεριλαμβανομένων των SSL και IPsec VPN, καθώς και απομακρυσμένες συνδέσεις για υπαλλήλους. Δηλαδή, ένα κομμάτι υλικού καλύπτει τα ζητήματα τόσο των συνδέσεων μεταξύ τοποθεσιών όσο και των συνδέσεων πελάτη. Υπάρχει όμως ένα «αλλά». Για να λειτουργήσει αυτό, πρέπει να έχετε ένα αποθεματικό απόδοσης. Για παράδειγμα, στην περίπτωση του ZyWALL VPN1000, ο πυρήνας υλικού IPsec VPN παρέχει υψηλή απόδοση VPN σήραγγας και η εξισορρόπηση/πλεονασμός VPN με τους αλγόριθμους SHA-2 και IKEv2 παρέχει υψηλή αξιοπιστία και ασφάλεια για τις επιχειρήσεις.

Παρακάτω παρατίθενται ορισμένες χρήσιμες λειτουργίες που καλύπτουν έναν ή περισσότερους από τους τομείς που περιγράφονται παραπάνω.

SD WAN παρέχει μια πλατφόρμα διαχείρισης cloud, κερδίζοντας τα οφέλη της κεντρικής διαχείρισης των επικοινωνιών μεταξύ των τοποθεσιών με δυνατότητα απομακρυσμένου ελέγχου και παρακολούθησης. Το ZyWALL VPN1000 υποστηρίζει επίσης τον αντίστοιχο τρόπο λειτουργίας όπου απαιτούνται προηγμένες λειτουργίες VPN.

Υποστήριξη για πλατφόρμες cloud για υπηρεσίες κρίσιμες για την αποστολή. Το ZyWALL VPN1000 έχει δοκιμαστεί για χρήση με το Microsoft Azure και το AWS. Η χρήση προ-δοκιμασμένων συσκευών είναι προτιμότερη για έναν οργανισμό οποιουδήποτε επιπέδου, ειδικά εάν η υποδομή πληροφορικής χρησιμοποιεί συνδυασμό τοπικού δικτύου και cloud.

Φιλτράρισμα περιεχομένου Ενισχύει την ασφάλεια αποκλείοντας την πρόσβαση σε κακόβουλους ή ανεπιθύμητους ιστότοπους. Αποτρέπει τη λήψη κακόβουλου λογισμικού από μη αξιόπιστους ή παραβιασμένους ιστότοπους. Στην περίπτωση του ZyWALL VPN1000, μια ετήσια άδεια για αυτήν την υπηρεσία περιλαμβάνεται ήδη στο πακέτο.

Γεωπολιτική (Geo IP) σας επιτρέπουν να παρακολουθείτε την κυκλοφορία και να αναλύετε τη θέση των διευθύνσεων IP, αποκλείοντας την πρόσβαση από περιττές ή δυνητικά επικίνδυνες περιοχές. Μια ετήσια άδεια για αυτήν την υπηρεσία περιλαμβάνεται επίσης κατά την αγορά της συσκευής.

Διαχείριση ασύρματου δικτύου Το ZyWALL VPN1000 περιλαμβάνει έναν ελεγκτή ασύρματου δικτύου που σας επιτρέπει να διαχειρίζεστε έως και 1032 σημεία πρόσβασης από μια κεντρική διεπαφή χρήστη. Οι επιχειρήσεις μπορούν να αναπτύξουν ή να επεκτείνουν ένα διαχειριζόμενο δίκτυο Wi-Fi με ελάχιστη προσπάθεια. Αξίζει να σημειωθεί ότι ο αριθμός 1032 είναι πραγματικά πολύς. Με βάση τον υπολογισμό ότι έως και 10 χρήστες μπορούν να συνδεθούν σε ένα σημείο πρόσβασης, αυτός είναι ένας αρκετά εντυπωσιακός αριθμός.

Ισορροπία και πλεονασμός. Η σειρά VPN υποστηρίζει εξισορρόπηση φορτίου και πλεονασμό σε πολλαπλές εξωτερικές διεπαφές. Δηλαδή, μπορείτε να συνδέσετε πολλά κανάλια από πολλούς παρόχους, προστατεύοντας έτσι τον εαυτό σας από προβλήματα επικοινωνίας.

Δυνατότητα πλεονασμού συσκευής (Συσκευή HA) για συνεχή σύνδεση, ακόμη και όταν μια από τις συσκευές αποτύχει. Είναι δύσκολο να το κάνετε χωρίς αυτό εάν χρειάζεται να οργανώσετε την εργασία 24/7 με ελάχιστο χρόνο διακοπής λειτουργίας.

Το Zyxel Device HA Pro λειτουργεί σε ενεργητικος παθητικος, το οποίο δεν απαιτεί περίπλοκη διαδικασία εγκατάστασης. Αυτό σας επιτρέπει να μειώσετε το όριο εισόδου και να αρχίσετε αμέσως να χρησιμοποιείτε την κράτηση. Διαφορετικός ενεργός/ενεργός, όταν ο διαχειριστής του συστήματος χρειάζεται να υποβληθεί σε πρόσθετη εκπαίδευση, να μπορεί να διαμορφώσει τη δυναμική δρομολόγηση, να κατανοήσει τι είναι τα ασύμμετρα πακέτα κ.λπ. — ρύθμιση λειτουργίας ενεργητικος παθητικος Λειτουργεί πολύ πιο εύκολα και απαιτεί λιγότερο χρόνο.

Όταν χρησιμοποιείτε το Zyxel Device HA Pro, οι συσκευές ανταλλάσσουν σήματα ΧΤΥΠΟΣ καρδιας μέσω ειδικής θύρας. Ενεργές και παθητικές θύρες συσκευής για ΧΤΥΠΟΣ καρδιας συνδέεται μέσω καλωδίου Ethernet. Η παθητική συσκευή συγχρονίζει πλήρως τις πληροφορίες με την ενεργή συσκευή. Συγκεκριμένα, όλες οι περίοδοι λειτουργίας, οι σήραγγες και οι λογαριασμοί χρηστών συγχρονίζονται μεταξύ συσκευών. Επιπλέον, η παθητική συσκευή διατηρεί ένα αντίγραφο ασφαλείας του αρχείου διαμόρφωσης σε περίπτωση που η ενεργή συσκευή αποτύχει. Αυτό εξασφαλίζει μια απρόσκοπτη μετάβαση σε περίπτωση βλάβης της κύριας συσκευής.

Αξίζει να σημειωθεί ότι στα ενεργά συστήματα/ ενεργή πρέπει ακόμα να κρατήσετε 20-25% των πόρων του συστήματος για ανακατεύθυνση. Στο ενεργητικος παθητικος μία συσκευή βρίσκεται εξ ολοκλήρου σε κατάσταση αναμονής και είναι έτοιμη να επεξεργαστεί αμέσως την κυκλοφορία του δικτύου και να διατηρήσει την κανονική λειτουργία του δικτύου.

Με απλά λόγια: «Όταν χρησιμοποιείτε το Zyxel Device HA Pro και έχετε εφεδρικό κανάλι, η επιχείρηση προστατεύεται τόσο από απώλεια επικοινωνίας λόγω υπαιτιότητας του παρόχου όσο και από προβλήματα που προκύπτουν από την αστοχία του δρομολογητή.

Συνοψίζοντας όλα τα παραπάνω

Για τον κεντρικό κόμβο ενός κατανεμημένου δικτύου, είναι καλύτερο να χρησιμοποιήσετε μια συσκευή με μια συγκεκριμένη παροχή θυρών (διεπαφές σύνδεσης). Σε αυτήν την περίπτωση, είναι επιθυμητό να υπάρχουν και οι δύο διεπαφές RJ45 για απλότητα και οικονομική σύνδεση, και SFP για επιλογή μεταξύ σύνδεσης οπτικών ινών και συνεστραμμένου ζεύγους.

Αυτή η συσκευή πρέπει να είναι:

παραγωγικό, προσαρμοσμένο σε ξαφνικές αλλαγές στο φορτίο.
με μια σαφή διεπαφή?
με πλούσιο, αλλά όχι υπερβολικό αριθμό ενσωματωμένων λειτουργιών, συμπεριλαμβανομένων εκείνων που σχετίζονται με την ασφάλεια.
με δυνατότητα κατασκευής κυκλωμάτων ανοχής σε σφάλματα - αντιγραφή καναλιών και αντιγραφή συσκευών.
υποστήριξη της διαχείρισης έτσι ώστε ολόκληρη η διακλαδισμένη υποδομή με τη μορφή κεντρικού κόμβου και περιφερειακών συσκευών να μπορεί να διαχειρίζεται από ένα σημείο·
ως "cherry on the cake" - υποστήριξη για σύγχρονες τάσεις, όπως η ενσωμάτωση με πόρους cloud και ούτω καθεξής.

Το ZyWALL VPN1000 ως κεντρικός κόμβος του δικτύου

Με την πρώτη ματιά στο ZyWALL VPN1000, είναι σαφές ότι η Zyxel δεν φύλαξε θύρες.

Εχουμε:

12 ρυθμιζόμενες θύρες RJ‑45 (GBE).
2 ρυθμιζόμενες θύρες SFP (GBE).
2 θύρες USB 3.0 με υποστήριξη για μόντεμ 3G/4G.

Εικόνα 1. Γενική άποψη του ZyWALL VPN1000.

Θα πρέπει να σημειωθεί αμέσως ότι η συσκευή δεν είναι για οικιακό γραφείο, κυρίως λόγω των ισχυρών ανεμιστήρων. Υπάρχουν τέσσερις από αυτούς εδώ.

Εικόνα 2. Πίσω πίνακας ZyWALL VPN1000.

Ας δούμε πώς μοιάζει η διεπαφή.

Θα πρέπει να δώσετε αμέσως προσοχή σε μια σημαντική περίσταση. Υπάρχουν πολλές λειτουργίες και δεν θα είναι δυνατό να τις περιγράψουμε λεπτομερώς σε ένα άρθρο. Αλλά αυτό που είναι καλό για τα προϊόντα Zyxel είναι ότι υπάρχει πολύ λεπτομερής τεκμηρίωση, πρώτα απ 'όλα, το εγχειρίδιο χρήστη (διαχειριστής). Επομένως, για να πάρετε μια ιδέα του πλούτου των λειτουργιών, ας περάσουμε απλώς από τις καρτέλες.

Από προεπιλογή, η θύρα 1 και η θύρα 2 έχουν εκχωρηθεί στο WAN. Ξεκινώντας από την τρίτη θύρα υπάρχουν διεπαφές για το τοπικό δίκτυο.

Η 3η θύρα με προεπιλεγμένη IP 192.168.1.1 είναι αρκετά κατάλληλη για σύνδεση.

Συνδέουμε το patchcord, πηγαίνουμε στη διεύθυνση https://192.168.1.1 και μπορείτε να παρατηρήσετε το παράθυρο εγγραφής χρήστη της διεπαφής ιστού.

Σημείωση. Για διαχείριση, μπορείτε να χρησιμοποιήσετε το σύστημα διαχείρισης cloud SD-WAN.

Εικόνα 3. Παράθυρο για εισαγωγή στοιχείων σύνδεσης και κωδικού πρόσβασης

Περνάμε τη διαδικασία εισαγωγής του login και του κωδικού πρόσβασης και βγάζουμε το παράθυρο Dashboard στην οθόνη. Στην πραγματικότητα, όπως θα έπρεπε για ένα Ταμπλό - μέγιστες λειτουργικές πληροφορίες σε κάθε κομμάτι του χώρου της οθόνης.

Εικόνα 4. ZyWALL VPN1000 - Ταμπλό.

Καρτέλα γρήγορης ρύθμισης (Οδηγοί)

Υπάρχουν δύο βοηθοί στη διεπαφή: για τη ρύθμιση ενός WAN και τη ρύθμιση ενός VPN. Στην πραγματικότητα, οι βοηθοί είναι καλό πράγμα· σας επιτρέπουν να εκτελείτε ρυθμίσεις προτύπου ακόμη και χωρίς να έχετε εμπειρία εργασίας με τη συσκευή. Λοιπόν, για όσους θέλουν περισσότερα, όπως προαναφέρθηκε, υπάρχει αναλυτική τεκμηρίωση.

Εικόνα 5. Καρτέλα Quick Setup.

Καρτέλα παρακολούθησης

Προφανώς, οι μηχανικοί της Zyxel αποφάσισαν να ακολουθήσουν την αρχή: παρακολουθούμε ό,τι μπορούμε. Φυσικά, για μια συσκευή που λειτουργεί ως κεντρικός κόμβος, ο απόλυτος έλεγχος δεν θα βλάψει καθόλου.

Ακόμη και μόλις επεκτείνετε όλα τα στοιχεία στην πλαϊνή γραμμή, ο πλούτος των επιλογών γίνεται προφανής.

Εικόνα 6. Καρτέλα παρακολούθησης με διευρυμένα υποστοιχεία.

Καρτέλα διαμόρφωσης

Εδώ ο πλούτος των λειτουργιών είναι ακόμη πιο εμφανής.

Για παράδειγμα, η διαχείριση της θύρας της συσκευής είναι πολύ όμορφα σχεδιασμένη.

Εικόνα 7. Καρτέλα διαμόρφωσης με διευρυμένα υποστοιχεία.

Καρτέλα Συντήρηση

Περιέχει υποενότητες για ενημέρωση υλικολογισμικού, διαγνωστικά, προβολή κανόνων δρομολόγησης και τερματισμό λειτουργίας.

Αυτές οι λειτουργίες είναι βοηθητικής φύσης και υπάρχουν στον ένα ή τον άλλο βαθμό σχεδόν σε κάθε συσκευή δικτύου.

Εικόνα 8. Καρτέλα Συντήρηση με διευρυμένα υποστοιχεία.

Συγκριτικά χαρακτηριστικά

Η αναθεώρησή μας θα ήταν ελλιπής χωρίς σύγκριση με άλλα ανάλογα.

Παρακάτω είναι ένας πίνακας αναλόγων που βρίσκονται πιο κοντά στο ZyWALL VPN1000 και μια λίστα λειτουργιών για σύγκριση.

Πίνακας 1. Σύγκριση του ZyWALL VPN1000 με ανάλογα.

Επεξηγήσεις για τον Πίνακα 1:

*1: Απαιτείται άδεια

*2: Παροχή χαμηλής αφής: Ο διαχειριστής πρέπει πρώτα να διαμορφώσει τη συσκευή τοπικά πριν από το ZTP.

*3: Βασισμένη σε περίοδο σύνδεσης: Το DPS θα ισχύει μόνο για νέα περίοδο λειτουργίας. αυτό δεν θα επηρεάσει την τρέχουσα συνεδρία.

Όπως μπορείτε να δείτε, κατά κάποιο τρόπο τα ανάλογα αγγίζουν τον ήρωα της κριτικής μας, για παράδειγμα, το Fortinet FG‑100E έχει επίσης ενσωματωμένη βελτιστοποίηση WAN και το Meraki MX100 έχει ενσωματωμένο AutoVPN (site-to -site), αλλά σε γενικές γραμμές, το ZyWALL VPN1000 είναι ξεκάθαρο ως προς το ολοκληρωμένο σύνολο λειτουργιών του πρωτοστατεί.

Συστάσεις κατά την επιλογή συσκευών για τον κεντρικό κόμβο (όχι μόνο το Zyxel)

Όταν επιλέγετε συσκευές για την οργάνωση του κεντρικού κόμβου ενός εκτεταμένου δικτύου με πολλούς κλάδους, θα πρέπει να εστιάσετε σε ορισμένες παραμέτρους: τεχνικές δυνατότητες, ευκολία διαχείρισης, ασφάλεια και ανοχή σφαλμάτων.

Ένα ευρύ φάσμα λειτουργιών, ένας μεγάλος αριθμός φυσικών θυρών με ευέλικτη διαμόρφωση: WAN, LAN, DMZ και η παρουσία άλλων ωραίων λειτουργιών, όπως ένας ελεγκτής διαχείρισης σημείου πρόσβασης, σας επιτρέπουν να ολοκληρώσετε πολλές εργασίες ταυτόχρονα.

Σημαντικό ρόλο παίζει η διαθεσιμότητα τεκμηρίωσης και μια βολική διεπαφή διαχείρισης.

Έχοντας τόσο φαινομενικά απλά πράγματα στη διάθεσή σας, δεν είναι τόσο δύσκολο να δημιουργήσετε υποδομές δικτύου που εκτείνονται σε διάφορους ιστότοπους και τοποθεσίες και η χρήση του cloud SD-WAN σας επιτρέπει να το κάνετε αυτό με μέγιστη ευελιξία και ασφάλεια.