🥇Reta araneo aŭ centra nodo de distribuita reto

Kion serĉi kiam vi elektas VPN-enkursigilon por distribuita reto? Kaj kiajn funkciojn ĝi havu? Jen al kio dediĉas nia recenzo de ZyWALL VPN1000.

Enkonduko

Antaŭe, la plej multaj el niaj publikaĵoj estis dediĉitaj al malsuperaj VPN-aparatoj por retaliro de ekstercentraj retejoj. Ekzemple, por konekti diversajn filiojn kun la sidejo, aliro al la Reto de malgrandaj sendependaj kompanioj, aŭ eĉ privataj domoj. Estas tempo paroli pri la centra nodo por la distribuita reto.

Estas klare, ke ne eblos konstrui modernan reton de granda entrepreno nur surbaze de ekonomiklasaj aparatoj. Kaj organizu nuban servon por provizi servojn al konsumantoj ankaŭ. Ie devas esti instalita ekipaĵo, kiu povas servi grandan nombron da klientoj samtempe. Ĉi-foje ni parolos pri unu tia aparato - Zyxel VPN1000.

Por kaj grandaj kaj malgrandaj partoprenantoj en reta interŝanĝo, estas eble identigi kriteriojn per kiuj la taŭgeco de aparta aparato por solvi problemon estas taksita.

Malsupre estas la ĉefaj:

teknikaj kaj funkciaj kapabloj;
kontrolo;
sekureco;
kulpo toleremo.

Estas malfacile determini kio estas pli grava kaj kio povas esti farita sen. Ĉio necesas. Se la aparato ne plenumas la postulojn laŭ iu kriterio, tio estas plena de problemoj en la estonteco.

Tamen certaj trajtoj de aparatoj destinitaj por certigi la funkciadon de centraj unuoj kaj ekipaĵoj funkciigantaj ĉefe sur la periferio povas signife diferenci.

Por la centra nodo, komputika potenco venas unue - tio kondukas al malvola malvarmigo, kaj, sekve, bruo de la ventumilo. Por ekstercentraj aparatoj, kiuj kutime situas en oficejoj kaj hejmoj, brua operacio estas preskaŭ neakceptebla.

Alia interesa punkto estas la distribuado de havenoj. En ekstercentraj aparatoj estas pli-malpli klare kiel ĝi estos uzata kaj kiom da klientoj estos konektitaj. Sekve, vi povas agordi striktan dividon de havenoj en WAN, LAN, DMZ, strikte ligi al la protokolo, ktp. Ne ekzistas tia certeco ĉe la centra nabo. Ekzemple, ni aldonis novan retsegmenton, kiu postulas konekton per sia propra interfaco - kaj kiel fari tion? Ĉi tio postulas pli universalan solvon kun la kapablo flekseble agordi interfacojn.

Grava nuanco estas, ke la aparato estas riĉa je diversaj funkcioj. Kompreneble, la aliro havi unu ekipaĵon plenumi ununuran taskon bone havas siajn avantaĝojn. Sed la plej interesa situacio komenciĝas kiam vi devas fari paŝon maldekstren, paŝon dekstren. Kompreneble, kun ĉiu nova tasko vi povas aldone aĉeti alian cel-aparaton. Kaj tiel plu ĝis finiĝos la buĝeto aŭ rako-spaco.

Kontraste, pligrandigita aro de funkcioj permesas vin elteni per unu aparato solvante plurajn problemojn. Ekzemple, la ZyWALL VPN1000 subtenas multoblajn specojn de VPN-konektoj, inkluzive de SSL kaj IPsec VPN, same kiel forajn ligojn por dungitoj. Tio estas, unu aparataro kovras la problemojn de ambaŭ interretejaj kaj klientkonektoj. Sed estas unu "sed". Por ke ĉi tio funkciu, vi devas havi agadrezervon. Ekzemple, en la kazo de la ZyWALL VPN1000, la IPsec VPN-hardvaro-kerno disponigas altan VPN-tunelan agadon, kaj VPN-ekvilibro/redundo kun SHA-2 kaj IKEv2-algoritmoj disponigas altan fidindecon kaj sekurecon por komerco.

Listigitaj malsupre estas kelkaj utilaj funkcioj, kiuj kovras unu aŭ pli el la supraj areoj priskribitaj.

SD WAN provizas platformon por nuba administrado, akirante la avantaĝojn de centralizita administrado de komunikadoj inter retejoj kun la kapablo malproksime kontroli kaj monitori. ZyWALL VPN1000 ankaŭ subtenas la respondan reĝimon de operacio kie altnivelaj VPN-funkcioj estas postulataj.

Subteno por nubaj platformoj por misi-kritikaj servoj. ZyWALL VPN1000 estas testita por uzo kun Microsoft Azure kaj AWS. La uzo de antaŭprovitaj aparatoj estas preferinda por organizo de ajna nivelo, precipe se la IT-infrastrukturo uzas kombinaĵon de loka reto kaj nubo.

Filtrado de enhavo Plifortigas sekurecon blokante aliron al malicaj aŭ nedezirataj retejoj. Malhelpas malware elŝuti de nefidindaj aŭ pirataj retejoj. En la kazo de ZyWALL VPN1000, jara permesilo por ĉi tiu servo jam estas inkluzivita en la pakaĵo.

Geopolitiko (Geo IP) permesas vin kontroli trafikon kaj analizi la lokon de IP-adresoj, neante aliron de nenecesaj aŭ eble danĝeraj regionoj. Ĉiujara permesilo por ĉi tiu servo ankaŭ estas inkluzivita kiam aĉetas la aparaton.

Sendrata Reto Administrado La ZyWALL VPN1000 inkluzivas sendratan retan regilon, kiu ebligas al vi administri ĝis 1032 alirpunktojn de centralizita uzantinterfaco. Entreprenoj povas disfaldi aŭ vastigi administritan Wifi-reton kun minimuma peno. Indas rimarki, ke la nombro 1032 estas vere multe. Surbaze de la kalkulo, ke ĝis 10 uzantoj povas konektiĝi al unu alirpunkto, ĉi tio estas sufiĉe impresa figuro.

Ekvilibro kaj redundo. La VPN-serio subtenas ŝarĝan ekvilibron kaj redundon tra pluraj eksteraj interfacoj. Tio estas, vi povas konekti plurajn kanalojn de pluraj provizantoj, tiel protektante vin kontraŭ komunikadaj problemoj.

Eblo de aparato-redundo (Aparato HA) por senhalta konekto, eĉ kiam unu el la aparatoj malsukcesas. Estas malfacile malhavi ĉi tion, se vi bezonas organizi laboron 24/7 kun minimuma malfunkcio.

Zyxel Device HA Pro funkcias en aktiva/pasiva, kiu ne postulas kompleksan aranĝan proceduron. Ĉi tio ebligas al vi malaltigi la enirsojlon kaj tuj komenci uzi la rezervadon. Male al aktiva/aktiva, kiam la sistemadministranto devas sperti plian trejnadon, povi agordi dinamikan vojigon, kompreni kio estas nesimetriaj pakaĵoj, ktp. - reĝimo agordo aktiva/pasiva Ĝi funkcias multe pli facile kaj postulas malpli da tempo.

Kiam vi uzas Zyxel Device HA Pro, aparatoj interŝanĝas signalojn korbatato per dediĉita haveno. Aktivaj kaj pasivaj aparato-havenoj por korbatato konektita per Ethernet-kablo. La pasiva aparato tute sinkronigas informojn kun la aktiva aparato. Aparte, ĉiuj sesioj, tuneloj kaj uzantkontoj estas sinkronigitaj inter aparatoj. Krome, la pasiva aparato konservas rezervan kopion de la agorda dosiero se la aktiva aparato malsukcesas. Ĉi tio certigas senjuntan transiron en la okazaĵo de primara aparato-fiasko.

Indas rimarki, ke en aktivaj sistemoj/aktiva vi ankoraŭ devas rezervi 20-25% de sistemaj rimedoj por malfunkciigo. Ĉe aktiva/pasiva unu aparato estas tute en standby stato, kaj estas preta tuj prilabori retan trafikon kaj konservi normalan retan operacion.

En simplaj terminoj: "Kiam oni uzas la Zyxel Device HA Pro kaj havas rezervan kanalon, la komerco estas protektita kaj kontraŭ perdo de komunikado pro la kulpo de la provizanto, kaj kontraŭ problemoj rezultantaj de la fiasko de la enkursigilo.

Resumante ĉion supre

Por la centra nodo de distribuita reto, estas pli bone uzi aparaton kun certa provizo de havenoj (konektaj interfacoj). En ĉi tiu kazo, estas dezirinde havi ambaŭ RJ45-interfacojn por simpleco kaj kostefika konekto, kaj SFP por elekti inter fibro-optika konekto kaj tordita paro.

Ĉi tiu aparato devas esti:

produktiva, adaptita al subitaj ŝanĝoj en ŝarĝo;
kun klara interfaco;
kun riĉa, sed ne troa nombro da enkonstruitaj funkcioj, inkluzive de tiuj rilataj al sekureco;
kun la kapablo konstrui fault-tolerant cirkvitojn - kanala duobligo kaj aparata duobligo;
subtenanta administradon tiel ke la tuta branĉita infrastrukturo en la formo de centra nodo kaj ekstercentraj aparatoj povas esti administritaj de unu punkto;
kiel "ĉerizo sur la kuko" - subteno por modernaj tendencoj kiel integriĝo kun nubaj rimedoj ktp.

ZyWALL VPN1000 kiel la centra nodo de la reto

Unuavide ĉe la ZyWALL VPN1000, estas klare, ke Zyxel ne ŝparis havenojn.

Ni havas:

12 agordeblaj RJ-45 (GBE) havenoj;
2 agordeblaj SFP-havenoj (GBE);
2 USB 3.0 havenoj kun subteno por 3G/4G modemoj.

Figuro 1. Ĝenerala vido de ZyWALL VPN1000.

Oni devas tuj rimarki, ke la aparato ne estas por hejma oficejo, ĉefe pro la potencaj adorantoj. Estas kvar el ili ĉi tie.

Figuro 2. Malantaŭa panelo ZyWALL VPN1000.

Ni vidu kiel aspektas la interfaco.

Vi devas tuj atenti gravan cirkonstancon. Estas multaj funkcioj, kaj ne eblos priskribi ilin detale en unu artikolo. Sed kio estas bona pri Zyxel-produktoj estas, ke ekzistas tre detala dokumentaro, antaŭ ĉio, la manlibro de uzanto (administranto). Tial, por havi ideon pri la riĉeco de funkcioj, ni simple trairu la langetojn.

Defaŭlte, haveno 1 kaj haveno 2 estas asignitaj al WAN. Komencante de la tria haveno ekzistas interfacoj por la loka reto.

La 3-a haveno kun defaŭlta IP 192.168.1.1 sufiĉe taŭgas por konekto.

Ni konektas la flikŝnuron, iru al la adreso https://192.168.1.1 kaj vi povas observi la uzantan registriĝon de la retinterfaco.

Примечание. Por administrado, vi povas uzi la SD-WAN-nuban administradsistemon.

Figuro 3. Fenestro por enigi ensaluton kaj pasvorton

Ni trapasas la proceduron enigi la ensaluton kaj pasvorton kaj ricevas la Panelan fenestron sur la ekrano. Efektive, kiel ĝi devus esti por Dashboard - maksimuma operacia informo sur ĉiu peco de ekrana spaco.

Figuro 4. ZyWALL VPN1000 - Panelo.

Rapida Agorda Langeto (Sorĉistoj)

Estas du asistantoj en la interfaco: por agordi WAN kaj agordi VPN. Fakte, asistantoj estas bona afero; ili permesas al vi plenumi ŝablonojn agordojn eĉ sen havi sperton pri laborado kun la aparato. Nu, por tiuj, kiuj volas pli, kiel menciite supre, ekzistas detala dokumentado.

Figuro 5. Rapida Agordo langeto.

Monitora langeto

Ŝajne, la inĝenieroj de Zyxel decidis sekvi la principon: ni kontrolas ĉion, kion ni povas. Kompreneble, por aparato kiu funkcias kiel centra nabo, totala kontrolo tute ne difektos.

Eĉ nur vastigante ĉiujn erojn sur la flanka kolumno, la riĉeco de elekto fariĝas evidenta.

Figuro 6. Monitora langeto kun vastigitaj sub-eroj.

Agorda langeto

Ĉi tie la riĉeco de funkcioj estas eĉ pli evidenta.

Ekzemple, la aparata havenadministrado estas tre bele desegnita.

Figuro 7. Agorda langeto kun pligrandigitaj sub-eroj.

Bontenado langeto

Enhavas subsekciojn por ĝisdatigi firmvaron, diagnozon, vidi vojregulojn kaj malŝalti.

Ĉi tiuj funkcioj estas de helpa naturo kaj ĉeestas unugrade aŭ alian en preskaŭ ĉiuj retaj aparatoj.

Figuro 8. Prizorgado langeto kun vastigitaj sub-eroj.

Komparaj trajtoj

Nia revizio estus nekompleta sen komparo kun aliaj analogoj.

Malsupre estas tabelo de analogoj plej proksimaj al ZyWALL VPN1000 kaj listo de funkcioj por komparo.

Tablo 1. Komparo de ZyWALL VPN1000 kun analogoj.

Klarigoj por Tabelo 1:

*1: Licenco bezonata

*2: Malalta Tuŝo-Provizo: La administranto unue devas agordi la aparaton loke antaŭ ZTP.

*3: Sesio bazita: DPS validos nur por nova sesio; tio ne influos la nunan sesion.

Kiel vi povas vidi, iel la analogoj atingas la heroon de nia recenzo, ekzemple, la Fortinet FG‑100E ankaŭ havas enkonstruitan WAN-optimumigon, kaj la Meraki MX100 havas enkonstruitan AutoVPN (al la retejo). -site), sed ĝenerale, la ZyWALL VPN1000 estas malambigua en sia ampleksa aro de funkcioj estas en la gvido.

Rekomendoj dum elektado de aparatoj por la centra nodo (ne nur Zyxel)

Elektante aparatojn por organizi la centran nodon de vasta reto kun multaj branĉoj, vi devas koncentriĝi sur kelkaj parametroj: teknikaj kapabloj, facileco de administrado, sekureco kaj misfunkciado.

Vasta gamo da funkcioj, granda nombro da fizikaj havenoj kun fleksebla agordo: WAN, LAN, DMZ kaj la ĉeesto de aliaj belaj funkcioj, kiel ekzemple alirpunkta administra regilo, ebligas al vi plenumi multajn taskojn samtempe.

Gravan rolon ludas la havebleco de dokumentaro kaj oportuna administrada interfaco.

Havante tiajn ŝajne simplajn aferojn ĉemane, ne estas tiel malfacile krei retajn infrastrukturojn, kiuj ampleksas diversajn ejojn kaj lokojn, kaj la uzo de la SD-WAN-nubo permesas vin fari tion kun maksimuma fleksebleco kaj sekureco.