¿Qué buscar al elegir un enrutador VPN para una red distribuida? ¿Y qué funciones debería tener? Esto es a lo que está dedicada nuestra revisión de ZyWALL VPN1000.
introducción
Anteriormente, la mayoría de nuestras publicaciones estaban dedicadas a dispositivos VPN de gama baja para acceso a la red desde sitios periféricos. Por ejemplo, para conectar varias sucursales con la sede, acceder a la Red de pequeñas empresas independientes o incluso casas particulares. Es hora de hablar del nodo central de la red distribuida.
Está claro que no será posible construir una red moderna de una gran empresa únicamente sobre la base de dispositivos de clase económica. Y organizar un servicio en la nube para brindar servicios a los consumidores también. En algún lugar debe haber instalados equipos que puedan atender a una gran cantidad de clientes al mismo tiempo. Esta vez hablaremos de uno de esos dispositivos: Zyxel VPN1000.
Tanto para los participantes grandes como para los pequeños en el intercambio de redes, es posible identificar criterios mediante los cuales se evalúa la idoneidad de un dispositivo en particular para resolver un problema.
A continuación se detallan los principales:
- capacidades técnicas y funcionales;
- gestión;
- seguridad;
- Tolerancia a fallos.
Es difícil determinar qué es más importante y de qué se puede prescindir. Todo es necesario. Si el dispositivo no cumple los requisitos según algún criterio, esto traerá problemas en el futuro.
Sin embargo, ciertas características de los dispositivos diseñados para garantizar el funcionamiento de unidades centrales y equipos que operan principalmente en la periferia pueden diferir significativamente.
Para el nodo central, la potencia informática es lo primero: esto provoca un enfriamiento forzado y, en consecuencia, el ruido del ventilador. Para los dispositivos periféricos, que normalmente se encuentran en oficinas y hogares, el funcionamiento ruidoso es casi inaceptable.
Otro punto interesante es la distribución de puertos. En los dispositivos periféricos está más o menos claro cómo se utilizará y cuántos clientes se conectarán. Por lo tanto, puede establecer una división estricta de puertos en WAN, LAN, DMZ, vincularlos estrictamente al protocolo, etc. No existe tal certeza en el eje central. Por ejemplo, agregamos un nuevo segmento de red que requiere conexión a través de su propia interfaz, ¿y cómo hacerlo? Esto requiere una solución más universal con la capacidad de configurar interfaces de manera flexible.
Un matiz importante es que el dispositivo es rico en diversas funciones. Por supuesto, el enfoque de que un solo equipo realice bien una sola tarea tiene sus ventajas. Pero la situación más interesante comienza cuando es necesario dar un paso hacia la izquierda, un paso hacia la derecha. Por supuesto, con cada nueva tarea podrás comprar adicionalmente otro dispositivo de destino. Y así hasta que se acabe el presupuesto o el espacio en rack.
Por el contrario, un conjunto ampliado de funciones le permite arreglárselas con un dispositivo para resolver varios problemas. Por ejemplo, ZyWALL VPN1000 admite múltiples tipos de conexiones VPN, incluidas SSL y IPsec VPN, así como conexiones remotas para empleados. Es decir, una pieza de hardware cubre los problemas de las conexiones entre sitios y de clientes. Pero hay un “pero”. Para que esto funcione, es necesario tener una reserva de rendimiento. Por ejemplo, en el caso de ZyWALL VPN1000, el núcleo de hardware VPN IPsec proporciona un alto rendimiento del túnel VPN, y el equilibrio/redundancia de VPN con algoritmos SHA-2 e IKEv2 proporciona alta confiabilidad y seguridad para las empresas.
A continuación se enumeran algunas funciones útiles que cubren una o más de las áreas descritas anteriormente.
SD-WAN proporciona una plataforma para la gestión de la nube, obteniendo los beneficios de la gestión centralizada de las comunicaciones entre sitios con la capacidad de controlar y monitorear de forma remota. ZyWALL VPN1000 también admite el modo de operación correspondiente donde se requieren funciones VPN avanzadas.
Soporte para plataformas en la nube para servicios de misión crítica. ZyWALL VPN1000 está probado para su uso con Microsoft Azure y AWS. El uso de dispositivos probados previamente es preferible para una organización de cualquier nivel, especialmente si la infraestructura de TI utiliza una combinación de red local y nube.
Filtrado de contenidos Fortalece la seguridad bloqueando el acceso a sitios web maliciosos o no deseados. Evita que se descargue malware de sitios pirateados o que no son de confianza. En el caso de ZyWALL VPN1000, el paquete ya incluye una licencia anual para este servicio.
Geopolítica (IP geográfica) le permiten monitorear el tráfico y analizar la ubicación de las direcciones IP, negando el acceso desde regiones innecesarias o potencialmente peligrosas. También se incluye una licencia anual para este servicio al adquirir el dispositivo.
Gestión de redes inalámbricas El ZyWALL VPN1000 incluye un controlador de red inalámbrico que le permite administrar hasta 1032 puntos de acceso desde una interfaz de usuario centralizada. Las empresas pueden implementar o ampliar una red Wi-Fi administrada con un mínimo esfuerzo. Vale la pena señalar que el número 1032 es realmente mucho. Si se calcula que hasta 10 usuarios pueden conectarse a un punto de acceso, esta es una cifra bastante impresionante.
Equilibrio y redundancia. La serie VPN admite equilibrio de carga y redundancia en múltiples interfaces externas. Es decir, puedes conectar varios canales de varios proveedores, protegiéndote así de problemas de comunicación.
Posibilidad de redundancia de dispositivos (Device HA) para una conexión continua, incluso cuando uno de los dispositivos falla. Es difícil prescindir de esto si necesita organizar el trabajo las 24 horas del día, los 7 días de la semana, con un tiempo de inactividad mínimo.
Zyxel Device HA Pro funciona en activo pasivo, que no requiere un procedimiento de configuración complejo. Esto le permite reducir el umbral de entrada y comenzar a utilizar la reserva inmediatamente. A diferencia de activo/activo, cuando el administrador del sistema necesita recibir capacitación adicional, poder configurar el enrutamiento dinámico, comprender qué son los paquetes asimétricos, etc. — configuración de modo activo pasivo Funciona mucho más fácilmente y requiere menos tiempo.
Al usar Zyxel Device HA Pro, los dispositivos intercambian señales latido del corazón a través de un puerto dedicado. Puertos de dispositivos activos y pasivos para latido del corazón conectado a través de un cable Ethernet. El dispositivo pasivo sincroniza completamente la información con el dispositivo activo. En particular, todas las sesiones, túneles y cuentas de usuario se sincronizan entre dispositivos. Además, el dispositivo pasivo mantiene una copia de seguridad del archivo de configuración en caso de que falle el dispositivo activo. Esto garantiza una transición perfecta en caso de una falla del dispositivo principal.
Vale la pena señalar que en los sistemas activos/ activo aún debe reservar entre un 20 y un 25 % de los recursos del sistema para la conmutación por error. En activo pasivo un dispositivo está completamente en estado de espera y está listo para procesar inmediatamente el tráfico de la red y mantener el funcionamiento normal de la red.
En términos simples: “Al utilizar Zyxel Device HA Pro y tener un canal de respaldo, la empresa está protegida tanto de la pérdida de comunicación por culpa del proveedor como de los problemas derivados de la falla del enrutador.
Resumiendo todo lo anterior
Para el nodo central de una red distribuida, es mejor utilizar un dispositivo con un cierto suministro de puertos (interfaces de conexión). En este caso, es deseable tener interfaces RJ45 para una conexión simple y rentable, y SFP para elegir entre una conexión de fibra óptica y un par trenzado.
Este dispositivo debe ser:
- productivo, adaptado a cambios bruscos de carga;
- con una interfaz clara;
- con una cantidad rica, pero no excesiva, de funciones integradas, incluidas las relacionadas con la seguridad;
- con la capacidad de construir circuitos tolerantes a fallas: duplicación de canales y duplicación de dispositivos;
- apoyar la gestión para que toda la infraestructura ramificada en forma de nodo central y dispositivos periféricos pueda gestionarse desde un solo punto;
- como “guinda del pastel”: soporte para tendencias modernas como la integración con recursos de la nube, etc.
ZyWALL VPN1000 como nodo central de la red
A primera vista del ZyWALL VPN1000, está claro que Zyxel no escatimó puertos.
Tenemos:
-
12 puertos RJ‑45 (GBE) configurables;
-
2 puertos SFP configurables (GBE);
-
2 puertos USB 3.0 con soporte para módems 3G/4G.
Figura 1. Vista general de ZyWALL VPN1000.
Cabe señalar de inmediato que el dispositivo no es para una oficina en casa, principalmente debido a los potentes ventiladores. Hay cuatro de ellos aquí.
Figura 2. Panel trasero de ZyWALL VPN1000.
Veamos cómo se ve la interfaz.
Debe prestar atención de inmediato a una circunstancia importante. Hay muchas funciones y no será posible describirlas en detalle en un artículo. Pero lo bueno de los productos Zyxel es que hay documentación muy detallada, en primer lugar, el manual del usuario (administrador). Por tanto, para hacernos una idea de la riqueza de funciones, repasemos las pestañas.
De forma predeterminada, el puerto 1 y el puerto 2 están asignados a WAN. A partir del tercer puerto se encuentran las interfaces para la red local.
El tercer puerto con IP predeterminada 3 es bastante adecuado para la conexión.
Conectamos el patchcord, vamos a la dirección y podrá observar la ventana de registro de usuario de la interfaz web.
Nota. Para la gestión, puede utilizar el sistema de gestión en la nube SD-WAN.
Figura 3. Ventana para ingresar nombre de usuario y contraseña
Realizamos el procedimiento de ingresar el nombre de usuario y la contraseña y aparece la ventana del Panel de control en la pantalla. En realidad, como debería ser para un Panel de control: máxima información operativa en cada espacio de la pantalla.
Figura 4. ZyWALL VPN1000 - Panel de control.
Ficha Configuración rápida (asistentes)
Hay dos asistentes en la interfaz: para configurar una WAN y configurar una VPN. De hecho, los asistentes son algo bueno; le permiten realizar configuraciones de plantilla incluso sin tener experiencia trabajando con el dispositivo. Bueno, para aquellos que quieran más, como se mencionó anteriormente, existe documentación detallada.
Figura 5. Pestaña Configuración rápida.
Pestaña de monitoreo
Al parecer, los ingenieros de Zyxel decidieron seguir el principio: monitorizamos todo lo que podemos. Por supuesto, para un dispositivo que actúa como eje central, el control total no vendrá nada mal.
Incluso con solo expandir todos los elementos en la barra lateral, la gran variedad de opciones se vuelve obvia.
Figura 6. Pestaña de seguimiento con subelementos ampliados.
Pestaña de configuración
Aquí la riqueza de funciones es aún más evidente.
Por ejemplo, la gestión de puertos del dispositivo está muy bien diseñada.
Figura 7. Pestaña de configuración con subelementos expandidos.
Pestaña de mantenimiento
Contiene subsecciones para actualizar firmware, diagnósticos, ver reglas de enrutamiento y apagar.
Estas funciones son de naturaleza auxiliar y están presentes en un grado u otro en casi todos los dispositivos de red.
Figura 8. Pestaña Mantenimiento con subelementos ampliados.
Características comparativas
Nuestra revisión estaría incompleta sin una comparación con otros análogos.
A continuación se muestra una tabla de análogos más cercanos a ZyWALL VPN1000 y una lista de funciones para comparar.
Tabla 1. Comparación de ZyWALL VPN1000 con análogos.
Explicaciones para la Tabla 1:
*1: Se requiere licencia
*2: Provisión de bajo contacto: el administrador primero debe configurar el dispositivo localmente antes de ZTP.
*3: Basado en sesión: DPS solo se aplicará a una nueva sesión; esto no afectará la sesión actual.
Como puede ver, en cierto modo los análogos están alcanzando al héroe de nuestra revisión, por ejemplo, el Fortinet FG‑100E también tiene optimización WAN incorporada, y el Meraki MX100 tiene un AutoVPN incorporado (sitio a -site), pero en general, ZyWALL VPN1000 está claramente a la cabeza en su amplio conjunto de funciones.
Recomendaciones a la hora de elegir dispositivos para el nodo central (no solo Zyxel)
Al elegir dispositivos para organizar el nodo central de una red extensa con muchas sucursales, uno debe centrarse en una serie de parámetros: capacidades técnicas, facilidad de administración, seguridad y tolerancia a fallas.
Una amplia gama de funciones, una gran cantidad de puertos físicos con configuración flexible: WAN, LAN, DMZ y la presencia de otras funciones interesantes, como un controlador de administración de puntos de acceso, le permiten realizar muchas tareas a la vez.
La disponibilidad de documentación y una cómoda interfaz de gestión desempeñan un papel importante.
Teniendo a mano cosas aparentemente tan simples, no es tan difícil crear infraestructuras de red que abarquen varios sitios y ubicaciones, y el uso de la nube SD-WAN le permite hacerlo con la máxima flexibilidad y seguridad.
Enlaces de interés
Fuente: habr.com