🥇Hajutatud võrgu veebiämblik või kesksõlm

Mida otsida hajutatud võrgu VPN-ruuteri valimisel? Ja mis funktsioonid sellel peaks olema? Sellele on pühendatud meie ZyWALL VPN1000 ülevaade.

Sissejuhatus

Varem oli enamik meie väljaandeid pühendatud madala kvaliteediga VPN-seadmetele, mis võimaldasid juurdepääsu võrgule välisseadmetest. Näiteks erinevate filiaalide ühendamiseks peakorteriga, juurdepääsuga väikeste sõltumatute ettevõtete võrgule või isegi eramajadele. On aeg rääkida hajutatud võrgu kesksõlmest.

Selge on see, et ainult turistiklassi seadmete baasil suure ettevõtte kaasaegset võrku ehitada ei saa. Ja korraldada pilveteenus, et pakkuda teenuseid ka tarbijatele. Kusagil peab olema paigaldatud seadmed, mis suudavad korraga teenindada suurt hulka kliente. Seekord räägime ühest sellisest seadmest - Zyxel VPN1000.

Nii suurtele kui ka väikestele võrguvahetuses osalejatele on võimalik välja selgitada kriteeriumid, mille järgi hinnatakse konkreetse seadme sobivust mingi probleemi lahendamiseks.

Allpool on toodud peamised:

tehnilised ja funktsionaalsed võimalused;
kontroll;
turvalisus;
veataluvus.

Raske on kindlaks teha, mis on tähtsam ja milleta saab hakkama. Kõike on vaja. Kui seade ei vasta mõne kriteeriumi nõuetele, on see tulevikus täis probleeme.

Peamiselt perifeerias töötavate keskseadmete ja seadmete töö tagamiseks mõeldud seadmete teatud omadused võivad aga oluliselt erineda.

Kesksõlme jaoks on arvutusvõimsus esikohal - see toob kaasa sundjahutuse ja sellest tulenevalt ka ventilaatori müra. Välisseadmete puhul, mis asuvad tavaliselt kontorites ja kodudes, on mürarikas töö peaaegu vastuvõetamatu.

Veel üks huvitav punkt on sadamate jaotus. Välisseadmetes on enam-vähem selge, kuidas seda kasutatakse ja kui palju kliente ühendatakse. Seetõttu saate määrata portide range jaotuse WAN-iks, LAN-iks, DMZ-ks, siduda rangelt protokolliga jne. Keskses sõlmpunktis sellist kindlust pole. Näiteks lisasime uue võrgusegmendi, mis nõuab ühendust läbi oma liidese – ja kuidas seda teha? Selleks on vaja universaalsemat lahendust, mis võimaldab liideseid paindlikult konfigureerida.

Oluline nüanss on see, et seade on rikas erinevate funktsioonide poolest. Loomulikult on lähenemisviisil, mille kohaselt üks seade täidab ühte ülesannet hästi, oma eelised. Kuid kõige huvitavam olukord algab siis, kui on vaja astuda samm vasakule, samm paremale. Loomulikult saate iga uue ülesandega lisaks osta teise sihtseadme. Ja nii edasi, kuni eelarve või riiuliruum otsa saab.

Seevastu laiendatud funktsioonide komplekt võimaldab teil mitme probleemi lahendamisel ühe seadmega hakkama saada. Näiteks ZyWALL VPN1000 toetab mitut tüüpi VPN-ühendusi, sealhulgas SSL-i ja IPsec VPN-i, aga ka töötajate kaugühendusi. See tähendab, et üks riistvara katab nii saidiüleste kui ka kliendiühenduste probleemid. Kuid on üks "aga". Selle toimimiseks peab teil olema jõudlusreserv. Näiteks ZyWALL VPN1000 puhul tagab IPsec VPN-i riistvaratuum kõrge VPN-tunneli jõudluse ning VPN-i tasakaalustamine/liigsus SHA-2 ja IKEv2 algoritmidega tagab ärile kõrge töökindluse ja turvalisuse.

Allpool on loetletud mõned kasulikud funktsioonid, mis hõlmavad ühte või mitut ülalkirjeldatud valdkonda.

SD-WAN pakub platvormi pilvehalduseks, saades kasu saitidevahelise suhtluse tsentraliseeritud haldamisest koos võimalusega kaugjuhtida ja jälgida. ZyWALL VPN1000 toetab ka vastavat töörežiimi, kus on vaja täiustatud VPN-funktsioone.

Pilveplatvormide tugi missioonikriitiliste teenuste jaoks. ZyWALL VPN1000 on testitud kasutamiseks koos Microsoft Azure'i ja AWS-iga. Eeltestitud seadmete kasutamine on eelistatav mis tahes taseme organisatsioonis, eriti kui IT-infrastruktuur kasutab kohaliku võrgu ja pilve kombinatsiooni.

Sisu filtreerimine Tugevdab turvalisust, blokeerides juurdepääsu pahatahtlikele või soovimatutele veebisaitidele. Takistab pahavara allalaadimist ebausaldusväärsetelt või häkitud saitidelt. ZyWALL VPN1000 puhul on selle teenuse aastane litsents juba paketis kaasas.

Geopoliitika (Geo IP) võimaldab teil jälgida liiklust ja analüüsida IP-aadresside asukohta, keelates juurdepääsu tarbetutest või potentsiaalselt ohtlikest piirkondadest. Seadme ostmisel on kaasas ka selle teenuse aastane litsents.

Juhtmevaba võrgu haldus ZyWALL VPN1000 sisaldab juhtmevaba võrgukontrollerit, mis võimaldab hallata kuni 1032 pääsupunkti tsentraliseeritud kasutajaliidese kaudu. Ettevõtted saavad hallatud WiFi-võrku minimaalse pingutusega juurutada või laiendada. Väärib märkimist, et number 1032 on tõesti palju. Arvestades, et ühe pöörduspunktiga saab ühenduse luua kuni 10 kasutajat, on see üsna muljetavaldav näitaja.

Tasakaalustamine ja koondamine. VPN-seeria toetab koormuse tasakaalustamist ja koondamist mitme välise liidese vahel. See tähendab, et saate ühendada mitu kanalit mitmelt pakkujalt, kaitstes sellega end sideprobleemide eest.

Seadme liiasuse võimalus (seadme HA) katkematu ühenduse jaoks, isegi kui üks seadmetest ebaõnnestub. Ilma selleta on raske hakkama saada, kui teil on vaja korraldada tööd 24/7 minimaalse seisakuajaga.

Zyxel Device HA Pro töötab aktiivne passiivne, mis ei nõua keerulist häälestusprotseduuri. See võimaldab langetada sisenemisläve ja koheselt broneeringut kasutama hakata. Erinevalt aktiivne/aktiivne, kui süsteemiadministraator peab läbima täiendava koolituse, oskama konfigureerida dünaamilist marsruutimist, aru saama, mis on asümmeetrilised paketid jne. — režiimi seadistus aktiivne passiivne See töötab palju lihtsamalt ja nõuab vähem aega.

Zyxel Device HA Pro kasutamisel vahetavad seadmed signaale südamelöögisagedus spetsiaalse pordi kaudu. Aktiivsed ja passiivsed seadmepordid südamelöögisagedus ühendatud Etherneti kaabli kaudu. Passiivne seade sünkroonib teabe täielikult aktiivse seadmega. Eelkõige sünkroonitakse seadmete vahel kõik seansid, tunnelid ja kasutajakontod. Lisaks säilitab passiivne seade konfiguratsioonifaili varukoopia juhuks, kui aktiivne seade peaks ebaõnnestuma. See tagab sujuva ülemineku esmase seadme rikke korral.

Väärib märkimist, et aktiivsetes süsteemides/ aktiivne ikka tuleb tõrkevahetuseks varuda 20-25% süsteemiressurssidest. Kell aktiivne passiivne üks seade on täielikult ooterežiimis ja on valmis koheselt töötlema võrguliiklust ja säilitama normaalset võrgutööd.

Lihtsamalt öeldes: „Zyxel Device HA Pro kasutamisel ja varukanali olemasolul on ettevõte kaitstud nii teenusepakkuja süül tekkinud side katkemise kui ka ruuteri rikkest tulenevate probleemide eest.

Kõike eelnevat kokku võttes

Hajutatud võrgu kesksõlme jaoks on parem kasutada seadet, millel on teatud pordid (ühendusliidesed). Sel juhul on soovitav kasutada nii RJ45 liideseid, mis tagavad lihtsuse ja kulutõhusa ühenduse, ning SFP-d, et valida fiiberoptilise ühenduse ja keerdpaari vahel.

See seade peab olema:

produktiivne, kohanenud äkiliste koormuse muutustega;
selge liidesega;
rikkaliku, kuid mitte liigse hulga sisseehitatud funktsioonidega, sealhulgas turvalisusega seotud funktsioonidega;
võimalusega ehitada tõrketaluvaid ahelaid - kanalite dubleerimine ja seadme dubleerimine;
haldamise toetamine, et kogu hargnenud taristut kesksõlme ja välisseadmete näol oleks võimalik hallata ühest punktist;
kui "kirss tordil" - toetus kaasaegsetele suundumustele, nagu integreerimine pilveressurssidega ja nii edasi.

ZyWALL VPN1000 võrgu keskseks sõlmeks

Esmapilgul ZyWALL VPN1000 puhul on selge, et Zyxel porte ei säästnud.

Meil on:

12 konfigureeritavat RJ-45 (GBE) porti;
2 konfigureeritavat SFP porti (GBE);
2 USB 3.0 porti, mis toetavad 3G/4G modemeid.

Joonis 1. ZyWALL VPN1000 üldvaade.

Peab kohe ära märkima, et kodukontori jaoks seade pole mõeldud eelkõige võimsate ventilaatorite tõttu. Neid on siin neli.

Joonis 2. ZyWALL VPN1000 tagapaneel.

Vaatame, kuidas liides välja näeb.

Peaksite kohe tähelepanu pöörama olulisele asjaolule. Funktsioone on palju ja neid ei ole võimalik ühes artiklis üksikasjalikult kirjeldada. Kuid Zyxeli toodete puhul on hea see, et seal on väga üksikasjalik dokumentatsioon, ennekõike kasutaja (administraatori) juhend. Seetõttu, et saada aimu funktsioonide rohkusest, käime lihtsalt läbi vahekaardid.

Vaikimisi on port 1 ja port 2 määratud WAN-ile. Alates kolmandast pordist on liidesed kohaliku võrgu jaoks.

3. port vaikimisi IP 192.168.1.1 on ühendamiseks üsna sobiv.

Ühendame patchcordi, minge aadressile https://192.168.1.1 ja saate jälgida veebiliidese kasutaja registreerimise akent.

Märkus. Haldamiseks saate kasutada pilvehaldussüsteemi SD-WAN.

Joonis 3. Aken sisselogimise ja parooli sisestamiseks

Läbime sisselogimise ja parooli sisestamise protseduuri ning kuvame armatuurlaua akna. Tegelikult, nagu armatuurlaua puhul peaks olema – maksimaalne tööteave igal ekraanipinnal.

Joonis 4. ZyWALL VPN1000 – armatuurlaud.

Kiirseadistuse vahekaart (viisardid)

Liideses on kaks abilist: WAN-i seadistamiseks ja VPN-i seadistamiseks. Tegelikult on assistendid hea asi, need võimaldavad teil malli seadistusi teha isegi ilma seadmega töötamise kogemuseta. Noh, neile, kes soovivad rohkem, nagu eespool mainitud, on üksikasjalik dokumentatsioon.

Joonis 5. Kiirhäälestuse vahekaart.

Järelevalve vahekaart

Ilmselt otsustasid Zyxeli insenerid järgida põhimõtet: jälgime kõike, mida suudame. Keskse jaoturina toimiva seadme puhul ei tee täielik juhtimine muidugi sugugi halba.

Isegi kui laiendada kõiki külgribal olevaid üksusi, muutub valikurikkus ilmseks.

Joonis 6. Järelevalve vahekaart laiendatud alamüksustega.

Konfiguratsiooni vahekaart

Siin on funktsioonide rikkus veelgi ilmsem.

Näiteks seadme pordihaldus on väga kenasti kujundatud.

Joonis 7. Konfiguratsiooni vahekaart laiendatud alamüksustega.

Vahekaart Hooldus

Sisaldab alajaotisi püsivara värskendamiseks, diagnostikaks, marsruutimisreeglite vaatamiseks ja väljalülitamiseks.

Need funktsioonid on abifunktsioonid ja on ühel või teisel määral olemas peaaegu igas võrguseadmes.

Joonis 8. Vahekaart Maintenance koos laiendatud alamüksustega.

Võrdlevad omadused

Meie ülevaade oleks puudulik, kui seda teiste analoogidega võrrelda.

Allpool on tabel ZyWALL VPN1000-le lähimatest analoogidest ja võrdluseks funktsioonide loend.

Tabel 1. ZyWALL VPN1000 võrdlus analoogidega.

Tabeli 1 selgitused:

*1: nõutav litsents

*2: Low Touch Provision: administraator peab esmalt seadme enne ZTP-d kohapeal konfigureerima.

*3: Seansipõhine: DPS rakendub ainult uuele seansile; see ei mõjuta praegust seanssi.

Nagu näete, on analoogid mõnes mõttes meie ülevaate kangelasele järele jõudmas, näiteks Fortinet FG-100E-l on ka sisseehitatud WAN-i optimeerimine ja Meraki MX100-l on sisseehitatud AutoVPN (saidi kaudu). -site) funktsiooni, kuid üldiselt on ZyWALL VPN1000 oma kõikehõlmava funktsioonide kogumi poolest üheselt juhtpositsioonil.

Soovitused kesksõlme seadmete valimisel (mitte ainult Zyxel)

Seadmete valimisel ulatusliku paljude harudega võrgu kesksõlme korraldamiseks peaksite keskenduma mitmele parameetrile: tehnilised võimalused, haldamise lihtsus, turvalisus ja tõrketaluvus.

Lai valik funktsioone, suur hulk paindliku konfiguratsiooniga füüsilisi porte: WAN, LAN, DMZ ja muude toredate funktsioonide olemasolu, nagu pääsupunkti halduskontroller, võimaldavad teil korraga täita palju ülesandeid.

Olulist rolli mängib dokumentatsiooni kättesaadavus ja mugav haldusliides.

Kui sellised pealtnäha lihtsad asjad käepärast on, ei olegi nii keeruline luua võrguinfrastruktuure, mis katavad erinevaid saite ja asukohti ning SD-WAN pilve kasutamine võimaldab seda teha maksimaalse paindlikkuse ja turvalisusega.