Zer bilatu behar da sare banatu baterako VPN bideratzailea aukeratzerakoan? Eta zein funtzio izan behar ditu? Horri dago zuzenduta gure ZyWALL VPN1000 berrikuspena.
Sarrera
Aurretik, gure argitalpen gehienak behe-mailako VPN gailuetara bideratzen ziren gune periferikoetatik sarera sartzeko. Esaterako, hainbat sukurtsal egoitzarekin konektatzeko, enpresa txiki independenteen Sarerako sarbidea, edota etxe partikularrak. Sare banatuaren nodo zentralari buruz hitz egiteko garaia da.
Argi dago ezin izango dela enpresa handi baten sare moderno bat eraiki klase ekonomikoko gailuetan soilik oinarrituta. Eta hodeiko zerbitzu bat antolatu kontsumitzaileei zerbitzuak eskaintzeko ere. Nonbait, aldi berean bezero kopuru handi bati zerbitzua emateko ekipoak instalatuta egon behar dira. Oraingoan horrelako gailu bati buruz hitz egingo dugu: Zyxel VPN1000.
Sare-trukean parte-hartzaile handi zein txikientzat, arazo bat konpontzeko gailu jakin baten egokitasuna ebaluatzeko irizpideak identifikatu daitezke.
Jarraian daude nagusiak:
- gaitasun teknikoak eta funtzionalak;
- kontrola;
- segurtasuna,
- akatsen tolerantzia.
Zaila da zehaztea zer den garrantzitsuena eta zer egin gabe. Dena behar da. Gailuak irizpide batzuen arabera baldintzak betetzen ez baditu, etorkizunean arazoak izango ditu.
Hala ere, periferian nagusiki funtzionatzen duten unitate zentralen eta ekipoen funtzionamendua bermatzeko diseinatutako gailuen ezaugarri batzuk nabarmen desberdinak izan daitezke.
Nodo zentralean, konputazio-potentzia da lehena; horrek hozte behartua dakar, eta, ondorioz, haizagailuaren zarata. Gailu periferikoentzat, normalean bulegoetan eta etxeetan kokatuta daudenak, funtzionamendu zaratatsua ia onartezina da.
Beste puntu interesgarri bat portuen banaketa da. Gailu periferikoetan argi dago nola erabiliko den eta zenbat bezero konektatuko diren. Hori dela eta, portuen banaketa zorrotza ezarri dezakezu WAN, LAN, DMZ, protokoloari zorrozki lotu eta abar. Erdiko zentroan ez dago halako ziurtasunik. Adibidez, sare-segmentu berri bat gehitu dugu bere interfazearen bidez konektatu behar duena - eta nola egin? Honek irtenbide unibertsalagoa behar du, interfazeak malgutasunez konfiguratzeko gaitasuna duena.
Γabardura garrantzitsu bat da gailua hainbat funtziotan aberatsa dela. Jakina, ekipamendu batek zeregin bakarra ondo betetzeko planteamenduak bere abantailak ditu. Baina egoerarik interesgarriena ezkerrera, pauso bat eskuinera, eman behar duzunean hasten da. Jakina, zeregin berri bakoitzarekin beste helburu-gailu bat ere eros dezakezu. Eta horrela aurrekontua edo rack lekua agortu arte.
Aitzitik, funtzio multzo zabal batek gailu batekin aurrera egiteko aukera ematen du hainbat arazo konpontzen dituzunean. Adibidez, ZyWALL VPN1000-k hainbat VPN konexio mota onartzen ditu, SSL eta IPsec VPN barne, baita langileentzako urruneko konexioak ere. Hau da, hardware-pieza batek guneen eta bezeroen konexioen arazoak estaltzen ditu. Baina badago βbainaβ bat. Honek funtziona dezan, errendimendu erreserba bat izan behar duzu. Esate baterako, ZyWALL VPN1000-ren kasuan, IPsec VPN hardware-nukleoak VPN tunelaren errendimendu handia eskaintzen du, eta VPN oreka/erredundantzia SHA-2 eta IKEv2 algoritmoekin fidagarritasun eta segurtasun handia eskaintzen du negozioetarako.
Jarraian, goian deskribatutako eremuetako bat edo gehiago estaltzen dituzten ezaugarri erabilgarri batzuk zerrendatzen dira.
SD WAN hodeia kudeatzeko plataforma bat eskaintzen du, guneen arteko komunikazioen kudeaketa zentralizatuaren onurak urrunetik kontrolatzeko eta kontrolatzeko gaitasunarekin. ZyWALL VPN1000-k dagokion funtzionamendu modua ere onartzen du, non VPN funtzio aurreratuak behar diren.
Hodeiko plataformetarako laguntza misio kritikoetarako zerbitzuetarako. ZyWALL VPN1000 Microsoft Azure eta AWS-ekin erabiltzeko probatu da. Aurrez probatutako gailuak erabiltzea hobe da edozein mailatako erakundeentzat, batez ere IT azpiegiturak sare lokalaren eta hodeiaren konbinazioa erabiltzen badu.
Edukiak iragaztea Segurtasuna indartzen du asmo txarreko edo nahi ez diren webguneetarako sarbidea blokeatuz. Fidagarriak ez diren edo hackeatutako guneetatik malwarea deskargatzea eragozten du. ZyWALL VPN1000-ren kasuan, zerbitzu honen urteko lizentzia bat dago dagoeneko paketean.
Geo-politika (Geo IP) trafikoa kontrolatzeko eta IP helbideen kokapena aztertzeko aukera ematen dizu, beharrezkoak ez diren edo arriskutsuak izan daitezkeen eskualdeetatik sarbidea ukatuz. Zerbitzu honen urteko lizentzia ere sartzen da gailua erostean.
Haririk gabeko sareen kudeaketa ZyWALL VPN1000-k haririk gabeko sare kontroladore bat du, 1032 sarbide-puntu arte kudeatzeko erabiltzailearen interfaze zentralizatu batetik. Enpresek kudeatutako Wi-Fi sare bat zabaldu edo zabaldu dezakete ahalegin minimoarekin. Aipatzekoa da 1032 zenbakia benetan asko dela. Gehienez 10 erabiltzaile sarbide puntu batera konektatu daitezkeen kalkuluan oinarrituta, nahiko zifra ikusgarria da.
Oreka eta erredundantzia. VPN serieak karga orekatzea eta erredundantzia onartzen ditu kanpoko interfaze anitzetan. Hau da, hainbat hornitzailetako hainbat kanal konekta ditzakezu, horrela komunikazio-arazoetatik babesteko.
Gailuaren erredundantzia (Device HA) etengabeko konexiorako, gailuren batek huts egiten badu ere. Zaila da hori gabe egitea lana 24/7 antolatu behar baduzu geldialdi gutxirekin.
Zyxel Device HA Pro-n funtzionatzen du aktibo/pasibo, konfigurazio prozedura konplexurik behar ez duena. Horri esker, sarrera-atalasea jaisteko eta berehala erreserba erabiltzen hastea. Ez bezala aktibo/aktibo, sistema-administratzaileak prestakuntza osagarria egin behar duenean, bideratze dinamikoa konfiguratzeko gai izan, pakete asimetrikoak zer diren ulertu, etab. β moduaren ezarpena aktibo/pasibo Askoz errazagoa da eta denbora gutxiago behar du.
Zyxel Device HA Pro erabiltzean, gailuek seinaleak trukatzen dituzte taupada ataka dedikatu baten bidez. Gailurako ataka aktiboak eta pasiboak taupada Ethernet kable baten bidez konektatuta. Gailu pasiboak erabat sinkronizatzen du informazioa gailu aktiboarekin. Bereziki, saio, tunel eta erabiltzaile-kontu guztiak gailuen artean sinkronizatuta daude. Gainera, gailu pasiboak konfigurazio-fitxategiaren babeskopia bat mantentzen du gailu aktiboa huts egiten badu. Honek trantsiziorik gabeko trantsizioa bermatzen du gailu nagusiaren hutsegitearen kasuan.
Aipatzekoa da sistema aktiboetan/ aktibo oraindik sistemaren baliabideen % 20-25 erreserbatu behar duzu hutsegiterako. At aktibo/pasibo gailu bat guztiz egonean dago, eta sareko trafikoa berehala prozesatzeko eta sarearen funtzionamendu normala mantentzeko prest dago.
Termino sinpleetan: "Zyxel Device HA Pro erabiltzean eta babeskopia kanal bat izatean, negozioa babestuta dago hornitzailearen akatsengatik komunikazio galeretatik eta bideratzailearen hutsegitetik sortutako arazoetatik.
Aurreko guztia laburbilduz
Banatutako sare baten nodo zentralerako, hobe da portu hornidura jakin bat duen gailu bat erabiltzea (konexio-interfazeak). Kasu honetan, komeni da bi RJ45 interfazeak izatea sinpletasun eta kostu-eraginkorra den konexioa lortzeko, eta SFP zuntz optikoko konexioa eta pare bihurritua aukeratzeko.
Gailu honek izan behar du:
- produktiboa, kargaren bat-bateko aldaketetara egokitua;
- interfaze argi batekin;
- integratutako funtzio kopuru aberatsarekin, baina ez gehiegizkoarekin, segurtasunarekin lotutakoak barne;
- akatsen aurkako zirkuituak eraikitzeko gaitasunarekin - kanalen bikoizketa eta gailuen bikoizketa;
- kudeaketa laguntzea, nodo zentral baten eta gailu periferikoen formako azpiegitura adarkatu osoa puntu batetik kudeatu ahal izateko;
- "Cherry on the cake" gisa - joera modernoetarako laguntza, hala nola hodeiko baliabideekin integratzea eta abar.
ZyWALL VPN1000 sarearen nodo zentral gisa
ZyWALL VPN1000-ri lehen begiratuan, argi dago Zyxel-ek ez zituela portuak ordezkatu.
Daukagu:
-
12 RJβ45 (GBE) ataka konfiguragarri;
-
2 SFP ataka konfiguragarri (GBE);
-
2 USB 3.0 ataka 3G/4G modemetarako laguntzarekin.
1. irudia. ZyWALL VPN1000-ren ikuspegi orokorra.
Kontuan izan behar da gailua ez dela etxeko bulego baterako, batez ere zale indartsuengatik. Hemen lau daude.
2. Irudia. ZyWALL VPN1000 atzeko panela.
Ikus dezagun nolakoa den interfazea.
Berehala kasu garrantzitsu bati arreta jarri behar diozu. Funtzio asko daude, eta ezin izango da artikulu batean zehatz-mehatz deskribatu. Baina Zyxel produktuen ona da dokumentazio oso zehatza dagoela, lehenik eta behin, erabiltzailearen (administratzaile) eskuliburua. Hori dela eta, funtzioen aberastasunari buruzko ideia bat izateko, joan gaitezen fitxetatik.
Lehenespenez, 1 eta 2 ataka WAN-i esleituta daude. Hirugarren atakatik hasita sare lokalerako interfazeak daude.
3 IP lehenetsia duen hirugarren ataka nahiko egokia da konexiorako.
Adabaki kablea konektatzen dugu, helbidera joan eta web interfazeko erabiltzaileak erregistratzeko leihoa beha dezakezu.
Kontuan izan. Kudeatzeko, SD-WAN hodeiko kudeaketa sistema erabil dezakezu.
3. irudia. Saio-hasiera eta pasahitza sartzeko leihoa
Saio-hasiera eta pasahitza sartzeko prozedura igarotzen dugu eta Pantailako Arbelaren leihoa lortzen dugu. Egia esan, Arbel batentzat izan beharko lukeen bezala - informazio operatibo maximoa pantailako espazio bakoitzean.
4. Irudia. ZyWALL VPN1000 - Arbel.
Konfigurazio azkarra fitxa (morroiak)
Interfazean bi laguntzaile daude: WAN bat konfiguratzeko eta VPN bat konfiguratzeko. Izan ere, laguntzaileak gauza ona dira; txantiloien ezarpenak egiteko aukera ematen dute gailuarekin lan egiteko esperientziarik izan gabe ere. Bada, gehiago nahi duenarentzat, goian esan bezala, dokumentazio zehatza dago.
5. Irudia Konfigurazio azkarra fitxa.
Jarraipen fitxa
Dirudienez, Zyxeleko ingeniariek printzipioa jarraitzea erabaki zuten: ahal dugun guztia kontrolatzen dugu. Jakina, zentro zentral gisa jarduten duen gailu batentzat, erabateko kontrola ez da batere minik egingo.
Nahiz eta alboko barrako elementu guztiak zabalduz, aukeraren aberastasuna nabaria da.
6. Irudia. Jarraipen fitxa zabaldutako azpielementuekin.
Konfigurazio fitxa
Hemen funtzioen aberastasuna are nabariagoa da.
Esate baterako, gailuaren ataken kudeaketa oso ondo diseinatuta dago.
7. Irudia. Konfigurazio fitxa zabaldutako azpielementuekin.
Mantentze fitxa
Firmwarea eguneratzeko, diagnostikoak, bideratze-arauak ikusteko eta itzaltzeko azpiatalak ditu.
Funtzio hauek izaera laguntzailea dute eta sareko gailu ia guztietan daude maila batean edo bestean.
8. Irudia. Mantentze-fitxa azpi-elementu zabalduekin.
Ezaugarri konparatiboak
Gure berrikuspena osatu gabe egongo litzateke beste analogoekin alderatu gabe.
Jarraian, ZyWALL VPN1000-tik hurbilen dauden analogikoen taula eta konparaziorako funtzioen zerrenda dago.
1. taula. ZyWALL VPN1000 analogikoekin alderatzea.
1. taularen azalpenak:
*1: lizentzia behar da
*2: Ukipen gutxiko hornidura: administratzaileak gailua lokalean konfiguratu behar du lehenik ZTP baino lehen.
*3: Saioan oinarrituta: DPS saio berrietan soilik aplikatuko da; honek ez dio oraingo saioari eragingo.
Ikus dezakezunez, nolabait analogoek gure berrikuspenaren heroia harrapatzen ari dira, adibidez, Fortinet FGβ100E-k WAN optimizazioa ere badu eta Meraki MX100-k AutoVPN (gunerako -site) funtzioa, baina, oro har, ZyWALL VPN1000-k ez du anbiguotasunik bere funtzio-multzo osoa lider dagoenean.
Nodo zentralerako gailuak aukeratzerakoan gomendioak (ez Zyxel bakarrik)
Adar asko dituen sare zabal baten nodo zentrala antolatzeko gailuak aukeratzerakoan, hainbat parametrotan zentratu beharko zenuke: gaitasun teknikoak, kudeaketa erraztasuna, segurtasuna eta akatsen tolerantzia.
Funtzio ugari, konfigurazio malguko ataka fisiko ugari: WAN, LAN, DMZ eta beste funtzio polit batzuen presentzia, sarbide puntuen kudeaketa kontrolatzailea adibidez, zeregin asko aldi berean burutzeko aukera ematen dute.
Paper garrantzitsua betetzen da dokumentazioaren erabilgarritasuna eta kudeaketa interfaze erosoak.
Itxuraz sinpleak diren gauza horiek eskura edukita, ez da hain zaila gune eta kokapen ezberdinetan zabaltzen diren sare-azpiegiturak sortzea, eta SD-WAN hodeia erabiltzeak malgutasun eta segurtasun handienarekin egiteko aukera ematen du.
Esteka interesgarriak
Iturria: www.habr.com