🥇عنکبوت وب یا گره مرکزی یک شبکه توزیع شده

هنگام انتخاب روتر VPN برای یک شبکه توزیع شده به چه چیزی توجه کنیم؟ و چه عملکردهایی باید داشته باشد؟ این همان چیزی است که بررسی ZyWALL VPN1000 ما به آن اختصاص دارد.

معرفی

پیش از این، بیشتر انتشارات ما به دستگاه‌های VPN رده پایین برای دسترسی به شبکه از سایت‌های جانبی اختصاص داشت. به عنوان مثال، برای اتصال شعب مختلف با دفتر مرکزی، دسترسی به شبکه شرکت های کوچک مستقل و یا حتی خانه های شخصی. وقت آن است که در مورد گره مرکزی برای شبکه توزیع شده صحبت کنیم.

واضح است که ساخت شبکه مدرن یک شرکت بزرگ تنها بر اساس دستگاه های کلاس اقتصادی امکان پذیر نخواهد بود. و یک سرویس ابری برای ارائه خدمات به مصرف کنندگان نیز سازماندهی کنید. در جایی باید تجهیزاتی نصب شده باشد که بتواند همزمان به تعداد زیادی از مشتریان خدمات رسانی کند. این بار در مورد یکی از این دستگاه ها صحبت خواهیم کرد - Zyxel VPN1000.

برای شرکت کنندگان بزرگ و کوچک در تبادل شبکه، می توان معیارهایی را شناسایی کرد که بر اساس آن مناسب بودن یک دستگاه خاص برای حل یک مشکل ارزیابی می شود.

در زیر موارد اصلی آورده شده است:

قابلیت های فنی و عملکردی؛
کنترل؛
امنیت؛
تحمل خطا.

تعیین اینکه چه چیزی مهمتر است و بدون چه کاری می توان انجام داد دشوار است. همه چیز مورد نیاز است. اگر دستگاه طبق برخی معیارها الزامات را برآورده نکند، در آینده مملو از مشکلات است.

با این حال، برخی از ویژگی‌های دستگاه‌هایی که برای اطمینان از عملکرد واحدهای مرکزی و تجهیزاتی که عمدتاً در حاشیه کار می‌کنند، طراحی شده‌اند، ممکن است به طور قابل توجهی متفاوت باشند.

برای گره مرکزی، قدرت محاسباتی اول است - این منجر به خنک کننده اجباری و در نتیجه نویز از فن می شود. برای دستگاه های جانبی، که معمولاً در ادارات و خانه ها قرار دارند، عملکرد پر سر و صدا تقریبا غیرقابل قبول است.

نکته جالب دیگر توزیع پورت ها است. در دستگاه های جانبی کم و بیش مشخص است که چگونه از آن استفاده می شود و چند کلاینت متصل می شود. بنابراین، می توانید یک تقسیم بندی دقیق از پورت ها را به WAN، LAN، DMZ تنظیم کنید، به شدت به پروتکل متصل شوید و غیره. چنین اطمینانی در مرکز مرکزی وجود ندارد. به عنوان مثال، ما یک بخش شبکه جدید اضافه کردیم که نیاز به اتصال از طریق رابط خود دارد - و چگونه این کار را انجام دهیم؟ این نیاز به یک راه حل جهانی تر با قابلیت پیکربندی انعطاف پذیر رابط ها دارد.

نکته مهم این است که دستگاه دارای عملکردهای مختلف است. البته رویکرد این که یک قطعه از تجهیزات یک کار واحد را به خوبی انجام دهد مزایای خود را دارد. اما جالب ترین موقعیت زمانی شروع می شود که شما باید یک قدم به سمت چپ بردارید، یک قدم به سمت راست. البته، با هر کار جدید می توانید دستگاه هدف دیگری را نیز خریداری کنید. و به همین ترتیب تا زمانی که بودجه یا فضای رک تمام شود.

در مقابل، مجموعه گسترده ای از عملکردها به شما امکان می دهد هنگام حل چندین مشکل با یک دستگاه کنار بیایید. به عنوان مثال، ZyWALL VPN1000 از انواع مختلفی از اتصالات VPN، از جمله SSL و IPsec VPN، و همچنین اتصالات از راه دور برای کارمندان پشتیبانی می کند. یعنی یک قطعه سخت افزار مسائل مربوط به اتصالات بین سایتی و مشتری را پوشش می دهد. اما یک "اما" وجود دارد. برای انجام این کار، باید یک ذخیره عملکرد داشته باشید. به عنوان مثال، در مورد ZyWALL VPN1000، هسته سخت‌افزار IPsec VPN عملکرد تونل VPN بالایی را ارائه می‌کند و تعادل/ افزونگی VPN با الگوریتم‌های SHA-2 و IKEv2 قابلیت اطمینان و امنیت بالایی را برای تجارت فراهم می‌کند.

در زیر برخی از ویژگی‌های مفیدی که یک یا چند مورد از حوزه‌های توضیح داده شده در بالا را پوشش می‌دهند، فهرست شده‌اند.

SD WAN بستری را برای مدیریت ابری فراهم می کند و از مزایای مدیریت متمرکز ارتباطات بین سایت ها با قابلیت کنترل و نظارت از راه دور بهره می برد. ZyWALL VPN1000 همچنین از حالت عملکرد مربوطه پشتیبانی می کند که در آن عملکردهای VPN پیشرفته مورد نیاز است.

پشتیبانی از پلتفرم های ابری برای خدمات حیاتی. ZyWALL VPN1000 برای استفاده با Microsoft Azure و AWS آزمایش شده است. استفاده از دستگاه های از پیش آزمایش شده برای سازمانی در هر سطحی ترجیح داده می شود، به خصوص اگر زیرساخت فناوری اطلاعات از ترکیبی از شبکه محلی و ابر استفاده کند.

فیلتر کردن محتوا با مسدود کردن دسترسی به وب سایت های مخرب یا ناخواسته، امنیت را تقویت می کند. از دانلود بدافزار از سایت های غیرقابل اعتماد یا هک شده جلوگیری می کند. در مورد ZyWALL VPN1000، مجوز سالانه این سرویس از قبل در بسته گنجانده شده است.

ژئوپلیتیک (Geo IP) به شما این امکان را می دهد که ترافیک را نظارت کنید و موقعیت آدرس های IP را تجزیه و تحلیل کنید و دسترسی به مناطق غیر ضروری یا بالقوه خطرناک را ممنوع کنید. مجوز سالانه این سرویس نیز هنگام خرید دستگاه در نظر گرفته شده است.

مدیریت شبکه بی سیم ZyWALL VPN1000 شامل یک کنترلر شبکه بی سیم است که به شما امکان می دهد تا 1032 نقطه دسترسی را از یک رابط کاربری متمرکز مدیریت کنید. شرکت ها می توانند یک شبکه Wi-Fi مدیریت شده را با کمترین تلاش مستقر یا گسترش دهند. شایان ذکر است که عدد 1032 واقعاً زیاد است. بر اساس این محاسبه که حداکثر 10 کاربر می توانند به یک نقطه دسترسی متصل شوند، این رقم نسبتاً چشمگیر است.

تعادل و افزونگی. سری VPN از تعادل بار و افزونگی در چندین رابط خارجی پشتیبانی می کند. یعنی می توانید چندین کانال را از چندین ارائه دهنده متصل کنید و از این طریق از مشکلات ارتباطی محافظت کنید.

امکان افزونگی دستگاه (Device HA) برای اتصال بدون توقف، حتی زمانی که یکی از دستگاه ها از کار می افتد. اگر نیاز به سازماندهی 24 ساعته کار با کمترین زمان خرابی دارید، بدون این کار دشواری است.

Zyxel Device HA Pro در آن کار می کند فعال/منفعل، که به یک روش راه اندازی پیچیده نیاز ندارد. این به شما امکان می دهد آستانه ورود را کاهش دهید و بلافاصله شروع به استفاده از رزرو کنید. بر خلاف فعال/فعال، هنگامی که مدیر سیستم نیاز به گذراندن آموزش های اضافی دارد، می تواند مسیریابی پویا را پیکربندی کند، بفهمد بسته های نامتقارن چیست و غیره. - تنظیم حالت فعال/منفعل این کار بسیار ساده تر است و به زمان کمتری نیاز دارد.

هنگام استفاده از Zyxel Device HA Pro، دستگاه ها سیگنال ها را مبادله می کنند تپش قلب از طریق یک پورت اختصاصی پورت های دستگاه فعال و غیرفعال برای تپش قلب از طریق کابل اترنت متصل می شود. دستگاه غیرفعال به طور کامل اطلاعات را با دستگاه فعال همگام می کند. به طور خاص، تمام جلسات، تونل‌ها و حساب‌های کاربری بین دستگاه‌ها همگام‌سازی می‌شوند. علاوه بر این، دستگاه غیرفعال یک نسخه پشتیبان از فایل پیکربندی را در صورت خرابی دستگاه فعال نگه می دارد. این یک انتقال بدون درز را در صورت خرابی دستگاه اولیه تضمین می کند.

شایان ذکر است که در سیستم های فعال/فعال شما هنوز باید 20-25٪ از منابع سیستم را برای failover رزرو کنید. در فعال/منفعل یک دستگاه کاملاً در حالت آماده به کار است و آماده است تا فوراً ترافیک شبکه را پردازش کند و عملکرد عادی شبکه را حفظ کند.

به عبارت ساده: "هنگام استفاده از Zyxel Device HA Pro و داشتن یک کانال پشتیبان، کسب و کار هم از قطع ارتباط به دلیل تقصیر ارائه دهنده محافظت می شود و هم از مشکلات ناشی از خرابی روتر.

خلاصه همه موارد فوق

برای گره مرکزی یک شبکه توزیع شده، بهتر است از دستگاهی با منبع مشخصی از پورت ها (واسط های اتصال) استفاده شود. در این حالت، داشتن هر دو رابط RJ45 برای اتصال ساده و مقرون به صرفه و SFP برای انتخاب بین اتصال فیبر نوری و جفت پیچ خورده مطلوب است.

این دستگاه باید:

مولد، سازگار با تغییرات ناگهانی بار؛
با رابط کاربری واضح؛
با تعداد زیاد، اما نه بیش از حد توابع داخلی، از جمله موارد مربوط به امنیت؛
با قابلیت ساخت مدارهای مقاوم در برابر خطا - تکرار کانال و تکثیر دستگاه.
مدیریت پشتیبانی به طوری که کل زیرساخت منشعب شده در قالب یک گره مرکزی و دستگاه های جانبی از یک نقطه قابل مدیریت باشد.
به عنوان "گیلاس روی کیک" - پشتیبانی از روندهای مدرن مانند ادغام با منابع ابری و غیره.

ZyWALL VPN1000 به عنوان گره مرکزی شبکه

در نگاه اول به ZyWALL VPN1000، مشخص است که زایکسل از پورت‌ها استفاده نکرده است.

ما داریم:

12 پورت RJ‑45 (GBE) قابل تنظیم؛
2 پورت SFP قابل تنظیم (GBE)؛
2 پورت USB 3.0 با پشتیبانی از مودم های 3G/4G.

شکل 1. نمای کلی ZyWALL VPN1000.

بلافاصله باید توجه داشت که این دستگاه برای یک دفتر کار خانگی نیست، در درجه اول به دلیل فن های قدرتمند. اینجا چهار نفر هستند.

شکل 2. پنل عقب ZyWALL VPN1000.

بیایید ببینیم رابط کاربری چگونه است.

شما باید بلافاصله به یک شرایط مهم توجه کنید. توابع زیادی وجود دارد و نمی توان آنها را در یک مقاله به تفصیل توصیف کرد. اما آنچه در مورد محصولات Zyxel خوب است این است که مستندات بسیار دقیق، اول از همه، راهنمای کاربر (مدیر) وجود دارد. بنابراین، برای دریافت ایده ای از تعداد زیاد توابع، اجازه دهید فقط از طریق برگه ها بگذریم.

به طور پیش فرض، پورت 1 و پورت 2 به WAN اختصاص داده شده اند. با شروع از پورت سوم، رابط هایی برای شبکه محلی وجود دارد.

پورت سوم با IP پیش فرض 3 برای اتصال کاملا مناسب است.

ما پچ کورد را وصل می کنیم، به آدرس بروید https://192.168.1.1 و می توانید پنجره ثبت نام کاربر رابط وب را مشاهده کنید.

یادداشت. برای مدیریت می توانید از سیستم مدیریت ابری SD-WAN استفاده کنید.

شکل 3. پنجره ای برای وارد کردن لاگین و رمز عبور

مراحل وارد کردن لاگین و رمز عبور را طی می کنیم و پنجره داشبورد را روی صفحه نمایش می دهیم. در واقع، همانطور که برای داشبورد باید باشد - حداکثر اطلاعات عملیاتی در هر قسمت از فضای صفحه نمایش.

شکل 4. ZyWALL VPN1000 - داشبورد.

برگه راه اندازی سریع (جادوگران)

دو دستیار در رابط وجود دارد: برای راه اندازی WAN و راه اندازی VPN. در واقع، دستیارها چیز خوبی هستند؛ آنها به شما اجازه می دهند تنظیمات قالب را حتی بدون داشتن تجربه کار با دستگاه انجام دهید. خوب، برای کسانی که بیشتر می خواهند، همانطور که در بالا ذکر شد، اسناد مفصلی وجود دارد.

شکل 5. تب Quick Setup.

تب مانیتورینگ

ظاهراً مهندسان Zyxel تصمیم گرفتند از این اصل پیروی کنند: ما هر چیزی را که می توانیم نظارت می کنیم. البته، برای دستگاهی که به عنوان یک هاب مرکزی عمل می کند، کنترل کامل به هیچ وجه ضرری ندارد.

حتی تنها با گسترش همه موارد در نوار کناری، ثروت انتخاب آشکار می شود.

شکل 6. برگه نظارت با موارد فرعی گسترش یافته.

برگه پیکربندی

در اینجا انبوه عملکردها حتی آشکارتر است.

به عنوان مثال، مدیریت پورت دستگاه بسیار زیبا طراحی شده است.

شکل 7. برگه پیکربندی با موارد فرعی گسترش یافته.

برگه تعمیر و نگهداری

شامل بخش های فرعی برای به روز رسانی سیستم عامل، تشخیص، مشاهده قوانین مسیریابی و خاموش کردن است.

این توابع ماهیت کمکی دارند و تقریباً در هر دستگاه شبکه تا حدی وجود دارند.

شکل 8. برگه Maintenance با موارد فرعی گسترش یافته.

خصوصیات مقایسه ای

بررسی ما بدون مقایسه با سایر آنالوگ ها ناقص خواهد بود.

در زیر جدولی از آنالوگ های نزدیک به ZyWALL VPN1000 و لیستی از توابع برای مقایسه وجود دارد.

جدول 1. مقایسه ZyWALL VPN1000 با آنالوگ.

توضیحات جدول 1:

*1: مجوز لازم است

*2: ارائه کم لمس: مدیر ابتدا باید دستگاه را قبل از ZTP به صورت محلی پیکربندی کند.

*3: بر اساس جلسه: DPS فقط برای جلسه جدید اعمال می شود. این روی جلسه جاری تاثیری نخواهد داشت.

همانطور که می بینید، از برخی جهات، آنالوگ ها به قهرمان بررسی ما می رسند، به عنوان مثال، Fortinet FG‑100E همچنین دارای بهینه سازی WAN داخلی است، و Meraki MX100 دارای AutoVPN داخلی (سایت-to) است. -site) تابع، اما به طور کلی، ZyWALL VPN1000 بدون ابهام در مجموعه ای جامع از توابع آن پیشتاز است.

توصیه هایی هنگام انتخاب دستگاه ها برای گره مرکزی (نه تنها Zyxel)

هنگام انتخاب دستگاه هایی برای سازماندهی گره مرکزی یک شبکه گسترده با شاخه های زیاد، باید روی تعدادی از پارامترها تمرکز کنید: قابلیت های فنی، سهولت مدیریت، امنیت و تحمل خطا.

طیف گسترده ای از عملکردها، تعداد زیادی پورت فیزیکی با پیکربندی انعطاف پذیر: WAN، LAN، DMZ و وجود سایر عملکردهای خوب، مانند کنترل کننده مدیریت نقطه دسترسی، به شما این امکان را می دهد که بسیاری از کارها را همزمان انجام دهید.

در دسترس بودن اسناد و رابط مدیریتی مناسب نقش مهمی ایفا می کند.

با در اختیار داشتن چنین چیزهای به ظاهر ساده ای، ایجاد زیرساخت های شبکه ای که سایت ها و مکان های مختلف را در بر می گیرند چندان دشوار نیست و استفاده از ابر SD-WAN به شما این امکان را می دهد که این کار را با حداکثر انعطاف و امنیت انجام دهید.