🥇Verkkohämähäkki tai hajautetun verkon keskussolmu

Mitä pitää ottaa huomioon valittaessa VPN-reititintä hajautettuun verkkoon? Ja mitä toimintoja sillä pitäisi olla? Juuri tälle ZyWALL VPN1000 -arvostelumme on omistettu.

Esittely

Aiemmin suurin osa julkaisuistamme oli omistettu halvoille VPN-laitteille verkkoon pääsyä varten oheissivustoilta. Esimerkiksi eri sivukonttoreiden yhdistäminen pääkonttoriin, pääsy pienten itsenäisten yritysten verkostoon tai jopa yksityisiin taloihin. On aika puhua hajautetun verkon keskussolmusta.

On selvää, että suuren yrityksen nykyaikaista verkkoa ei voida rakentaa pelkästään turistiluokan laitteiden pohjalta. Ja järjestä pilvipalvelu, joka tarjoaa palveluita myös kuluttajille. Jonnekin on asennettava laitteet, jotka voivat palvella suurta määrää asiakkaita samanaikaisesti. Tällä kertaa puhumme yhdestä tällaisesta laitteesta - Zyxel VPN1000.

Sekä suurille että pienille verkkovaihdon osallistujille on mahdollista tunnistaa kriteerit, joilla arvioidaan tietyn laitteen soveltuvuutta ongelman ratkaisemiseen.

Alla on tärkeimmät:

tekniset ja toiminnalliset valmiudet;
valvonta;
turvallisuus;
vikasietoisuus.

On vaikea määritellä, mikä on tärkeämpää ja mitä ilman voidaan tehdä. Kaikkea tarvitaan. Jos laite ei täytä vaatimuksia jonkin kriteerin mukaan, tämä on täynnä ongelmia tulevaisuudessa.

Tietyt laitteiden ominaisuudet, jotka on suunniteltu varmistamaan keskusyksiköiden ja pääosin reunalla toimivien laitteiden toiminta, voivat kuitenkin poiketa merkittävästi toisistaan.

Keskussolmun osalta laskentateho on ensin - tämä johtaa pakkojäähdytykseen ja siten tuulettimen meluun. Oheislaitteiden, jotka sijaitsevat tyypillisesti toimistoissa ja kodeissa, meluisa toiminta on lähes mahdotonta hyväksyä.

Toinen mielenkiintoinen seikka on satamien jakautuminen. Oheislaitteissa on enemmän tai vähemmän selvää, kuinka sitä käytetään ja kuinka monta asiakasta liitetään. Siksi voit määrittää porttien tiukan jaon WAN-, LAN-, DMZ-porttiin, sitoa tiukasti protokollaan ja niin edelleen. Keskustassa ei ole tällaista varmuutta. Lisäsimme esimerkiksi uuden verkkosegmentin, joka vaatii yhteyden oman rajapinnan kautta - ja miten tämä tehdään? Tämä vaatii yleisemmän ratkaisun, jossa voidaan joustavasti konfiguroida rajapintoja.

Tärkeä vivahde on, että laitteessa on runsaasti erilaisia toimintoja. Tietysti lähestymistavalla, jossa yksi laite suorittaa yhden tehtävän hyvin, on etunsa. Mutta mielenkiintoisin tilanne alkaa, kun sinun on otettava askel vasemmalle, askel oikealle. Tietenkin jokaisen uuden tehtävän yhteydessä voit ostaa lisäksi toisen kohdelaitteen. Ja niin edelleen, kunnes budjetti tai telinetila loppuu.

Sitä vastoin laajennettu toimintosarja antaa sinun tulla toimeen yhdellä laitteella useiden ongelmien ratkaisemisessa. Esimerkiksi ZyWALL VPN1000 tukee useita VPN-yhteyksiä, mukaan lukien SSL ja IPsec VPN, sekä etäyhteyksiä työntekijöille. Toisin sanoen yksi laitteisto kattaa sekä sivustojen välisten että asiakasyhteyksien ongelmat. Mutta on yksi "mutta". Jotta tämä toimisi, sinulla on oltava suorituskykyreservi. Esimerkiksi ZyWALL VPN1000:n tapauksessa IPsec VPN -laitteistoydin tarjoaa korkean VPN-tunnelin suorituskyvyn, ja VPN-tasapainotus/redundanssi SHA-2- ja IKEv2-algoritmeilla tarjoaa korkean luotettavuuden ja turvallisuuden yrityksille.

Alla on lueteltu joitain hyödyllisiä ominaisuuksia, jotka kattavat yhden tai useamman yllä kuvatuista alueista.

SD WAN tarjoaa alustan pilvihallintaan, hyödyntäen sivustojen välisen viestinnän keskitetyn hallinnan edut sekä etäohjauksen ja -valvonnan. ZyWALL VPN1000 tukee myös vastaavaa toimintatilaa, jossa vaaditaan edistyneitä VPN-toimintoja.

Tuki pilvialustoille kriittisiin palveluihin. ZyWALL VPN1000 on testattu käytettäväksi Microsoft Azuren ja AWS:n kanssa. Esitestattujen laitteiden käyttö on suositeltavaa kaikentasoisille organisaatioille, varsinkin jos IT-infrastruktuurissa käytetään paikallisverkon ja pilven yhdistelmää.

Sisällön suodatus Vahvistaa turvallisuutta estämällä pääsyn haitallisille tai ei-toivotuille verkkosivustoille. Estää haittaohjelmien lataamisen epäluotettavilta tai hakkeroiduilta sivustoilta. ZyWALL VPN1000:n tapauksessa tämän palvelun vuosilisenssi sisältyy jo pakettiin.

Geopolitiikka (Geo IP) avulla voit seurata liikennettä ja analysoida IP-osoitteiden sijaintia ja estää pääsyn tarpeettomilta tai mahdollisesti vaarallisilta alueilta. Tämän palvelun vuosilisenssi sisältyy myös laitteen ostoon.

Langattoman verkon hallinta ZyWALL VPN1000 sisältää langattoman verkko-ohjaimen, jonka avulla voit hallita jopa 1032 tukipistettä keskitetystä käyttöliittymästä. Yritykset voivat ottaa käyttöön tai laajentaa hallittua Wi-Fi-verkkoa vähällä vaivalla. On syytä huomata, että numero 1032 on todella paljon. Sen laskelman perusteella, että yhteen tukiasemaan voi muodostaa yhteyden jopa 10 käyttäjää, tämä on melko vaikuttava luku.

Tasapainotus ja redundanssi. VPN-sarja tukee kuormituksen tasapainotusta ja redundanssia useissa ulkoisissa liitännöissä. Eli voit yhdistää useita kanavia useilta palveluntarjoajilta, mikä suojaa itseäsi viestintäongelmilta.

Laitteen redundanssin mahdollisuus (laite HA) jatkuvaa yhteyttä varten, vaikka jokin laitteista epäonnistuisi. Ilman tätä on vaikea tehdä, jos sinun on järjestettävä työ 24/7 minimaalisella seisokkiajalla.

Zyxel Device HA Pro toimii aktiivi passiivi, joka ei vaadi monimutkaista asennusmenettelyä. Näin voit laskea sisäänpääsykynnystä ja aloittaa varauksen käytön välittömästi. Toisin kuin aktiivinen/aktiivinen, kun järjestelmänvalvojan on suoritettava lisäkoulutusta, kyettävä konfiguroimaan dynaaminen reititys, ymmärtämään, mitä epäsymmetriset paketit ovat jne. - tilan asetus aktiivi passiivi Se toimii paljon helpommin ja vaatii vähemmän aikaa.

Käytettäessä Zyxel Device HA Prota laitteet vaihtavat signaaleja Sydämenlyönti erillisen portin kautta. Aktiiviset ja passiiviset laiteportit Sydämenlyönti kytketty Ethernet-kaapelilla. Passiivinen laite synkronoi tiedot täysin aktiivisen laitteen kanssa. Erityisesti kaikki istunnot, tunnelit ja käyttäjätilit synkronoidaan laitteiden välillä. Lisäksi passiivinen laite säilyttää varmuuskopion konfiguraatiotiedostosta siltä varalta, että aktiivinen laite epäonnistuu. Tämä varmistaa saumattoman siirtymisen ensisijaisen laitteen vian sattuessa.

On syytä huomata, että aktiivisissa järjestelmissä/ aktiivinen sinun on silti varattava 20-25 % järjestelmäresursseista vikasietoisuutta varten. klo aktiivi passiivi yksi laite on täysin valmiustilassa ja valmis käsittelemään verkkoliikennettä välittömästi ja ylläpitämään normaalia verkon toimintaa.

Yksinkertaisesti sanottuna: "Käytettäessä Zyxel Device HA Prota ja varakanavaa, yritys on suojattu sekä palveluntarjoajan virheestä johtuvalta yhteyden katkeamiselta että reitittimen viasta johtuvilta ongelmilta.

Yhteenveto kaikesta yllä olevasta

Hajautetun verkon keskussolmussa on parempi käyttää laitetta, jossa on tietty määrä portteja (liitäntärajapinnat). Tässä tapauksessa on toivottavaa, että käytössä on sekä RJ45-liitännät yksinkertaisuuden ja kustannustehokkaan liitännän vuoksi ja SFP-liitännät kuituoptisen liitännän ja kierretyn parin välillä valinnassa.

Tämän laitteen tulee olla:

tuottava, sopeutunut äkillisiin kuormituksen muutoksiin;
selkeällä käyttöliittymällä;
runsaalla, mutta ei liiallisella määrällä sisäänrakennettuja toimintoja, mukaan lukien turvallisuuteen liittyvät toiminnot;
kyky rakentaa vikasietoisia piirejä - kanavien kopiointi ja laitekopiointi;
hallinnan tukeminen siten, että koko haarautunutta infrastruktuuria keskussolmun ja oheislaitteiden muodossa voidaan hallita yhdestä pisteestä;
"kirsikka kakun päällä" - tuki nykyaikaisille trendeille, kuten integraatio pilviresursseihin ja niin edelleen.

ZyWALL VPN1000 verkon keskussolmuna

Ensi silmäyksellä ZyWALL VPN1000:sta on selvää, että Zyxel ei säästänyt portteja.

Meillä on:

12 konfiguroitavaa RJ-45 (GBE) -porttia;
2 konfiguroitavaa SFP-porttia (GBE);
2 USB 3.0 -porttia, jotka tukevat 3G/4G-modeemeja.

Kuva 1. Yleiskuva ZyWALL VPN1000:sta.

On heti huomattava, että laite ei ole tarkoitettu kotitoimistoon ensisijaisesti voimakkaiden tuulettimien vuoksi. Niitä on täällä neljä.

Kuva 2. ZyWALL VPN1000 takapaneeli.

Katsotaan miltä käyttöliittymä näyttää.

Sinun tulee välittömästi kiinnittää huomiota tärkeään seikkaan. Toimintoja on paljon, eikä niitä ole mahdollista kuvata yksityiskohtaisesti yhdessä artikkelissa. Mutta hyvä Zyxel-tuotteissa on se, että siellä on erittäin yksityiskohtainen dokumentaatio, ennen kaikkea käyttäjän (järjestelmänvalvojan) käsikirja. Siksi, jotta saat käsityksen toimintojen runsaudesta, käydään vain välilehdet läpi.

Oletuksena portit 1 ja portit 2 on määritetty WAN:ille. Kolmannesta portista alkaen on rajapinnat paikallisverkkoon.

Kolmas portti, jonka oletus-IP 3 on varsin sopiva liitäntään.

Yhdistämme patchcordin, mene osoitteeseen https://192.168.1.1 ja voit tarkkailla verkkokäyttöliittymän käyttäjän rekisteröintiikkunaa.

Huomata. Hallitsemiseen voit käyttää SD-WAN-pilvihallintajärjestelmää.

Kuva 3. Ikkuna kirjautumistunnuksen ja salasanan syöttämiseen

Käymme läpi kirjautumistunnuksen ja salasanan syöttämisen ja saamme Dashboard-ikkunan näytölle. Itse asiassa, kuten sen pitäisi olla Dashboardille - maksimaalinen käyttötieto jokaisella näyttötilalla.

Kuva 4. ZyWALL VPN1000 - Kojelauta.

Pika-asennus-välilehti (velhot)

Käyttöliittymässä on kaksi avustajaa: WAN-verkon ja VPN:n määrittäminen. Itse asiassa avustajat ovat hyvä asia; niiden avulla voit suorittaa mallin asetuksia jopa ilman kokemusta laitteen kanssa työskentelystä. No, niille, jotka haluavat enemmän, kuten edellä mainittiin, on yksityiskohtainen dokumentaatio.

Kuva 5. Pika-asennus-välilehti.

Valvonta-välilehti

Ilmeisesti Zyxelin insinöörit päättivät noudattaa periaatetta: valvomme kaikkea, mitä voimme. Tietenkin laitteelle, joka toimii keskuskeskittimenä, täydellinen hallinta ei haittaa ollenkaan.

Jopa vain laajentamalla kaikkia sivupalkin kohteita, valinnanvara tulee ilmeiseksi.

Kuva 6. Valvonta-välilehti laajennetuilla alakohdilla.

Asetukset-välilehti

Tässä toimintojen runsaus on vielä selvempi.

Esimerkiksi laiteporttien hallinta on suunniteltu erittäin kauniisti.

Kuva 7. Kokoonpano-välilehti laajennetuilla alikohdilla.

Huolto-välilehti

Sisältää alaosia laiteohjelmiston päivittämistä, diagnostiikkaa, reitityssääntöjen tarkastelua ja sammuttamista varten.

Nämä toiminnot ovat luonteeltaan aputoimintoja ja ne ovat tavalla tai toisella läsnä lähes kaikissa verkkolaitteissa.

Kuva 8. Huolto-välilehti laajennetuilla alakohdilla.

Vertailevat ominaisuudet

Arvostelumme olisi epätäydellinen ilman vertailua muihin analogeihin.

Alla on taulukko ZyWALL VPN1000:ta lähinnä olevista analogeista ja luettelo toiminnoista vertailua varten.

Taulukko 1. ZyWALL VPN1000:n vertailu analogeihin.

Taulukon 1 selitykset:

*1: Lisenssi vaaditaan

*2: Low Touch Provision: Järjestelmänvalvojan on ensin määritettävä laite paikallisesti ennen ZTP:tä.

*3: Istuntoperusteinen: DPS koskee vain uutta istuntoa; tämä ei vaikuta nykyiseen istuntoon.

Kuten näette, analogit ovat jollain tapaa saavuttamassa arvostelumme sankaria, esimerkiksi Fortinet FG-100E:ssä on myös sisäänrakennettu WAN-optimointi ja Meraki MX100:ssa on sisäänrakennettu AutoVPN (sivustosta toiseen). -site) -toimintoa, mutta yleisesti ottaen ZyWALL VPN1000 on yksiselitteinen kattava toimintosarjansa johdossa.

Suosituksia valittaessa laitteita keskussolmuun (ei vain Zyxel)

Kun valitset laitteita laajan, monihaaraisen verkon keskussolmun järjestämiseen, sinun tulee keskittyä useisiin parametreihin: tekniset ominaisuudet, hallinnan helppous, turvallisuus ja vikasietoisuus.

Laaja valikoima toimintoja, suuri määrä fyysisiä portteja joustavalla konfiguraatiolla: WAN, LAN, DMZ ja muita mukavia toimintoja, kuten tukiaseman hallintaohjain, mahdollistavat useiden tehtävien suorittamisen kerralla.

Tärkeä rooli on dokumentaation saatavuudella ja kätevällä hallintaliittymällä.

Kun näin yksinkertaiselta näyttävät asiat ovat käsillä, ei ole niin vaikeaa luoda verkkoinfrastruktuureja, jotka kattavat eri sivustot ja paikat, ja SD-WAN-pilven käyttö mahdollistaa sen mahdollisimman joustavasti ja turvallisesti.