Que rechercher lors du choix d'un routeur VPN pour un réseau distribué ? Et quelles fonctionnalités devrait-il avoir? C'est à cela que notre examen du ZyWALL VPN1000 est dédié.
introduction
Auparavant, la plupart de nos publications étaient consacrées aux dispositifs VPN juniors permettant d'accéder au réseau à partir d'installations périphériques. Par exemple, pour relier diverses succursales au siège social, accéder au réseau de petites entreprises indépendantes ou même à des maisons privées. Il est temps de parler du nœud central d'un réseau distribué.
Il est clair qu'il ne fonctionnera pas de construire un réseau moderne d'une grande entreprise uniquement sur la base d'appareils de classe économique. Et organisez un service cloud pour fournir des services aux consommateurs - aussi. Quelque part, il faut installer des équipements qui peuvent desservir un grand nombre de clients en même temps. Cette fois, nous parlerons d'un de ces appareils - Zyxel VPN1000.
Pour les grands et les petits participants à l'échange de réseau, les critères peuvent être distingués par lesquels l'adéquation d'un dispositif particulier pour résoudre un problème est évaluée.
Ci-dessous les principaux :
- capacités techniques et fonctionnelles ;
- la gestion;
- la sécurité;
- tolérance aux pannes.
Il est difficile de distinguer ce qui est le plus important et ce dont on peut se passer. Tout est nécessaire. Si l'appareil, selon certains critères, n'atteint pas le niveau des exigences, cela se heurtera à des problèmes à l'avenir.
Cependant, certaines caractéristiques des dispositifs destinés à assurer le fonctionnement des nœuds centraux et des équipements fonctionnant principalement en périphérie peuvent différer sensiblement.
Pour le nœud central, la puissance de calcul vient en premier - cela conduit à un refroidissement forcé et, par conséquent, au bruit du ventilateur. Pour les périphériques, que l'on trouve généralement dans les bureaux et les zones résidentielles, un fonctionnement bruyant est presque inacceptable.
Un autre point intéressant est la répartition des ports. Dans les périphériques, il est plus ou moins clair comment il sera utilisé et combien de clients seront connectés. Par conséquent, vous pouvez définir un partitionnement matériel des ports sur WAN, LAN, DMZ, effectuer une liaison matérielle au protocole, etc. Il n'y a pas une telle certitude dans le nœud central. Par exemple, ils ont ajouté un nouveau segment de réseau qui nécessite une connexion via sa propre interface - et comment le faire ? Cela nécessite une solution plus universelle avec la possibilité de configurer les interfaces de manière flexible.
Une nuance importante est la saturation de l'appareil avec diverses fonctions. Bien sûr, il y a des avantages à ce qu'un seul équipement fasse bien un seul travail. Mais la situation la plus intéressante commence lorsque vous devez faire un pas à gauche, un pas à droite. Bien entendu, vous pouvez également acheter un autre appareil cible pour chaque nouvelle tâche. Et ainsi de suite jusqu'à épuisement du budget ou de l'espace rack.
En revanche, un ensemble étendu de fonctions vous permet de vous débrouiller avec un seul appareil lors de la résolution de plusieurs problèmes. Par exemple, ZyWALL VPN1000 prend en charge plusieurs types de connexions VPN, y compris SSL et VPN IPsec, ainsi que des connexions à distance pour les employés. C'est-à-dire qu'un "morceau de fer" résout les problèmes de connexions inter-sites et client. Mais il y a un "mais". Pour que cela fonctionne, vous devez avoir une marge de performance. Par exemple, dans le cas du ZyWALL VPN1000, le cœur matériel VPN IPsec offre des performances de tunnel VPN élevées, tandis que l'équilibrage/redondance VPN avec les algorithmes SHA-2 et IKEv2 garantit une fiabilité et une sécurité commerciales élevées.
Vous trouverez ci-dessous quelques fonctionnalités utiles qui couvrent une ou plusieurs des directions décrites ci-dessus.
SD-WAN fournit une plate-forme de gestion cloud, tirant parti de la gestion centralisée de la communication entre les sites avec la possibilité de contrôler et de surveiller à distance. ZyWALL VPN1000 prend également en charge le mode de fonctionnement approprié lorsque des fonctionnalités VPN avancées sont requises.
Prise en charge des plates-formes cloud pour les services critiques. ZyWALL VPN1000 est validé pour une utilisation avec Microsoft Azure et AWS. L'utilisation d'appareils pré-validés est préférable pour tous les niveaux d'organisation, en particulier si l'infrastructure informatique utilise une combinaison de réseau local et de cloud.
Filtrage du contenu améliore la sécurité en bloquant l'accès aux sites Web malveillants ou indésirables. Empêche le téléchargement de logiciels malveillants à partir de sites non fiables ou piratés. Dans le cas du ZyWALL VPN1000, une licence annuelle pour ce service est immédiatement incluse dans le forfait.
Politiques géographiques (GéoIP) vous permettent de suivre le trafic et d'analyser l'emplacement des adresses IP, en refusant l'accès à partir de régions inutiles ou potentiellement dangereuses. Une licence annuelle pour ce service est également incluse avec l'achat de l'appareil.
Gestion du réseau sans fil Le ZyWALL VPN1000 comprend un contrôleur de réseau sans fil qui vous permet de gérer jusqu'à 1032 points d'accès à partir d'une interface utilisateur centralisée. Les entreprises peuvent déployer ou étendre un réseau Wi-Fi géré avec un minimum d'effort. Il est à noter que le nombre 1032 est vraiment beaucoup. Sur la base du fait que jusqu'à 10 utilisateurs peuvent se connecter à un point d'accès, un chiffre assez impressionnant est obtenu.
Équilibrage et redondance. La série VPN prend en charge l'équilibrage de charge et la redondance sur plusieurs interfaces externes. Autrement dit, vous pouvez connecter plusieurs canaux de plusieurs fournisseurs, vous protégeant ainsi des problèmes de communication.
Capacité de redondance des appareils (Device HA) pour une connexion non-stop, même en cas de panne de l'un des appareils. Il est difficile de s'en passer si vous avez besoin d'organiser le travail 24h/7 et XNUMXj/XNUMX avec un temps d'arrêt minimal.
Zyxel Device HA Pro est en actif Passif, qui ne nécessite pas de procédure de configuration compliquée. Cela vous permet d'abaisser le seuil d'entrée et de commencer immédiatement à utiliser la réservation. Contrairement à actif/actiflorsqu'un administrateur système doit suivre une formation supplémentaire, être capable de configurer le routage dynamique, comprendre ce que sont les paquets asymétriques, etc. - réglage des modes actif Passif beaucoup plus simple et prend moins de temps.
Lors de l'utilisation de Zyxel Device HA Pro, les appareils échangent des signaux battement de coeur via un port dédié. Ports d'appareils actifs et passifs pour battement de coeur connecté via un câble Ethernet. L'appareil passif synchronise entièrement les informations avec l'appareil actif. En particulier, toutes les sessions, tunnels, comptes utilisateurs sont synchronisés entre les appareils. De plus, le dispositif passif conserve une copie de sauvegarde du fichier de configuration en cas de défaillance du dispositif actif. Ainsi, en cas de panne de l'appareil principal, la transition est transparente.
Il convient de noter que dans les systèmes actifs/ actif vous devez toujours réserver 20 à 25 % des ressources système pour le basculement. À actif Passif un appareil est entièrement en état de veille et est prêt à traiter immédiatement le trafic réseau et à maintenir le fonctionnement normal du réseau.
En termes simples : "Lorsque vous utilisez Zyxel Device HA Pro et que vous disposez d'un canal de secours, l'entreprise est protégée à la fois contre la perte de communication due à la faute du fournisseur et contre les problèmes résultant d'une panne de routeur.
Résumant tout ce qui précède
Pour le nœud central d'un réseau distribué, il est préférable d'utiliser un appareil avec une certaine offre de ports (interfaces de connexion). Dans le même temps, il est souhaitable de disposer à la fois d'interfaces RJ45 pour la simplicité et le faible coût de la connexion, et de SFP pour choisir entre une connexion par fibre optique et une paire torsadée.
Cet appareil doit être :
- productif, adapté à un changement brusque de charge;
- avec une interface claire ;
- avec un nombre riche mais non redondant de fonctionnalités intégrées, y compris celles liées à la sécurité ;
- avec la possibilité de créer des schémas tolérants aux pannes - duplication de canaux et duplication de périphériques ;
- une gestion de soutien, de sorte que toute l'infrastructure ramifiée sous la forme d'un nœud central et de périphériques est gérée à partir d'un point ;
- comme "cerise sur le gâteau" - prise en charge des tendances modernes telles que l'intégration avec les ressources cloud, etc.
ZyWALL VPN1000 comme nœud central du réseau
Lorsque vous regardez pour la première fois le ZyWALL VPN1000, vous pouvez voir que les ports de Zyxel n'ont pas été épargnés.
Nous avons:
-
12 ports RJ-45 configurables (GBE) ;
-
2 ports SFP configurables (GBE) ;
-
2 ports USB 3.0 avec prise en charge des modems 3G/4G.
Figure 1. Vue générale du ZyWALL VPN1000.
Il convient de noter tout de suite que l'appareil n'est pas destiné à un bureau à domicile, principalement en raison des ventilateurs efficaces. Il y en a quatre ici.
Figure 2. Panneau arrière du ZyWALL VPN1000.
Voyons à quoi ressemble l'interface.
Immédiatement, il convient de prêter attention à une circonstance importante. Il y a beaucoup de fonctions, et il ne sera pas possible de les décrire en détail dans le cadre d'un seul article. Mais ce qui est bien avec les produits Zyxel, c'est qu'il y a une documentation très détaillée, en premier lieu, le manuel d'utilisation (administrateur). Alors pour avoir une idée de la richesse des fonctionnalités, passons simplement en revue les onglets.
Par défaut, le port 1 et le port 2 sont attribués au WAN. À partir du troisième port, il existe des interfaces pour le réseau local.
Le 3ème port avec l'IP par défaut 192.168.1.1 est tout à fait adapté à la connexion.
Nous connectons le cordon de raccordement, allons à l'adresse et vous pouvez observer la fenêtre d'enregistrement de l'utilisateur de l'interface Web.
Noter. Pour la gestion, vous pouvez utiliser le système de gestion cloud SD-WAN.
Figure 3. Fenêtre de saisie de l'identifiant et du mot de passe
Nous suivons la procédure de saisie d'un identifiant et d'un mot de passe et obtenons la fenêtre du tableau de bord à l'écran. En fait, comme il se doit pour le tableau de bord - un maximum d'informations opérationnelles sur chaque morceau d'espace d'écran.
Figure 4. ZyWALL VPN1000 - Tableau de bord.
Onglet Configuration rapide (Assistants)
Il y a deux assistants dans l'interface : pour configurer le WAN et configurer le VPN. En fait, les assistants sont une bonne chose, ils vous permettent d'effectuer des réglages de modèle sans même avoir d'expérience avec l'appareil. Eh bien, pour ceux qui en veulent plus, comme mentionné ci-dessus, il existe une documentation détaillée.
Figure 5. Onglet Configuration rapide.
Onglet Surveillance
Apparemment, les ingénieurs de Zyxel ont décidé de suivre le principe : nous surveillons tout ce qui est possible. Bien sûr, pour un appareil qui agit comme un nœud central, le contrôle total ne fait pas de mal du tout.
Même en développant simplement tous les éléments de la barre latérale, la richesse du choix devient évidente.
Figure 6. Onglet Surveillance avec sous-éléments développés.
Onglet Configuration
Ici, la richesse des fonctionnalités est encore plus évidente.
Par exemple, la gestion des ports de l'appareil est très bien conçue.
Figure 7. Onglet Configuration avec sous-éléments développés.
Onglet Entretien
Contient des sous-sections pour la mise à jour du micrologiciel, les diagnostics, l'affichage des règles de routage et l'arrêt.
Ces fonctions sont de nature auxiliaire et sont présentes d'une manière ou d'une autre dans presque tous les périphériques réseau.
Figure 8. Onglet Maintenance avec sous-éléments développés.
Caractéristiques comparatives
Notre examen serait incomplet sans une comparaison avec d'autres analogues.
Vous trouverez ci-dessous un tableau des analogues les plus proches de ZyWALL VPN1000 et une liste de fonctionnalités à comparer.
Tableau 1. Comparaison du ZyWALL VPN1000 avec des analogues.
Explications pour le tableau 1 :
*1 : Licence requise
*2 : Low Touch Provision : l'administrateur doit d'abord configurer l'appareil localement avant ZTP.
*3 : Basé sur la session : le DPS ne s'appliquera qu'à une nouvelle session ; cela n'affectera pas la session en cours.
Comme vous pouvez le voir, les analogues rattrapent le héros de notre examen à certains égards, par exemple, Fortinet FG‑100E a également une optimisation WAN intégrée, et Meraki MX100 a un AutoVPN intégré (site à site) fonction, mais en général, ZyWALL VPN1000 est sans ambiguïté en tête.
Lignes directrices pour le choix des appareils pour le site central (pas seulement Zyxel)
Lors du choix des appareils pour organiser un nœud central d'un réseau étendu avec de nombreuses succursales, il convient de se concentrer sur un certain nombre de paramètres: capacités techniques, facilité de gestion, sécurité et tolérance aux pannes.
Un large éventail de fonctions, un grand nombre de ports physiques avec possibilité de configuration flexible : WAN, LAN, DMZ et la présence d'autres fonctionnalités intéressantes, comme un contrôleur de gestion des points d'accès, vous permettent de fermer de nombreuses tâches à la fois.
La disponibilité de la documentation et une interface de gestion pratique jouent un rôle important.
Avec des choses aussi simples en apparence, il n'est pas si difficile de créer des infrastructures réseau qui capturent divers sites et emplacements, et l'utilisation du cloud SD-WAN vous permet de le faire de la manière la plus flexible et la plus sécurisée possible.
Liens utiles
Source: habr.com