Wat te sykjen as jo in VPN-router kieze foar in ferspraat netwurk? En hokker funksjes moat it hawwe? Dit is wat ús ZyWALL VPN1000-resinsje is wijd oan.
Ynlieding
Earder wiene de measte fan ús publikaasjes wijd oan leech-ein VPN-apparaten foar netwurk tagong fan perifeare siden. Bygelyks om ferskate tûken te ferbinen mei it haadkantoar, tagong ta it Netwurk fan lytse ûnôfhinklike bedriuwen, of sels partikuliere huzen. It is tiid om te praten oer it sintrale knooppunt foar it ferspraat netwurk.
It is dúdlik dat it net mooglik is om in moderne netwurk fan in grutte ûndernimming te bouwen allinich op basis fan ekonomyske apparaten. En organisearje in wolktsjinst om ek tsjinsten oan konsuminten te leverjen. Earne moat der apparatuer ynstalleare wurde dy't in grut tal kliïnten tagelyk tsjinje kin. Dizze kear sille wy prate oer ien sa'n apparaat - Zyxel VPN1000.
Foar sawol grutte as lytse dielnimmers yn netwurk útwikseling, is it mooglik om te identifisearjen kritearia dêr't de geskiktheid fan in bepaald apparaat foar it oplossen fan in probleem wurdt beoardiele.
Hjirûnder binne de wichtichste:
- technyske en funksjonele mooglikheden;
- kontrôle;
- feilichheid;
- marzje foar flaters.
It is dreech om te bepalen wat wichtiger is en wat kin sûnder. Alles is nedich. As it apparaat neffens guon kritearia net oan de easken foldocht, is dat yn 'e takomst beladen mei problemen.
Beskate skaaimerken fan apparaten ûntworpen om de wurking fan sintrale ienheden en apparatuer te garandearjen dy't benammen op 'e perifery wurkje, kinne lykwols signifikant ferskille.
Foar de sintrale knooppunt komt earst komputerkrêft - dit liedt ta twongen koeling, en, dus, lûd fan 'e fan. Foar perifeare apparaten, dy't typysk lizze yn kantoaren en huzen, is lawaaiige operaasje hast net akseptabel.
In oar nijsgjirrich punt is de ferdieling fan havens. Yn perifeare apparaten is min of mear dúdlik hoe't it brûkt wurde sil en hoefolle kliïnten ferbûn wurde. Dêrom kinne jo in strikte ferdieling fan havens ynstelle yn WAN, LAN, DMZ, strikt bine oan it protokol, ensfh. Der is net sa'n wissichheid op de sintrale hub. Wy hawwe bygelyks in nij netwurksegment tafoege dat ferbining fereasket fia in eigen ynterface - en hoe dit te dwaan? Dit fereasket in mear universele oplossing mei de mooglikheid om fleksibele ynterfaces te konfigurearjen.
In wichtige nuânse is dat it apparaat ryk is yn ferskate funksjes. Fansels hat de oanpak fan ien stik apparatuer in inkele taak goed út te fieren syn foardielen. Mar de meast nijsgjirrige situaasje begjint as jo moatte nimme in stap nei lofts, in stap nei rjochts. Fansels kinne jo mei elke nije taak ek in oar doelapparaat keapje. En sa oant it budzjet of rekromte op is.
Yn tsjinstelling, in útwreide set fan funksjes kinne jo krije troch mei ien apparaat by it oplossen fan ferskate problemen. Bygelyks, de ZyWALL VPN1000 stipet meardere soarten VPN-ferbiningen, ynklusyf SSL en IPsec VPN, en ek ferbiningen op ôfstân foar meiwurkers. Dat is, ien stik hardware beslacht de problemen fan sawol cross-site as kliïntferbiningen. Mar der is ien "mar". Om dit te wurkjen moatte jo in prestaasjereserve hawwe. Bygelyks, yn 't gefal fan' e ZyWALL VPN1000, leveret de IPsec VPN-hardware-kearn hege VPN-tunnelprestaasjes, en VPN-balancing / redundânsje mei SHA-2 en IKEv2-algoritmen leveret hege betrouberens en feiligens foar bedriuw.
Hjirûnder steane wat nuttige funksjes dy't ien of mear fan 'e hjirboppe beskreaune gebieten dekke.
SD WAN biedt in platfoarm foar wolkbehear, en wint de foardielen fan sintralisearre behear fan kommunikaasje tusken siden mei de mooglikheid om op ôfstân te kontrolearjen en te kontrolearjen. ZyWALL VPN1000 stipet ek de oerienkommende modus fan operaasje dêr't avansearre VPN funksjes binne nedich.
Stipe foar wolkplatfoarms foar missy-krityske tsjinsten. ZyWALL VPN1000 wurdt hifke foar gebrûk mei Microsoft Azure en AWS. It gebrûk fan pre-teste apparaten is de foarkar foar in organisaasje fan elk nivo, benammen as de IT-ynfrastruktuer in kombinaasje fan lokaal netwurk en wolk brûkt.
Ynhâld filterjen Fersterket feiligens troch blokkearjen fan tagong ta kweade of net winske websiden. Foarkomt dat malware wurdt ynladen fan net-fertroude of hackde siden. Yn it gefal fan ZyWALL VPN1000 is in jierlikse lisinsje foar dizze tsjinst al opnommen yn it pakket.
Geo-polityk (Geo IP) kinne jo it ferkear kontrolearje en de lokaasje fan IP-adressen analysearje, tagong wegerje fan ûnnedige of potinsjeel gefaarlike regio's. In jierlikse lisinsje foar dizze tsjinst is ek opnommen by it keapjen fan it apparaat.
Triedleaze netwurkbehear De ZyWALL VPN1000 omfettet in draadloze netwurkkontrôler wêrmei jo maksimaal 1032 tagongspunten kinne beheare fanút in sintralisearre brûkersynterface. Bedriuwen kinne in beheard Wi-Fi-netwurk ynsette of útwreidzje mei minimale ynspanning. It is de muoite wurdich opskriuwen dat it nûmer 1032 is echt in protte. Op grûn fan 'e berekkening dat maksimaal 10 brûkers kinne ferbine mei ien tagongspunt, is dit in frij yndrukwekkend figuer.
Balansearjen en oerstalligens. De VPN-searje stipet loadbalancing en redundânsje oer meardere eksterne ynterfaces. Dat is, jo kinne ferskate kanalen ferbine fan ferskate providers, sadat jo josels beskermje fan kommunikaasjeproblemen.
Mooglikheid fan apparaat oerstallich (Apparaat HA) foar non-stop ferbining, sels as ien fan de apparaten mislearret. It is lestich om sûnder dit te dwaan as jo wurk 24/7 moatte organisearje mei minimale downtime.
Zyxel Device HA Pro wurket yn aktyf / passyf, dy't gjin komplekse opsetproseduere fereasket. Hjirmei kinne jo de yntreedrompel ferleegje en fuortendaliks begjinne mei it brûken fan it reservaat. Oars as aktyf / aktyf, as de systeembehearder ekstra training moat ûndergean, dynamyske routing ynstelle kinne, begripe wat asymmetryske pakketten binne, ensfh. - modus ynstelling aktyf / passyf It wurket folle makliker en freget minder tiid.
By it brûken fan Zyxel Device HA Pro wikselje apparaten sinjalen út heartbeat fia in tawijd haven. Aktive en passive apparaat havens foar heartbeat ferbûn fia in Ethernet kabel. It passive apparaat syngronisearret ynformaasje folslein mei it aktive apparaat. Benammen alle sesjes, tunnels en brûkersaccounts wurde syngronisearre tusken apparaten. Derneist ûnderhâldt it passive apparaat in reservekopy fan it konfiguraasjetriem yn gefal dat it aktive apparaat mislearret. Dit soarget foar in naadleaze oergong yn gefal fan in primêre apparaatfal.
It is de muoite wurdich opskriuwen dat yn aktive systemen/aktyf jo moatte noch 20-25% fan systeemboarnen reservearje foar failover. By aktyf / passyf ien apparaat is hielendal yn standby steat, en is ree om fuortendaliks ferwurkje netwurk ferkear en ûnderhâlden normale netwurk operaasje.
Yn ienfâldige termen: "By it brûken fan it Zyxel Device HA Pro en it hawwen fan in reservekopykanaal, wurdt it bedriuw beskerme sawol tsjin ferlies fan kommunikaasje troch de skuld fan 'e provider, as tsjin problemen dy't it gefolch binne fan it mislearjen fan 'e router.
Gearfetting fan al it boppesteande
Foar it sintrale knooppunt fan in ferspraat netwurk is it better om in apparaat te brûken mei in bepaald oanbod fan havens (ferbiningsinterfaces). Yn dit gefal is it winsklik om te hawwen sawol RJ45 Schnittstellen foar ienfâld en kosten-effektive ferbining, en SFP foar in kieze tusken in glêstried ferbining en twisted pear.
Dit apparaat moat wêze:
- produktyf, oanpast oan hommelse feroarings yn lading;
- mei in dúdlike ynterface;
- mei in ryk, mar net oerstallich oantal ynboude funksjes, ynklusyf dy yn ferbân mei feiligens;
- mei de mooglikheid om flater-tolerante circuits te bouwen - kanaalduplikaasje en apparaatduplikaasje;
- it stypjen fan behear sadat de hiele fertakte ynfrastruktuer yn 'e foarm fan in sintrale knooppunt en perifeare apparaten kinne wurde beheard fan ien punt;
- as "kers op 'e taart" - stipe foar moderne trends lykas yntegraasje mei wolkboarnen ensafuorthinne.
ZyWALL VPN1000 as de sintrale knooppunt fan it netwurk
Op it earste each op de ZyWALL VPN1000 is it dúdlik dat Zyxel gjin havens sparre.
Wy hawwe:
-
12 konfigurearbere RJ-45 (GBE) havens;
-
2 ynstelbere SFP havens (GBE);
-
2 USB 3.0-ports mei stipe foar 3G/4G-modems.
figuer 1. Algemiene werjefte fan ZyWALL VPN1000.
Dêrby moat opmurken wurde dat it apparaat is net foar in thús kantoar, benammen fanwege de krêftige fans. Der binne fjouwer fan harren hjir.
figuer 2. ZyWALL VPN1000 efterkant paniel.
Litte wy sjen hoe't de ynterface derút sjocht.
Jo moatte fuortendaliks omtinken jaan oan in wichtige omstannichheid. D'r binne in protte funksjes, en it sil net mooglik wêze om se yn detail yn ien artikel te beskriuwen. Mar wat goed is oer Zyxel-produkten is dat d'r heul detaillearre dokumintaasje is, earst fan alle, de brûker (behearder) hantlieding. Dêrom, om in idee te krijen fan 'e rykdom oan funksjes, litte wy gewoan troch de ljeppers gean.
Standert wurde poarte 1 en poarte 2 tawiisd oan WAN. Fanôf de tredde poarte binne d'r ynterfaces foar it lokale netwurk.
De 3e poarte mei standert IP 192.168.1.1 is hiel geskikt foar ferbining.
Wy ferbine it patchcord, gean nei it adres en jo kinne it brûkersregistraasjefinster fan 'e webynterface observearje.
remark. Foar behear kinne jo it SD-WAN-wolkbehearsysteem brûke.
figuer 3. Finster foar it ynfieren fan login en wachtwurd
Wy geane troch de proseduere fan it ynfieren fan de oanmelding en wachtwurd en krije it Dashboard-finster op it skerm. Eins, sa't it moat wêze foar in Dashboard - maksimale operasjonele ynformaasje op elk stik skermromte.
figuer 4. ZyWALL VPN1000 - Dashboard.
Quick Setup Tab (Wizards)
D'r binne twa assistinten yn 'e ynterface: foar it ynstellen fan in WAN en it ynstellen fan in VPN. Yn feite binne assistinten in goede saak; se kinne jo sjabloanynstellingen útfiere, sels sûnder ûnderfining te hawwen mei it wurkjen mei it apparaat. No, foar dyjingen dy't mear wolle, lykas hjirboppe neamd, is d'r detaillearre dokumintaasje.
figuer 5. Quick Setup ljepper.
Tafersjoch ljepper
Blykber hawwe de yngenieurs fan Zyxel besletten om it prinsipe te folgjen: wy kontrolearje alles wat wy kinne. Fansels, foar in apparaat dat fungearret as in sintrale hub, totale kontrôle sil hielendal net sear.
Sels allinich it útwreidzjen fan alle items op 'e sydbalke, wurdt de rykdom oan keuze dúdlik.
figuer 6. Monitoring ljepper mei útwreide sub-items.
Konfiguraasje ljepper
Hjir is de skat oan funksjes noch dúdliker.
Bygelyks, it apparaat haven behear is hiel moai ûntwurpen.
figuer 7. Konfiguraasje ljepper mei útwreide sub-items.
Underhâld ljepper
Befettet subseksjes foar it bywurkjen fan firmware, diagnostyk, besjen fan routingregels en ôfslute.
Dizze funksjes binne fan in auxiliary aard en binne oanwêzich yn ien of oare graad yn hast elk netwurk apparaat.
figuer 8. Underhâld ljepper mei útwreide sub-items.
Fergelikende skaaimerken
Us resinsje soe ûnfolslein wêze sûnder ferliking mei oare analogen.
Hjirûnder is in tabel mei analogen it tichtst by ZyWALL VPN1000 en in list mei funksjes foar fergeliking.
Tabel 1. Fergeliking fan ZyWALL VPN1000 mei analogen.
Taljochtingen foar tabel 1:
* 1: Lisinsje fereaske
*2: Low Touch Provision: De behearder moat earst it apparaat lokaal konfigurearje foar ZTP.
*3: Sesje basearre: DPS sil allinich jilde foar nije sesje; dit sil gjin ynfloed op de aktuele sesje.
Sa't jo sjen kinne, ynhelje de analogen op guon manieren de held fan ús resinsje, bygelyks de Fortinet FG-100E hat ek ynboude WAN-optimalisaasje, en de Meraki MX100 hat in ynboude AutoVPN (site-to -site) funksje, mar yn 't algemien is de ZyWALL VPN1000 unambiguous yn syn wiidweidige set fan funksjes yn' e lieding.
Oanbefellings by it kiezen fan apparaten foar it sintrale knooppunt (net allinich Zyxel)
By it kiezen fan apparaten foar it organisearjen fan it sintrale knooppunt fan in wiidweidich netwurk mei in protte tûken, moatte jo rjochtsje op in oantal parameters: technyske mooglikheden, gemak fan behear, feiligens en fouttolerânsje.
In breed oanbod fan funksjes, in grut oantal fysike havens mei fleksibele konfiguraasje: WAN, LAN, DMZ en de oanwêzigens fan oare moaie funksjes, lykas in tagong punt behear controller, kinne jo folje in protte taken tagelyk.
In wichtige rol wurdt spile troch de beskikberens fan dokumintaasje en in handige behear ynterface.
Mei sokke skynber ienfâldige dingen by de hân, is it net sa dreech om netwurkynfrastruktueren te meitsjen dy't ferskate siden en lokaasjes spanne, en it brûken fan 'e SD-WAN-wolk lit jo dit dwaan mei maksimale fleksibiliteit en feiligens.
Nuttige keppelings
Boarne: www.habr.com