Que buscar ao elixir un enrutador VPN para unha rede distribuída? E que funcións debería ter? Isto é ao que se dedica a nosa revisión de ZyWALL VPN1000.
Introdución
Anteriormente, a maioría das nosas publicacións estaban dedicadas a dispositivos VPN de gama baixa para o acceso á rede desde sitios periféricos. Por exemplo, para conectar varias sucursais coa sede, o acceso á Rede de pequenas empresas independentes, ou mesmo vivendas particulares. É hora de falar do nodo central para a rede distribuída.
Está claro que non será posible construír unha rede moderna dunha gran empresa só baseándose en dispositivos de clase económica. E organizar un servizo na nube para ofrecer servizos aos consumidores tamén. Nalgún lugar debe haber equipos instalados que poidan servir a un gran número de clientes ao mesmo tempo. Esta vez falaremos dun dispositivo deste tipo: Zyxel VPN1000.
Tanto para os participantes grandes como para os pequenos participantes no intercambio de rede, é posible identificar os criterios polos que se avalía a idoneidade dun dispositivo particular para resolver un problema.
Abaixo amósanse os principais:
- capacidades técnicas e funcionais;
- control;
- seguridade;
- tolerancia a fallos.
É difícil determinar o que é máis importante e o que se pode facer sen. Todo é necesario. Se o dispositivo non cumpre os requisitos segundo algún criterio, isto está cheo de problemas no futuro.
Non obstante, certas características dos dispositivos deseñados para garantir o funcionamento das unidades centrais e dos equipos que operan principalmente na periferia poden diferir significativamente.
Para o nodo central, a potencia de computación é o primeiro: isto leva a un arrefriamento forzado e, en consecuencia, o ruído do ventilador. Para os dispositivos periféricos, que normalmente se atopan en oficinas e casas, o funcionamento ruidoso é case inaceptable.
Outro punto interesante é a distribución dos portos. Nos dispositivos periféricos está máis ou menos claro como se utilizará e cantos clientes se conectarán. Polo tanto, pode establecer unha división estrita de portos en WAN, LAN, DMZ, unirse estrictamente ao protocolo, etc. Non hai tal certeza no centro central. Por exemplo, engadimos un novo segmento de rede que require conexión a través da súa propia interface, e como facelo? Isto require unha solución máis universal coa capacidade de configurar interfaces de forma flexible.
Un matiz importante é que o dispositivo é rico en varias funcións. Por suposto, o enfoque de que un equipo realice ben unha única tarefa ten as súas vantaxes. Pero a situación máis interesante comeza cando hai que dar un paso á esquerda, un paso á dereita. Por suposto, con cada tarefa nova tamén podes mercar outro dispositivo de destino. E así ata que se esgote o orzamento ou o espazo no rack.
Pola contra, un conxunto ampliado de funcións permítelle saír adiante cun dispositivo ao resolver varios problemas. Por exemplo, o ZyWALL VPN1000 admite varios tipos de conexións VPN, incluíndo SSL e VPN IPsec, así como conexións remotas para os empregados. É dicir, unha peza de hardware cobre os problemas das conexións entre sitios e clientes. Pero hai un "pero". Para que isto funcione, cómpre ter unha reserva de rendemento. Por exemplo, no caso do ZyWALL VPN1000, o núcleo de hardware IPsec VPN proporciona un alto rendemento do túnel VPN e o equilibrio/redundancia VPN cos algoritmos SHA-2 e IKEv2 proporciona unha alta fiabilidade e seguridade para as empresas.
A continuación móstranse algunhas funcións útiles que cobren unha ou máis das áreas descritas anteriormente.
SD WAN ofrece unha plataforma para a xestión na nube, obtendo os beneficios da xestión centralizada das comunicacións entre sitios coa posibilidade de controlar e supervisar de forma remota. ZyWALL VPN1000 tamén admite o modo de operación correspondente onde se requiren funcións VPN avanzadas.
Soporte para plataformas na nube para servizos de misión crítica. ZyWALL VPN1000 probouse para usar con Microsoft Azure e AWS. O uso de dispositivos previamente probados é preferible para unha organización de calquera nivel, especialmente se a infraestrutura de TI utiliza unha combinación de rede local e nube.
Filtrado de contidos Fortalece a seguridade bloqueando o acceso a sitios web maliciosos ou non desexados. Evita que se descargue malware de sitios non fiables ou pirateados. No caso de ZyWALL VPN1000, no paquete xa se inclúe unha licenza anual para este servizo.
Xeopolítica (IP xeográfica) permítenche supervisar o tráfico e analizar a localización dos enderezos IP, negando o acceso a rexións innecesarias ou potencialmente perigosas. Tamén se inclúe unha licenza anual para este servizo ao mercar o dispositivo.
Xestión de redes sen fíos O ZyWALL VPN1000 inclúe un controlador de rede sen fíos que che permite xestionar ata 1032 puntos de acceso desde unha interface de usuario centralizada. As empresas poden implantar ou ampliar unha rede wifi xestionada cun mínimo esforzo. Paga a pena notar que o número 1032 é realmente moito. Segundo o cálculo de que ata 10 usuarios poden conectarse a un punto de acceso, esta é unha cifra bastante impresionante.
Equilibrio e redundancia. A serie VPN admite o equilibrio de carga e a redundancia en múltiples interfaces externas. É dicir, pode conectar varias canles de varios provedores, protexéndose así de problemas de comunicación.
Posibilidade de redundancia do dispositivo (Dispositivo HA) para a conexión sen parar, mesmo cando un dos dispositivos falla. É difícil prescindir diso se necesitas organizar o traballo 24 horas ao día, 7 días ao día, cun tempo de inactividade mínimo.
Zyxel Device HA Pro funciona en activo/pasivo, que non require un procedemento de configuración complexo. Isto permítelle baixar o limiar de entrada e comezar inmediatamente a utilizar a reserva. A diferenza activo/activo, cando o administrador do sistema necesite recibir formación adicional, poder configurar o enrutamento dinámico, comprender o que son os paquetes asimétricos, etc. - Configuración do modo activo/pasivo Funciona moito máis doado e require menos tempo.
Cando se usa Zyxel Device HA Pro, os dispositivos intercambian sinais latido cardíaco a través dun porto dedicado. Portos de dispositivos activos e pasivos para latido cardíaco conectado mediante un cable Ethernet. O dispositivo pasivo sincroniza completamente a información co dispositivo activo. En particular, todas as sesións, túneles e contas de usuario están sincronizadas entre dispositivos. Ademais, o dispositivo pasivo mantén unha copia de seguridade do ficheiro de configuración no caso de que falle o dispositivo activo. Isto garante unha transición sen problemas en caso de fallo do dispositivo principal.
Paga a pena notar que nos sistemas activos/activo aínda tes que reservar o 20-25% dos recursos do sistema para a conmutación por fallo. Ás activo/pasivo un dispositivo está totalmente en estado de espera e está preparado para procesar inmediatamente o tráfico da rede e manter o funcionamento normal da rede.
En termos sinxelos: "Ao usar o dispositivo Zyxel HA Pro e ter unha canle de copia de seguridade, a empresa está protexida tanto da perda de comunicación por culpa do provedor como dos problemas derivados da falla do enrutador.
Resumindo todo o anterior
Para o nodo central dunha rede distribuída, é mellor usar un dispositivo cunha determinada oferta de portos (interfaces de conexión). Neste caso, é desexable ter tanto interfaces RJ45 para unha conexión sinxela e rendible, como SFP para escoller entre unha conexión de fibra óptica e un par trenzado.
Este dispositivo debe ser:
- produtivo, adaptado aos cambios bruscos de carga;
- cunha interface clara;
- cun número rico, pero non excesivo, de funcións integradas, incluídas as relacionadas coa seguridade;
- coa capacidade de construír circuítos tolerantes a fallos: duplicación de canles e duplicación de dispositivos;
- apoiar a xestión para que toda a infraestrutura ramificada en forma de nodo central e dispositivos periféricos se poida xestionar desde un punto;
- como "cherry on the cake" - soporte para tendencias modernas como a integración con recursos na nube, etc.
ZyWALL VPN1000 como nodo central da rede
A primeira vista no ZyWALL VPN1000, está claro que Zyxel non sobraba portos.
Temos:
-
12 portos configurables RJ-45 (GBE);
-
2 portos SFP configurables (GBE);
-
2 portos USB 3.0 con soporte para módems 3G/4G.
Figura 1. Vista xeral de ZyWALL VPN1000.
Hai que ter en conta de inmediato que o dispositivo non é para unha oficina na casa, principalmente debido aos poderosos ventiladores. Aquí hai catro.
Figura 2. Panel traseiro de ZyWALL VPN1000.
Vexamos como é a interface.
Debes prestar atención inmediatamente a unha circunstancia importante. Hai moitas funcións, e non será posible describilas en detalle nun artigo. Pero o bo dos produtos Zyxel é que hai documentación moi detallada, en primeiro lugar, o manual do usuario (administrador). Polo tanto, para facerse unha idea da riqueza de funcións, imos só pasar polas pestanas.
Por defecto, os portos 1 e 2 están asignados á WAN. A partir do terceiro porto hai interfaces para a rede local.
O terceiro porto con IP predeterminada 3 é bastante axeitado para a conexión.
Conectamos o cable de conexión, imos ao enderezo e podes observar a xanela de rexistro de usuario da interface web.
Nota. Para a xestión, pode utilizar o sistema de xestión de nube SD-WAN.
Figura 3. Ventá para introducir o inicio de sesión e o contrasinal
Seguimos o procedemento de introducir o inicio de sesión e o contrasinal e aparece a xanela Dashboard na pantalla. En realidade, como debería ser para un panel: a máxima información operativa en cada espazo da pantalla.
Figura 4. ZyWALL VPN1000 - Panel de control.
Pestana Configuración rápida (Asistentes)
Hai dous asistentes na interface: para configurar unha WAN e configurar unha VPN. De feito, os asistentes son unha boa cousa; permítenche realizar axustes de modelos mesmo sen ter experiencia co dispositivo. Pois ben, para os que queiran máis, como se mencionou anteriormente, hai documentación detallada.
Figura 5. Pestana Configuración rápida.
Ficha de seguimento
Ao parecer, os enxeñeiros de Zyxel decidiron seguir o principio: supervisamos todo o que podemos. Por suposto, para un dispositivo que actúa como un hub central, o control total non doerá nada.
Incluso con só expandir todos os elementos da barra lateral, a riqueza da elección faise obvia.
Figura 6. Pestana de seguimento con subelementos expandidos.
Ficha Configuración
Aquí a riqueza de funcións é aínda máis evidente.
Por exemplo, a xestión de portos do dispositivo está moi ben deseñada.
Figura 7. Pestana Configuración con subelementos expandidos.
Ficha de mantemento
Contén subseccións para actualizar o firmware, diagnósticos, ver regras de enrutamento e apagar.
Estas funcións son de carácter auxiliar e están presentes nun ou outro grao en case todos os dispositivos da rede.
Figura 8. Pestana de mantemento con subelementos ampliados.
Características comparativas
A nosa revisión estaría incompleta sen a comparación con outros análogos.
A continuación móstrase unha táboa de análogos máis próximos a ZyWALL VPN1000 e unha lista de funcións para comparar.
Táboa 1. Comparación de ZyWALL VPN1000 con análogos.
Explicacións para a táboa 1:
*1: Requírese licenza
*2: Provisión de baixo toque: o administrador debe configurar primeiro o dispositivo localmente antes de ZTP.
*3: Baseado na sesión: DPS só se aplicará á sesión nova; isto non afectará á sesión actual.
Como podes ver, nalgúns aspectos os análogos están a poñerse ao día co heroe da nosa revisión, por exemplo, o Fortinet FG-100E tamén ten unha optimización WAN integrada e o Meraki MX100 ten un AutoVPN integrado (de sitio para -site), pero en xeral, o ZyWALL VPN1000 é inequívoco no seu conxunto completo de funcións está á cabeza.
Recomendacións ao elixir dispositivos para o nodo central (non só Zyxel)
Ao elixir dispositivos para organizar o nodo central dunha rede extensa con moitas ramas, debes centrarte nunha serie de parámetros: capacidades técnicas, facilidade de xestión, seguridade e tolerancia a fallos.
Unha ampla gama de funcións, un gran número de portos físicos con configuración flexible: WAN, LAN, DMZ e a presenza doutras funcións agradables, como un controlador de xestión de puntos de acceso, permítenche completar moitas tarefas á vez.
Un papel importante ten a dispoñibilidade de documentación e unha interface de xestión conveniente.
Tendo a man cousas tan aparentemente sinxelas, non é tan difícil crear infraestruturas de rede que abranguen varios sitios e localizacións, e o uso da nube SD-WAN permíteche facelo coa máxima flexibilidade e seguridade.
Ligazóns útiles
Fonte: www.habr.com