🥇Pauk za web ili središnji čvor distribuirane mreže

Što tražiti pri odabiru VPN usmjerivača za distribuiranu mrežu? I koje karakteristike treba imati? Tome je posvećena naša recenzija ZyWALL VPN1000.

Uvod

Prije toga, većina naših publikacija bila je posvećena junior VPN uređajima za pristup mreži s perifernih uređaja. Na primjer, za povezivanje raznih podružnica sa sjedištem, pristup Mreži malih neovisnih tvrtki ili čak privatnih kuća. Vrijeme je da govorimo o središnjem čvoru za distribuiranu mrežu.

Jasno je da neće uspjeti izgraditi modernu mrežu velikog poduzeća samo na temelju uređaja ekonomske klase. I organizirajte uslugu u oblaku za pružanje usluga potrošačima - također. Negdje se mora instalirati oprema koja može opsluživati veliki broj kupaca u isto vrijeme. Ovaj put ćemo govoriti o jednom takvom uređaju - Zyxel VPN1000.

I za velike i za male sudionike mrežne razmjene mogu se razlikovati kriteriji po kojima se ocjenjuje prikladnost pojedinog uređaja za rješavanje problema.

U nastavku su glavni:

tehničke i funkcionalne sposobnosti;
kontrolirati;
sigurnost;
tolerancija kvarova.

Teško je razlučiti što je važnije, a bez čega se može. Sve je potrebno. Ako uređaj prema nekom kriteriju ne dostigne razinu zahtjeva, to je prepuno problema u budućnosti.

Međutim, određene značajke uređaja dizajniranih da osiguraju rad središnjih čvorova i opreme koja radi uglavnom na periferiji mogu se značajno razlikovati.

Za središnji čvor, računalna snaga je na prvom mjestu - to dovodi do prisilnog hlađenja, a time i buke ventilatora. Za periferne uređaje, koji se obično nalaze u uredima i stambenim područjima, bučan rad gotovo je neprihvatljiv.

Još jedna zanimljiva točka je distribucija luka. Kod perifernih uređaja više-manje je jasno kako će se koristiti i koliko će klijenata biti spojeno. Stoga možete postaviti hard particioniranje portova na WAN, LAN, DMZ, izvršiti hard binding na protokol, i tako dalje. U središnjem čvoru nema takve sigurnosti. Na primjer, dodali su novi mrežni segment koji zahtijeva povezivanje preko vlastitog sučelja - a kako to učiniti? To zahtijeva univerzalnije rješenje s mogućnošću fleksibilne konfiguracije sučelja.

Važna nijansa je zasićenost uređaja raznim funkcijama. Naravno, postoje prednosti kada jedan komad opreme dobro obavlja jedan posao. Ali najzanimljivija situacija počinje kada trebate napraviti korak ulijevo, korak udesno. Naravno, za svaki novi zadatak možete dodatno kupiti još jedan ciljni uređaj. I tako dok ne ponestane proračuna ili prostora na stalku.

Nasuprot tome, prošireni skup funkcija omogućuje vam da s jednim uređajem rješavate nekoliko problema. Na primjer, ZyWALL VPN1000 podržava nekoliko vrsta VPN veza, uključujući SSL i IPsec VPN, kao i udaljene veze za zaposlenike. Odnosno, jedan "komad željeza" zatvara probleme veza između mjesta i klijenata. Ali postoji jedan "ali". Da bi ovo funkcioniralo, morate imati marginu performansi. Na primjer, u slučaju ZyWALL VPN1000, IPsec VPN hardverska jezgra pruža visoke performanse VPN tunela, dok VPN balansiranje/redundancija sa SHA-2 i IKEv2 algoritmima osigurava visoku pouzdanost i poslovnu sigurnost.

Dolje su navedene neke korisne značajke koje pokrivaju jedan ili više gore opisanih smjerova.

SD WAN pruža platformu za upravljanje oblakom, koristeći prednosti centraliziranog upravljanja komunikacijom između stranica s mogućnošću daljinskog upravljanja i nadzora. ZyWALL VPN1000 također podržava odgovarajući način rada gdje su potrebne napredne VPN značajke.

Podrška za platforme u oblaku za kritične usluge. ZyWALL VPN1000 potvrđen je za korištenje s Microsoft Azure i AWS. Korištenje prethodno provjerenih uređaja poželjno je za bilo koju razinu organizacije, osobito ako IT infrastruktura koristi kombinaciju lokalne mreže i oblaka.

Filtriranje sadržaja povećava sigurnost blokiranjem pristupa zlonamjernim ili neželjenim web stranicama. Sprječava preuzimanje zlonamjernog softvera s nepouzdanih ili hakiranih stranica. U slučaju ZyWALL VPN1000, godišnja licenca za ovu uslugu je odmah uključena u paket.

Geo politike (GeoIP) omogućuju vam praćenje prometa i analizu lokacije IP adresa, zabranjujući pristup iz nepotrebnih ili potencijalno opasnih regija. Uz kupnju uređaja uključena je i godišnja licenca za ovu uslugu.

Upravljanje bežičnom mrežom ZyWALL VPN1000 uključuje bežični mrežni kontroler koji vam omogućuje upravljanje do 1032 pristupne točke iz centraliziranog korisničkog sučelja. Tvrtke mogu implementirati ili proširiti upravljanu Wi-Fi mrežu uz minimalan napor. Vrijedi napomenuti da je broj 1032 zaista puno. Na temelju činjenice da se na jednu pristupnu točku može spojiti do 10 korisnika, dobiva se prilično impresivna brojka.

Balansiranje i redundantnost. VPN serija podržava balansiranje opterećenja i redundanciju na više vanjskih sučelja. Odnosno, možete povezati nekoliko kanala od nekoliko pružatelja usluga, čime se zaštitite od problema s komunikacijom.

Mogućnost redundantnosti uređaja (uređaj HA) za non-stop vezu, čak i kada jedan od uređaja zakaže. Teško je bez njega ako trebate organizirati rad 24/7 s minimalnim zastojima.

Stigao je Zyxel Device HA Pro aktivno pasivno, koji ne zahtijeva kompliciranu proceduru postavljanja. Time možete sniziti ulazni prag i odmah početi koristiti rezervaciju. Za razliku od aktivan/aktivankada administrator sustava treba proći dodatnu obuku, moći konfigurirati dinamičko usmjeravanje, razumjeti što su asimetrični paketi itd. - podešavanje načina rada aktivno pasivno puno lakši i oduzima manje vremena.

Kada koristite Zyxel Device HA Pro, uređaji razmjenjuju signale otkucaj srca kroz namjenski port. Aktivni i pasivni priključci uređaja za otkucaj srca povezan putem Ethernet kabela. Pasivni uređaj u potpunosti sinkronizira podatke s aktivnim uređajem. Konkretno, sve sesije, tuneli, korisnički računi su sinkronizirani između uređaja. Osim toga, pasivni uređaj čuva sigurnosnu kopiju konfiguracijske datoteke u slučaju kvara aktivnog uređaja. Dakle, u slučaju kvara glavnog uređaja, prijelaz je besprijekoran.

Treba napomenuti da u aktivnim sustavima/ aktivni još uvijek morate rezervirati 20-25% resursa sustava za failover. Na aktivno pasivno jedan uređaj je potpuno u stanju pripravnosti i spreman je za trenutnu obradu mrežnog prometa i održavanje normalnog rada mreže.

Jednostavnim rječnikom rečeno: “Kada koristite Zyxel Device HA Pro i imate rezervni kanal, posao je zaštićen i od gubitka komunikacije zbog krivnje pružatelja i od problema kao rezultat kvara usmjerivača.

Rezimirajući sve navedeno

Za središnji čvor distribuirane mreže bolje je koristiti uređaj s određenim brojem priključaka (sučelja za povezivanje). Pritom je poželjno imati oba RJ45 sučelja radi jednostavnosti i jeftinosti povezivanja te SFP za izbor između optičke veze i upletene parice.

Ovaj uređaj mora biti:

produktivan, prilagođen nagloj promjeni opterećenja;
s jasnim sučeljem;
s bogatim, ali ne suvišnim brojem ugrađenih značajki, uključujući one povezane sa sigurnošću;
s mogućnošću izgradnje shema otpornih na pogreške - dupliciranje kanala i dupliciranje uređaja;
potporno upravljanje, tako da se cjelokupnom razgranatom infrastrukturom u obliku središnjeg čvora i perifernih uređaja upravlja s jedne točke;
kao "šlag na tortu" - podrška modernim trendovima poput integracije s resursima u oblaku i tako dalje.

ZyWALL VPN1000 kao središnje čvorište mreže

Kada prvi put pogledate ZyWALL VPN1000, možete vidjeti da portovi u Zyxelu nisu pošteđeni.

Imamo:

12 konfigurabilnih RJ-45 priključaka (GBE);
2 konfigurabilna SFP porta (GBE);
2 USB 3.0 priključka s podrškom za 3G/4G modeme.

Slika 1. Opći pogled na ZyWALL VPN1000.

Odmah treba napomenuti da uređaj nije za kućni ured, prvenstveno zbog učinkovitih ventilatora. Ovdje ih je četiri.

Slika 2. Stražnja ploča ZyWALL VPN1000.

Pogledajmo kako izgleda sučelje.

Odmah je vrijedno obratiti pažnju na važnu okolnost. Postoji mnogo funkcija i neće biti moguće detaljno opisati u okviru jednog članka. Ali ono što je dobro kod Zyxel proizvoda je da postoji vrlo detaljna dokumentacija, prije svega korisnički (administratorski) priručnik. Da bismo stekli predodžbu o bogatstvu značajki, prođimo samo kroz kartice.

Prema zadanim postavkama, port 1 i port 2 dodijeljeni su WAN-u. Počevši od trećeg porta, postoje sučelja za lokalnu mrežu.

Treći port sa zadanim IP-om 3 sasvim je prikladan za povezivanje.

Spojimo patch kabel, idite na adresu https://192.168.1.1 i možete promatrati prozor za registraciju korisnika web sučelja.

Primijetiti. Za upravljanje možete koristiti SD-WAN sustav upravljanja oblakom.

Slika 3. Prozor za unos prijave i lozinke

Prolazimo kroz postupak unosa prijave i lozinke i na ekranu dobivamo prozor nadzorne ploče. Zapravo, kako i treba biti za nadzornu ploču - maksimum operativnih informacija na svakom komadiću prostora na ekranu.

Slika 4. ZyWALL VPN1000 - Nadzorna ploča.

Kartica za brzo postavljanje (čarobnjaci)

Postoje dva pomoćnika u sučelju: za konfiguriranje WAN-a i konfiguriranje VPN-a. Zapravo, pomoćnici su dobra stvar, omogućuju vam da izvršite postavke predložaka bez da imate iskustva s uređajem. Pa, za one koji žele više, kao što je gore spomenuto, postoji detaljna dokumentacija.

Slika 5. Kartica Quick Setup.

Kartica za praćenje

Očito su inženjeri iz Zyxela odlučili slijediti načelo: pratimo sve što je moguće. Naravno, za uređaj koji djeluje kao središnji čvor, potpuna kontrola uopće ne škodi.

Čak i samo proširivanjem svih stavki na bočnoj traci, bogatstvo izbora postaje očito.

Slika 6. Kartica Monitoring s proširenim podstavkama.

Konfiguracijska kartica

Ovdje je bogatstvo značajki još očitije.

Na primjer, upravljanje priključkom uređaja je vrlo lijepo dizajnirano.

Slika 7. Kartica Konfiguracija s proširenim podstavkama.

Kartica održavanja

Sadrži pododjeljke za ažuriranje firmvera, dijagnostiku, pregled pravila usmjeravanja i isključivanje.

Ove funkcije su pomoćne prirode i prisutne su na ovaj ili onaj način u gotovo svakom mrežnom uređaju.

Slika 8. Kartica Održavanje s proširenim podstavkama.

Usporedne karakteristike

Naš pregled bi bio nepotpun bez usporedbe s drugim analozima.

Ispod je tablica najbližih analoga ZyWALL VPN1000 i popis značajki za usporedbu.

Tablica 1. Usporedba ZyWALL VPN1000 s analozima.

Objašnjenja za tablicu 1:

*1: Potrebna je licenca

*2: Low Touch Provision: Administrator mora prvo konfigurirati uređaj lokalno prije ZTP-a.

*3: Na temelju sesije: DPS će se primijeniti samo na novu sesiju; to neće utjecati na trenutnu sesiju.

Kao što vidite, analozi na neki način sustižu junaka naše recenzije, na primjer, Fortinet FG‑100E također ima ugrađenu WAN optimizaciju, a Meraki MX100 ima ugrađeni AutoVPN (site-to-site) funkcija, ali općenito, ZyWALL VPN1000 nedvosmisleno prednjači.

Smjernice za odabir uređaja za središnje mjesto (ne samo Zyxel)

Prilikom odabira uređaja za organiziranje središnjeg čvora opsežne mreže s mnogo grana, treba se usredotočiti na niz parametara: tehničke mogućnosti, jednostavnost upravljanja, sigurnost i otpornost na pogreške.

Širok raspon funkcija, velik broj fizičkih priključaka s mogućnošću fleksibilne konfiguracije: WAN, LAN, DMZ i prisutnost drugih lijepih značajki, poput kontrolera za upravljanje pristupnom točkom, omogućuju vam da zatvorite mnoge zadatke odjednom.

Važnu ulogu igra dostupnost dokumentacije i prikladno sučelje za upravljanje.

S tako naizgled jednostavnim stvarima pri ruci nije tako teško stvoriti mrežne infrastrukture koje hvataju različite stranice i lokacije, a korištenje SD-WAN oblaka omogućuje vam da to učinite što je moguće fleksibilnije i sigurnije.