Mire kell figyelni, amikor VPN-útválasztót választunk elosztott hálózathoz? És milyen tulajdonságokkal kell rendelkeznie? Ennek szenteljük a ZyWALL VPN1000-ről szóló áttekintésünket.
Bevezetés
Ezt megelőzően publikációink többsége a perifériákról a hálózathoz való hozzáférést biztosító junior VPN-eszközökről szólt. Például a különböző fióktelepek székhellyel való összekapcsolása, hozzáférés a kis független cégek hálózatához, vagy akár magánházakhoz. Itt az ideje, hogy beszéljünk az elosztott hálózat központi csomópontjáról.
Nyilvánvaló, hogy egy nagyvállalat modern hálózatát csak gazdaságos eszközökre építve nem fog menni. És szervezzen felhőszolgáltatást, hogy a fogyasztóknak is szolgáltatásokat nyújtson. Valahol olyan berendezéseket kell telepíteni, amelyek egyszerre nagy számú ügyfelet tudnak kiszolgálni. Ezúttal egy ilyen eszközről fogunk beszélni - a Zyxel VPN1000-ről.
A hálózati csere nagy és kis résztvevői számára is megkülönböztethetők olyan kritériumok, amelyek alapján egy adott eszköz alkalmasságát egy probléma megoldására értékelik.
Az alábbiakban felsoroljuk a főbbeket:
- műszaki és funkcionális képességek;
- ellenőrzés;
- biztonság;
- hibatűrés.
Nehéz megkülönböztetni, hogy mi a fontosabb, és mi nélkülözhető. Mindenre szükség van. Ha az eszköz bizonyos kritériumok szerint nem éri el a követelmények szintjét, ez a jövőben problémákkal jár.
A központi csomópontok működését biztosító eszközök és a főként a periférián működő berendezések bizonyos jellemzői azonban jelentősen eltérhetnek egymástól.
A központi csomópont esetében a számítási teljesítmény az első – ez kényszerhűtéshez, és ezáltal ventilátorzajhoz vezet. A perifériák esetében, amelyek általában irodákban és lakónegyedekben találhatók, a zajos működés szinte elfogadhatatlan.
Egy másik érdekes pont a portok elosztása. A perifériákon többé-kevésbé egyértelmű, hogy hogyan fogják használni, és hány kliens csatlakozik. Ezért beállíthatja a WAN, LAN, DMZ portok kemény particionálását, kemény kötést hajthat végre a protokollhoz stb. A központi csomópontban nincs ilyen bizonyosság. Például hozzáadtak egy új hálózati szegmenst, amelyhez saját interfészen keresztül kell csatlakozni – és hogyan kell ezt megtenni? Ehhez univerzálisabb megoldásra van szükség, amely lehetővé teszi az interfészek rugalmas konfigurálását.
Fontos árnyalat az eszköz telítettsége különféle funkciókkal. Természetesen vannak előnyei is annak, ha egyetlen berendezés egyetlen feladatot jól végez. De a legérdekesebb helyzet akkor kezdődik, amikor egy lépést kell tennie balra, egy lépést jobbra. Természetesen minden új feladathoz további céleszközt vásárolhat. És így tovább, amíg a költségvetés vagy az állvány el nem fogy.
Ezzel szemben a kibővített funkciókészlet lehetővé teszi, hogy több probléma megoldása esetén egyetlen eszközzel boldoguljon. A ZyWALL VPN1000 például többféle VPN-kapcsolatot támogat, beleértve az SSL-t és az IPsec VPN-t, valamint az alkalmazottak távoli kapcsolatait. Vagyis egy "vasdarab" lezárja mind a telephelyek közötti, mind a kliens kapcsolatok problémáit. De van egy "de". Ahhoz, hogy ez működjön, teljesítménykülönbséggel kell rendelkeznie. Például a ZyWALL VPN1000 esetében az IPsec VPN hardvermag magas VPN alagútteljesítményt biztosít, míg a VPN kiegyensúlyozása/redundancia SHA-2 és IKEv2 algoritmusokkal nagy megbízhatóságot és biztonságot biztosít az üzlet számára.
Az alábbiakban felsorolunk néhány hasznos funkciót, amelyek lefedik egy vagy több fent leírt irányt.
SD WAN platformot biztosít a felhőkezeléshez, kihasználva a helyek közötti kommunikáció központosított kezelését, és lehetővé teszi a távoli vezérlést és megfigyelést. A ZyWALL VPN1000 támogatja a megfelelő működési módot is, ahol fejlett VPN-szolgáltatásokra van szükség.
Felhőplatformok támogatása kritikus szolgáltatásokhoz. A ZyWALL VPN1000 a Microsoft Azure és az AWS rendszerrel való használatra érvényes. Az előre hitelesített eszközök használata minden szervezeti szinten előnyösebb, különösen, ha az IT infrastruktúra a helyi hálózat és a felhő kombinációját használja.
Tartalomszűrés növeli a biztonságot azáltal, hogy blokkolja a rosszindulatú vagy nem kívánt webhelyekhez való hozzáférést. Megakadályozza a rosszindulatú programok letöltését nem megbízható vagy feltört webhelyekről. A ZyWALL VPN1000 esetében a szolgáltatás éves licence azonnal benne van a csomagban.
Földrajzi irányelvek (GeoIP) lehetővé teszi a forgalom nyomon követését és az IP-címek helyének elemzését, megtagadva a hozzáférést a szükségtelen vagy potenciálisan veszélyes régiókból. Az eszköz vásárlásakor a szolgáltatás éves licence is jár.
Vezeték nélküli hálózatkezelés A ZyWALL VPN1000 tartalmaz egy vezeték nélküli hálózati vezérlőt, amely lehetővé teszi akár 1032 hozzáférési pont kezelését egy központi felhasználói felületről. A vállalkozások minimális erőfeszítéssel telepíthetik vagy bővíthetik a felügyelt Wi-Fi hálózatot. Érdemes megjegyezni, hogy az 1032-es szám valóban sok. Annak alapján, hogy akár 10 felhasználó is csatlakozhat egy hozzáférési ponthoz, meglehetősen lenyűgöző adatot kapunk.
Kiegyensúlyozás és redundancia. A VPN sorozat támogatja a terheléselosztást és a redundanciát több külső interfészen keresztül. Vagyis több csatornát is csatlakoztathat több szolgáltatótól, így megvédheti magát a kommunikációs problémáktól.
Eszköz redundancia képessége (Device HA) non-stop kapcsolathoz, még akkor is, ha valamelyik eszköz meghibásodik. Enélkül nehéz megtenni, ha a nap 24 órájában, minimális állásidővel kell megszervezni a munkát.
A Zyxel Device HA Pro bekerült aktív Passzív, amely nem igényel bonyolult beállítási eljárást. Ez lehetővé teszi a belépési küszöb csökkentését és a foglalás azonnali használatának megkezdését. nem úgy mint aktív/aktívamikor a rendszergazdának további képzésen kell részt vennie, képesnek kell lennie dinamikus útválasztás konfigurálására, megérteni, hogy mik az aszimmetrikus csomagok stb. - üzemmód beállítása aktív Passzív sokkal könnyebb és kevésbé időigényes.
A Zyxel Device HA Pro használatakor az eszközök jeleket cserélnek szívverés dedikált porton keresztül. Aktív és passzív eszközportok szívverés Ethernet-kábellel csatlakozik. A passzív eszköz teljesen szinkronizálja az információkat az aktív eszközzel. Különösen az összes munkamenet, alagút és felhasználói fiók szinkronizálva van az eszközök között. Ezenkívül a passzív eszköz megőrzi a konfigurációs fájl biztonsági másolatát arra az esetre, ha az aktív eszköz meghibásodik. Így a fő eszköz meghibásodása esetén az átmenet zökkenőmentes.
Meg kell jegyezni, hogy az aktív rendszerekben/ aktív továbbra is le kell foglalnia a rendszererőforrások 20-25%-át a feladatátvételre. Nál nél aktív Passzív az egyik eszköz teljesen készenléti állapotban van, és készen áll a hálózati forgalom azonnali feldolgozására és a normál hálózati működés fenntartására.
Egyszerűen fogalmazva: „A Zyxel Device HA Pro használata és egy tartalék csatorna használata esetén a vállalkozás védett mind a szolgáltató hibájából eredő kommunikációs megszakadástól, mind a router meghibásodásából eredő problémáktól.
Összefoglalva a fentieket
Az elosztott hálózat központi csomópontjához jobb, ha bizonyos portokkal (csatlakozási interfészek) rendelkező eszközt használunk. Ugyanakkor kívánatos az RJ45 interfész a csatlakozás egyszerűsége és olcsósága, valamint az SFP az optikai csatlakozás és a csavart érpár közötti választáshoz.
Ennek az eszköznek a következőnek kell lennie:
- produktív, alkalmazkodik a terhelés hirtelen változásához;
- világos felülettel;
- gazdag, de nem redundáns számú beépített funkcióval, beleértve a biztonsággal kapcsolatosakat is;
- hibatűrő sémák felépítésének képességével - a csatornák megkettőzése és az eszközök megkettőzése;
- támogató menedzsment, így a teljes elágazó infrastruktúra központi csomópont és perifériás eszközök formájában egy pontról kezelhető;
- mint "hab a tortán" – olyan modern trendek támogatása, mint a felhőalapú erőforrásokkal való integráció és így tovább.
A ZyWALL VPN1000 a hálózat központi csomópontja
Amikor először megnézi a ZyWALL VPN1000-et, láthatja, hogy a Zyxel portjait nem kímélték meg.
Nekünk van:
-
12 konfigurálható RJ-45 port (GBE);
-
2 konfigurálható SFP port (GBE);
-
2 USB 3.0 port 3G/4G modemek támogatásával.
1. ábra: A ZyWALL VPN1000 általános képe.
Azonnal le kell szögezni, hogy a készülék nem otthoni irodába való, elsősorban a hatékony ventilátorok miatt. Itt négyen vannak.
2. ábra: A ZyWALL VPN1000 hátlapja.
Nézzük, hogyan néz ki a felület.
Azonnal érdemes figyelni egy fontos körülményre. Nagyon sok funkció van, és egy cikk keretein belül nem lesz lehetséges részletesen leírni. A Zyxel termékekben viszont az a jó, hogy nagyon részletes dokumentáció van, mindenekelőtt a felhasználói (adminisztrátori) kézikönyv. Tehát, hogy képet kapjunk a funkciók gazdagságáról, nézzük csak át a lapokat.
Alapértelmezés szerint az 1-es és a 2-es port a WAN-nak van átadva. A harmadik porttól kezdve vannak interfészek a helyi hálózathoz.
A 3. port az alapértelmezett 192.168.1.1 IP-címmel nagyon alkalmas a csatlakozásra.
Csatlakoztatjuk a patch kábelt, menjünk a címre és megfigyelheti a webes felület felhasználói regisztrációs ablakát.
Megjegyzés. A kezeléshez használhatja az SD-WAN felhőkezelő rendszert.
3. ábra Bejelentkezési és jelszóbeviteli ablak
Végignézzük a bejelentkezési név és a jelszó megadásának folyamatát, és a képernyőn megjelenik az Irányítópult ablak. Valójában, ahogy az Irányítópultnál kell – a maximális működési információ minden képernyőterületen.
4. ábra ZyWALL VPN1000 – Irányítópult.
Gyorsbeállítás lap (Varázslók)
A felületen két segéd található: a WAN és a VPN konfigurálásához. Valójában az asszisztensek jók, lehetővé teszik a sablonbeállítások végrehajtását anélkül, hogy még tapasztalata is lenne az eszközzel. Nos, aki többre vágyik, amint fentebb említettük, ott van a részletes dokumentáció.
5. ábra: Gyorsbeállítás fül.
Monitoring fül
Úgy tűnik, a Zyxel mérnökei úgy döntöttek, hogy követik az elvet: mindent felügyelünk, ami csak lehetséges. Természetesen egy központi csomópontként működő eszköznél a teljes irányítás egyáltalán nem árt.
Már az oldalsáv összes elemének kibontásával is nyilvánvalóvá válik a választék gazdagsága.
6. ábra Monitoring fül kibontott alelemekkel.
Konfiguráció fül
Itt még szembetűnőbb a funkciók gazdagsága.
Például az eszközport-kezelés nagyon szépen megtervezett.
7. ábra Konfiguráció fül kibontott alelemekkel.
Karbantartás fül
Alszakaszokat tartalmaz a firmware frissítéséhez, a diagnosztikához, az útválasztási szabályok megtekintéséhez és a leállításhoz.
Ezek a funkciók kiegészítő jellegűek, és szinte minden hálózati eszközben jelen vannak.
8. ábra Karbantartás fül kibontott alelemekkel.
Összehasonlító jellemzők
Áttekintésünk hiányos lenne más analógokkal való összehasonlítás nélkül.
Az alábbiakban egy táblázat található a ZyWALL VPN1000 legközelebbi analógjairól, valamint összehasonlítás céljából a szolgáltatások listája.
1. táblázat: A ZyWALL VPN1000 összehasonlítása analógokkal.
Magyarázatok az 1. táblázathoz:
*1: Engedély szükséges
*2: Low Touch Provision: A rendszergazdának először helyileg kell konfigurálnia az eszközt a ZTP előtt.
*3: Munkamenet alapú: A DPS csak új munkamenetre vonatkozik; nem lesz hatással az aktuális munkamenetre.
Mint látható, az analógok bizonyos szempontból utolérik áttekintésünk hősét, például a Fortinet FG-100E beépített WAN-optimalizálással, a Meraki MX100 pedig beépített AutoVPN-vel (site-to-site) rendelkezik. funkciót, de általánosságban egyértelműen a ZyWALL VPN1000 áll az élen.
Útmutató a központi oldal eszközeinek kiválasztásához (nem csak a Zyxelhez)
A kiterjedt, sok elágazású hálózat központi csomópontjának megszervezésére szolgáló eszközök kiválasztásakor számos paraméterre kell összpontosítani: műszaki lehetőségek, könnyű kezelhetőség, biztonság és hibatűrés.
A funkciók széles skálája, a nagyszámú fizikai port rugalmas konfigurálási lehetőséggel: WAN, LAN, DMZ és más szép funkciók, mint például a hozzáférési pont-kezelő vezérlő, lehetővé teszik számos feladat egyidejű bezárását.
Fontos szerepet játszik a dokumentáció elérhetősége és a kényelmes kezelőfelület.
Ilyen egyszerűnek tűnő dolgokkal kéznél nem is olyan nehéz olyan hálózati infrastruktúrákat létrehozni, amelyek különböző helyszíneket és helyszíneket rögzítenek, az SD-WAN felhő használata pedig ezt a lehető legrugalmasabban és biztonságosabban teszi lehetővé.
Hasznos Linkek
Forrás: will.com