Ի՞նչ փնտրել բաշխված ցանցի համար VPN երթուղիչ ընտրելիս: Իսկ ի՞նչ գործառույթներ պետք է ունենա այն։ Ահա թե ինչին է նվիրված մեր ZyWALL VPN1000 ակնարկը:
Ներածություն
Նախկինում մեր հրապարակումների մեծ մասը նվիրված էր ցածրորակ VPN սարքերին՝ ծայրամասային կայքերից ցանց մուտք գործելու համար: Օրինակ՝ միացնել տարբեր մասնաճյուղեր գլխամասային գրասենյակի հետ, մուտք գործել փոքր անկախ ընկերությունների ցանց կամ նույնիսկ առանձնատներ։ Ժամանակն է խոսել բաշխված ցանցի կենտրոնական հանգույցի մասին:
Պարզ է, որ միայն էկոնոմ դասի սարքերի հիման վրա հնարավոր չի լինի կառուցել խոշոր ձեռնարկության ժամանակակից ցանց։ Եվ կազմակերպեք ամպային ծառայություն՝ սպառողներին ծառայություններ մատուցելու համար: Ինչ-որ տեղ պետք է տեղադրվի սարքավորում, որը կարող է միաժամանակ սպասարկել մեծ թվով հաճախորդների։ Այս անգամ կխոսենք նման մեկ սարքի՝ Zyxel VPN1000-ի մասին։
Ցանցային փոխանակման և՛ մեծ, և՛ փոքր մասնակիցների համար հնարավոր է բացահայտել այն չափանիշները, որոնցով գնահատվում է որոշակի սարքի համապատասխանությունը խնդրի լուծման համար:
Ստորև ներկայացված են հիմնականները.
- տեխնիկական և ֆունկցիոնալ հնարավորություններ;
- կառավարում;
- անվտանգություն;
- սխալների հանդուրժողականություն:
Դժվար է որոշել, թե որն է ավելի կարևոր և առանց ինչի կարելի է անել: Ամեն ինչ անհրաժեշտ է։ Եթե սարքը չի համապատասխանում պահանջներին ըստ ինչ-որ չափանիշի, դա ապագայում հղի է խնդիրներով:
Այնուամենայնիվ, սարքերի որոշ առանձնահատկություններ, որոնք նախատեսված են հիմնականում ծայրամասում գործող կենտրոնական ստորաբաժանումների և սարքավորումների շահագործումն ապահովելու համար, կարող են զգալիորեն տարբերվել:
Կենտրոնական հանգույցի համար հաշվողական հզորությունը առաջին տեղում է, դա հանգեցնում է հարկադիր սառեցման և, հետևաբար, օդափոխիչի աղմուկի: Ծայրամասային սարքերի համար, որոնք սովորաբար տեղակայված են գրասենյակներում և տներում, աղմկոտ շահագործումը գրեթե անընդունելի է:
Մեկ այլ հետաքրքիր կետ էլ նավահանգիստների բաշխումն է: Ծայրամասային սարքերում քիչ թե շատ պարզ է, թե ինչպես է այն օգտագործվելու և քանի հաճախորդ է միանալու։ Հետևաբար, դուք կարող եք սահմանել նավահանգիստների խիստ բաժանում WAN, LAN, DMZ, խստորեն կապվել արձանագրությանը և այլն: Կենտրոնական հանգույցում նման որոշակիություն չկա: Օրինակ, մենք ավելացրել ենք ցանցի նոր հատված, որը պահանջում է միացում սեփական ինտերֆեյսի միջոցով, և ինչպե՞ս դա անել: Սա պահանջում է ավելի ունիվերսալ լուծում՝ միջերեսները ճկուն կարգավորելու ունակությամբ:
Կարևոր նրբերանգ է այն, որ սարքը հարուստ է տարբեր գործառույթներով։ Իհարկե, մեկ սարքավորումը մեկ առաջադրանքը լավ կատարելու մոտեցումն ունի իր առավելությունները: Բայց ամենահետաքրքիր իրավիճակը սկսվում է այն ժամանակ, երբ պետք է մի քայլ անել դեպի ձախ, մի քայլ դեպի աջ: Իհարկե, յուրաքանչյուր նոր առաջադրանքի հետ դուք կարող եք լրացուցիչ գնել մեկ այլ թիրախային սարք: Եվ այսպես շարունակ, մինչև բյուջեն կամ դարակաշարը սպառվի:
Ի հակադրություն, գործառույթների ընդլայնված փաթեթը թույլ է տալիս մի սարքի միջոցով հաղթահարել մի քանի խնդիրներ: Օրինակ, ZyWALL VPN1000-ն աջակցում է VPN միացումների մի քանի տեսակների, ներառյալ SSL և IPsec VPN, ինչպես նաև աշխատողների համար հեռավոր կապեր: Այսինքն, սարքաշարի մի մասը ծածկում է ինչպես միջկայքային, այնպես էլ հաճախորդի կապերի խնդիրները: Բայց կա մեկ «բայց». Որպեսզի դա աշխատի, դուք պետք է ունենաք կատարողականի ռեզերվ: Օրինակ, ZyWALL VPN1000-ի դեպքում IPsec VPN ապարատային միջուկը ապահովում է VPN թունելի բարձր արդյունավետություն, իսկ VPN հավասարակշռումը/ավելորդությունը SHA-2 և IKEv2 ալգորիթմներով ապահովում է բիզնեսի համար բարձր հուսալիություն և անվտանգություն:
Ստորև թվարկված են մի քանի օգտակար հատկություններ, որոնք ընդգրկում են վերը նկարագրված ոլորտներից մեկը կամ մի քանիսը:
SD WAN ապահովում է ամպային կառավարման հարթակ՝ ստանալով կայքերի միջև հաղորդակցությունների կենտրոնացված կառավարման առավելությունները՝ հեռակառավարման և մոնիտորինգի ունակությամբ: ZyWALL VPN1000-ը նաև աջակցում է աշխատանքի համապատասխան ռեժիմին, որտեղ անհրաժեշտ են առաջադեմ VPN գործառույթներ:
Աջակցություն ամպային հարթակներին՝ առաքելության համար կարևոր ծառայությունների համար: ZyWALL VPN1000-ը փորձարկված է Microsoft Azure-ի և AWS-ի հետ օգտագործման համար: Նախապես փորձարկված սարքերի օգտագործումը նախընտրելի է ցանկացած մակարդակի կազմակերպության համար, հատկապես, եթե ՏՏ ենթակառուցվածքն օգտագործում է տեղական ցանցի և ամպի համադրություն:
Բովանդակության զտում Ամրապնդում է անվտանգությունը՝ արգելափակելով մուտքը վնասակար կամ անցանկալի կայքեր: Կանխում է չարամիտ ծրագրերի ներբեռնումը անվստահելի կամ կոտրված կայքերից: ZyWALL VPN1000-ի դեպքում այս ծառայության տարեկան լիցենզիան արդեն ներառված է փաթեթում:
Աշխարհաքաղաքականություն (Geo IP) թույլ է տալիս վերահսկել երթևեկությունը և վերլուծել IP հասցեների գտնվելու վայրը՝ մերժելով մուտքը անհարկի կամ պոտենցիալ վտանգավոր շրջաններից: Այս ծառայության տարեկան լիցենզիան ներառված է նաև սարքը գնելիս:
Անլար ցանցի կառավարում ZyWALL VPN1000-ը ներառում է անլար ցանցի կարգավորիչ, որը թույլ է տալիս կառավարել մինչև 1032 մուտքի կետեր կենտրոնացված օգտագործողի միջերեսից: Ձեռնարկությունները կարող են նվազագույն ջանք գործադրել կամ ընդլայնել կառավարվող Wi-Fi ցանցը: Հարկ է նշել, որ 1032 թիվն իսկապես շատ է։ Ելնելով այն հաշվարկից, որ մինչև 10 օգտվող կարող է միանալ մեկ մուտքի կետին, սա բավականին տպավորիչ ցուցանիշ է:
Հավասարակշռում և ավելորդություն. VPN շարքն աջակցում է բեռների հավասարակշռմանը և ավելորդությանը մի քանի արտաքին ինտերֆեյսներում: Այսինքն, դուք կարող եք միացնել մի քանի ալիք մի քանի պրովայդերներից, դրանով իսկ պաշտպանվելով հաղորդակցման խնդիրներից:
Սարքի ավելորդության հնարավորությունը (Device HA) անդադար կապի համար, նույնիսկ երբ սարքերից մեկը խափանում է: Դժվար է անել առանց դրա, եթե ձեզ անհրաժեշտ է 24/7 աշխատանք կազմակերպել՝ նվազագույն պարապուրդով:
Zyxel Device HA Pro-ում գործում է ակտիվ/պասիվ, որը չի պահանջում տեղադրման բարդ ընթացակարգ: Սա թույլ է տալիս նվազեցնել մուտքի շեմը և անմիջապես սկսել օգտագործել ամրագրումը: Ի տարբերություն ակտիվ/ակտիվ, երբ համակարգի ադմինիստրատորը պետք է անցնի լրացուցիչ վերապատրաստում, կարողանա կարգավորել դինամիկ երթուղին, հասկանալ, թե ինչ են ասիմետրիկ փաթեթները և այլն: - ռեժիմի կարգավորում ակտիվ/պասիվ Այն շատ ավելի հեշտ է աշխատում և ավելի քիչ ժամանակ է պահանջում:
Zyxel Device HA Pro-ն օգտագործելիս սարքերը փոխանակում են ազդանշաններ սրտի բաբախում հատուկ նավահանգստի միջոցով: Ակտիվ և պասիվ սարքի պորտեր համար սրտի բաբախում միացված է Ethernet մալուխի միջոցով: Պասիվ սարքն ամբողջությամբ համաժամացնում է տեղեկատվությունը ակտիվ սարքի հետ: Մասնավորապես, բոլոր նիստերը, թունելները և օգտատերերի հաշիվները համաժամացվում են սարքերի միջև: Բացի այդ, պասիվ սարքը պահպանում է կազմաձևման ֆայլի կրկնօրինակը, եթե ակտիվ սարքը ձախողվի: Սա ապահովում է անխափան անցում սարքի առաջնային ձախողման դեպքում:
Հարկ է նշել, որ ակտիվ համակարգերում/ակտիվ դուք դեռ պետք է պահեք համակարգի ռեսուրսների 20-25%-ը ձախողման համար: ժամը ակտիվ/պասիվ մեկ սարքն ամբողջությամբ սպասման վիճակում է և պատրաստ է անմիջապես մշակել ցանցի երթևեկությունը և պահպանել ցանցի նորմալ աշխատանքը:
Պարզ բառերով. «Zyxel Device HA Pro-ն օգտագործելիս և պահուստային ալիք ունենալու դեպքում բիզնեսը պաշտպանված է ինչպես մատակարարի մեղքով կապի կորստից, այնպես էլ երթուղիչի խափանումից բխող խնդիրներից:
Ամփոփելով վերը նշված բոլորը
Բաշխված ցանցի կենտրոնական հանգույցի համար ավելի լավ է օգտագործել պորտերի որոշակի մատակարարում ունեցող սարք (միացման միջերեսներ): Այս դեպքում ցանկալի է ունենալ և՛ RJ45 միջերեսներ՝ պարզության և ծախսարդյունավետ կապի համար, և՛ SFP՝ օպտիկամանրաթելային կապի և ոլորված զույգի միջև ընտրության համար:
Այս սարքը պետք է լինի.
- արդյունավետ, հարմարեցված բեռի հանկարծակի փոփոխություններին.
- հստակ ինտերֆեյսով;
- հարուստ, բայց ոչ ավելորդ թվով ներկառուցված գործառույթներով, ներառյալ անվտանգության հետ կապված գործառույթները.
- անսարքության հանդուրժող սխեմաներ կառուցելու ունակությամբ - ալիքների կրկնօրինակում և սարքի կրկնօրինակում;
- աջակցում է կառավարմանը, որպեսզի ամբողջ ճյուղավորված ենթակառուցվածքը կենտրոնական հանգույցի և ծայրամասային սարքերի տեսքով հնարավոր լինի կառավարել մեկ կետից.
- որպես «գլուխ տորթի վրա»՝ աջակցություն ժամանակակից միտումներին, ինչպիսիք են ամպային ռեսուրսների հետ ինտեգրումը և այլն:
ZyWALL VPN1000 որպես ցանցի կենտրոնական հանգույց
ZyWALL VPN1000-ի առաջին հայացքից պարզ է դառնում, որ Zyxel-ը չի խնայել պորտերը։
Մենք ունենք:
-
12 կարգավորելի RJ‑45 (GBE) պորտ;
-
2 կարգավորելի SFP պորտ (GBE);
-
2 USB 3.0 պորտ՝ 3G/4G մոդեմների աջակցությամբ:
Նկար 1. ZyWALL VPN1000-ի ընդհանուր տեսք:
Անմիջապես պետք է նշել, որ սարքը տնային գրասենյակի համար չէ, առաջին հերթին հզոր երկրպագուների շնորհիվ։ Այստեղ դրանք չորսն են։
Նկար 2. ZyWALL VPN1000 հետևի վահանակ:
Տեսնենք, թե ինչպիսին է ինտերֆեյսը:
Պետք է անմիջապես ուշադրություն դարձնել մի կարևոր հանգամանքի. Գործառույթները շատ են, և դրանք մեկ հոդվածում մանրամասն նկարագրել հնարավոր չի լինի։ Բայց Zyxel արտադրանքի լավն այն է, որ կան շատ մանրամասն փաստաթղթեր, առաջին հերթին՝ օգտագործողի (ադմինիստրատորի) ձեռնարկը: Հետևաբար, գործառույթների առատության մասին պատկերացում կազմելու համար եկեք պարզապես անցնենք ներդիրները:
Լռելյայնորեն, նավահանգիստ 1-ը և նավահանգիստը 2-ը նշանակված են WAN-ին: Երրորդ պորտից սկսած կան ինտերֆեյսներ տեղական ցանցի համար։
Լռելյայն IP 3 192.168.1.1-րդ պորտը բավականին հարմար է միացման համար։
Մենք կապում ենք patchcord-ը, գնում ենք հասցեով
Նշում. Կառավարման համար կարող եք օգտագործել SD-WAN ամպային կառավարման համակարգը:
Նկար 3. Պատուհան մուտքի և գաղտնաբառի մուտքագրման համար
Անցնում ենք մուտքի և գաղտնաբառի մուտքագրման ընթացակարգը և էկրանին հայտնվում Dashboard պատուհանը։ Իրականում, ինչպես պետք է լինի Dashboard-ի համար՝ առավելագույն գործառնական տեղեկատվություն էկրանի յուրաքանչյուր հատվածի վրա:
Նկար 4. ZyWALL VPN1000 - վահանակ:
Արագ տեղադրման ներդիր (Վիզարդներ)
Ինտերֆեյսում կա երկու օգնական՝ WAN տեղադրելու և VPN տեղադրելու համար: Իրականում, օգնականները լավ բան են, նրանք թույլ են տալիս կատարել կաղապարի կարգավորումներ նույնիսկ առանց սարքի հետ աշխատելու փորձ ունենալու: Դե, ավելին ցանկացողների համար, ինչպես նշվեց վերևում, կա մանրամասն փաստաթղթեր:
Նկար 5. Արագ տեղադրման ներդիր:
Մոնիտորինգի ներդիր
Ըստ երևույթին, Zyxel-ի ինժեներները որոշել են հետևել սկզբունքին. մենք վերահսկում ենք այն ամենը, ինչ կարող ենք: Իհարկե, սարքի համար, որը հանդես է գալիս որպես կենտրոնական հանգույց, տոտալ կառավարումն ընդհանրապես չի տուժի:
Նույնիսկ կողագոտու բոլոր տարրերը ընդլայնելով, ընտրության հարստությունն ակնհայտ է դառնում:
Նկար 6. Մոնիտորինգի ներդիր ընդլայնված ենթակետերով:
Կազմաձևման ներդիր
Այստեղ գործառույթների առատությունն ավելի ակնհայտ է:
Օրինակ, սարքի պորտի կառավարումը շատ գեղեցիկ է մշակված:
Նկար 7. Կազմաձևման ներդիր ընդլայնված ենթակետերով:
Սպասարկման ներդիր
Պարունակում է ենթաբաժիններ՝ որոնվածը թարմացնելու, ախտորոշման, երթուղման կանոնները դիտելու և անջատելու համար:
Այս գործառույթները օժանդակ բնույթ են կրում և այս կամ այն չափով առկա են գրեթե բոլոր ցանցային սարքերում:
Նկար 8. Սպասարկման ներդիր ընդլայնված ենթակետերով:
Համեմատական բնութագրեր
Մեր վերանայումը թերի կլիներ առանց այլ անալոգների հետ համեմատելու:
Ստորև ներկայացված է ZyWALL VPN1000-ին ամենամոտ անալոգների աղյուսակը և համեմատության համար նախատեսված գործառույթների ցանկը:
Աղյուսակ 1. ZyWALL VPN1000-ի համեմատությունը անալոգների հետ:
Աղյուսակ 1-ի բացատրություններ.
*1: Պահանջվում է լիցենզիա
*2. Ցածր հպման ապահովում. ադմինիստրատորը նախ պետք է կարգավորի սարքը լոկալ նախքան ZTP-ը:
*3. նստաշրջանի վրա հիմնված. DPS-ը կկիրառվի միայն նոր նստաշրջանի համար. սա չի ազդի ընթացիկ նստաշրջանի վրա:
Ինչպես տեսնում եք, որոշ առումներով անալոգները հասնում են մեր վերանայման հերոսին, օրինակ՝ Fortinet FG‑100E-ն ունի նաև ներկառուցված WAN օպտիմիզացիա, իսկ Meraki MX100-ն ունի ներկառուցված AutoVPN (site-to): -site) ֆունկցիան, բայց ընդհանուր առմամբ, ZyWALL VPN1000-ը միանշանակ է իր գործառույթների համապարփակ շարքում առաջատարն է:
Առաջարկություններ կենտրոնական հանգույցի համար սարքեր ընտրելիս (ոչ միայն Zyxel)
Բազմաթիվ ճյուղերով ընդարձակ ցանցի կենտրոնական հանգույցը կազմակերպելու սարքեր ընտրելիս պետք է կենտրոնանալ մի շարք պարամետրերի վրա՝ տեխնիկական հնարավորություններ, կառավարման հեշտություն, անվտանգություն և սխալների հանդուրժողականություն:
Գործառույթների լայն շրջանակ, մեծ թվով ֆիզիկական նավահանգիստներ՝ ճկուն կոնֆիգուրացիայով՝ WAN, LAN, DMZ և այլ գեղեցիկ գործառույթների առկայությունը, օրինակ՝ մուտքի կետի կառավարման կարգավորիչը, թույլ են տալիս միանգամից կատարել բազմաթիվ առաջադրանքներ:
Կարևոր դեր է խաղում փաստաթղթերի առկայությունը և կառավարման հարմար ինտերֆեյսը:
Նման թվացյալ պարզ բաներ ձեռքի տակ ունենալով, այնքան էլ դժվար չէ ցանցային ենթակառուցվածքներ ստեղծել, որոնք ընդգրկում են տարբեր կայքեր և վայրեր, և SD-WAN ամպի օգտագործումը թույլ է տալիս դա անել առավելագույն ճկունությամբ և անվտանգությամբ:
Օգտակար հղումներ
Source: www.habr.com