Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Ի՞նչին ուշադրություն դարձնել բաշխված ցանցի համար VPN ռաութեր ընտրելիս։ Եվ ի՞նչ հնարավորություններ պետք է ունենա այն։ Ահա թե ինչի մասին է մեր ZyWALL VPN1000-ի ակնարկը։

Ներածություն

Մինչ օրս մեր հրապարակումների մեծ մասը նվիրված էր ծայրամասային օբյեկտներից ցանցին մուտք գործելու համար նախատեսված կրտսեր VPN սարքերին։ Օրինակ՝ տարբեր մասնաճյուղերը գլխավոր գրասենյակի հետ կապելու, փոքր անկախ ընկերությունների ցանցին մուտք գործելու կամ նույնիսկ մասնավոր տներ ապահովելու համար։ Ժամանակն է խոսել բաշխված ցանցի կենտրոնական հանգույցի մասին։

Ակնհայտ է, որ անհնար է կառուցել խոշոր ձեռնարկության ժամանակակից ցանց միայն էկոնոմ դասի սարքերի հիման վրա: Եվ կազմակերպել ամպային ծառայություն սպառողներին ծառայություններ մատուցելու համար՝ ոչ: Միաժամանակ մեծ թվով հաճախորդների սպասարկելու ունակ սարքավորումները պետք է տեղադրվեն որևէ տեղ: Այս անգամ մենք կխոսենք նման սարքերից մեկի՝ Zyxel VPN1000-ի մասին:

Ցանցային փոխանակման թե՛ խոշոր, թե՛ փոքր մասնակիցների համար կարելի է սահմանել չափանիշներ, որոնց միջոցով գնահատվում է որոշակի սարքի պիտանիությունը խնդրի լուծման համար։

Ստորև ներկայացված են հիմնականները.

  • տեխնիկական և ֆունկցիոնալ հնարավորություններ;
  • կառավարում;
  • անվտանգություն;
  • մեղքի հանդուրժողականություն:

Դժվար է առանձնացնել, թե ինչն է ավելի կարևոր և ինչից կարելի է առանց։ Ամեն ինչ անհրաժեշտ է։ Եթե սարքը չի համապատասխանում որևէ չափանիշի պահանջներին, դա հղի է խնդիրներով ապագայում։

Այնուամենայնիվ, կենտրոնական ստորաբաժանումների և հիմնականում ծայրամասում գործող սարքավորումների աշխատանքը ապահովելու համար նախատեսված սարքերի որոշակի առանձնահատկություններ կարող են զգալիորեն տարբերվել։

Կենտրոնական հանգույցի համար հաշվողական հզորությունը զբաղեցնում է առաջին տեղը՝ սա հանգեցնում է հարկադիր սառեցման և, հետևաբար, օդափոխիչից աղմուկի: Ծայրամասային սարքերի համար, որոնք սովորաբար տեղակայված են գրասենյակներում և բնակելի տարածքներում, աղմկոտ աշխատանքը գրեթե անընդունելի է:

Մեկ այլ հետաքրքիր կետ է պորտերի բաշխումը: Ծայրամասային սարքերում ավելի կամ պակաս պարզ է, թե ինչպես է այն օգտագործվելու և քանի հաճախորդ է միացվելու: Հետևաբար, դուք կարող եք սահմանել պորտերի խիստ բաժանում WAN, LAN, DMZ, կատարել խիստ կապակցում արձանագրությանը և այլն: Կենտրոնական հանգույցում նման որոշակիություն չկա: Օրինակ, ավելացվել է նոր ցանցային հատված, որը պահանջում է միացում իր սեփական ինտերֆեյսի միջոցով. ինչպե՞ս դա անել: Այստեղ անհրաժեշտ է ավելի ունիվերսալ լուծում՝ ինտերֆեյսները ճկուն կարգավորելու հնարավորությամբ:

Կարևոր նրբերանգ է սարքի հագեցվածությունը տարբեր գործառույթներով: Իհարկե, այն մոտեցումը, երբ սարքավորումների մեկ միավորը լավ է կատարում մեկ առաջադրանք, ունի իր առավելությունները: Բայց ամենահետաքրքիր իրավիճակը սկսվում է այն ժամանակ, երբ անհրաժեշտ է մեկ քայլ ձախ, մեկ քայլ աջ անել: Իհարկե, յուրաքանչյուր նոր առաջադրանքի համար կարող եք լրացուցիչ գնել ևս մեկ թիրախային սարք: Եվ այսպես շարունակ, մինչև բյուջեն կամ դարակի տարածքը սպառվի:

Ի տարբերություն դրա, ընդլայնված գործառույթների հավաքածուն թույլ է տալիս օգտագործել մեկ սարք՝ մի քանի խնդիրներ լուծելու համար: Օրինակ, ZyWALL VPN1000-ը աջակցում է VPN մի քանի տեսակի կապերի, այդ թվում՝ SSL և IPsec VPN, ինչպես նաև աշխատակիցների համար հեռակա կապերի: Այսինքն՝ մեկ սարքավորումը ծածկում է ինչպես միջկայքային, այնպես էլ հաճախորդների կապերը: Բայց կա մեկ «բայց»: Որպեսզի սա աշխատի, դուք պետք է ունենաք կատարողականի պահուստ: Օրինակ, ZyWALL VPN1000-ի դեպքում, IPsec VPN միջուկի սարքավորումը ապահովում է VPN թունելի բարձր կատարողականություն, իսկ VPN հավասարակշռումը/պահուստավորումը SHA-2 և IKEv2 ալգորիթմներով ապահովում է բարձր հուսալիություն և անվտանգություն բիզնեսի համար:

Ստորև բերված են մի քանի օգտակար հատկանիշներ, որոնք ընդգրկում են վերը նկարագրված ոլորտներից մեկը կամ մի քանիսը։

SD WAN տրամադրում է ամպային կառավարման հարթակ՝ օգտագործելով կայքից կայք հաղորդակցության կենտրոնացված կառավարումը՝ հեռակառավարման և մոնիթորինգի հնարավորություններով: ZyWALL VPN1000-ը նաև աջակցում է համապատասխան աշխատանքային ռեժիմին, որտեղ անհրաժեշտ են առաջադեմ VPN գործառույթներ:

Աջակցություն ամպային հարթակներին՝ առաքելության համար կարևորագույն ծառայությունների համար։ ZyWALL VPN1000-ը փորձարկվել է Microsoft Azure-ի և AWS-ի հետ օգտագործման համար: Նախապես փորձարկված սարքերի օգտագործումը նախընտրելի է կազմակերպության ցանկացած մակարդակի համար, հատկապես, եթե ՏՏ ենթակառուցվածքը օգտագործում է տեղական ցանցի և ամպային տեխնոլոգիաների համադրություն:

Բովանդակության զտում Բարձրացնում է անվտանգությունը՝ արգելափակելով վնասակար կամ անցանկալի կայքեր մուտքը: Կանխում է վնասակար ծրագրերի ներբեռնումը անվստահելի կամ կոտրված կայքերից: ZyWALL VPN1000-ի դեպքում այս ծառայության մեկ տարվա լիցենզիան արդեն ներառված է փաթեթում:

Աշխարհաքաղաքական գործիչներ (Աշխարհագրական IP) թույլ են տալիս վերահսկել երթևեկությունը և վերլուծել IP հասցեների տեղադրությունը՝ արգելելով մուտքը ավելորդ կամ պոտենցիալ վտանգավոր շրջաններից: Սարքը գնելիս փաթեթում ներառված է նաև այս ծառայության տարեկան լիցենզիա:

Անլար ցանցի կառավարում ZyWALL VPN1000-ը ներառում է անլար ցանցի կառավարիչ, որը թույլ է տալիս կառավարել մինչև 1032 մուտքի կետեր կենտրոնացված օգտագործողի ինտերֆեյսից: Բիզնեսները կարող են տեղակայել կամ ընդլայնել կառավարվող Wi-Fi ցանցը նվազագույն ջանքերով: Հարկ է նշել, որ 1032-ը շատ է: Հաշվի առնելով, որ մինչև 10 օգտատեր կարող է միանալ մեկ մուտքի կետին, սա բավականին տպավորիչ թիվ է:

Հավասարակշռություն և ավելորդությունVPN շարքը աջակցում է բեռի հավասարակշռումը և ավելորդությունը բազմաթիվ արտաքին ինտերֆեյսների վրա: Սա նշանակում է, որ դուք կարող եք միացնել բազմաթիվ ալիքներ բազմաթիվ մատակարարներից, այդպիսով պաշտպանվելով կապի խնդիրներից:

Սարքի HA հնարավորություն անընդհատ կապի համար, նույնիսկ երբ սարքերից մեկը խափանվում է: Առանց դրա դժվար է անել, եթե անհրաժեշտ է կազմակերպել 24/7 աշխատանք՝ նվազագույն անջատումներով:

Zyxel Device HA Pro-ն աշխատում է ռեժիմում ակտիվ/պասիվ, որը չի պահանջում բարդ կարգավորման ընթացակարգ։ Սա թույլ է տալիս իջեցնել մուտքի շեմը և անմիջապես սկսել օգտագործել ամրագրումը։ Ի տարբերություն ակտիվ/ակտիվ, երբ համակարգի ադմինիստրատորը պետք է անցնի լրացուցիչ վերապատրաստում, կարողանա կարգավորել դինամիկ երթուղայնացումը, հասկանալ, թե ինչ են ասիմետրիկ փաթեթները և այլն: - ռեժիմի կարգավորում ակտիվ/պասիվ աշխատում է շատ ավելի հեշտ և պահանջում է ավելի քիչ ժամանակ։

Zyxel Device HA Pro-ն օգտագործելիս սարքերը փոխանակում են ազդանշաններ սրտի բաբախում հատուկ միացքի միջոցով։ Ակտիվ և պասիվ սարքերի միացքներ սրտի բաբախում Միացված են Ethernet մալուխի միջոցով: Պասիվ սարքը լիովին համաժամեցնում է տեղեկատվությունը ակտիվ սարքի հետ: Մասնավորապես, բոլոր սեսիաները, թունելները և օգտատիրոջ հաշիվները համաժամեցվում են սարքերի միջև: Բացի այդ, պասիվ սարքը պահպանում է կարգավորման ֆայլի պահուստային պատճենը՝ ակտիվ սարքի խափանման դեպքում: Այսպիսով, հիմնական սարքի խափանման դեպքում անցումը կատարվում է անխափան:

Հարկ է նշել, որ ակտիվ համակարգերում/ակտիվ դեռ պետք է պահուստավորել համակարգի ռեսուրսների 20-25%-ը խափանումների դեպքում անջատման համար։ ակտիվ/պասիվ մեկ սարք լիովին սպասման վիճակում է և պատրաստ է անմիջապես մշակել ցանցային երթևեկությունը և պահպանել ցանցի բնականոն գործունեությունը։

Պարզ ասած՝ «Zyxel Device HA Pro-ն օգտագործելիս և պահուստային ալիք ունենալիս բիզնեսը պաշտպանված է ինչպես մատակարարի մեղքով կապի կորստից, այնպես էլ ռաութերի խափանման հետևանքով առաջացող խնդիրներից»։

Վերոնշյալ բոլորը ամփոփելու համար

Բաշխված ցանցի կենտրոնական հանգույցի համար ավելի լավ է օգտագործել մի սարք, որն ունի միացման ինտերֆեյսների (միացման ինտերֆեյսների) որոշակի պաշար։ Միացման հեշտության և ծախսարդյունավետության համար ցանկալի է ունենալ և՛ RJ45 ինտերֆեյսներ, և՛ SFP՝ օպտիկամանրաթելային միացման և ոլորված զույգ միացումների միջև ընտրության համար։

Այս սարքը պետք է լինի՝

  • արդյունավետ, հարմարեցված բեռի հանկարծակի փոփոխություններին;
  • հստակ գործառնական ինտերֆեյսով;
  • հարուստ, բայց ոչ չափազանց շատ ներկառուցված գործառույթներով, այդ թվում՝ անվտանգության հետ կապված գործառույթներով։
  • խափանումներին դիմացկուն սխեմաներ կառուցելու ունակությամբ՝ ալիքների կրկնօրինակում և սարքերի կրկնօրինակում;
  • աջակցության կառավարում, ամբողջ ճյուղավորված ենթակառուցվածքը կառավարելու համար կենտրոնական հանգույցի և ծայրամասային սարքերի տեսքով մեկ կետից։
  • որպես «տորթի վրա բալ»՝ ժամանակակից միտումների աջակցություն, ինչպիսիք են ամպային ռեսուրսների հետ ինտեգրումը և այլն:

ZyWALL VPN1000-ը որպես ցանցի կենտրոնական հանգույց

ZyWALL VPN1000-ին առաջին հայացքից պարզ է, որ Zyxel-ը չի խնայել պորտերի վրա։

Մենք ունենք՝

  • 12 կարգավորելի RJ‑45 (GBE) միացքներ;

  • 2 կարգավորելի SFP միացքներ (GBE);

  • 2 USB 3.0 միացք՝ 3G/4G մոդեմների աջակցությամբ։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 1. ZyWALL VPN1000-ի ընդհանուր տեսքը։

Անմիջապես պետք է նշել, որ սարքը նախատեսված չէ տնային գրասենյակի համար, հիմնականում հզոր երկրպագուների պատճառով։ Դրանցից չորսը կան։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 2. ZyWALL VPN1000-ի հետևի վահանակը։

Եկեք տեսնենք, թե ինչ տեսք ունի ինտերֆեյսը։

Անմիջապես արժե ուշադրություն դարձնել մի կարևոր հանգամանքի։ Կան բազմաթիվ գործառույթներ, և անհնար է դրանք մանրամասն նկարագրել մեկ հոդվածի շրջանակներում։ Բայց Zyxel-ի արտադրանքի լավ կողմն այն է, որ կա շատ մանրամասն փաստաթղթեր, առաջին հերթին՝ օգտագործողի (ադմինիստրատորի) ձեռնարկ։ Հետևաբար, գործառույթների հարստության մասին պատկերացում կազմելու համար, եկեք պարզապես անցնենք ներդիրներով։

Ըստ լռելյայնի, 1-ին և 2-րդ միացքները նշանակված են WAN-ին: Երրորդ միացքից սկսած՝ կան միջերեսներ տեղական ցանցի համար:

3-րդ միացքը՝ 192.168.1.1 լռելյայն IP հասցեով, բավականին հարմար է միացման համար։

Մենք միացնում ենք կարկատակի լարը և գնում ենք հասցեին https://192.168.1.1 և դուք կարող եք տեսնել վեբ ինտերֆեյսի օգտատիրոջ գրանցման պատուհանը։

ՆշումԴուք կարող եք օգտագործել SD-WAN ամպային կառավարման համակարգը կառավարման համար։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 3. Մուտք գործելու և գաղտնաբառ մուտքագրելու պատուհան

Մենք անցնում ենք մուտքանունը և գաղտնաբառը մուտքագրելու ընթացակարգով և էկրանին ստանում ենք «Վահանակ» պատուհանը։ Իրականում, ինչպես և պետք է լինի «Վահանակի» համար՝ էկրանի յուրաքանչյուր հատվածում առավելագույն օպերատիվ տեղեկատվություն։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 4. ZyWALL VPN1000 — Կառավարման վահանակ։

Արագ կարգավորման ներդիր (Wizards)

Ինտերֆեյսում կան երկու օգնականներ՝ WAN-ը կարգավորելու և VPN-ը կարգավորելու համար: Իրականում, օգնականները լավ բան են, դրանք թույլ են տալիս կատարել ձևանմուշի կարգավորումներ, նույնիսկ առանց սարքի հետ աշխատելու փորձի: Դե, նրանց համար, ովքեր ցանկանում են ավելին, ինչպես նշվեց վերևում, կա մանրամասն փաստաթղթեր:

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 5. «Արագ կարգավորում» ներդիրը։

Մոնիթորինգի ներդիր

Ըստ երևույթին, Zyxel-ի ինժեներները որոշել են գործել հետևյալ սկզբունքով. մենք վերահսկում ենք ամեն ինչ, ինչ կարող ենք։ Իհարկե, կենտրոնական հանգույցի դեր կատարող սարքի համար լիակատար վերահսկողությունը բացարձակապես չի խանգարի։

Նույնիսկ կողային վահանակի բոլոր տարրերը պարզապես ընդլայնելը ընտրության հարստությունը ակնհայտ է դարձնում։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 6. Մոնիթորինգ ներդիրը՝ ընդարձակված ենթաէջերով։

Կարգավորման ներդիր

Այստեղ գործառույթների հարստությունն ավելի ակնհայտ է։

Օրինակ, սարքի պորտերի կառավարումը շատ գեղեցիկ է նախագծված։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 7. Կարգավորման ներդիր՝ ընդարձակված ենթաէջերով։

Սպասարկման ներդիր

Պարունակում է ենթաբաժիններ՝ ներկառուցված ծրագրի թարմացման, ախտորոշման, երթուղման կանոնների դիտման և անջատման համար։

Այս գործառույթները օժանդակ բնույթի են և այս կամ այն ​​չափով առկա են գրեթե յուրաքանչյուր ցանցային սարքում։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար
Նկար 8. «Տեխնիկական սպասարկում» ներդիրը՝ ընդարձակված ենթակետերով։

Համեմատական ​​​​բնութագրեր

Մեր ակնարկը թերի կլիներ առանց այլ անալոգների հետ համեմատության:

Ստորև բերված է ZyWALL VPN1000-ին ամենամոտ անալոգների աղյուսակը և համեմատության համար գործառույթների ցանկը։

Աղյուսակ 1. ZyWALL VPN1000-ի համեմատությունը անալոգների հետ։

Սարդ բաշխված ցանցի ցանցի կամ կենտրոնական հանգույցի համար

Աղյուսակ 1-ի բացատրությունները.

*1: Պահանջվում է լիցենզիա

*2: Ցածր դիպչման մատակարարում. ZTP-ից առաջ ադմինիստրատորը նախ պետք է տեղայնորեն կարգավորի սարքը:

*3: Սեսիայի վրա հիմնված. DPS-ը կկիրառվի միայն նոր սեսիայի համար. այն չի ազդի ընթացիկ սեսիայի վրա։

Ինչպես տեսնում ենք, որոշ առումներով անալոգները հասնում են մեր ակնարկի հերոսին, օրինակ՝ Fortinet FG‑100E-ն ունի նաև ներկառուցված WAN օպտիմալացում, իսկ Meraki MX100-ը՝ ներկառուցված AutoVPN (կայքից կայք) ֆունկցիա, բայց ընդհանուր առմամբ, գործառույթների համապարփակ շարքի առումով, ZyWALL VPN1000-ը անկասկած առաջատարն է։

Կենտրոնական հանգույցի համար սարքեր ընտրելու առաջարկություններ (ոչ միայն Zyxel)

Բազմաթիվ ճյուղերով ճյուղավորված ցանցի կենտրոնական հանգույցը կազմակերպելու համար սարքեր ընտրելիս պետք է կենտրոնանալ մի շարք պարամետրերի վրա՝ տեխնիկական հնարավորություններ, կառավարման հեշտություն, անվտանգություն և մեղքի հանդուրժողականություն։

Գործառույթների լայն շրջանակ, ճկուն կոնֆիգուրացիայով մեծ թվով ֆիզիկական պորտեր՝ WAN, LAN, DMZ և այլ հաճելի գործառույթների առկայություն, ինչպիսիք են մուտքի կետի կառավարման կարգավորիչը, թույլ են տալիս միաժամանակ կատարել բազմաթիվ առաջադրանքներ:

Կարևոր դեր են խաղում փաստաթղթերի մատչելիությունը և օգտագործողին հարմար կառավարման ինտերֆեյսը։

Այս թվացյալ պարզ բաները ձեռքի տակ ունենալով՝ այդքան էլ դժվար չէ ստեղծել ցանցային ենթակառուցվածքներ, որոնք ընդգրկում են բազմաթիվ կայքեր և վայրեր, և SD-WAN ամպի օգտագործումը թույլ է տալիս դա անել առավելագույնս ճկուն և անվտանգ եղանակով։

Օգտակար հղումներ

SD-WAN շուկայի վերլուծություն. Ի՞նչ լուծումներ կան և ում են դրանք անհրաժեշտ

Zyxel Device HA Pro-ն բարելավում է ցանցի դիմադրողականությունը

GeoIP ֆունկցիայի օգտագործումը ATP/VPN/Zywall/USG շարքի անվտանգության դարպասներում

Ի՞նչ կմնա սերվերի սենյակում:

Երկուսը մեկում կամ մուտքի կետի վերահսկիչի միգրացիա դեպի դարպաս

Zyxel Telegram Chat մասնագետների համար

Source: www.habr.com

Գնեք հուսալի հոստինգ DDoS պաշտպանությամբ կայքերի, VPS VDS սերվերների համար 🔥 Գնեք հուսալի կայքերի հոսթինգ՝ DDoS պաշտպանությամբ, VPS VDS սերվերներով | ProHoster