Apa yang harus dicari saat memilih router VPN untuk jaringan terdistribusi? Dan fitur apa yang harus dimiliki? Inilah yang didedikasikan untuk ulasan kami tentang ZyWALL VPN1000.
pengenalan
Sebelumnya, sebagian besar publikasi kami dikhususkan untuk perangkat VPN junior untuk mengakses jaringan dari fasilitas periferal. Misalnya untuk menghubungkan berbagai cabang dengan kantor pusat, akses ke Jaringan perusahaan kecil mandiri, atau bahkan rumah pribadi. Saatnya berbicara tentang simpul pusat untuk jaringan terdistribusi.
Jelas bahwa membangun jaringan modern perusahaan besar hanya berdasarkan perangkat kelas ekonomi tidak akan berhasil. Dan mengatur layanan cloud untuk memberikan layanan kepada konsumen - juga. Di suatu tempat, peralatan harus dipasang yang dapat melayani pelanggan dalam jumlah besar pada saat yang bersamaan. Kali ini kita akan berbicara tentang salah satu perangkat tersebut - Zyxel VPN1000.
Untuk peserta besar dan kecil dalam pertukaran jaringan, kriteria dapat dibedakan dengan menilai kesesuaian perangkat tertentu untuk memecahkan suatu masalah.
Di bawah ini adalah yang utama:
- kemampuan teknis dan fungsional;
- kontrol;
- keamanan;
- toleransi kesalahan.
Sulit untuk membedakan mana yang lebih penting, dan apa yang bisa dilakukan tanpanya. Semuanya dibutuhkan. Jika perangkat, menurut beberapa kriteria, tidak mencapai tingkat persyaratan, ini akan menimbulkan masalah di masa mendatang.
Namun, fitur perangkat tertentu yang dirancang untuk memastikan pengoperasian node pusat dan peralatan yang beroperasi terutama di pinggiran dapat berbeda secara signifikan.
Untuk node pusat, daya komputasi didahulukan - ini menyebabkan pendinginan paksa, dan karenanya, kebisingan kipas. Untuk periferal, yang biasanya ditemukan di perkantoran dan kawasan pemukiman, pengoperasian yang berisik hampir tidak dapat diterima.
Hal lain yang menarik adalah distribusi pelabuhan. Di perangkat periferal, kurang lebih jelas bagaimana itu akan digunakan dan berapa banyak klien yang akan terhubung. Oleh karena itu, Anda dapat mengatur partisi hard port pada WAN, LAN, DMZ, melakukan pengikatan keras ke protokol, dan sebagainya. Tidak ada kepastian seperti itu di simpul pusat. Misalnya, mereka menambahkan segmen jaringan baru yang memerlukan koneksi melalui antarmukanya sendiri - dan bagaimana melakukannya? Ini membutuhkan solusi yang lebih universal dengan kemampuan untuk mengkonfigurasi antarmuka secara fleksibel.
Nuansa penting adalah kejenuhan perangkat dengan berbagai fungsi. Tentu saja, ada keuntungan memiliki satu peralatan yang melakukan satu pekerjaan dengan baik. Tetapi situasi yang paling menarik dimulai ketika Anda perlu mengambil satu langkah ke kiri, satu langkah ke kanan. Tentu saja, Anda juga dapat membeli perangkat target lain untuk setiap tugas baru. Begitu seterusnya hingga anggaran atau ruang rak habis.
Sebaliknya, serangkaian fungsi yang diperluas memungkinkan Anda bertahan dengan satu perangkat saat menyelesaikan beberapa masalah. Misalnya, ZyWALL VPN1000 mendukung beberapa jenis koneksi VPN, termasuk SSL dan IPsec VPN, serta koneksi jarak jauh untuk karyawan. Artinya, satu "sepotong besi" menutup masalah koneksi antar situs dan klien. Tapi ada satu "tapi". Agar ini berfungsi, Anda harus memiliki margin kinerja. Misalnya, dalam kasus ZyWALL VPN1000, inti perangkat keras IPsec VPN memberikan kinerja terowongan VPN yang tinggi, sedangkan penyeimbangan/redundansi VPN dengan algoritme SHA-2 dan IKEv2 memastikan keandalan dan keamanan bisnis yang tinggi.
Di bawah ini tercantum beberapa fitur berguna yang mencakup satu atau beberapa petunjuk yang dijelaskan di atas.
SD-WAN menyediakan platform untuk manajemen cloud, memanfaatkan manajemen komunikasi terpusat antar situs dengan kemampuan untuk mengontrol dan memantau dari jarak jauh. ZyWALL VPN1000 juga mendukung mode operasi yang sesuai di mana fitur VPN tingkat lanjut diperlukan.
Dukungan untuk platform cloud untuk layanan penting. ZyWALL VPN1000 divalidasi untuk digunakan dengan Microsoft Azure dan AWS. Penggunaan perangkat yang telah divalidasi sebelumnya lebih disukai untuk semua level organisasi, terutama jika infrastruktur TI menggunakan kombinasi jaringan lokal dan cloud.
Penyaringan konten meningkatkan keamanan dengan memblokir akses ke situs web berbahaya atau tidak diinginkan. Mencegah malware diunduh dari situs yang tidak tepercaya atau diretas. Dalam kasus ZyWALL VPN1000, lisensi tahunan untuk layanan ini langsung disertakan dalam paket.
Kebijakan Geo (GeoIP) memungkinkan Anda melacak lalu lintas dan menganalisis lokasi alamat IP, menolak akses dari wilayah yang tidak perlu atau berpotensi berbahaya. Lisensi tahunan untuk layanan ini juga disertakan dengan pembelian perangkat.
Manajemen jaringan nirkabel ZyWALL VPN1000 menyertakan pengontrol jaringan nirkabel yang memungkinkan Anda mengelola hingga 1032 titik akses dari antarmuka pengguna terpusat. Bisnis dapat menerapkan atau memperluas jaringan Wi-Fi terkelola dengan sedikit usaha. Perlu dicatat bahwa angka 1032 sangat banyak. Berdasarkan fakta bahwa hingga 10 pengguna dapat terhubung ke satu titik akses, diperoleh angka yang cukup mengesankan.
Menyeimbangkan dan Redundansi. Seri VPN mendukung penyeimbangan muatan dan redundansi di berbagai antarmuka eksternal. Artinya, Anda dapat menghubungkan beberapa saluran dari beberapa penyedia, sehingga melindungi diri Anda dari masalah komunikasi.
Kemampuan redundansi perangkat (HA Perangkat) untuk koneksi tanpa henti, bahkan saat salah satu perangkat gagal. Sulit untuk melakukannya tanpanya jika Anda perlu mengatur pekerjaan 24/7 dengan waktu henti yang minimal.
Perangkat Zyxel HA Pro sudah masuk aktif pasif, yang tidak memerlukan prosedur penyiapan yang rumit. Ini memungkinkan Anda menurunkan ambang masuk dan segera mulai menggunakan reservasi. Tidak seperti aktif/aktifketika administrator sistem perlu menjalani pelatihan tambahan, dapat mengonfigurasi perutean dinamis, memahami apa itu paket asimetris, dll. - pengaturan mode aktif pasif jauh lebih mudah dan tidak memakan banyak waktu.
Saat menggunakan Zyxel Device HA Pro, perangkat bertukar sinyal denyut jantung melalui pelabuhan khusus. Port perangkat aktif dan pasif untuk denyut jantung terhubung melalui kabel Ethernet. Perangkat pasif sepenuhnya menyinkronkan informasi dengan perangkat aktif. Secara khusus, semua sesi, terowongan, akun pengguna disinkronkan antar perangkat. Selain itu, perangkat pasif menyimpan salinan cadangan dari file konfigurasi jika perangkat aktif gagal. Jadi, jika terjadi kegagalan pada perangkat utama, transisi akan mulus.
Perlu dicatat bahwa dalam sistem aktif/aktif Anda masih harus mencadangkan 20-25% sumber daya sistem untuk failover. Pada aktif pasif satu perangkat sepenuhnya dalam keadaan siaga, dan siap untuk segera memproses lalu lintas jaringan dan menjaga operasi jaringan normal.
Dalam istilah sederhana: βSaat menggunakan Zyxel Device HA Pro dan memiliki saluran cadangan, bisnis dilindungi dari kehilangan komunikasi karena kesalahan penyedia, dan dari masalah akibat kegagalan router.
Meringkas semua hal di atas
Untuk node pusat dari jaringan terdistribusi, lebih baik menggunakan perangkat dengan suplai port tertentu (antarmuka koneksi). Pada saat yang sama, diinginkan untuk memiliki antarmuka seperti RJ45 untuk kesederhanaan dan murahnya koneksi, dan SFP untuk memilih antara koneksi serat optik dan pasangan bengkok.
Perangkat ini harus:
- produktif, disesuaikan dengan perubahan beban yang tiba-tiba;
- dengan antarmuka yang jelas;
- dengan fitur bawaan yang kaya tetapi tidak berlebihan, termasuk yang terkait dengan keamanan;
- dengan kemampuan untuk membangun skema toleransi kesalahan - duplikasi saluran dan duplikasi perangkat;
- manajemen yang mendukung, sehingga seluruh infrastruktur bercabang berupa simpul pusat dan perangkat periferal dikelola dari satu titik;
- sebagai "icing on the cake" - dukungan untuk tren modern seperti integrasi dengan sumber daya cloud dan sebagainya.
ZyWALL VPN1000 sebagai simpul pusat jaringan
Saat pertama kali melihat ZyWALL VPN1000, Anda dapat melihat bahwa port di Zyxel tidak luput.
Kita punya:
-
12 port RJ-45 (GBE) yang dapat dikonfigurasi;
-
2 port SFP yang dapat dikonfigurasi (GBE);
-
2 port USB 3.0 dengan dukungan untuk modem 3G/4G.
Gambar 1. Tampilan umum ZyWALL VPN1000.
Perlu segera dicatat bahwa perangkat ini bukan untuk kantor pusat, terutama karena kipas yang efisien. Ada empat dari mereka di sini.
Gambar 2. Panel belakang ZyWALL VPN1000.
Mari kita lihat seperti apa antarmukanya.
Segera perlu memperhatikan keadaan penting. Ada banyak sekali fungsinya, dan tidak mungkin untuk dijelaskan secara detail dalam kerangka satu artikel. Tapi yang bagus dari produk Zyxel adalah adanya dokumentasi yang sangat detail, pertama-tama, manual pengguna (administrator). Jadi untuk mendapatkan gambaran tentang kekayaan fitur, mari kita lihat tabnya.
Secara default, port 1 dan port 2 diberikan ke WAN. Mulai dari port ketiga terdapat interface untuk jaringan lokal.
Port ke 3 dengan IP default 192.168.1.1 cukup cocok untuk koneksi.
Kami menghubungkan kabel patch, pergi ke alamat dan Anda dapat mengamati jendela pendaftaran pengguna antarmuka web.
Catatan. Untuk manajemen, Anda dapat menggunakan sistem manajemen cloud SD-WAN.
Gambar 3. Jendela login dan entri kata sandi
Kami melalui prosedur untuk memasukkan login dan kata sandi dan mendapatkan jendela Dashboard di layar. Sebenarnya, sebagaimana mestinya untuk Dasbor - informasi operasional maksimum di setiap potongan ruang layar.
Gambar 4. ZyWALL VPN1000 - Dasbor.
Tab Pengaturan Cepat (Penyihir)
Ada dua asisten di antarmuka: untuk mengonfigurasi WAN dan mengonfigurasi VPN. Faktanya, asisten adalah hal yang baik, mereka memungkinkan Anda untuk melakukan pengaturan template bahkan tanpa memiliki pengalaman dengan perangkat tersebut. Nah, buat yang mau lebih, seperti yang sudah disebutkan di atas, ada dokumentasi detailnya.
Gambar 5. Tab Pengaturan Cepat.
tab pemantauan
Rupanya, para insinyur dari Zyxel memutuskan untuk mengikuti prinsip: kami memantau semua yang mungkin. Tentu saja, untuk perangkat yang bertindak sebagai simpul pusat, kontrol total tidak merugikan sama sekali.
Bahkan hanya dengan memperluas semua item di sidebar, kekayaan pilihan menjadi jelas.
Gambar 6. Tab pemantauan dengan sub-item yang diperluas.
Tab konfigurasi
Di sini, kekayaan fitur semakin terlihat.
Misalnya, manajemen port perangkat dirancang dengan sangat baik.
Gambar 7. Tab konfigurasi dengan sub-item yang diperluas.
tab pemeliharaan
Berisi subbagian untuk memperbarui firmware, diagnostik, melihat aturan perutean, dan mematikan.
Fungsi-fungsi ini bersifat tambahan dan hadir dengan satu atau lain cara di hampir setiap perangkat jaringan.
Gambar 8. Tab Pemeliharaan dengan sub-item yang diperluas.
Karakteristik komparatif
Ulasan kami tidak akan lengkap tanpa perbandingan dengan analog lainnya.
Di bawah ini adalah tabel analog terdekat dengan ZyWALL VPN1000 dan daftar fitur untuk perbandingan.
Tabel 1. Perbandingan ZyWALL VPN1000 dengan analog.
Penjelasan untuk tabel 1:
*1: Diperlukan lisensi
*2: Penyediaan Sentuhan Rendah: Administrator harus terlebih dahulu mengonfigurasi perangkat secara lokal sebelum ZTP.
*3: Berbasis sesi: DPS hanya akan berlaku untuk sesi baru; itu tidak akan mempengaruhi sesi saat ini.
Seperti yang Anda lihat, dalam beberapa hal, analog mengejar jagoan ulasan kami, misalnya, Fortinet FGβ100E juga memiliki pengoptimalan WAN bawaan, dan Meraki MX100 memiliki AutoVPN bawaan (situs-ke-situs ) berfungsi, tetapi secara umum, ZyWALL VPN1000 jelas memimpin.
Panduan memilih perangkat untuk situs pusat (bukan hanya Zyxel)
Saat memilih perangkat untuk mengatur node pusat dari jaringan yang luas dengan banyak cabang, seseorang harus fokus pada sejumlah parameter: kemampuan teknis, kemudahan manajemen, keamanan, dan toleransi kesalahan.
Beragam fungsi, sejumlah besar port fisik dengan kemungkinan konfigurasi yang fleksibel: WAN, LAN, DMZ, dan kehadiran fitur bagus lainnya, seperti pengontrol manajemen titik akses, memungkinkan Anda menutup banyak tugas sekaligus.
Peran penting dimainkan oleh ketersediaan dokumentasi dan antarmuka manajemen yang nyaman.
Dengan hal-hal yang tampaknya sederhana, tidak begitu sulit untuk membuat infrastruktur jaringan yang menangkap berbagai situs dan lokasi, dan penggunaan cloud SD-WAN memungkinkan Anda melakukan ini sefleksibel dan seaman mungkin.
Berguna Link
Sumber: www.habr.com