Cosa cercare quando si sceglie un router VPN per una rete distribuita? E quali caratteristiche dovrebbe avere? Questo è ciò a cui è dedicata la nostra recensione di ZyWALL VPN1000.
Introduzione
Prima di questo, la maggior parte delle nostre pubblicazioni era dedicata ai dispositivi VPN junior per l'accesso alla rete da strutture periferiche. Ad esempio, per collegare varie filiali con la sede centrale, accedere alla rete di piccole aziende indipendenti, o anche case private. È ora di parlare del nodo centrale per una rete distribuita.
È chiaro che costruire una rete moderna di una grande impresa non funzionerà solo sulla base di dispositivi di classe economica. E organizza un servizio cloud per fornire servizi anche ai consumatori. Da qualche parte, devono essere installate apparecchiature in grado di servire un gran numero di clienti contemporaneamente. Questa volta parleremo di uno di questi dispositivi: Zyxel VPN1000.
Sia per i partecipanti grandi che piccoli allo scambio di rete, è possibile distinguere i criteri in base ai quali viene valutata l'idoneità di un particolare dispositivo per risolvere un problema.
Di seguito i principali:
- capacità tecniche e funzionali;
- gestione;
- sicurezza;
- tolleranza ai guasti.
È difficile distinguere ciò che è più importante e ciò di cui si può fare a meno. Tutto è necessario. Se il dispositivo, secondo qualche criterio, non raggiunge il livello dei requisiti, questo è irto di problemi in futuro.
Tuttavia, alcune caratteristiche dei dispositivi progettati per garantire il funzionamento dei nodi centrali e delle apparecchiature che operano principalmente alla periferia possono differire in modo significativo.
Per il nodo centrale, la potenza di calcolo viene prima di tutto: questo porta al raffreddamento forzato e, quindi, al rumore della ventola. Per le periferiche, che di solito si trovano negli uffici e nelle aree residenziali, il funzionamento rumoroso è quasi inaccettabile.
Un altro punto interessante è la distribuzione delle porte. Nei dispositivi periferici è più o meno chiaro come verrà utilizzato e quanti client saranno collegati. Pertanto, è possibile impostare il partizionamento rigido delle porte su WAN, LAN, DMZ, eseguire un collegamento rigido al protocollo e così via. Non c'è tale certezza nel nodo centrale. Ad esempio, hanno aggiunto un nuovo segmento di rete che richiede la connessione tramite la propria interfaccia e come farlo? Ciò richiede una soluzione più universale con la possibilità di configurare in modo flessibile le interfacce.
Una sfumatura importante è la saturazione del dispositivo con varie funzioni. Naturalmente, ci sono dei vantaggi nell'avere un solo pezzo di attrezzatura che fa bene un singolo lavoro. Ma la situazione più interessante inizia quando devi fare un passo a sinistra, un passo a destra. Naturalmente, puoi anche acquistare un altro dispositivo di destinazione per ogni nuova attività. E così via fino all'esaurimento del budget o dello spazio nel rack.
Al contrario, un set esteso di funzioni consente di cavarsela con un dispositivo quando si risolvono diversi problemi. Ad esempio, ZyWALL VPN1000 supporta diversi tipi di connessioni VPN, tra cui VPN SSL e IPsec, nonché connessioni remote per i dipendenti. Cioè, un "pezzo di ferro" chiude i problemi delle connessioni tra siti e client. Ma ce n'è uno "ma". Perché funzioni, devi avere un margine di rendimento. Ad esempio, nel caso di ZyWALL VPN1000, il core hardware VPN IPsec fornisce elevate prestazioni del tunnel VPN, mentre il bilanciamento/ridondanza VPN con gli algoritmi SHA-2 e IKEv2 garantisce un'elevata affidabilità e sicurezza aziendale.
Di seguito sono elencate alcune funzioni utili che coprono una o più delle direzioni sopra descritte.
SD-WAN fornisce una piattaforma per la gestione del cloud, sfruttando la gestione centralizzata della comunicazione tra i siti con la possibilità di controllo e monitoraggio da remoto. ZyWALL VPN1000 supporta anche la modalità operativa appropriata in cui sono richieste funzionalità VPN avanzate.
Supporto per piattaforme cloud per servizi critici. ZyWALL VPN1000 è convalidato per l'uso con Microsoft Azure e AWS. L'utilizzo di dispositivi pre-convalidati è preferibile per qualsiasi livello di organizzazione, soprattutto se l'infrastruttura IT utilizza una combinazione di rete locale e cloud.
Filtraggio dei contenuti migliora la sicurezza bloccando l'accesso a siti Web dannosi o indesiderati. Impedisce il download di malware da siti non attendibili o compromessi. Nel caso di ZyWALL VPN1000, una licenza annuale per questo servizio è inclusa immediatamente nel pacchetto.
Politiche geografiche (GeoIP) consentono di tracciare il traffico e analizzare la posizione degli indirizzi IP, negando l'accesso da regioni non necessarie o potenzialmente pericolose. Con l'acquisto del dispositivo è inclusa anche una licenza annuale per questo servizio.
Gestione della rete senza fili ZyWALL VPN1000 include un controller di rete wireless che consente di gestire fino a 1032 punti di accesso da un'interfaccia utente centralizzata. Le aziende possono implementare o espandere una rete Wi-Fi gestita con il minimo sforzo. Vale la pena notare che il numero 1032 è davvero molto. Sulla base del fatto che fino a 10 utenti possono connettersi a un punto di accesso, si ottiene una cifra piuttosto impressionante.
Bilanciamento e ridondanza. La serie VPN supporta il bilanciamento del carico e la ridondanza su più interfacce esterne. Cioè, puoi connettere diversi canali di diversi provider, proteggendoti così dai problemi di comunicazione.
Capacità di ridondanza del dispositivo (Device HA) per una connessione non-stop, anche in caso di guasto di uno dei dispositivi. È difficile farne a meno se devi organizzare il lavoro 24 ore su 7, XNUMX giorni su XNUMX con tempi di inattività minimi.
Il dispositivo Zyxel HA Pro è disponibile attivo passivo, che non richiede una complicata procedura di configurazione. Questo ti permette di abbassare la soglia di ingresso e iniziare subito a utilizzare la prenotazione. A differenza di attivo/attivoquando un amministratore di sistema deve sottoporsi a una formazione aggiuntiva, essere in grado di configurare il routing dinamico, capire cosa sono i pacchetti asimmetrici, ecc. - impostazione della modalità attivo passivo molto più facile e richiede meno tempo.
Quando si utilizza Zyxel Device HA Pro, i dispositivi scambiano segnali battito cardiaco attraverso una porta dedicata. Porte per dispositivi attivi e passivi per battito cardiaco collegato tramite un cavo Ethernet. Il dispositivo passivo sincronizza completamente le informazioni con il dispositivo attivo. In particolare, tutte le sessioni, i tunnel, gli account utente sono sincronizzati tra i dispositivi. Inoltre, il dispositivo passivo conserva una copia di backup del file di configurazione in caso di guasto del dispositivo attivo. Pertanto, in caso di guasto del dispositivo principale, la transizione è senza soluzione di continuità.
Va notato che nei sistemi attivi/ attiva devi ancora riservare il 20-25% delle risorse di sistema per il failover. A attivo passivo un dispositivo è completamente in uno stato di standby ed è pronto per elaborare immediatamente il traffico di rete e mantenere il normale funzionamento della rete.
In termini semplici: “Quando si utilizza Zyxel Device HA Pro e si dispone di un canale di backup, l'azienda è protetta sia dalla perdita di comunicazione dovuta alla colpa del provider, sia dai problemi dovuti a un guasto del router.
Riassumendo tutto quanto sopra
Per il nodo centrale di una rete distribuita è preferibile utilizzare un dispositivo con una certa dotazione di porte (interfacce di connessione). Allo stesso tempo, è desiderabile avere sia interfacce RJ45 per semplicità ed economicità di connessione, sia SFP per la scelta tra connessione in fibra ottica e doppino intrecciato.
Questo dispositivo deve essere:
- produttivo, adattato a un brusco cambiamento di carico;
- con un'interfaccia chiara;
- con un numero ricco ma non ridondante di funzionalità integrate, comprese quelle relative alla sicurezza;
- con la capacità di costruire schemi tolleranti ai guasti - duplicazione di canali e duplicazione di dispositivi;
- gestione di supporto, in modo che l'intera infrastruttura ramificata sotto forma di nodo centrale e dispositivi periferici sia gestita da un punto;
- come "ciliegina sulla torta": supporto per le tendenze moderne come l'integrazione con le risorse cloud e così via.
ZyWALL VPN1000 come nodo centrale della rete
Quando guardi per la prima volta ZyWALL VPN1000, puoi vedere che le porte in Zyxel non sono state risparmiate.
Abbiamo:
-
12 porte RJ-45 configurabili (GBE);
-
2 porte SFP configurabili (GBE);
-
2 porte USB 3.0 con supporto per modem 3G/4G.
Figura 1. Vista generale di ZyWALL VPN1000.
Va notato subito che il dispositivo non è per un ufficio domestico, principalmente a causa delle ventole efficienti. Ce ne sono quattro qui.
Figura 2. Pannello posteriore di ZyWALL VPN1000.
Vediamo come appare l'interfaccia.
Immediatamente vale la pena prestare attenzione a una circostanza importante. Ci sono molte funzioni e non sarà possibile descriverle in dettaglio nell'ambito di un articolo. Ma l'aspetto positivo dei prodotti Zyxel è che esiste una documentazione molto dettagliata, prima di tutto il manuale dell'utente (amministratore). Quindi, per avere un'idea della ricchezza di funzionalità, basta andare a spulciare le schede.
Per impostazione predefinita, la porta 1 e la porta 2 sono assegnate alla WAN. A partire dalla terza porta sono presenti le interfacce per la rete locale.
La terza porta con l'IP predefinito 3 è abbastanza adatta per la connessione.
Colleghiamo il cavo patch, andiamo all'indirizzo e puoi osservare la finestra di registrazione dell'utente dell'interfaccia web.
Nota. Per la gestione, puoi utilizzare il sistema di gestione cloud SD-WAN.
Figura 3. Finestra di immissione login e password
Eseguiamo la procedura per l'inserimento di login e password e otteniamo la finestra Dashboard sullo schermo. In realtà, come dovrebbe essere per il Dashboard: il massimo delle informazioni operative su ogni frammento di spazio sullo schermo.
Figura 4. ZyWALL VPN1000 - Dashboard.
Scheda Configurazione rapida (procedura guidata)
Ci sono due assistenti nell'interfaccia: per la configurazione della WAN e per la configurazione della VPN. In effetti, gli assistenti sono una buona cosa, ti consentono di eseguire le impostazioni del modello senza nemmeno avere esperienza con il dispositivo. Bene, per chi vuole di più, come detto sopra, c'è una documentazione dettagliata.
Figura 5. Scheda Configurazione rapida.
Scheda Monitoraggio
Apparentemente, gli ingegneri di Zyxel hanno deciso di seguire il principio: monitoriamo tutto ciò che è possibile. Certo, per un dispositivo che funge da nodo centrale, il controllo totale non guasta affatto.
Anche solo espandendo tutti gli elementi della barra laterale, la ricchezza della scelta diventa evidente.
Figura 6. Scheda Monitoraggio con elementi secondari espansi.
scheda Configurazione
Qui la ricchezza di funzionalità è ancora più evidente.
Ad esempio, la gestione delle porte del dispositivo è molto ben progettata.
Figura 7. Scheda Configurazione con elementi secondari espansi.
Scheda Manutenzione
Contiene sottosezioni per l'aggiornamento del firmware, la diagnostica, la visualizzazione delle regole di instradamento e l'arresto.
Queste funzioni sono di natura ausiliaria e sono presenti in un modo o nell'altro in quasi tutti i dispositivi di rete.
Figura 8. Scheda Manutenzione con elementi secondari espansi.
Caratteristiche comparative
La nostra recensione sarebbe incompleta senza un confronto con altri analoghi.
Di seguito è riportata una tabella degli analoghi più vicini a ZyWALL VPN1000 e un elenco di funzionalità per il confronto.
Tabella 1. Confronto di ZyWALL VPN1000 con analoghi.
Spiegazioni per la tabella 1:
*1: Licenza richiesta
*2: Low Touch Provision: l'amministratore deve prima configurare il dispositivo localmente prima di ZTP.
*3: Basato sulla sessione: DPS si applicherà solo a una nuova sessione; non influenzerà la sessione corrente.
Come puoi vedere, gli analoghi stanno raggiungendo l'eroe della nostra recensione in qualche modo, ad esempio, Fortinet FG‑100E ha anche l'ottimizzazione WAN integrata e Meraki MX100 ha un AutoVPN integrato (da sito a sito) funzione, ma in generale, ZyWALL VPN1000 è inequivocabilmente in testa.
Linee guida per la scelta dei dispositivi per il sito centrale (non solo Zyxel)
Quando si scelgono i dispositivi per organizzare un nodo centrale di una rete estesa con molte filiali, è necessario concentrarsi su una serie di parametri: capacità tecniche, facilità di gestione, sicurezza e tolleranza ai guasti.
Un'ampia gamma di funzioni, un gran numero di porte fisiche con possibilità di configurazione flessibile: WAN, LAN, DMZ e la presenza di altre simpatiche funzionalità, come un controller di gestione del punto di accesso, consentono di chiudere molte attività contemporaneamente.
Un ruolo importante è svolto dalla disponibilità di documentazione e da una comoda interfaccia di gestione.
Con cose così apparentemente semplici a portata di mano, non è così difficile creare infrastrutture di rete che catturino vari siti e posizioni e l'uso del cloud SD-WAN ti consente di farlo nel modo più flessibile e sicuro possibile.
Link utili
Fonte: habr.com