分散ネットワークの Web または中央ノード用のスパイダー

分散ネットワーク用の VPN ルーターを選択するときは何に注意すればよいですか? そして、どのような機能があればよいのでしょうか? これが、ZyWALL VPN1000 のレビューの目的です。

導入

これ以前は、当社の出版物のほとんどは、周辺施設からネットワークにアクセスするためのジュニア VPN デバイスに特化していました。 たとえば、さまざまな支店を本社に接続したり、小規模な独立企業のネットワークや個人宅にアクセスしたりすることができます。 分散ネットワークのセントラル ノードについて話しましょう。

エコノミークラスのデバイスのみをベースにして大企業の最新のネットワークを構築することがうまくいかないことは明らかです。 また、消費者にサービスを提供するクラウド サービスも組織します。 同時に多数の顧客にサービスを提供できる機器をどこかに設置する必要があります。 今回は、そのようなデバイスの 1000 つである Zyxel VPNXNUMX について説明します。

ネットワーク交換における大規模な参加者と小規模な参加者の両方にとって、問題を解決するための特定のデバイスの適合性を評価するための基準を区別できます。

以下に主なものを示します。

• 技術的および機能的能力。
• コントロール;
• セキュリティ;
• 耐障害性。

何がより重要で、何がなくても済むのかを区別するのは困難です。 すべてが必要なのです。 デバイスが何らかの基準に従って要件のレベルに達していない場合、将来的に問題が発生します。

ただし、中央ノードと主に周辺ノードで動作する機器の動作を保証するように設計されたデバイスの特定の機能は大きく異なる場合があります。

セントラル ノードの場合、コンピューティング能力が最優先されます。これにより強制冷却が発生し、その結果、ファンの騒音が発生します。 通常、オフィスや住宅地に設置されている周辺機器の場合、動作音がうるさいことはほとんど許容できません。

もう XNUMX つの興味深い点は、ポートの分散です。 周辺機器では、それがどのように使用されるか、および接続されるクライアントの数は多かれ少なかれ明確です。 したがって、WAN、LAN、DMZ 上でポートのハード パーティショニングを設定したり、プロトコルへのハード バインドを実行したりすることができます。 中央ノードにはそのような確実性はありません。 たとえば、独自のインターフェイスを介した接続を必要とする新しいネットワーク セグメントを追加しましたが、その方法は? これには、インターフェイスを柔軟に構成できる機能を備えた、より汎用的なソリューションが必要です。

重要なニュアンスは、デバイスのさまざまな機能の飽和です。 もちろん、XNUMX つの機器で XNUMX つの作業を適切に実行することには利点があります。 しかし、最も興味深い状況は、左に一歩、右に一歩踏み出す必要があるときに始まります。 もちろん、新しいタスクごとに別のターゲット デバイスを追加購入することもできます。 予算やラックスペースがなくなるまで続けます。

対照的に、機能の拡張セットを使用すると、複数の問題を解決するときに 1000 つのデバイスで対処できます。 たとえば、ZyWALL VPN1000 は、SSL および IPsec VPN を含むいくつかのタイプの VPN 接続、および従業員用のリモート接続をサポートしています。 つまり、2 つの「鉄の部分」で、サイト間接続とクライアント接続の両方の問題が解決されます。 しかし、「しかし」が2つあります。 これが機能するには、パフォーマンスに余裕が必要です。 たとえば、ZyWALL VPNXNUMX の場合、IPsec VPN ハードウェア コアは高い VPN トンネル パフォーマンスを提供し、SHA-XNUMX および IKEvXNUMX アルゴリズムによる VPN バランス/冗長性により、高い信頼性とビジネス セキュリティが保証されます。

以下に挙げるのは、上記で説明した XNUMX つ以上の方向をカバーするいくつかの便利な機能です。

SD-WAN は、リモートで制御および監視する機能を備えたサイト間の通信の一元管理を利用した、クラウド管理用のプラットフォームを提供します。 ZyWALL VPN1000 は、高度な VPN 機能が必要な適切な動作モードもサポートします。

重要なサービスのクラウド プラットフォームのサポート。 ZyWALL VPN1000 は、Microsoft Azure および AWS での使用が検証されています。 特に IT インフラストラクチャがローカル ネットワークとクラウドの組み合わせを使用している場合は、どのレベルの組織にとっても、事前検証済みのデバイスを使用することが望ましいと考えられます。

コンテンツフィルタリング 悪意のある Web サイトまたは望ましくない Web サイトへのアクセスをブロックすることでセキュリティを強化します。 信頼できないサイトやハッキングされたサイトからマルウェアがダウンロードされるのを防ぎます。 ZyWALL VPN1000 の場合、このサービスの年間ライセンスがすぐにパッケージに含まれています。

地域ポリシー (GeoIP) トラフィックを追跡し、IP アドレスの位置を分析して、不要な領域または潜在的に危険な領域からのアクセスを拒否できます。 デバイスの購入には、このサービスの年間ライセンスも含まれています。

ワイヤレスネットワーク管理 ZyWALL VPN1000 には、一元化されたユーザー インターフェイスから最大 1032 のアクセス ポイントを管理できるワイヤレス ネットワーク コントローラーが含まれています。 企業は、最小限の労力で管理された Wi-Fi ネットワークを展開または拡張できます。 1032 という数字は非常に多いことに注意してください。 10 つのアクセス ポイントに最大 XNUMX 人のユーザーが接続できるという事実に基づいて、かなり印象的な数字が得られます。

バランスと冗長性。 VPN シリーズは、複数の外部インターフェイスにわたる負荷分散と冗長性をサポートします。 つまり、複数のプロバイダーの複数のチャネルに接続できるため、通信の問題から身を守ることができます。

デバイスの冗長性機能 (デバイス HA) デバイスの 24 つに障害が発生した場合でも、ノンストップ接続を実現します。 最小限のダウンタイムで 7 時間年中無休で作業を整理する必要がある場合、これなしで作業を行うことは困難です。

Zyxel Device HA Pro が登場 アクティブパッシブ複雑な設定手順は必要ありません。 これにより、エントリーの敷居を下げて、すぐに予約の使用を開始できます。 ようではない アクティブ/アクティブシステム管理者が追加のトレーニングを受け、動的ルーティングを構成できるようになり、非対称パケットとは何かを理解できるようにする必要がある場合。 - モード設定 アクティブパッシブ はるかに簡単で時間もかかりません。

Zyxel Device HA Pro を使用すると、デバイスは信号を交換します ハートビート 専用ポート経由。 アクティブおよびパッシブ デバイス ポート ハートビート イーサネットケーブル経由で接続されています。 パッシブ デバイスは、アクティブ デバイスと情報を完全に同期します。 特に、すべてのセッション、トンネル、ユーザー アカウントはデバイス間で同期されます。 さらに、アクティブ デバイスに障害が発生した場合に備えて、パッシブ デバイスは構成ファイルのバックアップ コピーを保持します。 したがって、メインデバイスに障害が発生した場合でも、移行はシームレスに行われます。

アクティブなシステムでは、/アクティブ フェイルオーバー用にシステム リソースの 20 ～ 25% を予約する必要があります。 で アクティブパッシブ XNUMX つのデバイスは完全にスタンバイ状態にあり、ネットワーク トラフィックを即座に処理し、通常のネットワーク動作を維持する準備ができています。

簡単に言うと、「Zyxel Device HA Pro を使用し、バックアップ チャネルがある場合、プロバイダーの障害による通信の損失とルーターの障害による問題の両方からビジネスが保護されます。

上記のすべてを要約すると、

分散ネットワークのセントラル ノードの場合は、一定のポート (接続インターフェイス) を備えたデバイスを使用することをお勧めします。 同時に、接続を簡単かつ安価にするための RJ45 インターフェイスと、光ファイバー接続とツイストペアのどちらかを選択するための SFP の両方を備えていることが望ましいです。

このデバイスは次のとおりである必要があります。

• 生産性が高く、負荷の突然の変化に適応します。
• 明確なインターフェースを備えています。
• セキュリティ関連の機能を含む、豊富ではあるが冗長ではない数の組み込み機能を備えています。
• フォールトトレラントなスキームを構築する機能 - チャネルの複製とデバイスの複製。
• サポート管理。これにより、中央ノードと周辺デバイスの形式の分岐インフラストラクチャ全体が XNUMX つのポイントから管理されます。
• 「おまけ」として、クラウド リソースとの統合などの最新のトレンドをサポートします。

ネットワークのセントラル ノードとしての ZyWALL VPN1000

ZyWALL VPN1000 を初めて見ると、Zyxel のポートが保護されていないことがわかります。

我々は持っています：

• 12 個の構成可能な RJ-45 ポート (GBE)。

• 2 つの構成可能な SFP ポート (GBE)。

• 2G/3.0G モデムをサポートする 3 つの USB 4 ポート。

図 1. ZyWALL VPN1000 の全体図。

主に効率的なファンを備えているため、このデバイスはホームオフィス向けではないことにすぐに注意してください。 ここにはそのうちのXNUMXつがあります。

図 2. ZyWALL VPN1000 の背面パネル。

インターフェイスがどのようなものかを見てみましょう。

すぐに重要な状況に注意を払う価値があります。 機能は非常に多く、XNUMX つの記事で詳しく説明することはできません。 しかし、Zyxel 製品の良い点は、非常に詳細なドキュメント、まず第一にユーザー (管理者) マニュアルがあることです。 機能の豊富さを理解するために、タブをざっと見てみましょう。

デフォルトでは、ポート 1 とポート 2 は WAN に割り当てられます。 XNUMX 番目のポートから始めて、ローカル ネットワーク用のインターフェイスがあります。

デフォルトの IP 3 を持つ 192.168.1.1 番目のポートは、接続に非常に適しています。

パッチコードを接続し、アドレスに移動します https://192.168.1.1 Web インターフェイスのユーザー登録ウィンドウが表示されます。

注意。 管理には、SD-WAN クラウド管理システムを使用できます。

図 3. ログインとパスワードの入力ウィンドウ

ログインとパスワードを入力する手順を実行し、画面にダッシュボード ウィンドウを表示します。 実際、ダッシュボードではそうあるべきですが、画面スペースのあらゆる部分に最大限の操作情報が表示されます。

図 4. ZyWALL VPN1000 - ダッシュボード。

[クイック セットアップ] タブ (ウィザード)

インターフェイスには、WAN の設定と VPN の設定用の XNUMX つのアシスタントがあります。 実際、アシスタントは優れたもので、デバイスの使用経験がなくてもテンプレート設定を実行できます。 さらに詳しく知りたい人のために、上で述べたように詳細なドキュメントがあります。

図 5. [クイック セットアップ] タブ。

監視タブ

どうやら、Zyxel のエンジニアは、「可能なことはすべて監視する」という原則に従うことに決めたようです。 もちろん、中央ノードとして機能するデバイスの場合、完全な制御はまったく問題ありません。

サイドバーの項目をすべて展開するだけでも、選択肢の豊富さがわかります。

図6. サブ項目が展開された「監視」タブ。

「構成」タブ

ここでは、機能の豊富さがさらに明らかです。

たとえば、デバイスのポート管理は非常にうまく設計されています。

図 7. サブ項目が展開された [構成] タブ。

メンテナンスタブ

ファームウェアの更新、診断、ルーティング ルールの表示、およびシャットダウンに関するサブセクションが含まれています。

これらの機能は補助的なものであり、ほぼすべてのネットワーク デバイスに何らかの形で存在します。

図 8. サブ項目が展開された「メンテナンス」タブ。

比較特性

他の類似品との比較がなければ、私たちのレビューは不完全になります。

以下は、ZyWALL VPN1000 に最も近い類似製品の表と、比較のための機能のリストです。

表 1. ZyWALL VPN1000 と類似製品の比較。

表 1 の説明:

※1：ライセンスが必要です

*2: ロータッチ プロビジョニング: ZTP の前に、管理者はまずデバイスをローカルで設定する必要があります。

*3: セッションベース: DPS は新しいセッションにのみ適用されます。 現在のセッションには影響しません。

ご覧のとおり、アナログ製品はいくつかの点で私たちのレビューの主人公に追いつきつつあります。たとえば、Fortinet FG‑100E には WAN 最適化機能も組み込まれており、Meraki MX100 には AutoVPN (サイト間) が組み込まれています。機能は優れていますが、一般的には、ZyWALL VPN1000 が明らかにリードしています。

中央サイト (Zyxel に限らず) のデバイスを選択するためのガイドライン

多くのブランチを含む広範なネットワークの中央ノードを構成するデバイスを選択する場合は、技術的能力、管理の容易さ、セキュリティ、耐障害性などの多くのパラメータに焦点を当てる必要があります。

幅広い機能、柔軟な構成が可能な多数の物理ポート (WAN、LAN、DMZ、およびアクセス ポイント管理コントローラーなどのその他の優れた機能の存在) により、多くのタスクを一度に終了することができます。

ドキュメントと便利な管理インターフェイスの利用可能性が重要な役割を果たします。

このように一見シンプルに見えるものがあれば、さまざまなサイトや場所を取り込むネットワーク インフラストラクチャを構築することはそれほど難しくありません。SD-WAN クラウドを使用すると、これを可能な限り柔軟かつ安全に行うことができます。

便利なリンク集

SD-WAN 市場の分析: どのようなソリューションが存在し、誰がそれを必要としているか

Zyxel Device HA Pro はネットワークの回復力を向上させます

ATP/VPN/Zywall/USG シリーズ セキュリティ ゲートウェイでの GeoIP 機能の使用

サーバールームには何が残るでしょうか？

XNUMX つを XNUMX つに、またはアクセス ポイント コントローラをゲートウェイに移行

スペシャリスト向け電報チャット Zyxel

出所： habr.com