🥇Желіге арналған Spider немесе таратылған желінің орталық түйіні

Бөлінген желі үшін VPN маршрутизаторын таңдағанда нені іздеу керек? Және оның қандай ерекшеліктері болуы керек? ZyWALL VPN1000 шолуымыз осыған арналған.

Кіріспе

Бұған дейін біздің жарияланымдарымыздың көпшілігі перифериялық құрылғылардан желіге кіруге арналған кіші VPN құрылғыларына арналған. Мысалы, әртүрлі филиалдарды бас кеңсемен қосу, шағын тәуелсіз компаниялар желісіне немесе тіпті жеке үйлерге кіру. Бөлінген желіге арналған орталық түйін туралы айтудың уақыты келді.

Ірі кәсіпорынның заманауи желісін тек эконом-класс құрылғыларының негізінде құру жұмыс істемейтіні анық. Сондай-ақ тұтынушыларға қызмет көрсету үшін бұлттық қызметті ұйымдастырыңыз. Бір жерде көптеген тұтынушыларға бір уақытта қызмет көрсете алатын жабдық орнатылуы керек. Бұл жолы біз осындай құрылғылардың бірі - Zyxel VPN1000 туралы сөйлесетін боламыз.

Желілік алмасудың үлкен және кіші қатысушылары үшін белгілі бір құрылғының мәселені шешуге жарамдылығы бағаланатын критерийлерді ажыратуға болады.

Төменде негізгілері:

техникалық және функционалдық мүмкіндіктер;
бақылау;
қауіпсіздік;
ақауларға төзімділік.

Ненің маңыздырақ екенін және онсыз не істеуге болатынын ажырату қиын. Барлығы қажет. Егер құрылғы кейбір критерийлерге сәйкес талаптар деңгейіне жетпесе, бұл болашақта проблемаларға толы болады.

Дегенмен, орталық түйіндердің жұмысын қамтамасыз етуге арналған құрылғылардың кейбір ерекшеліктері мен негізінен шеткі аймақтарда жұмыс істейтін жабдықтар айтарлықтай ерекшеленуі мүмкін.

Орталық түйін үшін есептеу қуаты бірінші орында - бұл мәжбүрлі салқындатуға, демек, желдеткіш шуына әкеледі. Әдетте кеңселер мен тұрғын аудандарда болатын перифериялық құрылғылар үшін шулы жұмыс дерлік қабылданбайды.

Тағы бір қызықты сәт - порттарды тарату. Перифериялық құрылғыларда оның қалай қолданылатыны және қанша клиент қосылатыны азды-көпті анық. Сондықтан WAN, LAN, DMZ порттарын қатты бөлуді орнатуға, хаттамаға қатты байланыстыруды орындауға және т.б. Орталық түйінде мұндай сенімділік жоқ. Мысалы, олар өз интерфейсі арқылы қосылуды қажет ететін жаңа желі сегментін қосты - және оны қалай жасауға болады? Бұл интерфейстерді икемді конфигурациялау мүмкіндігі бар әмбебап шешімді қажет етеді.

Маңызды нюанс - әртүрлі функциялармен құрылғының қанықтылығы. Әрине, бір жабдықтың бір жұмысты жақсы атқаруының артықшылықтары бар. Бірақ ең қызықты жағдай солға, оңға қадам жасау қажет болғанда басталады. Әрине, әрбір жаңа тапсырма үшін басқа мақсатты құрылғыны қосымша сатып алуға болады. Бюджет немесе сөредегі орын таусылғанша және т.б.

Керісінше, функциялардың кеңейтілген жиынтығы бірнеше мәселені шешу кезінде бір құрылғымен жұмыс істеуге мүмкіндік береді. Мысалы, ZyWALL VPN1000 VPN қосылымдарының бірнеше түрін, соның ішінде SSL және IPsec VPN, сондай-ақ қызметкерлерге арналған қашықтағы қосылымдарды қолдайды. Яғни, бір «темір кесек» торапаралық және клиенттік байланыс мәселелерін жауып тастайды. Бірақ бір «бірақ» бар. Бұл жұмыс істеу үшін сізде өнімділік маржасы болуы керек. Мысалы, ZyWALL VPN1000 жағдайында IPsec VPN аппараттық құралының өзегі VPN туннельінің жоғары өнімділігін қамтамасыз етеді, ал SHA-2 және IKEv2 алгоритмдерімен VPN теңдестіру/артықтау жоғары сенімділік пен бизнес қауіпсіздігін қамтамасыз етеді.

Төменде жоғарыда сипатталған бір немесе бірнеше бағытты қамтитын кейбір пайдалы мүмкіндіктер берілген.

SD WAN қашықтан басқару және бақылау мүмкіндігі бар сайттар арасындағы байланысты орталықтандырылған басқарудың артықшылығын пайдалана отырып, бұлтты басқару платформасын ұсынады. ZyWALL VPN1000 қосымша VPN мүмкіндіктері қажет болған жағдайда сәйкес жұмыс режимін де қолдайды.

Маңызды қызметтер үшін бұлттық платформаларды қолдау. ZyWALL VPN1000 Microsoft Azure және AWS бірге пайдалану үшін расталған. Алдын ала тексерілген құрылғыларды пайдалану ұйымның кез келген деңгейі үшін қолайлы, әсіресе АТ инфрақұрылымы жергілікті желі мен бұлтты біріктіруді пайдаланса.

Мазмұнды сүзу зиянды немесе қажетсіз веб-сайттарға кіруді блоктау арқылы қауіпсіздікті арттырады. Зиянды бағдарламалардың сенімсіз немесе бұзылған сайттардан жүктелуіне жол бермейді. ZyWALL VPN1000 жағдайында бұл қызметке жылдық лицензия дереу пакетке қосылады.

Геосаясат (GeoIP) қажетсіз немесе ықтимал қауіпті аймақтардан кіруге жол бермей, трафикті бақылауға және IP мекенжайларының орнын талдауға мүмкіндік береді. Бұл қызметке арналған жылдық лицензия да құрылғыны сатып алуға қосылады.

Сымсыз желіні басқару ZyWALL VPN1000 орталықтандырылған пайдаланушы интерфейсінен 1032 кіру нүктесін басқаруға мүмкіндік беретін сымсыз желі контроллерін қамтиды. Кәсіпорындар басқарылатын Wi-Fi желісін аз күш жұмсап орналастыра немесе кеңейте алады. Айта кету керек, 1032 саны шынымен де көп. Бір кіру нүктесіне 10-ға дейін пайдаланушы қосыла алатындығына сүйене отырып, өте әсерлі көрсеткіш алынады.

Тепе-теңдік және артықшылық. VPN сериясы бірнеше сыртқы интерфейстер арқылы жүктемені теңестіруді және резервтеуді қолдайды. Яғни, бірнеше провайдерлердің бірнеше арналарын қосуға болады, осылайша өзіңізді байланыс ақауларынан қорғай аласыз.

Құрылғының қосымша мүмкіндігі (Device HA) құрылғылардың бірі істен шыққан кезде де үздіксіз қосылым үшін. Тәулік бойы жұмысты ең аз бос уақытпен ұйымдастыру қажет болса, онсыз істеу қиын.

Zyxel Device HA Pro орнатылған белсенді/пассивті, ол күрделі орнату процедурасын қажет етпейді. Бұл кіру шегін төмендетуге және резервтеуді бірден пайдалануға мүмкіндік береді. Ұнайды белсенді/белсендіжүйелік әкімші қосымша дайындықтан өтуі, динамикалық маршруттауды конфигурациялауы, асимметриялық пакеттердің не екенін түсінуі және т.б. - режимді орнату белсенді/пассивті әлдеқайда жеңіл және аз уақытты қажет етеді.

Zyxel Device HA Pro пайдаланған кезде құрылғылар сигналдармен алмасады жүрек соғысы арнайы порт арқылы. Құрылғының белсенді және пассивті порттары жүрек соғысы Ethernet кабелі арқылы қосылған. Пассивті құрылғы ақпаратты белсенді құрылғымен толық синхрондайды. Атап айтқанда, барлық сеанстар, туннельдер, пайдаланушы тіркелгілері құрылғылар арасында синхрондалады. Сонымен қатар, белсенді құрылғы істен шыққан жағдайда пассивті құрылғы конфигурация файлының сақтық көшірмесін сақтайды. Осылайша, негізгі құрылғы істен шыққан жағдайда, ауысу біркелкі болады.

Белсенді жүйелерде екенін атап өткен жөн/белсенді жүйе ресурстарының 20-25%-ын ауыстырып-қосу үшін резервке қою керек. Сағат белсенді/пассивті бір құрылғы толығымен күту күйінде және желілік трафикті дереу өңдеуге және қалыпты желі жұмысын қамтамасыз етуге дайын.

Қарапайым тілмен айтқанда: «Zyxel Device HA Pro қолданбасын пайдаланған кезде және сақтық көшірме арнасы болған кезде, бизнес провайдердің кінәсінен байланысты жоғалудан да, маршрутизатордың істен шығуы нәтижесіндегі мәселелерден де қорғалған.

Жоғарыда айтылғандардың барлығын қорытындылау

Бөлінген желінің орталық түйіні үшін порттардың белгілі бір қорын (қосылу интерфейстері) құрылғыны қолданған дұрыс. Сонымен қатар, қосылымның қарапайымдылығы мен арзандығы үшін RJ45 интерфейстері мен талшықты-оптикалық қосылым мен бұралған жұпты таңдау үшін SFP болған жөн.

Бұл құрылғы болуы керек:

өнімді, жүктеменің күрт өзгеруіне бейімделген;
анық интерфейсі бар;
кірістірілген мүмкіндіктердің бай, бірақ артық емес санымен, соның ішінде қауіпсіздікке қатысты;
ақауларға төзімді сұлбаларды құру мүмкіндігімен – арналардың қайталануы және құрылғылардың қайталануы;
орталық түйін және перифериялық құрылғылар түріндегі бүкіл тармақталған инфрақұрылым бір нүктеден басқарылатындай қолдаушы басқару;
«тортқа глазурь» ретінде - бұлтты ресурстармен интеграция және т.б. сияқты заманауи трендтерді қолдау.

ZyWALL VPN1000 желінің орталық түйіні ретінде

ZyWALL VPN1000 бірінші рет қараған кезде Zyxel порттарының сақталмағанын көруге болады.

Бізде бар:

12 конфигурацияланатын RJ-45 порты (GBE);
2 конфигурацияланатын SFP порты (GBE);
2G/3.0G модемдерін қолдайтын 3 USB 4 порты.

Сурет 1. ZyWALL VPN1000 жалпы көрінісі.

Бірден айта кету керек, құрылғы үй кеңсесі үшін емес, ең алдымен тиімді желдеткіштерге байланысты. Мұнда олардың төртеуі бар.

Сурет 2. ZyWALL VPN1000 артқы панелі.

Интерфейс қалай көрінетінін көрейік.

Бірден маңызды жағдайға назар аударған жөн. Функциялар өте көп және оны бір мақала аясында егжей-тегжейлі сипаттау мүмкін емес. Бірақ Zyxel өнімдерінің жақсы жағы - бұл өте егжей-тегжейлі құжаттама, ең алдымен пайдаланушы (әкімші) нұсқаулығы. Мүмкіндіктердің байлығы туралы түсінік алу үшін жай ғана қойындыларды қарастырайық.

Әдепкі бойынша, 1 және 2 порт WAN желісіне беріледі. Үшінші порттан бастап жергілікті желіге арналған интерфейстер бар.

Әдепкі IP 3 бар 192.168.1.1-ші порт қосылу үшін өте қолайлы.

Біз патч сымын қосамыз, мекенжайға өтіңіз https://192.168.1.1 және веб-интерфейс пайдаланушысын тіркеу терезесін байқауға болады.

ескерту. Басқару үшін SD-WAN бұлтты басқару жүйесін пайдалануға болады.

Сурет 3. Логин мен құпия сөзді енгізу терезесі

Біз логин мен парольді енгізу процедурасынан өтіп, экранда бақылау тақтасы терезесін аламыз. Шын мәнінде, бақылау тақтасы үшін солай болуы керек - экран кеңістігінің әрбір сынығы бойынша максималды операциялық ақпарат.

4-сурет. ZyWALL VPN1000 - Бақылау тақтасы.

Жылдам орнату қойындысы (шеберлер)

Интерфейсте екі көмекші бар: WAN конфигурациялау және VPN конфигурациялау үшін. Шын мәнінде, ассистенттер жақсы нәрсе, олар құрылғымен тәжірибе алмастан үлгі параметрлерін орындауға мүмкіндік береді. Ал, көбірек алғысы келетіндер үшін жоғарыда айтылғандай, егжей-тегжейлі құжаттама бар.

Сурет 5. Жылдам орнату қойындысы.

Бақылау қойындысы

Шамасы, Zyxel инженерлері принципті ұстануға шешім қабылдады: біз мүмкін болатынның бәрін бақылаймыз. Әрине, орталық түйін ретінде әрекет ететін құрылғы үшін жалпы басқару мүлдем зиян тигізбейді.

Бүйірлік тақтадағы барлық элементтерді кеңейту арқылы да таңдаудың байлығы айқын болады.

Сурет 6. Кеңейтілген ішкі тармақтары бар бақылау қойындысы.

Конфигурация қойындысы

Мұнда ерекшеліктердің байлығы одан да айқын көрінеді.

Мысалы, құрылғы портын басқару өте жақсы жасалған.

Сурет 7. Кеңейтілген ішкі элементтері бар конфигурация қойындысы.

Техникалық қызмет көрсету қойындысы

Микробағдарламаны жаңартуға, диагностикаға, маршруттау ережелерін қарауға және өшіруге арналған бөлімдерді қамтиды.

Бұл функциялар көмекші сипатқа ие және кез келген дерлік желілік құрылғыларда бір немесе басқа түрде бар.

Сурет 8. Кеңейтілген ішкі тармақтары бар техникалық қызмет көрсету қойындысы.

Салыстырмалы сипаттамалары

Біздің шолуымыз басқа аналогтармен салыстырусыз толық болмас еді.

Төменде ZyWALL VPN1000 ең жақын аналогтарының кестесі және салыстыру үшін мүмкіндіктер тізімі берілген.

Кесте 1. ZyWALL VPN1000 аналогтарымен салыстыру.

1-кестеге түсініктемелер:

*1: Лицензия қажет

*2: Төмен түртуді қамтамасыз ету: әкімші алдымен ZTP алдында құрылғыны жергілікті түрде конфигурациялауы керек.

*3: сеанс негізінде: DPS тек жаңа сеансқа қолданылады; ол ағымдағы сеансқа әсер етпейді.

Көріп отырғаныңыздай, аналогтар кейбір жолдармен біздің шолуымыздың кейіпкерін қуып жетеді, мысалы, Fortinet FG‑100E-де кірістірілген WAN оңтайландыруы бар, ал Meraki MX100-де кірістірілген AutoVPN (сайттан сайтқа) бар. функциясы, бірақ тұтастай алғанда ZyWALL VPN1000 бір мағынада жетекші орында.

Орталық сайт үшін құрылғыларды таңдау бойынша нұсқаулар (тек Zyxel емес)

Көптеген тармақтары бар кең ауқымды желінің орталық түйінін ұйымдастыруға арналған құрылғыларды таңдағанда, бірқатар параметрлерге назар аудару керек: техникалық мүмкіндіктер, басқарудың қарапайымдылығы, қауіпсіздік және ақауларға төзімділік.

Функциялардың кең ауқымы, икемді конфигурациялау мүмкіндігі бар физикалық порттардың үлкен саны: WAN, LAN, DMZ және кіру нүктесін басқару контроллері сияқты басқа жақсы мүмкіндіктердің болуы бірден көптеген тапсырмаларды жабуға мүмкіндік береді.

Құжаттаманың болуы және басқарудың ыңғайлы интерфейсі маңызды рөл атқарады.

Осындай қарапайым болып көрінетін нәрселермен әртүрлі сайттар мен орындарды түсіретін желілік инфрақұрылымдарды жасау соншалықты қиын емес және SD-WAN бұлтын пайдалану мұны мүмкіндігінше икемді және қауіпсіз орындауға мүмкіндік береді.