Бөлүштүрүлгөн тармак үчүн VPN роутерин тандоодо эмнеге көңүл буруу керек? Жана ал кандай функцияларды аткарышы керек? Бул биздин ZyWALL VPN1000 карап чыгуу үчүн арналган.
тааныштыруу
Буга чейин биздин басылмаларыбыздын көбү перифериялык сайттардан тармакка кирүү үчүн төмөн чендеги VPN түзмөктөрүнө арналган. Мисалы, ар кандай филиалдарды штаб-квартирага туташтыруу, чакан көз карандысыз компаниялардын тармагына же ал тургай жеке үйлөргө кирүү. Бөлүштүрүлгөн тармак үчүн борбордук түйүн жөнүндө сөз кылууга убакыт жетти.
Эконом-класстагы приборлордун базасында гана ири ишкананын заманбап тармагын куруу мүмкүн болбой турганы түшүнүктүү. Ошондой эле керектөөчүлөргө кызмат көрсөтүү үчүн булут кызматын уюштуруу. Бир жерде бир эле учурда көп сандагы кардарларды тейлей турган жабдуулар орнотулушу керек. Бул жолу биз мындай түзмөктөрдүн бири жөнүндө сүйлөшөбүз - Zyxel VPN1000.
Тармак алмашуунун чоң да, кичине да катышуучулары үчүн көйгөйдү чечүү үчүн тигил же бул түзүлүштүн ылайыктуулугу бааланган критерийлерди аныктоого болот.
Төмөндө негизгилери:
- техникалык жана функционалдык мүмкүнчүлүктөр;
- башкаруу;
- коопсуздук;
- катага сабырдуулук.
Эмне маанилүүрөөк экенин жана ансыз эмне кылса болорун аныктоо кыйын. Баары керек. түзмөк кандайдыр бир критерийлерге ылайык талаптарга жооп бербесе, бул келечекте көйгөйлөр менен коштолушу мүмкүн.
Бирок, борбордук блоктордун жана негизинен периферияда иштеген жабдуулардын иштешин камсыз кылуу үчүн арналган түзүлүштөрдүн айрым өзгөчөлүктөрү олуттуу айырмаланышы мүмкүн.
Борбордук түйүн үчүн эсептөө күчү биринчи орунда турат - бул мажбурлап муздатууга алып келет, демек, желдеткичтен чыккан ызы-чуу. Адатта кеңселерде жана үйлөрдө жайгашкан перифериялык түзүлүштөр үчүн ызы-чуу менен иштөө дээрлик кабыл алынбайт.
Дагы бир кызыктуу жагдай - портторду бөлүштүрүү. Перифериялык түзүлүштөрдө ал кандайча колдонулаары жана канча кардар туташтырылаары аздыр-көптүр түшүнүктүү. Ошондуктан, сиз WAN, LAN, DMZ портторун катуу бөлүштүрө аласыз, протоколго катуу байлап, ж.б. Борбордук борбордо мындай ишеним жок. Мисалы, биз өзүнүн интерфейси аркылуу туташууну талап кылган жаңы тармак сегментин коштук - жана муну кантип жасоо керек? Бул интерфейстерди ийкемдүү конфигурациялоо мүмкүнчүлүгү менен универсалдуу чечимди талап кылат.
Маанилүү нюанс - бул аппарат ар кандай функцияларга бай. Албетте, бир жабдык бир тапшырманы жакшы аткарат деген мамиленин жакшы жактары бар. Бирок эң кызыктуу жагдай солго, оңго кадам жасоо керек болгондо башталат. Албетте, ар бир жаңы тапшырма менен кошумча башка максаттуу аппаратты сатып алууга болот. Бюджет же стойка мейкиндиги түгөнгөнгө чейин.
Ал эми, функциялардын кеңейтилген топтому бир нече маселелерди чечүүдө бир аппарат менен иштөөгө мүмкүндүк берет. Мисалы, ZyWALL VPN1000 VPN байланыштарынын бир нече түрлөрүн, анын ичинде SSL жана IPsec VPN, ошондой эле кызматкерлер үчүн алыскы байланыштарды колдойт. Башкача айтканда, бир аппараттык камсыздоо сайттар аралык жана кардар байланыштарынын маселелерин камтыйт. Бирок бир "бирок" бар. Бул иштеши үчүн, сизде аткаруу резерви болушу керек. Мисалы, ZyWALL VPN1000 учурда, IPsec VPN аппараттык өзөгү VPN туннелинин жогорку иштешин камсыз кылат, ал эми SHA-2 жана IKEv2 алгоритмдери менен VPN балансын/кыскартуу бизнес үчүн жогорку ишенимдүүлүктү жана коопсуздукту камсыз кылат.
Төмөндө жогоруда сүрөттөлгөн бир же бир нече аймактарды камтыган кээ бир пайдалуу функциялар келтирилген.
SD WAN алыстан башкаруу жана мониторинг жүргүзүү мүмкүнчүлүгү менен сайттар ортосундагы байланыштарды борборлоштурулган башкаруу артыкчылыктарына ээ, булут башкаруу үчүн аянтчаны камсыз кылат. ZyWALL VPN1000 ошондой эле өнүккөн VPN функциялары талап кылынган тиешелүү иштөө режимин колдойт.
Критикалык кызматтар үчүн булут платформаларын колдоо. ZyWALL VPN1000 Microsoft Azure жана AWS менен колдонуу үчүн сыналган. Алдын ала текшерилген түзмөктөрдү колдонуу ар кандай деңгээлдеги уюм үчүн артыкчылыктуу, айрыкча IT инфраструктурасы локалдык тармак менен булуттун айкалышын колдонсо.
Мазмунду чыпкалоо Зыяндуу же керексиз веб-сайттарга кирүүгө бөгөт коюу менен коопсуздукту бекемдейт. Ишенимсиз же хакерленген сайттардан кесепеттүү программалардын жүктөлүшүнө жол бербейт. ZyWALL VPN1000 учурда, бул кызмат үчүн жылдык лицензия пакетте камтылган.
Гео-саясат (Geo IP) керексиз же кооптуу аймактардан кирүүгө тыюу салып, трафикти көзөмөлдөөгө жана IP даректеринин жайгашкан жерин анализдөөгө мүмкүндүк берет. Бул кызматтын жылдык лицензиясы да аппаратты сатып алууда камтылган.
Зымсыз тармакты башкаруу ZyWALL VPN1000 өзүнө борборлоштурулган колдонуучу интерфейсинен 1032 кирүү чекитине чейин башкарууга мүмкүндүк берген зымсыз тармак контроллерин камтыйт. Ишканалар башкарылуучу Wi-Fi тармагын минималдуу күч менен жайылта же кеңейте алат. Белгилей кетсек, 1032 саны чындап эле көп. 10 колдонуучу бир кирүү чекитине туташа алат деген эсептөөнүн негизинде, бул абдан таасирдүү көрсөткүч.
Баланстуулук жана ашыкча. VPN сериясы бир нече тышкы интерфейстерде жүктү тең салмактуулукту жана ашыкчаны колдойт. Башкача айтканда, сиз бир нече провайдерлердин бир нече каналдарын туташтыра аласыз, ошону менен өзүңүздү байланыш көйгөйлөрүнөн коргой аласыз.
Түзмөктүн ашыкча мүмкүнчүлүгү (Түзмөк HA) түзмөктөрдүн бири иштебей калса да, тынымсыз байланыш үчүн. Минималдуу токтоп калуу менен 24/7 ишти уюштуруу керек болсо, ансыз кылуу кыйын.
Zyxel Device HA Pro иштейт активдүү пассивдүү, бул татаал орнотуу процедурасын талап кылбайт. Бул кирүү босогосун төмөндөтүүгө жана резервацияны дароо колдонууга мүмкүндүк берет. Окшобой активдүү/активдүү, системалык администратор кошумча окуудан өтүшү керек болгондо, динамикалык маршрутту конфигурациялай билүү, асимметриялык пакеттер эмне экенин түшүнүү ж.б.у.с. — режим орнотуу активдүү пассивдүү Ал бир топ жеңил иштейт жана аз убакытты талап кылат.
Zyxel Device HA Pro колдонгондо, түзмөктөр сигналдарды алмашат жүрөктүн жыйрылуусу атайын порт аркылуу. үчүн активдүү жана пассивдүү түзмөк порттору жүрөктүн жыйрылуусу Ethernet кабели аркылуу туташтырылган. Пассивдүү аппарат маалыматты активдүү аппарат менен толук синхрондошот. Атап айтканда, бардык сеанстар, туннелдер жана колдонуучунун каттоо эсептери түзмөктөр ортосунда синхрондолот. Мындан тышкары, активдүү аппарат иштебей калган учурда пассивдүү түзүлүш конфигурация файлынын резервдик көчүрмөсүн сактайт. Бул негизги түзмөк бузулган учурда үзгүлтүксүз өтүүнү камсыз кылат.
Белгилеп кетсек, активдүү системаларда/активдүү сиз дагы эле иштебей калуу үчүн тутум ресурстарынын 20-25% камдашыңыз керек. Ат активдүү пассивдүү бир түзмөк толугу менен күтүү абалында жана дароо тармак трафигин иштеп чыгууга жана тармактын нормалдуу иштешин камсыз кылууга даяр.
Жөнөкөй сөз менен айтканда: “Zyxel Device HA Pro колдонууда жана резервдик каналга ээ болгондо, бизнес провайдердин күнөөсү боюнча байланышты жоготуудан да, роутердин иштебей калышынан келип чыккан көйгөйлөрдөн да корголот.
Жогоруда айтылгандардын бардыгын жалпылап
Бөлүштүрүлгөн тармактын борбордук түйүнү үчүн порттордун белгилүү бир камсыздоосу бар түзүлүштү (кошуу интерфейстери) колдонуу жакшы. Бул учурда, жөнөкөй жана үнөмдүү туташуу үчүн RJ45 интерфейсинин жана оптикалык була-оптикалык туташуунун жана бурмаланган жуптун ортосунда тандоо үчүн SFPдин болушу абзел.
Бул аппарат болушу керек:
- өндүрүмдүү, жүктүн кескин өзгөрүшүнө ыңгайлашкан;
- ачык интерфейс менен;
- камтылган функциялардын бай, бирок ашыкча эмес саны менен, анын ичинде коопсуздукка байланыштуу;
- катачылыкка чыдамдуу схемаларды куруу мүмкүнчүлүгү менен - каналды кайталоо жана түзүлүштү кайталоо;
- борбордук түйүн жана перифериялык түзүлүштөр түрүндөгү бүт тармакталган инфраструктураны бир чекиттен башкара алгыдай башкарууну колдоо;
- "торттогу алча" катары - булут ресурстары менен интеграция сыяктуу заманбап тенденцияларды колдоо жана башкалар.
ZyWALL VPN1000 тармактын борбордук түйүнү катары
ZyWALL VPN1000 бир караганда, Zyxel портторду аябаганы көрүнүп турат.
Бизде бар:
-
12 конфигурациялануучу RJ‑45 (GBE) порттору;
-
2 конфигурациялануучу SFP порттору (GBE);
-
2G/3.0G модемдерин колдоо менен 3 USB 4 порту.
Сүрөт 1. ZyWALL VPN1000 жалпы көрүнүшү.
Дароо белгилей кетүү керек, бул аппарат үй кеңсеси үчүн эмес, биринчи кезекте күчтүү күйөрмандарына байланыштуу. Бул жерде алардын төртөө бар.
Сүрөт 2. ZyWALL VPN1000 арткы панели.
Келгиле, интерфейс кандай экенин карап көрөлү.
Сиз дароо маанилүү жагдайга көңүл буруу керек. Функциялар көп жана аларды бир макалада кеңири сүрөттөп берүү мүмкүн эмес. Бирок Zyxel өнүмдөрүнүн жакшы жери - бул абдан деталдуу документтер, биринчи кезекте колдонуучу (администратор) колдонмосу. Ошондуктан, функциялардын байлыгы жөнүндө түшүнүк алуу үчүн, өтмөктөрдү карап көрөлү.
Демейки боюнча, порт 1 жана порт 2 WANга дайындалган. Үчүнчү порттон баштап локалдык тармак үчүн интерфейстер пайда болот.
Демейки IP 3 менен 192.168.1.1-порт туташуу үчүн абдан ылайыктуу.
Биз патчкордду туташтырабыз, дарекке барабыз жана веб-интерфейстин колдонуучуну каттоо терезесин байкай аласыз.
пикир. Башкаруу үчүн, сиз SD-WAN булут башкаруу системасын колдоно аласыз.
Сүрөт 3. Логин жана паролду киргизүү үчүн терезе
Биз логинди жана паролду киргизүү процедурасынан өтүп, экранда Dashboard терезесин алабыз. Чынында, бул панели үчүн болушу керек эле - экран мейкиндигинин ар бир бөлүгү боюнча максималдуу ыкчам маалымат.
4-сүрөт. ZyWALL VPN1000 - Башкаруу тактасы.
Ыкчам орнотуу өтмөгү (Сыйкырчылар)
Интерфейсте эки жардамчы бар: WAN орнотуу жана VPN орнотуу үчүн. Чынында, жардамчылар жакшы нерсе, алар сиз аппарат менен иштөө тажрыйбасы жок эле үлгү орнотууларды аткарууга мүмкүндүк берет. Ооба, көбүрөөк каалагандар үчүн, жогоруда айтылгандай, деталдуу документтер бар.
Сүрөт 5. Ыкчам орнотуу өтмөгү.
Мониторинг өтмөгү
Кыязы, Zyxel инженерлери принципти карманууну чечишти: биз колубуздан келгендин баарын көзөмөлдөйбүз. Албетте, борбордук хаб катары иштеген аппарат үчүн жалпы башкаруу эч кандай зыян келтирбейт.
Каптал тилкесиндеги бардык элементтерди жөн гана кеңейтүү менен, тандоонун байлыгы айкын болуп калат.
Сүрөт 6. Кеңейтилген суб-пункттары бар мониторинг өтмөгү.
Конфигурация өтмөгү
Бул жерде функциялардын байлыгы дагы айкын көрүнүп турат.
Мисалы, аппарат порт башкаруу абдан жакшы иштелип чыккан.
Сүрөт 7. Кеңейтилген суб-пункттары бар конфигурация өтмөгү.
Тейлөө өтмөгү
Микропрограмманы жаңыртуу, диагностика, маршруттоо эрежелерин көрүү жана өчүрүү үчүн бөлүмчөлөрдү камтыйт.
Бул функциялар көмөкчү мүнөзгө ээ жана тигил же бул даражада дээрлик ар бир тармак түзүлүшүндө бар.
Сүрөт 8. Кеңейтилген суб-пункттары менен тейлөө кошумча барагы.
Салыштырмалуу мүнөздөмөлөр
Биздин карап чыгуу башка аналогдор менен салыштырганда толук эмес болмок.
Төмөндө ZyWALL VPN1000 эң жакын аналогдорунун таблицасы жана салыштыруу үчүн функциялардын тизмеси.
Таблица 1. ZyWALL VPN1000 аналогдору менен салыштыруу.
1-таблицага түшүндүрмөлөр:
*1: Лицензия талап кылынат
*2: Төмөн тийүү менен камсыздоо: Администратор алгач ZTPден мурун түзмөктү локалдуу конфигурациялашы керек.
*3: сессияга негизделген: DPS жаңы сессияга гана колдонулат; бул учурдагы сессияга таасирин тийгизбейт.
Көрүнүп тургандай, кандайдыр бир жагынан аналогдор биздин кароонун каарманын кууп жетет, мисалы, Fortinet FG‑100E да орнотулган WAN оптималдаштырууга ээ, ал эми Meraki MX100 орнотулган AutoVPN (сайттан) -сайт) функциясы, бирок, жалпысынан, ZyWALL VPN1000 анын комплекстүү функциялары боюнча алдыңкы орунда турат.
Борбордук түйүн үчүн түзмөктөрдү тандоодо сунуштар (Zyxel гана эмес)
Көптөгөн бутактары бар кеңири тармактын борбордук түйүнүн уюштуруу үчүн шаймандарды тандоодо бир катар параметрлерге көңүл буруу керек: техникалык мүмкүнчүлүктөр, башкаруунун жөнөкөйлүгү, коопсуздук жана каталарга чыдамдуулук.
Функциялардын кеңири спектри, ийкемдүү конфигурациялуу физикалык порттордун көп саны: WAN, LAN, DMZ жана башка жакшы функциялардын болушу, мисалы, кирүү чекитинин башкаруу контроллери, бир эле учурда көптөгөн тапшырмаларды аткарууга мүмкүндүк берет.
Документтин болушу жана башкаруунун ыңгайлуу интерфейси маанилүү ролду ойнойт.
Ушундай жөнөкөй көрүнгөн нерселерге ээ болуу менен, ар кандай сайттарды жана жерлерди камтыган тармактык инфраструктураларды түзүү анча деле кыйын эмес жана SD-WAN булутунун колдонулушу муну максималдуу ийкемдүүлүк жана коопсуздук менен аткарууга мүмкүндүк берет.
Пайдалуу шилтемелер
Source: www.habr.com