🥇Tinklo voras arba paskirstyto tinklo centrinis mazgas

Į ką atkreipti dėmesį renkantis VPN maršrutizatorių paskirstytam tinklui? Ir kokias funkcijas jis turėtų turėti? Tam skirta mūsų „ZyWALL VPN1000“ apžvalga.

įvedimas

Anksčiau dauguma mūsų leidinių buvo skirti žemos klasės VPN įrenginiams, skirtiems prieigai prie tinklo iš periferinių svetainių. Pavyzdžiui, sujungti įvairius filialus su būstine, prieiga prie mažų nepriklausomų įmonių tinklo ar net privačių namų. Atėjo laikas pakalbėti apie paskirstyto tinklo centrinį mazgą.

Akivaizdu, kad vien ekonominės klasės įrenginių pagrindu nepavyks sukurti modernaus didelės įmonės tinklo. Organizuokite debesies paslaugą, kad teiktumėte paslaugas ir vartotojams. Kažkur turi būti sumontuota įranga, galinti vienu metu aptarnauti daug klientų. Šį kartą kalbėsime apie vieną tokį įrenginį – Zyxel VPN1000.

Tiek dideliems, tiek mažiems tinklo mainų dalyviams galima identifikuoti kriterijus, pagal kuriuos vertinamas konkretaus įrenginio tinkamumas problemai spręsti.

Žemiau pateikiami pagrindiniai:

techninės ir funkcinės galimybės;
kontrolė;
saugumas;
atsparumas gedimams.

Sunku nustatyti, kas yra svarbiau, o be ko galima apsieiti. Visko reikia. Jei įrenginys neatitinka reikalavimų pagal tam tikrą kriterijų, ateityje gali kilti problemų.

Tačiau tam tikros įrenginių, skirtų užtikrinti centrinių blokų ir įrangos, veikiančios daugiausia periferijoje, veikimą, savybės gali labai skirtis.

Centriniam mazgui skaičiavimo galia yra pirmiausia – tai sukelia priverstinį aušinimą ir, atitinkamai, ventiliatoriaus triukšmą. Išoriniams įrenginiams, kurie paprastai yra biuruose ir namuose, triukšmingas veikimas yra beveik nepriimtinas.

Kitas įdomus dalykas – uostų paskirstymas. Periferiniuose įrenginiuose daugiau ar mažiau aišku, kaip jis bus naudojamas ir kiek klientų bus prijungta. Todėl galite nustatyti griežtą prievadų padalijimą į WAN, LAN, DMZ, griežtai susieti su protokolu ir pan. Centriniame centre tokio tikrumo nėra. Pavyzdžiui, įtraukėme naują tinklo segmentą, kuriam reikia prisijungti per savo sąsają – ir kaip tai padaryti? Tam reikalingas universalesnis sprendimas su galimybe lanksčiai konfigūruoti sąsajas.

Svarbus niuansas – įrenginyje gausu įvairių funkcijų. Žinoma, požiūris, kad viena įranga gerai atlieka vieną užduotį, turi savo privalumų. Tačiau įdomiausia situacija prasideda tada, kai reikia žengti žingsnį į kairę, žingsnį į dešinę. Žinoma, su kiekviena nauja užduotimi galite papildomai įsigyti kitą tikslinį įrenginį. Ir taip toliau, kol baigsis biudžetas arba stelažas.

Priešingai, išplėstas funkcijų rinkinys leidžia susidoroti su vienu įrenginiu sprendžiant keletą problemų. Pavyzdžiui, ZyWALL VPN1000 palaiko kelių tipų VPN ryšius, įskaitant SSL ir IPsec VPN, taip pat nuotolinius ryšius darbuotojams. Tai reiškia, kad viena techninės įrangos dalis apima tiek kelių svetainių, tiek klientų ryšių problemas. Tačiau yra vienas „bet“. Kad tai veiktų, reikia turėti našumo rezervą. Pavyzdžiui, ZyWALL VPN1000 atveju IPsec VPN aparatinės įrangos branduolys užtikrina aukštą VPN tunelio našumą, o VPN balansavimas / atleidimas naudojant SHA-2 ir IKEv2 algoritmus užtikrina didelį verslo patikimumą ir saugumą.

Toliau pateikiamos kelios naudingos funkcijos, apimančios vieną ar daugiau aukščiau aprašytų sričių.

SD WAN suteikia debesų valdymo platformą, įgyjančią centralizuoto ryšių tarp svetainių valdymo privalumus ir galimybę nuotoliniu būdu valdyti ir stebėti. ZyWALL VPN1000 taip pat palaiko atitinkamą veikimo režimą, kai reikalingos pažangios VPN funkcijos.

Debesų platformų palaikymas, skirtas svarbioms paslaugoms. ZyWALL VPN1000 išbandytas naudoti su Microsoft Azure ir AWS. Bet kokio lygio organizacijai geriau naudoti iš anksto patikrintus įrenginius, ypač jei IT infrastruktūra naudoja vietinio tinklo ir debesies derinį.

Turinio filtravimas Sustiprina saugumą blokuodamas prieigą prie kenkėjiškų ar nepageidaujamų svetainių. Apsaugo nuo kenkėjiškų programų atsisiuntimo iš nepatikimų ar įsilaužtų svetainių. ZyWALL VPN1000 atveju metinė šios paslaugos licencija jau įtraukta į paketą.

Geopolitika (Geografinis IP) leidžia stebėti srautą ir analizuoti IP adresų vietą, užkertant kelią prieigai iš nereikalingų ar potencialiai pavojingų regionų. Perkant įrenginį taip pat pridedama metinė šios paslaugos licencija.

Belaidžio tinklo valdymas ZyWALL VPN1000 turi belaidžio tinklo valdiklį, kuris leidžia valdyti iki 1032 prieigos taškų iš centralizuotos vartotojo sąsajos. Įmonės gali įdiegti arba išplėsti valdomą „Wi-Fi“ tinklą su minimaliomis pastangomis. Verta paminėti, kad skaičius 1032 yra tikrai daug. Remiantis skaičiavimais, kad prie vieno prieigos taško gali prisijungti iki 10 vartotojų, tai yra gana įspūdingas skaičius.

Balansas ir perteklius. VPN serija palaiko apkrovos balansavimą ir dubliavimą keliose išorinėse sąsajose. Tai reiškia, kad galite prijungti kelis kanalus iš kelių tiekėjų, taip apsisaugodami nuo ryšio problemų.

Įrenginio pertekliaus galimybė (įrenginio HA) nepertraukiamam ryšiui, net kai vienas iš įrenginių sugenda. Sunku išsiversti be to, jei reikia organizuoti darbą 24/7 su minimaliomis prastovomis.

„Zyxel Device HA Pro“ veikia aktyvus/pasyvus, kuriai nereikia sudėtingos sąrankos procedūros. Tai leidžia sumažinti įėjimo slenkstį ir iškart pradėti naudotis rezervacija. Skirtingai nei aktyvus/aktyvus, kai sistemos administratoriui reikia papildomai apmokyti, mokėti sukonfigūruoti dinaminį maršrutą, suprasti, kas yra asimetriniai paketai ir pan. - režimo nustatymas aktyvus/pasyvus Tai veikia daug lengviau ir reikalauja mažiau laiko.

Naudojant Zyxel Device HA Pro, įrenginiai keičiasi signalais širdies plakimas per tam skirtą prievadą. Aktyvūs ir pasyvūs įrenginių prievadai širdies plakimas prijungtas per Ethernet kabelį. Pasyvus įrenginys visiškai sinchronizuoja informaciją su aktyviu įrenginiu. Visų pirma, visi seansai, tuneliai ir vartotojų abonementai yra sinchronizuojami tarp įrenginių. Be to, pasyvusis įrenginys išsaugo atsarginę konfigūracijos failo kopiją, jei aktyvus įrenginys sugestų. Tai užtikrina sklandų perėjimą įvykus pagrindinio įrenginio gedimui.

Verta paminėti, kad aktyviose sistemose/ aktyvaus vis tiek turite rezervuoti 20–25% sistemos išteklių pertrūkiui. At aktyvus/pasyvus vienas įrenginys yra visiškai parengties būsenoje ir yra pasirengęs nedelsiant apdoroti tinklo srautą ir palaikyti įprastą tinklo veikimą.

Paprasčiau tariant: „Naudojant Zyxel Device HA Pro ir turint atsarginį kanalą, verslas yra apsaugotas tiek nuo ryšio praradimo dėl tiekėjo kaltės, tiek nuo problemų, kylančių dėl maršrutizatoriaus gedimo.

Apibendrinant visa tai, kas išdėstyta pirmiau

Centriniam paskirstyto tinklo mazgui geriau naudoti įrenginį su tam tikru prievadų (ryšio sąsajų) tiekimu. Šiuo atveju pageidautina turėti ir RJ45 sąsajas, kad būtų paprastas ir ekonomiškas ryšys, ir SFP, kad būtų galima pasirinkti tarp šviesolaidinės jungties ir vytos poros.

Šis įrenginys turi būti:

produktyvus, prisitaikęs prie staigių apkrovos pokyčių;
su aiškia sąsaja;
su gausiu, bet ne per dideliu integruotų funkcijų skaičiumi, įskaitant tas, kurios susijusios su saugumu;
su galimybe sukurti gedimams atsparias grandines - kanalų dubliavimą ir įrenginio dubliavimą;
valdymo palaikymas, kad visa šakotoji infrastruktūra centrinio mazgo ir išorinių įrenginių pavidalu būtų valdoma iš vieno taško;
kaip „vyšnia ant torto“ – palaikymas šiuolaikinėms tendencijoms, tokioms kaip integracija su debesų ištekliais ir pan.

ZyWALL VPN1000 kaip centrinis tinklo mazgas

Iš pirmo žvilgsnio į „ZyWALL VPN1000“ aišku, kad „Zyxel“ negailėjo prievadų.

Mes turime:

12 konfigūruojamų RJ-45 (GBE) prievadų;
2 konfigūruojami SFP prievadai (GBE);
2 USB 3.0 prievadai su 3G/4G modemų palaikymu.

1 pav. Bendras ZyWALL VPN1000 vaizdas.

Iš karto reikia pažymėti, kad įrenginys nėra skirtas namų biurui, visų pirma dėl galingų ventiliatorių. Čia jų keturi.

2 pav. ZyWALL VPN1000 galinis skydelis.

Pažiūrėkime, kaip atrodo sąsaja.

Turėtumėte nedelsiant atkreipti dėmesį į svarbią aplinkybę. Funkcijų yra labai daug, viename straipsnyje jų išsamiai aprašyti nepavyks. Tačiau „Zyxel“ gaminių pranašumai yra tai, kad yra labai išsami dokumentacija, pirmiausia vartotojo (administratoriaus) vadovas. Todėl norėdami susidaryti supratimą apie daugybę funkcijų, tiesiog eikime per skirtukus.

Pagal numatytuosius nustatymus 1 ir 2 prievadai priskirti WAN. Nuo trečiojo prievado yra vietinio tinklo sąsajos.

3-asis prievadas su numatytuoju IP 192.168.1.1 yra gana tinkamas prijungimui.

Prijungiame patchcord, einame adresu https://192.168.1.1 ir galite stebėti žiniatinklio sąsajos vartotojo registracijos langą.

Atkreipti dėmesį. Valdymui galite naudoti SD-WAN debesų valdymo sistemą.

3 pav. Langas, skirtas įvesti prisijungimo vardą ir slaptažodį

Mes atliekame prisijungimo vardo ir slaptažodžio įvedimo procedūrą ir ekrane pasirodo prietaisų skydelio langas. Tiesą sakant, kaip ir turėtų būti prietaisų skydelyje – maksimali operacinė informacija kiekvienoje ekrano erdvėje.

4 pav. ZyWALL VPN1000 – prietaisų skydelis.

Greitosios sąrankos skirtukas (Wizards)

Sąsajoje yra du asistentai: nustatyti WAN ir nustatyti VPN. Tiesą sakant, asistentai yra geras dalykas, jie leidžia atlikti šablono nustatymus net neturint patirties dirbant su įrenginiu. Na, o tiems, kurie nori daugiau, kaip minėta aukščiau, yra išsami dokumentacija.

5 pav. Greitosios sąrankos skirtukas.

Stebėjimo skirtukas

Matyt, Zyxel inžinieriai nusprendė vadovautis principu: stebime viską, ką galime. Žinoma, įrenginiui, kuris atlieka centrinio mazgo funkciją, visiškas valdymas nepakenks.

Netgi išplečiant visus elementus šoninėje juostoje, pasirinkimas tampa akivaizdus.

6 pav. Stebėjimo skirtukas su išplėstais poskyriais.

Konfigūracijos skirtukas

Čia funkcijų gausa yra dar akivaizdesnė.

Pavyzdžiui, įrenginio prievadų valdymas yra labai gražiai suprojektuotas.

7 pav. Konfigūracijos skirtukas su išplėstais antriniais elementais.

Priežiūros skirtukas

Yra poskyrių, skirtų programinės aparatinės įrangos atnaujinimui, diagnostikai, maršruto parinkimo taisyklių peržiūrai ir išjungimui.

Šios funkcijos yra pagalbinio pobūdžio ir vienu ar kitu laipsniu yra beveik kiekviename tinklo įrenginyje.

8 pav. Priežiūros skirtukas su išplėstais antriniais elementais.

Lyginamosios charakteristikos

Mūsų apžvalga būtų neišsami, nepalyginus su kitais analogais.

Žemiau yra artimiausių ZyWALL VPN1000 analogų lentelė ir funkcijų sąrašas palyginimui.

1 lentelė. ZyWALL VPN1000 palyginimas su analogais.

1 lentelės paaiškinimai:

*1: reikalinga licencija

*2: Low Touch Provision: administratorius pirmiausia turi sukonfigūruoti įrenginį vietoje prieš ZTP.

*3: Sesijos pagrindu: DPS bus taikomas tik naujai seansui; tai neturės įtakos dabartinei sesijai.

Kaip matote, tam tikra prasme analogai vejasi mūsų apžvalgos herojų, pavyzdžiui, „Fortinet FG‑100E“ taip pat turi įmontuotą WAN optimizavimą, o „Meraki MX100“ turi integruotą AutoVPN (nuo svetainės iki -site) funkcija, tačiau apskritai ZyWALL VPN1000 vienareikšmiškai pirmauja dėl savo išsamaus funkcijų rinkinio.

Rekomendacijos renkantis įrenginius centriniam mazgui (ne tik Zyxel)

Renkantis įrenginius plataus tinklo su daugybe atšakų centriniam mazgui organizuoti, turėtumėte sutelkti dėmesį į daugybę parametrų: technines galimybes, valdymo paprastumą, saugumą ir atsparumą gedimams.

Platus funkcijų asortimentas, daugybė fizinių prievadų su lanksčia konfigūracija: WAN, LAN, DMZ ir kitų gražių funkcijų, tokių kaip prieigos taško valdymo valdiklis, buvimas leidžia atlikti daugybę užduočių vienu metu.

Svarbų vaidmenį atlieka dokumentacijos prieinamumas ir patogi valdymo sąsaja.

Turint po ranka tokius, atrodytų, paprastus dalykus, nėra taip sunku sukurti tinklo infrastruktūrą, apimančią įvairias svetaines ir vietoves, o SD-WAN debesies naudojimas leidžia tai padaryti maksimaliai lanksčiai ir saugiai.