Ko meklÄt, izvÄloties VPN marÅ”rutÄtÄju izplatÄ«tajam tÄ«klam? Un kÄdÄm funkcijÄm tam vajadzÄtu bÅ«t? Tam ir veltÄ«ts mÅ«su ZyWALL VPN1000 pÄrskats.
Ievads
IepriekÅ” lielÄkÄ daļa mÅ«su publikÄciju bija veltÄ«tas zemas klases VPN ierÄ«cÄm tÄ«kla piekļuvei no perifÄrijas vietnÄm. PiemÄram, lai savienotu dažÄdas filiÄles ar galveno mÄ«tni, piekļuvi mazu neatkarÄ«gu uzÅÄmumu tÄ«klam vai pat privÄtmÄjÄm. Ir pienÄcis laiks runÄt par sadalÄ«tÄ tÄ«kla centrÄlo mezglu.
Ir skaidrs, ka nebÅ«s iespÄjams izveidot modernu liela uzÅÄmuma tÄ«klu tikai uz ekonomiskÄs klases ierÄ«Äu bÄzes. Un organizÄjiet mÄkoÅpakalpojumu, lai sniegtu pakalpojumus arÄ« patÄrÄtÄjiem. Kaut kur ir jÄbÅ«t uzstÄdÄ«tÄm iekÄrtÄm, kas spÄj apkalpot lielu skaitu klientu vienlaicÄ«gi. Å oreiz parunÄsim par vienu Å”Ädu ierÄ«ci - Zyxel VPN1000.
Gan lieliem, gan maziem tÄ«kla apmaiÅas dalÄ«bniekiem ir iespÄjams identificÄt kritÄrijus, pÄc kuriem tiek novÄrtÄta konkrÄtas ierÄ«ces piemÄrotÄ«ba problÄmas risinÄÅ”anai.
ZemÄk ir norÄdÄ«ti galvenie:
- tehniskÄs un funkcionÄlÄs iespÄjas;
- vadība;
- droŔība;
- kļūdu tolerance.
GrÅ«ti noteikt, kas ir svarÄ«gÄks un bez kÄ var iztikt. Viss ir vajadzÄ«gs. Ja ierÄ«ce neatbilst prasÄ«bÄm saskaÅÄ ar kÄdu kritÄriju, nÄkotnÄ tas ir pilns ar problÄmÄm.
TomÄr atseviŔķas ierÄ«Äu Ä«paŔības, kas paredzÄtas centrÄlo bloku un iekÄrtu darbÄ«bas nodroÅ”inÄÅ”anai, kas darbojas galvenokÄrt perifÄrijÄ, var bÅ«tiski atŔķirties.
CentrÄlajam mezglam skaitļoÅ”anas jauda ir pirmajÄ vietÄ - tas noved pie piespiedu dzesÄÅ”anas un lÄ«dz ar to ventilatora trokÅ”Åa. PerifÄrijas ierÄ«cÄm, kas parasti atrodas birojos un mÄjÄs, trokÅ”Åaina darbÄ«ba ir gandrÄ«z nepieÅemama.
VÄl viens interesants punkts ir ostu sadalÄ«jums. PerifÄrijas ierÄ«cÄs ir vairÄk vai mazÄk skaidrs, kÄ tas tiks izmantots un cik klientu tiks pieslÄgti. TÄpÄc jÅ«s varat iestatÄ«t stingru portu sadalÄ«jumu WAN, LAN, DMZ, stingri saistÄ«t ar protokolu utt. CentrÄlajÄ centrÄ Å”Ädas pÄrliecÄ«bas nav. PiemÄram, mÄs pievienojÄm jaunu tÄ«kla segmentu, kuram nepiecieÅ”ams savienojums, izmantojot savu interfeisu ā un kÄ to izdarÄ«t? Tam nepiecieÅ”ams universÄlÄks risinÄjums ar iespÄju elastÄ«gi konfigurÄt saskarnes.
BÅ«tiska nianse ir tÄ, ka ierÄ«ce ir bagÄta ar dažÄdÄm funkcijÄm. Protams, pieejai, kurÄ viena iekÄrta labi veic vienu uzdevumu, ir savas priekÅ”rocÄ«bas. Bet visinteresantÄkÄ situÄcija sÄkas tad, kad vajag spert soli pa kreisi, soli pa labi. Protams, ar katru jaunu uzdevumu jÅ«s varat papildus iegÄdÄties vÄl vienu mÄrÄ·a ierÄ«ci. Un tÄ tÄlÄk, lÄ«dz beidzas budžeta vai plaukta vieta.
Turpretim paplaÅ”inÄtais funkciju komplekts ļauj iztikt ar vienu ierÄ«ci, risinot vairÄkas problÄmas. PiemÄram, ZyWALL VPN1000 atbalsta vairÄku veidu VPN savienojumus, tostarp SSL un IPsec VPN, kÄ arÄ« attÄlos savienojumus darbiniekiem. Tas nozÄ«mÄ, ka viena aparatÅ«ra aptver gan starpvietÅu, gan klientu savienojumu problÄmas. Bet ir viens ābetā. Lai tas darbotos, jums ir jÄbÅ«t veiktspÄjas rezervei. PiemÄram, ZyWALL VPN1000 gadÄ«jumÄ IPsec VPN aparatÅ«ras kodols nodroÅ”ina augstu VPN tuneļa veiktspÄju, un VPN balansÄÅ”ana/redundance ar SHA-2 un IKEv2 algoritmiem nodroÅ”ina augstu uzticamÄ«bu un droŔību uzÅÄmÄjdarbÄ«bai.
TÄlÄk ir norÄdÄ«tas dažas noderÄ«gas funkcijas, kas aptver vienu vai vairÄkas no iepriekÅ” aprakstÄ«tajÄm jomÄm.
SD WAN nodroÅ”ina platformu mÄkoÅu pÄrvaldÄ«bai, gÅ«stot priekÅ”rocÄ«bas, ko sniedz centralizÄta saziÅas pÄrvaldÄ«ba starp vietnÄm ar iespÄju attÄlinÄti kontrolÄt un uzraudzÄ«t. ZyWALL VPN1000 atbalsta arÄ« atbilstoÅ”o darbÄ«bas režīmu, kur nepiecieÅ”amas uzlabotas VPN funkcijas.
MÄkoÅu platformu atbalsts misijai kritiskiem pakalpojumiem. ZyWALL VPN1000 ir pÄrbaudÄ«ts lietoÅ”anai ar Microsoft Azure un AWS. IepriekÅ” pÄrbaudÄ«tu ierÄ«Äu izmantoÅ”ana ir ieteicama jebkura lÄ«meÅa organizÄcijai, Ä«paÅ”i, ja IT infrastruktÅ«ra izmanto lokÄlÄ tÄ«kla un mÄkoÅa kombinÄciju.
Satura filtrÄÅ”ana Nostiprina droŔību, bloÄ·Äjot piekļuvi ļaunprÄtÄ«gÄm vai nevÄlamÄm vietnÄm. NovÄrÅ” ļaunprÄtÄ«gas programmatÅ«ras lejupielÄdi no neuzticamÄm vai uzlauztÄm vietnÄm. ZyWALL VPN1000 gadÄ«jumÄ Å”Ä« pakalpojuma gada licence jau ir iekļauta komplektÄcijÄ.
Ä¢eopolitika (Ä¢eo IP) ļauj pÄrraudzÄ«t trafiku un analizÄt IP adreÅ”u atraÅ”anÄs vietu, liedzot piekļuvi no nevajadzÄ«giem vai potenciÄli bÄ«stamiem reÄ£ioniem. IegÄdÄjoties ierÄ«ci, ir iekļauta arÄ« Ŕī pakalpojuma gada licence.
Bezvadu tÄ«kla pÄrvaldÄ«ba ZyWALL VPN1000 ietver bezvadu tÄ«kla kontrolleri, kas ļauj pÄrvaldÄ«t lÄ«dz 1032 piekļuves punktiem no centralizÄtas lietotÄja saskarnes. UzÅÄmumi var izvietot vai paplaÅ”inÄt pÄrvaldÄ«tu Wi-Fi tÄ«klu ar minimÄlu piepÅ«li. Ir vÄrts atzÄ«mÄt, ka numurs 1032 ir patieÅ”Äm daudz. Pamatojoties uz aprÄÄ·inu, ka vienam piekļuves punktam var izveidot savienojumu lÄ«dz 10 lietotÄjiem, tas ir diezgan iespaidÄ«gs rÄdÄ«tÄjs.
LÄ«dzsvaroÅ”ana un atlaiÅ”ana. VPN sÄrija atbalsta slodzes lÄ«dzsvaroÅ”anu un dublÄÅ”anu vairÄkÄs ÄrÄjÄs saskarnÄs. Tas ir, jÅ«s varat savienot vairÄkus kanÄlus no vairÄkiem pakalpojumu sniedzÄjiem, tÄdÄjÄdi pasargÄjot sevi no komunikÄcijas problÄmÄm.
IerÄ«ces dublÄÅ”anas iespÄja (ierÄ«ce HA) nepÄrtrauktam savienojumam, pat ja kÄda no ierÄ«cÄm neizdodas. Bez tÄ ir grÅ«ti iztikt, ja darbs jÄorganizÄ 24/7 ar minimÄlu dÄ«kstÄvi.
Zyxel Device HA Pro darbojas aktÄ«vs/pasÄ«vs, kam nav nepiecieÅ”ama sarežģīta iestatÄ«Å”anas procedÅ«ra. Tas ļauj pazeminÄt ieejas slieksni un nekavÄjoties sÄkt izmantot rezervÄciju. AtŔķirÄ«bÄ no aktÄ«vs/aktÄ«vs, kad sistÄmas administratoram ir jÄiziet papildu apmÄcÄ«ba, jÄprot konfigurÄt dinamisko marÅ”rutÄÅ”anu, saprast, kas ir asimetriskÄs paketes utt. ā režīma iestatÄ«Å”ana aktÄ«vs/pasÄ«vs Tas darbojas daudz vieglÄk un prasa mazÄk laika.
Lietojot Zyxel Device HA Pro, ierÄ«ces apmainÄs ar signÄliem sirdsdarbÄ«ba izmantojot Ä«paÅ”u portu. AktÄ«vie un pasÄ«vie ierÄ«Äu porti priekÅ” sirdsdarbÄ«ba savienots, izmantojot Ethernet kabeli. PasÄ«vÄ ierÄ«ce pilnÄ«bÄ sinhronizÄ informÄciju ar aktÄ«vo ierÄ«ci. Jo Ä«paÅ”i visas sesijas, tuneļi un lietotÄju konti tiek sinhronizÄti starp ierÄ«cÄm. TurklÄt pasÄ«vÄ ierÄ«ce saglabÄ konfigurÄcijas faila rezerves kopiju gadÄ«jumÄ, ja aktÄ«vÄ ierÄ«ce neizdodas. Tas nodroÅ”ina netraucÄtu pÄreju primÄrÄs ierÄ«ces kļūmes gadÄ«jumÄ.
Ir vÄrts atzÄ«mÄt, ka aktÄ«vajÄs sistÄmÄs/ aktÄ«vs jums joprojÄm ir jÄrezervÄ 20-25% sistÄmas resursu kļūmjpÄrlÄcei. Plkst aktÄ«vs/pasÄ«vs viena ierÄ«ce ir pilnÄ«bÄ gaidstÄves stÄvoklÄ« un ir gatava nekavÄjoties apstrÄdÄt tÄ«kla trafiku un uzturÄt normÄlu tÄ«kla darbÄ«bu.
VienkÄrÅ”i izsakoties: āIzmantojot Zyxel Device HA Pro un izmantojot rezerves kanÄlu, bizness ir aizsargÄts gan no sakaru zudumiem pakalpojumu sniedzÄja vainas dÄļ, gan no problÄmÄm, kas rodas marÅ”rutÄtÄja kļūmes dÄļ.
Apkopojot visu iepriekÅ” minÄto
IzkliedÄtÄ tÄ«kla centrÄlajam mezglam labÄk ir izmantot ierÄ«ci ar noteiktu portu piegÄdi (savienojuma saskarnes). Å ajÄ gadÄ«jumÄ ir vÄlams, lai bÅ«tu gan RJ45 saskarnes, lai nodroÅ”inÄtu vienkÄrŔību un rentablu savienojumu, gan SFP, lai izvÄlÄtos starp optiskÄs Ŕķiedras savienojumu un vÄ«tÄ pÄra savienojumu.
Å ai ierÄ«cei jÄbÅ«t:
- produktÄ«vs, pielÄgots pÄkÅ”ÅÄm slodzes izmaiÅÄm;
- ar skaidru saskarni;
- ar bagÄtÄ«gu, bet ne pÄrmÄrÄ«gu iebÅ«vÄto funkciju skaitu, tostarp ar droŔību saistÄ«tÄm;
- ar iespÄju izveidot defektu izturÄ«gas shÄmas - kanÄlu dublÄÅ”anu un ierÄ«Äu dublÄÅ”anu;
- atbalsta pÄrvaldÄ«ba, lai visu sazaroto infrastruktÅ«ru centrÄlÄ mezgla un perifÄrijas ierÄ«Äu veidÄ varÄtu pÄrvaldÄ«t no viena punkta;
- kÄ āÄ·irsis uz kÅ«kasā ā atbalsts tÄdÄm modernÄm tendencÄm kÄ integrÄcija ar mÄkoÅa resursiem un tÄ tÄlÄk.
ZyWALL VPN1000 kÄ tÄ«kla centrÄlais mezgls
No pirmÄ acu uzmetiena uz ZyWALL VPN1000 ir skaidrs, ka Zyxel netaupÄ«ja portus.
Mums ir:
-
12 konfigurÄjami RJ-45 (GBE) porti;
-
2 konfigurÄjami SFP porti (GBE);
-
2 USB 3.0 porti ar atbalstu 3G/4G modemiem.
1. attÄls. ZyWALL VPN1000 vispÄrÄ«gs skats.
Uzreiz jÄatzÄ«mÄ, ka ierÄ«ce nav paredzÄta mÄjas birojam, galvenokÄrt jaudÄ«go ventilatoru dÄļ. Å eit ir Äetri no tiem.
2. attÄls. ZyWALL VPN1000 aizmugures panelis.
ApskatÄ«sim, kÄ izskatÄs interfeiss.
Jums nekavÄjoties jÄpievÄrÅ” uzmanÄ«ba svarÄ«gam apstÄklim. Funkciju ir ļoti daudz, un vienÄ rakstÄ tÄs sÄ«ki aprakstÄ«t nebÅ«s iespÄjams. Bet Zyxel produktu labÄ ir tas, ka ir ļoti detalizÄta dokumentÄcija, pirmkÄrt, lietotÄja (administratora) rokasgrÄmata. TÄpÄc, lai iegÅ«tu priekÅ”statu par funkciju bagÄtÄ«bu, pÄriesim cauri cilnÄm.
PÄc noklusÄjuma 1. un 2. ports ir pieŔķirti WAN. SÄkot no treÅ”Ä porta, ir saskarnes vietÄjam tÄ«klam.
3. ports ar noklusÄjuma IP 192.168.1.1 ir diezgan piemÄrots savienojuma izveidei.
MÄs savienojam patchcord, dodieties uz adresi
PiezÄ«me. PÄrvaldÄ«bai varat izmantot SD-WAN mÄkoÅa pÄrvaldÄ«bas sistÄmu.
3. attÄls. Logs pieteikÅ”anÄs un paroles ievadÄ«Å”anai
MÄs veicam pieteikumvÄrda un paroles ievadÄ«Å”anas procedÅ«ru, un ekrÄnÄ tiek parÄdÄ«ts informÄcijas paneļa logs. Faktiski, kÄ jau pienÄkas informÄcijas panelim ā maksimÄla operatÄ«vÄ informÄcija katrÄ ekrÄna vietÄ.
4. attÄls. ZyWALL VPN1000 ā informÄcijas panelis.
ÄtrÄs iestatÄ«Å”anas cilne (Wizards)
SaskarnÄ ir divi palÄ«gi: WAN iestatÄ«Å”anai un VPN iestatÄ«Å”anai. Faktiski palÄ«gi ir laba lieta, tie ļauj veikt veidÅu iestatÄ«jumus pat bez pieredzes darbÄ ar ierÄ«ci. Nu, tiem, kas vÄlas vairÄk, kÄ minÄts iepriekÅ”, ir detalizÄta dokumentÄcija.
5. attÄls. ÄtrÄs iestatÄ«Å”anas cilne.
Uzraudzības cilne
AcÄ«mredzot Zyxel inženieri nolÄma ievÄrot principu: mÄs uzraugÄm visu, ko varam. Protams, ierÄ«cei, kas darbojas kÄ centrÄlais centrmezgls, pilnÄ«ga kontrole nekaitÄs.
Pat tikai paplaÅ”inot visus sÄnjoslas vienumus, izvÄle kļūst acÄ«mredzama.
6. attÄls. UzraudzÄ«bas cilne ar izvÄrstiem apakÅ”punktiem.
KonfigurÄcijas cilne
Å eit funkciju bagÄtÄ«ba ir vÄl acÄ«mredzamÄka.
PiemÄram, ierÄ«ces portu pÄrvaldÄ«ba ir ļoti labi izstrÄdÄta.
7. attÄls. KonfigurÄcijas cilne ar izvÄrstiem apakÅ”vienumiem.
Apkopes cilne
Ietver apakÅ”sadaļas programmaparatÅ«ras atjauninÄÅ”anai, diagnostikai, marÅ”rutÄÅ”anas noteikumu skatÄ«Å”anai un izslÄgÅ”anai.
Å Ä«s funkcijas ir palÄ«gfunkcijas un vienÄ vai otrÄ pakÄpÄ ir pieejamas gandrÄ«z katrÄ tÄ«kla ierÄ«cÄ.
8. attÄls. Apkopes cilne ar izvÄrstiem apakÅ”punktiem.
SalÄ«dzinoÅ”Äs Ä«paŔības
MÅ«su pÄrskats bÅ«tu nepilnÄ«gs, ja to nesalÄ«dzinÄtu ar citiem analogiem.
ZemÄk ir ZyWALL VPN1000 tuvÄko analogu tabula un funkciju saraksts salÄ«dzinÄÅ”anai.
1. tabula. ZyWALL VPN1000 salÄ«dzinÄjums ar analogiem.
Paskaidrojumi 1. tabulai:
*1: nepiecieŔama licence
*2: Zema pieskÄriena nodroÅ”inÄÅ”ana: administratoram vispirms ir jÄkonfigurÄ ierÄ«ce lokÄli pirms ZTP.
*3: pamatojoties uz sesiju: āāDPS attieksies tikai uz jaunu sesiju; tas neietekmÄs paÅ”reizÄjo sesiju.
KÄ redzat, analogi dažos veidos tuvojas mÅ«su pÄrskata varonim, piemÄram, Fortinet FGā100E ir arÄ« iebÅ«vÄta WAN optimizÄcija, bet Meraki MX100 ir iebÅ«vÄts AutoVPN (no vietnes uz -site) funkciju, taÄu kopumÄ ZyWALL VPN1000 ir nepÄrprotams savÄ visaptveroÅ”ajÄ funkciju komplektÄ.
Ieteikumi, izvÄloties ierÄ«ces centrÄlajam mezglam (ne tikai Zyxel)
IzvÄloties ierÄ«ces plaÅ”a tÄ«kla ar daudzÄm filiÄlÄm centrÄlÄ mezgla organizÄÅ”anai, jums jÄkoncentrÄjas uz vairÄkiem parametriem: tehniskajÄm iespÄjÄm, vadÄ«bas vienkÄrŔību, droŔību un kļūdu toleranci.
PlaÅ”s funkciju klÄsts, liels skaits fizisko pieslÄgvietu ar elastÄ«gu konfigurÄciju: WAN, LAN, DMZ un citu jauku funkciju klÄtbÅ«tne, piemÄram, piekļuves punkta pÄrvaldÄ«bas kontrolieris, ļauj vienlaikus veikt daudzus uzdevumus.
SvarÄ«ga loma ir dokumentÄcijas pieejamÄ«bai un Ärtai pÄrvaldÄ«bas saskarnei.
Ja pa rokai ir tik Ŕķietami vienkÄrÅ”as lietas, nav tik grÅ«ti izveidot tÄ«kla infrastruktÅ«ru, kas aptver dažÄdas vietnes un vietas, un SD-WAN mÄkoÅa izmantoÅ”ana ļauj to izdarÄ«t ar maksimÄlu elastÄ«bu un droŔību.
Noderīgas saites
Avots: www.habr.com