🥇Tīmekļa zirneklis vai izplatītā tīkla centrālais mezgls

Ko meklēt, izvēloties VPN maršrutētāju izplatītajam tīklam? Un kādām funkcijām tam vajadzētu būt? Tam ir veltīts mūsu ZyWALL VPN1000 pārskats.

Ievads

Iepriekš lielākā daļa mūsu publikāciju bija veltītas zemas klases VPN ierīcēm tīkla piekļuvei no perifērijas vietnēm. Piemēram, lai savienotu dažādas filiāles ar galveno mītni, piekļuvi mazu neatkarīgu uzņēmumu tīklam vai pat privātmājām. Ir pienācis laiks runāt par sadalītā tīkla centrālo mezglu.

Ir skaidrs, ka nebūs iespējams izveidot modernu liela uzņēmuma tīklu tikai uz ekonomiskās klases ierīču bāzes. Un organizējiet mākoņpakalpojumu, lai sniegtu pakalpojumus arī patērētājiem. Kaut kur ir jābūt uzstādītām iekārtām, kas spēj apkalpot lielu skaitu klientu vienlaicīgi. Šoreiz parunāsim par vienu šādu ierīci - Zyxel VPN1000.

Gan lieliem, gan maziem tīkla apmaiņas dalībniekiem ir iespējams identificēt kritērijus, pēc kuriem tiek novērtēta konkrētas ierīces piemērotība problēmas risināšanai.

Zemāk ir norādīti galvenie:

tehniskās un funkcionālās iespējas;
vadība;
drošība;
kļūdu tolerance.

Grūti noteikt, kas ir svarīgāks un bez kā var iztikt. Viss ir vajadzīgs. Ja ierīce neatbilst prasībām saskaņā ar kādu kritēriju, nākotnē tas ir pilns ar problēmām.

Tomēr atsevišķas ierīču īpašības, kas paredzētas centrālo bloku un iekārtu darbības nodrošināšanai, kas darbojas galvenokārt perifērijā, var būtiski atšķirties.

Centrālajam mezglam skaitļošanas jauda ir pirmajā vietā - tas noved pie piespiedu dzesēšanas un līdz ar to ventilatora trokšņa. Perifērijas ierīcēm, kas parasti atrodas birojos un mājās, trokšņaina darbība ir gandrīz nepieņemama.

Vēl viens interesants punkts ir ostu sadalījums. Perifērijas ierīcēs ir vairāk vai mazāk skaidrs, kā tas tiks izmantots un cik klientu tiks pieslēgti. Tāpēc jūs varat iestatīt stingru portu sadalījumu WAN, LAN, DMZ, stingri saistīt ar protokolu utt. Centrālajā centrā šādas pārliecības nav. Piemēram, mēs pievienojām jaunu tīkla segmentu, kuram nepieciešams savienojums, izmantojot savu interfeisu — un kā to izdarīt? Tam nepieciešams universālāks risinājums ar iespēju elastīgi konfigurēt saskarnes.

Būtiska nianse ir tā, ka ierīce ir bagāta ar dažādām funkcijām. Protams, pieejai, kurā viena iekārta labi veic vienu uzdevumu, ir savas priekšrocības. Bet visinteresantākā situācija sākas tad, kad vajag spert soli pa kreisi, soli pa labi. Protams, ar katru jaunu uzdevumu jūs varat papildus iegādāties vēl vienu mērķa ierīci. Un tā tālāk, līdz beidzas budžeta vai plaukta vieta.

Turpretim paplašinātais funkciju komplekts ļauj iztikt ar vienu ierīci, risinot vairākas problēmas. Piemēram, ZyWALL VPN1000 atbalsta vairāku veidu VPN savienojumus, tostarp SSL un IPsec VPN, kā arī attālos savienojumus darbiniekiem. Tas nozīmē, ka viena aparatūra aptver gan starpvietņu, gan klientu savienojumu problēmas. Bet ir viens “bet”. Lai tas darbotos, jums ir jābūt veiktspējas rezervei. Piemēram, ZyWALL VPN1000 gadījumā IPsec VPN aparatūras kodols nodrošina augstu VPN tuneļa veiktspēju, un VPN balansēšana/redundance ar SHA-2 un IKEv2 algoritmiem nodrošina augstu uzticamību un drošību uzņēmējdarbībai.

Tālāk ir norādītas dažas noderīgas funkcijas, kas aptver vienu vai vairākas no iepriekš aprakstītajām jomām.

SD WAN nodrošina platformu mākoņu pārvaldībai, gūstot priekšrocības, ko sniedz centralizēta saziņas pārvaldība starp vietnēm ar iespēju attālināti kontrolēt un uzraudzīt. ZyWALL VPN1000 atbalsta arī atbilstošo darbības režīmu, kur nepieciešamas uzlabotas VPN funkcijas.

Mākoņu platformu atbalsts misijai kritiskiem pakalpojumiem. ZyWALL VPN1000 ir pārbaudīts lietošanai ar Microsoft Azure un AWS. Iepriekš pārbaudītu ierīču izmantošana ir ieteicama jebkura līmeņa organizācijai, īpaši, ja IT infrastruktūra izmanto lokālā tīkla un mākoņa kombināciju.

Satura filtrēšana Nostiprina drošību, bloķējot piekļuvi ļaunprātīgām vai nevēlamām vietnēm. Novērš ļaunprātīgas programmatūras lejupielādi no neuzticamām vai uzlauztām vietnēm. ZyWALL VPN1000 gadījumā šī pakalpojuma gada licence jau ir iekļauta komplektācijā.

Ģeopolitika (Ģeo IP) ļauj pārraudzīt trafiku un analizēt IP adrešu atrašanās vietu, liedzot piekļuvi no nevajadzīgiem vai potenciāli bīstamiem reģioniem. Iegādājoties ierīci, ir iekļauta arī šī pakalpojuma gada licence.

Bezvadu tīkla pārvaldība ZyWALL VPN1000 ietver bezvadu tīkla kontrolleri, kas ļauj pārvaldīt līdz 1032 piekļuves punktiem no centralizētas lietotāja saskarnes. Uzņēmumi var izvietot vai paplašināt pārvaldītu Wi-Fi tīklu ar minimālu piepūli. Ir vērts atzīmēt, ka numurs 1032 ir patiešām daudz. Pamatojoties uz aprēķinu, ka vienam piekļuves punktam var izveidot savienojumu līdz 10 lietotājiem, tas ir diezgan iespaidīgs rādītājs.

Līdzsvarošana un atlaišana. VPN sērija atbalsta slodzes līdzsvarošanu un dublēšanu vairākās ārējās saskarnēs. Tas ir, jūs varat savienot vairākus kanālus no vairākiem pakalpojumu sniedzējiem, tādējādi pasargājot sevi no komunikācijas problēmām.

Ierīces dublēšanas iespēja (ierīce HA) nepārtrauktam savienojumam, pat ja kāda no ierīcēm neizdodas. Bez tā ir grūti iztikt, ja darbs jāorganizē 24/7 ar minimālu dīkstāvi.

Zyxel Device HA Pro darbojas aktīvs/pasīvs, kam nav nepieciešama sarežģīta iestatīšanas procedūra. Tas ļauj pazemināt ieejas slieksni un nekavējoties sākt izmantot rezervāciju. Atšķirībā no aktīvs/aktīvs, kad sistēmas administratoram ir jāiziet papildu apmācība, jāprot konfigurēt dinamisko maršrutēšanu, saprast, kas ir asimetriskās paketes utt. — režīma iestatīšana aktīvs/pasīvs Tas darbojas daudz vieglāk un prasa mazāk laika.

Lietojot Zyxel Device HA Pro, ierīces apmainās ar signāliem sirdsdarbība izmantojot īpašu portu. Aktīvie un pasīvie ierīču porti priekš sirdsdarbība savienots, izmantojot Ethernet kabeli. Pasīvā ierīce pilnībā sinhronizē informāciju ar aktīvo ierīci. Jo īpaši visas sesijas, tuneļi un lietotāju konti tiek sinhronizēti starp ierīcēm. Turklāt pasīvā ierīce saglabā konfigurācijas faila rezerves kopiju gadījumā, ja aktīvā ierīce neizdodas. Tas nodrošina netraucētu pāreju primārās ierīces kļūmes gadījumā.

Ir vērts atzīmēt, ka aktīvajās sistēmās/ aktīvs jums joprojām ir jārezervē 20-25% sistēmas resursu kļūmjpārlēcei. Plkst aktīvs/pasīvs viena ierīce ir pilnībā gaidstāves stāvoklī un ir gatava nekavējoties apstrādāt tīkla trafiku un uzturēt normālu tīkla darbību.

Vienkārši izsakoties: “Izmantojot Zyxel Device HA Pro un izmantojot rezerves kanālu, bizness ir aizsargāts gan no sakaru zudumiem pakalpojumu sniedzēja vainas dēļ, gan no problēmām, kas rodas maršrutētāja kļūmes dēļ.

Apkopojot visu iepriekš minēto

Izkliedētā tīkla centrālajam mezglam labāk ir izmantot ierīci ar noteiktu portu piegādi (savienojuma saskarnes). Šajā gadījumā ir vēlams, lai būtu gan RJ45 saskarnes, lai nodrošinātu vienkāršību un rentablu savienojumu, gan SFP, lai izvēlētos starp optiskās šķiedras savienojumu un vītā pāra savienojumu.

Šai ierīcei jābūt:

produktīvs, pielāgots pēkšņām slodzes izmaiņām;
ar skaidru saskarni;
ar bagātīgu, bet ne pārmērīgu iebūvēto funkciju skaitu, tostarp ar drošību saistītām;
ar iespēju izveidot defektu izturīgas shēmas - kanālu dublēšanu un ierīču dublēšanu;
atbalsta pārvaldība, lai visu sazaroto infrastruktūru centrālā mezgla un perifērijas ierīču veidā varētu pārvaldīt no viena punkta;
kā “ķirsis uz kūkas” — atbalsts tādām modernām tendencēm kā integrācija ar mākoņa resursiem un tā tālāk.

ZyWALL VPN1000 kā tīkla centrālais mezgls

No pirmā acu uzmetiena uz ZyWALL VPN1000 ir skaidrs, ka Zyxel netaupīja portus.

Mums ir:

12 konfigurējami RJ-45 (GBE) porti;
2 konfigurējami SFP porti (GBE);
2 USB 3.0 porti ar atbalstu 3G/4G modemiem.

1. attēls. ZyWALL VPN1000 vispārīgs skats.

Uzreiz jāatzīmē, ka ierīce nav paredzēta mājas birojam, galvenokārt jaudīgo ventilatoru dēļ. Šeit ir četri no tiem.

2. attēls. ZyWALL VPN1000 aizmugures panelis.

Apskatīsim, kā izskatās interfeiss.

Jums nekavējoties jāpievērš uzmanība svarīgam apstāklim. Funkciju ir ļoti daudz, un vienā rakstā tās sīki aprakstīt nebūs iespējams. Bet Zyxel produktu labā ir tas, ka ir ļoti detalizēta dokumentācija, pirmkārt, lietotāja (administratora) rokasgrāmata. Tāpēc, lai iegūtu priekšstatu par funkciju bagātību, pāriesim cauri cilnēm.

Pēc noklusējuma 1. un 2. ports ir piešķirti WAN. Sākot no trešā porta, ir saskarnes vietējam tīklam.

3. ports ar noklusējuma IP 192.168.1.1 ir diezgan piemērots savienojuma izveidei.

Mēs savienojam patchcord, dodieties uz adresi https://192.168.1.1 un jūs varat novērot tīmekļa saskarnes lietotāja reģistrācijas logu.

Piezīme. Pārvaldībai varat izmantot SD-WAN mākoņa pārvaldības sistēmu.

3. attēls. Logs pieteikšanās un paroles ievadīšanai

Mēs veicam pieteikumvārda un paroles ievadīšanas procedūru, un ekrānā tiek parādīts informācijas paneļa logs. Faktiski, kā jau pienākas informācijas panelim – maksimāla operatīvā informācija katrā ekrāna vietā.

4. attēls. ZyWALL VPN1000 — informācijas panelis.

Ātrās iestatīšanas cilne (Wizards)

Saskarnē ir divi palīgi: WAN iestatīšanai un VPN iestatīšanai. Faktiski palīgi ir laba lieta, tie ļauj veikt veidņu iestatījumus pat bez pieredzes darbā ar ierīci. Nu, tiem, kas vēlas vairāk, kā minēts iepriekš, ir detalizēta dokumentācija.

5. attēls. Ātrās iestatīšanas cilne.

Uzraudzības cilne

Acīmredzot Zyxel inženieri nolēma ievērot principu: mēs uzraugām visu, ko varam. Protams, ierīcei, kas darbojas kā centrālais centrmezgls, pilnīga kontrole nekaitēs.

Pat tikai paplašinot visus sānjoslas vienumus, izvēle kļūst acīmredzama.

6. attēls. Uzraudzības cilne ar izvērstiem apakšpunktiem.

Konfigurācijas cilne

Šeit funkciju bagātība ir vēl acīmredzamāka.

Piemēram, ierīces portu pārvaldība ir ļoti labi izstrādāta.

7. attēls. Konfigurācijas cilne ar izvērstiem apakšvienumiem.

Apkopes cilne

Ietver apakšsadaļas programmaparatūras atjaunināšanai, diagnostikai, maršrutēšanas noteikumu skatīšanai un izslēgšanai.

Šīs funkcijas ir palīgfunkcijas un vienā vai otrā pakāpē ir pieejamas gandrīz katrā tīkla ierīcē.

8. attēls. Apkopes cilne ar izvērstiem apakšpunktiem.

Salīdzinošās īpašības

Mūsu pārskats būtu nepilnīgs, ja to nesalīdzinātu ar citiem analogiem.

Zemāk ir ZyWALL VPN1000 tuvāko analogu tabula un funkciju saraksts salīdzināšanai.

1. tabula. ZyWALL VPN1000 salīdzinājums ar analogiem.

Paskaidrojumi 1. tabulai:

*1: nepieciešama licence

*2: Zema pieskāriena nodrošināšana: administratoram vispirms ir jākonfigurē ierīce lokāli pirms ZTP.

*3: pamatojoties uz sesiju: DPS attieksies tikai uz jaunu sesiju; tas neietekmēs pašreizējo sesiju.

Kā redzat, analogi dažos veidos tuvojas mūsu pārskata varonim, piemēram, Fortinet FG‑100E ir arī iebūvēta WAN optimizācija, bet Meraki MX100 ir iebūvēts AutoVPN (no vietnes uz -site) funkciju, taču kopumā ZyWALL VPN1000 ir nepārprotams savā visaptverošajā funkciju komplektā.

Ieteikumi, izvēloties ierīces centrālajam mezglam (ne tikai Zyxel)

Izvēloties ierīces plaša tīkla ar daudzām filiālēm centrālā mezgla organizēšanai, jums jākoncentrējas uz vairākiem parametriem: tehniskajām iespējām, vadības vienkāršību, drošību un kļūdu toleranci.

Plašs funkciju klāsts, liels skaits fizisko pieslēgvietu ar elastīgu konfigurāciju: WAN, LAN, DMZ un citu jauku funkciju klātbūtne, piemēram, piekļuves punkta pārvaldības kontrolieris, ļauj vienlaikus veikt daudzus uzdevumus.

Svarīga loma ir dokumentācijas pieejamībai un ērtai pārvaldības saskarnei.

Ja pa rokai ir tik šķietami vienkāršas lietas, nav tik grūti izveidot tīkla infrastruktūru, kas aptver dažādas vietnes un vietas, un SD-WAN mākoņa izmantošana ļauj to izdarīt ar maksimālu elastību un drošību.