Што да барате при изборот на VPN рутер за дистрибуирана мрежа? И какви функции треба да има? Ова е она на што е посветен нашиот преглед ZyWALL VPN1000.
Вовед
Претходно, повеќето од нашите публикации беа посветени на ниски VPN уреди за пристап до мрежа од периферни страници. На пример, за поврзување на различни гранки со седиштето, пристап до мрежата на мали независни компании, па дури и приватни куќи. Време е да се зборува за централниот јазол за дистрибуираната мрежа.
Јасно е дека нема да биде можно да се изгради модерна мрежа на големо претпријатие само врз основа на уреди од економска класа. И организирајте облак услуга за да им обезбедите услуги на потрошувачите, исто така. Некаде мора да има инсталирана опрема која може да опслужува голем број клиенти во исто време. Овој пат ќе зборуваме за еден таков уред - Zyxel VPN1000.
И за големите и за малите учесници во мрежната размена, можно е да се идентификуваат критериуми според кои се оценува соодветноста на одреден уред за решавање на проблем.
Подолу се главните:
- технички и функционални способности;
- контрола;
- безбедност;
- толеранција на грешки.
Тешко е да се одреди што е поважно и без што може да се направи. Сè е потребно. Ако уредот не ги исполнува барањата според некој критериум, ова е полн со проблеми во иднина.
Сепак, одредени карактеристики на уредите дизајнирани да обезбедат работа на централните единици и опремата што работи главно на периферијата може значително да се разликуваат.
За централниот јазол, компјутерската моќ е на прво место - ова води до принудно ладење и, следствено, бучава од вентилаторот. За периферните уреди, кои обично се наоѓаат во канцеларии и домови, бучното работење е речиси неприфатливо.
Друга интересна точка е дистрибуцијата на пристаништа. Кај периферните уреди повеќе или помалку е јасно како ќе се користи и колку клиенти ќе бидат поврзани. Затоа, можете да поставите строга поделба на портите во WAN, LAN, DMZ, строго да се поврзете со протоколот итн. Нема таква сигурност во централниот центар. На пример, додадовме нов мрежен сегмент кој бара поврзување преку сопствен интерфејс - и како да го направите ова? Ова бара поуниверзално решение со можност за флексибилно конфигурирање на интерфејси.
Важна нијанса е тоа што уредот е богат со различни функции. Се разбира, пристапот на едно парче опрема добро да извршува една задача има свои предности. Но, најинтересната ситуација започнува кога треба да направите чекор налево, чекор надесно. Се разбира, со секоја нова задача можете дополнително да купите уште еден целен уред. И така натаму додека не истече буџетот или просторот за решетката.
Спротивно на тоа, проширениот сет на функции ви овозможува да се справите со еден уред кога решавате неколку прашања. На пример, ZyWALL VPN1000 поддржува повеќе видови VPN конекции, вклучувајќи SSL и IPsec VPN, како и далечински врски за вработените. Односно, едно парче хардвер ги покрива проблемите и на меѓусебните и на клиентските врски. Но, постои едно „но“. За да функционира ова, треба да имате резерва за перформанси. На пример, во случајот со ZyWALL VPN1000, хардверското јадро IPsec VPN обезбедува високи перформанси на VPN тунелот, а балансирањето/вишокот на VPN со алгоритмите SHA-2 и IKEv2 обезбедува висока доверливост и безбедност за бизнисот.
Подолу се наведени некои корисни карактеристики кои покриваат една или повеќе од областите опишани погоре.
СД-ВАН обезбедува платформа за управување со облак, добивајќи ги придобивките од централизирано управување со комуникациите помеѓу страниците со можност за далечинско управување и следење. ZyWALL VPN1000 го поддржува и соодветниот режим на работа каде што се потребни напредни VPN функции.
Поддршка за облак платформи за критични услуги за мисијата. ZyWALL VPN1000 е тестиран за употреба со Microsoft Azure и AWS. Употребата на претходно тестирани уреди се претпочита за организација од кое било ниво, особено ако ИТ инфраструктурата користи комбинација од локална мрежа и облак.
Филтрирање на содржината Ја зајакнува безбедноста со блокирање на пристапот до малициозни или несакани веб-локации. Спречува преземање на малициозен софтвер од недоверливи или хакирани сајтови. Во случајот со ZyWALL VPN1000, годишната лиценца за оваа услуга е веќе вклучена во пакетот.
Геополитика (Гео IP) ви овозможува да го следите сообраќајот и да ја анализирате локацијата на IP-адресите, оневозможувајќи пристап од непотребни или потенцијално опасни региони. При купувањето на уредот е вклучена и годишна лиценца за оваа услуга.
Управување со безжична мрежа ZyWALL VPN1000 вклучува безжичен мрежен контролер кој ви овозможува да управувате со до 1032 пристапни точки од централизиран кориснички интерфејс. Претпријатијата можат да распоредат или прошират управувана Wi-Fi мрежа со минимален напор. Вреди да се напомене дека бројот 1032 е навистина многу. Врз основа на пресметката дека до 10 корисници можат да се поврзат на една пристапна точка, ова е прилично импресивна бројка.
Балансирање и вишок. Серијата VPN поддржува балансирање на оптоварување и вишок преку повеќе надворешни интерфејси. Тоа е, можете да поврзете неколку канали од неколку провајдери, а со тоа да се заштитите од проблеми во комуникацијата.
Можност за вишок на уредот (Уред HA) за нон-стоп поврзување, дури и кога некој од уредите откажува. Тешко е да се направи без ова ако треба да ја организирате работата 24/7 со минимален прекин.
Zyxel Device HA Pro работи во активни/пасивни, што не бара сложена процедура за поставување. Ова ви овозможува да го намалите прагот за влез и веднаш да започнете со користење на резервацијата. За разлика од активен/активен, кога администраторот на системот треба да помине дополнителна обука, да може да конфигурира динамично рутирање, да разбере што се асиметрични пакети итн. — поставување на режимот активни/пасивни Работи многу полесно и бара помалку време.
Кога користите Zyxel Device HA Pro, уредите разменуваат сигнали чукање на срцето преку наменска порта. Активни и пасивни порти на уредот за чукање на срцето поврзани преку етернет кабел. Пасивниот уред целосно ги синхронизира информациите со активниот уред. Особено, сите сесии, тунели и кориснички сметки се синхронизираат помеѓу уредите. Покрај тоа, пасивниот уред одржува резервна копија од конфигурациската датотека во случај активниот уред да не успее. Ова обезбедува беспрекорна транзиција во случај на дефект на примарниот уред.
Вреди да се напомене дека во активните системи/активна сè уште треба да резервирате 20-25% од системските ресурси за фајловер. На активни/пасивни еден уред е целосно во состојба на подготвеност и е подготвен веднаш да го обработи мрежниот сообраќај и да одржува нормална работа на мрежата.
Во едноставни термини: „Кога го користите Zyxel Device HA Pro и имате резервен канал, бизнисот е заштитен и од губење на комуникација поради вина на давателот и од проблеми што произлегуваат од дефект на рутерот.
Сумирајќи ги сите горенаведени
За централниот јазол на дистрибуирана мрежа, подобро е да се користи уред со одредено снабдување на порти (интерфејси за поврзување). Во овој случај, пожелно е да се имаат и RJ45 интерфејси за едноставност и економично поврзување, и SFP за избор помеѓу фибер-оптичка врска и изопачен пар.
Овој уред мора да биде:
- продуктивен, прилагоден на ненадејни промени во оптоварувањето;
- со јасен интерфејс;
- со богат, но не и преголем број на вградени функции, вклучувајќи ги и оние поврзани со безбедноста;
- со можност за изградба на кола толерантни за грешки - дуплирање на канали и дуплирање на уреди;
- поддршка на управувањето така што целата разгранета инфраструктура во форма на централен јазол и периферни уреди може да се управува од една точка;
- како „цреша на тортата“ - поддршка за современите трендови како што се интеграција со ресурсите на облак и така натаму.
ZyWALL VPN1000 како централен јазол на мрежата
На прв поглед на ZyWALL VPN1000, јасно е дека Zyxel не штедел порти.
Ние имаме:
-
12 порти RJ‑45 (GBE) што може да се конфигурираат;
-
2 SFP порти што може да се конфигурираат (GBE);
-
2 USB 3.0 порти со поддршка за 3G/4G модеми.
Слика 1. Општ приказ на ZyWALL VPN1000.
Веднаш треба да се напомене дека уредот не е за домашна канцеларија, пред се поради моќните вентилатори. Тука ги има четири.
Слика 2. Заден панел ZyWALL VPN1000.
Ајде да видиме како изгледа интерфејсот.
Веднаш треба да обрнете внимание на една важна околност. Има многу функции и нема да биде можно детално да се опишат во една статија. Но, она што е добро за производите на Zyxel е тоа што има многу детална документација, пред сè, упатството за корисникот (администраторот). Затоа, за да добиете идеја за богатството на функции, само да поминеме низ јазичињата.
Стандардно, портата 1 и портата 2 се доделени на WAN. Почнувајќи од третата порта има интерфејси за локалната мрежа.
Третата порта со стандардна IP 3 е сосема погодна за поврзување.
Го поврзуваме крпеницата, одиме на адресата и можете да го набљудувате прозорецот за регистрација на корисникот на веб-интерфејсот.
Имајте на ум. За управување, можете да го користите системот за управување со облак SD-WAN.
Слика 3. Прозорец за внесување најава и лозинка
Поминуваме низ процедурата на внесување на најава и лозинка и го добиваме прозорецот Dashboard на екранот. Всушност, како што треба да биде за контролната табла - максимални оперативни информации за секој дел од просторот на екранот.
Слика 4. ZyWALL VPN1000 - Контролна табла.
Картичка за брзо поставување (волшебници)
Во интерфејсот има два асистенти: за поставување WAN и поставување VPN. Всушност, асистентите се добра работа; тие ви дозволуваат да вршите поставки за шаблоните дури и без искуство со работа со уредот. Па, за оние кои сакаат повеќе, како што споменавме погоре, има детална документација.
Слика 5. Таб за брзо поставување.
Таб за следење
Очигледно, инженерите од Zyxel решија да го следат принципот: надгледуваме сè што можеме. Се разбира, за уред кој делува како централен центар, целосната контрола воопшто нема да му наштети.
Дури и само со проширување на сите ставки на страничната лента, богатството на избор станува очигледно.
Слика 6. Јазиче за следење со проширени подставки.
Картичка за конфигурација
Овде богатството на функции е уште поочигледно.
На пример, управувањето со портата на уредот е многу убаво дизајнирано.
Слика 7. Јазиче за конфигурација со проширени подставки.
Јазиче за одржување
Содржи подсекции за ажурирање на фирмверот, дијагностика, прегледување правила за рутирање и исклучување.
Овие функции се од помошна природа и се присутни до еден или друг степен во речиси секој мрежен уред.
Слика 8. Јазиче за одржување со проширени подставки.
Компаративни карактеристики
Нашиот преглед би бил нецелосен без споредба со други аналози.
Подолу е табела со аналози најблиску до ZyWALL VPN1000 и листа на функции за споредба.
Табела 1. Споредба на ZyWALL VPN1000 со аналози.
Објаснувања за Табела 1:
*1: Потребна е лиценца
*2: Обезбедување низок допир: администраторот мора прво да го конфигурира уредот локално пред ZTP.
*3: Врз основа на сесија: DPS ќе се применува само на новата сесија; ова нема да влијае на тековната сесија.
Како што можете да видите, на некој начин аналозите го достигнуваат херојот на нашата рецензија, на пример, Fortinet FG‑100E исто така има вградена оптимизација за WAN, а Meraki MX100 има вграден AutoVPN (локација до -сајт) функција, но генерално, ZyWALL VPN1000 е недвосмислен во својот сеопфатен сет на функции е во водство.
Препораки при изборот на уреди за централниот јазол (не само Zyxel)
При изборот на уреди за организирање на централниот јазол на широка мрежа со многу гранки, треба да се фокусирате на голем број параметри: технички способности, леснотија на управување, безбедност и толеранција на грешки.
Широкиот опсег на функции, голем број физички порти со флексибилна конфигурација: WAN, LAN, DMZ и присуството на други убави функции, како што е контролер за управување со пристапни точки, ви овозможуваат да завршите многу задачи одеднаш.
Важна улога игра достапноста на документација и удобен интерфејс за управување.
Имајќи при рака такви навидум едноставни работи, не е толку тешко да се создадат мрежни инфраструктури кои опфаќаат различни локации и локации, а употребата на облакот SD-WAN ви овозможува да го направите тоа со максимална флексибилност и безбедност.
Корисни линкови
Извор: www.habr.com