🥇Вэбд зориулсан Spider эсвэл тархсан сүлжээний төв зангилаа

Түгээмэл сүлжээнд VPN чиглүүлэгчийг сонгохдоо юуг анхаарах вэ? Мөн ямар шинж чанартай байх ёстой вэ? ZyWALL VPN1000-ийн талаарх бидний тойм үүнд зориулагдсан болно.

Танилцуулга

Үүнээс өмнө манай хэвлэлүүдийн ихэнх нь захын төхөөрөмжөөс сүлжээнд нэвтрэхэд зориулагдсан бага VPN төхөөрөмжүүдэд зориулагдсан байв. Жишээлбэл, янз бүрийн салбаруудыг төв байртай холбох, бие даасан жижиг компаниудын сүлжээ, тэр байтугай хувийн байшинд нэвтрэх. Түгээмэл сүлжээний төв зангилааны талаар ярих цаг болжээ.

Зөвхөн эдийн засгийн зэрэглэлийн төхөөрөмж дээр тулгуурлан томоохон аж ахуйн нэгжийн орчин үеийн сүлжээг бий болгохоор ажиллахгүй нь ойлгомжтой. Мөн хэрэглэгчдэд үйлчилгээ үзүүлэх үүлэн үйлчилгээг зохион байгуул. Хаа нэгтээ олон тооны хэрэглэгчдэд нэгэн зэрэг үйлчлэх тоног төхөөрөмж суурилуулах ёстой. Энэ удаад бид нэг ийм төхөөрөмжийн тухай ярих болно - Zyxel VPN1000.

Сүлжээний солилцооны том, жижиг оролцогчдын хувьд тухайн төхөөрөмжийг асуудлыг шийдвэрлэхэд тохиромжтой эсэхийг үнэлэх шалгуурыг ялгаж болно.

Гол нь доор байна:

техникийн болон үйл ажиллагааны чадвар;
хяналт;
аюулгүй байдал;
алдааг тэсвэрлэх чадвар.

Юу нь илүү чухал, юу хийхгүйгээр хийж болохыг ялгахад хэцүү байдаг. Бүх зүйл хэрэгтэй. Хэрэв төхөөрөмж нь зарим шалгуурын дагуу шаардлагын түвшинд хүрэхгүй бол энэ нь ирээдүйд асуудалтай тулгарах болно.

Гэсэн хэдий ч голчлон захын хэсэгт ажилладаг төвийн зангилаа, тоног төхөөрөмжийн ажиллагааг хангахад зориулагдсан төхөөрөмжүүдийн зарим онцлог шинж чанар нь эрс ялгаатай байж болно.

Төв зангилааны хувьд тооцоолох хүч нь хамгийн түрүүнд ирдэг - энэ нь албадан хөргөлт, улмаар сэнсний чимээ шуугианд хүргэдэг. Ихэвчлэн оффис, орон сууцны хороололд байдаг захын төхөөрөмжүүдийн хувьд дуу чимээ ихтэй ажиллагааг бараг хүлээн зөвшөөрдөггүй.

Өөр нэг сонирхолтой зүйл бол портуудын хуваарилалт юм. Захын төхөөрөмжүүдэд үүнийг хэрхэн ашиглах, хэдэн үйлчлүүлэгч холбогдох нь бага эсвэл тодорхой байдаг. Тиймээс та WAN, LAN, DMZ дээр портуудыг хатуу хуваах, протоколд хатуу холбох гэх мэтийг хийж болно. Төв зангилаанд ийм баталгаа байхгүй. Жишээлбэл, тэд өөрийн интерфейсээр дамжуулан холболт шаарддаг шинэ сүлжээний сегментийг нэмсэн - үүнийг хэрхэн хийх вэ? Энэ нь интерфэйсүүдийг уян хатан тохируулах чадвартай илүү түгээмэл шийдэл шаарддаг.

Чухал нюанс бол янз бүрийн функц бүхий төхөөрөмжийн ханасан байдал юм. Мэдээжийн хэрэг, нэг тоног төхөөрөмж нэг ажлыг сайн гүйцэтгэх давуу талтай. Гэхдээ хамгийн сонирхолтой нөхцөл байдал нь зүүн тийш, баруун тийш алхам хийх шаардлагатай үед эхэлдэг. Мэдээжийн хэрэг, та шинэ даалгавар бүрт зориулж өөр зорилтот төхөөрөмж худалдаж авах боломжтой. Төсөв эсвэл тавиурын зай дуусах хүртэл.

Үүний эсрэгээр, өргөтгөсөн функцууд нь хэд хэдэн асуудлыг шийдвэрлэхэд нэг төхөөрөмжөөр ажиллах боломжийг олгодог. Жишээлбэл, ZyWALL VPN1000 нь SSL болон IPsec VPN зэрэг хэд хэдэн төрлийн VPN холболт, түүнчлэн ажилчдын алсын холболтыг дэмждэг. Өөрөөр хэлбэл, нэг "төмрийн хэсэг" нь сайт хоорондын болон үйлчлүүлэгчийн холболтын асуудлыг хаадаг. Гэхдээ нэг "гэхдээ" байдаг. Үүнийг ажиллуулахын тулд та гүйцэтгэлийн маржинтай байх хэрэгтэй. Жишээлбэл, ZyWALL VPN1000-ийн хувьд IPsec VPN-ийн техник хангамжийн цөм нь VPN туннелийн өндөр гүйцэтгэлийг хангадаг бол SHA-2 болон IKEv2 алгоритмтай VPN тэнцвэржүүлэх/нөөцлөх нь өндөр найдвартай байдал, бизнесийн аюулгүй байдлыг хангадаг.

Дээр дурдсан нэг буюу хэд хэдэн чиглэлийг хамарсан зарим ашигтай функцуудыг доор жагсаав.

SD WAN Алсын зайнаас хянах, хянах чадвартай сайтуудын хоорондын харилцаа холбооны төвлөрсөн удирдлагын давуу талыг ашиглан үүлэн удирдлагын платформоор хангадаг. ZyWALL VPN1000 нь VPN-ийн дэвшилтэт функц шаардлагатай үед тохирох горимыг дэмждэг.

Чухал үйлчилгээнд зориулсан үүлэн платформыг дэмжих. ZyWALL VPN1000 нь Microsoft Azure болон AWS-д ашиглахаар батлагдсан. Урьдчилан баталгаажуулсан төхөөрөмжүүдийг ашиглах нь аль ч түвшний байгууллагад, ялангуяа мэдээллийн технологийн дэд бүтэц нь дотоод сүлжээ болон үүлэн сүлжээг хослуулан ашигладаг бол илүү тохиромжтой.

Контент шүүлтүүр хортой эсвэл хүсээгүй вэб сайт руу нэвтрэхийг хориглох замаар аюулгүй байдлыг сайжруулдаг. Найдваргүй эсвэл хакердсан сайтаас хортой программыг татаж авахаас сэргийлнэ. ZyWALL VPN1000-ийн хувьд энэ үйлчилгээний жилийн лицензийг багцад шууд оруулсан болно.

Гео бодлого (GeoIP) Шаардлагагүй эсвэл аюултай бүс нутгаас нэвтрэхээс татгалзаж, урсгалыг хянах, IP хаягийн байршлыг шинжлэх боломжийг танд олгоно. Энэ үйлчилгээний жилийн лицензийг мөн төхөөрөмжийг худалдан авахдаа багтаасан болно.

Утасгүй сүлжээний удирдлага ZyWALL VPN1000 нь төвлөрсөн хэрэглэгчийн интерфэйсээс 1032 хүртэлх хандалтын цэгийг удирдах боломжийг олгодог утасгүй сүлжээний хянагчтай. Бизнесүүд хамгийн бага хүчин чармайлтаар удирддаг Wi-Fi сүлжээг байршуулах эсвэл өргөжүүлэх боломжтой. 1032 гэдэг тоо үнэхээр их гэдгийг тэмдэглэх нь зүйтэй. Нэг хандалтын цэгт 10 хүртэлх хэрэглэгч холбогдох боломжтойг үндэслэн нэлээд гайхалтай үзүүлэлтийг олж авна.

Тэнцвэржүүлэх ба илүүдэл. VPN цуврал нь олон гадаад интерфэйсүүдийн ачааллыг тэнцвэржүүлэх, нөөцлөх боломжийг дэмждэг. Өөрөөр хэлбэл, та хэд хэдэн үйлчилгээ үзүүлэгчээс хэд хэдэн сувгийг холбож, улмаар харилцааны асуудлаас өөрийгөө хамгаалж чадна.

Төхөөрөмжийн нөөцлөх чадвар (Төхөөрөмжийн HA) төхөөрөмжүүдийн аль нэг нь бүтэлгүйтсэн ч зогсолтгүй холболтын хувьд. Хэрэв та хамгийн бага сул зогсолттой 24/7 ажлыг зохион байгуулах шаардлагатай бол үүнгүйгээр хийх нь хэцүү байдаг.

Zyxel Device HA Pro бэлэн байна идэвхтэй/идэвхгүй, энэ нь нарийн төвөгтэй тохиргооны процедурыг шаарддаггүй. Энэ нь танд нэвтрэх босгыг бууруулж, захиалгаа шууд ашиглаж эхлэх боломжийг олгоно. Дургүй идэвхтэй/идэвхтэйсистемийн администратор нэмэлт сургалтанд хамрагдах, динамик чиглүүлэлтийн тохиргоо хийх, тэгш бус пакет гэж юу болохыг ойлгох гэх мэт шаардлагатай үед. - горимын тохиргоо идэвхтэй/идэвхгүй илүү хялбар бөгөөд цаг хугацаа бага зарцуулдаг.

Zyxel Device HA Pro ашиглах үед төхөөрөмжүүд дохио солилцдог зүрхний цохилт тусгай портоор дамжуулан. Идэвхтэй ба идэвхгүй төхөөрөмжийн портууд зүрхний цохилт Ethernet кабелиар холбогдсон. Идэвхгүй төхөөрөмж нь мэдээллийг идэвхтэй төхөөрөмжтэй бүрэн синхрончилдог. Ялангуяа бүх сесс, хонгил, хэрэглэгчийн бүртгэлийг төхөөрөмжүүдийн хооронд синхрончилдог. Нэмж дурдахад идэвхгүй төхөөрөмж нь идэвхгүй төхөөрөмж бүтэлгүйтсэн тохиолдолд тохиргооны файлын нөөц хуулбарыг хадгалдаг. Тиймээс үндсэн төхөөрөмж эвдэрсэн тохиолдолд шилжилт нь саадгүй явагдана.

Идэвхтэй системд байгааг тэмдэглэх нь зүйтэй/идэвхтэй Та системийн нөөцийн 20-25%-ийг дампууралд зориулж нөөцлөх шаардлагатай хэвээр байна. At идэвхтэй/идэвхгүй нэг төхөөрөмж бүхэлдээ зогсолтын төлөвт байгаа бөгөөд сүлжээний траффикийг даруй боловсруулж, сүлжээний хэвийн ажиллагааг хангахад бэлэн байна.

Энгийнээр хэлбэл: "Zyxel Device HA Pro-г ашиглаж, нөөц сувагтай байх үед бизнес үйлчилгээ үзүүлэгчийн буруугаас болж харилцаа холбоо тасрахаас, чиглүүлэгчийн эвдрэлээс үүдэн гарах асуудлаас хамгаалдаг.

Дээр дурдсан бүх зүйлийг нэгтгэн дүгнэв

Түгээмэл сүлжээний төв зангилааны хувьд тодорхой порт (холболтын интерфейс) бүхий төхөөрөмжийг ашиглах нь дээр. Үүний зэрэгцээ холболтын хялбар, хямд байдлын үүднээс RJ45 интерфэйс, шилэн кабелийн холболт болон эрчилсэн хосын хооронд сонголт хийх SFP-тэй байх нь зүйтэй.

Энэ төхөөрөмж байх ёстой:

бүтээмжтэй, ачааллын огцом өөрчлөлтөд тохирсон;
тодорхой интерфэйстэй;
баялаг, гэхдээ илүүдэхгүй олон тооны суурилуулсан функцүүд, түүний дотор аюулгүй байдалтай холбоотой;
алдаатай тэсвэртэй схемийг бүтээх чадвартай - сувгийн давхардал, төхөөрөмжүүдийн давхардал;
дэмжих удирдлага, ингэснээр төв зангилаа болон захын төхөөрөмж хэлбэрээр салбарласан дэд бүтцийг бүхэлд нь нэг цэгээс удирддаг;
"бялуу дээр мөстөх" - үүлэн нөөцтэй нэгтгэх гэх мэт орчин үеийн чиг хандлагыг дэмжих.

ZyWALL VPN1000 нь сүлжээний төв зангилаа юм

ZyWALL VPN1000-г анх харахад Zyxel-ийн портууд хадгалагдаагүй байгааг харж болно.

Бидэнд байгаа:

12 тохируулж болох RJ-45 порт (GBE);
2 тохируулж болох SFP порт (GBE);
2G/3.0G модемийг дэмждэг 3 USB 4 порт.

Зураг 1. ZyWALL VPN1000-ийн ерөнхий дүр зураг.

Энэ төхөөрөмж нь үндсэндээ үр ашигтай сэнстэй тул гэрийн оффис биш гэдгийг нэн даруй тэмдэглэх нь зүйтэй. Тэдний дөрөв нь энд байна.

Зураг 2. ZyWALL VPN1000-ийн арын самбар.

Интерфэйс ямар байхыг харцгаая.

Нэн даруй чухал нөхцөл байдалд анхаарлаа хандуулах нь зүйтэй. Маш олон функцууд байдаг бөгөөд үүнийг нэг өгүүллийн хүрээнд нарийвчлан тайлбарлах боломжгүй болно. Гэхдээ Zyxel-ийн бүтээгдэхүүний сайн тал нь юуны түрүүнд хэрэглэгчийн (администратор) гарын авлага зэрэг маш нарийвчилсан баримт бичиг байдаг. Тиймээс, онцлог шинж чанаруудын талаар ойлголттой болохын тулд табуудыг харцгаая.

Анхдагчаар порт 1 болон порт 2 нь WAN-д өгөгддөг. Гурав дахь портоос эхлэн дотоод сүлжээнд зориулсан интерфейсүүд байдаг.

Анхдагч IP 3-тэй 192.168.1.1-р порт нь холболт хийхэд тохиромжтой.

Бид нөхөөсийн утсыг холбож, хаяг руу очно уу https://192.168.1.1 мөн та вэб интерфэйсийн хэрэглэгчийн бүртгэлийн цонхыг ажиглаж болно.

тайлбар. Удирдлагын хувьд та SD-WAN үүл удирдлагын системийг ашиглаж болно.

Зураг 3. Нэвтрэх болон нууц үг оруулах цонх

Бид нэвтрэх, нууц үг оруулах процедурыг дамжуулж, дэлгэцэн дээрх хяналтын самбарын цонхыг авна. Үнэн хэрэгтээ Хяналтын самбарт байх ёстой зүйл бол дэлгэцийн зай бүрт хамгийн их ажиллагааны мэдээлэл юм.

Зураг 4. ZyWALL VPN1000 - Хяналтын самбар.

Шуурхай тохируулах таб (шидтэнүүд)

Интерфэйс дээр хоёр туслах байдаг: WAN-г тохируулах, VPN-ийг тохируулах. Үнэн хэрэгтээ туслахууд бол сайн зүйл бөгөөд тэд төхөөрөмжтэй ажиллах туршлагагүй ч загварын тохиргоог хийх боломжийг олгодог. За, илүү ихийг хүсч байгаа хүмүүст дээр дурдсанчлан дэлгэрэнгүй баримт бичиг байдаг.

Зураг 5. Хурдан тохируулах таб.

Хяналтын таб

Zyxel-ийн инженерүүд зарчмыг баримтлахаар шийдсэн бололтой: бид боломжтой бүх зүйлийг хянаж байдаг. Мэдээжийн хэрэг, төв зангилааны үүрэг гүйцэтгэдэг төхөөрөмжийн хувьд нийт хяналт нь огт гэмтдэггүй.

Хажуугийн самбар дээрх бүх зүйлийг өргөжүүлснээр сонголтын баялаг нь тодорхой болно.

Зураг 6. Өргөтгөсөн дэд зүйл бүхий хяналтын таб.

Тохиргооны таб

Эндээс онцлог шинж чанар нь илүү тод харагдаж байна.

Жишээлбэл, төхөөрөмжийн портын менежментийг маш сайхан зохион бүтээсэн.

Зураг 7. Өргөтгөсөн дэд зүйлүүдтэй тохиргооны таб.

Засвар үйлчилгээний таб

Програм хангамжийг шинэчлэх, оношлох, чиглүүлэлтийн дүрмийг үзэх, унтраах зэрэг дэд хэсгүүдийг агуулна.

Эдгээр функцууд нь туслах шинж чанартай бөгөөд бараг бүх сүлжээний төхөөрөмжид нэг талаараа байдаг.

Зураг 8. Өргөтгөсөн дэд зүйлүүдтэй засвар үйлчилгээний таб.

Харьцуулсан шинж чанарууд

Бусад аналогитай харьцуулахгүйгээр бидний тойм бүрэн бус байх болно.

Доорх нь ZyWALL VPN1000-ийн хамгийн ойрын аналогуудын хүснэгт ба харьцуулах боломжуудын жагсаалтыг доор харуулав.

Хүснэгт 1. ZyWALL VPN1000-ийн аналогитай харьцуулалт.

1-р хүснэгтийн тайлбар:

*1: Лиценз шаардлагатай

*2: Бага мэдрэгчтэй заалт: Администратор эхлээд ZTP-ээс өмнө төхөөрөмжийг дотооддоо тохируулах ёстой.

*3: Сесс дээр суурилсан: DPS зөвхөн шинэ сессэд хамаарна; энэ нь одоогийн сессэд нөлөөлөхгүй.

Таны харж байгаагаар аналоги нь бидний тоймны баатрыг зарим талаараа гүйцэж байна, жишээлбэл, Fortinet FG‑100E нь суурилуулсан WAN оновчлолтой, Meraki MX100 нь AutoVPN (сайтаас сайт руу) суулгасан байдаг. функц, гэхдээ ерөнхийдөө ZyWALL VPN1000 нь хоёрдмол утгагүй тэргүүлэх байр суурийг эзэлдэг.

Төв сайтад төхөөрөмж сонгох заавар (зөвхөн Zyxel биш)

Олон салбартай өргөн сүлжээний төв зангилааг зохион байгуулах төхөөрөмжийг сонгохдоо техникийн чадавхи, менежментийн хялбар байдал, аюулгүй байдал, алдаа дутагдлыг тэсвэрлэх чадвар зэрэг хэд хэдэн параметрүүдэд анхаарлаа хандуулах хэрэгтэй.

Өргөн хүрээний функцууд, уян хатан тохиргоо хийх боломжтой олон тооны физик портууд: WAN, LAN, DMZ болон хандалтын цэгийн удирдлагын хянагч гэх мэт бусад сайхан боломжууд нь олон ажлыг нэг дор хаах боломжийг олгодог.

Баримт бичгийн бэлэн байдал, удирдлагын тохиромжтой интерфейс чухал үүрэг гүйцэтгэдэг.

Ийм энгийн мэт санагдах зүйлсийн тусламжтайгаар янз бүрийн сайтууд болон байршлуудыг багтаасан сүлжээний дэд бүтцийг бий болгох нь тийм ч хэцүү биш бөгөөд SD-WAN үүл ашиглах нь танд үүнийг аль болох уян хатан, найдвартай хийх боломжийг олгодог.