ProHoster > Blog > Pentadbiran > Labah-labah untuk web atau nod pusat rangkaian teragih

Labah-labah untuk web atau nod pusat rangkaian teragih

Labah-labah untuk web atau nod pusat rangkaian teragih
Apa yang perlu dicari apabila memilih penghala VPN untuk rangkaian teragih? Dan apakah fungsi yang sepatutnya ada? Ini adalah ulasan ZyWALL VPN1000 kami didedikasikan.

Pengenalan

Sebelum ini, kebanyakan penerbitan kami ditumpukan kepada peranti VPN kelas rendah untuk akses rangkaian daripada tapak persisian. Sebagai contoh, untuk menghubungkan pelbagai cawangan dengan ibu pejabat, akses kepada Rangkaian syarikat bebas kecil, atau rumah persendirian. Sudah tiba masanya untuk bercakap tentang nod pusat untuk rangkaian teragih.

Adalah jelas bahawa tidak mungkin untuk membina rangkaian moden perusahaan besar hanya berdasarkan peranti kelas ekonomi. Dan atur perkhidmatan awan untuk menyediakan perkhidmatan kepada pengguna juga. Di suatu tempat mesti ada peralatan yang dipasang yang boleh melayani sejumlah besar pelanggan pada masa yang sama. Kali ini kita akan bercakap tentang satu peranti sedemikian - Zyxel VPN1000.

Bagi kedua-dua peserta besar dan kecil dalam pertukaran rangkaian, adalah mungkin untuk mengenal pasti kriteria yang mana kesesuaian peranti tertentu untuk menyelesaikan masalah dinilai.

Di bawah adalah yang utama:

  • keupayaan teknikal dan fungsi;
  • pengurusan;
  • keselamatan;
  • toleransi kesalahan.

Sukar untuk menentukan apa yang lebih penting dan apa yang boleh dilakukan tanpanya. Semuanya diperlukan. Jika peranti tidak memenuhi keperluan mengikut beberapa kriteria, ini penuh dengan masalah pada masa hadapan.

Walau bagaimanapun, ciri tertentu peranti yang direka untuk memastikan operasi unit pusat dan peralatan yang beroperasi terutamanya di pinggir mungkin berbeza dengan ketara.

Untuk nod pusat, kuasa pengkomputeran diutamakan - ini membawa kepada penyejukan paksa, dan, akibatnya, bunyi dari kipas. Untuk peranti persisian, yang biasanya terletak di pejabat dan rumah, operasi bising hampir tidak boleh diterima.

Satu lagi perkara yang menarik ialah pengagihan pelabuhan. Dalam peranti persisian, lebih kurang jelas bagaimana ia akan digunakan dan bilangan pelanggan yang akan disambungkan. Oleh itu, anda boleh menetapkan pembahagian port yang ketat ke dalam WAN, LAN, DMZ, mengikat protokol dengan ketat, dan sebagainya. Tiada kepastian sedemikian di hab pusat. Sebagai contoh, kami menambah segmen rangkaian baharu yang memerlukan sambungan melalui antara muka sendiri - dan bagaimana untuk melakukannya? Ini memerlukan penyelesaian yang lebih universal dengan keupayaan untuk mengkonfigurasi antara muka secara fleksibel.

Nuansa penting ialah peranti itu kaya dengan pelbagai fungsi. Sudah tentu, pendekatan mempunyai satu peralatan melaksanakan satu tugas dengan baik mempunyai kelebihannya. Tetapi situasi yang paling menarik bermula apabila anda perlu mengambil langkah ke kiri, satu langkah ke kanan. Sudah tentu, dengan setiap tugas baharu anda juga boleh membeli peranti sasaran yang lain. Dan seterusnya sehingga bajet atau ruang rak habis.

Sebaliknya, set fungsi yang diperluaskan membolehkan anda bertahan dengan satu peranti apabila menyelesaikan beberapa isu. Contohnya, ZyWALL VPN1000 menyokong pelbagai jenis sambungan VPN, termasuk SSL dan IPsec VPN, serta sambungan jauh untuk pekerja. Iaitu, satu perkakasan merangkumi isu kedua-dua sambungan tapak dan pelanggan. Tetapi ada satu "tetapi". Untuk ini berfungsi, anda perlu mempunyai simpanan prestasi. Sebagai contoh, dalam kes ZyWALL VPN1000, teras perkakasan IPsec VPN menyediakan prestasi terowong VPN yang tinggi, dan pengimbangan/redundan VPN dengan algoritma SHA-2 dan IKEv2 menyediakan kebolehpercayaan dan keselamatan yang tinggi untuk perniagaan.

Di bawah disenaraikan beberapa ciri berguna yang meliputi satu atau lebih kawasan yang diterangkan di atas.

SD-WAN menyediakan platform untuk pengurusan awan, memperoleh faedah pengurusan komunikasi terpusat antara tapak dengan keupayaan untuk mengawal dan memantau dari jauh. ZyWALL VPN1000 juga menyokong mod operasi yang sepadan di mana fungsi VPN lanjutan diperlukan.

Sokongan untuk platform awan untuk perkhidmatan kritikal misi. ZyWALL VPN1000 diuji untuk digunakan dengan Microsoft Azure dan AWS. Penggunaan peranti pra-ujian adalah lebih baik untuk organisasi dari mana-mana peringkat, terutamanya jika infrastruktur IT menggunakan gabungan rangkaian tempatan dan awan.

Penapisan kandungan Memperkukuh keselamatan dengan menyekat akses kepada tapak web yang berniat jahat atau tidak diingini. Menghalang perisian hasad daripada dimuat turun daripada tapak yang tidak dipercayai atau digodam. Dalam kes ZyWALL VPN1000, lesen tahunan untuk perkhidmatan ini sudah disertakan dalam pakej.

Geo-politik (IP Geo) membolehkan anda memantau trafik dan menganalisis lokasi alamat IP, menafikan akses dari kawasan yang tidak perlu atau berpotensi berbahaya. Lesen tahunan untuk perkhidmatan ini juga disertakan semasa membeli peranti.

Pengurusan Rangkaian Tanpa Wayar ZyWALL VPN1000 termasuk pengawal rangkaian wayarles yang membolehkan anda mengurus sehingga 1032 titik akses daripada antara muka pengguna terpusat. Perusahaan boleh menggunakan atau mengembangkan rangkaian Wi-Fi terurus dengan usaha yang minimum. Perlu diingat bahawa nombor 1032 benar-benar banyak. Berdasarkan pengiraan bahawa sehingga 10 pengguna boleh menyambung ke satu titik akses, ini adalah angka yang agak mengagumkan.

Pengimbangan dan redundansi. Siri VPN menyokong pengimbangan beban dan redundansi merentas berbilang antara muka luaran. Iaitu, anda boleh menyambung beberapa saluran daripada beberapa pembekal, dengan itu melindungi diri anda daripada masalah komunikasi.

Kemungkinan lebihan peranti (Peranti HA) untuk sambungan tanpa henti, walaupun apabila salah satu peranti gagal. Sukar untuk dilakukan tanpa ini jika anda perlu mengatur kerja 24/7 dengan masa rehat yang minimum.

Zyxel Device HA Pro beroperasi di aktif pasif, yang tidak memerlukan prosedur persediaan yang kompleks. Ini membolehkan anda menurunkan ambang kemasukan dan mula menggunakan tempahan dengan serta-merta. Tidak seperti aktif/aktif, apabila pentadbir sistem perlu menjalani latihan tambahan, dapat mengkonfigurasi penghalaan dinamik, memahami apa itu paket asimetri, dsb. β€” tetapan mod aktif pasif Ia berfungsi lebih mudah dan memerlukan sedikit masa.

Apabila menggunakan Zyxel Device HA Pro, peranti bertukar isyarat denyutan jantung melalui pelabuhan khusus. Port peranti aktif dan pasif untuk denyutan jantung disambungkan melalui kabel Ethernet. Peranti pasif menyegerakkan sepenuhnya maklumat dengan peranti aktif. Khususnya, semua sesi, terowong dan akaun pengguna disegerakkan antara peranti. Di samping itu, peranti pasif mengekalkan salinan sandaran fail konfigurasi sekiranya peranti aktif gagal. Ini memastikan peralihan yang lancar sekiranya berlaku kegagalan peranti utama.

Perlu diingat bahawa dalam sistem aktif/ aktif anda masih perlu menempah 20-25% daripada sumber sistem untuk failover. Pada aktif pasif satu peranti berada dalam keadaan siap sedia sepenuhnya, dan bersedia untuk segera memproses trafik rangkaian dan mengekalkan operasi rangkaian biasa.

Secara ringkas: β€œApabila menggunakan Zyxel Device HA Pro dan mempunyai saluran sandaran, perniagaan dilindungi kedua-duanya daripada kehilangan komunikasi akibat kesalahan pembekal dan daripada masalah akibat kegagalan penghala.

Merumuskan semua perkara di atas

Untuk nod pusat rangkaian teragih, lebih baik menggunakan peranti dengan bekalan port tertentu (antara muka sambungan). Dalam kes ini, adalah wajar untuk mempunyai kedua-dua antara muka RJ45 untuk kesederhanaan dan sambungan kos efektif, dan SFP untuk memilih antara sambungan gentian optik dan pasangan terpintal.

Peranti ini mestilah:

  • produktif, disesuaikan dengan perubahan mendadak dalam beban;
  • dengan antara muka yang jelas;
  • dengan bilangan fungsi terbina dalam yang kaya, tetapi tidak berlebihan, termasuk yang berkaitan dengan keselamatan;
  • dengan keupayaan untuk membina litar tahan kerosakan - duplikasi saluran dan duplikasi peranti;
  • pengurusan sokongan supaya keseluruhan infrastruktur bercabang dalam bentuk nod pusat dan peranti persisian boleh diuruskan dari satu titik;
  • sebagai "cherry on the cake" - sokongan untuk trend moden seperti penyepaduan dengan sumber awan dan sebagainya.

ZyWALL VPN1000 sebagai nod pusat rangkaian

Pada pandangan pertama pada ZyWALL VPN1000, jelas bahawa Zyxel tidak menyelamatkan port.

Kami ada:

  • 12 port RJ‑45 (GBE) boleh dikonfigurasikan;

  • 2 port SFP boleh dikonfigurasikan (GBE);

  • 2 port USB 3.0 dengan sokongan untuk modem 3G/4G.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 1. Pandangan umum ZyWALL VPN1000.

Perlu diingatkan dengan segera bahawa peranti ini bukan untuk pejabat rumah, terutamanya disebabkan oleh peminat yang berkuasa. Terdapat empat daripada mereka di sini.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 2. Panel belakang ZyWALL VPN1000.

Mari lihat rupa antara muka.

Anda harus segera memberi perhatian kepada keadaan penting. Terdapat banyak fungsi, dan tidak mungkin untuk menerangkannya secara terperinci dalam satu artikel. Tetapi apa yang baik tentang produk Zyxel ialah terdapat dokumentasi yang sangat terperinci, pertama sekali, manual pengguna (pentadbir). Oleh itu, untuk mendapatkan idea tentang kekayaan fungsi, mari kita lihat tab.

Secara lalai, port 1 dan port 2 diberikan kepada WAN. Bermula dari port ketiga terdapat antara muka untuk rangkaian tempatan.

Port ke-3 dengan IP lalai 192.168.1.1 agak sesuai untuk sambungan.

Kami menyambungkan patchcord, pergi ke alamat https://192.168.1.1 dan anda boleh melihat tetingkap pendaftaran pengguna antara muka web.

Nota. Untuk pengurusan, anda boleh menggunakan sistem pengurusan awan SD-WAN.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 3. Tetingkap untuk memasukkan log masuk dan kata laluan

Kami melalui prosedur memasukkan log masuk dan kata laluan dan dapatkan tetingkap Papan Pemuka pada skrin. Sebenarnya, seperti yang sepatutnya untuk Papan Pemuka - maklumat operasi maksimum pada setiap bahagian ruang skrin.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 4. ZyWALL VPN1000 - Papan Pemuka.

Tab Persediaan Pantas (Penyihir)

Terdapat dua pembantu dalam antara muka: untuk menyediakan WAN dan menyediakan VPN. Malah, pembantu adalah perkara yang baik; mereka membenarkan anda melakukan tetapan templat walaupun tanpa pengalaman bekerja dengan peranti. Nah, bagi mereka yang ingin lebih banyak, seperti yang dinyatakan di atas, terdapat dokumentasi terperinci.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 5. Tab Persediaan Pantas.

Tab pemantauan

Nampaknya, jurutera dari Zyxel memutuskan untuk mengikuti prinsip: kami memantau semua yang kami boleh. Sudah tentu, untuk peranti yang bertindak sebagai hab pusat, kawalan menyeluruh tidak akan menyakitkan sama sekali.

Walaupun hanya mengembangkan semua item pada bar sisi, kekayaan pilihan menjadi jelas.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 6. Tab Pemantauan dengan sub-item yang diperluaskan.

Tab konfigurasi

Di sini kekayaan fungsi lebih jelas.

Sebagai contoh, pengurusan port peranti direka dengan sangat baik.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 7. Tab konfigurasi dengan sub-item dikembangkan.

Tab penyelenggaraan

Mengandungi subseksyen untuk mengemas kini perisian tegar, diagnostik, melihat peraturan penghalaan dan menutup.

Fungsi-fungsi ini bersifat tambahan dan hadir pada satu tahap atau yang lain dalam hampir setiap peranti rangkaian.

Labah-labah untuk web atau nod pusat rangkaian teragih
Rajah 8. Tab penyelenggaraan dengan sub-item yang diperluaskan.

Ciri-ciri perbandingan

Kajian kami tidak akan lengkap tanpa perbandingan dengan analog lain.

Di bawah ialah jadual analog yang paling hampir dengan ZyWALL VPN1000 dan senarai fungsi untuk perbandingan.

Jadual 1. Perbandingan ZyWALL VPN1000 dengan analog.

Labah-labah untuk web atau nod pusat rangkaian teragih

Penjelasan untuk Jadual 1:

*1: Lesen diperlukan

*2: Peruntukan Sentuhan Rendah: Pentadbir mesti mengkonfigurasi peranti secara setempat terlebih dahulu sebelum ZTP.

*3: Berasaskan sesi: DPS hanya akan digunakan untuk sesi baharu; ini tidak akan menjejaskan sesi semasa.

Seperti yang anda lihat, dalam beberapa cara, analog mengejar wira ulasan kami, contohnya, Fortinet FG‑100E juga mempunyai pengoptimuman WAN terbina dalam, dan Meraki MX100 mempunyai AutoVPN terbina dalam (tapak ke -site), tetapi secara amnya, ZyWALL VPN1000 tidak jelas dalam set fungsi komprehensifnya yang mendahului.

Pengesyoran semasa memilih peranti untuk nod pusat (bukan sahaja Zyxel)

Apabila memilih peranti untuk mengatur nod pusat rangkaian yang luas dengan banyak cawangan, anda harus memberi tumpuan kepada beberapa parameter: keupayaan teknikal, kemudahan pengurusan, keselamatan dan toleransi kesalahan.

Pelbagai fungsi, sebilangan besar port fizikal dengan konfigurasi fleksibel: WAN, LAN, DMZ dan kehadiran fungsi lain yang bagus, seperti pengawal pengurusan pusat akses, membolehkan anda menyelesaikan banyak tugas sekaligus.

Peranan penting dimainkan oleh ketersediaan dokumentasi dan antara muka pengurusan yang mudah.

Mempunyai perkara yang kelihatan mudah seperti itu, tidaklah begitu sukar untuk mencipta infrastruktur rangkaian yang merangkumi pelbagai tapak dan lokasi, dan penggunaan awan SD-WAN membolehkan anda melakukan ini dengan fleksibiliti dan keselamatan maksimum.

Pautan berguna

Analisis pasaran SD-WAN: apakah penyelesaian yang wujud dan siapa yang memerlukannya

Zyxel Device HA Pro meningkatkan daya tahan rangkaian

Menggunakan ciri GeoIP dalam gerbang keselamatan siri ATP/VPN/Zywall/USG

Apa yang akan ditinggalkan di bilik pelayan?

Dua dalam satu, atau memindahkan pengawal titik akses ke get laluan

Sembang telegram Zyxel untuk pakar

Sumber: www.habr.com

Tambah komen