Brimba għal web jew node ċentrali ta 'netwerk distribwit

X'għandek tfittex meta tagħżel router VPN għal netwerk distribwit? U liema karatteristiċi għandu jkollu? Dan huwa dak li r-reviżjoni tagħna ta 'ZyWALL VPN1000 hija ddedikata għalih.

Introduzzjoni

Qabel dan, ħafna mill-pubblikazzjonijiet tagħna kienu ddedikati għal tagħmir VPN junior għall-aċċess għan-netwerk minn faċilitajiet periferali. Per eżempju, biex jgħaqqdu diversi fergħat mal-kwartieri ġenerali, aċċess għan-Netwerk ta 'kumpaniji żgħar indipendenti, jew saħansitra djar privati. Wasal iż-żmien li nitkellmu dwar in-nodu ċentrali għal netwerk distribwit.

Huwa ċar li mhux se jaħdem biex jinbena netwerk modern ta 'intrapriża kbira biss fuq il-bażi ta' apparati ta 'klassi ekonomika. U torganizza servizz cloud biex tipprovdi servizzi lill-konsumaturi - ukoll. X'imkien, għandu jiġi installat tagħmir li jista 'jservi numru kbir ta' klijenti fl-istess ħin. Din id-darba se nitkellmu dwar apparat wieħed bħal dan - Zyxel VPN1000.

Kemm għall-parteċipanti kbar kif ukoll għal dawk żgħar fl-iskambju tan-netwerk, jistgħu jiġu distinti kriterji li bihom tiġi vvalutata l-adegwatezza ta' apparat partikolari biex issolvi problema.

Hawn taħt huma dawk ewlenin:

• kapaċitajiet tekniċi u funzjonali;
• kontroll;
• sigurtà;
• tolleranza għall-ħsarat.

Huwa diffiċli li wieħed jiddistingwi dak li hu aktar importanti, u dak li jista 'jsir mingħajr. Kollox huwa meħtieġ. Jekk l-apparat, skond xi kriterju, ma jilħaqx il-livell tar-rekwiżiti, dan ikun mimli problemi fil-futur.

Madankollu, ċerti karatteristiċi ta 'apparati ddisinjati biex jiżguraw it-tħaddim ta' nodi ċentrali u tagħmir li jopera prinċipalment fil-periferija jistgħu jvarjaw b'mod sinifikanti.

Għan-nodu ċentrali, il-qawwa tal-kompjuter tiġi l-ewwel - dan iwassal għal tkessiħ sfurzat, u, għalhekk, storbju tal-fann. Għall-periferali, li normalment jinstabu f'uffiċċji u żoni residenzjali, tħaddim storbjuż huwa kważi inaċċettabbli.

Punt ieħor interessanti huwa d-distribuzzjoni tal-portijiet. F'apparat periferali, huwa bejn wieħed u ieħor ċar kif se jintuża u kemm se jiġu konnessi klijenti. Għalhekk, tista 'tissettja qsim iebes tal-portijiet fuq WAN, LAN, DMZ, twettaq rbit iebes mal-protokoll, eċċ. M'hemm l-ebda ċertezza bħal din fin-nodu ċentrali. Pereżempju, żiedu segment ġdid tan-netwerk li jeħtieġ konnessjoni permezz tal-interface tiegħu stess - u kif tagħmel dan? Dan jeħtieġ soluzzjoni aktar universali bil-kapaċità li jiġu kkonfigurati interfaces b'mod flessibbli.

Sfumatura importanti hija s-saturazzjoni tal-apparat b'diversi funzjonijiet. Naturalment, hemm vantaġġi li biċċa waħda ta 'tagħmir tagħmel xogħol wieħed tajjeb. Iżda l-aktar sitwazzjoni interessanti tibda meta jkollok bżonn tagħmel pass lejn ix-xellug, pass lejn il-lemin. Naturalment, inti tista 'addizzjonalment tixtri mezz ieħor mira għal kull kompitu ġdid. U hekk sakemm jispiċċa l-baġit jew l-ispazju tar-rack.

B'kuntrast, sett estiż ta 'funzjonijiet jippermettilek li tlaħħaq b'apparat wieħed meta ssolvi diversi kwistjonijiet. Pereżempju, ZyWALL VPN1000 jappoġġja diversi tipi ta 'konnessjonijiet VPN, inklużi SSL u IPsec VPN, kif ukoll konnessjonijiet remoti għall-impjegati. Jiġifieri, "biċċa tal-ħadid" waħda tagħlaq il-kwistjonijiet kemm tal-konnessjonijiet bejn is-sit kif ukoll tal-klijenti. Imma hemm wieħed "iżda". Biex dan jaħdem, jeħtieġ li jkollok marġni ta 'prestazzjoni. Pereżempju, fil-każ taż-ZyWALL VPN1000, il-qalba tal-hardware VPN IPsec tipprovdi prestazzjoni għolja tal-mina VPN, filwaqt li l-ibbilanċjar/redundancy VPN b'algoritmi SHA-2 u IKEv2 jiżgura affidabilità għolja u sigurtà tan-negozju.

Elenkati hawn taħt huma xi karatteristiċi utli li jkopru waħda jew aktar mid-direzzjonijiet deskritti hawn fuq.

SD WAN jipprovdi pjattaforma għall-ġestjoni tal-cloud, billi tieħu vantaġġ mill-ġestjoni ċentralizzata tal-komunikazzjoni bejn is-siti bil-kapaċità li tikkontrolla u tissorvelja mill-bogħod. ZyWALL VPN1000 jappoġġja wkoll il-mod ta 'tħaddim xieraq fejn huma meħtieġa karatteristiċi VPN avvanzati.

Appoġġ għal pjattaformi cloud għal servizzi kritiċi. ZyWALL VPN1000 huwa vvalidat għall-użu ma 'Microsoft Azure u AWS. L-użu ta' apparati validati minn qabel huwa preferibbli għal kwalunkwe livell ta' organizzazzjoni, speċjalment jekk l-infrastruttura tal-IT tuża taħlita ta' netwerk lokali u cloud.

Iffiltrar tal-kontenut isaħħaħ is-sigurtà billi jimblokka l-aċċess għal websajts malizzjużi jew mhux mixtieqa. Jipprevjeni l-malware milli jitniżżel minn siti mhux affidabbli jew hacked. Fil-każ taż-ZyWALL VPN1000, liċenzja annwali għal dan is-servizz hija immedjatament inkluża fil-pakkett.

Ġeo Politiki (ĠeoIP) jippermettulek issegwi t-traffiku u tanalizza l-post tal-indirizzi IP, billi tiċħad aċċess minn reġjuni mhux meħtieġa jew potenzjalment perikolużi. Liċenzja annwali għal dan is-servizz hija inkluża wkoll max-xiri tal-apparat.

Ġestjoni tan-netwerk bla fili Iż-ZyWALL VPN1000 jinkludi kontrollur tan-netwerk mingħajr fili li jippermettilek timmaniġġja sa 1032 punt ta 'aċċess minn interface tal-utent ċentralizzat. In-negozji jistgħu jużaw jew jespandu netwerk Wi-Fi ġestit bi sforz minimu. Ta 'min jinnota li n-numru 1032 huwa verament ħafna. Ibbażat fuq il-fatt li sa 10 utenti jistgħu jgħaqqdu ma 'punt ta' aċċess wieħed, tinkiseb figura pjuttost impressjonanti.

Ibbilanċjar u Redundancy. Is-serje VPN tappoġġja l-ibbilanċjar tat-tagħbija u s-sensja fuq interfaces esterni multipli. Jiġifieri, tista 'tqabbad diversi kanali minn diversi fornituri, u b'hekk tipproteġi lilek innifsek minn problemi ta' komunikazzjoni.

Kapaċità ta' redundancy tat-tagħmir (Device HA) għal konnessjoni bla waqfien, anke meta wieħed mill-apparati jfalli. Huwa diffiċli li tagħmel mingħajrha jekk għandek bżonn torganizza x-xogħol 24/7 b'waqfien minimu.

Zyxel Device HA Pro jinsab ġewwa attiv/passiv, li ma teħtieġx proċedura ta 'setup ikkumplikata. Dan jippermettilek li tnaqqas il-limitu tad-dħul u immedjatament tibda tuża r-riservazzjoni. B'differenza attiv/attivmeta amministratur tas-sistema jeħtieġ li jgħaddi minn taħriġ addizzjonali, ikun kapaċi jikkonfigura r-rotot dinamiku, jifhem x'inhuma l-pakketti asimmetriċi, eċċ. - l-issettjar tal-mod attiv/passiv ħafna aktar faċli u tieħu inqas ħin.

Meta tuża Zyxel Device HA Pro, l-apparati jiskambjaw sinjali taħbit tal-qalb permezz ta’ port iddedikat. Portijiet tal-apparat attivi u passivi għal taħbit tal-qalb konness permezz ta 'kejbil Ethernet. L-apparat passiv jissinkronizza bis-sħiħ l-informazzjoni mal-apparat attiv. B'mod partikolari, is-sessjonijiet, il-mini, il-kontijiet tal-utenti kollha huma sinkronizzati bejn l-apparati. Barra minn hekk, l-apparat passiv iżomm kopja ta 'backup tal-fajl tal-konfigurazzjoni f'każ li l-apparat attiv ifalli. Għalhekk, fil-każ ta 'falliment tal-apparat prinċipali, it-tranżizzjoni hija bla xkiel.

Għandu jiġi nnutat li f'sistemi attivi/attiv xorta trid tirriżerva 20-25% tar-riżorsi tas-sistema għal failover. Fl attiv/passiv apparat wieħed huwa kompletament fi stat standby, u huwa lest biex jipproċessa immedjatament it-traffiku tan-netwerk u jżomm tħaddim normali tan-netwerk.

F'termini sempliċi: "Meta tuża Zyxel Device HA Pro u jkollok kanal ta 'backup, in-negozju huwa protett kemm minn telf ta' komunikazzjoni minħabba tort tal-fornitur, kif ukoll minn problemi bħala riżultat ta 'falliment tar-router.

Fil-qosor ta 'dan kollu hawn fuq

Għan-nodu ċentrali ta 'netwerk distribwit, huwa aħjar li tuża apparat b'ċerta provvista ta' portijiet (interfaces ta 'konnessjoni). Fl-istess ħin, huwa mixtieq li jkun hemm żewġ interfaces RJ45 għas-sempliċità u l-irħis tal-konnessjoni, u SFP għall-għażla bejn konnessjoni tal-fibra ottika u par mibrum.

Dan l-apparat għandu jkun:

• produttiv, adattat għal bidla f'daqqa fit-tagħbija;
• b'interface ċara;
• b'numru rikk iżda mhux żejda ta' karatteristiċi integrati, inklużi dawk relatati mas-sigurtà;
• bil-kapaċità li jibnu skemi li jifilħu għall-ħsara - duplikazzjoni ta 'kanali u duplikazzjoni ta' apparati;
• ġestjoni ta 'appoġġ, sabiex l-infrastruttura ramifikata kollha fil-forma ta' nodu ċentrali u tagħmir periferali tiġi ġestita minn punt wieħed;
• bħala "silġ fuq il-kejk" - appoġġ għal xejriet moderni bħall-integrazzjoni mar-riżorsi tas-sħab u l-bqija.

ZyWALL VPN1000 bħala n-nodu ċentrali tan-netwerk

Meta tħares l-ewwel lejn iż-ZyWALL VPN1000, tista 'tara li l-portijiet f'Zyxel ma ġewx meħlusa.

Għandna:

• 12-il port RJ-45 konfigurabbli (GBE);

• 2 portijiet SFP konfigurabbli (GBE);

• 2 portijiet USB 3.0 b'appoġġ għal modems 3G/4G.

Figura 1. Veduta ġenerali taż-ZyWALL VPN1000.

Għandu jiġi nnutat minnufih li l-apparat mhuwiex għal uffiċċju tad-dar, primarjament minħabba l-fannijiet effiċjenti. Hemm erbgħa minnhom hawn.

Figura 2. Panew ta 'wara taż-ZyWALL VPN1000.

Ejja naraw kif tidher l-interface.

Immedjatament ta 'min joqgħod attent għal ċirkustanza importanti. Hemm ħafna funzjonijiet, u mhux se jkun possibbli li tiddeskrivi fid-dettall fil-qafas ta 'artiklu wieħed. Imma dak li hu tajjeb dwar il-prodotti Zyxel huwa li hemm dokumentazzjoni dettaljata ħafna, l-ewwelnett, il-manwal tal-utent (amministratur). Allura biex tieħu idea tar-rikkezza tal-karatteristiċi, ejja nimxu fuq it-tabs.

B'mod awtomatiku, il-port 1 u l-port 2 jingħataw lil WAN. Nibdew mit-tielet port, hemm interfaces għan-netwerk lokali.

It-3 port bl-IP default 192.168.1.1 huwa pjuttost adattat għall-konnessjoni.

Aħna qabbad il-korda tal-garża, mur fl-indirizz https://192.168.1.1 u tista 'tosserva t-tieqa tar-reġistrazzjoni tal-utent tal-interface tal-web.

Innota. Għall-ġestjoni, tista 'tuża s-sistema ta' ġestjoni tas-sħab SD-WAN.

Figura 3. Tieqa tad-dħul tal-login u l-password

Ngħaddu mill-proċedura biex nidħlu login u password u nġibu t-tieqa tad-Dashboard fuq l-iskrin. Fil-fatt, kif għandu jkun għad-Dashboard - informazzjoni operazzjonali massima fuq kull ruttam ta 'spazju tal-iskrin.

Figura 4. ZyWALL VPN1000 - Dashboard.

Tab ta' Setup Mgħaġġel (Wizards)

Hemm żewġ assistenti fl-interface: għall-konfigurazzjoni tal-WAN u l-konfigurazzjoni tal-VPN. Fil-fatt, l-assistenti huma ħaġa tajba, jippermettulek twettaq is-settings tal-mudelli mingħajr ma jkollok esperjenza bl-apparat. Ukoll, għal dawk li jridu aktar, kif imsemmi hawn fuq, hemm dokumentazzjoni dettaljata.

Figura 5. Tab ta' Quick Setup.

Monitoraġġ tab

Apparentement, l-inġiniera minn Zyxel iddeċidew li jsegwu l-prinċipju: aħna nissorveljaw dak kollu li hu possibbli. Naturalment, għal apparat li jaġixxi bħala node ċentrali, il-kontroll totali ma jolqot xejn.

Anke biss billi tespandi l-oġġetti kollha fuq il-sidebar, ir-rikkezza tal-għażla ssir ovvja.

Figura 6. Tab ta 'monitoraġġ b'sub-oġġetti estiżi.

Tab tal-konfigurazzjoni

Hawnhekk, ir-rikkezza tal-karatteristiċi hija saħansitra aktar evidenti.

Pereżempju, il-ġestjoni tal-port tal-apparat hija mfassla tajjeb ħafna.

Figura 7. Tab tal-konfigurazzjoni b'sub-oġġetti estiżi.

Tab tal-manutenzjoni

Fih is-subsezzjonijiet għall-aġġornament tal-firmware, id-dijanjostika, il-wiri tar-regoli tar-rotta, u l-għeluq.

Dawn il-funzjonijiet huma ta 'natura awżiljarja u huma preżenti b'xi mod jew ieħor fi kważi kull apparat tan-netwerk.

Figura 8. Tab ta 'manutenzjoni b'sub-oġġetti estiżi.

Il-karatteristiċi komparattivi

Ir-reviżjoni tagħna ma tkunx kompluta mingħajr paragun ma' analogi oħra.

Hawn taħt hawn tabella ta 'l-eqreb analogi għal ZyWALL VPN1000 u lista ta' karatteristiċi għal tqabbil.

Tabella 1. Tqabbil ta 'ZyWALL VPN1000 ma' analogi.

Spjegazzjonijiet għat-tabella 1:

*1: Liċenzja meħtieġa

*2: Provvista Low Touch: L-amministratur għandu l-ewwel jikkonfigura l-apparat lokalment qabel ZTP.

*3: Ibbażat fuq sessjoni: DPS japplika biss għal sessjoni ġdida; mhux se jaffettwa s-sessjoni attwali.

Kif tistgħu taraw, l-analogi qed ilaħħqu mal-eroj tar-reviżjoni tagħna f'ċerti modi, pereżempju, Fortinet FG-100E għandu wkoll ottimizzazzjoni WAN inkorporata, u Meraki MX100 għandha AutoVPN inkorporata (sit għal sit) funzjoni, iżda b'mod ġenerali, ZyWALL VPN1000 mingħajr ambigwità huwa fuq quddiem.

Linji gwida għall-għażla tal-apparati għas-sit ċentrali (mhux biss Zyxel)

Meta tagħżel apparat għall-organizzazzjoni ta 'nodu ċentrali ta' netwerk estensiv b'ħafna fergħat, wieħed għandu jiffoka fuq numru ta 'parametri: kapaċitajiet tekniċi, faċilità ta' ġestjoni, sigurtà u tolleranza għall-ħsarat.

Firxa wiesgħa ta 'funzjonijiet, numru kbir ta' portijiet fiżiċi bil-possibbiltà ta 'konfigurazzjoni flessibbli: WAN, LAN, DMZ u l-preżenza ta' karatteristiċi sbieħ oħra, bħal kontrollur tal-ġestjoni tal-punt ta 'aċċess, jippermettulek tagħlaq ħafna kompiti f'daqqa.

Ir-rwol importanti għandu d-disponibbiltà tad-dokumentazzjoni u interface ta 'ġestjoni konvenjenti.

B'affarijiet li jidhru sempliċi bħal dawn fil-idejn, mhuwiex daqshekk diffiċli li toħloq infrastrutturi tan-netwerk li jaqbdu diversi siti u postijiet, u l-użu tas-sħab SD-WAN jippermettilek li tagħmel dan bl-aktar mod flessibbli u sigur possibbli.

Links utli

Analiżi tas-suq SD-WAN: liema soluzzjonijiet jeżistu u min jeħtieġhom

Zyxel Device HA Pro itejjeb ir-reżiljenza tan-netwerk

L-użu tal-Funzjoni GeoIP f'Biebijiet tas-Sigurtà tas-Serje ATP/VPN/Zywall/USG

X'se jitħalla fil-kamra tas-server?

Żewġ f'wieħed, jew migrazzjoni ta' kontrollur tal-punt ta' aċċess għal gateway

Telegram chat Zyxel għal speċjalisti

Sors: www.habr.com