🥇Webspin of centraal knooppunt van een gedistribueerd netwerk

Waar moet je op letten bij het kiezen van een VPN-router voor een gedistribueerd netwerk? En welke functies moet het hebben? Dit is waar onze ZyWALL VPN1000-recensie aan is gewijd.

Introductie

Voorheen waren de meeste van onze publicaties gewijd aan low-end VPN-apparaten voor netwerktoegang vanaf perifere locaties. Om bijvoorbeeld verschillende vestigingen te verbinden met het hoofdkantoor, toegang tot het netwerk van kleine onafhankelijke bedrijven of zelfs particuliere huizen. Het is tijd om te praten over het centrale knooppunt voor het gedistribueerde netwerk.

Het is duidelijk dat het niet mogelijk zal zijn om een modern netwerk van een grote onderneming alleen op te bouwen op basis van apparaten uit de economy class. En organiseer een clouddienst om ook diensten aan consumenten te leveren. Ergens moet er apparatuur staan die een groot aantal klanten tegelijk kan bedienen. Deze keer zullen we het hebben over zo'n apparaat: Zyxel VPN1000.

Voor zowel grote als kleine deelnemers aan netwerkuitwisseling is het mogelijk criteria te identificeren waarmee de geschiktheid van een bepaald apparaat voor het oplossen van een probleem wordt beoordeeld.

Hieronder staan de belangrijkste:

technische en functionele mogelijkheden;
controle;
veiligheid;
fouttolerantie.

Het is moeilijk om te bepalen wat belangrijker is en wat zonder kan. Alles is nodig. Als het apparaat volgens een bepaald criterium niet aan de vereisten voldoet, levert dit in de toekomst problemen op.

Bepaalde kenmerken van apparaten die zijn ontworpen om de werking van centrale eenheden en apparatuur die voornamelijk in de periferie werken te garanderen, kunnen echter aanzienlijk verschillen.

Voor het centrale knooppunt komt rekenkracht op de eerste plaats: dit leidt tot geforceerde koeling en bijgevolg tot geluid van de ventilator. Voor randapparatuur, die zich doorgaans in kantoren en woningen bevindt, is een luidruchtige werking vrijwel onaanvaardbaar.

Een ander interessant punt is de distributie van havens. Bij randapparatuur is het min of meer duidelijk hoe deze gebruikt gaat worden en hoeveel clients er aangesloten zullen worden. Daarom kunt u een strikte verdeling van poorten instellen in WAN, LAN, DMZ, strikt binden aan het protocol, enzovoort. Deze zekerheid bestaat niet op de centrale hub. We hebben bijvoorbeeld een nieuw netwerksegment toegevoegd dat verbinding via een eigen interface vereist - en hoe doe je dit? Dit vereist een meer universele oplossing met de mogelijkheid om interfaces flexibel te configureren.

Een belangrijke nuance is dat het apparaat rijk is aan verschillende functies. Natuurlijk heeft de aanpak om één apparaat één taak goed te laten uitvoeren zijn voordelen. Maar de meest interessante situatie begint wanneer je een stap naar links moet doen, een stap naar rechts. Uiteraard kunt u bij elke nieuwe taak bovendien een ander doelapparaat kopen. En zo verder totdat het budget of de rackruimte op is.

Dankzij een uitgebreide reeks functies kunt u daarentegen met één apparaat rondkomen bij het oplossen van meerdere problemen. De ZyWALL VPN1000 ondersteunt bijvoorbeeld meerdere soorten VPN-verbindingen, waaronder SSL en IPsec VPN, evenals externe verbindingen voor werknemers. Dat wil zeggen dat één stuk hardware de problemen van zowel cross-site- als clientverbindingen dekt. Maar er is één ‘maar’. Om dit te laten werken, moet u een prestatiereserve hebben. In het geval van de ZyWALL VPN1000 biedt de IPsec VPN-hardwarekern bijvoorbeeld hoge VPN-tunnelprestaties, en VPN-balancering/redundantie met SHA-2- en IKEv2-algoritmen biedt hoge betrouwbaarheid en veiligheid voor bedrijven.

Hieronder vindt u enkele handige functies die een of meer van de hierboven beschreven gebieden bestrijken.

SD-WAN biedt een platform voor cloudbeheer en profiteert van de voordelen van gecentraliseerd beheer van de communicatie tussen locaties met de mogelijkheid om op afstand controle en monitoring uit te voeren. ZyWALL VPN1000 ondersteunt ook de overeenkomstige werkingsmodus waarbij geavanceerde VPN-functies vereist zijn.

Ondersteuning voor cloudplatforms voor missiekritieke services. ZyWALL VPN1000 is getest voor gebruik met Microsoft Azure en AWS. Het gebruik van vooraf geteste apparaten verdient de voorkeur voor een organisatie van elk niveau, vooral als de IT-infrastructuur gebruik maakt van een combinatie van lokaal netwerk en cloud.

Inhoud filteren Verbetert de beveiliging door de toegang tot kwaadaardige of ongewenste websites te blokkeren. Voorkomt dat malware wordt gedownload van niet-vertrouwde of gehackte sites. In het geval van ZyWALL VPN1000 is een jaarlicentie voor deze dienst al in het pakket inbegrepen.

Geopolitiek (Geo-IP) kunt u het verkeer monitoren en de locatie van IP-adressen analyseren, waardoor de toegang vanuit onnodige of potentieel gevaarlijke regio's wordt ontzegd. Bij aanschaf van het toestel is tevens een jaarlicentie voor deze dienst inbegrepen.

Draadloos netwerkbeheer De ZyWALL VPN1000 bevat een draadloze netwerkcontroller waarmee u tot 1032 toegangspunten kunt beheren vanuit een gecentraliseerde gebruikersinterface. Bedrijven kunnen met minimale inspanning een beheerd Wi-Fi-netwerk implementeren of uitbreiden. Het is vermeldenswaard dat het getal 1032 echt veel is. Gebaseerd op de berekening dat er maximaal 10 gebruikers verbinding kunnen maken met één access point, is dit een behoorlijk indrukwekkend cijfer.

Balancering en redundantie. De VPN-serie ondersteunt taakverdeling en redundantie over meerdere externe interfaces. Dat wil zeggen dat u meerdere kanalen van verschillende providers kunt verbinden, waardoor u uzelf beschermt tegen communicatieproblemen.

Mogelijkheid tot apparaatredundantie (Device HA) voor non-stop verbinding, zelfs als een van de apparaten uitvalt. Je kunt hier moeilijk zonder als je 24/7 het werk moet organiseren met minimale downtime.

Zyxel Device HA Pro werkt in actief passief, waarvoor geen complexe installatieprocedure vereist is. Hierdoor kunt u de toegangsdrempel verlagen en direct gebruik maken van de reservering. in tegenstelling tot actief/actief, wanneer de systeembeheerder aanvullende training moet volgen, dynamische routering moet kunnen configureren, moet begrijpen wat asymmetrische pakketten zijn, enz. — modusinstelling actief passief Het werkt veel eenvoudiger en vergt minder tijd.

Bij gebruik van Zyxel Device HA Pro wisselen apparaten signalen uit hartslag via een speciale poort. Actieve en passieve apparaatpoorten voor hartslag aangesloten via een ethernetkabel. Het passieve apparaat synchroniseert informatie volledig met het actieve apparaat. In het bijzonder worden alle sessies, tunnels en gebruikersaccounts gesynchroniseerd tussen apparaten. Bovendien bewaart het passieve apparaat een back-up van het configuratiebestand voor het geval het actieve apparaat uitvalt. Dit zorgt voor een naadloze overgang in het geval van een primaire apparaatstoring.

Het is vermeldenswaard dat in actieve systemen/ actief je moet nog steeds 20-25% van de systeembronnen reserveren voor failover. Bij actief passief één apparaat bevindt zich volledig in de stand-bymodus en is gereed om onmiddellijk netwerkverkeer te verwerken en de normale netwerkwerking te behouden.

Simpel gezegd: “Als je de Zyxel Device HA Pro gebruikt en een back-upkanaal hebt, wordt het bedrijf zowel beschermd tegen communicatieverlies als gevolg van de fout van de provider, als tegen problemen als gevolg van het uitvallen van de router.

Samenvattend al het bovenstaande

Voor het centrale knooppunt van een gedistribueerd netwerk is het beter om een apparaat te gebruiken met een bepaald aanbod aan poorten (verbindingsinterfaces). In dit geval is het wenselijk om zowel RJ45-interfaces te hebben voor de eenvoud en kostenreductie van de verbinding, als SFP voor het kiezen tussen een glasvezelverbinding en twisted pair.

Dit apparaat moet:

productief, aangepast aan plotselinge veranderingen in belasting;
met een duidelijke interface;
met een rijk, maar niet overmatig aantal ingebouwde functies, inclusief functies die verband houden met beveiliging;
met de mogelijkheid om fouttolerante circuits te bouwen - kanaalduplicatie en apparaatduplicatie;
het ondersteunen van het beheer zodat de gehele vertakte infrastructuur in de vorm van een centraal knooppunt en randapparatuur vanuit één punt kan worden beheerd;
als “kers op de taart” - ondersteuning voor moderne trends zoals integratie met cloudbronnen enzovoort.

ZyWALL VPN1000 als centraal knooppunt van het netwerk

Op het eerste gezicht van de ZyWALL VPN1000 is het duidelijk dat Zyxel geen poorten heeft gespaard.

We hebben:

12 configureerbare RJ‑45 (GBE)-poorten;
2 configureerbare SFP-poorten (GBE);
2 USB 3.0-poorten met ondersteuning voor 3G/4G-modems.

Figuur 1. Algemeen beeld van ZyWALL VPN1000.

Er moet meteen worden opgemerkt dat het apparaat niet voor een thuiskantoor is, vooral vanwege de krachtige ventilatoren. Er zijn er hier vier.

Figuur 2. ZyWALL VPN1000 achterpaneel.

Laten we eens kijken hoe de interface eruit ziet.

U moet onmiddellijk aandacht besteden aan een belangrijke omstandigheid. Er zijn veel functies en het zal niet mogelijk zijn om ze in één artikel in detail te beschrijven. Maar het goede aan Zyxel-producten is dat er zeer gedetailleerde documentatie is, in de eerste plaats de gebruikershandleiding (beheerdershandleiding). Laten we daarom, om een idee te krijgen van de rijkdom aan functies, gewoon door de tabbladen gaan.

Standaard zijn poort 1 en poort 2 toegewezen aan WAN. Vanaf de derde poort zijn er interfaces voor het lokale netwerk.

De 3e poort met standaard IP 192.168.1.1 is redelijk geschikt voor verbinding.

We sluiten het patchsnoer aan, gaan naar het adres https://192.168.1.1 en u kunt het gebruikersregistratievenster van de webinterface bekijken.

Noot. Voor het beheer kunt u gebruik maken van het SD-WAN cloudbeheersysteem.

Figuur 3. Venster voor het invoeren van login en wachtwoord

We doorlopen de procedure voor het invoeren van de login en het wachtwoord en krijgen het Dashboard-venster op het scherm. Eigenlijk zoals het hoort bij een Dashboard: maximale operationele informatie op elk stukje schermruimte.

Figuur 4. ZyWALL VPN1000 - Dashboard.

Tabblad Snelle installatie (wizards)

Er zijn twee assistenten in de interface: voor het opzetten van een WAN en het opzetten van een VPN. In feite zijn assistenten een goede zaak; ze stellen u in staat sjablooninstellingen uit te voeren, zelfs zonder ervaring met het werken met het apparaat. Welnu, voor degenen die meer willen, zoals hierboven vermeld, is er gedetailleerde documentatie.

Figuur 5. Tabblad Snelle installatie.

Tabblad Controle

Blijkbaar hebben de ingenieurs van Zyxel besloten het principe te volgen: we monitoren alles wat we kunnen. Voor een apparaat dat als centrale hub fungeert, kan totale controle uiteraard helemaal geen kwaad.

Zelfs als je alleen maar alle items in de zijbalk uitbreidt, wordt de rijkdom aan keuze duidelijk.

Figuur 6. Tabblad Monitoring met uitgevouwen subitems.

Tabblad Configuratie

Hier komt de rijkdom aan functies nog duidelijker naar voren.

Zo is het apparaatpoortbeheer heel mooi vormgegeven.

Figuur 7. Tabblad Configuratie met uitgevouwen subitems.

Tabblad Onderhoud

Bevat subsecties voor het updaten van firmware, diagnostiek, het bekijken van routeringsregels en afsluiten.

Deze functies zijn van ondersteunende aard en zijn in meer of mindere mate aanwezig in vrijwel elk netwerkapparaat.

Figuur 8. Tabblad Onderhoud met uitgevouwen subitems.

Vergelijkende kenmerken

Onze beoordeling zou onvolledig zijn zonder vergelijking met andere analogen.

Hieronder vindt u een tabel met analogen die het dichtst bij ZyWALL VPN1000 liggen en een lijst met functies ter vergelijking.

Tabel 1. Vergelijking van ZyWALL VPN1000 met analogen.

Uitleg voor Tabel 1:

*1: Licentie vereist

*2: Low Touch Provision: De beheerder moet het apparaat eerst lokaal configureren vóór ZTP.

*3: Sessiegebaseerd: DPS is alleen van toepassing op een nieuwe sessie; dit heeft geen invloed op de huidige sessie.

Zoals je kunt zien, halen de analogen in sommige opzichten de held van onze recensie in. De Fortinet FG-100E heeft bijvoorbeeld ook ingebouwde WAN-optimalisatie en de Meraki MX100 heeft een ingebouwde AutoVPN (site-to -site) functie, maar over het algemeen is de ZyWALL VPN1000 eenduidig en loopt met zijn uitgebreide set functies voorop.

Aanbevelingen bij het kiezen van apparaten voor het centrale knooppunt (niet alleen Zyxel)

Bij het kiezen van apparaten voor het organiseren van het centrale knooppunt van een uitgebreid netwerk met veel vertakkingen, moet u zich concentreren op een aantal parameters: technische mogelijkheden, beheergemak, beveiliging en fouttolerantie.

Een breed scala aan functies, een groot aantal fysieke poorten met flexibele configuratie: WAN, LAN, DMZ en de aanwezigheid van andere leuke functies, zoals een access point management controller, zorgen ervoor dat je veel taken tegelijk kunt uitvoeren.

Een belangrijke rol wordt gespeeld door de beschikbaarheid van documentatie en een handige beheerinterface.

Als u zulke ogenschijnlijk eenvoudige dingen bij de hand heeft, is het niet zo moeilijk om netwerkinfrastructuren te creëren die verschillende locaties en locaties omvatten, en door het gebruik van de SD-WAN-cloud kunt u dit doen met maximale flexibiliteit en veiligheid.