🥇Edderkopp for nettet eller den sentrale noden til et distribuert nettverk

Hva skal du se etter når du velger en VPN-ruter for et distribuert nettverk? Og hvilke funksjoner skal den ha? Dette er hva vår anmeldelse av ZyWALL VPN1000 er dedikert til.

Innledning

Før dette var de fleste av publikasjonene våre viet junior VPN-enheter for tilgang til nettverket fra eksterne fasiliteter. For eksempel å koble ulike grener med hovedkvarteret, tilgang til nettverket av små uavhengige selskaper, eller til og med private hus. Det er på tide å snakke om den sentrale noden for et distribuert nettverk.

Det er klart at det ikke vil fungere å bygge et moderne nettverk av en stor bedrift bare på grunnlag av enheter i økonomiklasse. Og organiser en skytjeneste for å tilby tjenester til forbrukere – også. Et sted må det installeres utstyr som kan betjene et stort antall kunder samtidig. Denne gangen skal vi snakke om en slik enhet - Zyxel VPN1000.

For både store og små deltakere i nettverksutvekslingen kan kriterier skilles ut ved å vurdere egnetheten til en bestemt enhet for å løse et problem.

Nedenfor er de viktigste:

tekniske og funksjonelle evner;
styre;
sikkerhet;
feiltoleranse.

Det er vanskelig å skille hva som er viktigere, og hva som kan gjøres uten. Alt trengs. Hvis enheten, ifølge et eller annet kriterium, ikke når kravene til nivået, er dette full av problemer i fremtiden.

Imidlertid kan visse funksjoner til enheter designet for å sikre driften av sentrale noder og utstyr som hovedsakelig opererer i periferien variere betydelig.

For den sentrale noden kommer datakraft først - dette fører til tvungen kjøling, og derfor viftestøy. For periferiutstyr, som vanligvis finnes i kontorer og boligområder, er støyende drift nesten uakseptabelt.

Et annet interessant poeng er fordelingen av havner. I perifere enheter er det mer eller mindre klart hvordan det skal brukes og hvor mange klienter som skal kobles til. Derfor kan du sette hard partisjonering av porter på WAN, LAN, DMZ, utføre en hard binding til protokollen, og så videre. Det er ingen slik sikkerhet i den sentrale noden. For eksempel la de til et nytt nettverkssegment som krever tilkobling gjennom eget grensesnitt – og hvordan gjør man det? Dette krever en mer universell løsning med mulighet for fleksibel konfigurering av grensesnitt.

En viktig nyanse er metningen av enheten med ulike funksjoner. Selvfølgelig er det fordeler med å ha ett utstyr som gjør en enkelt jobb godt. Men den mest interessante situasjonen begynner når du trenger å ta et skritt til venstre, et skritt til høyre. Selvfølgelig kan du i tillegg kjøpe en annen målenhet for hver nye oppgave. Og så videre til budsjettet eller stativplassen går tom.

Derimot lar et utvidet sett med funksjoner deg klare deg med én enhet når du løser flere problemer. For eksempel støtter ZyWALL VPN1000 flere typer VPN-tilkoblinger, inkludert SSL og IPsec VPN, samt eksterne tilkoblinger for ansatte. Det vil si at ett "jernstykke" lukker problemene med både inter-site og klientforbindelser. Men det er ett "men". For at dette skal fungere, må du ha en margin for ytelse. For eksempel, når det gjelder ZyWALL VPN1000, gir IPsec VPN-maskinvarekjernen høy VPN-tunnelytelse, mens VPN-balansering/redundans med SHA-2 og IKEv2-algoritmer sikrer høy pålitelighet og forretningssikkerhet.

Nedenfor er noen nyttige funksjoner som dekker en eller flere av retningene beskrevet ovenfor.

SD WAN gir en plattform for skyadministrasjon, og drar fordel av sentralisert administrasjon av kommunikasjon mellom nettsteder med mulighet for fjernkontroll og overvåking. ZyWALL VPN1000 støtter også passende driftsmodus der avanserte VPN-funksjoner kreves.

Støtte for skyplattformer for kritiske tjenester. ZyWALL VPN1000 er validert for bruk med Microsoft Azure og AWS. Bruk av forhåndsvaliderte enheter er å foretrekke for alle organisasjonsnivåer, spesielt hvis IT-infrastrukturen bruker en kombinasjon av lokalt nettverk og sky.

Innholdsfiltrering øker sikkerheten ved å blokkere tilgang til ondsinnede eller uønskede nettsteder. Hindrer skadelig programvare fra å lastes ned fra uklarerte eller hackede nettsteder. Når det gjelder ZyWALL VPN1000, er en årlig lisens for denne tjenesten umiddelbart inkludert i pakken.

Geo retningslinjer (GeoIP) lar deg spore trafikk og analysere plasseringen av IP-adresser, og nekte tilgang fra unødvendige eller potensielt farlige områder. En årlig lisens for denne tjenesten er også inkludert ved kjøp av enheten.

Trådløst nettverksadministrasjon ZyWALL VPN1000 inkluderer en trådløs nettverkskontroller som lar deg administrere opptil 1032 tilgangspunkter fra et sentralisert brukergrensesnitt. Bedrifter kan distribuere eller utvide et administrert Wi-Fi-nettverk med minimal innsats. Det er verdt å merke seg at tallet 1032 er virkelig mye. Basert på det faktum at opptil 10 brukere kan koble seg til ett tilgangspunkt, oppnås et ganske imponerende tall.

Balansering og redundans. VPN-serien støtter belastningsbalansering og redundans på tvers av flere eksterne grensesnitt. Det vil si at du kan koble til flere kanaler fra flere leverandører, og dermed beskytte deg mot kommunikasjonsproblemer.

Mulighet for enhetsredundans (enhet HA) for en ustanselig tilkobling, selv når en av enhetene svikter. Det er vanskelig å klare seg uten det hvis du trenger å organisere arbeidet 24/7 med minimal nedetid.

Zyxel Device HA Pro er inne aktiv passiv, som ikke krever en komplisert oppsettsprosedyre. Dette lar deg senke inngangsterskelen og umiddelbart begynne å bruke reservasjonen. I motsetning til aktiv/aktivnår en systemadministrator trenger å gjennomgå ytterligere opplæring, kunne konfigurere dynamisk ruting, forstå hva asymmetriske pakker er osv. - modusinnstilling aktiv passiv mye enklere og mindre tidkrevende.

Når du bruker Zyxel Device HA Pro, utveksler enheter signaler hjerteslag gjennom en dedikert port. Aktive og passive enhetsporter for hjerteslag koblet til via en Ethernet-kabel. Den passive enheten synkroniserer fullstendig informasjon med den aktive enheten. Spesielt er alle økter, tunneler, brukerkontoer synkronisert mellom enheter. I tillegg beholder den passive enheten en sikkerhetskopi av konfigurasjonsfilen i tilfelle den aktive enheten svikter. Således, i tilfelle en feil på hovedenheten, er overgangen sømløs.

Det skal bemerkes at i aktive systemer/ aktiv du må fortsatt reservere 20-25 % av systemressursene for failover. På aktiv passiv én enhet er helt i standby-tilstand, og er klar til umiddelbart å behandle nettverkstrafikk og opprettholde normal nettverksdrift.

Enkelt sagt: «Når du bruker Zyxel Device HA Pro og har en backup-kanal, er virksomheten beskyttet både mot tap av kommunikasjon på grunn av feil fra leverandøren, og mot problemer som følge av en ruterfeil.

Oppsummerer alt ovenfor

For den sentrale noden til et distribuert nettverk er det bedre å bruke en enhet med en viss tilførsel av porter (tilkoblingsgrensesnitt). Samtidig er det ønskelig med både RJ45-grensesnitt for enkelhet og billighet i tilkobling, og SFP for å velge mellom fiberoptisk tilkobling og tvunnet par.

Denne enheten må være:

produktiv, tilpasset en brå endring i belastningen;
med et tydelig grensesnitt;
med et rikt, men ikke overflødig antall innebygde funksjoner, inkludert de som er relatert til sikkerhet;
med muligheten til å bygge feiltolerante ordninger - duplisering av kanaler og duplisering av enheter;
støttende styring, slik at hele den forgrenede infrastrukturen i form av en sentral node og perifere enheter administreres fra ett punkt;
som "glasur på kaken" - støtte for moderne trender som integrasjon med skyressurser og så videre.

ZyWALL VPN1000 som den sentrale noden i nettverket

Når du først ser på ZyWALL VPN1000, kan du se at portene i Zyxel ikke ble spart.

Vi har:

12 konfigurerbare RJ-45-porter (GBE);
2 konfigurerbare SFP-porter (GBE);
2 USB 3.0-porter med støtte for 3G/4G-modem.

Figur 1. Generell oversikt over ZyWALL VPN1000.

Det skal bemerkes med en gang at enheten ikke er for et hjemmekontor, først og fremst på grunn av de effektive viftene. Det er fire av dem her.

Figur 2. Bakpanel på ZyWALL VPN1000.

La oss se hvordan grensesnittet ser ut.

Umiddelbart er det verdt å ta hensyn til en viktig omstendighet. Det er mange funksjoner, og det vil ikke være mulig å beskrive i detalj innenfor rammen av én artikkel. Men det som er bra med Zyxel-produkter er at det er veldig detaljert dokumentasjon, først og fremst brukermanualen (administrator). Så for å få en ide om rikdommen av funksjoner, la oss bare gå gjennom fanene.

Som standard er port 1 og port 2 gitt over til WAN. Fra den tredje porten er det grensesnitt for det lokale nettverket.

Den tredje porten med standard IP 3 er ganske egnet for tilkobling.

Vi kobler til patchledningen, gå til adressen https://192.168.1.1 og du kan se brukerregistreringsvinduet for nettgrensesnittet.

Note. For administrasjon kan du bruke SD-WAN skyadministrasjonssystemet.

Figur 3. Vinduet for innlogging og passord

Vi går gjennom prosedyren for å legge inn pålogging og passord og får opp Dashboard-vinduet på skjermen. Faktisk, som det skal være for Dashboard - maksimal operativ informasjon på hvert stykke skjermplass.

Figur 4. ZyWALL VPN1000 - Dashboard.

Hurtigoppsett-fanen (veivisere)

Det er to assistenter i grensesnittet: for å konfigurere WAN og konfigurere VPN. Faktisk er assistenter en god ting, de lar deg utføre malinnstillinger uten engang å ha erfaring med enheten. Vel, for de som ønsker mer, som nevnt ovenfor, er det detaljert dokumentasjon.

Figur 5. Hurtigoppsett-kategorien.

Fanen Overvåking

Tilsynelatende bestemte ingeniørene fra Zyxel seg for å følge prinsippet: vi overvåker alt som er mulig. Selvfølgelig, for en enhet som fungerer som en sentral node, skader ikke total kontroll i det hele tatt.

Selv bare ved å utvide alle elementene på sidefeltet, blir rikdommen i valget åpenbar.

Figur 6. Overvåkingsfane med utvidede underpunkter.

Konfigurasjonsfanen

Her er rikdommen av funksjoner enda tydeligere.

For eksempel er enhetsportadministrasjonen veldig pent designet.

Figur 7. Konfigurasjonsfane med utvidede underelementer.

Fanen Vedlikehold

Inneholder underseksjoner for oppdatering av fastvare, diagnostikk, visning av rutingregler og avslutning.

Disse funksjonene er av hjelpekarakter og finnes på en eller annen måte i nesten alle nettverksenheter.

Figur 8. Fane Vedlikehold med utvidede underpunkter.

Sammenlignende egenskaper

Vår anmeldelse ville være ufullstendig uten sammenligning med andre analoger.

Nedenfor er en tabell over nærmeste analoger til ZyWALL VPN1000 og en liste over funksjoner for sammenligning.

Tabell 1. Sammenligning av ZyWALL VPN1000 med analoger.

Forklaringer til tabell 1:

*1: Lisens kreves

*2: Low Touch Provision: Administratoren må først konfigurere enheten lokalt før ZTP.

*3: Sesjonsbasert: DPS vil kun gjelde for en ny økt; det vil ikke påvirke gjeldende økt.

Som du kan se, innhenter analoger helten i vår anmeldelse på noen måter, for eksempel har Fortinet FG-100E også innebygd WAN-optimalisering, og Meraki MX100 har en innebygd AutoVPN (site-to-site) funksjon, men generelt er ZyWALL VPN1000 entydig i ledelsen.

Retningslinjer for valg av enheter for det sentrale nettstedet (ikke bare Zyxel)

Når du velger enheter for å organisere en sentral node i et omfattende nettverk med mange grener, bør du fokusere på en rekke parametere: tekniske evner, enkel administrasjon, sikkerhet og feiltoleranse.

Et bredt spekter av funksjoner, et stort antall fysiske porter med mulighet for fleksibel konfigurasjon: WAN, LAN, DMZ og tilstedeværelsen av andre fine funksjoner, for eksempel en administrasjonskontroller for tilgangspunkter, lar deg lukke mange oppgaver samtidig.

En viktig rolle spilles av tilgjengeligheten av dokumentasjon og et praktisk administrasjonsgrensesnitt.

Med slike tilsynelatende enkle ting for hånden er det ikke så vanskelig å lage nettverksinfrastrukturer som fanger opp ulike steder og lokasjoner, og bruken av SD-WAN-skyen lar deg gjøre dette så fleksibelt og sikkert som mulig.