Na co zwrócić uwagę przy wyborze routera VPN dla sieci rozproszonej? I jakie funkcje powinien posiadać? Właśnie temu poświęcona jest nasza recenzja ZyWALL VPN1000.
Wprowadzenie
Wcześniej większość naszych publikacji była poświęcona urządzeniom VPN z niższej półki, zapewniającym dostęp do sieci z lokalizacji peryferyjnych. Na przykład, aby połączyć różne oddziały z centralą, uzyskać dostęp do sieci małych niezależnych firm, a nawet domów prywatnych. Czas porozmawiać o węźle centralnym dla sieci rozproszonej.
Wiadomo, że nowoczesnej sieci dużego przedsiębiorstwa nie da się zbudować wyłącznie w oparciu o urządzenia klasy ekonomicznej. Zorganizuj także usługę w chmurze, aby świadczyć usługi także konsumentom. Gdzieś musi być zainstalowany sprzęt, który będzie w stanie obsłużyć dużą liczbę klientów jednocześnie. Tym razem porozmawiamy o jednym takim urządzeniu - Zyxel VPN1000.
Zarówno dla dużych, jak i małych uczestników wymiany sieciowej możliwe jest zidentyfikowanie kryteriów, według których oceniana jest przydatność konkretnego urządzenia do rozwiązania problemu.
Poniżej znajdują się główne:
- możliwości techniczne i funkcjonalne;
- kontrola;
- bezpieczeństwo;
- tolerancja błędów.
Trudno określić, co jest ważniejsze, a bez czego można się obejść. Wszystko jest potrzebne. Jeśli urządzenie nie spełnia wymagań według jakiegoś kryterium, będzie to obarczone problemami w przyszłości.
Jednakże niektóre cechy urządzeń mających zapewnić działanie jednostek centralnych i urządzeń pracujących głównie na peryferiach mogą znacząco się od siebie różnić.
W przypadku węzła centralnego na pierwszym miejscu jest moc obliczeniowa - prowadzi to do wymuszonego chłodzenia, a co za tym idzie, hałasu wentylatora. W przypadku urządzeń peryferyjnych, które zwykle znajdują się w biurach i domach, hałaśliwa praca jest prawie nie do przyjęcia.
Kolejnym interesującym punktem jest rozmieszczenie portów. W urządzeniach peryferyjnych jest mniej więcej jasne, w jaki sposób będzie on używany i ilu klientów będzie podłączonych. Można zatem ustawić ścisły podział portów na WAN, LAN, DMZ, ściśle powiązać je z protokołem i tak dalej. W węźle centralnym nie ma takiej pewności. Przykładowo dodaliśmy nowy segment sieci, który wymaga połączenia poprzez własny interfejs – i jak to zrobić? Wymaga to bardziej uniwersalnego rozwiązania z możliwością elastycznej konfiguracji interfejsów.
Ważnym niuansem jest to, że urządzenie jest bogate w różne funkcje. Oczywiście podejście zakładające, że jeden sprzęt dobrze wykonuje jedno zadanie, ma swoje zalety. Ale najciekawsza sytuacja zaczyna się, gdy trzeba zrobić krok w lewo, krok w prawo. Oczywiście do każdego nowego zadania można dodatkowo dokupić kolejne urządzenie docelowe. I tak dalej, aż skończy się budżet lub miejsce w szafie.
Natomiast rozbudowany zestaw funkcji pozwala za pomocą jednego urządzenia rozwiązać kilka problemów. Na przykład ZyWALL VPN1000 obsługuje wiele typów połączeń VPN, w tym SSL i IPsec VPN, a także połączenia zdalne dla pracowników. Oznacza to, że jeden element sprzętu obsługuje zarówno połączenia między lokacjami, jak i połączenia klienckie. Ale jest jedno „ale”. Aby to zadziałało, musisz mieć rezerwę wydajności. Na przykład w przypadku ZyWALL VPN1000 rdzeń sprzętowy IPsec VPN zapewnia wysoką wydajność tunelu VPN, a równoważenie/redundancję VPN za pomocą algorytmów SHA-2 i IKEv2 zapewnia wysoką niezawodność i bezpieczeństwo dla biznesu.
Poniżej wymieniono kilka przydatnych funkcji, które obejmują jeden lub więcej obszarów opisanych powyżej.
SD WAN udostępnia platformę do zarządzania chmurą, czerpiąc korzyści ze scentralizowanego zarządzania komunikacją pomiędzy lokalizacjami z możliwością zdalnego sterowania i monitorowania. ZyWALL VPN1000 obsługuje również odpowiedni tryb działania, w którym wymagane są zaawansowane funkcje VPN.
Wsparcie dla platform chmurowych dla usług o znaczeniu krytycznym. ZyWALL VPN1000 został przetestowany pod kątem współpracy z Microsoft Azure i AWS. Korzystanie z wstępnie przetestowanych urządzeń jest preferowane w przypadku organizacji na każdym poziomie, zwłaszcza jeśli infrastruktura IT wykorzystuje połączenie sieci lokalnej i chmury.
Filtrowanie zawartości Wzmacnia bezpieczeństwo, blokując dostęp do złośliwych lub niechcianych stron internetowych. Zapobiega pobieraniu złośliwego oprogramowania z niezaufanych lub zhakowanych witryn. W przypadku ZyWALL VPN1000 roczna licencja na tę usługę jest już zawarta w pakiecie.
Geopolityka (GeoIP) pozwalają monitorować ruch i analizować lokalizację adresów IP, odmawiając dostępu z niepotrzebnych lub potencjalnie niebezpiecznych regionów. Przy zakupie urządzenia dołączona jest także roczna licencja na tę usługę.
Zarządzanie siecią bezprzewodową ZyWALL VPN1000 zawiera kontroler sieci bezprzewodowej, który umożliwia zarządzanie maksymalnie 1032 punktami dostępu za pomocą scentralizowanego interfejsu użytkownika. Przedsiębiorstwa mogą wdrożyć lub rozszerzyć zarządzaną sieć Wi-Fi przy minimalnym wysiłku. Warto zaznaczyć, że liczba 1032 to naprawdę dużo. Biorąc pod uwagę obliczenia, że do jednego punktu dostępowego może podłączyć się aż 10 użytkowników, jest to dość imponująca liczba.
Równoważenie i redundancja. Seria VPN obsługuje równoważenie obciążenia i redundancję na wielu interfejsach zewnętrznych. Oznacza to, że możesz połączyć kilka kanałów od kilku dostawców, chroniąc w ten sposób przed problemami z komunikacją.
Możliwość redundancji urządzeń (Device HA) dla nieprzerwanego połączenia, nawet w przypadku awarii jednego z urządzeń. Trudno się bez tego obejść, jeśli chcesz zorganizować pracę 24 godziny na dobę, 7 dni w tygodniu przy minimalnych przestojach.
Zyxel Device HA Pro działa w aktywny pasywny, który nie wymaga skomplikowanej procedury konfiguracji. Dzięki temu możesz obniżyć próg wejścia i od razu przystąpić do korzystania z rezerwacji. w odróżnieniu aktywny/aktywny, gdy administrator systemu musi przejść dodatkowe szkolenie, umieć skonfigurować routing dynamiczny, rozumieć, czym są pakiety asymetryczne itp. — ustawienie trybu aktywny pasywny Działa to znacznie łatwiej i wymaga mniej czasu.
Podczas korzystania z Zyxel Device HA Pro urządzenia wymieniają sygnały bicie serca poprzez dedykowany port. Aktywne i pasywne porty urządzeń dla bicie serca podłączone za pomocą kabla Ethernet. Urządzenie pasywne całkowicie synchronizuje informacje z urządzeniem aktywnym. W szczególności wszystkie sesje, tunele i konta użytkowników są synchronizowane pomiędzy urządzeniami. Ponadto urządzenie pasywne przechowuje kopię zapasową pliku konfiguracyjnego na wypadek awarii urządzenia aktywnego. Zapewnia to płynne przejście w przypadku awarii urządzenia głównego.
Warto zauważyć, że w systemach aktywnych/ aktywny nadal musisz zarezerwować 20-25% zasobów systemowych na przełączanie awaryjne. Na aktywny pasywny jedno urządzenie znajduje się całkowicie w stanie gotowości i jest gotowe do natychmiastowego przetwarzania ruchu sieciowego i utrzymywania normalnego działania sieci.
W prostych słowach: „Korzystając z Zyxel Device HA Pro i mając kanał zapasowy, firma jest chroniona zarówno przed utratą komunikacji z winy dostawcy, jak i przed problemami wynikającymi z awarii routera.
Podsumowując wszystkie powyższe
W przypadku węzła centralnego sieci rozproszonej lepiej jest zastosować urządzenie z określoną podażą portów (interfejsy przyłączeniowe). W tym przypadku pożądane jest posiadanie zarówno interfejsów RJ45 dla uproszczenia i opłacalności połączenia, jak i SFP do wyboru pomiędzy połączeniem światłowodowym a skrętką.
To urządzenie musi być:
- produktywny, przystosowany do nagłych zmian obciążenia;
- z przejrzystym interfejsem;
- z bogatą, ale nie przesadną liczbą wbudowanych funkcji, w tym związanych z bezpieczeństwem;
- z możliwością budowy obwodów odpornych na uszkodzenia - duplikacja kanałów i duplikacja urządzeń;
- wspieranie zarządzania tak, aby cała infrastruktura rozgałęziona w postaci węzła centralnego i urządzeń peryferyjnych mogła być zarządzana z jednego miejsca;
- jako „wisienka na torcie” – wsparcie nowoczesnych trendów, takich jak integracja z zasobami chmurowymi i tak dalej.
ZyWALL VPN1000 jako centralny węzeł sieci
Już na pierwszy rzut oka widać, że ZyWALL VPN1000 nie oszczędzał na portach.
Mamy:
-
12 konfigurowalnych portów RJ-45 (GBE);
-
2 konfigurowalne porty SFP (GBE);
-
2 porty USB 3.0 z obsługą modemów 3G/4G.
Rysunek 1. Widok ogólny ZyWALL VPN1000.
Od razu należy zaznaczyć, że urządzenie nie jest przeznaczone do domowego biura, przede wszystkim ze względu na mocne wentylatory. Jest ich tu czterech.
Rysunek 2. Panel tylny ZyWALL VPN1000.
Zobaczmy jak wygląda interfejs.
Powinieneś natychmiast zwrócić uwagę na ważną okoliczność. Funkcji jest bardzo dużo i nie sposób ich szczegółowo opisać w jednym artykule. Ale to, co jest dobre w produktach Zyxela, to bardzo szczegółowa dokumentacja, przede wszystkim instrukcja użytkownika (administratora). Aby zatem zorientować się w bogactwie funkcji, wystarczy przejrzeć zakładki.
Domyślnie port 1 i port 2 są przypisane do sieci WAN. Zaczynając od trzeciego portu znajdują się interfejsy dla sieci lokalnej.
Trzeci port z domyślnym adresem IP 3 jest całkiem odpowiedni do połączenia.
Podłączamy patchcord, idziemy pod adres i możesz obserwować okno rejestracji użytkownika interfejsu internetowego.
Operacja. Do zarządzania można wykorzystać system zarządzania chmurą SD-WAN.
Rysunek 3. Okno do wpisania loginu i hasła
Przechodzimy przez procedurę wpisania loginu i hasła i na ekranie pojawia się okno Dashboard. Właściwie tak, jak powinno być w przypadku Dashboardu - maksimum informacji operacyjnych na każdym fragmencie ekranu.
Rysunek 4. ZyWALL VPN1000 – Panel kontrolny.
Karta Szybka konfiguracja (Kreatorzy)
W interfejsie znajdują się dwaj asystenci: do konfiguracji sieci WAN i konfiguracji VPN. Tak naprawdę asystenci to dobra rzecz, pozwalają na wprowadzenie ustawień szablonu nawet bez doświadczenia w pracy z urządzeniem. Cóż, dla tych, którzy chcą więcej, jak wspomniano powyżej, istnieje szczegółowa dokumentacja.
Rysunek 5. Zakładka Szybka konfiguracja.
Zakładka Monitorowanie
Najwyraźniej inżynierowie Zyxela postanowili kierować się zasadą: monitorujemy wszystko, co się da. Oczywiście w przypadku urządzenia pełniącego rolę centralnego koncentratora całkowita kontrola wcale nie zaszkodzi.
Nawet po rozwinięciu wszystkich elementów na pasku bocznym bogactwo wyboru staje się oczywiste.
Rysunek 6. Zakładka Monitoring z rozwiniętymi podpunktami.
Zakładka Konfiguracja
Tutaj bogactwo funkcji jest jeszcze bardziej widoczne.
Na przykład zarządzanie portami urządzenia jest bardzo ładnie zaprojektowane.
Rysunek 7. Zakładka Konfiguracja z rozwiniętymi podpunktami.
Zakładka Konserwacja
Zawiera podsekcje dotyczące aktualizacji oprogramowania sprzętowego, diagnostyki, przeglądania reguł routingu i zamykania.
Funkcje te mają charakter pomocniczy i są w takim czy innym stopniu obecne w prawie każdym urządzeniu sieciowym.
Rysunek 8. Zakładka Konserwacja z rozwiniętymi podpunktami.
Charakterystyka porównawcza
Nasza recenzja byłaby niekompletna bez porównania z innymi analogami.
Poniżej znajduje się tabela analogów najbliższych ZyWALL VPN1000 i lista funkcji do porównania.
Tabela 1. Porównanie ZyWALL VPN1000 z analogami.
Objaśnienia do tabeli 1:
*1: Wymagana licencja
*2: Usługa Low Touch: administrator musi najpierw skonfigurować urządzenie lokalnie przed ZTP.
*3: Oparte na sesji: DPS będzie miał zastosowanie tylko do nowej sesji; nie będzie to miało wpływu na bieżącą sesję.
Jak widać, analogi w pewnym sensie doganiają bohatera naszej recenzji, na przykład Fortinet FG‑100E ma również wbudowaną optymalizację sieci WAN, a Meraki MX100 ma wbudowaną funkcję AutoVPN (site-to -site), ale ogólnie ZyWALL VPN1000 jest jednoznaczny w swoim kompleksowym zestawie funkcji na czele.
Zalecenia przy wyborze urządzeń dla węzła centralnego (nie tylko Zyxel)
Wybierając urządzenia do organizacji węzła centralnego rozległej sieci z wieloma odgałęzieniami, należy skupić się na szeregu parametrów: możliwościach technicznych, łatwości zarządzania, bezpieczeństwie i odporności na awarie.
Szeroki zakres funkcji, duża liczba portów fizycznych z elastyczną konfiguracją: WAN, LAN, DMZ oraz obecność innych ciekawych funkcji, takich jak kontroler zarządzania punktami dostępowymi, pozwalają na realizację wielu zadań jednocześnie.
Ważną rolę odgrywa dostępność dokumentacji i wygodny interfejs zarządzania.
Mając pod ręką tak pozornie proste rzeczy, nie jest tak trudno stworzyć infrastrukturę sieciową obejmującą różne miejsca i lokalizacje, a wykorzystanie chmury SD-WAN pozwala to zrobić z maksymalną elastycznością i bezpieczeństwem.
Przydatne linki
Źródło: www.habr.com