ProHoster > Blog > administração > Spider para uma teia ou nó central de uma rede distribuída

Spider para uma teia ou nó central de uma rede distribuída

Spider para uma teia ou nó central de uma rede distribuída
O que procurar ao escolher um roteador VPN para uma rede distribuída? E quais funções deveria ter? É a isso que nossa análise do ZyWALL VPN1000 é dedicada.

Introdução

Anteriormente, a maioria de nossas publicações era dedicada a dispositivos VPN de baixo custo para acesso à rede a partir de locais periféricos. Por exemplo, para ligar várias filiais à sede, acesso à Rede de pequenas empresas independentes, ou mesmo residências particulares. É hora de falar sobre o nó central da rede distribuída.

É claro que não será possível construir uma rede moderna de uma grande empresa apenas com base em dispositivos de classe econômica. E organize um serviço em nuvem para fornecer serviços também aos consumidores. Em algum lugar deve haver equipamentos instalados que possam atender um grande número de clientes ao mesmo tempo. Desta vez falaremos sobre um desses dispositivos - Zyxel VPN1000.

Tanto para grandes como pequenos participantes na troca de rede, é possível identificar critérios pelos quais é avaliada a adequação de um determinado dispositivo para resolver um problema.

Abaixo estão os principais:

  • capacidades técnicas e funcionais;
  • gestão;
  • segurança;
  • tolerância ao erro.

É difícil determinar o que é mais importante e o que pode ser dispensado. Tudo é necessário. Se o dispositivo não atender aos requisitos de acordo com algum critério, isso estará repleto de problemas no futuro.

No entanto, certas características dos dispositivos concebidos para garantir o funcionamento das unidades centrais e dos equipamentos que operam principalmente na periferia podem diferir significativamente.

Para o nó central, o poder de computação vem em primeiro lugar - isso leva ao resfriamento forçado e, conseqüentemente, ao ruído do ventilador. Para dispositivos periféricos, normalmente localizados em escritórios e residências, a operação ruidosa é quase inaceitável.

Outro ponto interessante é a distribuição dos portos. Nos dispositivos periféricos fica mais ou menos claro como será utilizado e quantos clientes estarão conectados. Portanto, você pode definir uma divisão estrita de portas em WAN, LAN, DMZ, vincular estritamente ao protocolo e assim por diante. Não existe essa certeza no centro central. Por exemplo, adicionamos um novo segmento de rede que requer conexão por meio de interface própria - e como fazer isso? Isto requer uma solução mais universal com a capacidade de configurar interfaces de forma flexível.

Uma nuance importante é que o dispositivo é rico em diversas funções. É claro que a abordagem de fazer com que um equipamento execute bem uma única tarefa tem suas vantagens. Mas a situação mais interessante começa quando você precisa dar um passo para a esquerda, um passo para a direita. Claro, com cada nova tarefa você também pode comprar outro dispositivo de destino. E assim por diante até que o orçamento ou o espaço no rack acabem.

Por outro lado, um conjunto expandido de funções permite que você trabalhe com um dispositivo ao resolver vários problemas. Por exemplo, o ZyWALL VPN1000 suporta vários tipos de conexões VPN, incluindo SSL e VPN IPsec, bem como conexões remotas para funcionários. Ou seja, uma peça de hardware cobre os problemas de conexões entre sites e de clientes. Mas existe um “mas”. Para que isso funcione, você precisa ter uma reserva de desempenho. Por exemplo, no caso do ZyWALL VPN1000, o núcleo de hardware VPN IPsec fornece alto desempenho de túnel VPN, e o balanceamento/redundância VPN com algoritmos SHA-2 e IKEv2 fornece alta confiabilidade e segurança para os negócios.

Listados abaixo estão alguns recursos úteis que cobrem uma ou mais das áreas descritas acima.

SD-WAN fornece uma plataforma para gerenciamento em nuvem, obtendo os benefícios do gerenciamento centralizado de comunicações entre sites com a capacidade de controlar e monitorar remotamente. ZyWALL VPN1000 também suporta o modo de operação correspondente onde são necessárias funções VPN avançadas.

Suporte para plataformas em nuvem para serviços de missão crítica. ZyWALL VPN1000 foi testado para uso com Microsoft Azure e AWS. O uso de dispositivos pré-testados é preferível para uma organização de qualquer nível, especialmente se a infraestrutura de TI utilizar uma combinação de rede local e nuvem.

Filtragem de conteúdo Fortalece a segurança bloqueando o acesso a sites maliciosos ou indesejados. Impede que malware seja baixado de sites não confiáveis ​​ou hackeados. No caso do ZyWALL VPN1000, uma licença anual para este serviço já está incluída no pacote.

Geopolítica (IP geográfico) permitem monitorar o tráfego e analisar a localização de endereços IP, negando acesso de regiões desnecessárias ou potencialmente perigosas. Uma licença anual para este serviço também está incluída na compra do dispositivo.

Gerenciamento de rede sem fio O ZyWALL VPN1000 inclui um controlador de rede sem fio que permite gerenciar até 1032 pontos de acesso a partir de uma interface de usuário centralizada. As empresas podem implantar ou expandir uma rede Wi-Fi gerenciada com esforço mínimo. É importante notar que o número 1032 é realmente muito. Com base no cálculo de que até 10 usuários podem se conectar a um ponto de acesso, este é um número bastante impressionante.

Balanceamento e redundância. A série VPN suporta balanceamento de carga e redundância em múltiplas interfaces externas. Ou seja, você pode conectar diversos canais de diversos provedores, protegendo-se assim de problemas de comunicação.

Possibilidade de redundância de dispositivos (Device HA) para conexão ininterrupta, mesmo quando um dos dispositivos falha. É difícil passar sem isso se você precisar organizar o trabalho 24 horas por dia, 7 dias por semana, com tempo de inatividade mínimo.

Zyxel Device HA Pro opera em passivo ativo, que não requer um procedimento de configuração complexo. Isto permite-lhe diminuir o limite de entrada e começar imediatamente a utilizar a reserva. Diferente ativo/ativo, quando o administrador do sistema precisar passar por treinamento adicional, ser capaz de configurar roteamento dinâmico, entender o que são pacotes assimétricos, etc. — configuração de modo passivo ativo Funciona muito mais fácil e requer menos tempo.

Ao usar o Zyxel Device HA Pro, os dispositivos trocam sinais batimento cardiaco através de uma porta dedicada. Portas de dispositivos ativos e passivos para batimento cardiaco conectado através de um cabo Ethernet. O dispositivo passivo sincroniza completamente as informações com o dispositivo ativo. Em particular, todas as sessões, túneis e contas de usuário são sincronizadas entre dispositivos. Além disso, o dispositivo passivo mantém uma cópia de backup do arquivo de configuração caso o dispositivo ativo falhe. Isso garante uma transição perfeita no caso de falha do dispositivo primário.

Vale a pena notar que em sistemas ativos/ activa você ainda precisa reservar de 20 a 25% dos recursos do sistema para failover. No passivo ativo um dispositivo está totalmente em estado de espera e pronto para processar imediatamente o tráfego de rede e manter a operação normal da rede.

Em termos simples: “Ao utilizar o Zyxel Device HA Pro e ter um canal de backup, o negócio fica protegido tanto da perda de comunicação por culpa do provedor, quanto de problemas decorrentes da falha do roteador.

Resumindo todos os itens acima

Para o nó central de uma rede distribuída, é melhor utilizar um dispositivo com uma determinada oferta de portas (interfaces de conexão). Neste caso, é desejável ter interfaces RJ45 para simplicidade e conexão econômica, e SFP para escolher entre conexão de fibra óptica e par trançado.

Este dispositivo deve ser:

  • produtivo, adaptado a mudanças bruscas de carga;
  • com uma interface clara;
  • com um número rico, mas não excessivo, de funções integradas, incluindo aquelas relacionadas à segurança;
  • com capacidade de construir circuitos tolerantes a falhas - duplicação de canais e duplicação de dispositivos;
  • apoiar a gestão para que toda a infraestrutura ramificada na forma de um nó central e dispositivos periféricos possa ser gerenciada a partir de um único ponto;
  • como “cereja no bolo” - suporte para tendências modernas, como integração com recursos de nuvem e assim por diante.

ZyWALL VPN1000 como nó central da rede

À primeira vista no ZyWALL VPN1000, fica claro que a Zyxel não poupou portas.

Nós temos:

  • 12 portas RJ‑45 (GBE) configuráveis;

  • 2 portas SFP configuráveis ​​(GBE);

  • 2 portas USB 3.0 com suporte para modems 3G/4G.

Spider para uma teia ou nó central de uma rede distribuída
Figura 1. Visão geral do ZyWALL VPN1000.

É importante ressaltar desde já que o aparelho não é para home office, principalmente por conta dos potentes ventiladores. Existem quatro deles aqui.

Spider para uma teia ou nó central de uma rede distribuída
Figura 2. Painel traseiro do ZyWALL VPN1000.

Vamos ver como é a interface.

Você deve prestar atenção imediatamente a uma circunstância importante. Existem muitas funções e não será possível descrevê-las detalhadamente em um artigo. Mas o que há de bom nos produtos Zyxel é que existe uma documentação muito detalhada, em primeiro lugar, o manual do usuário (administrador). Portanto, para se ter uma ideia da riqueza de funções, vamos apenas percorrer as abas.

Por padrão, a porta 1 e a porta 2 são atribuídas à WAN. A partir da terceira porta existem interfaces para a rede local.

A terceira porta com IP padrão 3 é bastante adequada para conexão.

Conectamos o patchcord, vamos ao endereço https://192.168.1.1 e você pode observar a janela de registro do usuário da interface web.

Nota. Para gerenciamento, você pode usar o sistema de gerenciamento em nuvem SD-WAN.

Spider para uma teia ou nó central de uma rede distribuída
Figura 3. Janela para inserção de login e senha

Seguimos o procedimento de inserção do login e senha e obtemos a janela Dashboard na tela. Na verdade, como deveria ser para um Dashboard - informações operacionais máximas em cada espaço da tela.

Spider para uma teia ou nó central de uma rede distribuída
Figura 4. ZyWALL VPN1000 - Painel.

Guia Configuração rápida (assistentes)

Existem dois assistentes na interface: para configurar uma WAN e configurar uma VPN. Na verdade, os assistentes são uma coisa boa, pois permitem que você execute configurações de modelos mesmo sem ter experiência em trabalhar com o dispositivo. Bom, para quem quiser mais, como mencionado acima, existe uma documentação detalhada.

Spider para uma teia ou nó central de uma rede distribuída
Figura 5. Guia Configuração Rápida.

Guia Monitoramento

Aparentemente, os engenheiros da Zyxel decidiram seguir o princípio: monitoramos tudo o que podemos. É claro que, para um dispositivo que atua como um hub central, o controle total não fará mal nenhum.

Mesmo expandindo todos os itens da barra lateral, a riqueza de opções se torna óbvia.

Spider para uma teia ou nó central de uma rede distribuída
Figura 6. Aba Monitoramento com subitens expandidos.

Guia Configuração

Aqui a riqueza de funções é ainda mais evidente.

Por exemplo, o gerenciamento de portas do dispositivo é muito bem projetado.

Spider para uma teia ou nó central de uma rede distribuída
Figura 7. Aba Configuração com subitens expandidos.

Guia Manutenção

Contém subseções para atualização de firmware, diagnóstico, visualização de regras de roteamento e desligamento.

Essas funções são de natureza auxiliar e estão presentes de uma forma ou de outra em quase todos os dispositivos de rede.

Spider para uma teia ou nó central de uma rede distribuída
Figura 8. Aba Manutenção com subitens expandidos.

Características comparativas

Nossa revisão estaria incompleta sem comparação com outros análogos.

Abaixo está uma tabela de análogos mais próximos do ZyWALL VPN1000 e uma lista de funções para comparação.

Tabela 1. Comparação do ZyWALL VPN1000 com análogos.

Spider para uma teia ou nó central de uma rede distribuída

Explicações para a Tabela 1:

*1: Licença necessária

*2: Provisão Low Touch: O administrador deve primeiro configurar o dispositivo localmente antes do ZTP.

*3: Baseado em sessão: DPS só será aplicado a novas sessões; isso não afetará a sessão atual.

Como você pode ver, de certa forma, os análogos estão alcançando o herói da nossa análise, por exemplo, o Fortinet FG-100E também possui otimização de WAN integrada, e o Meraki MX100 possui um AutoVPN integrado (site-to -site), mas em geral, o ZyWALL VPN1000 é inequívoco em seu conjunto abrangente de funções e está na liderança.

Recomendações ao escolher dispositivos para o nó central (não apenas Zyxel)

Ao escolher dispositivos para organizar o nó central de uma extensa rede com muitas filiais, deve-se focar em uma série de parâmetros: capacidades técnicas, facilidade de gerenciamento, segurança e tolerância a falhas.

Uma ampla gama de funções, um grande número de portas físicas com configuração flexível: WAN, LAN, DMZ e a presença de outras funções interessantes, como um controlador de gerenciamento de ponto de acesso, permitem realizar muitas tarefas ao mesmo tempo.

Um papel importante é desempenhado pela disponibilidade de documentação e uma interface de gerenciamento conveniente.

Tendo em mãos coisas aparentemente simples, não é tão difícil criar infraestruturas de rede que abrangem vários sites e locais, e o uso da nuvem SD-WAN permite fazer isso com máxima flexibilidade e segurança.

Links úteis

Análise do mercado SD-WAN: quais soluções existem e quem precisa delas

Zyxel Device HA Pro melhora a resiliência da rede

Usando o recurso GeoIP em gateways de segurança da série ATP/VPN/Zywall/USG

O que restará na sala do servidor?

Dois em um ou migração de um controlador de ponto de acesso para um gateway

Bate-papo por telegrama Zyxel para especialistas

Fonte: habr.com

Adicionar um comentário