Ce să căutați atunci când alegeți un router VPN pentru o rețea distribuită? Și ce funcții ar trebui să aibă? Acesta este motivul pentru care este dedicată recenzia noastră ZyWALL VPN1000.
Introducere
Anterior, majoritatea publicațiilor noastre au fost dedicate dispozitivelor VPN de gamă inferioară pentru acces la rețea de la site-uri periferice. De exemplu, pentru a conecta diverse sucursale cu sediul, acces la Rețeaua de mici companii independente, sau chiar case private. Este timpul să vorbim despre nodul central pentru rețeaua distribuită.
Este clar că nu va fi posibilă construirea unei rețele moderne a unei întreprinderi mari doar pe baza dispozitivelor de clasă economică. Și organizați un serviciu cloud pentru a oferi servicii și consumatorilor. Undeva trebuie să fie instalate echipamente care să poată deservi un număr mare de clienți în același timp. De data aceasta vom vorbi despre un astfel de dispozitiv - Zyxel VPN1000.
Atât pentru participanții mari, cât și pentru cei mici la schimbul de rețea, este posibil să se identifice criteriile prin care este evaluată adecvarea unui anumit dispozitiv pentru rezolvarea unei probleme.
Mai jos sunt cele principale:
- capabilități tehnice și funcționale;
- management;
- de securitate;
- toleranta la greseli.
Este greu de determinat ce este mai important și ce se poate face fără. Totul este necesar. Dacă dispozitivul nu îndeplinește cerințele în funcție de un anumit criteriu, acest lucru este plin de probleme în viitor.
Cu toate acestea, anumite caracteristici ale dispozitivelor concepute pentru a asigura funcționarea unităților centrale și a echipamentelor care funcționează în principal la periferie pot diferi semnificativ.
Pentru nodul central, puterea de calcul este pe primul loc - aceasta duce la răcire forțată și, în consecință, la zgomot de la ventilator. Pentru dispozitivele periferice, care sunt de obicei situate în birouri și case, funcționarea zgomotoasă este aproape inacceptabilă.
Un alt punct interesant este distribuția porturilor. În dispozitivele periferice este mai mult sau mai puțin clar cum va fi folosit și câți clienți vor fi conectați. Prin urmare, puteți seta o împărțire strictă a porturilor în WAN, LAN, DMZ, să vă legați strict la protocol și așa mai departe. Nu există o astfel de certitudine la nodul central. De exemplu, am adăugat un nou segment de rețea care necesită conexiune prin propria interfață - și cum se face acest lucru? Acest lucru necesită o soluție mai universală, cu capacitatea de a configura în mod flexibil interfețele.
O nuanță importantă este că dispozitivul este bogat în diverse funcții. Desigur, abordarea de a avea o singură piesă de echipament să îndeplinească bine o singură sarcină are avantajele sale. Dar cea mai interesantă situație începe atunci când trebuie să faci un pas la stânga, un pas la dreapta. Desigur, cu fiecare sarcină nouă puteți cumpăra suplimentar un alt dispozitiv țintă. Și așa mai departe până când bugetul sau spațiul în rack se epuizează.
În schimb, un set extins de funcții vă permite să vă descurcați cu un singur dispozitiv atunci când rezolvați mai multe probleme. De exemplu, ZyWALL VPN1000 acceptă mai multe tipuri de conexiuni VPN, inclusiv VPN SSL și IPsec, precum și conexiuni la distanță pentru angajați. Adică, o singură piesă hardware acoperă problemele atât ale conexiunilor între site-uri, cât și ale clientului. Dar există un „dar”. Pentru ca acest lucru să funcționeze, trebuie să aveți o rezervă de performanță. De exemplu, în cazul ZyWALL VPN1000, nucleul hardware IPsec VPN oferă performanță ridicată a tunelului VPN, iar echilibrarea/redundanța VPN cu algoritmii SHA-2 și IKEv2 oferă fiabilitate și securitate ridicate pentru afaceri.
Mai jos sunt enumerate câteva caracteristici utile care acoperă una sau mai multe dintre zonele descrise mai sus.
SD WAN oferă o platformă pentru managementul cloud, câștigând beneficiile gestionării centralizate a comunicațiilor între site-uri cu capacitatea de a controla și monitoriza de la distanță. ZyWALL VPN1000 acceptă, de asemenea, modul de operare corespunzător în care sunt necesare funcții VPN avansate.
Suport pentru platforme cloud pentru servicii critice. ZyWALL VPN1000 este testat pentru utilizare cu Microsoft Azure și AWS. Utilizarea dispozitivelor pre-testate este de preferat pentru o organizație de orice nivel, mai ales dacă infrastructura IT folosește o combinație de rețea locală și cloud.
Filtrarea conținutului Întărește securitatea prin blocarea accesului la site-uri web rău intenționate sau nedorite. Împiedică descărcarea programelor malware de pe site-uri nede încredere sau piratate. În cazul ZyWALL VPN1000, o licență anuală pentru acest serviciu este deja inclusă în pachet.
Geopolitică (IP geografic) vă permit să monitorizați traficul și să analizați locația adreselor IP, interzicând accesul din regiuni inutile sau potențial periculoase. La achiziționarea dispozitivului este inclusă și o licență anuală pentru acest serviciu.
Managementul rețelei fără fir ZyWALL VPN1000 include un controler de rețea fără fir care vă permite să gestionați până la 1032 de puncte de acces dintr-o interfață de utilizator centralizată. Întreprinderile pot implementa sau extinde o rețea Wi-Fi gestionată cu un efort minim. Este demn de remarcat faptul că numărul 1032 este într-adevăr mult. Pe baza calculului că până la 10 utilizatori se pot conecta la un punct de acces, aceasta este o cifră destul de impresionantă.
Echilibrare și redundanță. Seria VPN acceptă echilibrarea sarcinii și redundanță pe mai multe interfețe externe. Adică, puteți conecta mai multe canale de la mai mulți furnizori, protejându-vă astfel de problemele de comunicare.
Posibilitatea de redundanță a dispozitivului (Dispozitiv HA) pentru conexiune non-stop, chiar și atunci când unul dintre dispozitive se defectează. Este dificil să faci fără acest lucru dacă trebuie să organizezi munca 24/7 cu timp de nefuncționare minim.
Zyxel Device HA Pro funcționează în activ pasiv, care nu necesită o procedură complexă de configurare. Acest lucru vă permite să reduceți pragul de intrare și să începeți imediat să utilizați rezervarea. Spre deosebire de activ/activ, când administratorul de sistem trebuie să urmeze o pregătire suplimentară, să poată configura rutarea dinamică, să înțeleagă ce sunt pachetele asimetrice etc. — setarea modului activ pasiv Funcționează mult mai ușor și necesită mai puțin timp.
Când utilizați Zyxel Device HA Pro, dispozitivele schimbă semnale emoție printr-un port dedicat. Porturi active și pasive pentru dispozitive emoție conectat printr-un cablu Ethernet. Dispozitivul pasiv sincronizează complet informațiile cu dispozitivul activ. În special, toate sesiunile, tunelurile și conturile de utilizator sunt sincronizate între dispozitive. În plus, dispozitivul pasiv păstrează o copie de rezervă a fișierului de configurare în cazul în care dispozitivul activ eșuează. Acest lucru asigură o tranziție fără întreruperi în cazul unei defecțiuni a dispozitivului principal.
Este de remarcat faptul că în sistemele active/ activ mai trebuie să rezervați 20-25% din resursele sistemului pentru failover. La activ pasiv un dispozitiv este complet în stare de așteptare și este gata să proceseze imediat traficul de rețea și să mențină funcționarea normală a rețelei.
În termeni simpli: „La utilizarea Zyxel Device HA Pro și la dispoziție un canal de rezervă, afacerea este protejată atât de pierderea comunicării din vina furnizorului, cât și de problemele rezultate din defecțiunea routerului.
Rezumând toate cele de mai sus
Pentru nodul central al unei rețele distribuite, este mai bine să utilizați un dispozitiv cu o anumită sursă de porturi (interfețe de conectare). În acest caz, este de dorit să existe atât interfețe RJ45 pentru simplitate și conexiune rentabilă, cât și SFP pentru a alege între o conexiune cu fibră optică și o pereche răsucită.
Acest dispozitiv trebuie să fie:
- productiv, adaptat la schimbările bruște de sarcină;
- cu o interfață clară;
- cu un număr bogat, dar nu excesiv de funcții încorporate, inclusiv cele legate de securitate;
- cu capacitatea de a construi circuite tolerante la erori - duplicarea canalelor și duplicarea dispozitivelor;
- susținerea managementului astfel încât întreaga infrastructură ramificată sub formă de nod central și dispozitive periferice să poată fi gestionată dintr-un punct;
- ca „cherry on the cake” - suport pentru tendințele moderne, cum ar fi integrarea cu resursele cloud și așa mai departe.
ZyWALL VPN1000 ca nod central al rețelei
La prima vedere la ZyWALL VPN1000, este clar că Zyxel nu a economisit porturi.
Avem:
-
12 porturi RJ‑45 (GBE) configurabile;
-
2 porturi SFP configurabile (GBE);
-
2 porturi USB 3.0 cu suport pentru modemuri 3G/4G.
Figura 1. Vedere generală a ZyWALL VPN1000.
Trebuie remarcat imediat că dispozitivul nu este pentru un birou de acasă, în primul rând datorită ventilatoarelor puternice. Sunt patru aici.
Figura 2. Panoul din spate ZyWALL VPN1000.
Să vedem cum arată interfața.
Ar trebui să acordați atenție imediat unei circumstanțe importante. Există o mulțime de funcții și nu va fi posibil să le descriem în detaliu într-un articol. Dar ceea ce este bun la produsele Zyxel este că există o documentație foarte detaliată, în primul rând, manualul de utilizare (administrator). Prin urmare, pentru a vă face o idee despre bogăția de funcții, să trecem prin file.
În mod implicit, portul 1 și portul 2 sunt alocate WAN. Începând de la al treilea port există interfețe pentru rețeaua locală.
Al treilea port cu IP implicit 3 este destul de potrivit pentru conexiune.
Conectam cordonul, mergem la adresa și puteți observa fereastra de înregistrare a utilizatorului a interfeței web.
Nota. Pentru management, puteți utiliza sistemul de management cloud SD-WAN.
Figura 3. Fereastra pentru introducerea login-ului și a parolei
Trecem prin procedura de introducere a login-ului și a parolei și obținem fereastra Dashboard pe ecran. De fapt, așa cum ar trebui să fie pentru un tablou de bord - informații operaționale maxime pe fiecare bucată de spațiu pe ecran.
Figura 4. ZyWALL VPN1000 - Tabloul de bord.
Fila Configurare rapidă (Experți)
Există doi asistenți în interfață: pentru configurarea unui WAN și configurarea unui VPN. De fapt, asistenții sunt un lucru bun, vă permit să efectuați setări de șablon chiar și fără a avea experiență de lucru cu dispozitivul. Ei bine, pentru cei care doresc mai mult, așa cum am menționat mai sus, există o documentație detaliată.
Figura 5. Fila Configurare rapidă.
Fila Monitorizare
Aparent, inginerii de la Zyxel au decis să urmeze principiul: monitorizăm tot ce putem. Desigur, pentru un dispozitiv care acționează ca un hub central, controlul total nu va strica deloc.
Chiar și doar extinzând toate elementele de pe bara laterală, bogăția de alegere devine evidentă.
Figura 6. Fila Monitorizare cu sub-articole extinse.
fila Configurare
Aici bogăția de funcții este și mai evidentă.
De exemplu, managementul portului dispozitivului este foarte frumos proiectat.
Figura 7. Fila Configurare cu sub-articole extinse.
Fila de întreținere
Conține subsecțiuni pentru actualizarea firmware-ului, diagnosticare, vizualizarea regulilor de rutare și închidere.
Aceste funcții sunt de natură auxiliară și sunt prezente într-o măsură sau alta în aproape fiecare dispozitiv de rețea.
Figura 8. Fila Întreținere cu sub-articole extinse.
Caracteristici comparative
Revizuirea noastră ar fi incompletă fără comparație cu alți analogi.
Mai jos este un tabel cu analogii cei mai apropiati de ZyWALL VPN1000 și o listă de funcții pentru comparație.
Tabelul 1. Comparația ZyWALL VPN1000 cu analogii.
Explicații pentru tabelul 1:
*1: Este necesară licența
*2: Dispoziție de atingere redusă: administratorul trebuie mai întâi să configureze dispozitivul local înainte de ZTP.
*3: Bazat pe sesiune: DPS se va aplica numai sesiunii noi; acest lucru nu va afecta sesiunea curentă.
După cum puteți vedea, în anumite privințe, analogii ajung din urmă cu eroul recenziei noastre, de exemplu, Fortinet FG‑100E are și optimizare WAN încorporată, iar Meraki MX100 are un AutoVPN încorporat (de la site la -site), dar, în general, ZyWALL VPN1000 este fără ambiguitate în ceea ce privește setul său cuprinzător de funcții este în frunte.
Recomandări la alegerea dispozitivelor pentru nodul central (nu numai Zyxel)
Atunci când alegeți dispozitive pentru organizarea nodului central al unei rețele extinse cu multe ramuri, ar trebui să vă concentrați pe o serie de parametri: capacități tehnice, ușurință de gestionare, securitate și toleranță la erori.
O gamă largă de funcții, un număr mare de porturi fizice cu configurație flexibilă: WAN, LAN, DMZ și prezența altor funcții plăcute, cum ar fi un controler de gestionare a punctelor de acces, vă permit să finalizați mai multe sarcini simultan.
Un rol important îl joacă disponibilitatea documentației și o interfață de management convenabilă.
Având astfel de lucruri aparent simple la îndemână, nu este atât de dificil să creezi infrastructuri de rețea care se întind pe diverse site-uri și locații, iar utilizarea cloudului SD-WAN vă permite să faceți acest lucru cu flexibilitate și securitate maximă.
Link-uri utile
Sursa: www.habr.com