Na čo sa zamerať pri výbere smerovača VPN pre distribuovanú sieť? A aké vlastnosti by mal mať? Tomu je venovaná naša recenzia ZyWALL VPN1000.
Úvod
Predtým bola väčšina našich publikácií venovaná juniorským zariadeniam VPN na prístup k sieti z periférnych zariadení. Napríklad na prepojenie rôznych pobočiek s centrálou, prístup do Siete malých nezávislých firiem, či dokonca súkromných domov. Je čas hovoriť o centrálnom uzle pre distribuovanú sieť.
Je jasné, že vybudovať modernú sieť veľkého podniku len na základe zariadení ekonomickej triedy nebude fungovať. A tiež organizovať cloudovú službu na poskytovanie služieb spotrebiteľom. Niekde sa musí nainštalovať zariadenie, ktoré dokáže obslúžiť veľké množstvo zákazníkov súčasne. Tentokrát si povieme niečo o jednom takom zariadení – Zyxel VPN1000.
Pre veľkých aj malých účastníkov sieťovej výmeny možno rozlíšiť kritériá, podľa ktorých sa posudzuje vhodnosť konkrétneho zariadenia na riešenie problému.
Nižšie sú uvedené hlavné:
- technické a funkčné schopnosti;
- kontrola;
- zabezpečenia;
- odolnosť proti chybám.
Je ťažké rozlíšiť, čo je dôležitejšie a bez čoho sa zaobídeme. Všetko je potrebné. Ak zariadenie podľa nejakého kritéria nedosiahne úroveň požiadaviek, je to v budúcnosti plné problémov.
Určité vlastnosti zariadení určených na zabezpečenie chodu centrálnych uzlov a zariadení, ktoré fungujú prevažne na periférii, sa však môžu výrazne líšiť.
Pre centrálny uzol je na prvom mieste výpočtový výkon - to vedie k nútenému chladeniu, a tým k hluku ventilátora. Pre periférne zariadenia, ktoré sa zvyčajne nachádzajú v kanceláriách a obytných priestoroch, je hlučná prevádzka takmer neprijateľná.
Ďalším zaujímavým bodom je distribúcia portov. V periférnych zariadeniach je viac-menej jasné, ako sa bude využívať a koľko klientov bude pripojených. Môžete teda nastaviť pevné rozdelenie portov na WAN, LAN, DMZ, vykonať tvrdú väzbu na protokol a pod. V centrálnom uzle taká istota nie je. Napríklad pridali nový segment siete, ktorý vyžaduje pripojenie cez vlastné rozhranie – a ako na to? To si vyžaduje univerzálnejšie riešenie s možnosťou flexibilnej konfigurácie rozhraní.
Dôležitou nuansou je nasýtenie zariadenia rôznymi funkciami. Samozrejme, existujú výhody, ak jeden kus zariadenia vykonáva dobre jednu prácu. Najzaujímavejšia situácia však začína, keď potrebujete urobiť krok doľava, krok doprava. Pre každú novú úlohu si samozrejme môžete dodatočne dokúpiť ďalšie cieľové zariadenie. A tak ďalej, kým sa neminie rozpočet alebo miesto v stojane.
Naproti tomu rozšírená sada funkcií vám umožní vystačiť si s jedným zariadením pri riešení viacerých problémov. Napríklad ZyWALL VPN1000 podporuje niekoľko typov VPN pripojení, vrátane SSL a IPsec VPN, ako aj vzdialených pripojení pre zamestnancov. To znamená, že jedným „kúskom železa“ sa uzatvárajú otázky pripojenia medzi lokalitami aj klientov. Je tu však jedno „ale“. Aby to fungovalo, musíte mať určitú hranicu výkonu. Napríklad v prípade ZyWALL VPN1000 hardvérové jadro IPsec VPN poskytuje vysoký výkon tunela VPN, zatiaľ čo vyvažovanie/redundancia VPN s algoritmami SHA-2 a IKEv2 zaisťuje vysokú spoľahlivosť a obchodnú bezpečnosť.
Nižšie sú uvedené niektoré užitočné funkcie, ktoré pokrývajú jeden alebo viacero vyššie opísaných smerov.
SD WAN poskytuje platformu pre správu cloudu, využívajúcu výhody centralizovaného riadenia komunikácie medzi lokalitami s možnosťou diaľkového ovládania a monitorovania. ZyWALL VPN1000 tiež podporuje vhodný režim prevádzky, kde sú potrebné pokročilé funkcie VPN.
Podpora cloudových platforiem pre kritické služby. ZyWALL VPN1000 je overený na použitie s Microsoft Azure a AWS. Použitie vopred overených zariadení je vhodnejšie pre akúkoľvek úroveň organizácie, najmä ak IT infraštruktúra využíva kombináciu lokálnej siete a cloudu.
Filtrovanie obsahu zvyšuje bezpečnosť blokovaním prístupu k škodlivým alebo nechceným webovým stránkam. Zabraňuje sťahovaniu malvéru z nedôveryhodných alebo napadnutých stránok. V prípade ZyWALL VPN1000 je ročná licencia na túto službu ihneď súčasťou balenia.
geografické zásady (GeoIP) vám umožní sledovať návštevnosť a analyzovať umiestnenie IP adries, čím odopiera prístup z nepotrebných alebo potenciálne nebezpečných oblastí. Súčasťou kúpy zariadenia je aj ročná licencia na túto službu.
Správa bezdrôtovej siete ZyWALL VPN1000 obsahuje bezdrôtový sieťový ovládač, ktorý vám umožňuje spravovať až 1032 prístupových bodov z centralizovaného používateľského rozhrania. Firmy môžu nasadiť alebo rozšíriť spravovanú sieť Wi-Fi s minimálnym úsilím. Stojí za zmienku, že číslo 1032 je naozaj veľa. Na základe skutočnosti, že k jednému prístupovému bodu sa môže pripojiť až 10 používateľov, sa získa pomerne pôsobivý údaj.
Vyvažovanie a redundancia. Séria VPN podporuje vyrovnávanie záťaže a redundanciu naprieč viacerými externými rozhraniami. To znamená, že môžete pripojiť niekoľko kanálov od viacerých poskytovateľov, čím sa ochránite pred problémami s komunikáciou.
Schopnosť redundancie zariadenia (zariadenie HA) pre nepretržité pripojenie, aj keď jedno zo zariadení zlyhá. Je ťažké sa bez neho zaobísť, ak potrebujete organizovať prácu 24 hodín denne, 7 dní v týždni s minimálnymi prestojmi.
Je tu Zyxel Device HA Pro aktívny pasívny, ktorý si nevyžaduje zložitý postup nastavenia. To vám umožní znížiť vstupný prah a okamžite začať využívať rezerváciu. Na rozdiel od aktívny/aktívnykeď správca systému potrebuje absolvovať ďalšie školenie, vedieť nakonfigurovať dynamické smerovanie, pochopiť, čo sú asymetrické pakety atď. - nastavenie režimu aktívny pasívny oveľa jednoduchšie a časovo menej náročné.
Pri používaní Zyxel Device HA Pro si zariadenia vymieňajú signály tlkot srdca cez vyhradený port. Aktívne a pasívne porty zariadení pre tlkot srdca pripojený cez ethernetový kábel. Pasívne zariadenie plne synchronizuje informácie s aktívnym zariadením. Predovšetkým sú medzi zariadeniami synchronizované všetky relácie, tunely, používateľské účty. Okrem toho si pasívne zariadenie uchováva záložnú kópiu konfiguračného súboru pre prípad, že by aktívne zariadenie zlyhalo. V prípade poruchy hlavného zariadenia je teda prechod bezproblémový.
Treba poznamenať, že v aktívnych systémoch/ aktívny stále musíte rezervovať 20-25% systémových prostriedkov na núdzové prepnutie. O aktívny pasívny jedno zariadenie je úplne v pohotovostnom stave a je pripravené okamžite spracovať sieťovú prevádzku a udržiavať normálnu sieťovú prevádzku.
Jednoducho povedané: „Keď používate Zyxel Device HA Pro a máte záložný kanál, podnik je chránený pred stratou komunikácie v dôsledku chyby poskytovateľa a pred problémami v dôsledku zlyhania smerovača.
Zhrnutie všetkého vyššie uvedeného
Pre centrálny uzol distribuovanej siete je lepšie použiť zariadenie s určitou zásobou portov (prepojovacích rozhraní). Zároveň je žiaduce mať obe rozhrania RJ45 pre jednoduchosť a lacnosť pripojenia a SFP pre výber medzi optickým pripojením a krútenou dvojlinkou.
Toto zariadenie musí byť:
- produktívny, prispôsobený prudkej zmene zaťaženia;
- s jasným rozhraním;
- s bohatým, ale nie nadbytočným množstvom vstavaných funkcií vrátane tých, ktoré súvisia s bezpečnosťou;
- so schopnosťou vytvárať schémy odolné voči chybám - duplikácia kanálov a duplikácia zariadení;
- podporné riadenie, takže celá rozvetvená infraštruktúra v podobe centrálneho uzla a periférnych zariadení je riadená z jedného bodu;
- ako „čerešnička na torte“ – podpora moderných trendov ako integrácia s cloudovými zdrojmi a pod.
ZyWALL VPN1000 ako centrálny uzol siete
Pri prvom pohľade na ZyWALL VPN1000 môžete vidieť, že na portoch v Zyxel sa nešetrilo.
Máme:
-
12 konfigurovateľných portov RJ-45 (GBE);
-
2 konfigurovateľné porty SFP (GBE);
-
2 porty USB 3.0 s podporou 3G/4G modemov.
Obrázok 1. Celkový pohľad na ZyWALL VPN1000.
Hneď je potrebné poznamenať, že zariadenie nie je určené pre domácu kanceláriu, a to predovšetkým kvôli účinným ventilátorom. Sú tu štyria.
Obrázok 2. Zadný panel ZyWALL VPN1000.
Pozrime sa, ako vyzerá rozhranie.
Okamžite stojí za to venovať pozornosť dôležitej okolnosti. Funkcií je veľa a v rámci jedného článku ich nebude možné podrobne popísať. Na produktoch Zyxel je však dobré, že existuje veľmi podrobná dokumentácia, v prvom rade používateľská (administrátorská) príručka. Aby sme si teda urobili predstavu o bohatstve funkcií, prejdime si karty.
V predvolenom nastavení sú porty 1 a 2 priradené sieti WAN. Počnúc tretím portom existujú rozhrania pre lokálnu sieť.
Na pripojenie je celkom vhodný 3. port s predvolenou IP 192.168.1.1.
Pripojíme prepojovací kábel, prejdite na adresu a môžete sledovať okno registrácie používateľa webového rozhrania.
Poznámka. Na správu môžete použiť cloudový systém správy SD-WAN.
Obrázok 3. Okno pre prihlásenie a zadanie hesla
Prejdeme postupom na zadanie prihlasovacieho mena a hesla a na obrazovke sa zobrazí okno Dashboard. Vlastne, ako by to malo byť pre Dashboard - maximálne prevádzkové informácie na každom kúsku miesta na obrazovke.
Obrázok 4. ZyWALL VPN1000 - Dashboard.
Karta Rýchle nastavenie (Sprievodcovia)
V rozhraní sú dvaja asistenti: na konfiguráciu WAN a konfiguráciu VPN. V skutočnosti sú asistenti dobrá vec, umožňujú vám vykonávať nastavenia šablóny bez toho, aby ste mali so zariadením skúsenosti. No pre tých, ktorí chcú viac, ako už bolo spomenuté vyššie, existuje podrobná dokumentácia.
Obrázok 5. Karta Rýchle nastavenie.
Záložka Monitorovanie
Inžinieri zo Zyxel sa zrejme rozhodli dodržiavať zásadu: monitorujeme všetko, čo sa dá. Samozrejme, pre zariadenie, ktoré funguje ako centrálny uzol, úplná kontrola vôbec nebolí.
Bohatosť výberu je zrejmá aj po rozšírení všetkých položiek na bočnom paneli.
Obrázok 6. Záložka Monitorovanie s rozbalenými podpoložkami.
Karta Konfigurácia
Tu je bohatosť funkcií ešte evidentnejšia.
Veľmi pekne je riešená napríklad správa portov zariadenia.
Obrázok 7. Karta Konfigurácia s rozbalenými podpoložkami.
Karta Údržba
Obsahuje podsekcie na aktualizáciu firmvéru, diagnostiku, zobrazenie pravidiel smerovania a vypnutie.
Tieto funkcie majú pomocný charakter a sú tak či onak prítomné takmer v každom sieťovom zariadení.
Obrázok 8. Karta Údržba s rozbalenými podpoložkami.
Porovnávacie charakteristiky
Naša recenzia by bola neúplná bez porovnania s inými analógmi.
Nižšie je uvedená tabuľka najbližších analógov k ZyWALL VPN1000 a zoznam funkcií na porovnanie.
Tabuľka 1. Porovnanie ZyWALL VPN1000 s analógmi.
Vysvetlivky k tabuľke 1:
*1: Vyžaduje sa licencia
*2: Low Touch Provision: Správca musí najprv lokálne nakonfigurovať zariadenie pred ZTP.
*3: Na základe relácie: DPS sa bude vzťahovať iba na novú reláciu; neovplyvní to aktuálnu reláciu.
Ako vidíte, analógy v niektorých ohľadoch dobiehajú hrdinu našej recenzie, napríklad Fortinet FG‑100E má tiež vstavanú optimalizáciu WAN a Meraki MX100 má vstavanú AutoVPN (site-to-site) funkciu, ale vo všeobecnosti jednoznačne vedie ZyWALL VPN1000.
Pokyny na výber zariadení pre centrálnu stránku (nielen Zyxel)
Pri výbere zariadení na organizáciu centrálneho uzla rozsiahlej siete s mnohými pobočkami by ste sa mali zamerať na množstvo parametrov: technické možnosti, jednoduchosť správy, bezpečnosť a odolnosť proti chybám.
Široká škála funkcií, veľké množstvo fyzických portov s možnosťou flexibilnej konfigurácie: WAN, LAN, DMZ a prítomnosť ďalších príjemných funkcií, ako je radič správy prístupových bodov, umožňujú uzavrieť veľa úloh naraz.
Dôležitú úlohu zohráva dostupnosť dokumentácie a pohodlné rozhranie na správu.
S takými zdanlivo jednoduchými vecami po ruke nie je až také ťažké vytvárať sieťové infraštruktúry, ktoré zachytávajú rôzne lokality a lokality a využitie cloudu SD-WAN vám to umožňuje čo najflexibilnejšie a najbezpečnejšie.
Užitočné odkazy
Zdroj: hab.com