🥇Spider za splet ali centralno vozlišče porazdeljenega omrežja

Na kaj iskati pri izbiri usmerjevalnika VPN za porazdeljeno omrežje? In kakšne lastnosti bi moral imeti? Temu je namenjen naš pregled ZyWALL VPN1000.

Predstavitev

Pred tem je bila večina naših publikacij posvečena junior VPN napravam za dostop do omrežja iz perifernih naprav. Na primer za povezovanje različnih poslovalnic s sedežem, dostop do Mreže malih neodvisnih podjetij ali celo zasebnih hiš. Čas je, da govorimo o osrednjem vozlišču za porazdeljeno omrežje.

Jasno je, da ne bo uspelo zgraditi sodobnega omrežja velikega podjetja samo na podlagi naprav ekonomskega razreda. In organizirajte storitev v oblaku za zagotavljanje storitev tudi potrošnikom. Nekje je treba vgraditi opremo, ki lahko služi velikemu številu strank hkrati. Tokrat bomo govorili o eni takšni napravi - Zyxel VPN1000.

Tako za velike kot za male udeležence v omrežni izmenjavi lahko ločimo kriterije, po katerih se ocenjuje primernost posamezne naprave za reševanje problema.

Spodaj so glavni:

tehnične in funkcionalne zmogljivosti;
upravljanje;
varnost;
toleranca napak.

Težko je ločiti, kaj je bolj pomembno in brez česa se da. Vse je potrebno. Če naprava po nekem kriteriju ne dosega ravni zahtev, je to polno težav v prihodnosti.

Vendar pa se lahko nekatere lastnosti naprav, namenjenih zagotavljanju delovanja centralnih vozlišč, in opreme, ki deluje predvsem na obrobju, bistveno razlikujejo.

Za osrednje vozlišče je računalniška moč na prvem mestu - to vodi do prisilnega hlajenja in s tem hrupa ventilatorja. Za periferne naprave, ki jih običajno najdemo v pisarnah in stanovanjskih prostorih, je hrupno delovanje skoraj nesprejemljivo.

Druga zanimiva točka je porazdelitev pristanišč. Pri perifernih napravah je bolj ali manj jasno, kako se bo uporabljalo in koliko odjemalcev bo povezanih. Zato lahko nastavite trdo particioniranje vrat na WAN, LAN, DMZ, izvedete trdo vezavo na protokol itd. V osrednjem vozlišču te gotovosti ni. Na primer, dodali so nov omrežni segment, ki zahteva povezavo prek lastnega vmesnika - in kako to storiti? To zahteva bolj univerzalno rešitev z možnostjo prilagodljive konfiguracije vmesnikov.

Pomemben odtenek je nasičenost naprave z različnimi funkcijami. Seveda obstajajo prednosti, če en kos opreme dobro opravi eno delo. Toda najbolj zanimiva situacija se začne, ko morate narediti korak v levo, korak v desno. Seveda lahko za vsako novo nalogo dodatno dokupite drugo ciljno napravo. In tako naprej, dokler proračun ali prostor v omari ne zmanjka.

Nasprotno pa vam razširjen nabor funkcij omogoča, da z eno napravo rešite več težav. Na primer, ZyWALL VPN1000 podpira več vrst povezav VPN, vključno s SSL in IPsec VPN, kot tudi oddaljene povezave za zaposlene. To pomeni, da en "kos železa" zapre težave povezav med lokacijami in odjemalcev. Vendar obstaja en "ampak". Da bi to delovalo, morate imeti rezervo zmogljivosti. Na primer, v primeru ZyWALL VPN1000 strojno jedro IPsec VPN zagotavlja visoko zmogljivost tunela VPN, medtem ko uravnoteženje/redundanca VPN z algoritmi SHA-2 in IKEv2 zagotavlja visoko zanesljivost in poslovno varnost.

Spodaj je navedenih nekaj uporabnih funkcij, ki pokrivajo eno ali več zgoraj opisanih smeri.

SD WAN ponuja platformo za upravljanje v oblaku, ki izkorišča prednosti centraliziranega upravljanja komunikacije med mesti z možnostjo daljinskega nadzora in spremljanja. ZyWALL VPN1000 podpira tudi ustrezen način delovanja, kjer so potrebne napredne funkcije VPN.

Podpora za platforme v oblaku za kritične storitve. ZyWALL VPN1000 je preverjen za uporabo z Microsoft Azure in AWS. Uporaba vnaprej potrjenih naprav je zaželena za katero koli raven organizacije, še posebej, če infrastruktura IT uporablja kombinacijo lokalnega omrežja in oblaka.

Filtriranje vsebine izboljša varnost z blokiranjem dostopa do zlonamernih ali neželenih spletnih mest. Preprečuje prenos zlonamerne programske opreme s spletnih mest, ki jim ni zaupanja vredna, ali spletnih mest, na katerih so vdrli. V primeru ZyWALL VPN1000 je letna licenca za to storitev takoj vključena v paket.

Geo Politike (GeoIP) vam omogočajo sledenje prometu in analizo lokacije naslovov IP ter onemogočanje dostopa iz nepotrebnih ali potencialno nevarnih regij. Ob nakupu naprave je priložena tudi letna licenca za to storitev.

Upravljanje brezžičnega omrežja ZyWALL VPN1000 vključuje brezžični omrežni krmilnik, ki vam omogoča upravljanje do 1032 dostopnih točk iz centraliziranega uporabniškega vmesnika. Podjetja lahko uvedejo ali razširijo upravljano omrežje Wi-Fi z minimalnim naporom. Omeniti velja, da je številka 1032 res veliko. Glede na dejstvo, da se lahko na eno dostopno točko poveže do 10 uporabnikov, dobimo precej impresivno številko.

Uravnoteženje in redundanca. Serija VPN podpira uravnoteženje obremenitve in redundanco na več zunanjih vmesnikih. To pomeni, da lahko povežete več kanalov več ponudnikov in se tako zaščitite pred težavami pri komunikaciji.

Zmožnost redundance naprave (naprava HA) za neprekinjeno povezavo, tudi ko ena od naprav odpove. Brez njega je težko, če morate organizirati delo 24/7 z minimalnimi izpadi.

Zyxel Device HA Pro je tu aktivno/pasivno, ki ne zahteva zapletenega postopka nastavitve. To vam omogoča, da znižate vstopni prag in takoj začnete uporabljati rezervacijo. Za razliko od aktiven/aktivenko mora sistemski skrbnik opraviti dodatno usposabljanje, biti sposoben konfigurirati dinamično usmerjanje, razumeti, kaj so asimetrični paketi itd. - nastavitev načina aktivno/pasivno veliko lažje in manj zamudno.

Pri uporabi Zyxel Device HA Pro naprave izmenjujejo signale srčni utrip prek namenskega pristanišča. Aktivna in pasivna vrata za naprave srčni utrip povezan preko Ethernet kabla. Pasivna naprava v celoti sinhronizira informacije z aktivno napravo. Zlasti vse seje, tuneli, uporabniški računi so sinhronizirani med napravami. Poleg tega pasivna naprava hrani varnostno kopijo konfiguracijske datoteke, če aktivna naprava odpove. Tako je v primeru okvare glavne naprave prehod brezhiben.

Treba je opozoriti, da v aktivnih sistemih/ aktivno še vedno morate rezervirati 20-25 % sistemskih virov za samodejni preklop. pri aktivno/pasivno ena naprava je popolnoma v stanju pripravljenosti in je pripravljena za takojšnjo obdelavo omrežnega prometa in vzdrževanje normalnega delovanja omrežja.

Preprosto povedano: »Ko uporabljate Zyxel Device HA Pro in imate rezervni kanal, je podjetje zaščiteno tako pred izgubo komunikacije po krivdi ponudnika kot pred težavami zaradi okvare usmerjevalnika.

Če povzamem vse zgoraj navedeno

Za osrednje vozlišče porazdeljenega omrežja je bolje uporabiti napravo z določeno zalogo vrat (povezovalnih vmesnikov). Hkrati je zaželeno imeti oba vmesnika RJ45 zaradi enostavnosti in poceni povezave ter SFP za izbiro med optično povezavo in sukanim parom.

Ta naprava mora biti:

produktivno, prilagojeno nenadni spremembi obremenitve;
z jasnim vmesnikom;
z bogatim, a ne odvečnim številom vgrajenih funkcij, vključno s tistimi, ki so povezane z varnostjo;
z možnostjo gradnje shem, odpornih na napake - podvajanje kanalov in podvajanje naprav;
podporno upravljanje, tako da se celotna razvejana infrastruktura v obliki centralnega vozlišča in perifernih naprav upravlja z ene točke;
kot "češnja na torti" - podpora sodobnim trendom, kot je integracija z oblačnimi viri ipd.

ZyWALL VPN1000 kot osrednje vozlišče omrežja

Ko prvič pogledate ZyWALL VPN1000, lahko vidite, da vrata v Zyxelu niso prizanesla.

Imamo:

12 nastavljivih vrat RJ-45 (GBE);
2 nastavljiva SFP vrata (GBE);
2 vrata USB 3.0 s podporo za modeme 3G/4G.

Slika 1. Splošni pogled na ZyWALL VPN1000.

Takoj je treba opozoriti, da naprava ni za domačo pisarno, predvsem zaradi učinkovitih ventilatorjev. Tukaj so štirje.

Slika 2. Zadnja plošča ZyWALL VPN1000.

Poglejmo, kako izgleda vmesnik.

Takoj je vredno biti pozoren na pomembno okoliščino. Funkcij je veliko in jih v okviru enega članka ne bo mogoče podrobno opisati. Toda dobro pri izdelkih Zyxel je, da obstaja zelo podrobna dokumentacija, najprej uporabniški (skrbniški) priročnik. Da bi dobili predstavo o bogastvu funkcij, poglejmo samo zavihke.

Privzeto so vrata 1 in vrata 2 dodeljena WAN-u. Od tretjega pristanišča so vmesniki za lokalno omrežje.

3. vrata s privzetim IP 192.168.1.1 so povsem primerna za povezavo.

Priključimo patch kabel, pojdite na naslov https://192.168.1.1 in lahko opazujete okno za registracijo uporabnika spletnega vmesnika.

Obvestilo. Za upravljanje lahko uporabite sistem upravljanja v oblaku SD-WAN.

Slika 3. Okno za vnos prijave in gesla

Gremo skozi postopek vnosa prijave in gesla in na zaslonu dobimo okno nadzorne plošče. Pravzaprav, kot bi moralo biti za nadzorno ploščo - največ operativnih informacij na vsakem koščku prostora na zaslonu.

Slika 4. ZyWALL VPN1000 – Nadzorna plošča.

Zavihek za hitro nastavitev (čarovniki)

V vmesniku sta dva pomočnika: za konfiguracijo WAN in konfiguracijo VPN. Pravzaprav so pomočniki dobra stvar, saj vam omogočajo, da izvajate nastavitve predloge, ne da bi sploh imeli izkušnje z napravo. No, za tiste, ki želijo več, kot je navedeno zgoraj, je na voljo podrobna dokumentacija.

Slika 5. Zavihek Hitra nastavitev.

Zavihek za spremljanje

Očitno so se inženirji iz Zyxela odločili slediti načelu: spremljamo vse, kar je mogoče. Seveda napravi, ki deluje kot osrednje vozlišče, popoln nadzor prav nič ne škodi.

Že samo z razširitvijo vseh elementov na stranski vrstici bogastvo izbire postane očitno.

Slika 6. Zavihek Spremljanje z razširjenimi podpostavkami.

Zavihek Konfiguracija

Tukaj je bogastvo funkcij še bolj očitno.

Na primer, upravljanje vrat naprave je zelo lepo oblikovano.

Slika 7. Zavihek Konfiguracija z razširjenimi podpostavkami.

Zavihek Vzdrževanje

Vsebuje pododdelke za posodabljanje vdelane programske opreme, diagnostiko, ogled pravil usmerjanja in zaustavitev.

Te funkcije so pomožne narave in so tako ali drugače prisotne v skoraj vsaki omrežni napravi.

Slika 8. Zavihek Vzdrževanje z razširjenimi podpostavkami.

Primerjalne značilnosti

Naš pregled bi bil nepopoln brez primerjave z drugimi analogi.

Spodaj je tabela najbližjih analogov ZyWALL VPN1000 in seznam funkcij za primerjavo.

Tabela 1. Primerjava ZyWALL VPN1000 z analogi.

Pojasnila za tabelo 1:

*1: Potrebna je licenca

*2: Low Touch Provision: skrbnik mora najprej lokalno konfigurirati napravo pred ZTP.

*3: Na podlagi seje: DPS bo veljal samo za novo sejo; to ne bo vplivalo na trenutno sejo.

Kot lahko vidite, analogi na nek način dohitevajo junaka našega pregleda, na primer, Fortinet FG‑100E ima tudi vgrajeno optimizacijo WAN, Meraki MX100 pa ima vgrajen AutoVPN (site-to-site) funkcija, vendar na splošno ZyWALL VPN1000 nedvoumno vodi.

Smernice za izbiro naprav za centralno mesto (ne samo Zyxel)

Pri izbiri naprav za organizacijo osrednjega vozlišča obsežnega omrežja s številnimi podružnicami se je treba osredotočiti na številne parametre: tehnične zmogljivosti, enostavnost upravljanja, varnost in odpornost na napake.

Širok nabor funkcij, veliko število fizičnih vrat z možnostjo prilagodljive konfiguracije: WAN, LAN, DMZ in prisotnost drugih lepih funkcij, kot je krmilnik za upravljanje dostopne točke, vam omogočajo, da zaprete veliko nalog hkrati.

Pomembno vlogo igra razpoložljivost dokumentacije in priročen vmesnik za upravljanje.

S tako na videz preprostimi stvarmi pri roki ni tako težko ustvariti omrežnih infrastruktur, ki zajamejo različna spletna mesta in lokacije, uporaba oblaka SD-WAN pa vam omogoča, da to storite čim bolj fleksibilno in varno.