🥇Merimangat e rrjetit ose nyja qendrore e një rrjeti të shpërndarë

Çfarë duhet të kërkoni kur zgjidhni një ruter VPN për një rrjet të shpërndarë? Dhe çfarë funksionesh duhet të ketë? Kjo është ajo që i kushtohet rishikimit tonë ZyWALL VPN1000.

Paraqitje

Më parë, shumica e botimeve tona i kushtoheshin pajisjeve VPN të nivelit të ulët për akses në rrjet nga faqet periferike. Për shembull, për të lidhur degë të ndryshme me selinë, akses në Rrjetin e kompanive të vogla të pavarura, apo edhe shtëpi private. Është koha për të folur për nyjen qendrore për rrjetin e shpërndarë.

Është e qartë se nuk do të jetë e mundur të ndërtohet një rrjet modern i një ndërmarrje të madhe vetëm në bazë të pajisjeve të klasit ekonomik. Dhe organizoni një shërbim cloud për të ofruar shërbime edhe për konsumatorët. Diku duhet të ketë pajisje të instaluara që mund t'i shërbejnë një numri të madh klientësh në të njëjtën kohë. Këtë herë do të flasim për një pajisje të tillë - Zyxel VPN1000.

Për pjesëmarrësit e mëdhenj dhe të vegjël në shkëmbimin e rrjetit, është e mundur të identifikohen kriteret me të cilat vlerësohet përshtatshmëria e një pajisjeje të veçantë për zgjidhjen e një problemi.

Më poshtë janë ato kryesore:

aftësitë teknike dhe funksionale;
menaxhimi;
sigurisë;
toleranca ndaj gabimeve.

Është e vështirë të përcaktohet se çfarë është më e rëndësishme dhe çfarë mund të bëhet pa. Gjithçka është e nevojshme. Nëse pajisja nuk i plotëson kërkesat sipas disa kritereve, kjo është e mbushur me probleme në të ardhmen.

Sidoqoftë, disa veçori të pajisjeve të dizajnuara për të siguruar funksionimin e njësive qendrore dhe pajisjeve që funksionojnë kryesisht në periferi mund të ndryshojnë ndjeshëm.

Për nyjen qendrore, fuqia llogaritëse vjen e para - kjo çon në ftohje të detyruar, dhe, rrjedhimisht, zhurmë nga tifozi. Për pajisjet periferike, të cilat zakonisht ndodhen në zyra dhe shtëpi, funksionimi i zhurmshëm është pothuajse i papranueshëm.

Një pikë tjetër interesante është shpërndarja e porteve. Në pajisjet periferike është pak a shumë e qartë se si do të përdoret dhe sa klientë do të lidhen. Prandaj, mund të vendosni një ndarje strikte të porteve në WAN, LAN, DMZ, të lidheni rreptësisht me protokollin, etj. Nuk ka një siguri të tillë në qendrën qendrore. Për shembull, ne shtuam një segment të ri rrjeti që kërkon lidhje përmes ndërfaqes së tij - dhe si ta bëjmë këtë? Kjo kërkon një zgjidhje më universale me aftësinë për të konfiguruar në mënyrë fleksibël ndërfaqet.

Një nuancë e rëndësishme është se pajisja është e pasur me funksione të ndryshme. Natyrisht, qasja për të pasur një pajisje të kryer mirë një detyrë të vetme ka avantazhet e saj. Por situata më interesante fillon kur ju duhet të bëni një hap në të majtë, një hap në të djathtë. Sigurisht, me çdo detyrë të re mund të blini gjithashtu një pajisje tjetër të synuar. Dhe kështu me radhë derisa buxheti ose hapësira e raftit të mbarojë.

Në të kundërt, një grup i zgjeruar funksionesh ju lejon të kaloni me një pajisje kur zgjidhni disa çështje. Për shembull, ZyWALL VPN1000 mbështet lloje të shumta lidhjesh VPN, duke përfshirë SSL dhe IPsec VPN, si dhe lidhje në distancë për punonjësit. Kjo do të thotë, një pjesë e harduerit mbulon çështjet e lidhjeve ndër-site dhe klientit. Por ka një "por". Që kjo të funksionojë, duhet të keni një rezervë të performancës. Për shembull, në rastin e ZyWALL VPN1000, bërthama e harduerit IPsec VPN siguron performancë të lartë të tunelit VPN dhe balancimi/teprica e VPN me algoritmet SHA-2 dhe IKEv2 ofron besueshmëri dhe siguri të lartë për biznesin.

Më poshtë janë renditur disa veçori të dobishme që mbulojnë një ose më shumë nga fushat e përshkruara më sipër.

SD WAN ofron një platformë për menaxhimin e cloud, duke përfituar përfitimet e menaxhimit të centralizuar të komunikimeve midis faqeve me aftësinë për të kontrolluar dhe monitoruar nga distanca. ZyWALL VPN1000 gjithashtu mbështet mënyrën përkatëse të funksionimit ku kërkohen funksione të avancuara VPN.

Mbështetje për platformat cloud për shërbime kritike për misionin. ZyWALL VPN1000 është testuar për përdorim me Microsoft Azure dhe AWS. Përdorimi i pajisjeve të para-testuara është i preferueshëm për një organizatë të çdo niveli, veçanërisht nëse infrastruktura e TI-së përdor një kombinim të rrjetit lokal dhe cloud.

Filtrimi i përmbajtjes Forcon sigurinë duke bllokuar aksesin në faqet e internetit me qëllim të keq ose të padëshiruar. Parandalon shkarkimin e malware nga faqet e pabesuara ose të hakuara. Në rastin e ZyWALL VPN1000, një licencë vjetore për këtë shërbim është përfshirë tashmë në paketë.

Gjeopolitika (Geo IP) ju lejon të monitoroni trafikun dhe të analizoni vendndodhjen e adresave IP, duke mohuar aksesin nga rajone të panevojshme ose potencialisht të rrezikshme. Një licencë vjetore për këtë shërbim përfshihet gjithashtu gjatë blerjes së pajisjes.

Menaxhimi i rrjetit pa tela ZyWALL VPN1000 përfshin një kontrollues rrjeti pa tel që ju lejon të menaxhoni deri në 1032 pika aksesi nga një ndërfaqe e centralizuar e përdoruesit. Ndërmarrjet mund të vendosin ose zgjerojnë një rrjet të menaxhuar Wi-Fi me përpjekje minimale. Vlen të përmendet se numri 1032 është vërtet shumë. Bazuar në llogaritjen se deri në 10 përdorues mund të lidhen me një pikë aksesi, kjo është një shifër mjaft mbresëlënëse.

Balancim dhe tepricë. Seria VPN mbështet balancimin e ngarkesës dhe tepricën në ndërfaqe të shumta të jashtme. Kjo do të thotë, ju mund të lidhni disa kanale nga disa ofrues, duke mbrojtur kështu veten nga problemet e komunikimit.

Mundësia e tepricës së pajisjes (Pajisja HA) për lidhje pa ndërprerje, edhe kur njëra nga pajisjet dështon. Është e vështirë të bësh pa këtë nëse duhet të organizosh punën 24/7 me kohë minimale joproduktive.

Zyxel Device HA Pro funksionon në aktiv/pasiv, e cila nuk kërkon një procedurë komplekse konfigurimi. Kjo ju lejon të ulni pragun e hyrjes dhe të filloni menjëherë të përdorni rezervimin. Ndryshe nga aktiv/aktiv, kur administratori i sistemit duhet t'i nënshtrohet trajnimit shtesë, të jetë në gjendje të konfigurojë kursin dinamik, të kuptojë se çfarë janë paketat asimetrike, etj. — konfigurimi i modalitetit aktiv/pasiv Punon shumë më lehtë dhe kërkon më pak kohë.

Kur përdorni Zyxel Device HA Pro, pajisjet shkëmbejnë sinjale rrahje zemre nëpërmjet një porti të dedikuar. Portet e pajisjes aktive dhe pasive për rrahje zemre i lidhur nëpërmjet një kablloje Ethernet. Pajisja pasive sinkronizon plotësisht informacionin me pajisjen aktive. Në veçanti, të gjitha seancat, tunelet dhe llogaritë e përdoruesve sinkronizohen ndërmjet pajisjeve. Përveç kësaj, pajisja pasive ruan një kopje rezervë të skedarit të konfigurimit në rast se pajisja aktive dështon. Kjo siguron një tranzicion pa probleme në rast të një dështimi parësor të pajisjes.

Vlen të theksohet se në sistemet aktive/ aktive ju ende duhet të rezervoni 20-25% të burimeve të sistemit për dështim. Në aktiv/pasiv një pajisje është tërësisht në gjendje gatishmërie dhe është gati të përpunojë menjëherë trafikun e rrjetit dhe të mbajë funksionimin normal të rrjetit.

Me fjalë të thjeshta: "Kur përdorni pajisjen Zyxel HA Pro dhe keni një kanal rezervë, biznesi mbrohet si nga humbja e komunikimit për shkak të fajit të ofruesit, ashtu edhe nga problemet që vijnë nga dështimi i ruterit.

Duke përmbledhur të gjitha sa më sipër

Për nyjen qendrore të një rrjeti të shpërndarë, është më mirë të përdorni një pajisje me një furnizim të caktuar portash (ndërfaqe lidhëse). Në këtë rast, është e dëshirueshme që të keni të dy ndërfaqet RJ45 për thjeshtësi dhe lidhje me kosto efektive, dhe SFP për zgjedhjen midis një lidhjeje me fibër optike dhe çiftit të përdredhur.

Kjo pajisje duhet të jetë:

produktiv, i përshtatur ndaj ndryshimeve të papritura të ngarkesës;
me një ndërfaqe të qartë;
me një numër të pasur, por jo të tepërt funksionesh të integruara, përfshirë ato që lidhen me sigurinë;
me aftësinë për të ndërtuar qarqe tolerante ndaj gabimeve - dyfishimi i kanaleve dhe dyfishimi i pajisjes;
mbështetjen e menaxhimit në mënyrë që e gjithë infrastruktura e degëzuar në formën e një nyje qendrore dhe pajisjeve periferike të mund të menaxhohet nga një pikë;
si "qershi mbi tortë" - mbështetje për tendencat moderne si integrimi me burimet cloud etj.

ZyWALL VPN1000 si nyja qendrore e rrjetit

Në shikim të parë në ZyWALL VPN1000, është e qartë se Zyxel nuk kurseu porte.

Ne kemi:

12 porte RJ‑45 (GBE) të konfigurueshme;
2 porte SFP të konfigurueshme (GBE);
2 porte USB 3.0 me mbështetje për modemet 3G/4G.

Figura 1. Pamje e përgjithshme e ZyWALL VPN1000.

Duhet të theksohet menjëherë se pajisja nuk është për një zyrë në shtëpi, kryesisht për shkak të tifozëve të fuqishëm. Këtu janë katër prej tyre.

Figura 2. Paneli i pasmë ZyWALL VPN1000.

Le të shohim se si duket ndërfaqja.

Duhet t'i kushtoni vëmendje menjëherë një rrethane të rëndësishme. Ka shumë funksione dhe nuk do të jetë e mundur t'i përshkruani ato në detaje në një artikull. Por ajo që është e mirë për produktet Zyxel është se ka dokumentacion shumë të detajuar, para së gjithash, manualin e përdoruesit (administratorit). Prandaj, për të marrë një ide mbi pasurinë e funksioneve, le të kalojmë vetëm nëpër skeda.

Si parazgjedhje, porta 1 dhe porta 2 i caktohen WAN. Duke filluar nga porti i tretë ka ndërfaqe për rrjetin lokal.

Porta e tretë me IP të paracaktuar 3 është mjaft e përshtatshme për lidhje.

Ne lidhim patchcord, shkoni në adresë https://192.168.1.1 dhe mund të vëzhgoni dritaren e regjistrimit të përdoruesit të ndërfaqes së internetit.

Shënim. Për menaxhim, mund të përdorni sistemin e menaxhimit të cloud SD-WAN.

Figura 3. Dritarja për futjen e hyrjes dhe fjalëkalimit

Ne kalojmë procedurën e futjes së hyrjes dhe fjalëkalimit dhe marrim dritaren e Panelit në ekran. Në fakt, siç duhet të jetë për një Pult - informacion maksimal operacional në çdo pjesë të hapësirës së ekranit.

Figura 4. ZyWALL VPN1000 - Paneli.

Skeda e konfigurimit të shpejtë (Wizards)

Ka dy asistentë në ndërfaqe: për konfigurimin e një WAN dhe vendosjen e një VPN. Në fakt, asistentët janë një gjë e mirë; ata ju lejojnë të kryeni cilësimet e shabllonit edhe pa pasur përvojë pune me pajisjen. Epo, për ata që duan më shumë, siç u përmend më lart, ka dokumentacion të detajuar.

Figura 5. Skeda e konfigurimit të shpejtë.

Skeda e monitorimit

Me sa duket, inxhinierët nga Zyxel vendosën të ndjekin parimin: ne monitorojmë gjithçka që mundemi. Sigurisht, për një pajisje që vepron si një qendër qendrore, kontrolli i plotë nuk do të dëmtojë aspak.

Edhe vetëm duke zgjeruar të gjithë artikujt në shiritin anësor, pasuria e zgjedhjes bëhet e dukshme.

Figura 6. Skeda Monitorimi me nën-artikuj të zgjeruar.

Skeda e konfigurimit

Këtu pasuria e funksioneve është edhe më e dukshme.

Për shembull, menaxhimi i portit të pajisjes është projektuar shumë bukur.

Figura 7. Skeda e konfigurimit me nën-artikuj të zgjeruar.

Skeda e mirëmbajtjes

Përmban nënseksione për përditësimin e firmuerit, diagnostikimin, shikimin e rregullave të rrugëtimit dhe mbylljen.

Këto funksione janë të një natyre ndihmëse dhe janë të pranishme në një shkallë ose në një tjetër në pothuajse çdo pajisje rrjeti.

Figura 8. Skeda e mirëmbajtjes me nën-artikuj të zgjeruar.

Karakteristikat krahasuese

Rishikimi ynë do të ishte i paplotë pa krahasim me analogët e tjerë.

Më poshtë është një tabelë e analogëve më të afërt me ZyWALL VPN1000 dhe një listë funksionesh për krahasim.

Tabela 1. Krahasimi i ZyWALL VPN1000 me analogët.

Shpjegime për tabelën 1:

*1: Kërkohet licencë

*2: Sigurimi i ulët me prekje: Administratori duhet së pari të konfigurojë pajisjen në nivel lokal përpara ZTP.

*3: Bazuar në sesion: DPS do të zbatohet vetëm për sesionin e ri; kjo nuk do të ndikojë në seancën aktuale.

Siç mund ta shihni, në një farë mënyre analogët po kapin hapin me heroin e rishikimit tonë, për shembull, Fortinet FG‑100E gjithashtu ka optimizim të integruar WAN, dhe Meraki MX100 ka një AutoVPN të integruar (site-to -site) funksion, por në përgjithësi, ZyWALL VPN1000 është i paqartë në grupin e tij gjithëpërfshirës të funksioneve është në krye.

Rekomandime kur zgjidhni pajisje për nyjen qendrore (jo vetëm Zyxel)

Kur zgjidhni pajisje për organizimin e nyjës qendrore të një rrjeti të gjerë me shumë degë, duhet të përqendroheni në një numër parametrash: aftësitë teknike, lehtësinë e menaxhimit, sigurinë dhe tolerancën e gabimeve.

Një gamë e gjerë funksionesh, një numër i madh portash fizike me konfigurim fleksibël: WAN, LAN, DMZ dhe prania e funksioneve të tjera të këndshme, si një kontrollues i menaxhimit të pikave të hyrjes, ju lejojnë të përfundoni shumë detyra menjëherë.

Një rol të rëndësishëm luhet nga disponueshmëria e dokumentacionit dhe një ndërfaqe e përshtatshme menaxhimi.

Duke pasur gjëra të tilla në dukje të thjeshta në dorë, nuk është aq e vështirë të krijosh infrastruktura rrjeti që përfshijnë site dhe vendndodhje të ndryshme, dhe përdorimi i resë SD-WAN ju lejon ta bëni këtë me fleksibilitet dhe siguri maksimale.