Vad ska man titta efter när man väljer en VPN-router för ett distribuerat nätverk? Och vilka funktioner ska den ha? Det här är vad vår recension av ZyWALL VPN1000 är tillägnad.
Inledning
Dessförinnan ägnades de flesta av våra publikationer till junior VPN-enheter för åtkomst till nätverket från kringutrustning. Till exempel för att koppla ihop olika filialer med huvudkontoret, tillgång till nätverket av små oberoende företag eller till och med privata hus. Det är dags att prata om den centrala noden för ett distribuerat nätverk.
Det är uppenbart att det inte kommer att fungera att bygga ett modernt nätverk av ett stort företag endast på basis av enheter i ekonomiklass. Och organisera en molntjänst för att tillhandahålla tjänster till konsumenter – också. Någonstans måste det installeras utrustning som kan betjäna ett stort antal kunder samtidigt. Den här gången kommer vi att prata om en sådan enhet - Zyxel VPN1000.
För både stora och små deltagare i nätverksutbytet kan kriterier urskiljas genom vilka en viss enhets lämplighet för att lösa ett problem bedöms.
Nedan är de viktigaste:
- tekniska och funktionella möjligheter;
- kontrollera;
- säkerhet;
- feltolerans.
Det är svårt att skilja på vad som är viktigare och vad som kan göras utan. Allt behövs. Om enheten, enligt något kriterium, inte når upp till kravnivån är detta behäftat med problem i framtiden.
Vissa funktioner hos enheter som är utformade för att säkerställa driften av centrala noder och utrustning som huvudsakligen verkar i periferin kan skilja sig avsevärt.
För den centrala noden kommer datorkraften först - detta leder till forcerad kylning och därför fläktljud. För kringutrustning, som vanligtvis finns i kontor och bostadsområden, är bullrig drift nästan oacceptabel.
En annan intressant punkt är fördelningen av hamnar. I kringutrustning är det mer eller mindre tydligt hur det kommer att användas och hur många klienter som kommer att anslutas. Därför kan du ställa in hård partitionering av portar på WAN, LAN, DMZ, utföra en hård bindning till protokollet och så vidare. Det finns ingen sådan säkerhet i den centrala noden. Till exempel lade de till ett nytt nätverkssegment som kräver anslutning via ett eget gränssnitt – och hur gör man det? Detta kräver en mer universell lösning med möjlighet att flexibelt konfigurera gränssnitt.
En viktig nyans är mättnaden av enheten med olika funktioner. Naturligtvis finns det fördelar med att ha en utrustning som gör ett enda jobb bra. Men den mest intressanta situationen börjar när du behöver ta ett steg till vänster, ett steg till höger. Naturligtvis kan du dessutom köpa en annan målenhet för varje ny uppgift. Och så vidare tills budgeten eller hyllutrymmet tar slut.
Däremot låter en utökad uppsättning funktioner dig klara dig med en enhet när du löser flera problem. Till exempel stöder ZyWALL VPN1000 flera typer av VPN-anslutningar, inklusive SSL och IPsec VPN, samt fjärranslutningar för anställda. Det vill säga, en "bit av järn" stänger problemen med både inter-site och klientförbindelser. Men det finns ett "men". För att detta ska fungera måste du ha en prestationsmarginal. Till exempel, i fallet med ZyWALL VPN1000, ger IPsec VPN-hårdvarukärnan hög VPN-tunnelprestanda, medan VPN-balansering/redundans med SHA-2 och IKEv2-algoritmer säkerställer hög tillförlitlighet och affärssäkerhet.
Nedan listas några användbara funktioner som täcker en eller flera av de anvisningar som beskrivs ovan.
SD-WAN tillhandahåller en plattform för molnhantering, som drar fördel av centraliserad hantering av kommunikation mellan platser med möjlighet att fjärrstyra och övervaka. ZyWALL VPN1000 stöder också lämpligt driftläge där avancerade VPN-funktioner krävs.
Stöd för molnplattformar för kritiska tjänster. ZyWALL VPN1000 är validerad för användning med Microsoft Azure och AWS. Användningen av förvaliderade enheter är att föredra för alla organisationsnivåer, särskilt om IT-infrastrukturen använder en kombination av lokalt nätverk och moln.
Innehållsfiltrering ökar säkerheten genom att blockera åtkomst till skadliga eller oönskade webbplatser. Förhindrar att skadlig programvara laddas ner från opålitliga eller hackade webbplatser. När det gäller ZyWALL VPN1000 ingår en årlig licens för denna tjänst omedelbart i paketet.
Geopolicyer (GeoIP) låter dig spåra trafik och analysera platsen för IP-adresser, vilket nekar åtkomst från onödiga eller potentiellt farliga regioner. En årlig licens för denna tjänst ingår också vid köp av enheten.
Hantering av trådlöst nätverk ZyWALL VPN1000 inkluderar en trådlös nätverkskontroller som låter dig hantera upp till 1032 åtkomstpunkter från ett centraliserat användargränssnitt. Företag kan distribuera eller utöka ett hanterat Wi-Fi-nätverk med minimal ansträngning. Det är värt att notera att siffran 1032 är verkligen mycket. Baserat på det faktum att upp till 10 användare kan ansluta till en åtkomstpunkt erhålls en ganska imponerande siffra.
Balansering och redundans. VPN-serien stöder lastbalansering och redundans över flera externa gränssnitt. Det vill säga att du kan ansluta flera kanaler från flera leverantörer och på så sätt skydda dig mot kommunikationsproblem.
Enhetsredundansförmåga (Device HA) för en non-stop anslutning, även när en av enheterna misslyckas. Det är svårt att klara sig utan det om du behöver organisera arbetet 24/7 med minimal stilleståndstid.
Zyxel Device HA Pro är inne aktiv passiv, vilket inte kräver en komplicerad installationsprocedur. Detta gör att du kan sänka inträdeströskeln och omedelbart börja använda reservationen. Till skillnad från aktiv/aktivnär en systemadministratör behöver genomgå ytterligare utbildning, kunna konfigurera dynamisk routing, förstå vad asymmetriska paket är osv. - lägesinställning aktiv passiv mycket lättare och mindre tidskrävande.
När du använder Zyxel Device HA Pro utbyter enheter signaler hjärtslag genom en dedikerad port. Aktiva och passiva enhetsportar för hjärtslag ansluten via en Ethernet-kabel. Den passiva enheten synkroniserar information helt med den aktiva enheten. I synnerhet är alla sessioner, tunnlar, användarkonton synkroniserade mellan enheter. Dessutom behåller den passiva enheten en säkerhetskopia av konfigurationsfilen om den aktiva enheten skulle misslyckas. Således, i händelse av ett fel på huvudenheten, är övergången sömlös.
Det bör noteras att i aktiva system/ aktiv du måste fortfarande reservera 20-25 % av systemresurserna för failover. På aktiv passiv en enhet är helt i standby-läge och är redo att omedelbart bearbeta nätverkstrafik och bibehålla normal nätverksdrift.
Enkelt uttryckt: ”När du använder Zyxel Device HA Pro och har en backupkanal är verksamheten skyddad både från kommunikationsbortfall på grund av leverantörens fel och från problem till följd av ett routerfel.
Sammanfattar allt ovanstående
För den centrala noden i ett distribuerat nätverk är det bättre att använda en enhet med ett visst utbud av portar (anslutningsgränssnitt). Samtidigt är det önskvärt att ha både RJ45-gränssnitt för enkelhet och billighet i anslutningen, och SFP för att välja mellan fiberoptisk anslutning och tvinnat par.
Denna enhet måste vara:
- produktiv, anpassad till en abrupt förändring i belastningen;
- med ett tydligt gränssnitt;
- med ett rikt men inte överflödigt antal inbyggda funktioner, inklusive de som är relaterade till säkerhet;
- med förmågan att bygga feltoleranta system - duplicering av kanaler och duplicering av enheter;
- stödjande förvaltning, så att hela den förgrenade infrastrukturen i form av en central nod och kringutrustning hanteras från en punkt;
- som "grädde på moset" - stöd för moderna trender som integration med molnresurser och så vidare.
ZyWALL VPN1000 som den centrala noden i nätverket
När du först tittar på ZyWALL VPN1000 kan du se att portarna i Zyxel inte var skonade.
Vi har:
-
12 konfigurerbara RJ-45-portar (GBE);
-
2 konfigurerbara SFP-portar (GBE);
-
2 USB 3.0-portar med stöd för 3G/4G-modem.
Figur 1. Allmän vy av ZyWALL VPN1000.
Det bör genast noteras att enheten inte är för ett hemmakontor, främst på grund av de effektiva fläktarna. Det finns fyra av dem här.
Bild 2. Baksidan av ZyWALL VPN1000.
Låt oss se hur gränssnittet ser ut.
Omedelbart är det värt att uppmärksamma en viktig omständighet. Det finns många funktioner, och det kommer inte att vara möjligt att beskriva i detalj inom ramen för en artikel. Men det som är bra med Zyxels produkter är att det finns mycket detaljerad dokumentation, först och främst användarmanualen (administratören). Så för att få en uppfattning om rikedomen av funktioner, låt oss bara gå igenom flikarna.
Som standard är port 1 och port 2 tilldelade WAN. Från den tredje porten finns det gränssnitt för det lokala nätverket.
Den 3:e porten med standard IP 192.168.1.1 är ganska lämplig för anslutning.
Vi ansluter patchkabeln, gå till adressen och du kan se användarregistreringsfönstret för webbgränssnittet.
Notera. För hantering kan du använda SD-WAN molnhanteringssystem.
Figur 3. Fönstret för inloggning och lösenord
Vi går igenom proceduren för att ange inloggning och lösenord och får upp fönstret Dashboard på skärmen. Egentligen, som det borde vara för Dashboard - maximal operativ information på varje bit av skärmutrymme.
Figur 4. ZyWALL VPN1000 - Dashboard.
Fliken Snabbinställningar (guider)
Det finns två assistenter i gränssnittet: för att konfigurera WAN och konfigurera VPN. Faktum är att assistenter är bra, de låter dig utföra mallinställningar utan att ens ha erfarenhet av enheten. Jo, för den som vill ha mer, som nämnt ovan, finns det detaljerad dokumentation.
Figur 5. Fliken Snabbinstallation.
Fliken Övervakning
Tydligen bestämde sig ingenjörerna från Zyxel för att följa principen: vi övervakar allt som är möjligt. Naturligtvis, för en enhet som fungerar som en central nod, skadar total kontroll inte alls.
Även bara genom att utöka alla objekt på sidofältet blir rikedomen i valet uppenbar.
Figur 6. Övervakningsfliken med utökade underposter.
Fliken Konfiguration
Här är rikedomen av funktioner ännu tydligare.
Till exempel är enhetsporthanteringen väldigt snyggt designad.
Figur 7. Konfigurationsflik med utökade underposter.
Fliken Underhåll
Innehåller underavsnitt för uppdatering av firmware, diagnostik, visning av routingregler och avstängning.
Dessa funktioner är av hjälpkaraktär och finns på ett eller annat sätt i nästan alla nätverksenheter.
Figur 8. Underhållsflik med utökade underposter.
Сравнительные характеристики
Vår recension skulle vara ofullständig utan en jämförelse med andra analoger.
Nedan finns en tabell över närmaste analoger till ZyWALL VPN1000 och en lista över funktioner för jämförelse.
Tabell 1. Jämförelse av ZyWALL VPN1000 med analoger.
Förklaringar till tabell 1:
*1: Licens krävs
*2: Low Touch Provision: Administratören måste först konfigurera enheten lokalt före ZTP.
*3: Sessionsbaserad: DPS kommer endast att gälla för en ny session; det kommer inte att påverka den aktuella sessionen.
Som du kan se, kommer analoger ikapp hjälten i vår recension på vissa sätt, till exempel har Fortinet FG-100E också inbyggd WAN-optimering, och Meraki MX100 har en inbyggd AutoVPN (site-to-site) funktion, men i allmänhet är ZyWALL VPN1000 otvetydigt i täten.
Riktlinjer för val av enheter för den centrala platsen (inte bara Zyxel)
När man väljer enheter för att organisera en central nod i ett omfattande nätverk med många grenar, bör man fokusera på ett antal parametrar: teknisk kapacitet, enkel hantering, säkerhet och feltolerans.
Ett brett utbud av funktioner, ett stort antal fysiska portar med möjlighet till flexibel konfiguration: WAN, LAN, DMZ och närvaron av andra trevliga funktioner, såsom en åtkomstpunktshanteringskontroller, gör att du kan stänga många uppgifter samtidigt.
En viktig roll spelas av tillgången på dokumentation och ett bekvämt hanteringsgränssnitt.
Med så till synes enkla saker till hands är det inte så svårt att skapa nätverksinfrastrukturer som fångar olika platser och platser, och användningen av SD-WAN-molnet gör att du kan göra detta så flexibelt och säkert som möjligt.
Användbara länkar
Källa: will.com