สิ่งที่ต้องมองหาเมื่อเลือกเราเตอร์ VPN สำหรับเครือข่ายแบบกระจาย? และควรมีฟังก์ชั่นอะไรบ้าง? นี่คือสิ่งที่รีวิว ZyWALL VPN1000 ของเราให้ความสำคัญ
การแนะนำ
ก่อนหน้านี้ สิ่งพิมพ์ส่วนใหญ่ของเราจัดทำขึ้นเพื่ออุปกรณ์ VPN ระดับล่างสำหรับการเข้าถึงเครือข่ายจากไซต์ต่อพ่วง เช่น การเชื่อมต่อสาขาต่างๆ กับสำนักงานใหญ่ การเข้าถึงเครือข่ายของบริษัทอิสระขนาดเล็ก หรือแม้แต่บ้านส่วนตัว ถึงเวลาที่จะพูดคุยเกี่ยวกับโหนดกลางสำหรับเครือข่ายแบบกระจาย
เป็นที่ชัดเจนว่าเป็นไปไม่ได้ที่จะสร้างเครือข่ายสมัยใหม่ขององค์กรขนาดใหญ่โดยใช้อุปกรณ์ระดับประหยัดเท่านั้น และจัดบริการคลาวด์เพื่อให้บริการแก่ผู้บริโภคด้วย จะต้องมีการติดตั้งอุปกรณ์ที่สามารถรองรับลูกค้าจำนวนมากได้ในเวลาเดียวกัน คราวนี้เราจะพูดถึงอุปกรณ์ดังกล่าว - Zyxel VPN1000
สำหรับผู้เข้าร่วมการแลกเปลี่ยนเครือข่ายทั้งรายใหญ่และรายเล็ก สามารถระบุเกณฑ์ในการประเมินความเหมาะสมของอุปกรณ์เฉพาะในการแก้ปัญหาได้
ด้านล่างนี้คือรายการหลัก:
- ความสามารถด้านเทคนิคและการทำงาน
- ควบคุม;
- การรักษาความปลอดภัย
- ความอดทนต่อความผิดพลาด
เป็นการยากที่จะตัดสินว่าสิ่งใดสำคัญกว่าและสิ่งใดที่สามารถทำได้หากไม่มี ทุกสิ่งเป็นสิ่งจำเป็น หากอุปกรณ์ไม่ตรงตามข้อกำหนดตามเกณฑ์บางประการก็จะเต็มไปด้วยปัญหาในอนาคต
อย่างไรก็ตาม คุณสมบัติบางอย่างของอุปกรณ์ที่ออกแบบมาเพื่อให้แน่ใจว่าการทำงานของหน่วยส่วนกลางและอุปกรณ์ที่ทำงานบริเวณรอบนอกเป็นหลักอาจแตกต่างกันอย่างมาก
สำหรับโหนดกลาง พลังการประมวลผลมาก่อน ซึ่งนำไปสู่การระบายความร้อนแบบบังคับ และผลที่ตามมาคือเสียงรบกวนจากพัดลม สำหรับอุปกรณ์ต่อพ่วงซึ่งโดยทั่วไปจะอยู่ในสำนักงานและในบ้าน การทำงานที่มีเสียงดังแทบจะยอมรับไม่ได้
จุดที่น่าสนใจอีกประการหนึ่งคือการกระจายตัวของท่าเรือ ในอุปกรณ์ต่อพ่วงมีความชัดเจนว่าจะใช้อย่างไรและจะเชื่อมต่อไคลเอนต์จำนวนเท่าใด ดังนั้นคุณจึงสามารถตั้งค่าการแบ่งพอร์ตที่เข้มงวดเป็น WAN, LAN, DMZ, ผูกเข้ากับโปรโตคอลอย่างเคร่งครัด และอื่นๆ ไม่มีความแน่นอนดังกล่าวที่ศูนย์กลางศูนย์กลาง ตัวอย่างเช่น เราได้เพิ่มส่วนเครือข่ายใหม่ที่ต้องมีการเชื่อมต่อผ่านอินเทอร์เฟซของตัวเอง และต้องทำอย่างไร สิ่งนี้ต้องการโซลูชันที่เป็นสากลมากกว่าพร้อมความสามารถในการกำหนดค่าอินเทอร์เฟซที่ยืดหยุ่น
ความแตกต่างที่สำคัญคืออุปกรณ์มีฟังก์ชันต่างๆมากมาย แน่นอนว่าแนวทางการให้อุปกรณ์ชิ้นเดียวทำงานได้ดีก็มีข้อดีเช่นกัน แต่สถานการณ์ที่น่าสนใจที่สุดเริ่มต้นขึ้นเมื่อคุณต้องก้าวไปทางซ้ายก้าวไปทางขวา แน่นอนว่าในแต่ละงานใหม่คุณสามารถซื้ออุปกรณ์เป้าหมายเพิ่มเติมได้ และต่อไปเรื่อยๆ จนกว่างบประมาณหรือพื้นที่ชั้นวางจะหมด
ในทางตรงกันข้าม ชุดฟังก์ชันที่ขยายออกไปช่วยให้คุณสามารถใช้งานอุปกรณ์เครื่องเดียวเมื่อแก้ไขปัญหาต่างๆ ตัวอย่างเช่น ZyWALL VPN1000 รองรับการเชื่อมต่อ VPN หลายประเภท รวมถึง SSL และ IPsec VPN รวมถึงการเชื่อมต่อระยะไกลสำหรับพนักงาน นั่นคือฮาร์ดแวร์ชิ้นเดียวครอบคลุมปัญหาของการเชื่อมต่อข้ามไซต์และไคลเอนต์ แต่มีสิ่งหนึ่งที่ "แต่" เพื่อให้ได้ผล คุณต้องมีสำรองประสิทธิภาพ ตัวอย่างเช่น ในกรณีของ ZyWALL VPN1000 แกนฮาร์ดแวร์ IPsec VPN ให้ประสิทธิภาพอุโมงค์ VPN สูง และการปรับสมดุล/ความซ้ำซ้อนของ VPN ด้วยอัลกอริธึม SHA-2 และ IKEv2 ให้ความน่าเชื่อถือและความปลอดภัยสูงสำหรับธุรกิจ
รายการด้านล่างนี้เป็นคุณสมบัติที่มีประโยชน์ซึ่งครอบคลุมอย่างน้อยหนึ่งด้านที่อธิบายไว้ข้างต้น
SD WAN มอบแพลตฟอร์มสำหรับการจัดการระบบคลาวด์ โดยได้รับประโยชน์จากการจัดการการสื่อสารแบบรวมศูนย์ระหว่างไซต์ต่างๆ ด้วยความสามารถในการควบคุมและตรวจสอบจากระยะไกล ZyWALL VPN1000 ยังรองรับโหมดการทำงานที่สอดคล้องกันซึ่งจำเป็นต้องใช้ฟังก์ชัน VPN ขั้นสูง
รองรับแพลตฟอร์มคลาวด์สำหรับบริการที่มีความสำคัญต่อภารกิจ ZyWALL VPN1000 ได้รับการทดสอบเพื่อใช้กับ Microsoft Azure และ AWS การใช้อุปกรณ์ที่ผ่านการทดสอบล่วงหน้าจะดีกว่าสำหรับองค์กรทุกระดับ โดยเฉพาะอย่างยิ่งหากโครงสร้างพื้นฐานด้านไอทีใช้การผสมผสานระหว่างเครือข่ายท้องถิ่นและระบบคลาวด์
การกรองเนื้อหา เสริมสร้างความปลอดภัยด้วยการบล็อกการเข้าถึงเว็บไซต์ที่เป็นอันตรายหรือไม่พึงประสงค์ ป้องกันมัลแวร์ไม่ให้ดาวน์โหลดจากไซต์ที่ไม่น่าเชื่อถือหรือถูกแฮ็ก ในกรณีของ ZyWALL VPN1000 ใบอนุญาตรายปีสำหรับบริการนี้รวมอยู่ในแพ็คเกจแล้ว
ภูมิศาสตร์การเมือง (จีโอไอพี) ช่วยให้คุณสามารถตรวจสอบการรับส่งข้อมูลและวิเคราะห์ตำแหน่งของที่อยู่ IP โดยปฏิเสธการเข้าถึงจากภูมิภาคที่ไม่จำเป็นหรืออาจเป็นอันตราย ใบอนุญาตรายปีสำหรับบริการนี้จะรวมอยู่ด้วยเมื่อซื้ออุปกรณ์
การจัดการเครือข่ายไร้สาย ZyWALL VPN1000 มีตัวควบคุมเครือข่ายไร้สายที่ช่วยให้คุณสามารถจัดการจุดเชื่อมต่อได้มากถึง 1032 จุดจากอินเทอร์เฟซผู้ใช้แบบรวมศูนย์ องค์กรต่างๆ สามารถปรับใช้หรือขยายเครือข่าย Wi-Fi ที่มีการจัดการได้โดยใช้ความพยายามเพียงเล็กน้อย เป็นที่น่าสังเกตว่าหมายเลข 1032 นั้นเยอะมากจริงๆ จากการคำนวณว่าผู้ใช้สูงสุด 10 คนสามารถเชื่อมต่อกับจุดเข้าใช้งานจุดเดียว ตัวเลขนี้ค่อนข้างน่าประทับใจ
ความสมดุลและความซ้ำซ้อน. ซีรีส์ VPN รองรับการปรับสมดุลโหลดและความซ้ำซ้อนในอินเทอร์เฟซภายนอกหลายอินเทอร์เฟซ นั่นคือคุณสามารถเชื่อมต่อหลายช่องทางจากผู้ให้บริการหลายรายเพื่อป้องกันตัวเองจากปัญหาการสื่อสาร
ความเป็นไปได้ของการสำรองข้อมูลอุปกรณ์ (อุปกรณ์ HA) เพื่อการเชื่อมต่อที่ไม่หยุดนิ่ง แม้ว่าอุปกรณ์ตัวใดตัวหนึ่งจะล้มเหลวก็ตาม เป็นเรื่องยากที่จะทำโดยปราศจากสิ่งนี้ หากคุณต้องการจัดระเบียบงานตลอด 24 ชั่วโมงทุกวันโดยมีเวลาหยุดทำงานน้อยที่สุด
Zyxel Device HA Pro ทำงานที่ ใช้งานอยู่/ไม่โต้ตอบซึ่งไม่ต้องการขั้นตอนการตั้งค่าที่ซับซ้อน ซึ่งจะทำให้คุณสามารถลดเกณฑ์การเข้าร่วมและเริ่มใช้การจองได้ทันที ไม่เหมือน ใช้งานอยู่/ใช้งานอยู่เมื่อผู้ดูแลระบบจำเป็นต้องได้รับการฝึกอบรมเพิ่มเติม สามารถกำหนดค่าการกำหนดเส้นทางแบบไดนามิก ทำความเข้าใจว่าแพ็กเก็ตแบบอสมมาตรคืออะไร เป็นต้น — การตั้งค่าโหมด ใช้งานอยู่/ไม่โต้ตอบ มันทำงานง่ายกว่ามากและใช้เวลาน้อยลง
เมื่อใช้ Zyxel Device HA Pro อุปกรณ์จะแลกเปลี่ยนสัญญาณ การเต้นของหัวใจ ผ่านพอร์ตเฉพาะ พอร์ตอุปกรณ์ที่ใช้งานและพาสซีฟสำหรับ การเต้นของหัวใจ เชื่อมต่อผ่านสายอีเธอร์เน็ต อุปกรณ์แบบพาสซีฟจะซิงโครไนซ์ข้อมูลกับอุปกรณ์ที่ใช้งานโดยสมบูรณ์ โดยเฉพาะอย่างยิ่ง เซสชัน ทันเนล และบัญชีผู้ใช้ทั้งหมดจะถูกซิงโครไนซ์ระหว่างอุปกรณ์ต่างๆ นอกจากนี้ อุปกรณ์แบบพาสซีฟจะเก็บสำเนาสำรองของไฟล์การกำหนดค่าไว้ในกรณีที่อุปกรณ์ที่ใช้งานอยู่เกิดข้อผิดพลาด สิ่งนี้ทำให้แน่ใจได้ถึงการเปลี่ยนแปลงที่ราบรื่นในกรณีที่อุปกรณ์หลักล้มเหลว
เป็นที่น่าสังเกตว่าในระบบที่ใช้งานอยู่/ การใช้งาน คุณยังต้องสำรองทรัพยากรระบบ 20-25% สำหรับการเฟลโอเวอร์ ที่ ใช้งานอยู่/ไม่โต้ตอบ อุปกรณ์เครื่องหนึ่งอยู่ในสถานะสแตนด์บายโดยสิ้นเชิง และพร้อมที่จะประมวลผลการรับส่งข้อมูลเครือข่ายทันทีและรักษาการทำงานของเครือข่ายตามปกติ
กล่าวง่ายๆ ก็คือ “เมื่อใช้ Zyxel Device HA Pro และมีช่องสำรองข้อมูล ธุรกิจจะได้รับการคุ้มครองทั้งจากการสูญเสียการสื่อสารเนื่องจากความผิดพลาดของผู้ให้บริการ และจากปัญหาที่เกิดจากความล้มเหลวของเราเตอร์
สรุปทั้งหมดที่กล่าวมา
สำหรับโหนดกลางของเครือข่ายแบบกระจาย ควรใช้อุปกรณ์ที่มีพอร์ตจำนวนหนึ่ง (อินเทอร์เฟซการเชื่อมต่อ) ในกรณีนี้ ขอแนะนำให้มีทั้งอินเทอร์เฟซ RJ45 เพื่อความเรียบง่ายและการเชื่อมต่อที่คุ้มค่า และ SFP สำหรับการเลือกระหว่างการเชื่อมต่อไฟเบอร์ออปติกและคู่บิด
อุปกรณ์นี้จะต้อง:
- มีประสิทธิผลปรับให้เข้ากับการเปลี่ยนแปลงโหลดอย่างกะทันหัน
- ด้วยอินเทอร์เฟซที่ชัดเจน
- มีฟังก์ชันในตัวมากมายแต่ไม่มากเกินไป รวมถึงฟังก์ชันที่เกี่ยวข้องกับความปลอดภัย
- ด้วยความสามารถในการสร้างวงจรที่ทนต่อข้อผิดพลาด - การทำสำเนาช่องสัญญาณและการทำซ้ำอุปกรณ์
- สนับสนุนการจัดการเพื่อให้สามารถจัดการโครงสร้างพื้นฐานแบบแยกสาขาทั้งหมดในรูปแบบของโหนดกลางและอุปกรณ์ต่อพ่วงได้จากจุดเดียว
- เนื่องจาก “เชอร์รี่บนเค้ก” รองรับเทรนด์สมัยใหม่ เช่น การบูรณาการกับทรัพยากรคลาวด์ เป็นต้น
ZyWALL VPN1000 เป็นโหนดกลางของเครือข่าย
เมื่อดู ZyWALL VPN1000 ครั้งแรก เห็นได้ชัดว่า Zyxel ไม่ได้สำรองพอร์ตไว้
เรามี:
-
พอร์ต RJ-12 (GBE) ที่กำหนดค่าได้ 45 พอร์ต
-
2 พอร์ต SFP ที่กำหนดค่าได้ (GBE);
-
พอร์ต USB 2 จำนวน 3.0 พอร์ต รองรับโมเด็ม 3G/4G
รูปที่ 1 มุมมองทั่วไปของ ZyWALL VPN1000
ควรสังเกตทันทีว่าอุปกรณ์นี้ไม่ได้มีไว้สำหรับโฮมออฟฟิศเนื่องจากมีพัดลมอันทรงพลังเป็นหลัก มีสี่คนที่นี่
รูปที่ 2 แผงด้านหลัง ZyWALL VPN1000
มาดูกันว่าอินเทอร์เฟซมีลักษณะอย่างไร
คุณควรใส่ใจกับเหตุการณ์สำคัญทันที มีฟังก์ชั่นมากมายและไม่สามารถอธิบายรายละเอียดได้ในบทความเดียว แต่ข้อดีเกี่ยวกับผลิตภัณฑ์ของ Zyxel ก็คือมีเอกสารประกอบที่ละเอียดมาก อย่างแรกเลยคือคู่มือผู้ใช้ (ผู้ดูแลระบบ) ดังนั้น เพื่อให้เข้าใจถึงความมั่งคั่งของฟังก์ชันต่างๆ เรามาดูแท็บต่างๆ กันดีกว่า
ตามค่าเริ่มต้น พอร์ต 1 และพอร์ต 2 ถูกกำหนดให้กับ WAN เริ่มต้นจากพอร์ตที่สามจะมีอินเทอร์เฟซสำหรับเครือข่ายท้องถิ่น
พอร์ตที่ 3 ที่มี IP เริ่มต้น 192.168.1.1 ค่อนข้างเหมาะสำหรับการเชื่อมต่อ
เราเชื่อมต่อ patchcord ไปที่ที่อยู่ และคุณสามารถสังเกตหน้าต่างการลงทะเบียนผู้ใช้ของเว็บอินเตอร์เฟสได้
หมายเหตุ. สำหรับการจัดการ คุณสามารถใช้ระบบการจัดการคลาวด์ SD-WAN
รูปที่ 3 หน้าต่างสำหรับเข้าสู่ระบบและรหัสผ่าน
เราทำตามขั้นตอนการเข้าสู่ระบบและรหัสผ่านและรับหน้าต่างแดชบอร์ดบนหน้าจอ ที่จริงแล้วตามที่ควรจะเป็นสำหรับแดชบอร์ด - ข้อมูลการดำเนินงานสูงสุดบนทุกพื้นที่หน้าจอ
รูปที่ 4 ZyWALL VPN1000 - แดชบอร์ด
แท็บการตั้งค่าด่วน (วิซาร์ด)
อินเทอร์เฟซมีผู้ช่วยสองคน: สำหรับการตั้งค่า WAN และการตั้งค่า VPN ที่จริงแล้วผู้ช่วยเป็นสิ่งที่ดีเพราะอนุญาตให้คุณทำการตั้งค่าเทมเพลตแม้ว่าจะไม่มีประสบการณ์ในการทำงานกับอุปกรณ์ก็ตาม ส่วนใครอยากได้มากกว่านี้ดังที่กล่าวมาข้างต้นก็มีเอกสารประกอบโดยละเอียดครับ
รูปที่ 5. แท็บการตั้งค่าด่วน
แท็บการตรวจสอบ
เห็นได้ชัดว่าวิศวกรจาก Zyxel ตัดสินใจปฏิบัติตามหลักการ: เราตรวจสอบทุกสิ่งที่เราสามารถทำได้ แน่นอนว่าสำหรับอุปกรณ์ที่ทำหน้าที่เป็นศูนย์กลาง การควบคุมทั้งหมดจะไม่เสียหายแต่อย่างใด
แม้จะขยายรายการทั้งหมดบนแถบด้านข้าง ความมั่งคั่งของตัวเลือกก็ปรากฏชัดเจน
รูปที่ 6 แท็บการตรวจสอบพร้อมรายการย่อยที่ขยาย
แท็บการกำหนดค่า
ความมั่งคั่งของฟังก์ชันต่างๆ นี้ชัดเจนยิ่งขึ้น
ตัวอย่างเช่น การจัดการพอร์ตอุปกรณ์ได้รับการออกแบบมาอย่างสวยงามมาก
รูปที่ 7 แท็บการกำหนดค่าพร้อมรายการย่อยที่ขยาย
แท็บการบำรุงรักษา
มีส่วนย่อยสำหรับการอัพเดตเฟิร์มแวร์ การวินิจฉัย การดูกฎการกำหนดเส้นทาง และการปิดระบบ
ฟังก์ชั่นเหล่านี้มีลักษณะเสริมและมีอยู่ในระดับหนึ่งหรืออย่างอื่นในอุปกรณ์เครือข่ายเกือบทุกเครื่อง
รูปภาพ 8 แท็บการบำรุงรักษาพร้อมรายการย่อยแบบขยาย
ลักษณะเปรียบเทียบ
การตรวจสอบของเราจะไม่สมบูรณ์หากไม่มีการเปรียบเทียบกับแอนะล็อกอื่นๆ
ด้านล่างนี้เป็นตารางอะนาล็อกที่ใกล้กับ ZyWALL VPN1000 มากที่สุด และรายการฟังก์ชันสำหรับการเปรียบเทียบ
ตารางที่ 1. การเปรียบเทียบ ZyWALL VPN1000 กับแอนะล็อก
คำอธิบายสำหรับตารางที่ 1:
*1: ต้องมีใบอนุญาต
*2: Low Touch Provision: ผู้ดูแลระบบจะต้องกำหนดค่าอุปกรณ์ในเครื่องก่อน ZTP
*3: ตามเซสชัน: DPS จะใช้กับเซสชันใหม่เท่านั้น สิ่งนี้จะไม่ส่งผลกระทบต่อเซสชันปัจจุบัน
อย่างที่คุณเห็น ในบางแง่อะนาล็อกกำลังตามทันฮีโร่ในรีวิวของเรา ตัวอย่างเช่น Fortinet FG‑100E มีการเพิ่มประสิทธิภาพ WAN ในตัวด้วย และ Meraki MX100 มี AutoVPN ในตัว (ไซต์ถึง -site) แต่โดยทั่วไปแล้ว ZyWALL VPN1000 นั้นไม่มีความคลุมเครือในชุดฟังก์ชันที่ครอบคลุมซึ่งเป็นผู้นำ
คำแนะนำในการเลือกอุปกรณ์สำหรับโหนดกลาง (ไม่ใช่เฉพาะ Zyxel)
เมื่อเลือกอุปกรณ์สำหรับจัดระเบียบโหนดกลางของเครือข่ายที่กว้างขวางซึ่งมีหลายสาขา คุณควรมุ่งเน้นไปที่พารามิเตอร์จำนวนหนึ่ง: ความสามารถทางเทคนิค ความง่ายในการจัดการ ความปลอดภัย และความทนทานต่อข้อผิดพลาด
ฟังก์ชันที่หลากหลาย พอร์ตทางกายภาพจำนวนมากพร้อมการกำหนดค่าที่ยืดหยุ่น: WAN, LAN, DMZ และการมีอยู่ของฟังก์ชันดีๆ อื่นๆ เช่น ตัวควบคุมการจัดการจุดเข้าใช้งาน ช่วยให้คุณทำงานหลายอย่างได้ในคราวเดียว
บทบาทสำคัญเกิดจากการมีเอกสารประกอบและอินเทอร์เฟซการจัดการที่สะดวก
เมื่อมีสิ่งที่เรียบง่ายอยู่ในมือ การสร้างโครงสร้างพื้นฐานเครือข่ายที่ครอบคลุมไซต์และสถานที่ต่างๆ ก็ไม่ใช่เรื่องยาก และการใช้ระบบคลาวด์ SD-WAN ช่วยให้คุณทำสิ่งนี้ได้โดยมีความยืดหยุ่นและความปลอดภัยสูงสุด
ลิงค์ที่มีประโยชน์
ที่มา: will.com