🥇Spider para sa web o sa gitnang node ng isang distributed network

Ano ang hahanapin kapag pumipili ng isang VPN router para sa isang distributed network? At anong mga tampok ang dapat magkaroon nito? Ito ang nakatuon sa aming pagsusuri ng ZyWALL VPN1000.

Pagpapakilala

Bago ito, karamihan sa aming mga publikasyon ay nakatuon sa mga junior VPN device para sa pag-access sa network mula sa mga peripheral na pasilidad. Halimbawa, upang ikonekta ang iba't ibang sangay sa punong tanggapan, pag-access sa Network ng mga maliliit na independiyenteng kumpanya, o kahit na mga pribadong bahay. Oras na para pag-usapan ang central node para sa isang distributed network.

Malinaw na hindi ito gagana upang bumuo ng isang modernong network ng isang malaking negosyo lamang sa batayan ng mga aparatong pang-ekonomiya. At ayusin ang isang serbisyo sa ulap upang magbigay ng mga serbisyo sa mga mamimili - din. Sa isang lugar, dapat na naka-install ang kagamitan na maaaring maghatid ng malaking bilang ng mga customer sa parehong oras. Sa pagkakataong ito ay pag-uusapan natin ang tungkol sa isang ganoong device - Zyxel VPN1000.

Para sa parehong malaki at maliit na mga kalahok sa palitan ng network, ang pamantayan ay maaaring makilala kung saan ang pagiging angkop ng isang partikular na aparato para sa paglutas ng isang problema ay tinasa.

Nasa ibaba ang mga pangunahing:

teknikal at functional na kakayahan;
kontrol;
seguridad;
pagpaparaya sa kasalanan.

Mahirap tukuyin kung ano ang mas mahalaga, at kung ano ang magagawa nang wala. Lahat ay kailangan. Kung ang aparato, ayon sa ilang pamantayan, ay hindi umabot sa antas ng mga kinakailangan, ito ay puno ng mga problema sa hinaharap.

Gayunpaman, ang ilang partikular na feature ng mga device na idinisenyo upang matiyak ang pagpapatakbo ng mga central node at kagamitan na pangunahing gumagana sa periphery ay maaaring mag-iba nang malaki.

Para sa gitnang node, nauuna ang computing power - humahantong ito sa sapilitang paglamig, at samakatuwid ay ingay ng fan. Para sa mga peripheral, na karaniwang matatagpuan sa mga opisina at lugar ng tirahan, ang maingay na operasyon ay halos hindi katanggap-tanggap.

Ang isa pang kawili-wiling punto ay ang pamamahagi ng mga port. Sa mga peripheral na device, higit o hindi gaanong malinaw kung paano ito gagamitin at kung gaano karaming mga kliyente ang ikokonekta. Samakatuwid, maaari mong itakda ang hard partitioning ng mga port sa WAN, LAN, DMZ, magsagawa ng hard binding sa protocol, at iba pa. Walang ganoong katiyakan sa gitnang node. Halimbawa, nagdagdag sila ng bagong segment ng network na nangangailangan ng koneksyon sa pamamagitan ng sarili nitong interface - at paano ito gagawin? Nangangailangan ito ng mas unibersal na solusyon na may kakayahang flexible na i-configure ang mga interface.

Ang isang mahalagang nuance ay ang saturation ng device na may iba't ibang function. Siyempre, may mga pakinabang sa pagkakaroon ng isang piraso ng kagamitan na nagagawa nang maayos ang isang solong trabaho. Ngunit ang pinaka-kagiliw-giliw na sitwasyon ay nagsisimula kapag kailangan mong gumawa ng isang hakbang sa kaliwa, isang hakbang sa kanan. Siyempre, maaari ka ring bumili ng isa pang target na device para sa bawat bagong gawain. At iba pa hanggang sa maubos ang budget o rack space.

Sa kabaligtaran, binibigyang-daan ka ng pinahabang hanay ng mga function na makayanan gamit ang isang device kapag nilulutas ang ilang isyu. Halimbawa, sinusuportahan ng ZyWALL VPN1000 ang ilang uri ng mga koneksyon sa VPN, kabilang ang SSL at IPsec VPN, pati na rin ang mga malalayong koneksyon para sa mga empleyado. Iyon ay, ang isang "piraso ng bakal" ay nagsasara ng mga isyu ng parehong inter-site at mga koneksyon ng kliyente. Ngunit mayroong isang "ngunit". Para gumana ito, kailangan mong magkaroon ng margin of performance. Halimbawa, sa kaso ng ZyWALL VPN1000, ang IPsec VPN hardware core ay nagbibigay ng mataas na pagganap ng VPN tunnel, habang ang pagbabalanse/redundancy ng VPN sa mga algorithm ng SHA-2 at IKEv2 ay nagsisiguro ng mataas na pagiging maaasahan at seguridad ng negosyo.

Nakalista sa ibaba ang ilang kapaki-pakinabang na feature na sumasaklaw sa isa o higit pa sa mga direksyong inilarawan sa itaas.

SD WAN ay nagbibigay ng isang platform para sa pamamahala ng ulap, sinasamantala ang sentralisadong pamamahala ng komunikasyon sa pagitan ng mga site na may kakayahang malayuang kontrolin at subaybayan. Sinusuportahan din ng ZyWALL VPN1000 ang naaangkop na mode ng operasyon kung saan kinakailangan ang mga advanced na feature ng VPN.

Suporta para sa mga cloud platform para sa mga kritikal na serbisyo. Ang ZyWALL VPN1000 ay napatunayan para sa paggamit sa Microsoft Azure at AWS. Ang paggamit ng mga pre-validated na device ay mas mainam para sa anumang antas ng organisasyon, lalo na kung ang IT infrastructure ay gumagamit ng kumbinasyon ng lokal na network at cloud.

Pag-filter ng nilalaman pinapahusay ang seguridad sa pamamagitan ng pagharang ng access sa mga nakakahamak o hindi gustong mga website. Pinipigilan ang pag-download ng malware mula sa hindi pinagkakatiwalaan o na-hack na mga site. Sa kaso ng ZyWALL VPN1000, isang taunang lisensya para sa serbisyong ito ay agad na kasama sa package.

Mga Patakaran sa Geo (GeoIP) nagbibigay-daan sa iyo na subaybayan ang trapiko at pag-aralan ang lokasyon ng mga IP address, tinatanggihan ang pag-access mula sa hindi kailangan o potensyal na mapanganib na mga rehiyon. Ang taunang lisensya para sa serbisyong ito ay kasama rin sa pagbili ng device.

Pamamahala ng wireless network Ang ZyWALL VPN1000 ay may kasamang wireless network controller na nagbibigay-daan sa iyong pamahalaan ang hanggang 1032 access point mula sa isang sentralisadong user interface. Maaaring i-deploy o palawakin ng mga negosyo ang isang pinamamahalaang Wi-Fi network na may kaunting pagsisikap. Kapansin-pansin na ang bilang na 1032 ay talagang marami. Batay sa katotohanan na hanggang sa 10 mga gumagamit ay maaaring kumonekta sa isang access point, isang medyo kahanga-hangang figure ang nakuha.

Pagbalanse at Redundancy. Sinusuportahan ng serye ng VPN ang load balancing at redundancy sa maraming panlabas na interface. Iyon ay, maaari mong ikonekta ang ilang mga channel mula sa ilang mga provider, sa gayon maprotektahan ang iyong sarili mula sa mga problema sa komunikasyon.

Kakayahang redundancy ng device (Device HA) para sa walang tigil na koneksyon, kahit na nabigo ang isa sa mga device. Mahirap gawin kung wala ito kung kailangan mong ayusin ang trabaho 24/7 na may kaunting downtime.

Nasa Zyxel Device HA Pro aktibo/pasibo, na hindi nangangailangan ng kumplikadong pamamaraan sa pag-setup. Ito ay nagbibigay-daan sa iyong babaan ang entry threshold at agad na simulan ang paggamit ng reserbasyon. Unlike aktibo/aktibokapag ang isang system administrator ay kailangang sumailalim sa karagdagang pagsasanay, magagawang i-configure ang dynamic na pagruruta, maunawaan kung ano ang mga asymmetric na packet, atbp. - setting ng mode aktibo/pasibo mas madali at mas kaunting oras.

Kapag gumagamit ng Zyxel Device HA Pro, nagpapalitan ng signal ang mga device tibok ng puso sa pamamagitan ng nakalaang port. Aktibo at passive na mga port ng device para sa tibok ng puso konektado sa pamamagitan ng isang Ethernet cable. Ang passive device ay ganap na nagsi-synchronize ng impormasyon sa aktibong device. Sa partikular, ang lahat ng session, tunnel, user account ay naka-synchronize sa pagitan ng mga device. Bilang karagdagan, ang passive device ay nagpapanatili ng backup na kopya ng configuration file kung sakaling mabigo ang aktibong device. Kaya, sa kaganapan ng isang pagkabigo ng pangunahing aparato, ang paglipat ay tuluy-tuloy.

Dapat tandaan na sa mga aktibong sistema/ aktibong kailangan mo pa ring magreserba ng 20-25% ng system resources para sa failover. Sa aktibo/pasibo ang isang device ay ganap na nasa standby na estado, at handang iproseso kaagad ang trapiko sa network at mapanatili ang normal na operasyon ng network.

Sa simpleng mga termino: “Kapag gumagamit ng Zyxel Device HA Pro at may backup na channel, ang negosyo ay protektado mula sa pagkawala ng komunikasyon dahil sa kasalanan ng provider, at mula sa mga problema bilang resulta ng pagkabigo ng router.

Pagbubuod ng lahat ng nasa itaas

Para sa gitnang node ng isang ipinamamahaging network, mas mainam na gumamit ng isang aparato na may isang tiyak na supply ng mga port (mga interface ng koneksyon). Kasabay nito, kanais-nais na magkaroon ng parehong RJ45 interface para sa pagiging simple at mura ng koneksyon, at SFP para sa pagpili sa pagitan ng fiber optic na koneksyon at twisted pair.

Ang device na ito ay dapat na:

produktibo, inangkop sa isang biglaang pagbabago sa pagkarga;
na may malinaw na interface;
na may mayaman ngunit hindi kalabisan na bilang ng mga built-in na feature, kabilang ang mga nauugnay sa seguridad;
na may kakayahang bumuo ng mga fault-tolerant scheme - pagdoble ng mga channel at pagdoble ng mga device;
suportadong pamamahala, upang ang buong branched na imprastraktura sa anyo ng isang sentral na node at peripheral na mga aparato ay pinamamahalaan mula sa isang punto;
bilang "icing on the cake" - suporta para sa mga modernong uso tulad ng pagsasama sa mga mapagkukunan ng ulap at iba pa.

ZyWALL VPN1000 bilang gitnang node ng network

Sa una mong pagtingin sa ZyWALL VPN1000, makikita mo na ang mga port sa Zyxel ay hindi naligtas.

Meron kami:

12 maaaring i-configure na RJ-45 port (GBE);
2 na-configure na SFP port (GBE);
2 USB 3.0 port na may suporta para sa 3G/4G modem.

Figure 1. Pangkalahatang view ng ZyWALL VPN1000.

Dapat pansinin kaagad na ang aparato ay hindi para sa isang opisina sa bahay, pangunahin dahil sa mahusay na mga tagahanga. Apat sila dito.

Figure 2. Rear panel ng ZyWALL VPN1000.

Tingnan natin kung ano ang hitsura ng interface.

Kaagad ito ay nagkakahalaga ng pagbibigay pansin sa isang mahalagang pangyayari. Mayroong maraming mga pag-andar, at hindi posible na ilarawan nang detalyado sa loob ng balangkas ng isang artikulo. Ngunit kung ano ang mabuti tungkol sa mga produkto ng Zyxel ay mayroong napaka detalyadong dokumentasyon, una sa lahat, ang manwal ng gumagamit (administrator). Kaya't upang makakuha ng ideya ng kayamanan ng mga tampok, tingnan lang natin ang mga tab.

Bilang default, ang port 1 at port 2 ay ibinibigay sa WAN. Simula sa ikatlong port, may mga interface para sa lokal na network.

Ang 3rd port na may default na IP 192.168.1.1 ay angkop para sa koneksyon.

Ikinonekta namin ang patch cord, pumunta sa address https://192.168.1.1 at maaari mong obserbahan ang window ng pagpaparehistro ng user interface ng web.

Nota. Para sa pamamahala, maaari mong gamitin ang SD-WAN cloud management system.

Figure 3. Login at password entry window

Dumaan kami sa pamamaraan para sa pagpasok ng login at password at makuha ang Dashboard window sa screen. Sa totoo lang, tulad ng dapat para sa Dashboard - maximum na impormasyon sa pagpapatakbo sa bawat scrap ng espasyo sa screen.

Larawan 4. ZyWALL VPN1000 - Dashboard.

Quick Setup Tab (Wizards)

Mayroong dalawang katulong sa interface: para sa pag-configure ng WAN at pag-configure ng VPN. Sa katunayan, ang mga katulong ay isang magandang bagay, pinapayagan ka nitong magsagawa ng mga setting ng template nang hindi man lang nagkakaroon ng karanasan sa device. Well, para sa mga nais ng higit pa, tulad ng nabanggit sa itaas, mayroong detalyadong dokumentasyon.

Figure 5. tab na Quick Setup.

Tab ng pagsubaybay

Tila, nagpasya ang mga inhinyero mula sa Zyxel na sundin ang prinsipyo: sinusubaybayan namin ang lahat ng posible. Siyempre, para sa isang aparato na gumaganap bilang isang sentral na node, ang kabuuang kontrol ay hindi masakit.

Kahit na sa pamamagitan lamang ng pagpapalawak ng lahat ng mga item sa sidebar, ang kayamanan ng pagpili ay nagiging halata.

Figure 6. Monitoring tab na may pinalawak na sub-item.

Tab ng configuration

Dito, ang kayamanan ng mga tampok ay mas maliwanag.

Halimbawa, ang pamamahala ng port ng device ay napakahusay na idinisenyo.

Figure 7. Configuration tab na may pinalawak na sub-item.

Tab ng pagpapanatili

Naglalaman ng mga subsection para sa pag-update ng firmware, diagnostics, pagtingin sa mga panuntunan sa pagruruta, at pag-shut down.

Ang mga function na ito ay may katangiang pantulong at naroroon sa isang paraan o iba pa sa halos bawat network device.

Figure 8. Maintenance tab na may pinalawak na sub-item.

Mga katumbas na katangian

Ang aming pagsusuri ay hindi kumpleto nang walang paghahambing sa iba pang mga analogue.

Nasa ibaba ang isang talahanayan ng pinakamalapit na mga analogue sa ZyWALL VPN1000 at isang listahan ng mga tampok para sa paghahambing.

Talahanayan 1. Paghahambing ng ZyWALL VPN1000 sa mga analogue.

Mga paliwanag para sa talahanayan 1:

*1: Kinakailangan ang lisensya

*2: Low Touch Provision: Dapat munang i-configure ng administrator ang device nang lokal bago ang ZTP.

*3: Nakabatay sa session: Malalapat lang ang DPS sa isang bagong session; hindi ito makakaapekto sa kasalukuyang session.

Tulad ng nakikita mo, ang mga analog ay nakakakuha ng bayani ng aming pagsusuri sa ilang mga paraan, halimbawa, ang Fortinet FG‑100E ay mayroon ding built-in na WAN optimization, at ang Meraki MX100 ay may built-in na AutoVPN (site-to-site) function, ngunit sa pangkalahatan, ang ZyWALL VPN1000 ay hindi malabo ang nangunguna.

Mga alituntunin para sa pagpili ng mga device para sa gitnang site (hindi lang Zyxel)

Kapag pumipili ng mga aparato para sa pag-aayos ng isang sentral na node ng isang malawak na network na may maraming mga sangay, ang isa ay dapat tumuon sa isang bilang ng mga parameter: mga teknikal na kakayahan, kadalian ng pamamahala, seguridad at pagpapahintulot sa kasalanan.

Ang isang malawak na hanay ng mga pag-andar, isang malaking bilang ng mga pisikal na port na may posibilidad ng nababaluktot na pagsasaayos: WAN, LAN, DMZ at ang pagkakaroon ng iba pang magagandang tampok, tulad ng isang access point management controller, ay nagbibigay-daan sa iyo upang isara ang maraming mga gawain nang sabay-sabay.

Ang isang mahalagang papel ay nilalaro sa pamamagitan ng pagkakaroon ng dokumentasyon at isang maginhawang interface ng pamamahala.

Sa tila simpleng mga bagay na nasa kamay, hindi napakahirap na lumikha ng mga imprastraktura ng network na kumukuha ng iba't ibang mga site at lokasyon, at ang paggamit ng SD-WAN cloud ay nagpapahintulot sa iyo na gawin ito nang may kakayahang umangkop at secure hangga't maaari.