Dağıtılmış bir ağ için VPN yönlendirici seçerken nelere dikkat edilmelidir? Ve hangi işlevlere sahip olmalı? ZyWALL VPN1000 incelememiz buna adanmıştır.
Giriş
Daha önce yayınlarımızın çoğu, çevresel sitelerden ağ erişimi için düşük kaliteli VPN cihazlarına ayrılmıştı. Örneğin, çeşitli şubeleri genel merkeze bağlamak, küçük bağımsız şirketlerin ağına ve hatta özel evlere erişim. Dağıtılmış ağ için merkezi düğüm hakkında konuşmanın zamanı geldi.
Büyük bir işletmenin modern bir ağını yalnızca ekonomi sınıfı cihazlara dayanarak kurmanın mümkün olmayacağı açıktır. Tüketicilere de hizmet sunmak için bir bulut hizmeti düzenleyin. Bir yerde aynı anda çok sayıda müşteriye hizmet verebilecek ekipmanın kurulu olması gerekir. Bu sefer böyle bir cihazdan bahsedeceğiz - Zyxel VPN1000.
Ağ değişimindeki hem büyük hem de küçük katılımcılar için, belirli bir cihazın bir sorunu çözmeye uygunluğunun değerlendirildiği kriterleri belirlemek mümkündür.
Aşağıda ana olanları bulabilirsiniz:
- teknik ve işlevsel yetenekler;
- kontrol;
- güvenlik;
- hata toleransı.
Neyin daha önemli olduğunu ve onsuz ne yapılabileceğini belirlemek zordur. Her şeye ihtiyaç var. Cihaz bazı kriterlere göre gereksinimleri karşılamıyorsa, bu gelecekte sorunlarla doludur.
Ancak merkezi birimlerin ve esas olarak çevre üzerinde çalışan ekipmanların çalışmasını sağlamak için tasarlanan cihazların bazı özellikleri önemli ölçüde farklılık gösterebilir.
Merkezi düğüm için bilgi işlem gücü önce gelir; bu, zorla soğutmaya ve dolayısıyla fandan gürültüye yol açar. Genellikle ofislerde ve evlerde bulunan çevre birimleri için gürültülü çalışma neredeyse kabul edilemez.
Bir diğer ilginç nokta ise limanların dağılımıdır. Çevresel cihazlarda nasıl kullanılacağı ve kaç istemcinin bağlanacağı az çok bellidir. Bu nedenle, bağlantı noktalarının WAN, LAN, DMZ'ye katı bir şekilde bölünmesini ayarlayabilir, protokole sıkı bir şekilde bağlanabilirsiniz vb. Merkezde böyle bir kesinlik yok. Örneğin, kendi arayüzü üzerinden bağlantı gerektiren yeni bir ağ segmenti ekledik - peki bu nasıl yapılır? Bu, arayüzleri esnek bir şekilde yapılandırma becerisine sahip daha evrensel bir çözüm gerektirir.
Önemli bir nüans, cihazın çeşitli işlevler açısından zengin olmasıdır. Elbette, tek bir ekipmanın tek bir görevi iyi bir şekilde yerine getirmesi yaklaşımının avantajları vardır. Ancak en ilginç durum, sola, sağa bir adım atmanız gerektiğinde başlar. Elbette her yeni görevle birlikte başka bir hedef cihaz da satın alabilirsiniz. Bütçe veya raf alanı bitene kadar bu böyle devam eder.
Buna karşılık, genişletilmiş işlevler dizisi, birden fazla sorunu çözerken tek bir cihazla idare etmenize olanak tanır. Örneğin ZyWALL VPN1000, çalışanlar için uzak bağlantıların yanı sıra SSL ve IPsec VPN de dahil olmak üzere birden fazla VPN bağlantısı türünü destekler. Yani, tek parça donanım hem siteler arası hem de istemci bağlantılarıyla ilgili sorunları kapsar. Ama bir "ama" var. Bunun işe yaraması için bir performans rezervine sahip olmanız gerekir. Örneğin, ZyWALL VPN1000 durumunda, IPsec VPN donanım çekirdeği yüksek VPN tünel performansı sağlar ve SHA-2 ve IKEv2 algoritmalarıyla VPN dengeleme/yedeklilik, iş için yüksek güvenilirlik ve güvenlik sağlar.
Yukarıda açıklanan alanlardan bir veya daha fazlasını kapsayan bazı yararlı özellikler aşağıda listelenmiştir.
SD-WAN Bulut yönetimi için bir platform sağlayarak, uzaktan kontrol etme ve izleme yeteneği ile siteler arasındaki iletişimin merkezi yönetiminin faydalarını elde eder. ZyWALL VPN1000 ayrıca gelişmiş VPN fonksiyonlarının gerekli olduğu ilgili çalışma modunu da destekler.
Görev açısından kritik hizmetler için bulut platformları desteği. ZyWALL VPN1000, Microsoft Azure ve AWS ile kullanım için test edilmiştir. Özellikle BT altyapısı yerel ağ ve bulut kombinasyonunu kullanıyorsa, her seviyedeki kuruluş için önceden test edilmiş cihazların kullanılması tercih edilir.
İçerik filtreleme Kötü amaçlı veya istenmeyen web sitelerine erişimi engelleyerek güvenliği güçlendirir. Kötü amaçlı yazılımların güvenilmeyen veya saldırıya uğramış sitelerden indirilmesini önler. ZyWALL VPN1000 durumunda, bu hizmet için yıllık lisans zaten pakete dahildir.
Jeopolitik (Coğrafi IP) gereksiz veya potansiyel olarak tehlikeli bölgelerden erişimi reddederek trafiği izlemenize ve IP adreslerinin konumunu analiz etmenize olanak tanır. Cihazı satın alırken bu hizmet için yıllık lisans da dahildir.
Kablosuz Ağ Yönetimi ZyWALL VPN1000, merkezi bir kullanıcı arayüzünden 1032'ye kadar erişim noktasını yönetmenize olanak tanıyan bir kablosuz ağ denetleyicisi içerir. Kuruluşlar, yönetilen bir Wi-Fi ağını minimum çabayla dağıtabilir veya genişletebilir. 1032 sayısının gerçekten çok fazla olduğunu belirtmekte fayda var. Bir erişim noktasına 10'a kadar kullanıcının bağlanabileceği hesaplamasına göre bu oldukça etkileyici bir rakam.
Dengeleme ve artıklık. VPN serisi, birden fazla harici arayüzde yük dengelemeyi ve yedekliliği destekler. Yani, birkaç sağlayıcıdan birkaç kanalı bağlayabilir, böylece kendinizi iletişim sorunlarından koruyabilirsiniz.
Cihaz yedekleme imkanı (Cihaz HA) Cihazlardan biri arızalansa bile kesintisiz bağlantı için. Minimum aksama süresiyle 24/7 çalışmayı organize etmeniz gerekiyorsa, bu olmadan yapmak zordur.
Zyxel Device HA Pro'da çalışıyor aktif pasifkarmaşık bir kurulum prosedürü gerektirmez. Bu, giriş eşiğini düşürmenize ve rezervasyonu hemen kullanmaya başlamanıza olanak tanır. Farklı aktif/aktif, sistem yöneticisinin ek eğitim alması gerektiğinde, dinamik yönlendirmeyi yapılandırabilme, asimetrik paketlerin ne olduğunu anlayabilme vb. - mod ayarı aktif pasif Çok daha kolay çalışır ve daha az zaman gerektirir.
Zyxel Device HA Pro kullanıldığında cihazlar sinyal alışverişinde bulunur kalp atışı özel bir bağlantı noktası aracılığıyla. Aktif ve pasif cihaz bağlantı noktaları kalp atışı Ethernet kablosuyla bağlanır. Pasif cihaz, bilgileri aktif cihazla tamamen senkronize eder. Özellikle tüm oturumlar, tüneller ve kullanıcı hesapları cihazlar arasında senkronize edilir. Ayrıca pasif cihaz, aktif cihazın arızalanması durumunda konfigürasyon dosyasının yedek bir kopyasını tutar. Bu, birincil cihazın arızalanması durumunda sorunsuz bir geçiş sağlar.
Aktif sistemlerde şunu belirtmekte fayda var./ aktif yük devretme için yine de sistem kaynaklarının %20-25'ini ayırmanız gerekir. Şu tarihte: aktif pasif bir cihaz tamamen bekleme durumundadır ve ağ trafiğini anında işlemeye ve normal ağ çalışmasını sürdürmeye hazırdır.
Basit bir ifadeyle: “Zyxel Device HA Pro kullanırken ve bir yedekleme kanalına sahip olduğunuzda, işletme hem sağlayıcının hatasından kaynaklanan iletişim kaybından hem de yönlendiricinin arızasından kaynaklanan sorunlardan korunur.
Yukarıdakilerin hepsini özetlemek
Dağıtılmış bir ağın merkezi düğümü için, belirli bir bağlantı noktası kaynağına (bağlantı arayüzleri) sahip bir cihazın kullanılması daha iyidir. Bu durumda, bağlantının basitliği ve maliyetinin düşürülmesi için hem RJ45 arayüzlerine hem de fiber optik bağlantı ile bükümlü çift arasında seçim yapmak için SFP'ye sahip olmak arzu edilir.
Bu cihaz şöyle olmalıdır:
- üretken, yükteki ani değişikliklere uyum sağlayan;
- net bir arayüzle;
- güvenlikle ilgili olanlar da dahil olmak üzere zengin ancak aşırı sayıda yerleşik işleve sahip;
- hataya dayanıklı devreler oluşturma yeteneği ile - kanal çoğaltma ve cihaz çoğaltma;
- merkezi düğüm ve çevre birimleri formundaki tüm dallanmış altyapının tek bir noktadan yönetilebilmesi için yönetimin desteklenmesi;
- "pastadaki kiraz" olarak - bulut kaynaklarıyla entegrasyon vb. gibi modern trendlere destek.
Ağın merkezi düğümü olarak ZyWALL VPN1000
ZyWALL VPN1000'e ilk bakışta Zyxel'in portları yedeklemediği açıktır.
Sahibiz:
-
12 yapılandırılabilir RJ‑45 (GBE) bağlantı noktası;
-
2 yapılandırılabilir SFP bağlantı noktası (GBE);
-
2G/3.0G modem desteğine sahip 3 USB 4 bağlantı noktası.
Şekil 1. ZyWALL VPN1000'in genel görünümü.
Öncelikle güçlü fanlar nedeniyle cihazın ev ofisi için olmadığını hemen belirtmek gerekir. Burada dört tane var.
Şekil 2. ZyWALL VPN1000 arka paneli.
Arayüzün nasıl göründüğüne bakalım.
Önemli bir duruma hemen dikkat etmelisiniz. Pek çok işlevi var ve bunları tek bir makalede ayrıntılı olarak anlatmak mümkün olmayacak. Ancak Zyxel ürünlerinin iyi tarafı, çok detaylı dokümantasyonun bulunması, her şeyden önce kullanıcı (yönetici) kılavuzunun bulunmasıdır. Bu nedenle, işlevlerin zenginliği hakkında fikir edinmek için sekmelere göz atalım.
Varsayılan olarak bağlantı noktası 1 ve bağlantı noktası 2 WAN'a atanır. Üçüncü porttan başlayarak yerel ağ için arayüzler vardır.
Varsayılan IP 3 olan 192.168.1.1. port bağlantı için oldukça uygundur.
Patchcord'u bağlarız, adrese gideriz ve web arayüzünün kullanıcı kayıt penceresini gözlemleyebilirsiniz.
Dikkat. Yönetim için SD-WAN bulut yönetim sistemini kullanabilirsiniz.
Şekil 3. Kullanıcı adı ve şifreyi girme penceresi
Kullanıcı adını ve şifreyi girme prosedürünü uyguluyoruz ve ekranda Kontrol Paneli penceresini alıyoruz. Aslında, bir Kontrol Paneli için olması gerektiği gibi - ekran alanının her parçasında maksimum operasyonel bilgi.
Şekil 4. ZyWALL VPN1000 - Kontrol Paneli.
Hızlı Kurulum Sekmesi (Sihirbazlar)
Arayüzde iki asistan vardır: WAN kurulumu ve VPN kurulumu için. Aslında asistanlar iyi bir şeydir; cihazla çalışma deneyiminiz olmasa bile şablon ayarlarını yapmanıza olanak tanırlar. Daha fazlasını isteyenler için yukarıda da belirtildiği gibi ayrıntılı belgeler var.
Şekil 5. Hızlı Kurulum sekmesi.
İzleme sekmesi
Görünüşe göre Zyxel mühendisleri şu prensibi izlemeye karar verdiler: Elimizden gelen her şeyi izliyoruz. Tabii ki, merkezi bir merkez görevi gören bir cihaz için tam kontrolün hiçbir zararı olmayacaktır.
Kenar çubuğundaki tüm öğeleri genişletseniz bile, seçim zenginliği açıkça ortaya çıkıyor.
Şekil 6. Genişletilmiş alt öğelere sahip İzleme sekmesi.
Yapılandırma sekmesi
Burada fonksiyonların zenginliği daha da belirgindir.
Örneğin cihazın port yönetimi çok güzel tasarlanmış.
Şekil 7. Genişletilmiş alt öğelerin bulunduğu Yapılandırma sekmesi.
Bakım sekmesi
Ürün yazılımını güncelleme, tanılama, yönlendirme kurallarını görüntüleme ve kapatma için alt bölümler içerir.
Bu işlevler yardımcı niteliktedir ve hemen hemen her ağ cihazında bir dereceye kadar mevcuttur.
Şekil 8. Genişletilmiş alt öğelerle birlikte Bakım sekmesi.
Karşılaştırmalı özellikler
İncelememiz diğer analoglarla karşılaştırılmadan eksik kalacaktır.
Aşağıda ZyWALL VPN1000'e en yakın analogların bir tablosu ve karşılaştırma için işlevlerin bir listesi bulunmaktadır.
Tablo 1. ZyWALL VPN1000'in analoglarla karşılaştırılması.
Tablo 1'e ilişkin açıklamalar:
*1: Lisans gerekli
*2: Düşük Dokunuş Provizyonu: Yöneticinin öncelikle cihazı ZTP'den önce yerel olarak yapılandırması gerekir.
*3: Oturuma dayalı: DPS yalnızca yeni oturuma uygulanacaktır; bu mevcut oturumu etkilemeyecektir.
Gördüğünüz gibi analoglar bazı yönlerden incelememizin kahramanına yetişiyor; örneğin Fortinet FG-100E'de yerleşik WAN optimizasyonu var ve Meraki MX100'de yerleşik AutoVPN (siteden siteye) var -site) işlevi, ancak genel olarak ZyWALL VPN1000, kapsamlı işlev kümesinde açık bir şekilde liderdir.
Merkezi düğüm için cihaz seçerken öneriler (yalnızca Zyxel değil)
Çok sayıda şubeye sahip geniş bir ağın merkezi düğümünü düzenlemek için cihazları seçerken bir dizi parametreye odaklanmalısınız: teknik yetenekler, yönetim kolaylığı, güvenlik ve hata toleransı.
Geniş bir işlev yelpazesi, esnek konfigürasyona sahip çok sayıda fiziksel bağlantı noktası: WAN, LAN, DMZ ve erişim noktası yönetim denetleyicisi gibi diğer güzel işlevlerin varlığı, birçok görevi aynı anda tamamlamanıza olanak tanır.
Dokümantasyonun mevcudiyeti ve uygun bir yönetim arayüzü önemli bir rol oynar.
Bu kadar basit görünen şeyler elinizin altındayken, çeşitli sitelere ve konumlara yayılan ağ altyapıları oluşturmak o kadar da zor değil ve SD-WAN bulutunun kullanımı bunu maksimum esneklik ve güvenlikle yapmanıza olanak tanır.
Faydalı linkler
Kaynak: habr.com