🥇Павук для павутини або центральний вузол розподіленої мережі ProHoster

На що звернути увагу при виборі маршрутизатора VPN для розподіленої мережі? І якими функціями він повинен мати? Цьому і присвячено наш огляд ZyWALL VPN1000

Запровадження

До цього більшість наших публікацій була присвячена молодшим пристроям VPN для доступу до мережі з периферійних об'єктів. Наприклад, для зв'язку різних філій зі штаб-квартирою, доступу до мережі невеликих самостійних компаній, а то й зовсім приватних будинків. Настав час поговорити про центральний вузл для розподіленої мережі.

Зрозуміло, що збудувати сучасну мережу великого підприємства тільки на базі пристроїв економ-класу не вийде. І організувати хмарний сервіс із надання послуг споживачам — також. Десь має бути встановлене обладнання, здатне обслужити велику кількість клієнтів одночасно. На цей раз ми поговоримо про один такий пристрій - Zyxel VPN1000.

І великих, й у маленьких учасників мережного обміну можна назвати критерії, якими оцінюється придатність тієї чи іншої пристрою на вирішення завдання.

Нижче наводяться основні з них:

технічні та функціональні можливості;
управління;
безпеку;
відмовостійкість.

Важко виділити, що важливіше, а без чого можна обійтися. Потрібно все. Якщо пристрій за якимось критерієм не дотягує до рівня вимог, що висуваються, це може призвести до проблем надалі.

Однак ті чи інші особливості пристроїв, покликаних забезпечити роботу центральних вузлів та обладнання, що працює в основному на периферії можуть значно відрізнятися.

Для центрального вузла перше місце виходить обчислювальна потужність — це веде у себе примусове охолодження, отже, шум від вентилятора. Для периферійних пристроїв, які зазвичай розміщуються в офісах та житлових приміщеннях, шумна робота вже практично неприйнятна.

Ще цікавий момент – розподіл портів. У периферійних пристроях більш менш зрозуміло, як воно буде використовуватися і скільки буде підключено клієнтів. Тому можна встановити жорсткий поділ портів на WAN, LAN, DMZ, виконати жорстку прив'язку до протоколу і так далі. У центральному вузлі такої впевненості немає. Наприклад, додали новий сегмент мережі, який потребує підключення через власний інтерфейс і як це зробити? Тут потрібно більш універсальне рішення з можливістю гнучкого налаштування інтерфейсів.

Важливий нюанс – насиченість пристрою різними функціями. Зрозуміло, підхід, коли одна одиниця обладнання добре виконує одне-єдине завдання, має свої переваги. Але найцікавіша ситуація починається, коли потрібно зробити крок ліворуч, крок праворуч. Зрозуміло, можна при кожному новому завданні додатково купувати ще один цільовий пристрій. І так поки що не закінчиться бюджет чи місце у стійці.

На противагу цьому розширений набір функцій дозволяє обійтися одним пристроєм під час вирішення кількох питань. Наприклад, ZyWALL VPN1000 підтримує кілька типів з'єднань VPN, включаючи SSL і IPsec VPN, а також віддалені підключення для співробітників. Тобто одна залізниця закриває питання як міжсайтових, так і клієнтських підключень. Але тут є одне "але". Щоб це працювало, потрібно мати запас продуктивності. Наприклад, у разі ZyWALL VPN1000 апаратне ядро IPsec VPN забезпечує високу продуктивність VPN тунелю, а балансування/резервування VPN з алгоритмами SHA‑2 та IKEv2 забезпечують високу надійність та безпеку для бізнесу.

Нижче наведено деякі корисні функції, які закривають один або кілька напрямків, описаних вище.

SD WAN надає платформу для хмарного керування, отримуючи переваги централізованого керування зв'язком між сайтами з можливістю віддаленого контролю та моніторингу. ZyWALL VPN1000 також підтримує відповідний режим роботи там, де потрібні розширені функції VPN.

Підтримка хмарних платформ для важливих сервісів. ZyWALL VPN1000 перевірений для використання з Microsoft Azure та AWS. Застосування заздалегідь перевірених пристроїв краще для організації будь-якого рівня, особливо якщо в ІТ-інфраструктурі використовується поєднання локальної мережі та хмари.

Контентна фільтрація посилює безпеку шляхом блокування доступу до шкідливих або небажаних веб-сайтів. Запобігає завантаженню шкідливих програм із ненадійних або зламаних сайтів. У разі ZyWALL VPN1000 річна ліцензія на даний сервіс вже відразу входить у комплект поставки.

Гео-політики (Geo IP) дозволяють відстежувати трафік та проводити аналіз розташування IP-адрес, відмовляючи у доступі з непотрібних чи потенційно небезпечних регіонів. Річна ліцензія на цей сервіс також входить до комплекту при придбанні пристрою.

Управління бездротовою мережею в ZyWALL VPN1000 включає контролер бездротової мережі, що дозволяє керувати до 1032 точок доступу з централізованого інтерфейсу користувача. Підприємства можуть розгорнути або розширити керовану мережу Wi-Fi з мінімальними зусиллями. Варто зазначити, що цифра 1032 – це справді багато. З розрахунку, що до однієї точки доступу може підключатися до 10 користувачів, виходить досить велика цифра.

Балансування та резервування. Серія VPN підтримує балансування навантаження та резервування за кількома зовнішніми інтерфейсами. Тобто можна підключити кілька каналів від кількох провайдерів, тим самим убезпечивши себе від проблем зі зв'язком.

Можливість резервування пристрою (Device HA) для безупинного з'єднання, навіть коли один із пристроїв вийшов з ладу. Без цього важко обійтися, якщо необхідно організувати роботу 24/7 із мінімальним часом простою.

Zyxel Device HA Pro працює в режимі active/passiveдля якого не потрібна складна процедура налаштування. Це дозволяє знизити поріг входження та відразу почати використовувати резервування. На відміну від active/activeколи системному адміністратору необхідно пройти додаткову підготовку, вміти налаштовувати динамічну маршрутизацію, розуміти, що таке асиметричні пакети і т.д. - Налаштування режиму active/passive працює значно простіше і потребує менше тимчасових витрат.

При використанні Zyxel Device HA Pro пристрої обмінюються сигналами серцебиття через виділений порт. Порти активного та пасивного пристрою для серцебиття підключаються через кабель Ethernet. Пасивний пристрій повністю синхронізує інформацію з активним пристроєм. Зокрема між пристроями синхронізуються всі сесії, тунелі, облікові записи користувачів. Крім того, пасивний пристрій зберігає резервну копію конфігураційного файлу на випадок збою активного пристрою. Таким чином, у разі відмови основного пристрою перехід виходить безшовним.

Варто зазначити, що в системах active/ активний все одно доводиться резервувати 20-25% системних ресурсів для перемикання за відмов. При active/passive один пристрій повністю перебуває у стані резерву, і готове відразу обробляти мережевий трафік і підтримувати нормальну роботу мережі.

Говорячи простою мовою: «Під час використання Zyxel Device HA Pro та наявності резервного каналу бізнес захищений як від втрати зв'язку з вини провайдера, так і від проблем у результаті виходу з ладу маршрутизатора.

Резюмуючи все вищесказане

Для центрального вузла розподіленої мережі краще використовувати пристрій із деяким запасом портів (інтерфейсів підключення). При цьому бажано мати інтерфейси як RJ45 для простоти та здешевлення підключення, так і SFP для вибору між оптоволоконним з'єднанням та витою парою.

Цей пристрій має бути:

продуктивне, адаптоване до стрибкоподібної зміни навантаження;
із зрозумілим інтерфейсом роботи;
з багатою, але не надмірною кількістю вбудованих функцій, у тому числі щодо забезпечення безпеки;
з можливістю побудови стійких до відмови схем — дублювання каналів і дублювання пристроїв;
підтримуюче управління, щоб усією розгалуженою інфраструктурою у вигляді центрального вузла та периферійних пристроїв керувати з однієї точки;
як «вишенька на торті» — підтримка сучасних віянь на кшталт інтеграції з хмарними ресурсами тощо.

ZyWALL VPN1000 у ролі центрального вузла мережі

При першому погляді на ZyWALL VPN1000 видно, що портів у Zyxel не пошкодували.

У нас є:

12 портів RJ‑45 (GBE), що настроюються;
2 порти SFP (GBE), що настроюються;
2 порти USB 3.0 з підтримкою 3G/4G модемів.

1. Загальний вигляд ZyWALL VPN1000.

Відразу слід зазначити — пристрій не для домашнього офісу, насамперед через продуктивні вентилятори. Їх тут цілих чотири.

2. Задня панель ZyWALL VPN1000.

Подивимося, як виглядає інтерфейс.

Відразу варто звернути увагу на важливу обставину. Функцій дуже багато і докладно описувати в рамках однієї статті не вийде. Але що добре в продукції Zyxel є дуже докладна документація, насамперед керівництво користувача (адміністратора). Тому, щоб отримати уявлення про багатство функцій, просто пробіжимося вкладками.

За замовчуванням порт 1 та порт 2 віддані під WAN. Починаючи з третього порту, йдуть інтерфейси для локальної мережі.

3-й порт з IP за замовчуванням 192.168.1.1 цілком підходить для підключення.

Підключаємо патчкорд, переходимо за адресою https://192.168.1.1 і можна спостерігати за вікном реєстрації користувача веб-інтерфейсу.

Примітка. Для керування можна використовувати хмарну систему керування SD-WAN.

Малюнок 3. Вікно введення логіну та паролю

Проходимо процедуру введення логіну та паролю та отримуємо на екрані вікно Dashboard. Власне, як і належить для Dashboard – максимум оперативної інформації на кожному клаптику екранного простору.

Малюнок 4. ZyWALL VPN1000 - Dashboard.

Вкладка "Швидке налаштування" (Wizards)

Помічників в інтерфейсі цілих два: для налаштування WAN та налаштування VPN. Насправді помічники – штука хороша, дозволяє виконати шаблонні налаштування, навіть не маючи досвіду роботи з пристроєм. Ну а для тих, хто хоче більшого, як було сказано вище, існує докладна документація.

Рисунок 5. Вкладка "Швидке налаштування".

Вкладка Моніторинг

Зважаючи на все, інженери з Zyxel вирішили вчинити за принципом: моніторимо все, що можна. Очевидно, для пристрою, що виконує роль центрального вузла, тотальний контроль зовсім не зашкодить.

Навіть просто розгорнувши всі пункти на бічній панелі, стає очевидним багатство вибору.

Малюнок 6. Вкладка Моніторинг із розгорнутими підпунктами.

Вкладка Конфігурація

Тут багатство функцій ще очевидніше.

Наприклад, дуже симпатично оформлене керування портами пристрою.

Рисунок 7. Вкладка Конфігурація з розгорнутими підпунктами.

Вкладка Обслуговування

Містить підрозділи для оновлення прошивки, діагностики, перегляду правил маршрутизації та завершення роботи.

Дані функції мають допоміжний характер і тією чи іншою мірою присутні практично в кожному мережевому пристрої.

Рисунок 8. Вкладка Обслуговування із розгорнутими підпунктами.

порівняльні характеристики

Наш огляд був би неповним без порівняння з іншими аналогами.

Нижче представлена таблиця найближчих до ZyWALL VPN1000 аналогів та список функцій для порівняння.

Таблиця 1. Порівняння ZyWALL VPN1000 із аналогами.

Пояснення до таблиці 1:

*1: Необхідна ліцензія

* 2: Low Touch Provision: адміністратор повинен спочатку налаштувати пристрій локально перед ZTP.

* 3: на основі сеансу: DPS застосовуватиметься тільки до нового сеансу; це не вплине на поточний сеанс.

Як бачимо, в чомусь аналоги наздоганяють героя нашого огляду, наприклад, Fortinet FG‑100E теж має вбудовану WAN оптимізацію, а Meraki MX100 має вбудовану функцію AutoVPN (site-to-site), але загалом комплексний набір функцій ZyWALL VPN1000 однозначно лідирує.