🥇Internet uchun oʻrgimchak yoki taqsimlangan tarmoqning markaziy tugunlari

Tarqalgan tarmoq uchun VPN routerini tanlashda nimalarga e'tibor berish kerak? Va u qanday xususiyatlarga ega bo'lishi kerak? ZyWALL VPN1000 haqidagi sharhimiz bunga bag'ishlangan.

kirish

Bungacha bizning nashrlarimizning aksariyati periferik qurilmalardan tarmoqqa kirish uchun kichik VPN qurilmalariga bag'ishlangan edi. Masalan, turli filiallarni shtab-kvartiraga ulash, kichik mustaqil kompaniyalar tarmog'iga yoki hatto xususiy uylarga kirish. Tarqalgan tarmoq uchun markaziy tugun haqida gapirish vaqti keldi.

Yirik korxonaning zamonaviy tarmog‘ini faqat ekonom-klass qurilmalari asosida qurish ish bermasligi aniq. Iste'molchilarga xizmatlar ko'rsatish uchun bulutli xizmatni ham tashkil qiling. Biror joyda bir vaqtning o'zida ko'plab mijozlarga xizmat ko'rsatishi mumkin bo'lgan uskunalar o'rnatilishi kerak. Bu safar biz shunday qurilmalardan biri - Zyxel VPN1000 haqida gaplashamiz.

Tarmoq almashinuvining katta va kichik ishtirokchilari uchun muayyan qurilmaning muammoni hal qilish uchun yaroqliligi baholanadigan mezonlarni ajratish mumkin.

Quyida asosiylari:

texnik va funktsional imkoniyatlar;
boshqaruv;
xavfsizlik;
xatolarga chidamlilik.

Nima muhimroq ekanligini va ularsiz nima qilish mumkinligini ajratish qiyin. Hamma narsa kerak. Agar qurilma, ba'zi mezonlarga ko'ra, talablar darajasiga chiqmasa, bu kelajakda muammolarga olib kelishi mumkin.

Biroq, markaziy tugunlarning ishlashini ta'minlash uchun mo'ljallangan qurilmalarning ayrim xususiyatlari va asosan periferiyada ishlaydigan uskunalar sezilarli darajada farq qilishi mumkin.

Markaziy tugun uchun hisoblash quvvati birinchi o'rinda turadi - bu majburiy sovutishga va shuning uchun fan shovqiniga olib keladi. Odatda ofislarda va turar-joylarda joylashgan tashqi qurilmalar uchun shovqinli ishlash deyarli qabul qilinishi mumkin emas.

Yana bir qiziq nuqta - portlarni taqsimlash. Periferik qurilmalarda u qanday ishlatilishi va qancha mijoz ulanishi ko'proq yoki kamroq aniq. Shunday qilib, siz WAN, LAN, DMZ-da portlarni qattiq qismlarga ajratishingiz, protokolga qattiq ulanishni amalga oshirishingiz va hokazo. Markaziy tugunda bunday aniqlik yo'q. Masalan, ular o'z interfeysi orqali ulanishni talab qiladigan yangi tarmoq segmentini qo'shdilar - va buni qanday qilish kerak? Bu interfeyslarni moslashuvchan tarzda sozlash qobiliyatiga ega bo'lgan yanada universal echimni talab qiladi.

Muhim nuance - bu qurilmaning turli funktsiyalar bilan to'yinganligi. Albatta, bitta uskunaning bitta ishni yaxshi bajarishining afzalliklari bor. Lekin eng qiziqarli vaziyat chapga, o'ngga qadam tashlash kerak bo'lganda boshlanadi. Albatta, har bir yangi vazifa uchun qo'shimcha ravishda boshqa maqsadli qurilma sotib olishingiz mumkin. Va shunga o'xshash byudjet yoki raf maydoni tugamaguncha.

Bundan farqli o'laroq, kengaytirilgan funktsiyalar to'plami bir nechta muammolarni hal qilishda bitta qurilma bilan ishlashga imkon beradi. Masalan, ZyWALL VPN1000 VPN ulanishlarining bir nechta turlarini, jumladan SSL va IPsec VPN, shuningdek, xodimlar uchun masofaviy ulanishlarni qo'llab-quvvatlaydi. Ya'ni, bitta "temir parcha" ham saytlararo, ham mijozlarga ulanish masalalarini yopadi. Ammo bitta "lekin" bor. Buning ishlashi uchun siz ishlash marjasiga ega bo'lishingiz kerak. Misol uchun, ZyWALL VPN1000 misolida, IPsec VPN apparat yadrosi yuqori VPN tunnel ishlashini ta'minlaydi, SHA-2 va IKEv2 algoritmlari bilan VPN balanslash/ortiqchaligi yuqori ishonchlilik va biznes xavfsizligini ta'minlaydi.

Yuqorida tavsiflangan bir yoki bir nechta yo'nalishlarni qamrab oluvchi ba'zi foydali xususiyatlar quyida keltirilgan.

SD WAN masofadan boshqarish va monitoring qilish imkoniyatiga ega saytlar o'rtasidagi aloqani markazlashtirilgan boshqarish imkoniyatlaridan foydalangan holda bulutli boshqaruv platformasini taqdim etadi. ZyWALL VPN1000, shuningdek, ilg'or VPN funksiyalari talab qilinadigan tegishli ish rejimini qo'llab-quvvatlaydi.

Muhim xizmatlar uchun bulutli platformalarni qo'llab-quvvatlash. ZyWALL VPN1000 Microsoft Azure va AWS bilan foydalanish uchun tasdiqlangan. Har qanday darajadagi tashkilot uchun oldindan tasdiqlangan qurilmalardan foydalanish afzalroqdir, ayniqsa IT infratuzilmasi mahalliy tarmoq va bulut kombinatsiyasidan foydalansa.

Kontentni filtrlash zararli yoki kiruvchi veb-saytlarga kirishni bloklash orqali xavfsizlikni oshiradi. Ishonchsiz yoki buzilgan saytlardan zararli dasturlarni yuklab olishning oldini oladi. ZyWALL VPN1000 bo'lsa, ushbu xizmat uchun yillik litsenziya darhol paketga kiritilgan.

Geo siyosati (GeoIP) keraksiz yoki potentsial xavfli hududlardan kirishni rad etib, trafikni kuzatish va IP manzillarining joylashuvini tahlil qilish imkonini beradi. Ushbu xizmat uchun yillik litsenziya ham qurilmani xarid qilish bilan birga kiritilgan.

Simsiz tarmoq boshqaruvi ZyWALL VPN1000 simsiz tarmoq boshqaruvchisini o'z ichiga oladi, bu sizga markazlashtirilgan foydalanuvchi interfeysidan 1032 tagacha kirish nuqtasini boshqarish imkonini beradi. Korxonalar boshqariladigan Wi-Fi tarmog'ini minimal harakat bilan o'rnatishi yoki kengaytirishi mumkin. Shuni ta'kidlash kerakki, 1032 raqami haqiqatan ham juda ko'p. Bitta kirish nuqtasiga 10 tagacha foydalanuvchi ulanishi mumkinligiga asoslanib, juda ta'sirli ko'rsatkich olinadi.

Muvozanat va ortiqcha. VPN seriyasi bir nechta tashqi interfeyslarda yukni muvozanatlash va ortiqcha yuklashni qo'llab-quvvatlaydi. Ya'ni, siz bir nechta provayderlardan bir nechta kanallarni ulashingiz mumkin va shu bilan o'zingizni aloqa muammolaridan himoya qilasiz.

Qurilmani zaxiralash qobiliyati (Device HA) qurilmalardan biri ishlamay qolganda ham uzluksiz ulanish uchun. Agar siz 24/7 minimal uzilishlar bilan ishni tashkil qilishingiz kerak bo'lsa, u holda buni qilish qiyin.

Zyxel Device HA Pro mavjud faol/passiv, bu murakkab o'rnatish tartibini talab qilmaydi. Bu sizga kirish eshigini pasaytirish va darhol brondan foydalanishni boshlash imkonini beradi. Undan farqli o'laroq faol/faoltizim ma'muri qo'shimcha treningdan o'tishi, dinamik marshrutlashni sozlashi, assimetrik paketlar nima ekanligini tushunishi va h.k. - rejimni sozlash faol/passiv ancha oson va kamroq vaqt talab etadi.

Zyxel Device HA Pro-dan foydalanilganda qurilmalar signal almashadi yurak urishi maxsus port orqali. uchun faol va passiv qurilma portlari yurak urishi Ethernet kabeli orqali ulangan. Passiv qurilma ma'lumotni faol qurilma bilan to'liq sinxronlashtiradi. Xususan, barcha seanslar, tunnellar, foydalanuvchi hisoblari qurilmalar o'rtasida sinxronlashtiriladi. Bundan tashqari, faol qurilma ishlamay qolsa, passiv qurilma konfiguratsiya faylining zaxira nusxasini saqlaydi. Shunday qilib, asosiy qurilma ishdan chiqqan taqdirda, o'tish muammosiz amalga oshiriladi.

Shuni ta'kidlash kerakki, faol tizimlarda/faol siz hali ham tizim resurslarining 20-25 foizini uzilish uchun zaxiralashingiz kerak. Da faol/passiv bitta qurilma butunlay kutish holatida va tarmoq trafigini darhol qayta ishlashga va tarmoqning normal ishlashini ta'minlashga tayyor.

Oddiy so‘zlar bilan aytganda: “Zyxel Device HA Pro-dan foydalanganda va zaxira kanalga ega bo‘lganda, biznes provayderning aybi bilan aloqani yo‘qotishdan ham, yo‘riqnoma ishdan chiqishi natijasidagi muammolardan ham himoyalangan.

Yuqorida aytilganlarning barchasini umumlashtirish

Tarqalgan tarmoqning markaziy tugunlari uchun ma'lum portlar (ulanish interfeyslari) bo'lgan qurilmadan foydalanish yaxshiroqdir. Shu bilan birga, ulanishning soddaligi va arzonligi uchun ikkala RJ45 interfeysi va optik tolali ulanish va o'ralgan juftlikni tanlash uchun SFP bo'lishi maqsadga muvofiqdir.

Ushbu qurilma bo'lishi kerak:

samarali, yukning keskin o'zgarishiga moslashtirilgan;
aniq interfeys bilan;
boy, ammo ortiqcha bo'lmagan o'rnatilgan funktsiyalar, shu jumladan xavfsizlik bilan bog'liq;
nosozliklarga chidamli sxemalarni qurish qobiliyati bilan - kanallarni ko'paytirish va qurilmalarni takrorlash;
qo'llab-quvvatlovchi boshqaruv, shuning uchun markaziy tugun va periferik qurilmalar ko'rinishidagi butun tarmoqlangan infratuzilma bir nuqtadan boshqariladi;
"Kek ustida muzlash" sifatida - bulut resurslari bilan integratsiya va boshqalar kabi zamonaviy tendentsiyalarni qo'llab-quvvatlash.

ZyWALL VPN1000 tarmoqning markaziy tuguni sifatida

ZyWALL VPN1000-ga birinchi marta qaraganingizda, Zyxel-dagi portlar saqlanib qolmaganligini ko'rishingiz mumkin.

Bizda ... bor:

12 ta konfiguratsiya qilinadigan RJ-45 portlari (GBE);
2 ta konfiguratsiya qilinadigan SFP portlari (GBE);
2G/3.0G modemlarini qo'llab-quvvatlaydigan 3 ta USB 4 porti.

Shakl 1. ZyWALL VPN1000 ning umumiy ko'rinishi.

Darhol ta'kidlash kerakki, qurilma uy-ofis uchun emas, birinchi navbatda samarali muxlislar tufayli. Bu erda ulardan to'rttasi bor.

Rasm 2. ZyWALL VPN1000 ning orqa paneli.

Keling, interfeys qanday ko'rinishini ko'rib chiqaylik.

Darhol muhim holatga e'tibor qaratish lozim. Funktsiyalar juda ko'p va ularni bitta maqola doirasida batafsil tasvirlab bo'lmaydi. Ammo Zyxel mahsulotlarining yaxshi tomoni shundaki, u erda juda batafsil hujjatlar, birinchi navbatda, foydalanuvchi (administrator) qo'llanmasi mavjud. Xususiyatlarning boyligi haqida tasavvurga ega bo'lish uchun keling, yorliqlarni ko'rib chiqaylik.

Odatiy bo'lib, 1-port va 2-port WAN-ga beriladi. Uchinchi portdan boshlab mahalliy tarmoq uchun interfeyslar mavjud.

Standart IP 3 bo'lgan 192.168.1.1-port ulanish uchun juda mos keladi.

Yamoq simini ulaymiz, manzilga o'tamiz https://192.168.1.1 va veb-interfeys foydalanuvchini ro'yxatdan o'tkazish oynasini kuzatishingiz mumkin.

nota. Boshqaruv uchun siz SD-WAN bulutli boshqaruv tizimidan foydalanishingiz mumkin.

Rasm 3. Login va parolni kiritish oynasi

Biz login va parolni kiritish tartibidan o'tamiz va ekranda asboblar paneli oynasini olamiz. Aslida, asboblar paneli uchun bo'lishi kerak bo'lganidek - ekran maydonining har bir parchasi uchun maksimal operatsion ma'lumot.

Shakl 4. ZyWALL VPN1000 - asboblar paneli.

Tez sozlash yorlig'i (Sehrgarlar)

Interfeysda ikkita yordamchi mavjud: WAN-ni sozlash va VPN-ni sozlash uchun. Aslida, yordamchilar yaxshi narsa, ular shablon sozlamalarini qurilma bilan tajribaga ega bo'lmasdan ham amalga oshirishga imkon beradi. Xo'sh, ko'proq narsani xohlaydiganlar uchun, yuqorida aytib o'tilganidek, batafsil hujjatlar mavjud.

Shakl 5. Tezkor sozlash yorlig'i.

Monitoring yorlig'i

Ko'rinishidan, Zyxel muhandislari printsipga amal qilishga qaror qilishdi: biz mumkin bo'lgan hamma narsani kuzatib boramiz. Albatta, markaziy tugun vazifasini bajaradigan qurilma uchun umumiy boshqaruv umuman zarar qilmaydi.

Yon paneldagi barcha elementlarni kengaytirish orqali ham, tanlovning boyligi ayon bo'ladi.

Shakl 6. Kengaytirilgan kichik elementlar bilan monitoring yorlig'i.

Konfiguratsiya yorlig'i

Bu erda xususiyatlarning boyligi yanada yaqqol namoyon bo'ladi.

Misol uchun, qurilma portini boshqarish juda chiroyli tarzda yaratilgan.

Shakl 7. Kengaytirilgan kichik elementlar bilan konfiguratsiya yorlig'i.

Xizmat ko'rsatish yorlig'i

Mikrodasturni yangilash, diagnostika, marshrutlash qoidalarini ko'rish va o'chirish uchun kichik bo'limlarni o'z ichiga oladi.

Bu funktsiyalar yordamchi xususiyatga ega va deyarli har bir tarmoq qurilmasida u yoki bu tarzda mavjud.

Shakl 8. Kengaytirilgan kichik elementlar bilan texnik xizmat ko'rsatish yorlig'i.

Qiyosiy ko'rsatkichlar

Bizning sharhimiz boshqa analoglar bilan taqqoslanmasdan to'liq bo'lmaydi.

Quyida ZyWALL VPN1000 ga eng yaqin analoglar jadvali va taqqoslash uchun xususiyatlar ro'yxati keltirilgan.

Jadval 1. ZyWALL VPN1000 ni analoglar bilan taqqoslash.

1-jadval uchun tushuntirishlar:

*1: Litsenziya talab qilinadi

*2: Past teginish bilan ta'minlash: administrator ZTP dan avval qurilmani mahalliy ravishda sozlashi kerak.

*3: Seansga asoslangan: DPS faqat yangi seansga qo'llaniladi; u joriy seansga ta'sir qilmaydi.

Ko'rib turganingizdek, analoglar bizning sharhimiz qahramoniga qaysidir ma'noda mos keladi, masalan, Fortinet FG‑100E ham o'rnatilgan WAN optimallashtirishga ega va Meraki MX100 o'rnatilgan AutoVPN (saytdan saytga) ega. funktsiyasi, lekin umuman olganda, ZyWALL VPN1000 bir ma'noda yetakchilik qiladi.

Markaziy sayt uchun qurilmalarni tanlash bo'yicha ko'rsatmalar (faqat Zyxel emas)

Ko'p tarmoqli keng tarmoqning markaziy tugunini tashkil qilish uchun qurilmalarni tanlashda siz bir qator parametrlarga e'tibor qaratishingiz kerak: texnik imkoniyatlar, boshqaruv qulayligi, xavfsizlik va xatolarga chidamlilik.

Funktsiyalarning keng doirasi, moslashuvchan konfiguratsiya imkoniyatiga ega bo'lgan katta miqdordagi jismoniy portlar: WAN, LAN, DMZ va boshqa yoqimli xususiyatlarning mavjudligi, masalan, kirish nuqtasini boshqarish boshqaruvchisi bir vaqtning o'zida ko'plab vazifalarni yopish imkonini beradi.

Hujjatlarning mavjudligi va qulay boshqaruv interfeysi muhim rol o'ynaydi.

Qo'lda oddiy ko'rinadigan narsalar bilan turli saytlar va joylarni qamrab oladigan tarmoq infratuzilmalarini yaratish unchalik qiyin emas va SD-WAN bulutidan foydalanish buni iloji boricha moslashuvchan va xavfsiz bajarishga imkon beradi.