Cần chú ý điều gì khi chọn bộ định tuyến VPN cho mạng phân tán? Và nó nên có những chức năng gì? Đây là mục đích mà bài đánh giá ZyWALL VPN1000 của chúng tôi hướng tới.
Giới thiệu
Trước đây, hầu hết các ấn phẩm của chúng tôi đều dành cho các thiết bị VPN cấp thấp để truy cập mạng từ các trang ngoại vi. Ví dụ: để kết nối các chi nhánh khác nhau với trụ sở chính, truy cập vào Mạng lưới các công ty nhỏ độc lập hoặc thậm chí là nhà riêng. Đã đến lúc nói về nút trung tâm của mạng phân tán.
Rõ ràng là sẽ không thể xây dựng một mạng lưới hiện đại của một doanh nghiệp lớn chỉ dựa trên các thiết bị hạng phổ thông. Và tổ chức một dịch vụ đám mây để cung cấp dịch vụ cho người tiêu dùng. Đâu đó phải lắp đặt những thiết bị có thể phục vụ một lượng lớn khách hàng cùng một lúc. Lần này chúng ta sẽ nói về một thiết bị như vậy - Zyxel VPN1000.
Đối với cả những người tham gia trao đổi mạng lớn và nhỏ, có thể xác định các tiêu chí để đánh giá tính phù hợp của một thiết bị cụ thể để giải quyết vấn đề.
Dưới đây là những cái chính:
- khả năng kỹ thuật và chức năng;
- ban quản lý;
- an ninh;
- khả năng chịu lỗi.
Thật khó để xác định điều gì quan trọng hơn và điều gì có thể làm được nếu không có. Mọi thứ đều cần thiết. Nếu thiết bị không đáp ứng các yêu cầu theo một số tiêu chí, điều này sẽ gặp nhiều vấn đề trong tương lai.
Tuy nhiên, một số tính năng nhất định của thiết bị được thiết kế để đảm bảo hoạt động của thiết bị trung tâm và thiết bị hoạt động chủ yếu ở vùng ngoại vi có thể khác biệt đáng kể.
Đối với nút trung tâm, sức mạnh tính toán được đặt lên hàng đầu - điều này dẫn đến việc làm mát cưỡng bức và do đó gây ra tiếng ồn từ quạt. Đối với các thiết bị ngoại vi thường được đặt trong văn phòng và gia đình, hoạt động ồn ào gần như không thể chấp nhận được.
Một điểm thú vị khác là việc phân phối các cổng. Trong các thiết bị ngoại vi, ít nhiều rõ ràng nó sẽ được sử dụng như thế nào và có bao nhiêu máy khách sẽ được kết nối. Do đó, bạn có thể thiết lập sự phân chia nghiêm ngặt các cổng thành WAN, LAN, DMZ, liên kết chặt chẽ với giao thức, v.v. Không có sự chắc chắn như vậy ở trung tâm trung tâm. Ví dụ: chúng tôi đã thêm một phân đoạn mạng mới yêu cầu kết nối thông qua giao diện riêng của nó - và làm cách nào để thực hiện việc này? Điều này đòi hỏi một giải pháp phổ quát hơn với khả năng cấu hình giao diện linh hoạt.
Một sắc thái quan trọng là thiết bị có nhiều chức năng khác nhau. Tất nhiên, cách tiếp cận để một thiết bị thực hiện tốt một nhiệm vụ duy nhất có những ưu điểm của nó. Nhưng tình huống thú vị nhất bắt đầu khi bạn cần bước sang trái, bước sang phải. Tất nhiên, với mỗi nhiệm vụ mới, bạn có thể mua thêm một thiết bị mục tiêu khác. Và cứ như vậy cho đến khi hết ngân sách hoặc không gian lưu trữ.
Ngược lại, một bộ chức năng mở rộng cho phép bạn xử lý bằng một thiết bị khi giải quyết một số vấn đề. Ví dụ: ZyWALL VPN1000 hỗ trợ nhiều loại kết nối VPN, bao gồm SSL và IPsec VPN, cũng như các kết nối từ xa cho nhân viên. Nghĩa là, một phần cứng giải quyết các vấn đề về cả kết nối giữa các trang và máy khách. Nhưng có một chữ “nhưng”. Để làm việc này, bạn cần phải có một khoản dự trữ hiệu suất. Ví dụ: trong trường hợp của ZyWALL VPN1000, lõi phần cứng IPsec VPN cung cấp hiệu suất đường hầm VPN cao và cân bằng/dự phòng VPN với thuật toán SHA-2 và IKEv2 mang lại độ tin cậy và bảo mật cao cho doanh nghiệp.
Dưới đây là một số tính năng hữu ích bao gồm một hoặc nhiều lĩnh vực được mô tả ở trên.
SD WAN cung cấp nền tảng quản lý đám mây, tận dụng lợi ích của việc quản lý tập trung thông tin liên lạc giữa các địa điểm với khả năng điều khiển và giám sát từ xa. ZyWALL VPN1000 cũng hỗ trợ chế độ hoạt động tương ứng yêu cầu các chức năng VPN nâng cao.
Hỗ trợ nền tảng đám mây cho các dịch vụ quan trọng. ZyWALL VPN1000 đã được thử nghiệm để sử dụng với Microsoft Azure và AWS. Tổ chức ở mọi cấp độ đều thích hợp sử dụng các thiết bị đã được thử nghiệm trước, đặc biệt nếu cơ sở hạ tầng CNTT sử dụng kết hợp mạng cục bộ và đám mây.
Lọc nội dung Tăng cường bảo mật bằng cách chặn quyền truy cập vào các trang web độc hại hoặc không mong muốn. Ngăn chặn tải xuống phần mềm độc hại từ các trang web không đáng tin cậy hoặc bị tấn công. Trong trường hợp ZyWALL VPN1000, giấy phép hàng năm cho dịch vụ này đã được bao gồm trong gói.
Địa chính trị (IP địa lý) cho phép bạn giám sát lưu lượng truy cập và phân tích vị trí của địa chỉ IP, từ chối quyền truy cập từ các khu vực không cần thiết hoặc tiềm ẩn nguy hiểm. Giấy phép hàng năm cho dịch vụ này cũng được bao gồm khi mua thiết bị.
Quản lý mạng không dây ZyWALL VPN1000 bao gồm bộ điều khiển mạng không dây cho phép bạn quản lý tới 1032 điểm truy cập từ giao diện người dùng tập trung. Doanh nghiệp có thể triển khai hoặc mở rộng mạng Wi-Fi được quản lý với nỗ lực tối thiểu. Điều đáng chú ý là con số 1032 thực sự rất nhiều. Dựa trên tính toán có thể có tới 10 người dùng có thể kết nối vào một điểm truy cập thì đây là một con số khá ấn tượng.
Cân bằng và dự phòng. Dòng VPN hỗ trợ cân bằng tải và dự phòng trên nhiều giao diện bên ngoài. Nghĩa là, bạn có thể kết nối một số kênh từ một số nhà cung cấp, từ đó bảo vệ bản thân khỏi các vấn đề liên lạc.
Khả năng dự phòng thiết bị (Thiết bị HA) để kết nối không ngừng, ngay cả khi một trong các thiết bị bị lỗi. Thật khó để thực hiện nếu không có điều này nếu bạn cần tổ chức công việc 24/7 với thời gian ngừng hoạt động tối thiểu.
Thiết bị Zyxel HA Pro hoạt động ở thụ động tích cực, không yêu cầu quy trình thiết lập phức tạp. Điều này cho phép bạn hạ ngưỡng đầu vào và ngay lập tức bắt đầu sử dụng đặt chỗ. không giống đang hoạt động/đang hoạt động, khi quản trị viên hệ thống cần trải qua đào tạo bổ sung, có thể định cấu hình định tuyến động, hiểu gói bất đối xứng là gì, v.v. - Cài đặt chế độ thụ động tích cực Nó hoạt động dễ dàng hơn nhiều và đòi hỏi ít thời gian hơn.
Khi sử dụng Zyxel Device HA Pro, các thiết bị trao đổi tín hiệu nhịp tim thông qua một cổng chuyên dụng. Cổng thiết bị chủ động và thụ động cho nhịp tim được kết nối thông qua cáp Ethernet. Thiết bị thụ động đồng bộ hóa hoàn toàn thông tin với thiết bị hoạt động. Đặc biệt, tất cả các phiên, đường hầm và tài khoản người dùng đều được đồng bộ hóa giữa các thiết bị. Ngoài ra, thiết bị thụ động còn duy trì bản sao lưu của tệp cấu hình trong trường hợp thiết bị hoạt động bị lỗi. Điều này đảm bảo quá trình chuyển đổi liền mạch trong trường hợp thiết bị chính bị lỗi.
Điều đáng chú ý là trong các hệ thống hoạt động/ active bạn vẫn phải dành 20-25% tài nguyên hệ thống để chuyển đổi dự phòng. Tại thụ động tích cực một thiết bị hoàn toàn ở trạng thái chờ và sẵn sàng xử lý ngay lưu lượng mạng và duy trì hoạt động mạng bình thường.
Nói một cách đơn giản: “Khi sử dụng Thiết bị Zyxel HA Pro và có kênh dự phòng, doanh nghiệp được bảo vệ khỏi mất liên lạc do lỗi của nhà cung cấp và khỏi các sự cố do lỗi bộ định tuyến.
Tổng hợp tất cả những điều trên
Đối với nút trung tâm của mạng phân tán, tốt hơn nên sử dụng thiết bị có nguồn cung cấp cổng (giao diện kết nối) nhất định. Trong trường hợp này, mong muốn có cả giao diện RJ45 để kết nối đơn giản và tiết kiệm chi phí cũng như SFP để lựa chọn giữa kết nối cáp quang và cặp xoắn.
Thiết bị này phải là:
- năng suất, thích nghi với những thay đổi đột ngột về tải;
- với giao diện rõ ràng;
- với số lượng chức năng tích hợp phong phú nhưng không quá nhiều, bao gồm cả những chức năng liên quan đến bảo mật;
- với khả năng xây dựng các mạch có khả năng chịu lỗi - sao chép kênh và sao chép thiết bị;
- hỗ trợ quản lý để toàn bộ cơ sở hạ tầng phân nhánh dưới dạng nút trung tâm và các thiết bị ngoại vi có thể được quản lý từ một điểm;
- như “anh đào trên bánh” - hỗ trợ cho các xu hướng hiện đại như tích hợp với tài nguyên đám mây, v.v.
ZyWALL VPN1000 là nút trung tâm của mạng
Thoạt nhìn vào ZyWALL VPN1000, có thể thấy rõ Zyxel không hề chừa cổng.
Chúng ta có:
-
12 cổng RJ‑45 (GBE) có thể cấu hình;
-
2 cổng SFP có thể cấu hình (GBE);
-
2 cổng USB 3.0 hỗ trợ modem 3G/4G.
Hình 1. Tổng quan về ZyWALL VPN1000.
Cần lưu ý ngay rằng thiết bị này không dành cho văn phòng tại nhà, chủ yếu là do quạt hoạt động mạnh. Có bốn người trong số họ ở đây.
Hình 2. Mặt sau của ZyWALL VPN1000.
Hãy xem giao diện trông như thế nào.
Bạn nên chú ý ngay đến một tình huống quan trọng. Có rất nhiều chức năng và sẽ không thể mô tả chi tiết chúng trong một bài viết. Nhưng điểm hay của sản phẩm Zyxel là có tài liệu hướng dẫn rất chi tiết, trước hết là hướng dẫn sử dụng (quản trị viên). Do đó, để biết được sự phong phú của các chức năng, chúng ta hãy xem qua các tab.
Theo mặc định, cổng 1 và cổng 2 được gán cho WAN. Bắt đầu từ cổng thứ ba có các giao diện cho mạng cục bộ.
Cổng thứ 3 với IP mặc định 192.168.1.1 khá phù hợp để kết nối.
Chúng tôi kết nối patchcord, đi đến địa chỉ và bạn có thể quan sát cửa sổ đăng ký người dùng của giao diện web.
Ghi. Để quản lý, bạn có thể sử dụng hệ thống quản lý đám mây SD-WAN.
Hình 3. Cửa sổ nhập thông tin đăng nhập và mật khẩu
Chúng ta thực hiện thủ tục nhập thông tin đăng nhập và mật khẩu và nhận được cửa sổ Bảng điều khiển trên màn hình. Trên thực tế, nó phải như vậy đối với Bảng điều khiển - thông tin vận hành tối đa trên mọi phần không gian màn hình.
Hình 4. ZyWALL VPN1000 - Bảng điều khiển.
Tab cài đặt nhanh (Trình hướng dẫn)
Có hai trợ lý trong giao diện: để thiết lập mạng WAN và thiết lập VPN. Trên thực tế, trợ lý là một điều tốt, chúng cho phép bạn thực hiện cài đặt mẫu ngay cả khi không có kinh nghiệm làm việc với thiết bị. Vâng, đối với những người muốn nhiều hơn, như đã đề cập ở trên, có tài liệu chi tiết.
Hình 5. Tab Cài đặt nhanh.
Tab giám sát
Rõ ràng, các kỹ sư từ Zyxel đã quyết định tuân theo nguyên tắc: chúng tôi giám sát mọi thứ có thể. Tất nhiên, đối với một thiết bị hoạt động như một trung tâm trung tâm, việc kiểm soát toàn bộ sẽ không ảnh hưởng gì cả.
Thậm chí chỉ cần mở rộng tất cả các mục trên thanh bên, sự lựa chọn phong phú sẽ trở nên rõ ràng.
Hình 6. Tab giám sát với các mục con được mở rộng.
Tab cấu hình
Ở đây sự phong phú của các chức năng thậm chí còn rõ ràng hơn.
Ví dụ: quản lý cổng thiết bị được thiết kế rất độc đáo.
Hình 7. Tab cấu hình với các mục con mở rộng.
Tab bảo trì
Chứa các phần phụ để cập nhật chương trình cơ sở, chẩn đoán, xem quy tắc định tuyến và tắt.
Các chức năng này có tính chất phụ trợ và hiện diện ở mức độ này hay mức độ khác trong hầu hết mọi thiết bị mạng.
Hình 8. Tab bảo trì với các mục con mở rộng.
Đặc điểm so sánh
Đánh giá của chúng tôi sẽ không đầy đủ nếu không so sánh với các chất tương tự khác.
Dưới đây là bảng tương tự gần nhất với ZyWALL VPN1000 và danh sách các chức năng để so sánh.
Bảng 1. So sánh ZyWALL VPN1000 với các thiết bị tương tự.
Giải thích cho Bảng 1:
*1: Cần có giấy phép
*2: Cung cấp cảm ứng thấp: Trước tiên, quản trị viên phải định cấu hình thiết bị cục bộ trước ZTP.
*3: Dựa trên phiên: DPS sẽ chỉ áp dụng cho phiên mới; điều này sẽ không ảnh hưởng đến phiên hiện tại.
Như bạn có thể thấy, theo một số cách, các thiết bị tương tự đang bắt kịp người hùng trong bài đánh giá của chúng tôi, chẳng hạn như Fortinet FG‑100E cũng có tính năng tối ưu hóa WAN tích hợp và Meraki MX100 có AutoVPN tích hợp sẵn (kết nối trang web với -site), nhưng nhìn chung, ZyWALL VPN1000 rõ ràng là dẫn đầu về bộ chức năng toàn diện của nó.
Khuyến nghị khi chọn thiết bị cho nút trung tâm (không chỉ Zyxel)
Khi chọn thiết bị để tổ chức nút trung tâm của mạng rộng khắp có nhiều nhánh, bạn nên tập trung vào một số tham số: khả năng kỹ thuật, tính dễ quản lý, bảo mật và khả năng chịu lỗi.
Một loạt các chức năng, một số lượng lớn cổng vật lý với cấu hình linh hoạt: WAN, LAN, DMZ và sự hiện diện của các chức năng thú vị khác, chẳng hạn như bộ điều khiển quản lý điểm truy cập, cho phép bạn hoàn thành nhiều tác vụ cùng một lúc.
Một vai trò quan trọng được đóng bởi sự sẵn có của tài liệu và giao diện quản lý thuận tiện.
Với những thứ tưởng chừng như đơn giản như vậy trong tay, việc tạo cơ sở hạ tầng mạng trải rộng trên nhiều địa điểm và địa điểm khác nhau không quá khó và việc sử dụng đám mây SD-WAN cho phép bạn thực hiện điều này với tính linh hoạt và bảo mật tối đa.
Liên kết hữu ích
Nguồn: www.habr.com