为分布式网络选择 VPN 路由器时要注意什么? 它应该有什么特点? 这就是我们对 ZyWALL VPN1000 的评论所致力于的。
介绍
在此之前,我们的大部分出版物都致力于介绍用于从外围设施访问网络的初级 VPN 设备。 例如,将各个分支机构与总部连接起来,接入小型独立公司甚至私人住宅的网络。 是时候谈谈分布式网络的中心节点了。
很明显,仅在经济级设备的基础上建设大型企业的现代化网络是行不通的。 并组织云服务来为消费者提供服务。 在某个地方,必须安装可以同时为大量客户提供服务的设备。 这次我们将讨论这样一种设备 - Zyxel VPN1000。
对于网络交换中的大型和小型参与者,可以区分评估特定设备是否适合解决问题的标准。
以下是主要的:
- 技术和功能能力;
- 控制;
- 安全;
- 容错。
很难区分什么更重要,什么可以不做。 一切都需要。 如果根据某些标准,该设备没有达到要求的水平,那么将来就会充满问题。
但是,旨在确保中央节点运行的设备和主要在外围运行的设备的某些功能可能会有很大差异。
对于中央节点,计算能力是第一位的——这会导致强制冷却,因此会产生风扇噪音。 对于通常在办公室和住宅区中发现的外围设备,嘈杂的操作几乎是不可接受的。
另一个有趣的地方是端口的分布。 在外围设备中,将如何使用以及将连接多少个客户端或多或少是很清楚的。 因此,可以对WAN、LAN、DMZ上的端口进行硬分区,对协议进行硬绑定等。 中心节点没有这种确定性。 例如,他们添加了一个新网段,需要通过其自己的接口进行连接——如何实现? 这就需要一个更通用的解决方案,能够灵活配置接口。
一个重要的细微差别是设备具有各种功能的饱和度。 当然,让一台设备做好一项工作是有好处的。 但最有趣的情况是当你需要向左走一步,向右走一步时。 当然,您可以为每个新任务额外购买另一个目标设备。 依此类推,直到预算或机架空间用完。
相比之下,一组扩展的功能允许您在解决多个问题时使用一台设备。 例如,ZyWALL VPN1000 支持多种类型的 VPN 连接,包括 SSL 和 IPsec VPN,以及员工远程连接。 也就是说,一块“铁”解决了站点间和客户端连接的问题。 但是有一个“但是”。 为此,您需要有一定的性能余量。 例如,对于 ZyWALL VPN1000,IPsec VPN 硬件核心提供了高 VPN 隧道性能,而 VPN 平衡/冗余与 SHA-2 和 IKEv2 算法确保了高可靠性和业务安全性。
下面列出了一些有用的功能,涵盖了上述一个或多个方向。
SD-WAN 提供了一个云管理平台,利用集中管理站点之间的通信,并具有远程控制和监控的能力。 ZyWALL VPN1000 还支持需要高级 VPN 功能的适当操作模式。
支持关键服务的云平台。 ZyWALL VPN1000 经过验证可与 Microsoft Azure 和 AWS 一起使用。 任何级别的组织都最好使用预先验证的设备,尤其是当 IT 基础设施使用本地网络和云的组合时。
内容过滤 通过阻止访问恶意或不需要的网站来增强安全性。 防止从不受信任或被黑的站点下载恶意软件。 对于 ZyWALL VPN1000,此服务的年度许可证立即包含在包装中。
地缘政策 (地理IP) 允许您跟踪流量并分析 IP 地址的位置,拒绝来自不必要或潜在危险区域的访问。 购买设备时还包含此服务的年度许可证。
无线网络管理 ZyWALL VPN1000 包括一个无线网络控制器,允许您从一个集中的用户界面管理多达 1032 个接入点。 企业可以轻松部署或扩展托管 Wi-Fi 网络。 值得注意的是,1032这个数字真的很多。 基于最多 10 个用户可以连接到一个接入点这一事实,得出了一个相当可观的数字。
平衡和冗余. VPN 系列支持跨多个外部接口的负载平衡和冗余。 也就是说,您可以连接来自多个供应商的多个渠道,从而保护自己免受通信问题的影响。
设备冗余能力(Device HA) 实现不间断连接,即使其中一台设备出现故障。 如果您需要以最少的停机时间组织 24/7 全天候工作,就很难没有它。
Zyxel Device HA Pro 在 主动/被动,不需要复杂的设置程序。 这使您可以降低进入门槛并立即开始使用预订。 不像 主动/主动当系统管理员需要接受额外培训时,能够配置动态路由,了解什么是非对称数据包等。 - 模式设置 主动/被动 更容易,更省时。
使用 Zyxel Device HA Pro 时,设备交换信号 心跳 通过专用端口。 有源和无源设备端口 心跳 通过以太网电缆连接。 无源设备与有源设备完全同步信息。 特别是,所有会话、隧道、用户帐户都在设备之间同步。 此外,被动设备保留配置文件的备份副本,以防主动设备发生故障。 因此,在主设备出现故障的情况下,过渡是无缝的。
应该注意的是,在有源系统中/主动 您仍然必须保留 20-25% 的系统资源用于故障转移。 在 主动/被动 一台设备完全处于待机状态,随时准备立即处理网络流量并维持正常的网络运行。
简而言之:“当使用 Zyxel Device HA Pro 并拥有备用通道时,企业既不会因提供商的故障而丢失通信,也不会因路由器故障而出现问题。
总结以上所有内容
对于分布式网络的中心节点,最好使用具有一定端口(连接接口)供应的设备。 同时,希望既有 RJ45 接口以连接简单和便宜,又有 SFP 以在光纤连接和双绞线之间进行选择。
该设备必须是:
- 高效,适应负载的突然变化;
- 界面清晰;
- 具有丰富但不冗余的内置功能,包括与安全相关的功能;
- 具有构建容错方案的能力——通道复制和设备复制;
- 支持管理,使整个分支基础设施以中心节点和外围设备的形式从一个点进行管理;
- 作为“锦上添花”——支持现代趋势,如与云资源的集成等。
ZyWALL VPN1000 作为网络的中心节点
当您第一次查看 ZyWALL VPN1000 时,您会发现 Zyxel 中的端口并没有幸免。
我们有:
-
12 个可配置的 RJ-45 端口 (GBE);
-
2 个可配置的 SFP 端口 (GBE);
-
2 个 USB 3.0 端口,支持 3G/4G 调制解调器。
图 1. ZyWALL VPN1000 的一般视图。
应该立即注意该设备不适用于家庭办公室,主要是因为高效风扇。 这里有四个。
图 2. ZyWALL VPN1000 的后面板。
让我们看看界面是什么样子的。
立即值得关注一个重要情况。 功能很多,不可能在一篇文章的框架内详述。 但是Zyxel产品的好处就是有非常详细的文档,首先是用户(管理员)手册。 因此,为了了解功能的丰富性,让我们浏览一下选项卡。
默认情况下,端口 1 和端口 2 交给 WAN。 从第三个端口开始,有用于本地网络的接口。
默认IP为3的第三个端口非常适合连接。
我们连接跳线,去地址 并且您可以观察到网络界面用户注册窗口。
注意. 对于管理,您可以使用 SD-WAN 云管理系统。
图 3. 登录和密码输入窗口
我们完成输入登录名和密码的过程,并在屏幕上显示仪表板窗口。 实际上,对于仪表板来说,它应该是这样的——每个屏幕空间的最大操作信息。
图 4. ZyWALL VPN1000 - 仪表板。
快速设置选项卡(向导)
界面中有两个助手:配置WAN和配置VPN。 事实上,助手是个好东西,它们可以让你在没有使用设备经验的情况下进行模板设置。 好吧,对于那些想要更多的人,如上所述,有详细的文档。
图 5. 快速设置选项卡。
监控选项卡
显然,Zyxel 的工程师决定遵循以下原则:我们监控一切可能的事情。 当然,对于充当中心节点的设备来说,完全控制并没有什么坏处。
即使只是扩展侧边栏上的所有项目,选择的丰富性也变得显而易见。
图 6. 带有扩展子项的监控选项卡。
配置选项卡
在这里,功能的丰富性就更加明显了。
例如,设备端口管理设计得非常好。
图 7. 带有展开子项的配置选项卡。
维护选项卡
包含更新固件、诊断、查看路由规则和关闭的小节。
这些功能具有辅助性质,并且以这种或那种方式存在于几乎每个网络设备中。
图 8. 带有展开子项的维护选项卡。
比较特征
如果不与其他类似物进行比较,我们的评论将是不完整的。
下表是最接近 ZyWALL VPN1000 的类似物和用于比较的功能列表。
表 1. ZyWALL VPN1000 与类似物的比较。
表一说明:
*1:需要许可证
*2:Low Touch Provision:管理员必须先在本地配置设备,然后再进行 ZTP。
*3:基于会话:DPS 将仅适用于新会话; 它不会影响当前会话。
如您所见,类似产品在某些方面正在赶上我们评测的主角,例如,Fortinet FG‑100E 还具有内置的 WAN 优化功能,而 Meraki MX100 具有内置的 AutoVPN(站点到站点)功能,但总的来说,ZyWALL VPN1000 毫不含糊地处于领先地位。
为中心站点选择设备的指南(不仅仅是 Zyxel)
在选择用于组织具有许多分支的广泛网络的中心节点的设备时,应该关注一些参数:技术能力、管理的便利性、安全性和容错性。
广泛的功能、大量的物理端口以及灵活配置的可能性:WAN、LAN、DMZ 以及其他不错的功能,例如接入点管理控制器,让您可以一次完成许多任务。
文档的可用性和方便的管理界面发挥了重要作用。
有了这些看似简单的东西,创建捕获各种站点和位置的网络基础设施并不难,而使用 SD-WAN 云可以让您尽可能灵活、安全地做到这一点。
有用的链接
来源: habr.com