為分佈式網絡選擇 VPN 路由器時要注意什麼? 它應該有什麼特點? 這就是我們對 ZyWALL VPN1000 的評論所致力於的。
介紹
在此之前,我們的大部分出版物都致力於介紹用於從外圍設施訪問網絡的初級 VPN 設備。 例如,將各個分支機構與總部連接起來,接入小型獨立公司甚至私人住宅的網絡。 是時候談談分佈式網絡的中心節點了。
很明顯,僅在經濟級設備的基礎上建設大型企業的現代化網絡是行不通的。 並組織雲服務來為消費者提供服務。 在某個地方,必須安裝可以同時為大量客戶提供服務的設備。 這次我們將討論這樣一種設備 - Zyxel VPN1000。
對於網絡交換中的大型和小型參與者,可以區分評估特定設備是否適合解決問題的標準。
以下是主要的:
- 技術和功能能力;
- 控制;
- 安全;
- 容錯。
很難區分什麼更重要,什麼可以不做。 一切都需要。 如果根據某些標準,該設備沒有達到要求的水平,那麼將來就會充滿問題。
但是,旨在確保中央節點運行的設備和主要在外圍運行的設備的某些功能可能存在顯著差異。
對於中央節點,計算能力是第一位的——這會導致強製冷卻,因此會產生風扇噪音。 對於通常在辦公室和住宅區中發現的外圍設備,嘈雜的操作幾乎是不可接受的。
另一個有趣的地方是端口的分佈。 在外圍設備中,將如何使用以及將連接多少個客戶端或多或少是很清楚的。 因此,可以對WAN、LAN、DMZ上的端口進行硬分區,對協議進行硬綁定等。 中心節點沒有這種確定性。 例如,他們添加了一個新網段,需要通過其自己的接口進行連接——如何實現? 這就需要一個更通用的解決方案,能夠靈活配置接口。
一個重要的細微差別是設備具有各種功能的飽和度。 當然,讓一台設備做好一項工作是有好處的。 但最有趣的情況是當你需要向左走一步,向右走一步時。 當然,您可以為每個新任務額外購買另一個目標設備。 依此類推,直到預算或機架空間用完。
相比之下,一組擴展的功能允許您在解決多個問題時使用一台設備。 例如,ZyWALL VPN1000 支持多種類型的 VPN 連接,包括 SSL 和 IPsec VPN,以及員工遠程連接。 也就是說,一塊“鐵”解決了站點間和客戶端連接的問題。 但是有一個“但是”。 為此,您需要有一定的性能餘量。 例如,對於 ZyWALL VPN1000,IPsec VPN 硬件核心提供了高 VPN 隧道性能,而 VPN 平衡/冗餘與 SHA-2 和 IKEv2 算法確保了高可靠性和業務安全性。
下面列出了一些有用的功能,涵蓋了上述一個或多個方向。
廣域網 提供雲管理平台,利用站點間通信的集中管理,具有遠程控制和監控的能力。 ZyWALL VPN1000 還支持需要高級 VPN 功能的適當操作模式。
支持關鍵服務的雲平台。 ZyWALL VPN1000 經過驗證可與 Microsoft Azure 和 AWS 一起使用。 任何級別的組織都最好使用預先驗證的設備,尤其是當 IT 基礎設施使用本地網絡和雲的組合時。
內容過濾 通過阻止訪問惡意或不需要的網站來增強安全性。 防止從不受信任或被黑的站點下載惡意軟件。 對於 ZyWALL VPN1000,此服務的年度許可證立即包含在包裝中。
地緣政策 (地理IP) 允許您跟踪流量並分析 IP 地址的位置,拒絕來自不必要或潛在危險區域的訪問。 購買設備時還包含此服務的年度許可證。
無線網絡管理 ZyWALL VPN1000 包括一個無線網絡控制器,允許您從一個集中的用戶界面管理多達 1032 個接入點。 企業可以輕鬆部署或擴展託管 Wi-Fi 網絡。 值得注意的是,1032這個數字真的很多。 基於最多 10 個用戶可以連接到一個接入點這一事實,得出了一個相當可觀的數字。
平衡和冗餘. VPN 系列支持跨多個外部接口的負載平衡和冗餘。 也就是說,您可以連接來自多個供應商的多個渠道,從而保護自己免受通信問題的影響。
設備冗餘能力(Device HA) 實現不間斷連接,即使其中一台設備出現故障。 如果您需要以最少的停機時間組織 24/7 全天候工作,就很難沒有它。
Zyxel Device HA Pro 在 主動/被動,不需要復雜的設置程序。 這使您可以降低進入門檻並立即開始使用預訂。 不像 主動/主動當系統管理員需要接受額外培訓時,能夠配置動態路由,了解什麼是非對稱數據包等。 - 模式設置 主動/被動 更容易,更省時。
使用 Zyxel Device HA Pro 時,設備交換信號 心跳 通過專用端口。 有源和無源設備端口 心跳 通過以太網電纜連接。 無源設備與有源設備完全同步信息。 特別是,所有會話、隧道、用戶帳戶都在設備之間同步。 此外,被動設備保留配置文件的備份副本,以防主動設備發生故障。 因此,在主設備出現故障的情況下,過渡是無縫的。
應該注意的是,在有源系統中/主動 您仍然必須保留 20-25% 的系統資源用於故障轉移。 在 主動/被動 一台設備完全處於待機狀態,隨時準備立即處理網絡流量並維持正常的網絡運行。
簡而言之:“當使用 Zyxel Device HA Pro 並擁有備用通道時,企業既不會因提供商的故障而丟失通信,也不會因路由器故障而出現問題。
總結以上所有內容
對於分佈式網絡的中心節點,最好使用具有一定端口(連接接口)供應的設備。 同時,希望既有 RJ45 接口以連接簡單和便宜,又有 SFP 以在光纖連接和雙絞線之間進行選擇。
該設備必須是:
- 高效,適應負載的突然變化;
- 界面清晰;
- 具有豐富但不冗餘的內置功能,包括與安全相關的功能;
- 具有構建容錯方案的能力——通道複製和設備複製;
- 支持管理,使整個分支基礎設施以中心節點和外圍設備的形式從一個點進行管理;
- 作為“錦上添花”——支持現代趨勢,如與雲資源的集成等。
ZyWALL VPN1000 作為網絡的中心節點
當您第一次查看 ZyWALL VPN1000 時,您會發現 Zyxel 中的端口並沒有倖免。
我們有:
-
12 個可配置的 RJ-45 端口 (GBE);
-
2 個可配置的 SFP 端口 (GBE);
-
2 個 USB 3.0 端口,支持 3G/4G 調製解調器。
圖 1. ZyWALL VPN1000 的一般視圖。
應該立即註意該設備不適用於家庭辦公室,主要是因為高效風扇。 這裡有四個。
圖 2. ZyWALL VPN1000 的後面板。
讓我們看看界面是什麼樣子的。
立即值得關註一個重要情況。 功能很多,不可能在一篇文章的框架內詳述。 但是Zyxel產品的好處就是有非常詳細的文檔,首先是用戶(管理員)手冊。 因此,為了了解功能的豐富性,讓我們瀏覽一下選項卡。
默認情況下,端口 1 和端口 2 交給 WAN。 從第三個端口開始,有用於本地網絡的接口。
默認IP為3的第三個端口非常適合連接。
我們連接跳線,去地址 並且您可以觀察到網絡界面用戶註冊窗口。
注意. 對於管理,您可以使用 SD-WAN 雲管理系統。
圖 3. 登錄和密碼輸入窗口
我們完成輸入登錄名和密碼的過程,並在屏幕上顯示儀表板窗口。 實際上,對於儀表板來說,它應該是這樣的——每個屏幕空間的最大操作信息。
圖 4. ZyWALL VPN1000 - 儀表板。
快速設置選項卡(嚮導)
界面中有兩個助手:配置WAN和配置VPN。 事實上,助手是個好東西,它們可以讓你在沒有使用設備經驗的情況下進行模板設置。 好吧,對於那些想要更多的人,如上所述,有詳細的文檔。
圖 5. 快速設置選項卡。
監控選項卡
顯然,Zyxel 的工程師決定遵循以下原則:我們監控一切可能的事情。 當然,對於充當中心節點的設備來說,完全控制並沒有什麼壞處。
即使只是擴展側邊欄上的所有項目,選擇的豐富性也變得顯而易見。
圖 6. 帶有擴展子項的監控選項卡。
配置選項卡
在這裡,功能的豐富性就更加明顯了。
例如,設備端口管理設計得非常好。
圖 7. 帶有展開子項的配置選項卡。
維護選項卡
包含更新固件、診斷、查看路由規則和關閉的小節。
這些功能具有輔助性質,並且以這種或那種方式存在於幾乎每個網絡設備中。
圖 8. 帶有展開子項的維護選項卡。
比較特點
如果不與其他類似物進行比較,我們的評論將是不完整的。
下表是最接近 ZyWALL VPN1000 的類似物和用於比較的功能列表。
表 1. ZyWALL VPN1000 與類似物的比較。
表一說明:
*1:需要許可證
*2:Low Touch Provision:管理員必須先在本地配置設備,然後再進行 ZTP。
*3:基於會話:DPS 將僅適用於新會話; 它不會影響當前會話。
如您所見,類似產品在某些方面正在趕上我們評測的主角,例如,Fortinet FG‑100E 還具有內置的 WAN 優化功能,而 Meraki MX100 具有內置的 AutoVPN(站點到站點)功能,但總的來說,ZyWALL VPN1000 毫不含糊地處於領先地位。
為中心站點選擇設備的指南(不僅僅是 Zyxel)
在選擇用於組織具有許多分支的廣泛網絡的中心節點的設備時,應該關註一些參數:技術能力、管理的便利性、安全性和容錯性。
廣泛的功能、大量的物理端口以及靈活配置的可能性:WAN、LAN、DMZ 以及其他不錯的功能,例如接入點管理控制器,讓您可以一次完成許多任務。
文檔的可用性和方便的管理界面發揮了重要作用。
有了這些看似簡單的東西,創建捕獲各種站點和位置的網絡基礎設施並不難,而使用 SD-WAN 雲可以讓您盡可能靈活、安全地做到這一點。
有用的鏈接
來源: www.habr.com