Веб-Паук Или Центральный Узел Распределенной Сети

На что обратить внимание при выборе VPN-маршрутизатора для распределенной сети? И какие функции у него должны быть? Именно этому посвящен наш обзор ZyWALL VPN1000.

Введение

Например, для соединения различных филиалов со штаб-квартирой, доступа к Сети небольших независимых компаний или даже частных домов.

Пришло время поговорить о центральном узле распределенной сети.

Понятно, что построить современную сеть крупного предприятия только на базе устройств эконом-класса не получится.

А также организовать облачный сервис для предоставления услуг потребителям.

Где-то должно быть установлено оборудование, способное обслуживать большое количество клиентов одновременно.

На этот раз речь пойдет об одном таком устройстве — Zyxel VPN1000. Как для крупных, так и для мелких участников сетевого обмена можно выделить критерии, по которым оценивается пригодность того или иного устройства для решения той или иной задачи.

Ниже приведены основные из них:

• технические и функциональные возможности;
• контроль;
• безопасность;
• Отказоустойчивость.

Все необходимо.

Если устройство не соответствует требованиям по какому-то критерию, это чревато проблемами в будущем.

Однако некоторые особенности устройств, предназначенных для обеспечения работы центральных блоков и оборудования, работающего преимущественно на периферии, могут существенно различаться.

Для центрального узла на первом месте стоит вычислительная мощность — это приводит к принудительному охлаждению, а, следовательно, и к шуму от вентилятора.

Для периферийных устройств, которые обычно располагаются в офисах и домах, шумная работа практически недопустима.

Еще один интересный момент — распределение портов.

В периферийных устройствах более-менее понятно, как оно будет использоваться и сколько клиентов будет подключено.

Поэтому можно поставить жесткое разделение портов на WAN, LAN, DMZ, строго привязать к протоколу и так далее.

В центральном узле такой уверенности нет. Например, мы добавили новый сегмент сети, требующий подключения через собственный интерфейс — и как это сделать? Для этого требуется более универсальное решение с возможностью гибкой настройки интерфейсов.

Важным нюансом является то, что устройство богато различными функциями.

Конечно, подход, при котором одна единица оборудования хорошо выполняет одну задачу, имеет свои преимущества.

Но самое интересное начинается тогда, когда нужно сделать шаг влево, шаг вправо.

Разумеется, с каждым новым заданием вы можете дополнительно купить еще одно целевое устройство.

И так до тех пор, пока не закончится бюджет или место в стойке.

Напротив, расширенный набор функций позволяет обойтись одним устройством при решении нескольких вопросов.

Например, ZyWALL VPN1000 поддерживает несколько типов VPN-подключений, включая SSL и IPsec VPN, а также удаленные подключения для сотрудников.

То есть одно железо покрывает вопросы как межсайтового, так и клиентского подключения.

Но есть одно «но».

Чтобы это работало, нужно иметь запас производительности.

Например, в случае с ZyWALL VPN1000 аппаратное ядро IPsec VPN обеспечивает высокую производительность VPN-туннеля, а балансировка/резервирование VPN с помощью алгоритмов SHA-2 и IKEv2 обеспечивает высокую надежность и безопасность для бизнеса.

Ниже перечислены некоторые полезные функции, которые охватывают одну или несколько областей, описанных выше.

SD-WAN предоставляет платформу для управления облаком, получая преимущества централизованного управления коммуникациями между объектами с возможностью удаленного контроля и мониторинга.

ZyWALL VPN1000 также поддерживает соответствующий режим работы, в котором требуются расширенные функции VPN. Поддержка облачных платформ для критически важных сервисов.

ZyWALL VPN1000 протестирован для использования с Microsoft Azure и AWS. Использование предварительно протестированных устройств предпочтительнее для организации любого уровня, особенно если ИТ-инфраструктура использует сочетание локальной сети и облака.

Фильтрация контента Усиливает безопасность, блокируя доступ к вредоносным или нежелательным веб-сайтам.

Предотвращает загрузку вредоносного ПО с ненадежных или взломанных сайтов.

В случае с ZyWALL VPN1000 годовая лицензия на эту услугу уже включена в комплект поставки.

Геополитика (географический IP) позволяют следить за трафиком и анализировать расположение IP-адресов, запрещая доступ из ненужных или потенциально опасных регионов.

Годовая лицензия на эту услугу также включена в стоимость покупки устройства.

Управление беспроводной сетью ZyWALL VPN1000 включает в себя контроллер беспроводной сети, который позволяет управлять до 1032 точками доступа из централизованного пользовательского интерфейса.

Предприятия могут развернуть или расширить управляемую сеть Wi-Fi с минимальными усилиями.

Стоит отметить, что число 1032 – это действительно много.

Если исходить из расчета, что к одной точке доступа могут подключиться до 10 пользователей, то это довольно внушительная цифра.

Балансировка и резервирование .

Серия VPN поддерживает балансировку нагрузки и резервирование через несколько внешних интерфейсов.

То есть вы можете подключить несколько каналов от нескольких провайдеров, тем самым обезопасив себя от проблем со связью.

Возможность резервирования устройства (Device HA) для бесперебойного соединения, даже при выходе из строя одного из устройств.

Без этого сложно обойтись, если вам нужно организовать работу 24/7 с минимальными простоями.

Zyxel Device HA Pro работает в активный пассивный , не требующий сложной процедуры настройки.

Это позволяет снизить порог входа и сразу начать пользоваться бронью.

В отличие от активный/активный , когда системному администратору необходимо пройти дополнительное обучение, уметь настраивать динамическую маршрутизацию, понимать, что такое асимметричные пакеты и т. д. — настройка режима активный пассивный Это работает намного проще и требует меньше времени.

При использовании Zyxel Device HA Pro устройства обмениваются сигналами.

сердцебиение через выделенный порт. Активные и пассивные порты устройств для сердцебиение подключен через кабель Ethernet. Пассивное устройство полностью синхронизирует информацию с активным устройством.

В частности, между устройствами синхронизируются все сеансы, туннели и учетные записи пользователей.

Кроме того, на пассивном устройстве сохраняется резервная копия файла конфигурации на случай сбоя активного устройства.

Это обеспечивает плавный переход в случае сбоя основного устройства.

Стоит отметить, что в активных системах /активный вам все равно придется зарезервировать 20-25% системных ресурсов для аварийного переключения.

В активный пассивный одно устройство полностью находится в состоянии ожидания и готово немедленно обрабатывать сетевой трафик и поддерживать нормальную работу сети.

Говоря простым языком: «При использовании Zyxel Device HA Pro и наличии резервного канала бизнес защищен как от потери связи по вине провайдера, так и от проблем, возникающих из-за выхода из строя роутера.

Подводя итог всему вышесказанному Для центрального узла распределенной сети лучше использовать устройство с определенным запасом портов (интерфейсов подключения).

В этом случае желательно иметь как интерфейсы RJ45 для простоты и экономичности подключения, так и SFP для выбора между оптоволоконным соединением и витой парой.

Это устройство должно быть:

• продуктивный, адаптированный к резким изменениям нагрузки;
• с понятным интерфейсом;
• с богатым, но не чрезмерным количеством встроенных функций, в том числе связанных с безопасностью;
• с возможностью построения отказоустойчивых схем – дублирование каналов и дублирование устройств;
• поддержка управления, чтобы всей разветвленной инфраструктурой в виде центрального узла и периферийных устройств можно было управлять из одной точки;
• как «вишенка на торте» — поддержка современных тенденций, таких как интеграция с облачными ресурсами и так далее.

ZyWALL VPN1000 как центральный узел сети

У нас есть:

• 12 настраиваемых портов RJ‑45 (GBE);
• 2 настраиваемых порта SFP (GBE);
• 2 порта USB 3.0 с поддержкой модемов 3G/4G.

Их здесь четверо.

Рис.

2. Задняя панель ZyWALL VPN1000. Давайте посмотрим, как выглядит интерфейс.

Следует сразу обратить внимание на важное обстоятельство.

Функций очень много, и подробно описать их в одной статье не получится.

Но что хорошо в продукции Zyxel, так это то, что имеется очень подробная документация, в первую очередь, руководство пользователя (администратора).

Поэтому, чтобы получить представление о богатстве функций, давайте просто пробежимся по вкладкам.

По умолчанию порт 1 и порт 2 назначены WAN. Начиная с третьего порта идут интерфейсы для локальной сети.

3-й порт с IP по умолчанию 192.168.1.1 вполне подходит для подключения.

Подключаем патчкорд, идем по адресу https://192.168.1.1 и вы можете наблюдать окно регистрации пользователя веб-интерфейса.

Примечание .

Для управления можно использовать облачную систему управления SD-WAN.



Рисунок 3. Окно ввода логина и пароля Проходим процедуру ввода логина и пароля и получаем на экране окно Dashboard. Собственно, как и положено Дашборду – максимум оперативной информации на каждом кусочке экранного пространства.

Рисунок 4. ZyWALL VPN1000 — Панель мониторинга.

Вкладка «Быстрая настройка» (Мастера)

Ну а для тех, кто хочет большего, как уже говорилось выше, есть подробная документация.

Рисунок 5. Вкладка «Быстрая настройка».

Вкладка Мониторинг

Конечно, для устройства, выполняющего роль центрального хаба, тотальный контроль совершенно не помешает. Даже просто развернув все пункты на боковой панели, богатство выбора становится очевидным.

Рисунок 6. Вкладка «Мониторинг» с развернутыми подпунктами.

Вкладка «Конфигурация»

Например, очень хорошо продумано управление портами устройств.

Рисунок 7. Вкладка «Конфигурация» с развернутыми подпунктами.

Вкладка «Обслуживание»

Эти функции носят вспомогательный характер и присутствуют в той или иной степени практически в каждом сетевом устройстве.

Рисунок 8. Вкладка «Обслуживание» с развернутыми подпунктами.

Сравнительные характеристики

Ниже представлена таблица ближайших к ZyWALL VPN1000 аналогов и список функций для сравнения.

Таблица 1. Сравнение ZyWALL VPN1000 с аналогами.

Пояснения к Таблице 1: *1: Требуется лицензия *2: Обеспечение минимального вмешательства: администратор должен сначала настроить устройство локально, прежде чем использовать ZTP. *3: На основе сеанса: DPS будет применяться только к новому сеансу; это не повлияет на текущий сеанс.

Как видите, в чем-то аналоги догоняют героя нашего обзора, например, Fortinet FG‑100E имеет еще и встроенную WAN-оптимизацию, а Meraki MX100 имеет встроенный AutoVPN (site-to- -site), но в целом ZyWALL VPN1000 однозначно по своему комплексному набору функций лидирует.

Рекомендации по выбору устройств для центрального узла (не только Zyxel)

Широкий набор функций, большое количество физических портов с гибкой настройкой: WAN, LAN, DMZ и наличие других приятных функций, таких как контроллер управления точками доступа, позволяют выполнять множество задач одновременно.

Важную роль играет наличие документации и удобный интерфейс управления.

Имея под рукой такие, казалось бы, простые вещи, не так уж и сложно создать сетевые инфраструктуры, охватывающие различные объекты и локации, а использование облака SD-WAN позволяет сделать это с максимальной гибкостью и безопасностью.

Полезные ссылки

• Ознакомьтесь С Нетбуком Asus Series Eee Pc 1005Havu1Xwt

  19 Oct, 24

• Домашний Аккумулятор Tesla И Будущее Производителя Электромобилей: Мнения Журналистов И Экспертов

  19 Oct, 24

• Наса: 30% Космического Мусора На Орбите — Результат Всего 10 «Случайностей»

  19 Oct, 24

• Российские Учёные Предложили Заряжать Орбитальные Спутники Связи С Помощью Лазера На Свободных Электронах

  19 Oct, 24

• «Исследуй Россию»: Могут Ли Наши Решения Для Ит-Инфраструктуры Конкурировать С Западными?

  19 Oct, 24

• Devconf::php 2016 - Завершается Итоговое Голосование По Отчетам Секции, Успейте Отдать Свой Голос До 31 Мая

  19 Oct, 24

• Новая Версия Редактора Изображений

  19 Oct, 24

• Интересный Спам

  19 Oct, 24

• Азбука Нового Поколения?!

  19 Oct, 24

• Сравнение Цен В Интернет-Магазине

  19 Oct, 24