• nav


Обзор решения для малого офиса от Zyxel: VPN шлюз ZyWall VPN2S и точка доступа NWA1123-ACv2

Уходят в прошлое те времена, когда VPN-шлюз представлял собой большую металлическую железку, которую мог настроить только специально обученный сисадмин. Сегодняшний день диктует новые условия: всё больше сотрудников работают на удалёнке, продолжая вкалывать даже во время отпусков. И когда в такой современной и креативной компании возникает простая задача, сделать доступ к локальной сети для сотрудников из любой точки мира, возникает дилемма: использовать облако или по-старинке настроить надёжный VPN.

Возьми да сделай для таких целей специальный VPN-шлюз, который имеет интерфейс, как у Twitter, настройки с простым визардом - и ты получишь креативную аудиторию, которой можно продавать фактически роутер без Wi-Fi по цене роутера с Wi-Fi, а они купят ещё и точку доступа. У компании Zyxel есть наработанный годами бренд ZyWALL, под которым она производит межсетевые экраны / VPN шлюзы для банков, фармацевтических компаний и прочих коммерческих структур. Модель Zywall VPN2S - это смелый эксперимент: клюнет ли креативный класс на проверенный годами бренд?

Ключевые особенности

Самое основное, что мы выносим в начало списка - это поддержка двух и более интернет-провайдеров (функция Multi-Wan load balancing). Во-первых, это повышает оказоустойчивость сети, а во-вторых помогает распределять трафик по нескольким каналам, и последнее как раз и отличает Zywall VPN2S от обычных роутеров, которые хоть и поддерживают несколько провайдеров, но только в активно-резервном режиме, переключаясь между ними при сбое связи. Балансировка трафика - фишка, благодаря которой видеосвязь будет работать даже если кто-то усиленно качает торренты в офисе.

Второе - это поддержка 3G/4G модемов, что для такого устройства - просто Must Have, потому что и как выделенный резервный канал их использовать можно, и как основной, если вы обеспечиваете работу какого-либо выездного мероприятия на открытом воздухе.

Третье - это набирающая популярность функция контентной фильтрации и обеспечения безопасности на уровне входа в вашу сеть. Вообще, эта функция была в подобных шлюзах всегда, но только последние несколько лет она стала более важной, чем установка антивируса на офисные компьютеры. Почему так? Да всё очень просто: заражённый компьютер бесполезно сканировать на вирусы, любой эксплоит в первую очередь отключит имеющуюся защиту, а на некоторые устройства вообще нельзя ставить софт по требованиям ИТ-безопасников. Централизованный шлюз безопасности - это ещё одна линия обороны, которая защитит от ботнетов, ищущих уязвимости в ваших устройствах, от спама, разных малварей и вторжений. Конечно, нужно понимать, что всё это не может быть реализовано в модели начального уровня, и в Zywall VPN2S реализует только модель контентой фильтрации для защиты офиса. Но и этого вполне достаточно.

Судите сами: шлюз может блокировать доступ к 64 различным категориям угроз, включая анонимайзеры, фишинговые и мошеннические сайты, к соц. сетям и порносайтам. Как это работает, проверим при тестировании.

Внешность и внутренность

По дизайну скажем прямо: это совершенно безынтересная модель, неприметная и неброская. Zyxel Zywall VPN2S легко затеряется на вашем рабочем столе или на тумбочке в подсобном помещении, а именно это от такого устройства и требуется, чтобы забыть, где он установлен.

Шлюз не имеет вентилятора, и судя по конструкции корпуса, вообще не предъявляет каких-то требований к охлаждению, так что ставить его можно куда вам удобно.

Интерфейс и настройки

К интерфейсу придётся не просто привыкать - его придётся изучать, даже если вы знакомы со шлюзами безопасности. Например, мы уже привыкли к тому, что даже в домашних роутерах разграничение LAN/WAN уже отсутствует, и каждый порт может как выходить в интернет, так и пропускать трафик внутри домашней сети. Здесь же этого нет: у VPN2S - один WAN, три LAN и один опциональный порт, который может быть как LAN, так и WAN.

В соответствии с современной модой, почти во всех настройках используются профили, хотя для подобного класса устройств это - излишнее усложнение, которое не нужно. Креативным менеджерам надо в один-два клика настроить VPN, а не привязывать профиль L2TP к профилю IPSec, удивляясь, почему не работает. Отчасти эту проблему решает мастер настройки, который включит PPTP, но забудет добавить соответствующее правило в Firewall. В то же время, какие-то установки, ну например, DoS Protection, вообще не имеют никаких настроек.

В общем, я считаю что для основной аудитории, на которую рассчитан Zyxel VPN2S, этот девайс слишком сложный.

Firewall и безопасность

Таблица ограничена 500 записями, причём в это число не входят сервисы, запущенные на самом шлюзе - для них отведена отдельная вкладка. Помимо портов и протоколов, в настройках правил можно указывать только частоту (rate) для каждой записи. Этим сегодня никого не удивишь, и всё это было в домашних роутерах много лет назад.

А вот изюминка Zyxel VPN2S - это возможность отключения доступа к разным типам сайтов для разных категорий пользователей. Настройте менеджерам доступ к соц.сетям, чтобы они могли продавать ваш товар, набиваясь людям в друзьям, дайте техническим специалистам доступ к сайтам с документацией и обзорами, снимите все ограничения с гостей вашего офиса, и запретите начальству читать новости. Причём, вы указываете только категории медиа, а не сайты. Как Zyxel узнаёт, какой сайт к какой категории относится? Вот именно за это вы и платите при оформлении подписки на сигнатуры. И кстати, будьте внимательны: даже если вам через интерфейс управления доступна контентная фильтрация, вам всё равно нужно приобретать лицензию для активации данного сервиса.

Это действительно очень крутая функция, которая способна поднять рабочий ритм в вашей фирме, не давая отвлекаться на всякие там Ютубы, особенно если ваш офис - под землёй, где не ловит 4G.

А как же Wi-Fi?

Шлюзы безопасности чаще всего монтируются в телекоммуникационных шкафах под потолком. У Zyxel Zywall VPN2S для этих целей есть даже отверстия под брэкеты, так что как ни крути, но точки доступа придётся покупать и устанавливать отдельно. Учитывая, что хороший хот-спот для внутренней установки стоит 60-80$, это небольшие траты. Сегодня любой интегратор скажет вам, что качественные точки доступа делают три компании: Cisco, Zyxel и Ubiquiti. «Циски» в наших руках не оказалось, но получилось сравнить Ubiquiti UAP-AC Pro (1750 Mbps) и Zyxel NWA1123-ACv2.

Визуально Ubiquiti выглядит крупнее, хотя она имеет более низкий профиль, и при монтаже на потолке, не забирает пространство так, как Zyxel. Более высокая скорость в 1750 Mbps при подключении 1 кабелем со скоростью 1 Гбит/с - неактуальное преимущество для небольших помещений на десяток человек.

«Под капотом» эти два хот-спота представляют собой две совершенно разные идеологии, из двух миров. У Zyxel это компонентная схема, в которой антенны вынесены за пределы материнской платы и экранированы толстым металлическим листом, что хорошо видно на фотографии. По всей видимости, у ребят из Zyxel было очень много алюминия на складах, поэтому между материнской платой точки доступа и радио-модулем располагается массивный алюминиевый теплоотвод, выполняющий роль экрана. У точки доступа Ubiquiti такого, конечно же, нет.

Что касается антенн, то у Zyxel их 4 (2 для диапазона 2.4 ГГц + 2 для 5 ГГц), а у Ubiquiti всего 3 двухдиапазонные антенны, каждая из которых работает в обоих диапазонах, что более свойственно домашним роутерам. Конечно, однодиапазонные антенны всегда будут работать лучше, чем универсальные. Другое дело, что не всегда вы сможете увидеть эти различия на практике. 

Настройка точки доступа Ubiquiti UAP-AC-Pro - это боль. Во-первых, надо понимать, что это профессиональное оборудование, выпускаемое для тех, кто инсталлирует и обслуживает их десятками, поэтому она настраивается только через программный сервер, который написан на Java, которая не с первого раза устанавливается под Windows и выкатывает критичные security-обновления по два раза на дню. Да, если точек доступа сотни - там этот минус выливается в плюс. Но если что-то идёт не так с вашим локальным сервером на Java или если вам нужны 2-3 точки доступа в офисе, то Zyxel Nebula удобнее и практичнее: вы можете заходить в облачный сервис с любого браузера, добавлять в свою сеть бесконечное число хот-спотов, не переживая о том, как функционирует сама система управления. 

Тестирование

Тестовый стенд:

Для тестирования мы будем использовать сетевую карту Intel X550-T2, работающую на скорости 1 Гбит/с. Начнём со скорости локального коммутатора на LAN-портах.

Zyxel не говорит о том, какой размер буфера у встроенного коммутатора сетевого шлюза, но наши тесты показывают, что если внутри сети у вас идёт активный обмен трафиком, например через файловые серверы или на хот-споты, то лучше докупить хороший коммутатор, такой как Zyxel GS-1920, обзор которого мы публиковали на нашем сайте. Но для шлюза куда важнее производительность LAN - WAN.

Здесь скорость на уровне возможностей сетевого подключения.

Хочется обратить внимание, что UDP-трафик LAN-WAN идёт быстрее, чем по локальной сети.

Производительность PPTP VPN прекрасная, а вот L2TP - на уровне домашних роутеров среднего класса.

Выводы

Основное, ради чего стоит покупать данную модель - это контентная фильтрация, реализуемая списком сигнатур вебсайтов, VPN сервер и поддержка двух и более интернет-линий. Данный шлюз позиционируется в качестве стартового решения для небольшого офиса, и хотя я ждал чего-то большего, глядя на цену, понял, что ошибся. По сути, у Zyxel-я есть вот эта прекрасная база данных сайтов, которая позволяет ограничивать доступ целиком к категориям медиа-источников, и производитель просто упаковал её в коробочку ценой как неплохой домашний роутер, добавив VPN-сервер и простенький Firewall.

Как решение для тех, кому лень настраивать Mikrotik или копаться в OpenWRT, это вполне себе жизнеспособный вариант, особенно с возможностью заблокировать своим сотрудникам половину интернета, и включать в виде награды по итогам квартальных или годовых показателей. Пусть работают за доступ к auto.ru, instagram или где они там зависают в рабочее время.

Михаил Дегтярёв (aka LIKE OFF)
16/06.2019




ПОХОЖИЕ СТАТЬИ:

Тест дальнобойного PoE коммутатора Zyxel GS1350-18HP

Эта модель создана специально для систем видеонаблюдения, и коммутатор поддерживает удалённую перезагрузку PoE камер, непрерывную подачу питания, и самое главное - подключение камер на расстоянии до 250 метров. Вот эту функцию мы...

Технологии телеметрии Mellanox WJH для выявления проблем с сетью и хранилищем

Поскольку сеть позволяет получать доступ к приложениям, обмениваться данными и подключаться к хранилищу, хорошая потоковая телеметрия позволяет обнаружить даже ошибки приложений. Компания Mellanox решила, что её ASIC-и достаточно х...

Почему Intel Xeon Platinum 9200 не пошёл в массы

На сегодняшний день ни один крупный поставщик, не объявил о поддержке процессоров Intel Xeon Platinum 9200. В этой статье мы поговорим о том, почему.

...

Кремниевая фотоника Intel ведёт к снижению стоимости 100G сетей

Уже более 10 лет Intel трубит о преимуществах кремниевой фотоники, которая разрабатывается уже две декады. Сама Intel давно придерживается концепции разукрупненных вычислительных и запоминающих устройств для ЦОД, объединённых через...

AI-акселераторы Qualcomm Cloud AI 100 для дата-центров

Сегодня Qualcomm объявила, что они выходят на рынок ускорителей AI с семейством чипов Qualcomm Cloud AI 100. Разработанный с нуля для рынка искусственного интеллекта, этот чип должен будет выйти аж в 2020 году. При этом, Qualcomm п...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Как работают системы бесперебойного энергоснабжения в ЦОДах

В этой статье мы расскажем как в ЦОД обеспечивается бесперебойная работа оборудования с точки зрения резервирования источников питания. В качестве практического кейса в завершение статьи мы рассмотрим недавний инцидент во...

Каковы шансы у AMD на серверном рынке? Экспертное мнение и аналитика.

Почему AMD возлагает свои надежды на второе поколение процессоров, объявленное 7 августа 2019 года и суждено ли этим надеждам сбыться? Мы совершим небольшой экскурс в историю, и посмотрим, почему так получилось с Opteron-ами,...