• nav


Обзор решения для малого офиса от Zyxel: VPN шлюз ZyWall VPN2S и точка доступа NWA1123-ACv2

Уходят в прошлое те времена, когда VPN-шлюз представлял собой большую металлическую железку, которую мог настроить только специально обученный сисадмин. Сегодняшний день диктует новые условия: всё больше сотрудников работают на удалёнке, продолжая вкалывать даже во время отпусков. И когда в такой современной и креативной компании возникает простая задача, сделать доступ к локальной сети для сотрудников из любой точки мира, возникает дилемма: использовать облако или по-старинке настроить надёжный VPN.

Возьми да сделай для таких целей специальный VPN-шлюз, который имеет интерфейс, как у Twitter, настройки с простым визардом - и ты получишь креативную аудиторию, которой можно продавать фактически роутер без Wi-Fi по цене роутера с Wi-Fi, а они купят ещё и точку доступа. У компании Zyxel есть наработанный годами бренд ZyWALL, под которым она производит межсетевые экраны / VPN шлюзы для банков, фармацевтических компаний и прочих коммерческих структур. Модель Zywall VPN2S - это смелый эксперимент: клюнет ли креативный класс на проверенный годами бренд?

Ключевые особенности

Самое основное, что мы выносим в начало списка - это поддержка двух и более интернет-провайдеров (функция Multi-Wan load balancing). Во-первых, это повышает оказоустойчивость сети, а во-вторых помогает распределять трафик по нескольким каналам, и последнее как раз и отличает Zywall VPN2S от обычных роутеров, которые хоть и поддерживают несколько провайдеров, но только в активно-резервном режиме, переключаясь между ними при сбое связи. Балансировка трафика - фишка, благодаря которой видеосвязь будет работать даже если кто-то усиленно качает торренты в офисе.

Второе - это поддержка 3G/4G модемов, что для такого устройства - просто Must Have, потому что и как выделенный резервный канал их использовать можно, и как основной, если вы обеспечиваете работу какого-либо выездного мероприятия на открытом воздухе.

Третье - это набирающая популярность функция контентной фильтрации и обеспечения безопасности на уровне входа в вашу сеть. Вообще, эта функция была в подобных шлюзах всегда, но только последние несколько лет она стала более важной, чем установка антивируса на офисные компьютеры. Почему так? Да всё очень просто: заражённый компьютер бесполезно сканировать на вирусы, любой эксплоит в первую очередь отключит имеющуюся защиту, а на некоторые устройства вообще нельзя ставить софт по требованиям ИТ-безопасников. Централизованный шлюз безопасности - это ещё одна линия обороны, которая защитит от ботнетов, ищущих уязвимости в ваших устройствах, от спама, разных малварей и вторжений. Конечно, нужно понимать, что всё это не может быть реализовано в модели начального уровня, и в Zywall VPN2S реализует только модель контентой фильтрации для защиты офиса. Но и этого вполне достаточно.

Судите сами: шлюз может блокировать доступ к 64 различным категориям угроз, включая анонимайзеры, фишинговые и мошеннические сайты, к соц. сетям и порносайтам. Как это работает, проверим при тестировании.

Внешность и внутренность

По дизайну скажем прямо: это совершенно безынтересная модель, неприметная и неброская. Zyxel Zywall VPN2S легко затеряется на вашем рабочем столе или на тумбочке в подсобном помещении, а именно это от такого устройства и требуется, чтобы забыть, где он установлен.

Шлюз не имеет вентилятора, и судя по конструкции корпуса, вообще не предъявляет каких-то требований к охлаждению, так что ставить его можно куда вам удобно.

Интерфейс и настройки

К интерфейсу придётся не просто привыкать - его придётся изучать, даже если вы знакомы со шлюзами безопасности. Например, мы уже привыкли к тому, что даже в домашних роутерах разграничение LAN/WAN уже отсутствует, и каждый порт может как выходить в интернет, так и пропускать трафик внутри домашней сети. Здесь же этого нет: у VPN2S - один WAN, три LAN и один опциональный порт, который может быть как LAN, так и WAN.

В соответствии с современной модой, почти во всех настройках используются профили, хотя для подобного класса устройств это - излишнее усложнение, которое не нужно. Креативным менеджерам надо в один-два клика настроить VPN, а не привязывать профиль L2TP к профилю IPSec, удивляясь, почему не работает. Отчасти эту проблему решает мастер настройки, который включит PPTP, но забудет добавить соответствующее правило в Firewall. В то же время, какие-то установки, ну например, DoS Protection, вообще не имеют никаких настроек.

В общем, я считаю что для основной аудитории, на которую рассчитан Zyxel VPN2S, этот девайс слишком сложный.

Firewall и безопасность

Таблица ограничена 500 записями, причём в это число не входят сервисы, запущенные на самом шлюзе - для них отведена отдельная вкладка. Помимо портов и протоколов, в настройках правил можно указывать только частоту (rate) для каждой записи. Этим сегодня никого не удивишь, и всё это было в домашних роутерах много лет назад.

А вот изюминка Zyxel VPN2S - это возможность отключения доступа к разным типам сайтов для разных категорий пользователей. Настройте менеджерам доступ к соц.сетям, чтобы они могли продавать ваш товар, набиваясь людям в друзьям, дайте техническим специалистам доступ к сайтам с документацией и обзорами, снимите все ограничения с гостей вашего офиса, и запретите начальству читать новости. Причём, вы указываете только категории медиа, а не сайты. Как Zyxel узнаёт, какой сайт к какой категории относится? Вот именно за это вы и платите при оформлении подписки на сигнатуры. И кстати, будьте внимательны: даже если вам через интерфейс управления доступна контентная фильтрация, вам всё равно нужно приобретать лицензию для активации данного сервиса.

Это действительно очень крутая функция, которая способна поднять рабочий ритм в вашей фирме, не давая отвлекаться на всякие там Ютубы, особенно если ваш офис - под землёй, где не ловит 4G.

А как же Wi-Fi?

Шлюзы безопасности чаще всего монтируются в телекоммуникационных шкафах под потолком. У Zyxel Zywall VPN2S для этих целей есть даже отверстия под брэкеты, так что как ни крути, но точки доступа придётся покупать и устанавливать отдельно. Учитывая, что хороший хот-спот для внутренней установки стоит 60-80$, это небольшие траты. Сегодня любой интегратор скажет вам, что качественные точки доступа делают три компании: Cisco, Zyxel и Ubiquiti. «Циски» в наших руках не оказалось, но получилось сравнить Ubiquiti UAP-AC Pro (1750 Mbps) и Zyxel NWA1123-ACv2.

Визуально Ubiquiti выглядит крупнее, хотя она имеет более низкий профиль, и при монтаже на потолке, не забирает пространство так, как Zyxel. Более высокая скорость в 1750 Mbps при подключении 1 кабелем со скоростью 1 Гбит/с - неактуальное преимущество для небольших помещений на десяток человек.

«Под капотом» эти два хот-спота представляют собой две совершенно разные идеологии, из двух миров. У Zyxel это компонентная схема, в которой антенны вынесены за пределы материнской платы и экранированы толстым металлическим листом, что хорошо видно на фотографии. По всей видимости, у ребят из Zyxel было очень много алюминия на складах, поэтому между материнской платой точки доступа и радио-модулем располагается массивный алюминиевый теплоотвод, выполняющий роль экрана. У точки доступа Ubiquiti такого, конечно же, нет.

Что касается антенн, то у Zyxel их 4 (2 для диапазона 2.4 ГГц + 2 для 5 ГГц), а у Ubiquiti всего 3 двухдиапазонные антенны, каждая из которых работает в обоих диапазонах, что более свойственно домашним роутерам. Конечно, однодиапазонные антенны всегда будут работать лучше, чем универсальные. Другое дело, что не всегда вы сможете увидеть эти различия на практике. 

Настройка точки доступа Ubiquiti UAP-AC-Pro - это боль. Во-первых, надо понимать, что это профессиональное оборудование, выпускаемое для тех, кто инсталлирует и обслуживает их десятками, поэтому она настраивается только через программный сервер, который написан на Java, которая не с первого раза устанавливается под Windows и выкатывает критичные security-обновления по два раза на дню. Да, если точек доступа сотни - там этот минус выливается в плюс. Но если что-то идёт не так с вашим локальным сервером на Java или если вам нужны 2-3 точки доступа в офисе, то Zyxel Nebula удобнее и практичнее: вы можете заходить в облачный сервис с любого браузера, добавлять в свою сеть бесконечное число хот-спотов, не переживая о том, как функционирует сама система управления. 

Тестирование

Тестовый стенд:

Для тестирования мы будем использовать сетевую карту Intel X550-T2, работающую на скорости 1 Гбит/с. Начнём со скорости локального коммутатора на LAN-портах.

Zyxel не говорит о том, какой размер буфера у встроенного коммутатора сетевого шлюза, но наши тесты показывают, что если внутри сети у вас идёт активный обмен трафиком, например через файловые серверы или на хот-споты, то лучше докупить хороший коммутатор, такой как Zyxel GS-1920, обзор которого мы публиковали на нашем сайте. Но для шлюза куда важнее производительность LAN - WAN.

Здесь скорость на уровне возможностей сетевого подключения.

Хочется обратить внимание, что UDP-трафик LAN-WAN идёт быстрее, чем по локальной сети.

Производительность PPTP VPN прекрасная, а вот L2TP - на уровне домашних роутеров среднего класса.

Выводы

Основное, ради чего стоит покупать данную модель - это контентная фильтрация, реализуемая списком сигнатур вебсайтов, VPN сервер и поддержка двух и более интернет-линий. Данный шлюз позиционируется в качестве стартового решения для небольшого офиса, и хотя я ждал чего-то большего, глядя на цену, понял, что ошибся. По сути, у Zyxel-я есть вот эта прекрасная база данных сайтов, которая позволяет ограничивать доступ целиком к категориям медиа-источников, и производитель просто упаковал её в коробочку ценой как неплохой домашний роутер, добавив VPN-сервер и простенький Firewall.

Как решение для тех, кому лень настраивать Mikrotik или копаться в OpenWRT, это вполне себе жизнеспособный вариант, особенно с возможностью заблокировать своим сотрудникам половину интернета, и включать в виде награды по итогам квартальных или годовых показателей. Пусть работают за доступ к auto.ru, instagram или где они там зависают в рабочее время.

Михаил Дегтярёв (aka LIKE OFF)
16/06.2019




ПОХОЖИЕ СТАТЬИ:

Диверсификация поставщика CPU: чем заменить Intel в условиях санкций

А что если завтра в связи с очередным обострением, вам запретят покупать серверы на базе Intel, а ваша EMC без техподдержки превратится в тыкву? Там, "наверху", рассматривают и такой вариант, и ваш корпоративный ЦОД долже...

SD-WAN или MPLS: почему SD-WAN является лучшим выбором

Решение о переходе на SD-WAN имеет значительные последствия для бизнеса. Если коротко, то ответ будет следующим: технология SD-WAN обеспечивает более высокую прозрачность, лучшую доступность и повышенную производительность, а также...

10 тезисов об SD-WAN, которые вам нужно знать

SD-WAN является самой горячей новой технологией в сети, и многие распределенные организации уже или скоро примут на вооружение эту технологию. Мы приведём вам 10 основных тезисов, касаемых технологии SD-WAN, которые позволят вам пр...

Компания Cisco опубликовала протоколы выявления взлома для управляемых коммутаторов и другого сетевого оборудования

В начале сентября 2019 года на официальном сайте корпорации Cisco появилась важная информация для пользователей брендовых управляемых коммутаторов, беспроводных точек доступа и других устройств для создания локальных сетей и поддер...

Умные чипы сгладят отказ от закона Мура в датацентрах

Закон Амдала задаёт практический предел пользы от распараллеливания, так что дальнейшее ускорение возможно просто путем переопределения общей задачи таким образом, чтобы сделать ранее сериализованные операции распараллеливаемыми.

НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Обзор трёх miniITX корпусов CrownMicro серии CMC-170

Сегодня речь пойдёт о трёх корпусах бренда CrownMicro для сборки ультракомпактных miniITX систем, а именно: CMC-170-113, CMC-170-303 и CMC-170-803. Эти модели имеют стильный дизайн, внешние блоки питания, VESA крепление...

Экспресс-тест видеокарты Palit GeForce RTX 2080 Super в задачах машинного обучения

Если вы выбираете GPU не только для игр, но и для научных расчётов, вам интересно видеть видеокарту с тензорными ядрами и современной памятью GDDR6 объёмом 8 Гб. Благодаря поддержке FP16, в некоторых теслах она показывает...