Du är här: > > Nyheter > Vi testkör sprillans nya Nidavellir mini MkII

Vi testkör sprillans nya Nidavellir mini MkII

Ni som använt Nidavellir-brandväggar tidigare vet att de pallar trycket och inte bara har bättre prislapp än motsvarande modeller från större märken utan även smarta funktioner och en driftsäkerhet som är minst sagt svårslagen.

 

Vi testar den purfärska Nidavellir mini MkII 4-port brandväggs-router

 

Vad har förändrats i och med MK II?

Det har ju faktiskt gått ett helt år sedan de första MKII-modellerna för 19"-brandväggarna lanserades och anledningen att den nya mini-modellen försenades är helt enkelt att det är oerhört svårt att hitta komponenter av så pass hög kvalitet som de ändå måste vara och som dessutom är små, går att få in på en mini-itx-format men som också klarar av att stå i drift 24/7/365 utan en ordentlig fläkt. Ja, du läste rätt - även nya mini-versionen är byggd kring en helt fläktlös grund och sedan har vi lagt på en liten och tyst 40mm fläkt i sidan så att den som väljer att stapla dem på höjd ändå kan ha visst luftflöde igenom (bakifrån och fram, eller tvärt om på rackhyllan eller på hyllplanet i serverhallen).

Detta gör såklart att även nya Mini-modellen fungerar utmärkt i hemma-miljöer eller tex på skrivbordet i konferensrummet och liknande.

 

Bland nyheterna finns mycket, i princip ALLT är totalförändrat i grunden, även mjukvaror.

Nytt chassie som vi är stolta att ha hittat tack vare våra många olika och duktiga underleverantörer som hjälpt oss att leta med ljus och lykta efter komponenterna i över ett års tid.

Design

Det nya chassiet är väldigt stilrent! Lätt rundade hörn, möjlighet att placera på högkant på två sidor av fyra (baksidan har kablage, ena sidan har den lilla och tysta fläkten.

På framsidan sitter enbart en enda knapp - på/av.

Denna knapp har även en blå bakgrundsbelysning som indikerar att brandväggen är igång (är den avstängd lyser det inte alls).

 

Knappen på framsidan har tre funktioner:

 - På (brandväggen startar blixtsnabbt vid en lätt knapptryckning).

 - Av (brandväggen stänger ned helt och hållet när du trycker lätt på knappen om brandväggen är igång).

 - Reset, håll ned lätt i fyra sekunder för att tvinga hela brandväggen till en hård reset (systemstart kan ta något längre tid då den alltid verifierar att lagrat data efter reset/systemkrash).

 

Vi har även utvecklat nya logotyper / etiketter där du själv enkelt kan göra noteringar, tex vilken version av firmware som körs eller annat som du vill ska vara lättåtkomligt via okulär besiktning från brandväggens framsida, i en serverhall där man har flera olika brandväggar och routrar underlättar detta då du enkelt kan märka upp vilka enheter som ingår i samma brandväggskluster och liknande utan att behöva klistra på någon ettikett.

 

Baksidan är också totalt omdesignad;

IPMI-interfacet som även kallas för Management-porten är en gigabit ethernet-port med RJ-45. Denna är flyttad åt sidan så att den ej förväxlas med de övriga 4st konfigurerbara gigabit-portarna.

Utöver VGA-port har vi även kompletterat med en Display Port och en HDMI-dito samt 2st USB2 och 2st USB3-portar.

Använder du USB-lagring för säkerhetskopior kan du med andra ord lämna dessa anslutna hela tiden då du har gott om plats för allt tänkbart du vill koppla in.

För dig som föredrar RS-232 (seriell "com"-port) så finns självfallet detta. Firewire har vi skippat helt.

 

Vi har även på denna Mini-modell valt att lägga nätdelen utanför själva brandväggen och det går att låsa kablaget så att sladdar inte dras ut av misstag vid fasta installationer. Kablaget är långt så du kan lätt bunta fast kabeldragningar till PDU och liknande även om PDU är placerad långt från det hyllplan brandväggarna står på.

 

Den enda, lilla 40mm fläkten är av tyst modell och det är möjligt att justera hur den jobbar och till och med stänga av den helt även om vi inte rekommenderar detta.

Svart chassie som tack vare den låga höjden går att placera på hyllplan i rack utan att bli svåråtkomliga eller ta upp plats tack vare låga kylflänsar invändigt, höjden är faktiskt endast: 276mm. Väljer du att sätta på fötter undertill kommer den upp något ytterligare.

 

Utrymmessnål!

 

Nidavellir Mini MkII placerad ståendes på högkant Placerar du Nidavellir Mini MkII ståendes på sidan / högkant får du en stilrent framsida helt utan kablage där bara på/av -knappen är åtkomlig för varje brandvägg. Du kan enkelt få plats med många bredvid varandra, du behöver ingen luftspalt mellan dem. Tänk på att den sida den tysta 40mm-fläkten sitter på bör vara uppåt eller mot ett perforerat hyllplan så att luften kan cirkulera. På baksidan där du skruvar fast strömanslutningen finner du även alla nätverksuttag och övriga portar. Stilrent, enkelt, praktiskt!

Prestandan

Här har det hänt mycket!

Utgångspunkten är för Nidavellir Mini MkII - och precis som för alla Nidavellir-brandväggar - att den ska vara energisnål men mini-modellerna har ännu högre krav på sig inte bara för att vara kostnadseffektiva i drift utan även för att hålla behovet av kylning till ett minimum.

Detta innebär att du på köpet för en energieffektiv produkt där väldigt lite av energin den förbrukar försvinner i värme.

Den extrerna nätdelen kan placeras långt från brandväggen och behöver ingen extern ventillation utan klarar sig med den grundventillation ni har i serverrummet.

 

Dubbelt så många CPU-kärnor och därmed lika många som instegsmodellerna av 19"-versionerna faktiskt! Dessutom är de snabba kärnor med stöd för 64-bitarsteknik vilket är viktigt för prestandan i flera olika driftsituationer, inte minst när krypteringstekniker som VPN används.

Likaså en dubblering av minnet borgar för mycket mera bang för buckarna!

 

 

 

Nätverksportar

Utöver IPMI-porten, som också är gigabit-ethernet (RJ-45) så har även den nya Nidavellir Mini MkII hela 4st konfigurerbara gigabit-portar!

 

4st gigabit-portar enkelt åtkomliga på brandväggens baksida

 

Precis som i alla Nidavellir-brandväggar är det du väljer själv hur väljer hur du vill konfigurera portarna, om du vill ha fler än en WAN-port, flera separata LAN-portar osv.

När brandväggen skeppas från oss är de förkonfigurerade för plug and play, dvs du kan bara plugga in brandväggens WAN och LAN-port och börja använda brandväggen. Grundkonfigurationen är säker och blockerar all trafik utifrån och släpper ut all trafik innifrån. Så här är portarnas standardkonfiguration:

 

Nedre vänstra porten: WAN

Övre vänstra porten: LAN1

Övre högra porten: LAN2

Nedre högra porten: LAN3

 

Utöver dessa fyra portar sitter lite längre till vänster den separata IPMI-/ Management-porten:

 

Nidavellir Mini MkII baksida med IMPI-port (MANagement-port) RJ-45 samt 2st USB2.0, 2st USB3.0 samt de fyra gigabitnätverksportarna

 

Som du ser på bilden ovan är det enkelt att hålla isär IPMI-porten till vänster som används för Management från de övriga fyra nätverksportarna till höger.

De två smala svarta portarna du ser under IPMI-porten är USB 2.0-portar och de två blåa smala portarna mitt emellan IPMI-porten och de fyra gigabit-portarna är 2st USB 3.0-portar.

 

Precis som tidigare använder vi enbart de bästa Intel-portarna som går att få tag på så både prestanda och livslängd är svårslaget för portarna. Vi har de senaste månaderna dessutom utfört oerhört krävande lasttester och vi är mycket stolta att meddela att detta är den kraftfullaste, minsta och mest prisvärda Nidavellir-brandväggen vi någonsin gjort sedan projektet startade 2001!

 

Invändigt har vi inte heller snålat på någonting. Processorkraft finns det gott om, hela 4st kärnor (äkta kärnor inte 2st kärnor och 4st trådar som är vanligt bland liknande produkter i den här prisklassen!)  med äkta Intel-kraft ger er möjlighet att köra många olika parallella processer samtidigt, något som är viktigt i hårt belastade nätverksmiljöer.

För dig som använder brandväggen i labb-miljöer eller i kluster ger detta er dessutom den fördel att de kraftfulla processorkärnorna kan ge kraft åt diagnosticeringsverktyg, grafisk statistik och liknande verktyg som går att integrera enkelt i brandväggen utan att dessa - ofta krävande processer - går ut över routing och brandväggsfunktioner!

Blixtsnabbt och energisnålt har vi tänkt även kring minnesfunktioner i brandväggen och här gav oss även den tekniska designen möjligheten att inte bara dubblera minneskapaciteten utan även få bättre kylning, lägre energiförbrukning och bättre luftgenomströmning.

För er som lägger många funktioner i minne (vilket väl i princip är obligatoriskt för snabb routing och brandväggsprestanda idag) så går det således enkelt att utnyttja minnesytorna utan att det ger sämre prestanda någon annanstans i brandväggen, tex administrativa funktioner som diagnosticering, staistik eller till och med IDS och liknande funktioner!

 

USB 3.0

En annan nyhet är att antalet USB-portar nu blivit fyra totaltl varav 2st är USB 3.0!

 

VGA finns kvar!

För er som har KVM-switchar och annan utrustning som kräver en gammal hederlig VGA-anslutning så har vi kvar VGA-porten ett tag till.

HDMI och Display Port

...å andra sidan för dig som kastat ut den där gamla KVM-switchen och gått över till modernare gränssnitt så har vi slängt med inte bara en HDMI-port utan även en Display Port! Sådeså! #barasådär!!

RS-232 / COM-port

..Den gamla hederliga RS-232-porten hänger kvar ett tag till. Vill du skicka ut hela konsollen via Com-porten så går det utmärkt att göra så.

 

Skalbar hastighet sparar ström och pengar

Naturligtvis har vi inte tagit bort funktionen att skala upp och ned i hastighet för processorer och därmed låta brandväggen gå ned i hastighet när belastning på nätverket är låg, om ni tex har låg trafik på nätter så sparar ni pengar automatiskt eftersom Nidavellir skalar upp och ned på behov. Livslängden blir längre och miljön mår bättre. Belastning på UPS och liknande system blir lägre.

 

Intern Lagring

Vi kan montera in extra lagring utöver det flashminne som sitter i från början tack vare en extra port och då är det främst msata vi rekommenderar så att inte brandväggen överhettar. Extern lagring löser du enklast med USB men tänk på att en brandvägg är en brandvägg, en router är en router. Tänker du stoppa in en lagringsserver i din brandvägg/router har du tänkt fel - detta är inte rätt plats och går väl att jämföra med att sätta en ficklampa på en brödrost, det är inte särskilt ofta det är praktiskt och i många situationer är det direkt opraktiskt och medför problem och risker men vill du absolut göra det så är det möjligt.

Vi ser främst möjligheten till att ha två integrerade lagringsmedia som en fördel för dig som vill lagra säkerhetskopior internt på ett säkert sätt.

Den integrerade flashlagringen för systemet är på från 32GB och går att utöka egentligen hur mycket ni vill.

Varje slice, dvs den aktiva körbara delen som är aktiv i en revision, måste ligga på minst 4GB. Vill du spara flera säkerhetskopior bakåt i tiden bör du räkna minst 4GB per arkiverad slice.

Den typen av minnen vi använder roterar dåliga sektorer så har du en 64GB-version så kommer vi ändå förinstallera din modell så att den enbart ser upp till 8GB. Detta innebär att livslängden förlängs avsevärt tack vare att systemet, vid eventuell upptäckt i framtiden om att en nod på disken är defekt och ej kan användas, roterar, dvs flyttar runt data på de hela noder som finns tills alla utom de sista 8GB är förbrukade. Först när du kommer ned under 8GB defekta noder på flashminnet uppstår med andra ord driftstörningar och detta tar i regel väldigt många år. Beroende på hur man gör MTBF-testning och vilken leverantör som gör testet så brukar de stoltsera med siffror som 100 år eller mer i drift. Vi vet dock att man med "drift" sällan menar krävande drift som en router har 24/7/365 så du ska nog ta 100 år med en nypa salt. Men sannolikt kommer denna brandvägg överleva alla andra brandväggar i er serverhall, den saken är klar. Dessutom är det enkelt att via vår lagringstjänst enkelt manuellt lagra säkerhetskopior på all er körande konfiguration - och lika enkelt att återläsa HELA konfigurationen från lagringstjänsten till en brandvägg så att duplicera ett system, återställa ett system efter en diskkrash eller överföra en routers konf till en annan router är busenkelt.

 

Strömförbrukning

Maximal belastning för nätdelen är: 60W.

Vid normal drift behöver det integrerade "system-on-chip"-modulerna upp till 6W (lägre vid låg belastning och när processorer kan throttla ned till lägre hastighet).

Beräknar du UPS:er och PDU i ett rack tycker vi att du bör räkna med upp till 60W för säkerhetsskull då nätdelen teoretiskt sett kan belasta med just detta vid tex inkoppling så kopplar du in många system samtidigt kan du få en "spik" på 60W per system ungefär samtidigt så för att inte PDU/UPS/liknande ska slå ifrån bör du klara denna belastning.

 

Watchdog, IPMI och fjärrstyrning

Precis som tidigare går det att fjärrstyra hela brandväggen via ert separata, uppsäkrade admin-lan genom att koppla in IPMI-porten på brandväggen till ert separata nätverk för fjärrstyrning av servrar och brandväggar.

Via det lösenordsskyddade integrerade webbgränssnittet kan du trycka reset, starta, stänga ned och övervaka systemet mm.

Behöver du stänga ned eller aktivera olika brandväggar på distans är detta enkelt att göra via IPMI-porten. Du kan såklart precis som tidigare också köra KVM över IP via samma port. Det går även att montera externa lagringsmedia för att tex installera, uppgradera osv.

Det är viktigt att ni säkrar upp ert IPMI-nätverk och ALDRIG kopplar in IPMI-porten på ett osäkert nätverk (som på utsidan av brandväggen, i en WAN-switch eller till ett LAN där obehöriga kan nå inloggningsgränssnittet på brandväggen).

För att inte använda IPMI är allt du behöver göra att inte koppla in en nätverkskabel i IPMI-porten så vill du av säkerhetskäl skydda brandväggen från att någon på distans ska kunna nå dessa funktioner är det enkelt. Det går även att i BIOS deaktivera IPMI helt och hållet.

 

Watchdog-funktionen ger dig möjlighet att ha en process "utanför" brandväggen som håller reda på om brandväggen verkar ha hängt sig och helt enkelt "trycka reset" så att den startar om.

Kör ni 3 eller flera brandväggar i ett kluster är detta en smart funktion som förhindrar nedtid vid dos-attacker. Tänk på att testa att lastbalansering och att brandväggsklustret fungerar som det ska genom att via IPMI fjärrstyra en brandvägg i taget och trycka reset och säkerställa att de övriga brandväggarna noterar att den första ska tas bort ur klustret och att någon av de två kvarvarande ska ta över som "master"-brandvägg.

 

Via menyvalet "services" i varje brandvägg kan man även övervaka de lokala tjänsterna i varje brandvägg och automatiskt starta om dessa om de av någon anledning skulle stanna (praktiskt för tex DNS-servrar, VPN-servrar, lastbalanseringstjänster för servrar, NTP-servrar mfl).

 

En dröm för nätverksteknikern!

Ända sedan vi designade den första prototypen för det som skulle bli Nidavellir-brandväggarna i början på seklet så har vårt fokus varit att de ska vara så enkla att ha att göra med i alla avseenden utan att göra avkall på funktionalitet och prestanda eller livslängd.

Nya Nidavellir mini MkII lever med lätthet upp till dessa ideal, eller vad sägs om:

  • Kompakt design men enkel åtkomst för de 4st gigabit ethernet-portarna.
  • Inget kablage på framsidan, stilren design.
  • VGA-kontakt som passar även äldre KVM-switchar och befintlig utrustning i er serverhall.
  • HDMI till vänster för moderna KVM-switchar och skärmar i datorlab, serviceverkstäder mm.
  • Överflöd av USB-kontakter för ev framtida behov!
  • Separat IPMI-port (MANagement-port, inkl KVM, webbgui mm).
  • Skruva fast kontakt för strömmatning från nätdelen - inga mer kablar som rycks loss av misstag!
  • Packad med funktioner, prestanda och säkerhet!

 

baksidan av en Nidavellir mini Mk2 rev B från 2017

 

Världens mest fullproppade brandvägg?

Vi har inte skalat bort någon endaste liten funktion som återfinns i de större rackmonteringsbara Nidavellir-brandväggarna utan du får tillgång till precis allt - och det är massvis av funktioner - vilket ger dig full frihet, flexibilitet och skalbarhet.

Du kommer igång snabbt, allt är prydligt och överskådligt men bara några musklick iväg i det lättanvända webbaserade administrationsgränssnittet har du alla funktioner du kan tänka dig, eller vad sägs om:

  • Säkert webbgränssnitt som går att styra till 100% exakt hur det kan användas med hjälp av brandväggsregler.
  • Accesslistor för enkel administration.
  • Lättanvänd och avancerad routing.
  • Fullt konfigurerbara portar.
  • Vlan.
  • IPv4 och/eller IPv6 (inkl IPv6 över IPv4).
  • Snabbt överskådlig status.
  • Temperaturövervakning.
  • Full åtkomst till samtliga systemresurser.
  • Inga begränsande licenser som måste "låsas upp" för att lägga till fler IP-adresser eller liknande!
  • Robust och driftsäker.
  • DNS/Resolver/Forwarder mm (inkl bla BIND mm).
  • Trafikgrafer för bandbredd mm.
  • Portal (sälj engångskoder eller begränsa hur användare kan logga in för tex hotell mm).
  • Intrångsdetektering.
  • Övervakning av gateways (upstream provider).
  • Möjlighet till fail over vid problem hos en av era Internetleverantörer.
  • Multipla WAN.
  • VPN.
  • Möjlighet att administrera på distans.
  • Virtuella nätverksportar.
  • NAT
  • PAT
  • Virtuella IP-adresser för obegränsat antal servrar med statiska IP-adresser.
  • Skräddarsy brandväggsregler.
  • Blocklistor.
  • Schemaläggning (tex stäng av viss trafik under vissa tider av dygnet osv).
  • Trafikprioritering, prioritera olika typer av trafik, tex VoIP etc.
  • Bandbreddsbegränsningar (tex server #1 får alltid 25% bandbredd, server #2 får aldrig mer än 100Mbps etc).
  • Avancerad DHCP-server (statisk DHCP, MAC-filtrering mm mm) per nätverk/port.
  • DHCP-relay.
  • Möjlighet att ha fler än en DHCP-zon per fysiskt nätverk.
  • Cron-server (schemalägg olika typer av jobb på brandväggen).
  • Dynamisk DNS.
  • NTP-server
  • PPPoE-server
  • Service Watchdog, övervaka processer i brandväggen och starta om vid behov.
  • SNMP.
  • UPnP & NAT-PMP.
  • Wake-on-LAN.
  • Övervakning / monitorering.
  • Grafisk, överskådlig statistik för felsökning och förvaltning.
  • Diagnosticeringsverktyg.
  • Backup-/restore-funktion för bla konfiguration.
  • Iperf server- & klient.
  • High Availability kluster-funktioner med automatisk fail over.
  • Lastbalansering.
  • Skicka rapporter via E-mail.
  • Loggning (lokalt och/eller externt via tex syslog-server).
  • Övervakning av UPS.
  • Prenumerera på block-listor (både kostnadsfria och kommersiella).
  • NMAP - portscanna och felsök i nätverk mm.
  • IDS - Intrusion detection system.
  • Enkel hantering av användare och grupper för bla hostmasters.
  • Säker hantering av certifikat (egna och köpta för tex VPN mfl funktioner).
  • Koppla samman 2 eller fler brandväggar i kluster och låt klienterna ha virtuella gateways för extra hög driftsäkerhet.
  • Site-to-site IPsec-tunnlar och liknande för att tex koppla samman olika kontor i ett virtuellt nätverk.
  • Säkra brandväggsregler, slipp öppna en port för "alla" - öppna bara porten för den accesslista som behöver använda den tjänsten osv.
  • Inga licenskostnader.
  • Köp till support vid behov, vi är ert skyddsnät!
  • Utbildningar för era nätverkstekniker vid behov.
  • Certifieringar och supportavtal med SLA efter ert behov!
  • Integrerade hjälptexter, fler hjälptexter tillgängliga via bla PDF.
  • Robust hårdvara, designad för hög belastning 24/7/365.
  • Stackningsbar - bygg ut och skala upp precis hur mycket ni har behov av, när/om behov uppstår!
  • Möjlighet att lägga till funktioner som HA-proxy, radius, Avahi, realtids proxy (bla squid), LLPD, EDP, NDP, sip-proxy mm.
  • Stöd för, och korrekt implementation av alla vanliga och en hel del mindre vanliga tekniker på Internet (NAT, ARP, OpenBGP, Quagga OSPF  osv osv osv).

..och mycket mycket mer.

 

Beprövat: Sedan namnbytet till Nidavellir har vi inte haft en enda kund som rapporterat att de stött på problem med sin IT-säkerhet och ett antal företag med allvarliga problem i sin IT-säkerhet har designat om sina nätverk så att de blivit säkra, ofta med en enda ensam liten Nidavellir-brandvägg som klarat att göra jobbet bättre än en brandvägg från ett dyrare varumärke som inte sällan kostat upp till 42 gånger mer..

 

Vi tog bort allt tjafs!

Här är baksidan på nya Nidavellir mini MKII, visst är det överskådligt och enkelt att jobba med den i nätverket:

 

beskrivning av portar på baksidan av en Nidavellir MKII mini

Klicka på bilden för att öppna bilden i stort format i ett nytt fönster/flik i din webbläsare!


Allt du behöver på en och samma plats och ingenting du inte behöver!

Detaljen med att du enkelt skruvar fast strömkabeln med den lilla gängade muttern på baksidan tror vi verkligen du kommer uppskatta - risken att strömmen bryts oavsiktligt är så nära 0% du kan komma!

 

Tack vare att inga rörliga komponenter utöver chassiefläkten sitter i brandväggen blir den även väldigt stöttålig om du skulle råka dra den i golvet!

 

Du bestämmer helt själv över prestandan

Till skillnad från i princip alla andra brandväggar på marknaden så är det du själv så har all makt över hur brandväggen jobbar när du väljer Nidavellir. Detta är sant även med den lilla mini-versionen som är fullpackad med prestanda, kapacitet, tillgänglighet och säkerhet!

Vill du ha många VPN-användare med stark kryptering (4096-bitars kryptering rekommenderas) eller vill du ha många olika servrar med statiska IP-adresser? Vill du kanske ha lastbalanserings-pooler för att driftsäkra och öka prestandan för era webbservrar? Vill du ha bästa möjliga hastighet när du laddar stora filer över Internet?

Du kan få allt detta utan att begränsas! Genom att välja hur du utformar regler kan prestandan förbättras ytterligare (vår kundservice hjälper gärna till med tips och råd kring detta!). Eftersom du har 100% tillgång till alla systemresurser i brandväggen väljer du om du vill lägga allt krut på tung kryptering eller "bara" routing osv!

Just kryptering är en sådan funktion som ofta begränsar kapacitet och många väljer att ha en separat VPN-brandvägg vilket kan ha sina fördelar men du behöver inte göra så om du inte vill. På samma sätt kan du komma upp i hastigheter nära gigabit-ethernet till och med i den lilla mini-brandväggen om du optimerar för detta vilket gör Nidavellir Mini mkII som det perfekta valet för hemarbetsplatsen!

 

Hotell, Restauranger och offentliga miljöer

Nidavellir mini MkII är perfekt i krävande miljöer som Bed & Breakfast, Hotell, restauranger och liknande offentliga miljöer där man måste ha hög säkerhet men samtidigt erbjuda en rad funktioner och tjänster som kan innebära allvarliga hot mot just säkerheten.

Med 4st gigabit-portar till ditt förfogande är det enkelt att designa ett robust nätverk där olika delar av nätverket helt separeras från varandra, ett exempel:

 

WAN-porten ansluts ut mot Internet till överlämningspunkten från er fiberleverantör eller annan Internetaccess med RJ-45-kontakt.

Vi rekommenderar att man alltid använder dubbelskärmad, halogenfri CAT7-kabel för bästa prestanda, minsta möjliga störningar och för att uppfylla de krav som ställs på verksamheter. Halogenfri kabel är ett måste idag då vanlig nätverkskabel vid en eventuell brand blir livsfarlig och utvecklar giftiga gaser som i kontakt med vatten (i tex dina lungor) fäller ut frätande syra (det sista man vill ha i sina lungor när man håller i en brandsläckare). Halogenfri kabel säljer vi här på serverbutiken under kategorien tillbehör. Det är någon krona dyrare men väl värt pengarna, ni lever upp till de krav som eventuellt ställs på er verksamhet och er serverhall och ni får bästa möjliga prestanda idag och imorgon.

Håll kabeldragningarna så korta som möjligt. Dra aldrig nätverkskablar och ström tillsammans.

 

LAN 1-porten ansluts till er LAN-switch som enbart (!) används för administration av nätverket. Ingen annan trafik tillåts till LAN-nätverket men LAN-nätverket tillåts trafik till samtliga andra delar i nätverket. Ni kan med fördel begränsa åtkomst till LAN-nätverket till på förhand kända MAC-adresser och begränsa dessa ytterligare med hjälp av inställningarna för statisk DHCP så att du som administratör kan lita på att varje enskild enhet som är ansluten på LAN-nätverket är betrodd på förhand och att alla andra klienter hålls ute från ert interna LAN.

 

LAN 2-porten kan användas enbart för WiFi-nätverk med WAP, så kallade trådlösa accesspunkter och repeaters (Wireless Access Point). Dessa kan använda DHCP själva eller så kan de överlåta hela jobbet med DHCP och autenticering, eventuell statisk DHCP osv till brandväggen. Man kan även tänka sig ett nätverk där man kombinerar trådlöst och trådbundna klienter och eventuellt till och med servrar och resurser som skrivare. Genom att begränsa med smarta brandväggsregler och tydliga och lättöverskådliga accesslistor kan man styra precist och utan säkerhetshål så att exempelvis trådlösa nätverk, även om de ej har dolda nätverksnamn (så kallade hidden SSID), bara kan nå de resurser som ni vill på nätverket. Har ni ett publikt trådlöst nätverk kan man med fördel använda portal-funktionen i brandväggen på det nätverket och tvinga alla användare att tex godkänna era avtalsvillkor eller köpa en voucher eller landa på er landningssida osv.

Allt går att styra i detalj för den som vill eller att bara "plugga in och köra" för den som föredrar det.

Genom att i brandväggsreglerna styra hur de olika nätverkens adressrymder (IP-nät) får tala med varandra är det enkelt att tex låsa ett helt LAN ute från ett annat.

Vi har bra och prisvärda accesspunkter som även går att koppla samman med samma SSID och med dolda SSID för den som behöver bygga upp ett stort trådlöst nätverk eller flera olika trådlösa nätverk där man kan isolera varje enskild användare, styra mot statisk DHCP och/eller separera olika kategorier av trådlösa klienter så att rätt personer får åtkomst till rätt saker och alla andra stängs ute på ett effektivt sätt som inte är enkelt att brute force-attackera.

 

LAN 3-porten kan användas för ert serverlan. Detta nätverk kan dessutom ytterligare delas in i olika segment om man har behov av att exempelvis hålla isår virtuella servrar som körs i olika moln från andra fysiska servrar, lagringsservrar och så vidare.

Det är inga som helst problem att ha stora nätverk med flera olika switchar och routrar bakom även en liten Nidavellir mini.

Har du tänkt låta nätverket växa med fler fysiska och virtuella servrar på sikt? varför inte börja med att använda en /20-nätmask på ert serverlan så att ni har plats för 16st "C-nät" med 256st IP-adresser i vardera nät?

Det blir väldigt enkelt att ha en adressplan för nätverket där man låter olika subnät få olika funktioner, här är ett exempel:

192.168.1.0/24 reserverat för resurser som lagringsservrar, routrar, switchar och servrar.

192.168.2.0/24 reserverat för övervakningskameror, ip-kameror samt larmsystem.

192.168.3.0/24 reserverat för IP-telefoni.

192.168.4.0/24 reserverat för era virtualiseringsservrar (virtualiseringskluster, "moln").

192.168.5.0/24 reserverat för virtuella servrar som körs i era moln.

192.168.6.0/24 reserverat för fler virtuella gäster när molnen utökas i framtiden.

192.168.7.0/24 reserverat för routrar som sammanbinder LAN 3 med ett annat nätverk någon annanstans.

192.168.8.0/24 reserverat för terminering av VPN-klienter anslutna utifrån och som ska få åtkomst till hela eller delar (åter igen baserat på brandväggsregler) LAN 3.

192.168.9.0/24 reserverat för fysiska servrar så som webbservrar, e-postservrar och liknande.

192.168.10.0/24 - 192.168.15.0/24 reserverat för framtida behov och för att kunna bygga ut utan att behöva adressera om hela nätverket.

 

Ovanstående exempel är möjligt att använda om LAN 3-porten på Nidavellir-brandväggen har subnätmasken 255.255.240.0, dvs en /20-mask, broadcast skulle vara 192.168.15.255, nätadressen skulle vara 192.168.0.0 och interfacet (porten) för LAN 3 på brandväggen skulle exempelvis kunna ha adressen 192.168.0.1. Eller 192.16.15.254 (som är den sista användbara adressen i nätverket 192.168.0.0/20).

 

Som du ser i exemplet ovan är det enkelt att till och med låta helt olika resurser dela samma lokala fysiska nätverk. Så länge alla Switchar och alla hostar enbart tillåts använda brandväggen som default gateway och all trafik lokalt alltid routas via brandväggen (eller en annan av brandväggen betrodd router som fått delegerat till sig ansvaret för ett subnät eller liknande). Den fysiska säkerheten kommer såklart och som alltid i första hand men tänker man bara rätt när man drar kablage osv och är noga med att aldrig göra undantag (och att dokumentera!) så är det helt säkert.

Föredrar du att inte dela samma fysiska nätverk men ändå måste, om du tex får slut på portar i brandväggen, så kan du istället för att lägga till fler brandväggar eller uppgradera med fler portar skapa virtuella nätverk, använda VLAN-taggning och (förutsatt att du kan styra routingen och inte har klienter som använder en annan default gateway än din) med brandväggsreglerna enkelt styra hur de olika nätverken får eller inte får nå varandra.

 

VPN

VPN-servern är sålart säker och enkel att använda, särskilt om ni följer vår guide och det går utmärkt att ansluta användare via VPN från såväl smartphones, plattor, paddor, datorer, servrar eller andra VPN-nätverk osv men en ytterligare finurlig funktion i brandväggen är att VPN-nätverket blir som ett extra, separat "flytande" nätverk med en egen adressrymd vilket gör att det är oerhört enkelt att hantera åtkomst till/från VPN-användare.

Tack vare att varje VPN-användare dessutom kan ha en egen motsvarande DHCP-adressrymd (ett tips här är att låta varje användare kunna få ha flera olika lokala adresser så att man kan ansluta flera gånger från olika enheter eller om en tidigare inloggning inte ännu time:at ut utan hålls vid liv någonstans av någon enhet/router/brandvägg osv).

Vill man så kan man såklart göra tvärt om och explicit tvinga varje användare att enbart kunna logga in en enda gång och logga ut först om de vill logga in någon stans ifrån.

Genom att låta varje användare ha sin egen adressrymd i VPN-servern i din Nidavellir-brandvägg kan du därefter enkelt med brandväggsregler som styr på IP-adresserna kontrollera om en viss användare ska kunna nå andra nät, funktioner, tjänster och resurser i de olika nätverken.

 

 

Hemarbetsplatser och hemmaanvändare

Vi genomförde riktigt krävande tester för Nidavellir mini MkII utifrån de behov som en avancerad hemanvändare eller hemarbetsplats ställer.

Vi kopplade in flera olika WLAN både på delade nätverk bakom samma LAN-port och bakom flera olika LAN-portar samtidigt som vi lastade ned utrustningen ordentligt med mätningar, både riktiga upp- och nedladdningar och iperf-mätningar som bredbandskollen, tptest mm.

När vi lade på flera samtidiga tunga VPN-sessioner med 4096-bitars kryptering börjar vi märka att belastningen går upp något men den 100/100Mbp/s-fiber vi testade över - en ganska genomsnittlig Internetanslutning för många hemanvändare idag - kunde vi utan problem fylla upp helt och hållet. Brandväggen orkade med långt mer än vad fiber-sladden var avsedd att orka med med andra ord.

 

Tack vare att alla komponenter som pratar IP i burken är av robust gigabit-typ, vi har återigen använt oss av de bästa och mest kraftulla nätverks-portarna vi kunnat hitta och med lite vind i ryggen, utan solen i ansiktet, med medvind på en bra dag kan vi nästan - inte riktigt, men nära nog - skrämma upp denna lilla krabat i max-hastigheten på gigabit-portarna i fråga om genomströmmningshastighet.

Nu är det här som sagt inte en brandvägg som är designad för att vara en högpresterande gigabit firewall i stora företagsnätverk men med lite tweakande kan du alltså faktiskt få den dit - och komponenterna håller en kvalitet som absolut tillåter det också. Faktum är att när vi tog fram denna lilla värsting insåg vi ganska snabbt att vi inom en snar framtid kommer att behöva uppgradera instegsmodellerna i 19"-version för Nidavellir MkII, i vissa situationer presterar minstingen bättre än storebröderna faktiskt!!

Saker att tänka på för att få upp prestandan och bandbreddshastigheterna maximalt för den riktigt krävande hemanvändaren:

 - optimera brandväggsregler.

 - Se till att eventuella trådlösa anslutningar optimeras, använd snabba protokoll, bra antenner och bra placering - WiFi blir lätt en flaskhals när vi snackar höga hastigheter.

 - Bra, korta och skärmade kablar som dras utan att korsas av elkablar, undvik elektromagnetiska fält.

 - Bra gigabit-switchar med snabbt bakplan. 1Gbps växlingshastighet räcker inte när du ska skyffla upp emot 1Gbps/1Gbps, du behöver minst 1Gbps *per port* - dvs 48Gbps växlingskapacitet eller mer för en 48-portars switch osv.

 

 

..som brandvägg i labbet

Som mindre brandvägg i labbet eller till och med helt ensam brandvägg för små och medelstora labb på företag fungerar Nidavellir mini MkII utmärkt.

De 4 olika portarna kan användas för att effektivt isolera olika nätverk från varandra, potentiell farlig information som till och med virus och skadlig kod kan lätt "låsas in" i ett nätverk så att tekniker kan jobba med koden, felsöka och analysera osv utan att risk för spridining av skadlig kod till andra delar av nätverket finns!

Tack vare trafik-prioriteringsfunktionen kan man säkerställa att viktiga nätverk, datorer, segment eller till och med vissa prioriterade protokoll som HTTPS eller VoIP får företräde och att mindre viktig trafik prioriteras ned. Detta är särskilt praktiskt i nätverk där bandbredden är flaskhalsen. Brandväggen har kapacitet not att buffra och köa upp nedprioriterad trafik så på ett överfullt nätverk, särskilt när man kommer ned i hastigheter under 100Mbps, gör trafikprioriteringen stor skillnad och nätverket "känns" snabbt tack vare att de funktioner som är viktiga att skynda på så att användare inte upplever stress kan prioriteras över funktioner som "bara" maskiner är beroende av och som inte måste gå iväg riktigt lika snabbt!

Självfallet kan du helt och hållet skräddarsy trafikprioriteringen och det är enkelt att implementera ett test för att utvärdera och sedan gå tillbaks och finjustera tills allt känns rätt.

 

..som stackningsbar högprestanda router

Koppla samman 2 eller fler Nidavellir mini i ett kluster så har du en äkta High Availability routing-lösning med automatisk fail over och lastbalansering.

Genom att hålla brandväggandet till ett minimum och lägga fokus på routing och access-filter för att effektivt blockera oönskad trafik håller ni nästa nivå in på nätverket rent och snyggt från onödig trafik som belastar, ni blockerar DOS- och DDOS-attacker på ett så tidigt stadie som möjligt och får en oerhört robust och driftsäker routing som kan ta flera olika alternativa rutter vid behov och utan att det märks.

Genom att använda 2 eller fler av portarna på brandväggarna som WAN-interface kan ni ansluta mot upstream-leverantörer på olika sätt, i stora delar av Sverige är det exempelvis antingen Stokab eller Skanova (eller möjligen ett stadsnät, inte sällan byggt i någon av dessas infrastruktur) som bjuds och om den ena fallerar är det enda alternativet att skifta över till den andra. Nidavellir kan göra detta automatiskt åt er och det finns stöd för bland annat OpenBGP, VRRP och en rad andra funktioner för att underlätta och säkerställa att driften fungerar optimalt.

Alla states dvs pågående trafik som passerar igenom brandväggarna (routrarna) kan synkas i realtid vilket innebär att om en av era egna Nidavellir-boxar av någon anledning skulle falla bort så känner den andra omedelbart av det, tar tag i all pågående trafik och fortsätter omedelbart. I regel blir det sällan time out:er och all trafik i ett helt nätverk kan vara omstyrt från A-delen av ert nätverk till B-delen på så kort tid som 5 sekunder.

För att använda två eller fler Nidavellir mini MkII jämte varandra som en "stackad" lösning behöver ni:

 - Minst 2st identiska Nidavellir-brandväggar som konfigureras för HAC, dvs High Availability Cluster. Vi rekommenderar tre eller fler då driftsäkerheten blir bättre vid tre.

 - Separata Switchar för varje nätverk (typiskt 4st för 4-portars brandväggar).

 - En separat switch enbart för synkronisering mellan brandväggar, ingen annan trafik får gå på detta nätverk.

 - En separat UPS per brandvägg, gärna en separat UPS för switchar.

 - En eller flera Internetaccesser.

 - En IP-adress per port + en virtuell som ska flyta mellan brandväggarna.

 

Används 2 WAN-portar och en LAN-port för synkronisering innebär det att ni har en LAN-port som kan användas för trafik in på ert nätverk.

Varje Interface-adress på brandväggarna behöver en IP-adress vardera men utöver detta delar de alla på en virtuell IP-adress som "flyter" mellan de olika brandväggarna, tex:

 

Gateway-adress för brandvägg #1: 10.10.10.1

Gateway-adress för brandvägg #2: 10.10.10.2

Gateway-adress för brandvägg #3: 10.10.10.3

 

Virtuell gateway: 10.10.10.10

 

Alla klienter som använder gateway-adressen ska enbart använda 10.10.10.10. Klienterna kommer aldrig veta vilken av de tre brandväggarna som vid varje givet tillfälle ansvarar för gateway-adressen och det är helt irrelevant. Risken att alla tre brandväggarna går sönder samtidigt och att ingen av dem kan ta hand om trafiken för 10.10.10.10 är minimal och även om extrema trafikmängder skulle orsaka att en brandvägg startas om pga överbelastning så hinner nästa brandvägg starta, ta över trafiken och synka all pågående trafik innan nästa brandvägg i ordningen hinner överbelastas. Med den här typen av nätverksdesign får ni således en oerhört robust infrastruktur som står pall för det mesta och även det oväntade.

Genom att använda Nidavellir som dedikerat router-kluster och begränsa brandväggsreglerna till enbart ett fåtal blocklistor för att stoppa oönskad trafik får ni bästa möjliga prestanda, möjlighet att felsöka och diagnosticera på ett enkelt sätt och använda verktyg och statistik för att förstå trafiken i nätverket och kunna underhålla nätverket och bygga ut där det behövs utan att det går ut över trafiken i sig eller driftsäkerheten.

Genom att placera ett brandväggskluster med 2 eller fler (helst minst tre även här) brandväggar bakom router-klustret i ännu ett HAC och låta dessa brandväggar fokusera på enbart brandväggande och inte så mycket routing, kanske en del IDS och liknande så får ni ytterligare optimerad prestanda och risken för en flaskhals är minimal samtidigt som driftsäkerheten är optimal.

 

Tack vare låg strömförbrukning och att Nidavellir mini MkII är så små och tar upp lite plats i serverracken får ni utan problem plats med alla era routrar och brandväggar på ett och samma hyllplan i ett rackskåp eller motsvarande.

Underhåll och uppdateringar underlättas tack vare att man kan ta ned en router eller brandvägg i taget, uppdatera denna utan att trafiken påverkas alls, starta den nyligen uppdaterade brandväggen, säkerställa att den kommer in i klustret och kan ta över trafik och därefter uppdatera nästa Nidavellir-burk osv. Smidigt, enkelt och säkert.

 

High Availabilty Cluster

..är en av många funktioner som ingår i alla Nidavellir-brandväggar. Tänk på att alla klustermedlemmar måste ha identisk konfiguration. Teoretiskt sett måste de inte ha identisk hårdvara men det är allra enklast om du har precis identiska maskiner i ett kluster, då slipper du oroa dig för att tex en port ska ha olika namn och liknande till synes små detaljer som i en klustrad lösning innebär katastrof.

Bäst kostnadseffektivitet får du ut med tre enheter per kluster. Faktum är att det nästan alltid är bättre att dela in nätverket i segment om tre brandväggar hellre än att ha ett större nätverk med 4, 5, 6 eller fler brandväggar i ett och samma kluster. Genom att kunna styra om trafik helt och hållet mellan två kluster erhåller du i praktiken en högre driftsäkerhet med tex två kluster om 3st brandväggar än om du skulle ha ett kluster om 6st.

 

Automatiserad fail over är en viktig funktion inom brandväggskluster. Detta i sin tur ställer krav på att den infrastruktur som switchar som används för att brandväggarna ska kunna kommunicera och stämma av med varandra att allt är ok fungerar. En UPS med för kort batteritid på switchen som används av brandväggarna för synkronisering innebär att BÅDA brandväggarna bestämmer sig för att den andra försvunnit och båda bestämmer sig på varsitt håll för att bli Master. Det säger sig självt att bara en av dem kan vara Master och alla klienter som ansluts via nätverket kommer vara totalt förvirrade tills dess att UPS:en återställs.

Se därför till att alltid hålla ljuset igång i Switchar, fiberutrustning, kablage och annat som ansluts till kritisk infrastruktur.

Många tänker just kring UPS-dimensionering att det är servrar man i första hand ska fokusera på men det är egentligen helt felaktigt. Stäng hellre ned servern kontrollerat på ett tidigt stadium när UPS:erna registrerar ett avbrott och lägg fokus på att hålla liv i kritisk infrastruktur. Nidavellir-burkarna exempelvis har så låg strömföbrukning så att du kan hålla en UPS igång väldigt länge vilket gör att andra system som larm-system, övervakningskameror och funktioner som behövs för att larma om bland annat just själva strömavbrottet kan fortsätta anvädna Internet långt efter att avbrottet inträffat. Det sista som slocknar i ditt nätverk när UPS:erna kör slut på sin sista kräm ska vara dina externa switchar och dina brandväggar.

Tänk på att varje Nidavellir kan övervaka sin egen UPS - utnyttja detta. Tack vare att den nya mini-modellen har hela 4st USB-portar kan du utan problem avvara en av dessa för kommunikation med din UPS!

 

image image image image image
Annonsplatser:
co-location