ее положению: оно простирается от устройств для дома и офиса до маршрутизаторов старшего класса для средних и крупных предприятий или провайдеров услуг.
Маршрутизаторы DSL особенно популярны в нижнем и среднем рыночных сегментах, при этом модем DSL обычно уже интегрирован в устройство. В верхнем сегменте предпочтение отдается широкополосным, IP- и многопротокольным маршрутизаторам, а также маршрутизаторам для глобальных сетей, предоставляющим функции VPN и другие средства обеспечения безопасности. Поддержка DSL (в большинстве случаев в виде нескольких вариантов) фигурирует, скорее, как одна из множества опций (наряду с кабельными, Е-1 и другими соединениями глобальных сетей). Вследствие акцента на VPN устройства часто продаются как шлюзы VPN.
Типичные маршрутизаторы DSL, как правило, являются маршрутизаторами доступа, с помощью которых к DSL подключаются несколько пользователей. Маршрутизатор для глобальных сетей с поддержкой DSL применяется для недорогого и надежного соединения филиалов предприятия с главным офисом или регулирования доступа к размещаемым на предприятии услугам Web. Последнее представляет основную цель применения устройств провайдерами услуг. Между тем масса устройств может использоваться и в качестве маршрутизатора доступа, и для соединения локальных сетей. Поэтому границы между разными категориями очень расплывчаты.
Рисунок 1. Многофункциональное устройство среднего класса Lancom 1711 VPN предназначено как для доступа в Internet, так и для соединения локальных сетей (пять туннелей VPN с возможностью расширения до 25). |
В зависимости от сценария применения при выборе необходимо рассматривать разные критерии. Если предприятие пользуется ненадежной, но недорогой средой передачи данных, к примеру Internet, для соединения филиалов с сетью центрального офиса на первом месте стоит конечно же безопасность. В этом случае в качестве предпочтительного метода стоит выбрать виртуальную частную сеть (Virtual Private Network, VPN), что подразумевает терминирование VPN на маршрутизаторе, включая требующее серьезных вычислительных ресурсов построение туннеля VPN. Такие устройства должны обладать высокой производительностью в соответствии с количеством одновременно поддерживаемых каналов VPN. Предложе-ние простирается от простых маршрутизаторов VPN, где одновременно поддерживается до пяти каналов (см. Рисунок 1), вплоть до больших машин, контролирующих функционирование тысячи или более каналов.
ТУННЕЛЬ VPN
Основной базовой функцией любого маршрутизатора DSL — безразлично, устройства доступа или VPN — является преобразование IP-адресов со стороны локальной сети. Извне же доступен лишь единственный IP-адрес независимо от того, сколько узлов локальной сети за ним скрываются. Практически у всех производителей преобразование сетевых адресов (Network Address Translation, NAT) входит в стандартный набор функций.
Значительные издержки, связанные с построением туннеля VPN, возникают из-за различных механизмов, каковые предписываются предназначенным для этого протоколом обеспечения безопасности в Internet (Internet Protocol Security, IPSec), поскольку его поддержка в случае использования туннеля VPN по сути обязательна. Протокол определяет ряд надежных методов аутентификации и шифрования, среди них алгоритмы аутентификации MD5 (Message Digest) и SHA-1 (Secure Hash Algorithm), а также несколько методов шифрования, в том числе обязательные 168/256-разрядный методы 3DES и AES. Некоторые производители предлагают модульную реализацию функций VPN.
В этом случае, как правило, предоставляются аппаратные ускорители VPN.
Раздача ключей должна быть реализуема не только в виде заранее выданного ключа, но и посредством сертификатов, поддержка которых позволяет строить инфраструктуры с открытым ключом с высоким уровнем безопасности при одновременной гибкости повседневного применения. Так, для защиты системы, к примеру в случае смены сотрудника или кражи устройства VPN, необходимо внести изменения лишь в одном месте. Это облегчает администрирование, повышает безопасность и надежность, снижает стоимость. Если управление ключами основано на методе с использованием заранее выданного ключа, то при конфигурации требуется ввести пароль. В средах VPN с небольшим числом туннелей (до десяти) такой подход может быть вполне удовлетворительным. Однако чем больше количество туннелей, тем уязвимее ключ и тем накладнее становится проведение изменений (их придется осуществлять на каждом конечном пункте VPN).
Обычно при организации VPN требуется назначение фиксированного IP-адреса на обоих конечных пунктах. Однако филиалы часто имеют лишь динамические IP-адреса. Кроме того, на небольших предприятиях иногда даже центральный офис подключен к Internet по каналу DSL с динамически назначаемым IP-адресом, в этом случае оба конечных пункта имеют динамические IP-адреса. У этой проблемы есть два решения, и в идеальном случае должны поддерживаться оба.
Первое заключается в использовании системы динамических имен доменов (Dynamic Domain Name System, DDNS) в интерпретации, к примеру dyndns.org. Маршрутизатор имеет клиента DNS, который при каждом обращении к Internet обновляет запись DNS, занося новый IP-адрес. Таким образом, маршрутизаторы «видят» друг друга по именам DNS. Хотя DDNS поддерживают многие маршрутизаторы, у системы имеются недостатки как в отношении безопасности, так и практического применения. Самый важный заключается в том, что устройства постоянно должны находиться на линии, чтобы распознавать запросы на соединение от противоположной стороны. Слабым местом в системе безопасности является провайдер DDNS, часто недостаточно защищенный от хакеров.
Рисунок 2. С обратной стороны маршрутизатора Lancom 1711 VPN находятся четыре порта локальной сети и один порт глобальной. |
Второй вариант — замена информации IP-адреса посредством (бесплатного) протокола канала D (а в качестве альтернативы и платного канала В) в случае соединения ISDN. Условие для этого — наличие у маршрутизатора интерфейса ISDN с соответствующими возможностями. Однако замена IP-адреса — не единственная причина оснащения многих маршрутизаторов DSL старшего класса одним или несколькими портами Sь. Некоторые предлагают и возможность удаленного управления по внешнему каналу, многие используют интерфейс ISDN в качестве резервного соединения при отказе DSL. Тем, для кого высокая готовность имеет еще большее значение, следует обратить внимание на поддержку резервных соединений при помощи аналогового модема и/или GSM/UMTS. Для обеспечения еще одного способа управления по внешнему каналу ряд устройств обладает встроенным последовательным портом, к которому непосредственно на месте можно подключить консоль (см. Рисунок 2).
ГИБКАЯ КОНФИГУРАЦИЯ ПОРТОВ
Маршрутизаторы глобальной сети старшего класса редко имеют интегрированный модем DSL. На стороне глобальной сети — так же, как и на стороне сети локальной — они располагают определенным числом портов Fast Ethernet. Иногда за портом реально скрыт интегрированный модем DSL, остальные могут гибко конфигурироваться. Поскольку порты глобальной и локальной сети физически идентичны, в случае необходимости их можно назначать локальной или глобальной сети. Маршрутизаторы с поддержкой этой функции обладают большей гибкостью. Порты глобальной сети без модема DSL свободно подключаются к модемам любой разновидности DSL, к кабельным модемам или даже модемам для фиксированных соединений, например Е-1 (см. Рисунок 3).
Рисунок 3. Маршрутизатор Bintec X8500 от Funkwerk благодаря своей модульной конструкции предназначен для крупных предприятий и провайдеров услуг. |
Наличие нескольких портов глобальной сети имеет смысл по двум причинам: во-первых, в результате увеличивается общая доступная пропускная способность глобальной сети; во-вторых, трафик можно разделить в зависимости от нагрузки или типа данных по нескольким каналам. Один из каналов, к примеру, будет обслуживать весь трафик в направлении Internet, в то время как второй — исключительно трафик VPN. Или одна линия задействуется для сервера Web — по недорогому соединению ADSL, а второй порт глобальной сети через еще одно соединение ADSL или, в зависимости от потребности, ADSL+, SDSL либо SHDSL, возьмет на себя остальной трафик данных предприятия. Как правило, такое разделение обеспечивается при помощи интегрированного коммутатора (чаще всего на четыре или восемь портов), позволяющего строить виртуальные локальные сети и осуществлять балансировку нагрузки. Если помимо передачи данных соединение применяется и для голосовой или иной коммуникации в реальном времени, устройство должно поддерживать средства обеспечения качества услуг (Quality of Service, QoS) — резервирование пропускной способности и назначение приоритетов пакетам.
По симметричным соединениям DSL, в частности SHDSL, данные передаются в обоих направлениях с одинаковой скоростью, в то время как в случае асимметричных методов, ADSL, например, часто скорость приема гораздо выше скорости передачи. Предприятия охотно прибегают к симметричным технологиям DSL, поскольку они очень хорошо справляются с подключением внешних офисов. Симметричная линия DSL идеально подходит для хостинговых услуг (предоставление серверов Web или электронной почты) или подключения виртуальных рабочих мест (Citrix MetaFrame, Windows TSE), равно как и для прочих приложений с одинаковой скоростью передачи в прямом и обратном направлениях (к примеру, для видеоконференций).
Если соединение DSL оплачивается не по фиксированной ставке, т. е. сумма выплат зависит от переданного объема, необходимо максимально сократить трафик данных. Классическим методом является сжатие данных, используемое и в ISDN. Однако в рамках соединения VPN реализовать его не так просто, ведь традиционные методы сжатия, VJHC, Stac или MPPC, нельзя применять к пакетам IPSec: внесенные изменения противоположная сторона будет расценивать как хакерские атаки и отбрасывать поступающие пакеты.
В этом случае поможет метод IP Comp, благодаря которому объем передаваемых данных в зависимости от их типа снижается на величину до десяти раз. Даже если исходить из двукратного снижения это означало бы сокращение платы вдвое. Однако при этом надо следить, как сжатие данных влияет на задержки, особенно в отношении требований QoS.
БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ
На предприятиях маршрутизаторы DSL часто служат и в качестве центрального брандмауэра или специализированного устройства защиты. Даже если это так, все равно необходим высокопроизводительный брандмауэр с контекстной проверкой пакетов (Stateful Packet Inspection, SPI).
В отличие от обычной функции брандмауэра — трансляции сетевых адресов (NAT), которая у маршрутизаторов DSL для домашнего использования часто является единственным средством защиты, брандмауэр SPI проверяет каждый пакет, входящий в сеть или исходящий из нее. Таким образом могут быть распознаны и отражены хакерские атаки из Internet, к примеру сканирование портов или атаки с цепью отказа в обслуживании (Denial of Service, DoS). Информация из журналов и отчетов брандмауэра дает необходимые сведения о статусе и аварийных сигналах. Однако специализированное устройство защиты обладает намного большим количеством функций. К ним относятся системы обнаружения и предотвращения вторжений (IDS/IPS), защита от спама и вирусов. Впрочем, две последние функции до сих пор довольно редко встречаются в маршрутизаторах DSL. Иногда предлагается фильтр URL, который должен удержать сотрудников (на предприятии) или детей (дома) от посещения «неподобающих» страниц Web.
В случае корпоративных маршрутизаторов DSL важное значение име-ет управление. Наряду со специальными инструментами должны быть доступны различные интерфейсы управления: по Web (HTTP или лучше HTTPS), удаленное обслуживание по ISDN, RADIUS, Syslog и TFTP, порт для обслуживания непосредственно на устройстве (в большинстве случаев интерфейсы командной строки на последовательном порту) и проч. Для целей администрирования очень важно включение в систему управления SNMP. Профессиональные системы позволяют создавать многоступенчатые административные иерархии для разделения управления в соответствии со структурой предприятия и компетенцией.
ИНТЕГРАЦИЯ БЕСПРОВОДНОЙ СЕТИ
Рисунок 4. Маршрутизатор Etherfast Wireless AP + Cable/DSL-Router от Linksys представляет собой точку доступа к беспроводной локальной сети с интегрированным четырехпортовым коммутатором. |
Частой опцией — как у корпоративных, так и у домашних маршрутизаторов DSL — является интеграция модуля WLAN (см. Рисунок 4). На предприятиях это имеет смысл лишь там, где устройство должно использоваться и для сетевого доступа мобильных пользователей. Однако этот сценарий приобретает гораздо большее значение в области домашних и малых офисов. Чаще всего применяются радиомодули с поддержкой 802.11b и -g или трехрежимные модули с дополнительной поддержкой 802.11а (или 802.11h — адаптированного для Европы варианта а). Номинальная скорость передачи равна приблизительно 54 Мбит/с (a, h и g) или 11 Мбит/с (b).
При использовании WLAN следует уделять серьезное внимание безопасности. Между тем уровень специфичных функций безопасности сейчас весьма высок: так, введенные в позапрошлом году методы шифрования в рамках WPA2/802.11i до сих пор еще не взломаны. В случае необходимости в некоторых моделях на беспроводную сеть можно распространить и IPsec. Важным критерием при покупке беспроводного маршрутизатора DSL является возможность подключения внешних радиоантенн. Лишь с их помощью можно добиться хорошего радиопокрытия на сложной местности (при наличии в офисах многочисленных шкафов, стен из радиоизолирующих материалов и т. д.), к примеру путем узкой направленности.
ОГРАНИЧЕНИЯ
Маршрутизаторы DSL для сектора домашних и небольших офисов выпускаются, как правило, со встроенным модемом DSL. Это удобно, если известно, на каком соединении DSL устройство будет эксплуатироваться в течение продолжительного срока. Критерии безопасности и WLAN для корпоративных маршрутизаторов имеют силу и для сегмента младшего класса. В то время как в этой области брандмауэры достигли довольно-таки высокого уровня, другие функции обеспечения безопасности присутствуют лишь в ру-диментарном виде. К примеру, защита IDS почти всегда заключается лишь в возможности просмотра системных журналов через интерфейс Web.
Если в техническом паспорте маршрутизатора DSL для малых офисов упоминается поддержка VPN, то к это-му утверждению следует отнестись с осторожностью, поскольку, как правило, оно означает лишь поддержку туннеля VPN из Internet в локальную сеть или наоборот. Такой маршрутизатор не функционирует как конец туннеля и не отвечает за построение туннеля, чем существенно отличается от корпоративных маршрутизаторов.
Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.
? AWi Verlag