Установку средств фильтрации трафика на маршрутизаторы можно считать обязательной для контроля за доступом к сети и использованием ресурсов. Фильтры на маршрутизаторах доступа применяются по разным причинам: для предотвращения несанкционированного проникновения в сеть пользователей и приложений, мониторинга работы авторизованных прикладных программ и ограничения доступа к самому маршрутизатору. Как оказалось, работа фильтров далеко не всегда ведет к значительному снижению производительности устройств.
В нашем распоряжении оказались шесть маршрутизаторов доступа от пяти производителей. В ходе тестирования мы увеличивали их загрузку путем добавления все новых и новых фильтров и маршрутов передачи данных.
Устройства от ImageStream, Lucent Technologies, Riverstone и Tasman практически «не заметили» изменения условий функционирования. При загрузке сотен фильтров и гигантских таблиц маршрутизации пропускная способность этих маршрутизаторов и вносимые ими задержки в передачу пакетов оказались практически такими же, как при базовой конфигурации.
Прямо противоположный результат продемонстрировал маршрутизатор 2651 от Cisco Systems: его производительность оказалась впечатляющей только в простейшей конфигурации и заметно снизилась после добавления фильтров. Впрочем, это вполне закономерно: упомянутый продукт имеет единственный (центральный) процессор и лишь 64 Мбайт памяти. Даже после увеличения объема последней до 128 Мбайт маршрутизатор не смог конкурировать с другими участниками испытаний. Все они имели 256-Мбайт ОЗУ и, как правило, базировались на более совершенной элементной базе, будь то сетевые процессоры или специализированные программируемые матрицы логических элементов.
По правде говоря, фирма Cisco вообще отказалась участвовать в тестировании. Ее представители заявили, что производительность маршрутизаторов интересует пользователей чуть ли не в последнюю очередь. Однако, приняв во внимание доминирующее положение Cisco на рынке сетевого оборудования, мы самостоятельно приобрели устройства Cisco 2651, дабы сделать выборку испытываемых моделей более репрезентативной. Компания была проинформирована о методике тестирования и его результатах.
На языке цифр
Чтобы охарактеризовать влияние фильтрации на производительность маршрутизаторов, мы использовали три показателя: пропускная способность, среднее и максимальное значение задержек пакетов. Кроме того, оценивалось время перезагрузки каждого устройства, позволяющее судить о возможностях оперативного восстановления его работоспособности после сбоя.
Перед испытаниями два одинаковых маршрутизатора соединялись по двум каналам T1 в конфигурации back-to-back (рис. 1). Подобный вариант, пожалуй, чаще других используется в корпоративных сетях, включающих в себя устройства данного типа.
Сначала мы проводили базовый тест, в котором какие-либо фильтры или правила маршрутизации отсутствовали. Затем фильтры и условия маршрутизации трафика добавлялись по нарастающей. Причем перед этим мы просили сотрудников фирм-изготовителей обеспечить настройку одного из маршрутизаторов в соответствии сразу с несколькими условиями фильтрации трафика: по IP-адресам источника и приемника, номеру протокола, номеру порта TCP или UDP. Последний фильтр служил для обработки специального тестового трафика, что заставляло маршрутизаторы циклически применять весь набор установленных фильтров. На устройствах была активизирована функция регистрации событий, поэтому мы знали число пакетов, обработанных каждым фильтром. Испытания проводились при установке 8, 16, 64 и 256 уникальных фильтров на одном устройстве.
Когда дело дошло до динамической маршрутизации, помимо разнообразных фильтров мы воспользовались конфигурированием устройств на обработку трафика в соответствии с двумя протоколами маршрутизации — Border Gateway Protocol (BGP) и Open Shortest Path First (OSPF). При этом задействовались два сценария маршрутизации — на основании простейших (небольших) и достаточно изощренных (крупных) таблиц маршрутизации.
В первом случае в тестовой среде по протоколам BGP и OSPF распространялись сведения о наличии 64 сетей. Подобные таблицы могут применяться в средних и малых фирмах. Во втором случае речь шла уже о 125 тыс. маршрутах BGP и 4096 маршрутах OSPF. Первое значение отражает текущий размер «полной таблицы» Internet: именно столько сетей «видны» в этой глобальной среде. Второе значение примерно соответствует десятой части размера нулевой зоны OSPF провайдера первого уровня (как известно, подобная зона образует ядро любой сети OSPF).
Конечно, маршрутизатор доступа не обязан хранить полную таблицу маршрутизации Internet, но мы полагаем, что наше требование не чрезмерно. Сегодня компании все чаще применяют для повышения отказоустойчивости коммуникационной инфраструктуры множественные соединения BGP через сети различных Internet-провайдеров, и истинный размер их таблиц маршрутизации может оказаться как минимум вдвое большим, чем использованный нами.
Перемалывание пакетов
Когда речь заходит о производительности, самым верным эталоном служит полоса пропускания физической линии передачи. Пять из шести тестировавшихся продуктов обеспечили соответствующее значение скорости, причем независимо от размера пакетов, числа фильтров и маршрутов передачи данных (рис. 2). По правде говоря, в этом нет ничего неожиданного, ведь узким местом тестовой сети были два канала T1, соединявшие маршрутизаторы. Если современные настольные компьютеры стоимостью 400 долл. могут обмениваться данными со скоростью 100 Мбит/с и даже большей, то способность маршрутизаторов передавать трафик с интенсивностью 3 Мбит/с следует воспринимать как нечто само собой разумеющееся — даже если этот трафик состоит исключительно из пакетов минимального размера, а на маршрутизатор установлены множество фильтров и весьма объемная таблица маршрутизации.
Исключением из правила оказалась модель Cisco 2651. Подобно продуктам других производителей, это устройство передавало короткие пакеты в соответствии с пропускной способностью физической линии, но лишь пока мы не активизировали функции фильтрации и динамической маршрутизации трафика. Его наилучший результат при наличии фильтрации составил менее 30% от теоретического максимума. Как только к фильтрам добавлялась маршрутизация, производительность устройства падала еще больше, порой составляя всего 7% от полосы пропускания двух линий T1.
В документации к устройству 2651 указывается, что использование списков контроля за доступом (Access Control List, ACL) способно отрицательно повлиять на производительность маршрутизатора. Полученные нами результаты подтвердили серьезность этого предупреждения.
Проблемы устройства 2651, выявленные в данном тесте, заслуживают дополнительных комментариев. Во-первых, следует признать, что консультанты Cisco в области проектирования сетей вряд ли порекомендуют модель 2651 тому заказчику, потребности которого в сетевой обработке аналогичны воссозданным нами. Сотрудники PR-службы компании, ознакомившись с нашей методикой тестирования, посоветовали привлечь к испытаниям маршрутизатор 1710, который отличается заведомо меньшей производительностью. Во-вторых, в стандартной конфигурации устройство 2651 поставляется с 64-Мбайт ОЗУ. Это не позволяло провести тестирование с большой таблицей маршрутизации, и нам пришлось расширить ОЗУ до 128 Мбайт — максимального объема, поддерживаемого данной моделью.
Конечно, в реальной сети трафик не может состоять исключительно из 64-байтовых пакетов. Одни приложения, например VoIP, генерируют преимущественно короткие пакеты, а другие — в основном передают длинные кадры. Средняя длина фреймов во многих IP-сетях примерно равна 300 байт, а ряд приложений используют для передачи данных пакеты максимального размера. В наших тестах средняя и максимальная длины пакетов составляли соответственно 256 и 1518 байт.
При обработке 256-байтовых пакетов производительность Cisco 2651 опять упала ниже пропускной способности среды передачи, но уже не столь значительно, как в случае с короткими пакетами. На сей раз наихудший показатель (при загрузке большой таблицы маршрутизации) составил 29% от теоретического максимума (напомним, что для 64-байтовых пакетов он равнялся 7%). Передавать данные с физической скоростью линии это устройство оказалось способным лишь при отсутствии маршрутизации либо при работе с простейшей таблицей маршрутизации (число фильтров не превышало 64). Все остальные продукты транспортировали данные с пропускной способностью физической среды передачи.
Наконец, 1518-байтовые пакеты маршрутизатор 2651 обрабатывал со скоростью, соответствовавшей пропускной способности физической линии. Та же картина была характерна для остальных устройств.
Игра в задержку
Если в тестах на производительность почти все изделия показали практически одинаковые результаты (за исключением продукта Cisco), то при проверке задержек передачи пакетов мы получили иную картину.
Во многих случаях задержка, вносимая сетевым устройством при прохождении через него пакета, является даже более важной характеристикой, чем пропускная способность. Она сказывается на обработке каждого пакета, независимо от текущего уровня сетевой нагрузки. Обеспечение низкой постоянной задержки играет ключевую роль не только для тех приложений, которые нацелены на работу с голосом и видео, но и для любых прикладных программ, чувствительных ко времени отклика сети. В количественном выражении это соответствует примерно 90% всего Internet-трафика, передаваемого по протоколу TCP. Транспортировка пакетов TCP предполагает своевременное подтверждение их получения, поэтому большие задержки способны привести к повторной передаче данных, а то и к разрыву сеансов.
Даже для сравнительно медленных каналов T1 задержки передачи 64-байтовых пакетов теоретически могут достигать 0,5 мс. При определении нами средней величины задержки устройства Riverstone 3000 и Tasman 1004 вплотную приблизились к этому максимуму (рис. 3), но в других случаях результаты были иными. В ходе тестирования пары маршрутизаторов 2651 фирмы Cisco, Rebel компании ImageStream и устройства 1400 от Tasman средние значения задержки оказались примерно вдвое большими.
Нет однозначного ответа на вопрос, какую максимальную величину задержки следует признать приемлемой. Человек замечает ухудшение качества воспроизведения видео, начиная с задержки 10 мс, для аудиопотоков этот параметр находится в диапазоне 50—200 мс, а для приложений передачи данных порог может быть гораздо выше.
Сказанное не означает, что маршрутизатор, вносящий 100 мс в суммарную задержку передачи, следует признать идеальным устройством. Приведенные цифры характеризуют человеческое восприятие, но для стабильной работы сети они могут оказаться совершенно неприемлемыми. Кроме того, в сетевой среде обычно присутствует множество компонентов (включая другие маршрутизаторы, настольные компьютеры и ПО), каждый из которых вносит свой вклад в суммарную задержку. В среде с высокими требованиями к производительности приложений любой маршрутизатор, передающий трафик со значительной задержкой, становится источником потенциальных проблем.
В наихудшей ситуации (загрузка большой таблицы маршрутизации и применение списка контроля за доступом с 256 правилами) максимальная задержка у маршрутизатора Cisco 2651 превысила 261 мс. Даже для линий T1 это огромная величина. За время, необходимое двум устройствам 2651 для передачи одного пакета (при тестовом уровне сетевой нагрузки), луч света успел бы почти два раза обогнуть нашу планету.
С учетом приведенной выше максимальной величины задержки мы были вынуждены разорвать ось ординат на сравнительных графиках, демонстрирующих значения задержек у всех тестировавшихся устройств. Кроме того, мы провели дополнительные измерения, чтобы выяснить, не являются ли упомянутые 261 мс случайным выбросом.
Наше предположение подтвердилось: более 99% всех пакетов передавались через устройство Cisco с задержкой, не превышавшей 10 мс. И все же число пакетов, для которых задержка измерялась многими тысячами миллисекунд, оказалось весьма значительным. Все это может привести к резкому снижению скорости приложений, нацеленных на работу с голосом и видео. Еще более негативное воздействие на их функционирование способна оказать огромная вариабельность задержки, продемонстрированная устройством 2651.
Различия между максимальной и средней величинами задержек оказались большими не у всех устройств. Наилучший результат продемонстрировал продукт компании ImageStream, у которого это различие было минимальным во всех тестах. Небольшим оказалось различие и у модели Riverstone 3000, которая к тому же показала наименьшую среднюю задержку по всем тестам и минимальные изменения задержек при сопоставлении результатов разных тестов.
За двумя победителями в этой категории расположился маршрутизатор 1004 компании Tasman, но в большинстве тестов его максимальная задержка заметно превзошла показатель Riverstone 3000. Справедливости ради отметим, что Riverstone является граничным устройством для городских сетей и обладает гораздо большей вычислительной мощностью, нежели устройство доступа Tasman 1004. Это нашло свое отражение и в цене: изделие от Riverstone как минимум вдвое дороже.
Как показало тестирование, маршрутизатор Access Point 1500 корпорации Lucent Technologies — случай особый. В соответствии с документом RFC 2889, описывающим процедуру тестирования маршрутизаторов, задержка измеряется при скорости передачи, которая соответствует полосе пропускания физической линии. Однако в устройствах Access Point 1500 размер буферного пространства столь велик, что при увеличении нагрузки на маршрутизатор мы значительно превысили указанное значение. Достаточно сказать, что устройство продолжало выдавать пакеты из своих буферов в течение 17 с после окончания теста! В результате мы получили абсурдно высокие значения задержки. Но даже после уменьшения размера буферного пространства тестировавшихся маршрутизаторов Lucent, максимальная величина задержки оказалась намного большей, чем у остальных устройств.
Значительное буферное пространство может быть весьма полезным, особенно если основную долю трафика составляют крупные пакеты данных. Но если вы намерены использовать продукцию Lucent для работы с приложениями, чувствительными к задержкам передачи, придется искусственно уменьшить размеры буферов. В наших испытаниях эта мера привела к тому, что средняя величина задержки составила около 2 мс — третий снизу показатель при работе с 256-байтовыми пакетами (рис. 4).
Надо признать, что передача таких пакетов сопровождалась весьма умеренными различиями в значениях средней задержки разных устройств. А победителями данного теста снова стали Riverstone 3000 и Tasman 1004. Маршрутизатор Riverstone 3000 и устройство ImageStream Rebel характеризовались минимальной изменчивостью задержки в разных тестах и наименьшими различиями между средним и максимальным показателями. Другими словами, установка этих устройств в реальной сетевой среде обеспечит практически постоянную задержку — независимо от числа фильтров или маршрутов следования данных. Правда, максимальная задержка устройства Riverstone 3000 заметно возрастала при загрузке в него больших таблиц маршрутизации.
Несмотря на улучшение ситуации со средней задержкой при переходе к 256-байтовым пакетам, самую значительную максимальную задержку опять-таки продемонстрировал маршрутизатор Cisco 2651. Наихудший показатель (253 мс), по сути дела, оказался тем же, что и для 64-байтовых пакетов. По отношению к данному устройству мы зафиксировали и наибольшие различия между средней и максимальной величинами задержки, полученными в разных тестах. Приходится констатировать: задержка, которую вносит в передачу трафика устройство 2651, настолько велика, что способна прервать работу любого приложения, предъявляющего повышенные требования к своевременности доставки данных. А ведь это только один из компонентов сетевой среды!
При обработке пакетов максимальной длины, которые обычно используются Web- и FTP-приложениями, у большинства моделей средняя задержка была близка к теоретическому минимуму — 8 мс (рис. 5). Исключением снова стало устройство Cisco 2651: величина задержки, полученная путем усреднения по всем тестам, составила 16 мс. А минимальную среднюю задержку продемонстрировал продукт 1004 производства Tasman: при передаче 1518-байтовых пакетов через два маршрутизатора она равнялась 9,4 мс.
С точки зрения максимальной задержки аутсайдером снова оказалось устройство Cisco: при работе с большими таблицами маршрутизации и активизации не менее 16 фильтров пакеты передавались с задержкой более 200 мс. У модели Rebel от ImageStream максимальная задержка была на порядок меньше, но мы все равно считаем ее довольно высокой — по сравнению со средним значением, продемонстрированным тем же устройством. Представители ImageStream объясняют это действием механизма опроса, предусмотренного в наборе микросхем фирмы Intel, который устанавливается на маршрутизаторы Rebel. Как бы то ни было, мы полагаем, что максимальная задержка, вносимая в передачу трафика данными устройствами, не окажет заметного негативного воздействия на работу соответствующих приложений.
Максимальные задержки, зафиксированные для устройств Access Point 1500 корпорации Lucent в паре тестов с большими таблицами маршрутизации, тоже оказались довольно высокими, но это вряд ли скажется на производительности приложений. В целом же при работе большинства устройств с длинными пакетами задержка передачи оставалась постоянной — независимо от числа фильтров или объема таблицы маршрутизации.
Время перезагрузки
Доступность является важнейшей характеристикой сетевого ресурса. Хотя все тестировавшиеся маршрутизаторы поддерживали протоколы восстановления после сбоев и/или имели зарезервированные компоненты, в реальной сетевой среде всегда могут возникнуть обстоятельства, способные вывести маршрутизатор из строя. Простейший пример — исчезновение напряжения в электросети.
Дабы оценить, насколько быстро устройства восстанавливают свою работоспособность после сбоя в электросети, мы подавали на каждый маршрутизатор тот же поток 64-байтовых пакетов, который использовался в тестах с фильтрами (его интенсивность соответствовала полосе пропускания физической среды передачи). Однако функции фильтрации и динамической маршрутизации при этом не включались, и мы могли быть уверены в том, что все устройства обрабатывают поступивший на них трафик без потерь пакетов.
Когда маршрутизатор начинал передавать пакеты на выходной порт, мы на 5 с отключали электропитание, а затем включали. Поскольку все это время трафик продолжал генерироваться с неизменной интенсивностью, о времени восстановления работоспособности можно было судить по числу потерянных пакетов.
Победителем оказалось устройство Access Point 1500 компании Lucent: время его восстановления составило 23,6 с. Второй результат показал продукт Rebel производства ImageStream (64,5 c). За ним следовали два устройства фирмы Tasman — 1004 (83 с) и 1400 (123,7 с). Функционирование маршрутизатора 3000 фирмы Riverstone восстановилось только через 123,7 с, а замыкало список устройство Cisco 2651 (146,7 с).
Основной результат тестирования в какой-то мере можно было предвидеть: устаревшая архитектура устройства 2651 производства Cisco Systems (единственный центральный процессор и ограниченный объем памяти) не позволяет ему функционировать на уровне изделий-конкурентов, оснащенных более объемным ОЗУ и специализированными процессорами. Кроме того, мы выяснили, что даже на линиях T1 производительность маршрутизаторов различалась довольно сильно.
ПРОЦЕДУРА ТЕСТИРОВАНИЯ
Производительность маршрутизаторов оценивалась по четырем категориям. К ним относились базовые значения при отсутствии дополнительных функций, производительность при включенных фильтрах, при включенных фильтрах и активизированной динамической маршрутизации, время перезагрузки.
Мы попросили изготовителей предоставить по два экземпляра своих устройств, оборудованных как минимум двумя портами Ethernet и двумя интерфейсами T1. Кроме того, от маршрутизаторов требовалась поддержка протоколов маршрутизации BGP и OSPF, а также возможность хранения полной таблицы Internet-маршрутизации (125 тыс. записей), заполняемой по протоколу BGP.
Для оценки производительности использовались генераторы/анализаторы трафика SmartBits производства Spirent Communications. В тестах на фильтрацию и динамическую маршрутизацию было задействовано устройство SmartBits 6000B с адаптерами LAN-3301A. При определении времени восстановления работоспособности использовалась модель SmartBits 2000 с картами ML-7710. Сценарии испытаний были разработаны специально для данной группы тестов с применением языка Perl и API-интерфейса фирмы Spirent.
Генераторы/анализаторы SmartBits подключались к интерфейсам Ethernet на тестируемых маршрутизаторах. Сами маршрутизаторы соединялись друг с другом кабелями через интерфейсы T1.
В первом тесте (без дополнительных функций) устройства SmartBits генерировали двунаправленный трафик в частично связанной конфигурации в соответствии с документом RFC 2889. Пропускная способность тестировавшихся продуктов, величины средней и максимальной задержек оценивались в течение временного интервала, составлявшего 60 с. Один и тот же тест повторялся для 64-, 256- и 1518-байтовых кадров Ethernet с вложенными пакетами UDP/IP.
В тестах с фильтрацией параметры трафика оставались прежними, но на одном из маршрутизаторов мы активизировали разное число фильтров (8, 16, 64 и 256). Это позволяло проследить реакцию устройств на последовательно нараставшую нагрузку (количество правил фильтрации). Разные правила использовались для оценки способности маршрутизаторов отрабатывать типичные критерии фильтрации трафика, такие как IP-адреса источника и приемника, протокол, номера портов TCP и UDP.
Тесты на маршрутизацию отличались от тестов с фильтрами только тем, что на одном из маршрутизаторов были активизированы средства поддержки протоколов BGP и OSPF. При этом мы реализовали две конфигурации. В первой («ограниченная маршрутизация») с использованием каждого из двух протоколов были заданы 64 пути следования данных. Во второй («полная маршрутизация») фигурировали 4096 маршрутов для протокола OSPF и 125 тыс. маршрутов для BGP.
В тесте на время восстановления фильтры и динамическая маршрутизация были отключены. На каждый из четырех Ethernet-портов подавался поток 64-байтовых пакетов со скоростью T1. Для отключения электропитания маршрутизаторов на 5 с и его последующего включения использовалась удаленная консоль Masterswitch производства APC. При этом подача трафика от генератора SmartBits не прерывалась. По завершении пятисекундного интервала время восстановления работоспособности маршрутизаторов определялось по числу потерянных пакетов.
ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ
Фильтры способны разрешить или запретить дальнейшую транспортировку практически любого трафика. Приведенные далее советы призваны помочь в использовании средств фильтрации с максимальной эффективностью.
Не допускайте имитации адресов на границе корпоративной сети. Граничные маршрутизаторы, как минимум, должны блокировать входящие пакеты, если содержащиеся в них IP-адреса источника выглядят как относящиеся к внутренней сети. Напротив, IP-адреса источника для всех исходящих пакетов должны принадлежать только внутренней сети.
Предотвращайте возникновение несуществующих маршрутов. Некоторые IP-адреса никогда не должны появляться в Internet. К ним относятся не только частные адреса, указанные в рекомендациях RFC 1918, но и адреса сетей, зарезервированных организацией Internet Assigned Numbers Authority (IANA). Зарезервированные маршруты, на профессиональном жаргоне именуемые «фальшивками» (bogons), меняются со временем, поэтому сетевому администратору нужно периодически обновлять сведения о том, трафик с каких адресов следует блокировать. Источниками такой информации могут служить списки почтовой рассылки и Web-ресурсы.
Блокируйте нежелательные приложения. Простейший способ остановить распространение нежелательного трафика — настроить фильтр на распространенный протокол и/или номера портов, используемые соответствующим ПО. Скажем, маршрутизатор может блокировать исходящие сеансы telnet путем отбрасывания всех пакетов, TCP-порт назначения которых имеет номер 23. Основной недостаток данного метода заключается в том, что он не обеспечивает защиту от приложений, изменяющих номера портов, например, при помощи передачи однорангового трафика через порт 80 (последний зарезервирован под Web-трафик).
Контролируйте использование сетевых ресурсов. Как часто пользователи посещают конкретную сеть? Какую часть полосы пропускания задействует то или иное приложение? Настройки большинства фильтров, устанавливаемых на маршрутизаторах, позволяют получить ответы на подобные вопросы посредством регистрации случаев использования отдельных фильтров. Применительно к спискам контроля за доступом, поддерживаемым продуктами Cisco, включить функцию регистрации проще простого: в конце перечня условий фильтрации достаточно добавить слово «log». А в устройствах некоторых других производителей, например Enterasys Networks и Tasman, функция регистрации и вовсе действует по умолчанию.
Смотрите на происходящее открытыми глазами. Результаты тестирования и фирменная документация от Cisco Systems сходятся в одном: фильтрация пакетов способна самым негативным образом сказаться на производительности маршрутизаторов этой компании. Один из вариантов уменьшения нагрузки на центральный процессор сводится к использованию маршрутизации вместо фильтрации. Так, трафик, относящийся к нежелательным адресам, можно переадресовать на нулевой интерфейс.
Не пренебрегайте последовательностью применения фильтров. К каждому поступающему пакету маршрутизатор сначала применяет первый фильтр, затем второй и т. д. — до тех пор, пока не будет выполнено одно из условий фильтрации. Если первым в списке ACL стоит условие отбрасывания всех пакетов, то на выходе маршрутизатора никогда не будет трафика. Включение в ACL такого условия является хорошей практикой, но располагаться оно должно в самом конце списка. Кроме того, перед ним должны быть указаны критерии, допускающие прохождение определенных типов трафика, причем в явном виде.
Не забывайте про маршрутизацию. Достаточно сработать только одному фильтру — и множество маршрутизаторов автоматически заблокируют трафик, транспортировка которого не разрешена в явном виде. Типичная ошибка при создании списка ACL заключается в том, что в него не добавляются фильтры, разрешающие прохождение определенных типов трафика.
Не используйте маршрутизаторы вместо брандмауэров. И пакетные фильтры, и брандмауэры блокируют доступ к сети, но на этом сходство между ними заканчивается. Маршрутизатор работает на сетевом уровне эталонной модели OSI, поэтому не может отслеживать состояние сеансов транспортного и прикладного уровней, относящихся к компетенции брандмауэров. Фильтрация пакетов обеспечивает определенный уровень безопасности (во всяком случае, это лучше, чем ничего), но не позволяет противостоять массированным хакерским атакам.