Классическое определение «маршрутизатор доступа» уже давно распространяется на самые разнообразные виды устройств. В зависимости от своей основной функции, они именуются широкополосными маршрутизаторами, интегрированными устройствами доступа (Integrated Access Deviсe, IAD), маршрутизаторами DSL, маршрутизаторами IP или глобальной сети IP, маршрутизаторами WLAN, а также маршрутизаторами или шлюзами VPN. Компания Cisco в очередной раз пошла своим путем: некоторое время назад предприятие изъяло из своего ассортимента устройства, именовавшиеся маршрутизаторами доступа и VPN, предложив вместо них дифференцированную палитру интегрированных сервисных маршрутизаторов (Integrated Services Router, ISR). При этом компонент доступа является лишь одной из многих возможностей. Акцент делается на интегрированные сервисные услуги.
К таковым принадлежат безопасность, технология Voice over IP (VoIP), а также беспроводные технологии. Функции «виртуальной частной сети» (Virtual Private Network, VPN), системы предотвращения вторжений (Intrusion Prevention System, IPS), IP-телефония, WLAN и т.д. объединены «под одной крышей» (см. Рисунок 1). Согласно Cisco, все службы могут исполняться единовременно без снижения производительности. Преимущества этого подхода проявляются прежде всего в сокращении затрат на обслуживание и использование оборудования.
У других производителей тоже имеются сервис-ориентированные решения по маршрутизации доступа. Так, компания Lancom Systems описывает свою новую модель Lancom начального класса 1821+ для профессионального создания сетей на местах как «маршрутизатор VPN/ADSL2 бизнес-класса с функцией WLAN» (см. Рисунок 2). Помимо основной функциональности шлюза VPN в него встроены дополнительные механизмы обеспечения безопасности: брандмауэр на базе технологии контекстной проверки (Stateful Inspection Firewall), включающий обнаружение проникновения (Intrusion Detection) и защиту от отказа в обслуживании (Denial of Service Protection). Помимо этого присутствует и поддержка WLAN со всеми соответствующими функциями безопасности (аутентификация по IEEE 802.1x и EAP с функцией Key Rollover, WEP128/152, IEEE 802.11i/WPA2 и Multi-SSID). В качестве опций активируются функции посредника и шлюза SIP, что позволяет использовать эту модель для VoIP. Такой посредник незаменим для обеспечения безопасности соединения глобальной сети с провайдером SIP. Он контролирует процесс передачи сигналов между IP-телефоном и провайдером и производит необходимую активацию преобразования сетевых адресов (Network Address Translation, NAT) и брандмауэра на время сеанса связи, в идеальном случае это осуществляется динамически.
ПРЕДОСТАВЛЕНИЕ ФУНКЦИЙ ПО МОДУЛЬНОМУ ПРИНЦИПУ
При выборе наиболее подходящего для предприятия маршрутизатора доступа следует учитывать его перспективное использование. Большим плюсом является возможность модульного добавления функций и/или уровней производительности по мере необходимости, в частности, нужного количества поддерживаемых каналов VPN. Нередко предлагаются выгодные конфигурации начального уровня с поддержкой от двух до десяти каналов, которые впоследствии, при росте потребностей, можно расширить до нескольких десятков или сотен, причем лучше, если это можно проделать поэтапно. Важно наличие адекватного аппаратного ускорителя, который без заметных задержек будет справляться с трудоемкими функциями шифрования для заданного числа туннелей VPN. Поддержка стандарта IPSec с шифрованием 3DES и AES для каналов VPN обязательна.
Среди интерфейсов глобальной сети можно выделить две основные разновидности: встроенные и внешние. Для тех, кто не хочет быть привязанным к определенной технологии доступа, рекомендуется обратить внимание на маршрутизаторы доступа, которые помимо рассчитанного на определенную технологию DSL подключения глобальной сети (с встроенным модемом DSL) имеют один или несколько свободно настраиваемых портов локальной/глобальной сети. Чаще всего речь идет об интерфейсах Ethernet на 10/100 Мбит/с, к которым подключаются любые широкополосные модемы, а если эти интерфейсы не задействуются для глобальной сети, то их можно настраивать как порты локальной сети. Наличие нескольких портов глобальной сети повышает пропускную способность и улучшает защиту от сбоев, но при этом важно обеспечить поддержку виртуальных локальных сетей (Virtual LAN, VLAN) и балансировку нагрузки (Load Balancing).
В качестве интерфейса глобальной сети также имеет смысл использовать порт ISDN: при отказе широкополосного соединения через него можно установить вспомогательное низкоскоростное соединение. Хотя этот порт важен, скорее, тем, что позволяет осуществлять функции внешнего управления. Кроме того, посредством ISDN CAPI реализуются такие возможности, которые еще не поддерживаются в DSL (к примеру, факсимильная связь).
ОБЪЕДИНЕНИЕ КАНАЛОВ И БАЛАНСИРОВКА НАГРУЗОК
Интересным вариантом является подключение к глобальной сети не посредством сравнительно дорогой выделенной линии, а при помощи маршрутизатора доступа с возможностью объединения в группу нескольких более выгодных (и часто более быстрых) подключений: DSL, кабельных, UMTS и т. д., причем даже в смешанных комбинациях. В отличие от балансировки нагрузки, когда несколько потоков данных распределяется в зависимости от доступной емкости соединения, при транкинге речь идет о распределении единственного потока данных между несколькими портами. С одной стороны, таким образом повышается производительность, с другой — комбинация из различных подключений улучшает доступность системы, поскольку маловероятно, что недоступными окажутся сразу все соединения — и по DSL, и через кабельные модемы.
Однако асинхронность большинства разновидностей DSL (входящий и исходящий потоки данных имеют разные скорости) является причиной того, что реализовать транкинг довольно сложно. Другой решающий фактор — значительные вариации во время доставки пакетов при их передаче через несколько подключений DSL, что оборачивается существенными потерями. Так, наличие двух соединений приводит не к удвоению объема передаваемых данных, а лишь к 1,2-1,4-кратному увеличению. Если задействовано более двух подключений, то потери возрастают еще сильнее.
Перед открытием выставки CeBIT 2007 немецкое предприятие Viprinet анонсировало свой Multichannel VPN Router (см. Рисунок 3), где, как утверждается, эта проблема решена за счет собственного стека TCP/IP под Linux, распределяющего пакеты между соединениями DSL с учетом признаков качества обслуживания (QoS). При наличии нескольких подключений DSL не должна представлять проблему и поддержка VoIP. ПО установлено на устройстве формата 19″, в которое помещается до шести различных модулей: на данный момент имеются модули с модемами для ADSL, ADSL2+, ISDN и Ethernet. Согласно информации производителя, модули можно менять даже во время работы оборудования, без разрыва установленных соединений. Через Ethernet это выделенное устройство доступа предоставляет возможность использования и других широкополосных вариантов, для чего понадобится внешний модем. Недавно серийные устройства поступили в продажу, а к следующей выставки CeBIT Viprinet собирается выпустить кабельные модули и модули UMTS.
УПРАВЛЕНИЕ В КАЧЕСТВЕ ГЛАВНОГО КРИТЕРИЯ
Помимо производительности и безопасности, управление является одним из важнейших критериев выбора для предприятий среднего уровня. Сюда относится пользовательский интерфейс на базе браузера, а также дифференцированное управление пользователями и правами доступа. Мастер настроек конфигураций может быть полезен, если инсталляция или администрирование будут осуществляться персоналом, не обладающим достаточной профессиональной подготовкой, впрочем, делать этого не рекомендуется. Лучше использовать соединение с шифрованием SSH, чтобы не беспокоиться о безопасности, посредством которого специалист из другого филиала или центрального офиса мог бы вмешаться в происходящее.
Для управления пользователями и их правами полезно, если маршрутизатор способен функционировать не только как клиент Point-to-Point Protocol over Ethernet (PPPoE), но и как сервер PPPoE, с тем чтобы предоставить разным пользователям различные права доступа. А если имеется еще и функция календарного планирования, то можно автоматически ограничивать срок их действия. Пользователи, у которых есть доступ в Internet с динамическим назначением IP, с удовлетворением воспримут поддержку динамической DNS (DynDNS) в маршрутизаторе, которая, как правило, совместима с услугами ведущих европейских поставщиков DynDNS. Чем больше провайдеров заранее настроено, тем проще последующее использование устройства.
При встроенной поддержке WLAN четкое и понятное управление особенно важно. Через центральную консоль должно быть доступно общее управление всеми маршрутизаторами доступа, а также всеми дополнительными точками доступа. Следует убедиться, что настройка передачи, шифрование или списки контроля доступа (Access Control List, ACL) возможны для нескольких точек доступа одновременно. Наличие сортировщика по группам экономит немало времени: изменения в конфигурациях группы автоматически передаются всем входящим в нее устройствам. Некоторые компании, например Lancom, предлагают еще и инструменты визуализации, они обеспечивают реализацию централизованных запросов о статусе, а также мониторинг всей беспроводной сети, включая отображение случаев неудачной аутентификации и попыток взлома.
ИТОГ
Тот, кто последует нашим советам, сможет быстро отделить зерна от плевел. В отдельных случаях полезно обратить внимание и на другие возможности, к примеру, оснащение хост-портом USB 2.0 позволит централизованно обращаться к подключенным к маршрутизатору доступа устройствам — принтеру или внешнему жесткому диску.
Штефан Мучлер — ведущий корреспондент журнала LANline.
© AWi Verlag