Буквально 5–7 лет назад термин "маршрутизатор" чаще всего относился
к понятию корпоративной сети, а его стоимость выражалась числом со многими нулями.
Начавшийся бум малых офисов, обязательным атрибутом которых стало защищенное широкополосное
подключение к Всемирной Паутине, заставило ряд производителей пересмотреть свое
отношение к новому классу и ценовую политику и вторгнуться туда, где ранее господствовали
дешевые, хотя и хлопотные в настройке программные Unix/Linux-маршрутизаторы, собранные,
как правило, на базе "слегка устаревших ПК". Причем вторжение оказалось
настолько удачным, что к началу столетия среди устройств на рынке уже появилась
возможность выбора (itc.ua/5078). Но развитие на них не остановилось и, кроме
повышения производительности, в числе предъявляемых требований к подобным продуктам
– повышение степени защищенности внутренней сети от внешних атак и обеспечение
современных методов организации VPN (Virtual Private Networking – виртуальные
частные сети), используемых для организации безопасного соединения через крупные
корпоративные и глобальные публичные сети (пример таких устройств – itc.ua/12952).
| D-Link DI-824VUP+ | ||
| Поддерживаемые протоколы приложений | Семейства H.323, FTP, SIP, SDP, RTP, IRC, Multiple Gaming Protocol |  |
| Количество одновременно создаваемых VPN-туннелей | До 40 | |
| Реализация IPSec | По протоколам AH и ESP; способы обмена ключами – ручной и по IKE | |
| Коммутатор | Fast Ethernet, 4 порта MDI/MDIX | |
| Подключение принтера | LPT или USB | |
| Точка доступа | 802.11g с поддержкой WEP (64/128/256-bit), 802.1x RADIUS, WPA/WPA-PSK | |
| Проводные интерфейсы и разъемы | 1 × WAN, 4 × LAN (RJ-45); 1 × RS232 (DB-9); 1 × LPT (DB-25) и 1 × USB 1.1 | |
| Индикация | Питание, статус, активность WAN, LAN, Printer (USB, LPT), COM | |
| Ориентировочная цена | $168 | |
| Предоставлен | Представительство D-Link в Украине: тел. (044) 490-2230 | |
| +Широкий набор возможностей для организации полноценной VPN; использование WPA или WPA-PSK для беспроводного интерфейса |
||
| — Поддержка USB только 1.1 |
||
| ! Современный имощный сетевой комбайн с умеренной ценой для рынкаSOHO идомашних пользователей |
||
Дальнейшее совершенствование проходило не только по пути расширения количества
поддерживаемых функций и режимов работы, приближая интернет-маршрутизаторы по
гибкости настроек и возможностям к гораздо более дорогим программным комплексам.
Наконец разработчикам удалось научить их достаточно эффективно противостоять типовым
внешним атакам. К числу таких современных многофункциональных устройств, без сомнения,
относится DI-824VUP+.
|
| Панель с разъемами |
В небольшом корпусе на базе высокопроизводительного 32 разрядного RISC-процессора
слаженно работают VPN-маршрутизатор с сетевым экраном, 4 портовый коммутатор 10/100
Mbps, беспроводная точка доступа 802.11g и принт-сервер USB/LPT. Формально основная
роль такого комбайна в сетевой инфраструктуре не изменилась. Подобно своим собратьям,
DI-824VUP+ призван выступить интеллектуальным посредником между организуемой внутренней
подсетью (класса С, до 253 устройств со стороны LAN-портов) и внешним, зачастую
агрессивным электронным миром. К порту WAN-маршрутизатора могут быть подключены
как хDSL- или кабельный модем, так и один из портов менее защищенной корпоративной
сети. Попутно заметим, что в этом интернет-маршрутизаторе предусмотрен и вариант
аварийного информационного обмена – к его COM-порту может быть подсоединен обычный
dial-up-модем, который в случае необходимости берет на себя функции низкоскоростного
доступа к внешнему миру.
|
| При настройке шлюза администратору нужно просто активировать и уточнить записи в списке, заботливо подготовленном производителем для ряда типовых ситуаций |
Маршрутизатор обеспечивает организацию полноценной VPN, причем позволяет одновременно
создавать до 40 туннелей IPSec для удаленных офисов или отдельных мобильных пользователей.
Реализация IPSec оддерживает оба протокола построения туннелей (Authentication
Header – AH и Encapsulation Security Payload – ESP), два способа обмена ключами
– ручной и по протоколу Internet Key Exchange (IKE), который может работать в
основном или агрессивном режиме, различные длины ключа алгоритма Diffie-Hellman,
алгоритмы шифрования DES и 3DES. Поддерживаются механизм Keep Alive (для автоматического
поднятия туннеля в случае его падения) и расширенная аутентификация – xAuth.
Кроме поддержки IPSec, устройство имеет встроенные серверы PPTP и L2TP с поддержкой
MPPE-шифрования и аутентификации по протоколам PAP, CHAP, MSCHAP.
А как же быть с теми, кто хочет использовать собственное ПО клиента VPN? И в данном
случае проблем с организацией безопасного соединения возникнуть не должно – предусмотрен
вариант организации VPN в режиме passthrough по PPTP, L2TP и IPSec. Что же касается
собственно маршрутизации, то она может быть как статической, так и динамической
и основываться на протоколах RIP-1/2.
Межсетевой экран, кроме привычных возможностей (в частности – сокрытия внутренней
структуры сети за счет трансляции сетевых адресов, NAT), поддерживает создание
правил фильтрации (по спискам доменов и отдельных URL), функции анализа пакетов
с запоминанием состояния SPI (Stateful Packet Inspection), а также упрощенный
вариант системы обнаружения вторжений IDS (Intrusion Detection System). В частности,
благодаря SPI достигается более высокая степень защиты внутренней сети от несанкционированного
доступа, а благодаря встроенной системе IDS – невосприимчивость к различного
рода DoS-атакам (направленным на "Отказ в обслуживании"). Причем настройки
шлюза позволяют не только наблюдать подобные события в журнале, но и наладить
своевременное оповещение путем отправки сообщения по указанному адресу электронной
почты или на Syslog-сервер. Также поддерживается возможность создания классических
пакетных фильтров.
Отдельно следует остановиться на режимах DMZ и организации виртуального сервера,
некорректная настройка которых может снизить общий уровень защищенности внутренней
сети. Режим DMZ применяется для полного доступа к единичному клиенту, например
к требующему гарантий совместимости с запущенными извне приложениями серверу,
находящемуся за маршрутизатором. Virtual Server используется для перенаправления
сервисов на несколько серверов. При этом маршрутизатор настраивается так, чтобы
отдельные FTP-, Web- или игровые серверы смогли совместно откликаться на запросы
к одному видимому извне IP-адресу и в то же время остались достаточно защищенными
от атак. Это позволяет как поддерживать стандартные FTP/HTTP, почтовые серверы,
предопределенные в соответствующем листе настроек шлюза, так и вносить новые записи
для экзотических типов – например, сервера сайта электронной коммерции, обеспечивая
при этом определенный уровень безопасности локальной офисной сети. Следует учитывать,
что одновременно функции DMZ и Virtual Server работать не будут.
Что же касается беспроводного интерфейса, то чего-либо нового тем, кто знаком
с линейкой сетевой продукции AirPlus G+, обнаружить не удастся. Точка доступа
стандарта 802.11g, собранная на чипе от Texas Instruments, поддерживает работу
с клиентами 802.11b/11b+ и позволяет использовать в простом случае WEP-шифрование
с ключом 64, 128 или 256 бит. Имеется возможность задействовать механизмы аутентификации
по 802.1x, для чего придется в соответствующем разделе указать адрес и номер порта
RADIUS-сервера, а также вписать его SharedKey. Поддерживается и более надежный
протокол шифрования – WPA или WPA-PSK.
Нескольких слов заслуживает принт-сервер. Распространение печатающих устройств
с достаточной для домашнего пользователя и небольшого офиса производительностью
сопровождается вытеснением привычного LPT-порта интерфейсом USB. Однако не все
компании, выпускающие комбинированные устройства, адекватно прореагировали на
это. В DI-824VUP+ этот порт успешно эмулирован, и единственное, что можно пожелать
разработчикам D-Link, – довести скорость обмена с принтером до требований версии
USB 2.0. Приложение для обслуживания принт-сервера является единственной утилитой,
поставляемой на CD в комплекте этого шлюза. Инсталляция печатающего устройства
не отличается от привычной схемы, лишь в окошке конфигурации порта следует указать
его IP-адрес (адрес шлюза по умолчанию 192.162.0.1) и выбрать тип порта – LPT
или USB.
Итак, благодаря встроенной беспроводной точке доступа, 4 портовому коммутатору
и принт-серверу маршрутизатор DI-824VUP+ позволяет оптимизировать затраты на сетевую
инфраструктуру и способен взять на себя функции центрального устройства для небольшой
сети. Остается добавить, что управление этим шлюзом может осуществляться через
дружественный Web-интерфейс (используются Java-скрипты). Причем администратору
совсем не обязательно сразу "по самую шею" погружаться во множество
параметров настроек. На первый случай вполне можно ограничиться выполнением пошаговых
инструкций мастера настроек, оставив вначале часть значений в состоянии "по
умолчанию" и затем постепенно совершенствовать подконтрольную систему.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: