С точки зрения пользовательского подхода — за 2 года ничего не
изменилось, стало даже проще. Вы подключаете маршрутизатор к модему и с одного
из компьютеров под неусыпным оком мастера настройки в Web-броузере вводите регистрационные
параметры для доступа к провайдеру услуг. Еще 4—5 "кликов" мышкой,
и ПК, подключенные со стороны LAN, уже минимально защищены от атак. Затем следует
непродолжительное тестирование соединения (вдруг какое-то из значений, полученное
от провайдера, воспринято неправильно) и… маршрутизатор уже начал "раздавать"
Internet по локальной сети (тут же сооруженной простым подключением сетевых шнуров
в розетки коммутатора), не "падая" при этом по три раза на дню… Кто
же они? Заверните их все, пожалуйста!..
Но прежде чем перейти к описанию героев обзора — охладим пыл потенциального покупателя несколькими ложками дегтя.
Технические характеристики Internet-шлюзов |
Во-первых, постулат, гласящий, что грамотное использование правильно
сконфигурированного выделенного сервера под OС Windows или Unix для доступа в
Internet (конечно, если обслуживающий персонал умеет реализовать основное
его достоинство — исключительную гибкость в настройке) — вариант гораздо
лучший, никто оспаривать не собирается.
Во-вторых, отсутствие надписи "Unix Inside" на элегантных коробочках со множеством гнезд позволяет нам высказывать самые невероятные предположения по поводу того, какое же на самом деле ПО работает там, внутри. В случае "честного" Unix-варианта сервера мы зачастую вольны выбрать именно те решения (и их лучшие, апробированные многолетней эксплуатацией устойчивые совокупности), которые более всего соответствуют исходной задаче. Что же касается firmware нашей "коробочки" (а именно она, как правило, определяет успешность работы устройства в целом), то степень ее отлаженности — величина труднопрогнозируемая.
С другой стороны, практически все съехавшиеся к нам "коробочные" серверы не только достаточно устойчиво проявили себя в ходе пробной эксплуатации, но и продемонстрировали вполне разумный подход производителей к проблеме баланса между миниатюрностью и функциональностью. Одного взгляда на множество разъемов достаточно, чтобы сделать вывод: большинство из них — это хорошо продуманные с точки зрения практической полезности и допускающие разумную экономию средств комплексные устройства, предоставляющие возможности организации не только доступа в Internet, но и создания на их базе небольшой локальной сети (встроенный микросвитч). Немного реже встречаются устройства, выполняющие, кроме перечисленных, функции принт-сервера и даже точки доступа для пользователей WLAN-клиента.
Далее, при более детальном знакомстве к допущению, сделанном во вводной статье о том, что "малый офис — не обязательно значит бедный", напрашивается еще одно дополнение "…и не значит медленный". Имеется в виду не только требуемая скорость доставки информации и ее объемы, но и способы подключения к Сети. Сегодня для любого мало-мальски уважающего себя офиса, активно использующего в своей повседневной деятельности достижения современных информационных технологий, назвать "серьезным" подключение с помощью обычного dial-up-модема можно лишь с большой натяжкой — ему если и отводится роль, то только вспомогательного (резервного) устройства на случай проблем со скоростным (кабельным или DSL-модемом) или линией. Да и цены на широкополосный доступ к Сети за последний год (в сравнении с остальными статьями офисных расходов) уже не так сильно "кусаются".
Ну и наконец, учитывая четко очерченную во вводной статье читательскую аудиторию, мы постарались отгородиться от "суперпродвинутых" устройств, установив условную "планку" для кандидатов в обзор на уровне $200 — примерной стоимости "слегка устаревшего" системного блока в сумме с начальными затратами на инсталляцию и настройку Unix-решения для доступа в Сеть.
Еще буквально два слова о последовательности описания в тексте. Учитывая, что устройства, несмотря на внешнюю схожесть, все же отличаются как по набору, так и по глубине реализуемых функций, мы решили изменить привычное расположение, выстроив их в порядке увеличения стоимости и уделив внимание различиям.
Как же выглядит типовой перечень функций современного broadband router? Надо заметить, что основной "джентльменский набор" со времени последнего обзора изменился незначительно. Это, как правило, механизм трансляции IP-адресов (NAT), базовые функции firewall, встроенный DHCP-сервер, статические и динамические таблицы маршрутизации, возможность организации демилитаризованных или доверительных зон (DMZ) для удаленного администрирования, конфигурирования и получения статистики. Если говорить об основном предназначении этих устройств — обеспечение централизованного доступа в Internet, то можем лишь констатировать факт, что внутри каждого из рассматриваемых продуктов находится практически полноценный proxy-сервер с достаточной для большинства пользователей функциональностью. Подключение к провайдеру услуг, как правило, подразумевает не только основанные на использовании статически и динамически назначаемых адресов методы, но и относительно новый принятый де-факто поставщиками услуг PPPoE (Point-to-Point over Ethernet) протокол прямого соединения поверх Ethernet, создающий виртуальное соединение между пользователем и сетью провайдера. Касательно создания VPN следует выделить поддержку PPTP как наиболее простого, хотя и не самого оптимального (см. врезку) способа для организации виртуальных частных сетей.
HardLink HR-104
Маршрутизатор позволяет 253 пользователям ЛВС осуществлять одновременный контролируемый доступ в Internet, используя одну учетную запись у провайдера услуг. Защита от информационных атак обеспечивается встроенными (двухуровневыми по глубине вложения настроек) механизмами Firewall/NAT. Присутствует функция DMZ для организации работы в обход NAT. Напомним, что NAT позволяет пользователям с локальными адресами подключаться к Internet, транслируя свои IP-адреса в глобальные, одновременно маскируя их от сканирования извне. Интересна функция Virtual Server, благодаря которой вместе с DMZ можно регулировать получение пакетов, приходящих непосредственно в локальную сеть без трансляции адресов.
Устройство оснащено четырьмя портами 10/100 Mbps для подключения к сегментам локальных сетей, одним портом 10 Mbps Ethernet для подсоединения кабельного или ADSL-модема и одним RJ-45 — для консольного управления или подключения внешнего V.90 или ISDN-модема (кабель-переходник RJ-45 на DB-9 прилагается). К слову, собранный модельный ряд демонстрирует, что интеграция dial-up-модемов V.90 56K в современные модели Internet-серверов, как правило, не производится.
Из прочих особенностей маршрутизатора — возможность контроля на передней панели за режимом PPPoE и наличие переключателя Link/Uplink. Огорчает, что практически вся документация находится в электронном виде на CD.
D-Link DI-604
|
D-Link DI-604 |
Младшая модель в линейке Internet-шлюзов
компании D-Link. Однако, несмотря на это, устройство обладает достаточно большим
количеством функций, не все из которых реализованы даже в старших моделях других
производителей.
Устройство оснащено одним WAN-портом (RJ-45 10BASE-T/100BASE-TX), который поддерживает как кабельные, так и DSL-модемы. Возможные режимы работы порта — Always On (состояние постоянной готовности) и PPPoE для обеспечения соединения по запросу. Также в данной модели имеется встроенный четырехпортовый коммутатор 10/100 MBps, причем любой из LAN-портов может быть настроен для организации DMZ-соединения. Заявлена поддержка VPN-соединений (pass-through). Обеспечивается как статический, так и динамический роутинг пакетов. Протоколы маршрутизации — RIP-1 и RIP-2. Управляется D-Link DI-604 как с помощью Web-интерфейса, так и через SNMP-агент. Встроенный Firewall поддерживает впечатляющий список функций: Access-list control, Domain filtering, URL filtering, Packet filtering, Ping of Death, IP spoofing, Intrusion detection. Реализованные протоколы обеспечения безопасности — PAP, CHAP, MS-CHAP. Данная модель оснащена 4 мегабайтами SDRAM и 256 килобайтами флэш-памяти.
Учитывая очень продуманный и простой мастер установки и настройки, а также весьма подробную русскоязычную документацию, DI-604 выглядит чуть ли не идеальным решением для малого офиса, в котором, кроме широкой функциональности, требуется еще и максимальная простота конфигурирования шлюза.
LG LRG1004 и Planet XRT-401B
|
LG LRG1004 |
Что же общего между этими устройствами,
кроме примерного равенства их цены? Ведь на первый взгляд они достаточно серьезно
отличаются между собой по количеству разъемов, режимам и числу индикаторов на
передней панели, типу и материалу корпуса. Все это так, однако функциональность
их примерно одинакова, и с некоторой натяжкой можно утверждать — вот он, типичный
современный "железячный" маршрутизатор.
|
Planet XRT-401B |
Ведь если закрыть глаза на внешние различия, создается впечатление, что эти два
устройства проектировались теми, кто абсолютно одинаково представляет себе минимальные
требования к начальной офисной сетевой инфраструктуре и организации доступа в
Сеть. "Индивидуальность" выражается в том, что у LG порт WAN разбит
на два гнезда (link/uplink), скорость — до 100 Mbps, а у Planet имеется Uplink
на четырехпортовом коммутаторе внутренней сети. В остальном же в них воплощен
весь ранее перечисленный стандартный набор функций: поддержка механизма трансляции
IP-адресов, базовые функции firewall, встроенный DHCP-сервер, поддержка статических
и динамических таблиц маршрутизации, возможность организации демилитаризованных
зон (у LG — для одного пользователя, у Planet — до пяти) для удаленного администрирования,
конфигурирования и получения статистики. Это касается и двухуровневого меню настройки
с помощью встроенного Web-сервера. Вряд ли можно охарактеризовать степень удобства
их конфигурации более точно и лаконично, чем это сделано в англоязычном описании
на Planet в графе "управление": "Web Browser for easy Setup".
D-Link DI-704P
|
D-Link DI-704P |
На
первый взгляд более "продвинутая", чем DI-604, модель. Однако DI-704P
— просто несколько иное устройство. Во-первых, в нем присутствует встроенный
принт-сервер. Во-вторых, в плане организации VPN-соединений это устройство предоставляет
пользователю гораздо более широкую функциональность — поддерживается только PPTP,
L2T и IPSec.
WAN-порт также один, но предусмотренная скорость соединения ограничена 10 Mbps. LAN-порты по-прежнему представлены четырехпортовым (10/100) коммутатором. Управление осуществляется на основе Web-интерфейса либо по telnet-протоколу. Говоря о поддерживаемых сетевых сервисах, стоит отметить появление в этой модели полноценного proxy-сервера и возможности кэширования DNS-запросов.
Что касается функций защиты локальной сети, то по сравнению с DI-604 возможности встроенного Firewall уменьшилась — в этой модели реализован только механизм фильтрации пакетов и IP Spoofing.
Подводя итог, можно сказать, что DI-704P более ориентирована на малоподготовленных пользователей. Поэтому и количество тонких настроек в ней сведено к минимуму. Зато добавились полноценный принт-сервер и хорошая поддержка VPN-соединений.
SMC 7004ABR
|
SMC 7004ABR |
Еще одно устройство, реализующее принцип
"все-в-одном". Меню конфигурации устройства нам показалось несколько
старомоднее и сложнее, чем, например, у аналогичной модели D-Link, и, тем не менее,
его обладателю можно по-хорошему позавидовать — помните, во введении мы говорили
о недостаточной апробированности коробочных серверов, особенно их firmware? Так
вот, именно линейка Barricade от SMC — это то, что является за рубежом массовым
стандартным решением. И обратить внимание на нее следует в первую очередь потому,
что практически все позитивные и негативные моменты поведения уже знакомы, не
раз обсуждались в многочисленных форумах, отслеживаются большим числом энтузиастов,
и каких-либо новых сюрпризов ждать не приходится. В revision history на сегодняшний
день мы обнаружили более двух десятков записей о релизах ПО. Настораживает? Но
ведь честно признать и обсудить свои ошибки, чтобы их исправить — не порок, не
ошибается лишь тот, кто ничего не делает! А делается для поддержки пользователей
компанией SMC достаточно много и правильно.
Каждый шаг пользователя для всех операционных систем (для Macintosh ПК — только до версии Mac OS 8.5) описан просто и подробно. Правда, мультиязычное руководство русской версии пока не содержит. Кстати, по популярности "за бугром" прямым конкурентом устройства SMC 7004ABR обычно называют… его же "старшего брата" SMC 7004AWBR, который вдобавок еще и является беспроводной точкой доступа. По заверениям поставщика, и эта модель в ближайшее время появится на рынке Украины.
Planet IG-2000
|
Planet IG-2000 |
При первом взгляде на этого "малыша"
сложно себе представить, что в столь маленькой, изящной коробочке умудрился поместиться
полноценный Internet-шлюз с полным списком возможностей — DHCP-сервер, брандмауэр,
поддержка коммутируемых, выделенных и ISDN-линий, организация DMZ-соединений,
поддержка статических таблиц маршрутизации. Однако это не так, приведенный перечень
содержит далеко не все функции, реализованные этим устройством.
Данная модель оснащена одним LAN-портом для подключения ЛВС и двумя WAN-портами RS-232 для организации либо доступа в Internet, либо соединения LAN-to-LAN. Примечательно то, что IG-2000 поддерживает мультилинк. То есть оба WAN-порта могут работать параллельно, что теоретически в два раза увеличивает скорость соединения. Настройка устройства осуществляется с помощью специального ПО SetMon. Пользователь может задавать не только логин и пароль администратора, но и напрямую указывать те IP-адреса (до трех), с которых разрешено изменять установки шлюза.
Fujitsu Siemens CONNECT2AIR WLAN AP-500RP
|
Fujitsu Siemens CONNECT2AIR WLAN AP—500RP и адаптер WLAN-to-USB |
Как и вся продукция компании, данная модель
относится к классу "благородных устройств". Все, начиная от впечатляющего
внешнего вида (а ведь для его создания ничего особо делать и не пришлось — дизайнеры
просто "одели" безликую коробку в потрясающую серебристую рубашку из
пластика) и заканчивая тем, что по документации эта модель именуется как "AP-500RP
Access Point" (т. е. "точка доступа"), говорит о том, что данный
продукт никак не попадает в категорию "дешево и сердито". Как следует
из названия модели, несмотря на то что это все же Internet-шлюз, основное предназначение
данного устройства — обеспечить подключение к Internet именно беспроводных
сетей.
CONNECT2AIR WLAN поддерживает высокоскоростной протокол IEEE 802.11b, обеспечивающий скорость беспроводного соединения до 11 Mbps с опциональным 64- и 128-битовым шифрованием трафика по алгоритму RC4. WAN-порт со скоростью передачи 10 MBps поддерживает как кабельные, так и DSL-модемы. Кроме того, наличие асинхронного порта RS-232С позволяет организовать резервное соединение с Internet по обыкновенным коммутируемым линиям. Двухпортовый коммутатор (10/100 Mbps) с автоопределением скорости подключения заставляет вспомнить строки "никто не забыт и ничто не забыто" — несмотря на основное свое предназначение, данная модель позволит и проводным узлам попасть в Глобальную Сеть. Ну а наличие полноценного принт-сервера превращает эту модель в самодостаточный и полноценный "офисный сетевой комбайн".
Набор сетевых функций стандартен — DHCP, NAT, Firewall и поддержка VPN-соединений. Также реализованы протоколы PPTP и PPPoE. Возможно присвоение шлюзу как статического, так и динамического IP-адреса. Вся настройка и конфигурирование осуществляются через Web-интерфейс. Устройство оснащено 512 килобайтами DRAM и 512 килобайтами флэш-памяти.
Compu-Shack DSLline DSL Router
|
Compu-Shack DSLline DSL Router и адаптер WLAN-to-USB |
Ограничиться дежурной фразой: "это
многофункциональное устройство выполнено в лучших традициях компании Compu-Shack:
стильный корпус, логичная схема размещения индикаторов на передней панели, позолоченные
разъемы на задней стенке устройства" — значит, не сказать об этом беспроводном
маршрутизаторе ничего. Во-первых, потому, что он, невзирая на солидный перечень
поддерживаемых стандартов и протоколов (включая VPN на основе PPTP, L2TP, IPSec),
остается простым и понятным в настройке через Web-броузер. Во-вторых, это единственное
в нашем обзоре устройство, которое оснащено слотом для PCMCIA-карты, в результате
чего наше определение стандартного набора "все-в-одном" расширяется
с совокупности маршрутизатора, коммутатора и принт-сервера до "… и плюс
опциональная поддержка WLAN-пользователей".
"Проводная часть" устройства достаточно стандартна — гнездо WAN 10 Mbps, 4 порта 10/100 Mbps (имеется дополнительное гнездо Uplink) и выходы для подключения резервного dial-up-модема и общего для внутренней локальной сети принтера. В беспроводном сегменте поддерживается как 40-, так 128-битовое WEP-шифрование, причем, как выяснилось в ходе нашего эксперимента, устанавливать WLAN-карточку можно не только производства Compu-Shack.
LG LR3100p
|
LG LR3100p |
Данная модель производства компании LG
Electronics представляет собой управляемый маршрутизатор, позволяющий организовать
центральный доступ в Internet из локальной сети. Причем это именно чистый маршрутизатор,
не имеющий ни встроенного концентратора/коммутатора, ни принт-сервера.
На задней панели устройства находятся синхронный (WAN1) и асинхронный (WAN2) порты, а также LAN-порт 10/100 Mbps для подключения ЛВС. WAN2 совмещает в себе как обыкновенный WAN-порт, так и порт для подключения консоли управления (для выбора необходимого режима работы рядом с портом расположен двухпозиционный переключатель). Передняя панель маршрутизатора имеет ряд сигнальных светодиодных индикаторов, позволяющих оценить работоспособность устройства, наличие питания, определить, какой из портов (WAN1 или WAN2) активен в настоящий момент, а также индицирует скорость подключения (10 либо 100 Mbps) или наличие коллизий в сети.
Примечательно это устройство способом управления и настройки. Все обслуживание LR3100p осуществляется исключительно в консольном режиме, из командной строки. Web-интерфейс попросту отсутствует. На примере этого продукта можно убедиться в том, что внутри всех подобных маршрутизаторов находится адаптированная и урезанная в той или иной мере версия Unix-подобной операционной системы. Поэтому тем пользователям, кого не пугает вид командной строки и кто имеет опыт общения с ОС этого класса, настройка и конфигурирование рассматриваемой модели не доставят никаких хлопот.
Но вот малоподготовленных покупателей, тех, кто рассчитывал получить "Internet из коробочки", ждет неприятный сюрприз. Несмотря на то что эта модель снабжена весьма подробным руководством, раскрывающим все нюансы ее конфигурирования, а также содержащим полный перечень команд с их описанием и примерами использования, русскоязычным оно кажется только на первый взгляд. Да, написано руководство кириллицей, но страдает такими огрехами перевода, что понять что-либо из него практически невозможно…
Подводя итоги, можно отметить, что, несмотря на весьма приятный дизайн, достаточную функциональность и хорошие органы индикации, данная модель вряд ли подойдет всем покупателям по причинам, изложенным выше, — отсутствие Web-интерфейса и весьма "туманное" руководство пользователя.
Planet VRT-401
|
Planet VRT-401 |
Кроме аналогичных пунктов, ранее упоминаемых
в описании настроек других устройств (управления DHCP, назначением статических
IP, параметрами PPPoE, PPTP и несколько экзотическим для нас SingTel RAS), меню
VRT-401 демонстрирует свою "утонченность" в отношении установки VPN-параметров.
Их состав и количество в меню позволяют предположить, что VPN-router проектировался
так, чтобы наиболее полно соответствовать стандартам и использовать механизмы,
предоставляемые IPSec, MD5-HMAC/SHA1-HMAC, DES-CBC, 3DES-CBC, IKE и ручным вводом
ключей. Интересно, что производителем гарантируется поддержка до 100 виртуальных
туннелей!
Что же касается этой небольшой коробочки с точки зрения ее функциональных возможностей в качестве широкополосного маршрутизатора — минимальный "джентльменский набор" наличествует.
Объем памяти, выделенной под хранение MAC-адресов, — 1 KB. На задней панели, кроме разъемов для подключения WAN/LAN, находится и отдельное гнездо (также типа RJ-45) для DMZ-подключения.
Planet XRT-711A
|
Planet XRT-711A |
Это семипортовое (со стороны внутренней
сети) устройство успешно сочетает в себе достаточно серьезный широкополосный Internet-маршрутизатор
с принт-сервером. Поддерживаются следующие протоколы и службы TCP/IP, NAT, DHCP,
HTTP, DNS, TFTP, UPnP, RIPv1 и несколько более широкий диапазон (по сравнению
с моделью XRT-401B) возможных настроек. Например, в настройках firewall можно
в каждой из четырех назначенных групп пользователей выбрать 1 из 3 типов прав
и запрещенные приложения, а также указать до десяти портов, доступ к которым для
данной группы пользователей будет закрыт. На корпусе маршрутизатора имеется DIP-переключатель,
позволяющий отключить функцию DHCP-сервера для локальной сети. Возможна загрузка
по TFTP-протоколу обновлений firmware. Данное устройство является весьма неплохим
решением для небогатого малого офиса, которому нужен доступ в Internet, поскольку
при таком количестве портов можно отказаться от покупки и коммутатора, и принт-сервера.
VPN. "Как много в этом звуке…" Просматривая публикации на эту тему и рекламные материалы Но так ли уж страшно и недоступно понятие виртуальной частной сети (VPN — Virtual Начнем с тривиального примера: необходимость обмена данными в реальном режиме Правда, прежде чем офис перестанет быть легкой наживой для Internet-злоумышленников, Кроме того, такие решения как нельзя лучше подходят для компаний, которым требуется Третьим возможным вариантом использования станет организация виртуальных туннелей Подытоживая все вышесказанное, повторимся: виртуальные сети позволяют организовать Что же прежде всего нужно при построении такой системы в малом офисе для обмена В первую очередь — организовать сам шлюз, гордо именуемый VPN Gateway. Пример Второе условие — для выполнения того минимального объема конфигурационных работ PPTP (Point-to-Point Tunneling Protocol) появился как результат работы Microsoft L2F (Layer 2 Forwarding) — предмет небезосновательной гордости фирмы Cisco. IPsec (Inernet Protocol Security) — наиболее известный протокол сетевого уровня L2TP (Layer 2 Tunneling Protocol) — протокол, представляющий собой дальнейшее За более детальными описаниями протоколов и задействованных в этом процессе Для того чтобы два или более устройств смогли обменяться зашифрованными и подписанными |
Выводы
К моменту окончания этого материала полностью "выкристаллизовался"
основной рефрен заключительной части: "Вы до сих пор возитесь с настройками
своего Unix-сервера? Тогда мы идем с "коробочными" решениями к вам!".
Ну, не то, чтоб уж сразу мы, и не то, чтобы непременно к вам, но общий смысл достаточно понятен, не так ли?
Прошло то время, когда "маршрутизатор из коробочки" выполнял исключительно функцию "раздачи Internet по офису". Теперь это многофункциональные универсальные комбайны, способные обеспечить практически все функции как по обслуживанию небольшой офисной сети — начиная от беспроводной точки доступа и заканчивая принт-сервером, так и организовать полноценное (в меру интеллектуальных возможностей самих устройств, разумеется) VPN-соединение. При этом процесс настройки и конфигурирования "коробочек" не только не усложнился, а наоборот — существенно упростился.
Посему, если вы желаете обустроить свою сеть с минимальными как начальными, так
и последующими затратами, может, стоит отложить "Самоучитель по Unix для
менеджеров среднего звена", прекратить терзать друзей вопросом "нет
ли у вас знакомого мальчика, который нам сделает Internet?"
Устройства предоставлены компаниями
LG | DataLux | (044) 249-6303 |
Compu-Shack | "Н-Тема" | (044) 467-1754 |
D-Link | "ИКС-Мегатрейд" | (044) 247-3906 |
Fujitsu Siemens | "МУК" | (044) 490-5171 |
HardLink | "МАС Электроник" | (044) 248-7591 248-7592 |
Planet | MTI | (044) 458-3856 |
SMC | "Ингресс" | (044) 227-5155 |