Обзоры
SOHO-шлюзы: эволюция продолжается!

SOHO-шлюзы: эволюция продолжается!


Если предыдущий материал готовился в условиях, когда лозунг «Даешь выделенную линию в каждый дом» (заметим: не в каждую квартиру, а хотя бы в дом!) казался фантастикой, то сегодня, по крайней мере перед жителями столицы и городов-миллионников, уже зачастую стоит проблема выбора: кому из провайдеров с каким тарифным предложением отдать предпочтение, и какой тип интерфейса для подключения своей внутриквартирной сети к Глобальной окажется для него наиболее удобным. А широкий спектр предлагаемых на рынке SOHO-шлюзов лишь усложняет задачу…

Предполагаем, что наше видение основных тенденций, наблюдающихся в течение последних лет в секторе SOHO-шлюзов, и сегодня у определенной части читателей вызовет возражения. Ведь это касается не столько темпов технического развития или расцвета популярности данного типа устройств (на чем мы остановимся ниже), сколько изменений, произошедших, говоря категориями героя «Собачьего сердца» профессора Преображенского, в головах современных домашних пользователей или бизнесменов из сферы малого офиса.

Во-первых, все они уже готовы к тому, чтобы SOHO-шлюз из статьи дополнительных расходов на информационную инфраструктуру был перенесен в раздел обязательных наряду с телефоном, ПК и самой услугой широкополосного доступа.

Во-вторых, если ранее приходилось убеждать в целесообразности включения аппаратного устройства в микроструктуру офиса или квартиры, то сейчас чаще всего с иронией воспринимается предложение о необходимости разворачивания дополнительного сервера на обычном ПК (с неотъемлемым приложением в виде обслуживающего его высококвалифицированного *nix’оида), основной задачей которого является обеспечение минимальной безопасности и «правильной раздачи Интернета» на несколько рабочих мест.

Но вернемся непосредственно к продуктам, являющимся предметом сегодняшнего обсуждения. Как бы разновидности данного класса формально или в быту ни назывались (SOHO-шлюз, домашний маршрутизатор, шлюз частной сети, частный шлюз, broadband router или, положив в основу способ доступа к провайдеру услуг либо распределения информации в локальной сети, – ADSL-маршрутизатор, беспроводный шлюз и т. п.), его функциональную основу составляет именно маршрутизатор.

Это устройство в его классическом понимании отвечает за правильный путь доставки пакета данных по назначению в соответствии с имеющимися у него рабочими таблицами, указывающими статус, очередность и другие факторы, определяемые возможными маршрутами. Так как его место в соответствии с ролью – на границе между двумя сетями или между локальной сетью и Интернетом, то для выполнения своих обязанностей шлюза в нем физически должно быть как минимум два порта: для подключения к Глобальной Сети (WAN) и соединения с внутренней локальной сетью (LAN). С практической точки зрения одна из основных функций такого устройства – обеспечение трансляции трафика и организация совместного доступа к Интернету со всех компьютеров внутренней сети. Базовым механизмом ее реализации является технология NAT (Network Address Translation – преобразование сетевых адресов), которая осуществляет подключение нескольких узлов к Интернету с использованием одного общего IP-адреса. Этот принцип применяют, когда необходимо частной сети типа 192.168.0.0-192.168.255.255, 172.16.0.0-172.31.255.255, 10.0.0.0-10.255.255.255 обеспечить выход в Интернет, а в распоряжении находится недостаточное количество (либо всего один, присвоенный провайдером) реальных IP-адресов. Кроме того, NAT не только позволяет сократить число задействованных IPv4-адресов, но и в определенной степени защищает частную сеть, поскольку с точки зрения любого узла, находящегося вне сети, связь с ней осуществляется лишь через один, совместно применяемый IP-адрес.

Коль уж маршрутизатор является пограничным сетевым устройством, то логично на него возложить и часть функций по обеспечению безопасности. Пожалуй, правы те, кто в шутку указывает, что 100%-ную сетевую безопасность можно гарантировать лишь клиентским машинам, не имеющим никаких сетевых интерфейсов. По сути, чем в большей защите нуждаются компьютеры внутри домашней или офисной LAN, тем больше разнообразных механизмов правил, ограничений и сложных условий приходится обрабатывать, следствием чего является резкий рост вычислительных ресурсов задействованного на пограничном с провайдером устройстве. Тем не менее практически любой современный домашний шлюз обладает неплохим набором защитных функций.

В этом плане существуют две идеологии с использованием брандмауэров (Firewall, межсетевых экранов): пропуска или блокировки трафика в соответствии с определенными критериями. Основные цели, принципы работы и характер брандмауэров не так давно подробно освещались на страницах нашего издания, поэтому нам остается лишь кратко напомнить правила их работы применительно к типовому SOHO-шлюзу.

Пакетная фильтрация является самым простым, наименее интеллектуальным и ресурсоемким способом. Ее смысл заключается в анализе соответствия критериям передачи или блокировки каждого пакета еще до того, как он будет обработан. В зависимости от пакета и сформированных на основе правил и критериев разрешения трансляции брандмауэр может передать пакет или отвергнуть его с посылкой уведомления инициатору. Критерии или правила формируются на основе IP-адресов источника и получателя, номеров портов источника и получателя и используемых протоколов, типа, длины пакета и др. Таким образом, данный алгоритм обеспечения безопасности сети может быть отнесен к сетевому уровню модели OSI (или к стеку протоколов TCP/IP – на IP-уровне).

На более высоком уровне (сеансовом в модели OSI или TCP из стека протоколов TCP/IP) брандмауэры в составе шлюзов уже могут проконтролировать законность установления сеанса связи, однако до фильтрации отдельных пакетов они не опускаются. Еще более высокий (и ресурсоемкий) уровень анализа может осуществляться на прикладном уровне модели OSI, отвечающем за доступ приложений в сеть. На нем решаются такие задачи, как перенос файлов, обмен в IM и голосовых службах, управление почтовыми сообщениями и сетью. Соответственно, получая информацию о пакетах на прикладном уровне, такие шлюзы способны реализовывать блокировку доступа к определенным сервисам. Однако фактическим стандартом в современных SOHO-маршрутизаторах стали SPI-брандмауэры (Statefull Packet Inspection). С их помощью осуществляется фильтрация пакетов на сетевом уровне, определяется легитимность установления сеанса связи, анализируется содержимое пакетов с учетом данных, полученных при анализе на прикладном уровне.

Далее в ряду механизмов обеспечения сетевой безопасности нам следует упомянуть о системах обнаружения и предотвращения вторжений и посмотреть на все вышеописанные аспекты обеспечения безопасности еще раз, теперь уже глазами среднестатистического пользователя. С его же точки зрения список функций, требуемых от домашнего шлюза, выглядит несколько по-иному. Кратко перечислим их:

  • сокрытие фактической конфигурации LAN (приватной сети) и ограничение возможностей удаленного доступа к его ПК;
  • пресечение попыток несанкционированного доступа к системным ресурсам защищаемого компьютера;
  • защита от атак типа DoS/DDoS;
  • обеспечение разграничения доступа приложений к ресурсам Сети;
  • детектирование почтовых и сетевых «червей», создающих для распространения собственное соединение с удаленным ресурсом;
  • блокирование генерируемых «зомбированными» приложениями попыток доступа из LAN к ресурсам Сети;
  • детектирование «троянских» и backdoor-программ, инициирующих соединения Peer-to-Peer.

Будем считать, что если на первые пять пунктов положительный ответ о реализации этих функций в подавляющем большинстве устройств уже дан, то два последних явно предполагают наличие в шлюзе системы антивирусной защиты (см. врезку).

Антивирусная защита

Несмотря на то что первое полугодие 2006 г. с точки зрения активности в секторе вирусов оказалось достаточно спокойным, следующим элементом системы комплексного обеспечения безопасности домашней сети остается различного рода антивирусное ПО. Заметим, что аппаратная реализация его функций на специализированных маршрутизаторах известна уже давно. Постоянно совершенствуются алгоритмы, отлажены механизмы подписки и автоматического обновления антивирусных баз… Однако в рассматриваемую нами категорию устройств (до $200), независимо от прогресса аппаратного обеспечения современного домашнего шлюза, ни одна модель, увы, не попала. А объясняется сие достаточно просто. Чтобы просканировать, например, содержимое пакетов на предмет обнаружения вредоносного кода, потребуется задействовать такие ресурсы процессора и оперативной памяти, что чуть ли не на порядок превышают используемые ныне в типовых решениях. Тем не менее определенные позитивные подвижки в обеспечении контентного анализа трафика все же имеются, правда, пока его реализация существенно отстает от функциональности специализированных брандмауэров. Из чего следует вывод – применение проанализированных в нынешней теме номера сетевых устройств SOHO-уровня никоим образом не освобождает пользователей от необходимости инсталляции программных антивирусных пакетов на каждый ПК в своей сети.

Массовое использование SOHO-шлюзов едва ли не на первый план выдвигает такие требования, как простота их конфигурирования и контроль работоспособности. Значительная часть пользователей получит продукт уже настроенным и проверенным провайдером, что обычно предусматривается договором о предоставлении услуги. Тем не менее все же предполагается, что имея хотя бы небольшой практический опыт по подключению компьютера к Интернету, действуя в соответствии с руководством по эксплуатации и опираясь на помощь интуитивно понятного «мастера» шлюза с дружественным интерфейсом, они смогут самостоятельно подготовить его к работе не более чем за час. Заметим, что такая (наш взгляд, несколько завышенная) оценка фактически возводит в ранг стандарта требование оказания этой категории пользователей помощи со стороны служб сервиса или технической поддержки. Причем предоставляться она должна не только провайдером (при покупке шлюза в пакете с услугой), но и поставщиком. Исходя из этого маршрутизатор для домашнего применения можно определить как устройство, «профессионально разработанное, исполненное и подготовленное для эксплуатации непрофессионалами».

Сделав это пространное, но важное для знакомства с логикой потенциального покупателя, отступление от основной темы, обозначим, какие механизмы упрощения сетевого управления данным типом шлюзов аппаратов могут быть реализованы. Вне зависимости от подкласса устройств (для домашних или офисных потребностей) эти усовершенствования предполагают построение гибкой сетевой инфраструктуры, приспособленной к постоянным организационным переменам, где минимизированы затраты на администрирование, перемещения, добавления и смену пользователей. Достигается это за счет реализации различного рода «мастеров настроек», позволяющих упростить процесс начальной конфигурации. По большому счету, от клиентов прежде всего требуется активировать используемый Ethernet-интерфейс для сетевого подключения с указанием автоматического получения параметров соединения. Назначение частных IP-адресов узлам, находящимся с внутренней стороны NAT, осуществляется, как правило, через службу DHCP (Dynamic Host Configuration Protocol – протокол динамической настройки узлов) либо путем статической настройки на соответствующей закладке конфигурационного меню шлюза. Несколько сложнее происходит конфигурирование беспроводного соединения, что частично связано с обязательностью обеспечения его защиты. Для его автоматизации могут быть применены как привязанные к пользовательской ОС технологии типа WCN (Windows Connect Now), упрощающие процесс налаживания связи, так и «фирменные механизмы», ориентированные на облегчение нахождения общего языка со «своими» WLAN-устройствами по собственным протоколам (например, EZ-Setup).

Рассказ об автоматизации будет неполным, если не упомянуть механизм, пригодный и для удаленной настройки со стороны провайдера, – UPnP (Universal Plug and Play), отношение к которому из-за ряда ранее обнаруженных в нем уязвимостей ныне достаточно прохладное. Суть разрабатываемого в рамках Форума UPnP протокола IGD (Internet Gateway Device – управление шлюзовыми устройствами Интернет) заключается в автоматизации процесса настройки путем определения того, какие операции требуется вызвать, чтобы установить, включена ли поддержка в шлюзе NAT, выполнить сопоставление портов, согласовать параметры подключения и т. п.

VPN и VoIP с помощью SOHO-шлюза

Еще одно существенное отличие шлюзов класса SOHO заключается в реализации в них функций, интересных не столько тем, чья основная цель – получение доступа в Интернет, сколько работающим в режиме филиалов малым офисам и рабочим группам. К таковым в первую очередь принадлежит организация виртуальных тоннелей между VPN-маршрутизаторами разных LAN или для отдельных пользователей, желающих получить доступ к ресурсам своей компании через Интернет. При этом все объединяемые узлы такой системы могут иметь общее адресное пространство, т. е. каждый может обращаться к удаленным ПК таким образом, как если бы все они находились в рамках единой локальной сети.

Самый простой вариант реализации описанного механизма наблюдается в случае инициации тоннеля операционной системой, и востребован он прежде всего сотрудниками, работающими вне офиса. Задача маршрутизатора здесь сводится к политике «невмешательства» – пропускать через себя инкапсулированные пакеты данных без просмотра их содержимого для обеспечения транзитного режима VPN Pass Through, в частности, для организации PPTP VPN потребуются дополнительное открытие («проброс») порта 1723 и разрешение обмена по протоколу GRE. VPN Pass Through реализован в подавляющем большинстве имеющихся на рынке домашних устройств.

В старших моделях, попадающих в исследуемую нами ценовую категорию и ориентированных скорее на организацию соединения типа «офис – филиал», чем на обслуживание домашнего пользователя (последний, вероятнее всего, будет удовлетворен одним-двумя аппаратно инициированными тоннелями), функции VPN-сервера могут быть уже встроены. Алгоритм работы системы при этом не изменяется. ПК отправляет сетевой пакет, и если он предназначен для компьютера удаленного сегмента сети, то теперь сам VPN-маршрутизатор шифрует его и помещает в IP-пакеты, которые направляет своему «коллеге» – VPN-маршрутизатору сети назначения. После приема данных они расшифровываются и доставляются конечному адресату. Так как защищенность соединения – один из основных «коньков» VPN, шлюзу приходится сталкиваться с достаточно сложными алгоритмами, обеспечивающими идентификацию пользователя, шифрование данных и подтверждение их подлинности. В высокопроизводительных устройствах ряда вендоров удалось переложить отработку криптоалгоритмов AES, DES и 3DES на более скоростной аппаратный уровень. Говоря о дополнительных мерах безопасности, следует признать, что, к сожалению, в этой ценовой категории обнаружить устройства, осуществляющие фильтрацию содержимого VPN-трафика уже на выходе к клиенту, не удалось (надеемся, пока).

Хотелось бы предупредить тех, кто намерился пополнить ряды надомных работников, приобретя пару шлюзов с возможностью инициации тоннелей, о сложностях, связанных с неполной поддержкой клиентом различных служб корпоративной сети (в частности, DNS). Несмотря на старания производителей упростить настройку соединения, многообразие поддерживаемых маршрутизаторами типов VPN-соединений и алгоритмов аутентификации и шифрования, без предварительных консультаций с администратором своей сети вам не обойтись.

Другим направлением развития, свидетельствующем о росте потенциала данного класса устройств, является реализация поддержки SOHO-шлюзами функций цифровой телефонии. Например, через гнездо FXS (Foreign Exchange Station) к ним можно подключать обычные аналоговые телефоны либо факс-аппараты для передачи голоса по протоколу IP (VoIP), обеспечивая полноценную поддержку SIP. А относительно недавней тенденцией стало появление в недорогих маршрутизаторах портов FXO (Foreign Exchange Office) для подсоединения аналоговых телефонных линий. Таким образом, присутствие этих двух типов подключений, позволяющих осуществлять IP-передачу голоса/факса и данных в одном высокоскоростном широкополосном канале связи, дает основание утверждать о потенциальной экономии при построении инфраструктуры «корпорация – удаленные офисы» за счет снижения тарифов на переговоры, отказа от дополнительных каналов аналоговой телефонии и интеграции нескольких функций и услуг в одном устройстве.

Физические интерфейсы WAN и LAN

Сформулировав требования к функциям, определяющим работу базового ядра классического шлюза, самое время проанализировать, каким образом будет обеспечиваться связь с провайдером и какие физические интерфейсы/сервисы во внутренней сети могут понадобиться.

Естественно, при организации подключения к провайдеру ETTH (Ethernet To The Home) ничего дополнительно не потребуется, равно как и для выхода в Глобальную Сеть. Всегда остается вариант подсоединения модема соответствующего типа к уже существующему маршрутизатору, и единственное, что будет нужно от выше рассмотренной «коробочки» с WAN-портом (10/100 Ethernet) – сохранить и перенаправить в него параметры и учетные данные для доступа к услуге. На наш взгляд, для организации эффективной домашней сети более чем достаточно четырехпортового коммутатора. Тем не менее за упомянутую выше сумму вполне можно приобрести не только маршрутизатор со встроенным в него модемом, но и существенно расширить возможности собственной сети, используя широкий набор дополнительных функций, превращающих устройство в мощный сетевой комбайн.

Но прежде чем перейти к описанию модемной части комбинированных маршрутизаторов, обеспечивающей доступ в Интернет через провайдера, и интерфейсов со стороны домашней/офисной LAN, прокомментируем приведенные соображения на примере одного из самых простых и дешевых шлюзов от компании Sweex, о котором недавно прочитали на страницах Hot Line (hotline.ua). (Напомним, что с аналогичной моделью D-Link DI-604 мы знакомили наших читателей еще три года назад.) Так вот, в Broadband Router RO001, несмотря на крайне малые габариты его металлического корпуса, удалось совместить маршрутизатор и четырехпортовый коммутатор, а также наделить его практически всей минимально достаточной функциональностью, что может понадобиться неискушенному в сетевых настройках пользователю. Инсталлировать данное устройство помогает Мастер установки. Убедившись, что в сетевых настройках клиентского ПК, подключенного к одному из портов коммутатора, установлен «флажок» в полях автоматического получения IP-адреса и DNS-сервера, набираем в адресной строке браузера адрес шлюза по умолчанию (следует отметить, что у Broadband Router RO001 он довольно экзотичен: http://192.168. 123.254). После ввода пароля попадаем на страницу выбора конфигурационного профиля или сразу приступаем к ручной настройке. Шлюз может работать в режиме моста, поддерживает PPPoE, PPTP, DHCP и статическое назначение IP, оснащен NAT-брандмауэром и элементарными механизмами защиты от DoS. Меню расширенных настроек позволяет управлять перенаправлением портов (DMZ), организацией виртуальных серверов и при необходимости «в одно нажатие» обеспечивать транзит для VPN-тоннелей (PPTP и IPSec). Ведутся журналы регистрации DHCP-клиентов и событий, связанных с безопасностью. Собственно, эксперимент подтвердил наше предположение о том, что для настройки основных функций элементарного шлюза, при условии понимания общих принципов организации доступа и внутреннего устройства маршрутизатора (заметим, большая часть параметров нас удовлетворила и осталась «по умолчанию»), время инсталляции измеряется даже не часами, а минутами.

Однако вернемся к модемной части. Ведущие позиции среди способов широкополосного доступа к Интернету ныне занимает технология ADSL, поэтому неудивительно, что многие устройства уже имеют соответствующий модем. С точки зрения стандартов доступа отметим поддержку ими ADSL2/2+.

На следующем месте по распространенности услуги предоставления доступа, вероятно, стоит назвать кабельное подключение. К сожалению, на украинском рынке моделей, сочетающих в себе маршрутизатор и CATV-модем, на наш взгляд, пока недостаточно.

Переходя от проводного доступа к беспроводному в качестве возможности подключения к провайдеру, выделим три технологии: WiMAX, Wi-Fi и SAT (через спутник). О первой пока можно говорить лишь как о потенциальной в связи с ограниченными объемами ее предоставления, да и, вероятнее всего, цена на новые маршрутизаторы с поддержкой WiMAX (равно как и на спутниковые модели) выйдет за пределы рассматриваемого ценового диапазона. То же самое касается устройств, в которых клиент провайдерской сети Wi-Fi выступает как WAN-интерфейс, логически располагаясь до маршрутизатора. Такие модели имеются в арсенале многих вендоров, но спрос на них весьма невысок, и на отечественном рынке они представлены слабо.

А вот среди интерфейсов на LAN-стороне Wi-Fi является чуть ли не лидером и нередко – обязательным условием приобретения шлюза. Это закономерно, даже если исходить лишь из постоянно растущего количества ноутбуков с соответствующим радиоинтерфейсом.

В числе более экзотических видов распределения Интернета во внутриквартирной сети упомянем технологию обмена по электропроводке PowerLine, позволяющую сэкономить на прокладке витой пары, и не до конца совместимую с работой xDSL-модемов технологию HomePNA, использующую в качестве среды передачи телефонную «лапшу».

Отдельно перечислим, какие дополнительные сервисы могут быть предоставлены для клиентов шлюза. Одним из наиболее востребованных продолжает оставаться встроенный принт-сервер. Впрочем, обнаружить в печатающих устройствах ценой до $200–250 сетевой интерфейс нам не удалось, поэтому неудивительно, что вместо того чтобы «привязывать» его к постоянно включенному ПК, в малом офисе (а зачастую и в домашней сети) отдается предпочтение комбинированному маршрутизатору. Большинство современных шлюзов поддерживает двунаправленный обмен с принтером, подключаемым через порт USB.

Сравнительно недавно в ассортименте многих производителей шлюзов появились устройства, позволяющие подсоединять внешний накопитель (USB-карман с жестким диском либо USB-флэш). Кроме основных функций файловой работы с ним (копирование, запись, удаление), как правило, предоставляются возможности организации FTP-сервера и небольшого внутреннего (или даже внешнего, доступ к которому может быть осуществлен со стороны WAN) Web-сервера с быстродействием, достаточным для организации частного сайта.

На этом, в принципе, под ознакомительной частью можно подвести черту и перейти непосредственно к описанию модельных рядов производителей SOHO-маршрутизаторов.

ASUS

За последнее время этот вендор существенно активизировал свою деятельность на украинском сетевом рынке. Причем основной упор делается на расширение ассортимента SOHO-маршрутизаторов, а ведущие позиции занимают устройства с интерфейсом Wi-Fi. Надо отметить, что с момента нашего последнего знакомства с ними компании удалось достигнуть неплохих результатов в обеспечении функциональности и увеличении скорости/дальности передачи данных во WLAN. Заметим, что под понятием «функциональность» специалисты ASUS подразумевают в первую очередь стремление предоставить клиенту законченное офисное решение (включая защиту сети, создание принт-сервера, файлового и Web-сервера), оптимизированное прежде всего на работу со своими продуктами. А с некоторых пор все большее внимание уделяется и поддержке VoIP. Однако такие устройства от ASUS пока не попадают в заданные нами ограничения с точки зрения цены и функциональности.

ASUS WL566gM
ASUS WL500g Premium

На данный момент лидером среди WLAN-шлюзов по скорости передачи является WL-566gM с поддержкой технологии MIMO, обеспечивающей интерфейсную пропускную способность до 240 Mbps. Для работы с ним выпущен и соответствующий адаптер WL-106gM, настройку которого совместно со шлюзом облегчает утилита EZSetup, автоматизирующая задание параметров SSID, типа шифрования и пароля. Для ее вызова достаточно нажать нужную кнопку на задней панели.

Маршрутизатор WL-500g Premium в первую очередь интересен возможностью поддержки разного рода устройств, подключаемых по двум высокоскоростным интерфейсам USB 2.0. Здесь также предлагается набор фирменных функций Plug-n-Share. С их помощью все компьютеры локальной сети могут использовать жесткий диск, принтер или Web-камеру – для этого оборудование нужно лишь подключить к порту USB 2.0. Интересной представляется и технология Download Master, позволяющая продолжать загрузку требуемого файла на внешний диск даже при выключенном (отключенном клиентском) компьютере. Наконец, благодаря реализации протокола UPnP устройство можно попробовать применять и в качестве центра своей домашней «мультимедийной Вселенной», правда, для начала убедившись в поддержке такого способа подключения со стороны проигрывателя. В этой ситуации крайне полезной окажется возможность настраивать выделяемую полосу пропускания для различных типов приложений и интерфейсов.

ASUS WL520G

Относительно недорогой многофункциональный шлюз WL-520gE представляет собой продукт со стандартным набором функций и примерно одинаковой с WL-500g Deluxe производительностью LAN-WAN. В обоих устройствах реализованы NAT и SPI, имеется система предупреждения DoS-атак, а среди немногих отличий – поддержка DHCP+PPTP, возможность создания до 32 записей в Inbound-фильтрах NAT/брандмауэра, а также управление разрешением ответа на ICMP-запросы (команда Ping), направленных к нему из WAN.

Quick Start конфигурационного меню шлюза построен просто и понятно: как минимум предлагается определить временнуóю зону, в которой эксплуатируется маршрутизатор, выбрать тип подключения к провайдеру и заполнить данные для доступа к нему. Затем предлагается осуществить настройки беспроводного интерфейса. Для обеспечения его безопасности, кроме алгоритмов 64/128-bit WEP, могут быть использованы WPA2, TKIP, AES, WPA-PSK. Для согласования параметров этого интерфейса с клиентским устройством компании также может быть вызвана функция EZSetup.

В заключение нашего краткого описания продуктов ASUS стоит отметить, что в спектре выпускаемых ею изделий сохранился также компактный и легкий WL-530g. Его дизайн будет по вкусу тем, кому приходится часто работать на выезде, сохраняя возможность подключения к Ethernet и организации небольших сетей Wi-Fi.

Заметим, что в представленной линейке отсутствовали шлюзы, способные инициировать тоннели VPN. Как нам объяснили представители ASUS, устройства с данной функцией принадлежат к другим семействам (SL500/1000). Тем не менее все полученные аппараты смогли работать в режиме VPN pass through.

D-Link

Нет необходимости представлять эту компанию, уже достаточно давно и плодотворно работающую на отечественном сетевом рынке. Косвенным подтверждением популярности продукции D-Link может служить тот факт, что доля предложений (по данным Hot Line) различных шлюзов под этим брендом составляет около 30%. Модели от D-Link, попавшие в наш обзор, можно условно разделить на три группы: шлюзы начального уровня, специализированные домашние устройства и высокопроизводительные маршрутизаторы для малого офиса. Многие из них уже рассматривались на страницах журнала, поэтому лишь напомним о них.

Знакомство с моделью DI-604 состоялось три года назад. За это время ее цена снизилась почти в два раза. А вот что касается функциональности и стабильности работы, то положительные сдвиги все же обнаруживаются. Компания, по-видимому, приложила достаточно усилий, чтобы довести этот простой шлюз до совершенства. Это, в частности, подтверждает и номер текущей версии прошивки устройства. Единственное, что можно было бы пожелать продукту данного класса – обзавестись какой-либо разновидностью механизма обеспечения QoS, например по TCP-порту.

DI-804HV – это высокопроизводительный широкополосный маршрутизатор с развитыми функциями безопасности, ориентированный на мощную домашнюю сеть или малый офис. В нем удачно реализовано несколько механизмов обеспечения QoS и безопасности. Кроме стандартных средств брандмауэра и алгоритма проверки состояния экрана, SPI способен обнаруживать несколько типов атак: Syn flood, ICMP flood, UDP flood, «ping of death», IP spoofing, Win Nuke и других. Но, пожалуй, более интересной представляется возможность данной модели обеспечивать функционирование до 40 тоннелей VPN, в том числе и в режиме «сеть-сеть».

Поддерживаются стандарты инкапсуляции, шифрования и аутентификации, включая IP ESP, DES, 3DES, MD5, SHA-1. Интересна возможность организации прохождения через NAT (NAT Traversal), благодаря которому сетевые приложения могут определять, что они находятся «под защитой» устройства NAT, узнавать внешний IP-адрес и автоматически выполнять сопоставление портов для пересылки пакетов из внешнего порта NAT во внутренний, используемый приложением. В данном случае NAT Traversal позволяет создать тоннель, если на его пути стоит устройство с NAT, решая возможные проблемы, связанные с реализацией IPSec.

От представителей компании мы получили также и разъяснения по поводу режимов Main Mode и Aggressive Mode. «Поднятие» IPSec-тоннеля происходит в две фазы. В первой устанавливается соединение (Security Association – SA), при этом выбираются параметры работы и защиты данных, а также осуществляется взаимная аутентификация сторон. А во второй фазе для каждого SA определяются уникальные идентификаторы (Security Parametr Index – SPI), и производится их обмен. После этого начинает работать один из протоколов Authentication Header (AH) или Encapsulation Security Payload (ESP), которые непосредственно и выполняют защиту передаваемых данных. Так вот, установление первой фазы соединения может производиться в двух режимах: Main Mode или Aggressive Mode.

Main Mode является более безопасным, но установление соединения в этом режиме осуществляется дольше (восемь «рукопожатий»). Aggressive Mode – более быстрый (три «рукопожатия»), но и менее безопасный, так как часть информации в процессе аутентификации передается в открытом (незашифрованном) виде.

Вторая фаза также может устанавливаться в двух режимах: Normal и Perfect Forward Secrecy (PFS). В Normal ключи, сгенерированные в первой фазе, передаются во вторую, а в PFS ключи второй фазы создаются заново. Причем PFS является более безопасным, чем Normal, но следует обратить внимание на то, что шифрование и аутентификация передаваемых данных производятся только в протоколе ESP, а AH выполняет лишь аутентификацию данных.

Еще одна отличительная особенность модели – механизм дополнительной аутентификации xAuth. Как правило, он используется в случае необходимости динамического «поднятия» тоннеля, возникающего, например, при доступе в сеть «странствующих» сотрудников.

Для подключения аналогового модема в режиме основного или резервного устройства доступа в маршрутизаторе имеется порт RS-232 (DB-9).

Практически все вышеуказанные для DI-804HV функции можно обнаружить и в сетевом комбайне для небольшого офиса класса SOHO DI-824VUP+, имеющем в своем составе принт-сервер (устройство оснащено портами LPT и USB, но подключить к нему можно только один принтер) и беспроводную точку доступа стандарта 802.11g. Логическим завершением этой группы продуктов станет высокоскоростной беспроводной VPN-маршрутизатор DSL-G804V, который, как не трудно догадаться из названия, дополнен модемом ADSL/ADSL2/ADSL2+. Единственное, чем пришлось поступиться производителю по сравнению с предыдущими моделями, так это числом поддерживаемых выделенных тоннелей: их всего 16.

D-Link DI-624S
D-Link DGL-4300

Возвращаясь же к специфике применения маршрутизаторов домашними пользователями (правда, уже на более высоком функциональном уровне), следует напомнить об уже давно знакомой нашему читателю модели DI-624S. Она имеет два высокоскоростных порта USB, благодаря которым к шлюзу могут быть непосредственно подключены накопители (до двух жестких дисков или флэш-карт) и принтер, а также позволяет организовать домашний файловый, Web- и FTP-сервер. В дополнение к сказанному ранее по поводу данного устройства можно лишь отметить, что оно предназначено для домашней сети, где и демонстрирует достаточную стабильность и производительность. Так, некоторое время модель эксплуатировалась с объемным USB-флэш, где было размещено свыше 3 тыс. файлов для FTP- и HTTP-серверов в режиме тестов и для обмена с коллегами через Интернет. В результате мы выставили отличную оценку этому нешумящему, малопотребляющему от ИБП и самостоятельно перезапускающемуся при различных сбоях электропитания устройству.

Говорить о достоинствах специализированного беспроводного игрового шлюза GamerLounge DGL-4300 достаточно сложно. Вероятно, в основу данной разработки легли две идеи: обеспечить простоту подключения для не очень-то искушенного в сетевых технологиях геймера и вступить в непримиримую борьбу с лагами. Только фанат компьютерных игр сможет по достоинству оценить, на что растрачиваются ресурсы самого мощного с точки зрения тактовой частоты (1,2 GHz) процессора шлюза. DGL-4300 имеет множество настроек для оптимизации и приоритезации игр (функция GameFuel), а огромное количество предварительно сконфигурированных профилей уже «зашиты» в устройство.

DrayTek

Оборудование компании DrayTek, предлагаемое под торговой маркой Vigor, до недавних пор было знакомо скорее европейским покупателям, чем украинским, поэтому позволим себе рассказать об этой компании несколько подробнее.

Ее основные усилия направлены на удовлетворение потребностей клиентов SOHO- и SMB-сегментов. Хотя традиционно оборудование по стоимости и не относят к разряду элитного, DrayTek заявляет, что не собирается следовать примеру тех производителей техники для сектора SOHO, которые допускают критическое уменьшение цены разрабатываемых и выпускаемых устройств. По словам представителей компании, главный упор делается на качество и функциональное наполнение.

В каждой категории устройств (а по типу аудитории, на которую они рассчитаны, их три: маршрутизаторы для домашних пользователей, непосредственно для SOHO-рынка и продукты, ориентированные на потребности верхней части сегмента SOHO и начального уровня для SMB) нашлись модели, удовлетворяющие выбранным нами критериям по функциональности и цене.

К 1-й категории относятся Vigor2104p и Vigor2200Eplus. В первом из них реализована базовая функциональность, но с некоторым расширением в виде встроенного сервера печати (буква «p» в названии). В модели поддерживаются стандартный набор протоколов WAN (PPPoE, DHCP, PPTP, Static IP), имеется NAT/брандмауэр и обеспечивается трансляция VPN-тоннелей. Во втором устройстве набор для обеспечения безопасности дополнен реализацией технологии пакетного фильтрования Stateful Packet Filtering и возможностью организации до 16 тоннелей VPN. WAN-интерфейс обеих моделей – FastEthernet.

Буква «V» у моделей серий Vigor2100, 2200 и 2900 свидетельствует о реализации голосовых функций, и внешне это заметно благодаря наличию в них FXS-портов VoIP. Имеются и устройства с интегрированной точкой доступа стандарта 802.11g (в их наименовании присутствует индекс «G»).

DrayTek Vigor2200VG
DrayTek Vigor2900V

Для продвинутого домашнего пользователя или решения задач удаленной малой рабочей группы, на наш взгляд, достаточно хорошо подходит оригинально исполненная по дизайну модель Vigor2200VG. Она обеспечивает необходимый для SOHO набор функций: VoIP с PSTN Lifeline и настройкой QoS, мощный брандмауэр с возможностью фильтрации URL-содержания, поддержку 8 VPN-тоннелей и интерфейс 802.11g.

Следующую группу составляют VoIP-устройства с интегрированным в них модемом ADSL/ADSL2/2+. Такие модели входят в состав линеек Vigor2510, 2600, 2800, 2900. Так, Vigor2600V позволяет организовать до 16 VPN IPSec-тоннелей, имеет поддержку VLAN. Интересной особенностью Vigor2800V является функция блокирования IM/P2P, дающая возможность снизить (при запрете использования правилами предприятия) неконтролируемую утечку трафика. Среди продуктов указанной группы хотелось бы обратить внимание на VoIP-шлюз Vigor2900V, в котором применен аппаратный чип ускорителя VPN, обеспечивающий качественную поддержку 32 (!) IPSec-тоннелей. В устройстве есть порт печати (USB). Выпускается и разновидность этой модели с точкой доступа Wi-Fi – Vigor2900VG.

Что, несомненно, привлекает внимание при анализе технических характеристик маршрутизаторов торговой марки Vigor, так это их высокая заявленная производительность, выраженная количеством одновременно поддерживаемых пользовательских сессий.

Заметим, что для упрощения работы с оборудованием DrayTek предлагает фирменное ПО VigorCMS, позволяющее управлять одновременно до 20 тыс. устройств в сети. Пакет облегчит администратору стартовую настройку, а также мониторинг в реальном масштабе времени, обеспечит регламентные работы, ведение журналов сбоев и выдачу различных отчетов по запросу.

Dynamix

Dynamix UM-A4W Plus
Dynamix UM-AI

В полном спектре оборудования семейства Dynamix, включающем устройства для стандартов SHDSL, ADSL, HomePNA и PowerLine, рассматриваемая нами категория шлюзов не столь многочисленна, но интересна по оригинальности подхода к формированию модельного ряда. Именно у этой компании нами был обнаружен уникальный по своим характеристикам маршрутизатор Dynamix UM-A4/PL, в котором удалось сочетать на WAN-стороне ADSL-модем и технологию PowerLine (совместимую с HomePlug 1.0.1 с производительностью до 14 Mbps) для построения локальной сети не только на базе 4-портового коммутатора FastEthernet, но и по уже существующей электропроводке. В ряде случаев, когда прокладка дополнительных кабелей исключена, такой физический интерфейс окажется более удобным, нежели беспроводное соединение, из-за отсутствия мертвых зон, которые зачастую образуются как раз на месте предполагаемой установки одного из настольных ПК. Да и такой фактор, как отсутствие зависимости качества связи от количества бетонных стен, разделяющих клиентов, также может стать решающим при проектировании LAN . В плане дальнейшего развития этого оригинального гибрида технологий можно предположить, что, идя в ногу со временем, модемная часть (синхронно с расширением полосы пропускания в PowerLine) будет модифицирована до стандарта ADSL 2/2+.

После обновления компанией модельных рядов хотелось бы обратить ваше внимание на устройства, недавно появившиеся на украинском рынке, Dynamix UM-A4W Plus и Dynamix UM-AI. Первое представляет собой маршрутизатор со встроенным 4-портовым 10/100Mbps коммутатором и точкой доступа Wi-Fi стандарта 802.11g. Модемной частью поддерживаются стандарты ADSL/ ADSL2/ 2+, RE-ADSL. Набор функций для обеспечения сетевой безопасности не сильно отличается от стандартного и позволяет детально конфигурировать правила IP, MAC и Web-фильтрации. Имеется также возможность настройки простых правил приоритезации трафика, как и у многих других шлюзов, участвующих в нашем обзоре, контроль и управление аппаратами осуществляется в том числе и через SNMP MIB-II.

Dynamix UM-AI совмещает в себе маршрутизатор, модем ADSL 2/2+, VoIP-шлюз с двумя FXS- и одним FXO-интерфейсами, а также беспроводную точку доступа 802.11g. На наш взгляд, он может найти применение как в офисе небольшой компании, так и на домашнем столе удаленно работающего сотрудника. Модем обладает неплохим набором возможностей по обеспечению QoS, и единственное, чего мы не нашли в нем, так это способности организовывать выделенные тоннели. Как и модель Dynamix UM-A4W Plus, эти устройства могут работать только в режиме VPN Pass Through.

ZyXEL

Sweex RO001
ZyXEL Prestige P-660H-61
ZyXEL Prestige P-964 APR
ZyXEL Prestige P-662HW-61
ZyXEL Prestige P-334 EE
ZyXEL Prestige P-2602HW

В представлении этой компании, безусловно, нет необходимости. При знакомстве с внушительным списком ее продуктовых линеек возникло впечатление, что ZyXEL определила для себя следующую стратегию развития: «Все для "меди" из одних рук». Ведь на данный момент в ее ассортименте насчитывается около 40 CPE-устройств разных технологий. Правда, боóльшая часть абонентского оборудования данной торговой марки не входит в установленные нами ценовые рамки.

Для обеспечения доступа пользователей, работающих в помещениях, которые подключены к пульту вневедомственной охраны, ZyXEL продолжает выпускать ADSL-шлюзы с расширением Annex B. Они допускают беспрепятственную передачу одновременно голосового, широкополосного цифрового и охранного (или ISDN) каналов. Заметим, что компания не стремится как можно чаще обновлять свои модельные ряды, тем не менее за последний год в ее линейках произошли существенные изменения.

Так, в серии P-660H имеются четыре устройства, характеризующиеся наличием беспроводных интерфейсов и некоторыми другими особенностями. Шлюзы обеспечивают работу в режимах моста или маршрутизатора и повышенный уровень сетевой безопасности, базирующиеся на использовании межсетевого экрана с SPI и механизмов фильтрации пакетов. Значительно большей производительностью и поддержкой до 20 VPN-тоннелей отличается ZyXEL P-662H-61, уже рассматривавшийся на страницах нашего журнала. Этот шлюз представляет собой сочетание модема ADSL2+ с 4-портовым коммутатором и беспроводной точкой доступа стандарта 802.11g+ с дополненными возможностями по обеспечению безопасности. К последним, помимо стандартных функций межсетевого экрана и SPI, относится организация VPN-тоннелей (IPSec VPN, до 20 тоннелей, ручное управления ключами/IKE, поддержка DES/3DES/AES и механизмов аутентификации SHA-1/ MD5, а также аппаратное шифрование данных по протоколам DES и 3DES). Маршрутизатор имеет режим автоматической настройки на провайдера и локальную сеть. Кроме привычного способа конфигурации шлюза через LAN, получить доступ к устройству можно и через гнездо CON/AUX. Во втором положении переключателя на задней стенке порт может использоваться для резервирования ADSL-соединения. При взаимодействии с «родными» беспроводными адаптерами от ZyXEL, работающими по протоколу 802.11g+, гарантируется взаимодействие на скоростях до 100 Mbps. Соединения WLAN защищаются по WEP/WPA/WPA2.

Так как новая модель шлюза, отличающегося поддержкой VoIP (два гнезда FXS), ZyXEL P-2602HW попала к нам в руки одной из первых в Украине, позволим добавить несколько «штрихов к портрету», сразу же отметив, что существенных недостатков нам выявить не удалось. Несмотря на свою новизну, устройство понравилось не только дизайном, но и стильно оформленным удобным меню, появлению которого предшествовало сообщение о том, что DSL-соединение автоматически установлено не было. После первого входа пользователю предлагается сразу сменить пароль и предоставляются два способа дальнейшей настройки: либо применить мастер подключения, либо сразу перейти в расширенный режим. В последнем сосредоточены подменю Internet/Wireless, настройки VoIP и управления полосой пропускания. Их заполнение не только не вызвало каких-либо вопросов, но и не привело к необходимости обращения к документации за уточнениями. Примечательно, что с любой закладки меню можно в одно касание вернуться в окно статуса, где отображалось огромное количество параметров работы, включая текущую загрузку процессора/памяти. А полная перезагрузка сервера для вступления в силу всех изменений продолжалась менее одной минуты.

Окончание предварительных тестирований кабельного маршрутизатора ZyXEL P-964 APR, проводимых компанией «Воля-Бродбенд», позволяет предположить, что вскоре эта модель получит широкое распространение, а в продаже она появится по ориентировочной цене $210. В украинском представительстве ZyXEL нам сообщили, что в разработке находится еще один шлюз с кабельным интерфейсом и с полноценной поддержкой VoIP. Кроме того, в планах ZyXEL – выпуск аппаратов, поддерживающих WAN-интерфейс стандарта VDSL2.

Выводы

Итоговые впечатления, сложившиеся после знакомства с обширными линейками SOHO-шлюзов выбранных нами вендоров, можно сформулировать так. Прежде всего, ничего кардинального с точки зрения технологий здесь не произошло и произойти не могло, ведь основные требования к этим продуктам не изменились, а их главное назначение сравнительно несложно – максимально упростить организацию доступа в Интернет нескольким домашним пользователям или сотрудникам малого офиса. И значительный всплеск спроса на недорогие шлюзы, приведший едва ли не к двукратному увеличению их продаж, объясняется, в первую очередь, расширением спектра предлагаемых услуг широкополосного доступа.

Однако сами устройства становятся производительнее, функциональнее, универсальнее (по типам сервисов и интерфейсов) и… дешевле. Причем наблюдается это во всех подгруппах (от моделей начального уровня до мощных, с развитой функциональностью, попавших в результате снижения цен в исследуемую нами категорию).

Перед тем как приобрести модель, следует вначале четко сформулировать круг решаемых в данном конкретном случае задач, определить поддержку требуемых физических интерфейсов для доступа в Сеть и обеспечения клиентов внутри своей LAN. И уже затем останавливать свой выбор на тех или иных устройствах. Как видно из сводной таблицы, начальная (базовая) функциональность WAN-LAN у всех продуктов примерно одинакова. Поэтому, если не предполагается выполнение с его помощью чрезмерно сложных задач, приоритет может быть отдан, например, моделям с минимальной стоимостью или даже тем, что приглянутся вам своим дизайном. Например, домашнему пользователю требуется элементарный маршрутизатор, чтобы подключиться к уже установленному модему для одного стационарного и одного переносного компьютера и реализовать элементарный набор функций для сетевого обмена. Этой категории покупателей можно порекомендовать не стремиться приобретать домашний маршрутизатор уж чересчур «на вырост», подбирая себе наиболее универсальное и полнофункциональное устройство. Причем не исключено, что в процессе работы после получения первоначального опыта сетевых настроек вы уйдете от Помощника или Мастера Настроек, предложенных разработчиком, и настолько углубитесь в тонкости, что «доконфигурируете» шлюз до состояния, когда останется единственный выход – сброс на заводские настройки по методике из инструкции по эксплуатации и повторная настройка. Так вот, пока вы будете «тренироваться на кошечках», пытаясь включить в работу множество отличных, но так и не востребованных функций, вполне возможно, что на рынке появится очередная новинка с еще более высоким соотношением цена/функциональность.

Для пользователей же, имеющих четкое представление о своих требованиях к маршрутизатору, дополнительным фактором для выбора среди устройств с одинаковой функциональностью и набором интерфейсов станут продолжительность гарантийного периода и наличие доступной и качественной службы поддержки вендора либо продавца и/или интернет-ресурсов, где большая часть возможных проблем уже обсуждена и решена. Как подсказывает наш небольшой опыт общения в ходе подготовки материала, у двух из пяти участвующих в нашем обзоре компаний служба поддержки заслуживает отличной оценки. Вероятно, после выхода статьи подтянутся и другие…

При подготовке материала был использован тестовый ADSL-доступ от компании «Интер-Телеком» www.cyfra.net