При отсутствии других альтернатив широкополосного доступа вместе с DSL на передний план выходят соответствующие маршрутизаторы, при помощи которых несколько пользователей разделяют между собой одно соединение DSL. Выбор подобных устройств огромен, поэтому решение о покупке принять достаточно сложно.

В Германии из 7,93 млн пользователей широкополосного доступа (подсчитывались именно пользователи, а не подключения), по данным прошлогоднего опроса Forza/Atfact, почти 82% пользуются соединением DSL, 14% — кабельным доступом и еще 0,7% — спутниковой антенной. На все остальные технологии доступа в общей сложности приходится около 3%. Как можно видеть, технология DSL занимает в стране доминирующее положение. Между тем количество пользователей широкополосного доступа за последнее время значительно увеличилось — по предварительным оценкам, более чем до 10 млн человек. В сегменте DSL безоговорочным лидером является Deutsche Telekom — недавно компания продала свое пятимиллионное соединение DSL. На всех остальных провайдеров приходится всего около 600 тыс. подключений.

Технология DSL находит применение как в частных домах, так и в небольших офисах (SOHO). Последние и представляют собой основную целевую группу для маршрутизаторов DSL. Работодатели заинтересованы в том, чтобы предоставить всем своим сотрудникам по возможности быстрый и надежный оперативный доступ в Internet (в большинстве случаев по единому тарифу). С недавнего времени подобные предложения стали еще привлекательнее: так, Deutsche Telekom увеличила скорость загрузки для базисного подключения DSL с 768 до 1028 Кбит/с. Между тем растет спрос на DSL и со стороны предприятий.

Достаточно беглого взгляда на предложение маршрутизаторов DSL, чтобы понять, что маршрутизаторов DSL в чистом виде, т. е. без каких-либо дополнительных функций, сегодня на рынке уже не осталось. Стремясь победить в конкурентной борьбе, производители наделяют небольшие устройства множеством новых возможностей. Некоторые из них очень полезны: к примеру, серверы и ретрансляторы DNS и DHCP или брандмауэр. Часто маршрутизаторы DSL снабжаются точкой доступа к беспроводной локальной сети — и надо сказать, беспроводное подключение очень популярно. Многорежимные радиомодули, все чаще устанавливаемые в новых моделях (802.11b и -g или -b и -h), также пробивают себе дорогу. Однако поддержка VPN или интегрированного сервера печати нужна далеко не всем пользователям. Кроме того, устройства новейшего поколения часто обладают интерфейсом USB, через который доступ к подключенным принтерам или массовым накопителям оказывается возможен для всех пользователей локальной сети. Иногда создается впечатление, что функции, включаемые сегодня в устройства, реализуются лишь ради «галочки» в таблице технических спецификаций. Поэтому необходимо точно знать, для каких целей приобретается оборудование, с тем чтобы указать конкретные требования.

БАЗОВЫЕ ФУНКЦИИ

Риcунок 1. Модель DI-624 от D-Link подключается к беспроводной сети на скорости 54 Мбит/с.

Для выполнения маршрутизатором своих основных функций ему необходим интегрированный коммутатор. Большинство маршрутизаторов DSL оснащается четырьмя портами Ethernet 10/100, некоторые — восемью. Автоматическое распознавание подразумевается как нечто само собой разумеющееся. Немаловажно также наличие встроенного сервера DHCP, с помощью которого подключенные клиенты получают свои IP-адреса и дополнительные параметры, например адреса DNS, непосредственно от маршрутизатора. Если маршрутизатор, включая WLAN, установлен в корпоративной среде, где развернута и локальная сеть, то благодаря этой функции динамическое адресное пространство для беспроводной сети может быть отделено от статического.

Однако при администрировании следует быть осторожным: если в подключенной проводной сети нет собственного сервера DHCP, то при определенных обстоятельствах точка доступа беспроводной сети может взять ответственность за нее на себя. Если же активный сервер DHCP имеется как в домашней, так и в беспроводной сети маршрутизатора DSL, то и здесь возможен конфликт. При подобном сценарии применения маршрутизатор DSL должен оснащаться не сервером, а маршрутизатором DHCP. В этом случае маршрутизатор DSL получает свой адрес от сервера DHCP в локальной сети. Он сам своим клиентам IP-адресов не раздает, а лишь передает их запросы DHCP в домашнюю сеть, а ответ установленного в ней сервера DHCP (IP-адреса) — обратно отдельным клиентам.

Сегодня предприятия отказываются от применения беспроводных маршрутизаторов DSL. Они делают ставку на отдельные структуры WLAN, в рамках которых можно решить проблему комплексного управления безопасностью. Установленный без ведома центрального подразделения ИТ беспроводной маршрутизатор DSL способен создать большую «дыру» в механизмах обеспечения безопасности, что чревато тяжкими последствиями не только для предприятия в целом (нападение хакеров), но и для того сотрудника, кто, ничего не подозревая, инсталлировал устройство (немедленное увольнение).

Риcунок 2. Vigor 2900Gi от Draytek подключается к беспроводной сети и одновременно поддерживает до 32 соединений VPN.

Маршрутизатор DSL должен справляться с трансляцией сетевых адресов (Network Address Translation, NAT). Это важно, поскольку провайдер DSL выделяет своему абоненту при подключении лишь один-единственный IP-адрес, неважно, сколько клиентов им реально пользуются. Служба NAT необходима для правильного распределения пакетов в сети между различными пользователями.

NAT позволяет преобразовывать IP-адреса закрытых подсетей в общедоступные номера IP. С точки зрения общедоступного Internet подобная закрытая подсеть выглядит как один пользователь, поскольку вовне виден лишь один IP-адрес. Когда пакет с подключенного клиента поступает на маршрутизатор, NAT присваивает ему новый адрес порта и меняет в заголовке пакета IP-адрес на собственный, зарегистрированный. Исходные номера сохраняются локально. После этого модифицированный пакет отправляется во внешнюю сеть. Когда он возвращается из Internet к маршрутизатору, последний проверяет номер порта и вставляет в заголовок пакета исходные IP-адрес и номер порта. Затем маршрутизатор отправляет пакет дальше соответствующему клиенту. Для хоста в Internet адреса конкретных клиентов остаются скрытыми — он знает лишь общедоступный IP-адрес сервера NAT, благодаря чему NAT предлагает определенную защиту от хакеров.

Однако этого недостаточно. Сегодня ни один маршрутизатор DSL немыслим без брандмауэра, причем последний должен поддерживать контекстную проверку содержимого пакетов (Stateful Packet Inspection, SPI). Подобный брандмауэр анализирует пакеты как на легитимность отправителя и получателя, так и на несоответствия при передаче: к примеру, предпринимаемые попытки сканирования портов или аномальная частота поступления определенных пакетов. Если частота обнаружения пакета превышает граничное значение, маршрутизатор отвергает следующие пакеты, чтобы соединение с Internet оставалось свободным. Эта функция очень важна для отражения широко распространенных атак по типу «отказ от обслуживания» (Denial of Service, DoS). В идеальном случае граничное значение должно конфигурироваться свободным образом в целях адаптации проверки пакетов под определенные приложения. Граничные значения по умолчанию нередко оказываются неудовлетворительными и вызывают проблемы, особенно при совместной работе с приложениями UDP — при передаче голоса, например, приходится отказываться от контроля передачи посредством ТСР. К сожалению, до сих пор ни в одном маршрутизаторе DSL не предусмотрена возможность изменения заранее заданных значений.

ДОПОЛНИТЕЛЬНЫЕ ФУНКЦИИ И ПРОЧИЕ КРИТЕРИИ

Многие маршрутизаторы DSL с брандмауэром SPI поддерживают организацию виртуальных частных сетей (Virtual Private Network, VPN) в части транзита VPN. Иными словами, такие маршрутизаторы способны пропускать в сеть данные VPN. Терминировать сеанс VPN и, соответственно, обрабатывать, например, протоколы шифрования VPN способны лишь немногие маршрутизаторы. Для этого им необходима высокая вычислительная мощность, которая зачастую отсутствует. В лучшем случае маршрутизаторы DSL могут служить в качестве конечного пункта VPN для одного-двух сеансов, но этого достаточно лишь для области SOHO. Большинство предприятий размещает свои конечные пункты VPN на специализированных брандмауэрах, удовлетворяющих повышенным требованиям к масштабируемости, функциональному охвату и управлению. Маршрутизаторы DSL не подходят на эту роль еще и потому, что они лишь в редчайших случаях могут быть включены в систему управления всем предприятием на базе SNMP. Обязательный интерфейс Web, через который маршрутизатор DSL очень удобно конфигурировать, годится исключительно для небольших инсталляций.

Риcунок 3. Vigor 2900Gi — вид сзади. Наряду с гнездом USB для принтера предусмотрен интерфейс ISDN.
p>Сам по себе маршрутизатор DSL не в состоянии обеспечить связь с Internet — ему необходим модем DSL. Во многие современные устройства модем встраивается, что имеет смысл прежде всего для инсталляций в секторе SOHO. Предприятия же часто организуют соединение DSL из другого места. В этом случае интегрированный модем DSL оказывается излишне дорогим дополнением.

Примерно так же обстоит дело и с серверами печати. Предприятия предпочитают общекорпоративные решения и не хотят полагаться на соответствующую дополнительную функцию маршрутизатора DSL. В небольших средах, напротив, интеграция серверов печати нередко весьма полезна. В этом случае предпочтение отдается интерфейсу USB, он все больше и больше вытесняет устаревший уже параллельный порт.

Об опасностях, которые влечет за собой установка маршрутизатора DSL с интегрированной поддержкой беспроводной локальной сети в корпоративной области, уже упоминалось. И опять же в секторе SOHO преимущества часто перевешивают риски, тем более что в этом году в области безопасности беспроводных сетей наметился существенный прорыв. Так, летом был утвержден стандарт Wi-Fi WPA-2, а через некоторое время после него — IEEE 802.11i. Таким образом, наконец-то определены адекватная аутентификация 802.1х (совместно с сервером RADIUS) и мощное шифрование, к примеру при помощи протокола временного обмена ключами (Temporal Key Interchange Protocol, TKIP) или расширенного стандарта шифрования (Advanced Encryption Standard, AES). Разделяемый ключ (Pre-Shared Key, PSK) облегчает как введение ключей, так и управление ими. 802.11i и WPA-2 во многом идентичны, поэтому не важно, что производитель написал на упаковке. Однако один из двух стандартов должен быть указан в любом случае, в идеале — вместе с логотипом организации Wi-Fi, свидетельствующим о том, что маршрутизатор DSL был подвергнут международным тестам и выдержал испытания.

Риcунок 4. Lancom 8011, как маршрутизатор DSL старшего класса, выполнен для установки в стойку 19?. В качестве сервера VPN устройство поддерживает до 1000 параллельных соединений VPN.

Безопасность в отношении маршрутизаторов DSL может быть повышена посредством оснащения такими дополнительными функциями, как фильтр URL и обнаружение вторжений. Первая ограничивает доступ к содержимому Web, предотвращая, к примеру, посещение сотрудниками эротических сайтов в рабочее время, а вторая — в лице систем обнаружения вторжений (Intrusion Detection Systems, IDS) — предлагает защиту от хакерских атак. Вопрос о критериях выбора данных систем требует отдельного рассмотрения и выходит за рамки статьи. Однако и в этом случае не стоит ожидать от маршрутизаторов DSL слишком многого. У большинства устройств защита от вторжений заключается в просмотре файлов системного журнала через интерфейс Web.

ЗАКЛЮЧЕНИЕ

Однако все нацеленные на профессиональное применение дополнительные функции, которыми производители столь охотно оснащают маршрутизаторы DSL, непригодны в такой реализации для этой области. На предприятиях более рационально использование «голых» маршрутизаторов, к тому же они предлагают определенную гибкость благодаря таким базовым свойствам, как количество портов. Зато в сегменте домашних пользователей и небольших офисов дополнительные функции вполне могут пригодиться, поскольку позволяют заметно упростить подключение к Internet небольшой группы людей. Однако всегда следует обращать внимание не только на список функций, но и на то, каким образом они в продукте реализованы. Кроме того, перед покупкой необходимо выяснить, имеется ли «горячая линия» технической поддержки, предлагаются ли быстрые и бесплатные обновления встроенного программного обеспечения и прилагается ли руководство на родном языке. После чего найти соответствующий конкретным требованиям маршрутизатор DSL будет уже несложно.

Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.


? AWi Verlag