Маршрутизаторы DSL — это маленькие мастера на все руки: они могут стать точкой доступа к беспроводной сети, IP-УАТС, сервером файлов или печати, маршрутизатором виртуальной частной сети, брандмауэром или фильтром контента. Для того чтобы никто не говорил: «Да, они могут все, но как следует — ничего» (так, иногда справедливо, подвергаются критике, например, мобильные телефоны), необходимо заглянуть за кулисы.

 Устройства доступа имеют много названий: «широкополосные маршрутизаторы», «интегрированные устройства доступа», «маршрутизаторы IP или глобальной сети IP» и т. д. В Германии они известны главным образом под именем «маршрутизаторы DSL», поскольку в этой стране DSL, пожалуй, как нигде, доминирует на широкополосном рынке. Однако вместо модема DSL с таким же успехом может быть интегрирован кабельный модем —
в конце концов, несущественно, какая широкополосная технология используется со стороны глобальной сети. В устройствах для крупных предприятий широкополосный модем во многих случаях предусмотрен в качестве отдельного внешнего компонента, который можно выбирать в зависимости от варианта подключения.

ИНТЕГРИРОВАННЫЙ МОДЕМ DSL

Многообразие названий отражает различные возможности, которыми современный маршрутизатор DSL обладает помимо своей базовой функции — подключения нескольких пользователей локальной сети к каналу DSL. Распространенными функциями являются поддержка беспроводных локальных сетей (в качестве точки доступа), сервера печати, УАТС и проч. Кроме того, он способен выполнять определенные функции обеспечения безопасности, к примеру брандмауэра и фильтрации контента. Поэтому при выборе речь в первую очередь идет о том, чтобы соотнести набор основных функций со списком пожеланий. В такой ситуации дальновидность, конечно, хороша, но следует знать и меру: каждая функция делает устройство более сложным и дорогим.

После рассмотрения перечисленных принципиальных соображений предстоит самое трудное — определиться с выбором, ведь теперь необходимо точно установить, как реализованы отдельные функции, а в данном вопросе имеются значительные расхождения. В первую очередь следует обратить внимание на интерфейс глобальной сети. Развитие DSL идет ускоренными темпами — наиболее распространенную технологию ADSL быстро догоняют по популярности ADSL2/ADSL2+ и VDSL. Между тем в профессиональной области все большим спросом пользуются симметричные варианты SDSL/SHDSL. Если модем DSL интегрирован в устройство доступа, оно целиком отправляется в утиль с появлением нового, не поддерживаемого варианта DSL.

Поэтому следует точно определить, какие приложения и на каком временном интервале будут поддер-живаться устройством, и в соответствии с этим выбрать технологию DSL. Услуги Triple Play («три в одном» — передача данных, видео и голоса) по технологии VDSL пока предназначаются больше для рынка домашних пользователей — в деловой области этот пока самый быстрый вариант DSL (от 50 до 70 Мбит/с в нисходящем потоке) почти не используется. В Германии маршрутизаторы ADSL должны отвечать критериям сертификации Deutsche Telekom, определенным в руководствах U-R2 (на сегодняшний день — в версии 7.0).Поскольку этот оператор предоставляет свои каналы большей части немецких провайдеров услуг Internet, такая сертификация особенно важна.

Тем, кто не хочет быть привязанным к технологии доступа, рекомендуется применять маршрутизаторы DSL, которые помимо интерфейса глобальной сети для определенной технологии DSL обладают одним или несколькими свободно конфигурируемыми портами глобальной (локальной) сети. В большинстве случаев речь идет об интерфейсах Ethernet на 10/100 Мбит/с. С их помощью можно подсоединить любой широкополосный модем. Если же они не используются в глобальной сети, то конфигурируются как порты локальной сети. Дополнительные порты глобальной сети пригодятся для повышения производительности и отказоустойчивости. В этом контексте очень важна поддержка виртуальных сетей и балансировки нагрузки. Разумеется, в случае устройств, предназначенных для небольших и домашних офисов, такая гибкость встречается редко —чаще всего в устройствах предусмотрено четыре порта коммутатора для подключения к локальной сети, а также порт для широкополосной глобальной сети. Иногда устройства предлагают еще доступ к глобальной сети по ISDN. При отказе канала DSL можно построить временное низкоскоростное соединение (до 128 Кбит/с за счет объединения двух каналов ISDN-B).

БЕСПРОВОДНАЯ СЕТЬ В ПРИДАЧУ

В области небольших и домашних офисов очень популярны маршрутизаторы DSL с интегрированной точкой беспроводного доступа. Благодаря прогрессу в развитии технологии беспроводных сетей в отношении производительности и безопасности применение соответствующим образом оснащенных устройств сегодня считается гораздо менее критичным, чем год-полтора назад. Уже подготовлены два стандарта 802.11 b/g и a/h, где предусматривается использование скорости передачи данных до 54 Мбит/с.

Многие производители дополнительно увеличивают мощность устройств, главным образом при помощи технологии множественного ввода/вывода (Multiple Input, Multiple Output, MIMO), но иногда прибегают и к собственным методам. Поскольку такие устройства в большинстве своем применяются в качестве одиночных точек доступа, несовместимость с нестандартными решениями не влечет за собой тяжелых последствий несмотря на то, что у MIMO есть множество различных реализаций, которые вместе не работают. Однако MIMO помимо производительности повышает и стабильность передачи. Благодаря высокоскоростному стандарту беспроводных сетей 802.11n технология MIMO станет интегрированной составной частью беспроводных сетей, которые в результате смогут предложить скорость передачи до 500 Мбит/с. Появления окончательного варианта стандарта ожидают лишь в 2008 г., но за некоторое время до этого начнут выпускаться «достандартные» продукты, которые можно будет привести в соответствие с ним путем обновления микропрограммного обеспечения.

Для обеспечения безопасности встроенная точка беспроводного доступа должна поддерживать по меньшей мере протокол беспроводного защищенного доступа (Wi-Fi Protected Access, WPA), а еще лучше WPA2 или 802.11i. Они позволят провести аутентификацию по стандарту 802.1x, а также реализовать мощные методы шифрования (3DES, AES, RC4 и др.). В идеальном случае WPA и WPA2 активируются на заводе.

VOIP И ТЕЛЕКОММУНИКАЦИОНАЯ ФУНКЦИОНАЛЬНОСТЬ

В небольших офисных средах с количеством сотрудников не более десяти оснащенные соответствующим образом маршрутизаторы DSL могут использоваться для управления телефонным трафиком — либо исключительно по VoIP через порт DSL, либо в гибридном виде по стационарной сети (порт ISDN). Последний вариант более надежен. Со стороны абонента маршрутизатор DSL должен поддерживать необходимое количество аналоговых портов и/или портов ISDN для подключения имеющихся традиционных оконечных устройств. Такие удобные возможности, как переключение между вызовами, сообщение об ожидающем вызове, перевод звонка, отображение вызывающих номеров или поддержка конференции с тремя участниками, зачастую реализуются лишь с помощью сравнительно дорогих телефонов ISDN. Для передачи голоса по IP через порт DSL не должен быть нужен включенный персональный компьютер.

Если для телефонного разговора по Internet маршрутизатор DSL должен построить соединение с провайдером VoIP, то в качестве шлюза уровня приложений и для обеспечения безопасности соединения по глобальной сети с провайдером SIP понадобится посредник с поддержкой протокола инициирования сеансов (Session Initiation Protocol, SIP). Он следит за процессом сигнализации между IP-телефоном и провайдером SIP и выполняет необходимую разблокировку трансляции сетевых адресов (Network Address Translation, NAT) и брандмауэра на время коммуникации, причем в идеальном случае —
динамически. Когда, к примеру, приходится пользоваться услугами более чем одного провайдера SIP, требуемое для этого конфигурирование можно производить на маршрутизаторе через посредника.

Теперь и в Европе, где традиционно доминировал стандарт DECT, медленно, но верно входят в моду беспроводные телефоны на базе беспроводных сетей. При этом вызываемой станцией становится маршрутизатор DSL с точкой беспроводного доступа, если он поддерживает спецификации Wi-Fi Multimedia (WMM), или, иначе говоря, стандарт IEEE 802.11e. В таком случае качество услуг с ин-теллектуальным распределением ресурсов пропускной способности и назначением приоритетов услуг должно обеспечиваться в реальном времени. На рынок активно выходят беспроводные телефонные трубки для связи по VoIP в беспроводных сетях — в том числе в виде двухрежимных устройств для беспроводных сетей и GSM/UMTS.

Благодаря наличию порта USB маршрутизатор DSL превращается в сервер после интеграции в него соответствующего программного обеспечения. Таким образом, скажем, подключенные к порту USB жесткие диски и принтеры можно сделать доступными для всех пользователей. В любом случае объем передаваемых данных значительно увеличивается, поэтому в качестве адаптера хоста нужен порт USB версии 2.0.

ФУНКЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Ни в коем случае нельзя экономить на встроенных функциях обеспечения безопасности. Так, следует гарантировать преобразование адресов между локальной и глобальной сетями, а также на уровне сети (трансляция сетевых адресов — Network Address Translation, NAT) и на уровне портов (трансляция адресов портов — Port Address Translation, PAT). Безоговорочно необходим интегрированный брандмауэр с контекстной проверкой пакетов (Stateful Packet Inspection, SPI) для интерпретации статуса отдельно взятого соединения и постоянного контроля за ним.

Виртуальные частные сети (Virtual Private Network, VPN) представляют интерес прежде всего в случае использования маршрутизаторов на предприятиях, поэтому в корпоративной области устройства доступа нередко называют еще и маршрутизаторами VPN. Поддержка VPN является важным аспектом и при использовании маршрутизаторов DSL в небольших и домашних офисах, однако, скорее, не в качестве реального терминального пункта, а «лишь» как транзитного узла при передаче. Однако в некоторых случаях подобные маршрутизаторы DSL выполняют функцию терминального пункта для виртуальной частной сети и в домашних малых офисах.

В такой ситуации необходима поддержка протоколов IPSec. Он определяет ряд надежных способов аутентификации и задает методы шифрования, чтобы передаваемый по туннелю трафик невозможно было прочитать. Для решения задач аутентификации должны применяться алгоритмы дайджестов сообщений (Message Digest 5, MD5) и надежного хэширования (Secure Hash Algorithm 1, SHA-1), а для шифрования — методы 3DES и AES с ключом длиной в 168/256 бит.

Однако IPSec требует очень высокого быстродействия процессора, что для устройств рассматриваемого вида не свойственно. Если необходима функция поддержки виртуальных частных сетей, то рекомендуется подробно изучить технические характеристики процессора. Аппаратные ускорители, которыми зачастую оснащаются маршрутизаторы VPN для предприятий, практически отсутствуют на рынке SOHO. Предоставление ключей должно производиться не только по технологии предварительно выданных ключей (Pre-Shared Key, PSK), но и посредством сертификатов. Последние позволяют строить инфраструктуры с открытым ключом (Public Key Infrastructure, PKI), которыми, в отличие от PSK, значительно проще управлять.

ЗАКЛЮЧЕНИЕ

Термин «интегрированное устройство доступа», безусловно, куда лучше подходит для маршрутизатора доступа, чем «маршрутизатор DSL». Однако покупателю никогда не следует забывать о том, что жизненный цикл устройств для небольших или домашних офисов при подключении по определенной технологии DSL в большинстве случаев значительно короче, чем у устройств, предназначенных для предприятий, где обычно устанавливается отдельный модем доступа. Вопрос о приобретении следует рассматривать именно с этой точки зрения.

Штефан Мучлер — ведущий корреспондент журнала LANline.


© AWi Verlag


Телекоммуникационные функции и обеспечение безопасности в маршрутизаторах DSL

Функции обеспечения безопасности в маршрутизаторах DSL для небольших и домашних офисов с поддержкой передачи по IP и виртуальных частных сетей, на наличие которых следует обращать внимание при выборе:

  • трансляция сетевых адресов и адресов портов (NAT/PAT);
  • брандмауэр с контекстной проверкой (SPI);
  • фильтрация контента;
  • идентификация вызывающей линии (Calling Line Identification, CLID), обратный звонок (Сallback);
  • обеспечение качества услуг (Quality of Service, QoS);
  • фильтрация пакетов IP по различным параметрам, таким, как отправитель, получатель, порт и т. д. (списки доступа);
  • централизованная проверка прав доступа на сервере RADIUS (аутентификация по протоколу PPP или по имени пользователя);
  • поддержка серверов TACACS для аутентификации, авторизации и расчетов с пользователями (Authentication, Authorization, Accounting, AAA);
  • формирование сегментов виртуальной локальной сети (VLAN);
  • IPSec для виртуальных частных сетей с шифрованием при длине ключа 256 бит (AES, 3DES, DES, CAST, Blowfish, Twofish);
  • передача динамического IP-адреса по каналу ISDN-D или ISDN-B (обратный звонок IPSec);
  • проверка достижимости конечной точки туннеля (IPSec Dead Peer Detection, DPD);
  • динамическая DNS/динамическая VPN для поддержки динамических IP-адресов;
  • предварительно выданные ключи и поддержка сертификатов X.509;
  • для IPSec — поддержка PKI, пропуск NAT, протокол сжатия данных IP (IPComp), RADIUS, протокол туннелирования второго уровня (Layer 2 Tunneling Protocol, L2TP) для ATM, Ethernet и PPP.

Поделитесь материалом с коллегами и друзьями