Функция роутера в локальной сети

Маршрутизатор — ключевой элемент в организации домашней или корпоративной сети. Помимо своей основной функции это устройство может выполнять массу других весьма полезных задач. Фильтрация трафика, организация работы IPTV, сбор статистики и многое другое. Мы подробнее расскажем о полезных функциях в вашем роутере, которые вы могли упустить из виду. 

Переназначение WAN на LAN-порт

Гроза — одна из самых частых причин выхода из строя роутеров. В некоторых случаях поломка ограничивается только одним портом — WAN, к которому и подключается интернет-кабель. Решить эту проблему можно достаточно просто даже без разбора конструкции. В большинстве роутеров вы можете переназначить WAN на любой другой LAN-порт. Благодаря этому маршрутизатором снова можно пользоваться в полной мере. 

Делается это в веб-интерфейсе устройства. Вы можете выбрать, какой именно из LAN-портов будет выполнять роль WAN. С учетом того, что у большинства пользователей всегда есть свободный порт, эта функция поможет сэкономить на покупке нового маршрутизатора. Как правило, такая функция называется «зеркалированием», «перенаправлением» или «виртуальным портом». 

Функционал USB-порта

Некоторые модели роутеров оснащаются одним или даже двумя USB-портами. Не обязательно, чтобы устройство было из высокой ценовой категории — в магазинах можно найти и бюджетные модели с этой конструктивной особенностью. 

USB может выполнять одну из нескольких функций:

• Подключение съемных носителей. Многие не знают, но к роутеру легко подключить флешку или даже полноценный HDD через соответствующую док-станцию. Благодаря этому все устройства в сети будут иметь доступ к информации с носителя. При этом вам не придется мучиться с организацией доступа. 
• Использование 3G/4G модема или смартфона. Если у вас пропал Интернет, то можно воспользоваться мобильной сетью. Через USB можно подключить модем или телефон, обеспечив выход в сеть всем устройствам в домашней локальной сети.

• FTP-сервер. Его также можно организовать через USB-порт маршрутизатора, при этом доступ к серверу будут иметь все пользователи сети, а при дополнительных настройках можно организовать ограничение прав и доступ из вне. Такой подход позволяет сэкономить пространство на компьютере, поскольку FTP-сервер будет непосредственно на съемном USB-накопителе. 
• Подключение сетевого принтера. Что делать, если у вас есть несколько компьютеров, которым необходимо организовать доступ к принтеру? Совсем не обязательно делать подключение по LAN — воспользуйтесь USB на самом роутере. При этом доступ к принтеру будут иметь даже ноутбуки, подключенные по Wi-Fi.

• Подключение веб-камеры. На некоторых роутерах через USB можно настроить трансляцию с веб-камеры, которая будет доступна всем пользователям в сети.

Если вы все-таки решили взять роутер с USB, то обратите внимание на несколько моментов. Во-первых, все вышеописанные функции маршрутизатор должен поддерживать программно. Например, наличие USB еще не гарантирует, что вы сможете сделать FTP-сервер. Во-вторых, рекомендуем заранее ознакомиться со списком совместимых модемов и максимальным объемом подключаемых накопителей. Например, старые роутеры не работают с дисками или флешками от 1 ТБ.  

Функция автозагрузки и торрента

Наличие USB-порта открывает еще одну важную функцию — автозагрузка. Суть в том, что маршрутизатор можно запрограммировать на скачивание файла или торрента, после чего отключить компьютер. Главное преимущество — вы можете поставить скачиваться объемные данные на ночь и при этом не гонять впустую ПК или ноутбук, которые подключены к сети. Нужный вам файл в итоге загрузится на подключенный USB-носитель. Как правило, режим «оффлайн-загрузки» можно включить в разделе настроек USB. 

В расширенных настройках можно задать ограничение скорости, расписание, а также другие параметры. При этом скачанные файлы могут быть доступны сразу всем устройствам в домашней сети. 

Встроенный торрент-клиент также пригодится в том случае, если вы планируете вести какую-либо раздачу круглосуточно. Тогда у вас не будет необходимости все время держать компьютер включенным. 

На некоторых моделях может быть вшитое ограничение на скорость скачивания торрентов, чтобы обеспечить стабильную работу устройства. 

Функция WPS

Можно ли подключить устройство к Wi-Fi, если вы забыли пароль и не хотите лезть в веб-интерфейс? Легко — достаточно воспользоваться WPS (Wi-Fi Protected Setup). Пользователям нужно нажать соответствующую кнопку на обоих устройствах, после чего произойдет сопряжение. Мобильные гаджеты при включении WPS могут подключаться к Wi-Fi автоматически. 

В некоторых  роутерах для подключения через WPS нужно ввести PIN. Посмотреть код или полностью отключить его можно в настройках маршрутизатора. 

Кнопка WPS может быть одновременно и RESET, поэтому перед использованием почитайте в инструкции, как именно ее нужно нажимать 

Функции репитера, точки доступа и беспроводного моста

Одного роутера очень часто не хватает для покрытия большой площади, особенно, если вы живете в большом частном доме или многокомнатной квартире. Если у вас дома завалялся второй роутер, то с большой вероятностью из него можно сделать полноценною точку доступа. 

Эти режимы могут быть двух типов:

• Режим точки доступа. Второй роутер подключается посредством LAN к первому и становится дополнительной точкой, к которой могут подключаться пользователи. Пароль и SSID при этом не меняется. 
• Режим моста WDS. В отличие от предыдущего варианта, два роутера соединяются между собой через Wi-Fi, поэтому второе устройство должно находиться в зоне покрытия первого. Подойдет для тех, кто не хочет или не может тянуть сетевой кабель между маршрутизаторами. 

Все настройки выполняются в веб-интерфейсе. На некоторых моделях роутеров для использования режима точки доступа придется задать ip-адрес вручную и отключить DHCP-сервер. 

Функция ограничения доступа

Практически все современные маршрутизаторы имеют родительский контроль. Это крайне полезная функция, если у вас есть дети. В настройках можно указать список запрещенных адресов и для каких конкретно устройств будут недоступных эти сайты. 

Это намного удобнее и быстрее, чем настраивать блокировки на каждом отдельном устройстве. Также родительский контроль будет полезен и в корпоративном секторе, если нужно ограничить сотрудникам доступ к развлекательному контенту. 

Функции IPTV и DNLA

Если вас не устраивает список доступных каналов на телевизоре или вы хотите смотреть с удобством ТВ на компьютере, то будет полезна функция IPTV. Роутер может транслировать телесигнал как по кабелю, так и через Wi-Fi. Как правило, достаточно только разрешить мультикаст (многоадресную маршрутизацию) в настройках роутера. В IPTV пользователи могут настроить список каналов на свой вкус. 

Еще одна полезная функция — медиа-сервер посредством Digital Living Network Alliance (DNLA). Используя подключенный к роутеру USB-накопитель, вы можете создавать библиотеку фильмов или музыки. Доступ к ней будут иметь все гаджеты в сети. Это актуально, когда у вас есть несколько смарт-устройств. 

Функция приоритета трафика QoS

С появлением умных вещей к домашнему Wi-Fi подключается все больше устройств. Нередко они доставляют небольшие неудобства, отбирая весомую долю трафика. Quality of Service позволит выставить приоритеты, тем самым распределяя пропускную способность. Роутер будет отдавать большую пропускную способность конкретным направлениям с учетом действующих приоритетов. 

 Задать приоритеты обычно можно по протоколам или конкретным приложениям. 

Съемная антенна

На многих W-Fi роутерах конструкция позволяет заменить антенну, причем на модель с другим коэффициентом усиления. Это открывает дополнительные возможности в создании домашней беспроводной сети. Например, на территории частного дома можно организовать связь между двумя удаленными роутерами, если они находятся в прямой видимости друг друга. Для этого достаточно выбрать антенну с соответствующим коэффициентом усиления — 8-9 dbi.

Контроль подключенных устройств

Как узнать, не подключился ли к вашему Wi-Fi сосед или другой посторонний? На самом деле никаких специализированных программ не потребуется — все необходимое уже есть в веб-интерфейсе вашего маршрутизатора. Для этого достаточно перейти в раздел «Беспроводные сети» и найти соответствующее меню. Роутер покажет текущий IP и MAC-адрес подключенных устройств, а также по возможности их наименование. Это позволит быстро найти воришку трафика. 

MAC-адреса своих устройств вы всегда сможете узнать в настройках. В ноутбуках — через свойства беспроводного адаптера, а на мобильных устройствах — в свойствах Wi-Fi. 

6.1. Маршрутизаторы в сетевых технологиях

Объединение нескольких локальных сетей в глобальную ( распределенную, составную ) WAN—сеть происходит с помощью устройств и протоколов сетевого Уровня 3 семиуровневой эталонной модели или уровня
межсетевого взаимодействия четырехуровневой модели TCP/IP. Если
LAN объединяют рабочие станции, периферию, терминалы и другое
сетевое оборудование в одной аудитории или в одном здании, то WAN
обеспечивают соединение LAN на широком географическом пространстве. В составную распределенную сеть (internetwork, internet) входят
как локальные сети и подсети (subnet), так и отдельные пользователи.
Устройствами, объединяющими LAN в составную сеть, являются:

• маршрутизаторы (routers);
• модемы;
• коммуникационные серверы.

Наиболее распространенными устройствами межсетевого взаимодействия сетей, подсетей и устройств являются маршрутизаторы. Они
представляют собой специализированные компьютеры для выполнения
специфических функций сетевых устройств. В лекции 4
было показано, что маршрутизаторы используются, чтобы сегментировать
локальную сеть на широковещательные домены, т. е. являются устройствами LAN, но они применяются и как устройства формирования глобальных
сетей. Поэтому маршрутизаторы имеют как LAN-, так и WAN-интерфейсы.
Маршрутизаторы используют WAN-интерфейсы, чтобы связываться друг с
другом, и LAN-интерфейсы – для связи с узлами (компьютерами), например через коммутаторы. Поэтому маршрутизаторы являются устройствами
как локальных, так и глобальных сетей. Маршрутизаторы являются также
основными устройствами больших корпоративных сетей.

На
рис.
6.1 приведен пример того, как маршрутизаторы А, В и С
объединяют несколько локальных сетей (локальные сети № 1, № 2,
№ 3) в распределенную (составную) сеть. Поэтому маршрутизаторы имеют
интерфейсы как локальных, так и глобальных соединений. К локальным
сетям, созданным на коммутаторах, маршрутизатор присоединен через
интерфейсы, которые на
рис.
6.1 обозначены через F0/1, что означает:
интерфейс Fast Ethernet, слот 0, номер 1. Глобальные соединения на
рис.
6.1 представлены последовательными или серийными (serial) интерфейсами S0/1, S0/2. Через такой же последовательный интерфейс реализовано
соединение составной сети с сетью Интернет (Internet). Подобная структурная схема, включающая несколько последовательно соединенных
маршрутизаторов, характерна для многих корпоративных сетей.

В большинстве случаев соединение маршрутизатора локальной сети
с сетью Интернет производится через сеть провайдера. Терминальное
(оконечное) оборудование (Data Terminal Equipment – DTE ), к которому
относится и маршрутизатор, подсоединяется к глобальной сети (или к
сети провайдера) через канальное коммуникационное оборудование (Data
Communications Equipment, или Data Circuit-Terminating Equipment, – DCE ). Маршрутизатор обычно является оборудованием пользователя, а
оборудование DCE предоставляет провайдер. Услуги, предоставляемые
провайдером для терминальных устройств DTE, доступны через модем или цифровое устройство согласования с каналом связи (Channel Service
Unit / Data Service Unit – CSU/DSU), которые и являются оборудованием
DCE (
рис.
6.2). Оборудование DCE является ведущим в паре DCE—DTE,
оно обеспечивает синхронизацию и задает скорость передачи данных.

Поскольку маршрутизаторы в распределенных сетях (
рис.
6.1) часто
соединяются последовательно, из двух последовательно соединенных
серийных интерфейсов маршрутизаторов один должен выполнять роль
устройства DCE, а второй – устройства DTE (
рис.
6.3).

Главными функциями маршрутизаторов являются:

• выбор наилучшего пути для пакетов к адресату назначения;
• продвижение (коммутация) принятого пакета с входного интерфейса
  на соответствующий выходной интерфейс.

Таким образом, маршрутизаторы обеспечивают связь между сетями
и определяют наилучший путь пакета данных к сети адресата, причем технологии объединяемых локальных сетей могут быть различными.

Протоколы канального (data link) уровня WAN описывают, как по
сети передаются кадры. Они включают протоколы, обеспечивающие
функционирование через выделенные соединения «точка-точка» и через
коммутируемые соединения. Основными WAN протоколами и стандартами канального уровня являются: High-level Data Link Control (HDLC),
Point-to-Point Protocol (PPP), Synchronous Data Link Control (SDLC),
Serial Line Internet Protocol (SLIP), X.25, Frame Relay, ATM. Основными
протоколами и стандартами физического уровня являются: EIA/TIA-232,
EIA/TIA-449, V.24, V.35, X.21, G.703, EIA-530, ISDN, E1, E3, XDSL, SDH
(STM-1, STM-4 и др.).

Функционируя на Уровне 3 модели OSI, маршрутизаторы принимают
решения, базируясь на сетевых логических адресах (IP-адресах). Для определения наилучшего пути передачи данных через связываемые сети маршрутизаторы строят таблицы маршрутизации и обмениваются сетевой маршрутной
информацией с другими маршрутизаторами. Администратор может конфигурировать статические маршруты и поддерживать таблицы маршрутизации
вручную. Однако большинство таблиц маршрутизации создается и поддерживается динамически, за счет использования протоколов маршрутизации
(routing protocol), которые позволяют маршрутизаторам автоматически обмениваться информацией о сетевой топологии друг с другом.

Функционирование маршрутизаторов происходит под управлением сетевой операционной системы ( Internetwork Operation System – IOS ),
текущая ( running ) версия которой находится в оперативной памяти RAM
(
рис.
6.4). Помимо текущей версии IOS оперативная память хранит активный конфигурационный файл (Active Configuration File) и таблицы протоколов динамической маршрутизации, выполняет буферизацию пакетов и
поддерживает их очередь, обеспечивает временную память для конфигурационного файла маршрутизатора, пока включено питание.

Загрузка операционной системы IOS в оперативную память обычно
производится из энергонезависимой флэш-памяти ( Flash ), которая является перепрограммируемым запоминающим устройством ( ППЗУ ). После
модернизации IOS она перезаписывается во флэш-память, где может храниться несколько версий. Версию операционной системы можно также
сохранять на TFTP-сервере (
рис.
6.4).

Постоянное запоминающее устройство (ПЗУ – ROM) содержит программу начальной загрузки (bootstrap) и сокращенную версию операционной системы, установленную при изготовлении маршрутизатора. Обычно
эта версия IOS используется только при выходе из строя флэш-памяти.
Память ROM также поддерживает команды для теста диагностики аппаратных средств (Power-On Self Test – POST).

Энергонезависимая (non-volatile) оперативная память NVRAM маршрутизатора является перепрограммируемым запоминающим устройством
(ППЗУ). NVRAM хранит стартовый ( startup ) конфигурационный файл,
который после изменения конфигурации перезаписывается в ППЗУ, где
создается резервная копия ( backup ). Конфигурационные файлы содержат
команды и параметры для управления потоком трафика, проходящим
через маршрутизатор. Конфигурационный файл используется для выбора
сетевых протоколов и протоколов маршрутизации, которые определяют
наилучший путь для пакетов к адресуемой сети. Первоначально конфигурационный файл обычно создается с консольной линии (console) и
помимо памяти NVRAM может сохраняться на TFTP-сервере (
рис.
6.4).
Временное хранение входящих и исходящих пакетов обеспечивается в
памяти интерфейсов, которые могут быть выполнены на материнской
плате или в виде отдельных модулей.

При включении маршрутизатора начинает функционировать программа начальной загрузки bootstrap, которая тестирует оборудование
и загружает операционную систему IOS в оперативную память RAM.
В оперативную память загружается также конфигурационный файл, хранящийся в NVRAM. В процессе конфигурирования маршрутизатора задаются адреса интерфейсов, пароли, создаются таблицы маршрутизации,
устанавливаются протоколы, проводится проверка параметров. Процесс
коммутации и продвижения данных проходит под управлением операционной системы.

6.2. Принципы маршрутизации

Информационный поток данных, созданный на прикладном уровне,
на транспортном уровне «нарезается» на сегменты, которые на сетевом
уровне снабжаются заголовками и образуют пакеты (см.
рис.
1.7,
рис.
1.8).
Заголовок пакета содержит сетевые IP-адреса узла назначения и узла
источника. На основе этой информации средства сетевого уровня –
маршрутизаторы осуществляют передачу пакетов между конечными узлами составной сети по определенному маршруту.

Маршрутизатор оценивает доступные пути к адресату назначения и
выбирает наиболее рациональный маршрут на основе некоторого критерия – метрики. При оценке возможных путей маршрутизаторы используют информацию о топологии сети. Эта информация может быть сконфигурирована сетевым администратором или собрана в ходе динамического процесса обмена информацией между маршрутизаторами, который
выполняется в сети протоколами маршрутизации.

Пакет, принятый на одном ( входном ) интерфейсе, маршрутизатор
должен отправить ( продвинуть ) на другой (выходной) интерфейс (порт),
который соответствует наилучшему пути к адресату. Чтобы передать
пакеты от исходной сети (от источника) до сети адресата (назначения), на
сетевом Уровне 3 маршрутизаторы используют таблицы маршрутизации
для определения наиболее рационального пути.

Процесс прокладывания маршрута происходит последовательно от
маршрутизатора к маршрутизатору. При прокладывании пути для пакета
каждый маршрутизатор анализирует сетевую часть адреса узла назначения, заданного в заголовке поступившего пакета, т.е. вычленяет адрес
сети назначения. Затем маршрутизатор обращается к таблице маршрутизации, в которой хранятся адреса всех доступных сетей, и определяет
свой выходной интерфейс, на который необходимо передать (продвинуть)
пакет. Таким образом, маршрутизатор ретранслирует пакет, продвигая его
с входного интерфейса на выходной, для чего использует сетевую часть
адреса назначения, обращаясь к таблице маршрутизации.

Выходной интерфейс связан с наиболее рациональным маршрутом
к адресату. Конечный маршрутизатор на пути пакета непосредственно
(прямо) связан с сетью назначения. Он использует часть сетевого адреса,
содержащую адрес узла назначения, чтобы доставить пакет получателю
данных.

Процесс ретрансляции пакетов маршрутизаторами рассмотрен на
примере сети, приведенной на
рис.
6.5. Маршрутизаторы в целом сетевого адреса не имеют, но поскольку они связывают между собой несколько
сетей, каждый интерфейс (порт) маршрутизатора имеет уникальный
адрес, сетевая часть которого совпадает с номером сети, соединенной с
данным интерфейсом. Последовательные ( serial ) порты, соединяющие
между собой маршрутизаторы, на рисунке обозначены молниевидной
линией.

Путь от маршрутизатора A к маршрутизатору В может быть выбран:

1. через маршрутизатор С;
2. через маршрутизаторы D и E;
3. через маршрутизаторы F, G и H.

Оценка наилучшего пути производится на основе метрики. Например,
если метрика учитывает только количество маршрутизаторов на пути к
адресату, то будет выбран первый маршрут. Если же метрика учитывает
полосу пропускания линий связи, соединяющих маршрутизаторы, то
может быть выбран второй или третий маршрут при условии, что на этом
пути наиболее широкополосные линии связи.

При выборе первого пути функция коммутации реализуется за счет
продвижения поступившего на интерфейс 1а маршрутизатора A пакета
на интерфейс 2а. Таким образом, пакет попадает на интерфейс 1с маршрутизатора С, который продвинет полученный пакет на свой выходной
интерфейс 3с, т. е. передаст полученный пакет маршрутизатору В.

В процессе передачи пакета по сети используются как сетевые логические адреса (IP-адреса), так и физические адреса устройств (MAC-адреса в
сетях Ethernet). Например, при передаче информации с компьютера Host X
локальной сети Сеть 1, (
рис.
6.6) на компьютер Host Y, находящийся в удаленной Сети 2, определен маршрут через маршрутизаторы A, B, C.

Когда узел Host Х Сети 1 передает пакет адресату Host Y из другой Сети
2, ему известен сетевой IP-адрес получателя, который записывается в заголовке пакета, т. е. известен адрес 3-го уровня. При инкапсуляции пакета в
кадр источник информации Host Х должен задать в заголовке кадра канальные адреса назначения и источника, т. е. адрес 2-го уровня (табл. 6.1).

У передающего узла нет информации об адресе канального уровня
(MAC-адресе) узла назначения Host Y, поэтому Host Х в заголовке кадра
в качестве адреса назначения задаст MAC-адрес входного интерфейса 1а
маршрутизатора A. Именно через этот интерфейс, называемый шлюзом по
умолчанию (Default gateway), все пакеты из локальной Сети 1 будут передаваться в удаленные сети. Однако и этот адрес источнику информации Host
Х не известен. Процесс нахождения МАС-адреса по известному сетевому
адресу реализуется с помощью протокола разрешения адресов Address
Resolution Protocol – ARP, который входит в стек протоколов TCP/IP.

Маршрутизируем и защищаем сеть

Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках «Anti-Spam» доступно:

• «белый список» — «White List», чтобы определять и пропускать полезную почту от доваренных отправителей.
• «черный список» — «Black List» для выявления и обработки спама;
• также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

• улучшено представление информации;
• расширен спектр обнаруживаемых угроз;
• добавлена фильтрацию по URL-адресам и доменам HTTPS;
• добавлен безопасный поиск и блокирование по GeoIP.

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Полезные ссылки

1. Telegram chat Zyxel
2. Форум по оборудованию Zyxel
3. Много полезного видео на канале Youtube
4. Для тех, кто выбирает межсетевой экран
5. Коммутаторы Zyxel L3 серии XGS4600
6. Межсетевой экран VPN ZyWALL VPN1000
7. Межсетевой экран ATP ZyWALL ATP800
8. Фильтрация контента Content Filtering 2.0
9. Zyxel Application Patrol
10. Что такое DNSBL и как туда вам не попасть

Маршрутизатор или коммутатор? Такой вопрос все чаще возникает при построении инфокоммуникационных структур в организациях и на предприятиях различных масштабов. Рекомендации МСЭ-Т и эталонная модель сетевой архитектуры взаимодействия открытых систем (OSI) дают ответ на этот вопрос, достаточно, однозначный. Между тем, разработчики телекоммуникационного оборудования пытаются сделать оборудование универсальным и всемогущим, что и заставляет пользователей задумываться о выгодности приобретения новых многофункциональных устройств. Насколько это оправдано узнаем далее.

Функции маршрутизатора

Основная функция маршрутизатора заключается в считывании и анализе служебной информации пакетов по каждому порту с целью принятия решения о дальнейшем направлении данных по сети.Также на устройство возложены следующие функции:

— создание и ведение таблиц маршрутизации;
— определение маршрутов;
— фильтрация пакетов;
— ведение очередей;
— преобразование сетевых адресов в локальные;
— распределение данных по портам.

В соответствии с сетевой моделью взаимодействия OSI, место маршрутизатора — на сетевом уровне и он призван организовать соединение подсетей в составе единой сети между собой. Применительно к компаниям малого и среднего бизнеса, использование устройств маршрутизации востребовано при организации сетей с требованием по выделению нескольких подсетей и разделению доступа к ним. Например, при организации сети в гостинице маршрутизатор позволяет разграничить доступ администрации и гостей. На предприятиях маршрутизаторы могут объединить несколько локальных сетей и предоставить доступ к сети провайдера, в частности, по разным каналам. При этом подсети будут логически отделены друг от друга.

Функции коммутатора

Что же касается коммутатора, то, во-первых, он призван работать на канальном, т.е. втором уровне согласно модели OSI и, во-вторых, его основная задача — анализ MAC- адреса порта-отправителя и отправка данных на другой порт, при этом таблица коммутации формируется им же самим. Конструктивно коммутатор — это концентратор, работающий как многопортовый мост. Он позволяет сегментировать сеть, предоставлять каждой рабочей станции в подсети канал и выделять полосу пропускания для передачи данных. Коммутатор предоставляет не только доступ пользовательским устройствам к сети, но и может служить устройством агрегирования трафика при передаче в сеть, тем самым, занимая место внутри локальной сети или на ее границе.

Организация локальной сети без такого устройства невозможна, ведь именно он призван подключить пользовательские устройства к глобальной сети. Коммутаторы находят широкое применение в домашних сетях и небольших офисах для совместного подключения нескольких компьютеров к одной линии провайдера, а также востребованы в средних и крупных компаниях для построения каскадных сетевых архитектур, имеющих целью укрупнение (агрегацию) потоков, прежде чем передать их в сеть.

Что отличает маршрутизатор от коммутатора?

Сходство и различия сетевых устройств определяются реализованным функционалом в соответствии с уровнями моделей OSI. Так коммутаторы 3 уровня максимально схожи по функционалу с маршрутизаторами, в то время как коммутаторы уровня доступа работают больше, как концентраторы потоков. Между тем, есть ряд функций, которые присущи только одним. Сравнение устройств представлено в таблице ниже.

Таблица – Функционал сетевого оборудования

• Поддержка интерфейсов

  Маршрутизатор поддерживает различные наборы физических интерфейсов, которые, в свою очередь, реализуют весь функционал физического и канального уровней по передаче данных, т.е. обеспечивают доступ к среде, согласовывают уровни электрических сигналов, реализуют линейное и логическое кодирование, формируют битовые сигналы и осуществляют передачу данных на верхний уровень. Коммутатор является узкоспециализированным устройством и ориентирован на работу в сетях Ethernet, реже АТМ.

• Фильтрация трафика

  Данным функционалом наделены только маршрутизаторы. ПО содержит модуль сетевого протокола, который позволяет выполнять разбор и анализ отдельных полей пакетов и на основе полученной информации принимать решение о дальнейшем пропуске. Более того, интерфейс пользователя позволяет производить настройки его работы. Тем самым, администратор сети имеет право на задание правил пропуска трафика, например, для возможности оградить сеть от стороннего трафика пользователей, не принадлежащих сети предприятия.

• Дифференцированное обслуживание

  При обслуживании в сети разнородного трафика именно функционал маршрутизатора позволяет настроить различные схемы обслуживания, в том числе и приоритетную передачу (функция QoS и поддержка протокола IEEE802.1p). При работе в сильно загруженных сетях это позволяет добиться качественной обработки голосового и видео трафика, что востребовано при работе в приложениях реального времени. Даже 4-х портовый маршрутизатор D-Link серии DVG-5400 в небольших сетях обеспечит и качественную SIP-телефонию, и работу факсимильных устройств, без снижения производительности LAN-сети.

  Коммутаторы Cisco для корпоративных сетей

• Производительность

  Коммутатор работает, оперируя такими параметрами, как время ожидания и надежность передачи. Соответственно, отличается высокой производительностью. Маршрутизатор отслеживает время жизни пакета и на основании его значения может управлять скоростью передачи данных, отбрасывая или пропуская пакеты в сеть. Просмотр и содержимого пакета, и таблиц маршрутизации существенно замедляют обработку данных, что не лучшим образом складывается на производительности устройства.

• Конфигурирование и настройка

  Возможность конфигурирования параметров устройств и настройки режимов работы реализованы в управляемых коммутаторах. Ряд таких моделей, могут работать не только на канальном втором уровне, но и на сетевом. Здесь доступны управление доступом и настройка VLAN, агрегация и зеркалирование портов. То же самое касается и маршрутизаторов, сервис доступен для управляемых устройств. Здесь возможна настройка VPN-каналов и средств безопасности.

• Полоса пропускания

  Настройка полосы пропускания реализована в управляемых моделях коммутаторов и в маршрутизаторах, поддерживающих сервис QoS. По умолчанию, в сетевых устройствах Ethernet она будет равномерно распределяться между всеми активными пользователями сети.

• Количество портов

  Для возможности увеличения числа портов коммутаторы должны поддерживать функцию стекирования. При этом если максимальное количество и ограничено характеристикой устройства, например до 4 устройств в стеке, следует разумно подходить к полосе пропускание. В сетях Ethernet она разделяется между всеми пользователями. Для маршрутизаторов наращивание портов актуально при организации зоны DMZ и подключения сетевых периферийных устройств, например, принтеров или сетевых хранилищ данных.

Гибридные сетевые устройства

• Маршрутизирующий коммутатор – это некий компромисс между маршрутизатором и коммутатором, когда от первого оставлены только основные функции, а пакеты обрабатываются в одном модуле. При этом процессы коммутации и маршрутизации логически распределены по уровням, т.е. сетевому и канальному. Для устройства характерны высокая производительность при низкой стоимости владения. Оптимально для использования в корпоративных и ISP сетях.
• Коммутирующий маршрутизатор – работает на сетевом уровне и используется для снижения нагрузки на модули расчета маршрута. За счет известной по более ранним операциям информации о получателе, пакеты пересылаются без просмотра таблиц маршрутизации. Коммутирующие маршрутизаторы Cisco имеют функцию переключения устройства в режим только коммутатор или маршрутизатор. За счет этого они являются универсальными устройствами для корпоративных сетей, магистралей ISP и WAN-сетей.
• Коммутатор потоков — при обнаружении продолжительных потоков на сетевом уровне, функции маршрутизации отключаются, и осуществляется коммутация на канальном уровне. За счет этого удается снизить время обработки данных и увеличить производительность платформы. Эффективны устройства на магистралях ISP и WAN-сетях.

Стоимость владения

Аппаратная реализация устройств коммутации существенно дешевле, чем маршрутизаторов. Соответственно и цена коммутаторов всегда ниже. Сравнивая по стоимости одинаковые по функциональности маршрутизаторы и коммутаторы сетевого уровня, последние также окажутся несколько дешевле. Коммутатор D-Link DES-1008 на 8 портов 100 Мб/с можно приобрести всего за 800р, в то время как маршрутизатор на 4 порта DVG-5402SP того же производителя обойдется в 2 800-3 000р. Для гибридных моделей устройства на базе маршрутизаторов оказываются по цене дороже коммутаторных платформ. К примеру, стоимость владения маршрутизирующего коммутатора DES серии 3200 на 24 порта составляет 10 000-13 000р, при этом маршрутизатор Huawei серии AR 1200 только на 8 LAN портов обойдется в сумму около 40 000р. Наиболее дешевый способ организации сетей — это использование коммутаторов внутри и на границе сети, с установкой маршрутизатора на стыке с магистралью. Например, можно воспользоваться маршрутизатором Cisco RV082 с двумя магистральными портами и на 8 LAN портах организовать подключение до 50 пользователей посредством коммутаторов доступа Cisco SB SF100D-05. Стоимость владения такой сети не превышает 50 000 р.

Вывод

Может ли маршрутизатор работать в роли коммутатора? Да, может, но это будет дорого стоить! Может ли коммутатор выполнять роль маршрутизатора? Нет, не может, даже если он будет работать на сетевом уровне. Компромисс для тех, кто хочет универсальное устройство, но при этом не заботится о цене — маршрутизаторы с функцией коммутации.

Подобрать оптимальные по функционалу и цене маршрутизаторы и коммутаторы можно в интернет-магазине .ls computers. Всегда в наличии недорогие коммутаторы доступа Zyxel, стекируемые коммутаторы D-Link и маршрутизаторы Cisco, отличающиеся надежностью и функциональностью. Являясь официальным партнером таких компаний, как Cisco, D-Link, Zyxel, NetGear, HP и многих других, мы предлагает только сертифицированное оборудование и с последующим гарантийным обслуживанием. Позвоните нашим менеджерам по телефону 8 800 333 23 70 или оставьте заявку на сайте. Они ответят на все ваши вопросы по подбору и приобретению сетевого оборудования!

Источник: http://www.ls-comp.ru/marshrutizator ili kommutator/