В современных моделях бизнеса нередко используется территориально-распределённая офисная структура. В связи с этим возникает необходимость объединения всех филиалов и головного офиса в общую локальную сеть посредством интернета. Как следствие, неизбежна проблема организации защищённого канала передачи данных по публичной сети.
ZyXEL P-334 EE |
Маршрутизаторы обеспечивают межсетевое взаимодействие, сбор информации о топологии межсетевых соединений, изоляцию трафика отдельных частей сети друг от друга, выбор оптимального маршрута и даже дают возможность связывать между собой подсети, построенные с использованием различных технологий. И это далеко не полный перечень функций этих устройств.
Неудивительно, что на рынке маршрутизаторов предлагается огромное количество моделей, сочетающих в себе самые разные возможности. Сегментировать эти устройства очень непросто, поскольку, как правило, речь идёт не просто о маршрутизаторе в “чистом” виде, а о некотором комплексе с определённым набором интегрированных функций. Иногда сложно сказать, какие функции в нём первичны — маршрутизации, IP-АТС или межсетевого экрана.
С некоторой долей условности в настоящее время можно выделить несколько классов маршрутизаторов: для небольших компаний и домашних пользователей, корпоративных сетей, провайдеров и операторов. Особняком стоят различные специализированные решения с функциями маршрутизации — это коммутаторы третьего уровня и приложений, межсетевые экраны, серверы удалённого доступа. Развитие технологий подталкивает производителей создавать и совершённо новые типы маршрутизаторов, например беспроводные шлюзы.
Маршрутизаторы начального уровня
Asotel Vector 2900V |
ZyXEL P-334 EE — типичный пример маршрутизатора такого класса, ориентированного на небольшие офисы, использующие кабельное или DSL-подключение к интернету. Не секрет, что широкополосный доступ к Сети в последнее время набирает популярность, в десятки раз более высокие скорости передачи данных по сравнению с коммутируемым подключением по телефонной линии (dial-up) сегодня стали насущной необходимостью даже для сегмента SOHO. Высокоскоростные подключения позволяют загружать потоковое видео, организовывать видеоконференции и работать с мультимедиа-приложениями.
В ZyXEL P-334 EE встроен 4-портовый коммутатор для построения локальных сетей по технологии Ethernet, поддерживающих скорости передачи данных 10/100 Мбит/с. Интегрированный DHCP-сервер обеспечивает автоматическое назначение IP-адресов всем компьютерам в сети. Построенный на одной аппаратной платформе с ZyXEL P-334 EE его полный аналог — Zy-XEL P-334W EE — дополнительно содержит точку беспроводного доступа стандарта IEEE 802.11g. Обе модели позволяют организовать защищённое подключение к корпоративной сети через интернет.
В арсенале 3Com имеется сравнительно простой в использовании маршрутизатор с функциями защиты — OfficeConnect Secure Router. Его можно использовать в филиалах офисов, требующих не более двух туннелей VPN на основе протокола IPSec. Маршрутизатор поддерживает шифрование по алгоритмам DES/3DES, АЕS-128 и обеспечивает защиту данных за счёт анализа пакетов, предотвращая таким образом несанкционированный доступ в сеть и блокируя DoS-атаки (Deny of Service). В Secure Router реализован механизм соблюдения политик использования интернет-ресурсов, позволяющий сократить нецелевую эксплуатацию канала.
Allied Telesyn AT-AR410 |
Маршрутизатор D-Link DI-804HV позволяет строить VPN-сети с поддержкой до 40 туннелей IPSec, поэтому его чаще используют для подключения небольших удалённых офисов к центральному отделению компании по VPN. На основе протокола VPN маршрутизатор создает виртуальный канал для обмена почтой или данными. По сути, речь идёт о менее затратном способе соединения территориально разнесённой структуры компании в единую сеть в сравнении с технологией точка-точка по выделенным каналам связи.
Помимо широкополосного WAN-интерфейса 10/100 Мбит/с для подключения кабельного или DSL-модема, в составе DI-804HV предусмотрен порт RS-232 для организации резервного канала связи по коммутируемой аналоговой телефонной линии или ISDN. Для LAN-подключений у DI-804HV есть 4-портовый коммутатор. Маршрутизатор имеет в своем составе 32-битный RISC-процессор и оперативную память, предназначенные для решения задачи маршрутизации в реальном времени наряду с DES/3DES-шифрованием данных.
*При условии регистрации на сайте с указанием серийного номера модели |
Маршрутизатор обладает неплохими возможностями фильтрации web-контента, в числе которых блокирование доступа к сайтам по ключевым словам или IP-адресу, запрет автоматической загрузки Java-апплетов, элементов ActiveX, cookies и просто файлов различных типов, временные ограничения доступа в интернет. Vector 2900V поддерживает до 8 уровней приоритетов по захвату полосы пропускания и совместим с распространёнными системами мгновенного обмена сообщений — MSN Messenger, NetMeeting, Yahoo Messenger, ICQ. Управление маршрутизатором можно осуществлять по протоколам Telnet, НТТР или с помощью командной строки.
Planet VRT-311 также поддерживает организацию VPN-соединений на основе протокола IPSec с поддержкой до 100 туннелей. Устройство содержит WAN-интерфейс 10/100 Мбит/с для подключения кабельного или хDSL-модема, 3-портовый коммутатор для LAN-соединений с автоопределением MDI/MDI-X и автосогласованием, а также отдельный аппаратный DMZ-порт для дополнительной защиты серверов и рабочих станций в сети. Маршрутизатор поддерживает 56-битный стандарт шифрования DES, 168-битный 3DES, кодирование АЕS, идентификацию заголовка и управление доступом.
Технология Stateful Inspection обеспечивает VRT-311 полный контроль на уровне приложения без нарушения модели клиент-сервер. Она предусматривает перехват пакета на сетевом уровне, дальнейшее извлечение необходимой для принятия решения информации со всех семи уровней сетевой модели и сохранение полученных данных в динамических таблицах для проверки очередных пакетов. Описанный подход нацелен, в первую очередь, на повышение уровня безопасности. В маршрутизатор встроена функция защиты от DoS-атак.
Маршрутизаторы для сегмента SME
3Com Router 3012 |
Маршрутизатор Allied Telesyn AT-AR410 целиком поддерживает мульти - протокольную маршрутизацию третьего уровня и позволяет организовывать виртуальные сети (VLAN) на 4-портовом коммутаторе 10/100 Мбит/с. AT-AR410 имеет функции межсетевого экрана и инструменты защиты от DoS-атак, может работать с VPN по протоколу IPSec. Также AT-AR410 предусматривает подключение карты аппаратного ускорителя компрессии и/или шифрования по стандартам DES/3DES на Frame Relay и РРР-соединениях.
В конструкции маршрутизатора имеется специальный слот для подключения различных типов интерфейсных карт для различных типов высокоскоростных под-ключений — Е1/T1, синхронных V35/X21, ISDN BRI/PRI и Ethernet. Такой принцип создания конфигурации, отвечающей конкретным нуждам компании, делает инвестиции более защищёнными, исключая необходимость полной замены маршрутизатора при появлении новых технологий передачи данных. Достаточно будет только установить соответствующую карту, причём Allied Telesyn AT-AR410 даже автоматически её распознает.
D-Link DFL-700 — это, прежде всего, межсетевой экран, хотя и поддерживает некоторые функции маршрутизации. Не удивительно, что в DFL-700 разработчики основной акцент сделали на реализации всевозможных функций безопасности. Устройство поддерживает анализ пакетов на всех уровнях, вплоть до уровня приложений, есть система обнаружения вторжений (IDS) с обновляемой автоматически или вручную базой сигнатур, отдельный DMZ-порт для поддержки локальных, почтовых и web-серверов. DFL-700 достаточно просто устанавливается и настраивается через web-интерфейс.
D-Link DFL-700 |
В состав Cisco 871 входит один WAN-порт и 4-портовый управляемый коммутатор на 10/100 Мбит/с с автоматическим выбором MDI/MDX и возможностью создания не более трёх виртуальных сетей стандарта 802.1q. Есть модуль аппаратного шифрования DES/3DES для протокола IPSec с поддержкой до 10 одновременных туннелей. Вся линейка маршрутизаторов Cisco 87х содержит аналоги Cisco 87хW с беспроводной функциональностью Wi-Fi 802.11b/g.
Модель Cisco 871 поддерживает протоколы IPv6, BGP, PIM, Multigroup HSRP, включая систему предотвращения атак (IPS) и фильтрацию контента по URL. Поддержка QoS позволяет подключать к маршрутизатору IP-телефоны и, таким образом, экономить на услугах голосовой телефонии в пределах корпоративной сети. Специализированное ПО Remote Call Center имеет адаптированные для удалённого взаимодействия функции и, по сути, расширяет возможности Cisco IP Contact Center.
Маршрутизаторы с расширенной функциональностью
Маршрутизаторы для среднего и крупного сегмента бизнеса отличаются, прежде всего, высокой производительностью и большим количеством одновременно поддерживаемых VPN-туннелей, высокой степенью защищённости, наличием механизмов создания резервных каналов связи. Нередко это модульные решения, позволяющие гибко подстраивать конфигурацию к требованиям отдельно взятой сети. Обычно аппаратные платформы таких продуктов рассматривают в совокупности с идущим в комплекте ПО, так как оно в немалой степени определяет конечную функциональность и возможности продукта.
Cisco 871 |
Маршрутизаторы семейства 3Com Router 30xx содержат ряд механизмов обеспечения безопасности, в том числе межсетевые экраны и виртуальные частные сети, а также обеспечивают передачу трафика Systems Network Architecture (SNA) с использованием протокола Data Link Switching (DLSw), поддерживают протокол DHCP и возможность установки резервных коммутируемых соединений по запросу для каналов территориально-распределённых сетей. Устройства реализуют разнообразные функции QoS — виртуальные локальные сети, мосты, протокол VRRP и многоадресный IP-трафик.
Линейка маршрутизаторов Cisco 18xx пришла на смену популярной линейке предыдущего поколения — 17хх. В неё входят модели с фиксированной конфигурацией (1801, 1802, 1803, 1811, 1812) и 1841 — с модульной. Маршрутизаторы этой линейки работают под управлением ПО Cisco IOS и поддерживают, таким образом, Cisco Self-Defending Network — долгосрочную стратегию компании, нацеленную на защиту бизнес-процессов путём выявления, предотвращения и приспособления к опасностям со стороны как внешних, так и внутренних источников. Существуют разновидности моделей с беспроводным Wi-Fi-интерфейсом.
Примечательно, что все модели линейки 18xx содержат 8-портовый коммутатор, причём попавший в обзор маршрутизатор Cisco 1811 имеет также резервный порт для аналогового V.92-модема. Другие модели линейки 18xx в случае нарушения WAN-подключения могут использовать резервное ISDN- или Ethernet-подключение. При возникновении проблемы с основным подключением к сети, маршрутизаторы Cisco 18xx автоматически активируют резервный канал связи.
HP ProCurve Secure Router 7203dl |
Функция QoS позволяет Allied Telesyn AT-AR750S динамически выделять из трафика данные голоса, видео и приложений, которые имеют более высокий приоритет. Для увеличения пропускной способности канала связи маршрутизатор может распределять нагрузку между несколькими WAN-подключениями. Эта возможность также позволяет AT-AR750S сохранить работоспособность сети даже в случае выхода из строя одного из WAN-соединений. Например, если использовать одновременно два подключения к интернету через двух разных провайдеров, возникновение проблем технического характера у одного из них никоим образом не повлияет на работу распределённой корпоративной сети в целом.
Маршрутизаторы линейки НР ProCurve Secure Router 7ххх предполагают подключение к основному блоку отдельных модулей, реализующих необходимый WAN-интерфейс. За функции безопасности отвечает интегрированный межсетевой экран совместно с Cyber Attack Defense Engine — инструментом для предотвращения атак. Для работы с IPSec VPN необходим опциональный модуль, он поддерживает множество протоколов шифрования, в том числе 3DES/DES/AES с разрядностью 128, 192 и 256 бит.
Семейство ProCurve Secure Router 7ххх обеспечивает IP-фильтрацию третьего уровня на основе информации об IP-адресах/подмасках сети получателя и отправителя и номерах TPC/UDP-портов. Во флэш-памяти маршрутизатора хранится копия ОС и информация о конфигурации, которые можно использовать во время проведения планового апгрейда или при восстановлении после сбоев, причём можно хранить несколько вариантов конфигураций. ProCurve Secure Router 7ххх предусматривает подключение до двух узких и одного широкого модуля и использование до восьми Т1/Е1-линий.