`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Internet в малом офисе: "маленькие коробочки" против "больших ящиков"

0 
 
С точки зрения пользовательского подхода -- за 2 года ничего не изменилось, стало даже проще. Вы подключаете маршрутизатор к модему и с одного из компьютеров под неусыпным оком мастера настройки в Web-броузере вводите регистрационные параметры для доступа к провайдеру услуг. Еще 4--5 "кликов" мышкой, и ПК, подключенные со стороны LAN, уже минимально защищены от атак. Затем следует непродолжительное тестирование соединения (вдруг какое-то из значений, полученное от провайдера, воспринято неправильно) и... маршрутизатор уже начал "раздавать" Internet по локальной сети (тут же сооруженной простым подключением сетевых шнуров в розетки коммутатора), не "падая" при этом по три раза на дню... Кто же они? Заверните их все, пожалуйста!..

Но прежде чем перейти к описанию героев обзора -- охладим пыл потенциального покупателя несколькими ложками дегтя.

Технические характеристики Internet-шлюзов
Во-первых, постулат, гласящий, что грамотное использование правильно сконфигурированного выделенного сервера под OС Windows или Unix для доступа в Internet (конечно, если обслуживающий персонал умеет реализовать основное его достоинство -- исключительную гибкость в настройке) -- вариант гораздо лучший, никто оспаривать не собирается.

Во-вторых, отсутствие надписи "Unix Inside" на элегантных коробочках со множеством гнезд позволяет нам высказывать самые невероятные предположения по поводу того, какое же на самом деле ПО работает там, внутри. В случае "честного" Unix-варианта сервера мы зачастую вольны выбрать именно те решения (и их лучшие, апробированные многолетней эксплуатацией устойчивые совокупности), которые более всего соответствуют исходной задаче. Что же касается firmware нашей "коробочки" (а именно она, как правило, определяет успешность работы устройства в целом), то степень ее отлаженности -- величина труднопрогнозируемая.

С другой стороны, практически все съехавшиеся к нам "коробочные" серверы не только достаточно устойчиво проявили себя в ходе пробной эксплуатации, но и продемонстрировали вполне разумный подход производителей к проблеме баланса между миниатюрностью и функциональностью. Одного взгляда на множество разъемов достаточно, чтобы сделать вывод: большинство из них -- это хорошо продуманные с точки зрения практической полезности и допускающие разумную экономию средств комплексные устройства, предоставляющие возможности организации не только доступа в Internet, но и создания на их базе небольшой локальной сети (встроенный микросвитч). Немного реже встречаются устройства, выполняющие, кроме перечисленных, функции принт-сервера и даже точки доступа для пользователей WLAN-клиента.

Далее, при более детальном знакомстве к допущению, сделанном во вводной статье о том, что "малый офис -- не обязательно значит бедный", напрашивается еще одно дополнение "...и не значит медленный". Имеется в виду не только требуемая скорость доставки информации и ее объемы, но и способы подключения к Сети. Сегодня для любого мало-мальски уважающего себя офиса, активно использующего в своей повседневной деятельности достижения современных информационных технологий, назвать "серьезным" подключение с помощью обычного dial-up-модема можно лишь с большой натяжкой -- ему если и отводится роль, то только вспомогательного (резервного) устройства на случай проблем со скоростным (кабельным или DSL-модемом) или линией. Да и цены на широкополосный доступ к Сети за последний год (в сравнении с остальными статьями офисных расходов) уже не так сильно "кусаются".

Ну и наконец, учитывая четко очерченную во вводной статье читательскую аудиторию, мы постарались отгородиться от "суперпродвинутых" устройств, установив условную "планку" для кандидатов в обзор на уровне $200 -- примерной стоимости "слегка устаревшего" системного блока в сумме с начальными затратами на инсталляцию и настройку Unix-решения для доступа в Сеть.

Еще буквально два слова о последовательности описания в тексте. Учитывая, что устройства, несмотря на внешнюю схожесть, все же отличаются как по набору, так и по глубине реализуемых функций, мы решили изменить привычное расположение, выстроив их в порядке увеличения стоимости и уделив внимание различиям.

Как же выглядит типовой перечень функций современного broadband router? Надо заметить, что основной "джентльменский набор" со времени последнего обзора изменился незначительно. Это, как правило, механизм трансляции IP-адресов (NAT), базовые функции firewall, встроенный DHCP-сервер, статические и динамические таблицы маршрутизации, возможность организации демилитаризованных или доверительных зон (DMZ) для удаленного администрирования, конфигурирования и получения статистики. Если говорить об основном предназначении этих устройств -- обеспечение централизованного доступа в Internet, то можем лишь констатировать факт, что внутри каждого из рассматриваемых продуктов находится практически полноценный proxy-сервер с достаточной для большинства пользователей функциональностью. Подключение к провайдеру услуг, как правило, подразумевает не только основанные на использовании статически и динамически назначаемых адресов методы, но и относительно новый принятый де-факто поставщиками услуг PPPoE (Point-to-Point over Ethernet) протокол прямого соединения поверх Ethernet, создающий виртуальное соединение между пользователем и сетью провайдера. Касательно создания VPN следует выделить поддержку PPTP как наиболее простого, хотя и не самого оптимального (см. врезку) способа для организации виртуальных частных сетей.


HardLink HR-104

Маршрутизатор позволяет 253 пользователям ЛВС осуществлять одновременный контролируемый доступ в Internet, используя одну учетную запись у провайдера услуг. Защита от информационных атак обеспечивается встроенными (двухуровневыми по глубине вложения настроек) механизмами Firewall/NAT. Присутствует функция DMZ для организации работы в обход NAT. Напомним, что NAT позволяет пользователям с локальными адресами подключаться к Internet, транслируя свои IP-адреса в глобальные, одновременно маскируя их от сканирования извне. Интересна функция Virtual Server, благодаря которой вместе с DMZ можно регулировать получение пакетов, приходящих непосредственно в локальную сеть без трансляции адресов.

Устройство оснащено четырьмя портами 10/100 Mbps для подключения к сегментам локальных сетей, одним портом 10 Mbps Ethernet для подсоединения кабельного или ADSL-модема и одним RJ-45 -- для консольного управления или подключения внешнего V.90 или ISDN-модема (кабель-переходник RJ-45 на DB-9 прилагается). К слову, собранный модельный ряд демонстрирует, что интеграция dial-up-модемов V.90 56K в современные модели Internet-серверов, как правило, не производится.

Из прочих особенностей маршрутизатора -- возможность контроля на передней панели за режимом PPPoE и наличие переключателя Link/Uplink. Огорчает, что практически вся документация находится в электронном виде на CD.


D-Link DI-604

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
D-Link DI-604
Младшая модель в линейке Internet-шлюзов компании D-Link. Однако, несмотря на это, устройство обладает достаточно большим количеством функций, не все из которых реализованы даже в старших моделях других производителей.

Устройство оснащено одним WAN-портом (RJ-45 10BASE-T/100BASE-TX), который поддерживает как кабельные, так и DSL-модемы. Возможные режимы работы порта -- Always On (состояние постоянной готовности) и PPPoE для обеспечения соединения по запросу. Также в данной модели имеется встроенный четырехпортовый коммутатор 10/100 MBps, причем любой из LAN-портов может быть настроен для организации DMZ-соединения. Заявлена поддержка VPN-соединений (pass-through). Обеспечивается как статический, так и динамический роутинг пакетов. Протоколы маршрутизации -- RIP-1 и RIP-2. Управляется D-Link DI-604 как с помощью Web-интерфейса, так и через SNMP-агент. Встроенный Firewall поддерживает впечатляющий список функций: Access-list control, Domain filtering, URL filtering, Packet filtering, Ping of Death, IP spoofing, Intrusion detection. Реализованные протоколы обеспечения безопасности -- PAP, CHAP, MS-CHAP. Данная модель оснащена 4 мегабайтами SDRAM и 256 килобайтами флэш-памяти.

Учитывая очень продуманный и простой мастер установки и настройки, а также весьма подробную русскоязычную документацию, DI-604 выглядит чуть ли не идеальным решением для малого офиса, в котором, кроме широкой функциональности, требуется еще и максимальная простота конфигурирования шлюза.


LG LRG1004 и Planet XRT-401B

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
LG LRG1004
Что же общего между этими устройствами, кроме примерного равенства их цены? Ведь на первый взгляд они достаточно серьезно отличаются между собой по количеству разъемов, режимам и числу индикаторов на передней панели, типу и материалу корпуса. Все это так, однако функциональность их примерно одинакова, и с некоторой натяжкой можно утверждать -- вот он, типичный современный "железячный" маршрутизатор.

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Planet XRT-401B
Ведь если закрыть глаза на внешние различия, создается впечатление, что эти два устройства проектировались теми, кто абсолютно одинаково представляет себе минимальные требования к начальной офисной сетевой инфраструктуре и организации доступа в Сеть. "Индивидуальность" выражается в том, что у LG порт WAN разбит на два гнезда (link/uplink), скорость -- до 100 Mbps, а у Planet имеется Uplink на четырехпортовом коммутаторе внутренней сети. В остальном же в них воплощен весь ранее перечисленный стандартный набор функций: поддержка механизма трансляции IP-адресов, базовые функции firewall, встроенный DHCP-сервер, поддержка статических и динамических таблиц маршрутизации, возможность организации демилитаризованных зон (у LG -- для одного пользователя, у Planet -- до пяти) для удаленного администрирования, конфигурирования и получения статистики. Это касается и двухуровневого меню настройки с помощью встроенного Web-сервера. Вряд ли можно охарактеризовать степень удобства их конфигурации более точно и лаконично, чем это сделано в англоязычном описании на Planet в графе "управление": "Web Browser for easy Setup".


D-Link DI-704P

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
D-Link DI-704P
На первый взгляд более "продвинутая", чем DI-604, модель. Однако DI-704P -- просто несколько иное устройство. Во-первых, в нем присутствует встроенный принт-сервер. Во-вторых, в плане организации VPN-соединений это устройство предоставляет пользователю гораздо более широкую функциональность -- поддерживается только PPTP, L2T и IPSec.

WAN-порт также один, но предусмотренная скорость соединения ограничена 10 Mbps. LAN-порты по-прежнему представлены четырехпортовым (10/100) коммутатором. Управление осуществляется на основе Web-интерфейса либо по telnet-протоколу. Говоря о поддерживаемых сетевых сервисах, стоит отметить появление в этой модели полноценного proxy-сервера и возможности кэширования DNS-запросов.

Что касается функций защиты локальной сети, то по сравнению с DI-604 возможности встроенного Firewall уменьшилась -- в этой модели реализован только механизм фильтрации пакетов и IP Spoofing.

Подводя итог, можно сказать, что DI-704P более ориентирована на малоподготовленных пользователей. Поэтому и количество тонких настроек в ней сведено к минимуму. Зато добавились полноценный принт-сервер и хорошая поддержка VPN-соединений.


SMC 7004ABR

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
SMC 7004ABR
Еще одно устройство, реализующее принцип "все-в-одном". Меню конфигурации устройства нам показалось несколько старомоднее и сложнее, чем, например, у аналогичной модели D-Link, и, тем не менее, его обладателю можно по-хорошему позавидовать -- помните, во введении мы говорили о недостаточной апробированности коробочных серверов, особенно их firmware? Так вот, именно линейка Barricade от SMC -- это то, что является за рубежом массовым стандартным решением. И обратить внимание на нее следует в первую очередь потому, что практически все позитивные и негативные моменты поведения уже знакомы, не раз обсуждались в многочисленных форумах, отслеживаются большим числом энтузиастов, и каких-либо новых сюрпризов ждать не приходится. В revision history на сегодняшний день мы обнаружили более двух десятков записей о релизах ПО. Настораживает? Но ведь честно признать и обсудить свои ошибки, чтобы их исправить -- не порок, не ошибается лишь тот, кто ничего не делает! А делается для поддержки пользователей компанией SMC достаточно много и правильно.

Каждый шаг пользователя для всех операционных систем (для Macintosh ПК -- только до версии Mac OS 8.5) описан просто и подробно. Правда, мультиязычное руководство русской версии пока не содержит. Кстати, по популярности "за бугром" прямым конкурентом устройства SMC 7004ABR обычно называют... его же "старшего брата" SMC 7004AWBR, который вдобавок еще и является беспроводной точкой доступа. По заверениям поставщика, и эта модель в ближайшее время появится на рынке Украины.


Planet IG-2000

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Planet IG-2000
При первом взгляде на этого "малыша" сложно себе представить, что в столь маленькой, изящной коробочке умудрился поместиться полноценный Internet-шлюз с полным списком возможностей -- DHCP-сервер, брандмауэр, поддержка коммутируемых, выделенных и ISDN-линий, организация DMZ-соединений, поддержка статических таблиц маршрутизации. Однако это не так, приведенный перечень содержит далеко не все функции, реализованные этим устройством.

Данная модель оснащена одним LAN-портом для подключения ЛВС и двумя WAN-портами RS-232 для организации либо доступа в Internet, либо соединения LAN-to-LAN. Примечательно то, что IG-2000 поддерживает мультилинк. То есть оба WAN-порта могут работать параллельно, что теоретически в два раза увеличивает скорость соединения. Настройка устройства осуществляется с помощью специального ПО SetMon. Пользователь может задавать не только логин и пароль администратора, но и напрямую указывать те IP-адреса (до трех), с которых разрешено изменять установки шлюза.


Fujitsu Siemens CONNECT2AIR WLAN AP-500RP

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Fujitsu Siemens CONNECT2AIR WLAN AP--500RP и адаптер WLAN-to-USB
Как и вся продукция компании, данная модель относится к классу "благородных устройств". Все, начиная от впечатляющего внешнего вида (а ведь для его создания ничего особо делать и не пришлось -- дизайнеры просто "одели" безликую коробку в потрясающую серебристую рубашку из пластика) и заканчивая тем, что по документации эта модель именуется как "AP-500RP Access Point" (т. е. "точка доступа"), говорит о том, что данный продукт никак не попадает в категорию "дешево и сердито". Как следует из названия модели, несмотря на то что это все же Internet-шлюз, основное предназначение данного устройства -- обеспечить подключение к Internet именно беспроводных сетей.

CONNECT2AIR WLAN поддерживает высокоскоростной протокол IEEE 802.11b, обеспечивающий скорость беспроводного соединения до 11 Mbps с опциональным 64- и 128-битовым шифрованием трафика по алгоритму RC4. WAN-порт со скоростью передачи 10 MBps поддерживает как кабельные, так и DSL-модемы. Кроме того, наличие асинхронного порта RS-232С позволяет организовать резервное соединение с Internet по обыкновенным коммутируемым линиям. Двухпортовый коммутатор (10/100 Mbps) с автоопределением скорости подключения заставляет вспомнить строки "никто не забыт и ничто не забыто" -- несмотря на основное свое предназначение, данная модель позволит и проводным узлам попасть в Глобальную Сеть. Ну а наличие полноценного принт-сервера превращает эту модель в самодостаточный и полноценный "офисный сетевой комбайн".

Набор сетевых функций стандартен -- DHCP, NAT, Firewall и поддержка VPN-соединений. Также реализованы протоколы PPTP и PPPoE. Возможно присвоение шлюзу как статического, так и динамического IP-адреса. Вся настройка и конфигурирование осуществляются через Web-интерфейс. Устройство оснащено 512 килобайтами DRAM и 512 килобайтами флэш-памяти.


Compu-Shack DSLline DSL Router

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Compu-Shack DSLline DSL Router и адаптер WLAN-to-USB
Ограничиться дежурной фразой: "это многофункциональное устройство выполнено в лучших традициях компании Compu-Shack: стильный корпус, логичная схема размещения индикаторов на передней панели, позолоченные разъемы на задней стенке устройства" -- значит, не сказать об этом беспроводном маршрутизаторе ничего. Во-первых, потому, что он, невзирая на солидный перечень поддерживаемых стандартов и протоколов (включая VPN на основе PPTP, L2TP, IPSec), остается простым и понятным в настройке через Web-броузер. Во-вторых, это единственное в нашем обзоре устройство, которое оснащено слотом для PCMCIA-карты, в результате чего наше определение стандартного набора "все-в-одном" расширяется с совокупности маршрутизатора, коммутатора и принт-сервера до "... и плюс опциональная поддержка WLAN-пользователей".

"Проводная часть" устройства достаточно стандартна -- гнездо WAN 10 Mbps, 4 порта 10/100 Mbps (имеется дополнительное гнездо Uplink) и выходы для подключения резервного dial-up-модема и общего для внутренней локальной сети принтера. В беспроводном сегменте поддерживается как 40-, так 128-битовое WEP-шифрование, причем, как выяснилось в ходе нашего эксперимента, устанавливать WLAN-карточку можно не только производства Compu-Shack.


LG LR3100p

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
LG LR3100p
Данная модель производства компании LG Electronics представляет собой управляемый маршрутизатор, позволяющий организовать центральный доступ в Internet из локальной сети. Причем это именно чистый маршрутизатор, не имеющий ни встроенного концентратора/коммутатора, ни принт-сервера.

На задней панели устройства находятся синхронный (WAN1) и асинхронный (WAN2) порты, а также LAN-порт 10/100 Mbps для подключения ЛВС. WAN2 совмещает в себе как обыкновенный WAN-порт, так и порт для подключения консоли управления (для выбора необходимого режима работы рядом с портом расположен двухпозиционный переключатель). Передняя панель маршрутизатора имеет ряд сигнальных светодиодных индикаторов, позволяющих оценить работоспособность устройства, наличие питания, определить, какой из портов (WAN1 или WAN2) активен в настоящий момент, а также индицирует скорость подключения (10 либо 100 Mbps) или наличие коллизий в сети.

Примечательно это устройство способом управления и настройки. Все обслуживание LR3100p осуществляется исключительно в консольном режиме, из командной строки. Web-интерфейс попросту отсутствует. На примере этого продукта можно убедиться в том, что внутри всех подобных маршрутизаторов находится адаптированная и урезанная в той или иной мере версия Unix-подобной операционной системы. Поэтому тем пользователям, кого не пугает вид командной строки и кто имеет опыт общения с ОС этого класса, настройка и конфигурирование рассматриваемой модели не доставят никаких хлопот.

Но вот малоподготовленных покупателей, тех, кто рассчитывал получить "Internet из коробочки", ждет неприятный сюрприз. Несмотря на то что эта модель снабжена весьма подробным руководством, раскрывающим все нюансы ее конфигурирования, а также содержащим полный перечень команд с их описанием и примерами использования, русскоязычным оно кажется только на первый взгляд. Да, написано руководство кириллицей, но страдает такими огрехами перевода, что понять что-либо из него практически невозможно...

Подводя итоги, можно отметить, что, несмотря на весьма приятный дизайн, достаточную функциональность и хорошие органы индикации, данная модель вряд ли подойдет всем покупателям по причинам, изложенным выше, -- отсутствие Web-интерфейса и весьма "туманное" руководство пользователя.


Planet VRT-401

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Planet VRT-401
Кроме аналогичных пунктов, ранее упоминаемых в описании настроек других устройств (управления DHCP, назначением статических IP, параметрами PPPoE, PPTP и несколько экзотическим для нас SingTel RAS), меню VRT-401 демонстрирует свою "утонченность" в отношении установки VPN-параметров. Их состав и количество в меню позволяют предположить, что VPN-router проектировался так, чтобы наиболее полно соответствовать стандартам и использовать механизмы, предоставляемые IPSec, MD5-HMAC/SHA1-HMAC, DES-CBC, 3DES-CBC, IKE и ручным вводом ключей. Интересно, что производителем гарантируется поддержка до 100 виртуальных туннелей!

Что же касается этой небольшой коробочки с точки зрения ее функциональных возможностей в качестве широкополосного маршрутизатора -- минимальный "джентльменский набор" наличествует.

Объем памяти, выделенной под хранение MAC-адресов, -- 1 KB. На задней панели, кроме разъемов для подключения WAN/LAN, находится и отдельное гнездо (также типа RJ-45) для DMZ-подключения.


Planet XRT-711A

Internet в малом офисе "маленькие коробочки" против "больших ящиков"
Planet XRT-711A
Это семипортовое (со стороны внутренней сети) устройство успешно сочетает в себе достаточно серьезный широкополосный Internet-маршрутизатор с принт-сервером. Поддерживаются следующие протоколы и службы TCP/IP, NAT, DHCP, HTTP, DNS, TFTP, UPnP, RIPv1 и несколько более широкий диапазон (по сравнению с моделью XRT-401B) возможных настроек. Например, в настройках firewall можно в каждой из четырех назначенных групп пользователей выбрать 1 из 3 типов прав и запрещенные приложения, а также указать до десяти портов, доступ к которым для данной группы пользователей будет закрыт. На корпусе маршрутизатора имеется DIP-переключатель, позволяющий отключить функцию DHCP-сервера для локальной сети. Возможна загрузка по TFTP-протоколу обновлений firmware. Данное устройство является весьма неплохим решением для небогатого малого офиса, которому нужен доступ в Internet, поскольку при таком количестве портов можно отказаться от покупки и коммутатора, и принт-сервера.

VPN. "Как много в этом звуке..."

Просматривая публикации на эту тему и рекламные материалы о предлагаемых программных и аппаратных VPN-решениях, ловишь себя на мысли, что некоторая запутанность в описании протоколов, систем, высоких технологий и их реализаций допускается чуть ли не специально: то ли для того, чтобы окружить свое предложение аурой таинственности и придать ему оттенок эксклюзивности, то ли для того, чтобы отбить желание у "простых смертных" даже пытаться осваивать своими силами подобные сетевые конфигурации.

Но так ли уж страшно и недоступно понятие виртуальной частной сети (VPN -- Virtual Private Network), каким его сформировали в нашем понимании некоторые IT-массмедиа? Языком лаконичных определений сущность VPN можно выразить как использование публичной телекоммуникационной инфраструктуры для обеспечения безопасного доступа удаленных филиалов и пользователей к основной сети организации (Remote Access VPN) или для объединения географически удаленных локальных сетей (LAN-to-LAN VPN). В каких же случаях можно рассчитывать на то, что технология виртуальных частных сетей поможет в решении возникающих проблем малого бизнеса?

Начнем с тривиального примера: необходимость обмена данными в реальном режиме времени между центральным офисом и отдаленными филиалами, будь то сеть магазинов, разбросанных по городу, или малых офисов представительств, размещенных в разных населенных пунктах. Сегодня вряд ли кого-то удовлетворит подключение к головному офису через городскую телефонную сеть с помощью dial-up-модема -- и полоса пропускания мала, и соединение, как правило, осуществляется не постоянно, а сеансами в оговоренное время либо по мере того как объем накопленной для обмена информации превысит определенные критические размеры. Вполне логично выглядит следующий этап развития такой системы -- прокладка своего кабеля или аренда выделенной линии с установкой на ней скоростных модемов. Преимущества этого решения очевидны: постоянная связь и бoльшая пропускная способность. Недостаток (если под таковым понимать не только сугубо технические проблемы) обычно "вырисовывается" при подведении итогов финансовой деятельности филиала. Увы, не всем подобные решения окажутся по карману, особенно если информационный обмен происходит с офисом в другом городе или стране. И тут уж никакая экономия, например, от того, что телефонные разговоры теперь обеспечиваются по тем же выделенным каналам связи "за бесплатно", не оправдывает затрат на аренду. Есть ли выход? Да, предложить вернуться к подключению через Internet как к самому дешевому альтернативному варианту. И надо заметить, что подобное решение оправдано не только для условий отечественной информационной инфраструктуры, -- по данным Intel, в 2001 г. в ходе перевода удаленного доступа с коммутируемых каналов на виртуальные подключения через Internet корпорация сэкономила около 4 млн. долл.

Правда, прежде чем офис перестанет быть легкой наживой для Internet-злоумышленников, нужно будет приложить еще некоторые усилия: скрыть от посторонних глаз информацию, открыто передаваемую по Сети за пределами LAN, гарантировать ее неизменность и предотвратить возможность ее повторного использования кем-либо другим. Подобная функциональность достигается благодаря технологии VPN.

Кроме того, такие решения как нельзя лучше подходят для компаний, которым требуется обеспечить своим мобильным сотрудникам, работающим на временной основе или не имеющим постоянного рабочего места в офисе, надежный доступ к корпоративным локальным сетям. А ведь если верить недавнему прогнозу Института трудоустройства Великобритании, количество занятых вне офиса в Европе (включая Украину) к 2010 г. может достичь 27 млн. человек!

Третьим возможным вариантом использования станет организация виртуальных туннелей внутри самого предприятия. Это пригодится, если, например, в рамках одной физической LAN необходимо разгородить слабосвязанные информационные потоки, направленные к разным пользовательским группам, представляющим различные отделы или службы. Так, в банковской структуре к этим группам можно отнести, в частности, аналитический отдел, отделы кадров и кассовых операций.

Подытоживая все вышесказанное, повторимся: виртуальные сети позволяют организовать частные, защищенные соединения между двумя или несколькими локальными сетями либо между удаленными пользователями и локальной сетью, используя Internet (реже -- частные IP-сети) для передачи конфиденциальных данных, и предоставляют возможность отказаться от дополнительных, зачастую дорогих выделенных каналов или серверов удаленного доступа.

Что же прежде всего нужно при построении такой системы в малом офисе для обмена данными на основе виртуальных туннелей?

В первую очередь -- организовать сам шлюз, гордо именуемый VPN Gateway. Пример "коробочек", пригодных для решения задач такого рода, рассматривается в данной статье -- это совершенно готовые к работе устройства, для ввода в эксплуатацию которых потребуется подключение к LAN и к WAN (например, к DSL-модему для связи с поставщиком услуг Internet). Они возьмут на себя ряд функций по формированию туннелей, защите информации, контролю трафика и частично -- централизованному управлению.

Второе условие -- для выполнения того минимального объема конфигурационных работ с "коробочным" сервером все же необходимо определенное понимание того, какого типа сквозной виртуальный канал требуется и как он организован. В настоящее время наибольшей популярностью пользуются решения, основанные на следующих протоколах.

PPTP (Point-to-Point Tunneling Protocol) появился как результат работы Microsoft и ряда сетевых корпораций. Он обречен на популярность благодаря включению в ОС от Microsoft и построен на вершине протокола PPP, известного всем, кто подключался в Internet по dial-up-каналам.

L2F (Layer 2 Forwarding) -- предмет небезосновательной гордости фирмы Cisco. Собственно, из его названия следует, что он оперирует на канальном (Layer 2) уровне коммутационного стека протоколов.

IPsec (Inernet Protocol Security) -- наиболее известный протокол сетевого уровня (Layer 3) стека. Предполагает, что до обмена данными производится обмен сертификатами между компьютерами. Данные шифруются с помощью открытого и частного ключей. Благодаря включению механизма обеспечения безопасности в спецификацию IPv6 зачастую признается как официальный стандарт Internet.

L2TP (Layer 2 Tunneling Protocol) -- протокол, представляющий собой дальнейшее развитие L2F и воплотивший в себе достоинства PPTP, разрабатывался согласно договоренности Cisco и Microsoft и фактически является официальным стандартом Internet.

За более детальными описаниями протоколов и задействованных в этом процессе механизмов мы предлагаем читателям обратиться к статье "Виртуальные частные сети на уровне 2" ("Компьютерное Обозрение", # 35, 2002, http://itc.ua/article.phtml?ID=10982), акцентируя внимание на требовании к создаваемым при этом туннелям -- обеспечить конфиденциальность сессии.

Для того чтобы два или более устройств смогли обменяться зашифрованными и подписанными пакетами, необходимо знание (либо возможность генерации) некоторого набора ключей: удостоверяющего личность отправителя, и после того как договоренность об обмене достигнута -- ключа для алгоритма шифрования. Используются как симметричные ключи, основанные на знании договаривающихся сторон единого общего ключа (заметим, ни под каким видом не передаваемого по Сети открыто!), так и несимметричная схема криптографии, при которой у каждого из абонентов имеется два ключа -- секретный (частный) и открытый (публичный). Они рассчитываются по специальному алгоритму и позволяют прочитать сообщение, зашифрованное открытым ключом, зная на приемной стороне частный ключ. Возможен и вариант, при котором на основании знания двух вышеупомянутых ключей формируется третий, взаимный ключ, известный только тому, кто владеет парой "публичный ключ получателя -- частный ключ отправителя" (либо наоборот). Заметим, что во всех этих случаях предполагается наличие некоего стартового ключа, который может вводиться и меняться спустя некоторое, определенное адресатами, время вручную (наиболее простой вариант обмена, на USB Flash Driver 128 MB можно поместить более полумиллиона предварительно сгенерированных ключей) либо передаваться в зашифрованном (или вычисляемом) виде по Сети на основании имеющихся у обеих сторон общих знаний (например, о некотором значении числа в известном им счетчике).



Выводы

К моменту окончания этого материала полностью "выкристаллизовался" основной рефрен заключительной части: "Вы до сих пор возитесь с настройками своего Unix-сервера? Тогда мы идем с "коробочными" решениями к вам!".

Ну, не то, чтоб уж сразу мы, и не то, чтобы непременно к вам, но общий смысл достаточно понятен, не так ли?

Прошло то время, когда "маршрутизатор из коробочки" выполнял исключительно функцию "раздачи Internet по офису". Теперь это многофункциональные универсальные комбайны, способные обеспечить практически все функции как по обслуживанию небольшой офисной сети -- начиная от беспроводной точки доступа и заканчивая принт-сервером, так и организовать полноценное (в меру интеллектуальных возможностей самих устройств, разумеется) VPN-соединение. При этом процесс настройки и конфигурирования "коробочек" не только не усложнился, а наоборот -- существенно упростился.

Посему, если вы желаете обустроить свою сеть с минимальными как начальными, так и последующими затратами, может, стоит отложить "Самоучитель по Unix для менеджеров среднего звена", прекратить терзать друзей вопросом "нет ли у вас знакомого мальчика, который нам сделает Internet?"

Устройства предоставлены компаниями

LG DataLux (044) 249-6303
Compu-Shack "Н-Тема" (044) 467-1754
D-Link "ИКС-Мегатрейд" (044) 247-3906
Fujitsu Siemens "МУК" (044) 490-5171
HardLink "МАС Электроник" (044) 248-7591 248-7592
Planet MTI (044) 458-3856
SMC "Ингресс" (044) 227-5155
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT