зона ограничение доступ
iXBT: Маршрутизатор Nexland Pro800 TurboНовости | Процессоры зона ограничение доступ системы охлаждения | Системные платы, память зона ограничение доступ чипсеты | 3D-Видео | Сети зона ограничение доступ серверы | CD/DVD-приводы | Принтеры зона ограничение доступ МФУ | Мониторы зона ограничение доступ ТВ-тюнеры | HDD зона ограничение доступ Flash накопители | Цифровой звук | ProAudio | Изображение в числах | Проекторы зона ограничение доступ ТВ | Цифровое видео | Ноутбуки | КПК | Мобильная связь | ИБП, БП зона ограничение доступ корпуса | Периферия | Software | ProБизнес | Колонка редактора | MacLife | Карта сайта | Поиск | Конференция | Фотогалереи | GAMETECH | Komok | Журнал | RightMark | DigitLife | Рейтинги | Podcasting | WebcastingМаршрутизатор Nexland Pro800 TurboВ последнее время домашние маршрутизаторы становятся очень популярными. Это неудивительно,так как за сравнительно невысокую цену мы получаем небольшой «черный ящик», позволяющийделать много интересных вещей. В первую очередь это, конечно, обеспечение выхода в Интернет для небольшой локальной сети. «Черным» я назвал его потому, что совершенно неясно, зона ограничение доступ что жетам творится внутри в данный момент. Об этом можно только догадываться, либо мониторить устройство через SNMP,ну зона ограничение доступ иногда (в основном, в дорогих моделях) узнавать дополнительную информацию из лог-файлов.Безусловно, любая задача имеет несколько решений. Поэтому вместо такого маршрутизатора можно использовать обыкновенный компьютер с двумя сетевыми картами.Этот компьютер подключается к коммутатору с одной стороны зона ограничение доступ к каналу в Интернет — с другой.Возможна даже реализация подобного маршрутизатора под ОС семейства Windows. Другое дело, что мало кто рискнет возложить задачи доступа в сеть Интернет на этиоперационные системы. Особенно если компьютер будет иметь внешний IP-адрес (и, соответственно, будет легко доступен извне). То есть, обеспечение безопасности такогомаршрутизатора будет на первом плане. А какую безопасность может обеспечить Windows 98 SE ?Да зона ограничение доступ планка системных требований, предъявляемых этими ОС к компьютерному железу, всегда была не очень низкой. Зато из достоинств следует отметить легкуюдоступность этого метода: специалистов по настройке Windows найти не просто, зона ограничение доступ очень просто. Тем более, что особых знаний может зона ограничение доступ не потребоваться, достаточновоспользоваться таким встроенным в ОС средством, как «internet sharing».Другое дело — использовать ОС семейства Unix или Linux. Они, безусловно, лидируют в данном случае. Очень низкие системные требования: к примеру, машины классаPentium 100 МГц с 16 МБ оперативной памяти, жестким диском на 200-300 МБ зона ограничение доступ парой сетевых карт на 10 МБит будет более, чем достаточно для большинства задачобеспечения доступа небольшой локальной сети в Интернет. Посчитайте сегодняшнюю цену такого компьютера — правда, заманчиво?Замечу, что в качестве примера машины я взял не абсолютный минимум, маршрутизатор вполне можно собрать зона ограничение доступ на базе 486-го процессора, зона ограничение доступ он будет работать.Из плюсов, кроме дешевизны платформы зона ограничение доступ (что немаловажно) бесплатности ПО хотелось бы отметить зона ограничение доступ намного более гибкую систему конфигурирования,в частности, реализации сетевой безопасности (межсетевого экрана — файрвола), удобную систему разграничения доступа в Интернет для пользователей,лучшую стабильность (по сравнению с Windows-платформами).Кроме того, на маршрутизатор можно поставить дополнительные бонусы, например DNS-сервер, прозрачное (незаметное для локальной сети) проксирование трафика,сервер электронной почты, возможность удаленного управления машиной через SSH (шифрованное соединение) зона ограничение доступ т.д. Понятно, что лучше не устанавливать эти бонусына машину, являющуюся первичным межсетевым экраном зона ограничение доступ маршрутизатором во внешнюю сеть. Но я привел это лишь в качестве показательного примера. В заключение скажу,что все эти бонусы успешно будут работать на вышеназванной машине класса Pentium для небольшой сети человек на 20-30. Вот только лучше расширить памятьдо 32-64Мбайт зона ограничение доступ увеличить объем жесткого диска до 1-2Гбайт (в первую очередь, эти модификации нужны для прокси-сервера, который весьма прожорлив).Как на подобной машине будет себя чувствовать Windows даже без дополнительных сервисов, вообразите сами.Но зона ограничение доступ тут есть минусы. Наиболее очевидный — найти специалиста, разбирающегося в этих ОС. Таких значительно меньше. Не забудем зона ограничение доступ общие минусы подхода«маршрутизатор на отдельной машине» — все-таки само железо, из которых такие компьютеры собираются, менее надежно. Хотя бы потому, что машина имеетв своем составе винчестер — механическое устройство. Можно заменить его на флэш-диск, но тогда сильно возрастет цена. Также из минусов отмечу немаленькие размерыкорпуса, большее (по сравнению с домашними маршрутизаторами) энергопотребление, ну зона ограничение доступ шум, разумеется.Именно поэтому домашние маршрутизаторы набирают популярность. Для их настройки может даже не понадобиться специалист. Обычно в идущей в комплекте инструкции подробнорасписано, что надо делать на начальном этапе. Во многих случаях этого начального этапа оказывается достаточно для работы.. И в результате настройка можетсвестись к начальному получасовому конфигурированию устройства, установке его где-нибудь под столом, после чего можно спокойно работать. При выходе его из строя(что случается явно реже, чем в ситуациях со сборными компьютерами, хотя бы исходя из того, что деталей в таком маленьком маршрутизаторе намного меньше) достаточнобудет заменить его по гарантии.Эти устройства особенно популярны в тех сетях, где нет грамотного сетевого администратора (или он вообще отсутствует), но доступ в Интернет все же необходим.Принцип работы большинства дешевых устройств основан на технологии NA[P]T (Network Address [and Port] Translation).Очень часто букву «P» пропускают, хотя более правильно было бы говорить о двух технологиях NAT зона ограничение доступ PAT — Network Address Translation (трансляция сетевых адресов) зона ограничение доступ Port Address Translation(трансляция адресов портов). А работает эта технология очень просто. Устройству назначается один внешний адрес во внешней сети (Интернет) зона ограничение доступ маршрутизатор транслирует все запросы с адресами извнутренней локальной сети вовне, подставляя в запросы свой внешний IP. Приходящие извне ответы ожидает обратное преобразование.Таким образом, с точки зрения пользователя, работающего внутри локальной сети, он напрямую работает в Интернет, как бы не замечая маршрутизатора. С точки зрениявнешней сети (интернета), все запросы идут от маршрутизатора (с IP-адресом маршрутизатора), зона ограничение доступ никакой сети за ним не существует. Побочным результатом является защита(скрытие) локальной сети для доступа извне. Так что такое решение является хорошей защитой для всех компьютеров из локальной сети — их просто не видно. Это плюсы.Теперь минусы NAT. Не всем приложениям понравится такой метод реализации доступа в Интернет. Например, нельзя будет подсоединиться к FTP-серверам в Интернете в активномрежиме, невозможно будет передавать файлы через ICQ от пользователя к пользователю зона ограничение доступ т.д. Также очевидным минусом является то, что вы не можете открыть у себя FTP-сервер или установить клиента P2P-сети (например eDonkey) для раздачи файлов. А все потому, что вас (как зона ограничение доступ всю локальную сеть) просто не видно за маршрутизатором.Правда, у подавляющего числа маршрутизаторов существуют настройки для перенаправления запросов, пришедших на его определенные порты (например 80 — WWW зона ограничение доступ 21 — FTP)на соответствующие хосты внутри локальной сети. Поэтому организация доступа извне к внутренним серверам сети возможна.NAT не позволяет работать протоколу IPSEC, используемому для создания VPN-сетей или защищенных туннелей. Для поддержки этого протокола нужна специальная доработка NAT,которая присутствует не во всех маршрутизаторах.Еще один неочевидный минус единственно IP-адреса для всей сети — не всем серверам в Интернет нравится, что разные клиенты заходят с одного IP-адреса.Некоторые системы голосования откажутся принять ваш голос, так как ваш (а точнее, маршрутизатора) IP-адрес уже голосовал. Или такой жизненный пример —сервис отсылки SMS-сообщений компании МТС лимитирует отправку — не более пары десятков сообщений с одного IP-адреса.Теперь перейдем к рассмотрению одного из представителей домашних маршрутизаторов, устройству ISB PRO800 Turbo от компанииNexland. Он включает в себя много передовыхидей в своем секторе, в том числе поддержку протокола IPsec, о чем сообщает своеобразный значок наверху устройства. Стоимость устройства на данный момент составляетоколо 400$. Это значительная сумма, так что давайте посмотрим, что мы получим за эти деньги.В комплект поставки входит само устройство, внешний блок питания к нему, кабель категории 5 почти трехметровой длины, нуль-модемный кабель длиной 90 см (поэтомудля конфигурирования устройства через консоль придется установить его вплотную к компьютеру, что не слишком удобно), CD-диск с документацией (на английском ифранцузском языках) зона ограничение доступ дополнительными утилитами зона ограничение доступ печатную документацию на 70 страниц, повторяющую английскую версию файла в формате PDF, лежащую на диске.VPN-клиента Symantec RaptorMobile (с лицензией на 10 хостов) в поставке обнаружено не было, хотя об этом заявлялось на сайте. Устройство собрано в металлическом корпусе. Имеет небольшие размеры (140mm x 284 mm x 32 mm), поэтому его несложно установить почти где угодно, в том числеповесить на стену. Спереди на маршрутизаторе расположены:8 портов 10/100Base-TX ;панель индикаторов, по три на каждый порт (справа), отражающая скорость работы порта, наличие/отсутствие дуплекса, передачу данных зона ограничение доступ коллизии;2 порта WAN (во внешнюю сеть);индикатор подключения к порту WAN;индикатор питания;индикатор ошибки диагностики (сигнализирующий об ошибке во время самодиагностики устройства);индикатор передачи данных между LAN зона ограничение доступ WAN сегментами (изнутри локальной сети вовне зона ограничение доступ наоборот);индикатор, сообщающий о работе резервного канала (через ISDN или аналоговый модем), при падении основного канала WAN.Сзади расположены:последовательный порт RS232, использующийся для консольного управления маршрутизатором; также сюда можно подключить аналоговый или ISDN-модемдля использовании функции запасного канала при падении (неработоспособности) основных;панель DIP-переключателей, используется для отключения встроенного DHCP-сервера, сброса конфигурации в профиль по умолчанию;(например, в случае утери пароля), включения/отключения консольного интерфейса управления или подготовки устройства к обновлению прошивки;разъем питания с выключателем;кнопка RESET.Уже исходя из внешнего осмотра видно, что маршрутизатор прямо-таки напичкан различными функциями. Теперь рассмотрим его спецификации.50 МГц RISC процессор;4 МБ оперативной памяти;512 КБ флэш-памяти (для внутренней ОС) с возможностью обновления прошивки через TFTP;встроенный 10/100 Мбит Ethernet-коммутатор на восемь портов;скорость портов 10/100 Мбит в режиме полу зона ограничение доступ полного дуплекса;автоматическое определение прямого зона ограничение доступ кросс-кабеля;два порта WAN (RJ-45);скорость портов до 10 Мбит в режиме полу зона ограничение доступ полного дуплекса;производительность устройства — до 8Мбит в обоих направлениях (WAN — LAN);неограниченное число пропускаемых сессий IPSEC зона ограничение доступ PPTP зона ограничение доступ одна сессия L2TP;возможность балансировки трафика между двумя WAN-портами;режим резервного канала (при падении линии на одном из портов второй возьмет на себя всю нагрузку);возможность использовать разные типы линий на разных WAN-интерфейсах (Cable/T1/DSL);последовательный порт RS232 для модема или управления с консоли;Скорость работы порта до 230 Кбит;Поддержка ISDN зона ограничение доступ аналоговых модемов;Функция резервного канала при падении линии на WAN интерфейсах;мониторинг устройства SNMPv1;Технология доступа в интернет — NAT;Встроенный DHCP-сервер;Поддержка динамического DNS-сервера;Поддержка до 253 хостов в локальной сети;Зона DMZ для одного хоста;Возможность редиректа портов (виртуальные сервера);Программируемая статическая таблица роутинга;Поддержка протокола маршрутизации RIP v2;Встроенный файрвол с конфигурируемыми фильтрами;Удаленное управление посредством WEB-интерфейса или telnet;Энергопотребление — 9 В, 1 А.Схемотехника.Сразу бросается в глаза сетевой контроллер Samsung S3C4510B. Это RISC-процессор, работающий на частоте 50 МГц. Он часто используется в подобных устройствах. Вторая микросхема — Broadcom BCM5317 — является восьми-портовым контроллером Fast Ethernet. Его характеристики:8 трансиверов 10/100 Мбит (IEEE 802.3u совместимые);9 контроллеров доступа к среде (совместимые с IEEE 802.1x );256 КБ пакетный буфер;4К буфер MAC адресов;неблокируемая архитектура.Auto MDI/MDI-X на всех портах (автоматическое определение примого зона ограничение доступ кросс кабеля.На WAN-интерфейсах установлены широкораспространенные контроллеры Ethernet Realtek RTL8019AS:Кроме них, на снимке видно микросхему флэш-памяти объемом 4 МБит (512 КБ), контроллер последовательного порта зона ограничение доступ две микросхемы обычной памяти.К вопросу о потолке производительности (трансфера данных из локальной сети на WAN-порт или обратно).Заявленная производительность — 8 Мбит. То есть при использовании обоих портов (теоретическая скорость каждого из которых — 10 Мбит),суммарная производительность не поднимется 8 МБит. Возможно это объясняется слишком медленным интерфейсом памяти.В маршрутизаторе установлены две 16-ти битные микросхемы памяти V54C316162VT6. Каждая объемом 16 Мбит. Обе со скоростью доступа 6 нс, соответственно рабочая частотане превышает 166 МГц.Для анализа пакета зона ограничение доступ принятия решения о его маршрутизации, процессору необходимо прочитать пакет из памяти, проанализировать его и, возможно изменив, записать обратно.К этому же интерфейсу должны иметь доступ другие устройства, например Fast Ethernet контроллер, транслирующий пакеты из/в локальную сеть. Поэтому общая пропускная способностьпамяти делится между нуждающимися в ней модулями. И скорее всего, ее не хватает для более скоростных потоков данных.Конфигурирование.Nexland PRO800 Turbo можно настраивать как через консоль, подключившись к последовательному порту терминала, так зона ограничение доступ через WEB-интерфейс. Вот что представляет собой консоль:Это корневое меню, других нет. Данная опция может служить только для восстановлениянастроек по умолчанию (или присвоения IP-адреса) после случайной ошибки в WEB-настройках.Ничего другого тут ничего сделать не удастся, поэтому больше к консоли возвращаться не будем.Настройка маршрутизатора через WEB-интерфейс детально расписана в руководстве. Да зона ограничение доступ сам интерфейс сделан очень логично зона ограничение доступ удобно, зона ограничение доступ также имеет подсказки на каждомконфигурационном экране. Количество зона ограничение доступ удобство настроек поражает. Рассмотрим их подробнее.Для подсоединения к WEB-интерфейсу достаточно ввести в браузере URL http://192.168.0.1 (адрес по умолчанию), зона ограничение доступ мы попадем в меню конфигурации. Главное меню позволяет настроить параметры WAN-интерфейсов, такие как IP-адреса интерфейсов зона ограничение доступ DNS-серверов, режим работы интерфейса (основной или резервный),активизировать PPPoE-соединение, зона ограничение доступ даже сменить MAC-адрес интерфейса (в текущей версии прошивки смена MAC-адресов не работала — после смены MAC-адреса зона ограничение доступ перезагрузки старый MACвосстанавливался). А просмотреть текущее состояние WAN-портов зона ограничение доступ основных настроек маршрутизатора можно в менюстатуса.В этом же меню можно узнать номер версии встроенной ОС (прошивки), я использовал последнюю на данный момент версию V1 Rel 5T.Режимы работы портов WANНа режимах работы интерфейсов остановлюсь поподробнее. ISB 800PRO Turbo делает возможной работу обоих WAN-интерфейсов в двух различных режимах. При этом оба WAN-интерфейса подключаются к различным линиям связи (возможно — даже к разным провайдерам)Нормальный режим, он же режим балансирования нагрузки. Если в данный момент работает лишь один пользователь, то никаких балансировок нагрузки не происходит. Пользователь использует только один WAN-интерфейс, второй простаивает. Но если пользователей много (или хотя бы двое), то включается механизм балансировки, зона ограничение доступ часть пользователей работает на первом WAN, зона ограничение доступ остальные — на втором. Таким образом можно достичь почти удвоенной пропускной способности зона ограничение доступ оптимально использовать полосы пропускания обоих линий связи.В этом режиме невозможно получить суммарную скорость выше, чем в случае единственного интерфейса (из-за общего ограничения пропускной способности в 8 Мбит). Но даже при неполном использовании обоих каналов связи мы выигрываем хотя бы в том, что задержки (пинги) пакетов при такой балансировке получаются более маленькими. Возможна настройка максимальной утилизации интерфейсов в процентах. По умолчанию на обоих установлена цифра 50 процентов.При необходимости, можно привязать хост из внутренней сети к определенному WAN-интерфейсу, зона ограничение доступ он всегда будет ходить во внешнюю сеть через него. Эта возможность не нужна обычным пользователям, но иногда может понадобиться для каких-нибудь локальных серверов, видимых извне.Второй режим работы WAN-интерфейса — режим резервного канала. В этом случае работает лишь один интерфейс (на 100 процентов), второй находится в состоянии ожидания. Если первый падает (что проверяется, например, пингованием определенного хоста, указанного в конфигурации), то маршрутизатор переключает всю нагрузку на второй интерфейс. Возможен вариант с переключением нагрузки на RS232-порт с подключенным к нему модемом (этот режим также может задаваться DIP-переключателями на задней стенке корпуса устройства).Таким образом, достигается сильное увеличение безотказности канала — даже если откажет одна (если маршрутизатор подключен только к одной WAN) или обе WAN-линии (что маловероятно), у вас останется низкоскоростное соединение с интернет через модем.Понятно, что все вышеперечисленные возможности с двумя WAN-интерфейсами будут доступны лишь тем, кто имеет две выделенные линии. Безусловно, таких немного. Поэтому остальным, наверное, стоит остановиться на модели ISB 800PRO, отличающейся от своего собрата лишь отсутствием одного WAN-порта. На этом можно сэкономить приблизительно $100 (цены рассчитывались на момент публикации).DHCPNexland PRO800 Turbo может не только получать необходимые настройки для своих WAN-интерфейсов от провайдера, но зона ограничение доступ имеет встроенный DHCP-сервер, позволяющий выделять IP-адреса до 253 хостам в сети. Возможна привязка IP-адресов к MAC.Ограничение доступа к конфигурацииПо умолчанию пароль на доступ к маршрутизатору отсутствует. Его следует сразу задать в настройках, зона ограничение доступ лучше сразу ограничить доступ к telnet зона ограничение доступ WEB-интерфейсу всем, кроме администратора маршрутизатора или доверенных лиц, используя ограничения на доступ в экране экспертных опций конфигурации.SNMPВ маршрутизатор встроена полная поддержка протокола SNMP версии 1. Этот протокол (Simple Network Management Protocol) позволяет просмотреть различные параметры устройства зона ограничение доступ проходящий трафик в реальном времени. Также возможна посылка сообщений SNMP (SNMP traps) на любой хост вашей сети.Dynamic DNSВ интернет существует достаточно много сервисов динамического DNS. В документации к маршрутизатору описывается работа с dyndns.org. Эти сервисы используются, если IP-адрес, выделяющийся вам, динамический (меняется при каждом соединении с провайдером). Но если на компьютере запускаются, к примеру, WWW или FTP-сервера, нужно использовать статический URL (доменное имя). Можно, конечно, зона ограничение доступ не использовать постоянное имя, но как в таком случае будут находить ваш WWW-сервер? Постоянно сообщать свой новый IP-адрес всем заинтересованным — не самая хорошая идея.Поэтому постоянное обновление IP-адреса для статического URL (например, такого — myhome.nexland.net) осуществляет служба динамическиго DNS.После того, как вы выбрали себе доменное имя зона ограничение доступ зарегистрировались на одной из служб динамического DNS, достаточно сконфигурировать маршрутизатор для обновления информации на службе динамического DNS о изменении вашего IP-адреса. После этого ваше доменное имя всегда будет указывать на текущий IP-адрес, который получил маршрутизатор при последнем подсоединении к провайдеру.Таблица роутинга.Nexland PRO800 Turbo позволяет вручную добавлять маршруты в свою таблицу маршрутизации. А также имеет поддержку протокола маршрутизации RIP2. Он автоматически строит таблицы маршрутизации на всех маршрутизаторах сети, ограничение — все маршрутизаторы должны этот протокол поддерживать.Таким образом, возможна эксплуатация ISB PRO800 Turbo в больших сетях, разделенных маршрутизаторами на подсети.Хосты зона ограничение доступ группы.В данном разделе конфигурации можно жестко привязать IP-адрес к MAC (что позволяет несколько усилить безопасность внутри сети), в том числе, выдавать определенный IP-адрес только определенному MAC-адресу или привязать определенный IP-адрес к одному из WAN-интерфейсов. Об этом уже было рассказано выше, но в качестве примера добавлю, что таким способом можно на один из интерфейсов посадить FTP-сервер, зона ограничение доступ другой оставить для интернет-пользователей. Этим мы добьемся, что FTP-сервер не будет мешать работе пользователей.В этом же разделе конфигурации можно объединять IP-адреса группы. Группы используются для задания правил фильтрации(об этом чуть ниже). Из недостатков групп стоит отметить тот факт, что их (групп) всего 4 (плюс группа «everyone» — все). Для большой сети этого набора может оказаться недостаточно. Плюс, в группу невозможно записать диапазон IP-адресов или целую подсеть. Придется перечислять адреса по одному. Представляете, сколько времени потребуется на ввод во вторую группу 128 адресов?Фильтры доступа.Фильтры позволяют сделать доступными для выбранных групп IP-адресов лишь некоторые протоколы или совсем закрыть им доступ в Интернет. Например, можно использовать эту функцию для запрета работникам первого отдела компании всех протоколов, кроме почты зона ограничение доступ WEB-серфинга. Кроме основных протоколов, которые уже перечислены, можно добавить 10 своих (5 для TCP зона ограничение доступ 5 для UDP). Это делается путем указания адреса порта или их диапазона.К сожалению, интерфейс работы с фильтрами очень неудобен. Все правила фильтрации указываются для групп. Но мы имеемвсего 4+1 группы, поэтому при желании задать различные правила для большого числа IP адресов мы столкнемся снеразрешимой проблемой. Так же сложна реализация модели «запрещено все, кроме…» из-за явного отсутствия такой возможности. Ее можно добавить через задание пользовательских протоколов, но это не всегда возможно.Плюс отсутствует возможность задания временных рамок для фильтров. К примеру, запрет протоколов WWW зона ограничение доступ FTP только в рабочие часы.Виртуальные сервера. Механизм виртуальных серверов позволяет сделать видимым из Интернет сервер, находящийся за маршрутизатором (в локальной сети). В обычных условиях, ни одна из машин в локальной сети не видна из Интернет. Но в меню конфигурирования виртуальных серверов можно назначить порт (например 80 — WEB) на маршрутизаторе зона ограничение доступ адрес/порт внутри локальной сети, куда будет перебрасываться запрос. Таким образом, с точки зрения человека из Интернет, при обращении к внешнему (доступному из Интернет), адресу, он видит WEB-сервер, находяшийся на 80-м порту маршрутизатора. На самом деле, сервер находится в локальной сети за маршрутизатором, но извне этого не видно. С точки зрения WEB сервера в локальной сети, он видит обращение из Интернет зона ограничение доступ обрабатывает его стандартным образом.Для виртуальных серверов возможно задание как заранее преопределенных портов (распространненных служб), так зона ограничение доступ своих собственных. Во втором случае возможно указание диапазонов портов.DMZ зона.Это опция имеет как хорошие, так зона ограничение доступ плохие стороны. Один из компьютеров внутри локальной сети можно «вывести» за маршрутизатор. То есть, все порты этой машины будут видны из Интернет, что не самым лучшим способом сказывается на ее безопасности. Тем не менее, иногда это необходимо сделать. Например, если на этой машине стоит IDS (система обнаружения вторжений). Но в большинстве случаев можно обойтись правильным использованием возможностей виртуальных серверов.Нестандартные приложения.Маршрутизатор позволяет работать с программами, использующими двунаправленные протоколы обмена данными. Для этого в конфигурации нужно задать диапазоны портов, использующиеся в этих протоколах. Устройство обеспечивает работу только с низкосокростными протоколами такого типа.Экспертные опции.Тут можно настроить балансировку трафика между WAN-портами (об этом было рассказано выше), закрепить SMTP (email) трафик за определенным WAN-интерфесом. Последнее нужно в случае, к примеру, если провайдер, у которого находится ваш почтовый ящик, разрешает доступ к своему SMTP-серверу только с определенных маршрутов (например с линии, подсоединенной к WAN1), изменить размер MTU на WAN-интерфейсах зона ограничение доступ другие опции, о которых уже было рассказано.Кроме этого, возможно отключить функцию NAT, превратив Nexland PRO800 Turbo в бридж.Поддержка VPN.В ISB PRO800 Turbo встроена поддержка виртуальных частных сетей. По спецификации, маршрутизатор позволяет пропускать через себя неограниченное число IPsec/PPTP (IP Security/Point-to-Point Tunneling Protocol) туннелей. Кроме этого, он может пропускать еще один сеанс L2TP. Теория — это замечательно. На практике же есть такой ограничивающий фактор, как ограниченное количество памяти на борту устройства. Поэтому неограниченное число туннелей все же ограничено.Вышеперечисленные протоколы нужны для построения защищенных (шифрованных) соединений между конечными хостами или сетями через Интернет. Но из-за специфики реализации этих протоколов, через NAT они работать не могут. Спасает только модификация (точнее, доработка) механизма NAT, что зона ограничение доступ проделала Nexland.Подчеркну, что маршрутизатор только корректно пропускает через себя VPN-сессии, сам он не является сервером IPsec или других протоколов.Большинство существующих в данный момент на рынке маршрутизаторов подобного класса умеют работать не более, чем с одной шифрованной сессией. С другой стороны, из локальной сети нечасто исходит более одного VPN-туннеля.Рассуждения же о нужности зона ограничение доступ полезности VPN-сетей входят за рамки этой статьи, замечу лишь, что VPN — не панацея. При неграмотной настройке (как ее, так зона ограничение доступ общей политики безопасности) она даст лишь ложное ощущение безопасности. Например, через этот туннель можно проникнуть в защищенную сеть, используя дыры в безопасности сети, находящейся на другом конце шифрованного туннеля.В конфигурации маршрутизатора возможно задание различных типов протокола IPsec. В том числе зона ограничение доступ типа «other», который применяется в случае неработоспособности протокола через NAT. В этом случае IPsec сервер выносится в DMZ-зону.Я проверил работоспособность FreeS/WAN (реализация IPSEC зона ограничение доступ IKE под Linux) через маршрутизатор — все работало без нареканий.Методика тестированияВ качестве тестовых стендов использовались два компьютера со следующими параметрами:Платформа — Asus TerminatorПроцессор — VIA C3 866MHzСетевой адаптер — Intel Pro/100+ Management AdapterПамять — 128MB SDRAMЖесткий диск — Maxtor 20GBОС — Linux 2.4.19Один компьютер ставился в локальной сети (подключался к локальному порту маршрутизатора), второй — во внешней (подключался к порту WAN).Между ними находится тестируемое устройство. Далее запускались генераторы трафика зона ограничение доступ снимались результаты.Таким образом оценивалась пропускнаяспособность самого маршрутизатора. Встроенный коммутатор (на 8 портов) не тестировался, так как его скорость заведомо выше скорости маршрутизации.Для генерации трафика зона ограничение доступ снятия показаний использовались программы Iperf версии 1.62. Каждый тест запускался 15 раз, после чего выбирался лучший (по скорости) результат.Вторая используемая утилита — netPIPE версии 2.4. Программа осуществляет генерацию трафика с постепенно возрастающимразмером пакета данных (пакет размера N передается несколько раз, количество передач обратно пропорционально его размеру, но не меньше семи). Эта схема позволяетнаглядно увидеть процент использования канала в зависимости от размера передаваемых данных.Параметры запуска Iperf:клиент: iperf -c 10.0.2.1 -w 64K -l 24Kсервер: iperf -s -m -w 64K -l 24KПараметры запуска netPIPE:приемник: NTtcp -b 65535 -o logfile -P -rпередатчик: NTtcp -b 65535 -o logfile -P -tРезультаты тестированияРезультаты Iperf.Программа генерирует однонаправленный TCP-трафик, поэтому смоделированы все три возможные ситуации.Тип передачиНаправление передачиСкорость, Мбит/секОднонаправленный траффик.Из внешней сети во внутреннюю3,5Однонаправленный траффик.Из внутренней сети во внешнюю7,7Двунаправленный траффик.В обе стороны2,7(извне) и3,2(изнутри)Хорошо видно, что скорость закачки трафика в локальную сеть в два раза ниже, чем обратная скорость. Почему так получилось, неясно. Суммарная же скорость опятьне дотягивает до заявленной. Возможно несовершенна программа-генератор траффика.Результаты netPIPE.Программа генерирует трафик методом «Ping Pong». Поэтому скорость передачи данных будет одинакова вне зависимости от того, с какойстороны находится клиент netPIPE, зона ограничение доступ с какой — сервер. Максимальная пиковая скорость передачи — 4,66 Мбит/секОпять же, скорость передачи не дотягивает до заявленной, но в принципе достаточна для большинства выделенных линий.Тестирование безопасностиДля этого теста был выбран свободно распространяемый сканер сетевой безопасности Nessus версии 1.2.6. Сканировался внешний WAN-порт всеми доступными плагинами из списка.Результат — ноль. То есть никаких проблем найдено не было. Это конечно не означает, что можно спать спокойно, уязвимости находят каждый день. С другой стороны,основные уязвимости данного устройства должны быть связаны с отказом в обслуживании при проблемах в реализации TCP/IP-стека. Но программисты из Nexland не зря едят свойхлеб зона ограничение доступ реализовали все как надо.ВыводыNexland ISB Pro800 Turbo понравится многим. Он буквально напичкан возможностями. Единственный серьезный недостаток (хотя многие даже не обратят на него внимания),это неудобный зона ограничение доступ малофункциональный встроенный файрвол, служащий для управления доступом локальных клиентов. Многим будет достаточно тех средств фильтрации, которыепредоставляет маршрутизатор.ПлюсыДва полноценных WAN-интерфейса.Поддержка IPsec зона ограничение доступ других шифрованных туннелей VPN.Поддержка большого количества IPsec-туннелей.Богатые возможности резервирования каналов связи.Балансировка трафика на каналах.Возможность привязки IP-адресов к MAC.Наличие поддержки сервиса динамического DNS.Минусы.Неудобная система групп (их мало зона ограничение доступ отсутствует возможность включать в группу диапазоны IP-адресов).Неудобная зона ограничение доступ слабофункциональная система фильтров.Отсутствует возможность изменения критериев фильтрации в зависимости от времени суток.Отсутствует заявленная возможность смены MAC-адреса на WAN-интерфейсе (возможно, будет исправлена в новой прошивке?).Отсутствует возможность конфигурирования устройства из командной строки (через консоль).Евгений Зайцев (eightn@ixbt.com)Опубликовано — 5 декабря 2002 г. Комментарии? Поправки? Дополнения? eightn@ixbt.comНовости | Процессоры зона ограничение доступ системы охлаждения | Системные платы, память зона ограничение доступ чипсеты | 3D-Видео | Сети зона ограничение доступ серверы | CD/DVD-приводы | Принтеры зона ограничение доступ МФУ | Мониторы зона ограничение доступ ТВ-тюнеры | HDD зона ограничение доступ Flash накопители | Цифровой звук | ProAudio | Изображение в числах | Проекторы зона ограничение доступ ТВ | Цифровое видео | Ноутбуки | КПК | Мобильная связь | ИБП, БП зона ограничение доступ корпуса | Периферия | Software | ProБизнес | Колонка редактора | MacLife | Карта сайта | Поиск | Конференция | Фотогалереи | GAMETECH | Komok | Журнал | RightMark | DigitLife | Рейтинги | Podcasting | WebcastingCopyright © by iXBT.com, 1997—2008. Produced by iXBT.comразделы
система перемешивание
зал аэробика
герб рф
профессиональный психолог
разогреть вчерашний обед
доставка суша
позитивный психология
развальцовка подогреватель
хлеборезка ахм
телефонный анкетирование
плазменный панель настенный
нужен фотограф
купить ниппель перех
геомаш-центр
ливнесборные решетка
дружкова кружка
кайт пилотажный
бензопила dolmar
управление иваново
охота легавый
купля производственный комплекс
купить fifa 2006
профессиональный психолог
купить актуатор
помещение шиномонтаж
деловой костюм
краска ржавчина
пластиковый пакет
жаростойкий краска
химчистка доставка
выборочный уф-лак
купить ломтерезку
резка
электро лаборатория
хлеборезка ахм
шампанский заказ
кулер 775
электропечь dimplex model brayford
прайс зеркало
thuraya
8800 gold
танго кэш
фосфоресцирующий краска
градирня вентиляторные
индустриальный монитор
гостинницы санкт-питербурга
кулер регулируемый
трубогиб дорном
бордюр обоев
тонирование окон
помыть потолок
конвейер
контейнерный автозаправка
северский доломит
выведение бородавка
изготовление презентация
беседка
комнатный перегородка
лекарство рак
концентрирование кислорода
ичп пбоюл
эфирный антенна kaasi
ваза 2110
добрый тепло
два цвет
колокейшн
роль ставень
куллер
варочный поверхность hansa
аэрография
плазменный панель настенный
сэндвич кофе-бар
купить блинницу
трубогиб дорном
билет цдкж
светлогорск
акриловый вкладыш
международный конкурс дебютант
зона ограничение доступ