|
Маршрутизация в сетях
 |
СОВРЕМЕННЫЕ АППАРАТНЫЕ МАРШРУТИЗАТОРЫ ДЛЯ ГРАНИЦ СЕТЕЙ
Курс на управление
Организовать связь между удаленными подразделениями, побродить по Сети и даже вкусить плоды IP-телефонии сегодня поможет определенный тип устройств
с полезными новшествами
Виктор
Козленко
коммерческий директор «Вектор-Киев», admin@asotel.com.ua |
Человечество сегодня переживает информационный бум — сотни миллионов гигабайт всеобъемлющей информации наполнили Глобальную сеть. Еще недавно малознакомые понятия «сайт», «электронная коммерция», «электронная реклама» уверенно вошли в обиход многих людей, которые уже не представляют свою повседневную деятельность без этих инструментов.
Информационная революция наблюдается не только в Глобальной паутине, но и в локальных сетях компаний. Сети компаний растут как на дрожжах — появляются новые пользователи, целые отделы и удаленные филиалы. А каждый новый пользователь компьютера, включенного в ЛВС, производит и потребляет дополнительные гигабайты информации. Очевидно, что всеми этими пакетами данных, «бегающими» по глобальным и локальным сетям, необходимо кому-то управлять
и выбирать наиболее подходящие маршруты.
Врата сетей
Наверное многим компаниям известны ситуации, когда необходимо организовать доступ в Интернет или объединить удаленные офисы в единую вычислительную сеть.
На первый взгляд — это задачи абсолютно разные, однако, как оказалось, подходы к их решению нередко совпадают. Ведь и в том, и в другом случае мы строим доступ в сеть общего пользования, с той лишь разницей, что в Сети мы оперируем ее ресурсами, а между офисами пересылаем корпоративную (внутреннюю) информацию. Правда, такое разделение сегодня также зачастую условно. Например, через защищенные каналы VPN (см. ЧИП 8/2003, с. 72), проложенные в Интернете, мы с успехом можем транслировать опять же корпоративную информацию. Однако что в первую очередь требуется при создании таких, как принято говорить, распределенных сетей?
Конечно же, это надежность передачи данных (информация, переданная от одного узла сети, должна гарантированно попасть к другому), а также безопасность (защита от вторжений и несанкционированного доступа). Кроме того, сегодня также важны такие функции, как мультисервисность (возможность передачи разных видов информации — данные, голос, мультимедиа), приоритизация (очередность передачи информации — по сути, тот же QoS) и управляемость сети.
Подобные функции сегодня возложены на маршрутизаторы, выполняющие роль шлюза между Глобальной сетью и ЛВС. До сих пор можно встретить определение маршрутизаторов как шлюзовых систем, которые согласуют взаимодействие между локальными и глобальными сетями.
Стоит понимать, что основной задачей маршрутизатора является выбор оптимального маршрута для информации, пересылаемой от источника (например, центрального офиса) к пункту назначения (филиалу) через территориально-распределенную сеть (WAN). Для этого в устройстве существуют специальные адресные таблицы, в которых содержится вся информация о существующих (доступных в момент передачи) маршрутах. Например, если маршрут перегружен трафиком или поврежден, то ему всегда найдется замена, что гарантирует высокую вероятность доставки данных адресату.
Однако для компаний важно выбрать устройства, которые будут выполнять также и функции согласования сетей. То есть важны не столько размеры адресных таблиц, сколько наличие выбора различных WAN-интерфейсов (лучше высокоскоростных) плюс решение перечня задач, определенного выше. К такому классу устройств относятся маршрутизаторы начального уровня для границ локальных сетей.
Ставка на «железо»
При организации доступа в WAN-сеть у компаний порой возникает дилемма — аппаратное или программное решение устанавливать на границе сети. Действительно, можно выделить отдельно компьютер (причем подойдет с довольно нехитрой конфигурацией, например с Pentium II и меньше) или установить маршрутизирующее ПО на имеющийся в компании сервер. При этом с подобной задачей справятся ОС UNIX/Linux или Windows 2000/XP. Может показаться, что такое решение будет дешевле, чем покупка «железного» маршрутизатора.
Однако у софтовых решений существует ряд недостатков, которые в дальнейшем могут вылиться в дополнительные затраты. Компьютеры (особенно устаревшие) являются ненадежными устройствами — в них отсутствует резервирование компонентов, их часто выключают из сети и др. Сервер, конечно же, надежнее «персоналки». Однако в любом случае ОС нередко зависают, происходят сбои в настройках, они также выходят из строя по причине вирусных и другого рода атак (армия хакеров добилась неплохих результатов в нахождении «дыр» и «багов» в операционных системах). Кроме того, не стоит также забывать, что на сервере необходимо устанавливать лицензионную ОС Windows или условно-бесплатные UNIX/Linux, требующие квалифицированного администрирования.
Специализированные же ОС в маршрутизаторах пока более устойчивы к различного рода атакам и подобным неудобствам. Единожды настроив маршрутизатор, сетевой администратор может долго не заглядывать в установки программного обеспечения.
Еще один недостаток компьютерных решений — отсутствие в них встроенных скоростных WAN-интерфейсов. Сегодня dial-up и ISDN PRI используются все реже, поэтому необходимо дополнительно покупать модемы (чаще всего xDSL) с интерфейсами USB или Ethernet. Подобное решение требует выделения из бюджета дополнительных $200—300, в то время как в современных маршрутизаторах уже встроены высокоскоростные
xDSL-модемы или синхронные порты G.703/G.704.
| Мир протоколов |
Сегодня существуют различные протоколы маршрутизации, однако наиболее популярными являются RIP и OSPF. Так, в протоколе RIP (Routing Information Protocol), в свое время получившем распространение вместе с ОС BSD, выбор маршрута основан на определении длины векторов (distance vector). Вектор же получается из числа так называемых переходов (hops) — промежуточных маршрутизаторов, которые проходит IP-пакет по пути следования от отправителя к получателю. Обычно устройство из множества маршрутов выбирает тот, у которого оказывается наименьшее число переходов. Недостатком довольно простого в реализации алгоритма RIP является его малая масштабируемость, поскольку в нем учитываются не более 15 переходов. Кроме того, в этом протоколе не всегда оптимально выбирается маршрут с поправкой на его загруженность трафиком. Усовершенствованный вариант RIPv2 поддерживает многоадресную рассылку, объединение маршрутов и режим аутентификации, однако также плохо
подходит для больших и многосегментных сетей.
Избавлен от этих недостатков протокол OSPF (Open Shortest Path First). При использовании OSPF на каждом маршрутизаторе находится таблица с информацией о доступных сетях, маршрутизаторах и «стоимости» (cost vector) каждого соединения. При этом выбор маршрута производится с учетом его минимальной стоимости к конкретной точке назначения и не зависит от числа переходов. Стоимость же маршрута определяется исходя из различных параметров, но в большинстве случаев таким критерием является наиболее широкая полоса пропускания WAN-каналов. В OSPF отсутствуют ограничения на количество переходов, что делает его наиболее приемлемым протоколом для крупных и быстро растущих сетей. Его недостатком является необходимость в большой вычислительной мощности и объемах памяти в маршрутизаторах. Поэтому не все устройства для удаленных офисов поддерживают протокол OSPF.
|
Внимание на возможности
Помимо выбора оптимального маршрута, современные маршрутизаторы зачастую обладают рядом полезных возможностей, способных значительно повысить эффективность работы компании. Одной из таких возможностей является связь по требованию. Маршрутизатор с такой функцией обеспечивает автоматическое установление связи только в момент, когда пользователи запускают вэб-браузер или активизируют попытку установления соединения. В противном случае, после определенного интервала времени, устройства отключают локальную сеть от Интернета. Такой режим работы снижает расходы на оплату связи в режиме он-лайн.
Полезными функциями в маршрутизаторах для небольших сетей являются технологии трансляции или назначения адресов: сетевых — NAT (Network Address Translation) и адресов, связанных с портом, — PAT (Port Address Translation). Первая технология позволяет подключать к Сети несколько хостов по одному IP-адресу, что исключает расходы компании на регистрацию дополнительных адресов. Кроме того, NAT скрывает от внешней сети истинное количество пользователей. Технология же PAT позволяет прописывать порту определенные IP-адреса. За счет этого IP-пакеты, приходящие из Сети, попадают исключительно на этот
порт маршрутизатора. Тем самым также скрывается существующая топология частной сети и повышается уровень ее безопасности.
Сегодня в маршрутизаторах также поддерживаются функции по передаче голосового и мультимедийного трафиков. Эти возможности особенно полезны для связи между офисами, находящимися в разных городах, поскольку применение встроенных VoIP-шлюзов позволяет экономить на оплате междугородных переговоров. Кроме того, такие маршрутизаторы позволяют по IP-сети перераспределять между филиалами номерную емкость корпоративной АТС (то есть, например, в киевском и харьковском офисах будут телефонные номера единого номерного поля).
В рамках же частной сети мульти-сервисные маршрутизаторы способны даже предоставить IP-телефонию. При этом для реализации механизмов качества обслуживания QoS используются протоколы резервирования ресурсов (RSVP, DiffServ), системы взвешенных очередей
WFQ, приоритизации данных 802.1р и др.
Не следует забывать и о встроенных функциях безопасности в маршрутизаторах. Так, поддержка виртуальных частных сетей (VPN) позволяет создавать через глобальные сети защищенные каналы связи между удаленными филиалами компании. Данные, перед тем как попасть в общедоступную сеть, еще и шифруются в устройствах по алгоритмам DES, 3DES или AES. Кроме того, в маршрутизаторах используется идентификация пользователей, например PAP (Password
Authentication Protocol) или CHAP (Challenge Handshake Authentication
Protocol).
Интересными функциями, повышающими защиту сети, являются также списки доступа Access Lists. Они позволяют контролировать адреса отправителя и получателя пакетов, создавая им определенные политики. Способствует надежной защите сети компании и встроенный в маршрутизатор межсетевой экран МЭ (см. ЧИП 5/2003, с. 90), устраняющий многие виды вторжений и вирусных атак.
Для маршрутизаторов, устанавливаемых в удаленных филиалах, является нелишней возможность контроля и управления через вэб-интерфейс. Это избавляет от необходимости выезжать администратору в удаленные подразделения компании, в которых находятся такие маршрутизаторы. Стандартными протоколами сетевого управления (см. ЧИП 12/2002, с. 84) в устройствах являются Telnet и
SNMP.
Естественно, что наличие дополнительных функций отражается на стоимости устройства. Несомненно, у многих заказчиков цена является не последним пунктом в покупке сетевого устройства, однако экономия на функциях (точнее на их отсутствии) может в дальнейшем вылиться в копеечку.
На прилавках
Сегодня на украинском рынке можно найти различные модели маршрутизаторов начального уровня. Несомненно, присутствуют устройства маститых зарубежных брэндов и не очень известных у нас производителей. Однако украинских пользователей зачастую интересуют функциональные устройства, но по сходной цене. Поэтому на нашем рынке недавно появились маршрутизаторы отечественного производства серии
Dynamix компании «Вектор».
|
|
|
Современные маршрутизаторы для границ сетей оснащены различными WAN-интерфейсами |
Так, новое устройство
Dynamix UM-S поддерживает маршрутизацию RIPvl/RIPv2, протоколы многоадресной рассылки трафика IP multicast и IGMP, трансляцию сетевых адресов NAT/PAT, функции DNS и DHCP-сервера. В моделях UM-SF и UM-S4F обеспечивается поддержка встроенного межсетевого экрана и виртуальных частных сетей (технологии РРТР/ L2TP/IPSec). В Dynamix UM-S существует WAN-интерфейс SHDSL и коммутатор
10/100Base-T (до 4 портов) для подключения ЛВС. По глобальному интерфейсу обеспечивается соединение на скоростях от 192 Кб/с до 2,304 Мб/с по одной медной паре проводов. Все маршрутизаторы серии Dynamix UM-S поддерживают обновление микропрограмм через вэб-браузер/ТРТР-сервер. Ориентировочная стоимость устройства — $140.
| То ли еще будет |
По данным компании Probe Research, к 2006 году следует ожидать трехкратный рост мирового рынка маршрутизаторов для границ сетей по сравнению с 2002 годом. При этом специалисты отмечают, что хорошим спросом будут пользоваться продукты со встроенными функциями защиты и с высокоскоростными WAN-интерфейсами. В Украине также можно говорить о росте продаж маршрутизаторов для границ сетей. Заказчики в большинстве случаев отдают предпочтение недорогим и функциональным устройствам с высокоскоростными WAN-интерфейсами. Особенно же пользуются успехом системы с симметричным интерфейсом
DSL (SHDSL). Основная причина их успеха кроется в том, что стоимость таких устройств уже снизилась до $140. Правда стоимость маршрутизаторов с асимметричным портом ADSL сегодня даже ниже, чем с SHDSL (например,
Dynamix UM-A стоит около $70). Однако в Украине пока не везде подготовлена сетевая инфраструктура для разворачивания ADSL-доступа. Поэтому в прошлом году продукты с симметричным интерфейсом опережали маршрутизаторы с ADSL в пропорции 70 % к 30 %. В дальнейшем ситуация может поменяться, если сетевая инфраструктура «Укртелекома» будет адаптирована к ADSL-сервисам, а не к IDSL и dial-up.
|
В свою очередь Cisco Systems поставляет модели серии Cisco 830 для небольших и удаленных сетей. Устройства могут связывать локальную сеть компании с Интернетом или с удаленной ЛВС с помощью WAN-интерфейсов — ISDN, 10Base-T и ADSL. Подключение локальной сети может осуществляться через концентратор 10/100 Ethernet. Для передачи мультимедийного трафика и IP-телефонии в маршрутизаторах поддерживаются
механизмы приоритизации и взвешенных очередей (LLQ, WRED, CAR и Class-Based Traffic Shaping). Для защиты сетей и данных используется шифрование 3DES, VPN-туннели, межсетевой экран и система обнаружения вторжений IDS. Стоимость маршрутизатора находится в пределах $600.
Маршрутизатор Planet XRT-401C компании Planet обеспечивает подключение ЛВС к Глобальной сети через порт 10/100 Ethernet, к которому подсоединяется, например, xDSL- или кабельный модем. Пользователи же локальной сети включаются в устройство с помощью внутреннего 4-портового коммутатора 10/100 Ethernet. Маршрутизатор обеспечивает защиту сети с помощью МЭ, механизмов IDS, фильтрации URL-адресов, системы контроля доступа (определяет разрешенные типы приложений/сервисов). Устройство также позволяет реализовать различные интернетприложения — интерактивные игры, телефонию, конференции и др. Приобрести маршрутизатор можно за $55.
Устройство D-Link DSL-504 компании D-Link для подключения к WAN-сети использует встроенный ADSL-модем, а для ЛВС — 4-портовый 10/100 Ethernet-коммутатор. Кроме того, маршрутизатор поддерживает RIP/RIPv2, функции VPN, аутентификации пользователей, трансляцию адресов NAT, DHCP-сервера, а также внешнее электропитание. Стоит устройство около $160.
Компания ZyXEL поставляет SHDSL
маршрутизатор Prestige 782R. Устройство поддерживает трансляцию адресов NAT/SUA, несколько IP-адресов на один LAN-интерфейс, режим моста (802.ID), авторизацию доступа РАР/СНАР, передачу пакетов длиною 1522 байта, фильтрацию пакетов и др. Цена
устройства — в пределах $270.
Интересным также является устройство Megabit Modem 701G компании ADC. Маршрутизатор поддерживает классификацию трафика для сети ATM и позволяет передавать IP-пакеты через ATM или организовывать до 32 сессий РРР over ATM. Для выхода в сеть общего пользования применяется интерфейс SHDSL. Стоит же маршрутизатор около $455.
Как видно, стоимость представленных на украинском рынке маршрутизаторов начального уровня разная. Следует понимать, что она зависит от производителя (его имени), наличия функций, модульных интерфейсов и др.
Сетевые сценарии
Обычно маршрутизатор, установленный на границе сети компании, подключается к сети провайдера или к аналогичному устройству через выделенную линию. Например, если в офисе используется устройство с интерфейсом SHDSL, то на стороне провайдера может быть установлен
либо аналогичный маршрутизатор с таким же интерфейсом или мультиплексор DSLAM. Обычно, если малый или средний офис подключается по выделенной линии к провайдеру, то настройку маршрутизаторов могут выполнить специалисты оператора (нет нужды брать в штат системного администратора). Возможность дистанционного мониторинга позволит провайдеру или администратору отслеживать работу устройства и, при необходимости, производить требуемые установки.
Маршрутизаторы также позволяют строить соединения топологии «точка-точка», то есть объединять локальные сети офисов через выделенные линии. При этом устройства в офисах должны быть идентичны по функциональности (прежде всего по WAN-интерфейсу). Можно также в качестве канала связи использовать Интернет, правда в этом случае необходимо задействовать защищенные VPN-каналы и шифрование.
Важная же задача при инсталляции устройства обеспечить кроме необходимых настроек маршрутизации и WAN-интерфейсов также и определенный уровень безопасности. Тем самым ваши данные, циркулирующие в офисной сети, всегда будут оставаться вашими и ни при каких условиях не попадут к злоумышленникам через Интернет.
Источник:
Журнал CHIP №10 2003 год
|