Введение
Восьмипортовый маршрутизатор Linksys с поддержкой VPN, по сути, является расширением линейки маршрутизаторов этой компании. В него добавлены несколько функций от моделей верхнего уровня, что позволяет использовать его в более серъёных сценариях, чем просто подключение домашней сети к Интернету. Как большинство других маршрутизаторов, он позволяет нескольким компьютерам выходить в Интернет через одно соединение, но две функции отделяют RV082 от других моделей.
Как ясно из названия, RV082 поддерживает VPN. Конечно, сегодня большинство маршрутизаторов Linksys поддерживают сквозное прохождение туннелей. Однако Linksys RV082 может и сам, при необходимости, выполнять функции сервера VPN.
Благодаря этому вам не нужно устанавливать отдельное устройство в сети, выполняющие функции сервера VPN. Более того, теперь маршрутизатор может анализировать входящий трафик и пропускать его через межсетевой экран. Если туннель VPN заходит во внутренний сегмент сети, то трафик, передаваемый по нему, окажется уже внутри сети, пройдя мимо проверки брандмауэра. Конечно, вряд ли это вызовет какие-либо проблемы, если вы полностью доверяете компьютеру на другом конце туннеля, но большинство ситуаций, к сожалению не такие. Мы предпочитаем проверять весь входящий трафик до того, как он попадёт внутрь сети.
RV082 поддерживает до 50 шифрованных туннелей через Интернет одновременно, позволяя подключиться к вашей сети пятидесяти удалённым офисам или пользователям. Такое количество туннелей VPN впечатляет, особенно с учётом ценовой категории маршрутизатора. Напомним, что большинство маршрутизаторов VPN поддерживают лишь 10 туннелей, а для каждого следующего необходимо дополнительная лицензия.
Ещё одна интересная функция RV082 заключается в поддержке резервного подключения к Интернету. Если один из каналов будет разорван, то маршрутизатор перейдёт на второй, сохранив, тем самым, соединение. Конечно, это предполагает наличие кабельного или DSL-модема для каждого соединения.
В RV082 реализован ещё один сюрприз, который заключается в том, что оба порта WAN могут использоваться одновременно, позволяя маршрутизатору осуществлять балансировку трафика. Возможно, RV082 не так эффективен в балансировке, но всё же позволяет задавать предельные значения пропускной способности, при превышении которых подключится резервный канал. Конечно, возможности балансировки трафика кажутся куда скромнее, чем у BigIP или Alteon, но они весьма неплохи для устройства ценой около $275.
Вдобавок ко всему, Linksys RV082 также имеет встроенный брандмауэр SPI, позволяющий защитить сеть от атак. Брандмауэр определяет, какие соединения были инициированы “снаружи”, а какие “изнутри”, и в зависимости от этого разрешает или запрещает доступ. Кроме этого, брандмауэр позволяет ограничивать доступ локальных пользователей к Интернету.
Настройка
Linksys RV082 подключается к кабельному или DSL-модему и является “барьером” между вами и Интернетом (Рис. 1). Краткая инструкция Linksys, входящая в комплект, поможет провести пошаговую установку и настройку маршрутизатора при подключении кабельного или DSL-модема к порту WAN с одной стороны и ноутбука или компьютера к порту LAN – с другой. Для этого необходимо будет выполнить шесть шагов, мастер установки поможет облегчить процесс.
Рис. 1. Настройка RV802.
Как только всё будет подключено, экран статуса отобразит текущее состояние. Как показано на Рис. 2, один компьютер подключён к первому порту LAN, ему присвоен динамический IP-адрес из диапазона 192.168.х.х, а модем DSL – к первому порту WAN. Маршрутизатор Linksys задаёт себя в качестве шлюза по умолчанию для LAN, его IP-адрес 192.168.1.1.
Рис. 2. Экран статуса.
Перед началом тестирования мы решили обновить прошивку маршрутизатора. Обновление прошивки выполняется предельно просто: скачать прошивку, выбрать её на странице обновления и нажать “применить”(Apply). О том, что при обновлении прошивки вы всё сделали правильно, говорит лишь полоса статуса в нижней части браузера. Действительно, когда полоса дошла до конца, окно браузера обновилось, и нам было предложено подождать 45 секунд, пока маршрутизатор перезагрузится. После перезагрузки, мы были приятно удивлены тем, что маршрутизатор сохранил настройку Интернет-подключения (PPPoE), в том числе имя пользователя и пароль, заданные ранее. Отметим, что после загрузки RV082, мы смогли продолжить работу в другом окне браузера, никаких изменений не потребовалось.
В плане защиты от неавторизированного доступа к административному интерфейсу RV082 находится на среднем уровне. Используется администраторская учётная запись, но имя администратора, установленное по умолчанию (admin) изменить нельзя. Пароль администратора можно поменять, но подсказки не предусмотрено, поэтому следует его хорошенько запомнить или записать там, где сможете прочитать только вы и никто другой. Не следует задавать пустой пароль, иначе пользователи сети смогут получить доступ к маршрутизатору просто указав имя “admin”.
Настройка – добавление компьютера к сети
После удачного начала, к одному из свободных портов 10/100 Ethernet маршрутизатора мы подключили компьютер под управлением ОС Lindows (один из клонов Linux). Непосредственно перед этим система Lindows прекрасно работала в другой сети, где ей был присвоен динамический IP-адрес. Нас приятно удивило, что, как только мы подключили машину к Linksys, она сразу же получила новый IP-адрес из диапазона адресов DHCP-сервера Linksys (Рис. 3). Через несколько секунд мы уже могли путешествовать по Интернету без каких-либо изменений конфигурации. Так кто сказал, что Linux должен быть сложным?
Рис. 3. Настройка сервера DHCP
У нас в сети уже были устройства, использующие диапазон адресов 10.0.0.x, поэтому мы решили изменить конфигурацию IP-адреса Linksys. В результате мы смогли бы обеспечить выход в Интернет через Linksys без перенастройки всех компьютеров. На Рис. 4 показано, что DHCP принудительно устанавливает диапазон адресов в соответствие с текущим адресом маршрутизатора.
Рис. 4. Диапазон адресов DHCP соответствует адресу самого маршрутизатора.
Проблема заключается лишь в том, что в нашей сети устройства используют маску 255.0.0.0, в то время как DHCP-сервер Linksys настаивает на использовании маски 255.255.255.0 (Рис. 5).
Рис. 5. Маска подсети установлена в 255.255.255.0.
Для решения этой проблемы необходимо изменить маску на маршрутизаторе. Однако, Linksys предлагает лишь выбрать одну из предустановленных масок (Рис. 6). Указать необходимую маску нам так и не удалось, то есть мы не смогли задать 255.0.0.0 для сети 10.0.0.0. Надеемся, что Linksys всё же обеспечит возможность ручной установки маски.
Рис. 6. Предустановленные маски.
DMZ и два WAN
Чтобы не запутаться, один из портов WAN у маршрутизатора назван DMZ/Интернет (DMZ/Internet). Это порт может использоваться как для подключения второго кабельного или DSL-модема, так и для сервера в DMZ. Если он не используется для второго подключения к Интернету, то его можно задействовать для подключения сервера DMZ, который будет открыт наружу в отличие от машин, находящихся в LAN. Обычно DMZ использутеся для создания сервера служб, таких как электронная почта или FTP. При подключении такого сервера к порту DMZ/Internet, он становится доступным для пользователей Интернета, однако сервер будет защищён от атак типа SYN Flooding и Ping of Death.
Если в ваших планах не предусмотрено использование публичных серверов, таких как FTP, то порт DMZ Internet можно задействовать для реализации сдвоенного подключения WAN. При этом доступны два режима: Smart Link Backup (резервное соединение) или Load Balance (балансирование нагрузки).
В случае использования резервного соединения, нужно указать, какой из портов будет основным. Соответственно, второй порт становится резервным. При разрыве основного соединения начнёт работать резервное. По-другому они называются активным и пассивным, так как резервное соединение не проявляет никакой активности, пока основное не разорвётся.
При режиме балансирования нагрузки можно выбрать ещё два варианта: автоматическое по трафику и заданное пользователем. При ручной настройке следует выбрать максимальную скорость исходящего трафика (Max. Bandwidth of Upstream) (64K/128K/256K/384K/512K/1024K/1,5M/2M/2,5M или выше) и входящего (Downstream) (512K/1024K/1,5M/2M/2,5M или выше) для WAN1 и для WAN2. Мы рекомендуем предварительно протестировать пропускную способность каждого из каналов, чтобы выставить реальные значения. Какими бы заоблачными вы ни установили параметры, они не увеличат реальную пропускную способность канала.
В случае автоматического определения, скорость для WAN1 и WAN2 будет определена автоматически, а балансирование нагрузки будет осуществляться при помощи протокола Weighted Round Robin. Если скорость входящего/исходящего трафика превысит пороговое значение (30%, 40%, 50%, 60%, 70%, 80%, 90%), маршрутизатор станет использовать второй канал. Когда активность снизится, после некоторого устанавливаемого промежутка времени (сразу/ 10 мин/ 20 мин/ 30 мин/ 40 мин/ 50мин/ 60 мин), второй канал будет отключён.
Функции брандмауэра
Настройка брандмауэра (Рис. 7) традиционна для устройств этого класса и полностью совпадает с тем, что можно найти в других маршрутизаторах Linksys. На закладке Firewall можно создавать и изменять Правила доступа (Network Access Rules), задавать разрешённые IP-адреса источников и приёмников трафика, а также типы протоколов, которым разрешено проходить через брандмауэр.
Рис. 7. Правила доступа к сети.
При создании собственных правил (Рис. 8), можно ненароком открыть полный доступ, или, наоборот, полностью заблокировать Интернет, поэтому здесь следует быть особенно внимательным.
Рис. 8. Создание собственного правила.
Маршрутизатор задаёт несколько предустановленных правил при первой настройке. На закладке Firewall эти правила не перечисляются, но они таковы.
- Весь трафик из LAN в WAN разрешён.
- Весь трафик из WAN в LAN запрещён.
- Весь трафик из LAN в DMZ разрешён.
- Весь трафик из DMZ в LAN запрещён.
- Весь трафик из WAN в DMZ разрешён.
- Весь трафик из DMZ в WAN разрешён.
Определённые пользователем правила имеют больший приоритет, нежели показанные выше правила по умолчанию, но есть ещё четыре дополнительных правила, которые всегда используются и никогда и ничем не перекрываются.
- Доступ по HTTP из LAN к RV082 всегда разрешён. (Таким образом, возможность управления маршрутизатором останется всегда).
- DHCP в сегменте LAN всегда разрешён. (Правило применяется только при включённом DHCP. Можно отключить DHCP, но доступ запрещён не будет, хотя, по идее, должен).
- DNS всегда доступен из сегмента LAN. (Если его отключить, то будет достаточно сложно обратиться к какому-либо сайту, например www.thg.ru).
- Всегда разрешается выполнение эхо-запросов Ping из локального сегмента RV082. (Ping полезен при диагностике проблем сети).
Кроме правил по умолчанию, все настроенные правила перечислены в таблице, активация зависит от порядка, то есть правило, расположенное в таблице выше запускается раньше. Правила по умолчанию применяются после того, как брандмауэр прошёл через все остальные.
У RV082 присутствует функция, редко встречающаяся на устройствах подобного ценового диапазона, – создание собственного списка сервисов (Рис. 9). Конечно, стандартные службы, такие как HTTP на 80 порту, FTP на 20 и 21 уже заданы заранее. Их можно выбрать в выпадающем списке, но если необходимой службы в нём нет, то её можно добавить самостоятельно. Например, можно добавить правило для пропускания трафика сервера MySQL, использующего порт 3306.
Рис. 9. Добавление порта службы вручную.
В дополнение ко всему перечисленному, правила могут работать по расписанию (день недели и время суток) (Рис. 10). Расписание позволяет ограничивать доступ к вашей сети и из неё по протоколам и интервалам времени, в которые действуют правила. Например, можно закрыть все порты, используемые P2P с 8 до 18 часов с понедельника по пятницу, но оставить их открытыми на выходные.
Рис. 10. Расписание работы правил брандмауэра.
Журналирование и другие функции
После создания правил брандмауэра можно настроить журналирование трафика, чтобы убедиться в эффективности созданных правил. Маршрутизатор позволяет отправлять журналы на сервер журналов Syslog (Рис. 11), что, опять же, весьма неплохо для данной ценовой категории.
Рис. 11. Настройки работы с Syslog и отправки предупреждений по электронной почте.
Нам понравилось, что Linksys RV082 поддерживает простейшие возможности по обнаружению атак.
Рис. 12. Настройка журналирования
Журналы, не отправленные на сервер syslog, сохраняются локально.
Правила брандмауэра обычно используются для ограничения доступа злоумышленников снаружи в локальную сеть, хотя иногда и сами пользователи способны выполнить опасные действия. Для полного спокойствия администратора, Linksys RV082 позволяет запрещать доступ к сайтам, занесённым в список запрещённых доменов (Рис. 13).
Рис. 13. Запрещённые домены.
Результат вполне предсказуем – доступа не будет. Когда сайт заблокирован, то создаётся видимость, будто сервер, на котором он находится, не работает, и появляется обычное сообщение “Невозможно отобразить страницу”. Никакого предупреждения о том, что доступ запрещён политиками безопасности, не появляется.
Ещё одна функция, которой может похвастать маршрутизатор – это поддержка DDNS (Динамическая DNS). DDNS позволяет сопоставлять постоянное доменное имя с динамическим IP-адресом. Использование DDNS позволит разместить Web, FTP или другой TCP/IP-сервер даже в том случае, если провайдер не выделяет постоянного IP-адреса для вашего кабельного или DSL-модема. Как только у вас появилось собственное имя домена (например, yourowndomain.com), зарегистрированное в DDNS, к вашему серверу смогут обратиться точно так же, как к любому другому в Интернете по имени.
Для этого необходимо постоянно обновлять информацию на DNS-серверах в Интернете. Служба DDNS занимается именно этим – она сообщает серверам DNS тот IP-адрес, по которому необходимо обратиться, чтобы попасть на yourowndomain.com. Для этого маршрутизатор постоянно проверяет параметры соединения и сообщает их DDNS.
Рис. 14. Параметры службы динамической DNS.
Настройка DDNS у Linksys RV082 заключается во включении или отключении DynDNS.org (Рис. 14). Мы решили воспользоваться службой DynDNS и настроили один из наших доменов на её использование. DynDNS прекрасно справилась с возложенной на неё задачей.
Производительность маршрутизации
Linksys RV082 построен на основе процессора Intel XScale IXP425 с частотой 533 МГц, использует 32 Мбайт DRAM и 16 Мбайт флэш-памяти. Пропускная способность около 20 Мбит/с показалась нам достаточно приличной, хотя и не рекордной для маршрутизаторов текущего поколения.
Производительность маршрутизации Версия прошивки: 1.0.11 (16 января 2004) |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](Актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](Потерянных данных- %) |
WAN-LAN | 19,8 | 3 (сред.) 7 (макс.) |
499 | 0 % |
LAN-WAN | 22,2 | 1 (сред.) 6 (макс.) |
499 | 0 % |
Мы решили сравнить скорость работы RV082 с гигабитными коммутаторами (Таблица 1) и адаптерами Intel Pro 1000 MT на конечных точках, используя для измерений IXIA Chariot 5.0. Для начала мы проверили скорость между конечными точками через коммутатор Asante Gigabit, который показал средний результат около 203,7 Мбит/с (максимум 266,6 Мбит/с). Этот тест ставил перед собой целью определить максимум того, что можно ожидать при приёме и передаче данных по Ethernet между двумя конечными точками. Мы хотели убедиться, что результаты, полученные при тестировании будут относиться именно к Linksys RV082 а не к ограничениям сети Ethernet.
Полученные результаты говорят и о том, что теория остаётся теорией, и ожидать от гигабитной сети можно лишь 75% от её теоретической пропускной способности, по крайней мере, при использовании двух гигабитных адаптеров и коммутатора Asante. Время отклика составило 0,003 с. Далее мы решили запустить тот же тест, но уже с использованием другого коммутатора – 3COM SuperStack. Средняя пропускная способность составила 247 Мбит/с (максимум 266,6 Мбит/с). Время отклика в этом случае составило также 0,003 сек.
В заключение, мы подключили конечные точки к портам LAN RV082. С учётом того, что Linksys работает со скоростью 10/100 Мбит/с, значение 81,6 Мбит/с выглядит неплохо, хотя и меньше, чем 87,4 Мбит/с у коммутатора 10/100 Intel 460T. Время отклика оказалось 0,009 с, – не так мало, как у гигабитных коммутаторов, но один в один с Intel 460T. На Рис. 19 и 20 показаны графики, полученные при помощи Chariot для пропускной способности и времени отклика RV082.
Модель | Средняя пропускная способность, Мбит/с | Максимальная пропускная способность, Мбит/с | Время отклика, с |
Asante GX5-800P (10/100/1000) | 203,7 | 266,6 | 0,003 |
3COM SuperStack 3 (10/100/1000) | 247 | 266,6 | 0,003 |
Intel Express 460T (10/100) | 87,4 | 88,9 | 0,009 |
Linksys RV082 (10/100) | 81,6 | 88,9 | 0,009 |
Рис. 19. Пропускная способность.
Рис. 20. Время отклика.
VPN
Как мы уже упоминали выше, RV082 поддерживает два типа туннелей VPN: точка-точка (между маршрутизаторами) и между маршрутизатором и клиентом (Рис. 15). Оба типа используют протокол IPSec.
Рис. 15: Выбор типа VPN.
VPN типа “точка-точка” предполагает наличие двух маршрутизаторов, работающих в качестве конечных точек туннеля. Например, один установлен в основном офисе компании, другой – в удалённом. При подключении через VPN между двумя сетями создаётся защищённый канал. Проходящий через него трафик защищён от прослушивания, несмотря на то, что он передаётся через публичную сеть.
VPN между маршрутизатором и клиентом работает почти так же, как между двумя маршрутизаторами, за исключением того, что только одна конечная точка туннеля является маршрутизатором, а вторая реализуется средствами программного обеспечения ноутбука или настолького ПК. Трафик также шифруется и защищается от прослушивания. Таким образом, хотя RV082 поддерживает подключение клиентов по VPN, забота о настройке клиентской части возлагается на пользователей. Linksys не включает в комплект маршрутизатора клиентское программное обеспечение. Кстати, среди множества прочих, клиентское ПО выпускают такие компании, как Cisco и Nortel.
Создание туннелей VPN IPSec – занятие не для новичков, а описание настройки выходит за рамки этой статьи. Рискуем повториться, но поддержка 50 туннелей IPSec маршрутизатором данного ценового диапазона нас удивила. Маршрутизатор отслеживает количество туннелей и их типы (между двумя маршрутизаторами или между маршрутизатором и мобильным клиентом).
Рис. 16. Общая информация о туннелях VPN.
На Рис. 17 показан экран настройки туннеля между двумя маршрутизаторами. Можно выбрать один из нескольких типов аутентификации (IP плюс имя домена, IP плюс адрес электронной почты и динамический IP с именем домена или адресом электронной почты).
Рис. 17. Настройка туннеля между маршрутизаторами.
Способы аутентификации, упомянутые выше, не следует путать с методами аутентификации IPSec (Рис. 18). Linksys поддерживает как IKE, так и Pre-Shared Key. DH поддерживает группы 1, 2 и 5. Шифрование Phase 1 может использоватся как DES, так и 3DES. Для аутентификации Phase 1 может использоваться MD5 или SHA1.
Рис. 18. Управление аутентификацией и шифрованием туннелей.
В разделе дополнительных настроек IPSec в дополнение к основному режиму (Main Mode) присутствует Агрессивный Режим (Aggressive Mode). Также можно задать опцию, позволяющую передавать широковещательные сообщения NetBIOS по туннелю VPN. По умолчанию RV082 такие сообщения блокирует.
Совет: Подробнее о VPN можно узнать в наших материалах VPN FAQ и VPN Links & Tools (на английском).
В целом, Linksys проделала серъёзную работу, чтобы упростить запутанную настройку.
Производительность VPN
Для измерения пропускной способности VPN мы установили соединение между маршрутизаторами RV082 и NetScreen 5XP. Сам по себе 5XP позволяет достичь производительности 3DES VPN до 13 Мбит/с, а в спецификациях RV082 ничего по этому поводу не сказано.
Маршрутизатор RV082 использует для VPN сопроцессор и способен обработать весь поток, который передаёт NetScreen 5XP, – вплоть до уровня 13 Мбит/с. Затем мы решили использовать NetScreen 5GT, обеспечивающий поток около 20 Мбит/с 3DES VPN, и снова RV082 смог принять все 20 Мбит/с.
Заключение
<img=010%20rvo82%20front.jpg
Нам маршрутизатор понравился. С учётом возможностей его стоимость просто великолепна. Пользователи получат прекрасную производительность и богатый набор возможностей.
Конечно, мы выявили несколько мелких огрех, но их недостаточно, чтобы свести на нет все плюсы Linksys RV082. Маршрутизатор чрезвычайно прост в установке и настройке. Брандмауэр имеет гибкие возможности по настройке и позволяет использовать собственные правила. Поддерживается и принудительный разрыв туннелей VPN. А наличие элементарных возможностей по балансированию нагрузки и поддержке резервного соединения ещё больше украшают его. RV082 может запросто разгромить другие модели и является прекрасным выбором для опытных пользователей, которым нужен максимальный набор возможностей за минимальные деньги.
Итоговая информация о продукте | |
Производитель | Linksys |
Модель | RV082 |
Итог | Маршрутизатор с двумя портами WAN, встроенным 8-портовым коммутатором и сервером VPN IPSec, поддерживающим до 50 туннелей |
Преимущества | – Прекрасное соотношение цена/качество – Высокая пропускная способность туннелей IPSec |
Недостатки | Ограничение задания маски сети в параметрах сервера DHCP |
Розничная цена | $258 (США) |