Для чего нужен роутер в локальной сети

В этой статье мы поговорим о назначении и функции маршрутизатора минуя толстые и сухие фолианты и не прибегая к нудной лекции. Но и рассказать о маршрутизаторе легко и непринужденно тоже вряд ли получиться, ибо тема предполагает фундаментальную базу и содержит ряд сетевых терминов. Несмотря на это, я постараюсь донести до простых обывателей информацию о принципе работы такого высокотехнологичного устройства, как маршрутизатор.

Зачем нужен маршрутизатор?

Обычно для создания простой локальной сети (компьютерной сети) построенной на технологии Ethernet или Wi-Fi используется сетевое устройство (маршрутизатор, модем, коммутатор, точка беспроводного доступа…). Но из всего этого многообразия сетевых устройств нас интересует маршрутизатор. Так зачем он нужен и какую роль ему отвели разработчики  в локальной сети?

Маршрутизатор (router) — это сетевой компьютер связывающий участки локальной сети, который обрабатывает полученные данные по заданным правилам администратора и опираясь на таблицу маршрутизации определяет путь для пересылки данных.

Чтобы было более понятно, давайте разберем участие маршрутизатора в домашней локальной сети. Предположим, что у вас дома есть настольный компьютер (desktop), ноутбук (laptop), принтер или МФУ (Многофункциональное устройство), планшет и в добавок вы хотите купить телевизор Smart с 3D. К вам в квартиру заходит всего лишь один кабель LAN по которому провайдер предоставляет вам доступ к сети интернет. Возникает вопрос: «Как одновременно всем устройствам дать выход в сеть интернет, если кабель от провайдера в квартире один?».

Вот тут-то и приходит на помощь беспроводной маршрутизатор, который можно подключить к кабелю провайдера (верхнее изображение) и дать всем устройствам (Smart TV, компьютер, планшет…) выход в сеть интернет. Если провайдер использует телефонные линии, то подключение маршрутизатора к сети интернет выполняется через модем (нижнее изображение). Связь домашних устройств с беспроводным маршрутизатором осуществляется по кабелю LAN (опрессовка витой пары без инструмента) и по беспроводной сети Wi-Fi (примеры слабого сигнала Wi-Fi).

Принцип работы маршрутизатора.

Таким образом маршрутизатор связывает разнородные сегменты сети (локальную домашнюю сеть и глобальную сеть интернет) и на основе таблицы маршрутизации отправляет данные адресату.

Таблица маршрутизации — это электронная база данных в маршрутизаторе, которая представляет из себя некий набор правил. В ней содержится информация о сетевых маршрутах по которой определяется наилучший путь для передачи пакета данных.

Таблица содержит в себе адрес и маску сети назначения, адрес шлюза (маршрутизатор в сети на который отправляются данные), метрику (расстояние) и интерфейс (имя или идентификатор устройства).

Следует сказать, что маршрутизатор в отличии от коммутатора не умеет составлять таблицу на основе информации из полученных пакетов. Она храниться в его памяти и может создаваться динамически или статически.

Через специальные протоколы маршрутизатор время от времени по каждому адресу отправляет тестовую информацию и на полученных данных поддерживает фактическую карту сети. Другими словами маршрутизаторы периодически сканируют сеть и обмениваются информацией друг о друге и сети к которой они подключены. Этот процесс называется динамической маршрутизацией.

Статическая маршрутизация подразумевает создание таблицы администратором вручную. В этом случае вся маршрутизация выполняется без участия специальных протоколов.

В отличии от коммутатора (Switch/уровень 2 в OSI/»Канальный») и концентратора (Hub/уровень 1 в OSI/»Физический») маршрутизатор стоит на голову выше, так как работает на третьем уровне в модели OSI (базовая эталонная модель), который называется «Сетевым».

На этом буду заканчивать данный пост потому, что теперь вы знаете принцип работы маршрутизатора. Конечно, на деле функции маршрутизатора шире и работает он гораздо сложнее, но я надеюсь, что у меня получилось вам рассказать без «воды» просто о сложном.

Читайте также

• Как сменить канал wi-fi в настройках роутеров разных производителей
• Что такое DMZ в роутере и как настроить демилитаризованную зону
• Технические характеристики витой пары (тип, длина, скорость)

Зачем нужен маршрутизатор?

Обычно
для создания простой локальной сети
(компьютерной сети) построенной на
технологии Ethernet или Wi-Fi используется
сетевое устройство (маршрутизатор,
модем, коммутатор, точка беспроводного
доступа…). Но из всего этого многообразия
сетевых устройств нас интересует
маршрутизатор. Так зачем нужен
маршрутизатор и какую роль он выполняет
в локальной сети?

Маршрутизатор
(router) —
это сетевой компьютер связывающий
участки локальной сети, который
обрабатывает полученные данные по
заданным правилам администратора и
опираясь на таблицу маршрутизации
определяет путь для пересылки данных.

Чтобы
было более понятно, давайте разберем
участие маршрутизатора в домашней
локальной сети. Предположим, что у вас
дома есть настольный компьютер (desktop),
ноутбук (laptop), принтер или МФУ
(Многофункциональное устройство),
планшет и в добавок вы
хотите купить телевизор Smart с 3D.
К вам в квартиру заходит всего лишь
одинкабель
LAN по
которому провайдер предоставляет вам
доступ к сети интернет. Возникает вопрос:
«Как одновременно всем устройствам
дать выход в сеть интернет, если кабель
от провайдера в квартире один?».

Вот
тут-то и приходит на помощь беспроводной
маршрутизатор, который можно подключить
к кабелю провайдера (верхнее изображение)
и дать всем устройствам (Smart TV, компьютер,
планшет…) выход в сеть интернет. Если
провайдер использует телефонные линии,
то подключение
маршрутизатора к сети интернет выполняется
через модем (нижнее изображение). Связь
домашних устройств с беспроводным
маршрутизатором осуществляется по
кабелю LAN (опрессовка
витой пары без инструмента)
и по беспроводной сети Wi-Fi (примеры
слабого сигнала Wi-Fi).

Принцип работы маршрутизатора.

Таким
образом маршрутизатор связывает
разнородные сегменты сети (локальную
домашнюю сеть и глобальную сеть интернет)
и на основе таблицы маршрутизации
отправляет данные адресату.

Таблица
маршрутизации —
это электронная база данных в
маршрутизаторе, которая представляет
из себя некий набор правил. В ней
содержится информация о сетевых маршрутах
по которой определяется наилучший путь
для передачи пакета данных.

Таблица
содержит в себе адрес и маску сети
назначения, адрес шлюза (маршрутизатор
в сети на который отправляются данные),
метрику (расстояние) и интерфейс (имя
или идентификатор устройства).

Следует
сказать, что маршрутизатор в отличии
от коммутатора не умеет составлять
таблицу на основе информации из полученных
пакетов. Она храниться в его памяти и
может создаваться динамически или
статически.

Через
специальные протоколы маршрутизатор
время от времени по каждому адресу
отправляет тестовую информацию и на
полученных данных поддерживает
фактическую карту сети. Другими словами
маршрутизаторы периодически сканируют
сеть и обмениваются информацией друг
о друге и сети к которой они подключены.
Этот процесс называется динамической
маршрутизацией.

Статическая
маршрутизация подразумевает создание
таблицы администратором вручную. В этом
случае вся маршрутизация выполняется
без участия специальных протоколов.

В
отличии от коммутатора (Switch/уровень 2 в
OSI/»Канальный») и концентратора
(Hub/уровень 1 в OSI/»Физический»)
маршрутизатор стоит на голову выше, так
как работает на третьем уровне в модели
OSI (базовая эталонная модель), который
называется «Сетевым».

Наиболее
распространенные разновидности
технологий Ethernet

Обзор
современных локальных сетей Ethernet

Ethernet (эзернет,
от лат. aether — эфир) — пакетная технология
компьютерных сетей.

Ethernet
наиболее популярное во всем мире
семейство стандартов для локальных
сетей, которое охватывает физический
и канальный уровень модели OSI.
Стандарты Ethernet
отличаются поддерживаемой скоростью;
широко распространены на сегодняшний
день скорости 10, 100 и 1000 Мбит/с (т.е. 1
Гбит/с). Различные варианты технологии
также отличаются типом используемой
среды передачи данных, например, в
наиболее популярных стандартах Ethernet
используется недорогой тип кабеля, а
именно неэкрани рованная витая пара
(Unshielded
Twisted
Pair
UTP),
в то время как в других более дорогой
оптоволоконный кабель. Использование
оптоволоконного кабеля оправдано в том
случае, если нужно подключить устройства,
которые находятся на большом рас стоянии
друг от друга, или в случае повышенных
требований к безопасности сети. Для
обеспечения различных потребностей
при создании локальных сетей и были
разработаны различные стандарты,
работающие на разных скоростях, разном
типе среды передачи данных (чем больше
расстояние, тем дороже технология) и
т.п. Институт инженеров по электротехнике
и электронике (IEEE)
опубликовал множество стандартов
Ethernet,
после того, как в начале 1980х он возглавил
процесс стандартизации локальных сетей.
Большинство стандартов поразному
реализовано на физическом уровне,
работает с различными скоростями и
типами кабелей.

В
стандартах IEEE
канальный уровень разделен на два
подуровня:

• 
  IEEE
  802.3 подуровень контроля доступа к среде
  передачи данных

(подуровень
MAC);

• 
  IEEE
  802.2 подуровень управления логическим
  каналом (подуровень LLC).

Фактически
MAC-адрес
получил свое название от названия
нижнего подуровня канального уровня
Ethernet.
Каждый новый стандарт физического
уровня, публикуемый IEEE,
содержит дос таточно много отличий от
предшествующих, но при этом использует
тот же заголовок формата 802.3 и подуровень
LLC
в качестве верхнего уровня.

В
табл. 3.2 перечислены наиболее часто
используемые стандарты Ethernet
IEEE

для
физического уровня.

Таблица
3.2. Наиболее распространенные разновидности
технологии Ethernet

Общеизвестно е название	Скорость (Мбит/с)	Альтернативное название	Стандарт IEEE	Тип кабеля, максимальная длина (м)
Ethernet	10	10BASE-T	IEEE 802.3	Медный, 100
Fast Ethernet	100	100BASE-TX	IEEE 802.3u	Медный, 100
Gigabit Ethernet	1000	1000BASE-LX, 1000BASE-SX	IEEE 802.3z	Оптический, 550 для SX, 5000 для LX
Gigabit Ethernet	1000	1000BASE-T	IEEE 802.3ab	Медный, 100

Уровни протоколов Наиболее распространённой системой классификации сетевых протоколов является так называемая модель OSI. В соответствии с ней протоколы делятся на 7 уровней по своему назначению — от физического (формирование и распознавание электрических или других сигналов) до прикладного (API для передачи информации приложениями):

• Прикладной
  уровень (Application layer). Верхний
  (7-й) уровень модели, обеспечивает
  взаимодействие сети и пользователя.
  Уровень разрешает приложениям
  пользователя доступ к сетевым службам,
  таким как обработчик запросов к базам
  данных, доступ к файлам, пересылке
  электронной почты. Также отвечает за
  передачу служебной информации,
  предоставляет приложениям информацию
  об ошибках и формирует запросы к уровню
  представления. Пример: HTTP, POP3, SMTP.

• Уровень
  представления (Presentation layer). 6-й
  уровень отвечает за преобразование
  протоколов и кодирование/декодирование
  данных. Запросы приложений, полученные
  с уровня приложений, он преобразует в
  формат для передачи по сети, а полученные
  из сети данные преобразует в формат,
  понятный приложениям. На уровне
  представления может осуществляться
  сжатие/распаковка или кодирование/декодирование
  данных, а также перенаправление запросов
  другому сетевому ресурсу, если они не
  могут быть обработаны локально.

• Сеансовый
  уровень (Session layer). 5-й
  уровень модели отвечает за поддержание
  сеанса связи, что позволяет приложениям
  взаимодействовать между собой длительное
  время. Сеансовый уровень управляет
  созданием/завершением сеанса, обменом
  информацией, синхронизацией задач,
  определением права на передачу данных
  и поддержанием сеанса в периоды
  неактивности приложений. Синхронизация
  передачи обеспечивается помещением в
  поток данных контрольных точек, начиная
  с которых возобновляется процесс при
  нарушении взаимодействия.

• Транспортный
  уровень (Transport layer). 4-й
  уровень модели, предназначен для
  доставки данных без ошибок, потерь и
  дублирования в той последовательности,
  как они были переданы. При этом неважно,
  какие данные передаются, откуда и куда,
  то есть он предоставляет сам механизм
  передачи. Блоки данных он разделяет на
  фрагменты, размер которых зависит от
  протокола, короткие объединяет в один,
  а длинные разбивает. Протоколы этого
  уровня предназначены для взаимодействия
  типа точка-точка. Пример: TCP, UDP

• Сетевой
  уровень (Network layer). 3-й
  уровень сетевой модели OSI, предназначен
  для определения пути передачи данных.
  Отвечает за трансляцию логических
  адресов и имён в физические, определение
  кратчайших маршрутов, коммутацию и
  маршрутизацию, отслеживание неполадок
  и заторов в сети. На этом уровне работает
  такое сетевое устройство, как
  маршрутизатор.

• Канальный
  уровень (Data Link layer). Этот
  уровень предназначен для обеспечения
  взаимодействия сетей на физическом
  уровне и контроля за ошибками, которые
  могут возникнуть. Данные, полученные
  с физического уровня, он упаковывает
  во фреймы, проверяет на целостность,
  если нужно исправляет ошибки и отправляет
  на сетевой уровень. Канальный уровень
  может взаимодействовать с одним или
  несколькими физическими уровнями,
  контролируя и управляя этим взаимодействием.
  Спецификация IEEE 802 разделяет этот
  уровень на 2 подуровня — MAC (Media Access
  Control) регулирует доступ к разделяемой
  физической среде, LLC (Logical Link Control)
  обеспечивает обслуживание сетевого
  уровня. На этом уровне работают
  коммутаторы, мосты. В программировании
  этот уровень представляет драйвер
  сетевой платы, в операционных системах
  имеется программный интерфейс
  взаимодействия канального и сетевого
  уровней между собой, это не новый
  уровень, а просто реализация модели
  для конкретной ОС. Примеры таких
  интерфейсов: ODI, NDIS

• Физический
  уровень (Physical layer). Самый
  нижний уровень модели, предназначен
  непосредственно для передачи потока
  данных. Осуществляет передачу
  электрических или оптических сигналов
  в кабель или в радиоэфир и соответственно
  их приём и преобразование в биты данных
  в соответствии с методами кодирования
  цифровых сигналов. Другими словами,
  осуществляет интерфейс между сетевым
  носителем и сетевым устройством. На
  этом уровне работают концентраторы
  (хабы), повторители (ретрансляторы)
  сигнала и медиаконверторы. Функции
  физического уровня реализуются на всех
  устройствах, подключенных к сети. Со
  стороны компьютера функции физического
  уровня выполняются сетевым адаптером
  или последовательным портом.

В
основном используются протокол TCP/IP

Определение:

Transmission Control Protocol/Internet Protocol, TCP/IP (Протокол
управления передачей/Протокол Интернета)

Большинство
операционных систем сетевых серверов
и рабочих станций поддерживает TCP/IP, в
том числе серверы NetWare, все системы
Windows, UNIX, последние версии Mac OS, системы
OpenMVS и z/OS компании IBM, а также OpenVMS компании
DEC. Кроме того, производители сетевого
оборудования создают собственное
системное программное обеспечение для
TCP/IP, включая средства повышения
производительности устройств. Стек
TCP/IP изначально применялся на UNIX-системах,
а затем быстро распространился на многие
другие типы сетей.

Протоколы
локальных сетей

Протоколы
локальных сетей

• IPX/SPX;

• NetBEUI;

• AppleTalk;

• TCP/IP;

• SNA;

• DLC;

• DNA;

Свойства
протоколов локальной сети

В
основном протоколы локальных сетей
имеют такие же свойства, как и Другие
коммуникационные протоколы, однако
некоторые из них были разработаны давно,
при создании первых сетей, которые
работали медленно, были ненадежными и
более подверженными электромагнитным
и радиопомехам. Поэтому для современных
коммуникаций некоторые протоколы не
вполне пригодны. К недостаткам таких
протоколов относится слабая защита от
ошибок или избыточный сетевой трафик.
Кроме того, определенные протоколы были
созданы для небольших локальных сетей
и задолго до появления современных
корпоративных сетей с развитыми
средствами маршрутизации.

Протоколы
локальных сетей должны иметь следующие
основные характеристики:

• обеспечивать
  надежность сетевых каналов;

• обладать
  высоким быстродействием;

• обрабатывать
  исходные и целевые адреса узлов;

• соответствовать 
  сетевым  стандартам, в особенности
  — стандарту IEEE 802.

В
основном все протоколы, рассматриваемые
в этой главе, соответствуют перечисленным
требованиям, однако, как вы узнаете
позднее, у одних протоколов возможностей
больше, чем у других.

В
таблице перечислены протоколы локальных
сетей и операционные системы, с которыми
эти протоколы могут работать. Далее в
главе указаны протоколы и системы (в
частности, операционные системы серверов
и хост компьютеров) будут описаны
подробнее.

Таблица Протоколы
локальных сетей и сетевые операционные
системы

Протокол	Соответствующая операционная система
IPX/SPX	Novell NetWare
NetBEUI	Первые версии операционных систем Microsoft Windows
AppleTalk	Apple Macintosh
TCP/IP	UNIX, Novel NetWare, современные версии операционных систем Microsoft Windows, операционные системы мэйнфреймов IBM
SNA	Операционные системы мэйнфреймов и миникомпьютеров IBM
DLC	Клиентские системы, взаимодействующие с мэйнфреймами IBM, настроенными на работу с протоколом SNA

Понятие
протокола Интернет

Очевидно,
что рано или поздно компьютеры,
расположенные в разных точках земного
шара, по мере увеличения своего количества
должны были обрести некие средства
общения. Такими средствами стали
компьютерные сети. Сети бывают локальными
и глобальными. Локальная сеть — это сеть,
объединяющая компьютеры, географически
расположенные на небольшом расстоянии
друг от друга — например, в одном здании.
Глобальные сети служат для соединения
сетей и компьютеров, которых разделяют
большие расстояния — в сотни и тысячи
километров. Интернет относится к классу
глобальных сетей.

Простое
подключение одного компьютера к другому
— шаг, необходимый для создания сети, но
не достаточный. Чтобы начать передавать
информацию, нужно убедиться, что
компьютеры «понимают» друг друга.
Как же компьютеры «общаются» по
сети? Чтобы обеспечить эту возможность,
были разработаны специальные средства,
получившие название «протоколы».
Протокол — это совокупность правил, в
соответствии с которыми происходит
передача информации через сеть. Понятие
протокола применимо не только к
компьютерной индустрии. Даже те, кто
никогда не имел дела с Интернетом, скорее
всего работали в повседневной жизни с
какими-либо устройствами, функционирование
которых основано на использовании
протоколов. Так, обычная телефонная
сеть общего пользования тоже имеет свой
протокол, который позволяет аппаратам,
например, устанавливать факт снятия
трубки на другом конце линии или
распознавать сигнал о разъединении и
даже номер звонящего.

Исходя
из этой естественной необходимости,
миру компьютеров потребовался единый
язык (то есть протокол), который был бы
понятен каждому из них.

Основные
протоколы используемые в работе Интернет:

• TCP/IP

• POP3

• SMTP

• FTP

• HTTP

• IMAP4

• WAIS

• Gorpher

• WAP

Маршрутизируем и защищаем сеть

Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках «Anti-Spam» доступно:

• «белый список» — «White List», чтобы определять и пропускать полезную почту от доваренных отправителей.
• «черный список» — «Black List» для выявления и обработки спама;
• также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

• улучшено представление информации;
• расширен спектр обнаруживаемых угроз;
• добавлена фильтрацию по URL-адресам и доменам HTTPS;
• добавлен безопасный поиск и блокирование по GeoIP.

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Полезные ссылки

1. Telegram chat Zyxel
2. Форум по оборудованию Zyxel
3. Много полезного видео на канале Youtube
4. Для тех, кто выбирает межсетевой экран
5. Коммутаторы Zyxel L3 серии XGS4600
6. Межсетевой экран VPN ZyWALL VPN1000
7. Межсетевой экран ATP ZyWALL ATP800
8. Фильтрация контента Content Filtering 2.0
9. Zyxel Application Patrol
10. Что такое DNSBL и как туда вам не попасть

Берем два роутера: производитель один, скоростные характеристики одинаковы, количество портов LAN одно и то же. А цена отличается в разы. Просто один из роутеров — управляемый, а второй — нет. Нужна ли эта управляемость и стоит ли за нее переплачивать? Попробуем разобраться.

Роутеры, свитчи и хабы — в чем разница

Для начала определимся с тем, что такое вообще маршрутизатор. Cуществует целый ряд сетевых устройств примерно одного назначения и вида — хабы, свитчи и роутеры. Все они служат для организации сетевого обмена между несколькими компьютерами. Но есть разница в том, как они это делают.

Хаб (концентратор)
Самое простое устройство, позволяющее соединить несколько компьютеров в локальную сеть. Сегодня уже почти не встречается в продаже. Хаб не разбирается кому какой пакет предназначен. Он просто ретранслирует полученный сигнал всем остальным подключенным клиентам.

Поскольку в сети Ethernet в один момент времени может проходить только один сигнал, скорость в сети падает тем сильнее, чем больше в ней компьютеров. Для современных высокоскоростных сетей это неприемлемо, поэтому хабы с полок магазинов пропали.

Свитч (коммутатор)
Свитч также предназначен для организации локальной сети. Но, в отличие от хаба, он анализирует каждый полученный пакет и передает его именно тому клиенту, которому предназначен.

Благодаря этому через свитч в один момент времени может проходить несколько пакетов от разных отправителей разным получателям.

Роутер (маршрутизатор)
Роутер не только организует локальную сеть, но и обеспечивает межсетевое соединение. Он выполняет и функции свитча, и функции шлюза (моста) между двумя сетями. Роутер анализирует каждый пакет и выясняет, кому он предназначен. В зависимости от адресата, роутер либо передает пакет на компьютер внутри сети, либо отправляет его «наружу», соответствующим образом подготовив. Также роутер отвечает за получение пакетов «извне», определение адресата внутри сети и передачу пакетов ему.

Чаще всего роутер используется для организации локальной сети с возможностью выхода ее компьютеров в Интернет. К этому же классу устройств относятся всем знакомые Wi-Fi роутеры.

Управляемые и неуправляемые
Роутер может быть как управляемым, так и неуправляемым. Неуправляемый — это вовсе не значит, что вы не сможете его вручную настраивать (как утверждают некоторые консультанты в магазинах). Все нужные для организации сети и выхода в интернет настройки в веб-интерфейсе есть и у неуправляемых роутеров. Управляемый отличается тем, что он поддерживает SNMP и VLAN.

Протокол SNMP — для чего нужен и как работает

SNMP расшифровывается как «Simple Network Management Protocol» («Простой протокол сетевого управления»). С его помощью роутер можно удаленно конфигурировать и получать с него статистическую информацию.

Чаще всего SNMP используется именно для сбора статистики. С его помощью системный администратор может получить полную картину о состоянии сети. Особенно это важно, если сеть содержит нагруженные сетевые устройства (хранилища, сетевые принтеры, веб-камеры) и состоит из множества подсетей, организованных своими роутерами. При развитии такой сети рано или поздно возникают нагруженные участки, тормозящие всю работу. (Так же, как пробки в большом городе тормозят всю его жизнедеятельность.) SNMP помогает собрать информацию обо всех этих «пробках» и перераспределить сетевой трафик.

SNMP работает по принципу клиент-сервер, все устройства, поддерживающие этот протокол делятся на агентов и менеджеров. Агенты работают на устройствах, которыми нужно управлять, а менеджеры — на устройствах, которые выполняют управление. Менеджеры отправляют запросы агентам для получения информации, например, о загрузке процессора, используемом объеме памяти или состоянии интерфейса. SNMP-менеджеры с помощью соответствующих команд SNMP-агентам могут также производить их удаленную настройку.

SNMP-агенты, в свою очередь, ответственны за сбор информации о состоянии устройства и отправку ее обратно менеджеру SNMP. Агент может и сам инициировать отправку данных менеджеру при наступлении сбоя или какого-либо события.

Поддержка VLAN — что это и зачем нужно

Еще одна аббревиатура, отличающая управляемый роутер от неуправляемого — VLAN. VLAN расшифровывается как «Virtual Local Area Network» («Виртуальная локальная сеть»). VLAN позволяет организовать локальную сеть, объединяющую несколько компьютеров независимо от их физического расположения. Они могут находиться в одной сети и быть подключены к одному роутеру. А могут находиться в разных частях земного шара, и между ними может быть множество маршрутизаторов и шлюзов. Все они, будучи в VLAN, будут уверены, что находятся в одной локальной сети.

Зачем это нужно?

• Для уменьшения трафика в сети. Широковещательные пакеты (например, протокола DHCP) будут распространяться не на все физически подключенные к отправителю компьютеры, а только на те, которые состоят в одном VLAN. Это особенно важно для больших сетей.
• Для увеличения безопасности. Компьютеры из разных VLAN не могут напрямую общаться друг с другом — только через маршрутизатор. Это упрощает настройку безопасности сети. Не нужно ставить и конфигурировать файрволл на каждом компьютере, достаточно один раз произвести настройку маршрутизатора.
• Для упрощения управления сетями. Разделив большую сеть на несколько VLAN, объединенных общим функционалом, можно быстро и точно настроить права и ограничения всем пользователям. Например, разделить сеть предприятия на «гостевую», «техническую» и «административную», раздав им соответствующие права.

Может ли быть польза от управляемого маршрутизатора в домашней сети

Как нетрудно заметить, большинство возможностей управляемых роутеров проявляется в больших сетях. А есть ли смысл в покупке такого домой?

SNMP дома
SNMP — эффективный механизм мониторинга сети. Он позволяет быстро найти все «слабые» звенья внутри сети. Но использование SNMP — задача нетривиальная. Среди сетевых специалистов давно уже ходит шутка о том, что слово «Simple» в аббревиатуре SNMP надо писать в кавычках.

Так что если в вашей сети клиентов «раз, два и обчелся», то намного проще найти то самое «слабое» звено другими способами. Например, по очереди отключать клиентов, внимательно изучая статистику соединений в веб-интерфейсе.

• SNMP не поможет, если скорость падает «снаружи».
• SNMP не поможет, если скорость падает из-за плохого прохождения сигнала в сети Wi-Fi.
• SNMP поможет найти «злодея», который втихаря качает фильмы с торрентов, завешивая всю сетку.
• SNMP поможет выявить зараженный ботнетом компьютер в сети. В сети с несколькими роутерами
• SNMP поможет выявить наиболее нагруженный и не справляющийся со своей работой.

Так что если клиентов в вашей сети уже больше десятка, вы не против освоить новую сетевую технологию и у вас есть некоторая сумма на покупку управляемого роутера — можете попробовать. Wi-Fi роутеры с поддержкой SNMP в продаже есть.

VLAN дома
Об оптимизации широковещательного трафика в домашней сети говорить смысла нет. Его там не настолько много. Так что единственное преимущество VLAN остается в увеличении безопасности путем создания нескольких сетей со своими правами. Напрашивается идея о разделении домашней сети на «доверенную» и «гостевую». В первую будут включены домочадцы, пароль от второй можно спокойно давать всем гостям, не боясь, что среди них окажется злобный хакер. Вот только для этого не нужна полноценна поддержка VLAN. Большинство роутеров позволяют создавать гостевую сеть со своими настройками — эдакий VLAN «на минималках» — и чаще всего этого более чем достаточно.

Еще поддержка VLAN на домашнем роутере может потребоваться, если вам нужно включить один из компьютеров вашей домашней сети в корпоративную VLAN. Например, вы работаете на удаленке и вам нужен доступ в рабочую сеть. Чаще всего эта задача решается с помощью специального ПО, запускаемого на вашем компьютере. Но можно и через настройку VLAN на вашем роутере. Правда, это требует настройки центрального коммутатора корпоративной сети, поэтому практикуется редко.

Вывод

Если вы подбираете роутер для небольшой домашней сети, нет смысла переплачивать за управляемую модель. Никакого улучшения функционала по сравнению с неуправляемым вы не заметите. А вот если ваша сеть довольно велика и вы хорошо ориентируетесь в сетевых технологиях, управляемый роутер даст вам дополнительные возможности для контроля и управления трафиком.

Отредактировано: 10.02.2023

Роутер — это важное устройство в любой сети, будь то домашняя или корпоративная. Он обеспечивает связь между устройствами и сетью интернет, а также защищает сеть от внешних угроз. В данной статье мы рассмотрим, для чего нужен роутер и как он работает.

Для чего нужен роутер?

Роутер используется для раздачи Интернет-соединения между устройствами в сети. Он позволяет нескольким устройствам одновременно подключаться к Интернету через единый порт WAN (Wide Area Network). Это очень удобно, если у вас есть несколько компьютеров, смартфонов, планшетов или других устройств, которые вы хотите подключить к Интернету. Маршрутизаторы определяют самый быстрый путь передачи данных между отдельными IP-адресами в сети, используя так называемое «метрическое значение». Затем маршрутизатор следует специально определенным правилам, называемым интернет-протоколами, для отправки данных по пути с наименьшим значением метрики. 

Кроме того, роутер может использоваться для защиты сети. Он может фильтровать входящие и исходящие трафики, блокировать небезопасные сайты или устройства, а также защищать сеть от взлома с помощью мер безопасности, таких как WPA2, VPN или брандмауэр.

Как роутер работает?

Роутер работает как перенаправляющее устройство, которое обрабатывает данные и определяет, куда они должны быть направлены. Он использует IP-адреса, чтобы определить, какие данные должны быть переданы определенному устройству. Он работает в связке с модемом, для подключения к Интернету вам потребуется и модем, и сетевой маршрутизатор. Однако в настоящее время оба устройства обычно объединяются в одном устройстве.

Когда пакеты данных поступают от подключенных устройств, маршрутизатор перенаправляет их на модем. Затем модем отправляет информацию на соответствующий сервер, который подключен к Интернету через собственный маршрутизатор. Затем сервер «обслуживает» запрошенные пакеты данных обратно на устройство и выполняет обратный процесс. Когда интернет-трафик поступает на ваш маршрутизатор через модем, он направляется на определенный IP-адрес, чтобы достичь нужного устройства. 

Роутер имеет два входных порта: WAN и LAN. WAN-порт подключается к Интернету, а LAN-порты используются для подключения локальных устройств. Когда данные поступают в него через WAN-порт, он анализирует их и определяет, куда их надо передать. Если данные направляются на локальное устройство, он передает их через LAN-порт.

Роутер также может реализовывать различные функции, такие как маршрутизация, настройка безопасности, медиа-сервер и другие.

• Маршрутизация — это процесс, который позволяет роутеру определять, какие данные должны быть переданы в Интернет, а какие должны оставаться внутри локальной сети.
• Настройка безопасности — это важный элемент работы роутера. Она позволяет защитить сеть от взлома, запретить доступ к небезопасным сайтам и устройствам и гарантировать конфиденциальность данных.
• Медиа-сервер, это функция, которая позволяет расшаривать мультимедиа-контент через локальную сеть. Это может быть полезно, если у вас есть много устройств, и вы хотите, чтобы они все могли иметь доступ к мультимедийным файлам.

Что делает Wi-Fi роутер?

Роутер и Wi-Fi, это разные вещи, но они связаны и взаимодействуют друг с другом. Роутер является оборудованием, которое позволяет вам подключаться к Интернету и распределять это подключение между устройствами. Он также может выполнять другие функции, такие как безопасность, маршрутизация и управление пропускной способностью.

Wi-Fi, с другой стороны, является стандартом беспроводной связи, который позволяет устройствам подключаться к Интернету беспроводным образом. В большинстве случаев роутеры выступают в качестве точек доступа Wi-Fi, позволяя устройствам подключаться к Интернету по этому каналу. Таким образом, можно сказать, что роутер использует Wi-Fi как средство подключения устройств к Интернету.

Чем роутер отличается от маршрутизатора?

Часто термины «роутер» и «маршрутизатор» используются как синонимы, и это действительно так, но под маршрутизаторами в основном подразумевают более технически сложные профессиональные устройства.

Роутер, это комбинированное устройство, которое выполняет несколько функций, таких как подключение к Интернету, по сетевому кабелю (компьютеры, телевизоры и т. п.), или по Wi-Fi (смартфоны, планшеты, ноутбуки), передачу данных между устройствами, а также управление безопасностью и контроль пропускной емкости.

Маршрутизатор, с другой стороны, является устройством, которое в основном используется для передачи данных между разными сетями. Маршрутизаторы обычно используются в более крупных сетях и имеют более продвинутые функции, такие как контроль пропускной емкости, маршрутизация и управление политиками безопасности, чем роутеры.

В общем, они обеспечивают передачу данных между устройствами, но роутеры обычно используются в менее сложных домашних или малых офисных сетях, в то время как маршрутизаторы обычно используются в более крупных сетях, таких как корпоративные сети. Таким образом, роутеры и маршрутизаторы отличаются сложностью функций, размером сети и уровнем управления.

Чем отличаются роутеры?

• Скорость: Роутеры могут поддерживать разные скорости Wi-Fi или проводной сети, например 802.11ac и 802.11n. Расширенные функции: некоторые роутеры могут иметь дополнительные функции, такие как встроенный VPN-сервер, блокировщик всплывающих окон или контроль родительской защиты.
• Дизайн: Роутеры могут быть разных размеров и форм, некоторые из них могут иметь внешний или встроенный дисплей.
• Поддержка протоколов: Роутеры могут поддерживать разные протоколы, такие как IPv6 или VPN.
• Цена: стоимость роутеров может отличаться в несколько десятков раз в зависимости от функций и спецификаций.
• Бренд и качество: Роутеры могут производиться разными производителями с разными уровнями качества и репутацией. Некоторые известные бренды роутеров, такие как Zyxel, D-Link и TP-Link, обеспечивают высокое качество и надежность, в то время как другие могут быть не так известны или предлагать менее высокое качество.
• Совместимость с другими устройствами: Роутеры могут иметь различные стандарты Wi-Fi или проводных сетей, и некоторые могут быть совместимы только с определенными устройствами. Важно убедиться, что роутер поддерживает стандарты, используемые вашими устройствами, перед покупкой.

Заключение

В заключение, роутер является необходимым элементом любой локальной сети, ведь он позволяет соединять устройства и обеспечивать их доступ в Интернет. Кроме того, он предоставляет возможность управлять и настраивать различные функции, такие как маршрутизация, настройка безопасности и медиа-сервер, что позволяет обеспечить безопасность и эффективность сети.

В зависимости от ваших потребностей вы можете выбрать роутер с базовыми или дополнительными функциями. Независимо от выбора, важно знать, как работает устройство и как его настраивать, чтобы максимально использовать все его возможности.

В целом, роутер незаменимый элемент современной технологии, который помогает улучшить эффективность и безопасность локальных сетей.

Если стоит выбор, где купить маршрутизатор, выбирайте надёжного поставщика. Компания «АнЛан» занимает лидирующие позиции на рынке РФ с 2007 года. Разумная цена и европейское качество — то, что отличает продукцию компании от других организаций.