Маршрутизатор или роутер (от англ. router), - сетевое устройство, на основании информации о топологии сети и определенных
правил, принимающее решения о пересылке пакетов сетевого уровня (уровень 3 модели OSI) между различными сегментами сети.
Для обычного пользователя маршрутизатор (роутер) - сетевое устройство, которое подключается между локальной сетью и интернетом.
Зачастую маршрутизатор не ограничивается простой пересылкой данных между интерфейсами, а также выполняет и другие функции:
защищает локальную сеть от внешних угроз, ограничивает доступ пользователей локальной сети к ресурсам интернета, раздает
IP-адреса, шифрует трафик и многое другое.
Межсетевой экран (Firewall), он же брандмауэр, он же файервол.
Предназначен для защиты сети. Фильтрует трафик между внешним и внутренним сегментами сети, согласно предопределенным правилам.
- NAT (Network Address Translation) - технология трансляции сетевых адресов. Позволяет преобразовывать IP-адреса компьютеров локальной
сети во внешние IP-адреса и обратно. Благодаря NAT, можно, используя один или несколько внешних IP-адресов, выданных провайдером,
подключить к сети практически любое количество компьютеров. Большинство маршрутизаторов позволяет выполнять трансляцию адресов,
благодаря чему их можно использовать для подключения небольших сетей к интернету, используя один внешний IP-адрес. - SPI Технология SPI (Stateful Packet Inspection) позволяет дополнительно защититься от атак, выполняя проверку трафика на корректность
(работают на сетевом, сеансовом и прикладном уровнях модели OSI). Большинство маршрутизаторов сегодня имеет SPI-брандмауэры. - WEB-интерфейс. Наличие Web-интерфейса позволяет управлять работой маршрутизатора с помощью web-браузера и позволяет работать
с маршрутизатором, не имея знаний в области сетевых технологий. Практически все выпускаемые сегодня модели имеют Web-интерфейс.
Автоматическое определение MDI/MDIX. Для подключения компьютера к коммутатору или сетевому устройству используют обычный
кабель, для соединения двух компьютеров или двух коммутаторов между собой - кросс-кабель. Так было до тех пор, пока не появилась
возможность автоматического определения типа подключаемого оборудования. Сетевые устройства с автоматическим определением
MDI/MDIX при подключении тестируют все контакты разъема, после чего устанавливают тип подключения. При наличии такой функции,
для соединения сетевых устройств можно использовать любой кабель.
Внешний интерфейс
WAN - внешний интерфейс маршрутизатора, используется для подключения к провайдеру. Чаще всего в качестве WAN-порта используется
интерфейс Ethernet (или FastEthernet 10/100 Мбит/с). Все параметры, относящиеся к этому разделу, описывают тип подключения к сети.
Может быть несколько вариантов типа подключения:
- Динамический IP-адрес (Dynamic IP), также называют "DHCP-клиент". Маршрутизатор автоматически получает свой IP-адрес,
адреса шлюза по умолчанию и адреса серверов DNS. Такой тип подключения достаточно широко распространен, предоставляет
провайдеру достаточную гибкость при конфигурировании своей сети. При этом клиентам могут выдаваться как постоянные,
закрепленные за клиентами адреса, так и свободно выбираемые из диапазона доступных. - Статический IP-адрес (Static IP) наиболее часто используется корпоративными клиентами, которым необходим постоянный
IP-адрес. При этом типе подключения клиенту требуется самостоятельно задать свой IP-адрес, адрес шлюза по умолчанию и
адрес сервера DNS, предоставленные провайдером. - PPPoE (протокол Point-to-Point Protocol over Ethernet) метод аутентификации, популярный среди провайдеров DSL-интернета.
Для подключения от пользователя требуется указать имя и пароль, при этом обеспечивается аутентификация, мониторинг
и контроль подключений. Для клиента она достаточно удобна, поскольку требует минимальных знаний при настройке.
PPPoE сегодня поддерживают почти все маршрутизаторы. - PPTP (Point-to-Point Tunnelling Protocol) обычно используется для установления частного соединения с провайдером по локальной сети.
Для установления соединения от пользователя требуется имя пользователя и пароль, а также адрес сервера. - 802.1X - стандарт безопасности, предусматривающий аутентификацию пользователя в сети. Обычно используется в режиме EAP-MD5.
Этот тип подключения поддерживают не все маршрутизаторы, поэтому, если ваш провайдер использует именно его, то следует быть
особенно внимательным при выборе маршрутизатора. - MTU (Maximum Transmission Unit) Параметр наиболее интересен тем, кто использует соединение PPPoE, или для тех, кто пытается
настроить соединение VPN, или то и другое одновременно. Необходимость изменять этот параметр вызвана настройками сетей
некоторых провайдеров. Подробнее узнать о том, к чему приводят эти изменения, можно на сайте speedguide.net, тем не менее,
мы считаем, что вам не стоит изменять этот параметр до тех пор, пока провайдер или производитель не посоветуют это сделать.
Внутренний интерфейс
Сервер DHCP Практически все современные модели маршрутизаторов имеют встроенный сервер DHCP, который позволяет автоматически
предоставлять клиентам локальной сети настройки TCP/IP, необходимые для получения доступа к сети. Сервер DHCP имеет ряд настроек:
диапазон выдаваемых адресов (Address Range), резервирование IP-адресов (IP reservation, адреса, которые будут исключены из списка
распределяемых сервером), имя домена (Domain Name), адреса серверов DNS.
Перенаправление портов и виртуальные серверы (Port Mapping, Port Forwarding, Virtual Server). Функция позволяет перенаправлять
обращения к указанным портам внешнего интерфейса маршрутизатора на устройства, подключенные к внутреннему интерфейсу.
Необходимость перенаправления может возникнуть, например, при размещении внутри сети различных серверов (Web, FTP).
При использовании перенаправления следует обратить внимание на брандмауэр: некоторые устройства автоматически создают
соответствующие перенаправлению портов правила брандмауэра, однако в большинстве случаев разрешать прохождение трафика
придется самостоятельно. Отметим также, что существует несколько способов перенаправления портов:
- Статическое перенаправление одиночных портов (Static) - простейший случай, при котором задаются соответствия между TCP/UDP
протоколом и портами внешнего интерфейса и протоколом и портами внутреннего, а также адресами устройств внутренней сети.
Работа такого перенаправления позволит сделать сервер, расположенный во внутренней сети доступным из внешней сети. - Статическое перенаправление групп портов. Отличается от статического перенаправления одиночных портов лишь тем, что для
перенаправления можно указывать не отдельные порты, а их группы (список отдельных портов или диапазон). Они направляются
на один адрес. Такое перенаправление позволяет обеспечить работу таких приложений, как игры и аудио/видеоконференции. - Динамическое перенаправление портов (Dynamic, Triggered Mapping, Special Application). Основное отличие от статического
перенаправления портов заключается в том, что один номер порта можно перенаправить на несколько внутренних IP-адресов
(но не одновременно). Использование динамического перенаправления актуально для приложений, использующих кратковре-
менные передачи данных, которые не занимают порт надолго. Следует отметить, что событие, инициирующее динамическое
перенаправление, должно происходить во внутреннем сегменте сети, что налагает существенные ограничения на использова-
ние этого типа перенаправления при хостинге служб.
Безопасность
Блокирование запросов ping снаружи, режим невидимости (Discard WAN ping, Stealth mode). Поскольку для определения доступности
того или иного узла в интернете зачастую используют запросы ping, то не ответив на такой запрос, компьютер скрывает свое присутствие.
Многие маршрутизаторы позволяют блокировать запросы ping, точнее, блокировать ответы на эти запросы, скрывая присутствие в сети.
Фильтрация содержания (Content filtering). Функция фильтрации содержания предназначена для ограничения доступа пользователей
локальной сети к ресурсам интернета с сомнительным содержанием. В зависимости от версии, позволяет создать черный или белый список
URL или IP-адресов или задействовать списки фильтрации сторонних организаций. Следует отметить, что фильтрация содержания может
применяться для всех компьютеров локальной сети или только для некоторых, зачастую можно задать расписание работы этих списков.
Контроль доступа, фильтрация портов (Access Control, Port filtering). Во многих небольших организациях прямой доступ к всем сервисам
интернета ограничен. Одним из вариантов такого ограничения может быть использование маршрутизатора. Некоторым пользователям
можно разрешить доступ только к электронной почте, тогда как другим - добавить доступ к web-страницам и ICQ, а третьим разрешить
пользоваться всеми сервисами без ограничений. Для удобства настройки, маршрутизаторы позволяют создавать группы локальных
пользователей, для которых можно разрешать или запрещать доступ. Кроме того, большинство маршрутизаторов позволяет
активировать ограничения по расписанию.
Интересны также различия в действиях маршрутизатора при блокировании неразрешенного трафика. Некоторые просто блокируют,
создавая у пользователя впечатление, что сервис недоступен и никак не проявляя себя, другие передают соответствующее этому
сообщение для пользователя и регистрируют попытки доступа в системном журнале маршрутизатора.
Виртуальная сеть
Виртуальные частные сети VPN (Virtual Private Networking). Виртуальные частные сети - достаточно популярная тема, относящаяся
к безопасности компьютерных сетей. Благодаря технологиям VPN, стало возможно использовать общедоступные небезопасные сети,
как интернет, для защищенной передачи данных, используя для этого возможности шифрования и электронно-цифровой подписи.
При таком подключении пользователь может работать с ресурсами удаленной сети точно так же, как с ресурсами локальной сети.
Многие производители маршрутизаторов стали выпускать модели с поддержкой VPN, начиная от простого пропускания туннелей
VPN, до полноценных встроенных серверов PPTP или IPSec. Следующие протоколы используются для создания VPN:
IPSec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), SSL.
- Пропускание туннелей (VPN pass through) позволяет туннелям VPN проходить через маршрутизатор; наличие этой функции
стало стандартом де-факто, хотя раньше не через все устройства можно было установить VPN-соединение. - VPN-клиент позволяет инициировать соединение с VPN-сервером. Представляет интерес для абонентов провайдеров,
предоставляющих доступ в сеть через VPN (часто используется протокол PPTP), а также для филиалов предприятий, которым
необходимо безопасное подключение к центральному офису. - VPN-сервер позволяет принимать подключения, инициированные клиентами. Зачастую используется в центральных офисах
предприятий для подключения филиалов и сотрудников.
Поддержка VPN-туннелей (VPN Endpoint). Создание виртуального туннеля между маршрутизаторами сетей чаще всего предполагает
использование протоколов IPSec, которые позволяют шифровать и расшифровывать передаваемые данные, а также проверять их
неизменность и обмениваться ключами. Именно такой сценарий сегодня наиболее активно используется для объединения нескольких
удаленных друг от друга сетей.
Дополнительные возможности
Демилитаризованная зона, внешний сервер (DMZ, Exposed Server). Данная функция позволяет "выставить" один из компьютеров,
находящихся в локальной сети, в глобальную сеть, как если бы он был подключен к ней напрямую. С технической точки зрения, в
этом случае осуществляется перенаправление всех портов на один внутренний IP-адрес. Такое бывает интересно при размещении
серверов, использующих множество различных портов. Отметим, что для DMZ может использоваться отдельный физический порт на
маршрутизаторе или указываться IP-адрес компьютера, подключенного к одному из обычных портов.
Поддержка динамической DNS (Dynamic DNS). Вообще, DNS (Domain Name System, система доменных имен) используется для
преобразования символьных имен сайтов в статические IP-адреса. Динамическая же DNS позволяет преобразовывать символьные
имена сайтов не только в статические, но и в динамически выдаваемые IP-адреса. Актуальна для тех пользователей, которые
хотят предоставить доступ к своему серверу по доменному имени, но не имеют возможности получить статический IP. Для работы
с системой можно воспользоваться услугами DDNS.org, DynDNS.org, TZO.com и других.
Сервер печати (Print Server). Встроенные серверы печати сегодня стали весьма популярной опцией домашних маршрутизаторов,
которая позволяет подключать принтер с портом LPT или USB к маршрутизатору, а не к компьютеру сети. При таком подключении
доступ к принтеру будет возможен при наличии доступа к маршрутизатору и не будет зависеть от какого-либо компьютера.
Наличие сервера печати особенно удобно в том случае, если дома несколько компьютеров, с которых зачастую приходится
распечатывать документы на одном общем принтере.
Удаленное управление (Remote Administration/ Remote Management). Оно позволяет подключаться к WEB-интерфейсу настройки
маршрутизатора из внешнего сегмента сети. Удаленный доступ к интерфейсу настройки особенно полезен при разъездном
характере работы сотрудника, отвечающего за работу сети. Однако, используя эту возможность, следует особенно внимательно
подойти к вопросу безопасности такого подключения, поскольку получив доступ к маршрутизатору, злоумышленник сможет
получить доступ и ко всей сети. Отметим, что для защиты такого подключения зачастую применяют ограничение входа с одного
или нескольких IP-адресов, использование защищенного протокола, например, HTTPS, а также изменение номера порта,
используемого для подключения.
Журналирование (Logging) - возможность маршрутизатора вести журнал событий. Разные модели обеспечивают разную
глубину журналирования: простейшие модели могут ограничиться регистрацией административных входов систему, наиболее
прогрессивные - вести статистику по обращениям пользователей и регистрировать все изменения в собственной конфигурации.
VoIP-адаптер. Поддержка Voice over IP позволяет использовать маршрутизатор в качестве шлюза IP-телефонии, то есть для
передачи голоса по IP-сети. Использование IP-телефонии в последнее время стало особенно актуально, поскольку позволяет
существенно снизить затраты на междугороднюю и международную телефонию. При наличии встроенного адаптера, маршрутизатор
имеет порты для подключения обычных аналоговых телефонных аппаратов или миниАТС, для подключения телефонных аппаратов
используются порты с обозначением FXS, для подключения внутренних портов АТС - FXO. При наличии нескольких портов, можно
подключить несколько устройств, в таком случае будет поддерживаться несколько одновременных соединений. Для подключения
к таким портам обычно используется разъем RJ-11. Порт Lifeline также можно отнести к VoIP-адаптеру. Использование его актуально
в том случае, если VoIP-сервис недоступен. К этому порту подключается обычная телефонная линия, и при отсутствии доступа в VoIP
звонки идут через нее.
Поддержка PoE (Power over Ethernet). Эта технология предусматривает одновременную передачу по кабелям Ethernet данных
и электропитания. Часто используется для подключения сетевых устройств, находящихся в труднодоступных местах, где нет
возможности обеспечить стандартное питание.