VPN-маршрутизатор с балансировкой нагрузки - Level One FBR-4000

Прошло несколько лет с тех пор, как Интернет пришёл в российский бизнес, или российский бизнес пришёл в Интернет. Сегодня большинство компаний имеют свои сайты, а также постоянный доступ в Интернет. И если небольшие компании, находящиеся в одном месте, пока не задаются околоинтернетными вопросами, такими, как резервирование подключений или построение виртуальных частных сетей поверх Интернета, то крупные, территориально распределённые организации в полной мере используют все преимущества, которые принёс Интернет. Воспользоваться преимуществами можно только при помощи соответствующих технических и программных решений, решающих различные задачи. Так, одно оборудование позволяет резервировать каналы, другое - строить VPN, третье - фильтровать трафик. Конечно, такое разделение очень субъективно, поскольку множество решений сочетают в себе все эти возможности. Ранее мы рассматривали подобные решения в материале VPN-маршрутизатор - Level One FBR-2000, напомним, что те устройства позволяли резервировать внешние каналы, автоматически распределяя трафик между внешними интерфейсами и, в случае недоступности одного, полностью передавая весь трафик на другой. Сегодняшний материал мы посвятим ещё одному маршрутизатору компании Level One - FBR-4000. Эта модель является более мощным решением, чем 2000-ная и позволяет подключать до четырёх внешних каналов, обеспечивая маршрутизацию трафика и резервирование подключений.

Комплектация

Маршрутизатор поставляется в картонной упаковке, выполненной в известном по предыдущим материалам стиле компании. В комплекте с маршрутизатором мы обнаружили кабель питания, диск с ПО и документацией, бумажную версию руководства по быстрой установке и настройке, комплект кронштейнов для установки маршрутизатора в стойку и комплект резиновых самоклеящихся ножек для настольной установки.

Внешний вид и устройство

Внешне маршрутизатор не представляет ничего особенного - строгий металлический корпус, позволяющий устанавливать устройство в стандартную 19-ти дюймовую стойку. Все индикаторы находятся на передней панели, здесь же расположены все порты. Маршрутизатор имеет следующие индикаторы: Питание/Power, System, Packets, и 16 индикаторов, отображающих состояние портов. Портов также 16: первые четыре порта предназначены для подключения внешних каналов (WAN), далее следуют 10 портов для подключения локальных устройств (LAN) и все это дополняют два порта демилитаризованной зоны (DMZ). Все порты 10/100Base-TX. На передней панели расположена клавиша сброса настроек, которая спрятана за специальное отверстие, во избежание случайных нажатий. На задней панели расположен разъём для подключения питания. На боковых панелях сделаны вентиляционные отверстия.

Внутреннее устройство

Мы не смогли избежать соблазна заглянуть внутрь корпуса. Кстати, чтобы это сделать – нужно открутить шесть винтов, по три сверху и снизу. Отметим, что один из них был закрыт фирменной гарантийной наклейкой LevelOne. Внутри достаточно просторного корпуса мы увидели выполненный в виде отдельного модуля блок питания и плату маршрутизатора. Все элементы расположены непосредственно на плате. Маршрутизатор выполнен на основе процессора Cavium Nitrox, работающего на частоте 166 МГц. Используется 2 Мб флэш-памяти и 32 Мб ОЗУ. Кроме всего прочего, мы заметили несколько свободных мест для установки дополнительных чипов и разъёмов. Так, в правой верхней части – место для установки какого-то чипа, а в правой части платы заметно место для установки разъёма miniPCI. Другими словами, вполне возможно появление версий маршрутизатора с функциональностью, расширенной не только благодаря средствам прошивки, но и аппаратными средствами. Охлаждение маршрутизатора полностью пассивное, так что его работа не изменит шумовой фон помещения.

Настройка и администрирование

Настройка маршрутизатора выполняется через Web-интерфейс, который по-умолчанию доступен по адресу 192.168.1.1. Напомним, что адрес компьютера, с которого происходит обращение, должен находиться в этой сети, то есть в диапазоне от 192.168.1.2 до 192.168.1.254, маска сети 255.255.255.0. Для этого достаточно включить автоматическое получение параметров IP от сервера DHCP, либо указать соответствующие параметры вручную. Доступ к интерфейсу ограничен, для первого входа нужно ввести имя пользователя admin, поле пароль оставить пустым, после чего вы попадёте на страницу интерфейса настройки. В руководстве по быстрой настройке указано, как подключиться к интерфейсу администрирования маршрутизатора и как настроить компьютеры локальной сети для работы с ним. Все остальные возможности устройства рассмотрены в руководстве пользователя, предоставленном на диске. Далее мы покажем, на что он способен, и представим варианты использования. Сначала обратим внимание на внешний вид интерфейса настройки, затем обратимся к разделам меню. Интерфейс выполнен в синей гамме и достаточно контрастен, чтобы хорошо читаться. Основное меню расположено вертикально, в левой части экрана, в нём по группам разнесены страницы настройки всех параметров маршрутизатора. Интерфейс достаточно логичен и работать с ним несложно. Общее количество разделов интерфейса - восемь, при этом количество подразделов (второго уровня) составило 32. Отметим, что это меньше, чем в 2000-й модели. При первом входе на интерфейс администрирования предлагается ограничить доступ, задав пароль администратора и, при необходимости, разрешить доступ с внешних адресов. Задав параметры доступа к интерфейсу, перейдём к настройке и рассмотрим последовательно все разделы.

Basic Configuration

Этот раздел отвечает за основные настройки маршрутизатора, в нём выделено три подраздела. Первый из них, DMZ, отвечает за 15 и 16 порты, которые можно использовать как обычные порты локальной сети, так и порты демилитаризованной зоны для какого-либо из четырёх внешних подключений. Подраздел Primary Setup позволяет задать тип внешнего подключения для каждого из четырёх WAN, возможны варианты: со статическим и динамическим IP, РРТР и РРРоЕ. Третий подраздел здесь – LAN&DHCP. Здесь задаются параметры локального интерфейса маршрутизатора: параметры IP, включая собственный адрес и маску, использование и параметры встроенного сервера DHCP и функцию Any IP. Напомним, что она позволяет компьютерам локальной сети получать доступ в Интернет независимо от их IP-адресов.

Advanced Port

В этом разделе можно задать дополнительные параметры портов WAN, такие как размер MTU, способ проверки работоспособности подключения, параметры прозрачного мостового подключения и использование канала для мостовых подключений. В частности, можно задать, чтобы они работали только через один интерфейс (если он перестал работать, то и они стали недоступны), через один с возможностью резервирования через другой (в случае разрыва одного подключения, трафик переключается на другое) или через два одновременно в режиме балансировки нагрузки. Способ использования внешних подключений задаётся в следующем окне. Здесь можно выбрать указание доли каждого подключения в общем внешнем трафике. Здесь выбирается и методика балансировки нагрузки. Допустимы различные варианты: по количеству переданных и полученных байт или пакетов, по количеству установленных сессий, по количеству IP-адресов на порту, по доле неиспользуемой полосы интерфейса, по скорости (в первую очередь, быстрые соединения), по приоритетам, Round Robin (по очереди), по очереди с учётом приоритета. Для каждого подключения устанавливается его доля в общем исходящем трафике маршрутизатора, обычно, чем большую пропускную способность имеет канал – тем большая доля трафика отводится на него. Отметим одну особенность маршрутизатора: до тех пор, пока фактически используемая полоса пропускания не превысит 80% от допустимой, маршрутизатор будет руководствоваться заданными параметрами, при превышении – будет устанавливать соединения случайным образом. В этом же разделе настраиваются дополнительные параметры РРРоЕ и РРТР, такие как размер MTU, учётные данные, параметры IP, параметры вызова.

Advanced Configuration

Первый раздел Host IP служит для распределения узлов сети по группам для дальнейшей работы с различными фильтрами. Раздел Routing позволяет настроить маршрутизацию, в частности, можно выбрать динамическую маршрутизацию (RIPv2) и, указав нужные интерфейсы, или статическую, заполнив таблицу маршрутизации самостоятельно. Раздел Virtual Server позволяет настроить пропускание внешнего трафика в сеть, чтобы сделать серверы внутренней сети доступными из внешней сети. Для каждого правила можно ограничить список внешних адресов. Раздел Special Applications отвечает за динамическое перенаправление портов, которое необходимо для работы ряда сетевых приложений, таких как игры или средства телефонии. Раздел DDNS позволяет работать со службами динамической DNS, которые позволяют устанавливать сервер, не имея статического IP-адреса и обращаться к нему по доменному имени. Изначально доступны такие сервисы как 3322.org, DynDNS.org, TZO.org, кроме того, всегда можно выбрать любой другой. Для некоторых случаев недостаточно перенаправления портов, как статического, так и динамического, тогда спасает лишь демилитаризованная зона, то есть привязка одного внешнего адреса к одному внутреннему. Далее следует раздел UpnP, поддержку которой можно либо включить, либо отключить. Ниже настраивается NAT, можно включить или выключить, при включенной можно задать дополнительные параметры, например, исключить некоторые порты из трансляции, задать таймауты, задать псевдонимы, просмотреть подключения. Последний раздел здесь – дополнительные настройки. Здесь можно заблокировать различные варианты пакетов ICMP, задать параметры DNS для локальных подсетей, задать параметры пропускания трафика и привязки портов.

Security Management

В разделе URL Filter проверяются параметры, указанные в соответствующей строке и на их основании разрешается или блокируется доступ к странице для группы. Ниже следует раздел Access Filter, в котором можно задать ограничения локальных пользователей на доступ в Интернет по портам/приложениям. Можно разрешить или запретить всем, а также устанавливать доступ для каждой из групп в отдельности. Ограничение числа сессий задаётся в следующем разделе. Можно ограничить как общее число сессий, так и число сессий для одного узла. Раздел SysFilter Exception создан для работы с пакетами нестандартной структуры, которые по-умолчанию блокируются маршрутизатором. Здесь можно настроить маршрутизатор на их обработку.

VPN

Напомним, что виртуальные частные сети позволяют обеспечить защищённую передачу данных по общедоступным сетям. Для этого используются технологии шифрования и аутентификации. Соединение может создаваться как между двумя сетями, так и между сетью и клиентом или двумя клиентами. Для создания такого соединения, называемого туннелем, могут использоваться различные протоколы. Наиболее широко используемым для объединения сетей можно считать IPSec. Этот раздел посвящён настройке туннелей и содержит четыре подраздела. В первом настраиваются глобальные параметры, такие, как использование туннеля, порт ISAKMP, который используется при установлении и изменении туннелей (по-умолчанию 500), параметры первого этапа создания туннеля (группа Диффи-Хеллмана, метод шифрования, метод аутентификации и другие). Ниже следует раздел настройки второго этапа установления туннеля. Здесь задаются такие параметры, как его адреса и интерфейсы, инкапсуляция, шифрование и аутентификация, и, конечно, управление ключами, режимы автоматического управления ключами и другие. Кроме обычных функций маршрутизатор позволяет выполнять балансировку нагрузки для каналов VPN. Отметим, что функция называется Mesh Group и доступна только на каналах со статическим IP.

QoS

В этом разделе можно настроить качество обслуживания, необходимое для критичного ко времени доставки трафика, например, для потокового аудио и видео, или для трафика телефонии. Для каждого из внешних портов можно выбрать максимальную и гарантированную полосу пропускания, а также локальные и удалённые адреса и порты, на которые правило будет распространяться.

Management Assistant

В первом разделе, как мы говорили, предлагается ограничить доступ, задав пароль администратора и, при необходимости, разрешить доступ с внешних адресов. Второй раздел отвечает за рассылку предупреждений по электронной почте при наступлении определённых событий. SNMP – пригодится тем, кто пользуется этим протоколом для работы с оборудованием. В разделе Syslog задаются серверы журналирования, куда маршрутизатор будет передавать свои файлы журналов. Последний раздел здесь отвечает за обновление прошивки и сброс, и сохранение настроек.

Network Info

В этом разделе можно просмотреть сводную информацию о настройках маршрутизатора и статистику по трафику портов.

Тестирование

Для этого маршрутизатора мы провели лишь стандартные тесты пропускной способности. Для этого мы использовали компьютеры на базе процессоров AMD Athlon 64 64 X2 3600+ c 1 ГБ ОЗУ, чипсет nVidia GeForce 6150, с интегрированным сетевым контроллером, под управлением OC Windows XP Professional SP2. Для тестирования использовалась тестовая система NetIQ Chariot. Один из наших тестовых компьютеров подключили к порту LAN, а другой – к порту WAN. В итоге мы получили два результата: для обоих направлений передачи трафика. Сразу отметим, что тестирование показало практически одинаковые результаты для обоих направлений, близкие к скорости среды передачи, – среднее значение составило чуть менее 80 Мбит/с. Мы решили оценить, насколько совместим FBR-4000 с другими решениями VPN. Для этого попытались создать туннельные соединения с другими устройствами. В качестве основных параметров туннеля использовали следующие: шифрование 3DES, аутентификация SHA1. В качестве второй стороны мы выбрали несколько устройств, с которыми и пытались установить соединение: Сisco 2801V, ZyXEL ZyWall 35, Zyxel 662, а также программное решение Windows Server. Отметим, что в случае с ZyXEL 662 соединение устанавливалось через Интернет, при этом использовался динамический адрес, в остальных случаях подключение работало через внутреннюю локальную сеть. Сразу отметим, что во всех случаях нам удалось установить соединение. Конечно, не всегда сразу, но результат был получен.

Возможные сценарии использования

Маршрутизатор позволяет использовать несколько подключений к провайдерам Интернета, которые могут использоваться как для повышения суммарной скорости, так и для надёжности резервирования. Как мы говорили, маршрутизатор позволяет распределять нагрузку по подключениям, а также обеспечивать доступность ресурсов сети для внешних пользователей при разрыве внешнего подключения. Например, при разрыве одного из внешних подключений, или проблемах у провайдера, маршрутизатор позволяет обнаружить и автоматически перенаправить весь исходящий трафик на другой канал, чтобы обеспечить непрерывность работы. При этом пользователи вряд ли заметят случившееся. Другой пример показывает, как маршрутизатор реализует балансировку исходящего трафика и одновременно резервирование каналов при помощи технологии NAT, без использования BGP и других технологий маршрутизации. Как мы говорили, исходящий трафик может распределяться по каналам на основе одного из предопределённых способов. При этом кроме балансировки нагрузки будет обеспечиваться резервирование на случай недоступности одного из подключений.

Заключение

Маршрутизатор показался нам крайне интересным со стороны функциональности. Он прекрасно подходит для тех организаций, которым нужен постоянный бесперебойный доступ в Интернет и у которых нет доверия заверениям провайдеров об их надёжности. Если большинство других устройств предлагают резервирование внешнего подключения, имея всего два порта WAN, то FBR-4000 позволяет использовать до четырёх таких подключений. Интересна возможность распределения нагрузки для VPN, что также позволяет обеспечить дополнительную стабильность в работе, в частности, в работе каналов VPN. Другими словами, при пропадании одного из внешних подключений нет необходимости перенастраивать туннели для работы через другие, достаточно внести их в соответствующие группы, и для работы туннеля будет автоматически выбираться один из доступных интерфейсов.