⇣ Содержание
Опрос
|
VPN-маршрутизатор с балансировкой нагрузки - Level One FBR-4000![]()
Прошло несколько лет с тех пор, как Интернет пришёл в российский бизнес, или российский бизнес пришёл в Интернет. Сегодня большинство компаний имеют свои сайты, а также постоянный доступ в Интернет. И если небольшие компании, находящиеся в одном месте, пока не задаются околоинтернетными вопросами, такими, как резервирование подключений или построение виртуальных частных сетей поверх Интернета, то крупные, территориально распределённые организации в полной мере используют все преимущества, которые принёс Интернет. Воспользоваться преимуществами можно только при помощи соответствующих технических и программных решений, решающих различные задачи. Так, одно оборудование позволяет резервировать каналы, другое - строить VPN, третье - фильтровать трафик. Конечно, такое разделение очень субъективно, поскольку множество решений сочетают в себе все эти возможности.
Ранее мы рассматривали подобные решения в материале VPN-маршрутизатор - Level One FBR-2000, напомним, что те устройства позволяли резервировать внешние каналы, автоматически распределяя трафик между внешними интерфейсами и, в случае недоступности одного, полностью передавая весь трафик на другой.
Сегодняшний материал мы посвятим ещё одному маршрутизатору компании Level One - FBR-4000. Эта модель является более мощным решением, чем 2000-ная и позволяет подключать до четырёх внешних каналов, обеспечивая маршрутизацию трафика и резервирование подключений.
КомплектацияМаршрутизатор поставляется в картонной упаковке, выполненной в известном по предыдущим материалам стиле компании. В комплекте с маршрутизатором мы обнаружили кабель питания, диск с ПО и документацией, бумажную версию руководства по быстрой установке и настройке, комплект кронштейнов для установки маршрутизатора в стойку и комплект резиновых самоклеящихся ножек для настольной установки.Внешний вид и устройствоВнешне маршрутизатор не представляет ничего особенного - строгий металлический корпус, позволяющий устанавливать устройство в стандартную 19-ти дюймовую стойку. Все индикаторы находятся на передней панели, здесь же расположены все порты. Маршрутизатор имеет следующие индикаторы: Питание/Power, System, Packets, и 16 индикаторов, отображающих состояние портов. Портов также 16: первые четыре порта предназначены для подключения внешних каналов (WAN), далее следуют 10 портов для подключения локальных устройств (LAN) и все это дополняют два порта демилитаризованной зоны (DMZ). Все порты 10/100Base-TX. На передней панели расположена клавиша сброса настроек, которая спрятана за специальное отверстие, во избежание случайных нажатий.Внутреннее устройствоМы не смогли избежать соблазна заглянуть внутрь корпуса. Кстати, чтобы это сделать – нужно открутить шесть винтов, по три сверху и снизу. Отметим, что один из них был закрыт фирменной гарантийной наклейкой LevelOne. Внутри достаточно просторного корпуса мы увидели выполненный в виде отдельного модуля блок питания и плату маршрутизатора. Все элементы расположены непосредственно на плате. Маршрутизатор выполнен на основе процессора Cavium Nitrox, работающего на частоте 166 МГц. Используется 2 Мб флэш-памяти и 32 Мб ОЗУ. Кроме всего прочего, мы заметили несколько свободных мест для установки дополнительных чипов и разъёмов. Так, в правой верхней части – место для установки какого-то чипа, а в правой части платы заметно место для установки разъёма miniPCI. Другими словами, вполне возможно появление версий маршрутизатора с функциональностью, расширенной не только благодаря средствам прошивки, но и аппаратными средствами. Охлаждение маршрутизатора полностью пассивное, так что его работа не изменит шумовой фон помещения.
Настройка и администрированиеНастройка маршрутизатора выполняется через Web-интерфейс, который по-умолчанию доступен по адресу 192.168.1.1. Напомним, что адрес компьютера, с которого происходит обращение, должен находиться в этой сети, то есть в диапазоне от 192.168.1.2 до 192.168.1.254, маска сети 255.255.255.0. Для этого достаточно включить автоматическое получение параметров IP от сервера DHCP, либо указать соответствующие параметры вручную. Доступ к интерфейсу ограничен, для первого входа нужно ввести имя пользователя admin, поле пароль оставить пустым, после чего вы попадёте на страницу интерфейса настройки. В руководстве по быстрой настройке указано, как подключиться к интерфейсу администрирования маршрутизатора и как настроить компьютеры локальной сети для работы с ним. Все остальные возможности устройства рассмотрены в руководстве пользователя, предоставленном на диске. Далее мы покажем, на что он способен, и представим варианты использования. Сначала обратим внимание на внешний вид интерфейса настройки, затем обратимся к разделам меню. Интерфейс выполнен в синей гамме и достаточно контрастен, чтобы хорошо читаться. Основное меню расположено вертикально, в левой части экрана, в нём по группам разнесены страницы настройки всех параметров маршрутизатора. Интерфейс достаточно логичен и работать с ним несложно. Общее количество разделов интерфейса - восемь, при этом количество подразделов (второго уровня) составило 32. Отметим, что это меньше, чем в 2000-й модели. При первом входе на интерфейс администрирования предлагается ограничить доступ, задав пароль администратора и, при необходимости, разрешить доступ с внешних адресов.Basic ConfigurationЭтот раздел отвечает за основные настройки маршрутизатора, в нём выделено три подраздела. Первый из них, DMZ, отвечает за 15 и 16 порты, которые можно использовать как обычные порты локальной сети, так и порты демилитаризованной зоны для какого-либо из четырёх внешних подключений. Подраздел Primary Setup позволяет задать тип внешнего подключения для каждого из четырёх WAN, возможны варианты: со статическим и динамическим IP, РРТР и РРРоЕ. Третий подраздел здесь – LAN&DHCP. Здесь задаются параметры локального интерфейса маршрутизатора: параметры IP, включая собственный адрес и маску, использование и параметры встроенного сервера DHCP и функцию Any IP. Напомним, что она позволяет компьютерам локальной сети получать доступ в Интернет независимо от их IP-адресов.Advanced PortВ этом разделе можно задать дополнительные параметры портов WAN, такие как размер MTU, способ проверки работоспособности подключения, параметры прозрачного мостового подключения и использование канала для мостовых подключений. В частности, можно задать, чтобы они работали только через один интерфейс (если он перестал работать, то и они стали недоступны), через один с возможностью резервирования через другой (в случае разрыва одного подключения, трафик переключается на другое) или через два одновременно в режиме балансировки нагрузки.Advanced ConfigurationПервый раздел Host IP служит для распределения узлов сети по группам для дальнейшей работы с различными фильтрами. Раздел Routing позволяет настроить маршрутизацию, в частности, можно выбрать динамическую маршрутизацию (RIPv2) и, указав нужные интерфейсы, или статическую, заполнив таблицу маршрутизации самостоятельно. Раздел Virtual Server позволяет настроить пропускание внешнего трафика в сеть, чтобы сделать серверы внутренней сети доступными из внешней сети. Для каждого правила можно ограничить список внешних адресов. Раздел Special Applications отвечает за динамическое перенаправление портов, которое необходимо для работы ряда сетевых приложений, таких как игры или средства телефонии. Раздел DDNS позволяет работать со службами динамической DNS, которые позволяют устанавливать сервер, не имея статического IP-адреса и обращаться к нему по доменному имени. Изначально доступны такие сервисы как 3322.org, DynDNS.org, TZO.org, кроме того, всегда можно выбрать любой другой. Для некоторых случаев недостаточно перенаправления портов, как статического, так и динамического, тогда спасает лишь демилитаризованная зона, то есть привязка одного внешнего адреса к одному внутреннему. Далее следует раздел UpnP, поддержку которой можно либо включить, либо отключить. Ниже настраивается NAT, можно включить или выключить, при включенной можно задать дополнительные параметры, например, исключить некоторые порты из трансляции, задать таймауты, задать псевдонимы, просмотреть подключения. Последний раздел здесь – дополнительные настройки. Здесь можно заблокировать различные варианты пакетов ICMP, задать параметры DNS для локальных подсетей, задать параметры пропускания трафика и привязки портов.Security ManagementВ разделе URL Filter проверяются параметры, указанные в соответствующей строке и на их основании разрешается или блокируется доступ к странице для группы. Ниже следует раздел Access Filter, в котором можно задать ограничения локальных пользователей на доступ в Интернет по портам/приложениям. Можно разрешить или запретить всем, а также устанавливать доступ для каждой из групп в отдельности. Ограничение числа сессий задаётся в следующем разделе. Можно ограничить как общее число сессий, так и число сессий для одного узла. Раздел SysFilter Exception создан для работы с пакетами нестандартной структуры, которые по-умолчанию блокируются маршрутизатором. Здесь можно настроить маршрутизатор на их обработку.VPNНапомним, что виртуальные частные сети позволяют обеспечить защищённую передачу данных по общедоступным сетям. Для этого используются технологии шифрования и аутентификации. Соединение может создаваться как между двумя сетями, так и между сетью и клиентом или двумя клиентами. Для создания такого соединения, называемого туннелем, могут использоваться различные протоколы. Наиболее широко используемым для объединения сетей можно считать IPSec. Этот раздел посвящён настройке туннелей и содержит четыре подраздела. В первом настраиваются глобальные параметры, такие, как использование туннеля, порт ISAKMP, который используется при установлении и изменении туннелей (по-умолчанию 500), параметры первого этапа создания туннеля (группа Диффи-Хеллмана, метод шифрования, метод аутентификации и другие). Ниже следует раздел настройки второго этапа установления туннеля. Здесь задаются такие параметры, как его адреса и интерфейсы, инкапсуляция, шифрование и аутентификация, и, конечно, управление ключами, режимы автоматического управления ключами и другие. Кроме обычных функций маршрутизатор позволяет выполнять балансировку нагрузки для каналов VPN. Отметим, что функция называется Mesh Group и доступна только на каналах со статическим IP.QoSВ этом разделе можно настроить качество обслуживания, необходимое для критичного ко времени доставки трафика, например, для потокового аудио и видео, или для трафика телефонии. Для каждого из внешних портов можно выбрать максимальную и гарантированную полосу пропускания, а также локальные и удалённые адреса и порты, на которые правило будет распространяться.Management AssistantВ первом разделе, как мы говорили, предлагается ограничить доступ, задав пароль администратора и, при необходимости, разрешить доступ с внешних адресов. Второй раздел отвечает за рассылку предупреждений по электронной почте при наступлении определённых событий. SNMP – пригодится тем, кто пользуется этим протоколом для работы с оборудованием. В разделе Syslog задаются серверы журналирования, куда маршрутизатор будет передавать свои файлы журналов. Последний раздел здесь отвечает за обновление прошивки и сброс, и сохранение настроек.Network InfoВ этом разделе можно просмотреть сводную информацию о настройках маршрутизатора и статистику по трафику портов.ТестированиеДля этого маршрутизатора мы провели лишь стандартные тесты пропускной способности. Для этого мы использовали компьютеры на базе процессоров AMD Athlon 64 64 X2 3600+ c 1 ГБ ОЗУ, чипсет nVidia GeForce 6150, с интегрированным сетевым контроллером, под управлением OC Windows XP Professional SP2. Для тестирования использовалась тестовая система NetIQ Chariot. Один из наших тестовых компьютеров подключили к порту LAN, а другой – к порту WAN. В итоге мы получили два результата: для обоих направлений передачи трафика. Сразу отметим, что тестирование показало практически одинаковые результаты для обоих направлений, близкие к скорости среды передачи, – среднее значение составило чуть менее 80 Мбит/с.
Возможные сценарии использованияМаршрутизатор позволяет использовать несколько подключений к провайдерам Интернета, которые могут использоваться как для повышения суммарной скорости, так и для надёжности резервирования. Как мы говорили, маршрутизатор позволяет распределять нагрузку по подключениям, а также обеспечивать доступность ресурсов сети для внешних пользователей при разрыве внешнего подключения. Например, при разрыве одного из внешних подключений, или проблемах у провайдера, маршрутизатор позволяет обнаружить и автоматически перенаправить весь исходящий трафик на другой канал, чтобы обеспечить непрерывность работы. При этом пользователи вряд ли заметят случившееся.ЗаключениеМаршрутизатор показался нам крайне интересным со стороны функциональности. Он прекрасно подходит для тех организаций, которым нужен постоянный бесперебойный доступ в Интернет и у которых нет доверия заверениям провайдеров об их надёжности. Если большинство других устройств предлагают резервирование внешнего подключения, имея всего два порта WAN, то FBR-4000 позволяет использовать до четырёх таких подключений. Интересна возможность распределения нагрузки для VPN, что также позволяет обеспечить дополнительную стабильность в работе, в частности, в работе каналов VPN. Другими словами, при пропадании одного из внешних подключений нет необходимости перенастраивать туннели для работы через другие, достаточно внести их в соответствующие группы, и для работы туннеля будет автоматически выбираться один из доступных интерфейсов.
⇣ Содержание
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
⇣ Комментарии
Самые обсуждаемые публикации
|