Беспроводные мосты

Беспроводные мосты предназначены для работы в качестве корневого узла радиосети, ретранслятора и удалённого узла и поддерживают типовые мостовые функции. Существуют различные варианты оборудования, основанные на поддержке стандартов IEEE 802.11a/b/g (Cisco Systems, Inc., Zyxel), и, кроме того, с успехом применяются устройства, использующие фирменный стандарт (Proxim Corp.). Некоторые из этих устройств, кроме мостовых функций, поддерживают функции точек доступа с реализацией технологии Wi Fi. Существуют модели, выполненные в уличном всепогодном варианте со встроенными антеннами.

Беспроводные точки доступа

Беспроводные точки доступа предназначены для быстрого развёртывания и организации с минимальными затратами беспроводных локальных сетей с поддержкой функций Wi Fi в офисах, гостиницах, кафе, аэропортах и ж/д вокзалах, т.е. наиболее подходят для создания узлов «hotspot». Точки доступа Wi Fi обеспечивают поддержу различных стандартов IEEE 802.11a/b/g и дают возможность высокоэффективного соединения на скорости до 54 Mбит/сёк. на полосах частот 2.4 и 5 ГГц. В некоторых устройствах возможна комбинация двухдиаппазонных стандартов для более гибкого построения офисных радиосетей. В различных сериях реализовано оборудование с возможностью использования как встроенных, так и внешних антенн.

Клиентские беспроводные адаптеры

Беспроводные клиентские адаптеры обеспечивают поддержку стандартов IEEE 802.11a/b/g. Существуют варианты адаптеров, которые работают с поддержкой одного, двух или трех стандартов одновременно. Беспроводные адаптеры стандартов IEEE 802.11a/b/g — это Wi Fi совместимые устройства, комбинирующее возможности беспроводных сетей с работой, безопасностью и управляемостью, необходимыми в различных видах коммерческой деятельности.
PCI адаптеры обеспечивают беспроводное подключение к сети стационарных компьютеров с PCI интерфейсами. В большинстве случаев, существует возможность наращивания кабеля и установки необходимой антенны для лучшего приёма радиосигнала.

Клиентские PCMCIA адаптеры обеспечивают беспроводное подключение к сети мобильных компьютеров со слотом расширения PCMCIA.

USB адаптеры позволяют быстро подключить к беспроводной сети любой настольный или мобильный компьютер с USB интерфейсом.

Lantech Computer Company — успешно развивающаяся тайваньская фирма, предлагающая широкий спектр сетевого оборудования. Компания образовалась в 1986 г., отделившись от первого официального дистрибутора Novell в Тайване, и стала пионером рынка сетевого оборудования страны. Тогда же была принята стратегия компании Lantech по предложению заказчику высокотехнологичного оборудования при минимальных ценах и организованы программы обучения для сотрудников других молодых компьютерных фирм.
Lantech Computer Company заметно выделяется среди других азиатских производителей, прежде всего, широким спектром предлагаемого оборудования и, что особенно важно, качеством своей продукции.
Компания предлагает различное оборудование от обычных сетевых адаптеров и до серьёзных управляемых устройств с высокой плотностью портов Gigabit Ethernet.
Важно отметить, что наличие «тяжёлого» оборудования в спектре предлагаемых продуктов не является традиционным для азиатской компании и лишний раз доказывает большие возможности развития Lantech Computer Company.
Все оборудование проходит строгий многоуровневый контроль качества, в результате чего статистика отказов значительно меньше одного процента от общего объёма.
Надёжность оборудования подтверждается трех пятилетней гарантией. Сертификат ISO 9001 Lantech Computer Company получила в 1996 г.
Особое внимание в компании уделяется научным исследованиям и новейшим разработкам.
Опираясь на 14 летний опыт работы, Lantech Computer Company чётко отслеживает тенденции рынка и предлагает оборудование, в высшей степени отвечающее современным требованиям. Прежде всего, компания акцентирует внимание на бурно развивающихся рынках SOHO, рынках сетей для рабочих групп и департаментов, а также сетей филиалов крупных компаний.
Компания Lantech очень внимательно относится к своим заказчикам и наряду с высоким качеством своей продукции предлагает хорошо развитую инфраструктуру информационной и технической поддержки, благодаря чему 80% клиентов компании осуществляют повторные закупки оборудования.

DWL 650 может передавать данные со скоростью 11, 5.5, 2 или 1 Мегабит в секунду на канал. Режимы передачи данных устанавливаются вручную и могут быть выбраны из Auto Select 1 или 2 мегабит, Fixed 1 мегабит, Fixed 11 мегабит, Fixed 2 Mbps, Fixed 5.5 Mbps и Fully Auto. Адаптер обеспечивает мобильность и прозрачный роуминг между точками доступа в сеть. Дальность передачи составляет до 100 метров внутри и до 300 метров вне помещений.
Адаптер поставляется с внешней несъёмной всенаправленной антенной и индикаторами работы сети, наличия электропитания, связи и активности.
Устройство совместимо с Windows 98, ME, 2000, ХР и NT 4.0.

D Link DWL 650 — 11 мегабитный беспроводной PC Card Type II адаптер, совместимый со стандартом IEEE 802.11b.
Устройство предназначено для работы в домашних сетях и небольших офисах, в диапазоне 2.4 ГГц используя метод с прямой последовательностью сигналов (DSSS), по которому передача сигнала осуществляется сразу на нескольких частотах, что обеспечивает гарантированную доставку. Разработан для использования в слотах с напряжением 3.3 или 5.0 В.
Средством обеспечения безопасности является поддержка 64/128 шифрования по протоколу WEP (Wired Equivalent Privacy).
DWL 650 может работать как в режимах «постоянная» (Infrastructure Network) (с использованием точки доступа), так и «временная» сеть (Ad Hoc) (два адаптера связанны между собой). В режиме «постоянной» сети DWL 650 можно использовать для организации доступа сети к широкополосному шлюзу или DSL/кабельному модему с выходом на Интернет.
D Link DWL 120 — это адаптер стандарта IEEE 802.11b на шину USB для беспроводных сетей со скоростью передачи до 11 Мбит/сёк. Он работает на частоте 2.4 ГГц и предназанчен для домашнего или офисного применения. Карточка использует 40 bit WEP кодирование (c возможностью дальнейшего апгрейда до 128 битного) для безопасного подключения к сети.
Адаптер DWL 120 может работать в двух режимах: точка — к — точке (два адаптера связываются между собой не используя при этом никаких дополнительных устройств) и режим инфраструктуры (для доступа в сеть используется точка доступа). В режиме инфраструктуры мобильные пользователи могут через точку доступа подключаться с Интернет и другим сетевым ресурсам.
Адаптер DWL 120 может передавать и принимать данные со скоростью 11, 5.5, 2 или 1 Мбит/сёк на канал. Скорость работы может быть выбрана вручную либо в автоматическом режиме. Применяя этот адаптер, пользователь становится по настоящему мобильным. Он может перемещаться между точками доступа от ячейки к ячейки. Вне здания зона покрытия одной точки доступа составляет от 100 до 300 метров.
Адаптер DWL 120 поставляется со внешней малогабаритной антенной и оснащён одним светодиодным индикатором, дающим информацию о наличии питания и соединения. В комплекте поставляются драйверы для MS Windows 98, ME, 2000.

Компания Allied Telesyn предлагает ряд дополнительных модулей и аксессуаров для своих коммутаторов. Они способны облегчить установку оборудования Allied Telesyn и существенно расширить его функциональные возможности.

D Link AirPro DWL AB650 — это высокопроизводительный двух диапазонный адаптер для ноутбуков с интерфейсом PC Card. Адаптер позволяет подключиться к сети, работающей как на частоте 5 ГГц, так и на частоте 2, 4 ГГц предоставляя вам доступ к сетям 802.11a и 802.11b. Скорость передачи адаптера — до 11 Мбит/с для стандарта 802.11b и до 54 Мбит/с для стандарта 802.11a. Обеспечивая поддержку промышленного стандарта, надёжную безопасную передачу данных и гибкую поддержку частот, этот адаптер предоставляет по настоящему быстрый и безопасный мобильный доступ к сети.

DWL 900AP — беспроводная точка доступа 11Mbps D Link.
Данное устройство соединяет беспроводных клиентов в законченную инфраструктуру (клиент сервер). По мере роста количества беспроводных пользователей, можно добавлять точки доступа для улучшения производительности сети.
DWL 900AP также поддерживает бриджинг «точка — точка», т.е. может работать с другой точкой доступа DWL 900AP, что позволяет расширить зону покрытия. DWL 900AP можно настроить для работы в качестве абонентского устройства.
С помощью встроенного 10Base T RJ 45 порта, точку доступа можно подключить к стационарной сети Ethernet. Это позволяет прозрачно общаться клиентам беспроводной сети и сети Ethernet.
Можно также подключить к 10Base T порту Интернет сервер. С помощью этого Интернет сервера беспроводные пользователи могут использовать один выход в Интернет через Dial Up, кабельный или ADSL модем. Таким образом можно экономить средства и предоставлять всем беспроводным пользователям выход в Интернет.
Съёмная антенна с разъёмом SMA позволяет подключить внешнюю антенну для улучшения качества связи.

Маршрутизатор D Link AirPlus DI 614+. Имеет четыре порта 10/ 100Base T (витая пара). Встроенный DHCP сервер автоматически присваивает IP адреса беспроводным клиентам, которые получают доступ к локальным сетевым ресурсам. Управление настройками роутера осуществляется через интуитивно понятный web интерфейс. Поддерживаются: аутентификация MAC адреса, Network Address Translation (NAT), IPSec, L2TP и PPTP. D Link AirPlus DI 614+ имеет две съёмные ненаправленные антенны. Как особое достижение преподносится возможность работы с фильтрами блокировки. Заблокировать можно все: URL — блокируются доменные имена содержащие заданное слово; домены; IP адреса.

AirPro DWL AB520 — адаптер PCI для настольных компьютеров, поддерживающий стандарты беспроводных сетей 802.11b и 802.11a.
DWL AB520 позволяет планировать будущий рост сети или немедленно развернуть беспроводную сеть. Дополнительные каналы с высокой полосой пропускания, доступные со стандартом 802.11a, предоставляют пользователям надёжный способ передачи больших объёмов данных намного быстрее, чем было возможно со стандартом 802.11b.

Avaya — бывшее подразделение Корпоративных сетей связи компании Lucent Technologies, является ведущим поставщиком коммуникационных систем для предприятий, включая частные компании, правительственные структуры и другие организации. Компания стала полностью самостоятельной 30 сентября 2000 года, объединив в своём продуктовом портфеле хорошо известное и превосходно зарекомендовавшее себя оборудование — телекоммуникационный сервер DEFINI TY, линейку коммутаторов для локальных сетей Cajun, структурированные кабельные системы SYSTIMAX.
Выделение Avaya из состава Lucent позволило новой компании сосредоточить все силы и средства на основных направлениях бизнеса, достичь высочайшего уровня сотрудничества с клиентами и бизнес пар нерами. Став независимой, Avaya расширила спектр своих предложений: по мере становления электронного бизнеса Avaya становится первым глобальным поставщиком коммуникационных решений для предприятий, работающих на этом быстро меняющемся рынке.
В то же время Avaya сохраняет лидерство в мире по продажам систем обработки сообщений и структурированных кабельных систем, занимает лидирующие позиции США по операторским центрам и системам голосовой связи для предприятий.

Точка доступа DWL 6000AP способна работать в беспроводных сетях стандартов 802.11a, и 802.11b. DWL 6000AP работает на 11 неперекрывающихся каналах и является идеальным устройством для работы в сети, включающей устройства обоих стандартов. DWL 6000AP создана с использованием новейших технологий и с учётом последних разработок. Она построена на контроллере 802.11b от Texas Instruments, использующего фирменную технологию Digital Signal Processing, и чипсета от Athe ros для 802.11a.
Преимущество новейшей двухдиапазонной технологии 2, 4Ггц и 5Ггц, состоит в возможности организовывать сети общего доступа в публичных местах (образовательных заведениях и пр.). Устройство незаменимо для беспроводных сетей в аэропортах, кафе, универмагов, университетов и мест с большой концентрацией людей.
DWL 6000AP также может выполнять роль моста между сетями 802.11a и 802.11b, или связывать их с традиционными, «проводными» сетями, для чего в устройстве есть встроенный порт 10/100 Ethernet.

Все зависит от элементов в уравнении

WPA представляет собой подмножество технологий из грядущего стандарта 802.11i, который комитет Wi Fi Alliance называет WPA2. Комитет Wi Fi Alliance посвятил WPA целый раздел сайта для продвижения нового стандарта в жизнь. Так что если вам нужна подробная информация из первых рук, то вы знаете, где её найти.
Достаточно полезным документом можно назвать презентацию для средств массовой информации, показанную на последней выставке Networld+Interop в апреле. Презентация даёт как подноготную WPA, так и информацию о составляющих элементах технологии.
Там же даётся простое «уравнение» расчёта WPA:
WPA = 802.1X + EAP + TKIP + MIC
То есть WPA является суммой нескольких элементов.

Стандарт WPA использует 802.1x и Расширенный протокол аутентификации (Extensible Authentication Protocol, EAP) в качестве основы для механизма аутентификации. Аутентификация требует, чтобы пользователь предъявил свидетельства/мандат (credentials) того, что ему позволено получать доступ в сеть. Для этого права пользователя проверяются по базе данных зарегистрированных пользователей. Для работы в сети пользователь должен обязательно пройти через механизм аутентификации.
База данных и система проверки в больших сетях обычно принадлежат специальному серверу — чаще всего RADIUS. Однако, поскольку применение WPA подразумевается всеми категориями пользователей беспроводных сетей, стандарт имеет упрощённый режим, который не требует использования сложных механизмов.
Этот режим называется Pre Shared Key (WPA PSK) — при его использовании необходимо ввести один пароль на каждый узел беспроводной сети (точки доступа, беспроводные маршрутизаторы, клиентские адаптеры, мосты). До тех пор, пока пароли совпадают, клиенту будет разрешён доступ в сеть.

Несмотря на то, что предшественник WPA, протокол WEP, не имел каких либо механизмов аутентификации вообще, ненадёжность WEP заключается в криптографической слабости алгоритма шифрования. Как указано в этом прекрасно написанном документе от RSA Security, ключевая проблема WEP кроется в слишком похожих ключах для различных пакетов данных.
Части TKIP, MIC и 802.1X уравнения WPA играют свою роль в усилении шифрования данных сетей с WPA. В следующей выдержке из документации Wi Fi Alliance WPA дан хороший обзор того, как они работают вместе: TKIP увеличивает размер ключа с 40 до 128 бит и заменяет один статический ключ WEP ключами, которые автоматически создаются и распространяются сервером аутентификации. TKIP использует иерархию ключей и методологию управления ключами, которая убирает предсказуемость, использовавшеюся взломщиками для снятия защиты ключа WEP.
Для этого TKIP усиливает структуру 802.1X/ EAP. Сервер аутентификации, после принятия мандата пользователя (credential), использует 802.1X для создания уникального основного ключа (двустороннего) для данного сеанса связи. TKIP передаёт этот ключ клиенту и точке доступа, затем настраивает иерархию ключей и систему управления, используя двусторонний ключ для динамического создания ключей шифрования данных, которые используются для шифрования каждого пакета данных, которые передаются по беспроводной сети во время сеанса пользователя. Иерархия ключей TKIP заменяет один статический ключ WEP на примерно 500 миллиардов возможных ключей, которые будут использоваться для шифрования данного пакета данных.
Проверка целостности сообщений (Message Integrity Check, MIC) предназначена для предотвращения захвата пакетов данных, изменения их содержимого и повторной пересылки. MIC построена на базе мощной математической функции, которую применяют отправитель и получатель, а затем сравнивают результат. Если он не совпадает, то данные считаются ложными и пакет отбрасывается.
С помощью значительного увеличения размера ключей и числа используемых ключей, а также создания механизма проверки целостности, TKIP преумножает сложность декодирования данных в беспроводной сети. TKIP значительно увеличивает силу и сложность беспроводного шифрования, делая процесс вторжения в беспроводную сеть намного более сложным, если не невозможным вообще.
Важно отметить, что механизмы шифрования, используемые для WPA и WPA PSK, являются одинаковыми. Единственное отличие WPA PSK заключается в том, что там аутентификация производится по какому либо паролю, а не по мандату пользователя. Некоторые наверняка заметят, что подход с использованием пароля делает WPA PSK уязвимой для атаки методом подбора, и в чем то они будут правы. Но мы хотели бы отметить, что WPA PSK снимает путаницу с ключами WEP, заменяя их целостной и чёткой системой на основе цифробуквенного пароля. И наверняка подобная система пойдёт дальше WEP, поскольку она настолько проста, что люди будут использовать её на самом деле.
После того, как вы узнали теорию о работе WPA, давайте перейдём к практике.

Модернизация: 11g впереди всех

Итак, вас привлекает WPA, и вы желаете внести поддержку этого стандарта в свою беспроводную сеть как можно быстрее! С чего начать?
Будь вы «корпоративным» или домашним пользователем, вам необходимо пройти три шага:
• Узнать, поддерживает ли ваша точка доступа или беспроводный маршрутизатор WPA, либо к ним появилось соответствующее обновление прошивки.
• Узнать, поддерживает ли ваши клиентские адаптеры WPA, либо к ним появились новые драйверы.
• Понять, нужно ли вам покупать дополнительное приложение поддержки для вашего беспроводного клиента.
Шаги 1 и 2 кажутся простыми, однако для их реализации продукты должны пройти всю эволюционную цепочку. Поскольку большинство производителей сетевого оборудования для OEM и ODM находится на Тайване, эти компании должны первоначально получить и внедрить код от производителей беспроводных чипов, а уже затем выпустить драйверы и прошивки для своих продуктов.
Задача отнюдь не мизерная, учитывая, что сегодня по данным Wi Fi Alliance существует более 700 сертифицированных продуктов, не говоря о сотнях несертифицированных решений. Обновления сначала необходимо выслать компаниям производителям сетевого оборудования, которые проведут тестирование и (будем надеяться) при успешной работе выложат драйвер для скачивания.
По всей видимости, первыми обновление прошивки получат продукты на базе 802.11g. Вряд ли производители будут медлить с выпуском этих продуктов, поскольку они заинтересованы в появлении на полках магазинов последних версий устройств со своей торговой маркой. Однако нам показался удивительным тот факт, что продукты на базе Broadcom, похоже, первыми получат обновление WPA, несмотря на то, что Intersil уже выпустила код WPA своим клиентам в январе для чипсета 11b PRISM 2.5 и в марте для чипсетов 11g GT и 11a/b/g Duette.

Модернизация: 11b и прочее…

Если первые предложения можно считать каким либо показателем, то владельцам продуктов 802.11b и a/b следует набраться терпения и ждать появления обновлений WPA. Известно что, на данный момент единственными устройствами 11b с обновлением до WPA являются Cisco 802.11b Aironet 1100 и 11a/b Aironet 1200, клиентская карта Linksys WPC11 Ver3 и линейка 3Com AP8000

Создаём VPN соединение: маршрутизаторы SMC7004 FW и SMC7004WFW

У многих компаний существует необходимость объединения нескольких территориально разделённых локальных сетей своих подразделений или подключения удалённых пользователей. Если использовать для этого публичную сеть, например Интернет, то неизбежно придётся прибегнуть к технологиям безопасной передачи данных типа VPN.
У многих компаний существует необходимость объединения нескольких территориально разделённых локальных сетей своих подразделений или подключения удалённых пользователей. При компактном расположении, конечно, возможно использование собственных или арендованных каналов связи или телефонных линий. Но, вполне очевидно, что оба эти решения будут достаточно дорогими, если расстояние, на котором необходимо установить соединение между сетями или между клиентом и сетью, велико, например, если вам, находясь на том же IDF в России, нужно получить доступ к своей локальной сети, расположенной в Калифорнии. При использовании телефонной сети вам придётся оплачивать огромные счета за международные телефонные разговоры, а скорость телефонного подключения будет, к тому же, довольно низкой. А для объединения двух офисов, находящихся на разных континентах, при помощи собственного кабеля вам потребуется огромная сумма.
Одним из способов снижения затрат на передачу данных являются технологии «Виртуальных частных сетей», или VPN (Virtual Private Network). Технологии VPN позволяют использовать общедоступные сети в качестве надёжного и недорогого транспорта для ваших данных, обеспечивая при этом их защиту. В случае использования VPN все затраты сводятся к оплате доступа к Интернету, что существенно дешевле междугородных и международных звонков, и, естественно, дешевле организации физического канала. Подключившись к Интернету, вы устанавливаете соединение с удалённым шлюзом VPN и используете полученный канал для обмена данными.
Одной из существующих проблем в данном случае является то, что данные передаются по общим сетям и могут быть перехвачены злоумышленниками, поэтому особое внимание уделяется безопасности таких каналов. Естественно, при разработке технологии VPN были предприняты меры для надёжной защиты трафика, как от просмотра, так и от подмены.
При установлении VPN соединения создаётся так называемый туннель, или логический путь, по которому передаются данные. Конечно же, данные не передаются по туннелю в открытом виде, ибо любые данные, передаваемые по общей сети, можно перехватить. Для того чтобы защитить информацию от попадания к злоумышленнику, используется шифрование — при отправке исходные данные зашифровываются, а затем передаются. При достижении конечной точки соединения происходит обратный процесс, и вновь появляется исходный пакет в первоначальном виде. Таким образом, в публичную сеть данные в незашифрованном виде не передаются.

VPN соединение с удалённой машиной представляет собой обычное соединение «точка точка», поэтому все промежуточные сетевые устройства, через которые проходит туннель, для конечного пользователя не заметны.

Компания SMC Networks, производитель уже достаточно хорошо знакомого нашему читателю оборудования для сетей, производит достаточно много. Давайте обратимся именно к тем возможностям сетевого оборудования, которые становятся все актуальнее с каждым днём, а именно, к возможностям создания защищённых туннелей VPN.

PPTP (Point to Point Tunneling Protocol) — один из протоколов, используемых для создания виртуальных частных сетей (VPN) на основе сетей TCP/IP. Этот протокол был разработан в результате совместных трудов компаний Microsoft, Ascend Communications, 3Com/Primary Access, US Robotics и ECI Telematics, которые ставили перед собой целью разработку стандартного протокола защищённого канала. Однако стоит отметить, что PPTP в качестве стандарта так и не был принят, что, в свою очередь, связано с параллельной разработкой другими компаниями во главе с Cisco подобного протокола, носившего название L2F (Layer Two Forwarding). L2F тоже постигла участь PPTP — он не был принят. Но был создан протокол L2TP (Layer Two Tunneling Protocol), объединивший в себе PPTP и L2F. Однако PPTP, благодаря стараниям компании Microsoft, получил достаточно широкое распространение. Отметим, что операционные системы компании Microsoft имеют встроенный клиент PPTP, настройка которого не вызывает никаких сложностей. Данный протокол позволяет создавать виртуальные частные сети на основе общедоступных сетей TCP/IP, например Интернета. PPTP осуществляет туннелирование, инкапсулируя данные протокола IP внутри дейтаграмм PPP. Таким образом, пользователи могут запускать программы, работающие с конкретными сетевыми протоколами через установленное соединение. Туннельные серверы выполняют все необходимое для обеспечения защиты передаваемых данных, обеспечивая безопасную их передачу.

IPSec (Internet Protocol Security) — ещё один протокол, или даже система стандартов, направленная на установление и поддержание защищённого канала для передачи данных. IPSec предусматривает аутентификацию при установлении канала, шифрование передаваемых данных и распространение секретных ключей, необходимых для работы протоколов аутентификации и шифрования. Средства IPSec реализуют защиту содержимого пакетов IP, а также защиту от сетевых атак путём фильтрации пакетов и использования только надёжных соединений. В разработке принимали активное участие такие компании, как Microsoft и Cisco Systems.
Для аутентификации источника данных и для обеспечения целостности пакетов здесь используется протокол AH (Authentication Header). Также шифрование, аутентификация и целостность передаваемых данных обеспечиваются средствами протокола ESP (Encapsulation Security Payload). Протокол IKE (Internet Key Exchange) используется для определения способа инициализации защищённого канала, кроме того, IKE определяет процедуры обмена и управления секретными ключами соединения.
Шифрование в IPSec может обеспечиваться любым алгоритмом симметричного шифрования.
Из ограничений IPSec можно отметить, что он работает только в том случае, если передача данных на сетевом уровне обеспечивается средствами протокола IP, то есть в случае использования другого протокола сетевого уровня, например IPX, воспользоваться средствами IPSec будет невозможно. Конечно, это уже не актуально в связи с повсеместным распространением IP сегодня. Кроме того, всегда есть возможность совместного использования шифрования IPSec с тунеллированием L2TP.
У IPSec возможны два режима работы: транспортный (для передачи пакета по сети используется оригинальный заголовок) и туннельный (исходный пакет помещается в новый пакет, в теле которого он и передаётся по сети).
Данный протокол позволяет создавать многопротокольные виртуальные частные сети на основе общедоступных TCP/IP сетей, например Интернета. PPTP осуществляет туннелирование, инкапсулируя данные протоколов IP и IPX внутри дейтаграмм PPP. Таким образом, пользователи могут запускать программы, работающие с конкретными сетевыми протоколами через установленное соединение. Туннельные серверы выполняют все необходимое для обеспечения защиты передаваемых данных, обеспечивая безопасную их передачу.

Существуют многочисленные конфигурации беспроводных сетей, предусматривающие использование различного оборудования. В случае с настольным компьютером вы можете использовать внешний Wi Fi модуль, подключающийся по интерфейсу USB. Модули очень просты в установке. Если же у вас ноутбук — то приобретите Wi Fi карту в PCMCIA формате. Для улучшения связи при работе нескольких пользователей или когда вам нужно подключить беспроводную сеть к кабельной сети, лучшим вариантом станет использование точки доступа. Функционально она аналогична сетевому коммутатору или концентратору.

Как и в кабельной сети, беспроводная сеть имеет два режима работы.

Режим Ad Hoc

Данный режим предусматривает соединение карт клиентов по принципу «точка точка» (point to point, P2P). В этом режиме каждый компьютер может связываться с любым другим компьютером в сети. Такой режим работы называется Ad Hoc, он обладает как своими преимуществами, так и недостатками.

Основное преимущество — быстрая и дешёвая установка. Все, что вам нужно для организации такой сети, — оснастить каждую станцию (настольный компьютер или ноутбук) своей беспроводной карточкой или Wi Fi модулем. Как только вы завершите конфигурацию, все станции смогут связываться друг с другом. Второе преимущество заключается в возможности располагать компьютеры на значительном расстоянии друг от друга — в результате мы получаем увеличенную зону действия сети. Если компьютер A удалён от компьютера C на 300 метров, вы можете установить между ними компьютер B, и все три компьютера смогут связываться между собой. Обратной стороной медали является то, что компьютер B не будет работать, если связь между A и C прервётся. Режим Ad Hoc рекомендуется для сетей, содержащих не более восьми машин. Подобная конфигурация обеспечит достаточную пропускную способность для всех типов игр.

Режим точки доступа

Если в вашей сети располагается больше восьми компьютеров, и все они находятся в ограниченном пространстве, скажем, в 200 квадратных метров, вам потребуется точка доступа. Она позволит вам осуществлять несколько функций, например, централизовать связь между всеми компьютерами, то есть работать как концентратор, или соединить вашу проводную и беспроводную сеть.
Кроме того, в проводной и беспроводной сети точка доступа может работать как Интернет маршрутизатор, то есть раздавать по сети соединение с Интернетом. Обычно такая опция ограничена использованием широкополосного подключения к Интернету, типа кабельного или ADSL. Беспроводные маршрутизаторы выпускаются в различных версиях. Например, существует беспроводный маршрутизатор с портом Ethernet. Однако подобные устройства отличаются от автономных маршрутизаторов, которые управляют USB модемом по ADSL линии, так что для подобных соединений вам понадобится беспроводный маршрутизатор с встроенным ADSL модемом. Что касается России, то здесь необходимо выбирать модель с модемным или ISDN соединением. В любом случае маршрутизатор работает как точка доступа в сети WiFi.

Связующее звено

Совсем не сложно описать идеальную точку доступа WLAN с встроенным маршрутизатором (по совместительству являющимся DSL или кабельным модемом) — просто возьмите лучшее от продуктов Lan com, Netgear и Samsung. На практике, однако, идеал не так легко достижим. Точка доступа Netgear обеспечивает максимальную пропускную способность, в то время как продукцию Samsung легче всего конфигурировать.
Netgear FM 144P ближе всего подходит к званию идеального продукта «все в одном». Он показывает высокую среднюю пропускную способность в 497 кбайт/с (измеряется при хорошей связи без шифровки данных), устройство легко в управлении и имеет несколько полезных функций. Netgear включает в себя сервер печати, равно как и 4 портовый коммутатор.

Если вы желаете установить высокоскоростное соединение с Интернетом, то вам понадобится кабельный или DSL модем. В зависимости от вашего места жительства, вы можете выбрать любой из двух вариантов. DSL зависит от расстояния до телефонной станции, в то время как кабельный модем — от расстояния до центра кабельного телевидения, который предоставляет эту услугу. Если кабельный модем в большинстве случаев обеспечивает большую скорость и производительность по сравнению с DSL, на практике он может оказаться не столь хорошим, поскольку кабельный модем использует принцип разделяемой пропускной способности, в то время как DSL предусматривает персональное выделенное соединение. Именно эти две технологии доминируют на рынке высокоскоростного доступа в Интернет в Северной Америке. В Европе все по другому, там более популярны ISDN и DSL. Возможность раздавать ваше соединение с Интернетом на другие компьютеры зависит не только маршрутизатора, но и от провайдера. Некоторые провайдеры не позволяют использовать подобные продукты. Перед выбором таких устройств для подключения к вашему DSL/кабельному модему, лучше проверить ваш договор с провайдером на предмет разрешения их использования. Если вы желаете подключиться по DSL или кабельному модему в США, то вам могут помочь ресурсы типа http://www.2wire.com или http://www.dslreports.com.
Если вам нужно разделять ваше DSL/кабельное соединение с Интернетом между несколькими компьютерами, то вам понадобится DSL/кабельный маршрутизатор. Это устройство скорее не является полноценным маршрутизатором, который обеспечивает прямой доступ в Интернет нескольким компьютерам. DSL/кабельный маршрутизатор использует трансляцию адресов NAT для обеспечения одновременного доступа нескольких компьютеров в Интернет.
Важно заметить, что несмотря на весь маркетинг, эти устройства не являются настоящими брандмауэрами, скорее это нечто большее, чем коробка с NAT. Настоящие брандмауэры обеспечивают большую гибкость и функциональность, нежели стандартные NAT маршрутизаторы. И хотя NAT маршрутизаторы гарантируют вполне приемлемую защиту, им не хватает возможности определения атак, фильтрации содержания и различных опций по отчётам, которые мы видим в соответствующих продуктах уровня корпорации. (Впрочем, подобное утверждение тоже не постоянно — появляются новые NAT маршрутизаторы, обладающие все большим набором функций, унаследованных из корпоративного рынка). Если вы желаете составить себе более полное впечатление о различиях, то можете посетить сайт Sonic Wall. В зависимости от ваших потребностей, в большинстве случае вам хватит простейшего NAT, он действительно обеспечивает дополнительный уровень защиты, но не стоит на него всецело полагаться. Впрочем, даже небольшая защита лучше, чем никакая, поэтому рекомендую использовать NAT маршрутизаторы даже для подключения одного компьютера к Интернету.

Прокладка кабельной Ethernet сети для подсоединения компьютеров к DSL/кабельному маршрутизатору довольно трудоёмка, да и отнимает много времени. Для многих покупателей DSL/кабельных маршрутизаторов подобные усилия излишни, но в зависимости от ваших потребностей и от числа компьютеров, стандартное кабельное решение бывает эффективнее. К примеру, если вы часто играете по сети, то проводной вариант даст вам большую пропускную способность, которая явно не станет лишней. Многие пользователи выбирают смесь проводных и беспроводных решений для своих домашних сетей, но все, опять же, зависит от ваших задач. В описанной выше ситуации, или если у вас уже есть проводной DSL/кабельный маршрутизатор, вам будет лучше докупить беспроводную точку доступа. Точка доступа обеспечивает вас беспроводным подключением к вашей проводной сети. Но при этом вы идёте на определённые жертвы: у точки доступа, в отличие от беспроводного маршрутизатора, нет функции трансляции сетевых адресов. Впрочем, все зависит от конкретной ситуации — строите ли вы новую сеть или модернизируете старую, — вам могут понадобиться различные устройства.
Беспроводные LAN (WLAN) часто оказываются идеальным решением, они дают гибкость, которую другим путём вы не получите. Стандарт 802.11b обеспечивает теоретическую пропускную способность 11 Мбит/с, и отнюдь не ограничивает пропускную способность DSL/ка бельного маршрутизатора в 768 кбит/с. Конечно, такая пропускная способность не идёт ни в какое сравнение со 100 Мбит/с Ethernet, особенно если вы будете копировать большое количество данных на файл сервер, подключённый к точке доступа WLAN. Однако новые продукты, только начинающие появляться на полках магазинов, предлагают большее. Сегодня стандартом де факто для беспроводных сетей стал 802.11b, и если вам нужна обратная совместимость, вам нужно приобрести двойную a/b точку доступа или дождаться выпуска 802.11g, который будет поддерживать 802.11b, равно как и обеспечивать 54 Мбит/с 802.11g (заявленные 72 Мбит/с по стандарту 802.11a можно скорее отнести к области фантастики, нежели реальности). Однако 802.11g пока ещё только на горизонте. Неизвестно, когда он появится, однако он наверняка станет самым лучшим из всех беспроводных решений, и его действительно стоит подождать. Но не будем заглядывать в будущее.
Некоторые производители уже предлагают 802.11a продукты (равно как и выходят на шаг вперёд, анонсировав комбинацию A/B), но они являются более дорогими по сравнению с 802.11b и работают на других частотах.
Устройства с 802.11b существуют на рынке уже долгое время. На сегодняшний момент для достижения высокой пропускной способности 802.11a вам необходимо находиться на близком расстоянии от точки доступа и соблюдать условие прямой видимости, без всяких препятствий типа стен или дверей. Так что для максимального отношения цена/производительность и для будущей совместимости лучше вам сделать свой выбор именно на 802.11b.
Комбинация DSL/кабельный маршрутизатор и беспроводная точка доступа — вариант очень и очень неплохой. Мало того, что при этом вам не нужно соединять маршрутизатор и точку доступа кабелем, подобное интегрированное решение будет экономить ваши средства.

Почему же мы до сих пор слышим много нареканий по поводу безопасности беспроводных соединений?
Вопросы безопасности постоянно возникают вокруг стандарта 802.11b. Они действительно имеют под собой почву, но в конечном итоге безопасность зависит от пользователя. Беспроводные сети следует устанавливать с учётом тех же условий безопасности, которые используются для создания защищённых локальных сетей и dial up доступа.
Изначально в стандарте IEEE 802.11 предусматривалась реализация протокола безопасности WEP (Wired Equivalent Privacy). С самого начала целью внедрения WEP было достижение того же уровня безопасности, который обеспечивается в традиционной проводной локальной сети. Ваша традиционная проводная локальная сеть уже обладает некоторыми механизмами защиты — вы можете контролировать точки доступа в неё внутри здания. Однако беспроводные сигналы способны проникать сквозь стены, так что обычные физические границы здесь не работают. Для обеспечения уровня физических ограничений обычной проводной сети в стандарт 802.11 было добавлено шифрование WEP.
Однако самая большая опасность беспроводных сетей состоит в том, что пользователи часто предпочитают не использовать вообще никакой защиты. В беспроводных сетях необходимо применять WEP, являющийся первой линией защиты. Однако многие пользователи работают открыто без всякой защиты, что подобно раскрытой двери в квартиру — «заходи, кто хочешь, бери, что хочешь». Во многих случаях WEP отпугнёт потенциального взломщика, но если ваши данные вам дороги, то вам придётся обратиться к более надёжным и безопасным решениям.
Специалисты THG выдвигают семь рекомендаций:
• Регулярно проверяйте сайт поставщика насчёт появления обновлений для ваших беспроводных устройств. Применяйте обновления, обновляйте прошивку вашего устройства. Не следует считать, что купленное устройство обладает самой свежей прошивкой.
• Включите WEP и повысьте его безопасность с помощью изменения ключа по умолчанию. Затем регулярно меняйте ключ WEP. Никогда не работайте с беспроводной точкой доступа или беспроводным маршрутизатором без использования WEP. Конечно, если вам важны данные, передающиеся по вашей сети.
• Защита дисков и папок на вашем компьютере с помощью паролей сможет добавить ещё один уровень безопасности.
• Измените SSID по умолчанию на что нибудь иное.
• Используйте сеансовые ключи, если ваш продукт их поддерживает.
• Используйте фильтрацию по MAC адресам, если ваш продукт поддерживает такую возможность. Блокировка маршрутизатора на работу только с определёнными MAC адресами дополняет защиту от несанкционированного доступа.
• Используйте VPN. Хотя для этого может потребоваться VPN сервер (или устройство, работающее как VPN сервер), VPN клиент уже включён в состав Windows 98SE, Windows 2000 и Windows XP.
• Помните, если данные в вашей сети требуют более высокого уровня защиты, то вам следует внедрить дополнительные меры безопасности типа доступа на основе RADIUS или Kerberos, шифровки информации, защиты паролей, аутентификации пользователя, VPN, SSL и брандмауэра. Вы можете интегрировать решение 802.11b в большинство других проверенных и безопасных решений.

Для успешного подключения к DSL сети в большинстве случаев вам необходим DSL/кабельный маршрутизатор, поддерживающий PPPoE (протокол точка точка по Ethernet). Ни одно из рассмотренных устройств не имеет каких либо проблем с подключением. Они соединяются за несколько секунд. В дополнение к PPPoE, некоторые маршрутизаторы также могли работать с другими протоколами типа PPTP (туннельный протокол точка точка), поддержка которого требуется для некоторых DSL/кабельных провайдеров.
Важным фактором при оценке производительности WLAN является измерение дальности. Я находил максимальную дистанцию (точка точка) между точкой доступа и устройством, при котором происходила устойчивая передача данных. Каждое тестируемое устройство подключалось в другой комнате, и между точкой доступа и устройством находилось, по крайней мере, две стены и дверь.
Поскольку планировка каждого дома или офиса индивидуальна, полученные данные по расстояниям будут не всегда соответствовать действительности. Однако поскольку тестировались все беспроводные маршрутизаторы в равных условиях, то можно считать сравнение достоверным.

Я постарался создать тестовое окружение для беспроводной точки доступа WLAN максимально близко к типичному офисному окружению. Точка доступа подключалась через 10/100 Мбит/с коммутатор HP к DHCP и файловому серверу, на котором работал Red Hat Linux 7.3. При передаче данных использовался стек протоколов TCP/IP. Клиентом был ноутбук Dell Inspirion 2650 с Windows XP. Что касается беспроводной PC Card, то использовалась модель того же производителя, чья точка доступа проходила тестирование.
Для оценки дружественности к пользователю беспроводных точек доступа, сначала конфигурировась точка доступа по интерфейсу WLAN. Если процедура конфигурации требовала Ethernet или подключения к последовательному порту, то соответственно эргономика снижалась. Особое внимание было уделено дружественности самой процедуры настройки.
Как только установка была закончена, далее начиналась провека максимальной пропускной способности при передаче данных. Для этого копировался (при идеальных беспроводных условиях) 100 Мб файл и 520 Мб каталог, содержащий несколько тысяч отдельных файлов на файловый сервер. Тест проводился три раза в обоих направлениях — от ноутбука на сервер и наоборот. Одна серия тестов была проведена с включённым WEP (Wired Equivalent Privacy) шифрованием и одна — с выключенным. Все протестированные продукты поддерживали максимальный уровень шифрования — 128 бит.

Важный тестовый критерий — дальность работы и функциональность

Чтобы проверить дальность, нужно поместить точку доступа в одно и то же место, а затем передвигать клиента за поле действия WLAN. При тестировании использовался тот же 100 Мб файл для проверки стабильности связи с шифрованием и без него.
Не менее важна и функциональность. Сколько существует способов конфигурации точки доступа (веб браузер, собственные программы); имеет ли устройство порт для внешней антенны или для коммутатора и т.д.

WLAN (Wireless Local Area Network) — беспроводная локальная сеть. Помимо этого сокращения для обозначения беспроводных сетей разного масштаба употребляют термины WPAN (Wireless Personal Area Network) и WWAN (Wireless Wide Area Network). WPAN, иначе беспроводная персональная сеть, служит для связи компьютера с периферийными устройствами (клавиатура, мышь и т.д.). Сюда можно отнести стандарты Bluetooth и IrDa, которые обеспечивают связь на расстоянии до 10 метров. WWAN — глобальная беспроводная сеть, служит для обозначения сетей городских масштабов. По большей части, этот термин употребляется для сетей будущего.
Wi Fi . Сети, построенные на базе оборудования, поддерживающего стандарт 802.11b, получили название — Wi Fi сети. Стоит упомянуть об одной интересной особенности стандарта 802.11b. Если хотя бы один клиент подключается к сети на малой скорости (причиной может стать большая удалённость или сильное ослабление радиосигнала окружающей средой), скорость передачи данных ограничивается для всех остальных пользователей до уровня скорости медленного клиента. Это ограничение устанавливается для обеспечения стабильного режима доступа всех клиентов сети базисным механизмом выбора скорости для каждого пользователя, который используется в стандарте CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance). Как следствие, скорость передачи данных даже при высокоскоростном подключении может упасть с 11 Мбит/с до 1 Мбит/с. Такое падение скорости вполне приемлемо при доступе в Интернет, когда скорость подключения к провайдеру сравнима с нижним порогом в Wi Fi сети, но легко замечается при интенсивной работе в локальной сети.
WNIC (Wireless Network Interface Card) — беспроводная сетевая карта, также иногда употребляется термин «беспроводной сетевой интерфейс».
WAPили AP (Wireless Access Point) — узел беспроводного доступа или «точка доступа». Это оборудование позволяет взаимодействовать беспроводным рабочим станциям с ресурсами уже существующей кабельной сети (Ethernet). Являясь точкой перехода (мостом) из беспроводной сети в кабельную сеть и участвуя как посредник в сетевых взаимодействиях беспроводных клиентов при работе сети в режиме инфраструктуры, узел доступа может выполнять некоторые ограничительные функции для активности беспроводных клиентов.

SSID (Service Set Identifier) — идентификатор беспроводной сети. Несмотря на работы по стандартизации беспроводных сетей молодость данной технологии ещё заметна в различных мелочах, в том числе и в названиях. Часто производители оборудования и программного обеспечения для обозначения одних и тех же понятий используют различную терминологию, что может вызвать некоторое смущение у пользователя. Например, наряду с термином «идентификатор SSID» используются следующие наименования: имя сети (Network Name или сокр. NN), предпочтительная сеть (Preferred Network), идентификатор ESSID, и область обслуживания беспроводной сети.
WEP (Wired Equivalent Privacy) — метод поточного кодирования передаваемых данных. Основан на алгоритме RC4. Система отправителя инициализирует программу кодирования двумя значениями: вектором инициализации (IV) и секретным ключом. Каждый бит получившегося в результате кодирующего ключа складывается с соответствующим битом тела (нагрузки) пакета с применением логической операции XOR. В заголовок каждого зашифрованного сетевого пакета добавляется значение IV, применённое для его кодирования. Для следующего пакета выбирается другое значение IV. При расшифровке для каждого бита зашифрованного сообщения и кодирующего ключа также применяется операция XOR. В результате получаем расшифрованные данные.
Вектор инициализации — IV (Initialization Vector). Значение длиной в 24 бита, генерируемое случайным образом.
ICV (Integrity CheckValue) — контрольная сумма данных.
МАС (Media Access Control) — аппаратный адрес.
VPN — защищённое сетевое соединение, использующее протоколы шифрования и туннелирования для создания безопасного подключения клиента к частной сети. Используется для работы в потенциально опасных коммуникационных средах, где существует возможность перехвата данных (например, в Интернет).
Взлом криптозащиты . Операция XOR к двум сообщением, зашифрованным одинаковыми парами значений секретного ключа и есть не что иное, как XOR к соответствующим незашифрованным данным. После чего сами исходные данные легко восстанавливаются.
Система обнаружения вторжения — NIDS (Network Intrusion Detection System).
Системы ловушки — Honeypot, Honeynets.
WPA (Wi Fi Protected Access) . Базируется на «временном протоколе целостности ключей» — TKIP (Temporary Key Integrity Protocol). Задача, решаемая TKIP: не допустить повторного использования кодирующих ключей. Это достигается динамической заменой используемого в WEP статического ключа новым ключом, вычисленным на основании старого секретного ключа, вектора инициализации и порядкового номера сетевого пакета. Также предусмотрена дополнительная проверка целостности сообщений — MIC (Message Integrity Check), при которой наряду с полезными данными учитываются MAC адреса источника и получателя.

Тип брандмауэра (firewall). Один из первых вопросов, который может встать перед новичком, — это вопрос выбора между брандмауэром типа «Stateful Inspection» или «Stateful Packet Inspection» (SPI). Для ответа на него нужно представлять, как работает маршрутизатор.
Все устройства потребительского уровня основаны на трансляции сетевых адресов (Network Address Translation, NAT). Эта технология позволяет осуществлять множественный доступ компьютеров локальной сети (каждый из которых имеет собственный внутренний IP адрес) в Интернет, используя один внешний IP адрес, полученный у провайдера. NAT обеспечивает основные функции брандмауэра, пропуская в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети. Поскольку NAT подразумевает просмотр маршрутизатором содержимого каждого проходящего пакета, то почему бы такой режим не отнести к SPI?
На самом деле этот вопрос до сих пор не имеет однозначного ответа, частично это связано с неправильным использованием терминов при описании ранних продуктов на основе NAT. Кроме того, среднестатистическому покупателю весьма проблематично убедиться в работе SPI. С практической точки зрения различие NAT и SPI не столь велико, здесь вопрос заключается в том, что нужно пользователю. Маршрутизаторы потребительского уровня на базе SPI обычно отличаются от своих родственников NAT наличием такой возможности, как уведомление об атаке по электронной почте, хотя и из этого правила могут быть исключения. Кроме того, благодаря буквам SPI, некоторые производители пытаются повысить стоимость своего оборудования.
Рекомендация: если единственным различием функциональности устройств является наличие SPI у одного из них, то выбирайте его в том случае, если вы планируете использовать перенаправление множества портов или осуществлять доступ к внутреннему серверу из Интернета. В противном случае «чистый» NAT cможет полностью со всем справиться.
Особенности порта WAN . Немного прояснив вопрос о NAT и SPI, перейдём к более практическим вещам — например, как подключиться к Интернету?
Примечание: под широкополосным модемом (broadband modem) мы понимаем устройство для подключения к Интернету, использующее любой из способов широкополосной связи. Это может быть любой модем для выделенной линии.
Тип соединения . Большинство маршрутизаторов оборудованы портом 10BaseT Ethernet для подключения к широкополосному модему. Почему не 10/100? Просто потому, что большинство соединений работают на скорости 1 2 Мбит/с, в лучшем случае, поэтому производители могут немного сэкономить, используя чип на 10BaseT. Некоторые модели оборудованы последовательным портом для WAN соединения, что позволяет использовать их совместно с обычными модемами (для коммутируемых линий) или соответствующими модемами для выделенных линий (или ISDN адаптерами). Некоторые модели поддерживают функцию автоматического установления резервного модемного соединения «auto failover» при разрыве основного подключения и автоматическое переключение обратно при восстановлении последнего.

Получение параметров IP . Когда маршрутизатор уже приобретён и подключён к линии, нужно ещё раз убедиться, что он поддерживает метод получения IP адреса и тип аутентификации, используемые провайдером. Сначала обратимся к способам задания IP адреса, которые есть у всех устройств, затем рассмотрим методы аутентификации.
Динамический IP адрес (Dynamic IP) . В этом способе, который также называют «DHCP клиент», маршрутизатор автоматически получает свой IP адрес, адреса шлюза по умолчанию и сервера DNS. Подобный способ достаточно широко распространён — он предоставляет провайдеру достаточную гибкость при конфигурировании своей сети. Негативная сторона заключается в том, что полученный IP адрес может смениться в любой момент, и удалённые приложения, работающие на основе IP ад ресов, не смогут работать. К счастью, решить эту проблему помогают провайдеры динамического DNS, например TZO, которые позволяют найти вас по имени независимо от текущего IP адреса.
Статический IP адрес (Static IP) . Этот метод идеально подходит для тех, кто собирается использовать серверы и не желает связываться с динамическим DNS. Здесь требуется самостоятельно указать IP адрес, адрес шлюза по умолчанию и адрес сервера DNS, предоставленные провайдером. Такой вариант предоставляют не все провайдеры, а те, которые предоставляют, могут взимать за это дополнительную плату.
Методы аутентификации. Вообще, у провайдеров существует множество способов для проверки подлинности пользователей. Рассмотрим наиболее распространённые из них.
• Коммутируемый доступ и ISDN. Пользователи этих двух способов, вероятно, заметили, что в маршрутизаторах с последовательным портом в разделе настройки удалённого доступа есть также место для указания номера телефона провайдера, имени пользователя и пароля.
• По MAC адресу. Все устройства, обладающие IP адресом, имеют и MAC адрес. MAC адреса уникальны для любого сетевого оборудования (по крайней мере, предполагается, что они уникальны) и используются в процессе присвоения IP адресов. MAC адреса (также известные как адреса физические) состоят из двенадцати шестнадцатиразрядных цифр (то есть, шести байт). Чтобы обеспечить уникальность MAC адресов, каждому производителю сетевого оборудования выделяется свой диапазон, а конкретный адрес в рамках диапазона присваивается случайным образом.
Примечание: MAC адрес может быть записан в одном из трех видов. Ниже приведены три варианта записи одного и того же MAC адреса:
00fe3c812eab
00 fe 3c 81 2e ab
00:fe:3c:81:2e:ab
MAC адреса не чувствительны к регистру, поэтому для их написания можно использовать как строчные, так и заглавные буквы (A F).
Провайдеры, использующие кабельные модемы, часто применяют именно этот метод аутентификации — вы даже можете не знать, что они используют именно его. Однако все сомнения рассеются, как только вы попытаетесь подключить модем к другому компьютеру или маршрутизатору. Поэтому если соединение перестало работать сразу после установки нового оборудования или через некоторое время после этого, вполне вероятно, что провайдер проводит аутентификацию именно по MAC адресу.

Такой метод является источником проблем: при установке нового маршрутизатора необходимо звонить провайдеру и сообщать новый MAC адрес в службу поддержки, что приводит к дополнительным временным издержкам. Некоторые провайдеры добавляют в свою базу данных МАС адресов диапазоны, используемые наиболее известными маршрутизаторами, и запрещают их использование. (Кроме того, некоторые провайдеры отслеживают MAC адреса устройств, находящихся в сети, и отключают маршрутизаторы без предупреждения или объяснения).
К счастью, разработчики маршрутизаторов придумали обходное решение — сегодня практически все модели позволяют автоматически «клонировать» МАС адрес компьютера, к которому он подключён, или даже указывать адрес ранее использовавшегося адаптера в качестве внешнего МАС адреса. Оба способа избавляют от необходимости звонка в службу поддержки.
• PPPoE. Протокол Point to Point Protocol over Ethernet (или PPPoE) является относительно новым методом аутентификации. Его продвижению способствовали DSL провайде ры Интернета. Этот метод требует лишь указания имени и пароля, но использует протокол, позволяющий выполнять аутентификацию, мониторинг и контроль множества виртуальных подключений. То есть провайдер получает возможность отслеживать и производить расчёты раздельно для пользователей. Однако такая возможность есть только в том случае, если вы арендовали сразу несколько IP адре сов. Но она мало распространена. Большинство пользователей предпочитают устанавливать маршрутизатор с NAT для выхода в Интернет с нескольких компьютеров.
PPPoE сегодня поддерживают почти все маршрутизаторы, однако качество реализации, то есть стабильность работы, сильно отличается. Некоторые проблемы PPPoE связаны с прошивкой маршрутизаторов, некоторые — с различиями в реализациях PPPoE провайдерами. Если провайдер использует PPPoE, то стоит выбирать маршрутизатор с его поддержкой, а также со следующими возможностями:
Контроль подключения (Connection Controls) . Здесь можно встретить несколько различных параметров, отвечающих за продолжительность поддержания соединения в случае отсутствия сетевой активности и действия при разрыве соединения. Большинство маршрутизаторов настроены по умолчанию так, чтобы автоматически восстанавливать соединение при обнаружении сетевой активности, однако у маршрутизаторов Linksys данная опция вынесена в настройки «Connecton Demand » (Подключение по требованию). Параметр «Maximum Idle Time » (Максимальное время ожидания) определяет время, через которое маршрутизатор разорвёт соединение при отсутствии сетевой активности. Опция «Auto Reconnect » (Автоматическое восстановление соединения) позволяет маршрутизатору автоматически восстановить соединение при его разрыве.

Сохранение соединения (Keep Alive) . Одна из наиболее серьёзных проблем соединений PPPoE заключается в достаточно частых самопроизвольных разрывах. Некоторые провайдеры разрывают широкополосное соединение намеренно, также как и провайдеры коммутируемого доступа, после некоторого периода неактивности, у других просто неправильно настроены серверы PPPoE. Функция «Keep Alive » позволяет поддерживать соединение, посылая пакеты данных через заданные промежутки времени.
Другие параметры аутентификации (Other Authenticationneeds) . Некоторые провайдеры PPPoE требуют статического задания IP адреса и/или «Service Name » (Имени службы). При выборе маршрутизатора убедитесь, что он поддерживает все необходимые функции.
Имя узла (Host Name) . Метод аутентификации по имени узла использовался провайдером @Home до тех пор, пока он не распался. В этом случае требуется установить «Host Name » (Имя узла) (в Windows это называется «Имя компьютера » (Computer Name)) на выданное провайдером длинное имя. @Home был одним из наиболее крупных провайдеров, поэтому большинство маршрутизаторов поддерживают возможность задания имени маршрутизатора и последующую передачу его провайдеру в ответ на запрос.
TAS . TAS расшифровывается как «Toshiba Authentication Service» и также известен как «RR login». Протокол применяет аутентификацию по имени пользователя/паролю, используя для этого небольшую клиентскую программу, которая должна работать на компьютере, подключённом к кабельному модему. Большинство маршрутизаторов этот протокол не поддерживают (продукты ZyXEL и некоторые ОЕМ модели Netgear являются исключениями). Если ваш провайдер использует именно этот способ аутентификации, то вам остаётся либо подыскать маршрутизатор с его поддержкой, либо искать какие то обходные пути.
Сервер DHCP . Все модели маршрутизаторов поддерживают сервер DHCP, благодаря чему возможно автоматическое предоставление клиентам локальной сети настроек TCP/IP, необходимых для получения доступа в Интернет. Не все маршрутизаторы имеют одинаковый набор настроек DHCP сервера, поэтому обратите внимание на следующее:
Диапазонадресов (Address Range control) . Этот параметр определяет тот диапазон адресов, которые распределяет сервер. Некоторые модели позволяют указать только начальный адрес диапазона. Другие позволяют указать начальный и конечный адреса. Последнее решение является более гибким и позволяет не беспокоиться о том, что выданные сервером адреса будут конфликтовать со статически заданными адресами в сети.
Резервирование IP адресов (IP reservation) . В этом пункте можно задать поддиапазон адресов DHCP сервера, который будет зарезервирован, — адреса из него выдаваться не будут.

Имя домена (Domain Name). DHCP сервер также раздаёт адреса DNS серверов провайдера, но вы можете настроить его и на раздачу клиентам имени домена. Если провайдер не указывает полные имена (FQDN) на своих серверах (например, как @Home), то вам придётся самому настроить эту функцию, чтобы клиенты локальной сети могли работать с почтой, новостями и другими сервисами.
Примечание: FQDN включает в себя имя узла, домена и информацию о домене верхнего уровня, например, www.home.com, или mail.ho me.com. Не FQDN имя обычно содержит только имя хоста, например mail, news, POP3.
Включение/Выключение (Enable/Disable) . Данный параметр отвечает за включение/выключение DHCP сервера. Он будет полезен при использовании в беспроводных маршрутизаторах и при наличии DHCP сервера в сети.
Список клиентов (Client Listing) . Иногда необходимо узнать, кто подключён к сети. Эта функция, как минимум, показывает соответствие IP адресов MAC адресам для клиентов DHCP сервера, получивших у него адрес. Некоторые модели также позволяют просмотреть имя компьютера клиента, выполнить принудительное обновление адресов или отключить клиента.
Перенаправление портов, виртуальные серверы (Port Mapping, Forwarding, Virtual Server) . Вообще, здесь может быть множество других названий, однако суть от этого не меняется: данная функция позволяет оставлять открытые порты в брандмауэре. Она требуется для большинства интернет приложений, которым необходима возможность передавать запросы из внешнего сегмента сети (WAN) во внутренний (LAN).
Существует несколько способов реализации перенаправления портов, при выборе стоит исходить из требований используемых приложений. Рассмотрим типы перенаправления портов.
Статическое перенаправление портов (Static Single Ports) . Это простейшая форма перенаправления портов. При её использовании необходимо задавать соответствия между портами, используемыми приложениями и IP адресами машин, на которых эти приложения работают. В результате запрос снаружи на IP адрес вашего маршрутизатора будет автоматически перенаправлен на указанный внутренний сервер. Некоторые маршрутизаторы позволяют определять также используемый для этого протокол (TCP или UDP). Другие автоматически производят перенаправление порта для обоих протоколов.

Примечание: статически можно перенаправлять порт только на один IP адрес. Другими словами, если нескольким пользователям необходимо использовать одно и то же приложение, или если в сети присутствует несколько серверов одного типа, то для каждого из них придётся задействовать свой порт. Некоторые приложения это позволяют, некоторые — нет.
Таким образом, если у вас немного приложений, и они используют по одному два порта (например, web— или ftp сервер), то этот способ вполне приемлем. Хотя максимальное число перенаправляемых портов может различаться у разных моделей, обычно устройства позволяют задать до десяти таких портов.
Статическое перенаправление группы портов схоже с одиночными портами, только в данном случае, можно указывать не отдельные порты, а их группы. Как и прежде, перенаправление диапазона портов возможно только для одного IP адреса. Такая возможность полезна в том случае, если необходимо обеспечить работу приложений, использующих большое количество портов, например, игр или аудио/видеоконференций. Здесь количество групп портов также варьируется от одной модели к другой, хотя обычно также предлагается около десяти.
Демилитаризованная зона, внешний сервер (DMZ, Exposed Server) . Данная функция позволяет виртуально поместить компьютер, находящийся в локальной сети, в глобальную сеть до брандмауэра. Подчеркну слово «виртуально», поскольку на самом деле машина физически остаётся подключённой к сегменту LAN. Другими словами, в этом случае осуществляется перенаправление всех портов на один внутренний IP адрес. Эта функция осуществляется внутренней прошивкой маршрутизатора, и в некоторых моделях до сих пор не работает должным образом.
Динамическое перенаправление портов (Dynamic, Triggered Mapping) . Иногда у этой функции встречается и другое название — «Special Applications » (Специальные приложения). Цель данной функции направлена на преодоление ограничения статического перенаправления, когда один номер порта можно перенаправить только на один внутренний IP адрес. Настройка выполняется точно так же, как в случае статических привязок, за исключением указания свойства «trigger» (и иногда протокола). После активации данной функции маршрутизатор следит за исходящим трафиком, то есть за тем трафиком локального сегмента, который направлен в Интернет и соответствует заданному критерию. Если такой трафик обнаружен, то маршрутизатор запоминает IP адрес компьютера, от которого исходит этот трафик. При поступлении данных обратно, в локальный сегмент, включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP адрес. Таким образом, создаётся иллюзия того, что сразу несколько компьютеров одновременно используют перенаправление одного и того же порта, хотя на самом деле в один момент времени только один компьютер может использовать перенаправление.

Примечание: событие, по которому осуществляется динамическое перенаправление должно происходить во внутреннем сегменте сети, поэтому его нельзя использовать для организации работы нескольких серверов, находящихся в сегменте LAN и использующих один порт. Другими словами, если необходимо, чтобы работали два web сервера, нужно настроить статические перенаправления на два различных порта и соответствующим образом настроить серверы.
Примечание: динамические перенаправления прекрасно подходят для служб, использующих кратковременные запрос и передачу данных, поскольку если один компьютер использует перенаправление данного порта, то в этот момент времени другой компьютер перенаправление этого порта использовать не может. Если нужно настроить работу приложений, которым необходим постоянный поток данных, (например потоковое аудио и видео, интернет телефония и многое другое), которые занимают порт на длительное время, то динамическое перенаправление в этом случае помогает мало.
Привязка сервера Loopback (Mapped Server, Loopback) . Если на маршрутизаторе настроено перенаправление портов на серверы, находящиеся в сегменте LAN, то добраться до них из этого же сегмента можно достаточно просто — указав внутренний IP адрес сервера. Пользователи, находящиеся с другой стороны маршрутизатора — WAN, могут обратиться к серверу через внешний адрес маршрутизатора.
Функция «Loopback» позволяет пользователям, находящимся во внутреннем сегменте, обращаться к такому серверу по внешнему IP ад ресу маршрутизатора (или по имени, если оно задано). Такая возможность избавит пользователей, находящихся в одной локальной сети с сервером, от необходимости запоминать внутренние адреса, позволив обращаться к серверу точно так же, как всем остальным пользователям, находящимся снаружи маршрутизатора.
Контроль доступа, фильтрация портов (Access Control, Port filtering) . В некоторых ситуациях необходимо ограничивать круг пользователей, имеющих доступ к сервисам Интернета: например, разрешить доступ только к электронной почте или только к web страницам. Для этой цели почти у всех маршрутизаторов есть возможность ограничения доступа. Работает это следующим образом: задаются группы пользователей (на самом деле это группы IP адресов). Затем для каждой группы указываются сервисы (используемые ими порты), которые разрешается использовать группе.
Различные модели маршрутизаторов позволяют реализовать различные уровни контроля, хотя обычно можно либо разрешить доступ только к указанной группе сервисов (номерам портов), или разрешить доступ ко всем, кроме указанной группы.
Когда пользователь пытается использовать неразрешённую службу, например AOL Instant Messenger, она просто не будет работать. Это может показаться странным для пользователей, которые не были предупреждены о фильтрации. Поэтому многие модели маршрутизаторов в данном случае покажут сообщение о том, что доступ к этой службе закрыт.

Обычно маршрутизаторы позволяют задать четыре группы, возможное количество портов в группе различается. Некоторые модели позволяют одновременно указывать не только одиночные порты, но и их диапазоны, другие — только одиночные порты.
Большинство моделей позволяют только включить блокирование или отключить, однако некоторые поддерживают также блокирование портов по расписанию. Конечно, гибкость расписания не слишком велика, обычно она ограничивается одним периодом времени с указанием дней недели, в которые этот фильтр используется.
Ограничение/фильтрация содержания (Content Control, Content filtering) . Данная функция предназначена для ограничения доступа пользователей локальной сети к ресурсам Интернета. Она схожа с такими программами, как Cybersitter, NetNanny, CyberPatrol и другими, но более ограничена в возможностях. Некоторые модели позволяют лишь указать URL или IP адреса и запретить или разрешить доступ только к ним. Другие поддерживают использование списков фильтрации и позволяют использовать такие списки от третьих фирм. Некоторые модели также позволяют настроить и этот фильтр на работу по расписанию.
VPN (Virtual Private Networking) . С постоянным ростом внимания к безопасности компьютерных сетей, возможность поддержки VPN становится все более актуальной, особенно это касается тех, кому необходимо подключаться к сети офиса из дома или из гостиницы в случае командировки. Многие организации позволяют подключаться к своей сети лишь с использованием технологий VPN. Производители маршрутизаторов ответили на спрос решений для VPN поддержкой их в своих устройствах. Возможности туннелирования в маршрутизаторах сильно различаются от модели к модели, поэтому необходимо заранее знать, поддержка какого типа туннелей вам необходима.
Протоколы (Protocols) . Два наиболее часто используемых протокола для создания VPN — это PPTP и IPsec. PPTP (поддерживается компанией Microsoft) поддерживается в маршрутизаторах наиболее часто, хотя сегодня большинство моделей также поддерживают и IPsec. Третий протокол, L2TP, распространён не так широко, поэтому если ваше подключение VPN использует именно этот протокол, то убедитесь в его должной поддержке маршрутизатором.
Прохождение (Pass Thru) . Простейшая форма поддержки VPN — это обеспечение сквозного прохождения туннелей через маршрутизатор. Маршрутизатор, поддерживающий этот режим, пропускает через себя инкапсулированные пакеты данных, не просматривая их содержимое. Остаётся только настроить соответствующее клиентское ПО на компьютерах во внутреннем сегменте, чтобы клиенты из локальной сети могли свободно подключаться к серверу VPN снаружи. Большинство производителей заявляют, что их модели поддерживают прохождение туннелей VPN, однако на самом деле ситуация может оказаться обратной. Иногда проблемы заключаются в ошибках прошивки маршрутизатора, иногда они связаны с невозможностью работы протокола VPN через маршрутизаторы NAT.

Совет: через маршрутизаторы NAT не могут работать подключения VPN, использующие аутентификацию заголовков IPsec (IPsec Header Authentication) или пакеты IPsec с неинкапсулированным шифрованием FMZ.
Также маршрутизаторы различаются по количеству пропускаемых туннелей. Это не так критично для одиночных пользователей, но может играть важную роль для небольших организаций, использующих соединения между несколькими офисами. Одни модели могут поддерживать прохождение только одного туннеля в один момент времени, другие могут пропускать сразу несколько. Третьи могут пропускать несколько туннелей только в том случае, если они направлены на один сервер VPN. То есть два сотрудника из одного офиса не смогут установить подключение к двум различным удалённым VPN серверам.
Ещё одна необходимая функция, касающаяся VPN, — это возможность использования серверов VPN внутри сети. Естественно, для этого необходимо будет установить перенаправление портов, или поместить сервер в DMZ, но если маршрутизатор не знает, как обращаться со специально построенными пакетами данных VPN, клиенты не смогут подключиться к серверу. Поэтому, если необходимо установить сервер VPN за маршрутизатором внутри сети, то сначала стоит убедиться, что маршрутизатор поддерживает прохождение туннелей PPTP или IPsec внутрь.
Конечная точка (End Point) . Второе название этой функции — «VPN Edge». Так называется способность маршрутизатора создавать и разрывать туннельное соединение. Благодаря ей маршрутизатор может устанавливать туннели сам, что позволяет не использовать программное обеспечение для VPN на клиентских компьютерах. Кроме того, используя два одинаковых (или почти одинаковых) маршрутизатора, можно создать туннельное соединение между двумя сетями без использования какого либо дополнительного программного или аппаратного обеспечения.
Ранее такая возможность была доступна в устройствах стоимостью от $500, однако сегодня появляются все новые модели устройств, которые стоят дешевле $100 и поддерживают конечные точки VPN. К примеру, SMC 7004.
При выборе маршрутизатора с такой возможностью следует убедиться в наличии конечной точки PPTP, если она вам нужна (некоторые модели поддерживают конечную точку только для IPsec, а для PPTP есть лишь возможность прохождения туннелей). Кроме того, если необходима возможность доступа к сети, например, во время поездок, убедитесь в наличии в комплекте поставки клиентского приложения VPN, если оно необходимо.
Журналирование (Logging) . Журналирование — это способ маршрутизатора «сказать», что он выполнял и, что более важно, чем занимались пользователи. Большинство моделей потребительского уровня обладают достаточно скромными возможностями журналирования и предоставляют лишь поверхностные возможности (в лучшем случае) для просмотра активности определённого пользователя.
Обычно в журнал заносятся три типа записей: административные, «hack attempts » (попытки взлома) и трафик пользователей. Административные записи включают в себя такие события как включение/выключение и перезагрузку маршрутизатора.

Кроме того, здесь же можно встретить и список попыток административных входов. Записи «Попытки взлома» обычно включают попытки любого доступа к маршрутизатору с внешнего сегмента сети (WAN). Эти попытки обычно не направлены именно на ваш маршрутизатор, а являются результатом сканирования портов всей подсети. Модели с брандмауэрами на базе просмотра содержимого (SPI) могут также определять и записывать потенциально опасные атаки, например Denial of Service (DoS) — отказ в обслуживании, fragmented packet — фрагментированные пакеты и другие, не менее опасные атаки. И, наконец, записи трафик пользователей включают запросы HTTP, FTP и других сервисов Интернет.
Как и упоминалось ранее, интерфейс журналов у большинства моделей чрезвычайно прост, обычно представляет собой просто список событий. Некоторые модели позволяют стирать или сохранять журнал в файл, в то время как другие сохраняют лишь определённое количество событий, а когда журнал переполнится, наиболее старые события будут удаляться, уступая место новым. Ещё один тип журналирования — это журналирование URL или web трафика: в данном случае запоминается количество посещений какого то web адреса сервера, без указания точных адресов страниц, поэтому если вам необходимо отслеживать и адреса страниц, то следует озаботиться выбором модели с поддержкой жур налирования на внешний сервер.
Для журналирования на сервер используются два метода. Поддержка Syslog позволяет задать адрес машины в локальной сети, на которой запущен сервер или домен syslog. Этот сервис изначально появился в системах unix, а сейчас есть также версии для Windows и MacOS. После установки сервер Syslog позволит маршрутизатору передавать копии журналов, которые затем могут обрабатываться различными программами.
Второй метод — это SNMP trap. Он поддерживается в популярной серии маршрутизаторов Linksys, и для него также существует множество программ. Для работы используется передача данных по протоколу SNMP.
И, наконец, некоторые маршрутизаторы (обычно с брандмауэрами SPI) поддерживают отправку предупреждений и сообщений об атаках по электронной почте. Это позволяет маршрутизатору отправлять сообщение при обнаружении попыток взлома из Интернета, или отсылку некоторых сообщений журнала по расписанию. Весьма удобно, особенно для тех, кто вечно забывает регулярно просматривать журналы событий.
Маршрутизация (Routing) . Существуют модели, позволяющие выполнять обычную маршрутизацию (не NAT). То есть вместо того, чтобы позволять нескольким компьютерам использовать один IP адрес для доступа в Интернет, маршрутизатор может передавать трафик на компьютеры в локальной сети, имеющие реальные IP адреса (выданные провайдером). Одна из ключевых функций здесь состоит в том, что компьютеры с реальными IP адресами могут напрямую связываться со всеми другими компьютерами в Интернете. Естественно, при этом необходимо защищать каждую машину индивидуально.
Есть ещё два типа особенностей, относящихся к маршрутизации. Статическая маршрутизация требует указания информации о подключённых подсетях.

Динамическая маршрутизация использует протокол RIP (Routing Information Protocol) для автоматического получения маршрутов от других устройств, использующих этот протокол.
Блокирование запросов ping снаружи (Discard WAN ping, Stealth mode) . Одна из основных возможностей всех программ сканеров портов — это отсылка на исследуемые адреса запроса ping и последующее ожидание ответа. Изначально запросы ping используются для диагностики связи с удалённым компьютером, но теперь ping используют и для обнаружения активных компьютеров. Вы можете блокировать запросы ping — в результате ваш маршрутизатор не будет на них отвечать.
Удалённое администрирование (Remote Administration) . При наличии этой возможности можно разрешить административный вход из внешнего сегмента (WAN или Интернет). Её очень удобно использовать в том случае, если вы часто находитесь в разъездах, и вам необходимо часто изменять настройки маршрутизатора, или если вы отвечаете за работу сразу нескольких маршрутизаторов, расположенных в разных местах. Если такой доступ недостаточно защищён, то он представляет потенциальную опасность — ведь любой злоумышленник тоже может получить доступ к вашей локальной сети, поэтому следует выбирать маршрутизаторы, обеспечивающие максимальную защиту административного доступа. Как минимум, стоит ограничить административный доступ, разрешив его только с одного IP адреса или с группы адресов. Ещё лучше будет возможность задания номера порта, используемого для подключения к консоли администрирования — но данная функция встречается относительно редко. То есть для получения доступа злоумышленнику необходимо будет узнать не только IP адрес маршрутизатора, но и порт, используемый консолью администрирования.
Сервер печати (PrintServer) . Эта функция приобрела популярность благодаря старой линейке маршрутизаторов Barricade компании SMC. Она позволяет подключать принтер с параллельным портом к маршрутизатору, а не к компьютеру сети. Таким образом, печать не зависит от работы или доступности какого то одного компьютера, и, кроме того, вы можете установить принтер в более удобное место. Большинство моделей с серверами печати имеют небольшое количество памяти (ограничивая размер печатаемых файлов), могут не работать с MacOS, и не поддерживают функции двунаправленной передачи данных по LPT порту. В целом, сервер печати — вещь полезная, особенно с учётом того, что он совсем незначительно увеличивает стоимость устройства.
MTU . Этот параметр позволяет изменять параметр Maximum Transmission Unit для маршрутизатора. Наиболее интересно это может показаться для тех, кто использует соединение PPPoE, или для тех, кто пытается настроить соединение VPN, или то и другое одновременно. Необходимость изменять этот параметр вызвана настройками сетей некоторых провайдеров. Подробнее узнать о том, к чему приводят такие изменения можно на сайте speedguide.net, тем не менее, мы считаем, что вам не стоит изменять этот параметр до тех пор, пока провайдер или производитель не посоветуют это сделать.