18.12.2008 D-Link RangeBooster DIR-655: новая волна комбайностроения

Интернет-шлюзы для дома и малого офиса прошли долгий путь эволюции от скромных «игрушек» до многофункциональных сетевых центров с высокой производительностью, но существующая аппаратная база всё-таки упёрлась в некий барьер, перепрыгнуть который до недавних пор никому не удавалось. Даже качественные модели редко достигали рубежа 100 Мбит/с, а тех кто его превысил и вовсе по пальцам пересчитать можно. Между тем, самые обычные домовые сети предлагают минимум 200 Мбит/с (сотня на приём и столько же на передачу), а многие провайдеры переводят своё хозяйство на Gigabit Ethernet. И тарифные скорости не отстают: уже никого не удивляет 30-Мбит/с «безлимитка» и до 100 Мбит/с на «трафиковых» планах — естественно, хочется пользоваться быстрым Интернетом не в ущерб локальному доступу, который может включать в себя отдельный и не менее высокоскоростной канал в пределах района, округа или целого города.

Наконец, свершилось, — нашему вниманию предстаёт полностью гигабитная модель: у неё не только гигабитный коммутатор внутренней сети, но и такой же порт подключения к провайдеру. Конечно, это не означает, что устройство может похвастаться гигабитным быстродействием шлюзования — сие удел далёкого будущего. Однако без преувеличения отметим, что скорость до 290 Мбит/с сама по себе во много раз превосходит возможности предыдущих поколений.

Задняя панель D-Link DIR-655: разъёмы, 5 портов Gigabit Ethernet, разъём USB 2.0, кнопка сброса настроек, разъём питания

Задняя панель: три разъёма для антенн, 4-портовый коммутатор Gigabit Ethernet и гигабитный WAN-порт, разъём USB 2.0, кнопка сброса настроек, разъём питания

Не только скоростью единой интересен маршрутизатор DIR-655. Помимо встроенного принт-сервера с революционной технологией SharePort, позволяющей подключать абсолютно любые принтеры, сканеры и прочую периферию, он оснащён многоканальной «300-мегабитной» точкой беспроводного доступа и обладает развитыми возможностями настройки, о которых раньше и мечтать не приходилось. [Спецификация]

Мы подробно рассмотрим все основные особенности этого продукта, поднимающего планку функциональности сетевых комбайнов на новый уровень, — как общий пример по-настоящему современного маршрутизатора.

Первый блин. Мастера настройки могут расстроить

Вообще, базовая настройка любого маршрутизатора или иного сетевого устройства максимально проста: даже если слово «IP-адрес» навевает на вас страх и ужас, достаточно повторить пошаговые инструкции — и дело в шляпе, тем более что провайдеры сами стремятся облегчить задачу своим абонентам, выбирая наиболее дружественные к пользователю схемы аутентификации. Однако многим отважившимся на покупку роутера даже это кажется слишком запутанным делом.

Поэтому производители внедряют в свои устройства т. н. «мастер настройки» (setup wizard). Идея замечательная, вот только такие «мастера» чаще всего оказываются неспособными что-либо «смастерить» — ну разве что в самом простейшем случае, когда провайдер работает без аутентификации, просто выдавая адреса по DHCP.

Некоторые производители идут другим путём, публикуя инструкции по настройке для конкретных провайдеров, однако ограничиваются лишь самыми крупными сетями США, Европы и Австралии (ну, ещё, может, Японии и Китая). Собственно, что мы и наблюдаем на примере DIR-655.

Мастер настройки подключения к Интернету

Список готовых настроек для крупных зарубежных провайдеров, либо ручной выбор режима подключения

Примечание. Познакомиться с веб-интерфейсом настройки поближе можно с помощью онлайнового эмулятора.

Не менее жалкое зрелище являют программные «мастера», которые запускаются с компьютера и пытаются настроить маршрутизатор. При благоприятном раскладе они помогают обнаружить маршрутизатор в вашей внутренней сети, но их способности по подключению к сети провайдера столь же скромны, как и у собственных средств маршрутизатора. Увы, один из малочисленных недостатков DIR-655 — это именно попытка запутать новичков, посулив сделать всё за них, а на самом деле только потратить время, заставляя выяснять, почему же не работает то, что должно работать автоматически.

Итак, вставляем CD с программами и документацией — появляется окошко с предложением выполнить автоматическую настройку, а по завершении установить программу Network Magic, которая в дальнейшем будет помогать нам самым магическим образом совершать какие-то сказочные манипуляции с любым сетевым оборудованием (какие именно манипуляции, и нужно ли нам это вообще — не уточняется). Энтузиазм улетучивается на первом же шаге: программа отказывается продолжать после проверки… доступности Интернета!

После проверки сетевого адаптера, программа не может обнаружить подключение к Интернету

Вот вам и «быстрая настройка маршрутизатора»! (Разумеется, никаких брандмауэров на тестовом компьютере нет и никогда не было.)

Да, вы всё правильно поняли: перед тем, как программа настроит вам подключение к Интернету, она уже ожидает увидеть полностью настроенный канал. А если что-то не получилось, вам предлагается обратиться в службу технической поддержки — тоже, естественно, онлайновую. (Барон Мюнхгаузен со своим трюком самовытаскивания за волосы завистливо отдыхает в сторонке.)

Так и не сумев добраться до этапа установки Network Magic, было решено скачать демонстрационную версию — сейчас этот продукт распространяется под маркой Cisco. Но несмотря на столь именитого хозяина разработки, принцип действия остаётся прежним. Программа может упорно твердить, что маршрутизатор не обнаружен, хотя успевает пообщаться с ним по протоколу Universal Plug&Play (проверялось с помощью сниффера). Или начнёт выдавать грозные предупреждения об отключённом сетевом адаптере — под предлогом, что именно из-за этого у вас проблемы с сетью, хотя вы сами его просто отключили за ненадобностью: например, один из двух сетевых интерфейсов на ноутбуке.

Подытоживая, ещё раз хочется повторить совет: возьмитесь за настройку самостоятельно — это легко и не займёт много времени; скупой, как известно, платит дважды. В помощь вам будет не только руководство пользователя, но и встроенная справка, позволяющая консультироваться «без отрыва от производства». Правда, без недоделок пока не обошлось: некоторые параметры настройки там вообще не упоминаются (видимо, те, что были добавлены после первого релиза). Ещё один задел на будущее — добавление других языков интерфейса, помимо английского и испанского, включая перевод справочной системы. Но сам факт поддержки многоязычности оставляет надежду на появление русской версии в самом ближайшем времени, тем более что для младших моделей она уже доступна в виде дополнительных файлов на FTP-сервере поддержки. Примечание от 16.06.2009. Отнюдь! По прошествии полугода с момента тестирования, к моменту которого продукт уже какое-то время присутствовал на российском рынке, никаких пакетов локализации так и не выпустили.

Впрочем, нельзя не учитывать и тот факт, что DIR-655 — модель для опытных пользователей. Если вы новичок, то вряд ли сможете задействовать весь потенциал данного устройства, и будет разумнее остановиться на более скромных младших моделях. Однако помните, что только DIR-655 является полностью гигабитным аппаратом.

Ох уж эти русские. Особенности национального провайдинга

Зарубежный рынок предоставления доступа в Интернет — индустрия весьма своеобразная. Достаточно вспомнить, что популярные ныне технологии DSL когда-то разрабатывались вовсе не как средства выхода в глобальную сеть, а как транспорт для доставки видео и цифровой телефонии, и вовсе не с мыслью о стеке TCP/IP, но в контексте ATM-протоколов. Сложилась забавная ситуация, что используемый многими провайдерами протокол туннелирования PPPoE — point-to-point over Ethernet — ассоциируется у западных специалистов с чем угодно (особенно с DSL-модемами), только не с самими сетями Ethernet, которые в нашей стране охватывают внушительную аудиторию. Да чего уж там, когда внешний Ethernet-порт маршрутизатора подписывается «для DSL- или кабельного модема» — то, что туда можно воткнуть собственно Ethernet-сеть, кажется, даже не приходит тамошним людям в голову.

Поскольку разработчики маршрутизаторов ориентируются на своих западных и азиатских потребителей, с их точки зрения не существует такой ситуации, что у одного пользователя по одному кабелю есть доступ как бы к нескольким сетям: через туннель PPPoE или PPTP — во внешний мир, и через локальную сеть — связь с соседями и ближайшими районами города. Для них это — нонсенс, потому что даже если на «последней миле» применяется Ethernet, контакт абонентов между собой не предусмотрен. Особенно нелепо выглядит такой подход при использовании PPTP/L2TP: вам приходится настраивать на роутере локальную адресацию, чтобы поверх неё связываться с провайдерским шлюзом, но ваш маршрутизатор «заботливо» скрывает от вас этот локальный сегмент сети.

До начала 2008 года существовало только два решения данной проблемы. Самый простой и затратный способ — поставить пару маршрутизаторов, разветвляя сигнал от провайдера с помощью дополнительного коммутатора. Второй способ — альтернативные прошивки OpenWRT и wl500g.info — годился только для владельцев избранных моделей, да к тому же уверенно чувствовавших себя в среде Linux. Наконец лёд тронулся: первой подсуетилась компания ZyXEL со своей технологией Link Duo (см. обзор P-330W), потом D-Link представил аналогичное решение под названием DualAccess, а следом пришлось догонять и другим производителям.

Первая обкатка технологии DualAccess проходила ещё на устройствах старой серии «DI», но был модернизирован далеко не весь модельный ряд, а вот в новой серии «DIR» она предусмотрена стандартно. Немного забавно видеть, что разработчики не стали совмещать новую функцию с ранее существующими режимами «PPPoE» и «PPTP», а создали новые отдельные режимы типа «Russian PPPoE DualAccess (for Russia use only!)» — мол, люди, ни в коем случае не лезьте туда, это только для crazy russian bears.

Ручная настройка подключения к Интернету через туннель PPTP. Только в режиме Russia PPTP (DualAccess) сервер VPN можно адресовать по доменному имени

Режим DualAccess PPTP: настройка статического локального подключения и туннеля PPTP

Тем не менее, как бы эта технология ни называлась, она реально работает, позволяя ограничиться покупкой одного маршрутизатора. Даже если локальная сеть провайдера распространяется на несколько районов, и клиентам требуется прописывать дополнительные маршруты, здесь это можно выполнить статическим образом (увы, динамические маршруты через DHCP и RIP не поддерживаются).

Единственное ограничение — вы не можете использовать отдельные настройки брандмауэра для Интернета и локальной сети. То есть, если вы открыли файловый или игровой сервер для соседей, он также будет виден и всем остальным (при наличии у вас собственного внешнего IP-адреса), разве только не примените дополнительную фильтрацию по IP-адресам. Или, если введёте какое-нибудь ограничение для внешних пользователей — например, ограничение скорости — его почувствуют на себе и ваши соседи.

Настройка статических маршрутов, необходимых для доступа в сеть района и городского округа в режиме DualAccess

Статический бесклассовый маршрут в указанную сеть; указывается метрика и WAN-интерфейс (в случае DualAccess)

Ещё одной жертвой западного менталитета и больной мозолью маршрутизаторов является некачественная поддержка протокола PPPoE, а именно его параметра Service Name. Формально он предназначен для выбора предпочитаемого провайдера, если в локальной сети их несколько. Практически же это поле используется для предотвращения пиратских подключений и балансировки нагрузки между несколькими PPP-серверами в крупных локальных сетях. Увы, многие маршрутизаторы полностью игнорируют параметр Service Name. Другие позволяют его указать, но по ошибке забывают послать в запросе на подключение. Третьи используют, но в пассивном режиме — для фильтрации ответов серверов, тогда как сервер может просто не ответить «чужому» клиенту.

Под давлением возмущённой российской клиентуры, производители стали мало-помалу вносить исправления в прошивки. Но опять же, старая серия «DI» была пропатчена избирательно, зато покупателям новых устройств беспокоиться не о чем. Продукты D-Link серии «DIR» — одни из немногих на данный момент, которые столь хорошо совместимы с отечественными домовыми сетями. Они даже поддерживают механизм аутентификации туннеля MS-CHAPv2, правда, без сопутствующего шифрования MPPE и сжатия MPPC.

Дыры в заборе. Проброс трафика внутрь сети

Полной неожиданностью для многих новоиспечённых обладателей маршрутизаторов является собственно то, что теперь они находятся словно за каменной стеной, — их компьютер недоступен извне. Большинству совершенно не ясно, почему их файлы скрылись от других пользователей, почему больше нельзя ничего скачать у половины участников файлообменной сети, куда пропали все соседские компьютеры из Сетевого окружения и как же теперь смотреть интернет-телевидение? Те, кто поднаторел в использовании программных брандмауэров, понимают, что по умолчанию все входящие соединения запрещены, и если необходимо впустить какой-то трафик, то достаточно просто сконфигурировать соответствующее разрешение — «открыть порт».

На самом деле всё чуточку сложнее, чем просто «открыть порт»: мало разрешить что-либо на компьютере — надо ещё сделать то же самое на маршрутизаторе. И обязательно усвоить одну элементарную вещь: с точки зрения наружных систем, вашего компьютера больше не существует, — внешние компьютеры контактируют только с вашим маршрутизатором. Поэтому требуется проинструктировать маршрутизатор, дабы пробрасывал нужный вид трафика со своего внешнего порта на внутренний порт вашего компьютера.

Процедура крайне проста: в список проброса нужно вписать номер порта TCP или UDP и внутренний адрес того компьютера, для которого этот трафик предназначается. Казалось бы, ошибиться невозможно, но люди с богатой фантазией чего только ни указывают в настройках: произвольные номера портов, никак не связанные с теми, что реально открыты на компьютере, или прописывают внешний адрес вместо внутреннего, создавая тем самым замкнутый круг. Поэтому существует целый сайт portforward.com, где даются пошаговые иллюстрированные инструкции, что куда вбивать (честно говоря, инструкции эти весьма топорны, но как помощь отчаявшимся вполне сойдут). Увы, отчасти из-за англоязычности этого ресурса, некоторые пользователи продолжают терпеть фиаско.

Чтобы не бросать начинающих «сетевых администраторов» в беде, рядом с каждым числовым полем располагается список готовых значений: вместо номера порта можно ориентироваться на название протокола, а вместо IP-адреса — на имя компьютера. Правда, последнее предусмотрено только для компьютеров с динамическими адресами (DHCP), исходя из мысли, что если вы в состоянии прописать на компьютере статический адрес, то справитесь и с маршрутизатором.

Способов проброса трафика в DIR-655 предусмотрено целых семь штук.

Virtual Server — проброс одиночных портов или непрерывных диапазонов портов. Например, если вы хотите открыть веб-сервер, создайте правило проброса для 80-го порта TCP, а если созываете соседей на дружескую перестрелку в Counter-Strike, необходим диапазон 27005–27030 на транспорте UDP. Кроме того, можно ограничить время действия этого правила согласно расписанию и перечню IP-адресов, на который оно распространяется; последнее верно и в отношении двух следующих режимов.

Как нетрудно заметить по иллюстрации, допускается указание разных номеров портов для обращения внешних клиентов (public) и для внутреннего перенаправления на сервер (private). В отличие от некоторых предшествующих моделей, где такая функция была фактически неработоспособна, здесь всё функционирует как положено. Но не удивляйтесь, если с какими-то протоколами подобная схема не пройдёт — в группу риска следует отнести протоколы на UDP-транспорте, а вместе с ними и все «особенные» протоколы, нарушающие стековую модель OSI и потому плохо совместимые с NAT.

Статический проброс трафика для смешанных TCP/UDP-протоколов с большим количеством задействованных портов

Внутренний IP-адрес, списки портов TCP и UDP, расписание действия правила и фильтр адресов

Port Forwarding — проброс разнородных портов TCP и UDP. Дело в том, что режим Virtual Server, реализованный в большинстве маршрутизаторов, позволяет указать только один порт или диапазон в каждом правиле. А так как некоторым приложениям требуются разные номера портов для TCP и UDP, либо несколько несвязанных номеров (например, 80 и 443 для HTTP и HTTPS), то предусмотренного количества правил — две дюжины в данном случае — может оказаться недостаточно, особенно если у вас дома несколько компьютеров и небольшой «сервер». В режиме же Port Forwarding есть отдельные поля для TCP и UDP, причём в каждое можно вписать несколько портов и диапазонов через запятую.

Application Rules (режим, известный как Special Applications) — для динамического проброса серии портов на тот компьютер, который откроет исходящее подключение к определённому внешнему порту. Например, вы запускаете на любом своём компьютере программу для файлообменной сети BitTorrent, и программа соединяется с торрент-сервером через порт 6969, а ваш маршрутизатор, завидев это, начинает пробрасывать на тот компьютер весь трафик с портов 6881–6889, 6891–6899. В каждый момент времени любое из таких правил действует в отношении только одного компьютера.

Universal Plug and Play (UPnP; точнее, Internet Gateway Device, IGD-протокол) — способ динамической настройки проброса с компьютера. Многие файлообменные клиенты и VoIP-телефоны сами сумеют дать команду маршрутизатору открыть нужный им порт, но вы можете и вручную добавить новые правила с помощью встроенного модуля Windows XP или Vista. С одной стороны, каждое такое правило позволяет указать только один порт и транспортный протокол, но с другой стороны, роутеры обычно поддерживают в несколько раз больше динамических UPnP-правил, нежели всех статических вместе взятых.

Для управления интернет-каналом устройство экспортирует следующие виды UPnP-ресурсов: Internet Gateway Device, WAN Device и WAN Connection Device. С их помощью программы могут следить за состоянием подключения и узнавать текущий IP-адрес внешнего интерфейса, даже если он динамически меняется, а также добавлять новые правила проброса. Точке беспроводного доступа соответствует ресурс WFA Device.

Увы, несмотря на всю перспективность и возраст технологии UPnP, пользоваться ей умеют лишь избранные программы. Да и те — не всегда правильно. Например, если у вас несколько маршрутизаторов, и каждый поддерживает UPnP, то может оказаться непростой задачкой объяснить каждой программе, какой из маршрутов предпочтительнее для того или иного трафика. Поэтому и предусмотрена возможность совсем отключить поддержку подобной функциональности.

DMZ Host — для проброса всего прочего трафика, не подпадающего под имеющиеся правила. Вообще, термин «демилитаризованная зона» (DMZ) обозначает отдельную внутреннюю сеть для серверов, так чтобы компрометация любого из них не позволяла внешнему злоумышленнику получить доступ к основной внутренней сети предприятия. В контексте домашних маршрутизаторов, однако, под словом DMZ скрывается просто неконтролируемый проброс любого трафика на один конкретный компьютер. Таким образом удаётся заставить работать некоторые из тех протоколов, которые не способны функционировать через шлюз. Однако DMZ-компьютер становится полностью открытым для внешних атак, поэтому требует повышенного внимания к организации защиты от угроз.

Application-level Gateway (ALG) — специализированные средства для поддержки работы некоторых протоколов через шлюз, которым в противном случае требовалось бы использовать режим DMZ. Сюда входят протоколы VPN-туннелирования PPTP и IPSec, а также мультимедийный потоковый протокол RTSP и протокол интернет-телефонии SIP. Кроме того, стандартом де-факто в большинстве маршрутизаторов стала поддержка протокола передачи файлов FTP, а именно его «активного» (классического) режима, когда FTP-сервер сам инициирует подключение к клиенту. Держателям собственных FTP-ресурсов не менее интересна поддержка «пассивного» режима для входящих подключений, чтобы беспроблемно предоставлять файлы самому широкому кругу пользователей, — раньше у маршрутизаторов D-Link с этим были проблемы.

Multicast Streams (IGMP) — проброс многоадресных пакетов, обычно используемых для интернет-телевидения (IPTV) и других мультимедийных приложений, а также некоторых локальных чатов. Разумеется, шлюзоваться будут не все многоадресные рассылки, гуляющие по локальной сети провайдера, а только те, к адресным группам которых попытаются подключиться ваши компьютеры или телеприставки. Технология DualAccess распространяется и на мультикаст среди прочего: она называется DualAccess IGMP, потому что именно с помощью протокола IGMP клиентские устройства заявляют маршрутизатору о своём желании принимать тот или иной многоадресный поток.

Наверное, проще было бы перечислить, чего нельзя добиться с помощью этого маршрутизатора. Таких вещей немного, но всё же они есть. Одной из главных таких «невыполнимых миссий» для большинства маршрутизаторов является широковещательный трафик (broadcast), с помощью которого осуществляются анонсы компьютеров в Сетевом окружении, построение списка локальных игровых серверов и участие в некоторых локальных чатах. Ничего удивительного тут нет, потому что сам смысл сегментирования сети с помощью маршрутизаторов заключается, в том числе, в ограничении широковещательной зоны. Это ограничение, впрочем, не мешает подключиться к локальному игровому серверу, вручную набрав его адрес. А что касается Сетевого окружения, тут у DIR-655 есть свой туз в рукаве (см. ниже про NetBIOS).

Подчеркнём: маршрутизатор — это не волшебная палочка, и он не поможет сделать то, что не получалось без него. Например, если у вас нет выделенного «публичного» IP-адреса, для внешнего мира вы как были недоступны, так и останетесь. Другая распространённая причина невозможности открытия портов — когда они блокируются на стороне провайдера (часто под предлогом защиты от сетевых атак, но на самом деле с целью стимуляции более дорогих услуг).

Хорошая дыра — чёрная дыра. Межсетевой экран

За исключением намеренно публикуемых ресурсов, доступ к вашим компьютерам извне должен быть закрыт, — как уже говорилось, это реализуется самим фактом установки шлюза. Однако угрозам подвергается любое устройство, в том числе собственно маршрутизатор как таковой. Поэтому большинству пользователей рекомендуется находиться в режиме невидимости — (stealth), не давая возможности злоумышленникам обнаружить признаки жизни — при сканировании сети. Это достигается тем, что нежелательные запросы на подключение извне попросту игнорируются, вместо традиционной отправки ответа о недоступности ресурса, — как будто у вас не компьютер, а чёрная дыра, всё в себя засасывающая и ничего не выпускающая.

Одним из видов таких запросов является попытка открытия порта TCP или UDP, другим — проверка связи ICMP (ping, echo). Первый вид обычно блокируется всеми маршрутизаторами, а реакцию на второй контролирует сам пользователь (галочка Enable WAN Ping Respond). Имейте в виду, что тестирование связи с вашей системой может служить и вполне благим целям: например, когда провайдер диагностирует неисправность вашего канала. Чтобы отвечать только на запросы эха от службы поддержки, в DIR-655 предусмотрен соответствующий фильтр IP-адресов.

Не следует пользоваться таким фильтром тем, кто держит публичный сервер. Во-первых, потому что для ваших пользователей это единственный способ определить ошибку подключения и проверить трассу до сервера. Во-вторых, запрос эха полностью обрабатывается самим маршрутизатором — причинить вред вашему серверу подобным образом не удастся. Кстати, неожиданным для многих владельцев серверов является вытекающее отсюда следствие, что ответ вашей системы на ping — ещё не признак правильного проброса трафика внутрь сети, потому что отвечает не сервер, а шлюз.

Сетевые атаки во всём своём многообразии не сводятся только к тому, чтобы долбиться наобум во все двери подряд, надеясь найти неприкрытую лазейку. Есть и более изощрённые методики, предполагающие мимикрию вредоносного трафика под ваш собственный. Например, ваш сосед, начинающий хакер, может прислать сфабрикованный пакет как бы от адреса нормального сервера. Или постарается убедить маршрутизатор, что трафик идёт внутрь по ранее разрешённому подключению. Или даже что это никакой не внешний трафик, а ваш внутренний. Чтобы исключить такие подтасовки, применяется проверка адреса (anti-spoof), шлюзование с памятью (stateful packet inspection, SPI) и ограниченное шлюзование (NAT endpoint filtering). Последнее определяет политику фильтрации входящих пакетов с разных внешних систем на один и тот же номер порта: для TCP обычно требуется строгое соответствие 1:1, тогда как для UDP применяются менее жёсткие правила, чтобы обеспечить работу IP-телефонии, опрос игровых серверов или поиск в файлообменной сети. Дабы не влезать в дебри механизма подмены адресов (NAT/PAT), просто уточним, что речь идёт о режимах трансляции — full cone, restricted cone, symmetric — кто разбирается, тот поймёт; остальным же пользователям просто будет достаточно значений по умолчанию.

Помимо контроля чужих действий, нередко бывает необходимым «принять меры» и в отношении тех, кто находится по эту сторону баррикады. Например, ограничить доступ детей или нерадивых сотрудников к некоторым сайтам, либо вовсе лишить права пользования Интернетом.

Access Control — собственно, контроль доступа. Каждое правило применяется в отношении списка IP-адресов, MAC-адресов или «прочих компьютеров» (для которых в явном виде не назначено других политик), причём все эти три вида критериев можно комбинировать в одном правиле, но нельзя использовать диапазоны и маски. Мера воздействия может быть либо полным запретом, либо избирательным, либо заключаться в простом протоколировании действий — для последующего «разбора полётов» с целью повышения трудовой или учебной дисциплины. Выборочная блокировка доступа имеет в качестве параметра диапазон адресов назначения, куда можно записать хоть весь Интернет от 0.0.0.0 до 255.255.255.255, а также диапазон портов, если нужно запретить конкретные TCP/UDP-протоколы: например, 5190 для ICQ. Правило может быть активно в определённое время суток или всегда.

Ограничение доступа к веб-сайтам. Доменное имя верхнего уровня распространяет действие также на все субдомены

Белый или чёрный список доменных имён веб-сайтов

Website Filter — либо ограничение захода на отдельные сайты, либо белый список сайтов, кроме как на которые ходить больше никуда не дозволяется. Всего можно прописать 40 адресов. Эта функция действует совместно с общим контролем доступа, и её не обязательно применять для всех политик.

Network Filter — ограничение доступа в сеть на основе MAC-адреса: либо чёрный список нежелательных компьютеров, либо белый список уполномоченных пользоваться сетью.

Не обольщайтесь: сейчас такие умные дети пошли, а тем более офисные работники, что не всякий запрет станет для них существенным препятствием. На сайты можно ходить через публичные прокси-серверы, MAC/IP-адреса можно поменять, обладая достаточными правами на своём компьютере или принеся новый сетевой адаптер. Наконец, можно воспользоваться кнопкой сброса на маршрутизаторе, что сотрёт все его настройки, — поэтому не забывайте делать резервные копии и храните устройство «в недоступном для детей месте» (лишь бы это не приводило к перегреву из-за плохой вентиляции; впрочем, тепловыделение тут минимальное).

Не стоит рассчитывать и на то, что общий межсетевой экран отменяет необходимость использования персональных средств защиты. Во-первых, не выполняется антивирусная проверка. Во-вторых, только программные брандмауэры способны контролировать, какой программе положено иметь выход в Интернет, а какая является посторонней заразой, правдами и неправдами просочившейся на компьютер. В-третьих, хоть шлюз и защищает ваши серверы от многих напастей, это не значит, что теперь можно забыть про регулярное обновление программного обеспечения. К самому шлюзу это тоже относится: новые прошивки, выходящие несколько раз в год, содержат исправление ранее замеченных недоработок, а также новые функции.

Чужие здесь не ходят, а гостям — рады. Безопасная радиосеть

Сетевой комбайн оснащён встроенной однодиапазонной точкой беспроводного доступа для подключения клиентов 802.11b/g, а также 802.11n-draft. Клиенты разных версий стандарта могут подключаться одновременно — разумеется, с отрицательными последствиями для производительности. Точка доступа автоматически подыскивает наиболее свободные от помех каналы, сама выбирает ширину полосы и скорость сети. Три антенны реализуют технологию MIMO для увеличения зоны покрытия или обеспечения более высокой скорости на том же расстоянии. Поддерживаются все современные механизмы защиты, включая WPA2, причём допускается параллельная работа клиентов WPA и WPA2.

Одной из наиболее интересных особенностей этой встроенной точки доступа является возможность создания гостевой зоны (Guest Zone). Если просто нужно обеспечить гостям выход в Интернет, но нет желания пускать их во внутреннюю сеть, достаточно снять галочку Enable Routing Between Zones.

Со стороны всё выглядит как отдельная беспроводная сеть — с собственным идентификатором SSID и режимом аутентификации. Последний можно отключить, если вы хозяин заведения с хот-спотом, а всем остальным рекомендуется WPA/WPA2; ненадёжный режим WEP допустим, только если к вам часто заходят клиенты с устаревшим оборудованием. В любом случае имеет смысл установить привязку по времени. Ну а если вы привыкли вести учёт и авторизацию на корпоративном сервере RADIUS, то к вашим услугам режим WPA-EAP, который для пущей надёжности позволяет указать резервный сервер аутентификации со своим собственным служебным паролем.

Всё вышесказанное относится и к основной беспроводной зоне. Остаётся только добавить, что для уменьшения радиуса действия сети можно контролировать мощность передатчика, а для запрета связи между беспроводным клиентами — использовать функцию WLAN Partition.

Вообще, безопасная работа в сочетании с лёгкостью и автоматизмом настройки — лейтмотив всех новых разработок в области беспроводных сетей. Для этого в DIR-655 воплощено несколько полезных технологий.

Wi-Fi Protected Setup (WPS) — стандарт безопасного и в то же время простого создания сети, известный также как Wi-Fi Simple Config. Он включает четыре режима для совместимости с самыми разными устройствами, однако обязательно требует, чтобы конечное устройство также поддерживало данный стандарт, а потому старое оборудование придётся настраивать по-прежнему вручную. Способ с вводом PIN-кода работает следующим образом: сгенерированный на роутере код вы вводите в подключаемое устройство, и оно считывает все параметры сети, включая пароли. Либо, наоборот, код с этикетки нового устройства вводится в роутер.

Суть более простого варианта WPS, который можно условно обозначить «Нажми на кнопку — получишь результат» (push-button configuration, PBC), ясна из названия. После активации этого режима в маршрутизаторе, будь то из веб-интерфейса или специальной кнопкой на корпусе, вы в течение двух минут должны нажать такую же кнопку на подключаемой аппаратуре. Главное, чтобы у посторонних не было доступа к этой «волшебной» кнопке.

Windows Connect Now (WCN) — ещё один из стандартных методов. Он позволяет сохранить настройки на USB-брелок, и затем импортировать в Windows. Или же сначала выполнить конфигурацию на компьютере, а потом считать их на сетевом устройстве. Разумеется, давать разрешение на смену настроек маршрутизатора может только администратор.

Четвёртый режим WPS предполагает, что подключаемое к сети устройство будет поднесено вплотную к точке доступа (near field communication), но в DIR-655 это, похоже, не реализовано. Наверное, не в последнюю очередь потому, что такой режим самый ненадёжный, так как теоретически позволяет узнать параметры сети без вашего ведома.

Всё-в-одном. Подключение периферийных устройств

Помимо вышеупомянутых флэшек с настройками беспроводной сети, в порт USB можно втыкать и другую аппаратуру. Жаль только, что маршрутизатор не умеет самостоятельно определять вид подключённого оборудования: выбор осуществляется вручную через веб-интерфейс, то есть требует административного вмешательства.

Network USB — режим принт-сервера, если выражаться по-простому. Но это слишком грубое упрощение, потому что здесь мы имеем дело не со специализированным сервером печати, а с универсальным способом доступа к USB-устройствам через сеть. Установив драйвер виртуального USB-порта на компьютере, вы как будто напрямую подключаетесь к принтеру, подсоединённому к DIR-655. Да и не только к принтеру — к любой периферии: сканерам, МФУ, внешним жёстким дискам, веб- и фотокамерам. В отличие от обычных принт-серверов, исключена ситуация, что принтер откажется работать без компьютера, — потому что фактически он и связан непосредственно с компьютером.

Одно «но»: подобное обращение к аппаратуре может быть только монопольным, то есть одновременный доступ нескольких пользователей не предусмотрен. Чтобы освободить устройство, надо его «отключить», — как и «включение», эта операция производится вручную. Таких тонкостей немало, и потому подробное рассмотрение технологии SharePort вместе с конкурирующим решением NetUSB было вынесено в отдельный обзор «Точка в споре принтеров с принт-серверами».

Ручная настройка подключения к Интернету при использовании 3G-адаптера. Естественно, Россия в списке стран не упоминается

Режим 3G USB Adapter: логин-пароль, набираемый номер, механизм аутентификации, имя точки доступа (APN), время бездействия и политика переподключения, размер пакета (MTU)

3G USB Adapter — красноречивое название для возможности подключить брелок с адаптером сотовой связи, которые в последнее время стали предлагаться особенно активно. И хотя появление 3G-сетей в нашей стране местами буксует из-за разногласий частотного регулирования, можно надеяться на более-менее комфортную работу в Интернете по существующим ныне протоколам GPRS и EDGE. Во всяком случае, как резервный канал при сбое основного провайдера — сойдёт; жаль только, что переключение не происходит автоматически. Не менее жаль, что нельзя использовать для тех же целей встроенную точку доступа: раз уж для неё не проблема создать несколько подсетей, могла бы заодно поработать беспроводным мостом или просто клиентом провайдерского хот-спота.

Ещё одно упущение — отсутствие возможности доступа к USB-накопителям в режиме файлового сервера, что тем более обидно, учитывая способность DIR-655 считывать файлы с флэшки при WCN-конфигурировании.

Качество виртуальной жизни. Приоритезация трафика

Сети передачи данных, подпадая под частный случай теории массового обслуживания, допускают два подхода к организации ресурсов. При интегральном обслуживании, как в классических телефонных сетях, каждому пользователю выделяется фиксированный канал — например, 1 полоса шириной 4 кГц или 1 поток 64 кбит/с. Если свободных ресурсов больше не осталось, сняв трубку, вы услышите сигнал «занято»: так предотвращается перегрузка сети. Связь получается качественной, но обходится слишком дорого, потому что даже когда человек молчит, его линия используется. Менее затратный подход — выделить на всех один канал, скажем, 100 Мбит/с, и подключать всех желающих, а там уж как получится.

Вот и получается, что в периоды максимальной нагрузки сеть не справляется с потоком данных: маршрутизаторы попросту игнорируют новые приходящие пакеты, если у них переполнен приёмный буфер. Причём в большинстве сетей используется самый примитивный алгоритм очереди, где каждый пакет равноценен. Согласитесь, несправедливо, когда передача большого файла (действие, не критичное в масштабе реального времени) мешает людям обмениваться малыми блоками данных при разговоре по IP-телефону или при игре по сети. Чтобы иметь возможность разделять трафик, давая одному ход сразу же, а другой оставляя на последнюю очередь, вводятся различные способы приоритезации — как на основе физического порта, откуда пришёл пакет, так и опираясь на информацию из самого пакета данных. Такой вид обслуживания называется дифференциальным.

WAN Traffic Shaping — способ самоограничения исходящего трафика. Например, если выход в Интернет осуществляется через домовую сеть, скорость которой 100 Мбит/с, но по тарифу вам положен только 1 Мбит/с, то шлюз провайдера будет искусственно задерживать пакеты, превышающие лимит. Обычно такая ситуация решается отправкой ICMP-сообщения, в котором шлюз просит ваш компьютер «нажать на тормоза», но если вы находитесь позади маршрутизатора, то никакого сообщения можете и не получить — оно будет адресовано самому маршрутизатору, а не вам. Современные операционные системы способны обнаруживать и такие каверзы, но не всегда в состоянии отреагировать оптимальным образом. Когда же активирован режим самоограничения, ваш компьютер сможет получать соответствующие предупреждения непосредственно от маршрутизатора, а маршрутизатору будет легче управлять очередью.

Скорость подключения можно ввести вручную, в том числе по заранее вбитым значениям для популярных видов доступа, а можно и доверить автоматическое определение маршрутизатору. Единственное, чего не хватает, — так это отдельный шейпинг для доступа в домовую сеть (в режиме DualAccess) и для резервной работы через 3G-адаптер; для таких случаев остаётся уповать на автоматическое определение ширины канала.

QoS Engine — выбор используемых режимов управления качеством обслуживания (quality of service): автоматическая классификация, динамическая фрагментация и вручную созданные правила. Автоматическая классификация учитывает соответствующие поля заголовка пакета (type of service, class of service, ToS/CoS), которые устанавливаются либо самой программой, либо операционной системой на основе административных сетевых политик, либо на уровне Ethernet-контроллера. Динамическая фрагментация не без основания полагает, что если пакет имеет максимально допустимый размер, то он наверняка относится к неприоритетной передаче файла, и потому сей поток может быть безболезненно разрезан на несколько маленьких порций, в паузах между которыми будут переданы по-настоящему важные данные. Конечно, при этом не стоит удивляться, что скорость передачи файлов упала, а просмотр фильмов по сети (имеется в виду обычный доступ к сетевому диску) прерывается паузами.

Правила ручной классификации, которых может быть 10 штук, чем-то похожи на правила контроля доступа: они срабатывают на определённый диапазон IP-адресов отправителя и получателя, а также на диапазон портов TCP/UDP (ICMP тоже поддерживается, как и прочие транспортные протоколы). Пакету назначается приоритет от 1 для самого критичного трафика до 255 для наименее чувствительного к задержкам.

Однако учтите, что назначенные вами приоритеты — не указ для провайдера и всех промежуточных маршрутизаторов по пути к пункту назначения. Если информация о классе пакета игнорируется и уничтожается хотя бы на одном из узлов, дальше ваш пакет пойдёт на общих основаниях.

Wi-Fi Multimedia (WMM, иллюстрацию см. выше в расширенных настройках беспроводной сети) — технология управления качеством обслуживания в беспроводных сетях, известная также как Wireless Multimedia Extensions (WME). Она базируется на автоматической классификации согласно заголовку пакета. Следует обратить внимание, что приоритезация сама по себе не обеспечивает необходимой пропускной способности, что особенно актуально в беспроводных сетях с их разделением единой среды передачи и непредсказуемым характером помехоустойчивости.

Wireless Intelligent Stream Handling (WISH) — правила ручной приоритезации беспроводного трафика. Тут всё идентично общим правилам QoS, только их количество увеличено до 24 штук, а число уровней предпочтения ограничено восемью градациями в виде четырёх основных классов (фоновая передача, обычные данные, видео, голос) с двумя ступенями на каждый из них. В отличие от всех других видов политик, правила WISH двунаправлены. Например, при использовании обычной функции QoS для внешнего трафика, вы можете установить более высокий приоритет для потребляемых вами файлов, тогда как исходящий трафик пойдёт в последнюю очередь. Правила же WISH действуют в локальной беспроводной сети, где все пользователи равны, и потому не отличают «отправителя» и «получателя», оперируя только терминами «узел 1» и «узел 2».

При активации WISH, маршрутизатор способен автоматически поднимать приоритет HTTP-сеансов, если в них обнаружены потоки мультимедийных данных. Аналогичная функция есть и для Windows Media Center, чтобы сделать комфортной пользование медиацентрами и игровыми приставками Xbox 360. Как и при динамической фрагментации, можно снижать приоритет потоков, если они демонстрируют признаки передачи больших файлов.

Очевидно, вновь присвоенный приоритет вступает в силу только после обработки пакета на маршрутизаторе. До того момента, ответственность за своевременную доставку несёт сам отправитель. То есть если ваш компьютер шлёт пакеты как попало, маршрутизатор может разве что переупорядочить их для обеспечения дальнейшего оптимального прохождения, но не следует ждать, что он каким-то чудодейственным образом устранит перегруженность беспроводной сети, которую провоцируют ваши компьютеры.

Простые радости. Незаменимая функциональность

Коли уж мы так детально знакомимся с возможностями DIR-655 как представителя «новой волны», было бы несправедливо оставлять без внимания те привычные вещи, которые делают маршрутизатор маршрутизатором. А именно, возможность тонкого контроля таблицы маршрутов (Routing; иллюстрацию см. выше в разделе про настройку Интернета). Помимо тех строк таблицы, которые добавляются автоматически для каждого интерфейса, допускается статическое указание 32 маршрутов во внешний мир. Причём, в отличие от «обычных» моделей, вы можете задавать исходящий интерфейс: WAN или «физический WAN-порт» — последний вариант актуален для режима DualAccess, когда, кроме выхода в Интернет по туннелю PPTP или PPPoE, вы также имеете доступ к домовой сети.

Фильтры внешних IP-адресов (Inbound Filter) неоднократно упоминались ранее: их можно использовать в правилах проброса Virtual Server и Port Forwarding, а также для избирательного ответа на ping и удалённого администрирования роутера. Каждый фильтр рассчитан на 8 диапазонов адресов, и либо имеет разрешающее действие, либо запрещающее.

Составление расписаний для использования в различных политиках. Максимальное количество расписаний не указано

Дни недели и время действия расписания; список составленных расписаний

Расписания (Schedules) также фигурируют в правилах проброса Virtual Server, Port Forwarding и Application Rules, а кроме того — в политиках доступа Access Control, в настройках гостевой беспроводной сети Guest Zone и при регулярной отправке журналов работы на электронную почту (Email Settings). Время действия расписания может распространяться на всю неделю или какие-то выборочные дни, и либо охватывать день целиком, либо строго по минутам.

Немаловажно, что любому правилу фильтрации, политике доступа к сети, расписанию и т. п. элементам настройки, коих несть числа, присваивается текстовое обозначение. Вместо того чтобы искать нужный маршрут или правило по комбинации IP-адресов, масок и портов, достаточно посмотреть на название — скажем, «my web server» или «work hours». Кириллица допустима, но сохраняется как двухбайтовый Юникод, а потому ограничивает длину описания до 8 знаков вместо отведённых для латиницы 16 знаков (см. пред. рисунок).

Сервер DHCP для распределения IP-адресов сейчас имеется практически в каждом маршрутизаторе, а то и в принт-серверах и точках доступа. Но такой «затюнингованный» редко где встретишь. Как уже говорилось, DHCP-клиенты автоматически попадают в списки IP-адресов, используемые для быстрой настройки проброса и фильтрации. (Только не стоит забывать, что для придания статичности такому динамическому адресу следует использовать резервирование, иначе в один прекрасный день трафик пойдёт на другой компьютер.) Также позволяется регулировать, будут ли ответы DHCP-сервера широковещательными (broadcast), либо ему следует общаться с клиентом тет-а-тет.

Особый интерес вызывает поддержка NetBIOS — протокола для работы с Сетевым окружением, настройки которого маршрутизатор может анонсировать вместе с информацией о выдаваемом адресе. Сами настройки можно либо автоматически узнавать с WAN-порта, либо указать вручную: домен, адрес сервера имён WINS, режим связи узлов сети (широковещательные и одноадресные рассылки, либо их комбинации). Следует учесть, однако, что даже в режиме DualAccess здесь нет деления на локальную сеть провайдера и внешний сегмент. Это может грозить определёнными опасностями, поскольку поддержка NetBIOS в системе Windows всегда славилась своей «дырявостью». Поэтому, если ваш провайдер не блокирует весь такой трафик, рекомендуется самостоятельно создать в брандмауэре правило, запрещающее любые пакеты по портам 137–139, кроме как из домовой сети. Абонентам всех прочих видов подключения и вовсе противопоказано пользоваться данной функцией.

Помимо встроенного ретранслятора DNS для обслуживания ваших запросов к внешним доменным адресам, маршрутизатор может выступать в роли клиента Dynamic DNS для поддержки вашего собственного доменного имени. Благодаря службам dyndns.com, dlinkddns.com и им подобным, даже пользователи с постоянно меняющимися IP-адресами имеют возможность обеспечить доступ к своему домашнему серверу, обращаясь по имени, а не по числовому адресу. Чтобы ваша учётная запись не устаревала, маршрутизатор периодически обновляет её.

Для бородатых и безбородых админов. Настройка и наблюдение

Веб-интерфейс позволяет разделить полномочия управления на «администраторские» и «пользовательские». Последняя категория вправе лишь просматривать конфигурацию, но не менять: например, этот пароль можно дать службе поддержки провайдера для ревизии своих настроек, или использовать для контроля своего маршрутизатора из удалённого места (Remote Admin).

Кстати, удалённый вход в веб-интерфейс можно отключить, либо ограничить фильтром IP-адресов. Чтобы «враг не подслушал» ваш диалог с маршрутизатором, предусмотрено SSL-шифрование канала (HTTPS).

Установка часов, настройка часового пояса и летнего времени, указание NTP-сервера для автоматической синхронизации

Выбор часового пояса и перехода на летнее время, принудительная установка часов, автоматическая синхронизация с NTP-сервером

Чтобы поддерживать внутренние часы в актуальном состоянии, маршрутизатор способен синхронизироваться с сервером точного времени (NTP), правда, не более чем с одним. И отнюдь не спешит делиться этой информацией с собственными клиентами — видимо, чтобы не вселять ложное чувство уверенности, что определение времени по одному источнику может быть достаточно надёжным.

Первичная установка часов происходит либо вручную, либо путём копирования показаний с компьютера. (Похожий приём используется и при клонировании MAC-адреса вашей сетевой карты в настройках WAN-подключения, если провайдер требует такое.) Удобно также, что отображаемое на веб-страницах текущее время маршрутизатора идёт вперёд, как подобает, а не стоит на месте. Не менее естественно, что автоматический переход между зимним и летним временем осуществляется по неделям и дням недели, а не по фиксированной календарной дате, как в моделях прошлого поколения.

Журнал событий у домашних маршрутизаторов, конечно, не такой богатый, как у программных шлюзов и брандмауэров, но DIR-655 старается сохранять самую важную информацию, такую как протокол подключения к провайдеру и сведения о зафиксированных атаках. Чтобы удобнее было искать нужные записи, просмотр журнала можно отфильтровать по категориям: критические сообщения, системные уведомления, предупреждения, информативные сводки, изменения состояния, сигналы от брандмауэра.

Поскольку объём памяти устройства ограничен, можно экспортировать журнал событий на серверы аудита — либо в реальном времени на syslog-сервер, либо, по расписанию или после переполнения памяти, на почтовый сервер (поддерживается простая аутентификация SMTP). В режиме отправки по расписанию, передача журнала будет происходить в момент начала действия расписания. Кроме того, отправка выполняется перед административной перезагрузкой маршрутизатора — разумеется, при инициации этого процесса через веб-интерфейс, но не при внезапном отключении питания.

Сохранение резервной копии настроек на компьютер и восстановление из файла, сброс на значения по умолчанию; перезагрузка маршрутизатора

Сохранение настроек на компьютер, загрузка настроек с компьютера, сброс на значения по умолчанию, перезагрузка маршрутизатора

На тот случай, если вам когда-нибудь придётся воспользоваться кнопкой сброса настроек из-за неправильной конфигурации, сделайте заранее резервную копию. Учтите, что иногда настройки сбрасываются при обновлении прошивки: это бывает и чисто профилактической мерой, и признаком того, что старый формат хранения данных утратил силу — даже если настройки загрузились вроде бы успешно, в будущем не исключены аномальные реакции, «глюки».

Сама прошивка (Firmware) обновляется предельно просто: надо всего лишь загрузить файл в маршрутизатор, как вы загружаете его на обычные веб-сайты. Главное, не запутаться при поиске нужного файла на сервере производителя, потому что у D-Link там творится настоящая чехарда с именами архивов (впрочем, как и у многих конкурентов). Наверное, поэтому и была добавлена функция автоматической проверки наличия новой версии, которая к тому же умеет сообщать об этом радостном факте вам на e-mail. Само собой, маршрутизатор не будет обновляться без вашего непосредственного участия. И, конечно же, если возникнут какие-то проблемы с подключением к Интернету из-за недочётов прошивки, скачивать обновление придётся в обход роутера.

Встроенная утилита Ping помогает проверить связь с внутренним или внешним сервером, как и одноимённая программа на компьютере. Она полезна, например, если вы смогли настроить подключение к провайдеру на маршрутизаторе, но никак не получается выйти в Интернет с ваших компьютеров. Коли эхо-запрос к внешним и внутренним узлам доходит успешно, значит, проблема вероятнее всего в настройках компьютера.

Для контроля состояния интернет-комбайна предусмотрен целый ряд диагностических страниц. Вы можете посмотреть детальную информацию об интерфейсах WAN, LAN и WLAN, в том числе статистику ошибок приёма-передачи. Вы всегда будете в курсе, какие компьютеры в данный момент подключены к точке доступа, кто из них пользуется маршрутизатором и какие подключения устанавливает. Это не только помогает отслеживать текущую активность клиентских компьютеров, но также снабжает ценными сведениями при поиске неполадок в сети и для проверки конфигурации роутера — правил фильтрации, приоритетов и прочих политик.

Повторимся: чтобы сделать ваше знакомство с маршрутизатором DIR-655 более простым, веб-интерфейс снабжён собственной справочной системой. Так что вам не придётся постоянно отрываться от экрана, заглядывая в руководство пользователя. И хотя некоторые вопросы изложены поверхностно, для первоначальной настройки там даётся вполне достаточный объём знаний.

Лучше один раз проверить, чем сто раз поверить. Тестирование производительности

Хотя абсолютное количество трафика в единицу времени имеет для нас, пользователей, первостепенное значение, быстродействие маршрутизаторов определяется числом обработанных пакетов. Большие файлы передаются пакетами максимального размера, и скорость получается высокой. Если к этому подмешивается какой-то фоновый трафик, игровые или голосовые потоки, общие показатели скорости могут значительно снизиться. Поэтому в проведённых тестах имитировалась передача больших объёмов информации — с помощью утилиты Iperf, которая позволяет забить весь имеющийся канал.

Чтобы оценить максимальную скорость маршрутизации пакетов между интерфейсами LAN и WAN, устройство поочерёдно переводилось в разные режимы подключения к Интернету, а все правила проброса, фильтрации и приоритезации были отключены. Естественно, чем больше созданных вами политик придётся обрабатывать маршрутизатору, тем меньшее количество пакетов он успеет раскидать туда-сюда.

Несмотря на то, что загрузка процессора на обоих тестовых компьютерах — клиенте и сервере — отнюдь не зашкаливала, результаты в испробованных клиентских системах (Windows XP, свежие версии Linux Debian, Knoppix, Kubuntu и openSuSE) значительно разнились. Причём увеличение размера транспортного окна TCP — интервала, через который получающая сторона отправляет подтверждение приёма, — до 64 Кбайт и далее до 214–256 Кбайт в одних случаях давало ожидаемый положительный эффект, а в других, наоборот, приводило к существенному ухудшению. Поскольку объектом тестирования всё же являются не те или иные операционные системы, а конкретный маршрутизатор, в итоговую таблицу включены только лучшие показатели.

Максимальная производительность маршрутизатора D-Link DIR-655
Режим	LAN→WAN	WAN→LAN	дуплекс
Static/DHCP	274	293	276
PPPoE	133	140	144
PPTP	118	112	110
L2TP	160	176	182

Для дуплексного теста указана суммарная скорость одновременной передачи LAN→WAN и WAN→LAN.

Шлюз: DIR-655 rev. A4 с прошивкой 1.21-release.

Сервер: Debian Linux 4.0.6 с пакетами rp-pppoe 3.10, pptpd 1.3.0-2, rp-l2tp 0.4 и тестовой утилитой Iperf 2.0.2.

Клиенты: Windows XP SP3 с утилитой Iperf 1.7.0, Linux (Knoppix 6.0, Kubuntu 8.10, openSuSE 11.1) с утилитой Iperf 2.0.2.

Вероятно, и это не предел: скрупулёзным подбором компонентов и настроек можно было бы добиться ещё более высоких скоростей. В реальных же условиях, повторимся, при активации защитных функций брандмауэра и других фильтров, при наличии фонового трафика, вы вряд ли сможете приблизиться хотя бы к таким значениям. Причём падение скорости наверняка будет асимметричным, потому что входящий трафик подвергается более тщательному анализу, нежели исходящий. Но, согласитесь, итоги синтетического теста впечатляют. Особенно на фоне устройств предыдущего поколения, где выход за рамки 100 Мбит/с в статическом(!) режиме был явлением почти экстраординарным, а большинство моделей имели куда более скромные способности.

Учтите, что узким местом могут стать сами компьютеры — при обмене файлами между вашими собственными машинами. Например, системы типа Pentium III с дешёвыми сетевыми картами порой достигают 100%-ной загрузки процессора уже при трафике 300–400 Мбит/с — что под управлением Windows, что в Linux. Несомненно, железные кони геймеров на порядок мощнее, но всё же вычислительные затраты на обработку сетевых пакетов нельзя списывать со счетов.

Поскольку основополагающим фактором является не столько объём информации, сколько число пакетов, то чтобы ослабить бремя, можно увеличить максимальный размер кадра Ethernet. Стандартная его величина — 1500 байт + заголовок. Многие гигабитные продукты позволяют отправлять и принимать т. н. «большие» кадры (jumbo frames) — до 15'000 байт и более. Поищите этот пункт в настройках своей сетевой карты, равно как и другие методики аппаратного ускорения: подсчёт контрольных сумм IP и TCP (checksum offload), разбивка больших блоков данных на пакеты (TCP large send, TCP segmentation offload). Только не забудьте проверить, что в итоге получилось — командой netsh interface ip show offload в Windows XP — а то некоторые драйверы имеют привычку выключать все прочие оптимизации, например, при включении jumbo-кадров.

Удивительное дело: поддержка кадров увеличенного размера, будучи вполне самостоятельной факультативной особенностью, почему-то почти не упоминается в официальных спецификациях большинства продуктов, за исключением разве что сетевых карт, да и то не всех. Обычно маркетологи стараются красочно расписать любую мелочь, а тут — полное молчание, несмотря на всю значимость вопроса. Отчасти это молчание объясняется тем, что некоторые изделия реализуют данную технологию не совсем корректно, то есть формально поддержка вроде как есть, но практически непригодна, потому что устройство зависает или начинает терять блоки данных.

Документация комбайна DIR-655 тоже обходит стороной jumbo-кадры, но тестирование встроенного коммутатора не выявило никаких проблем вплоть до размера 7200 байт (это ограничение одной из сетевых карт, использованных для теста). Потери кадров отсутствовали, нагрузка на процессор снизилась — правда, далеко не в 5 раз, как можно было подумать. Что касается маршрутизатора, который вынужден работать со стандартными кадрами на WAN-интерфейсе, противоречий здесь не возникает, потому что операционные системы сами умеют определять необходимый размер блока для того или иного маршрута (path MTU discovery). То же самое верно и в других случаях, когда jumbo-кадры оказываются не у дел: при связи с компьютерами через Fast Ethernet или Wi-Fi.

Производительность передачи в беспроводном сегменте заявлена на традиционном для 802.11n-продуктов уровне — до 300 Мбит/с. Как вы наверняка знаете, это «сырая» скорость канала, то есть в реальности можно рассчитывать максимум на 100 Мбит/с — точно так же как 802.11g вместо обещанных 54 Мбит/с оставляет для нас не более 20 Мбит/с. А так как редко кто применяет беспроводную связь в непосредственной близости от точки доступа, — чаще всего между клиентом и базовой станцией имеется хотя бы одна капитальная стена, — можно смело поделить расчётное значение на два-три.

Разумеется, снижается эффективность при смешанном характере работы, когда в сети одновременно присутствуют не только клиенты 802.11n, но также «старички» 802.11b/g. И конечно же не следует забывать, что для ощущения преимуществ технологии MIMO » большей дальности действия и лучшей помехозащищённости » необходимо иметь несколько антенн не только на центральном устройстве, но и на подключаемых к нему.

По аналогии с адаптерами Wi-Fi, снижающими энергопотребление в периоды бездействия, новые гигабитные продукты D-Link воплощают идеологию Green Ethernet, суть которой сводится к автоматическому отключению приёмопередатчиков в пустующих портах коммутатора и адаптивному снижению мощности передаваемого сигнала в зависимости от длины кабеля. Последнее со стороны выглядит как будто мы имеем сигнал умеренного качества, несмотря на короткий кабель, » не волнуйтесь, качество связи от этого не страдает, всё просчитано.

Поначалу данная инициатива напоминает анекдотическую «экономию на спичках», учитывая высокую мощность применённого процессора. Но в том-то и дело, что даже с максимальной загрузкой маршрутизирующего модуля потребление энергии практически не отличается от состояния бездействия — это чувствуется и по отсутствию нагрева. При подключении двух коротких кабелей и трёх длинных (порядка полусотни метров) устройство потребляет около 6 Вт, при извлечении всех кабелей — примерно 5 Вт. Радиопередатчик, как и положено аппаратуре такого класса, имеет мощность 100 мВт. Величины кажутся каплей в море на фоне «прожорливых» компьютеров, но с учётом круглосуточного режима работы нельзя не похвалить разработчиков за стремление к экологичности.

Старый друг лучше новых двух? Сравнение с предшественниками

При выборе домашнего маршрутизатора многие поступают просто: оценивают свой бюджет и покупают самую дорогую модель, какую могут себе позволить. И по большому счёту они правы, потому что в отличие от видеокарт и процессоров, где топ-модели часто проигрывают бюджетным вариантам по соотношению цены и производительности, маршрутизаторы в большинстве своём тем эффективнее, чем дороже. Дело не только в пропускной способности, но и в разнообразии встроенных компонентов, и в функциональности прошивки. Здесь не то чтобы старшие модели являлись «навороченной» модификацией младших, а наоборот — младшие являются урезанными, порой искусственно.

Однако ввиду наличия в ассортименте D-Link двух линеек устройств, старой «DI» (всё ещё активно продаваемой на момент подготовки материала) и новой «DIR», у будущих покупателей возникает вопрос: что лучше — серия высшего уровня DI-800 или более современная DIR-600? Чаще всего дилемма более конкретная: DI-824VUP+ или DIR-655? Увы, новая аппаратура пока ещё не готова похвастаться всем функционалом своей предшественницы. Рассмотрим, чего же ей не хватает «для полного счастья».

Полноценный маршрутизатор корпоративного уровня обязан не только принимать статические маршруты, жёстко заданные администратором раз и навсегда, но также «на лету» добавлять и удалять маршруты по мере необходимости — благодаря протоколам динамической маршрутизации. Для подобных устройств «джентльменским набором» (вполне достаточным для большинства малых офисов) является протокол RIP, чаще всего обеих версий: v1 и v2. Серия 600 ни в старой, ни в новой линейке такой функции не реализует.

Согласно номенклатурным правилам компании, 800-я серия маршрутизаторов в первую очередь выделяется поддержкой виртуальных частных сетей (VPN), создающих защищённый канал между двумя офисами или надомным работником и его фирмой. Модели старшей серии умеют самостоятельно прокладывать туннели PPTP и L2TP поверх защищённого канала IPSec и принимать подключения от других узлов, тогда как младшие в лучшем случае позволяют пропускать через себя туннели, создаваемые вами с компьютера. (Подключение к провайдеру через туннель PPPoE, PPTP или L2TP — не в счёт, тем более что там не поддерживается шифрование.)

Стандартом де-факто для мониторинга сетевых устройств и управления ими стал протокол SNMP. Что касается переконфигурирования аппаратуры подобным образом, часто выполняемого автоматически в ответ на какие-то события, то простейшие модели здесь откровенно пасуют. Однако даже самые примитивные из них позволяют такую полезную вещь, как сбор статистики использования WAN-порта, что даёт возможность анализа загрузки порта. К тому же они умеют сигнализировать о некоторых происходящих событиях на специальные серверы-ловушки (traps).

Устройство DI-824VUP+ оснащено не только USB-портом для подключения принтера, но и всё ещё применяемым параллельным интерфейсом LPT. Хотя его «классический» сервер печати не поддерживает сканирование и не подойдёт для некоторых дешёвых принтеров, он обеспечивает одновременный доступ нескольких пользователей и работает по стандартному протоколу LPR. Новая технология SharePort универсальна, однако предполагает монопольный режим эксплуатации и требует установки драйверов, которые поставляются не для всех операционных систем.

Последовательный порт RS-232C позволяет подключить обычный телефонный модем V.34/V.92 или любой другой — на случай проблем с основным способом выхода в Интернет. Новые маршрутизаторы делают ставку на 3G-адаптеры для сотовых сетей, но получить сервис такого уровня в России пока ещё проблематично даже в крупных городах. И главное, что переключение на запасной канал должно производиться только вручную самим администратором, тогда как топ-модель старой закалки выполняла эту процедуру в автоматическом режиме.

Тот же последовательный порт мог использоваться как консольный — для доступа к настройкам в обход сети, что не только упрощало диагностику сложных случаев и исправление ошибок, но также приоткрывало некоторую расширенную функциональность. Современные модели лишены консольного порта, равно как и виртуальной консоли telnet.

К сожалению, в новой линейке DIR пока ничего похожего не найти. Недавно анонсированный у нас маршрутизатор DIR-855 ничем принципиальным от DIR-655 не отличается. Просто у него ещё более производительный процессор, а кроме того — двухдиапазонная точка доступа, использующая частоту 5 ГГц помимо 2,4 ГГц. Поскольку за последние годы многие обзавелись беспроводными сетями 802.11b/g, нижний диапазон претерпевает умеренную зашумлённость (не считая того, что те же частоты используются радиотелефонами и микроволновыми печами), так что переход на свободную полосу вполне закономерен. Остаётся лишь открытым вопрос, законен ли такой переход, поскольку российская сетка частот резервирует 5 ГГц за спецслужбами.

Было бы необъективно сравнивать только с ассортиментом самой марки D-Link, так что отметим наиболее выдающиеся способности конкурирующих продуктов, которые не были воплощены в DIR-655. Во-первых, это антивирусная проверка всего проходящего трафика по наиболее популярным протоколам типа HTTP, FTP и POP3/SMTP; правда, тут есть некоторая сложность с оплатой подписки в российских условиях. Во-вторых, встроенный веб-сервер и файловый сервер (HTTP, FTP, SMB), — вполне можно было бы реализовать, благо USB-накопители уже поддерживаются. Сюда же отнесём встроенных клиентов файлообменных сетей, например, BitTorrent. В-третьих, автоматическое резервное переключение на другого провайдера при использовании единственного WAN-порта: например, если ваша домовая сеть обслуживается несколькими операторами, или если ADSL-модем со стороны телефонной станции скоммутирован на нескольких провайдеров.

Отдельное непонимание вызывает отсутствие поддержки IPv6 — и это спустя десятилетие после публикации соответствующего стандарта. Данный сетевой протокол следующего поколения, призванный сменить ныне распространённый IPv4, поддерживается уже всеми операционными системами, даже Windows, не говоря уже про *nix-платформы, на базе которых строятся прошивки большинства маршрутизаторов. Ладно бы речь шла о первых шагах в шлюзостроении, но ведь популяризация этого вида продукции состоялась гораздо позже, тогда как разговоры о необходимости IPv6 велись с начала 90-х. Тем более что серия DIR создаёт впечатление созданной с нуля принципиально новой линейки сетевых комбайнов, прерывающей цепь нагромождений каждой очередной функции на отживший своё прежний дизайн. Получается замкнутый круг: внедрение IPv6 тормозится, потому что до сих пор низок уровень поддержки аппаратурой, а производители аппаратуры не спешат реализовывать эту поддержку, потому что окончательная миграция в ближайшее время нам не грозит. Видать, скоро только сказка сказывается…

Выводы

Интернет-центр D-Link DIR-655 являет нам в одном лице маршрутизатор с производительностью до 290 Мбит/с, точку беспроводного доступа 802.11n-draft MIMO и гигабитный коммутатор на 4 порта. Интерфейс USB 2.0 и технология SharePort позволяют использовать по сети практически любое периферийное устройство, от принтера до флэшки, но лишь в монопольном режиме и с платформы Windows. Кроме того, в USB-порт можно установить адаптер 3G-связи, чтобы осуществлять выход в глобальную сеть через мобильного оператора.

Как средство разделения доступа в Интернет, маршрутизатор DIR-655 поддерживает статическое подключение к провайдеру (со статическим или динамическим IP-адресом), а также различные виды туннелей: PPPoE, PPTP, L2TP. Учитывая российские реалии, шлюз допускает указание провайдера — service name — в режиме PPPoE. Абоненты домовых сетей смогут иметь доступ к локальному окружению в обход провайдерского сервера PPTP/PPPoE, благодаря DualAccess — реализации двух логических IP-интерфейсов на одном физическом WAN-портy. Все необходимые дополнительные маршруты задаются статически.

Для тех, кто держит свой собственный сервер, участвует в файлообменной сети, играет в онлайне или просто пользуется протоколами, не рассчитанными на шлюзование с подменой адреса (NAT), предусмотрено семь принципиально различных способов проброса внешнего трафика внутрь сети. Сюда входит специальная поддержка мультимедийных трансляций IGMP и RTSP, телефонии SIP, туннелей PPTP и зашифрованных пакетов IPsec. Все остальные пользователи могут чувствовать себя закрытыми от атак и всевозможных сетевых «червей»; конечно, это не касается вирусов, распространяемых через почту, сайты и системы мгновенных сообщений.

Владельцы небольших офисов и кафе по достоинству оценят отсутствие необходимости покупать вторую точку доступа для организации гостевой зоны Wi-Fi, которая может быть полностью изолирована от основной зоны, а также иметь пониженные требования к шифрованию канала. Чтобы сделать беспроводную работу наиболее комфортной, много внимания было уделено технологиям приоритезации трафика WMM и WISH, а также общего качества обслуживания (QoS) для всех интерфейсов. Помимо приоритетов, назначаемых самими компьютерами, маршрутизатор DIR-655 может выполнять автоматическую классификацию и следовать произвольным политикам, ограничивать используемую ширину интернет-канала. Во избежание нецелевого расхода ресурсов, система контроля доступа способна пресекать попытки связи некоторых групп пользователей с некоторыми серверами, либо просто протоколировать их действия. Почти все виды политик имеют привязку по времени суток и дню недели.

Настраивать DIR-655 удобно, благодаря наличию большого числа готовых шаблонов для наиболее популярных протоколов, списку клиентских компьютеров и представлению фильтров и расписаний в виде единых сущностей, — вводить числа вручную придётся по минимуму. Подключать новые компьютеры к сети тоже будет просто, так как роутер может взять на себя хлопоты по распределению IP-адресов, а точка беспроводного доступа позволяет одним нажатием кнопки передать настройки любому WPS-совместимому устройству. Если возникнут вопросы, всегда можно проконсультироваться со встроенной справочной системой.

Контроль состояния устройства осуществляется с помощью целой группы страниц веб-интерфейса, содержащей детальную информацию о внутренних и внешних каналах, о беспроводной сети, об активных сеансах связи. Помимо администратора, выполнять надзор могут и уполномоченные пользователи — без права изменения настроек. К сожалению, отсутствуют традиционные средства автоматизированного мониторинга SNMP.

Среди других популярных функций, от реализации которых DIR-655 однозначно выиграл бы, отметим динамическую маршрутизацию RIP и самостоятельное создание VPN-сетей, разделяемый сервер печати и файловый сервер (или даже веб-сервер), автоматическое переключение на 3G-адаптер при сбое основного интернет-канала. Не помешала бы, конечно же, антивирусная проверка почтового и файлового трафика, а также поддержка протокола IPv6.

Несмотря на то что совершенствоваться ещё есть куда, и принимая во внимание тот факт, что любой продукт на рынке — это компромиссный набор достоинств и недостатков, маршрутизатор D-Link DIR-655 можно считать одним из наиболее технологичных среди предлагаемых ныне. Этот сетевой комбайн с лихвой удовлетворит потребности большинства домашних абонентов и малых офисов. Особенное удовольствие он доставит опытным пользователям, в том числе приятно будут удивлены те, кто уже имел дело с моделями ранних поколений. При средней цене около 150 долл. на момент написания статьи, впечатляющая функциональность и производительность аппарата DIR-655 представляется весьма привлекательным решением для поклонников топ-моделей.

Алфавитный указатель

Статью "18.12.2008 D-Link RangeBooster DIR-655: новая волна комбайностроения" Вы можете обсудить на форуме.