Введение
Давайте представим себе такую ситуацию: Ваша компания быстро развивается и открывает все новые и новые филиалы или точки обслуживания клиентов в разных районах города или в разных городах страны… Или другой случай, из жизни: в преддверии 1-го января сего года, с которого вводилось обязательное автострахование, по всей стране, как грибы, росли точки оформления страховых полисов.
Естественно, открытие современного офиса продаж не сводится к аренде помещения и завозу необходимой мебели. Современный офис не может обойтись без информационной инфраструктуры.
Как правило, IT инфраструктура филиала помимо банального объединения нескольких компьютеров в ЛВС должна выполнять следующие функции:
- организация защищенного канала связи с головным офисом,
- организация доступа в Интернет,
- совместное использование принтеров.
- надежность и отказоустойчивость,
- безопасность,
- масштабируемость.
В наше быстротекущее время, когда продолжительность задержки открытия точки продаж прямо пропорциональна упущенной прибыли, я бы выдвинул еще пару требований к IT инфраструктуре филиала — быстрота развертывания и удобство настройки и администрирования. Безусловно, быстрота развертывания не должна быть в ущерб надежности и безопасности.
Не так давно на Российском рынке появился новый продукт от компании D-Link, способный удовлетворить всем вышеперечисленным требованиям. Сразу оговорюсь, он будет крайне интересен, если открываемый филиал по масштабу можно отнести к разряду SOHO (малый офис / домашний офис). Если Ваш филиал имеет парк в несколько десятков машин и несколько высокопроизводительных серверов, то это решение врядли Вам подойдет.
Что же предлагает D-LINK?
D-LINK предлагает «коробочное» решение для быстрого развертывания IT инфраструктуры небольшого офиса филиала или точки обслуживания клиентов. По существу, D-LINK DI-824VUP+ объединяет в себе даже не 3, а 5 устройств:
- Высокопроизводительный маршрутизатор с функцией создания VPN тоннелей.
- Интернет шлюз (firewall) с базовыми функциями защиты от DoS атак, фильтрацией разрешенных / запрещенных сайтов.
- Беспроводную точку доступа стандарта 802.11g, поддерживающую несколько стандартов авторизации и защиты передаваемой информации: WEP шифрование 64-, 128- или 256-bit, а также WPA и авторизацию по протоколу 802.1x (подробнее о безопасности в беспроводных сетях, построенных на оборудовании D-LINK, можно прочитать тут)
- Принт-сервер для LPT или USB принтера (устройство имеет и LPT и USB порт, но подключить можно только один принтер)
- 4-х-портовый коммутатор Fast Ethernet
Итак, предположим, что Вы представитель страховой компании и открываете новый пункт продаж страховых полисов; или Вы занимаетесь изготовлением и монтажом пластиковых окон, арендовали площадь в торговом центре, выставили образцы и принимаете заказы на замер и установку. Вам нужно в кратчайшие сроки организовать следующую систему:
- Объединить рабочие места сотрудников филиала в локальную сеть
- Организовать защищенный канал связи с головным офисом для обмена данных
- Организовать совместное использование принтера
- Организовать совместный доступ в Интернет
Как это сделать быстро и с минимальными затратами? Компания D-LINK предлагает коробочное «решение» для всех поставленных задач. Это «комбайн» DI-824VUP+.
Решение:
Задача 1: Объединить рабочие места сотрудников филиала в локальную сеть
DI-824VUP+ предлагает два способа организации локальной сети филиала: традиционный Fast Ethernet и Wireless Ethernet – беспроводная локальная сеть. Для организации традиционной проводной сети устройство располагает четырьмя портами Fast Ethernet с автоопределением скорости. Если в Вашей сети более 4-х компьютеров Вам необходимо будет использовать дополнительный коммутатор.
Для организации беспроводной сети DI-824VUP+ имеет встроенную точку доступа стандарта 802.11g, поддерживающую максимальную скорость передачи данных до 54 Mbps. Дальность работы беспроводной сети в помещении составляет от 20 до 50 метров, в зависимости от типа и количества стен. Для увеличения зоны покрытия Вы можете подключить внешнюю антенну. При проектировании сети следует помнить, что беспроводная сеть полудуплексная. Следовательно, максимальная скорость передачи данных в каждую сторону для данного оборудования не превышает 54/2=27 Mbps
На данном графике показана скорость передачи данных между ПК с установленным беспроводным сетевым адаптером DWL-G650 и шлюзом DI-824VUP+. Средняя скорость составила 18,95 Mbps, максимальная – 19,9 Mbps. Следует также отметить, что т.к. беспроводная среда разделяемая, пропускная способность делится между всеми беспроводными клиентами.
DI-824VUP+ как и любое беспроводное оборудование D-LINK стандарта 802.11g поддерживает также стандарт 802.11b. Данный стандарт на сегодняшний день более распространен, в частности многие модели ноутбуков и КПК имеют встроенные средства беспроводного доступа этого стандарта. Скорость передачи данных для стандарта 802.11b не превышает 11Mbps (5.5Mbps в одну сторону)
На данном графике показана скорость передачи данных между ПК с установленным беспроводным сетевым USB адаптером DWL-122 и шлюзом DI-824VUP+. Средняя скорость составила 3.7 Mbps, максимальная – 3,84 Mbps.
Важнейший вопрос, который волнует пользователя при передаче данных через общедоступную среду – защита данных от перехвата и несанкционированного доступа. Беспроводной VPN шлюз DI-824VUP+ поддерживает ряд передовых технологий защиты данных при передаче в беспроводных сетях. Это:
- 256-bit WEP шифрование с возможностью задания четырех динамических ключей
- WPA (Wi-Fi Protected Access). Отличительными особенностями технологии WPA является: усовершенствованная схема шифрования данных RC4 на основе TKIP (Temporal Key Integrity Protocol – протокол краткосрочной целостности ключей), улучшенные механизмы контроля доступа, обязательная аутентификация 802.1x посредством протокола EAP, модель централизованного управления безопасностью и возможность интеграции с действующими схемами корпоративной аутентификации.
- Фильтр по MAC-адресам, разрешающий подключаться к сети только устройствам с известным MAC-адресом.
Задача 2: Организовать защищенный канал связи с головным офисом для обмена данных.
Вернемся к нашему примеру. Вы принимаете заказ на монтаж пластиковых окон. В городе помимо вас работает еще несколько точек продаж, которые, также как и Вы, передают заявки бригадам монтажников. Чтобы предложить клиенту дату монтажа, Вы должны знать о заявках, поставленных другими филиалами. Не будем вдаваться в технические подробности, вывод очевиден – данные от всех точек приема заказов должны стекаться в единую базу и обрабатываться. Филиалы в свою очередь должны иметь доступ к обработанной информации.
В пределах одного города иногда возможно установить физический канал связи между филиалом и головным офисом при помощи xDSL технологий, оптоволоконной линии или радио-Ethernet, но зачастую это не удается, или просто экономически не выгодно. Если же филиал и штаб-квартира находятся в разных городах — организовать «физический» канал связи становится практически невозможно (либо по техническим, либо по экономическим соображениям).
Тут на помощь приходит VPN – Virtual Private Network – Виртуальная Частная Сеть, при помощи которой Вы сможете объединить сети головного офиса и филиала через Интернет. При этом между сетями устанавливается защищенное шифрованием данных соединение, прозрачно объединяющее сети. Ну, с «прозрачно» я погорячился. Увидеть компьютеры головного офиса в сетевом окружении Вам не удастся, а вот подключаться к почтовым, файловым и другим серверам и даже использовать «расширенные» папки других пользователей – это, пожалуйста.
Отсюда вытекает требование: офисы филиалов должны быть подключены к сети Интернет. К счастью, в наше время это перестало быть большой проблемой. Существует множество способов подключения к Интернет и почти все они поддерживаются новым VPN маршрутизатором от D-LINK.
Рассмотрим варианты подключения:
- Ethernet. Вы снимаете помещение в торговом центре, где Вам предоставляют доступ в Интернет в виде Ethernet потока с выделением одного внешнего статического или динамического IP адреса. Самый простой случай – не требуется никакого дополнительного оборудования, кроме самого DI-824VUP+.
- xDSL подключение. VPN маршрутизатор DI-824VUP+ не имеет встроенного ADSL или иного модема. Следовательно, Вам потребуется соответствующий xDSL модем с Ethernet портом. Например, при ADSL подключении можно использовать модем DLINK DSL-300T
- ISDN подключение. В России эта технология «последней мили» распространенна не слишком широко. Тем не менее, это не проблема. DI-824VUP+ имеет порт RS232 для подключения к ISDN модему и поддерживает все необходимые функции для выхода в Интернет через него
- Dial-up подключение. Да — да, dialup! Хотя из-за малой скорости соединения этот вид подключения малопригоден для работы с VPN и требовательными к полосе пропускания приложениями, зачастую, dial-up это единственный способ выхода в Сеть. Особенно справедливо это утверждение для небольших городков или поселков. К RS232 порту маршрутизатора Вы можете подключить любой модем (R56, v92 – не важно) для COM-порта. Кроме того, Вы можете настроить использование dial-up модема как резервное соединение, используемое при обрыве основного широкополосного подключения.
- GPRS. Эта технология пакетной передачи данных в сетях GSM только набирает обороты, но она может оказаться незаменимой при отсутствии других видов подключения. GPRS поддерживается всеми ведущими операторами сотовой связи, скорость подключения может достигать 153Kbps. Для подключения помимо VPN маршрутизатора Вам потребуется мобильный телефон с GPRS и шнур для подключения к COM порту компьютера. Указав несколько параметров в строке инициализации Вы сможете использовать GPRS модем, как и обычный dial-up.
- IPSec
- L2TP
- PPTP
Ниже приведен график пропускной способности IPSec VPN тоннеля между DI-824VUP+ и шлюзом DLINK DFL-900, который рекомендуется устанавливать в качестве VPN маршрутизатора / Интернет-шлюза (firelall) в головном офисе компании и поддерживающий до 500 он-лайн пользователей и до 100 VPN тоннелей. Замеры производились при DES и 3DES шифровании трафика.
DES шифрование
3DES шифрование
Средняя пропускная способность в первом случае составила 4,28 Mbps, во втором – 4,18 Mbps. Разница незначительная, что свидетельствует о достаточно мощном процессоре роутера (для сравнения, для маршрутизатора DLINK DI-804HV, который ранее подвергался подобному тестированию, разница в производительности при DES и 3DES шифровании была более значительной). Суммарная производительность системы определяется самым слабым звеном в связке. Т.к. шлюз DFL-900 обладает заведомо значительно большей производительностью, можно смело сказать, что полученные цифры определяют производительность IPSec шифрования маршрутизатора DI-824VUP+.
В большинстве случаев Интернет канал, будь то ADSL, ISDN или радиомодем, имеет полосу пропускания не более 8 Mbps, хотя обычно эта цифра еще меньше. Например, Вы подключаетесь при помощи ADSL модема, скорость подключения при этом составляет 1024/256 Kbps или 2048/512 Kbps (входящий / исходящий). Таким образом, производительности VPN в 4.2 Mbsp, которую обеспечивает новый маршрутизатор более чем достаточно.
Настройка VPN IPSec
А настраивается VPN в маршрутизаторе следующим образом:
Здесь мы задаём: адрес локальной подсети (Local Subnet), маску локальной подсети (Local Netmask), адрес удалённой подсети (Remote Subnet), маску удалённой подсети (Remote Netmask). В поле Remote Gateway задаём внешний IP-адрес удалённого VPN маршрутизатора. В поле Preshare Key – задаём первичный ключ, который будет использоваться механизмом IKE для организации VPN-туннеля. Далее выбираем способы аутентификации и шифрования, а также время жизни VPN туннеля.
Задача 3. Организовать совместное использование принтера.
Итак, рабочие места объединены в сеть, канал связи с головным офисом налажен. Что еще нужно? Безусловно, современный офис не может обойтись без средств вывода информации на печать. Вы приобретаете принтер, и перед Вами встает вопрос об организации совместного использования одного принтера всеми сотрудниками филиала. Благодаря встроенному принт-серверу DLINK DI-824VUP+ быстро и легко решает эту задачу. Маршрутизатор имеет два порта: USB и LPT для подключения соответствующего принтера (но только одного). Теперь все сотрудники могут отправлять на печать документы на один принтер, причем, в отличие от варианта с «расшариванием» принтера средствами Windows, не требуется, чтобы компьютер, к которому подключен принтер, был постоянно включен.
Задача 4: Организовать совместный доступ в Интернет.
Про варианты подключения к сети Интернет мы уже поговорили на стадии решения задачи номер 2. Обычно провайдер Интернет-услуг предоставляет один статический или динамический IP адрес. Нам же необходимо подключить к Интернет несколько рабочих мест. В этом случае DI-824VUP+ выполняет функцию NAT (Network Address Translation). Помимо NAT, маршрутизатор может выполнять следующие функции:
- DMZ зона. Укажите IP адрес, который вы хотите поместить в «демилитаризованную зону» После этого компьютер с этим IP становится доступен из сети Интернет, что необходимо, например, для организации FTP или HTTP сервера.
- Переадресация портов (port mapping). Эта функция позволяет сделать доступными из Интернет некоторые порты определенного или всех компьютеров локальной сети. Это необходимо для видеоконференц связи, работы с сетевыми камерами видеонаблюдения, программ типа «PC-to-Phone» и т.д.
- Фильтры. Вы можете запретить доступ в Интернет некоторым или всем сотрудникам, оставив им возможность пользоваться почтовым клиентом для получения почты или организовать доступ в Интернет по расписанию. Имеется также возможность запретить просмотр сайтов, имеющихся в стоп-листе или разрешить доступ только к сайтам, которые есть в нон-стоп-листе (в него можно занести, например, только адрес сайта компании, да адрес сайта с курсами валют).
- DDNS – Dynamic DNS. Очень полезная функция. Если Ваш Интернет провайдер не предоставляет ни одного статичного IP адреса, Вы не сможете получить доступ к ресурсам в сети филиала и настроить VPN подключение с головным офисом. Чтобы решить эту проблему в DI-824VUP+ встроена поддержка DDNS. В целом решение выглядит так: на сайте dyndns.org Вы регистрируете хост для каждого своего филиала камеры типа my_company _office_5.dynalias.net и прописываете этот хост, логин и пароль в настройках DDNS. Теперь Вам не нудно знать текущий IP адрес, Вы всегда сможете получить доступ к сети филиала по адресу my_company _office_5.dynalias.net.
Доступность
Средняя розничная цена на «комбайн» от D-LINK : Н/Д(0)
Выводы
D-LINK DI-824VUP+ является неплохим решением «из коробки» для небольшого офиса класса SOHO, которое позволяет быстро развернуть IT инфраструктуру, необходимую для работы современного офиса, при этом обеспечив необходимый уровень надежности и безопасности. Кроме того, помимо удобства настройки которое отличает устройство «все-в-одном», стоимость DI-824VUP+ примерно на 100$ ниже (на момент публикации статьи), чем сумма, которую Вам пришлось бы выложить, приобретая VPN маршрутизатор (DI-804HV), USB принт-сервер (DP-301U) и беспроводную точку доступа стандарта 802.11g (DWL-2000AP+) по отдельности.
Безусловно, приведенные в этом обзоре примеры не являются единственными возможными. Данное устройство прекрасно подойдет и при использовании дома для обеспечения совместного доступа в Интернет с настольного компьютера и ноутбука с поддержкой Wi-Fi, а также для «расшаривания» USB или LPT принтера.