1. конструкція маршрутизатора
2. Брандмауер (firewall)
3. пакетні фільтри
4. Шлюзи сеансового рівня
5. Шлюзи прикладного рівня
6. SPI-брандмауери
7. протокол NAT
8. Перенаправлення портів (Port mapping)
9. DMZ-зона
10. методи аутентифікації
11. DHCP-сервер
12. Віртуальні мережі VPN
13. PPTP
14. L2TP
15. IPsec
16. Режими функціонування VPN
17. Висновок

Сергій Пахомов

конструкція маршрутизатора

Брандмауер (firewall)

пакетні фільтри

Шлюзи сеансового рівня

Шлюзи прикладного рівня

SPI-брандмауери

протокол NAT

Перенаправлення портів (Port mapping)

DMZ-зона

методи аутентифікації

DHCP-сервер

Віртуальні мережі VPN

PPTP

L2TP

IPsec

Режими функціонування VPN

висновок

редство для захисту від різного роду атак ззовні (тобто з Інтернету) на локальну мережу розроблено дуже багато, але всі вони мають один серйозний недолік: щоб реалізувати такого роду захист, необхідно виділити ПК, на якому буде встановлено і налаштовано спеціалізоване ПО. Якщо мова йде про досить великої мережі, що налічує не менше сотні ПК, то таке рішення цілком виправдано, в разі ж невеликих мереж класу SOHO виділяти комп'ютер для організації захисту мережі досить накладно. Крім того, необхідно пам'ятати, що професійні пакети, що реалізують захист мережі, коштують досить дорого, тому для сегмента SOHO, можливо, має сенс звернутися до альтернативних рішень. Йдеться про маршрутизатори класу SOHO, які називають також Інтернет-серверами і Інтернет-маршрутизаторами. В даний час на ринку представлена ​​величезна кількість подібних маршрутизаторів, що відрізняються один від одного функціональними можливостями і ціною. Для того щоб зробити правильний вибір, потрібно чітко уявляти собі можливості і функції сучасних маршрутизаторів.

конструкція маршрутизатора

оскольку маршрутизатори є прикордонними мережевими пристроями, тобто встановлюються на кордоні між двома мережами або між локальною мережею та Інтернетом, виконуючи роль шлюзу, то вони повинні мати як мінімум два порти (див. малюнок). До одного з цих портів підключається локальна мережа, і цей порт називається внутрішнім LAN-портом. До другого порту підключається зовнішня мережа (Інтернет), і цей порт називається зовнішнім WAN-портом. Як правило, маршрутизатори класу SOHO мають один WAN-порт і кілька (від одного до чотирьох) внутрішніх LAN-портів, які об'єднуються в комутатор. У більшості випадків WAN-порт комутатора має інтерфейс 10 / 100Base-TX, і до нього може підключатися xDSL-модем з відповідним інтерфейсом або мережевої Ethernet-кабель.

У деяких моделях маршрутизаторів, крім WAN-порту, є послідовний порт для підключення аналогового модему. Як правило, цей порт призначений для створення резервного низької з'єднання по комутованій лінії з провайдером.

З огляду на широке поширення бездротових мереж, створений цілий клас так званих бездротових маршрутизаторів. Ці пристрої, крім класичного маршрутизатора з WAN- і LAN-портами, містять інтегровану точку бездротового доступу, що підтримує протокол IEEE 802.11a / b / g. Бездротовий сегмент мережі, яку дозволяє організувати точка доступу, відноситься до внутрішньої мережі з точки зору маршрутизатора, і в цьому сенсі комп'ютери, що підключаються до маршрутизатора бездротовим чином, нічим не відрізняються від комп'ютерів мережі, підключених до LAN-порту.

Типова схема використання маршрутизатора класу SOHO

Будь-маршрутизатор, як пристрій мережевого рівня, має свій IP-адресу. Крім того, IP-адреса є і у його WAN-порту. Наприклад, маршрутизатор може мати наступний IP-адреса:

• IP-адреса: 192.168.1.254;

• маска підмережі: 255.255.255.0.

При цьому у його WAN-порту може бути така адреса:

• IP-адреса: 10.0.0.254;

• маска підмережі: 255.255.255.0.

Комп'ютери, що підключаються до LAN-портів маршрутизатора, повинні мати IP-адресу тієї ж підмережі, що і сам маршрутизатор. Крім того, в мережевих налаштуваннях цих ПК необхідно задати адресу шлюзу, що співпадає з IP-адресою маршрутизатора. Наприклад, в розглянутому вище випадку мережеві настройки ПК, що підключається до LAN-порту, можуть бути наступними:

• IP-адреса: 192.168.1.10;

• маска підмережі: 255.255.255.0;

• шлюз: 192.168.1.254.

Пристрій, що підключається до WAN-порту з боку зовнішньої мережі, повинно мати IP-адресу з тієї ж підмережі, що і WAN-порт маршрутизатора. У нашому випадку це можуть такі мережеві настройки:

• IP-адреса: 10.0.0.10;

• маска підмережі: 255.255.255.0.

У розглянутому вище прикладі використовувався так званий статичний спосіб завдання IP-адреси (Static IP), який підтримують всі маршрутизатори. Його слід застосовувати для ознайомлення з можливостями роботи маршрутизатора або для його тестування. Однак в реальних умовах частіше використовується динамічний (Dynamic IP) спосіб завдання IP-адреси, коли маршрутизатор виступає в ролі DHCP-клієнта, автоматично отримуючи IP-адреса, адреса шлюзу і DNS-сервера від провайдера (DHCP-сервера). Цей спосіб забезпечує провайдеру достатню гнучкість при конфігуруванні своєї мережі і підтримується всіма провайдерами.

Брандмауер (firewall)

оскольку маршрутизатор виконує функцію шлюзу між локальною мережею та Інтернетом, було б логічно наділити його такою функцією, як захист внутрішньої мережі від несанкціонованого доступу. Тому практично всі сучасні маршрутизатори класу SOHO мають вбудовані апаратні брандмауери, звані також мережевими екранами, або firewall. Звичайно, існують брандмауери і у вигляді окремих апаратних рішень, але інтеграція брандмауера з маршрутизатором дозволяє знизити сукупну вартість обладнання.

Брандмауери аналізують весь трафік між двома мережами, що сполучаються за допомогою маршрутизатора, на предмет відповідності його певним критеріям. Якщо трафік відповідає заданим умовам, то брандмауер пропускає його через себе (виробляє маршрутизацію). В іншому випадку, тобто якщо не дотримані встановлені критерії, трафік блокується брандмауером. Брандмауери фільтрують як вхідний, так і вихідний трафік, а також дозволяють управляти доступом до певних мережевих ресурсів або додатків. Вони можуть фіксувати всі спроби несанкціонованого доступу до ресурсів локальної мережі і видавати попередження про спроби проникнення.

Брандмауери здатні здійснювати фільтрацію мережевих пакетів, грунтуючись на адреси відправника і одержувача та номерах портів, - дана функція називається адресною фільтрацією. Крім того, брандмауери можуть фільтрувати специфічні типи мережевого трафіку, наприклад HTTP, ftp або telnet, а також здатні фільтрувати трафік, грунтуючись на аналізі атрибутів мережевих пакетів.

Існують дві методології функціонування брандмауерів: згідно з першою брандмауер пропускає через себе весь трафік, за винятком того, що відповідає певним критеріям; друга полягає в тому, що брандмауер, навпаки, блокує весь трафік, крім відповідного певним критеріям.

Можливості брандмауерів і ступінь їх інтелектуальності залежать від того, на якому рівні еталонної моделі OSI вони функціонують. Чим вище рівень OSI, на основі якої побудований брандмауер, тим вище ним забезпечується рівень захисту.

Нагадаємо, що модель OSI (Open System Interconnection) включає сім рівнів мережної архітектури. Перший, найнижчий рівень - фізичний. За ним слідують канальний, мережевий, транспортний, сеансовий рівні, рівень представлення і прикладний рівень, або рівень додатків.

Для того щоб забезпечувати фільтрацію трафіку, брандмауер повинен працювати як мінімум на третьому рівні моделі OSI, тобто на мережевому рівні. На цьому рівні відбувається маршрутизація пакетів на основі перетворення MAC-адрес в мережеві адреси. З точки зору протоколу TCP / IP цей рівень відповідає рівню IP (Internet Protocol). Отримуючи інформацію мережевого рівня, брандмауери здатні визначити адресу джерела і одержувача пакету і перевірити, чи припустима передача трафіку між даними адресатами. Однак інформації мережевого рівня недостатньо для аналізу вмісту пакета. Брандмауери, що функціонують на транспортному рівні моделі OSI, отримують більше інформації про пакети і є більш інтелектуальними схемами захисту мереж. Якщо брандмауери працюють на рівні додатків, їм доступна повна інформація про мережеві пакетах, тому такі брандмауери забезпечують найбільш надійний мережевий захист.

Професійні брандмауери захоплюють кожен вхідний пакет, перш ніж він буде переданий адресату і прийнятий його операційною системою. Завдяки цьому дуже складно отримати контроль над комп'ютером, захищеним таким брандмауером.

Всі брандмауери можна умовно розділити на чотири категорії відповідно до тих рівнями моделі OSI, на яких вони працюють:

• пакетний фільтр (packet filter);

• шлюз сеансового рівня (circuit-level gateway);

• шлюз прикладного рівня (application-level gateway);

• Stateful Packet Inspection.

пакетні фільтри

Брандмауери типу пакетних фільтрів є найпростішими найменш інтелектуальними. Вони працюють на мережному рівні моделі OSI або на IP-рівні стека протоколів TCP / IP. Такі брандмауери в обов'язковому порядку присутні в будь-якому маршрутизаторі, оскільки всі маршрутизатори можуть працювати як мінімум на третьому рівні моделі OSI.

У пакетних фільтрах кожен пакет, перш ніж бути переданим, аналізується на предмет відповідності критеріям передачі або блокування передачі. Залежно від пакета і сформованих критеріїв передачі брандмауер може передати пакет, відкинути його або надіслати повідомлення ініціатору передачі. Критерії, або правила, передачі пакетів можуть формуватися на основі IP-адрес джерела і одержувача, номерів портів джерела і одержувача і використовуваних протоколів.

Перевагою пакетних фільтрів є їх низька ціна. Крім того, вони практично не впливають на швидкість маршрутизації, тобто не мають негативного впливу на продуктивність маршрутизатора.

Шлюзи сеансового рівня

Шлюзи сеансового рівня - це брандмауери, що працюють на сеансовому рівні моделі OSI або на рівні TCP (Transport Control Protocol) стека протоколів TCP / IP. Вони відстежують процес встановлення TCP-з'єднання (підприємство сеансів обміну даними між вузлами мережі) і дозволяють визначити, чи є даний сеанс зв'язку легітимним. Дані, що передаються віддаленого комп'ютера у зовнішній мережі через шлюз на сеансовому рівні, не містять інформації про джерело передачі, тобто все виглядає таким чином, ніби дані відправляються самим брандмауером, а не комп'ютером у внутрішній (що захищається) мережі. Всі брандмауери на основі NAT-протоколу є шлюзами сеансового рівня (протокол NAT буде описаний далі).

До переваг шлюзів сеансового рівня відноситься їхня низька ціна, до того ж вони не роблять істотного впливу на швидкість маршрутизації. Однак шлюзи сеансового рівня не здатні здійснювати фільтрацію окремих пакетів.

Шлюзи прикладного рівня

Шлюзи прикладного рівня, які також називаються proxy-серверами, функціонують на прикладному рівні моделі OSI, що відповідає за доступ додатків в мережу. На цьому рівні вирішуються такі завдання, як перенесення файлів, обмін поштовими повідомленнями і управління мережею. Отримуючи інформацію про пакети на прикладному рівні, такі шлюзи можуть реалізовувати блокування доступу до певних сервісів. Наприклад, якщо шлюз прикладного рівня налаштований як Web-proxy, то будь-який трафік, що відноситься до протоколів telnet, ftp, gopher, буде заблокований. Оскільки дані брандмауери аналізують пакети на прикладному рівні, вони здатні здійснювати фільтрацію специфічних команд, наприклад http: post, get і т.д. Ця функція недоступна ні пакетним фільтрам, ні шлюзів сеансового рівня. Шлюзи прикладного рівня можуть також використовуватися для реєстрації активності окремих користувачів і для встановлення ними сеансів зв'язку. Ці брандмауери пропонують більш надійний спосіб захисту мереж в порівнянні зі шлюзами сеансового рівня і пакетними фільтрами, проте в значно більшій мірі впливають на зменшення швидкості маршрутизації.

SPI-брандмауери

Брандмауеи типу Stateful Packet Inspection (SPI) об'єднують в собі переваги пакетних фільтрів, шлюзів сеансового рівня і шлюзів прикладного рівня. Фактично це багаторівневі брандмауери, які працюють одночасно на мережевому, сеансовому і прикладному рівнях.

SPI-брандмауери здійснюють фільтрацію пакетів на мережевому рівні, визначають легітимність встановлення сеансу зв'язку, грунтуючись на даних сеансового рівня, і аналізують вміст пакетів, використовуючи дані прикладного рівня.

SPI-брандмауери забезпечують найбільш надійний захист мереж і застосовуються в багатьох сучасних маршрутизаторах.

протокол NAT

ольшинство сучасних маршрутизаторів підтримують протокол NAT (Network Address Translation), який базується на сеансовому рівні і по суті представляє собою протокол трансляції мережевих адрес. NAT дозволяє реалізувати множинний доступ комп'ютерів локальної (приватної) мережі (кожен з яких має власний внутрішній IP-адреса) в Інтернет, використовуючи всього один зовнішній IP-адреса WAN-порту маршрутизатора. При цьому всі комп'ютери у внутрішній локальній мережі стають невидимими ззовні, але для кожного з них зовнішня мережа є доступною. Протокол NAT пропускає в мережу тільки ті дані з Інтернету, які надійшли в результаті запиту від комп'ютера з локальної мережі.

Протокол NAT вирішує два головні завдання:

• допомагає впоратися з дефіцитом IP-адрес, який стає все більш гострим у міру зростання кількості комп'ютерів;

• забезпечує безпеку внутрішньої мережі - комп'ютери локальної мережі, захищені маршрутизатором з активованим NAT-протоколом (пристроєм NAT), стають недоступними з зовнішньої мережі.

Хоча протокол NAT не замінює брандмауер, він все ж є важливим елементом безпеки.

Принцип роботи протоколу NAT досить простий. Коли клієнт внутрішньої мережі встановлює зв'язок з сервером зовнішньої мережі, відкривається сокет, який визначається IP-адресою джерела, портом джерела, IP-адресою призначення, портом призначення і мережевим протоколом. Коли додаток передає дані через цей сокет, то IP-адреса джерела і порт джерела вставляються в пакет в поля параметрів джерела. Поля параметрів пункту призначення будуть містити IP-адреса сервера і портсервера.

Пристрій NAT (маршрутизатор) перехоплює витікаючий з внутрішньої мережі пакет і заносить в свою внутрішню таблицю зіставлення портів джерела і одержувача пакету, використовуючи IP-адреса призначення, порт призначення, зовнішній IP-адресу пристрою NAT, зовнішній порт, мережевий протокол, а також внутрішні IP -адреса і порт клієнта. Потім пристрій NAT транслює пакет, перетворюючи в пакеті поля джерела: внутрішні IP-адреса і порт клієнта замінюються зовнішніми IP-адресою і портом пристрою NAT.

Перетворений пакет пересилається по зовнішньої мережі і в підсумку потрапляє на заданий сервер. Отримавши пакет, сервер буде направляти відповідні пакети на зовнішній IP-адреса і порт пристрою NAT (маршрутизатора), вказуючи в полях джерела свої власні IP-адреса і порт.

Пристрій NAT приймає ці пакети від сервера і аналізує їх вміст на основі своєї таблиці зіставлення портів. Якщо в таблиці буде знайдено зіставлення порту, для якого IP-адреса джерела, порт джерела, порт призначення і мережевий протокол з вхідного пакету збігаються з IP-адресою віддаленого вузла, віддаленим портом і мережевим протоколом, зазначеним в зіставленні портів, то NAT виконає зворотне перетворення : замінить зовнішній IP-адреса і зовнішній порт в полях призначення пакета на IP-адресу і внутрішній порт клієнта внутрішньої мережі. Однак якщо в таблиці зіставлення портів чи не знаходиться відповідності, то входить пакет відкидається і з'єднання розривається.

У деяких маршрутизаторах можливе відключення NAT-протоколу. Однак є моделі, де NAT-протокол активований і відключити його неможливо. При цьому важливо, щоб маршрутизатор міг частково обійти обмеження NAT-протоколу. Справа в тому, що не всі мережеві додатки користуються протоколами, здатними взаємодіяти з NAT. Тому все маршрутизатори мають функції, що дозволяють накласти обмеження на використання протоколу NAT. Сервер, який встановлюється у внутрішній мережі і є прозорим для протоколу NAT, називають віртуальним сервером (Virtual Server). Прозорим для протоколу NAT може бути не весь сервер, а лише певні додатки, що запускаються на ньому. Для того щоб реалізувати віртуальний сервер у внутрішній мережі, на маршрутизаторі використовується технологія перенаправлення портів.

Перенаправлення портів (Port mapping)

ля того щоб зробити доступними із зовнішньої мережі програми, внаслідок чого запускаються на сервері у внутрішній мережі (наприклад, Web-сервер або ftp-сервер), в маршрутизаторі необхідно задати відповідність між портами, використовуваними певними додатками, і IP-адресами тих віртуальних серверів внутрішньої мережі , на яких ці програми працюють. У цьому випадку говорять про перенаправлення портів (Port mapping). В результаті будь-який запит з зовнішньої мережі на IP-адресу WAN-порту маршрутизатора (але не віртуального сервера) через порт, буде автоматично перенаправлений на вказаний віртуальний сервер.

Існує кілька способів конфігурації віртуального сервера. У найпростішому випадка задається статичне перенаправлення портів, тобто IP-адреси віртуального сервера, дозволений порт Додатки на цьом віртуальному сервері (Private Port) и порт запиту (Public Port). Якщо, наприклад, відкритий доступ до Web-серверу (порт 80), розташованому у внутрішній мережі з IP-адресою 192.168.1.10, то при зверненні із зовнішньої мережі за адресою 10.0.0.254 (адреса WAN-порту) по 80-му порту цей пакет буде перенаправлений маршрутизатором на Web-сервер. Якщо ж відбувається звернення за тією ж адресою, але по 21-му порту, то такий пакет буде відкинутий маршрутизатором.

Маршрутизатор дозволяють створювати кілька статичних перенаправлень портів. Так, на одному віртуальному сервері можна відкрити відразу декілька портів або створити кілька віртуальних серверів з різними IP-адресами. Однак при статичному перенаправлення портів можна перенаправляти один порт на кілька IP-адрес, тобто порт може відповідати тільки одному IP-адресою. Таким чином, неможливо, наприклад, конфігурувати кілька Web-серверів з різними IP-адресами - для цього доведеться міняти порт Web-сервера за замовчуванням і при зверненні по 80-му порту в налаштуванні маршрутизатора як Private Port вказувати змінений порт Web-сервера.

Більшість моделей маршрутизаторів дозволяють також задавати статичну перенаправлення групи портів, тобто ставити у відповідність IP-адресою віртуального сервера відразу групу портів. Така можливість корисна в тому випадку, якщо необхідно забезпечити роботу додатків, що використовують велику кількість портів, наприклад ігор або аудіо / відеоконференцій. Кількість перенаправляє груп портів в різних моделях маршрутизаторів різному, але, як правило, їх не менше десяти.

Статична перенаправлення портів дозволяє лише частково вирішити проблему доступу з зовнішньої мережі до сервісів локальної мережі, що захищається NAT-пристроєм. Однак існує і зворотна задача - забезпечити користувачам локальної мережі доступ в зовнішню мережу через NAT-пристрій. Справа в тому, що деякі програми (наприклад, Інтернет-ігри, відеоконференції, Інтернет-телефонія та інші, що вимагають одночасного встановлення безлічі сесій) не сумісні з NAT-технологією. Для того щоб вирішити цю проблему, використовується так зване динамічне перенаправлення портів, яке задається на рівні окремих мережевих додатків.

У разі якщо маршрутизатор підтримує дану функцію, необхідно задати номер внутрішнього порту (або інтервал портів), пов'язаний з конкретним додатком (як правило, його позначають Trigger Port), і номер зовнішнього порту (Public Port), який буде зіставлятися з внутрішнім портом.

При активації динамічного перенаправлення портів маршрутизатор стежить за вихідний трафік з внутрішньої мережі і запам'ятовує IP-адреса комп'ютера, від якого цей трафік виходить. При надходженні даних назад в локальний сегмент включається перенаправлення портів, і дані пропускаються всередину. По завершенні передачі перенаправлення відключається, внаслідок чого будь-який інший комп'ютер може створити нове перенаправлення вже на свій IP-адресу.

Динамічне перенаправлення портів використовується в основному для служб, які передбачають короткочасні запити і передачу даних, оскільки якщо один комп'ютер застосовує перенаправлення даного порту, то інший в цей же час перенаправлення того ж самого порту використовувати не може. Якщо потрібно налаштувати роботу додатків, яким необхідний постійний потік даних і які займають порт на тривалий час, то динамічне перенаправлення допомагає мало. Однак і в цьому випадку можливе вирішення проблеми, що полягає в використанні демілітаризованої зони.

DMZ-зона

емілітарізованная зона (DMZ-зона) - це ще один спосіб перенаправлення портів. Дану можливість надає більшість сучасних маршрутизаторів. При розміщенні в зоні DMZ комп'ютера внутрішньої локальної мережі він стає прозорим для протоколу NAT. Фактично це означає, що комп'ютер внутрішньої мережі віртуально розташовується до брандмауера. Для ПК, що знаходиться в DMZ-зоні, здійснюється перенаправлення всіх портів на один внутрішній IP-адреса, що дозволяє організувати передачу даних з зовнішньої мережі у внутрішню.

Якщо, наприклад, сервер з IP-адресою 192.168.1.10, що знаходиться у внутрішній локальній мережі, розміщений в DMZ-зоні, а сама локальна мережа захищена NAT-пристроєм, то які надійшли від зовнішньої мережі за адресою WAN-порту маршрутизатора запит буде переадресовано за будь-якого порту на IP-адреса 192.168.1.10, тобто на адресу віртуального сервера в DMZ-зоні.

методи аутентифікації

Нині існує безліч технологій аутентифікації користувачів, підтримуваних маршрутизаторами. Втім, якщо говорити про комутатори класу SOHO, то найбільш поширеними методами аутентифікації є наступні:

• використання пароля та імені користувача;

• застосування MAC-адреси;

• використання протоколу PPPoE.

Використання пароля та імені користувача типово для комутованих з'єднань, коли маршрутизатор має додатковий послідовний порт для підключення аналогового модему. У цьому випадку, як і при традиційній налаштування віддаленого з'єднання з застосуванням аналогового модему, в маршрутизаторі при конфігурації послідовного порту вказуються номер телефону провайдера, ім'я користувача і пароль.

Використання аутентифікації по MAC-адресу зустрічається досить рідко і має на увазі прив'язку з'єднання до MAC-адресу маршрутизатора. Сенс даної технології досить простий: кожна мережеве пристрій має свій унікальний MAC-адресу довжиною 6 байт, або 12 шістнадцяткових цифр. Справжність користувача перевіряється провайдером з використанням запиту MAC-адреси маршрутизатора.

Аутентифікація по MAC-адресу має один підводний камінь: при підключенні модему до нового маршрутизатора або до комп'ютера з'єднання перестає працювати. Для того щоб цього не відбувалося, багато моделей маршрутизаторів дозволяють задавати зовнішній MAC-адресу.

Використання протоколу PPPoE (Point-to-Point Protocol over Ethernet) для аутентифікації користувачів підтримується практично всіма моделями сучасних маршрутизаторів. Цей протокол є розширенням протоколу PPP, який був спеціально розроблений для застосування протоколу TCP / IP в послідовних з'єднаннях, до яких відносяться комутовані з'єднання. Фактично, даний протокол пропонує механізм інкапсуляції TCP-пакетів для їх передачі по послідовним з'єднанням. Наприклад, протокол PPP використовується для організації комутованого доступу в Інтернет.

PPPoE (як і PPP) не є протоколом аутентифікації в чистому вигляді, проте механізм аутентифікації можна розглядати в якості складової частини цього протоколу. При аутентифікації по протоколу PPPoE потрібно вказати ім'я та пароль.

DHCP-сервер

юбой сучасний маршрутизатор не тільки може бути DHCP-клієнтом, а й може мати вбудований DHCP-сервер, що дозволяє автоматично привласнювати IP-адреси всіх клієнтів внутрішньої мережі. В налаштуваннях DHCP-сервера, як правило, вказуються початок і кінець діапазону виділяються IP-адрес. Крім того, іноді в заданому діапазоні можна вказати IP-адреси, які не будуть динамічно присвоюватися клієнтам.

Віртуальні мережі VPN

ольшинство маршрутизаторів в тій чи іншій мірі підтримують можливість створення віртуальних приватних мереж (Virtual Private Networking, VPN), що дозволяє організовувати захищене з'єднання з локальною (внутрішньої) мережею ззовні.

Для створення VPN-мереж, як правило, використовуються три протоколи: наскрізний тунельний протокол (Point-to-Point Tunneling Protocol, PPTP), протокол IPsec і тунельний протокол другого рівня (Layer 2 Tunneling Protocol, L2TP).

PPTP

Наскрізний тунельний протокол, створений корпорацією Microsoft, ніяк не змінює протокол PPP, але надає для нього новий транспортний засіб.

PPTP визначає протокол управління викликами, який дозволяє серверу керувати віддаленим комутованим доступом через телефонні мережі загального користування (PSTN) або цифрові канали (ISDN) або форматувати вихідні комутовані з'єднання. PPTP використовує механізм загальної маршрутної інкапсуляції (GRE) для передачі пакетів PPP, забезпечуючи при цьому контроль потоків і мережевих заторів. Безпека даних в PPTP може забезпечуватися за допомогою протоколу IPsec.

L2TP

Тунельний протокол другого рівня - це свого роду об'єднання протоколу PPTP і протоколу естафетної передачі на другому рівні (Layer 2 Forwarding, L2F), розробленого компанією Cisco. Протокол L2F забезпечує туннелирование протоколів канального рівня з використанням протоколів більш високого рівня, наприклад IP.

Протоколи L2F і PPTP мають подібну функціональність, тому компанії Cisco і Microsoft вирішили спільно розробити єдиний стандартний протокол, який і отримав назву тунельного протоколу другого рівня.

IPsec

IPsec - це протокол захисту мережевого трафіку шляхом використання алгоритмів шифрування на IP-рівні. Даний протокол передбачає два режими функціонування: транспортний і тунельний. У транспортному режимі протокол IPsec застосовується до вмісту IP-пакетів, при цьому їх вихідні заголовки залишаються видимими. Тунельний режим инкапсулирует вихідні IP-пакети в IPsec-пакети з новими заголовками IP і дозволяє ефективно приховувати вихідні IP-пакети.

Режими функціонування VPN

Існує два режими функціонування VPN: наскрізний (Pass Through) і активний. У першому випадку маршрутизатор без втручання передає вхідний і вихідний VPN-трафики, пропускаючи через себе інкапсульовані пакети даних без перегляду їх вмісту. Якщо маршрутизатор підтримує режим VPN Pass Through, то необхідно лише налаштувати з'єднання на VPN-клієнтів (комп'ютери у внутрішній мережі) таким чином, щоб клієнти з внутрішньої мережі могли вільно підключатися до сервера VPN зовні. Однак при спільному використанні NAT- і VPN-тунелів можуть виникати проблеми.

В активному режимі маршрутизатор виступає в ролі сервера і може встановлювати VPN-з'єднання з вузлом локальної мережі, з іншими шлюзами і маршрутизаторами або ж в обох напрямках.

Висновок

даній статті ми розглянули лише найпоширеніші функції сучасних маршрутизаторів класу SOHO. Багато моделей маршрутизаторів підтримують і інші функції, які, незважаючи на різні назви, мають одні і ті ж призначення. Наприклад, це можуть бути можливість блокування певних URL, заборона відгуку на сканування командою рing, переклад маршрутизатора в режим Stealth, при якому він стає невидимим із зовнішньої мережі, і багато іншого.

При правильному налаштуванні маршрутизатор цілком здатний здійснювати надійний захист внутрішньої мережі. До того ж його застосування економічно більш вигідно, ніж використання в якості маршрутизатора ПК (якщо, звичайно, враховувати ціни необхідного ПО).

КомпьютерПресс 10'2004