У нас очень часто спрашивают какой выбрать маршрутизатор для организации небольшой локальной сети дома. В помощь нашим клиентам – небольшой обзор недорогих роутеров.

Список оборудования:

• ASUS SL500
• D-Link DI-604
• Gigabyte GN-B49G
• D-Link DI-804HV
• D-Link DI-824VUP+
• TRENDnet TW100-BRV304

Сетевые устройства, представленные на нашем рынке, разнообразны и многочисленны. Не всегда даже понятно, для чего именно предназначена та или иная из умных железок. Сегодня мы будем рассматривать маршрутизаторы для построения SOHO (Small Office/Home Office) сети. Такое устройство весьма полезно, если имеется более одного электронного питомца, жаждущего попасть во всемирную сеть Интернет.

Мы рассмотрели только роутеры начального класса, стоимостью до $150, ориентируясь в основном на потребительские особенности устройств. Сознательно оставив за кадром их реальную производительность и дополнительные возможности, указанные в документации, мы сосредоточились на простоте подключения и безопасности, важных факторах при быстром развертывании сети.

Роутер или маршрутизатор – это устройство, предназначенное для соединения сетей и передающее пакеты из одной сети в другую. Роутер сам выбирает, по какому пути должна пойти информация (кому она предназначена). Чтобы роутер смог выбрать, откуда и куда должен пойти пакет с данными, используется информация об адресации в сети (ведь эти параметры четко определены и маршрутизатор знает к какому порту какая сеть подключена).

Удобной функцией практически всех современных роутеров является поддержка Wi-Fi сети и способность подключаться к Интернету, минуя настольный компьютер (через встроенный порт для WAN или COM-порт для Dial-Up модема), то есть производители максимально позаботились об удобстве использования своих детищ. Давай разберем некоторые особенности этих умных устройств, и посмотрим, что же может нам предложить эта маленькая коробочка.

NAT

Если для выхода в Интернет выделен только один IP-адрес для нескольких устройств, то чтобы какое-либо устройство с внутренним IP получило доступ к внешней сети, нужно в пакете данных изменить существующий адрес и послать его в WAN уже с внешним IP, а потом, когда придет ответ, проделать обратную операцию. Для выполнения указанных операций как раз и предназначен NAT (Network Address Translation – трансляция сетевых адресов), причем эта функция реализована аппаратно, поэтому скорость трансляции достаточно высокая (сопоставима с пропускной способностью сети).

Firewall

Предназначен для предотвращения несанкционированного доступа из внешней сети (проще говоря – защита от взлома), реализованы эти функции могут быть как на аппаратном, так и на программном уровне (но чаще встречается гибрид этих двух типов). В каждом представленном сегодня роутере присутствует модуль файрвола, причем у большинства из них есть возможности фильтрации соединений и URL.

VPN

Виртуальная частная сеть (Virtual Private Network) обеспечивает защищенное «приватное» соединение через общедоступные сети (Интернет). Защита обычно строится на использовании комбинации из шифрования, цифровых сертификатов, аутентификации пользователя и контроле доступа. Как ты понимаешь, все это призвано обеспечить безопасность передаваемых данных. PPPoE (Point-to-Point over Ethernet – точка-точка через Ethernet), один из протоколов, на базе которого может быть реализован VPN-канал.

DHCP

Протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol) обеспечивает автоматическое назначение адресов IP, маски подсети, DNS (и некоторых других параметров) каждому подключившемуся к локальной сети устройству.

SNMP

Административный протокол для управления сетью (Simple Network Management Protocol – простой протокол сетевого управления), входит в стек TCP/IP.

Wi-Fi

В некоторых из протестированных маршрутизаторов встроен модуль, обеспечивающий беспроводное подключение к сети посредством радиоволн.

Порты LAN (RJ-45)

У каждого представленного роутера однотипный набор портов для подключения к локальным/глобальной сетям, у всех моделей присутствует один WAN–порт (WAN – Wide Area Network), через который можно соединиться с Интернетом (обычно используя кабельный, ISDN или xDSL модем) и четыре порта для подключения локальных сетей. Также может иметься дополнительный порт для подключения консоли (как у модели ASUS SL500).

Поддержка Wi-Fi

Здесь указывается возможность работы роутера в беспроводных сетях и поддерживаемые стандарты передачи данных.

Другие порты

У некоторых маршрутизаторов есть дополнительные разъемы для подключения различных устройств. Например, у D-Link DI-824VUP+ в наличии имеется COM-порт (для подключения Dial-Up модема и создания резервного канала в Интернет) и LPT/USB (для подключения принтера и создания принт-сервера).

Стойкость к атакам (типы). Для обеспечения большей отказоустойчивости некоторые производители встраивают в роутеры детекторы атак. Если активировать модуль дополнительной защиты, то вероятность того, что DoS или flood негативно повлияют на твою сетку, сводится к минимуму.

Маршрутизируемые протоколы

Маршрутизатор обеспечивает передачу данных посредством основных протоколов (TCP, UDP), однако в некоторых случаях могут потребоваться дополнительные функции роутера (допустим, нужно обеспечить динамический DNS), тогда стоит обратить внимание на модель, поддерживающую нужную спецификацию.

Определение типа кабеля

Простая и в тоже время полезная функция, которая обеспечивает автоматическое определение типа подключенного кабеля витой пары (cross-over или нет).

Количество туннелей

Создание большого количества туннелей требует значительных вычислительных мощностей, поэтому каждое устройство ограничено в своих возможностях. Здесь указывается цифра, которая говорит о максимально возможном числе туннелей.

Шифрование

Шифрование применяется для обеспечения защищенных каналов, поддерживаемые алгоритмы криптования данных (и их разрядность) являются показателем стойкости приватной сети.

Особенности моделей

ASUS

SPI (Stateful Packet Inspection) – обеспечивает просмотр заголовка пакета, который поступает во внутреннюю сеть, прежде чем его пропустить. ACL (Access Control List) – создавая список контроля доступа, можно назначить права доступа к Интернету для каждого пользователя. Hardware DES, MD5, SHA-1 – на аппаратном уровне происходит шифрование данных, генерация хэшей, что обеспечивает более высокую производительность. Конфигурирование через порт консоли – используя встроенный порт RS-232, можно управлять сервером, также обеспечивается telnet-контроль.

D-Link

Тридцатидвухбитные процессоры RISC вкупе с немалым количеством оперативной памяти позволяют без задержек обрабатывать пакеты данных даже при шифровании 3DES. Перенаправление портов позволяет организовать совместный доступ к сервисам многопользовательских систем (например, игрового сервера) с одного IP-адреса. DMZ (DeMilitarized Zone), которую можно создать на любом порту маршрутизатора, применяется для обеспечения полного внешнего доступа, сохраняя при этом безопасность внутренней сети. Dial-On-Demand – звонок по запросу, функция, которая реализует автоматическое подсоединение через Dial-Up-модем при запросе из внутренней сети. Стандарт AirPlus G+ при использовании с другими аналогичными устройствами обеспечивает скорость передачи данных в беспроводной сети типа «B» в несколько раз выше стандартной.

Gigabyte

Технология Super G создает высокоскоростное соединение для беспроводной сети (до 108 Мбит/сек). Smart Detection – определяет наличие и тип интернет-соединения в автоматическом режиме. Extended Distribution Wireless System – расширенная система распределения работы между точками доступа.

TRENDnet

Поддержка множества стандартных и добавляемых приложений обеспечивает большую безопасность вместе с простотой управления.

Методика тестирования

• Подключение маршрутизаторов к локальной сети, их предварительное конфигурирование и создание интернет-подключения.
• Соединение одного из портов LAN со стационарным компьютером.
• На компьютере запускался сканнер безопасности Tenable NeWT Security Scanner (Nessus security scanner) с параметрами сканирования «Enble all but dangerous plugins» тестируемый роутер указывался как конечный хост для сканирования.
• Генерируемый программой отчет изучался на предмет обнаруженных уязвимостей.

ASUS SL500

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN, 1xConsole
• Поддержка Wi-Fi: отсутствует
• Другие порты: RS-232 (Console)
• Пропускная способность: VPN до 80 М; router 100 М; NAT 100 М
• Стойкость к атакам (типы): 29 DoS Protection
• Поддерживаемые протоколы: TCP, UDP, ICMP, ARP, SNTP, DDNS
• Дополнительные протоколы маршрутизации: AOL Messenger, ICQ
• Определение типа кабеля: N/A
• Количество туннелей: 5xVPN
• Шифрование: IPSec, аппаратный DES (56-bit) / 3DES (168-bit)
• Дополнительные функции: Static/Dynamic NAT, PAT, IKE, Virtual Server

Плюсы	Минусы
Приятный внешний вид.	Близко стоящие индикаторы мешают друг другу.
Набор индикаторов продуман и функционален – ничего лишнего.	На практике разъем консоли малофункционален.
Сами индикаторы яркие, так что их видно даже при сильном внешнем освещении.
Отдельный порт управления роутером из консоли (RJ-45) позволяет рулить сетью.
Различные варианты установки – корпус можно повесить на стену (в двух положениях) и поставить на столе (для чего имеются раскрывающиеся лапки).
Веб-интерфейс удобный и продуманный, все настройки можно легко найти и быстро исправить.
Мастер поможет за несколько простых шагов сконфигурировать маршрутизатор.
Есть возможность блокирования атакующего адреса.
Довольно много настроек безопасности и доступа на различных уровнях.
Файрвол может работать отдельно на входящие и исходящие пакеты, причем поддерживается URL-фильтрация.
Роутер можно подключать к xDSL модему (поддержка протокола PPPoE).

D-Link DI-604

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN
• Поддержка Wi-Fi: отсутствует
• Пропускная способность: 100 М в обычном режиме
• Стойкость к атакам (типы): Intrusion detection
• Поддерживаемые протоколы: TCP, UDP, ICMP, ARP, SNTP, SMTP, ICP, TFTP
• Определение типа кабеля: есть
• Количество туннелей: 20xVPN
• Шифрование: IPSec
• Дополнительные функции: автоматическое обучение MAC-адресам, auto uplink на любом порту, Virtual Server Mapping

Плюсы	Минусы
В веб-интерфейсе есть страничка помощи, где объясняются некоторые базовые понятия сети, а также привязанные к конкретному устройству настройки.	Лог, который записывает девайс, очень неинформативен, отображаются только события перезагрузки и подключения.
Мастер поможет быстро и легко обновить сетевые настройки.	Веб-интерфейс управления очень долго отвечает на запросы, особенно когда приходится изменять параметры маршрутизатора.
Есть логирование событий, с возможностью отправки на почту итогов.	Перенастроить пароль администратора так и не получилось, появлялось сообщение, что он неправильный. После долгих мучений оказалось, что webaccess не дружит с Оперой.
Возможно посмотреть статистику по посланным пакетам в/из WAN/LAN.	После изменения любой опции устройство должно перезагрузиться, чтобы настройки вступили в силу.
Комплект дополняют резиновые ножки для более устойчивой постановки корпуса.	Замечены зависания веб-интерфейса, причем это сказывается на общем функционировании маршрутизатора (без всяких атак происходит отказ в обслуживании).
Возможность вешать маршрутизатор на стену в любых положениях.

Gigabyte GN-B49G

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN
• Поддержка Wi-Fi: IEEE 802.11g
• Пропускная способность: 100 М обычный режим, до 108 М беспроводной режим
• Другие порты: нет
• Стойкость к атакам (типы): нет
• Поддерживаемые протоколы: TCP/IP, UDP, NAT, ICMP
• Дополнительные протоколы маршрутизации: нет
• Определение типа кабеля: есть
• Количество туннелей: нет
• Шифрование: до 152 бит WEP, IPSec
• Дополнительные функции: блок по URL, BackUp/Restore конфигурации

Плюсы	Минусы
При первом включении точки доступа пароль на веб-интерфейс отсутствует (это сделано для предварительного конфигурирования), а уже после указания соответствующих параметров включается password по умолчанию.	Индикаторная панель сделана таким образом, что при взгляде издали близстоящие светодиоды перекрывают друг друга.
Мастер поможет быстро и легко обновить сетевые настройки.	Веб-интерфейс заточен под Internet Explorer, поскольку в некоторых других браузерах не работают выпадающие списки меню.
Имеется возможность backup/restore конфигурации роутера на компьютер.
Веб-доступ предоставляет такую сетевую утилиту, как ping.
В комплекте обнаружился набор для крепления на стену.
Прилагающаяся подставка позволяет устанавливать корпус в вертикальном положении.
Новая прошивка добавляет функцию SmartSetupIII (упрощается установка и настройка сети).
Достаточно продуманный и удобный веб-интерфейс.
Настройки настолько просты, что запутаться в них сложно, и для развертывания сети понадобится всего несколько минут.
Съемная антенна.
Логирование ведется отдельно по сервисам Firewall, WAN Connection, UPnP.

D-Link DI-804HV

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN
• Поддержка Wi-Fi: нет
• Пропускная способность: 100 М в обычном режиме
• Другие порты: RS-232 (кабельный/ISDN модем)
• Стойкость к атакам (типы): Syn flood, ICMP flood, UDP flood, «ping of death», IP spoofing, land, tear drop IP-spoofing, Win Nuke
• Поддерживаемые протоколы: TCP, UDP, ICMP, ARP, SNTP, DDNS
• Дополнительные протоколы маршрутизации: N/A
• Определение типа кабеля: есть
• Количество туннелей: 40xVPN
• Шифрование: 56-бит (DES), 168-бит (3DES), IPSec
• Дополнительные функции: резервная связь по Dial-Up модему, удаленный доступ VPN: клиент-сервер/сервер-сервер

Плюсы	Минусы
Устройство является широкополосным VPN-роутером, поэтому в основном маршрутизатор предназначен для создания туннелей.	Для создания полноценного туннеля через Интернет потребуется второе такое же (или аналогичное устройство).
Маленький и удобный корпус можно разместить в любом месте, также присутствуют крепления для настенной установки роутера.	Настроенный по умолчанию маршрутизатор имеет две серьезных дыры в безопасности.
Информативная передняя панель расскажет о том, какие из портов подключены/активны, однако под большим углом индикаторов становится не видно.	В веб-интерфейсе присутствует пользователь «user», предназначение которого не совсем понятно – ему разрешается лишь просматривать настройки, а изменять их нельзя, также нельзя перенастроить права доступа.
Присутствует COM-порт для соединения с Dial-Up-модемом.
Возможно организовать до 40 защищенных туннелей IPSec.

D-Link DI-824VUP+

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN
• Поддержка Wi-Fi: IEEE 802.11g+
• Пропускная способность: 100 М в обычном режиме, до 54 Мбит/сек в беспроводном режиме
• Другие порты: RS-232 (DiaL-Up модем), LPT, USB 1.1
• Стойкость к атакам (типы): N/A
• Поддерживаемые протоколы: TCP, UDP, ICMP, ARP, SNTP, DDNS
• Дополнительные протоколы маршрутизации: N/A
• Определение типа кабеля: есть
• Количество туннелей: 40
• Шифрование: Null, DES, 3DES
• Дополнительные функции: работа в качестве принт-сервера, поддержка DMZ и виртуального сервера.

Плюсы	Минусы
Многофункциональное устройство, которое позволит быстро развернуть локальную сеть с выходом в Интернет даже на небольшой офис.	При настройке по умолчанию обнаружилось две серьезных уязвимости, связанных с протоколом TCP.
Роутер также является интернет-шлюзом с функцией файрвола.	Имеется всего одна маленькая антенна для работы в беспроводной сети.
Файрвол умеет фильтровать запросы по URL.
Имеется встроенная точка доступа беспроводной связи.
В беспроводных сетях поддерживается шифрование WEP вплоть до 256-бит, а также реализованы функции WEP-авторизации.
Встроенный принт-сервер поддерживает как USB, так и LPT-варианты печатающих устройств.
Комплектация порадовала своей насыщенностью, имеются даже шурупы для крепления на стену.
Диск, прилагающийся к маршрутизатору, содержит не только документацию, но еще и весьма полезную программу для принт-сервера.
Веб-интерфейс удобный и быстрый, каких-либо зависаний не обнаружилось (как у модели D-Link DI-604).
Роутер поддерживает подключение к Интернету через Dial-Up модем (для чего имеется COM-порт).
Возможность соединения с LAN xDSL модемом.
Роутер сможет подключиться к Интернету даже посредством GPRS, для этого нужно иметь всего лишь сотовый телефон и соответствующий шнур для COM-порта.

TRENDnet TW100-BRV304

Характеристики:

• Количество портов (RJ-45): 4xLAN, 1xWAN, 1xDMZ
• Поддержка Wi-Fi: нет/li>
• Пропускная способность: 100 М в обычном режиме
• Другие порты: нет
• Стойкость к атакам (типы): DOS
• Поддерживаемые протоколы: NAT, NTP, SNMP, SMTP, TFTP, TCP/IP, PAP, CHAP, DDNS
• Дополнительные протоколы маршрутизации: AOL Messenger, eDonkey/eMule, ICQ, MSN Messenger, NetMeeting + настраиваются вручную
• Определение типа кабеля: есть
• Количество туннелей: 70xVPN IPSec
• Шифрование: DES, 3DES
• Дополнительные функции: поддержка до 40 виртуальных серверов, поддержка UPnP

Плюсы	Минусы
Мощный (и тяжелый) металлический корпус защитит все внутренности роутера от случайных ударов и падений.	По умолчанию не требуется даже простого пароля для входа в систему.
Отдельный порт для DeMilitarized Zone позволяет использовать одновременно до четырех сетей для маршрутизирования совместно с поддержкой полного доступа от внешнего сервиса.	Reset слишком выдвинут наружу, так что при подсоединении кабеля WAN возможно случайно ребутнуть маршрутизатор.
Большой адаптер обеспечивает качественное питание от электрической сети.	Работа роутера вызывает значительный нагрев корпуса.
Очень простой и незамысловатый веб-интерфейс, но вместе с тем функциональность его достаточно высокая.
Подробный лог событий позволит определить, что произошло в отсутствие администратора.
На маршрутизатор можно закачивать файл конфигурации, который редактируется на компьютере (файл представляет собой обычный текстовый документ).
По результатам теста на безопасность этот роутер является самым отказоустойчивым.

Выводы

По результатам нашего небольшого тестирования выявились два устройства, которые лучше всего способны удовлетворить потребности SOHO сети. Мы выбрали TRENDnet TW100-BRV304 как самое простое и в то же время надежное устройство, позволяющее быстро развернуть малую сеть, и именно этот маршрутизатор получает «Лучшую покупку». Лавры же победителя достаются D-Link DI-824VUP+, ему мы отдаем «Выбор редакции». Этот роутер способен работать в беспроводных и проводных сетях, а также предоставляет богатые возможности по распределению и ограничению доступа и способен работать в качестве принт-сервера.

Источник: http://www.xard.ru