Cisco nabízí službami nadupané routery

Cisco využívá vysoký hrubý výkon k tomu, aby ve své řadě směrovačů ISR poskytlo mimo jiné firewall, VoIP nebo VPN...


Cisco využívá vysoký hrubý výkon k tomu, aby ve své řadě směrovačů ISR poskytlo
mimo jiné firewall, VoIP nebo VPN.
Paul Venezia Není tomu tak dávno, co býval směrovač pro malou firmu, který
obsluhoval jediný T1 spoj, touto úlohou více či méně plně vytížen. Přidání
softwarové podpory dalších funkcí, například VoIP nebo firewallu, nebylo příliš
praktické, zvážíme-li ceny CPU a RAM dostupnou pro tento druh zařízení.
Nyní je opak pravdou: SOBO (Small Office/Branch Office) routery mají spoustu
hrubého výkonu nazbyt. S tím, jak roste dostupnost výkonných embedded
platforem, klesají ceny a prostor poskytovaný výrobcům novými technologiemi
dovoluje spojit do jediného fyzického produktu služby, které dříve vyžadovaly
několik zařízení a pravděpodobně i několik serverů. Nová řada přístupových
routerů Cisca označovaných ISR (Integrated Services Routers) do seznamu
takových produktů dobře zapadá.

V laboratoři
Z řady Cisco ISR jsme měli možnost otestovat hned dva zástupce: modely 1811W a
2811. 1811W představuje směrovač s pevnou konfigurací, navržený prakticky
výhradně pro malou firmu. Nabízí připojení přes DSL nebo Ethernet, službu
firewallu, VPN tunneling, integrované bezdrátové schopnosti, integrovaný
ethernetový přepínač, a dokonce i volitelné PoE (Power over Ethernet) přepínané
porty pro VoIP telefony.
Naše testovací jednotka 1811W dorazila spolu s Wi-Fi AP (Access Point), dvěma
anténami a osmiportovým 10/100 ethernetovým přepínačem s funkcionalitou PoE v
kombinaci se samostatným přídavným napájecím zdrojem, integrovaným 56Kb/s
modemem, dvěma USB porty a dvěma dedikovanými 10/100 ethernetovými rozhraními.
Model 2811 tento koncept dále rozšiřuje tím, že poskytuje většinu výše
uvedených vlastností kromě funkce AP v modulárním 1U šasi a navrch přidává osm
přepínaných portů, schopnost obsluhy VoIP hovorů, voice mail (hlasovou poštu) a
až 16 FXS/FXO portů. Kromě čtyř WIC (WAN Interface Card) slotů a jednoho NM
(Network Module) slotu vzadu přišlo naše testovací zařízení 2811 se 16portovou
10/100 PoE blade kartou obsahující jeden port gigabitového Ethernetu, se
dvouportovou FXO (foreign exchange office) kartou pro POT připojení a se dvěma
vestavěnými 10/100 ethernetovými porty.

Software
Oba routery běží pod operačním systémem Cisco IOS (Internetwork Operating
System), poskytují důvěrně známé CLI (Command Line Interface) a těží z více než
20 let vývoje. Cisco má ve zvyku poskytovat správní GUI a konfigurační nástroje
pouze za příplatek, avšak v tomto případě je výrobce přidal jako součást
balíku. 1811W tak přichází spolu s javovou správní aplikací, spouštěnou z
webové session. Téměř všechny možnosti konfigurace dostupné pro tento router
jsou k dispozici rovněž přes toto rozhraní i spolu s několika pozoruhodnými
doplňky.
Grafické rozhraní nástroje SDM (Security Device Manager) podléhá rozmarům
nekompatibilních JRE (Java Runtime Engines). Měli jsme potíže jej spustit na
linuxové pracovní stanici s JRE 1.5, pracoval však dobře na PowerBooku s
platformou Mac OS a na pracovní stanici s Windows XP, na nichž běžely příslušné
verze JRE 1.4.
Uživatelské rozhraní SDM poněkud připomíná to z nástroje Cisco PIX PDM (PIX
Device Manager) a disponuje relativně dobře rozloženým, na rámcích založeným
konfiguračním dialogem. Jsou zde všechny základní konfigurační elementy od
základního rozhraní až po konfiguraci VPN. Navíc je dostupných několik
rozšíření, jako je vestavěný nástroj pro bezpečnostní reporting, který
vyhodnotí konfiguraci routeru a nabídne doporučení na změny, které by mohly
zlepšit zabezpečení. K dispozici jsou také reporty o využití sítě. Pro většinu
nasazení v rámci jediné kanceláře či firmy bude toto GUI vším, co bude potřeba;
firmy se nebudou muset vůbec trápit s CLI.

Telefonování s ISR
Model 2811 přichází spolu s webovým manažerem Cisco Unity Express, který
uživatelům poskytuje grafické rozhraní pro správu a konfiguraci jejich
telefonního přístupu. Tento model přichází rovněž s volitelnou zcela nezávislou
verzí CME (CallManager Express), což je podmnožina VoIP platformy CallManager,
vlajkové lodi Cisca. Ve správním GUI rozhraní CME jsme se nicméně setkali s
několika problémy. Jestliže CME od počátku nenakonfigurujete s jeho webovou
aplikací, je nepravděpodobné, že bude fungovat korektně. Ačkoliv konfigurace
přes CLI na routeru může být perfektně funkční, webové rozhraní CME se
nenatáhlo správně, dokud jsme konfiguraci neresetovali do defaultního stavu a
nezačali od začátku.
Pro naše testování jsme 2811 spolu s několika IP telefony Cisco nakonfigurovali
tak, aby podporovalo několik VoIP rozšíření, příchozí skupinová čísla (hunt
groups), hlasovou poštu a hlasem ovládané přesměrování hovorů. Tento router,
vyzbrojený odpovídajícími rozhraními, může fungovat také jako Wi-Fi AP, zatímco
zpracovává až 30 současných digitálních hovorů, maximálně 24 uživatelů a 50
schránek hlasové pošty. Na router jde o docela dobrý trik.

Skutečný svět
Výhodou pojetí ISR je, že všechny zmíněné funkce dostanete za atraktivní cenu.
S menším počtem zařízení ve vaší síťové skříni budete mít také menší náklady
spojené se správou a s kontrakty pro podporu.
Nevýhodou však je, že porucha zařízení na nižší úrovni například vyhořelý
napájecí zdroj může všechno, od telefonu až po celou síť, vyřadit z provozu.
Dalším problémem je, že neadekvátní přidělení bezpečnostních oprávnění na
takovém integrálním zařízení může vyústit v situaci, kdy útočník získá plnou
kontrolu nad celou infrastrukturou firmy pomocí jediného úspěšného útoku. Navíc
na podporu Wi-Fi v 1811W může být ve skutečnosti nahlíženo jako na nevýhodu
vzhledem k tomu, že je tuto funkci nemožné fyzicky vyřadit z provozu.
Neautorizované zprovoznění Wi-Fi přístupu by mohlo způsobit problém, který by
mohl zůstat po docela dlouhou dobu nedetekován.
Odhlédneme-li o těchto námitek, lze říci, že routery 1811W a 2811 velmi dobře
reprezentují koncept ISR. Ten přitom už dávno není pouhým výstřelkem je to
další krok v evoluci síťové infrastruktury.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.