Dvojnásobný broadband - dvojnásobná rychlost

Vzhledem k tomu, že přibývá zákazníků se širokopásmovým připojením, je možné, že máte přístup k několika WA...


Vzhledem k tomu, že přibývá zákazníků se širokopásmovým připojením, je možné,
že máte přístup k několika WAN připojením (ADSL, kabel, satelit nebo všechny
tři současně). Pro malé firmy nebo ty, kdo vyžadují redundantní připojení k
internetu a vyšší rychlost, nabízejí výrobci duální WAN směrovače, jež umožňují
kombinovat dvě širokopásmová připojení na jedné síti.
V přehledu tří zařízení s podporou duálního Wan připojení se střetly produkty
ZyWall 70 od firmy Zyxel Communications, TZ 170 od SonicWallu a FortiGate-60
firmy Fortinet. Při jejich testování se naši kolegové z amerického
NetworkWorldu zaměřili na jejich schopnost řídit WAN připojení a další funkce.

Jak si vybrat funkce
Mnohé ze směrovačů podporují:
vyvažování zátěže (load ballancing) u odchozího připojení
vyvažování zátěže u příchozího připojení (levná zařízení nabízejí pouze load
ballancing pro odchozí provoz)
QoS
VPN
DMZ (demilitarizovaná zóna)
antivirové filtrování obsahu (příchozí i odchozí provoz) a e-mailů (alespoň
příchozích)
IDS (detekce narušení)
filtrování webového obsahu
Routery se obecně liší rychlostí procesoru a velikostí RAM, která obvykle
odpovídá počtu současně podporovaných VPN připojení. Jelikož počty těchto
připojení se u všech produktů počítají v tisících, ani středně velké sítě by
neměly pociťovat omezení. Nicméně počet VPN spojení je obvykle omezen serverem,
takže pečlivě zkontrolujte, zda skutečně tolik VPN klientů potřebujete.
Vyvažování zátěže (load ballancing) příchozího provozu je užitečné, pokud
kombinujete dvojici WAN připojení se stejnou rychlostí, jako jsou dvě přípojky
například přes kabelový modem.
Jedno varování platí pro všechny systémy s duální WAN přípojkou: musíte být
schopni směrovat veškerý odchozí SMTP provoz přes příslušné WAN připojení.
Většina ISP odmítá veškerou poštu, která nepochází z jejich sítě, takže
směrování odchozích e-mailů na nesprávnou WAN přípojku končí chybou. Tento
problém lze eliminovat pomocí interního poštovního serveru připojeného do DMZ
nebo posíláním e-mailů přes webhostingovou službu místo ISP.

Jak jsme testovali
Testovací laboratoř byla pro testování routerů pro segment malých firem a
kanceláří vybavena sedmi klientskými počítači s operačními systémy od Windows
98 přes Windows XP až po Linux.
Každý z používaných systémů využíval jednak rychlé širokopásmové kabelové
připojení přes WAN1 a jednak pomalejší DSL spojení přes WAN2. Při běžných
internetových činnostech jsme odpojili kabelový modem, abychom směrovače
donutili přepnout veškerý provoz na záložní DSL spoj.
Testovali jsme také další funkce, jako je podpora vyvažování zátěže (load
ballancing), možnosti zabezpečení, zabývali jsme se rovněž časem nutným pro
instalaci a nastavení, možnostmi monitorování či kvalitou dokumentace.

SonicWall TZ 170
Během našich testů se v novém firmwaru tohoto produktu objevila podpora
vyvažování zátěže pro příchozí provoz. Pro podporu duálního WAN připojení je
nicméně třeba zakoupit rozšířenou verzi operačního systému. Celá výrobní řada
TZ 170 vypadá stejně, takže podle vzhledu nelze podporované funkce rozpoznat.
Instalace a nastavení routeru nám zabraly nějakou dobu. Na rozdíl od ostatních
testovaných zařízení TZ 170 ve výchozí konfiguraci nepovoluje DHCP (Dynamic
Host Configuration Protocol) server. Je proto nutné změnit adresu počítače tak,
aby odpovídala výchozím nastavením sítě u zařízení TZ 170, poté nastavit rozsah
DHCP adres a provést další počáteční konfiguraci pomocí atraktivního průvodce.
Po rebootování a dlouhém přemýšlení jsme zjistili, že nastavení rozsahu DHCP
adres nezapne DHCP server, a museli jsme jej proto zapnout ručně. Příručka pro
rychlou instalaci obsahuje devět hustě popsaných stran, takže o nějaké "rychlé"
instalaci lze mluvit jen stěží.
Jelikož rozšířená podpora duálního WAN připojení je realizována pouze
softwarově, nenajdete na zařízení žádný WAN2 konektor. Pro druhou WAN přípojku
však lze využít ethernetový konektor označený jako OPT, protože každý z pětice
na šasi přítomných 10/100Base-T portů může být nastaven jako DMZ. Nástroj pro
správu komunikující přes webové rozhraní nabízí nalevo řadu nabídek, nicméně
napravo nejsou žádné záložky. Místo nich se objeví řada ikon, které otevírají
menší okna pro další nastavení nebo nápovědu. Vypadá to trošku zmateně, ale
přechod k podrobnějším možnostem nastavení je snadný. K dispozici je rovněž
několik průvodců pro úkoly, jako je konfigurace VPN, přístup k serverům v DMZ
apod.
Dobrou zprávou je, že nastavení firewallu je u tohoto produktu velmi
flexibilní. A teď "špatná" zpráva: nastavení je tolik, že většina uživatelů z
řad malých firem bude potřebovat podporu ze strany prodejce. Zatímco například
u zařízení ZyWall lze nastavovat 44 služeb pomocí rozbalovací nabídky, v
případě TZ 170 jich je k dispozici 140. SonicWall využívá pro nastavení
jednotlivé zóny sítě, které obsahují několik obrazovek s tabulkami, jež
popisují vztah těchto zón (např. WAN-to-LAN) a která z pravidel firewallu,
směrování nebo překladu adres se uplatňují pro určitá připojení. Využít lze
dokonce až pěti různých skupin uživatelů. Jen málo malých či středních firem
bude schopno toto nastavit bez pomoci technické podpory, posléze ale získají
vynikající ochranu.
Duální WAN připojení fungovalo u TZ 170 dobře. Na rozdíl od všech ostatních
zařízení byl tento produkt schopen pokračovat ve streamování audio souborů,
pokud jsme odpojili kabelový modem, a donutili jej tak přepnout na DSL
přípojku. Po opětovném připojení tento router znovu přepnul na nejrychlejší
připojení, aniž by došlo k jakémukoliv přerušení.
Možností zabezpečení je u SonicWallu nespočet, ale při nákupu pečlivě
vybírejte. Například lze zakoupit síťový a serverový antivirus. Počítače,
respektive uživatelé se počítají podle aktivních IP adres na síti, nikoliv
podle počtu současných uživatelů routeru, takže je možné, že budete potřebovat
více licencí, než byste předpokládali.
K nastavení směrování SMTP provozu stačilo jen několik kliknutí myší. Pomocí
pěti rozbalovacích nabídek jsme zvolili zdroj (LAN), cíl (libovolný), službu
(odesílání pošty přes SMTP), bránu (primární IP směrovače) a rozhraní (WAN).
Jakmile jsme se dostali z počátečního šoku nad množstvím dostupných voleb,
vytvoření pravidel bylo jednoduché a mohli jsme nastavení vyladit přesně tak,
jak jsme potřebovali.
I když je poněkud obtížné zvolit při nákupu ty správné volitelné možnosti a
poté nastavit DHCP, po zprovoznění nabízí produkt SonicWall celou řadu
předdefinovaných nastavení firewallu a další možností, a je jediným, který je
schopen pomocí funkce failover udržet nepřetržitý tok streamovaného audia.

Zyxel ZyWall 70
Tento produkt je popisován jako zařízení pro zabezpečení připojení k internetu,
čímž se zdůrazňuje, že kromě směrování nabízí i další funkce. Instalace
vyžaduje nabootování klientských počítačů, který tak nastaví svou IP adresu z
DHCP serveru produktu ZyWall 70, a pak lze začít s nastavováním. Jednotlivé
obrazovky jsou přehledné a dobře rozvržené, s nabídkou dole vlevo a záložkami,
které se jasně zobrazují na aktivní stránce. Manuál v elektronické podobě je
dlouhý (713 stran), nicméně stovky stránek jsou věnovány konzolovému připojení,
poněkud zastaralému a nepohodlnému terminálovému rozhraní a syntaxi
jednotlivých příkazů.
Zyxel sice umožňuje nastavení DMZ, ale není pro ni k dispozici samostatný
ethernetový port. Provoz pro každou z demilitarizovaných zón je oddělen pomocí
IP adres. Přestože to funguje, dali bychom vždy přednost samostatnému portu, a
předešli tak zmatkům a problémům s nastavováním jednotlivých portů. Výchozí
pravidla povolují provoz mezi DMZ a WAN v obou směrech, zatímco z LAN do DMZ je
povolen pouze odchozí provoz. Provoz z DMZ do LAN je zablokován, pokud
nenastavíte pravidla pro povolení přístupu, nastavení se tedy chová dle našeho
očekávání.
Správa zařízení ZyWall 70 je jednoduchá díky přehlednému webovému rozhraní. Na
úvodní stránce je zobrazen stav každého připojení (LAN, WAN, bezdrátová LAN a
DMZ) a tlačítka pro zobrazení statistik, tabulky DHCP nebo stavu VPN.
Mezi bezpečnostní funkce patří firewall, kontrola certifikátů (důvěryhodné
certifikační autority a důvěryhodné vzdálené počítače), podpora RADIUS serveru
a kompletní filtrování obsahu. Firewall využívá stavovou kontrolu paketů a
chrání proti DoS útokům (Denial of Service). Vytváření pravidel je u tohoto
routeru snadnou záležitosí, k dispozici jsou zaškrtávací políčka a 44 předem
definovaných služeb. Pravidla firewallu lze nastavovat i pro určité časové
období daného dne, takže zabezpečení máte skutečně pod kontrolou.
K dispozici je i správa šířky pásma, s jejíž pomocí lze definovat třídy provozu
a těm přiřazovat příslušnou šířku pásma (např. pro VoIP nebo video). Plánovač
(scheduler) na bázi prioritizace služeb přiděluje dodatečné pásmo pro nastavené
služby, jako je VoIP, zatímco pravidla pro řízení provozu jsou aplikována i
mezi jednotlivými třídami služeb navzájem a lze je snadno nastavit pomocí myši.
Vytvoření symetrických nebo asymetrických WAN spojů je tedy jednoduché.
Instalace produktu je také bezproblémová a nabízí velkou míru pružnosti díky
čtveřici DMZ portů, dále možnosti detailního nastavení firewallu a také
volitelné bezdrátové připojení. Přesměrování určitého provozu, jako je např.
SMTP, na určitý WAN port vyžaduje nastavovaní přes telnet pomocí konzole.

Fortinet FortiGate-60
FortiGate-60 je dalším zařízením se standardní čtveřicí 10/100Base-T portů pro
lokální připojení, dvojicí WAN portů, a dokonce i portem pro DMZ. Tento produkt
vedle mnoha kladů bohužel disponuje i ostře kontrastujícími negativními
stránkami. Jedná se také o jediné z testovaných zařízení, které má k dispozici
USB port pro záložní připojení přes USB modem; ZyWall toto připojení realizuje
přes sériový port.
Průvodce pro rychlé nastavení tohoto routeru je oboustranně potištěným listem
papíru. Nastavení vyžaduje sice údajně Internet Explorer, ale prohlížeč Mozilla
Firefox až na několik drobných problémů se zobrazením fungoval také. Je však
nutné použít zabezpečené připojení přes HTTPS.
Obrazovka pro správu využívá nabídku umístěnou vlevo a dále příslušné
podnabídky a záložky. Po provedení počátečních nastavení jsme zjistili, že i
když jsme podle návodu měli zadat DNS servery příslušného ISP a ty by zařízení
mělo předávat klientským počítačům, tato funkce fungovala nespolehlivě, a
klienti tak nebyli schopni rozpoznávat internetové adresy. Pouze poté, co jsme
uložili adresy DNS serverů hluboko v zákoutích nastavení (System DHCP Server
Scope Wizard Modify), jsme mohli zaručit, že každý z klientů bude schopen
zjistit příslušné DNS servery, nutné pro připojení k internetu.
Konfigurační obrazovka nenabízí žádné statistiky, takže nemáte přehled o výkonu
WAN připojení. Můžete sice zjistit, zda je připojení navázáno, ale samotný
provoz naznačují pouze blikající diody na zařízení. Co je horší, přes
sekundární WAN spoj se provoz nedostane z lokální sítě na internet, dokud
neprovedete nastavení speciálních pravidel na firewallu. Bez tohoto kroku
(který ostatní produkty nevyžadují) není podpora funkce failover prostě
dostupná.
Po nastavení pravidel firewallu a položky Distance Parameter, která systém
informuje o preferované cestě, začne failover rychle a spolehlivě fungovat.
Na rozdíl od pokynů v příručce je nutné pro failover cestu (v našem případě
WAN2) nastavit vyšší číslo než pro výchozí cestu, která je očíslovaná jako spoj
č. 1 (tedy např. 10). Tím sdělíte systému, že pokud první připojení selže, má
využívat náhradní. Pokud jsou čísla stejná, využívají se oba WAN spoje
současně, což ale neznamená, že by zařízení nabízelo vyvažování zátěže jako
takové. Při správném nastavení je přepínání mezi primárním a záložním
připojením rychlé (zhruba 5 sekund). Jedinou indikací, že je využíváno záložní
připojení, však je skutečnost, že Routing Monitor ukazuje WAN2 jako statickou,
výchozí cestu. Stavová stránka stále zobrazuje WAN1 jako připojený spoj,
nicméně výrobce tvrdí, že tato funkce je záměrná a představuje administrativní
nastavení. My bychom očekávali, že stav WAN připojení se bude zobrazovat podle
skutečnosti.
Rozsah funkcí FortiGate-60 je působivý, podle očekávání zahrnuje VPN, firewall
s 50 předdefinovanými službami v rozbalovací nabídce a antivirovou kontrolu
souborů a e-mailů (s aktualizacemi od firmy Fortinet). Nicméně informace
poskytované v manuálu vám pravděpodobně nebudou dostačovat, stejně jako v našem
případě. Práci se zařízením FortiGate-60 lze popsat jako jízdu na horské dráze
nadšení, frustrace, poté zase bezproblémové fungování. Pokud se poperete s
nastavením a zakoupíte příslušné volitelné služby, pak produkt funguje celkem
dobře.

Bezpečnost, či přístup?
Vzhledem k počtu levných směrovačů, určených segmentu malých firem, které
zaplavují trh, jsme doufali, že najdeme několik duálních WAN směrovačů, které
budou zaměřeny na redundanci internetové konektivity. Namísto toho jsme
objevili několik bezpečnostních produktů, které tuto funkci nabízí jako jakousi
dodělávku.
Doufáme, že si trh vezme příklad z agresivní cenové strategie mnohých jiných
oblastí IT a objeví se flexibilní routery, které budou nabízet funkce jako
failover a redundanci a současně si zachovají funkce pro zabezpečení a
pokročilou správu.
Nyní, kdy mají firmy levnější přístup k několikamegabitovým přípojkám, se
nabízí prostor pro zařízení, která budou schopna takovou šířku pásma využít.

Zařízení se 2 WAN porty
SonicWall TZ 170 Ocenění Conmputerworld Excellent si z testu zařízení se 2 WAN
porty odnáší produkt SonicWallu s označením TZ 170, který v hodnocení dosáhl
nejvyššího skóre. Ocenění získal díky vynikající bezpečnosti, možnostem
nastavení a dalším funkcím (z nichž některé jsou za příplatek).

Check Point Safe@Office 225 Pro srovnání jsme vyzkoušeli produkt Safe@Office
225 od firmy Check Point, a to i přesto, že nepodporuje duální WAN připojení.
Safe@Office spoléhá na funkce failover a jedná se o produkt zaměřený na firmy,
které vyžadují záložní připojení k internetu.
Krabička zhruba o velikosti běžné videokazety nabízí spoustu funkcí. Podobně
jako firma Sonic Wall i Check Point dává k dispozici softwarové doplňky k
základnímu hardwaru, takže systém můžete rozšířit podle svých potřeb. Pokud
například vyžadujete vzdálenou správu, filtrování webového obsahu nebo
e-mailový antivirus, rozšířené logování a vytváření zpráv, pak se podívejte do
ceníku na jednotlivé nabízené položky.
U Safe@Office 225 není možné nastavit rozsah IP adres přidělovaných DHCP
serverem, nicméně zařízení alespoň ostatní IP adresy vidí, takže nepřiděluje
ty, které jsou již obsazené. Aplikace pro správu přes webové rozhraní je
přehledná a snadno použitelná, byť barevné oranžovožluté schéma je poněkud
rušivé. Pravidla pro firewall se nastavují pomocí průvodce, nicméně bez
dodatečných modulů pro filtrování jsou možnosti poněkud skoupé (pouze 10
služeb).
My jsme převážně při našem testu zaměřili na funkce týkající se failoveru. Na
rozdíl od ostatních testovaných produktů se v případě Safe@Office 225
nepřipojují broadbandové modemy ke konektorům na zařízení. Je nutné je připojit
k samostatnému rozbočovači (není součástí produktu) a tento hub připojit k WAN1
portu na zařízení. Byli jsme zmateni označením DMZ/WAN2 u konektoru na čelní
straně zařízení a připojili tam WAN2 router, což nefungovalo a zařízení
zobrazilo chybové hlášení. Poté, co jsme prošli 250stránkový manuál, jsme našli
opravdu neortodoxní metodu, jak modemy správně připojit. Je to sice divný
způsob, ale funguje. Systém obvykle přepojí z kabelového na DSL připojení bez
znatelné prodlevy, ale příležitostně je nutné primární WAN spoj v
administračním rozhraní vypnout, aby došlo k přepnutí na záložní. Streamované
audio vždy během přepojení zamrzlo a byl nutný ruční zásah.
E-mailový provoz byl vždy směrován přes kabelový modem, takže SMTP fungovalo
bez problémů. A jelikož zařízení nepodporuje vyvažování zátěže, na pomalejší
rozhraní nesměrovaly žádné spojení, na rozdíl od jiných testovaných produktů, u
kterých se provoz při použití load ballancingu ve skutečnosti zpomalil.
Současně to ale znamená, že dvě srovnatelně rychlé přípojky nedávají oproti
ostatním zařízením žádnou možnost pro zrychlení. Produkt firmy Check Point v
ceně zhruba 900 dolarů je vhodný tehdy, pokud je pro vás nejdůležitější funkce
failoveru, jako je tomu v případech, kdy se dvě širokopásmová připojení výrazně
liší svou rychlostí.

Check Point Safe@Office 255
+malé, odzkoušené a plně vybavené zařízení, rychlý failover a fallback
-chybí funkce vyvažování zátěže, potřebujete-li kompletní systém, musíte
zakoupit více modulů
Prodejce: Actinet, www.actinet.cz
Cena (bez DPH): 900 dolarů

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.