Публичные Wi-Fi-сети становятся все более популярной услугой. Однако при внедрении таких услуг в операторских сетях возникает ряд проблем, и прежде всего проблема биллинга. Каковы же пути их решения?
Пожалуй, беспроводные технологии сегодня являются самой актуальной темой. Местные операторы связи уже сделали первые шаги в направлении развёртывания систем Wi-Fi. Интересно, что в России это были сотовые компании, а в Украине развёртыванием публичных сетей Wi-Fi занялся национальный телекоммуникационный оператор Укртелеком.
Однако темпы внедрения подобных решений не очень высоки по сравнению с использованием услуг GPRS, MMS, сетей третьего поколения, которые уже получили распространение в мобильной сфере. По-прежнему популярным остаётся «технологический» подход к внедрению новых услуг: 11 Мбит/с — хорошо, а 54 Мбит/с — ещё лучше. При этом маркетинговый аспект, то есть то, как предложить абоненту новые услуги, часто отходит на второй план. Услуги на базе технологий семейства WLAN занимают различные рыночные ниши. WLAN — это и беспроводной удлинитель для дома, позволяющий в любое время в любом месте через ноутбук работать с Интернетом; и последняя миля для доступа к интернету в масштабах микрорайона или коттеджного посёлка; и беспроводной офис, в пределах которого сотрудники могут перемещаться, не теряя связи с интране-том и интернетом. Отдельную нишу со своими особенностями и характеристиками занимают приложения WLAN для телекоммуникационных операторов, в первую очередь сотовых.
Согласно данным отчёта, подготовленного исследовательской компанией Analysys Research, сегодня насчитывается от 10 до 20 тыс. активных пользователей WLAN, большая часть которых приходится на США. Однако уже к 2006 году, по прогнозу Analysys, только в Европе услуги публичных WLAN привлекут более 20 млн. человек, что принесёт операторам этих сетей доход в размере 3 млрд. евро.
Основным фактором, определяющим развитие рынка беспроводных сетей, по мнению специалистов Analysys, является широкое распространение технических платформ на основе стандарта IEEE 802.11b. С одной стороны, стремительно растёт число мобильных устройств (карманных компьютеров, телефонов, ноутбуков), продаваемых со встроенными средствами беспроводного доступа, а с другой — более 100 тысяч компаний по всему миру уже используют технологии WLAN при создании корпоративных сетей.
Авторы отчёта, однако, заявляют, что операторам публичных беспроводных сетей предстоит решить целый ряд проблем, в частности, связанных с расширением зоны покрытия. Опыт США показывает, что европейским операторам следует заключать соглашения о роуминге как можно раньше, поскольку это позволит уменьшить общие расходы на развёртывание точек доступа в публичных местах: к 2006 году планируется охватить беспроводной сетью около 90 тысяч публичных мест. С другой стороны, Analysys отмечает, что WLAN представляют собой реальную угрозу операторам 2,5/3G-сетей сотовой связи.
По оценкам компании, к 2006 году до 10% владельцев мобильных телефонов будут также пользоваться услугами операторов публичных WLAN, что чревато соответственно 10%-ным снижением трафика данных по GSM-каналам. GSM-операторам может помешать и другой аспект: компания Sharp, например, намерена предложить сервис Интернет-телефонии с использованием своих КПК Zaurus. Связь будет предоставляться на базе 300 WLAN-сетей оператора NTT Communications Corp. Абоненты получат возможность совершать неограниченное число звонков, но при этом должны будут платить абонентскую плату и оплачивать использование WLAN-сетей (в общей сложности — около $20 в месяц).
Зачастую данные, говорящие о степени внедрения публичных WLAN, касаются в основном исключительно количественных показателей развития инфраструктуры — установлены новые тысячи базовых станций, охвачены новые рестораны, кафе, бизнес-центры, подключены бензозаправки; непрерывно сообщается также о росте количества ноутбуков с поддержкой WLAN. Hot-spot устанавливают уже даже в поездах и самолётах.
При этом большинство аналитиков и экспертов оценивают потенциал Wi-Fi-услуг очень высоко. Однако для операторов ключевым является вопрос получения дополнительных доходов от WLAN, причём в недалёкой перспективе.
Технологии беспроводного локального доступа к Интернету известны давно, но долгое время их использование ограничивалось пределами офисов, а главным их преимуществом считалась мобильность персонала и включение в сеть гостевых посетителей. Что же подвигло телекоммуникационных операторов на стремительное развёртывание сетей Wi-Fi? Конечно же, проникновение Интернет-технологий во все сферы жизни, а также успехи и вызванные ими новые проблемы передачи данных в сетях сотовых операторов. Одной из современных задач является доступ к Интернет-ресурсам как из дома и офиса, так и из любой точки.
Для решения этой задачи используются самые различные технологии: ADSL, LMDS, GPRS, UMTS. GPRS долгое время считалась универсальным решением, и оборудование GPRS было внедрено практически во всех сотовых сетях. Однако первые результаты были достаточно скромными. Последующий анализ ошибок, допущенных при внедрении GPRS, позволил скорректировать их использование, и услуги на базе данной технологии обрели большую популярность.
Теперь сети перегружены трафиком передачи данных. Беспроводной мобильный доступ к Интернету становится все более и более распространённым, и совершенно очевидно, что только с помощью GPRS проблему увеличения пропускной способности сетей не решить. Причём те абоненты, которые достаточно часто работают с системами пакетной передачи данных, могут подтвердить, что характер трафика можно определить очень чётко. Места, в которых концентрируется трафик передачи данных, очевидны, как очевидны и временные закономерности возникновения пиков трафика и их перемещения по различным зонам сети.
На основе этого можно сделать следующие выводы:
• очень часто доступ к Интернету требуется в строго определённых местах;
• обычно в этих местах необходимы именно высокоскоростные приложения;
• для многих пользователей услуги GPRS востребованы именно из-за возможности глобального покрытия и доступности в любом месте — на даче, в дороге, в офисе партнёров, то есть там, где фактически невозможно применить другую технологию доступа к Интернету.
В связи с этим возникла идея использовать WLAN для разгрузки GPRS-сетей и предоставления комбинированных услуг. Но уже на начальном этапе возникли проблемы, и первые установленные базовые станции отнюдь не были перегружены трафиком. Почему так происходит? Первая проблема — это отсутствие пользовательского оборудования у большинства абонентов.
Есть и другие трудности, и в первую очередь, это ошибки, допускаемые при позиционировании hot-spot. Несмотря на первые успехи GPRS, одного анализа трафика сетей пакетной передачи явно не достаточно. При принятии решения о развёртывании WLAN часто действует простая бизнес-логика: абонентам просто необходим доступ к Интернету. Напрашивается вывод — базы WLAN нужно устанавливать во всех местах, где наблюдается скопление абонентов. Подобный принцип является верным, однако следует учитывать целый ряд факторов, которые могут повлиять на поведение будущих абонентов.
Во-первых, в отличие от спроса на GPRS-услуги, спрос на WLAN формируется не только благодаря пользователям мобильного Интернета, но и благодаря владельцам портативных компьютеров, которых гораздо меньше.
Во-вторых, пользователи ещё не достаточно информированы о достоинствах WLAN, не уверены в их информационной безопасности и из-за незначительной распространённости hot-spot сомневаются в их доступности там, где они могут понадобиться.
В-третьих, существует определённая конкуренция со стороны более традиционных способов передачи данных — как проводных, так и мобильных.
Таким образом, можно сделать следующие выводы:
• отдельные островки WLAN большой роли не сыграют. Для потенциальных пользователей интересны сети, покрывающие всю страну;
• сети должны работать под единой торговой маркой, обеспечивая пользователю качество услуг, безопасность, гибкую оплату и возможность пользоваться единым счётом в разных городах;
• необходимо развёртывать WLAN в хорошо продуманных местах, причём в этом случае принципиально важны и анализ трафика GPRS, и проработка бизнес-модели, и маркетинговые исследования.
Подход, основанный исключительно на принципе привлечения максимального количества абонентов, может в ряде случаев не работать. Понятно, что для организации «последней мили» для одного микрайона не нужно строить сеть в масштабах страны. Но WLAN-сети, построенные на перечисленных принципах, более конкурентоспособны и могут занять свою рыночную нишу как для местных абонентов, так и для тех, кто пользуется услугами роуминга. Это огромный потенциал для сотовых и национальных телекоммуникационных операторов. Кроме того, у этих компаний есть хорошо узнаваемый бренд и налаженная система сбыта, а также отработанная модель партнёрских отношений, что создаёт для подобных фирм дополнительные конкурентные преимущества при развёртывании нового бизнеса.
Комплексный подход — важнейший аспект в построении WLAN-сети, ведь для конечного пользователя важен целый ряд характеристик: простота, надёжность, удобство, гибкость расчётов с оператором и др.
В свою очередь, оператор сотовой сети, внедряя вторую систему радиодоступа, стремится минимизировать свои инвестиции и уменьшить затраты на эксплуатацию системы. Не каждая система WLAN удовлетворяет вышеуказанным требованиям.
Итак, какие же ключевые моменты нужно учитывать при внедрении WLAN-системы в дополнение к сотовой сети GSM, ведь совершенно очевидно, что во многом системы GSM и WLAN являются взаимопроникающими?
Несомненно, вопросы тарификации и удобства оплаты для конечного пользователя должны быть на первом месте. Желательно иметь один счёт для всех услуг, предоставляемых сотовым оператором. Как следствие, необходима тесная интеграция с системой биллинга и, безусловно, pre-paid-системой сотового оператора. В противном случае pre-paid-абоненты могут остаться без дополнительных услуг (WLAN).
Особое внимание необходимо уделить удобству работы со счётом. Так, наиболее перспективным является использование web-интерфейса для проверки и пополнения (например, с помощью кредитной карты) баланса, просмотра статистики. Также можно создать pre-paid-счёт через этот интерфейс и устанавливать дату окончания срока действия счета. Такой подход, реализованный в системе WLAN, будет максимально удобным и для абонента, и для персонала абонентских служб оператора.
Удобство аутентификации пользователей также является немаловажным фактором для абонентов, а надёжность и гибкость этой системы принципиально важны для операторов. Рассмотрим возможные варианты аутентификации.
Аутентификация по статическому паролю является наиболее простым, широко применяемым, но неудобным методом, основанным на web-аутентификации. При необходимости использования услуг WLAN абоненту в качестве первой страницы предлагается web-страница с формой, в которой нужно указать свой пароль и имя пользователя. Эту информацию абонент может получить, купив карту, где указан единовременный пароль и имя.
Недостатком такого решения являются связанные с этими картами дополнительные затраты, которые не нужны ни оператору (печать, распространение, дополнительная система тарификации по картам), ни пользователю (покупка, сохранение данных).
Метод аутентификации по статическому паролю характерен для автономных систем с минимальной степенью интеграции с инфраструктурой сотового оператора и вряд ли устроит сотовых гигантов, однако может вполне подойти традиционным телекоммуникационным операторам.
Следующий метод — WLAN-аутентификация с использованием SIM-карты. Приведённая ниже схема достаточно наглядно иллюстрирует схему взаимодействия отдельных узлов сети GSM и WLAN. При попадании в зону работы базовой станции WLAN-запрос на аутентификацию направляется на абонентский ноутбук, который должен иметь SIM-адаптер, и вся информация, необходимая для аутентификации пользователя, считы-вается с его SIM-карты.
Несомненным преимуществом в этом случае является упрощение модели аутентификации, а недостатком — усложнение процедуры: возникает необходимость в SIM-адаптере, в который надо устанавливать персональную SIM-карту или отдельную SIM-карту только для услуги WLAN. Такой метод устроит сотового оператора, ибо подразумевает интеграцию с сетью GSM и получение информации об абоненте с его SIM-карты, что упрощает универсальную тарификацию для услуг GSM и WLAN.
Пожалуй, наиболее прогрессивной является аутентификация с помощью одноразового пароля (One Time Password). Кроме того, что этот тип аутентификации использует преимущества SIM-карт, при этом ещё и не требуется никаких манипуляций с самой картой, и она продолжает оставаться в сотовом телефоне.
Если нужно воспользоваться услугами WLAN, абонент прежде всего должен заполнить web-форму, указав в ней номер своего мобильного телефона. По этому номеру система проверит, открыты ли подобные услуги для абонента, доступен ли счёт, а затем вышлет абоненту одноразовый пароль с помощью SMS-сообщения.
В качестве имени для входа можно использовать номер мобильного телефона. Гарантией правильности получения этого пароля является наличие у абонента указанного GSM-телефона, другой же абонент данный SMS получить не может в принципе. Таким образом, преимущества такого метода вполне очевидны.
А теперь рассмотрим особенности внедрения WLAN-систем в сетях сотовых операторов на конкретных примерах.
Внедрение услуг на базе технологии WLAN с SIM-аутентифика-цией позволит оператору предоставлять высокоскоростной удалённый доступ к Интернет-ресурсам и корпоративным сетям большому количеству абонентов одновременно, при этом для проверки абонентов будет использоваться информация, хранящаяся в GSM-подписке.
Для работы в данной сети абоненту необходимо иметь ноутбук, SIM-карту, PCMCIA WLAN-адаптер и SIM-адаптер (устройство для чтения SIM-карт в PCMCIA или в USB-исполнении). Беспроводные сети стандарта IEEE802.11Ь строятся на основе базовых станций оператора, подключаемых в его транспортную сеть. Радиус покрытия одной точки доступа составляет около 100 метров и может масштабироваться за счёт установки дополнительных точек доступа. Одна точка доступа может одновременно поддерживать несколько десятков активных пользователей и обеспечивает скорость передачи информации для конечного абонента до 11 Мбит/с.
Также компания Ericsson и датский оператор мобильной связи TDC Mobil подписали контракт на развёртывание WLAN-системы в сети оператора мобильной связи. Система позволит улучшить качество услуги GPRS и UMTS компании TDC Mobil, обеспечив широкую полосу пропускания в стратегически важных общественных точках доступа. Пользователи переносных и карманных компьютеров получат защищённый мобильный доступ к необходимым ресурсам со скоростью проводных локальных сетей. К тому же, система обеспечивает таким пользователям доступ к Интернету и корпоративным сетям. Для работы может использоваться любой переносной или карманный компьютер, укомплектованный платой WLAN и одним из популярных Интернет-браузеров. Корпоративным пользователям предоставляются VPN-каналы и сетевые экраны для защиты данных. Безопасность доступа к WLAN-услуге для всех пользователей обеспечивается механизмом предоставления одноразового пароля с помощью SIM-карты мобильного терминала.
Итак, при внедрении систем WLAN сотовому оператору прежде всего необходимо тщательно проработать бизнес-стратегию и определить ту целевую группу, которой будут предложены услуги WLAN. Как следствие, необходимо охватывать именно те точки, где система будет максимально востребована.
Не менее важна проработка стратегии внедрения и развёртывания сети, и один из возможных вариантов — привлечение третьих компаний не столько для выполнения монтажных работ, сколько для поиска и организации партнёрских отношений с владельцами hot-spot. Также очень важно выбрать максимально гибкую и надёжную систему WLAN, способную интегрироваться с существующей сотовой сетевой инфраструктурой и обеспечивающую простоту и удобство для конечного пользователя.
Наличие такой функции, как автоматическое обновление абонентских данных, поможет снизить затраты на содержание полноценной системы радиодоступа WLAN. В этом случае запись о новом пользователе возникает в базе данных системы WLAN с момента первой сессии. Это значительно упрощает работу абонентских отделов.
Весьма необходимой для системы WLAN является функция управления типами услуг. В системе WLAN необходимо иметь несколько классов услуг, у каждой из которых будут собственные права доступа, ограничения по полосе пропускания, набор дополнительных услуг. С помощью заполнения web-страницы абонент может сам выбирать тот или иной класс обслуживания. Таким образом, оператор свободен и в выборе схемы тарификации для разного класса услуг.
Принимая во внимание в будущем внедрение UMTS, не последнюю роль будет играть совместимость с сетями третьего поколения, включая работу с U-SIM. Принципиальное значение имеет также поддержка роуминга, но это, пожалуй, очевидная вещь.
Технология Bluetooth предназначена для организации беспроводных персональных сетей.
В настоящее время средства Bluetooth встраиваются в сотовые телефоны, карманные ПК, беспроводные точки доступа, телефонные гарнитуры, клавиатуры, мыши, принтеры и даже цифровые ручки (digital pens). Однако, несмотря на доступность, до сих пор эта технология не получила широкого применения. Вероятно, данная ситуация вскоре изменится, поскольку поддержка Bluetooth включена в пакет Sеrvice Pack 2 для ОС Windows XP.
Кроме того, по данным исследовательской компании Allied Business, каждый третий проданный в США в этом году мобильный телефон имеет функциональность Bluetooth.
До недавнего времени одним из основных препятствий на пути распространения технологии Bluetooth являлась сложность её использования, особенно если вы хотели заставить взаимодействовать несколько устройств Bluetooth друг с другом. Но сейчас благодаря улучшенным мастерам конфигурации и поддержке Bluetooth в составе ОС Windows XP вы можете сконфигурировать эти устройства менее чем за 5 мин.
Связь по технологии Bluetooth устанавливается автоматически и почти мгновенно (на соединение устройств кабелем уходит больше времени). Применение средств Bluetooth, дальность действия которых, как правило, составляет около 10 м, позволяет отказаться от использования кабелей для соединения персональных электронных устройств. Например, с помощью технологии Bluetooth вы можете подключить ноутбук или карманный ПК к сотовому телефону и задействовать последний в качестве беспроводного модема.
Но почему бы в этих же целях не использовать технологию Wi-Fi? Дело в том, что технология Bluetooth специально разработана для замены кабельных соединений (хотя её можно применить и для имитации работы локальной сети). В отличие от стандарта 802.11 (Wi-Fi) в технологии Bluetooth предусмотрены профиль обнаружения услуг (service discovery) и другие профили, дающие возможность устройствам сразу же после установления беспроводного соединения автоматически предоставлять друг другу требуемые услуги (так, принтер предоставит услугу печати сотовому телефону). Кроме того, в отличие от оборудования стандарта 802.11 средства Bluetooth работают с меньшей выходной мощностью (1 или 10 мВт) и ориентированы на образование одноранговых (ad hoc) сетей. Совершенствованием спецификации Bluetooth (стандарт IEEE 802.15.1) занимается ассоциация Bluetooth Special Interest Group.
Связь по технологии Bluetooth осуществляется в рамках пикосети, состоящей из одного ведущего (master) устройства и до семи ведомых (slave) устройств. Ещё 254 устройства могут находиться в состоянии «парковки» и ожидать подключения к пикосети. Пользовательское устройство, инициирующее связь, является ведущим и управляет работой ведомых устройств в пикосети.
Оборудование Bluetooth использует частотный диапазон 2,4 ГГц (в этом же диапазоне функционируют устройства стандартов 802.11b и 802.11g) и реализует технологию расширения спектра радиосигнала посредством скачкообразного изменения частоты (Frequency Hopping — FH).
Чтобы не мешать работе друг друга, одна пикосеть (например, ноутбук, связанный с сотовым телефоном) отличается от другой (сотовой телефон, взаимодействующий с гарнитурой) последовательностью осуществления частотных скачков. В асимметричной конфигурации пропускная способность соединения Bluetooth может достигать 721 Кбит/с в одном направлении и 57,6 Кбит/с в другом. В симметричной же конфигурации скорость передачи данных в обоих направлениях одинакова и составляет 432,6 Кбит/с. Кроме того, пикосеть способна поддерживать три дуплексных 64-Кбит/с голосовых канала. Таким образом, пропускной способности средств Bluetooth вполне хватает для установления модемных соединений, осуществления голосовой связи, синхронизации карманных компьютеров и передачи оцифрованных изображений с низким или средним разрешением, но её недостаточно для работы с такими устройствами, как цифровые видеокамеры.
Следует также учитывать, что два устройства Bluetooth соединяются друг с другом только в том случае, если поддерживают один и тот же профиль Bluetooth, который представляет собой набор функций, основанных на протоколах Bluetooth. В данной технологии определены профили последовательного порта (Serial Port Profile — SPP), коммутируемого доступа (dial-up networking), гарнитуры, устройства hands-free, подключения к ЛВС, факса, передачи файла и синхронизации. Итак, если сотовый телефон поддерживает только профиль устройства hands-free, а гарнитура — только профиль гарнитуры, они не будут взаимодействовать.
Профиль SPP имитирует работу соединения с последовательным портом RS-232, что даёт возможность любому приложению, работающему с этим портом, использовать вместо него средства Bluetooth. Версия спецификации Bluetooth с номером 1.2 была принята в ноябре прошлого года. В ней определена поддержка адаптивной технологии FH, повышающей помехоустойчивость оборудования, а также предусмотрены уменьшение времени установления соединения, повышение качества передачи речи и расширенная поддержка распределённой сети (scatter-net). О распределённой сети Bluetooth говорят в том случае, если одно и то же устройство работает в двух пикосетях. Спецификация версии 1.2 совместима со спецификацией версии 1.1.
Устройствами Bluetooth просто пользоваться, если они правильно сконфигурированы. Обязательно читайте инструкции производителей оборудования! Многие средства Bluetooth комплектуются управляющими утилитами и мастерами, помогающими конфигурировать их. В зависимости от выполняемой задачи вам, возможно, придётся воспользоваться мастерами третьих фирм. Например, с помощью утилиты Communication Manager компании AT&T Wireless конфигурируют ноутбуки, чтобы передавать и принимать пакеты данных посредством Bluetooth-совместимых телефонов по сети AT&T Wireless. Поддержка Bluetooth в составе ОС Windows XP поможет вам сконфигурировать соответствующие устройства с помощью единого (для продуктов разных производителей) пользовательского интерфейса.
Любой технически «подкованный» пользователь справится с конфигурированием устройств Bluetooth, но у людей, не обладающих техническими знаниями, с этим могут возникнуть трудности. Если вы, являясь ИТ-специалистом предприятия, отвечаете за техническую поддержку пользователей, которым предстоит работать с определёнными устройствами Bluetooth, то заранее сконфигурируйте эти устройства для них или порекомендуйте им использовать проверенные вами простые инсталляционные мастера.
Если устройство Bluetooth сконфигурировано должным образом, установление соединения в дальнейшем осуществляется автоматически. Впрочем, многие устройства Bluetooth могут запрашивать разрешение на установление соединения при поступлении соответствующего запроса извне. Эту функцию легко отключить, но помните о том, что она полезна с точки зрения обеспечения информационной безопасности.
В последнее время технология Bluetooth подверглась жёсткой критике из-за атак типа Bluesnarfing, приводящих к краже данных с устройств Bluetooth. На самом деле в этой технологии предусмотрены неплохие методы аутентификации и шифрования, но эффективность их действия зависит от правильной конфигурации устройств и разумного подхода к их применению. Как это бывает с оборудованием Wi-Fi, установленные по умолчанию параметры работы средств Bluetooth могут и не обеспечивать защиты данных.
Вот несколько советов по повышению уровня информационной безопасности сетей Bluetooth.
1. Реализуйте стратегию защиты этих сетей.
2. Не используйте устройства Bluetooth для передачи строго конфиденциальных данных. Даже при правильной их конфигурации опытный и настойчивый хакер способен перехватить эти данные.
3. Спаривайте ваши устройства в физически защищённом месте. Если хакер перехватит информацию, передаваемую в ходе процесса спаривания, он сможет успешно атаковать их.
4. При спаривании устройств задействуйте только надёжный PIN-код. Совместно с другими параметрами он используется для получения ключа шифрования. Надёжным считается такой PIN-код, который представляет собой трудно угадываемую комбинацию из восьми или более букв и цифр.
5. После спаривания сконфигурируйте ваши устройства, как неподдающиеся обнаружению (другими устройствами Bluetooth). Эта мера предосторожности существенно затруднит подключение кого бы то ни было к вашим устройствам.
6. Задействуйте функцию запрашивания разрешения на установление соединения, что сделает связь по технологии Bluetooth более безопасной.
7. Отключайте средства Bluetooth, если вы не пользуетесь ими.
8. Отмените спаривание с потерянными или украденными устройствами, ведь с их помощью хакер может связаться с другими вашими устройствами, с которыми они были спарены.
Применение гарнитуры Bluetooth избавляет от надоедливого соединительного провода, имеющегося у обычного наушника сотового телефона, но помните о том, что аккумулятор этой гарнитуры (как и аккумулятор сотового телефона) время от времени нужно подзаряжать.
Bluetooth — это хорошо разработанная технология беспроводной связи, но она не предназначена для передачи изображений с высоким разрешением, музыкальных файлов и видеоинформации, а также для синхронизации больших баз данных. Для этих целей разработана новая сверхширокополосная технология UWB, которая может стать опасным конкурентом для Bluetooth. В отличие от обычных схем модуляции радиосигнала в технологии UWB предусмотрено использование коротких радиоимпульсов, обеспечивающих маломощное излучение в широкой полосе частот. Но до того времени, когда средства UWB получат широкое распространение, у технологии Bluetooth имеются хорошие шансы закрепиться на рынке (в течение ближайших нескольких лет) в качестве дополнения к новым технологиям, подобным UWB.
До недавнего времени разработчики оборудования для беспроводных ЛВС (БЛВС) не уделяли должного внимания проектированию антенн. Например, антенны некоторых ноутбуков, которые представляют собой проложенные внутри корпуса машин куски провода, даже не были сориентированы для оптимального функционирования. Широко используемые в точках доступа антенны, предназначенные для разнесённого приёма радиосигналов, работают ненамного лучше этих проводов.
Однако ситуация меняется. Новые «интеллектуальные» антенны от компаний Airgo Networks, Motia, Vivato и других производителей существенно улучшают характеристики устройств БЛВС, в том числе повышают их дальность действия. Если в будущем вы планируете задействовать «интеллектуальные» антенны или хотите использовать возможности имеющихся антенн по максимуму, то вам следует знать их параметры. Это так же важно, как знание характеристик вносимого затухания, волнового сопротивления и перекрёстных наводок кабеля проводной ЛВС.
Любая антенна выполняет две основные функции. Работая на приём, она преобразует электромагнитную волну в электрический сигнал. Последний затем обрабатывается беспроводным устройством, в результате чего получаются цифровые данные. При передаче информации антенна преобразует электрический сигнал в электромагнитную волну, которая излучается в окружающее пространство. Для передачи потоков данных по радиоволнам используются сложные схемы модуляции.
От того, как хорошо антенна осуществляет эти функции, зависят возможность подключения пользователей к БЛВС и скорость передачи данных. Если антенна не будет излучать радиоволны должным образом, интерфейсы БЛВС (адаптируясь к низкому уровню сигнала) снизят свои максимальные скоро-сти передачи, что приведёт к уменьшению производительности сети. Подходящая антенна должна обеспечивать требуемое радиопокрытие и минимизировать уровень сигналов БЛВС, выходящих за пределы обслуживаемого здания.
Итак, рассмотрим параметры антенн. В качестве базы для сравнения способности разрабатываемых антенн усиливать радиосигнал радиоинженеры используют гипотетический изотропный излучатель. Он излучает радиосигнал равномерно по всем направлениям, поэтому его диаграмма направленности (ДН) имеет вид сферы.
Коэффициент усиления (КУ) такой антенны равен 0 дБ, а КУ любой другой антенны выражают в децибелах относительно изотропного излучателя.
ДН антенны может быть представлена в виде трехмерного изображения или как два двухмерных графика. Самым распространённым типом антенн в БЛВС является всенаправленный диполь. Такими антеннами оснащены многие точки доступа. Будучи ориентированным перпендикулярно поверхности земли, в азимутальной плоскости диполь излучает сигнал равномерно по всем направлениям, а его ДН в этой плоскости (при использовании полярных координат) имеет форму окружности, в центре которой находится сам диполь. При этом предполагается, что она установлена перпендикулярно поверхности земли. В отличие от сферической ДН изотропного излучателя ДН этой антенны как бы растянута в азимутальной плоскости, т. е. большую часть энергии радиоволн она излучает по горизонтали, что, собственно, и обеспечивает её более высокий КУ (2,2 дБ) по сравнению с КУ изотропного излучателя. Увеличение КУ антенны способствует росту дальности действия радиосистемы. Оснащённая антенной с такой ДН точка доступа обеспечит радиопокрытие большого помещения, при этом уровень её излучения на соседних этажах здания будет низким. Если же антенну ориентировать горизонтально, то излучаемый ею сигнал будет распространяться и между этажами. При каждом увеличении КУ антенны на 3 дБ уровень принимаемого ею сигнала удваивается.
Специалисты конструируют и остронаправленные антенны, которые фокусируют электромагнитную энергию в узкий луч. К таким антеннам относятся большие параболические антенны, с помощью которых организуют наземные радиолинии длиной до 40 км и более. Названные антенны имеют КУ до 25 дБ и выше.
Для оптимизации радиопокрытия к точкам доступа нередко подключают внешние антенны. Возможность их подключения имеется во многих точках доступа, предназначенных для корпоративных сетей. Однако Федеральная комиссия по связи США запрещает применение внешних антенн с устройствами, работающими в некоторых частотных полосах диапазона частот 5 ГГц. Поэтому работающие в этих полосах точки доступа вам придётся использовать с имеющимися у них антеннами.
Ведущие производители точек доступа, такие, как компании Cisco Systems, Proxim и Symbol Technologies, предлагают несколько видов антенн для своих продуктов. Другие же производители, включая большинство компаний, недавно вышедших на рынок БЛВС со своими беспроводными коммутаторами, оснащают свои точки доступа фиксированными всенаправленными антеннами. Точка доступа компании Airespace поддерживает внешние антенны и работает с интегрированной направленной пластинчатой антенной, что обеспечивает большую дальность действия, чем конкурирующие продукты.
Ноутбуки оснащают беспроводными сетевыми адаптерами PC Card или Mini-PCI. Первые имеют простую всенаправленную антенну. В корпусе ноутбука такой адаптер расположен горизонтально, и, как правило, так же ориентирована его антенна, которая в основном излучает вверх и вниз, а не по сторонам, что уменьшает дальность связи. Стоит отметить адаптер FriendlyNET AL1511 фирмы Asante, оснащённый выдвижными антеннами Xwing. Это устройство обладает самой большой дальностью связи. Оно не самое прочное, но его вертикально ориентированные антенны работают хорошо, помогая обеспечить надёжную связь в тех случаях, когда компьютер находится на границе зоны действия сети. Некоторые 2,4-ГГц беспроводные сетевые адаптеры имеют гнездо для подключения внешней антенны.
Беспроводной сетевой адаптер Mini-PCI обычно работает с расположенной в ноутбуке антенной. Как правило, эти антенны — двухдиапа-зонные, т.е. имеют элементы, функционирующие в диапазонах частот 2,4 и 5 ГГц. Антенну лучше всего размещать по периметру дисплея ноутбука, но тогда для связи её с беспроводным сетевым адаптером потребуется использовать кабель, в котором радиосигнал будет затухать (потери в антенном кабеле ноутбука составляют 3 дБ и более). Поэтому многие производители размещают антенну рядом с адаптером Mini-PCI, который расположен под клавиатурой ноутбука. К сожалению, при такой компоновке антенна этого адаптера работает хуже, чем антенна платы PC Card.
Хорошей новостью для пользователей БЛВС является то, что антенны устройств этих сетей становятся «интеллектуальнее» и эффективнее в работе.
Простейшие «интеллектуальные» антенны, предназначенные для разнесённого приёма радиосигналов, широко используются в точках доступа и адаптерах БЛВС. Такая антенна состоит из двух элементов (излучателей) и внутреннего коммутатора, подсоединяющего к приёмнику тот элемент, который принимает более мощный сигнал. Она помогает уменьшить негативный эффект многолучевого распространения радиоволн, вызванного их отражением от разных предметов, в результате чего один и тот же переданный радиосигнал многократно (с разной временной задержкой) поступает на вход приёмника точки доступа, что приводит к сильному ослаблению принимаемого сигнала.
Для увеличения зоны действия БЛВС требуются ещё более «интеллектуальные» антенны, к которым относятся фазированные антенные решётки. Такой решёткой, состоящей из большого числа излучателей, оборудован коммутатор Wi-Fi компании Vivato. Он функционирует как точка доступа, а его решётка наводит радиолуч на клиентское устройство стандарта 802.11. Данная антенная система увеличивает дальность связи (особенно на улице). Однако фазированные антенные решётки, как правило, имеют значительные габаритные размеры и стоят дорого.
Ещё один вариант реализации «интеллектуальной» антенны — адаптивная решётка. Такие решётки разрабатывают фирма Motia и другие производители. В них принятые элементами решётки сигналы умножаются на определённые весовые коэффициенты, а затем суммируются. Адаптивная решётка может быть реализована в виде дополнительной подсистемы, подсоединяемой к имеющемуся устройству Wi-Fi.
Этот подход является довольно перспективным, но, чтобы потенциальные заказчики смогли воспользоваться всеми преимуществами того или иного варианта построения «интеллектуальной» антенны, необходимо внести существенные изменения в стандарты на БЛВС. Рабочая группа IEEE 802.11n разрабатывает стандарт на БЛВС следующего поколения, обеспечивающую скорость передачи данных до 100 Мбит/с. В действующих сегодня стандартах 802.11a и 802.11g определена максимальная скорость передачи 54 Мбит/с, а её реальные значения составляют 25-30 Мбит/с.
Аналитики предполагают, что в стандарте 802.11n будет предусмотрена возможность использования устройств типа MIMO (Multiple Input, Multiple Output), работающих с несколькими антеннами. Такой продукт уже разработан компанией Airgo.
В упомянутом стандарте должны появиться и другие новшества. Так, для поддержки 100-Мбит/с скорости передачи данных на значительные расстояния потребуется существенно изменить MAC-уровень 802.11, что чревато возникновением проблем с обратной совместимостью беспроводных устройств. Следите за развитием стандарта 802.11n и за появлением на рынке поддерживающих его устройств. Они будут высокопроизводительными и (благодаря некоторым перспективным антеннам) «интеллектуальными».
Осенью 1999 г. была создана организация Wireless Ethernet Compatibility Alliance (сейчас её название Wi-Fi Alliance), которой принадлежит бренд Wi-Fi. На проведённой ею в то время пресс-конференции представитель этой организации назвал технологию Wi-Fi беспроводным аналогом Ethernet (wireless Ethernet). Когда же один из журналистов усомнился в правильности такого сравнения, ему было сказано, что технологии Wi-Fi и Ethernet очень похожи, поскольку в них предусмотрен конкурентный доступ узлов сети к среде передачи данных и имеется много общего в реализации канального уровня.
Однако сходство названных технологий на этом и заканчивается. Они существенно отличаются друг от друга на физическом уровне. Если трафик сетей Ethernet локализован в более или менее защищённых от воздействия внешней среды электрических и оптических кабелях, то трафик систем Wi-Fi передаётся по радиоволнам и при этом подвержен влиянию помех и атмосферных осадков, которые могут парализовать работу системы.
Производители средств Wi-Fi стараются не афишировать возможные проблемы в их работе, связанные с их физическим уровнем. Вместо этого они подчёркивают простоту инсталляции и сетевой интеграции оборудования Wi-Fi. Вам следует знать об этих проблемах и, чтобы успешно управлять большими беспроводными ЛВС (БЛВС), нужно ещё разбираться в основах радиотехники. Здесь вполне уместно провести аналогию с сетями Ethernet, для эффективного администрирования которых необходимы знания в области структурированных кабельных систем.
Подобно модемам для коммутируемых линий и кабельным модемам, устройства Wi-Fi модулируют передаваемые сигналы. С помощью разных методов модуляции они преобразуют получаемые от компьютера цифровые сигналы в аналоговые радиочастотные. Скорость передачи данных с помощью модулированной несущей зависит от ряда факторов, в том числе от ширины полосы пропускания канала связи и типа используемого метода модуляции. По сравнению с простыми методами (или схемами) модуляции (например, BPSK, реализуемый 1-Мбит/с устройствами БЛВС), сложные методы модуляции (например, 64-QAM, поддерживаемый 54-Мбит/с оборудованием) обеспечивают более высокую скорость передачи данных. Но при использовании сложных методов модуляции устойчивость работы радиосистемы к воздействию шума снижается.
Поскольку по мере распространения в атмосфере радиосигнал затухает, разработчикам и пользователям радиосистем приходится искать компромисс между скоростью передачи данных и дальностью связи. Радиоволны в атмосфере затухают быстрее, чем радиочастотные сигналы, передаваемые кабельными модемами по гибридным (оптоволоконным и коаксиальным) кабельным системам.
Сети Wi-Fi работают в нелицензируемых (в США) частотных диапазонах 2,4-2,4835 (ISM-диапазон); 5,15-5,35 и 5,725-5,825 ГГц (UNII-диапазоны). Ширина полосы пропускания радиоканала систем Wi-Fi равна 22 МГц.
Устройства, предназначенные для работы в нелицензируемых диапазонах, должны быть спроектированы таким образом, чтобы сводить к минимуму вероятность негативного влияния (на их функционирование) взаимных помех. По этой причине устройства Wi-Fi имеют небольшую выходную мощность и устойчивы к воздействию не очень сильных помех, которые создаются другими устройствами, функционирующими в том же диапазоне.
Помехоустойчивость устройств Wi-Fi обеспечивается расширением спектра передаваемых сигналов. Хотя системы, реализующие технологии расширения спектра, работают довольно надёжно, почти невозможно создать многосотовую БЛВС, не столкнувшись с проблемами в работе её устройств, вызванными помехами.
Любое устройство Wi-Fi, будь то плата PC Card, беспроводной сетевой адаптер для настольного ПК или точка доступа, функционирует как приёмопередатчик, т. е. передаёт и принимает радиосигналы. Стоит отметить, что 5-ГГц радиосигналы устройств стандарта 802.11a затухают сильнее, чем 2,4-ГГц сигналы, особенно когда на пути их распространения встречаются стены или другие объекты.
Мало того что приёмникам приходится работать с очень слабыми сигналами, они ещё испытывают воздействие радиочастотных шумов. К числу их источников относятся высокоскоростной центральный процессор ноутбука и микроволновая печь. Однако современные радиосистемы функционируют даже при очень низком отношении сигнал/шум.
Выходная мощность радиотехнических устройств обычно измеряется в ваттах. В отличие от стереосистем, которые могут иметь выходную мощность 500 Вт, оборудование Wi-Fi излучает значительно менее мощные сигналы — до 200 мВт. Поскольку радиосредства работают с маломощными сигналами, инженеры предпочитают выражать их уровень в логарифмических единицах, называемых децибелами (дБ). При определении уровня сигнала по отношению к одному милливатту используется сокращение «дБм» (dBm). Уровню сигнала в 0 дБм соответствует мощность 1 мВт.
Если мощность сигнала менее 1 мВт, его уровень отрицателен. Например, чувствительность беспроводного сетевого адаптера стандарта 802.11b при пропускной способности 2 Мбит/с может равняться -90 дБм.
Запомните два полезных в инженерной практике правила. Увеличение или уменьшение уровня сигнала на 3 дБ означает увеличение или уменьшение его мощности в два раза. Увеличение же уровня сигнала на 10 дБ соответствует десятикратному увеличению его мощности. Таким образом, если 0 дБм равняется 1 мВт, то 10 дБм — 10, 20 дБм — 100 и 30 дБм — 1000 мВт, или 1 Вт. С помощью этих правил несложно определить, что уровню сигнала в 23 дБм соответствует мощность 200 мВт.
В состав радиопередатчиков входят усилители мощности, повышающие уровень передаваемого сигнала. Для увеличения дальности связи разработчики беспроводного оборудования могут повышать его выходную мощность, но при этом они не должны выходить за пределы налагаемых (регулирующими органами) ограничений на характеристики этого оборудования. И ещё, чем выше выходная мощность, тем больше потребляется электроэнергии (что сокращает срок службы батареи ноутбука) и рассеивается тепла (ноутбук нагревается сильнее).
Дальность связи можно повысить и за счёт применения направленных антенн. Такая антенна фокусирует передаваемый сигнал в определённом направлении и обеспечивает повышение уровня принимаемого сигнала.
Чтобы беспроводная сеть функционировала нормально, суммарное усиление взаимодействующих устройств должно быть выше затухания передаваемого радиосигнала. Затухание радиосигнала в атмосфере (по причине его рассеивания в ней) называется потерями в свободном пространстве.
В зданиях, где работают БЛВС, имеют место и другие виды потерь, в том числе потери, обусловленные поглощением (стенами, межэтажными перекрытиями и дверями), рассеиванием (из-за хаотических отражений от различных поверхностей) и рефракцией (изменением направления распространения волны при прохождении её через объект, например, стеклянную стену) радиоволн. Уровень потерь зависит от частоты радиосигнала. Например, 5-ГГц радиосигнал поглощается межэтажными перекрытиями и стенами сильнее, чем 2,4-ГГц.
Хотя возможность установления радиосвязи зависит в первую очередь от параметров оборудования и потерь передаваемого сигнала, на работу БЛВС влияет и такой фактор, как многолучевое распространение радиоволн, вызванное их отражением от разных предметов. В результате этого один и тот же переданный радиосигнал многократно (с разной временной задержкой) поступает на вход приёмника, что может значительно ослабить принимаемый сигнал.
Инженеры продолжают искать методы борьбы с негативным эффектом многолучевого распространения радиоволн. Сегодня с этой целью многие устройства Wi-Fi оснащены двумя антеннами, что иногда помогает. В большинстве случаев надёжность работы радиосистемы при многолучевом распространении зависит от конструкции её радиоприёмника. По этой причине беспроводная сетевая плата с высокой выходной мощностью может уступать по дальности действия плате с меньшей мощностью, но с улучшенными возможностями работы в условиях многолучевого распространения радиоволн.
Параметр, который вычисляется как разность выраженных в децибелах значений мощности передатчика и чувствительности приёмника, называют системным усилением оборудования или бюджетом радиолинии. Так, соответствующий стандарту 802.11b сетевой адаптер Cisco Aironet имеет максимальную выходную мощность 20 дБм, а чувствительность радиоприёмника точки доступа Cisco 1200 составляет -85 дБм (при максимальной пропускной способности 11 Мбит/с). Следовательно, при использовании этого оборудования бюджет радиолинии равен 105 дБ.
При недостаточно высоком отношении сигнал/шум пропускная способность систем Wi-Fi уменьшается из-за возникновения ошибок в пакетах данных и их повторной передачи. Чтобы устранить эти негативные явления, по мере уменьшения уровня принимаемого сигнала системы Wi-Fi автоматически переходят на менее эффективный метод модуляции, снижая тем самым свою максимальную скорость передачи данных (при этом помехоустойчивость повышается). В системах стандарта 802.11b максимальная скорость снижается постепенно — с 11 до 5,5 Мбит/с, затем до 2 и, наконец, до 1 Мбит/с. Когда же уровня сигнала перестаёт хватать и для работы системы на скорости 1 Мбит/с, связь прерывается.
Понимание основ функционирования радиосистем поможет вам эффективнее использовать средства обследования места развёртывания БЛВС и средства поиска неисправностей в её работе и тем самым улучшить планирование и обслуживание этой сети.
WLAN (Wireless Local Area Network) — беспроводная локальная сеть. Помимо этого сокращения для обозначения беспроводных сетей разного масштаба употребляют термины WPAN (Wireless Personal Area Network) и WWAN (Wireless Wide Area Network). WPAN, иначе беспроводная персональная сеть, служит для связи компьютера с периферийными устройствами (клавиатура, мышь и т.д.). Сюда можно отнести стандарты Bluetooth и IrDa, которые обеспечивают связь на расстоянии до 10 метров. WWAN — глобальная беспроводная сеть, служит для обозначения сетей городских масштабов. По большей части, этот термин употребляется для сетей будущего.
Wi-Fi. Сети, построенные на базе оборудования, поддерживающего стандарт 802.11b, получили название — Wi-Fi-сети. Стоит упомянуть об одной интересной особенности стандарта 802.11b. Если хотя бы один клиент подключается к сети на малой скорости (причиной может стать большая удалённость или сильное ослабление радиосигнала окружающей средой), скорость передачи данных ограничивается для всех остальных пользователей до уровня скорости медленного клиента. Это ограничение устанавливается для обеспечения стабильного режима доступа всех клиентов сети базисным механизмом выбора скорости для каждого пользователя, который используется в стандарте CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance). Как следствие, скорость передачи данных даже при высокоскоростном подключении может упасть с 11 Мбит/с до 1 Мбит/с. Такое падение скорости вполне приемлемо при доступе в Интернет, когда скорость подключения к провайдеру сравнима с нижним порогом в Wi-Fi-сети, но легко замечается при интенсивной работе в локальной сети.
WNIC (Wireless Network Interface Card) — беспроводная сетевая карта, также иногда употребляется термин «беспроводной сетевой интерфейс».
WAPили AP (Wireless Access Point) — узел беспроводного доступа или «точка доступа». Это оборудование позволяет взаимодействовать беспроводным рабочим станциям с ресурсами уже существующей кабельной сети (Ethernet). Являясь точкой перехода (мостом) из беспроводной сети в кабельную сеть и участвуя как посредник в сетевых взаимодействиях беспроводных клиентов при работе сети в режиме инфраструктуры, узел доступа может выполнять некоторые ограничительные функции для активности беспроводных клиентов.
SSID (Service Set Identifier) — идентификатор беспроводной сети. Несмотря на работы по стандартизации беспроводных сетей молодость данной технологии ещё заметна в различных мелочах, в том числе и в названиях. Часто производители оборудования и программного обеспечения для обозначения одних и тех же понятий используют различную терминологию, что может вызвать некоторое смущение у пользователя. Например, наряду с термином «идентификатор SSID» используются следующие наименования: имя сети (Network Name или сокр. NN), предпочтительная сеть (Preferred Network), идентификатор ESSID, и область обслуживания беспроводной сети.
WEP (Wired Equivalent Privacy) — метод поточного кодирования передаваемых данных. Основан на алгоритме RC4. Система отправителя инициализирует программу кодирования двумя значениями: вектором инициализации (IV) и секретным ключом. Каждый бит получившегося в результате кодирующего ключа складывается с соответствующим битом тела (нагрузки) пакета с применением логической операции XOR. В заголовок каждого зашифрованного сетевого пакета добавляется значение IV, применённое для его кодирования. Для следующего пакета выбирается другое значение IV. При расшифровке для каждого бита зашифрованного сообщения и кодирующего ключа также применяется операция XOR. В результате получаем расшифрованные данные.
Вектор инициализации — IV (Initialization Vector). Значение длиной в 24 бита, генерируемое случайным образом.
ICV (Integrity CheckValue) — контрольная сумма данных.
МАС (Media Access Control) — аппаратный адрес.
VPN — защищённое сетевое соединение, использующее протоколы шифрования и туннелирования для создания безопасного подключения клиента к частной сети. Используется для работы в потенциально опасных коммуникационных средах, где существует возможность перехвата данных (например, в Интернет).
Взлом криптозащиты. Операция XOR к двум сообщением, зашифрованным одинаковыми парами значений секретного ключа и есть не что иное, как XOR к соответствующим незашифрованным данным. После чего сами исходные данные легко восстанавливаются.
Система обнаружения вторжения — NIDS (Network Intrusion Detection System).
Системы-ловушки — Honeypot, Honeynets.
WPA (Wi-Fi Protected Access). Базируется на «временном протоколе целостности ключей» — TKIP (Temporary Key Integrity Protocol). Задача, решаемая TKIP: не допустить повторного использования кодирующих ключей. Это достигается динамической заменой используемого в WEP статического ключа новым ключом, вычисленным на основании старого секретного ключа, вектора инициализации и порядкового номера сетевого пакета. Также предусмотрена дополнительная проверка целостности сообщений — MIC (Message Integrity Check), при которой наряду с полезными данными учитываются MAC адреса источника и получателя.
Тип брандмауэра (firewall). Один из первых вопросов, который может встать перед новичком, — это вопрос выбора между брандмауэром типа «Stateful Inspection» или «Stateful Packet Inspection» (SPI). Для ответа на него нужно представлять, как работает маршрутизатор.
Все устройства потребительского уровня основаны на трансляции сетевых адресов (Network Address Translation, NAT). Эта технология позволяет осуществлять множественный доступ компьютеров локальной сети (каждый из которых имеет собственный внутренний IP-адрес) в Интернет, используя один внешний IP-адрес, полученный у провайдера. NAT обеспечивает основные функции брандмауэра, пропуская в сеть только те данные из Интернета, которые поступили в результате запроса от компьютера из локальной сети. Поскольку NAT подразумевает просмотр маршрутизатором содержимого каждого проходящего пакета, то почему бы такой режим не отнести к SPI?
На самом деле этот вопрос до сих пор не имеет однозначного ответа, частично это связано с неправильным использованием терминов при описании ранних продуктов на основе NAT. Кроме того, среднестатистическому покупателю весьма проблематично убедиться в работе SPI. С практической точки зрения различие NAT и SPI не столь велико, здесь вопрос заключается в том, что нужно пользователю. Маршрутизаторы потребительского уровня на базе SPI обычно отличаются от своих родственников NAT наличием такой возможности, как уведомление об атаке по электронной почте, хотя и из этого правила могут быть исключения. Кроме того, благодаря буквам SPI, некоторые производители пытаются повысить стоимость своего оборудования.
Рекомендация: если единственным различием функциональности устройств является наличие SPI у одного из них, то выбирайте его в том случае, если вы планируете использовать перенаправление множества портов или осуществлять доступ к внутреннему серверу из Интернета. В противном случае «чистый» NAT cможет полностью со всем справиться.
Особенности порта WAN. Немного прояснив вопрос о NAT и SPI, перейдём к более практическим вещам — например, как подключиться к Интернету?
Примечание: под широкополосным модемом (broadband modem) мы понимаем устройство для подключения к Интернету, использующее любой из способов широкополосной связи. Это может быть любой модем для выделенной линии.
Тип соединения. Большинство маршрутизаторов оборудованы портом 10BaseT Ethernet для подключения к широкополосному модему. Почему не 10/100? Просто потому, что большинство соединений работают на скорости 1-2 Мбит/с, в лучшем случае, поэтому производители могут немного сэкономить, используя чип на 10BaseT. Некоторые модели оборудованы последовательным портом для WAN-соединения, что позволяет использовать их совместно с обычными модемами (для коммутируемых линий) или соответствующими модемами для выделенных линий (или ISDN-адаптерами). Некоторые модели поддерживают функцию автоматического установления резервного модемного соединения «auto-failover» при разрыве основного подключения и автоматическое переключение обратно при восстановлении последнего.
Получение параметров IP. Когда маршрутизатор уже приобретён и подключён к линии, нужно ещё раз убедиться, что он поддерживает метод получения IP-адреса и тип аутентификации, используемые провайдером. Сначала обратимся к способам задания IP-адреса, которые есть у всех устройств, затем рассмотрим методы аутентификации.
Динамический IP-адрес (Dynamic IP). В этом способе, который также называют «DHCP-клиент», маршрутизатор автоматически получает свой IP-адрес, адреса шлюза по умолчанию и сервера DNS. Подобный способ достаточно широко распространён — он предоставляет провайдеру достаточную гибкость при конфигурировании своей сети. Негативная сторона заключается в том, что полученный IP-адрес может смениться в любой момент, и удалённые приложения, работающие на основе IP-ад-ресов, не смогут работать. К счастью, решить эту проблему помогают провайдеры динамического DNS, например TZO, которые позволяют найти вас по имени независимо от текущего IP-адреса.
Статический IP-адрес (Static IP). Этот метод идеально подходит для тех, кто собирается использовать серверы и не желает связываться с динамическим DNS. Здесь требуется самостоятельно указать IP-адрес, адрес шлюза по умолчанию и адрес сервера DNS, предоставленные провайдером. Такой вариант предоставляют не все провайдеры, а те, которые предоставляют, могут взимать за это дополнительную плату.
Методы аутентификации. Вообще, у провайдеров существует множество способов для проверки подлинности пользователей. Рассмотрим наиболее распространённые из них.
• Коммутируемый доступ и ISDN. Пользователи этих двух способов, вероятно, заметили, что в маршрутизаторах с последовательным портом в разделе настройки удалённого доступа есть также место для указания номера телефона провайдера, имени пользователя и пароля.
• По MAC-адресу. Все устройства, обладающие IP-адресом, имеют и MAC-адрес. MAC-адреса уникальны для любого сетевого оборудования (по крайней мере, предполагается, что они уникальны) и используются в процессе присвоения IP-адресов. MAC-адреса (также известные как адреса физические) состоят из двенадцати шестнадцатиразрядных цифр (то есть, шести байт). Чтобы обеспечить уникальность MAC-адресов, каждому производителю сетевого оборудования выделяется свой диапазон, а конкретный адрес в рамках диапазона присваивается случайным образом.
Примечание: MAC-адрес может быть записан в одном из трех видов. Ниже приведены три варианта записи одного и того же MAC-адреса:
00fe3c812eab
00-fe-3c-81-2e-ab
00:fe:3c:81:2e:ab
MAC-адреса не чувствительны к регистру, поэтому для их написания можно использовать как строчные, так и заглавные буквы (A-F).
Провайдеры, использующие кабельные модемы, часто применяют именно этот метод аутентификации — вы даже можете не знать, что они используют именно его. Однако все сомнения рассеются, как только вы попытаетесь подключить модем к другому компьютеру или маршрутизатору. Поэтому если соединение перестало работать сразу после установки нового оборудования или через некоторое время после этого, вполне вероятно, что провайдер проводит аутентификацию именно по MAC-адресу.
Такой метод является источником проблем: при установке нового маршрутизатора необходимо звонить провайдеру и сообщать новый MAC-адрес в службу поддержки, что приводит к дополнительным временным издержкам. Некоторые провайдеры добавляют в свою базу данных МАС-адресов диапазоны, используемые наиболее известными маршрутизаторами, и запрещают их использование. (Кроме того, некоторые провайдеры отслеживают MAC-адреса устройств, находящихся в сети, и отключают маршрутизаторы без предупреждения или объяснения).
К счастью, разработчики маршрутизаторов придумали обходное решение — сегодня практически все модели позволяют автоматически «клонировать» МАС-адрес компьютера, к которому он подключён, или даже указывать адрес ранее использовавшегося адаптера в качестве внешнего МАС-адреса. Оба способа избавляют от необходимости звонка в службу поддержки.
• PPPoE. Протокол Point-to-Point Protocol over Ethernet (или PPPoE) является относительно новым методом аутентификации. Его продвижению способствовали DSL-провайде-ры Интернета. Этот метод требует лишь указания имени и пароля, но использует протокол, позволяющий выполнять аутентификацию, мониторинг и контроль множества виртуальных подключений. То есть провайдер получает возможность отслеживать и производить расчёты раздельно для пользователей. Однако такая возможность есть только в том случае, если вы арендовали сразу несколько IP-адре-сов. Но она мало распространена. Большинство пользователей предпочитают устанавливать маршрутизатор с NAT для выхода в Интернет с нескольких компьютеров.
PPPoE сегодня поддерживают почти все маршрутизаторы, однако качество реализации, то есть стабильность работы, сильно отличается. Некоторые проблемы PPPoE связаны с прошивкой маршрутизаторов, некоторые — с различиями в реализациях PPPoE провайдерами. Если провайдер использует PPPoE, то стоит выбирать маршрутизатор с его поддержкой, а также со следующими возможностями:
Контроль подключения (Connection Controls). Здесь можно встретить несколько различных параметров, отвечающих за продолжительность поддержания соединения в случае отсутствия сетевой активности и действия при разрыве соединения. Большинство маршрутизаторов настроены по умолчанию так, чтобы автоматически восстанавливать соединение при обнаружении сетевой активности, однако у маршрутизаторов Linksys данная опция вынесена в настройки «Connecton Demand» (Подключение по требованию). Параметр «Maximum Idle Time» (Максимальное время ожидания) определяет время, через которое маршрутизатор разорвёт соединение при отсутствии сетевой активности. Опция «Auto-Reconnect» (Автоматическое восстановление соединения) позволяет маршрутизатору автоматически восстановить соединение при его разрыве.
Сохранение соединения (Keep Alive). Одна из наиболее серьёзных проблем соединений PPPoE заключается в достаточно частых самопроизвольных разрывах. Некоторые провайдеры разрывают широкополосное соединение намеренно, также как и провайдеры коммутируемого доступа, после некоторого периода неактивности, у других просто неправильно настроены серверы PPPoE. Функция «Keep Alive» позволяет поддерживать соединение, посылая пакеты данных через заданные промежутки времени.
Другие параметры аутентификации (Other Authenticationneeds). Некоторые провайдеры PPPoE требуют статического задания IP-адреса и/или «Service Name» (Имени службы). При выборе маршрутизатора убедитесь, что он поддерживает все необходимые функции.
Имя узла (Host Name). Метод аутентификации по имени узла использовался провайдером @Home до тех пор, пока он не распался. В этом случае требуется установить «Host Name» (Имя узла) (в Windows это называется «Имя компьютера» (Computer Name)) на выданное провайдером длинное имя. @Home был одним из наиболее крупных провайдеров, поэтому большинство маршрутизаторов поддерживают возможность задания имени маршрутизатора и последующую передачу его провайдеру в ответ на запрос.
TAS. TAS расшифровывается как «Toshiba Authentication Service» и также известен как «RR login». Протокол применяет аутентификацию по имени пользователя/паролю, используя для этого небольшую клиентскую программу, которая должна работать на компьютере, подключённом к кабельному модему. Большинство маршрутизаторов этот протокол не поддерживают (продукты ZyXEL и некоторые ОЕМ-модели Netgear являются исключениями). Если ваш провайдер использует именно этот способ аутентификации, то вам остаётся либо подыскать маршрутизатор с его поддержкой, либо искать какие-то обходные пути.
Сервер DHCP. Все модели маршрутизаторов поддерживают сервер DHCP, благодаря чему возможно автоматическое предоставление клиентам локальной сети настроек TCP/IP, необходимых для получения доступа в Интернет. Не все маршрутизаторы имеют одинаковый набор настроек DHCP-сервера, поэтому обратите внимание на следующее:
Диапазонадресов (Address Range control). Этот параметр определяет тот диапазон адресов, которые распределяет сервер. Некоторые модели позволяют указать только начальный адрес диапазона. Другие позволяют указать начальный и конечный адреса. Последнее решение является более гибким и позволяет не беспокоиться о том, что выданные сервером адреса будут конфликтовать со статически заданными адресами в сети.
Резервирование IP-адресов (IP reservation). В этом пункте можно задать поддиапазон адресов DHCP-сервера, который будет зарезервирован, — адреса из него выдаваться не будут.
Имя домена (Domain Name). DHCP-сервер также раздаёт адреса DNS-серверов провайдера, но вы можете настроить его и на раздачу клиентам имени домена. Если провайдер не указывает полные имена (FQDN) на своих серверах (например, как @Home), то вам придётся самому настроить эту функцию, чтобы клиенты локальной сети могли работать с почтой, новостями и другими сервисами.
Примечание: FQDN включает в себя имя узла, домена и информацию о домене верхнего уровня, например, www.home.com, или mail.ho-me.com. Не-FQDN имя обычно содержит только имя хоста, например mail, news, POP3.
Включение/Выключение (Enable/Disable). Данный параметр отвечает за включение/выключение DHCP-сервера. Он будет полезен при использовании в беспроводных маршрутизаторах и при наличии DHCP-сервера в сети.
Список клиентов (Client Listing). Иногда необходимо узнать, кто подключён к сети. Эта функция, как минимум, показывает соответствие IP-адресов MAC-адресам для клиентов DHCP-сервера, получивших у него адрес. Некоторые модели также позволяют просмотреть имя компьютера-клиента, выполнить принудительное обновление адресов или отключить клиента.
Перенаправление портов, виртуальные серверы (Port Mapping, Forwarding, Virtual Server). Вообще, здесь может быть множество других названий, однако суть от этого не меняется: данная функция позволяет оставлять открытые порты в брандмауэре. Она требуется для большинства интернет-приложений, которым необходима возможность передавать запросы из внешнего сегмента сети (WAN) во внутренний (LAN).
Существует несколько способов реализации перенаправления портов, при выборе стоит исходить из требований используемых приложений. Рассмотрим типы перенаправления портов.
Статическое перенаправление портов (Static Single Ports). Это простейшая форма перенаправления портов. При её использовании необходимо задавать соответствия между портами, используемыми приложениями и IP-адресами машин, на которых эти приложения работают. В результате запрос снаружи на IP-адрес вашего маршрутизатора будет автоматически перенаправлен на указанный внутренний сервер. Некоторые маршрутизаторы позволяют определять также используемый для этого протокол (TCP или UDP). Другие автоматически производят перенаправление порта для обоих протоколов.
Примечание: статически можно перенаправлять порт только на один IP-адрес. Другими словами, если нескольким пользователям необходимо использовать одно и то же приложение, или если в сети присутствует несколько серверов одного типа, то для каждого из них придётся задействовать свой порт. Некоторые приложения это позволяют, некоторые — нет.
Таким образом, если у вас немного приложений, и они используют по одному-два порта (например, web— или ftp-сервер), то этот способ вполне приемлем. Хотя максимальное число перенаправляемых портов может различаться у разных моделей, обычно устройства позволяют задать до десяти таких портов.
Статическое перенаправление группы портов схоже с одиночными портами, только в данном случае, можно указывать не отдельные порты, а их группы. Как и прежде, перенаправление диапазона портов возможно только для одного IP-адреса. Такая возможность полезна в том случае, если необходимо обеспечить работу приложений, использующих большое количество портов, например, игр или аудио/видеоконференций. Здесь количество групп портов также варьируется от одной модели к другой, хотя обычно также предлагается около десяти.
Демилитаризованная зона, внешний сервер (DMZ, Exposed Server). Данная функция позволяет виртуально поместить компьютер, находящийся в локальной сети, в глобальную сеть до брандмауэра. Подчеркну слово «виртуально», поскольку на самом деле машина физически остаётся подключённой к сегменту LAN. Другими словами, в этом случае осуществляется перенаправление всех портов на один внутренний IP-адрес. Эта функция осуществляется внутренней прошивкой маршрутизатора, и в некоторых моделях до сих пор не работает должным образом.
Динамическое перенаправление портов (Dynamic, Triggered Mapping). Иногда у этой функции встречается и другое название — «Special Applications» (Специальные приложения). Цель данной функции направлена на преодоление ограничения статического перенаправления, когда один номер порта можно перенаправить только на один внутренний IP-адрес. Настройка выполняется точно так же, как в случае статических привязок, за исключением указания свойства «trigger» (и иногда протокола). После активации данной функции маршрутизатор следит за исходящим трафиком, то есть за тем трафиком локального сегмента, который направлен в Интернет и соответствует заданному критерию. Если такой трафик обнаружен, то маршрутизатор запоминает IP-адрес компьютера, от которого исходит этот трафик. При поступлении данных обратно, в локальный сегмент, включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP-адрес. Таким образом, создаётся иллюзия того, что сразу несколько компьютеров одновременно используют перенаправление одного и того же порта, хотя на самом деле в один момент времени только один компьютер может использовать перенаправление.
Примечание: событие, по которому осуществляется динамическое перенаправление должно происходить во внутреннем сегменте сети, поэтому его нельзя использовать для организации работы нескольких серверов, находящихся в сегменте LAN и использующих один порт. Другими словами, если необходимо, чтобы работали два web-сервера, нужно настроить статические перенаправления на два различных порта и соответствующим образом настроить серверы.
Примечание: динамические перенаправления прекрасно подходят для служб, использующих кратковременные запрос и передачу данных, поскольку если один компьютер использует перенаправление данного порта, то в этот момент времени другой компьютер перенаправление этого порта использовать не может. Если нужно настроить работу приложений, которым необходим постоянный поток данных, (например потоковое аудио и видео, интернет-телефония и многое другое), которые занимают порт на длительное время, то динамическое перенаправление в этом случае помогает мало.
Привязка сервера Loopback (Mapped Server, Loopback). Если на маршрутизаторе настроено перенаправление портов на серверы, находящиеся в сегменте LAN, то добраться до них из этого же сегмента можно достаточно просто — указав внутренний IP-адрес сервера. Пользователи, находящиеся с другой стороны маршрутизатора — WAN, могут обратиться к серверу через внешний адрес маршрутизатора.
Функция «Loopback» позволяет пользователям, находящимся во внутреннем сегменте, обращаться к такому серверу по внешнему IP-ад-ресу маршрутизатора (или по имени, если оно задано). Такая возможность избавит пользователей, находящихся в одной локальной сети с сервером, от необходимости запоминать внутренние адреса, позволив обращаться к серверу точно так же, как всем остальным пользователям, находящимся снаружи маршрутизатора.
Контроль доступа, фильтрация портов (Access Control, Port filtering). В некоторых ситуациях необходимо ограничивать круг пользователей, имеющих доступ к сервисам Интернета: например, разрешить доступ только к электронной почте или только к web-страницам. Для этой цели почти у всех маршрутизаторов есть возможность ограничения доступа. Работает это следующим образом: задаются группы пользователей (на самом деле это группы IP-адресов). Затем для каждой группы указываются сервисы (используемые ими порты), которые разрешается использовать группе.
Различные модели маршрутизаторов позволяют реализовать различные уровни контроля, хотя обычно можно либо разрешить доступ только к указанной группе сервисов (номерам портов), или разрешить доступ ко всем, кроме указанной группы. Когда пользователь пытается использовать неразрешённую службу, например AOL Instant Messenger, она просто не будет работать. Это может показаться странным для пользователей, которые не были предупреждены о фильтрации. Поэтому многие модели маршрутизаторов в данном случае покажут сообщение о том, что доступ к этой службе закрыт.
Обычно маршрутизаторы позволяют задать четыре группы, возможное количество портов в группе различается. Некоторые модели позволяют одновременно указывать не только одиночные порты, но и их диапазоны, другие — только одиночные порты.
Большинство моделей позволяют только включить блокирование или отключить, однако некоторые поддерживают также блокирование портов по расписанию. Конечно, гибкость расписания не слишком велика, обычно она ограничивается одним периодом времени с указанием дней недели, в которые этот фильтр используется.
Ограничение/фильтрация содержания (Content Control, Content filtering). Данная функция предназначена для ограничения доступа пользователей локальной сети к ресурсам Интернета. Она схожа с такими программами, как Cybersitter, NetNanny, CyberPatrol и другими, но более ограничена в возможностях. Некоторые модели позволяют лишь указать URL или IP-адреса и запретить или разрешить доступ только к ним. Другие поддерживают использование списков фильтрации и позволяют использовать такие списки от третьих фирм. Некоторые модели также позволяют настроить и этот фильтр на работу по расписанию.
VPN (Virtual Private Networking). С постоянным ростом внимания к безопасности компьютерных сетей, возможность поддержки VPN становится все более актуальной, особенно это касается тех, кому необходимо подключаться к сети офиса из дома или из гостиницы в случае командировки. Многие организации позволяют подключаться к своей сети лишь с использованием технологий VPN. Производители маршрутизаторов ответили на спрос решений для VPN поддержкой их в своих устройствах. Возможности туннелирования в маршрутизаторах сильно различаются от модели к модели, поэтому необходимо заранее знать, поддержка какого типа туннелей вам необходима.
Протоколы (Protocols). Два наиболее часто используемых протокола для создания VPN — это PPTP и IPsec. PPTP (поддерживается компанией Microsoft) поддерживается в маршрутизаторах наиболее часто, хотя сегодня большинство моделей также поддерживают и IPsec. Третий протокол, L2TP, распространён не так широко, поэтому если ваше подключение VPN использует именно этот протокол, то убедитесь в его должной поддержке маршрутизатором.
Прохождение (Pass-Thru). Простейшая форма поддержки VPN — это обеспечение сквозного прохождения туннелей через маршрутизатор. Маршрутизатор, поддерживающий этот режим, пропускает через себя инкапсулированные пакеты данных, не просматривая их содержимое. Остаётся только настроить соответствующее клиентское ПО на компьютерах во внутреннем сегменте, чтобы клиенты из локальной сети могли свободно подключаться к серверу VPN снаружи. Большинство производителей заявляют, что их модели поддерживают прохождение туннелей VPN, однако на самом деле ситуация может оказаться обратной. Иногда проблемы заключаются в ошибках прошивки маршрутизатора, иногда они связаны с невозможностью работы протокола VPN через маршрутизаторы NAT.
Совет: через маршрутизаторы NAT не могут работать подключения VPN, использующие аутентификацию заголовков IPsec (IPsec Header Authentication) или пакеты IPsec с неинкапсулированным шифрованием FMZ.
Также маршрутизаторы различаются по количеству пропускаемых туннелей. Это не так критично для одиночных пользователей, но может играть важную роль для небольших организаций, использующих соединения между несколькими офисами. Одни модели могут поддерживать прохождение только одного туннеля в один момент времени, другие могут пропускать сразу несколько. Третьи могут пропускать несколько туннелей только в том случае, если они направлены на один сервер VPN. То есть два сотрудника из одного офиса не смогут установить подключение к двум различным удалённым VPN-серверам.
Ещё одна необходимая функция, касающаяся VPN, — это возможность использования серверов VPN внутри сети. Естественно, для этого необходимо будет установить перенаправление портов, или поместить сервер в DMZ, но если маршрутизатор не знает, как обращаться со специально построенными пакетами данных VPN, клиенты не смогут подключиться к серверу. Поэтому, если необходимо установить сервер VPN за маршрутизатором внутри сети, то сначала стоит убедиться, что маршрутизатор поддерживает прохождение туннелей PPTP или IPsec внутрь.
Конечная точка (End Point). Второе название этой функции — «VPN Edge». Так называется способность маршрутизатора создавать и разрывать туннельное соединение. Благодаря ей маршрутизатор может устанавливать туннели сам, что позволяет не использовать программное обеспечение для VPN на клиентских компьютерах. Кроме того, используя два одинаковых (или почти одинаковых) маршрутизатора, можно создать туннельное соединение между двумя сетями без использования какого-либо дополнительного программного или аппаратного обеспечения.
Ранее такая возможность была доступна в устройствах стоимостью от $500, однако сегодня появляются все новые модели устройств, которые стоят дешевле $100 и поддерживают конечные точки VPN. К примеру, SMC 7004.
При выборе маршрутизатора с такой возможностью следует убедиться в наличии конечной точки PPTP, если она вам нужна (некоторые модели поддерживают конечную точку только для IPsec, а для PPTP есть лишь возможность прохождения туннелей). Кроме того, если необходима возможность доступа к сети, например, во время поездок, убедитесь в наличии в комплекте поставки клиентского приложения VPN, если оно необходимо.
Журналирование (Logging). Журналирование — это способ маршрутизатора «сказать», что он выполнял и, что более важно, чем занимались пользователи. Большинство моделей потребительского уровня обладают достаточно скромными возможностями журналирования и предоставляют лишь поверхностные возможности (в лучшем случае) для просмотра активности определённого пользователя.
Обычно в журнал заносятся три типа записей: административные, «hack attempts» (попытки взлома) и трафик пользователей. Административные записи включают в себя такие события как включение/выключение и перезагрузку маршрутизатора. Кроме того, здесь же можно встретить и список попыток административных входов. Записи «Попытки взлома» обычно включают попытки любого доступа к маршрутизатору с внешнего сегмента сети (WAN). Эти попытки обычно не направлены именно на ваш маршрутизатор, а являются результатом сканирования портов всей подсети. Модели с брандмауэрами на базе просмотра содержимого (SPI) могут также определять и записывать потенциально опасные атаки, например Denial of Service (DoS) — отказ в обслуживании, fragmented packet — фрагментированные пакеты и другие, не менее опасные атаки. И, наконец, записи трафик пользователей включают запросы HTTP, FTP и других сервисов Интернет.
Как и упоминалось ранее, интерфейс журналов у большинства моделей чрезвычайно прост, обычно представляет собой просто список событий. Некоторые модели позволяют стирать или сохранять журнал в файл, в то время как другие сохраняют лишь определённое количество событий, а когда журнал переполнится, наиболее старые события будут удаляться, уступая место новым. Ещё один тип журналирования — это журналирование URL или web-трафика: в данном случае запоминается количество посещений какого-то web-адреса сервера, без указания точных адресов страниц, поэтому если вам необходимо отслеживать и адреса страниц, то следует озаботиться выбором модели с поддержкой жур-налирования на внешний сервер.
Для журналирования на сервер используются два метода. Поддержка Syslog позволяет задать адрес машины в локальной сети, на которой запущен сервер или домен syslog. Этот сервис изначально появился в системах unix, а сейчас есть также версии для Windows и MacOS. После установки сервер Syslog позволит маршрутизатору передавать копии журналов, которые затем могут обрабатываться различными программами.
Второй метод — это SNMP trap. Он поддерживается в популярной серии маршрутизаторов Linksys, и для него также существует множество программ. Для работы используется передача данных по протоколу SNMP.
И, наконец, некоторые маршрутизаторы (обычно с брандмауэрами SPI) поддерживают отправку предупреждений и сообщений об атаках по электронной почте. Это позволяет маршрутизатору отправлять сообщение при обнаружении попыток взлома из Интернета, или отсылку некоторых сообщений журнала по расписанию. Весьма удобно, особенно для тех, кто вечно забывает регулярно просматривать журналы событий.
Маршрутизация (Routing). Существуют модели, позволяющие выполнять обычную маршрутизацию (не-NAT). То есть вместо того, чтобы позволять нескольким компьютерам использовать один IP-адрес для доступа в Интернет, маршрутизатор может передавать трафик на компьютеры в локальной сети, имеющие реальные IP-адреса (выданные провайдером). Одна из ключевых функций здесь состоит в том, что компьютеры с реальными IP-адресами могут напрямую связываться со всеми другими компьютерами в Интернете. Естественно, при этом необходимо защищать каждую машину индивидуально.
Есть ещё два типа особенностей, относящихся к маршрутизации. Статическая маршрутизация требует указания информации о подключённых подсетях.
Динамическая маршрутизация использует протокол RIP (Routing Information Protocol) для автоматического получения маршрутов от других устройств, использующих этот протокол.
Блокирование запросов ping снаружи (Discard WAN ping, Stealth mode). Одна из основных возможностей всех программ-сканеров портов — это отсылка на исследуемые адреса запроса ping и последующее ожидание ответа. Изначально запросы ping используются для диагностики связи с удалённым компьютером, но теперь ping используют и для обнаружения активных компьютеров. Вы можете блокировать запросы ping — в результате ваш маршрутизатор не будет на них отвечать.
Удалённое администрирование (Remote Administration). При наличии этой возможности можно разрешить административный вход из внешнего сегмента (WAN или Интернет). Её очень удобно использовать в том случае, если вы часто находитесь в разъездах, и вам необходимо часто изменять настройки маршрутизатора, или если вы отвечаете за работу сразу нескольких маршрутизаторов, расположенных в разных местах. Если такой доступ недостаточно защищён, то он представляет потенциальную опасность — ведь любой злоумышленник тоже может получить доступ к вашей локальной сети, поэтому следует выбирать маршрутизаторы, обеспечивающие максимальную защиту административного доступа. Как минимум, стоит ограничить административный доступ, разрешив его только с одного IP-адреса или с группы адресов. Ещё лучше будет возможность задания номера порта, используемого для подключения к консоли администрирования — но данная функция встречается относительно редко. То есть для получения доступа злоумышленнику необходимо будет узнать не только IP-адрес маршрутизатора, но и порт, используемый консолью администрирования.
Сервер печати (PrintServer). Эта функция приобрела популярность благодаря старой линейке маршрутизаторов Barricade компании SMC. Она позволяет подключать принтер с параллельным портом к маршрутизатору, а не к компьютеру сети. Таким образом, печать не зависит от работы или доступности какого-то одного компьютера, и, кроме того, вы можете установить принтер в более удобное место. Большинство моделей с серверами печати имеют небольшое количество памяти (ограничивая размер печатаемых файлов), могут не работать с MacOS, и не поддерживают функции двунаправленной передачи данных по LPT-порту. В целом, сервер печати — вещь полезная, особенно с учётом того, что он совсем незначительно увеличивает стоимость устройства.
MTU. Этот параметр позволяет изменять параметр Maximum Transmission Unit для маршрутизатора. Наиболее интересно это может показаться для тех, кто использует соединение PPPoE, или для тех, кто пытается настроить соединение VPN, или то и другое одновременно. Необходимость изменять этот параметр вызвана настройками сетей некоторых провайдеров. Подробнее узнать о том, к чему приводят такие изменения можно на сайте speedguide.net, тем не менее, мы считаем, что вам не стоит изменять этот параметр до тех пор, пока провайдер или производитель не посоветуют это сделать.
• 938 22 18, просп. Вернадского, 6, влад. 1, м. Университет, пн-вс 12.00 и до последнего клиента
• 209 59 51, Петровка, 30/7, вход с Петровского бульвара, м. Чеховская круглосуточно
• «5 Оборотов», 299 26 00, Садовая-Триумфальная, 22/31, м. Маяковская, вс-чт 12.00-0.00, пт-сб 12.00-5.00
• «Б2», 209 99 09, 209 99 18, Б.Садовая, 8, м. Маяковская, пн-вс 12.00 и до последнего клиента
• «Вермель», 959 33 03, Раушская наб., 4/5, м. Третьяковская, пн-пт 12.00-5.00, сб-вс 18.00-6.00
• «Вертинский», 202 05 70, 202 05 67, Остоженка, 3/14, м. Кропоткинская пн-вс 12.00-0.00
• «Гео парк», 432 99 81,432 57 78, просп. Вернадского, 53, м. Проспект Вернадского, пн-чт, вс 12.00-0.00, пт-сб 12.00-6.00
• «Гранд Империал», 291 60 63, Гагаринский пер., 9/5, м. Кропоткинская, пн-пт 12.00-23.00
• «Гриль Хаус», 246 12 72, Льва Толстого, 18 (в РК «Кос-мик»), м. Парк культуры, вс-ср 12.00-0.00, чт-сб 12.00-5.00, боулинг-клуб, пн-вс 12.00-5.00
• «Дом», 953 72 36, Б.Овчинниковский пер., 24, стр. 4, м. Новокузнецкая, чт-вс 19.00-23.30
• «Древо желаний», 230 23 01, Кожевническая, 11, м. Павелецкая, пн-вс 12.00-0.00
• «Зен Кофе», 152 25 52, Ленинградский просп., 62, м. Аэропорт, пн-вс 8.00-23.00
• «Итальянец», 688 64 01, 688 56 51, Самотёчная, 13, м. Цветной бульвар, пн-вс 12.00 и до последнего клиента
• «Консерватория», 783 12 34, Неглинная, 4, гост. «Арарат Парк Хаятт», 10 этаж, м. Кузнецкий Мост, Охотный Ряд, Театральная, пн-вс 12.00-2.00
• «Кофемания», 924 00 75, Рождественка, 6/9, стр. 1, м. Кузнецкий Мост, пн-вс 8.00-23.00
• «Кофемания», 229 39 01, Б.Никитская, 13, м. Александровский сад, Арбатская, пн-вс 8.00-1.00
• «Кофемания», 290 01 41, Кудринская пл., 46/54, м. Баррикадная, Краснопресненская, пн-вс 8.00-1.00
• «Кофетун», 209 14 94, Тверская, 18а, м. Пушкинская, Тверская, Чеховская, круглосуточно
• «Кухмейстер», 953 41 98, Пятницкая, 47, стр. 3, м. Новокузнецкая, Третьяковская, пн-сб 11.00-23.00
• «Лаун-Теннис», кафе, 209 58 92, Тверская, 20/1, стр. 1, м. Пушкинская, Тверская, Чеховская, пн-вс 11.00-5.00
• «Манер», 775 19 59, Петровка, 5, бизнес-центр «Берлинский дом», 1 этаж, м. Кузнецкий Мост, Охотный Ряд, пн-ср, вс 10.00-0.00, чт-сб 9.00-6.00
• «Матрица», (бар в фойе кинотеатра), 933 59 02, Осенний б-р, 7 корп. 1, м. Крылатское, пн-вс 10.00-0.00
• «Место встречи», 229 23 73, Тверская, 17, м. Тверская, пн-вс 11.00-5.00
• «Метрополис», 299 79 74, Садовая-Триумфальная, 4/10, м. Маяковская, круглосуточно
• «Механа Банско», 241 31 32, 244 73 87, Смоленская пл.,
9/1, м. Смоленская, пн-чт, вс 12.00-23.00, пт-сб 12.00-2.00
• «Монтана Кофе», 269 16 47, Русаковская, 29, м. Сокольники, пн-пт 7.00-23.00, сб-вс 8.00-22.00
• «Пиноккио», 243 56 88, 243 70 15, Кутузовский просп., 4/2, м. Киевская, пн-вс 12.00-0.00
• «Пицца Экспресс», 937 81 00, 937 82 61, Смоленская пл., 3, Смоленский пассаж, 1 и 2 этажи, м. Смоленская, пн-вс 10.00-22.00
• «Санрайз», 291 87 52, Н.Арбат, 22, м. Арбатская, Смоленская, круглосуточно
• «Санта Фе», 256 14 87, 256 14 28, 256 14 26, Мантулинская, 5/1, стр. 6, м. Улица 1905 года, пн-ср, вс 12.00-0.00, чт-сб 12.00-3.00
• «Скандинавия», 937 56 30, 200 49 86, Палашевская, 7, м. Пушкинская, Тверская, Чеховская, пн-вс 12.00-0.00
• «Старина Мюллер», 259 13 73, 259 02 15, 259 07 00, Шмитовский пр., 2, стр. 1, м. Улица 1905 года, пн-ср 11.00-1.00, чт-вс 13.00-1.00
• «Тинькофф», 777 33 00, Проточный пер., 11, м. Смоленская, пн-вс 12.00-2.00
• «Третий Рим», 924 16 20, Б.Черкасский пер., 13, м. Площадь Революции, пн-пт 9.00-23.00, сб-вс 12.00-23.00
• «Тривия», 209 65 23,М.Бронная, 20а, м. Маяковская, Пушкинская, Тверская, Чеховская, пн-вс 12.00-23.00
• «Улей», 797 43 33, Гашека, 7, м. Маяковская, пн-вс 12.00-2.00
• «Час Пик», 205 20 56, Новинский б-р, 7, стр. 1, м. Смоленская, вс-чт 11.00-0.00, пт-сб 11.00-1.00
• «Шанти», 783 68 68, Мясницкий пр., 2/1, м. Красные Ворота, пн-чт, вс 12.00-0.00, пт-сб 12.00-5.00
• «Шоколадница», 241 06 20, Арбат, 29, м. Арбатская, пн-вс 9.00-23.00
• «Шоколадница», 200 13 37, Б.Дмитровка, 30/1, м. Пушкинская, пн-вс 9.00-0.00
• «Шоколадница», 254 76 36, Б.Грузинская, 2/12, м. Баррикадная, Краснопресненская, круглосуточно
• «Шоколадница», 951 37 03, Климентовский пер., 10, стр. 1, м. Третьяковская, круглосуточно
• «Шоколадница», 249 03 18, Кутузовский просп., 24, м. Кутузовская, круглосуточно
• «Шоколадница», 680 85 15, просп. Мира, 29, м. Проспект Мира, круглосуточно
• «Шоколадница», 924 28 43, Мясницкая, 24/7, м. Чистые пруды, круглосуточно
• «Шоколадница», 203 12 61, Б.Никитская, 14, м. Охотный ряд, вс-чт 8.00-0.00, пт-сб 8.00-1.00
• «Шоколадница», 973 26 96, Новослободская, 36, м. Новослободская, круглосуточно
• «Шоколадница», 238 27 34, Б.Якиманка, 58/2, м. Октябрьская, круглосуточно
• «Штольц», 246 02 53, Саввинская наб., 25-27, м. Киевская, пн-вс 12.00 до последнего клиента
• «Amazonia», 209 96 06, Страстной б-р, 14, м. Пушкинская, пн-вс 12.00-6.00
• «American Bar & Grill», 912 36 15, 912 36 21, Земляной Вал, 59, м. Курская, Чкаловская, пн-вс 10.00-2.00
• «American Bar & Grill», 250 95 25, 251 79 99, 1-я Тверская-Ямская, 2, стр. 1, м. Маяковская, круглосуточно
• «American Bar & Grill», 276 40 96, Воронцовская, 50, м. Пролетарская, пн-ср, вс 10.00-2.00, чт-сб 10.00-5.00
• «American Bar & Grill», 956 48 43, Кировоградская, влад. 14, ТЦ «Глобал Сити», 2 этаж, м. Южная, пн-вс 10.00-0.00
• «Big Pig Pub», 206 82 63, Маросейка, 3/13, м. Китай-город, круглосуточно
• «Bookафе», 200 03 56, Садовая-Самотёчная, 13, м. Цветной бульвар, пн-вс 11.00-2.00
• «Cаfenet» (интернет-кафе), 145 15 06, Сеславинская, 24, корп. 1, м. Багратионовская, круглосуточно, технический перерыв 8.00-9.30
• «Delifrance», 299 42 84, Тверская, 31, м. Маяковская, пн-чт, вс 9.00-23.00, пт-сб 9.00-23.30
• «F1» (интернет-клуб), 772 38 51, Бирюлёвская, 17 (в кинотеатре «5 Звёзд-Бирюлёво»), м. Царицыно, пн-вс 11.00 до последнего клиента
• «Fame Cafe», 250 00 46, 1-я Тверская-Ямская, 9, стр. 2, м. Маяковская, круглосуточно
• «FAQ-Cafe», 229 08 27, Газетный пер., 9, стр.2, м. Охотный ряд, пн-вс 12.00-6.00
• «Hard Rock Cafe», 244 89 70, 241 98 53, 205 83 26, Арбат, 44/1, м. Смоленская, пн-вс 8.00-23.00
• «II Patio», 290 50 70, Смоленская, 3, м. Смоленская, пн-вс 11.00-23.00
• «II Patio», 298 25 30, Волхонка, 13а, м. Кропоткинская, пн-вс 12.00-0.00
• «Infinity», 255 90 56, 255 90 80, Дружинниковская, 15, м. Краснопресненская, пт-сб 11.00-6.00
• «Le Club», 915 10 42, В.Радищевская, 21, м. Таганская, пн-вс 12.00-0.00
• «Le Gateau», 937 56 78, Тверская, 23, м. Тверская, пн-вс 9.00-1.00
• «Loft», 933 77 13, Никольская, 25, ТК «Наутилус», 6 этаж, м. Кузнецкий Мост, пн-вс 9.00-0.00
• «Monterosso», 912 58 62, Таганская пл., 10/2, м. Таганская, круглосуточно
• «Nixcafe», 221 18 10, 1-я Квесисская, 18, ТЦ «Бутырский», м. Савёловская, круглосуточно
• «No name», 299 97 02, Тверская, 27, стр. 2, м. Маяковская, круглосуточно
• «R & B Cafe», 203 60 08, Староваганьковский пер., 19, стр. 2, м. Александровский сад, Арбатская
• «Starlite Diner», 290 96 38, Б.Садовая, 16, м. Маяковская, круглосуточно
• «Starlite Diner», 959 89 19, Коровий Вал, 9а, м. Добрынинская, Октябрьская, круглосуточно
• «TimeOnline» (интернет-кафе), 254 95 78, Б.Кондратьев-ский пер., 7, м. Белорусская, круглосуточно
• «TimeOnline» (интернет-кафе), 254 95 78, Манежная пл., 1, стр. 2, ТК «Охотный Ряд», м. Охотный Ряд, круглосуточно
• «Snob's», 775 23 10, 1-й Обыденский пер., 3, м. Кропоткинская, пн-вс 12.00-0.00
• «T.G.I. Friday's», 238 32 00, 238 08 80, Ленинский просп., 1/2, корп. 1, м. Октябрьская, пн-пт 10.00-0.00, сб-вс 12.00-0.00
• «T.G.I. Friday's», 200 39 21, Тверская, 18/2, м. Пушкинская, Тверская, Чеховская, пн-вс 12.00-1.00
• «T.G.I. Friday's», 970 11 86, Земляной Вал, 33, ТЦ «Атриум», 1 и 2 этаж, м. Курская, пн-вс 12.00-0.00
• «T.G.I. Friday's», 780 79 22, Новослободская, 3, м. Новослободская, Менделеевская, пн-вс 12.00-0.00
• «T.G.I. Friday's», 779 42 10, 779 42 11, Гарибальди, 23, ТЦ «Панорама», м. Новые Черёмушки, пн-вс 12.00-0.00
• Аэропорт Домодедово, 504 02 74, 504 02 64, зал международного вылета, VIP-зал, зал ожидания на 2 этаже
• Аэропорт Шереметьево, 730 68 10 (ресторан), ресторан T.G.I. Friday's
• Балчуг Кемпински, 230 65 00, Балчуг,1, м. Третьяковская
• Ирис Конгресс-Отель, 933 05 33, Коровинское ш., 10, м. Петровско-Разумовская
• Катерина-Сити, 933 04 00, Шлюзовая наб., 6/1, м. Павелецкая
• Марриотт Гранд-отель, 937 00 00, Тверская, 26/1, 1 этаж, м. Маяковская
• Марриотт Роял Аврора, 937 10 00, Петровка, 11/20, м. Театральная
• Марриотт Тверская, 258 30 00, 290 99 00, 1-я Тверская-Ямская, 34, м. Белорусская
• Националь, 258 70 00, 258 70 68, 258 71 70, Моховая, 15/1, стр. 1, м. Охотный Ряд, Театральная
• Пекин, 209 22 15, 209 22 25, Б.Садовая, 5/1, м. Маяковская
• Ренессанс Москва, 931 90 00, 931 98 33, Олимпийский просп., 18/1, м. Проспект Мира
• Рэдиссон САС Славянская, 941 80 20, пл. Европы, 2, м. Киевская
• Татьяна, 721 25 00, Стремянный пер., 11, м. Павелецкая, Серпуховская
• Шератон Палас, 931 97 00, 1-я Тверская-Ямская, 19, м. Белорусская, Маяковская
Сетевые мечтатели и их разоблачение. Олег Нечай
Почувствовать боль! Олег Парамонов
Воздушные Замки. Георгий Башилов
Беспроводные сети. Взлом и защита. Александр Красоткин
Локальная сеть в мобильном офисе. Баир Гармаев
Без стука. Евгений Золотов
Wi-Fi на практике. Константин Иванов
Беспроводные технологии. Дэйв Молта
Детектор беспроводных сетей PCTEL: ищем точки доступа. Андрей Пировских, Дмитрий Чеканов
Руководство по решению проблем: настройка моста/повторителя WDS. Тим Хиггинс
Руководство по решению проблем: когда беспроводные сети мешают друг другу. Тим Хиггинс
Выбираем КПК для Wi-Fi. Баир Гармаев
Как выбрать беспроводной сетевой адаптер. Дэйв Молта
Wi-Fi в самолёте: небо без проводов! Андрей Пировских
Руководство «сетевика»: Wi-Fi Protected Access (WPA). Тим Хиггинс
Маршрутизаторы: краткий справочник по терминологии и функциям. Тим Хиггинс
Введение в беспроводные маршрутизаторы. Ули Раес, Аксель Майно, Дэвид Стеллма
Wi-Fi на службе оператора. Вячеслав Ерохин
Возможности технологии Bluetooth. Питер Рисеви
Антенны для устройств беспроводных ЛВС. Дэйв Молта
Беспроводные устройства: как сделать правильный выбор. Питер Рисеви
Функционирование устройств Wi-Fi на физическом уровне. Дэйв Молта