Dzielenie neostrady

Najwygodniejszy i najprostszy sposób dzielenia Neostrady to użycie przeznaczonego do tego celu routera sprzętowego - szczególnie, że od niedawna urządzenia takie oferuje w ramach zestawu instalacyjnego Telekomunikacja Polska S.A. Metoda jest prosta - nie wymaga specjalistycznych umiejętności, a jedynie ustawienia w routerze kilku opcji, niezbędnych do prawidłowego działania. Dzięki instrukcjom załączonym przez producentów do wszystkich urządzeń każdy użytkownik powinien sobie z tym poradzić.

Takim sprzętowym rozwiązaniu można oprzeć małe domowe lub biurowe sieci LAN, obsługujące do czterech (niekiedy nawet do siedmiu) użytkowników. Dołączając kolejne urządzenia, można by tę liczbę powiększyć nawet do 253. Oczywiście, z powodu niedostatecznej przepustowości, podobne rozwiązanie nie ma większego sensu, ale w wypadku kilku użytkowników można wykorzystać Neostradę jako stosunkowo tanie łącze podstawowe lub rezerwowe na przykład w średniej domowej sieci lokalnej.

W niniejszym artykule omawiamy zarówno absolutnie niezbędne urządzenia w sieci lokalnej podłączonej do Neostrady, jak i te, które zwiększają możliwości, bezpieczeństwo czy wygodę jej użytkowania. Pod uwagę wzięliśmy urządzenia oferowane przez Telekomunikację Polską S.A. (w ramach tzw. zestawów instalacyjnych) i routery oferowane przez inne firmy.

Obsługa przez WWW

Praktycznie każdy router obsługujący Neostradę można konfigurować i zarządzać jego ustawieniami przez dowolną przeglądarkę internetową. To wygodny sposób - nie trzeba korzystać z rozbudowanych list poleceń ani instalować specjalnego oprogramowania. Rozwiązanie to ma jeszcze jedną wielką zaletę: jest niezależne od platformy i umożliwia konfigurację routera zarówno korzystającym z Windows, jak i którejś z dystrybucji Linuksa czy też niezbyt popularnego w Polsce Mac OS. Wystarczy, żeby przeglądarka internetowa obsługiwała obowiązujące standardy, gdyż w przeciwnym razie będą problemy z wyświetleniem interfejsu konfiguracyjnego routera lub zapisaniem zmian w jego ustawieniach. Nie powinno się to zdarzyć podczas korzystania z Internet Explorera, Mozilli czy też Opery, ale jest możliwe przy bardzo niestandardowych ustawieniach, gdy stosujesz restrykcyjne zasady filtrowania czy którąś z mniej popularnych przeglądarek.

Obsługa PPPoE

Kolejną ważną funkcją urządzeń przeznaczonych do dzielenia Neostrady jest obsługa protokołu PPPoE (Point-to-Point Protocol over Ethernet), który to umożliwia zalogowanie się urządzenia z wykorzystaniem hasła i loginu użytkownika usługi, a następnie korzystanie z pasma udostępnionego przez TP S.A. W wypadku sprzętowego dzielenia Neostrady na poszczególnych użytkowników router musi obsługiwać ten protokół - bez niego niemożliwe będzie podanie danych uwierzytelniających, a tym samym korzystanie z usługi.

Serwer DHCP

Dzięki powiadamianiu e-mailem o próbach odwiedzenia zablokowanych przed administratora stron można łatwo sprawdzić, którzy użytkownicy próbują uzyskać do nich dostęp.
Automatyczne podłączenie klienta do routera, bez zagłębiania się w konfigurację ustawień właściwości protokołu TCP/IP na komputerze klienta, jest możliwe, gdy urządzenie ma wbudowany serwer DHCP (Dynamic Host Configuration Protocol). Używanie tego protokołu pozwala odciążyć administratora i zmniejszyć nakład pracy, jaką musiałby włożyć w ręczną konfigurację każdego klienta sieci lub przygotowanie odpowiednich wersji instalatorów dla poszczególnych użytkowników. Dzięki DHCP karta sieciowa lub inne urządzenie klienckie może pozyskać adres IP i obowiązujące w danej sieci ustawienia protokołu TCP/IP automatycznie, wprost z routera. Tak więc zaraz po ukończeniu instalacji sieci użytkownik może korzystać z jej zasobów, oczywiście mając na to zgodę administratora.

Interfejsy LAN

Jedną z najistotniejszych różnic między modelami routerów jest liczba portów LAN, przez które podłącza się komputery kolejnych użytkowników. Do Neostrady stosuje się zwykle routery czteroportowe, oparte na interfejsie 10/100BaseT (RJ-45) i popularnym kablu UTP. Można też stosować siedmioportowe, np. Planet XRT-711A, uwzględniony w naszym zestawieniu sprzętu. Jak już wspomnieliśmy, chcąc zwiększyć liczbę użytkowników, wystarczy podłączyć dodatkowe urządzenie.

Interfejsy WAN

Powszechnie stosowanym w routerach interfejsem jest 10/100BaseT, niekiedy zaś wolniejsza wersja, 10BaseT. Jeśli urządzenie jest podłączone bezpośrednio do modemu Neostrady, typ zastosowanego interfejsu WAN nie ma praktycznie wpływu na szybkość połączenia, bo maksymalna prędkość Neostrady wynosi "zaledwie" 512 Kb/s, a maksymalna prędkość transmisji ADSL obsługiwanych przez wykorzystane w zestawieniu routery - około 10 Mb/s, czyli 10BaseT.

Część opisywanych przez nas modeli routerów została także wyposażona w port USB, co pozwala na podłączenie ich do komputera i wymianę danych lub skonfigurowanie urządzenia bez karty sieciowej lub w sytuacji, gdy dana karta jest już zajęta. Natomiast niewiele modeli dodatkowo wyposażono w port RS 232 - można przez niego podłączyć na przykład modem ISDN do nawiązania połączenia z Internetem w razie ewentualnej awarii Neostrady lub uszkodzenia podstawowego modemu. Takim urządzeniem jest na przykład D-Link DSL-604+ oraz Asmax BR-804, które uwzględniliśmy w naszym zestawieniu. Rozwiązanie to, mimo wysokich kosztów, stosowane jest przez tych użytkowników domowych, którzy nie mogą pozwolić sobie na brak dostępu do Internetu.

Jeszcze innym rozwiązaniem jest stosowanie interfejsu RJ-11 zamiast RJ-45, co pozwala na podłączenie routera bezpośrednio do linii telefonicznej, dzięki czemu nie musisz kupować osobnego modemu, aby połączyć się z Internetem, a wykorzystujesz ten, który został wbudowany w router.

Przełącznik czy koncentrator?

Warto zwrócić uwagę, czy urządzenie ma wbudowany przełącznik. Modele z przełącznikiem zazwyczaj są nieco droższe, zapewniają jednak większe bezpieczeństwo informacji. Eliminuje się (przynajmniej teoretycznie) możliwość podsłuchiwania ruchu w sieci, gdyż pakiety są transportowane tylko do karty sieciowej użytkownika. W praktyce wygląda to różnie i zależy od wyposażenia w osobny bufor danych do każdego portu urządzenia i oczywiście od umiejętności zarówno hakera, jak i administratora sieci. W wypadku rozwiązań opartych na koncentratorach zamawiane lub pobierane przez jednego użytkownika dane są transportowane do wszystkich użytkowników. Ponadto w większych sieciach urządzenie z przełącznikiem może przesyłać dane od jednego lokalnego użytkownika do drugiego szybciej niż model z wmontowanym koncentratorem, ale jednak w wypadku małych rozwiązań nie należy oczekiwać, że prędkość ta zwiększy się znacząco.

Translacja adresów - NAT

Inną funkcją routerów, o której należy wspomnieć, jest NAT - mechanizm tłumaczenia adresów IP komputerów w sieci lokalnej na jeden pojedynczy adres IP w sieci zewnętrznej. Działanie NAT polega na utworzeniu w sieci wewnętrznej puli adresów IP, które następnie zostają przypisane poszczególnym użytkownikom w sposób dynamiczny lub - jeśli wymaga tego użytkownik czy administrator, w sposób statyczny. Następnie odpowiednie oprogramowanie routera konwertuje te intranetowe adresy na adres internetowy, czyli używany w sieci zewnętrznej, i po przeskanowaniu programem sprawdzającym adresy IP widoczne jest tylko jedno urządzenie - to, które pracuje jako główny router.

VPN

Kolejną usługą, o której nawet początkujący "admin" wiedzieć powinien, jest VPN (Virtual Private Network). Wirtualne sieci prywatne pozwalają na emulowania połączenia WAN, co umożliwia poprowadzenie przez sieć publiczną połączenia, które widziane będzie po prostu jako jedno z lokalnych. To popularny sposób ze względu na szyfrowanie przesyłanych za jego pomocą danych, wykorzystywany w firmach, a niekiedy także przez prywatnych użytkowników. Dodatkowo niektóre z nowszych routerów pozwalają nie tylko na obsługę tunelowania przez VPN, ale także na tworzenie tuneli VPN z wybranym przed administratora komputerem albo z innymi routerami. Jest to rozwiązanie stosowane w sieciach prywatnych utworzonych z wykorzystaniem sieci publicznej, pozwalające na zabezpieczenie danych przesyłanych przez użytkowników.

Simple Network Manger Protocol

Kolejną opcją, którą powinien oferować dobry router w sieciach, w których nie tylko dba się o bezpieczeństwo, ale także monitoruje stan urządzeń sieciowych, jest obsługa SNMP (Simple Network Manger Protocol). Za pomocą tego protokołu router w czasie rzeczywistym przesyła do wyznaczonego przez administratora serwera (lub prywatnego komputera z zainstalowanym protokołem SNMP oraz usługą dostawcy usługi SNMP) informacje na przykład o skanowaniu portu czy też atakach z zewnątrz na sieć (jeśli tylko ma wbudowaną zaporę ogniową).

Uwaga! Warunkiem działania tego rozwiązania w środowisku Windows jest zainstalowanie protokołu SNMP oraz WMI SNMP Provider - czyli dostawcy usługi SNMP.

Ochrona przed atakami DoS

Kolejną funkcją oferowaną przez dobrze wyposażone urządzenia sieciowe jest ochrona przed coraz częstszymi atakami DoS (Denial of Service), wykorzystującymi przepełnienia buforów usług internetowych (np. serwera IIS lub innych serwerów internetowych). Konsekwencje takiego typu ataku, są bardzo poważne i polegają na zablokowaniu świadczenia poszczególnych usług lub destabilizacji całego serwera. Dlatego nawet najprostszy serwer, przeznaczony na własne potrzeby (np. do dzielenia Neostrady), należy zabezpieczyć. Można to zrobić programowo - instalując odpowiednie firewalle, ograniczając maksymalną moc procesora, jaką może wykorzystywać dana usługa, czy konfigurując system tak, żeby przeprowadzenie ataków DoS było przynajmniej teoretycznie niemożliwe. Drugie rozwiązanie to zakup routera z firewallem, potrafiącym obronić użytkownika przed atakami DoS. Jest to często rozwiązanie znacznie prostsze dla domowego użytkownika niż korzystanie z komercyjnego oprogramowania, a w dodatku tańsze.

Blokowanie i filtrowanie URL

Jeśli chcesz zabezpieczyć dostęp do dowolnych adresów WWW, skorzystaj z filtrowania URL, opcji oferowanej m.in. przez Asmax BR 704n+. W miarę skutecznie uniemożliwia to użytkownikom odwiedzanie "zakazanych" przez administratora stron, wpisanych na odpowiednią listę (ma to zastosowanie zarówno w warunkach domowych, jak sieciach lokalnych i przedsiębiorstwach, gdzie za pomocą filtrowania adresów URL ogranicza się dostęp pracowników do niektórych witryn internetowych). Ponieważ wprowadzenie wielu adresów na listę zajmuje dużo czasu i obciąża pamięć urządzenia - ponadto adresy wymagają ciągłej aktualizacji - wprowadzono opcję blokady stron, które zawierają określone przez administratora podczas konfiguracji routera słowa kluczowe. Skraca to czas konfiguracji i pozwala uwzględnić więcej stron, do których dostęp jest zabroniony.

Zintegrowany firewall

Bardzo dobrym rozwiązaniem do sprzętowego zabezpieczania sieci znajdującej się za routerem Neostrady jest urządzenie oferujące obydwie funkcje, czyli będące jednocześnie routerem i sprzętowym firewallem. Skraca to znacznie czas potrzebny na konfigurację sieci, pozwala na oszczędność miejsca, prądu i pieniędzy.

Taka sprzętowa zapora sieciowa często nie tylko chroni przed atakami DoS, ale także umożliwia utworzenie strefy DMZ, w której można zlokalizować na przykład serwer plików dla użytkowników sieci lokalnej. Inną przydatną, choć dość rzadko jeszcze oferowaną przez routery funkcją, jest filtrowanie pakietów przez wbudowany w nie firewall.

WLAN Access point

Najnowsze routery przeznaczone do Neostrady oferują obsługę sieci WLAN. Router pełni w tym wypadku funkcję punktu dostępowego bezprzewodowej sieci internetowej. Większość takich urządzeń pozwala na transmisję danych w obowiązującym obecnie standardzie 802.11b z prędkością 1 Mb/s, 2 Mb/s,

5,5 Mb/s lub 11 Mb/s przy standardowej częstotliwości 2400 MHz. Są także nieco droższe modele, charakteryzujące się dwu- lub czterokrotnie większą szybkością transmisji bezprzewodowych, np. D-Link DSL-614 i D-Link DSL-624+ lub zawarty w zestawieniu Linksys WRT54G, oferujący możliwość korzystania z standardu 802.11g. Jeśli sieć ma służyć nie tylko do łączenia z Internetem, ale także do przesyłania danych między użytkownikami, takie rozwiązanie jest sensowne, choć droższe.

Należy jednak najpierw sprawdzić, czy posiadane urządzenia będą współpracować przy takiej prędkości przesyłania danych, bo dość często modele różnych producentów odmawiają współpracy, gdy prędkość przekracza 11 Mb/s. Zintegrowanie punktu dostępowego z routerem jest - podobnie jak zintegrowanie firewalla - rozwiązaniem tańszym i wygodniejszym (nie trzeba ciągnąć dodatkowych kabli).

Aktualizacja firmware'u

Kolejną cechą dobrego urządzenia sieciowego jest prosta i szybka aktualizacja jego oprogramowania (firmware'u). Obecnie najpopularniejsze rozwiązanie to wskazanie odpowiedniego pliku poprzez interfejs przeglądarki internetowej. Co daje aktualizacja firmware'u? Najczęściej nowe opcje oraz ewentualne udoskonalenia już stosowanych funkcji - na przykład obsługę SDI.

SDI pod routerem dla neostrady

Masz SDI, które chcesz podzielić pomiędzy użytkowników, a w przyszłości przejść na Neostradę bez dodatkowych wydatków na sprzęt? Nic trudnego - wystarczy wybrać model obsługujący zarówno Neostradę, jak SDI - kilka z nich uwzględniliśmy w naszym zestawieniu. Jeżeli masz już to urządzenie, lecz nie współpracuje ono z SDI, zmień firmware na wersję, w której dodano tę opcję. Wystarczy wskazać odpowiedni plik za pośrednictwem przeglądarki internetowej, a to nie powinno nikomu sprawić kłopotu.

Uwaga! Sprawdź, czy pobierasz wersję odpowiednią do urządzenia, bo jeśli nie, to próba instalacji może w najgorszym wypadku skończyć się wizytą w serwisie.

Źródło: http://www.pcworld.pl/artykuly/39385_1.html.


autor: admin