Когда мы говорим про оборудование для организации удалённого доступа к сети предприятия, то, как правило, имеем в виду оборудование, которое будет поддерживать стандарты виртуальных частных сетей — VPN (Virtual Private Network).
VPN (Virtual Private Network) – это обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с применением средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). С использованием VPN обеспечивается конфиденциальность информации, целостность данных и доступность информации.
VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.
Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть.Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, который содержит информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть. На конце туннеля кадры деинкапсулируются и передаются получателю.
Самые популярные протоколы VPN — это:
- PPTP (Point-to-Point Tunneling Protocol) – протокол туннелирования стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft;
- L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec;
- IPSec (Internet Protocol Security) – официальный интернет-стандарт, разработанный сообществом IETF (Internet Engineering Task Force), для обеспечения защиты передаваемого трафика на сетевом уровне
Как правило, туннель создается:
- двумя граничными устройствами, размещенными в точках входа в публичную сеть;
- граничным устройством и конечным хостом.
В роли граничных устройств чаще всего выступают межсетевые экраны или маршрутизаторы с возможностью организации VPN-туннеля. Вот об этих маршрутизаторах и межсетевых экранах и пойдет речь.
В модельном ряде D-Link технологии VPN поддерживают следующие устройства:
- Межсетевой экран DFL-870;
- Сервисные маршрутизаторы D-Link серии DSR;
- Беспроводные маршрутизаторы серии DIR (некоторые модели);
- Маршрутизаторы со встроенным LTE-модемом серии DWR;
- Маршрутизатор M2M серии DWM.
"Старшие" модели устройств поддерживают, как правило, протокол IPSec и могут выступать в роли как PPTP/L2TP клиента, так и сервера. А "младшие" модели — только IPSec и режим PPTP/L2TP-клиента.
Межсетевой экран D-Link DFL-870
D-Link DFL-870 — это межсетевой экран с шестью настраиваемыми портами 10/100/1000 Мбит/с, двумя портами USB 2.0, консольным портом с разъемом mini-USB, выполненный в металлическом корпусе с возможностью установки в 19-дюймовую стойку. Является самой "старшей" моделью с точки зрения поддержки VPN: поддерживает протоколы IPSec, PPTP, L2TP, SSL и GRE.
Также обеспечивает предотвращение известных атак на основе технологии компонентных сигнатур IPS (по подписке), позволяет выполнять потоковое антивирусное сканирование с использованием сигнатур от Kaspersky Labs (по подписке) и контролировать пользовательский контент.
Межсетевой экран D-Link DFL-870 обладает следующей производительностью (данные производителя):
1 - Тестирование пропускной способности межсетевого экрана проводилось с использованием UDP-трафика с размером пакетов 1518 байт в соответствии с RFC2544.
2 - Тестирование пропускной способности VPN проводилось с использованием UDP-трафика с размером пакетов 1420 байт в соответствии с RFC2544.
3 -Производительность IPS и антивируса определена на основе протокола FTP с вложением файла 1 ГБ, запущенным на IXIA IxLoad. Тестирование проводилось со множеством потоков через несколько пар портов.
Сервисные маршрутизаторы D-Link серии DSR
Сервисные маршрутизаторы D-Link DSR-150/150N, DSR-250/250N, DSR-500/500AC и DSR-1000/1000AC поддерживает туннели Generic Routing Encapsulation (GRE), IPSec, Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP).
Основные характеристики производительности:
Беспроводные маршрутизаторы серии DIR
Беспроводные маршрутизаторы D-Link DIR-2150, DIR-1260, DIR-853 и DIR-878, DIR-822/E1, DIR-825/I1 поддерживают протокол IPSec, а также могут работать как PPTP/L2TP-сервер и клиент, остальные модели поддерживают IPSec и могут работать как PPTP/L2TP-клиент.
Маршрутизаторы со встроенным LTE-модемом серии DWR
Маршрутизаторы D-Link серии DWR оснащены встроенным LTE-модемом, съемными антеннами 3G/LTE с разъемами SMA, поддерживают IPsec VPN.
D-Link DWR-921, DWR-953, DWR-956, DWR-980 поддерживают резервирование интернет-каналов WAN – 3G/LTE.
Устройства интегрированного доступа DWR-956 и DWR-980 дополнительно оснащены одним и двумя FXS-портами с разъемом RJ-11 для подключения аналоговых телефонов с возможностью совершения звонков через Интернет.
DWR-980 поддерживает автоматическое переключение между соединениями, обеспечивая повышенную отказоустойчивость. Возможно создание нескольких одновременных соединений WAN (Ethernet /LTE /VDSL) с установкой приоритета резервных соединений.
Маршрутизатор M2M серии DWM
M2M можно расшифровать как "machine-to-machine".
Маршрутизаторы D-Link серии DWM предназначены для построения VPN-сетей в территориально распределенных системах IoT и создания каналов автоматической связи в системах транспортной безопасности.
DWM-312/312W/321 поддерживают до 2 SIM-карт (одна является активной), а DWM-321D оснащен двумя независимыми модулями 3G/LTE и поддерживает до 4 SIM-карт (две являются активными). Устройства оборудованы съемными антеннами 3G/LTE с разъемами SMA, поддерживают расширенный функционал безопасности, включая построение IPsec-туннелей и межсетевой экран с контролем соединений; обеспечивают автоматическое переключение между активным и резервным 3G/LTE-соединениями в условиях снижения уровня сотового сигнала. DWM-321D/321/312W поддерживают резервирование интернет-каналов WAN – 3G/LTE.