Objavljeno: 15.10.2005 20:21 | Avtor: Peter Šepetavc | Monitor Januar 2004

Ko se računalniki pogovarjajo med seboj

Časi, ko je bil v vsaki hiši največ en računalnik, so že zdavnaj minili. Računalnikov imamo čedalje več in pogosto se izkaže, da njihovo povezovanje v majhno krajevno omrežje (doma ali v majhnem podjetju) prinese kar nekaj prednosti: podatke med računalniki lahko prenašamo kar po kablu in ne na izmenljivih nosilcih, računalniki si lahko delijo razna sredstva, kot so diski ali tiskalniki, če pa imamo doma tudi širokopasovni internetni priključek, lahko z vsemi računalniki v omrežju uporabljamo splet.

Omrežni vmesnik se je dodobra zasidral v vseh računalnikih, tudi tistih za najmanj zahtevne kupce, in povezovanje takih računalnikov omrežje še zdaleč ni več samo v domeni podjetij. V času, ko ima vsak nov osebni računalnik omrežni vmesnik že na osnovni plošči, je postavitev domačega omrežja dokaj preprost postopek, saj sodobni operacijski sistemi s čarovniki in samodejnimi nastavitvami poskrbijo za to, da si lahko še tako nevešči uporabniki z malo znanja in kančkom sreče računalnike povežejo v omrežje. Širokopasovni dostop do spleta je na voljo čedalje večjemu številu uporabnikov in dostikrat nanj povežemo kar vse računalnike v stanovanju ali hiši oziroma v manjšem podjetju. Načinov, kako tako povezavo med krajevnim omrežjem in internetom vzpostavimo, je veliko, s čedalje več računalniki in čedalje zahtevnejšimi uporabniki pa je slej kot prej uporaba usmerjevalnikov neizbežna.

MAC naslov

Vsaka omrežna naprava ima poleg programske oznake, s katero se loči od drugih naprav v omrežju (pri omrežjih TCP/IP je to številka IP) še dodatno oznako, imenovano naslov MAC, ki je vpisana v samo strojno opremo omrežne naprave. Naslovi MAC so navadno zaporedje črk in številk, različen za vsako omrežno napravo. Pri večini omrežnih naprav, npr. pri čipih omrežnih kartic, ta naslov določi proizvajalec in ga naknadno ni moč spreminjati. Večina usmerjevalnikov pa ima možnost, da ta naslov spreminjamo, saj sicer ne bi mogli domačega omrežja preprosto povezati prek nekaterih načinov dostopa do interneta.

Ethernet

Pri računalniških omrežjih se najpogosteje rabi izraz ethernet, ki je navadno kar sinonim za omrežje. Ethernet je v bistvu ime za danes daleč najbolj priljubljen standard za povezovanje naprav oziroma računalnikov v omrežje. Zamisel prvotnega etherneta je v tem, da so vse naprave v omrežju povezane na skupni kabel in tako lahko komunicirajo s katerokoli napravo v omrežju. Tako lahko omrežje preprosto razširimo z dodajanjem novih naprav, pri tem pa poseg v že postavljene dele omrežja ni potreben. Pri tem posamezne naprave uporabljajo protokole - pravila za prenos podatkov po omrežju. Za to, da lahko dve napravi prenašata podatke med seboj, morata uporabljati isti protokol. Posamezne naprave podatke pošiljajo paketkih (tako imenovanih okvirih - frame), ki potujejo po omrežju. Vsak podatek mora imeti naslov pošiljatelja in prejemnika, iz tega pa tudi sledi, da mora imeti vsaka naprava v takem omrežju unikaten naslov. Vsak okvir se pošlje vsem napravam v omrežju in vsi prejemniki najprej preverijo, ali je bil okvir namenjen njim. Če je naslov prejemnika enak naslovu naprave, ta prebere podatke v okviru, v nasprotnem primeru pa okvir zavrže, ne da bi uporabila vsebino.

Universal Plug and Play

Universal Plug and Play je omrežni standard, ki zagotavlja združljivost med posameznimi omrežnimi napravami, pa tudi med programsko opremo zanje. Z UPnP naj bi omrežja nastavljali brez posebnih gonilnikov in brez podrobnega poznavanja posameznih nastavitev. Kljub temu da standard podpira več kot 400 podjetij, v praksi zaenkrat še ni pretirano priljubljen.

Podatki se v ethernetnem omrežju pošiljajo po treh pravilih. Prvo smo že omenili: vse naprave v omrežju sprejmejo podatek, ki ga pošlje ena izmed naprav v omrežju. Drugo pravilo poskrbi za to, da naprave ne pošiljajo podatkov druga čez drugo. Vsaka naprava pred pošiljanjem najprej preveri, ali je omrežje na voljo, se pravi, da nobena druga naprava ne pošilja podatkov. Še vedno pa se lahko zgodi, da dve napravi hkrati preverita, ali je omrežje na voljo, in potem začneta pošiljati podatke hkrati, tako da pride do trka podatkov. V tem primeru naprava neha pošiljati podatke in počaka neki naključen čas, preden poskusi znova.

Ethernet, kot ga poznamo danes, se je v zadnjih 30 letih seveda razvijal in tako danes dosegamo veliko večje hitrosti prenosa kakor nekdaj. Drugačen je tudi način povezovanja: včasih so bile naprave povezane s koaksialnim kablom v verigo, danes so povezane s kabli UTP ali optičnimi kabli v zvezdasta omrežja, ki se med sabo zopet povezujejo v zvezde ali verige. Uporaba stikal v omrežjih je tudi izničila nekatere težave prvih ethernetnih omrežij, še posebej pa bi izpostavili trke, ki jih v sodobnih omrežjih ni več.

Današnja omrežja ethernet za prenašanje podatkov med posameznimi napravami navadno uporabljajo protokol TCP/IP. V podrobnosti protokola se povprečnemu uporabniku ne bo treba nikoli spuščati, velja pa omeniti, da gre za protokol, ki ga za delovanje uporablja internet, v zadnjih nekaj letih pa se je razširil tudi pri povezovanju računalnikov v krajevna omrežja, tako da so skoraj vsa sodobna omrežja vrste TCP/IP. Pri tem protokolu se podatki po omrežju prenašajo v paketkih, naslove naprav v omrežju pa sestavljajo štiri številke med 0 in 255, čemur pravimo številka IP. Vsaka naprava v omrežju mora imeti svojo unikatno številko IP.

NAT

Vsi usmerjevalniki podpirajo pretvorbo naslovov NAT (Network Address Translation). NAT omogoča, da vsi računalniki, ki se v neko omrežje povezujejo prek usmerjevalnika, v tistem omrežju uporabljajo enako IP številko. Pri povezovanju v internet nam ponudnik dostopa načeloma dodeli le eno številko IP, ki jo privzame usmerjevalnik, ta pa potem skrbi za prenos podatkov od posameznih računalnikov v omrežju oziroma do njih. Večina usmerjevalnikov podpira standardno prevajanje NAT, pri katerem se naslovi IP vseh računalnikov v omrežju prevedejo v eno samo številko IP. Naprednejši usmerjevalniki omogočajo prevajanje vhodnih povezav na več različnih naslovov IP, kar imenujemo Multi-NAT, tako da imamo npr. v omrežju postavljenih več spletnih strežnikov, vsak pa ima, gledano iz zunanjega omrežja, lastno številko IP.

Načini povezovanja naprav v omrežje - topologija

Naprave lahko v omrežje povezujemo na tri načine, čemur pravimo topologija omrežja. Prvotna omrežja so bila med sabo povezana z uporabo topologije verige. Omrežje sestavlja neka osrednja povezava, ki jo lahko ponazorimo s premico, nanjo pa so "obešene" posamezne naprave. Podatki od ene naprave potujejo po premici do ciljne naprave. Na obeh koncih verige moramo imeti nameščen končni člen (navadno imenovan terminator), ki skrbi za to, da se signali v omrežju odbijejo nazaj proti drugemu koncu omrežja.

Drugi način povezovanja naprav v omrežje je z uporabo topologije obroča. Pri taki povezavi sta dve sosednji napravi med sabo povezani neposredno, s čimer spet dobimo nekakšno verigo, ob tem pa je zadnja naprava v omrežju povezana s prvo, tako da dobimo krog oziroma obroč. V tem obroču lahko naprave pošiljajo oziroma sprejemajo podatke ob pomoči navideznega "žetona". Naprava, ki prva pošlje podatek, ga pošlje skupaj z žetonom sosednji napravi. Ta sprejme podatke, namenjene njej, doda morebitne svoje podatke, namenjene kateri izmed drugih naprav v omrežju, in vse skupaj z žetonom vred pošlje naprej. Žeton tako s podatki potuje v krogu po omrežju. Samo naprava, ki ima žeton, lahko pošilja podatke, medtem ko morajo vse druge naprave počakati, da žeton pride do njih. Topologijo obroča uporablja omrežni standard Token Ring, eden izmed poglavitnih konkurentov standardu ethernet, ki pa je dandanes zelo redko v rabi.

Danes najobičajnejši način priklapljanja naprav v krajevno omrežje je s topologijo zvezde. Pri tem imamo razdelilnik, na katerega so neodvisno povezane posamezne naprave. Razdelilnik sprejme podatke od naprave in ga pošlje vsem drugim napravam v omrežju. Topologija zvezde ima v primerjavi s prej omenjenima pomembno prednost: če se prekine povezava med razdelilnikom in eno izmed naprav, omrežje normalno deluje naprej, le naprave s prekinjeno povezavo ni več v njem. Če pri omrežju z verigo ali obročem prekinemo povezavo, je omrežje nedostopno za vse naprave, priključene vanj, dokler napake ne odpravimo.

Današnja omrežja, še posebej omrežje vseh omrežij, internet, imajo omrežne naprave med sabo povezane na enega izmed zgoraj omenjenih načinov, navadno pa gre za zvezdasta omrežja, ki so med sabo povezana s topologijo verige. Za povezovanje posameznih omrežnih naprav uporabljamo razdelilnike (hub), stikala (switch) in usmerjevalnike (router). Pri tem velja omeniti, da gre za navzven zelo podobne naprave, ki pa se po načinu delovanja precej razlikujejo.

Razdelilnik, stikalo in usmerjevalnik

Omrežje ethernet, ki ga sestavljata le dve napravi, je dokaj preprosto postaviti. Če imata napravi vsaka svojo vtičnico ethernet, ju preprosto povežemo s t. i. prekrižanim (crosswired) kablom. Ta se od običajnega ethernetnega kabla razlikuje po tem, da ima kontakte na eni izmed vtičnic obrnjene, z njim pa lahko dve napravi povežemo, ne da bi posegli po razdelilniku. Ko je naprav več, pa ne gre brez namenske posebne opreme. Običajni razdelilniki imajo kar nekaj slabosti: naenkrat podpirajo samo prenos v eno smer, tako da lahko omrežna naprava podatke pošilja ali pa prejema, ne more pa početi obojega hkrati. Ena izmed omrežnih naprav pošlje podatek razdelilniku, ta pa ga pošlje vsem drugim napravam v omrežju. Naprava, ki ji je podatek namenjen, nato podatke sprejme. Takrat, kadar je v omrežju večje število naprav, je omrežje z razdelilniki precej obremenjeno, saj lahko v danem trenutku podatke oddaja le ena naprava v omrežju, vse druge pa jih sprejemajo. Ker so podatki načeloma namenjeni le eni izmed naprav v omrežju, gre za precejšno izgubo časa.

Stikala so v bistvu naprednejši razdelilniki. V primerjavi z navadnimi razdelilniki imajo dve pomembni prednosti: naprava, priklopljena na stikalo, lahko hkrati pošilja in prejema podatke, ob tem pa stikalo poskrbi tudi za to, da je podatek, ki ga ena naprava pošilja, poslan samo tisti napravi v omrežju, ki ji je podatek namenjen, povezave do drugih naprav pa so proste in se po njih lahko prenašajo drugi podatki. Zaradi omenjenih lastnosti so stikala precej primernejša za povezovanje omrežnih naprav, razlike pa so še posebej opazne, ko presežemo okvire povprečnega domačega omrežja in je število naprav v omrežju večje. Vsaka posamezna naprava lahko s takim načinom priklopa izkoristi celotno pasovno širino, ki ji je na voljo, medtem ko si pri priklopu z razdelilnikom vse naprave v omrežju delijo pasovno širino. Cene stikal so dandanes že skoraj povsem enake cenam primerljivih razdelilnikov, pri cenejših modelih, na katere lahko praviloma priklopimo do osem naprav, pa razlike sploh več ni, tako da se tudi iz manjših omrežij običajni razdelilniki počasi poslavljajo.

Usmerjevalniki so naprave, ki po načinu delovanja sodijo še za stopničko više od stikal. Kljub temu da gre za na prvi pogled podobne naprave, usmerjevalnik ne služi kot razdelilnik, ki na sredi zvezde v omrežju skrbi za povezovanje naprav med sabo, saj v običajnem omrežju za to še vedno potrebujemo razdelilnike ali stikala, medtem ko usmerjevalnik skrbi za povezovanje več omrežij med seboj. Gre za neke vrste računalnik z zelo omejenim naborom zmožnosti. Skrbi za prenašanje podatkov med dvema ali več omrežji, obenem pa onemogoča dostop do računalnikov v omrežju iz drugih omrežij. Usmerjevalniki imajo, za razliko od stikal in razdelilnikov, dve ločeni strani. Na eni strani je povezava v domače omrežje. Dostop do usmerjevalnika in njegovih nastavitev je s te, "notranje" strani ponavadi neomejen. "Zunanja" stran usmerjevalnika je tista, na katero se priključujejo druga omrežja. Z zunanje strani je dostop do omrežja, pa tudi do samega usmerjevalnika, precej omejen. V večino usmerjevalnikov za rabo doma je vgrajeno tudi stikalo, tako da so razlike med obema vrstama naprav še bolj zabrisane, najpreprosteje pa jo predstavimo tako: stikalo je naprava, ki na sredi zvezde skrbi za povezavo med napravami, medtem ko usmerjevalnik v enem izmed krakov poskrbi za to, da lahko na ta krak povežemo neko drugo, ločeno zvezdasto omrežje.

Lastnosti usmerjevalnikov

Vsi usmerjevalniki podpirajo pretvorbo naslovov NAT (Network Address Translation). NAT omogoča, da vsi računalniki, ki se v neko omrežje povezujejo prek usmerjevalnika, v tistem omrežju uporabljajo enako IP številko. Pri povezovanju v internet nam ponudnik dostopa načeloma dodeli le eno številko IP, ki jo privzame usmerjevalnik, ta pa potem skrbi za prenos podatkov od posameznih računalnikov v omrežju oziroma do njih. Večina usmerjevalnikov podpira standardno prevajanje NAT, pri katerem se naslovi IP vseh računalnikov v omrežju prevedejo v eno samo številko IP. Naprednejši usmerjevalniki omogočajo prevajanje vhodnih povezav na več različnih naslovov IP, kar imenujemo Multi-NAT, tako da imamo npr. v omrežju postavljenih več spletnih strežnikov, vsak pa ima, gledano iz zunanjega omrežja, lastno številko IP.

Prevajanje naslovov povzroči tudi, da so računalniki v domačem omrežju skriti pred zunanjim svetom na drugi strani usmerjevalnika, tako da lahko rečemo, da je NAT tudi preprost požarni zid. Tak zid preprečuje neposreden dostop do računalnika v omrežju, ne more pa preprečiti napadov vrste DOS (Denial Of Service). Kljub temu je tak "požarni zid" v povezavi s protivirusnim programom povsem dovolj zmogljiv za veliko večino uporabnikov po domovih.

Računalnike v omrežju lahko na usmerjevalnik povežemo različno. Najpogosteje so povezani s standardnimi omrežnimi kabli ethernet. V skoraj vse usmerjevalnike na trgu je vgrajena najmanj ena ethernetna vtičnica (če je vanje vgrajen tudi preklopnik, pa tudi več), ki povezuje usmerjevalnik in omrežje. Nekateri usmerjevalniki podpirajo tudi povezovanje po standardu HPNA. Ta za povezovanje med napravami uporablja kar bakreno parico, tako da lahko za povezovanje računalnikov v omrežje in na usmerjevalnik izkoristimo kar morebitno telefonsko ožičenje v stavbi. Prenos podatkov prek HPNA ne moti običajnih telefonskih pogovorov, saj poteka na drugih frekvencah kakor običajni telefonski promet. Omrežja HPNA so bila v preteklosti precej priljubljena v Združenih državah, kjer je bilo tudi za enodružinske hiše interno telefonsko omrežje dokaj pogosto, v zadnjem času pa ga je že skoraj povsem izpodrinil ethernet. Prenos podatkov po omrežju HPNA poteka z 10 megabiti na sekundo (HPNA 2.0), če naprave podpirajo starejšo različico standarda 1.0, pa z 1 Mb/s. Naprave s podporo HPNA so danes že dokaj redke, kljub temu pa tudi na našem trgu najdemo usmerjevalnike, ki poleg povezovanja naprav prek etherneta omogočajo tudi priklop na interno telefonsko omrežje.

Kadar zaradi prostorskih ali kakih drugih omejitev računalnikov in drugih omrežnih naprav ne moremo povezati s kabli, imamo na voljo tudi usmerjevalnike z brezžično dostopno točko. Brezžična omrežja so v zadnjem času čedalje bolj priljubljena, na voljo pa je tudi cela vrsta različnih brezžičnih naprav. Usmerjevalniki, ki podpirajo povezovanje v brezžično omrežje, so razred zase v svetu omrežnih izdelkov in so podrobneje opisani v letošnji marčni številki.

V nekatere usmerjevalnike je vgrajen tudi tiskalniški strežnik. To najlaže preverimo tako, da pogledamo, ali ima usmerjevalnik kak vzporedni ali USB priključek. Večina današnjih usmerjevalnikov s tiskalniškim strežnikom je, kljub temu da se sodobni tiskalniki ponavadi priključijo na vmesnik USB, opremljena z vzporednim vmesnikom. Pri nakupu tiskalnika, ki ga želimo priključiti na tiskalniški strežnik usmerjevalnika, je torej treba biti previden. Novejši tiskalniki namreč pogosto nimajo več vzporednega vmesnika, takrat, kadar je ta vgrajen v tiskalnik, pa ponavadi pri tiskanju zahteva dvosmerno komunikacijo z računalnikom, iz katerega tiskamo. Tiskalniški strežniki v usmerjevalnikih podpirajo samo enosmeren prenos podatkov (iz računalnika v tiskalnik), tako da pred nakupom velja preveriti, ali bo tiskalnik ob priklopu na usmerjevalnik sploh deloval.

VPN - navidezna zasebna omrežja

Večinoma je krajevno omrežje strogo ločeno od spleta ali drugega širšega omrežja. Uporabniki imajo pri napravah znotraj krajevnega omrežja vrsto pravic, ki jih tisti, ki imajo do npr. strežnikov v tem krajevnem omrežju dostop od zunaj, nimajo, saj je pri priklopu v krajevno omrežje na voljo cela vrsta mehanizmov, s katerimi lahko preverjamo, kdo uporablja in v primeru zlonamernih posegov zlorablja določeno omrežno napravo.

V določenih okoliščinah pa je praktično, če širši dostop do krajevnega omrežja omogočimo tudi "od zunaj", se pravi določenim uporabnikom, ki so povezani v splet na neki drugi lokaciji, za dostop do krajevnega omrežja pa uporabljajo kar že povezavo tega omrežja v splet. Tak promet mora biti seveda ločen od preostalega prometa v spletu, kljub temu da uporablja ista sredstva. To dosežemo tako, da med oddaljenim računalnikom in krajevnim omrežjem, v katerega se priklapljamo, vzpostavimo tako imenovani tunel: na omrežni povezavi, prek katere teče običajni internetni promet, ustvarimo (s programsko opremo, seveda) navidezno namensko povezavo.

Promet po tej navidezni povezavi je neviden za uporabnike interneta, oziroma je šifriran, tako da so podatki varni pred očmi in računalniki nepoklicanih. S tako povezavo lahko na primer od doma uporabljamo vse omrežne storitve, ki so nam sicer na voljo le, če smo fizično povezani v krajevno omrežje na delovnem mestu. Z navideznimi zasebnimi omrežji lahko podjetja prek interneta povežejo svoja krajevna omrežja, ki so na oddaljenih mestih na svetu, in tako brez zakupa dragih namenskih povezav vzpostavijo "svoje" omrežje kar prek interneta.

Način nastavljanja usmerjevalnika je za manj vešče uporabnike še posebej pomemben. Ponavadi zadostuje, da v spletni brskalnik vpišemo številko IP usmerjevalnika in takoj so nam na voljo vse nastavitve. Nekaterim usmerjevalnikom pa je priložen tudi poseben program, ki ga namestimo na (najmanj) enega izmed računalnikov v omrežju in nato s programom nastavljamo lastnosti usmerjevalnika. Slabost takega načina nastavljanja je v tem, da priloženi program ponavadi deluje le v nekaterih najbolj priljubljenih operacijskih sistemih, medtem ko pri bolj eksotičnih sistemih usmerjevalnika nismo mogli nastavljati. Danes imajo vsi usmerjevalniki, tudi tisti, ki so jim priloženi programi za nastavljanje, zmožnost nastavljanja vseh lastnosti ob pomoči spletnega brskalnika, tako da je dostop do nastavitev omogočen v prav vseh operacijskih sistemih, nastavljanje pa je pri večini izdelkov tudi precej podobno in preprosto, kar tudi začetnikom omogoča hitro nastavitev najosnovnejših lastnosti. V nekaterih primerih pa za nastavitve poskrbi kar usmerjevalnik sam oziroma programska oprema v usmerjevalniku, uporabnik pa ob pomoči čarovnika za nastavljanje le vpiše podatke za priklop in domačemu omrežju je odprto okno v svet.

Včasih se zgodi, da moramo lastnosti usmerjevalnika uporabljati tudi takrat, ko nismo za računalnikom, priklopljenim v omrežje za usmerjevalnikom, temveč bi želeli kakšno lastnost spremeniti tudi z zunanje strani. Za take primere nekateri usmerjevalniki podpirajo tudi priklop nanj z zunanje strani. Tako se lahko na usmerjevalnik ponavadi povežemo kar s spletnim brskalnikom, nekateri pa zahtevajo, da imamo do usmerjevalnika dostop s protokolom telnet. Ko vklopimo možnost nadzora nad usmerjevalnikom "od zunaj", svoje omrežje izpostavimo precejšnjemu tveganju, saj lahko tudi naključni uporabniki ponesreči v brskalnik vtipkajo številko IP usmerjevalnika in si tako pridobijo dostop do nastavitev. Zato moramo pri večini usmerjevalnikov pred nastavljanjem vpisati uporabniško ime in geslo, nekateri pa omogočajo tudi nastavitev vrat, prek katerih bomo uporabljali usmerjevalnik, tako da naključni brskalci po spletu ne bodo kar ponesreči prišli do nastavitev domačega omrežja.

Tudi v domačem omrežju je dostikrat potreben nadzor nad dogajanjem v usmerjevalniku. Zato boljši usmerjevalniki podpirajo dnevnik (log), prek katerega spremljamo, kaj se dogaja pri prenosu podatkov iz usmerjevalnika ali vanj. To je še posebej koristno v povezavi s požarnim zidom, saj so v dnevniku vpisani morebitni napadi in poskusi napadov na domače omrežje, z dnevniškimi zapisi pa lahko ponudniku dostopa olajšamo iskanje "zlikovcev" in s tem omogočimo varnejši dostop do spleta. Za pravilnost dnevniških zapisov je zelo pomembno, da imamo v usmerjevalniku vpisan točen čas. Nekateri poleg zapisov nekaj zadnjih podatkov omogočajo tudi pošiljanje dnevnika v enega izmed računalnikov v omrežju, najboljša rešitev pa je, če usmerjevalnik pošilja podatke iz dnevnika po standardu Syslog programu za spremljanje takega dnevnika, saj je na voljo cela vrsta programskih pripomočkov, tudi zastonjskih, ki podpirajo ta standard.

DoS - Denial of Service

Prvotni napadi prek omrežja so zajemali predvsem neposreden dostop do računalnika in prevzem nadzor nad njim. Pred takimi napadi nas pri usmerjevalnikih obrani že prevajanje naslovov NAT, saj neposreden dostop do računalnikov izza usmerjevalnika ni mogoč (razen če v usmerjevalniku to nastavimo). Napadi DoS (Denial of Service) pa ne zajemajo prevzema nadzora nad računalnikom, temveč določenemu omrežju, računalniku ali človeku preprečijo dostop do delov omrežja in/ali storitev, ko jih neko omrežje ponuja. Pri tem napadalec omrežje ali napravo v omrežju "preplavi" s prometom. Na določen naslov neprestano pošilja neznansko količino nepotrebnih podatkov in zaradi preobremenitve omrežja onemogoči pretok prometa iz naprave ali vanjo. Sodobni usmerjevalniki znajo prepoznati najobičajnejše take poskuse in tako preprečijo, da bi se omrežje sesulo pod plazom nesmiselnega prometa.

Takrat, kadar imamo v enem izmed računalnikov v omrežju nameščen strežnik, je pomembno, da zna usmerjevalnik dostope iz spleta do strežnika posredovati naprej, saj računalnik in s tem tudi strežnik izza usmerjevalnika iz interneta ni neposredno dostopen. Prva rešitev je, da računalnik postavimo na "območje DMZ", kar pomeni, da je iz spleta povsem viden. Gre za dokaj tvegano nastavitev, saj s tem omogočimo dostop enega izmed računalnikov v omrežju, to pa s stališča varnosti ni najbolj priporočljivo. Boljša rešitev je, če usmerjevalnik podpira posredovanje klicev na določena vrata enemu izmed računalnikov v omrežju. Tako bi na primer zahtevke, namenjene spletnemu strežniku, ki se ponavadi posredujejo prek vrat 80, posredoval računalniku z nameščenim spletnim strežnikom. Nekateri usmerjevalniki podpirajo samo posredovanje zahtevkov najpogostejših vrat (splet, elektronska pošta, ftp...), medtem ko zna večina posredovati zahtevke na katerihkoli vratih. Računalnik je tako še vedno skrit za usmerjevalnikom, kljub temu pa je mogoč selektiven dostop do njega.

Zelo pomemben del usmerjevalnikov je požarni zid. Osnovni "požarni zid", pretvorbo naslovov NAT, smo že omenili, vendar pa ta zaščita ne prepreči napadov vrste DoS. Zato so v kar precej usmerjevalnikov vgrajene dodatne zmogljivosti pri zaščiti omrežja pred napadi. Med njimi je dokaj uporabna zmožnost pregledovanja paketkov (Stateful Packet Inspection - SPI). Usmerjevalnik bo pregledal vsak paketek, ki potuje skozenj, in ocenil, ali gre za navaden promet po omrežju ali za napad s strani zlobnežev. Enotnega standarda za SPI ni, tako da ima večina izdelovalcev usmerjevalnikov bodisi vgrajene lastne rešitve bodisi so programsko opremo, ki skrbi za pregledovanje paketkov, kupili od nekega drugega podjetja. Iz tega sledi tudi, da nimajo vsi usmerjevalniki enakovredno zmogljivega požarnega zidu s podporo SPI, kljub temu pa velja, da je usmerjevalnik s podporo pregledovanja paketkov precej varnejši pred napadi hekerjev kakor tak brez nje. Resnici na ljubo pa velja omeniti tudi, da bo dovolj vztrajen in spreten napadalec prelisičil vsak usmerjevalnik za rabo doma, tako da z dobrim požarnim zidom odvrnemo predvsem manj sposobne zlobneže. To praviloma povsem zadostuje za varno brskanje po spletu.

Včasih si želimo, da bi usmerjevalnik omogočal povezovanje računalnikov po spletu v omrežje izza usmerjevalnika. Temu pravimo navidezno zasebno omrežje (Virtual Private Network, VPN). Večina usmerjevalnikov omogoča posredovanje klicev VPN strežniku, pri čemer gre ponavadi za računalnik s strežniškim operacijskim sistemom, ki sprejema take klice in je del krajevnega omrežja. V najslabšem primeru moramo tak računalnik postaviti v DMZ, kar je zelo nerodno, saj ne zadovoljuje niti osnovnih varnostnih meril. Veliko bolje je, če zna usmerjevalnik klice posredovati računalniku v omrežju, ne da je ta viden na zunaj. Zmogljivejši usmerjevalniki pa znajo sami sprejemati take klice in zunanje računalnike povezati v omrežje brez posredovanja programske opreme v enem izmed računalnikov. Zmogljivost takih končnih točk VPN, kot jih tudi imenujemo, je različna: nekateri usmerjevalniki podpirajo samo eno hkratno povezavo, pri drugih pa je možnih tudi nekaj deset hkratnih povezav. Povedati moramo, da streženje takemu številu povezav zahteva tudi zmogljiv procesor v usmerjevalniku, ki ga večina cenejših modelov, tudi takih, ki se hvalijo s podporo petdeset in več klicem VPN, navadno nima.

Ena izmed zanimivih zmožnosti je tudi vzpostavljanje zasilne povezave prek modemske povezave ali vmesnika ISDN ob izpadu omrežja. V nekatere modele so za ta namen vgrajena zaporedna vrata, v katera priključimo modem, spet drugi imajo modem (oziroma še pogosteje vmesnik ISDN) vgrajen v ohišje usmerjevalnika. Večina usmerjevalnikov s podporo zasilni povezavi zna samodejno vzpostaviti zvezo ob izpadu poglavitne povezave v svet, nekateri pa znajo celo sprejemati dohodne klice. Naprednejši modeli imajo v programski opremi omogočeno tudi omejevanje rabe spleta po telefonski zvezi, s čimer lahko precej omejimo stroške take povezave.

Usmerjevalniki se razen po lastnostih, omenjenih zgoraj, razlikujejo še po kupu podrobnosti, ki pa bodo večini uporabnikov navadno ostale skrite. Kljub temu da imajo te naprave celo vrsto nastavitev, bo za veliko večino uporabnikov doma povsem zadostovala privzeta nastavitev, in zahtevnejši posegi v nastavitve sploh ne bodo potrebni.

Kako smo preizkušali

Usmerjevalniki na našem preizkusu so se med seboj zelo razlikovali tako po zmožnostih, ki jih ponujajo, kot tudi po ceni. Pri ocenjevanju smo jih zato razdelili v dva razreda: v prvem so navadni usmerjevalniki, ki skrbijo za usmerjanje ene povezave v splet na celotno omrežje, v drugem pa naprave, ki poleg zmožnosti navadnih usmerjevalnikov omogočajo tudi klice VPN.

Pri osnovnih zmogljivostih smo ocenili predvsem tehnične značilnosti posameznih izdelkov. Na oceno v tem razredu so najbolj vplivali sestavni deli in dodatki, ki jih je posamezna naprava ponujala, pri čemer smo največ pozornosti posvetili vgrajenemu stikalu, tiskalniškemu strežniku in zmožnosti vzpostavljanja zasilne povezave prek vgrajenega vmesnika ISDN ali priključenega zunanjega modema.

V času, ko vdori tudi v domača omrežja, ki so na prvi pogled nezanimiva, niso redkost, je pri stalni povezavi pomembna zmogljivost požarnega zidu. Pogledali smo, ali usmerjevalnik poleg osnovne varnosti, ki jo zagotavlja prevajanje naslovov NAT, ponuja tudi dodatne zmožnosti, kot je obramba pred napadi DoS in selektivno prepustnost.

Glede na to, da so usmerjevalniki večinoma namenjeni rabi doma, smo preverili tudi enostavnost namestitve in preprostost rabe spletnega vmesnika. V tem je večina izdelovalcev v zadnjem letu naredila velik korak naprej, tako da je osnovna nastavitev usmerjevalnika pri večini naprav preprosto opravilo, ki so mu kos tudi začetniki. Kljub temu pa marsikatera nastavitev skriva tudi dodatne zmožnosti, ki zmogljivost naprave precej povečajo.

Pri usmerjevalnikih, ki podpirajo klice VPN, pa smo preverili, koliko dohodnih povezav hkrati lahko vzpostavimo. Pogledali smo tudi, ali podpirajo le povezovanje s protokolom IPSec ali pa tudi Microsoftova protokola PPTP in L2TP.

Domače omrežje

Najmanjše omrežje je seveda sestavljeno iz dveh računalnikov z omrežnima vmesnikoma. Pri takem domačem omrežju ne potrebujemo nobenih dodatnih naprav, s katerimi bi računalnika povezali v omrežje. Oba računalnika preprosto povežemo z omrežnim kablom. Pri tem moramo biti pozorni samo na to, kakšno vrsto omrežnega kabla uporabimo. Običajni omrežni kabli namreč ne omogočajo neposrednega priklopa dveh naprav, temveč le priklop na stikalo ali razdelilnik. Zato moramo poseči po prekrižanem kablu, ki ima kontakte na obeh vtičih navzkrižno povezane. Za računalnika seveda ni dovolj, da ju samo povežemo s kablom. Vsakemu moramo v operacijskem sistemu določiti tudi naslov IP, računalnika pa morata imeti različna naslova. Za manjša omrežja ponavadi uporabljamo naslove oblike 192.168.X.X, tako da je najobičajnejša rešitev, da prvemu računalniku dodelimo številko 192.168.0.1, drugemu pa 192.168.0.2. Tako smo tudi dosegli, da sta oba računalnika v istem podomrežju. Maska podomrežja je tudi sestavni del nastavitev omrežja in je v zgornjem primeru 255.255.255.0. Iz maske sledi, da so v skupnem podomrežju vsi računalniki, ki imajo enake prve tri dele naslova IP (v našem primeru 192.168.0.). Nastavitvi prehoda (gateway) in strežnika DNS v domačem omrežju ne vplivata na delovanje omrežja, dokler le-tega ne priključimo v kakšno drugo omrežje, npr. internet. Z zgornjimi nastavitvami sta računalnika povezana v omrežje in zdaj lahko, z dodatnimi nastavitvami, ki so odvisne od operacijskega sistema, med obema prenašamo podatke, uporabljamo diske v enem ali drugem računalniku na daljavo, uporabljamo tiskalnike, ki so priklopljeni na katerikoli računalnik, skupaj pobijamo marsovce ali pa gremo v boj proti sovražniku, ki sedi za drugim računalnikom v omrežju...

Kadar imamo več kot dva računalnika, potrebujemo za povezovanje še razdelilnik ali stikalo. Glede na to, da so cene tako prvih kakor drugih naprav danes precej nizke, bo večina uporabnikov segla po stikalu. Modeli za domačo rabo imajo ponavadi do osem vtičnic, tako da lahko s preprostim stikalom v omrežje povežemo do osem računalnikov. Nastavitve pri računalnikih so enake, kot če bi bila v omrežju samo dva. Prvi ima spet naslov 192.168.0.1, drugi 192.168.0.2 in tako po vrsti naprej. Naslovov načeloma ne bi bilo treba porabljati po vrsti, saj moramo zagotoviti le, da so vsi računalniki v istem podomrežju, da se vidijo med sabo, vendar je zaradi organiziranosti in zato, da si omrežne nastavitve posameznih računalnikov laže zapomnimo, priporočljivo, da si naslovi IP sledijo po vrsti. Za delo z računalniki znotraj omrežja je to vse, kar potrebujemo. Nastavljanje domačega omrežja pa se zaplete, kadar želimo naše omrežje priključiti v splet, bodisi prek ponudnika kabelskega interneta ali pa prek ADSL.

Ena izmed bolj preprostih, a zato tudi manj elegantnih rešitev je, da sta v enega izmed računalnikov nameščeni dve omrežni kartici. Ena rabi za povezavo do ponudnika dostopa, drugo pa uporabimo za povezovanje v domače omrežje. Računalnik mora imeti seveda dva naslova IP, za vsako omrežno kartico po enega, pri čemer bo s strani ponudnika dostopa vidna le prva omrežna kartica (in njen naslov IP), iz drugih računalnikov v omrežju pa bo dostop do tega računalnika omogočen z naslovom IP druge omrežne kartice. Ta računalnik bo deloval kot nekakšen usmerjevalnik in bo skrbel za povezavo vseh drugih računalnikov v omrežju s spletom. Podatke o nastavitvah prve omrežne kartice (tiste, s katero se povezujemo v splet) dobimo pri ponudniku dostopa, medtem ko so nastavitve druge omrežne kartice enake, kot smo jih uporabili v zgodnjem primeru (denimo, da gre za računalnik z naslovom 192.168.0.1), vklopiti pa moramo tudi deljenje povezave med dvema omrežnima karticama. Večina novejših operacijskih sistemov to zmožnost podpira brez dodatnih programov. Pri drugih računalnikih v omrežju moramo zgoraj omenjene nastavitve popraviti, saj za povezovanje računalnikov v splet zdaj potrebujemo tudi naslov prehoda in strežnika DNS. Pri vseh računalnikih kot naslov prehoda in naslov strežnika DNS vpišemo naslov IP računalnika z dvema omrežnima karticama, pri tem pa moramo biti pozorni, da navedemo naslov omrežne kartice, vidne iz krajevnega omrežja (v našem primeru 192.168.0.1), in ne naslova, ki ga je računalniku dodelil ponudnik dostopa do spleta. Če pri nastavljanju ne nastanejo kakšni nepričakovani zapleti, imajo zdaj vsi računalniki v domačem omrežju dostop do spleta. Dokler ne ugasnemo "glavnega" računalnika, se pravi tistega z dvema omrežnima karticama.

Zlati Monitor

V prvem razredu, v katerega smo uvrstili izdelke, ki ne podpirajo dohodnih klicev VPN, se je najbolje izkazal Level One FBR-1403TX. Gre za dokaj poceni usmerjevalnik s štirikratnim stikalom, ki ga odlikuje dober požarni zid, poleg tega pa je v napravo vgrajen tudi tiskalniški strežnik. Na drugo mesto smo uvrstili Draytek Vigor 2104p, ki je še malo zmogljivejši, a tudi dražji. Če tiskalniškega strežnika ne potrebujemo, pa je najboljši nakup Zyxellov Prestige 324, ki po ugodni ceni prav tako ponuja zelo dobre zmogljivosti.

Med usmerjevalniki s podporo VPN smo naslov najboljšega podelili usmerjevalniku Draytek Vigor 2200. Gre za enega cenejših izdelkov s podporo povezavam VPN. Odlikujejo ga preprosto nastavljanje in zmožnost zaključevanja klicev PPTP in L2PT. Na drugo mesto se je uvrstila naprava za zahtevnejše kupce, Watchguardov Firebox Soho 6tc. Namenjena je vsem, ki potrebujejo vrhunsko zmogljivost, varnost vzpostavljenih povezav, ob tem pa so za izdelek pripravljeni plačati tudi malo višjo ceno.

Dostikrat je bolj praktično, če za dostop do spleta namesto računalnika z dvema omrežnima karticama uporabimo usmerjevalnik. Način delovanja usmerjevalnika smo že opisali, nastavljanje njegovih osnovnih zmožnosti pa je v praksi povsem enako nastavljanju računalnika z dvema omrežnima vmesnikoma. Spet moramo nastaviti dvojni naslov IP, enega na strani ponudnika dostopa, medtem ko bo drugi viden iz domačega omrežja. Pri računalnikih v omrežju zdaj kot strežnik DNS in prehod seveda navedemo usmerjevalnik in okno v svet je zopet široko odprto na vseh računalnikih.

Če kot ponudnika dostopa prek ADSL uporabljamo Siol, je za manjša omrežja nastavitev še bolj praktična. Siol namreč podpira priklop do štirih računalnikov prek ADSL v splet, tako da lahko, če imamo štiri ali manj računalnikov v domačem omrežju, do spleta pridemo z vsakega računalnika posebej, ne da bi za to potrebovali usmerjevalnik ali računalnik z dvema omrežnima karticama. Modem z omrežnim kablom preprosto vklopimo v razdelilnik in na vseh računalnikih nastavimo podatke v skladu z navodili ponudnika dostopa. Kljub temu pa je rešitev, pri kateri uporabimo usmerjevalnik, le malenkost dražja, kot če kupimo samo razdelilnik, obenem pa je zaradi prej omenjenih lastnosti usmerjevalnika naše omrežje precej bolj varno pred vdori iz interneta.

3Com

Podjetje 3Com je eden večjih izdelovalcev omrežne opreme, izdelke za domača omrežja in manjše pisarne pa ima zbrane v družini OfficeConnect. 3Comova usmerjevalnika na našem preizkusu se navzven le malo razlikujeta, v notranjosti pa se skrivata po zmožnostih precej različna izdelka.

Osnovni 3Comov usmerjevalnik OfficeConnect 3C857 s svojimi značilnostmi ne izstopa iz povprečja med preizkušenimi izdelki. Gre za usmerjevalnik z vgrajenim štirikratnim omrežnim stikalom. Programska oprema je dokaj pregledna, tako da bodo usmerjevalnik brez večjih težav nastavili tudi manj izkušeni uporabniki. Požarni zid poleg skrivanja naslovov NAT omogoča tudi zaščito pred napadi vrste DoS, skrijemo pa ga lahko tudi pred pingi iz interneta.

Zmogljivejši izmed obeh 3Comovih usmerjevalnikov, OfficeConnect 3CR856-95, je namenjen precej zahtevnejšim uporabnikom. Tudi vanj je vgrajeno štirikratno omrežno stikalo. Nastavitveni program je skoraj povsem enak tistemu pri manj zmogljivem modelu, med zmožnostmi pa najdemo tudi podporo navideznim zasebnim omrežjem. Usmerjevalnik podpira do 30 hkratnih povezav VPN. Zaključevati zmore tako klice IPSec kot tudi PPTP in L2TP, podpira pa šifriranje po standardu DES in 3DES. V primerjavi s šibkejšim 3Comovim modelom ima zmogljivejši OfficeConnect tudi izboljšan požarni zid, ki podpira selektivno prepustnost paketkov (stateful packet inspection).

3Com

3Com sodi med bolj uveljavljena podjetja, kar zadeva povezovanje računalnikov. Njihovi usmerjevalniki se lahko pohvalijo z dokaj dobrimi zmogljivostmi, vendar pa niso med najcenejšimi.

Spletni naslov proizvajalca: www.3com.com

Prodaja: CHS

Telefon: (01) 280 66 00

Spletni naslov prodajalca: www.chs.si

Allied Telesyn

Allied Telesyn je izdelovalec, ki je s svojim usmerjevalnikom AR220E sodeloval že na prejšnjem preizkusu usmerjevalnikov ADSL. Gre za enega osnovnejših modelov usmerjevalnikov, v katerega je vgrajeno štirikratno omrežno stikalo. Po zmožnostih nastavljanja sodi med manj zmogljive modele, pri čemer bi izpostavili predvsem požarni zid, ki v obrambi pred napadi omogoča le prevajanje naslovov NAT, ne brani pa pred napadi DoS niti ne omogoča selektivne prepustnosti. Pograjali bi tudi to, da usmerjevalniku ni mogoče spreminjati naslova MAC, kar bo motilo predvsem uporabnike, ki v splet vstopajo prek omrežja kabelskih operaterjev. Tam je dostop ponavadi vezan na naslov MAC naprave, ki je neposredno povezana v splet, se pravi usmerjevalnika.

Allied Telesyn

Na preizkusu smo imeli samo en usmerjevalnik tega podjetja. Izkazal se je z dokaj ugodno ceno, a s precej povprečnimi lastnostmi, izmed katerih bi izpostavili predvsem požarni zid, od katerega bi pričakovali precej več.

Spletni naslov proizvajalca: www.alliedtelesyn.com

Prodaja: Lancom

Telefon: (02) 330 01 00

Spletni naslov prodajalca: www.lancom.si

Allnet

Allnet je na preizkusu sodeloval s kar štirimi usmerjevalniki, ki so si po lastnostih precej podobni. Gre za nemškega izdelovalca, ki izdelke dobavlja predvsem nemškim ponudnikom dostopa do spleta, o čemer priča tudi logotip nemškega Telekoma na enem izmed usmerjevalnikov.

Modela ALL1294A in ALL1295 sta skoraj povsem enaka, le da je v ALL1295 vgrajen tiskalniški strežnik. Oba imata štirikratno omrežno stikalo. Programska oprema usmerjevalnikov je dokaj zmogljiva, saj lahko nastavimo tudi filtriranje po vsebini naslova URL, požarni zid pa preprečuje tudi napade vrste DoS. Posebnost obeh usmerjevalnikov je še dokaj zmogljiv dnevniški zapis dogajanja, nastavimo pa lahko tudi obveščanje upravitelja o dogajanju v omrežju po elektronski pošti.

ALL1297 je namenjen vsem, ki za dostop do spleta uporabljajo dva različna ponudnika dostopa. Usmerjevalnik zna promet porazdeliti enakomerno na oba ponudnika, tako da z uporabniške strani oba dostopa delujeta kot en sam s skupno pasovno širino, ob izpadu enega izmed ponudnikov pa nismo odrezani od spleta. Usmerjevalnik sicer podpira tudi vhodne in izhodne filtre, omogoča pa tudi filtriranje glede na vsebino naslova URL. Požarni zid je šibkejši kakor pri drugih modelih tega izdelovalca, saj ne omogoča preprečevanja napadov DoS, temveč nam je na voljo le prevajanje naslovov NAT in skrivanje usmerjevalnika pred pingi iz interneta. Zanimivo, da je programska oprema usmerjevalnika povsem drugačna od tiste pri šibkejših modelih, razlikujejo pa se tudi po zunanjosti.

Najzmogljivejši izmed Allnetovih usmerjevalnikov je ALL1298, v katerega je vgrajeno kar sedemkratno omrežno stikalo. To bo zadostovalo tudi za malo večja domača omrežja in manjše pisarne, podpira pa tudi povezovanje z omrežji HPNA, a teh pri nas skorajda ni. Pograjali bi vmesnik za nastavljanje prek brskalnika, saj je delno v nemščini, delno v angleščini. Vmesnik je drugačen kakor pri drugih Allnetovih izdelkih na preizkusu. Požarni zid je podobno zmogljiv kakor pri najšibkejših modelih izdelovalca, kar pomeni, da omogoča obrambo pred napadi DoS, ne pa tudi selektivne prepustnosti paketkov. Omenimo še, da gre za edini Allnetov usmerjevalnik na preizkusu, ki ne podpira filtriranja prometa glede na vsebino naslova URL.

Allnet

Nemško podjetje Allnet ima v svoji paleti izdelkov precej usmerjevalnikov, namenjenih domačim uporabnikom in manjšim podjetjem, manjkajo pa modeli, ki imajo tudi podporo navideznim zasebnim omrežjem.

Spletni naslov proizvajalca: www.allnet.de

Prodaja: Quantum

Telefon: (01) 521 20 30

Spletni naslov prodajalca: www.quantum.si

Cisco

Cisco je ime, ki ga v povezavi z računalniškimi omrežji ni treba posebej predstavljati, saj gre za enega največjih izdelovalcev omrežne opreme, ki se usmerja predvsem v zgornji del trga. Za pokritje trga manjših podjetij in domačih uporabnikov je podjetje pred časom kupilo izdelovalca omrežne opreme Linksys, kljub temu pa ima v ponudbi tudi nekaj svojih modelov, namenjenih manjšim omrežjem.

Najšibkejši med preizkušenimi modeli je usmerjevalnik SOHO 91. Gre za izdelek z vgrajenim štirikratnim stikalom. Po zmogljivostih vgrajene programske opreme sodi v zgornji razred ponudbe osnovnih usmerjevalnikov. Vanj je namreč vgrajen zmogljiv požarni zid, ki omogoča obrambo pred napadi DoS, podpira pa tudi selektivno prepustnost paketkov. Podpira tudi vodenje dnevnika po standardu syslog. Slabšo oceno si zasluži predvsem namestitveni program, ki za delovanje potrebuje nameščen navidezni javanski stroj, saj se je pri dostopu do usmerjevalnika prek brskalnika večkrat sesul, težave pa smo razrešili šele, ko smo namestili drugo (starejšo) različico Sunovega javanskega stroja.

Usmerjevalnik s preprosto oznako 831 stopa še stopničko više na lestvici zmogljivosti. Poleg lastnosti, ki jih ponuja SOHO91, od katerega se, mimogrede, navzven skorajda ne razlikuje, omogoča tudi vzpostavljanje povezav VPN, pri čemer ima dostop do krajevnega omrežja z zunanje strani največ pet uporabnikov. Pri tem podpira šifriranje po protokolih DES in 3DES, oba načina šifriranja pa sta tudi strojno pospešena, saj sta v usmerjevalnik vgrajena precej zmogljiv Motorolin procesor RISC in 32 MB pomnilnik, ki skrbita za nemoteno povezovanje. Ob izpadu ponudnika dostopa pa lahko nanj priključimo tudi zunanji modem, ki skrbi za nemoten prenos podatkov tudi takrat, ko širokopasovni dostop do spleta zaradi težav ni mogoč.

Najzmogljivejši izmed vseh Ciscovih usmerjevalnikov na preizkusu je model 1712. Gre za usmerjevalnik, ki omogoča kar do 100 hkratnih povezav v navidezno zasebno omrežje. Poleg standardnih šifriranj DES in 3DES podpira tudi šifriranje po standardu AES, ki omogoča do 256-bitni ključ, s čimer je zagotovljena večja varnost povezav. Vanj je že vgrajen modem ISDN, ki vzpostavi začasno povezavo ob izpadu omrežja, priključimo pa lahko tudi dodatni zunanji modem, tako da se lahko povežemo tudi prek navadne analogne zveze. 1712 se s svojimi zmožnostmi uvršča že v srednji razred usmerjevalnikov, saj ponuja zmogljivosti, ki presegajo zahteve manjših podjetij in domačih uporabnikov.

Cisco

Ciscovih izdelkov v svetu omrežnega povezovanja ni treba posebej predstavljati. Njihovi izdelki so bili vedno namenjeni zahtevnejšim uporabnikom. Temu primerne so tudi zmogljivosti usmerjevalnikov na preizkusu, vendar pa moramo izpostaviti tudi dokaj visoko ceno izdelkov.

Spletni naslov proizvajalca: www.cisco.com

Prodaja: Avtera

Telefon: (01) 585 34 11

Spletni naslov prodajalca: www.avtera.si

Corega

Corega je izdelovalec omrežnih naprav z Daljnega vzhoda, predvsem cenejših. Usmerjevalnik BAR SW-4PL sodi med povprečne usmerjevalnike. Nastavljanje poteka prek preprostega spletnega vmesnika. Požarni zid je le vrste NAT, kar pomeni, da je omrežje za usmerjevalnikom sicer skrito pred računalniki v spletu, zato pa ni varno pred napadi vrste DoS. Kljub temu bo za povprečnega uporabnika dovolj zmogljiv, omogoča pa tudi skrivanje usmerjevalnika pred pingi iz interneta. Izmed filtrov lahko nastavimo samo izhodne, dostop do spleta pa lahko posameznim uporabnikom omejimo samo glede na čas. Gre torej za povprečen izdelek, ki je sicer dovolj zmogljiv za večino uporabnikov, vendar lahko tudi pri izdelkih po podobni ceni dobimo več.

Corega

Japonsko podjetje Corega sodi med manj znane izdelovalce omrežne opreme. Pri usmerjevalniku, ki smo ga imeli na preizkusu, je šlo za njihov osnovni model, ki se lahko pohvali z ugodno ceno, a le povprečnimi zmogljivostmi.

Spletni naslov proizvajalca: www.corega-international.com

Prodaja: Lancom

Telefon: (02) 330 01 00

Spletni naslov prodajalca: www.lancom.si

D-Link

D-Link je med izdelovalci omrežne opreme za manjše pisarne in domača omrežja že dodobra uveljavljen izdelovalec. Preizkusili smo kar pet njihovih usmerjevalnikov.

DL-304 je na prvi pogled le usmerjevalnik ISDN, pri katerem je širokopasovno povezovanje le dodatna zmožnost. No, kljub temu povsem dobro služi tudi kot navaden širokopasovni usmerjevalnik s štirikratnim stikalom, v katerega je vgrajen tudi modem ISDN za zasilno povezovanje ob izpadu dostopa do širokopasovnega ponudnika. Sicer gre za dokaj običajni usmerjevalnik s požarnim zidom, ki podpira le NAT, ne pa tudi preprečevanja napadov vrste DoS ali pa selektivne prepustnosti paketkov. Po zmogljivostih mu je zelo soroden DL-707P, v katerega sicer ni vgrajen vmesnik ISDN, je pa opremljen s tiskalniškim strežnikom in sedemkratnim stikalom.

DL-604 s sodobnejšo obliko izdaja, da gre za novejši izdelek, kljub temu pa smo ga preizkusili že v okviru prejšnjega preizkusa usmerjevalnikov. Ima štirikratno stikalo, po vgrajeni programski opremi pa se le malo razlikuje od drugih D-Linkovih modelov. Tudi pri njem moramo pograjati požarni zid, ki je le vrste NAT, so pa D-Linkovi inženirji dodali podporo standardu uPnP in filtriranju vsebine glede na naslov URL, ki ga prej omenjena usmerjevalnika ne podpirata.

Zahtevnejšim pa sta namenjena usmerjevalnika DL-804V in DL-804HV. Gre za usmerjevalnika s podporo navideznim zasebnim omrežjem, pri čemer model 804V podpira do osem, 804HV pa kar do štirideset hkratnih povezav VPN. Po drugih lastnostih sta si usmerjevalnika precej podobna: oba imata štirikratno stikalo, vgrajeni požarni zid pa varuje tudi pred naprednejšimi napadi hekerjev in omogoča selektivno prepustnost paketkov. Zanimivo, da 804HV podpira dnevniški zapis po standardu syslog, medtem ko ga 804V ne, prav nasprotno pa 804V podpira uPnP, 804 HV pa ne.

D-Link

Tajvanski izdelovalec dodatkov za osebne računalnike D-Link s svojimi izdelki ponuja dobre zmogljivosti po ugodni ceni. Med njihovimi izdelki najdemo povsem osnovne modele, namenjene najmanj zahtevnim uporabnikom, pa tudi usmerjevalnike za manjša podjetja in zahtevnejše domače uporabnike, ki podpirajo tudi povezave VPN.

Spletni naslov proizvajalca: www.dlink.com

Prodaja: Kivi, Zak

Telefon: (02) 883 94 00, (01) 568 51 70

Spletni naslov prodajalca: www.kivi.si, www.zak.si

Draytek

Draytek s svojimi modeli meri na malo zahtevnejše kupce, skoraj vsi njihovi usmerjevalniki pa podpirajo povezovanje v navidezna zasebna omrežja. Preizkusili smo pet njihovih izdelkov.

V prvi razred, se pravi med usmerjevalnike brez podpore povezavam VPN, sodi le model Vigor 2104p. Gre za usmerjevalnik s štirikratnim omrežnim stikalom in tiskalniškim strežnikom. Vanj je vgrajen zmogljiv požarni zid, ki preprečuje napade vrste DoS in omogoča selektivno prepustnost paketkov. Nastavitveni spletni vmesnik deluje nekoliko bolj resno in manj barvito kot pri nekaterih drugih usmerjevalnikih, ponuja pa bolj ali manj iste zmožnosti, kot smo jih vajeni pri drugih izdelkih.

Izmed preizkušenih modelov s podporo povezavam VPN so kar štirje Draytekovi, med sabo pa se le malo razlikujejo. Osnovni model je Vigor 2200, ki je le usmerjevalnik, brez omrežnega stikala. V Vigor 2200E je vgrajeno še štirikratno omrežno stikalo, v 2200X pa poleg stikala tudi modem ISDN za vzpostavljanje zasilne povezave, ki omogoča tudi sprejemanje klicev. V Vigor 2300 pa je poleg stikala vgrajen še tiskalniški strežnik.

Modeli 2200 omogočajo vzpostavljanje do osmih povezav VPN hkrati, medtem ko jih Vigor 2300 omogoča do šestnajst. Poleg zaključevanja klicev IPSec omogočajo tudi zaključevanje klicev PPTP in L2TP, kar bo olajšalo delo predvsem manj veščim uporabnikom, saj je take povezave VPN precej laže nastavljati. Podpirajo šifriranje DES in 3DES. Pograjali pa bi požarni zid pri vseh modelih, saj ta, za razliko od tistega pri modelu brez podpore VPN, omogoča le obrambo pred napadi vrste DoS, ne pa tudi selektivne prepustnosti paketkov.

Draytek

Draytek s svojimi usmerjevalniki meri predvsem na podjetja, ki potrebujejo usmerjevalnike s podporo povezavam VPN. V njihovi paleti je večina usmerjevalnikov namenjena manjšim podjetjem, na svoj račun pa pridejo, sicer z manjšo izbiro posameznih modelov, tudi domači uporabniki.

Spletni naslov proizvajalca: www.draytek.com

Prodaja: Telos

Telefon: (01) 431 03 97

Spletni naslov prodajalca: www.telos.si

LevelOne

LevelOne s svojimi izdelki meri na uporabnike, ki za usmerjevalnik niso pripravljeni odšteti veliko denarja, kljub temu pa želijo dobre zmogljivosti in preprosto rabo.

V njihov prvi usmerjevalnik na preizkusu, FBR-1403TX, je poleg štirikratnega stikala vgrajen tudi tiskalniški strežnik. FBR-1405TX je po lastnostih podoben 1403, vendar je brez tiskalniškega strežnika. V FBR-1406 pa je poleg štirikratnega stikala vgrajena podpora dvema ponudnikoma dostopa do spleta, med katerima lahko preklapljamo, na oba porazdelimo promet, ob izpadu enega izmed obeh pa drugi poskrbi za nemoteno povezavo v splet. FBR-1800TX je po velikosti sicer večji od drugih izdelkov LevelOne na preskusu, saj sta vanj vgrajena kar osemkratno stikalo in tiskalniški strežnik, po programski opremi pa se ne razlikuje od preostalih modelov.

Najzmogljivejši LevelOne na preizkusu je FBR-1404TX, ki podpira tudi klice VPN, hkrati pa lahko vzpostavimo do pet povezav v navidezno zasebno omrežje. Vsi usmerjevalniki LevelOne se lahko pohvalijo z dokaj ugodno ceno in z zmogljivim požarnim zidom, ki preprečuje napade DoS, omogoča pa tudi selektivno prepustnost paketkov. Pohvalili bi tudi vgrajeni dnevnik, ki sicer ne podpira standarda syslog, nas pa zato ob napadu obvesti po elektronski pošti, tako da smo o morebitnem napadu takoj obveščeni in ga laže preprečimo.

Level One

Podjetje Level One svoj ugled gradi na poceni izdelkih, ki ponujajo več od konkurence za podobno ceno. Njihovi izdelki so namenjeni predvsem uporabnikom, ki ne potrebujejo povezovanja VPN, kljub temu pa so opremljeni z zmogljivim požarnim zidom.

Spletni naslov proizvajalca: www.level1.com

Prodaja: Digital Data

Telefon: (02) 460 54 61

Spletni naslov prodajalca: www.digital-data.si

LG

LG je v svetu računalništva sicer bolj znan po drugih izdelkih, velikan pa se je podal tudi med ponudnike omrežne opreme za domačo rabo. Njihov usmerjevalnik LGR1004 sodi med povprečne izdelke z vgrajenim štirikratnim stikalom. Tako ponuja le osnovni požarni zid NAT, ne pa tudi varovanja pred napadi vrste DoS. Dostop do spleta lahko uporabnikom omejimo glede na čas. Model LG sicer podpira dnevniške zapise, vendar ti niso po standardu syslog, je pa zato omogočeno njihovo presnemavanje v enega izmed računalnikov v omrežju in njihovo shranjevanje.

LG

LG je v svetu računalništva bolj znan po monitorjih in večpredstavnih dodatkih kot po omrežnih napravah, kljub temu pa v njihovi pisani prodajni paleti najdemo tudi take izdelke. Usmerjevalnik na preizkusu je po zmogljivostih povprečen, a poceni.

Spletni naslov proizvajalca: www.lge.com

Prodaja: Acord-92

Telefon: (01) 583 72 30

Spletni naslov prodajalca: www.acord-92.si

Linksys

Linksys je eden večjih izdelovalcev omrežne opreme za domače uporabnike, njegovi izdelki pa so še posebej priljubljeni onkraj velike luže, saj je v ZDA vodilni med izdelovalci teh izdelkov. To je opazila tudi družba Cisco, ki s svojimi izdelki na spodnjem delu trga ni imela večjega tržnega deleža, zato je Linksys preprosto kupila. Kljub temu so njihovi izdelki še vedno na voljo pod lastno blagovno znamko, le na novejših usmerjevalnikih je poleg napisa Linksys v kotu tudi logotip podjetja Cisco.

Na preizkusu smo imeli štiri njihove usmerjevalnike, dva "običajna" in dva s podporo povezavam VPN. Modela BEFSR41 in BEFSR81 sta skoraj povsem enaka, le da ima prvi, kot je videti že iz imena, štirikratni razdelilnik, drugi pa osemkratnega. Tiskalniškega strežnika nima nobeden izmed njiju. Namestitveni spletni vmesnik je zelo preprost in pregleden. Vgrajeni požarni zid sodi med zmogljivejše, saj poleg osnovnega preprečevanja dostopa do računalnikov v omrežju NAT preprečuje tudi napade DoS in omogoča selektivno prepustnost paketkov. Kot zanimivost omenimo še dnevnik, ki sicer ne podpira standarda syslog, je pa usmerjevalnikom priložen poseben program, s katerim lahko dnevniške zapise spremljamo s kateregakoli računalnika v omrežju, na voljo pa so tudi izdelki neodvisnih izdelovalcev, ki podpirajo Linksysov dnevniški protokol, tako da lahko statistiko preprosto prenesemo na računalnik.

Preizkusili smo tudi dva modela s podporo VPN: BEFSX41 in BEFVP41. Razen v podpori VPN se od običajnih dveh modelov ne razlikujeta. V oba je vgrajeno štirikratno omrežno stikalo, razlika med njima pa je v tem, da BEFSX41 podpira le do dve hkratni povezavi VPN, BEFVP41 pa naj bi jih kar do 70, pri čemer je podprto šifriranje DES in 3DES.

Linksys

Linksys je pred nekaj meseci prešel v roke velikana Cisca. Z usmerjevalniki, ki jih odlikuje zmogljivost, a so na voljo po malo višji ceni od konkurentov, naj bi Cisco okrepil svojo navzočnost na spodnjem cenovnem delu trga, kjer doslej ni imel orožja proti cenejši konkurenci.

Spletni naslov proizvajalca: www.linksys.com

Prodaja: Xenya

Telefon: (01) 514 06 10

Spletni naslov prodajalca: www.xenya.si

Planet

Planet je podjetje, ki s svojimi izdelki pokriva širok spekter dodatkov za računalnike in omrežja, med temi pa najdemo tudi usmerjevalnike za manj zahtevne. XRT-401C je še eden v vrsti osnovnih usmerjevalnikov, ki povsem zadovoljivo delijo omrežno povezavo na štiri uporabnike prek vgrajenega stikala, ima pa tudi nekaj lastnosti, ki ga postavijo za stopničko više. Nastavljanje poteka prek spletnega brskalnika, vmesnik je pregleden, navigacija pa podobna kot pri vrsti drugih modelov. Pohvalili bi vgrajeni požarni zid, ki podpira tudi selektivno prepustnost paketkov in onemogočanje napadov vrste DoS. Usmerjevalnik omogoča filtriranje vsebine glede na naslov URL. Ob napadu lahko upravitelja o dogajanju obvesti tudi po elektronski pošti.

Planet

Tajvanski proizvajalec Planet je na preizkusu sodeloval z usmerjevalnikom, ki ga na prvi pogled odlikuje predvsem ugodna cena, ob podrobnejšem ogledu pa opazimo tudi dokaj dobre zmogljivosti, predvsem požarnega zidu.

Spletni naslov proizvajalca: www.planet.com.tw

Prodaja: Comtron

Telefon: (02) 300 35 00

Spletni naslov prodajalca: www.comtron.si

SMC

Podjetje SMC je že star znanec preizkusov omrežne opreme za domače uporabnike in manjša podjetja. Preizkusili smo štiri njihove izdelke: tri običajne usmerjevalnike in enega s podporo povezavam VPN.

Modela 7004ABR in 8004BR sta si povsem enaka, le da ima 7004 štirikratno stikalo, 7008 pa kljub imenu sedem- in ne osemkratno, kot bi pričakovali. V oba je vgrajen tudi tiskalniški strežnik, poleg tega pa omogočata priklop zunanjega modema, tako da lahko vzpostavimo povezavo s spletom tudi takrat, ko povezava s ponudnikom širokopasovnega dostopa ni mogoča. Posebnost modela 7008BR je še v tem, da gre za edini usmerjevalnik na preizkusu, ki nima zunanjega napajalnika, temveč je ta vgrajen v ohišje. Temu primerno je usmerjevalnik tudi precej težji od konkurentov.

Po zmogljivosti gre za dokaj osnovna usmerjevalnika. Požarni zid je le vrste NAT, tako da ne varuje domačega omrežja pred napadi vrste DoS, prav tako ne omogoča selektivne prepustnosti paketkov. Požarni zid s temi izboljšavami pa najdemo v modelu 7004VBR. Gre za majhen usmerjevalnik z vgrajenim štirikratnim stikalom, ki pa za razliko od preostalih prvih dveh modelov znamke SMC na preizkusu nima ne tiskalniškega strežnika ne zaporednih vrat za priklop zunanjega modema. Zadnji usmerjevalnik tega podjetja na preizkusu je 7004FW. Gre za usmerjevalnik, po lastnostih enak 7004VPR (po obliki pa, presenetljivo, povsem enak modelu 7004ABR), omogoča pa še vzpostavljanje povezav VPN, in sicer podpira do tri hkratne povezave, ki jih lahko šifriramo po standardu DES ali pa 3DES.

SMC

SMC je med izdelovalci omrežnih naprav za manjša omrežja že dodobra uveljavljen. S svojimi izdelki ponuja dobre zmogljivosti, pa tudi cena ni pretirana. Izdelki so namenjeni predvsem tistim, ki ne potrebujejo vhodnih povezav VPN, a se najde tudi model, ki omogoča tako povezovanje.

Spletni naslov proizvajalca: www.smc.com

Prodaja: DISS, JAE

Telefon: (01) 420 55 06, (01) 589 62 00

Spletni naslov prodajalca: www.diss.si, www.jae.si

Watchguard

Watchguard je podjetje, ki s svojimi izdelki ne meri na povprečnega domačega uporabnika ali majhna podjetja, temveč predvsem na vse, ki potrebujejo boljšo zaščito povezav VPN, kot jih omogočajo običajni usmerjevalniki VPN.

Usmerjevalnik SOHO 6tc tako po lastnostih kot po ceni izstopa iz povprečja. V osnovi gre za usmerjevalnik s štirikratnim stikalom in podporo do deset hkratnim povezavam VPN. Na zadnji strani pa ima usmerjevalnik še dodatno omrežno vtičnico, katere zmožnost je odvisna od programske opreme usmerjevalnika in od tega, katerega izmed modulov, ki jih podjetje ponuja, smo dokupili.

Pri SOHO 6tc lahko usmerjevalnik, če to zmožnost seveda dokupimo, podpira dva ponudnika dostopa do spleta, ali pa lahko dokupimo podporo tehnologiji VPNForce in v tem primeru ob pomoči te vtičnice ločimo promet VPN v omrežju od tistega v krajevnem omrežju prek vgrajenega stikala. Kljub temu da v osnovi 6tc omogoča samo deset povezav VPN, pa vgrajena strojna oprema omogoča tudi več hkratnih povezav, zmogljivost naprave pa spet lahko povečamo, če dokupimo licenco za več uporabnikov VPN in tako omogočimo do 25 ali 50 hkratnih povezav.

Vgrajeni požarni zid seveda omogoča tudi selektivno prepustnost paketkov in preprečevanje napadov vrste DoS, za preprečevanje virusnih okužb pa usmerjevalnik združi sile z McAffeejevim spletnim protivirusnim programom VirusScan ASaP, saj je osnovna licenca za omenjeni spletni servis že priložena. SOHO 6tc si prisluži naslov enega najzmogljivejših usmerjevalnikov na preizkusu, s svojimi lastnostmi pa bo pritegnil predvsem manjša in srednje velika podjetja, medtem ko domači uporabniki njegovih zmožnosti ne bodo izkoristili, niti jih ne potrebujejo.

WatchGuard

WatchGuard stavi na kupce, ki potrebujejo varno in hitro povezovanje VPN. Njihovi izdelki sicer ne sodijo med najcenejše, jih pa odlikuje zmogljivost in obilica zmožnosti nastavljanja. Zmogljivosti usmerjevalnika na preizkusu lahko ob doplačilu tudi nadgradimo, tako da naprava raste skupaj z omrežjem.

Spletni naslov proizvajalca: www.watchguard.com

Prodaja: SI System Integration

Telefon: (01) 561 51 80

Spletni naslov prodajalca: www.si-doo.si

Zyxel

Zyxel si je ustvaril ime predvsem v pionirskih časih povezovanja med računalniki, ko je s svojimi modemi rušil hitrostne rekorde. Danes je eden večjih izdelovalcev omrežne opreme za manjša in srednje velika podjetja. Svoje usmerjevalnike ponuja v dveh družinah: Prestige in Zywall, pri čemer modeli iz druge družine omogočajo vzpostavljanje povezav VPN.

Preizkusili smo tri usmerjevalnike iz družine Prestige: 310, 314 in 324. Modela 310 in 314 sta si povsem enaka, le da je v 314 vgrajeno še štirikratno omrežno stikalo, ki ga pri modelu 310 ni. Gre za osnovna usmerjevalnika z navadnim požarnim zidom NAT, ki ne preprečuje napadov vrste DoS. Prestige 324 je novejši, kar se vidi tudi po vgrajeni programski opremi: požarni zid je naprednejši in se s preprečevanjem napadov DoS in selektivno prepustnostjo paketkov uvršča med zmogljivejše v tem razredu. V nobenega izmed Prestigov ni vgrajen tiskalniški strežnik.

Tudi pri modelih s podporo VPN je Zyxelova ponudba pestra, saj smo preizkusili kar tri modele: Zywall 2, Zywall 10W in Zywall 50. Številka v imenu pove, koliko hkratnih povezav VPN omogoča posamezen usmerjevalnik. Sicer gre za usmerjevalnike z dobrim požarnim zidom in naprednimi načini filtriranja. V modela 2 in 50 je vgrajeno tudi štirikratno omrežno stikalo, medtem ko ga pri modelu 10W ni, je pa zato na voljo razširitveno mesto PCMCIA. Z dokupom primerne brezžične omrežne kartice (Zyxelove, seveda) postane Zywall 10W tudi brezžična dostopna točka, tako da je primeren izbor za vse, ki v tem trenutku še ne potrebujejo brezžičnega omrežja, bi pa želeli svoje omrežje z brezžičnim vmesnikom nadgraditi v prihodnosti. Dokupiti kartico PCMCIA je namreč ceneje kakor kupiti brezžično dostopno točko, poleg tega lahko v prvem primeru vse lastnosti omrežja, tako ožičenega kot brezžičnega, nastavljamo kar na usmerjevalniku prek skupnega vmesnika, medtem ko moramo ob dokupu ločene dostopne točke to nastavljati ločeno.

Zyxel

Zyxel si je ime ustvaril predvsem z zmogljivimi modemi, v zadnjem času pa je postal eden večjih izdelovalcev omrežne opreme. S svojimi izdelki meri predvsem na zahtevnejše kupce, kljub temu pa ima v svoji ponudbi tudi dokaj zmogljive izdelke iz spodnjega cenovnega razreda.

Spletni naslov proizvajalca: www.zyxel.com

Prodaja: Datacom

Telefon: (01) 515 14 80

Spletni naslov prodajalca: www.datacom.si

Izdelava omrežnih usmerjevalnikov, še posebej takih za manjša omrežja, je očitno postala zelo preprosta, saj je izdelovalcev veliko, posamezni izdelki pa se le malo razlikujejo med seboj. To, da je večina modelov, ki smo jih preizkusili pred dobrim letom, še vedno aktualnih, tudi priča o tem, da večjih izboljšav ne moremo pričakovati, manjše popravke pa dosežemo kar z nadgradnjo programske opreme pri starih modelih. Cene so se v zadnjem letu in pol občutno znižale, tako da večjih pocenitev v prihodnosti ne moremo več pričakovati. Prodaja pa se bo, kljub temu da pravih novosti skorajda ni, tudi v prihodnosti strmo povečevala, saj je uporabnikov z dostopom do širokopasovne povezave v svet čedalje več. Večje spremembe si tako lahko obetamo predvsem pri brezžičnih izvedenkah zgoraj omenjenih modelov, a to je že tema za drug preizkus.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Monitor na Facebooku

Monitor TV na YouTube

HRWrFBljAjU

  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji