Порівняння Ubiquiti UniFi Security Gateway vs Ubiquiti EdgeRouter X

Кількість стандартних мережних роз'ємів RJ-45 формату Gigabit Ethernet, передбачена у конструкції пристрою.

Відповідно до назви, такі роз'єми забезпечують швидкість передачі даних до 1 Гбіт/с. Спочатку Gigabit Ethernet вважався професійним стандартом, та й зараз реальні потреби таких швидкостях виникають переважно при виконанні спеціальних завдань. Тим не менш, гігабітними мережевими адаптерами в наш час оснащуються навіть відносно недорогі комп'ютери, не кажучи вже про більш сучасну техніку.

Що стосується кількості роз'ємів, воно відповідає числу мережевих пристроїв, яке можна підключити до «свіча» безпосередньо, без використання додаткового обладнання. У той самий час слід зазначити, що у деяких «свічах» окремі роз'єми цього поєднуються з оптичними SFP чи SFP+. Такі роз'єми мають маркування combo і враховуються як при підрахунку RJ-45, так і при підрахунку SFP/SFP+.

Кількість портів, позначених виробником WAN. Призначені вони для підключення пристрою до Інтернету або інших зовнішніх мереж (для вирішення деяких специфічних завдань).

Під виділеними LAN в даному випадку маються на увазі безпосередньо позначені мережеві роз'єми, призначені для проводового підключення пристроїв локальної мережі - ПК, серверів, додаткових точок доступу і т. п. Кількість портів відповідає числу пристроїв, яке можна безпосередньо підключити до обладнання дротовим способом.

Наявність в маршрутизаторі консольного порту. Цей роз'єм застосовується для управління налаштуваннями пристрою з окремого комп'ютера, який і відіграє роль пульта управління — консолі. Перевагою такого формату роботи є те, що доступ до функцій маршрутизатора не залежить від стану мережі; крім того, на консолі можна використовувати спеціальні утиліти, що забезпечують більш широкі можливості, ніж звичайний веб-інтерфейс або мережеві протоколи (див. «Управління»). Як консольного порту нерідко застосовується роз'єм типу RS-232, проте в сучасних роутерах цю роль може виконувати окремий вхід Ethernet (не застосовується ні для яких інших цілей).

Способи і протоколи управління, підтримувані маршрутизатором.

— SSH. Абревіатура від Secure Shell, тобто «Безпечна оболонка». Протокол SSH забезпечує досить високий ступінь безпеки, тому що шифрує всі передавані дані, в т. ч. паролі. Придатний для управління практично всіма основними мережевими протоколами, але для роботи потрібна спеціальна утиліта на керуючому комп'ютері.

— Telnet. Мережевий керуючий протокол, що забезпечує настройку за допомогою текстової командного рядка. Не використовує шифрування і не захищає передавані дані, а також не містить графічного інтерфейсу, через що у багатьох сферах витіснений більш безпечними (SSH) або зручними (web-інтерфейс) варіантами. Тим не менш, все ще застосовується в сучасному мережевому обладнанні, зокрема, як засіб управління FTP-серверами.

— Web-інтерфейс. Дана функція дозволяє відкривати інтерфейс керування маршрутизатором в звичайному Інтернет-браузері. Таким чином, для доступу до налаштувань не потрібно спеціального ПО — достатньо звичайного комп'ютера або навіть смартфона/планшета (сучасні мобільні браузери за можливостями наближаються до настільним).

— SNMP. Абревіатура від Simple Network Management Protocol, тобто «простий протокол мережевого управління». Є стандартною частиною загального протоколу TCP/IP, на якому побудований як Інтернет,...так і багато локальні мережі. Використовує два типи програмних засобів — «менеджери» на керуючих комп'ютерах і «агенти» на керованих (в даному випадку — на маршрутизаторі). Ступінь безпеки відносно невисока, проте SNMP цілком може застосовуватися для нескладних завдань з управління.

Відзначимо, що даний список не є вичерпним — деякі маршрутизатори мають і інші, більш специфічні можливості управління (такі, як менеджер подій EEM в пристроях Cisco).

Функції безпеки, що забезпечуються пристроєм. Серед найбільш поширених функцій цього роду — фільтрація MAC-адрес, web-вмісту, захист від DoS-атак, антивірус, антиспам, а також DMZ. Ось більш детальний опис по кожному пункту:

— Фільтрація MAC-адрес. Можливість обмежувати доступ до мережі для окремих пристроїв, використовуючи дані про їхні MAC-адреси. Нагадаємо, MAC-адреса — це унікальний ідентифікатор, який присвоюється кожному мережного пристрою. А дана функція дозволяє, наприклад, відкрити доступ в Інтернет тільки для окремих комп'ютерів в офісі, або ж обмежити підключення до закритої корпоративної мережі для пристроїв, які не належать до «білого списку».

— Захист від DoS-атак. Набір засобів (програмних, а іноді і апаратних) для захисту від DoS-атак. DoS (Denial Of Service — «відмова в обслуговуванні») у спрощеному вигляді можна описати як атаку комп'ютерної системи за допомогою величезної кількості запитів, з якою система не може впоратися; в результаті цього для звичайних користувачів доступ затруднюється або стає взагалі неможливим. Захист від таких атак може здійснюватися, зокрема, шляхом фільтрації підозрілих запитів або обмеження кількості відповідей на запити за одиницю часу. Втім, конкретний функціонал і особливості цього зах...исту варто уточнювати окремо.

— Фільтрація веб-вмісту. Дана функція дозволяє обмежити або повністю заборонити доступ локальних комп'ютерів до окремих веб-ресурсів. При цьому фільтрація може налаштовуватися за різними критеріям: за доменними іменами, за категоріями («дорослий» вміст, високе споживання трафіку, розважальна тематика тощо), за типом вмісту на сторінці (відео, великі зображення, певні, скрипти тощо) та іншим. Конкретні особливості фільтрації варто уточнювати окремо; проте в будь-якому разі дана функція дозволяє встановити додаткові правила доступу. Наприклад, з її допомогою можна закрити співробітникам в офісі доступ до сайтів, не пов'язаних з роботою, або включити батьківський фільтр в домашній мережі.

— Антивірус. Антивірус — інструмент для виявлення та нейтралізації шкідливих програм — встановлений прямо на маршрутизаторі. Використовується переважно для аналізу та фільтрації мережевого трафіку, при цьому багато антивірусів здатні працювати в двох напрямках — як вхідний, так і вихідний трафік. Це дозволяє не тільки захистити мережу від атак ззовні, але і виявляти вже заражені локальні пристрої і запобігати розсилці конфіденційної інформації, копій вірусу і інших небажаних даних. З іншого боку, ця функція збільшує навантаження на маршрутизатор і може помітно знизити швидкість підключення. Тому застосовувати антивірус на маршрутизаторі має сенс переважно в тих випадках, коли окремі пристрої в мережі захищені слабко (або взагалі не захищені), або ж якщо максимальний захист є принципово важливим. Також варто враховувати, що конкретні можливості антивірусу можуть бути різними, для кожної моделі їх варто уточнювати окремо.

— Антиспам. Вбудований набір інструментів, що дозволяє аналізувати поштовий трафік, який входить, на предмет небажаних повідомлень і автоматично фільтрувати повідомлення на рівні маршрутизатора, не пропускаючи далі. Це не тільки знижує навантаження на поштові системи в локальній мережі і полегшує фільтрацію пошти, але також позитивно позначається на безпеці: повідомлення з шкідливим вмістом просто не доходять до адресатів. Зазначимо, що, говорячи про антиспам, зазвичай мають на увазі захист для класичної електронної пошти; для інших засобів зв'язку (Viber, Telegram тощо) подібні інструменти з низки причин не застосовуються.

— DMZ. Абревіатура, яка розшифровується як «демілітаризована зона». Сама по собі ця функція дозволяє створити в локальній мережі сегмент, відкритий для зовнішнього доступу; в такому сегменті можуть розміщуватися, наприклад, Інтернет-сервіси компанії. У класичному вигляді DMZ відокремлена від іншої локальної мережі міжмережевим екраном, що забезпечує необхідну безпеку. Водночас в деяких маршрутизаторах під даним терміном може матися на увазі режим DMZ-host — свого роду «спрощена версія». Під час роботи в даному режимі відкритий для зовнішнього доступу сервер не відділений від локальної мережі, що спрощує налаштування, але знижує безпеку; тому DMZ-хост зустрічається переважно серед недорогих моделей, розрахованих на домашнє використання і малий бізнес.

Стандарт входу PoE, передбаченого у пристрої.

Сама по собі технологія PoE (Power over Ethernet) дає можливість передавати по мережному кабелю Ethernet не тільки дані, але і енергію для живлення мережевих пристроїв. А наявність входу PoE дає змогу самому маршрутизатору отримувати живлення таким способом. Зазначимо, що існують спеціальні пристрої - наприклад звані PoE-інжектори - що дозволяють додати у звичайний мережевий сигнал ще й живлення (тобто доповнити підтримкою PoE обладнання, яке спочатку не має такої функції).

Щодо стандартів PoE, то вони визначають як потужність живлення, наприклад і основні можливості за погодженням джерела живлення зі споживачем — той та інший мають підтримувати один стандарт, інакше нормальна робота буде неможливою. У цьому формати, мають маркування виду «802.3*», називають активними; їх загальною особливістю є те, що при підключенні навантаження джерело живлення спочатку «опитує» її, перевіряючи, чи відповідає пристрій, що живиться, вимогам відповідного стандарту, і якщо наприклад — то яку саме потужність потрібно на нього подавати. У пасивному стандарті такої функції немає. А ось докладний опис конкретних варіантів:

- 802.3at. Стандарт, спочатку випущений ще в 2009 році і відомий як PoE+, або PoE тип 2. Стандартна потужність живлення, що отримується на такій вхід - 25.5 Вт, з напругою від 42.5 до 57 В та струмом у парі до 600 мА.

- 802.3af/at. Дане маркування о...значає, що вхід PoE підтримує як описаний вище стандарт 802.3at, наприклад і раніше 802.3af (PoE тип 1). Другий формат помітно скромніший за можливостями: він передбачає потужність на вході живлення до 13 Вт, вхідна напруга 37 - 57 В і струм в парі проводів живлення до 350 мА. Незважаючи на "поважний вік", багато пристроїв з виходами живлення 802.3af все ще продовжують використовуватися в наш час; наприклад що і для входу живлення маршрутизатора сумісність із цим стандартом може виявитися зайвим. Зазначимо тільки, що 802.3af охоплює цілих чотири наприклад званих класу потужності (з 0 по 3), що відрізняються за конкретним числом ват на виході та вході. Так що при підключенні живлення від пристрою з цим стандартом PoE не завадить додатково уточнити сумісність класів потужності.

- Пасивний. Максимально простий і недорогий стандарт, створений для застосування переважно в обладнанні початкового рівня (оскільки реалізація активних стандартів PoE в цілому обходиться недешево). Як уже згадувалося вище, ключовою відмінністю від описаних вище форматів є те, що джерело живлення подає енергію «як є» — із строго фіксованою напругою та потужністю, не перевіряючи характеристик навантаження та не підлаштовуючись під неї. Саме це забезпечує невисоку ціну та доступність. З іншого боку, при використанні пасивного входу PoE треба приділяти максимальну увагу тому, щоб напруга та потужність джерела живлення відповідали характеристик маршрутизатора; а подібне узгодження буває досить непростою справою у світлі того, що пасивний стандарт не має чітко визначених стандартів навіть за напругою, не кажучи вже про потужність. При цьому нестиковка призводить до того, що в кращому випадку (якщо напруга/потужність на виході нижче необхідних для навантаження) живлення просто не запрацює, а в гіршому (при надлишку напруги/потужності) велика ймовірність навантажень, перегріву і навіть поломок з загораннями - причому такі неприємності можуть статися не відразу, а через значний час. Так що звертати увагу на даний варіант варто насамперед у тих випадках, коли простота та доступність важливіші, ніж прогресивні стандарти живлення. При цьому відзначимо, що деякі свічі, що мають на додаток до пасивного входу також пасивний вихід PoE, допускають з'єднання «каскадом» - у вигляді послідовного ланцюжка з кількох пристроїв, що живляться від одного зовнішнього джерела (головне, щоб у цього вистачало потужності).

Окремо підкреслимо, що не варто намагатися підключити активне джерело живлення до пасивного входу, і навпаки. У першому випадку пристрій просто не пройде перевірку, яка проводиться перед подачею енергії, та живлення не ввімкнеться. А в другому випадку можливі серйозні збої і навіть аварії: пасивне джерело живлення подає енергію відразу, не перевіряючи характеристик пристрою, що живиться, що створює ризик перевантажень при невідповідності робочих параметрів.

Стандарт виходу (виходів) PoE, який використовуваний в маршрутизаторі.

Сама по собі технологія PoE (Power over Ethernet) дає змогу передавати по мережному кабелю Ethernet не тільки дані, але і енергію для живлення мережевих пристроїв. А наявність виходу (виходів) PoE дає змогу живити такі пристрої від мережевих роз'ємів пристрою. Це позбавляє необхідності прокладати додаткові дроти або використовувати автономні джерела живлення, що буває особливо важливо для деякого обладнання - наприклад, зовнішніх IP-камер спостереження. А при використанні наприклад званих спліттерів - пристроїв, що поділяють сигнал PoE кабелю на суто мережеві дані та струм живлення - за допомогою подібних виходів можна живити і обладнання, що спочатку не підтримує PoE (головне, щоб їх характеристики живлення відповідали можливостям свічки).

Що стосується стандартів PoE, то вони визначають не просто загальну потужність живлення, а й сумісність із конкретними пристроями: споживач повинен підтримувати той самий стандарт, що й маршрутизатор, інакше нормальна робота буде неможливою. У наш час, у тому числі в роз'ємах «свічів», можна зустріти два різновиди таких стандартів – активні (802.3af, 802.3at, 802.3bt) та пасивний (один, наприклад і називається). Основна відмінність між цими різновидами полягає в тому, що активний PoE передбачає узгодження джерела живлення та навантаження за напругою та струмом, у пасивному таких функцій немає, і енергія подаєт...ься «як є», без регулювань. А ось детальніший опис конкретних стандартів:

- 802.3af. Найбільш старий з активних форматів живлення PoE, що використовуються в наш час. Передбачає потужність на виході живлення до 15 Вт (на вході споживача - до 13 Вт), вихідна напруга 44 - 57 В (на вході - 37 - 57 В) і струм у парі проводів живлення до 350 мА. Незважаючи на "поважний вік", все ще продовжує досить широко використовуватись; наприклад що і маршрутизаторів, що працює тільки з 802.3af, у продажу (станом на кінець 2021 року) все ще досить багато. Однак варто врахувати, що даний стандарт охоплює відразу 4 наприклад званих класу потужності (з 0 по 3), що розрізняються за максимальним числом ват на виході та вході. Так що при використанні 802.3af не завадить переконатися, що потужності виходу буде достатньо для обраного навантаження.

- 802.3af/at. Поєднання одразу двох стандартів - описаного вище 802.3af і новішого 802.3at. Останній дає змогу подавати на вихід потужність до 30 Вт (до 25,5 Вт на вході пристрою, що живиться), використовує напругу 50 - 57 В (42,5 - 57 В на вході), при цьому струм у парі проводів не перевищує 600 мА. Подібне поєднання обходиться порівняно недорого, при цьому воно дає можливість мати велику різноманітність зовнішніх пристроїв; наприклад що на кінець 2021 саме цей вид виходів PoE користується в маршрутизаторах найбільшою популярністю.

- 802.3af/at, bt. Поєднання описаного вище 802.3af/at із стандартом 802.3bt (PoE++, PoE тип 3 або тип 4). 802.3bt – це найбільш новий із форматів живлення PoE; на відмінність від ранніх, він використовує не 2, а 4 дроти живлення, що дає змогу подавати на зовнішні пристрої дуже солідну потужність - до 71 В (при 90 Вт на виході живлення). Подібні можливості бувають незамінні при енергопостачанні обладнання з підвищеним споживанням, наприклад, зовнішніх камер спостереження, доповнених системами обігріву. З іншого боку, підтримка стандарту 802.3bt помітно впливає на вартість пристрою, а якість кабелів подібне підключення висуває особливі вимоги. Крім того, слід мати на увазі, що до цього стандарту відносять також формат UPoE, створений компанією Cisco та застосовуваний у її обладнанні; а цей стандарт (саме він відомий як PoE тип 3) має скромнішу потужність - до 60 Вт на виході (до 51 Вт на вході споживача). Та й загальний стандарт 802.3bt включає два класи потужності – клас 8, при якому досягаються максимальні характеристики, та клас 7, де на вихід подається 75 Вт, а до споживача сягає близько 62 Вт. Так що якщо ви плануєте використовувати обладнання 802.3bt — при виборі маршрутизатора з даної категорії обов'язково переконайтеся, що потужності живлення вистачить для нормальної роботи підключених пристроїв.

- Пасивний. Як уже згадувалося, ключова відмінність пасивного PoE від описаних вище активних стандартів є те, що в даному випадку вихід живлення видає суворо фіксовану потужність, без будь-яких автоматичних регулювань та підстроїв під конкретний пристрій. Головна перевага цього стандарту - невисока вартість: його реалізація обходиться значно дешевше, ніж активних PoE, тому такі порти можна зустріти навіть у маршрутизаторах початкового рівня. З іншого боку, згадана відсутність автоналаштування помітно ускладнює узгодження обладнання між собою — особливо у світлі того, що різні пристрої можуть помітно відрізнятися за напругою, що видається/споживається, і струму (потужності). Через це при використанні пасивного PoE слід звертати особливу увагу на сумісність джерела та навантаження за цими параметрами. Якщо збігу немає, то в кращому випадку (якщо напруга/потужність на виході нижче за потрібні) живлення просто не запрацює, а в гіршому (при надлишку напруги/потужності) велика ймовірність перевантажень, перегріву і навіть поломок з займаннями - причому такі неприємності можуть статися не одразу, а через досить значний час. І однозначно не можна підключати до пасивних виходів PoE пристрою з активними входами – з тих самих причин.

На завершення варто сказати, що якщо маршрутизатор має і вхід з підтримкою PoE, і кілька виходів з цією функцією - всі можливості таких виходів, як правило, можуть реалізовуватися тільки при живленні самого свіча від розетки, а не від PoE входу. Докладніше див. «Виходи з підтримкою PoE».