Porównanie Ubiquiti UniFi Security Gateway vs Ubiquiti EdgeRouter X

Liczba standardowych złączy RJ-45 formatu Gigabit Ethernet, przewidziana w konstrukcji urządzenia.

Jak sama nazwa wskazuje, złącza te zapewniają transfer danych z prędkością do 1 GB/s. Początkowo Gigabit Ethernet był uważany za standard profesjonalny, a nawet dziś realna potrzeba takich prędkości występuje głównie przy wykonywaniu zadań specjalnych. Niemniej jednak nawet stosunkowo niedrogie komputery są obecnie wyposażone w gigabitowe karty sieciowe, nie mówiąc już o bardziej zaawansowanym sprzęcie.

Jeśli chodzi o liczbę złączy, odpowiada ona liczbie urządzeń sieciowych, które można podłączyć bezpośrednio do "przełącznika", bez użycia dodatkowego sprzętu. Jednocześnie warto zaznaczyć, że w niektórych „przełącznikach” poszczególne złącza tego typu łączone są ze złączem optycznym SFP lub SFP+. Takie złącza są oznaczane jako „combo” i są uwzględniane zarówno przy podliczaniu RJ-45, jak i SFP/SFP+.

Liczba portów oznaczonych przez producenta jako WAN. Przeznaczone są do przewodowego połączenia urządzenia z Internetem lub innymi sieciami zewnętrznymi (w celu rozwiązania określonych problemów).

Dedykowane sieci LAN oznaczają w tym przypadku bezpośrednio oznaczone złącza sieciowe przeznaczone do przewodowego podłączenia urządzeń LAN - komputerów osobistych, serwerów, dodatkowych punktów dostępowych itp. Liczba portów odpowiada liczbie urządzeń, które można bezpośrednio podłączyć przewodowo do sprzętu.

Obecność portu konsoli w routerze. Złącze to służy do sterowania ustawieniami urządzenia z osobnego komputera, który pełni rolę panelu sterowania - konsoli. Zaletą tego typu operacji jest to, że dostęp do funkcji routera jest niezależny od stanu sieci; ponadto możesz użyć specjalnych narzędzi na konsoli, które zapewniają bardziej rozbudowane możliwości niż zwykły interfejs sieciowy lub protokoły sieciowe (patrz „Sterowanie”). Złącze RS-232 jest często używane jako port konsoli, ale we współczesnych routerach rolę tę może pełnić również oddzielne wejście Ethernet (nie wykorzystywane do żadnego innego celu).

Metody i protokoły zarządzania obsługiwane przez router.

- SSH. Skrót od Secure Shell, tj. „Bezpieczna powłoka”. SSH zapewnia dość wysoki stopień bezpieczeństwa, ponieważ szyfruje wszystkie przesyłane dane, m.in. Hasła. Nadaje się do zarządzania prawie wszystkimi głównymi protokołami sieciowymi, ale do działania wymaga specjalnego narzędzia na komputerze sterującym.

- Telnet. Protokół kontroli sieci, który można skonfigurować za pomocą tekstowego wiersza poleceń. Nie stosuje szyfrowania i nie chroni przesyłanych danych, a także pozbawiony jest interfejsu graficznego, dlatego w wielu obszarach jest wypierany przez opcje bezpieczniejsze (SSH) lub wygodne (webowe). Mimo to nadal jest wykorzystywany w nowoczesnym sprzęcie sieciowym - w szczególności jako narzędzie do zarządzania serwerami FTP.

- Interfejs sieciowy. Funkcja ta umożliwia otwarcie interfejsu zarządzania routerem w zwykłej przeglądarce internetowej. Tak więc, aby uzyskać dostęp do ustawień, nie jest potrzebne żadne specjalne oprogramowanie - wystarczy zwykły komputer lub nawet smartfon / tablet (nowoczesne przeglądarki mobilne są zbliżone do komputerów stacjonarnych pod względem możliwości).

- SNMP. Skrót od Simple Network Management Protocol, tj. "Simple Network Management Protocol". Jest to standardowa część ogólnego protokołu TCP/IP, na któr...ej zbudowany jest zarówno Internet, jak i wiele sieci lokalnych. Wykorzystuje dwa rodzaje oprogramowania - "menedżerów" na komputerach sterujących i "agentów" na komputerach kontrolowanych (w tym przypadku na routerze). Bezpieczeństwo jest stosunkowo niskie, ale SNMP może być używane do prostych zadań zarządzania.

Należy zauważyć, że ta lista nie jest wyczerpująca — niektóre routery mają inne, bardziej specyficzne możliwości zarządzania (takie jak menedżer zdarzeń EEM w urządzeniach Cisco).

Funkcje bezpieczeństwa zapewniane przez urządzenie. Wśród najczęstszych funkcji tego rodzaju są filtrowanie adresów MAC , filtrowanie treści internetowych, ochrona przed atakami DoS, antywirus, antyspam i DMZ. Oto bardziej szczegółowy opis każdego przedmiotu:

- Filtrowanie adresów MAC. Możliwość ograniczenia dostępu do sieci dla poszczególnych urządzeń za pomocą informacji o ich adresach MAC. Przypominamy, że adres MAC to unikalny identyfikator przypisany do każdego urządzenia sieciowego. A funkcja ta pozwala np. otworzyć dostęp do Internetu tylko dla pojedynczych komputerów w biurze, albo ograniczyć połączenie do zamkniętej sieci firmowej dla urządzeń, które nie znajdują się na „białej liście”.

- Ochrona przed atakami DoS. Zestaw narzędzi (oprogramowania, a czasem sprzętu) do ochrony przed atakami DoS. DoS (Denial Of Service) w swojej uproszczonej formie można opisać jako atak na system komputerowy z ogromną liczbą żądań, z którymi system nie może sobie poradzić; w rezultacie dostęp jest utrudniony lub niemożliwy dla zwykłych użytkowników. Ochrona przed takimi atakami może być realizowana w szczególności poprzez filtrowanie podejrzanych żądań lub ograniczanie liczby odpowiedzi na żądania w jednostce czasu. Jednak konkretną funkcjonalność i możliwości tej...ochrony należy wyjaśniać osobno.

- Filtrowanie treści internetowych. Funkcja ta pozwala ograniczyć lub całkowicie zablokować dostęp lokalnych komputerów do określonych zasobów sieciowych. Jednocześnie filtrowanie można skonfigurować według różnych kryteriów: według nazw domen, według kategorii (treści „dla dorosłych”, duże zużycie ruchu, tematy związane z rozrywką itp.), według rodzaju treści na stronie (wideo, duże obrazy , niektóre skrypty itp.) itp.) i inne. Specyficzne funkcje filtrowania należy wyjaśniać osobno; jednak w każdym przypadku funkcja ta umożliwia ustawienie dodatkowych reguł dostępu. Na przykład może służyć do uniemożliwienia pracownikom w biurze dostępu do stron niezwiązanych z pracą lub do włączenia filtru rodzicielskiego w sieci domowej.

- Antywirus. Antywirus - narzędzie do wykrywania i neutralizacji złośliwego oprogramowania - instalowane bezpośrednio na routerze. Służy głównie do analizy i filtrowania ruchu sieciowego, podczas gdy wiele programów antywirusowych może działać w dwóch kierunkach - zarówno dla ruchu przychodzącego, jak i wychodzącego. Pozwala to nie tylko chronić sieć przed atakami z zewnątrz, ale także wykrywać już zainfekowane urządzenia lokalne i zapobiegać rozpowszechnianiu poufnych informacji, kopii wirusów i innych niechcianych danych. Z drugiej strony funkcja ta zwiększa obciążenie routera i może znacznie spowolnić szybkość połączenia. Dlatego warto używać programu antywirusowego na routerze głównie w przypadkach, gdy poszczególne urządzenia w sieci są słabo chronione (lub w ogóle nie są chronione) lub gdy maksymalna ochrona ma fundamentalne znaczenie. Należy również pamiętać, że konkretne możliwości antywirusa mogą być różne, dla każdego modelu należy je wyjaśniać osobno.

- Anty spam. Wbudowany zestaw narzędzi do analizy ruchu poczty przychodzącej pod kątem spamu i automatycznego filtrowania tych wiadomości na poziomie routera, bez przechodzenia dalej. To nie tylko zmniejsza obciążenie systemów pocztowych w sieci lokalnej i ułatwia filtrowanie poczty, ale także pozytywnie wpływa na bezpieczeństwo: wiadomości ze złośliwą treścią po prostu nie docierają do odbiorców. Zwróć uwagę, że mówiąc o antyspamie, zwykle mają one na myśli ochronę klasycznej poczty e-mail; w przypadku innych metod komunikacji (Viber, Telegram itp.) takie narzędzia nie są używane z wielu powodów.

- strefa zdemilitaryzowanej. Skrót od strefy zdemilitaryzowanej. Sama funkcja ta umożliwia utworzenie segmentu w sieci lokalnej, który jest otwarty dla dostępu z zewnątrz; w takim segmencie mogą znajdować się na przykład usługi internetowe firmy. W klasycznej formie strefa DMZ jest oddzielona od reszty sieci lokalnej zaporą ogniową, która zapewnia niezbędne bezpieczeństwo. Jednocześnie w niektórych routerach termin ten może oznaczać tryb hosta DMZ - rodzaj „uproszczonej wersji”. Podczas pracy w tym trybie serwer otwarty na dostęp z zewnątrz nie jest odseparowany od sieci lokalnej, co upraszcza konfigurację, ale zmniejsza bezpieczeństwo; dlatego host DMZ znajduje się głównie wśród tanich modeli do użytku domowego i małych firm.

Standard wejścia PoE przewidziany w urządzeniu.

Sama technologia PoE (Power over Ethernet) umożliwia przesyłanie nie tylko danych przez kabel sieciowy Ethernet, ale także energii do zasilania urządzeń sieciowych. A obecność wejścia PoE pozwala na odbiór zasilania samego routera w podobny sposób. Zwróć uwagę, że istnieją specjalne urządzenia – tak zwane iniektory PoE – które pozwalają dodać zasilanie do zwykłego sygnału sieciowego (czyli dodać obsługę PoE do sprzętu, który początkowo nie posiada takiej funkcji).

Jeśli chodzi o standardy PoE, to określają one zarówno zasilanie, jak i główne możliwości koordynacji źródła zasilania z odbiorcą – oba muszą obsługiwać ten sam standard, inaczej normalna praca będzie niemożliwa. Jednocześnie formaty oznaczone jako „802.3*” są nazywane aktywnymi; ich wspólną cechą jest to, że po podłączeniu obciążenia źródło zasilania najpierw je „odpytuje”, sprawdzając, czy zasilane urządzenie spełnia wymagania odpowiedniej normy, a jeśli tak, to jaki rodzaj zasilania należy do niego dostarczyć. W standardzie pasywnym takiej funkcji nie ma. A oto bardziej szczegółowy opis poszczególnych opcji:

— 802.3at. Standard pierwotnie wydany w 2009 roku i znany jako PoE + lub PoE typu 2. Standardowa moc odbierana na tym wejściu wynosi 25,5 W, przy napięciu od 42,5 do 57 V i prądzie par do 600 mA.

— 802.3af/at. To oznaczenie oznacza, że wejście PoE obsługuje zarówno opisany powyżej...standard 802.3at, jak i wcześniejszy 802.3af (PoE rodzaj 1). Drugi format jest zauważalnie skromniejszy pod względem możliwości: zapewnia moc na wejściu do 13 W, napięcie wejściowe 37 - 57 V i prąd w parze przewodów zasilających do 350 mA. Pomimo „szanowanego wieku”, wiele urządzeń z wyjściami 802.3af jest nadal w użyciu; więc w przypadku zasilania routera zgodność z tym standardem może nie być zbyteczna. Zauważmy tylko, że 802.3af obejmuje aż cztery tak zwane klasy mocy (od 0 do 3), które różnią się konkretną liczbą watów na wyjściu i wejściu. Dlatego podczas podłączania zasilania z urządzenia z tym standardem PoE nie zaszkodzi dalsze wyjaśnienie zgodności według klasy mocy.

- Bierny. Najprostszy i najtańszy standard, przeznaczony do stosowania głównie w sprzęcie klasy podstawowej (ponieważ wdrożenie aktywnych standardów PoE jest generalnie drogie). Jak wspomniano powyżej, kluczową różnicą w stosunku do formatów opisanych powyżej jest to, że zasilacz dostarcza energię „tak jak jest” – ze ściśle ustalonym napięciem i mocą, bez sprawdzania specyfikacji obciążenia i bez dostosowywania się do niej. To zapewnia niską cenę i dostępność. Z drugiej strony, korzystając z pasywnego wejścia PoE, należy zadbać o to, aby napięcie i moc zasilacza odpowiadały charakterystyce routera; a taka koordynacja może być dość trudna w świetle faktu, że standard pasywny nie ma ściśle określonych standardów nawet dla napięcia, nie mówiąc już o mocy. Jednocześnie niezgodność prowadzi do tego, że w najlepszym przypadku (jeśli napięcie/moc wyjściowa jest niższa niż wymagane dla obciążenia) moc po prostu nie zadziała, a w najgorszym (przy nadmiernym napięciu/ mocy), istnieje duże prawdopodobieństwo przeciążeń, przegrzania, a nawet awarii z pożarami - ponadto takie problemy mogą nie wystąpić natychmiast, ale po dość długim czasie. Warto więc zwrócić uwagę na tę opcję przede wszystkim w przypadkach, w których prostota i dostępność są ważniejsze niż zaawansowane standardy żywieniowe. Jednocześnie zwracamy uwagę, że niektóre switche, które oprócz wejścia pasywnego posiadają również wyjście pasywne PoE, umożliwiają połączenie „kaskadowe” – w postaci szeregowego łańcucha kilku urządzeń zasilanych z jednego źródła zewnętrznego (tzw. najważniejsze jest to, że to źródło ma wystarczającą moc).

Osobno podkreślamy, że nie należy próbować podłączać aktywnego źródła zasilania do wejścia pasywnego, a tym bardziej odwrotnie. W pierwszym przypadku urządzenie po prostu nie przejdzie testu przeprowadzanego przed włączeniem zasilania, a zasilanie się nie włączy. A w drugim przypadku możliwe są poważne awarie, a nawet wypadki: pasywne źródło zasilania dostarcza energię natychmiast, bez sprawdzania specyfikacji zasilanego urządzenia, co stwarza ryzyko przeciążeń w przypadku niedopasowania parametrów pracy.

Standard wyjść PoE używany przez router.

Sama technologia PoE (Power over Ethernet) pozwala przesyłać nie tylko dane przez kabel sieciowy Ethernet, ale także energię do zasilania urządzeń sieciowych. A obecność wyjścia PoE (wyjścia) umożliwia zasilanie takich urządzeń ze złączy sieciowych urządzenia. Eliminuje to konieczność układania dodatkowych przewodów lub korzystania z niezależnych źródeł zasilania, co jest szczególnie ważne w przypadku niektórych urządzeń, takich jak zewnętrzne kamery IP do monitoringu. A przy korzystaniu z tak zwanych splitterów - urządzeń, które dzielą sygnał kabla PoE na dane czysto sieciowe i prąd zasilający - za pomocą takich wyjść można również zasilać sprzęt, który początkowo nie obsługuje PoE (najważniejsze jest to, że ich charakterystyka mocy odpowiada możliwości przełącznika).

Jeśli chodzi o standardy PoE, określają one nie tylko ogólne zasilanie, ale także kompatybilność z konkretnymi urządzeniami: konsument musi obsługiwać ten sam standard co router, w przeciwnym razie normalna praca będzie niemożliwa. Obecnie także w złączach „przełączników” można znaleźć dwa rodzaje takich standardów – aktywny (802.3af, 802.3at, 802.3bt) i pasywny (jeden, bo tak się nazywa). Główna różnica między tymi odmianami polega na tym, że aktywne PoE zapewnia dopasowanie źródła zasilania i obciążenia pod względem napięcia i prądu, podczas gdy pasywne PoE nie ma takich funkcji, a energia jest dostarczana „tak...jak jest”, bez regulacji. A oto bardziej szczegółowy opis poszczególnych standardów:

— 802.3af. Najstarszy obecnie używany aktywny format zasilania PoE. Zapewnia moc na wyjściu o mocy do 15 W (na wejściu odbiornika - do 13 W), napięcie wyjściowe 44 - 57 V (na wejściu - 37 - 57 V) oraz prąd w parze przewodów zasilających do góry do 350 mA. Pomimo „czcigodnego wieku”, nadal jest szeroko stosowany; więc wciąż jest sporo routerów, które działają tylko z 802.3af w sprzedaży (stan na koniec 2021 r.). Warto jednak wziąć pod uwagę, że ten standard od razu obejmuje 4 tak zwane klasy mocy (od 0 do 3), które różnią się maksymalną liczbą watów na wyjściu i wejściu. Dlatego przy korzystania z 802.3af nie zaszkodzi upewnić się, że moc wyjściowa będzie wystarczająca dla wybranego obciążenia.

— 802.3af/at. Połączenie dwóch standardów jednocześnie - 802.3af opisanego powyżej i nowszego 802.3at. Ta ostatnia pozwala na dostarczenie mocy do 30 W (do 25,5 W na wejściu zasilanego urządzenia), wykorzystuje napięcie 50 - 57 V (42,5 - 57 V na wejściu), natomiast prąd w parze przewody nie przekraczają 600 mA. Taka kombinacja jest stosunkowo niedroga, a jednocześnie umożliwia zasilanie szerokiej gamy urządzeń zewnętrznych; więc pod koniec 2021 roku to właśnie tego typu wyjścia PoE są najbardziej popularne w routerach.

— 802.3af/at, bt. Połączenie 802.3af/at powyżej z 802.3bt (PoE++, PoE rodzaj 3 lub rodzaj 4). 802.3bt to najnowszy format zasilania PoE; w przeciwieństwie do wcześniejszych, wykorzystuje nie 2, a 4 przewody zasilające, co pozwala na dostarczenie bardzo solidnego zasilania do urządzeń zewnętrznych - do 71 V (przy 90 W na wyjściu). Takie możliwości są niezbędne przy zasilaniu urządzeń o zwiększonym poborze mocy – np. zewnętrznych kamer dozorowych, uzupełnionych systemami grzewczymi. Z drugiej strony obsługa standardu 802.3bt znacząco wpływa na koszt urządzenia, a takie połączenie stawia specjalne wymagania co do jakości kabli. Ponadto należy pamiętać, że standard ten obejmuje również format UPoE stworzony przez Cisco i używany w jego sprzęcie; a ten standard (znany jako PoE rodzaj 3) ma skromniejszą moc - do 60 W na wyjściu (do 51 W na wejściu konsumenta). Tak, a ogólny standard 802.3bt obejmuje dwie klasy mocy - klasę 8, przy której osiąga się maksymalną wydajność, oraz klasę 7, w której na wyjście dostarczane jest 75 watów, a do konsumenta około 62 watów. Jeśli więc planujesz korzystać ze sprzętu 802.3bt, wybierając router z tej kategorii, musisz upewnić się, że zasilanie jest wystarczające do prawidłowego działania podłączonych urządzeń.

- Bierny. Jak już wspomniano, kluczową różnicą między pasywnym PoE a opisanymi powyżej standardami aktywnymi jest to, że w tym przypadku moc wyjściowa wytwarza ściśle ustaloną moc, bez żadnych automatycznych regulacji i regulacji dla konkretnego urządzenia. Główną zaletą tego standardu jest jego niski koszt: jego implementacja jest znacznie tańsza niż aktywne PoE, więc takie porty można znaleźć nawet w routerach klasy podstawowej. Z drugiej strony wspomniany brak autotuningu znacznie utrudnia koordynację urządzeń ze sobą - zwłaszcza w świetle faktu, że różne urządzenia mogą znacznie różnić się mocą wyjściową/poborem napięcia i prądu (mocy). Z tego powodu przy korzystaniu z pasywnego PoE należy zwrócić szczególną uwagę na kompatybilność źródła i obciążenia w tych parametrach. Jeśli nie ma dopasowania, to w najlepszym przypadku (jeśli napięcie wyjściowe / moc jest niższe niż wymagane), moc po prostu nie będzie działać, a w najgorszym przypadku (przy nadmiernym napięciu / mocy) istnieje duże prawdopodobieństwo przeciążenia, przegrzanie, a nawet awarie z pożarami - a takie problemy mogą nie wystąpić natychmiast, ale po dość długim czasie. I zdecydowanie nie da się podłączyć urządzeń z aktywnymi wejściami do pasywnych wyjść PoE – z tych samych powodów.

Podsumowując należy stwierdzić, że jeśli router ma zarówno wejście z obsługą PoE, jak i kilka wyjść z tą funkcją, to wszystkie możliwości takich wyjść z reguły można zrealizować tylko wtedy, gdy sam przełącznik jest zasilany z gniazdka , a nie z wejścia PoE. Zobacz „Wyjścia PoE”, aby uzyskać szczegółowe informacje.