ADSL2/2+ модем ZyXEL Prestige 660R EE

В статье рассматривается ADSL-модем ZyXEL Prestige 660R EE.

Функциональные возможности: ADSL/ADSL2/ADSL2+ модем, способный работать в режиме роутера или моста, устанавливать PPP-соединения, а также позволяющий достаточно подробно настроить сервис NAT (Network Address Translation - трансляция сетевых адресов).

На роутере расположены следующие индикаторы (слева направо):

• индикатор питания/состояния системы
• индикаторы активности LAN-порта
• индикатор активности ADSL-соединения
• индикатор активности PPP-соединения

Сзади на роутере расположены (слева направо):

• 1 x WAN порт RJ-11
• 1 x LAN-порт RJ-45
• кнопка Reset (сброс параметров)
• разъем питания
• копка включения/отключения питания

Устройство поставляется в следующей комплектации:

• роутер
• 2-х метровый патчкорд RJ-45
• 2 x 2-х метровых патчкорда RJ-11
• сплиттер
• диск с инструкцией
• адаптер питания
• руководство по быстрой установке и настройке на русском языке

Вид изнутри

Устройство выполнено на базе процессора TNETD7300 компании Texas Instruments (32-битный RISC процессор, с поддержкой USB и Ethernet)

На плате также установлено 2 Мбайта FLASH памяти Intel TE28F160 и 8 Мбайт SDRAM-памяти Winbond W986416EH-7.

Коротко о технологии ADSL

ADSL расшифровывается как Asymmetric Digital Subscriber Line (Ассиметричная цифровая абонентская линия). Данная технология использует стандартные медные телефонные линии для обеспечения широкополосной высокоскоростной передачи цифровых данных. ADSL значительно увеличивает пропускную способность медной телефонной линии, не создавая помех обычным телефонным сервисам. ADSL обеспечивает скорость до 8 Мбит/с для прямого канала (скачивание из Интернет, WAN -> LAN) и до 1 Мбит/с - для обратного канала (LAN -> WAN) в зависимости от качества телефонной линии и типа используемой модуляции.

В последнее время ADSL оборудование в нашей стране набирает популярность в связи с повсеместным внедрением широкополосного доступа в Интернет.

Связь между ADSL-модемом и DSLSM'ом провайдера осуществляется с использованием технологии асинхронной передачи данных (ATM). От провайдера к DSLAM'у сигнал может идти по ATM, Ethernet или какой-либо другой технологии (в нашем случае сигнал к DSLAM'у идет по Ethernet).

Более подробную информацию о технологии ADSL можно найти в статье, посвященной данной технологии (http://www.ixbt.com/comm/adsl.html).

Отличие ADSL2/2+ от ADSL

При разработке стандартов ADSL2 был максимально использован опыт внедрения технологии ADSL. В технологии осталась обратная совместимость со "старым" ADSL, использованы улучшенные алгоритмы модуляции, скорость передачи подбирается адаптивно в зависимости от дальности связи и качества канала. Все это привело к увеличению максимальной скорости до 12 Мбит/с (для прямого канала), а также увеличению дальности связи. В технологии использованы улучшенные средства диагностики на обоих концах линии, что позволяет быстро устранить неисправности (адаптивность к линии).

В ADSL2+ вдвое увеличена полоса используемых частот, что привело к 2-кратному увеличению пропускной способности (до 24 Мбит/с для прямого канала). Также выросла максимальная скорость обратного канала с 1 до 2-х Мбит/с.

Широкомасштабному внедрению этих технологий на рынок Москвы мешает большая распространенность технологии ADSL. 

Коротко о технологии ATM

ATM - это метод передачи информации между устройствами в сети маленькими пакетами постоянной длины, называемыми ячейками. Длина каждой ячейки составляет 53 байта (5 байт заголовок и 48 байт - данные). Использование ячеек малой длины позволяет максимально сократить задержки, которые обычно возникают при передаче больших пакетов. Использование постоянной длины ячеек также позволяет получать примерно постоянные задержки при передаче, а это, в свою очередь, позволяет эмулировать устройства с фиксированной скоростью передачи. Внедрение технологии ATM требует достаточно больших финансовых затрат, которые на текущий момент никак не могут сравниваться с затратами на внедрение того же Ethernet.

Технология ATM имеет поддержку приоритизации ячеек, тем самым, обеспечивая необходимое качество обслуживания QoS - Quality of Service. Разным приложениям требуется различный уровень качества обслуживания, а технология QoS и ATM позволяет обеспечивать этот уровень.

Поскольку приходящие из разных источников ячейки могут содержать голосовые, видео данные - необходимо обеспечить контроль для передачи всех типов трафика. Для решения этой задачи используется концепция виртуальных каналов. Виртуальный канал - набор сетевых ресурсов, выглядящих как реальное соединение между пользователями. В заголовке ячеек ATM виртуальный канал обозначается комбинацией двух полей: VPI (идентификатор виртуального пути) и VCI (идентификатор виртуального канала). Данные параметры указываются в параметрах устанавливаемого соединения. 

Спецификации устройства:

Конфигурирование

Конфигурация устройства осуществляется через WEB-интерфейс, по протоколу Telnet. Скриншоты WEB - интерфейса приведены здесь.

Список параметров SNMP настроенного ADSL модема приведен здесь.

Рассматриваемый роутер позволяет достаточно подробно настроить сервис NAT (Network Address Translation - преобразование сетевых адресов). Возможно использование двух пунктов: "SUA Only" и "Full Feature"

Пункт "SUA Only" (Single User Account) - применяется в случае, если WAN-интерфейс имеет 1 IP-адрес. Пункт "Full Feature" употребляется, когда WAN-интерфейс имеет несколько адресов.

SUA Only NAT позволяет задать 11 виртуальных серверов, трансляцию портов при этом использовать нельзя

Full Feature NAT позволяют задать 10 расширенных правил NAT. В каждом правиле можно указать тип NAT и адреса для переадресации.

Доступны следующие типы NAT:

• Тип "One to one" сопоставляет 1 внешний IP-адрес с одним внутренним
• Тип "Many to one" сопоставляет диапазон внутренних IP-адресов с одним внешним IP-адресом
• Тип "Many to many overload" позволяет сопоставить несколько внешних IP-адресов нескольким внутренним IP-адресам для распределения нагрузки между ними.
• Тип "Many to many no overload" работает также как и "One to One", но указываются диапазоны внешних и внутренних IP-адресов, при этом диапазоны должны быть равными
• Тип "Server" работает так же, как и "One to one" но позволяет задать диапазон используемых портов

Сохранение/загрузка конфигурации и прошивки может осуществляться по протоколу FTP: для этого нужно зайти на устройство по FTP с логином "root" и паролем, установленным на управление роутером:

Файл "ras" - файл с прошивкой, файл "rom-0" - файл с конфигурацией.

Устройство также поддерживает управление по протоколу Telnet

Настраивая устройство по Telnet, можно настроить файрвол, а также задать записи статического роутинга, которые нельзя задать через WEB-интерфейс.

Настройка правил файрвола осуществляется почему-то только через интерфейс Telnet, а в настройках WEB-интерфейса есть только пункт "Internet Security", который по своим настройкам вряд ли можно сравнить с полнофункциональным файрволом.

Тестирование производительности

Тестирование проводного сегмента

Рассматриваемый нами роутер помимо технологии ADSL поддерживает также технологии ADSL2 и ADSL2+. Тестирование проводного сегмента проводилось в режиме маршрутизатора (NAT включен), при этом никаких правил ограничения полосы пропускания не применялось.

Для тестирования ADSL соединения применялся ADSL коммутатор ZyXEL IES-1248, предоставленный нам российским представительством компании ZyXEL.

Настройки DSLAM'а позволяют задавать время задержки передачи данных (interleave delay). Это время, указанное в миллисекундах, влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс - в единый блок собираются данные пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) - этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности, на качественной телефонной линии небольшой длины выгоднее минимизировать задержки.

Значения Interleave delay устанавливаются отдельно для прямого и обратного каналов. Для того чтобы увидеть, как это изменение отражается на задержках связи достаточно воспользоваться утилитой Ping. При установке задержек на прямом и обратном каналах в 0 мс, Ping показывает время приема-передачи порядка 7~8 мс. При увеличении значений Interleave delay время приема-передачи увеличивается.

Так как длина нашей ADSL-линии составляет всего порядка двух - трех метров - мы можем ограничиться нулевым временем задержки (стандартное значение - 16 мс, на DSLAM'е от ZyXEL по умолчанию стоит значение - 4 мс). Исходя из предыдущего опыта тестирования различного ADSL-оборудования, максимальные скорости передачи данных были достигнуты при использовании нулевых задержек (режим Fast).

При тестировании в режиме ADSL, использовалась G.dmt модуляция, так как именно при ее использовании можно развить максимальную скорость в режиме ADSL. В режимах ADSL2 и ADSL2+ модуляция и скорость выбираются автоматически (адаптивно), поэтому никаких дополнительных настроек не задается. 

Тест LAN-WAN - тестирование проводилось по этой методике

Максимальные скорости:

• ADSL G.dmt: 8.73 Мбит/с
• ADSL2: 9.69 Мбит/с
• ADSL2+: 17.48 Мбит/с

Технология ADSL2 отличается от ADSL только типом модуляции сигнала, использование которой позволяет повысить скорость передачи (в нашем случае примерно на 1 Мбит/с).

В технологии ADSL2+ диапазон используемых частот расширен вдвое - от этого и увеличение производительности почти в 2 раза.

Скорость обратных каналов практически одинаковая во всех случаях, хотя при использовании ADSL2+ она должна достигать 2-х Мбит/с.

Теперь посмотрим, как поведет себя трафик при использовании более мелких пакетов:

При уменьшении размера пакетов, разница от использования различных технологий (ADSL, ADSL2, ADSL2+) сглаживается, и максимальные скорости отличаются не так сильно, как при тестах с максимальным размером пакетов.

При уменьшении размера пакетов скорость передачи значительно уменьшается. Уменьшение скорости происходит, так как увеличиваются накладные расходы на передачу данных. Например, если данные передаются пакетами по 64 байта, то каждый пакет для передачи через ATM-соединение разбивается на 2 ячейки по 53 байта (48 байт - данные и 5 байт - заголовок) - таким образом, объем передаваемого трафика возрастает почти в 2 раза. С уменьшением размера пакета также уменьшается размер полезных данных в нем, в то время как размер "накладных расходов" для каждого пакета остается неизменным. Таким образом, при одном и том же значении пропускной способности канала, значение полезной пропускной способности может меняться в десятки раз в зависимости от размера используемых пакетов - сильнее всего это проявляется при использовании пакетов малой длины.

Значительное падение скорости при использовании полнодуплексного режима, возможно, связано с некоторыми аспектами работы протокола TCP. TCP - протокол с гарантированной доставкой - он требует подтверждение о доставке каждого отправленного пакета. При учете маленькой ширины обратного канала и его полной загруженности эти подтверждения могут теряться, а при потере подтверждения пакет отправляется заново – следовательно, "полезная скорость", которую мы как раз и замеряем, падает, так как одни и те же данные передаются повторно. Вдобавок, протокол TCP при возрастании потерь уменьшает скорость передачи данных. Таким образом, падение скорости прямого канала в полном дуплексе, возможно, связано с аспектами работы протокола TCP при малой ширине обратного канала. 

Тестирование возможностей ограничения трафика

Рассматриваемый роутер поддерживает ограничение общей полосы пропускания с помощью механизма QoS (Quality of Service - качество обслуживания). Для корректной работы QoS - необходима поддержка QoS на всех ATM устройствах (в нашем случае на самом роутере и на DSLAM'е). QoS позволяет регулировать параметры отправления данных - то есть, изменяя параметры QoS, мы изменяем ширину обратного канала. При использовании TCP трафика у нас также меняется пропускная способность прямого канала - об этой особенности протокола TCP мы уже говорили выше.

В настройках QoS присутствует 3 пункта: UBR (Unspecified Bit Rate), CBR (Constant Bit Rate) и VBR (Variable Bit Rate), что означает соответственно передачу с заранее неопределенной скоростью, передачу с постоянной скоростью и передачу с переменной скоростью.

UBR не предоставляет гарантий относительно качества услуг и полосы пропускания и предполагает наличие протокола более высокого уровня, например, TCP для исправления ошибок передачи. TCP позволяет регулировать скорость передачи в зависимости от количества потерянных пакетов (для уменьшения потерь протокол TCP понижает скорость передачи, тем самым как бы разгружая линию, а чем меньше загрузка линии - тем меньше потерь).

Пункт CBR (Constant Bit Rate) означает, что данному соединению будет предоставляться заранее определенная полоса пропускания канала. При выборе данного пункта значение ширины полосы пропускания указывается в поле PCR (Peak Cell Rate - пиковая скорость передачи), в котором задается максимальная скорость трафика.

Пункт VBR (Variable Bit Rate) означает, что для данного соединения полоса пропускания канала может меняться со временем. При выборе данного пункта устанавливаются 3 значения: Peak Cell Rate - пиковая скорость, Sustain Cell Rate - средняя скорость и Maximum Burst Size. С максимальной скоростью может передаваться ограниченное количество трафика, указываемое в пункте Maximum Burst Size, а со средней скоростью трафик может передаваться неограниченно долго.

Сначала выбирался пункт CBR (Constant Bit Rate) обеспечивающий постоянную полосу пропускания, при тестировании менялся параметр PCR (Peak Cell Rate) - пиковая скорость (в случае CBR он же является средней скоростью). Тестирование проводилось только в полудуплексном режиме при использовании технологии ADSL2+, так как именно эта технология позволяет развить максимальную скорость. Результаты теста занесены в таблицу.

Увеличение значения PCR ведет к линейному увеличению скорости обратного канала - это отражено на графике ниже

Теперь выберем пункт VBR (Variable Bit Rate), который позволяет задавать переменную полосу пропускания. При этом задаются PCR (Peak Cell Rate) и SCR (Sustainable Cell Rate) - значения пиковой скорости и значения средней скорости, а также MBS (Maximum Burst Size) - то максимальное количество ячеек, которое может быть послано с пиковой скоростью PCR.

В документации сказано, что когда достигнуто значение MBS, скорость ограничивается значением SCR и не повышается до тех пор, пока среднее значение скорости не станет ниже значения SCR. Из этого следует, что при увеличении времени теста значение средней скорости будет стремиться к значению SCR, а максимальная скорость будет всегда ниже PCR (то есть меняется только поведение трафика).

Тест: запускался поток трафика с максимальной скоростью, на короткий промежуток времени. Скорость трафика на начальном этапе должна равняться значению PCR (Peak Cell Rate), с этой скоростью должно передаться MBS (Maximum Burst Size) ячеек, после чего скорость должна ограничиться значением SCR.

По неясным причинам на модеме нельзя установить значение MBS более 1000 ячеек - на аналогичных модемах можно установить большее значение этого параметра.

Настройки роутера:

• Тип QoS: VBR
• PCR: 200 cells/sec
• SCR: 100 cells/sec
• MBS: 1000 cells

Теперь проведем тот же тест, но значение MBS уменьшим в 2 раза: по идее длина начального участка графика, где наблюдается высокая скорость, должна уменьшиться в 2 раза

Длина участка слегка уменьшается, но так как мы не можем установить значение MBS более 1000 - это трудно отследить на графике, так как 1000 ячеек передается за время чуть большее 1 секунды. 

Теперь проведем тот же тест, но увеличим значения PCR и SCR в 2 раза - скорости также должны возрасти в 2 раза

Как видим на графике, скорость начальной точки графика начинается на скорости 0.14 Мбит/с (против 0.70 Мбит/с на первом графике), а оставшаяся часть графика - чуть более 0.70 Мбит/с (против 0.36 Мбит/с на первом графике) - так что можно с большой уверенностью сказать, что механизм VBR QoS прекрасно работает, накладывая ограничения на ширину обратного канала.

Безопасность

Во время тестирования безопасности было включено удаленное управление через WEB и Telnet, а также открыт доступ по FTP для загрузки и сохранения конфигурации.

Результаты Nessus'а:

• сокращенный
• полный

Nessus находит 2 критические уязвимости:

• Уязвимость SNMP, связанная с возможностью определения логина/пароля удаленного ADSL-соединения
• Уязвимость SNMP связанная с тем, что по умолчанию SNMP отвечает по паролю public для установки параметров

Обе уязвимости устраняются настройкой SNMP (изменение настроек "по умолчанию") и настройкой файрвола.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство на последний момент:

Выводы:

За исключением поддержки ADSL2 и ADSL2+, рассматриваемое устройство обладает только базовым набором возможностей, Странно, что некоторые возможности (в том числе файрвол и статический роутинг) можно настроить только при подключении по протоколу Telnet, WEB-интерфейс не позволяет использовать эти возможности.

За счет невысокой цены устройства, оно подойдет для внедрения в бюджетной сфере (например, различные образовательные учреждения), а также в корпоративной среде, где наряду с модемом используются другие средства защиты (ZyXEL рекомендует использовать для защиты межсетевые экраны серии ZyXEL ZyWALL UTM).

Плюсы:

• Низкая стоимость
• Высокая безопасность (только если настроить SNMP)
• Широкие возможности настройки сервиса NAT

Минусы:

• Нет возможности задать различные public/private порты при создании виртуальных серверов
• Для полной настройки устройства придется прибегнуть как к управлению через WEB-интерфейс, так и через Telnet
• В параметрах ATM VBR QoS нельзя задать значение параметра MBS (Maximum Burst Size) более 1000 ячеек