Беспроводной ADSL-роутер ZyXEL Prestige 662HW

часть третья: тестирование возможностей ограничения и управления трафиком, безопасность, доступность, выводы



В двух прошлых обзорах мы рассмотрели возможности устройства, а также провели тестирование производительности. Настало время уделить внимание таким "экзотическим" возможностям, как управление трафиком. Также в этом обзоре мы обратимся к вопросам безопасности и подведем окончательные выводы.

Тестирование возможностей ограничения трафика

Рассматриваемый роутер поддерживает ограничение общей полосы пропускания с помощью механизмов QoS (Quality of Service — качество обслуживания). Для корректной работы QoS — необходима поддержка QoS на всех ATM устройствах (в нашем случае на самом роутере и на DSLAM'е). QoS позволяет регулировать параметры отправления данных — то есть, изменяя параметры QoS, мы изменяем ширину обратного канала. При использовании TCP трафика у нас также меняется пропускная способность прямого канала — об этой особенности протокола TCP мы уже говорили выше.

В настройках QoS присутствуют 3 пункта: UBR (Unspecified Bit Rate), CBR (Constant Bit Rate) и VBR (Variable Bit Rate), что означает, соответственно, передачу с заранее неопределенной скоростью, передачу с постоянной скоростью и передачу с переменной скоростью.

UBR не предоставляет гарантий относительно качества услуг и полосы пропускания и предполагает наличие протокола более высокого уровня, например, TCP, для исправления ошибок передачи. TCP позволяет регулировать скорость передачи в зависимости от количества потерянных пакетов (для уменьшения потерь протокол TCP понижает скорость передачи, тем самым как бы разгружая линию, а чем меньше загрузка линии — тем меньше потерь).

Пункт CBR (Constant Bit Rate) означает, что данному соединению будет предоставляться заранее определенная полоса пропускания канала. При выборе данного пункта значение ширины полосы пропускания указывается в поле PCR (Peak Cell Rate — пиковая скорость передачи), в котором задается максимальная скорость трафика.

Пункт VBR (Variable Bit Rate) означает, что для данного соединения полоса пропускания канала может меняться со временем. При выборе данного пункта устанавливаются 3 значения: Peak Cell Rate — пиковая скорость, Sustain Cell Rate — средняя скорость и Maximum Burst Size. С максимальной скоростью может передаваться ограниченное количество трафика, указываемое в пункте Maximum Burst Size, а со средней скоростью трафик может передаваться неограниченно долго.

Сначала выбирался пункт CBR (Constant Bit Rate), обеспечивающий постоянную полосу пропускания, при тестировании менялся параметр PCR (Peak Cell Rate) — пиковая скорость (в случае CBR он же является средней скоростью). Тестирование проводилось только в полудуплексном режиме. Результаты теста занесены в таблицу.

CBR (Constant Bit Rate)
Значение параметра PCR Upload (скорость обратного канала), Mbps
100 0.036
200 0.071
300 0.107
400 0.143
500 0.178
600 0.213
700 0.249
800 0.284
900 0.319
1000 0.354
1100 0,389
1200 0,424
1300 0,458
1400 0,494
1500 0.528

Увеличение значения PCR ведет к линейному увеличению скорости обратного канала — это отражено на графике ниже

Теперь выберем пункт VBR (Variable Bit Rate), который позволяет задавать переменную полосу пропускания. При этом задаются PCR (Peak Cell Rate) и SCR (Sustainable Cell Rate) — значения пиковой скорости и значения средней скорости, а также MBS (Maximum Burst Size) — то максимальное количество ячеек, которое может быть послано с пиковой скоростью PCR.

В документации сказано, что когда достигнуто значение MBS, тогда скорость ограничивается значением SCR и не повышается до тех пор пока среднее значение скорости не станет ниже значения SCR — из этого следует, что при увеличении времени теста значение средней скорости будет стремиться к значению SCR, а максимальная скорость будет всегда ниже PCR (то есть меняется только поведение трафика).

Тест: запускался поток трафика с максимальной скоростью на короткий промежуток времени. Скорость трафика на начальном этапе должна равняться значению PCR (Peak Cell Rate), с этой скоростью должно передаться MBS (Maximum Burst Size) ячеек, после чего скорость должна ограничиться значением SCR. Для лучшего отображения размер пакета был установлен в 1500 байт.

Настройки роутера:

  • Тип QoS: VBR
  • PCR: 1500 cells/sec
  • SCR: 500 cells/sec
  • MBS: 5000 cells

Теперь проведем тот же тест, но значение MBS увеличим в 2 раза: по идее длина начального участка графика, где наблюдается высокая скорость, должна возрасти в 2 раза

Как видно из графиков, VBR QoS прекрасно работает, накладывая ограничения на ширину обратного канала. Аналогичные настройки на DSLAM'е изменяют параметры прямого канала.

Тестирование возможностей управления трафиком

Рассмотрим возможности управления трафиком Media Bandwidth Management на роутере ZyXEL Prestige 662HW. Данная возможность позволяет управлять параметрами исходящего с интерфейсов LAN, WAN и WLAN трафика. Параметры управления для каждого интерфейса задаются отдельно.

Сначала остановимся на описании настроек

В колонке "Active" ставятся галочки напротив интерфейсов, к которым будет применяться управление трафиком. Напомню, что правила накладываются только на исходящий с этих интерфейсов трафик.

В колонке "Speed" указывается скорость, которая распределяется между правилами управления трафиком.

В колонке "Scheduler" устанавливается — каким образом трафик разделяется между подклассами. При выборе типа "Priority-Based" трафик распределяется между классами в соответствии с приоритетами, установленными на каждом классе. При выборе пункта "Fairness-Based" роутер распределяет трафик равномерно между классами — это предотвращает использование всей полосы пропускания одним классом.

При активации пункта "Maximum Bandwidth Usage" для передачи трафика используется вся пропускная способность канала вне зависимости от установленного в колонке "Speed" значения.

Правила управления трафиком задаются с помощью древовидной структуры классов. Установки, описанные выше, задают параметры корневого класса.

Например, рассмотрим параметры управления трафика на LAN-интерфейсе, то есть будем управлять исходящим с LAN-интерфейса трафиком. Зададим в колонке "Speed" скорость 8160 кбит/с — это скорость прямого канала нашего соединения, и установим галочку "Active".

Как видим, скорость, установленная в колонке "Speed", — это скорость нашего корневого (Root) класса. Корневой класс содержит подклассы, в которых задаются параметры управления трафиком

BW Budget (bandwidth budget) — здесь задается максимальная ширина полосы пропускания (в кбит/с), которая может быть предоставлена данному классу.

Priority — приоритет класса — значение от 0 до 7, чем больше число, тем выше приоритет. По умолчанию равен 3.

Borrow bandwidth from parent class — этот параметр означает, что если вышестоящий класс не использует всю полосу пропускания, то ее может использовать данный класс. Если на полосу пропускания родительского класса претендует сразу несколько классов, то она распределяется между классами в зависимости от установленного приоритета.

Active — включение/выключения правил данного класса.

Далее устанавливаются подсети, порты и протоколы, для которых применяются правила данного класса. 

Как показано выше, возможность управления полосой пропускания содержит достаточно много настроек и их полное тестирование заняло бы очень много времени при различной комбинации всех параметров. Поэтому я проведу несколько основных тестов, позволяющих раскрыть основные возможности управления полосой пропускания.

Попробуем применить правила управления трафиком на прямой канал. Скорость прямого канала соединения составляет 8160 кбит/с — его и устанавливаем как пропускную способность канала. Галочку "Max Bandwidth Usage" не ставим.

Создадим правило, ограничивающее пропускную способность прямого канала. Для начала будем менять полосу пропускания ("BW Budget"), заимствование полосы пропускания у вышестоящего класса ("Borrow bandwidth from parent class") при этом не использовалось.

Значение BW Budget, кбит/с Значение скорости, Мбит/с
1024 0.166
2048 0.985
3072 1.326
4096 1.429

Для наглядности построим график по этим значениям

Изменение значения ширины полосы пропускания действительно влияет на скорость трафика, но изменение нельзя назвать линейным. Во всех тестах скорость ниже установленной в пункте "BW Budget". В документации сказано, что в пункте "BW Budget" задается максимальная скорость, а как мы знаем значения максимальной и средней скоростей могут сильно отличаться.

Теперь посмотрим, как ведет себя трафик при назначении классам различной пропускной способности. Одному классу зададим ширину канала в 4096 кбит/с, другому — 1024 кбит/с

Как видим из графика разделение потоков трафика на классы действительно происходит, и даже их скорости различаются примерно в то же число раз, что и задано, но сама скорость значительно ниже установленной: для потока с установленной шириной полосы в 4096 кбит/с — скорость составляет всего 1.769 Мбит/с, а при ширине полосы 1024 кбит/с — скорость составляет 0.545 Мбит/с. Снова средняя скорость оказывается значительно ниже заданной максимальной скорости.  

Далее посмотрим, как поведет себя трафик при поэтапном запуске потоков с разной шириной полосы пропускания.

Тест 1: сначала запускается поток с меньшей шириной полосы пропускания (1024 кбит/с), а затем, некоторое время спустя, с большей (4096 кбит/с).

Как видно из графика, сначала поток с меньшей шириной полосы пропускания имеет очень низкую скорость. После запуска второго потока, скорость потока с меньшей шириной полосы пропускания значительно возрастает (зеленая линия на графике) — аномальное поведение.

Тест 2: сначала запускается поток с большей шириной полосы пропускания (4096 кбит/с), а затем, некоторое время спустя, с меньшей (1024 кбит/с)

После запуска 2-го потока, скорость 1-го начинает варьироваться в широких пределах.

Теперь посмотрим, как ведет себя трафик, с различными приоритетами и одинаковой шириной полосы пропускания. Для этого в обоих классах включим заимствование трафика у родительского класса ("Borrow bandwidth from parent class").

Зададим для классов одинаковую пропускную способность, но различные приоритеты

Как видно из графика, поток с более высоким приоритетом получает бОлшую ширину полосы пропускания. При этом нет принципиальной разницы, отличается ли значение приоритета на единицу или на пятерку — имеет значение только то, приоритет какого потока выше.

Далее посмотрим, как себя поведет трафик при последовательном включении потоков:

Тест 1: сначала запускается поток с меньшим приоритетом, а затем, некоторое время спустя, с большим. Ширина полосы пропускания каждого потока устанавливается в 1024 кбит/с.

Снова наблюдается аномалия: при работе только одного потока — канал не загружен, а скорость потока с низким приоритетом возрастает после запуска второго потока.

Тест 2: сначала запускается поток с большим приоритетом, а затем, некоторое время спустя, с меньшим. Ширина полосы пропускания каждого потока устанавливается в 1024 кбит/с.

Никаких аномалий в графике, на мой взгляд, нет. 

Выше был вкратце рассмотрен механизм управления трафиком на примере управления прямым каналом. Результаты тестов при использовании обратного канала аналогичны. А вот при использовании управления трафиком на беспроводном интерфейсе, мне не удалось получить скорость выше 10 Мбит/с (при отключении управления трафиком скорость сразу возрастала до 19 Мбит/с).

Во всех случаях при включении пункта "Max Bandwidth Usage" при тестировании проводного сегмента, все потоки начинали показывать одинаковую скорость, как будто механизм разделения на приоритеты и вовсе не включен.  

Безопасность

Во время тестирования безопасности было включено удаленное управление через WEB и Telnet, а также открыт доступ по FTP для загрузки и сохранения конфигурации.

Результаты Nessus'а:

Nessus находит две критических уязвимости:

  • Уязвимость SNMP, связанная с возможностью определения логина/пароля удаленного ADSL-соединения
  • Уязвимость SNMP связанная с тем, что по умолчанию SNMP отвечает по паролю public для установки параметров

Обе уязвимости устраняются настройкой SNMP (изменение настроек "по умолчанию") и настройкой файрвола.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)

Выводы:

Рассматриваемый роутер можно назвать настоящим мультикомбайном по количеству возможностей — не с каждым устройством идет документация более чем на 500 страниц. Несколько смущает, что количество каналов работы беспроводной связи всего 11 вместо стандартных для Европы 13 (и это несмотря на то, что на коробке красуется надпись EE — East European Version — версия для восточной Европы). Странным кажется только то, что на фоне огромного числа настроек дополнительных возможностей, которые для роутеров являются не основными, затерялись такие важные параметры как, например, выбор режима работы беспроводной связи (IEEE 802.11 b/g), задание различных public/private портов для виртуальных серверов. Для подробной настройки роутера придется прибегнуть к настройке как через WEB-интерфейс, так и настройке по Telnet.

Что касается безопасности, то по умолчанию файрвол блокирует все обращения к порту WAN. В случае, если файрвол не блокирует обращения к WAN-порту, то появляется достаточно много уязвимостей "по умолчанию" — то есть таких, от которых можно избавиться простой настройкой роутера. Например, от уязвимостей, связанных с протоколом SNMP (именно с SNMP связаны обе критические уязвимости), можно просто избавиться, сменив пароли SNMP по умолчанию, но сделать это можно только используя управление по Telnet (или COM-порт).

Наличие управления трафиком позволяет более грамотно разделить пропускную способность канала между различными компьютерами и/или приложениями, но значения, задаваемые в параметрах, иногда достаточно сильно отличаются от полученных в результате их установки результатов.

Наличие встроенного антивируса также является достаточно интересной возможностью, но работоспособность этого антивируса (или его неработоспособность) было решено на практике не проверять.

Также отмечу, что документация на устройство имеет очень подробное описание своих настроек и возможностей, а само устройство имеет удобную встроенную справку по задаваемым в WEB-интерфейсе параметрам.

Плюсы:

  • Возможно использовать локальную базу пользователей вместо Radius сервера
  • Широкие возможности задания правил файрвола
  • Широкие возможности настройки сервиса NAT
  • Широкие возможности задания правил ведения логов
  • Встроенный антивирус
  • Возможность контроля доступа по содержанию
  • Гибкие возможности управления исходящим трафиком
  • Возможность использования DialUp модема в качестве резервного канала
  • Возможность задания различных параметров на каждом этапе установки IPSEC VPN-соединения
  • Встроенная справочная система
  • Возможность управления через COM-порт
  • Поддержка AES-шифрования

Минусы:

  • Нет возможности подробно задать параметры беспроводной связи
  • Устройство поддерживает 11 каналов беспроводной связи вместо стандартных для Европы 13-ти
  • Нет возможности задать различные public/private порты при создании виртуальных серверов
  • Для полной настройки устройства придется прибегнуть как к управлению через WEB-интерфейс, так и через Telnet
  • Низкая безопасность SNMP "по умолчанию"
  • Корпус устройства сделан из материала, на котором остаются трудноудаляемые следы от влажных пальцев
  • Нет возможности управления входящим трафиком

 

Навигация:

 

Оборудование предоставлено российским представительством компании ZyXEL

DSLAM предоставлен российским представительством компании ZyXEL

 

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.