OfficeConnect Secure Router и OfficeConnect VPN Firewall — маршрутизатор с функциями защиты и брандмауэр от 3Com



Содержание

  1. Общее описание
  2. Схемотехника 3CR860 и 3CR870
  3. Сводная таблица спецификаций устройств
  4. Экскурс в настройки
  5. Тестирование производительности
  6. Производительность LAN-WAN сегмента, NetIQ Chariot
  7. Производительность LAN-WAN сегмента, NetPIPE
  8. Производительность IPSec, DES шифрование
  9. Производительность IPSec, 3DES шифрование
  10. Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
  11. Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
  12. Производительность IPSec, AES-128 шифрование
  13. Тестирование возможностей ограничения трафика (traffic shaping)
  14. Ограничение всей полосы исходящего трафика
  15. Ограничение всей полосы входящего трафика
  16. Ограничение исходящего по портам (создание группы очередей)
  17. Ограничение входящего по портам (создание группы очередей)
  18. Тестирование безопасности 3CR860 и 3CR870
  19. Доступность
  20. Выводы

Компания 3Com представила на рынок новые продукты сетевой безопасности:

  • Маршрутизатор с функциями защиты 3Com OfficeConnect Secure Router (3CR860-95);
  • Брандмауэр 3Com OfficeConnect VPN Firewall (3CR870-95)

OfficeConnect Secure Router позиционируется компанией как устройство, обеспечивающее защищенный высокоскоростной доступ в Интернет для нескольких пользователей домашнего/малого офиса или филиала компании. В маршрутизатор встроен VPN сервер, дающий возможность организовывать до двух IPSec VPN-туннелей (поддерживаются режимы туннелирования сервер-сервер и сервер-хост). Так же возможно терминирование до двух L2TP over IPSec или PPTP туннеля. В файрвол устройства встроены специальные алгоритмы, позволяющие (по шаблонам) обнаруживать и блокировать обычные и DoS атаки. Так же устройство может фильтровать трафик, основываясь на задаваемых или предустановленных правилах на основе IP адресов или по контенту/url-адресам. Кроме того, в устройство встроен сервис логирования большого числа происходящих событий.

OfficeConnect VPN Firewall является «старшим братом» предыдущего устройства. Количество поддерживаемых VPN туннелей расширено до 50, добавлена функция «шейпинга» трафика (traffic shaping) – т.е. контролирования скорости передачи данных, как в общем, так и по задаваемому набору протоколов.

   

Оба устройства собраны в одном и том же корпусе и, на первый взгляд, их единственное отличие – в надписи справа передней панели. Кроме этой отличающей надписи, на панели расположены 4 светодиода LAN-портов, цветом сообщающих и скорости соединения, а мерцанием – о факте передачи данных. Светодиод Cable/DSL аналогичен предыдущем четырем, но несет информацию о WAN порте устройства. Остался очевидный светодиод Power и Alert. Последний мигает во время загрузки устройства и при возникновении неполадок (программных или аппаратных). Кроме того, он зажигается при срабатывании детектора атак (при этом нарушитель блокируется во встроенном брандмауэре).



Все порты (четыре LAN и один WAN) расположены в задней части устройства. Там же находится коннектор питания. А в нижней части устройства видны кронштейны для закрепления корпуса на вертикальных поверхностях. А для горизонтальной установки достаточно приклеить на снизу корпуса четыре резиновых ножки, идущие в комплекте.



Так же можно разместить устройства в своеобразном «стеке», друг над другом при помощи идущего в комплекте пластикового зажима. Причем этот стек можно продолжить вверх сколь угодно высоко.

В комплекте поставки с обоими маршрутизаторами идут (кроме самого устройства и блока питания к нему):

  • документация по установке и быстрой настройки (на английском языке);
  • компакт диск с полной и подробной документацией, утилитой «Discovery» для быстрого поиска устройства в сети;
  • четыре пластиковых ножки для горизонтальной установки корпуса;
  • патчкорд ethernet-кабель;
  • пластиковый зажим для объединения нескольких устройств в единую конструкцию



Схемотехника 3CR860 и 3CR870 … или загадка «найдите десять отличий»



–«Ты видишь суслика?»
–«Нет.»
–«И я не вижу… но он есть!»

Другими словами говоря, визуально, отличий мне обнаружить не удалось. Слева фото 3CR860-95, справа – 3CR870-95. Вероятнее всего, устройства отличаются лишь прошивкой. А надпись снизу платы «OfficeConnect Cable Secure/DSL Gateway» напомнила мне одноименное устройство, которое было рассмотрено в этой статье. Схемотехника с тех пор значительных изменений не претерпела. По крайней мере, микроконтроллер и чип встроенного коммутатора Broadcom остались прежними.

Более подробных спецификаций основного процессора устройства – микроконтроллера BCM6350 и контроллера BCM5325, выполняющего роль 100Mbit Ethernet коммутатора, не появилось (строго говоря, спецификаций не удалось найти вовсе), поэтому не вижу смысла повторять информацию про них, написанную в статье 3Com OfficeConnect Cable/DSL Secure Gateway.

Еще из крупных чипов на плате можно наблюдать микросхему Pulse H1184, которая (возможно) выполняет роль AUTO MDI/MDI-X (автоопределение типа кабеля), а так же служит гальванической развязкой, призванной защитить встроенный контроллер коммутатора от высоких напряжений. Две микросхемы HY57V641620HGT-H являются SDRAM памятью объемом 64 Мбит (4 Banks × 1M × 16Bit) компании Hynix. Их номинальная частота работы – 133Mhz.

Так же на плате можно видеть две микросхемы Flash-памяти объемом (предположительно) по 8Мбайт каждая. Почему две? Вероятно, в устройстве реализована конструкция отказоустойчивой прошивки — в одном из чипов зашита заведомо рабочая версия прошивки, которая активируется при порче основной прошивки. Так ли это, точно не известно, но объем прошивок от обоих устройств не превышает 6 Мб.

А с работой «аварийной системы» пришлось столкнуться лично: при апгрейде прошивки в 3CR870 произошел какой-то сбой процедуры – лампочка Alert продолжала мигать и по истечении всех разумных сроков окончания аплоада файла в устройство. Пришлось его перезагрузить, после чего устройство пропало (в смысле не виделось ни по сети, ни утилитой Descovery, даже после ресета 3CR870 на заводские установки), а лампочка Alert продолжала мигать, навевая грустные мысли. Что делать? Пришлось вспомнить лозунг «если ничего не получается, прочтите, наконец, инструкцию!». Это помогло – устройство, оказывается, отвечало по веб интерфейсу на фиксированном адресе (из диапазона 192.168.x.x), но выдавало экран с информацией, что «у вас тут какие то проблемы с прошивкой, залейте ее заново». Залил (на этот раз успешно), перегрузил устройство, и все отлично заработало. Кстати, при залитии (в аварийном режиме) случайно в первый раз я подсунул роутеру файл с прошивкой от 3CR860. Файл считался, но после этого устройство выдало, что прошивка не похожа на настоящую и прошиваться ей 3CR870 отказался. Это к слову о том, что вряд ли элегантным движением руки получится проапгрейдить 3CR860 в 3CR870.



Спецификации 3CR860 и 3CR870

Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).

корпус пластиковый, допускается горизонтальная установка и вертикальная установка, а так же установка нескольких устройств «башенкой»
ручное блокирование интерфейсов нет
проводной сегмент
LAN количество портов 4
auto MDI/MDI-X да
WAN количество портов 1
auto MDI/MDI-X да
поддерживаемые типы соединения статический IP адрес да
динамический IP адрес да
PPTP да
PPPoE да
основные возможности
метод организации доступа Network Address Translation (NAT)
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT да
возможность отключения NAT (работа в режиме роутера) нет
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
собственная утилита управления под Windows только возможность найти устройство в сети (под любым адресом) и установить у него адрес из текущей подсети
telnet нет
COM-порт нет
SNMP нет
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP нет
внутренние часы да
синхронизация часов NTP, но заданные серверы нельзя изменить
встроенные утилиты ICMP Ping да
Traceroute да
Resolving да
логирование событий да, настраиваемые: LAN, ISP Connection Events, VPN Detailed logging, Dropped Packets, Attack Detection
логирование исполнения правил файрвола да, но всех сразу (dropped packets)
способы хранения внутри устройства да
на внешнем Syslog сервере да
пересылка на email нет
SNMP поддержка SNMP Read нет
поддержка SNMP Write нет
поддержка SNMP Traps нет
возможности встроенных фильтров и файрвола
типы фильтров по MAC адресу нет
по IP адресу да
по протоколу/порту по dst port, без учета протокола
по URL-у да
по домену да(совмещен с URL)
работа со службами фильтрации контента да, по подписке
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера нет
возможность задания DMZ да
встроенный брандмауэр (файрвол) да, но не сильно удобный, в основном предопределенные правила
поддержка SPI (Stateful Packet Inspection) да, но в правилах использовать нельзя
поддержка спец. приложений (netmeeting, quicktime, etc) да
тип действия allow да
deny да
log нет (можно лишь глобально, для всех правил, логировать сброшенные пакеты)
критерии задания правила src interface lan/wan нет
dst interface lan/wan нет
src ip/range только ip
dst ip/range нет
src protocol нет
dst protocol нет
src port/range нет
dst port/range да, в том числе перечисление, диапазон
привязка ко времени нет
возможности VPN
сервер IPSec виды туннелей Gateway--Gateway да, до 2 в случае 3CR860 и до 50 в случае 3CR870
remote user access да, до 2 в случае 3CR860 и до 50 в случае 3CR870
типы аутентификации pre shared key да
сертификаты нет
алгоритмы хэширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
AES да, 128bit
добавление записей в таблицу роутинга IPSec туннеля да, до 10 записей
сервер L2TP (over IPSec) типы аутентификации pre shared key да
сертификаты нет
алгоритмы хэширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
сервер PPTP да
VPN pass through IPSec да, при условии что отключен IPSec/L2TP сервер
L2TP да, при условии, что отключен IPSec/L2TP сервер
PPTP да, при условии, что отключен PPTP сервер
traffic shaping
типы шейпинга
(наличие только у 3CR870)
ограничение общего исходящего трафика да
ограничение общего входящего трафика да
ограничение входящего трафика по критериям да
ограничение исходящего трафика по критериям да
критерии задания правила для ограничений
(наличие только у 3CR870)
src interface lan/wan нет
dst interface lan/wan нет
src ip/range нет
dst ip/range нет
src protocol просто протокол (глобально для src/dst) TCP,UDP, TCP&UDP
dst protocol просто протокол (глобально для src/dst) TCP,UDP, TCP&UDP
src port/range просто порт (глобально для src/dst)
dst port/range просто порт (глобально для src/dst)
привязка ко времени нет
типы ограничений
(наличие только у 3CR870)
количественные ограничения для полосы байтах нет (есть только глобально для всего входящего/исходящего трафика)
задание в процентах нет
назначение приоритета да, но возможно задание всего двух приоритетов (High & Normal)
Роутинг
задания записей вручную на WAN интерфейсе да
на LAN интерфейсе да
динамический роутинг на WAN интерфейсе возможность отключения да
RIPv1 да, send and/or receive
RIPv2 да, send and/or receive
на LAN интерфейсе возможность отключения да
RIPv1 да, send and/or receive
RIPv2 да, send and/or receive
дополнительная информация
версия прошивки 3CR860: 1.03-168
3CR870: 2.0-168
питание внешний БП


Навигация:

 

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.