Интернет-маршрутизатор Level One FBR-1411TX



В этом обзоре мы рассмотрим маршрутизатор и VPN-сервер Level One FBR-1411TX.

Содержание:

Функциональные возможности:

Маршрутизатор, 4-хпортовый коммутатор 10/100 Мбит/с, аппаратная DMZ, VPN-сервер, поддерживающий IPSEC-, PPTP- и L2TP-соединения.

На устройстве расположены следующие индикаторы (слева направо):

  • Индикатор питания
  • Индикатор состояния
  • Индикатор активности порта DMZ
  • Индикатор активности WAN-порта
  • Индикатор активности на каждом из 4-х LAN-портов

На задней панели расположены (слева направо):

  • 4 порта LAN (RJ-45)
  • порт WAN (RJ-45)
  • порт DMZ (RJ-45)
  • кнопка Reset
  • разъем питания (5 В, 2 А)

Устройство поставляется в следующей комплектации:

  • сам роутер
  • 2-хметровый патчкорд
  • адаптер питания (длина провода около двух метров)
  • диск с документацией

Вид изнутри:

Устройство выполнено на базе процессора NSP2100 копании Brecis Communications. Сайт компании по каким-то причинам уже довольно продолжительное время недоступен, поэтому дополнительную информацию о процессоре найти не удалось.

Коммутатор устройства выполнен на базе микросхемы ICPlus IP175A (5-типортовый коммутатор, поддержка VLAN, пакеты до 1536 байт).

На плате установлено 16 Мбайт SDRAM памяти ICSI IC42S16800-7T и 4 Мбайт Flash-памяти AMD AM29LV320DB.

Спецификация устройства:

корпус пластик+металл, допускается горизонтальная установка или подвес на стену
исполнение Indoor
проводной сегмент
WAN тип Fast Ethernet
количество портов 1
auto MDI/MDI-X да
типы поддерживаемых соединений фиксированный IP да
динамический IP да
PPPoE да
PPTP да
L2TP да
IPSec нет
LAN количество портов 4
auto MDI/MDI-X да
ручное блокирование интерфейсов нет
возможность задания размера MTU вручную да
основные возможности
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
WEB-интерфейс через SSL нет
собственная утилита нет
telnet нет
ssh нет
COM-порт нет
SNMP да
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP да
метод организации доступа в Интернет Network Address Translation (NAT-технология) да
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT да, 8 виртуальных компьютеров
возможность отключения NAT (работа в режиме роутера) нет
Встроенные VPN-сервера IPSec да
PPTP да
L2TP да
VPN pass through IPSec да
PPTP да
PPPoE нет
L2TP да
Traffic shaping (ограничение трафика) нет
DNS встроенный DNS-сервер (dns-relay) да
поддержка динамического DNS да, 5 заранее предопределенных серверов
внутренние часы присутствуют
синхронизация часов да, 4 сервера на выбор из списка
встроенные утилиты ICMP ping нет
traceroute нет
resolving нет
логирование событий да
логирование исполнения правил файрвола нет
способы хранения внутри устройства да
на внешнем Syslog сервере да
отправка на email да
SNMP поддержка SNMP Read да
поддержка SNMP Write да
поддержка SNMP Traps да
Роутинг
статический (задания записей вручную) да, 8 записей роутинга
динамический роутинг на LAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
возможности VPN
сервер IPSec виды туннелей Gateway-Gateway да, всего до 40 туннелей
remote user access да, всего до 40 туннелей
типы аутентификации pre shared key да
сертификаты нет
алгоритмы хеширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
AES да
сервер L2TP (over IPSec) типы аутентификации pre shared key да
сертификаты нет
алгоритмы хэширования SHA1 ??
MD5 ??
алгоритмы шифрования DES нет
3DES нет
сервер PPTP да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection) да, но без возможности использования в правилах
наличие фильтров/файрвола на LAN-WAN сегменте да, с указанием направления
типы фильтров с учетом SPI нет
по MAC адресу нет
по source IP адресу да, в том числе по подсети
по destination IP адресу да, в том числе по подсети
по протоколу нет
по source порту да, в том числе по диапазону
по destination порту да, в том числе по диапазону
привязка ко времени да
по URL-у да
по домену да
работа со службами списков URL для блокировки нет
тип действия allow да
deny да
log нет
поддержка спец. приложений (netmeeting, quicktime etc) да
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера нет
возможность задания DMZ да
питание
тип БП внешний, 5VDC, 2A
поддержка 802.1af (PoE) нет
дополнительная информация
версия прошивки R1.00c4v
размеры ?? mm
вес ??

Конфигурирование

Настройка устройства осуществляется через WEB-интерфейс, скриншоты которого приведены здесь, или по протоколу SNMP (список параметров SNMP настроенного роутера находится здесь).

По большей части настройки стандартные и никаких особенностей не наблюдается, однако к настройкам VPN это не относится, поэтому рассмотрим их более подробно.

IPSEC VPN-сервер позволяет устанавливать до 40 IPSEC-туннелей, при этом для каждого из них можно либо задать ключи вручную, либо использовать механизм IKE (Internet Key Exchange) при котором ключи шифрования задаются автоматически.

При ручном задании ключей шифрования мы выбираем алгоритм шифрования DES или 3DES

А вот при выборе механизма IKE, никаких параметров (будь то алгоритм шифрования или метод хеширования) задать почему-то нельзя

Предпринятая мной попытка подобрать параметры методом подбора не принесла результатов, поэтому на сервере Linux было включено автоматическое назначение параметров. При этом, судя по отладочной информации при попытке установить IPSEC-туннель, VPN сервер устройства использует шифрование AES (в ручном режиме его выбор невозможен)

2005-10-31 16:35:02: DEBUG: encription(aes)
2005-10-31 16:35:02: DEBUG: hmac(hmac_md5)

Получается некоторая путаница с шифрованием. Рассматриваемое устройство может использовать AES-шифрование при динамическом получении ключей (IKE) и DES и 3DES шифрование при назначении статических ключей.

В документации на устройство возможностям VPN уделена всего 1 страница, на которой мало что сказано об используемых алгоритмах шифрования.

Тестирование производительности

Тестирование проводного сегмента

Тестирование проводилось по этой методике:

Максимальная скорость: 61,02 Мбит/с — до максимально возможной скорости, которую можно выжать из 100-мегабитного соединения (80–90 Мбит/с), конечно, не дотягивает, но, тем не менее, результат очень хороший.

Теперь уменьшим размер пакетов:


При уменьшении размера пакетов скорость сильно падает. Это происходит из-за возросшей нагрузки на процессор устройства (приходится обрабатывать большее количество мелких пакетов) и увеличения количества служебных данных (заголовки пакетов).

Тестирование NetPIPE

Максимальная скорость: 63,02 Мбит/с — значительных аномалий в графике не наблюдается.

Безопасность:

Во время тестирования было включено удаленное управление через WEB-интерфейс и по протоколу SNMP.

Результаты Nessus'а:

Nessus настоятельно не рекомендует использовать для доступа по SNMP стандартные пароли (public/private). При изменении стандартных паролей SNMP, Nessus перестает находить уязвимости, связанные с этим протоколом, — в этом случае все критические уязвимости пропадают.

Возможности VPN-сервера:

По причине наличия в устройстве сразу трех VPN-серверов, их рассмотрению будет посвящен отдельный обзор, который выйдет несколько позже.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)

Выводы:

Интернет-маршрутизатор Level One FBR-1411TX обладает очень высокой производительностью и безопасностью. При этом устройство может работать в качестве PPTP, L2TP и IPSec VPN-сервера. Однако не все то золото, что блестит: в настройках файрвола нельзя выбрать протокол, по которому осуществляется фильтрация — можно задать лишь IP-адрес и порт, следовательно, фильтрация производится только по протоколам TCP и UDP, а фильтрация по протоколу ICMP отсутствует. В дополнение к этому, при использовании устройства в качестве PPTP и L2TP VPN-серверов трафик не шифруется. Документация на устройство весьма скудная — о том как настраивать IPSec VPN-сервер нигде не говорится, и при этом в настройках устройства отсутствует много стандартных настроек IPSec, таких как алгоритм шифрования, алгоритм хеширования и др. (это удивительно потому, что другие VPN-устройства Level One, рассмотренные нами ранее [Level One WBR-3402A], не имеют таких недостатков, а в данном устройстве настройки приходится подбирать разве что не наугад).

Плюсы:

  • Высокая производительность
  • Высокая безопасность устройства
  • Наличие встроенных PPTP, L2TP и IPSec VPN-серверов
  • Возможно задание значения максимального размера пакета (MTU, Maximum Transmition Unit)
  • Возможность использования расписания при задании правил файрвола

Минусы:

  • Отсутствие шифрования трафика при использовании PPTP и L2TP VPN-серверов
  • Невозможно задание различных Public/Private портов и выбор протокола (TCP или UDP) для виртуальных серверов
  • Отсутствие многих стандартных настроек IPSec VPN-сервера
  • Документация на устройство охватывает только поверхностные вопросы настройки маршрутизатора (я бы такую документацию назвал "краткое руководство по настройке")

 

Навигация:

 

Оборудование предоставлено компанией СВЕГА компьютер

 

 




Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.