Интернет-маршрутизатор и VoIP-шлюз Nateks Networks Voicecom 115-2. Часть 1: спецификация и конфигурация интернет-маршрутизатора, тестирование производительности.

Нами будет рассмотрено устройство компании Nateks Networks Voicecom 115-2. Одно из основных отличий данного устройства от рассматриваемых нами ранее - возможность подключения к нему обычных аналоговых телефонов, которые при этом превращаются в устройства IP-телефонии с использованием протокола SIP (если быть более точным, то устройство для организации IP-телефонии с использованием SIP-протокола уже попадало мне в руки: ZyXEL Prestige 2602HW, но возможности организации телефонии на его базе не рассматривались).

В первой части обзора мы рассмотрим само устройство, его функциональные возможности и производительность при работе в режиме обычного Интернет-роутера.

Последующие части будут посвящены "телефонным" возможностям устройства, настройкам телефонии, организации внутренней телефонной сети с использованием протокола SIP.

Самому протоколу SIP, IP-телефонии с его использованием и дополнительным возможностям, которые предоставляет использование этого протокола для IP-Телефонии, будет посвящена отдельная статья.

Содержание:

Функциональные возможности устройства: Интернет-маршрутизатор с 4-хпортовым коммутатором на LAN-интерфейсе, VoIP-шлюз с четырьмя портами для подключения аналоговых телефонов для организации SIP-телефонии (телефонии с использованием протокола SIP).

На устройстве расположены следующие индикаторы:

Индикаторы активности на каждом из 4-х LAN-портов
Индикатор активности порта WAN
Индикатор активности каждой из 4-х телефонных линий
Alarm-индикатор "тревоги"
Индикатор статуса
Индикатор питания

Сзади на устройстве расположены:

Разъем питания
Кнопка Reset - сброс параметров
4 FXS-порта Rj-11 для подключения аналоговых телефонов
Порт WAN
4 порта LAN
Порт DMZ

Комплектация устройства:

Сам маршрутизатор
1 кабель RJ-45 - RJ-45 длиной 2 метра, "прямой" обжим
4 кабеля RJ-11 - RJ-11 длиной 2 метра
Диск с инструкцией на английском языке
Руководство по установке и эксплуатации на русском языке
Технический паспорт на русском языке
Блок питания (суммарная длина низковольтного и высоковольтного проводов около 4-х метров)

Вид изнутри:

Устройство выполнено на базе процессора Realtek RTL8650B (32-битный RISC-процессор с тактовой частотой 200 МГц, поддержка пяти FastEthernet-интерфейсов и одного MII-интерфейса (то есть каждый порт коммутатора управляется процессором) с автоопределением полярности на портах и поддержкой 2/3/4 уровней OSI).

Уровень 2:

Поддержка фильтрации по MAC-адресам (source/destination)
Поддержка VLAN (по портам и по тегам пакетов)

Уровень 3:

Аппаратная таблица маршрутизации (до 8-ми записей для IPv4 протокола)

Уровень 4:

Аппаратная поддержка трансляции адресов и портов (для TCP и UDP протоколов)
Поддержка таблиц ALG (Application Level Gateway) для пакетов, которым требуется дальнейшая "программная обработка"

Также имеется поддержка QoS с возможностью задания QoS-политик.

На плате устройства также установлено:

Программируемое логическое устройство (Lattice LC4064V)
Voice over Packet процессор AudioCodes AC482-C (поддержка 4-х каналов, аудио кодеки G.711 PCM (64 kbps), G.726 ADPCM (16-40 kbps), G.727 E-ADPCM *16-40 kbps), G.729A/B CS-ACELP, G.723.1 MP-MLQ (6.3 kbps), G.723.1 ACELP (5.3 kbps), Netcoder (6.4 - 9.6 kbps))
4 Мбайт Flash-памяти Macronix 29LV320ABTC-90
16 Мбайт SDRAM-памяти EtronTech EM639165TS-7
128 Кбайт CMOS-памяти ICSI IC61LV6416

Спецификация:

корпус	пластиковый, допускается горизонтальная установка
	исполнение		Indoor
проводной сегмент
WAN	тип	Fast Ethernet
количество портов	1
auto MDI/MDI-X	да
типы поддерживаемых соединений	фиксированный IP	да
	динамический IP	да
	PPPoE	да
	PPTP	да
	L2TP	нет
	IPSec	нет
LAN	количество портов	4
	auto MDI/MDI-X	да
ручное блокирование интерфейсов	нет
возможность задания размера MTU вручную	нет
основные возможности
конфигурирование устройства и настройка клиентов	администрирование	WEB-интерфейс	да
		WEB-интерфейс через SSL	нет
		собственная утилита	нет
		telnet	да
		ssh	нет
		COM-порт	нет
		SNMP	нет
	возможность сохранения и загрузки конфигурации	да
	встроенный DHCP сервер	да
	поддержка UPnP	да
метод организации доступа в Интернет	Network Address Translation (NAT-технология)	да
	возможности NAT	one-to-many NAT (стандартный)	да
		one-to-one NAT	нет
		возможность отключения NAT (работа в режиме роутера)	нет
Встроенные VPN-сервера	IPSec	нет
	PPTP	нет
	L2TP	не
Traffic shaping (ограничение трафика)	да
DNS	встроенный DNS-сервер (dns-relay)	нет
	поддержка динамического DNS	да
внутренние часы	присутствуют
	синхронизация часов	да, NTP
встроенные утилиты	ICMP ping	да
	traceroute	нет
	resolving	нет
логирование событий	нет
Роутинг
статический (задания записей вручную)	да, 5 записей
динамический роутинг	да, RIPv1 и RIPv2
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)	да
наличие фильтров/файрвола	да
типы фильтров	по MAC адресу	да
	по IP адресу источника	да
	по протоколу	да, TCP/UDP/TCP&&UDP
	по порту назначения (TCP и UDP)	да, в том числе по диапазону
	по IP-адресу назначения	нет
	по порту источника (TCP и UDP)	нет
	привязка ко времени	нет
	по URL-у	да
	по домену	да, совмещен с URL
	работа со службами списков URL для блокировки	нет
поддержка спец.приложений (netmeeting, quicktime, etc)	QuickTime, MSN (можно вручную задать до 8 записей)
виртуальные сервера	возможность создания	да
	задания различных public/private портов для виртуального сервера	да
	возможность задания DMZ	да
traffic shaping
типы шейпинга	ограничение трафика по критериям	да
критерии задания правила для ограничений	WAN-Upstream	да
	WAN-Downstream	да
	LAN-Upstream	да, по отдельности на каждый LAN-порт
	LAN-Downstream	да, по отдельности на каждый LAN-порт
	тип передаваемых данных	VoIP-трафик
Версия прошивки	1.2.33.6-92-48
питание
тип БП	внешний, 12VDC, 2A
поддержка 802.1af (PoE)	нет
Дополнительные порты
FXS	4
Физ. характеристики
Габаритные размеры (ДxШxВ)	202x172x35 мм
Вес	430 г

Предупреждение: телефонные порты ни в коем случае нельзя соединять не по назначению. Соединение двух портов FXS между собой может привести к аппаратному повреждению устройства.

Конфигурация:

Конфигурацию устройства можно производить через WEB-интерфейс, по протоколу Telnet, а также с помощью интерфейса IVR (Interactive Voice Response), который позволяет производить настройки без использования ПК через подключенный к устройству телефон (подобный IVR интерфейс встречается при настройке мобильного телефона, когда производится звонок на короткий номер оператора).

Начнем с WEB-интерфейса...

Список всех скриншотов WEB-Интерфейса настройки приводится здесь.

Первая ложка дегтя оказалась связана не столько с интерфейсом настройки, сколько с документацией к нему. К устройству прилагается очень скромная документация, причем как русская, так и английская. Человеку, не имевшему дело с сетевым оборудованием, разобраться в настройках будет очень не просто. Особенно это касается настроек телефонии. Например, приводится параметр настройки и ее описание: "Representative number: укажите номер, присваиваемый шлюзу"... на этом описание параметра заканчивается, а что он означает - известно только Интернету и самому шлюзу. Шлюз получится настроить, если использовать пошаговую инструкцию поставщика услуг SIP-телефонии и не вникать в суть настроек, но на сайте sipnet.ru (наиболее известный поставщик услуг SIP-телефонии в России) подобной информации я не нашел (для шлюза для программных SIP-телефонов пошаговая инструкция есть).

Теперь перейдем к самим настройкам:

рис. 1

При использовании PPTP-подключения, автоматическое получение IP-адреса WAN-интерфейса (именно WAN-интерфейса, а не PPTP) невозможно. Протоколы аутентификации (PAP, CHAP, MS-CHAP и MS-CHAPv2) не используются - то есть проверка пароля не проводится в принципе (можно подключиться с любыми логином/паролем). Если же PPTP-сервер требует использования какого-либо типа аутентификации, то подключение к такому PPTP-серверу произвести не удастся. Исходя из вышесказанного, шифрование PPTP-соединения также не производится.

рис.2

Можно ограничивать общую ширину полосы пропускания трафика на WAN-интерфейсе и на каждом из LAN-интерфейсов. Ширина канала задается дискретно (выбор скорости трафика из списка, а не ручное задание любого значения). На WAN-порте можно задать приоритет голосового трафика (по умолчанию он имеет самый высокий приоритет).

Интерфейс настройки реализован на двух языках (английский и русский)

рис. 3

При использовании русского языка, часть настроек WEB-интерфейса по-прежнему остается на английском

рис. 4

Изменение языка интерфейса также отражается на языке голосового интерфейса IVR.

Статистика устройства отображает IP-адреса, маски и MAC-адреса интерфейсов

рис. 5

Фильтрация трафика настраивается очень необычным образом: отдельно производится фильтрация по портам и отдельно - по IP-адресам (использование которых в отсутствии возможности задания статических записей в DHCP несколько осложняется), правил, осуществляющих фильтрацию по портам для определенных IP-адресов, задать невозможно

Port Filtering

рис. 6

IP Filtering

рис. 7

MAC Filtering

рис. 8

Возможно создание 10 виртуальных серверов с заданием диапазона портов

рис. 9

Устройство имеет встроенную защиту от DoS-атак (атак типа "отказ в обслуживании")

рис. 10

Как видно, настроек, посвященных функционированию устройства в роли Internet - маршрутизатора, достаточно мало. Настройки файрвола, мягко говоря, очень скромные. Создалось впечатление, что базовой функцией для устройства является шлюз IP-телефонии, функциональность которого расширена до Internet-маршрутизатора.

Устройство также позволяет сменить MAC-адрес WAN-интерфейса. Возможна ручная установка любого MAC-адреса.

Помимо WEB-интерфейса, устройство имеет консольный интерфейс настройки по протоколу Telnet

рис. 11

Консольный интерфейс выполнен в виде командной оболочки: есть набор команд и древовидная структура параметров. Список команд можно увидеть, набрав команду "HELP"

рис. 12

Путешествие по дереву настроек можно производить с помощью команды "CD" как по дереву директорий. Список настроек в текущей директории можно увидеть, набрав команду "LIST". Список "подпапок" корневой директории настроек

рис. 13

Можно даже менять параметры CLI-интерфейсов (Command Line Interface), для этого введем "CD CLI". Для отображения и задания параметров используются "LIST", "GET", "SET" и "INFO".

рис. 14

Также возможно отображение всего списка настроек текущей директории с помощью команды "TREE". Ниже приводится этот список:

> tree
========== Dir Tree Of [/]
/
  NET
    WAN
      CURRENT_IP
      LISTEN_PORT
      RTP_PORT
      IP_TYPE
      STATIC
        IP
        MASK
        DEFAULT_GATEWAY
      PPPOE
        PPPOE_ACCOUNT
        PPPOE_PASSWORD
      PPTP
        PPTP_IP
        PPTP_MASK
        PPTP_SERVER_IP
        PPTP_ID
        PPTP_PASSWORD
      BIG_POND
        L2TP_MASK
        L2TP_SERVER_IP
        L2TP_ID
      DNS_MODE
      PRIMARY_DNS
      SECONDARY_DNS
      CURRENT_MAC_ADDRESS
      HTTP_PORT
      ENABLE_WEB
      ENABLE_TELNET
    LAN_INTERFACE
    LAN
      IP
      MASK
      DHCP_SERVER
        ENABLE
        START_IP
        END_IP
        LEASE_TIME
        DNS_MODE
        PRIMARY_DNS
        SECONDARY_DNS
  QOS
    WAN_QOS
      ENABLE
      DOWNLOAD_BANDWIDTH
      UPLOAD_BANDWIDTH
      TOS
        TOS_TYPE
        TOS_SIG
        TOS_VOICE
        DSCP_SIG
        DSCP_VOICE
    LAN_QOS
      ENABLE
      QOS
  NAT_DDNS
    NAT
      NAT_ENABLE
      NAT_IP_Domain
      STUN_ENABLE
      STUN_SERVER
      STUN_PORT
      UPNP_ENABLE
    DDNS
      REG_DDNS
      CUSTOM
      SERVER_SETTINGS
  TELEPHONE
    PREFIX_RULES
    CID_GEN
    FSK_TYPE
    CLIR
    FXS_GROUP_TYPE
    FXS_SEQU_RING
    TEL_LINE_SETTINGS
      LINE_ENABLE
      HOT_LINE_ENABLE
      HOT_LINE_NO
      DIAL_WAIT
      DIAL_OUT_PREFIX
      DEFAULT_DIAL_OUT
      FXS_GROUP_HUNTING
      FAX
    RING_TIME
    END_OF_DIGIT_TONE
    NOTIFY_VOIP_CALLER
    ONE_WAY_MEDIA
  SIP
    OUTBOUND_PROXY
      ENABLE
      CHECK_WAN_IP
      IP
      PORT
    SESS
      EXP
      REFRESH_REG
      REFRESHER
    RESENDING_TIMER
    MAX_RESPONSE_TIME
    INVITE_URL_NEED_PHONE
    COUNTRY
      COUNTRY_CODE
      CALL_PREFIX
      LD_CALL_PREFIX
      AREA_CODE
    E_164
      ENABLE
      USE_TRUNK
      ENUM
    SIP_PROXY
      ENABLE
      ENABLE_PROXY
      PROXY_SERVER
      PROXY_PORT
      PROXY_REALM
      TTL
      SIP_DOMAIN
      DOMAIN_REG
    PROXY_BIND
    INIT_UNREG
    SHARE_KEY
    ACCOUNT
      FXS_REP_NUM
      FXS_REG_HUNT
      FXS_USER
      FXS_PWD
      NUMBER
      REGISTER
      INVITE
      USER
      PASSWORD
  PRIVATE_NET
    PHONE_BOOK_MANAGER
      ENABLE
      SHARE_PHONE_BOOK
      TTL
      RELAY_PORT
      MAX_REALY
      REGISTER
      GATEWAY_NAME
      SHARE_RTP_RELAY
      IP_DOMAIN
      LISTEN_PORT
      ENABLE_TUNNEL
      BS_NAT
      LOGIN_PASSWORD
    PREFIX_NUMBER
    EXTENSION
  CALL
    FXS_FORWARD_TYPE
    FXS_NUM_FORWARD
    FXS_BUSY_FORWARD
    FORWARD_TYPE
    NO_ANSWER_TIME
    NUMBER_FORWARD
    BUSY_NUM_FORWARD
    NO_ANSWER_NUM_FORWARD
    HOLD
    TRANSFER
    WAITING
  ADVANCED
    LOGIN
      ID
      PASSWORD
      USER_ID
      USER_PASSWORD
      AUTO_LOGOUT_TIME
    DIAL
      WAIT_TIMEOUT
      INTER_TIMEOUT
      DTMF_MIN_ON
      DTMF_MIN_OFF
      DTMF_DETECT_LEVEL
      FXO_DIAL_TYPE
      PULSE_DIAL_RATIO
      OUTBAND_DTMF
        ENABLE
        ENABLE_HOOK_FLASH_EV
        DTMF_TYPE
        PAYLOAD_TYPE
      USES_2ND_CPT
    LINE_SETTINGS
      LISTEN_VOLUME
      SPEAK_VOLUME
      TONE_VOLUME
      FLASH_TIME
      POLARITY_REVERSAL
      ANS_DETECTION
      PSTN_RING_OFF
    CODEC
      PREFERRED_CODEC
      JITTER_BUFFER
      SILENCE_SUPPRESSION
      ECHO_CANCELLING
      ENABLE_CODEC
      PACKET_TIME
    FAX
      FAX_TYPE
      T38
        T38_TYPE
        HIGH_QUALITY
      T30
        CODEC
        FRAME_COUNT
        JITTER_BUFFER
        TONE_DETECT_SENSITIV
  CALLER_FILTER
    OPTION
    FILTER
  CDR
    ENABLE
    IP
    PORT
  DIGITMAP
    ALERT
    VOIP_PREFIX
    DEF_CALL_ROUTE
    DIGITMAP
  PHONE_BOOK
    PHONE_BOOK
  SPEEDDIAL
    SPEEDDIAL
  LANGUAGE
    LANGUAGE
  TIME
    IAD_TIME
    ZONE
    SERVER
  ROUTE
    ROUTE
  RIP
    ENABLE
    SEND_VER
    REC_VER
    AUTH
    AUTH_PWD
    UPDATE
    TIMEOUT
    GARBAGE
  PORT_FILTER
    ENABLE
    PORT_FILTER
    REMARK
  IP_FILTER
    ENABLE
    IP_FILTER
    REMARK
  MAC_FILTER
    ENABLE
    MAC
    REMARK
  VIRTUAL_SERVER
    ENABLE
    VIRTUAL_SERVER
    REMARK
  DMZ
    ENABLE
    HOST
  URL_FILTER
    ENABLE
    URL
    SOURCE_IP
  SPECIAL_APP
    ENABLE
    NAME
    INCOMING
    PORT_RANGE
    TRIGGER
    START_PORT
    END_PORT
  DOS
    ENABLE
    ENABLE_ON_LAN
    WHOLE_FLOOD
    PER_SOURCE_IP
    DOS_PROPERTY
    SCAN_LEVEL
    BLOCKING
      ENABLE
      BLOCK_TIME
  TRUNK
    ISDN_PARAMETER
    THRESHOLD
    INTERVAL
  TRANSIT_CALL
    INBOUND
    OUTBOUN
    PIN
  LONG_CONTROL
    0_LEVEL
    1_LEVEL
    2_LEVEL
    3_LEVEL
    4_LEVEL
    5_LEVEL
  LONG_EXCEPTION
    0_LEVEL
    1_LEVEL
    2_LEVEL
    3_LEVEL
    4_LEVEL
    5_LEVEL
  TONE
    BTC
      BTC
    ENABLE
    DIAL_TONE
    CONGESTION_TONE
    BUSY_TONE
    RING_BACK_TONE
  STATUS
    PORT
    SERVER_REG
    WAN_PORT
    LAN_PORT
    HARDWARE
  RTP
    LINE_INFO
  AUTO_PROVISION
    ENABLE
    SERVER_IP
    SERVER_PORT
    START_RUN
    PERIODICALLY
    PERIOD_TIME
    PERIOD_RANGE
    RETRY_COUNT
    RETRY_INTERVAL
    SUSPEND
  CLI
    RESTORE_CONFIRM
    KEYBOARD_IDLE_TIMEOUT
========== Totally 334 Nodes
[[/]]
>

В принципе структура команды CLI-интерфейса очень напоминает структуру самого WEB-интерфейса устройства.

Устройство также может быть настроено с помощью IVR-интерфейса - то есть через телефон. При изменении языка WEB-интерфейса также меняется и язык голосового интерфейса. С помощью этого интерфейса управления также можно произвести настройку IP-адресов физических интерфейсов устройства. Список команд (он естественно цифровой) приводится в документации к устройству.

Настройки телефонных возможностей устройства будут рассмотрены в следующих обзорах.

Тестирование производительности:

Тестирование проводного сегмента:

Тестирование проводилось по этой методике

Максимальная скорость: 101.72 Мбит/с - высокий показатель - скорость в полнодуплексном режиме. Во всех тестах скорость в направлении LAN->WAN несколько ниже соответствующих скоростей в направлении WAN->LAN.

Посмотрим, как ведет себя трафик при уменьшении размера пакетов:

Максимальная скорость: 14.31 Мбит/с - сравнительно невысокий показатель.

Максимальная скорость: 3.38 Мбит/с.

Тестирование NetPIPE:

Максимальная скорость: 89.74 Мбит/с. Аномалий в графике не наблюдается.

Безопасность:

Во время тестирования были включены оба вида удаленного управления (WEB и Telnet), а также отключены настройки защиты от атак.

Результаты Nessus'а:

Nessus не нашел ни одной критической уязвимости, но настоятельно не рекомендуется использовать доступ по протоколу Telnet из внешней сети. Также отмечу, что устройство по умолчанию имеет пустой логин и пароль, и при этом у него разрешен доступ к интерфейсу настройки с WAN-интерфейса - эту "уязвимость", конечно, легко устранить, но нужно не забыть сделать это.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство на последний момент:

NAteks Networks Voicecom 115-2

$255(3)

Выводы:

По общему впечатлению, оставшемуся от работы с данным устройством, я бы сказал, что оно похоже на VoIP-шлюз, функциональность которого расширена и включает в себя возможности Интернет-маршрутизатора, а не наоборот (когда функциональность маршрутизатора расширена до VoIP-шлюза). Такое впечатление сложилось, так как устройство включает в себя много настроек и возможностей телефонии, а возможности Internet-маршрутизатора при этом очень скудные. Например, нельзя создавать правила фильтрации с одновременным использованием фильтрации по IP-адресу и TCP(UDP)-порту - можно только отдельно создать правило фильтрации по порту назначения и отдельно по IP-адресу источника (то есть, если есть необходимость "запретить" определенный порт, то придется запрещать его для всех, а не только для определенных IP-адресов).

PPTP-клиент устройства позволяет производить подключение к PPTP-серверу, но при этом не использует ни один из методов аутентификации, поэтому, зачем нужно указание логина/пароля - остается только гадать. Обычно провайдеры используют PPTP-подключения именно с целью авторизации клиента, поэтому PPTP-клиент можно считать неработоспособным.

Зато безопасность устройства находится на высоком уровне, если не учитывать пустой пароль по умолчанию.

Телефонные возможности устройства будут рассмотрены в следующих обзорах.

Плюсы:

Ручное задание MAC-адреса на WAN-порте
Высокая производительность устройства
Высокая безопасность устройства
Возможность задания QoS
Наличие двух языков интерфейса настройки
Наличие защиты от атак DoS
Возможно подключение четырех аналоговых телефонных аппаратов

Минусы:

Скудная документация на устройство
"Неработоспособный" PPTP-клиент
Фильтрация трафика может осуществляться только по IP-адресу источника и порту назначения (TCP/UDP), причем отдельно
Пустой пароль по умолчанию
Количество правил фильтрации ограничено 10 для фильтрации по MAC-адресу, IP-адресу, и TCP(UDP)-портам
Нет возможности добавления статических записей в DHCP
Отсутствие возможности ведения логов

[ Читайте далее: настройка, возможности и тестирование SIP-телефонии, QoS]

Оборудование предоставлено компанией «Nateks Networks»

Сергей Аношкин (sanoshkin@ixbt.com .)
Опубликовано — 4 июля 2006 г.

Комментарии? Поправки? Дополнения? eightn@ixbt.com .