Содержание
- Общее описание
- Схемотехника
- Сводная таблица спецификаций устройств
- Экскурс в настройки
- Тестирование производительности
- Производительность LAN-WAN сегмента, NetIQ Chariot
- Производительность LAN-WAN сегмента, NetPIPE
- Производительность IPSec, DES шифрование
- Производительность IPSec, 3DES шифрование
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
- Производительность PPTP
- Производительность PPTP, масштабирование туннелей, два туннеля
- Производительность PPTP, масштабирование туннелей, три туннеля
- Возможности работы в качестве файл-сервера
- Тестирование безопасности 3CR860 и 3CR870
- Доступность
- Выводы
Некоторое время назад в нашу лабораторию попала новинка от компании U.S.Robotics — Secure Storage Router Pro. Устройство является многофункциональным роутером с поддержкой VPN сервера и клиента, а так же интегрированными функциями сетевого хранилища данных. И еще в USR8200 встроен принт-сервер (для USB принтеров).
Наличие большого числа функций в устройстве несколько затянуло тестирование, но ничего не длится вечно, поэтому я спешу поделиться его результатами. Самые нетерпеливые читатели могут сразу перейти к разделу выводов, пропустив основную, наиболее познавательную часть статьи, а для остальных расскажем все по порядку.
Устройство собрано в стильном пластиковом корпусе традиционного для U.S.Robotics черного цвета. На передней панели расположены 4 зеленых индикатора LAN портов, один — WAN-порта, индикатор IEEE1394(Firewire) и два индикатора USB интерфейсов, а так же двухцветный светодиод Power.
Все интерфейсы находятся в задней части корпуса USR8200. Кроме традиционных 4 LAN, 1 WAN портов, кнопки Reset и коннектора питания, хорошо видны два порта USB 2.0 и один — FireWire интерфейсов. Они предназначены для подключения внешних систем хранения данных (NAS, network attached storage) с одноименными интерфейсами, например, U.S.Robotics 250GB USB 2.0 + FireWire Storage Drive. Также ничто не мешает подключить к USB порту USB-Flash диск. Конечно, по сравнению с NAS-системами объемы не сопоставимы, тем не менее, Flash-диски объемом несколько гигабайт уже существуют.
После подключения любого хранилища данных к USR8200 оно будет доступно по сети через SMB протокол (т.е. через сетевое окружение, как и в случае с «Windows File Sharing») и через FTP сервер, поддержка которого так же осуществляется USR8200.
Кроме накопителя данных, к USB порту можно подключить принтер (если тот поддерживает USB подключение, конечно), тогда встроенный в USR8200 принт-сервер обеспечит доступность принтера для всей локальной сети.
На нижней плоскости устройства расположены четыре выступа с резиновыми ножками для горизонтальной установки корпуса, но отсутствуют какие-либо отверстия для его закрепления на вертикальные поверхности.
Кстати, у ножек есть еще вторая функция – они позволяют устанавливать устройства друг на друга (получившаяся конструкция устойчива). Таким же образом на USR8200 можно поместить и 802.11g Wireless Turbo Multi-Function Access Point (у этой точки доступа корпус поменьше).
Таким образом, может получиться довольно высокая башенка :)
В комплекте поставки устройства идет БП к нему, краткий гид по быстрой установке и настройке USR8200, патчкорд кабель и компакт-диск с более довольно подробной документацией (на английском языке) и дополнительным софтом — Norton Internet Security 2003 (NIS), Norton Personal Firewall 2003 (NPF) и программой USR iBand.
Встроенный в USR8200 VPN сервер поддерживает протоколы IPSec (tunnel и transport modes, с использованием DES/3DES шифрования) и PPTP, причем последний, как в режиме сервера, так и в режиме клиента. Кроме того, поддерживается пропуск соответствующих сессий (pass-through) сквозь маршрутизатор. Подобные возможности позволяют при помощи USR8200 строить распределенные сети, соединяя между собой их отдельные части посредством шифрованных туннелей (проходящих через Интернет). Например, можно связать несколько удаленных офисов в единую локальную сеть или подключить удаленных пользователей (работающих дома или находящихся в командировке) к локальной сети компании.
И, конечно, в механизм встроен интерфейс управления фильтрацией трафика (фильтрация по IP адресам/протоколам и фильтрация WEB).
Схемотехника USR8200
Аналогично случаю с USR5450, возможность разобрать маршрутизатор без повреждения его внешнего вида отсутствует — один из крепежных винтов скрыт под наклейкой снизу корпуса. А согласия на повреждение внешнего вида получено не было.
Но, судя по информации с сайта U.S.Robotics, сердцем системы является сетевой процессор Intel IXP422, на основе XScale технологии. Его XScale ядро работает на частоте 266 Мгц, в процессор встроены контроллеры шины PCI 2.2, SDRAM памяти, USB 1.1 контроллер и два независимых 10/100 Base-T Ethernet MAC-контроллера. Замечу, что в USR8200 установлены два порта USB 2.0, очевидно, что они (как и порт IEEE1394) реализованы на основе каких-то внешних контроллеров.
Кроме вышеперечисленного, в сетевой процессор встроен модуль аппаратного ускорения алгоритмов криптографии и аутентификации (IPsec-enabled Network Processor Engine, NPE), поддерживаются алгоритмы DES/3DES, AES, SHA-1/MD5. В даташите на этот процессор заявлено, что архитектура сетевого процессора Intel IXP422 позволяет осуществлять шифрование/дешифрование со скоростью до 70 Мбит/сек. Особенно интересно, насколько точно эта цифра отражает скорость шифрования в режиме AES, который является наиболее «тяжелым».
В USR8200 установлено 16Mb flash и 64Mb SDRAM памяти, и устройство работает под управлением Jungo's OpenRG, которая, в свою очередь, базируется на ядре Linux (предположительно, из 2.4.x ветки).
Спецификации USR8200
Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).
| корпус | пластиковый, допускается только горизонтальная установка, также возможна установка нескольких устройств «башенкой» | |||
| проводной сегмент | ||||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | да, сразу всех LAN портов | |||
| возможность задания размера MTU вручную | да | |||
| WAN | количество портов | 1 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейса | да | |||
| возможность задания размера MTU вручную | да | |||
| поддерживаемые типы соединения | статический IP адрес | да | ||
| динамический IP адрес | да | |||
| PPTP | да | |||
| PPPoE | да | |||
| основные возможности | ||||
| метод организации доступа | Network Address Translation (NAT) и NAPT | |||
| возможности NA[P]T | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | неизвестно, хотя возможность задания нескольких адресов на WAN присутствует | |||
| возможность отключения NAT (работа в режиме роутера) | да, а так же в качестве моста | |||
| конфигурирование устройства и настройка | администрирование | WEB-интерфейс | да | |
| собственная утилита управления под Windows | нет | |||
| telnet | да | |||
| COM-порт | нет | |||
| SSH | нет | |||
| SNMP | нет | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| внутренние часы | да | |||
| синхронизация часов | NTP, TOD | |||
| встроенные утилиты | ICMP ping | да | ||
| traceroute | нет | |||
| address resolving | нет | |||
| логирование событий | да, очень подробные | |||
| логирование исполнения правил файрвола | да, но всех сразу (dropped packets) | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | нет | |||
| пересылка на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | ? | |||
| поддержка SNMP Traps | нет | |||
| возможности встроенных фильтров и файрвола | ||||
| типы фильтров | по MAC адресу | нет | ||
| по IP адресу | src/dst, в том числе по диапазону | |||
| по протоколу/порту | protocol, src/dst port, в том числе по диапазону | |||
| по URL-у | нет | |||
| по домену | да, но только точные совпадения (маски не поддерживаются) | |||
| работа со службами фильтрации контента | нет | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | нет | |||
| возможность задания DMZ | да | |||
| встроенный брандмауэр (файрвол) | да, очень гибкий и функциональный, возможно задавать правила для IN и/или OUT трафика для любого существующего интерфейса (LAN, WAN, IPSec, PPTP) | |||
| поддержка SPI (Stateful Packet Inspection) | да | |||
| поддержка спец.приложений (netmeeting, quicktime, etc) | да, (используя пресеты основных правил или написав новое) | |||
| тип действия | allow | да, в том числе «разрешить все пакеты для этого соединения (используя SPI)» | ||
| deny | да | |||
| log | да | |||
| критерии задания правила | src interface lan/wan | да, как и любой другой существующий интерфейс | ||
| dst interface lan/wan | да, как и любой другой существующий интерфейс | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| src protocol | да, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола | |||
| dst protocol | да, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола | |||
| src port/range | да | |||
| dst port/range | да | |||
| привязка ко времени | нет | |||
| возможности VPN | ||||
| сервер IPSec | виды туннелей | Gateway--Gateway | да, теоретически до 253 туннелей | |
| remote user access | да, без возможности задания анонимного доступа (не указывая IP адрес удаленного пользователя) | |||
| типы аутентификации | pre shared key | да | ||
| сертификаты | да, только локально сохраненные | |||
| алгоритмы хэширования | SHA1 | да | ||
| MD5 | да | |||
| алгоритмы шифрования | DES | да | ||
| 3DES | да | |||
| AES | нет | |||
| добавление записей в таблицу роутинга IPSec туннеля | да, плюс поддержка RIP | |||
| возможность фильтрации в IPSec туннеле (файрвол) | да | |||
| сервер L2TP | нет | |||
| сервер PPTP | да, используется MPPE 40/128-bit шифрование | |||
| VPN pass through | IPSec | да (возможность одновременной работы с IPSec сервером неизвестна) | ||
| L2TP | нет | |||
| PPTP | да (возможность одновременной работы с PPTP сервером неизвестна) | |||
| traffic shaping | ||||
| traffic shaping | отсутствует | |||
| Роутинг | ||||
| задания записей вручную | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| дополнительно | возможно задание записей на любом существующем интерфейсе | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
| RIPv1 | да, send and/or receive | |||
| RIPv2 | да, send and/or receive | |||
| на LAN интерфейсе | возможность отключения | да | ||
| RIPv1 | да, send and/or receive | |||
| RIPv2 | да, send and/or receive | |||
| дополнительно | активация динамического роутинга возможна на любом существующем интерфейсе | |||
| дополнительная информация | ||||
| встроенный принт-сервер | да, для принтеров с USB интерфейсом | |||
| доп.возможности | два USB2.0 и IEEE1394 интерфейсы для подключения внешних устройств хранения данных, доступ к данным через встроенный ftp-сервер или SMB протокол | |||
| версия прошивки | 2.6.12 (от Oct 1 2003 11:06:21) | |||
| питание | внешний БП, 12VDC | |||
Навигация:
- общее описание, схемотехника и спецификации;
- экскурс в настройки;
- тестирование производительности;
- тестирование безопасности, возможности встроенного SMB и FTP сервера, доступность устройства и выводы
