Интернет-роутер ZyXEL ZyWALL 5. Часть вторая: тестирование производительности стандартных возможностей устройства и VPN-сервера.



В предыдущей части обзора был рассмотрен набор возможностей устройства и интерфейс конфигурации. В этой части мы проведем тестирование производительности устройства, причем как при использовании ZyWALL Turbo Card, так и без нее, попробуем использовать беспроводной адаптер для организации беспроводной связи на базе роутера, а также посмотрим, как работает VPN-сервер устройства. 

Тестирование производительности

Тестирование проводного сегмента

Тестирование проводного сегмента проводилось для двух вариантов:

  • механизм обнаружения и предотвращения вторжений включен (ZyWALL Turbo Card установлена и работает)
  • механизм обнаружения и предотвращения вторжений выключен

Тест LAN-WAN - тестирование проводилось по этой методике

При включении защиты от вторжений (IDP), максимальная скорость трафика падает с 44 Мбит/с до 14 Мбит/с. Таким образом, проверка трафика оказывается достаточно "дорогой" операцией и приходится жертвовать либо производительностью, либо безопасностью.

Теперь посмотрим, что произойдет при уменьшении размера пакетов



Как видно из диаграмм, при уменьшении размера пакетов тенденция сохраняется — включение проверки пакетов снижает скорость. Правда, в данных тестах это падение скорости не столь значительно, как в тестах при максимальном размере пакетов. Возможно, это связано с тем, что при уменьшении размера пакетов, полезная нагрузка каждого пакета снижается. 

Тестирование NetPIPE:

Как и в стандартных тестах на скорость, проводим отдельное тестирование при включенной и при выключенной защите IDP (обнаружение и предотвращение вторжений).

Защита IDP отключена:

Максимальная скорость: 38,05 Мбит/с. График ведет себя очень нестабильно, скорость сильно скачет, особенно в области пакетов больших размеров — аномальное поведение.

Защита IDP включена:

Максимальная скорость: 9,75 Мбит/с. Никаких аномалий в графике не наблюдается.

Тестирование беспроводного сегмента

Тестирование проводилось в несколько этапов:

  • Тест "Точка доступа — Cardbus адаптер"

Для тестирования беспроводной связи использовался ZyXEL ZyAIR G-162 Cardbus адаптер. Для того чтобы устройство начало работать в режиме точки доступа, в слот расширения был установлен беспроводной Cardbus адаптер ZyXEL ZyAIR G-110. 

Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента маршрутизатора и ноутбуком с беспроводным сетевым Cardbus-адаптером ZyXEL G-162 через точку доступа ZyXEL ZyWALL 5 (на базе ZyXEL ZyAIR G-110). Скорость соединения устанавливалась автоматически для режима IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Сокращения:

  • Cardbus — беспроводной Cardbus-адаптер ZyXEL G-162
  • AP — точка доступа роутера ZyXEL ZyWALL 5 (на базе ZyXEL ZyAIR G-110)
  • fdx — генерация трафика в обоих направлениях

Максимальная скорость: 25,49 Мбит/с — скорость для режима IEEE 802.11g очень высокая. Скорость от точки доступа к Cardbus-адаптеру в полнодуплексном режиме почти в 6 раз выше скорости от Cardbus-адаптера к точке доступа — это не очень хороший показатель. 

Тестирование производительности VPN-соединений

Рассматриваемый роутер позволяет устанавливать до 10 одновременных IPSEC VPN соединений. Шифрование трафика туннелей может производиться по следующим алгоритмам: DES, 3DES, AES. Алгоритм DES на сегодняшний день считается уже недостаточно криптостойким, поэтому тестирование с использованием данного алгоритма не проводилось. Напомню, что процессор устройства имеет аппаратную поддержку данных видов шифрования. ZyWALL Turbo Card не может осуществлять проверку шифрованного трафика, поэтому ее использование или неиспользование не должно влиять на результаты тестов, но для надежности все алгоритмы защиты (обнаружение и предотвращение вторжений IDP и антивирусная защита) были отключены вручную.

Для тестирования применялись стендовые компьютеры под управлением Gentoo Linux 2.6.11.

Параметры туннеля:

  • тип: IPSEC
  • Хеш-алгоритм: MD5
  • Обмен ключами: IKE

Сокращения:

  • Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11
  • ZyWALL — рассматриваемый нами роутер ZyXEL ZyWALL 5

Производительность IPSEC, 1 туннель, 3DES шифрование

Скорость трафика сильно падает по сравнению с результатами LAN-WAN тестов.

Производительность IPSEC, 2 туннеля, 3DES шифрование

Как видно, при увеличении количества туннелей, максимальная скорость трафика возросла почти в 2 раза до 22.607 Мбит/с.

Производительность IPSEC, 3 туннеля, 3DES шифрование

В режиме half-duplex

В режиме full-duplex

При подключении третьего туннеля, максимальная скорость трафика возросла почти до 25 Мбит/с. Скорость распределяется между потоками практически равномерно.

Поэтапное включение туннелей при 3DES шифровании

Далее было проведено несколько тестов, в которых генерирование трафика в трех туннелях запускалось не одновременно, а с задержкой в 30 секунд. Сначала трафик запускается в одном туннеле, 30 секунд спустя — во втором, еще 30 секунд спустя — в третьем. Это сделано для того, чтобы проследить, как влияет на трафик динамическое включение туннелей

Последовательность запуска трафика:

  • 1-й туннель, передача ZyWALL -> Gentoo
  • 2-й туннель, передача ZyWALL -> Gentoo
  • 3-й туннель, передача ZyWALL -> Gentoo

Скорость между каналами делится практически равномерно. При подключении второго туннеля, скорость снижается очень незначительно.

Последовательность запуска трафика:

  • 1-й туннель, передача Gentoo -> ZyWALL
  • 2-й туннель, передача Gentoo -> ZyWALL
  • 3-й туннель, передача Gentoo -> ZyWALL

Последовательность запуска трафика:

  • 1-й туннель, передача fdx Gentoo && ZyWALL
  • 2-й туннель, передача fdx Gentoo && ZyWALL
  • 3-й туннель, передача fdx Gentoo && ZyWALL

Как видно из графиков, устройство реагирует на подключение нового потока практически мгновенно.

Производительность IPSEC, 1 туннель, AES шифрование

Максимальная скорость: 21,42 Мбит/с.

Производительность IPSEC, 2 туннеля, AES шифрование

Максимальная скорость: 20,456 Мбит/с, по сравнению с результатами тестов с первым потоком, скорость изменилась незначительно.

Производительность IPSEC, 3 туннеля, AES шифрование

В полудуплексном режиме:

В полнодуплексном режиме:

Максимальная скорость: 20.255 Мбит/с, при увеличении количества туннелей, скорость падает незначительно.

Поэтапное включение туннелей при AES шифровании

Далее было проведено несколько тестов, в которых генерирование трафика в трех туннелях запускалось не одновременно, а с задержкой в 30 секунд. Сначала трафик запускается в одном туннеле, 30 секунд спустя — во втором, спустя еще 30 секунд — в третьем.

Последовательность запуска трафика:

  • 1-й туннель, передача ZyWALL -> Gentoo
  • 2-й туннель, передача ZyWALL -> Gentoo
  • 3-й туннель, передача ZyWALL -> Gentoo

На графике видно, что скорости между потоками распределяются неравномерно.

Последовательность запуска трафика:

  • 1-й туннель, передача Gentoo -> ZyWALL
  • 2-й туннель, передача Gentoo -> ZyWALL
  • 3-й туннель, передача Gentoo -> ZyWALL

Последовательность запуска трафика:

  • 1-й туннель, передача fdx Gentoo && ZyWALL
  • 2-й туннель, передача fdx Gentoo && ZyWALL
  • 3-й туннель, передача fdx Gentoo && ZyWALL

Безопасность

Во время тестирования безопасности было включено удаленное управление через WEB, Telnet, SNMP, а также открыт доступ по FTP для загрузки и сохранения конфигурации.

Результаты Nessus'а:

Nessus находит 43 (!) критических уязвимости. В случае отключения удаленного администрирования, все(!) уязвимости пропадают. Большая часть уязвимостей связана с работой HTTP-сервера устройства. Видимо, разработчики интерфейсов управления не уделили данной проблеме должного внимания и расчет велся на то, что настройка будет производиться из LAN-сегмента роутера, или IP-адрес, с которого будет производиться настройка, заранее известен и не будет меняться. 

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство на последний момент:

ZyXEL ZyWALL 5 Н/Д(1)
ZyXEL ZyWALL Turbo Card Н/Д(0)

Выводы:

Несмотря на то, что устройство за счет Turbo-карты обещает, что производительность практически не пострадает, в действительности это не так. При включении механизма обнаружения и предотвращения атак (IDP), производительность устройства снижается на 30 Мбит/с с 43 Мбит/с до 13 Мбит/с.

Насколько снижается производительность при использовании антивирусной защиты, выяснить не удалось, так как антивирус проверяет файлы, передаваемые по протоколам HTTP, FTP, POP3 и SMTP, а в случае, если мы проводим тестирование с помощью Chariot NetIQ — мы пропускаем беспорядочный набор данных, который бессмысленно подвергать проверке.

Еще раз напомню, что трафик, идущий через VPN, проверке не подвергается.

Плюсы:

  • Возможность создания и использования локальной базы данных пользователей для использования ее вместо Radius-сервера
  • Возможность создания беспроводной точки доступа на базе роутера
  • Широкие возможности задания правил файрвола
  • Широкие возможности настройки сервиса NAT
  • Широкие возможности задания правил ведения логов
  • Возможность обнаружения и предотвращения атак (IDP, Intrusion Detection and Prevention)
  • Возможность контроля доступа по содержанию, работающему совместно с внешним списком фильтрации и возможностью кэширования запросов
  • Возможность управления полосой пропускания
  • Возможность использования резервного канала DialUp
  • Возможность задания различных параметров на каждом этапе установки IPSEC VPN-соединения
  • Возможность управления через COM-порт
  • Возможность управления по протоколу Telnet
  • Возможность переключения режима LAN/DMZ на каждом из LAN-портов
  • Возможность использования сертификатов

Минусы:

  • Нет возможности подробно задать параметры беспроводной связи
  • Поддержка всего лишь 11 каналов беспроводной связи, вместо 13 (стандарт для восточноевропейского региона)
  • Низкая безопасность при включении удаленного администрирования
  • Аномальное поведение трафика при увеличении размеров пакетов без использования ZyWALL Turbo — карты

 

В следующей части мы рассмотрим возможности управления трафиком и возможности антивирусной защиты устройства, реализуемые с помощью ZyWALL Turbo Card.  

 

Навигация:

 

Оборудование предоставлено российским представительством компании ZyXEL

 

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.