3Com OfficeConnect ADSL Wireless 11g Firewall Router

Сегодня мы рассматриваем ADSL маршрутизатор с возможностями беспроводной связи от 3Com серии OfficeConnect. Да, да, это не ошибка - это действительно первое устройство ADSL, побывавшее в нашей тестовой лаборатории.

Тем не менее, я вынужден огорчить читателей. Именно ADSL функции этого устройство проанализированы не будут. Причины все те же - отсутствие DSLAM-устройства, то есть ADSL порт маршрутизатора просто некуда подключать.

Другими словами, будет рассмотрена лишь беспроводная часть устройства, а самое "вкусное", а именно работа с ADSL (а соответственно и основные возможности проводной части маршрутизатора) останутся за кадром. То есть нами не была протестирована скорость маршрутизации и безопасность на порте WAN.

Скорость маршрутизации, возможно, не так интересна в контексте ADSL устройства - ведь максимальная скорость, которую может выдать ADSL канал, - это около 7.5 мегабит в сторону пользователя и меньше мегабита - в обратную сторону. Даже большинство "древних" маршрутизаторов двухгодичной давности с такими скоростями справлялись на ура. А вот просканировать Nessus-ом возможные дыры в безопасности на внешнем (ADSL) порте устройства было бы интересно. Хотя, конечно, все предыдущие маршрутизаторы от 3Com, побывавшие в нашей лаборатории, этот тест проходили без проблем, а это дает надежду, что и в данном случае все должно быть в порядке. Но, как говорится, доверяй - но проверяй.

На этом лирическая часть вступления завершена, вернемся к рассмотрению 3Com OfficeConnect ADSL Wireless 11g Firewall Router.

Маршрутизатор представляет собой новый класс устройств из серии "все в одном". В нем заключены:

обычный NAT-маршрутизатор со встроенным файрволом
ADSL модем
четырехпортовый коммутатор (свич)
беспроводная точка доступа стандарта 802.11g

Таким образом, приобретая это устройство, пользователь получает практически все, что ему нужно для создания квартирной или офисной сети - подключение до четырех проводных устройств (или бОльшее их количество, путем подключения к любому из LAN портов дополнительного коммутатора), до 128 беспроводных устройств и обеспечение доступа в Интернет через ADSL канал. И все это обеспечивает одно устройство, скрытое в корпусе небольших размеров. Не правда ли, удобно?

Внешний вид корпуса маршрутизатора знаком нам еще с тех времен, когда компания выпускала концентраторы. Вероятно, конструкция корпуса оказалась настолько удачной, что она практически не меняется (в таком же корпусе выпускались и коммутаторы серии OfficeConnet, и маршрутизаторы, например, 3CR856 или 3CR870). Изменяется лишь количество индикаторов на передней панели и задняя панель, где расположены все порты устройства.

Итак, корпус с мягкими обводами, выполнен из светлого пластика с возможностью горизонтальной установки или вертикального крепления на стену. Основание корпуса и задняя панель - металлические. На передней панели расположены четыре индикатора LAN портов, один - WAN порта, индикатор питания, индикатор DSL канала (Sync) и индикатор Online, показывающий, что провайдер аутентифицировал вас (логин/пароль принят, интернет-соединение установлено).

Разъемы на задней панели располагаются в следующем порядке (слева направо): ADSL порт (RJ-11), разъем питания и 4 LAN ethernet-порта. Кроме них, на панели находится кнопка Reset, а так же кнопка выключения питания устройства.

Антенны (две штуки), так же располагаются в задней части корпуса, но, к сожалению, они несъемные. Последнее понятно, маловероятно, что подобное устройство будет использоваться в качестве чистой точки доступа. Но все равно, отсутствие возможности подключении внешней антенны несколько огорчает.

Комплект поставки.

В комплект входит сам маршрутизатор, блок питания к нему, книжка quick start guide, компакт-диск с драйверами и pdf-версией полной документации (на английском языке), а так же телефонный кабель. Интересно, что ethernet-патч корда в комплекте не наблюдается, вероятно, компания считает, все уже давно перешли на беспроводные сети :)

Так же в комплекте не обнаруживается POTS-сплиттер (фильтр на телефонную линию), а вот он, в отличие от ethernet-патч корда, пользователю точно понадобится при подключении ADSL-канала.

Вид изнутри.

К сожалению, мне не удалось найти в сети информацию по основному микропроцессору роутера.

За встроенный коммутатор отвечает контроллер Marvell 88E6060, за авто MDI/MDI-X на портах отвечает микросхема LF8731. Так же на плате расположена микросхем Flash-памяти от Intel и микросхема обычной памяти (с максимальной частотой работы 140 МГц), оба неизвестного объема.

блок схема беспроводного решения TNETW1130

За беспроводную часть отвечает miniPCI плата, на которой реализовано решение TNETW1130 от компании Texas Instruments. О нем уже рассказывалось ранее.

Сводная таблица спецификаций.

корпус	пластиковый, с металлическим основанием; допускается горизонтальная установка или подвес на стену
проводной сегмент
WAN	тип	DSL (ITU Annex A)
	количество портов	1
	типы поддерживаемых соединений	PPPoE	да
		PPPoA	да
		Bridge mode	да
		Routing over ATM	да
		Dynamic IP in 1483 Bridge Mode	да
		Fixed IP in 1483 Bridge Mode	да
LAN	количество портов	4
	auto MDI/MDI-X	да
ручное блокирование интерфейсов	нет
возможность задания размера MTU вручную	да, на WAN
Беспроводной сегмент
антенна	количество	2
	тип	две внешних дипольных
	возможность замены антенны/тип коннектора	нет
	принудительное задание номера рабочей антенны	нет
поддерживаемые стандарты и скорости	802.11b	CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
	802.11g	OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
	Регион/Кол-во каналов	???/13
	расширения протокола 802.11g	нет
	возможность ручного задания скорости	нет
выходная мощность	усредненная	18dBm @802.11g 16dBm @802.11b
	802.11b @11Mbit/s	??
	802.11g @54Mbit/s	??
чувствительность приемника	802.11b @11Mbit/s	-82dBm (1, 2, 5.5 Mbps: -85 dBm)
	802.11g @54Mbit/s	-66dBm (6, 12, 18, 24, 36, 48 Mbps: -85 dBm)
работа с другой AP	поддержка WDS (мост)	да
	поддержка WDS + AP	??
	возможность работы в режиме клиента	нет
	wireless repeater (повторитель)	нет
безопасность	блокировка широковещательного SSID	да
	привязка к MAC адресам	да
	WEP шифрование	64/128bit
	WPA шифрование	TKIP only
	WPA-PSK (pre-shared key)	TKIP only
	802.1x (через Radius)	EAP-TLS	да
		PEAP	да
	дополнительные возможности с использованием Radius	нет
основные возможности
конфигурирование устройства и настройка клиентов	администрирование	WEB-интерфейс	да
		WEB-интерфейс через SSL	нет
		собственная утилита	нет
		telnet	нет
		ssh	нет
		COM-порт	нет
		SNMP	да
	возможность сохранения и загрузки конфигурации	да
	встроенный DHCP сервер	да
	поддержка UPnP	да
метод организации доступа в Интернет	Network Address Translation (NAT-технология)	да
	возможности NAT	one-to-many NAT (стандартный)	да
		one-to-one NAT	нет
		возможность отключения NAT (работа в режиме роутера)	да
Встроенные VPN-сервера	IPSec	нет
	PPTP	да
	L2TP	нет
VPN pass through	IPSec	да
	PPTP	нет
	PPPoE	нет
	L2TP	нет
Traffic shaping (ограничение трафика)	нет
DNS	встроенный DNS-сервер (dns-relay)	да
	поддержка динамического DNS	да, 2 заранее предопределенных сервера (DynDNS, TZO)
внутренние часы	присутствуют
	синхронизация часов	по NTP, но выбор сервера только из предопределенного списка
встроенные утилиты	ICMP ping	нет
	traceroute	нет
	resolving	нет
логирование событий	да, системные события
	логирование исполнения правил файрвола	???
	способы хранения	внутри устройства	да
		на внешнем Syslog сервере	нет
		отправка на email	нет
SNMP	поддержка SNMP Read	да
	поддержка SNMP Write	да
	поддержка SNMP Traps	да
Роутинг
статический (задания записей вручную)	на WAN интерфейсе	да
	на LAN интерфейсе	??
динамический роутинг	на WAN интерфейсе	возможность отключения	да
		RIPv1	да
		RIPv2	да
	на LAN интерфейсе	возможность отключения	да
		RIPv1	да
		RIPv2	да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)	да, но без возможности использования в правилах
наличие фильтров/файрвола	на LAN-WAN сегменте	да, без указания направления
	на WLAN-WAN сегменте	да, совмещен с LAN-WAN
	на LAN-WLAN сегменте	нет
типы фильтров	с учетом SPI	нет
	по MAC адресу	нет (можно лишь определить общий список валидных MAC, которые не будут блокироваться)
	по source IP адресу	да
	по destination IP адресу	нет
	по протоколу	да, TCP/UDP
	по source порту	нет
	по destionation порту	да
	привязка ко времени	да
	по URL-у	да
	по домену	да(совмещен с URL)
	работа со службами списков URL для блокировки	нет
тип действия	allow	нет
	deny	да
	log	нет
поддержка спец.приложений (netmeeting, quicktime, etc)	да
виртуальные сервера	возможность создания	да
	задания различных public/private портов для виртуального сервера	да
	возможность задания DMZ	да
питание
тип БП	внешний, 12V
поддержка 802.1af (PoE)	нет
дополнительная информация
версия прошивки	1.06 от 12/11/2004
размеры	220 x 133 x 38 mm

Обзор настроек точки доступа.

Управление роутером осуществляется через веб-интерфейс, выполненный в традиционной для 3Com гамме и привычным для них расположением элементов меню.

Как обычно, интерфейс содержит в себе встроенную систему помощи, в которой довольно подробно рассказывается о любом пункте настроек.

Скриншоты веб-интерфейса:

Что можно отметить, глядя на возможности интерфейса управления? В первую очередь, печалит отсутствие поддержки AES-шифрования в WPA. Но это ладно, TKIP вполне справится со своими задачами. А вот довольно бедные возможности по манипулированию правилами файрвола действительно огорчают.

Да, в правилах есть возможность учета времени суток (что умеют далеко не все маршрутизаторы). Но зато возможности по заданию самого правила очень ограничены. Во-первых, можно фильтровать только по исходящему из LAN IP-адресу, то есть, основываясь на адресе клиентской машины. Во вторых - в правиле можно учитывать только порт назначения (протоколов tcp/udp). И в принципе, больше ничего. Правда, еще есть возможность контекстной фильтрации веб-трафика по url/ключевым словам. Но это уже не совсем файрвол.

В общем, на мой взгляд, возможности файрвола несколько бедны. Особенно на фоне поддержки SNMP, протоколов динамической маршрутизации, возможности отключения NAT и т.д. (то есть устройство позиционируется далеко не как примитивный NAT-роутер).

Тестирование производительности

Как уже было сказано выше, производительность самого роутера не тестировалась, по причине невозможности подключения к WAN порту устройства (из-за отсутствия у нас в лаборатории необходимого оборудования). По этой же причине не был выполнен тест на сканирование безопасности WAN порта.

Были протестированы лишь беспроводные возможности устройства, то есть встроенная в него 802.11g точка доступа.

В тестировании принимали участие: рассматриваемое устройство, беспроводная карта 3Com OfficeConnect Wireless 108Mbps 11g XJACK (о ней читайте в этой статье). А в тестах, где использовались два беспроводных адаптера, принимала участие карта Gigabyte GN-WPKG, которая тоже рассматривалась нами ранее.

Все тесты проводились с помощью NetIQ Chariot. Расстояние между точками не превышало пяти метров (между адаптером и точкой доступа - одна гипсокартонная стена).

Тестирование проходит в 3 этапа:

Тест LAN - WLAN - один адаптер
Тест LAN - WLAN - два адаптера
Тест WLAN - WLAN - два адаптера

Тест LAN - WLAN один адаптер - тест точки доступа: трафик передавался между компьютером с беспроводным сетевым адаптером и компьютером локального (LAN) сегмента. Скорость соединения выставлялась в режим Auto для 802.11b и 802.11g.

Сокращения:

LAN - проводной сегмент
WIRELESS - беспроводной сегмент
fdx - генерация трафика в обоих направлениях

Результаты теста для 802.11b режима:

Хорошая скорость для 802.11b.

Результаты теста для 802.11g режима:

Чуть меньше, чем могло бы быть (в этом режиме скорость может достигать 24-25 Мбит), но, в общем, - нормально.

Тест LAN - WLAN 2 карточки - тест точки доступа.

Трафик передается между компьютером в LAN-сегменте и двумя беспроводными адаптерами (сначала оба адаптера передавали трафик в одну сторону, потом оба в другую, а потом оба в обе стороны). Скорость соединения выставлялась в режим Auto mode для 802.11b и 802.11g.

Сокращения:

AP - точка доступа роутера
Cards - сетевые карты
fdx - генерация трафика в обоих направлениях

Результаты теста в .11b режиме:

Аналогично, к работе маршрутизатора в режиме 802.11b вопросов нет.

Результаты теста в .11g режиме:

Опять же, скорость немного не дотягивает до максимальной, но в целом - хорошая.

Тест WLAN - WLAN режим Infrastructure - трафик передается между беспроводными сетевыми адаптерами через точку доступа (режим Infrastructure). Скорость соединения устанавливается в Auto mode. Тест проводился для двух режимов: 802.11b; 802.11g.

Сокращения:

3Com - сетевой адаптер OfficeConnect Wireless 108Mbps 11g XJACK PC Card
Gigabyte - сетевой адаптер Gigabyte GN-WPKG
fdx - генерация трафика в обоих направлениях (full duplex)

Результаты теста для .11b режима:

802.11b функционирует замечательно.

Результаты теста для .11g режима:

В 802.11g тоже наблюдаются хорошие показатели скорости.

Доступность

На момент написания статьи, цена рассматриваемого маршрутизатора составляла около 130$. На мой взгляд - очень неплохо для такого "комбайна".

Средняя розничная цена на рассматриваемые в статье устройства на последний момент:

3Com OfficeConnect ADSL Wireless 11g Firewall Router

Н/Д(0)

Выводы

Все устройства-комбайны такого класса, на мой взгляд, чрезвычайно удобны для пользователей, так как им не нужно содержать целый "зоопарк" устройств, каждое из которых предназначено лишь для одной определенной задачи.

Очевидные возможные минусы комбайнов - любой из компонентов, входящий в их состав, более беден по функциям, чем отдельное устройство, предназначенное для той же цели. В нашем случае пострадали возможности файрвола, а точнее отсутствие возможности построения гибких правил фильтрации. Конечно, это может понадобиться далеко не всем. Но тем, кому понадобится, стоит обратить на этот минус особое внимание.

Плюсы:

наличие двух антенн с возможностью их независимой ориентации в пространстве
поддержка режима WDS
возможность отключения NAT (работа в режиме чистого маршрутизатора)
поддержка snmp write/ snmp traps
очень негибкие возможности по заданию правил встроенного файрвола

Минусы:

невозможность ручного задания скорости в беспроводном сегменте
невозможность подключения другой внешней антенны
отсутствие поддержки AES шифрования в беспроводном сегменте
невозможно сохранять логи на внешнем syslog-сервере

Маршрутизатор предоставлен представительством компании «3Com».

Евгений Зайцев (eightn@ixbt.com)
Опубликовано – 12 мая 2005 г.

Комментарии? Поправки? Дополнения? eightn@ixbt.com