В прошлом обзоре мы рассмотрели возможности и настройки интернет-центра ZyXEL P-660HTW. В данном обзоре мы проведем тестирование производительности, безопасности и шейпинга трафика и оценим полученные результаты.
Тестирование производительности
Тестирование беспроводного сегмента
Для проведения тестов беспроводного сегмента был использован беспроводной Cardbus-адаптер ZyXEL G-162, который уже рассматривался нами в одном из прошлых обзоров.
Были проведены следующие тесты:
- Тест "Беспроводной Cardbus-адаптер — точка доступа на интернет-центре ZyXEL P-660HTW"
Условные обозначения:
- Cardbus — беспроводной Cardbus-адаптер ZyXEL P-660HTW
- AP — беспроводная точка доступа, расположенная на интернет-центре ZyXEL P-660HTW (генератором трафика при этом служит компьютер, расположенный в LAN-сегменте маршрутизатора)
- fdx — fullduplex mode — режим полного дуплекса, трафик одновременно гоняется в обоих направлениях
Тест "Беспроводной Cardbus-адаптер — точка доступа на интернет-центре ZyXEL P-660HTW" — трафик гоняется между беспроводным Cardbus-адаптером ZyXEL G-162 и компьютером, находящимся в LAN-сегменте точки доступа на интернет-центре ZyXEL P-660HTW. Расстояние между беспроводным адаптером и точкой доступа не превышает 5-ти метров.
Максимальная скорость: 23,23 Мбит/с — хороший показатель для IEEE 802.11g режима. В полнодуплексном режиме скорости в различных направлениях различаются более чем в 2 раза, график распределения скоростей при этом выглядит следующим образом
Как видно из графика, скорость трафика во время проведения теста варьируется в широких пределах.
Тестирование проводного сегмента
Для тестирования ADSL-соединения использовался DSLAM ZyXEL IES-1248, предоставленный нам российским представительством компании ZyXEL.
Тестирование проводилось по этой методике при использовании модуляции сигнала: ADSL (G.dmt), ADSL2 и ADSL2+ в режиме Fast (то есть значение параметра Interleave delay равнялось нулю). Interleave Delay (значение этого параметра устанавливается на DSLAM'е) — это время, указанное в миллисекундах, которое влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon — это оправдывает себя при низком качестве телефонной линии и ее большой протяженности. На качественной телефонной линии небольшой длины (как раз как при проведении наших тестов) выгоднее минимизировать задержки.
Опытным путем было обнаружено, что для тестирования ADSL-оборудования методика тестирования должна быть несколько изменена. В частности, оказалось, что результаты тестирования в значительной мере отличаются при изменении параметров скрипта, используемого в NetIQ Chariot. Размер передаваемого файла был увеличен в 10 раз и теперь составляет 1 000 000 (1 млн. байт) — это гарантирует, что размер большинства передаваемых пакетов будет максимальным. При ранее используемом значении (100 000 байт) получались более низкие результаты. Для наглядности в данном тестировании мы произведем замеры как при старом значении параметра «file size» (100 000 байт), так и при новом (1 000 000). Впоследствии данные изменения будут внесены в методику тестирования маршрутизаторов.
Размер передаваемого блока данных: 100 000 байт
Размер передаваемого блока данных: 1 000 000 байт
Размер пакета: 512 байт
Размер пакета: 64 байт
Максимальные скорости: 6,95 Мбит/с в режиме ADSL g.dmt, 10,28 Мбит/с в режиме ADSL2 и 17,28 — в режиме ADSL2+. Изменение параметра "File size" в скрипте Chariot NetIQ несколько меняет распределение скоростей, а в ряде тестов удается добиться большей пропускной способности (это наиболее заметно в ADSL2+ режиме).
Безопасность:
Тестирование безопасности проводилось при отключенном файрволе и разрешенном удаленном управлении. При этом Nessus нашел только одну критическую уязвимость, которая связана с настройкой SNMP по умолчанию (по умолчанию можно получить доступ к настройкам устройства, используя SNMP Community String «Public»). Для устранения этой уязвимости достаточно настроить параметры SNMP или заблокировать его использование в файрволе. Добавлю, что настройка SNMP осуществляется только через консольный интерфейс настройки устройства — настройка SNMP через WEB-интерфейс отсутствует в данной версии прошивки.
Помимо этого в отчете Nessus'а говорится о ненадежности протокола Telnet — данный протокол передает данные в открытом виде, что позволяет перехватить такие данные как, например, пароль, поэтому рекомендуется его отключить или использовать файрвол для ограничения доступа по протоколу Telnet. Все же не стоит забывать, что для полной настройки устройства придется воспользоваться как WEB-интерфейсом настройки, так и настройкой с использованием протокола Telnet.
Результаты работы программы Nessus приводятся ниже:
Шейпинг трафика
Теперь рассмотрим, как в устройстве реализуется возможность шейпинга трафика.
Главное окно настроек приводится ниже:
Здесь задаются параметры интерфейсов. Правила шейпинга применяются к трафику, исходящему с соответствующих интерфейсов. То есть, задавая параметры шейпинга на LAN-интерфейсе, мы работаем с трафиком, приходящим в сегмент LAN (то есть с входящим трафиком). Для работы шейпинга необходимо задать скорость интерфейса (в кбит/с). Параметр «Max Bandwidth Usage», говорит устройству, чтобы оно использовало всю доступную ширину полосы пропускания канала. Параметр «Scheduler» задает тип распределения трафика между потоками: трафик может распределяться в зависимости от установленных приоритетов либо «по справедливости» — то есть так, чтобы один или несколько каналов с более высоким приоритетом не использовали всю доступную ширину полосы пропускания канала — при этом считается, что все подклассы имеют одинаковый приоритет.
При этом задание ширины полосы пропускания всего лишь информирует устройство о той ширине канала, которое оно может использовать для дочерних классов, а «реальной силы» до задания дочерних классов распределения трафика не имеет. То есть, если мы зададим ширину канала LAN 128 кбит/с, трафик все равно будет идти с максимальной скоростью до тех пор, пока не будут заданы дочерние классы, использующие заданную здесь ширину полосы пропускания.
Далее для каждого интерфейса задаются подклассы, которые распределяют заданную ширину канала.
При задании подклассов, возможно использование следующих параметров
Каждому подклассу задается ширина полосы пропускания, которую он может использовать, приоритет. Также подкласс имеет возможность использовать оставшуюся ширину канала пропускания, если она не используется другими подклассами.
Критериями распределения трафика являются:
- тип сервиса (на уровне приложений): SIP, H.323, FTP
- Подсеть источника пакетов
- Подсеть назначения пакетов
- Порт источника пакетов (для TCP и UDP) — можно задать только 1 порт
- Порт назначения пакетов (для TCP и UDP) — можно задать только 1 порт
- Номер протокола (IP:0, ICMP:1, TCP:6, UDP:17)
Проведем серию тестов, чтобы посмотреть, как работает шейпинг трафика. Основной упор будет делаться на шейпинг LAN (входящего) трафика, так как он позволяет провести тесты при более широком диапазоне скоростей из-за асимметричности линии.
Сразу отмечу, что настройка возможности шейпинга трафика хорошо расписана в документации, которая поставляется на русском языке.
Тест 1: зададим 1 подкласс для всего входящего трафика, и будем менять его ширину полосы пропускания. Посмотрим, насколько точно полученные результаты соответствуют заданным значениям.
| Заданная ширина полосы пропускания, кбит/с | Полученные результаты Chariot NetIQ, кбит/с |
| 128 | 119,962 |
| 256 | 245,426 |
| 512 | 487,586 |
| 1024 | 966,871 |
| 2048 | 1 880,566 |
| 4096 | 3 665,733 |
| 8196 | 4 852,452 |
| 10240 | 1 221,454 |
Как видно из таблицы, отклонения реальной скорости трафика от заданной растут с увеличением заданной ширины полосы пропускания. При малых значениях ширины полосы пропускания скорость трафика достаточно точно соответствует заданной, но на скоростях выше 4 Мбит/с отклонения значительно возрастают. Таким образом, мы можем добиться точного шейпинга трафика, только используя подклассы с небольшой шириной полосы пропускания канала.
Тест 2: Посмотрим, как будет вести себя трафик при использовании 2-х и более потоков трафика с различной шириной полосы пропускания канала.
Зададим одному потоку трафика ширину канала 4096 кбит/с, а второму — 2048 кбит/с. Посмотрим на график распределения скоростей.
Как видно из графика, скорости трафика различаются примерно в 2 раза — то есть так, как и было задано в настройках.
Теперь зададим 3 подкласса с шириной канала: 2048, 3072 и 4096 кбит/с. Посмотрим, как распределяются скорости между потоками.
Как видно из графика, между тремя потоками скорость распределяется в зависимости от заданной ширины полосы пропускания канала. Скорости в потоках соответствуют тем, что были получены в первом тесте, где гонялся только один поток трафика.
Тест 3: теперь посмотрим, как работает система приоритетов при распределении между потоками неиспользуемой ширины полосы пропускания. Для этого зададим двум потокам одинаковую ширину полосы пропускания, равную 1024 кбит/с, но различные значения приоритетов. Общая ширина канала установлена в 10240 кбит/с. Параметр «Scheduler» был установлен в значение «Priority-Based».
Как видно из графика, потоки трафика задействуют неиспользованную ширину канала корневого класса, однако назначение различных приоритетов не дало никакого видимого эффекта. Аналогичная ситуация наблюдается и при использовании трех потоков трафика, а также при изменении параметров «Scheduler» и «Max Bandwidth usage» в различных комбинациях. Аналогичная ситуация обстоит и при использовании шейпинга исходящего (WAN) трафика. Остается только надеяться, что этот недочет будет исправлен в последующих версиях прошивки.
Выводы:
По проведенным тестам устройство показало себя в основном с хорошей стороны, однако есть и некоторые недочеты.
PPPoE-клиент интернет-центра позволяет производить подключение к PPPoE-серверу с использованием PAP, CHAP и MS-CHAP-аутентификации. Использование MS-CHAPv2-аутентификации не предусмотрено (по крайней мере, в данной версии прошивки) — ADSL-провайдеры обычно не используют данный тип аутентификации.
Шейпинг трафика позволяет добиться достаточно точного соответствия заданной ширины канала и полученной скорости (на небольших скоростях потока, ~ до 4 Мбит/с), но использование приоритетов для потоков трафика не дало каких-либо видимых результатов.
Тестирование производительности беспроводной связи показало, что в полнодуплексном режиме скорость трафика варьируется в широких пределах, при этом скорости трафика в различных направлениях различаются более чем в 2 раза.
Плюсы:
- Высокая безопасность устройства
- Широкий список критериев для настройки шейпинга трафика
- Достаточно точное соответствие реальной пропускной способности и заданной ширины канала и при небольших значениях последней (до 4-х Мбит/с)
Минусы:
- Не удалось добиться работы шейпинга трафика по приоритетам
Оборудование предоставлено ZyXEL Communication Corporation
