ADSL 2/2+ маршрутизатор и IPSEC PPTP и L2TP VPN-сервер со встроенной беспроводной точкой доступа стандарта IEEE 802.11g D-Link DSL-G804V

часть 1: общее описание, настройки, производительность, безопасность, доступность, выводы


В этом обзоре мы рассмотрим возможности ADSL-маршрутизатора D-Link DSL-G804V.

 

Содержание:

 

Функциональные возможности устройства: маршрутизатор ADSL2/2+, беспроводная точка доступа IEEE 802.11g, IPSec, PPTP и L2TP VPN-сервер, 4-портовый коммутатор 10/100.

На устройстве расположены следующие индикаторы (слева направо):

  • Индикатор питания
  • Индикатор статуса
  • Индикатор состояния ADSL-соединения
  • Индикатор активности беспроводного соединения
  • по 2 индикатора активности на каждом из четырех LAN-портов (один — при связи на скорости 10 Мбит/с, второй — на 100 Мбит/с)
  • Индикатор активности PPP-соединения наличия почты

Сзади на устройстве расположены (слева направо):

  • Разъем r-SMA для подключения антенны
  • Порт WAN: RJ-11
  • Порт подключения консоли
  • 4 LAN-порта
  • Кнопка Reset — сброс параметров
  • Разъем питания
  • Клавиша включения-выключения питания

Комплектация устройства:

  • сам роутер
  • всенаправленная антенна 2 dBi
  • диск с инструкцией на английском языке
  • 2-хметровый патчкорд RJ-45
  • 2-хметровых патчкорда RJ-11
  • Консольный провод для подключения к COM-порту (длина провода чуть менее двух метров)
  • Адаптер питания (длина провода чуть менее двух метров)

Вид изнутри:

Беспроводная связь выполнена в виде отдельной MiniPCI-плате на базе контроллера INPROCOMM IPN2220, но на момент написания обзора, сайт компании был недоступен. Трансивер устройства скрыт под экраном, поэтому выяснить его модель не удалось.

Коммутатор устройства выполнен на базе микросхемы IC+ IP175C (5-типортовый коммутатор с автоопределением на портах).

На плате установлено 16 Мбайт SDRAM-памяти (HYNIX HY57V283220T-7).

Некоторые микросхемы скрыты под платой беспроводной связи, закрепленной на основной плате устройства, поэтому более подробная информация о них отсутствует.

Спецификация:

корпуспластиковый, допускается горизонтальная установка или подвес на стену
исполнениеIndoor
проводной сегмент
WANтипADSL (ITU Annex A)
количество портов1
типы поддерживаемых соединенийPPPoEда
PPPoAда
Bridge modeда
CLIP (IPoA)да
Static IPда
Dynamic IP (DHCP)да
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюда, на WAN-интерфейсе
Беспроводной сегмент
антеннаколичество1
типодна внешняя дипольная, 2 dBi
возможность замены антенны/тип коннектораесть/r-SMA
принудительное задание номера рабочей антенны--
поддерживаемые стандарты и скорости802.11bCCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11gOFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналовEurope/13
расширения протокола 802.11gнет
возможность ручного задания скоростинет
выходная мощность(максимальная?)??
802.11b @11Mbit/s??
802.11g @54Mbit/s??
чувствительность приемника802.11b @11Mbit/s??
802.11g @54Mbit/s??
работа с другой APподдержка WDS (мост)нет
поддержка WDS + APнет
возможность работы в режиме клиентанет
wireless repeater (повторитель)нет
безопасностьблокировка широковещательного SSIDда
привязка к MAC адресамда
WEP64/128bit
WPAнет
WPA-PSK (pre-shared key)да, WPA(TKIP) и WPA2(AES)
802.1x (через Radius)нет
дополнительные возможности с использованием Radiusнет
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLнет
собственная утилитанет
telnetда
sshнет
COM-портда
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)да
Встроенные VPN-сервераIPSecда
PPTPда
L2TPда
VPN pass throughIPSecда
PPTPда
PPPoEнет
L2TPда
Traffic shaping (ограничение трафика)да
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, 11 заранее предопределенных серверов
внутренние часыприсутствуют
синхронизация часовда, через любой указанный NTP-сервер
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда, системные события, файрвол
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog серверенет
отправка на emailнет
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)да
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
на LAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecтипы аутентификацииpre shared keyда
сертификатынет
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда, AES128, AES192, AES256
сервер L2TP (over IPSec)типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDES, 3DES, AES128, AES192, AES256
сервер PPTPда
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда, с указанием направления
на WLAN-WAN сегментеда, совмещен с LAN-WAN
на LAN-WLAN сегментенет
типы фильтровс учетом SPIнет
по MAC адресунет
по source IP адресуда, в том числе по подсети
по destination IP адресуда, в том числе по подсети
по протоколуда, TCP/UDP/
по source портуда, в том числе по диапазону
по destination портуда, в том числе по диапазону
привязка ко временида
по URL-уда
по доменуда
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
logнет
поддержка спец. приложений (netmeeting, quicktime etc)да
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда
traffic shaping
типы шейпинга
ограничение общего исходящего трафикада
ограничение общего входящего трафикада
критерии задания правила для ограничений
src interface lan/wanнет
dst interface lan/wanнет
src ip/rangeда
dst ip/rangeда
протоколany, tcp, udp, icmp, gre
src portда, указывается диапазон
dst portда, указывается диапазон
привязка ко временида
питание
тип БПвнешний, 12VDC, 1A
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивки1.00.02.dm3
размеры180 × 141 × 30 мм
вес332 г.

В спецификации на устройство также сказано, что оно имеет аппаратную поддержку шифрования 3DES.

Конфигурация:

Конфигурация устройства производится через WEB-интерфейс или по протоколу Telnet. Также возможна настройка через консольный порт.

Первоначальную конфигурацию устройства для удобства можно проводить с помощью мастера настройки через WEB-интерфейс. Конфигурация устройства по протоколу Telnet или через консольный порт — более сложная задача, поэтому в этом обзоре она будет рассмотрена только поверхностно.

Полный набор скриншотов устройства приведен здесь.

Полный список параметров SNMP приведен здесь.

Рассматриваемый маршрутизатор позволяет устанавливать до 8 виртуальных (то есть соединений с уникальными значениями пар параметров VPI/VCI) WAN-соединений. При этом на маршрутизаторе уже присутствует одно WAN-соединение, которое невозможно удалить (то есть одно WAN-соединение будет существовать в любом случае).

В настройках беспроводной связи возможно задание только режима (b/g), широковещательного SSID и номера канала. В настройках безопасности беспроводной связи возможен выбор только WEP, WPA-PSK и WPA2-PSK шифрования. Устройство не поддерживает аутентификацию через RADIUS-сервер и, следовательно, использование WPA и WPA2 (не-PSK) шифрования невозможно.

Настройки и возможности VPN-сервера и правил шейпинга трафика IP QoS будут рассмотрены в следующем обзоре, поэтому здесь они рассматриваться не будут.

При настройке виртуальных серверов, правил файрвола и некоторых других сервисов возможно использование расписания. Общее количество правил расписания ограничено 16-ю. При создании правила расписания задается день недели и интервал действия с точностью до 1 минуты.

Рассматриваемый роутер имеет возможность проверять почтовый ящик на наличие новых сообщений по протоколу POP3. В случае наличия новых сообщений, на роутере загорается сигнальная лампочка "PPP/Mail".

При включении возможности удаленного управления (Remote Access), разрешается доступ к WEB-интерфейсу и консольному интерфейсу устройства. Это достигается за счет создания 2-х виртуальных серверов, которые перенаправляют запросы, поступившие на WAN-интерфейс роутера, на адрес его интерфейса LAN (в данном случае адрес интерфейса LAN — 10.0.0.215).

Устройство также можно настраивать через консольный интерфейс или по протоколу Telnet. В обоих случаях интерфейс управления полностью идентичен.

Также возможен переход к "старому" консольному режиму ("Old console access"). Это достигается использованием команды "console enable". После этого перехода интерфейс доступа несколько изменяется

Набрав команду "config", мы окажемся в наборе команд секции config

Для возврата в корень консоли служит команда "home"

Для выхода из консольного интерфейса "старого" типа, служит команда "exit".

Список команд и настроек устройства в консольном режиме очень велик, и их описание производиться не будет. С помощью консольных команд можно полностью настроить маршрутизатор без использования WEB-интерфейса.  

Тестирование производительности:

Тестирование беспроводного сегмента:

Для тестирования беспроводного сегмента, использовался беспроводной Cardbus-адаптер D-Link DWL-G650, который рассматривался нами в одном из прошлых обзоров.

Тест "Cardbus-адаптер D-Link DWL-G650 — точка доступа D-Link DSL-G804V" — трафик гонялся между ноутбуком c беспроводным Cardbus-адаптером D-Link DWL-G650 и компьютером LAN-сегмента через точку доступа на ADSL — роутере D-Link DSL-G804V. Тестирование проводилось в двух режимах: IEEE 802.11g и IEEE 802.11b. Скорость соединения устанавливалась автоматически. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Условные обозначения:

  • Cardbus — Cardbus — адаптер D-Link DWL-G650
  • AP — точка доступа на роутере D-Link DSL-G804V
  • fdx — fullduplex — трафик гоняется в обоих направлениях

Максимальная скорость: 23,61 Мбит/с в режиме IEEE 802.11g, 5,98 Мбит/с — в режиме IEEE 802.11b. В обоих режимах скорости достаточно высокие.

Тестирование проводного сегмента — тестирование проводилось по этой методике.

Для тестирования использовался DSLAM D-Link DAS-3224, предоставленный российским представительством компании D-Link.

Тест LAN-WAN

Тестирование проводилось при использовании модуляции сигнала: ADSL (G.dmt), ADSL2 и ADSL2+ в режиме Fast (то есть значение параметра Interleave delay равнялось нулю). Interleave Delay — это время, указанное в миллисекундах, которое влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности. На качественной телефонной линии небольшой длины (как раз как при проведении наших тестов) выгоднее минимизировать задержки.

Максимальная скорость прямого канала: 6,47 Мбит/с — в режиме ADSL G.DMT, 8,21 Мбит/с — в режиме ADSL2, и 14,37 Мбит/с — в ADSL2+ режиме. В режиме G.DMT и ADSL2 наблюдаются вполне нормальные скорости. В режиме ADSL2+ — очень низкая скорость. Обычно в этом режиме удается достичь скорости более чем в 17 Мбит/с.

Теперь посмотрим, как поведет себя трафик при уменьшении размера пакетов



При уменьшении размеров пакетов, скорости в значительной мере снижается. Однако скорости при уменьшении размера пакетов, оказались достаточно высокими (по сравнению с аналогичными скоростями других ADSL-маршрутизаторов). 

Безопасность:

Во время тестирование были включены оба вида удаленного управления (WEB и Telnet)

Результаты Nessus'а:

Nessus не рекомендует использовать протокол Telnet, так как при его использовании данные (в том числе пароли) передаются в незашифрованном виде. В остальном, безопасность устройства находится на высоком уровне.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : $153(5)

Выводы:

Рассматриваемое устройство обладает действительно впечатляющим набором возможностей. С точки зрения безопасности, не рекомендуется использовать для доступа к консольному интерфейсу протокол Telnet, в остальном — безопасность устройства на высоком уровне. Устройство обладает достаточно высокой производительностью беспроводной связи. Производительность проводного сегмента в режимах ADSL и ADSL2 показывает нормальные результаты, но в режиме ADSL2+ — скорость сравнительно низкая.

Для организации безопасности беспроводной связи используется WEP, WPA-PSK или WPA2-PSK — шифрование. Использование WPA-шифрования с аутентификацией через RADIUS-сервер не предусмотрено.

Устройство также имеет аппаратный ускоритель 3DES-шифрования, но результат его работы можно будет увидеть только в следующем обзоре, где будет тестироваться VPN-сервер устройства.

Плюсы:

  • Высокая безопасность устройства
  • Наличие в устройстве трех VPN-серверов (IPSec, PPTP, L2TP)
  • Возможность шейпинга трафика
  • Аппаратное ускорение 3DES-шифрования
  • Поддержка WPA2-PSK шифрования
  • Возможность использования до восьми одновременных ATM-соединений

Минусы:

  • Возможность использования WPA и WPA2 шифрования только с аутентификацией по предварительному ключу (аутентификация с использованием RADIUS-сервера не предусмотрено)
  • Сравнительно низкая производительность проводного сегмента при использовании модуляции ADSL2+
  • Отсутствие сплиттера в комплекте с устройством
  • Невозможность использования отдельного Syslog-сервера для хранения логов

 

Оборудование предоставлено российским представительством компании D-Link
DSLAM предоставлен российским представительством компании D-Link

 




24 апреля 2006 Г.