ADSL-роутер и точка доступа Level One WBR-3402A


В статье рассматривается ADSL-роутер Level One WBR-3402A.

Функциональные возможности: ADSL роутер со встроенной точкой доступа стандарта IEEE 802.11g, 4-хпортовый свитч, встроенный принт-сервер (возможно подключение USB-принтера).

На роутере расположены следующие индикаторы (слева направо):

  • индикатор питания
  • индикатор состояния системы
  • индикатор состояния ADSL-соединения
  • индикатор активности ADSL-соединения
  • индикатор активности беспроводного соединения
  • индикаторы активности на каждом из 4-х LAN-портов
  • индикатор состояния USB-принтера

Сзади на роутере расположены (слева направо):

  • кнопка Reset (сброс параметров)
  • разъем питания
  • USB-разъем для подключения принтера
  • 4 × LAN порта RJ-45 10/100 Мбит/с
  • 1 × WAN порт RJ-11
  • разъем r-SMA для подключения антенны

Устройство поставляется в следующей комплектации:

  • роутер
  • 2-х метровый патчкорд RJ-45
  • 2-х метровый патчкорд RJ-11
  • антенна
  • диск с инструкцией софтом для работы устройства в качестве принт-сервера
  • адаптер питания

Вид изнутри

Устройство собрано на базе RISC-процессора Samsung S3C2510A01 (2 × 10/100 Мбит/с Ethernet контроллера, поддержка шины PCI/PC, поддержка USB 1.1, DES (и 3DES шифрования).

Беспроводная часть выполнена в виде отдельной mini-PCI платы, расположенной на основной плате устройства, на базе контроллера Texas Instruments TNETW1130. Трансивер, на базе которого выполнена радиочастотная часть роутера, скрыт под экраном, закрепленном на mini-PCI плате.

Коммутатор устройства выполнен на базе микросхемы ICPlus IP175A (5-ти портовый свитч 10/100, поддерживающий пакеты длиной до 1536 байт в случае использования VLAN).

На плате установлено 16 Мбайт SDRAM памяти (G-Link GLT5160L16), 8Мбайт SDRAM-памяти GLT5640L16, а также 2 Мбайта Flash-памяти AMD AM29LV160.

На остальные микросхемы документации, к сожалению, найти не удалось.

Коротко о технологии ADSL

ADSL расшифровывается как Asymmetric Digital Subscriber Line (Ассиметричная цифровая абонентская линия). Данная технология использует действующие медные телефонные линии для высокоскоростной передачи цифровых данных. ADSL значительно увеличивает пропускную способность медной телефонной линии, не создавая помех обычным телефонным сервисам. ADSL обеспечивает скорость до 8 Мбит/с для прямого канала (скачивание из Интернет, WAN -> LAN) и до 1 Мбит/с — для обратного канала (LAN -> WAN) в зависимости от качества телефонной линии и типа используемой модуляции.

В последнее время ADSL оборудование в нашей стране набирает популярность в связи с тем, что эта технология оптимально подходит для предоставления услуг массового широкополосного доступа, общим ростом популярности Интернета и снижением цен на услуги постоянного подключения к сети.

Связь между ADSL-модемом и DSLSM'ом провайдера осуществляется с использованием технологии асинхронной передачи данных (ATM). От провайдера к DSLAM'у сигнал может идти по ATM, Ethernet или какой-либо другой технологии (в нашем случае сигнал к DSLAM'у идет по Ethernet).

Более подробную информацию о технологии ADSL можно найти в статье посвященной данной технологии (www.ixbt.com/comm/adsl.html).

Коротко о технологии ATM

ATM — это метод передачи информации между устройствами в сети маленькими пакетами постоянной длины, называемыми ячейками. Длина каждой ячейки составляет 53 байта (5 байт заголовок и 48 байт — данные). Использование ячеек малой длины позволяет максимально сократить задержки, которые обычно возникают при передаче больших пакетов. Использование постоянной длины ячеек также позволяет получать примерно постоянные задержки при передаче, а это, в свою очередь, позволяет эмулировать устройства с фиксированной скоростью передачи. Внедрение технологии ATM требует достаточно больших финансовых затрат, которые на текущий момент никак не могут сравниваться с затратами на внедрение того же Ethernet.

Технология ATM имеет поддержку приоритезации ячеек, тем самым обеспечивая необходимое качество обслуживания QoS — Quality of Service. Разным приложениям требуется различный уровень качество обслуживания, а технология QoS и ATM позволяет обеспечивать этот уровень.

Поскольку приходящие из разных источников ячейки могут содержать голосовые, видео данные — необходимо обеспечить контроль для передачи всех типов трафика. Для решения этой задачи используется концепция виртуальных каналов. Виртуальный канал — набор сетевых ресурсов, выглядящих как реальное соединение между пользователями. В заголовке ячеек ATM виртуальный канал обозначается комбинацией двух полей: VPI (идентификатор виртуального пути) и VCI (идентификатор виртуального канала). Данные параметры указываются в параметрах устанавливаемого соединения. 

Спецификации устройства:

корпусметаллический, допускается горизонтальная установка или монтаж на стену
исполнениеIndoor
проводной сегмент
WANтипADSL (ITU Annex A)
количество портов1
типы поддерживаемых соединенийPPPoEда
PPPoAда
Bridge modeда
PPTPда
Dynamic IP in 1483 Bridge Modeда
Fixed IP in 1483 Bridge Modeда
CLIP (IPoA)да
Static IPда
Dynamic IP (DHCP)да
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюнет
Беспроводной сегмент
антеннаколичество1
типодна внешняя дипольная, ?? dBi
возможность замены антенны/тип коннектораесть/r-SMA
принудительное задание номера рабочей антенны-
поддерживаемые стандарты и скорости802.11bCCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11gOFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов??/13
расширения протокола 802.11gнет
возможность ручного задания скоростинет
выходная мощность(максимальная?)??
802.11b @11Mbit/s??
802.11g @54Mbit/s??
чувствительность приемника802.11b @11Mbit/s??
802.11g @54Mbit/s??
работа с другой APподдержка WDS (мост)да
поддержка WDS + AP??
возможность работы в режиме клиентанет
wireless repeater (повторитель)нет
безопасностьблокировка широковещательного SSIDда
привязка к MAC адресамда
WEP64/128/256 bit
WPAчерез Radius — сервер
WPA-PSK (pre-shared key)да
802.1x (через Radius)EAP-TLSда
PEAPда
дополнительные возможности с использованием Radiusнет
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLнет
собственная утилитанет
telnetнет
sshнет
COM-портнет
SNMPда
возможность сохранения и загрузки конфигурациида, загрузка производится через пункт "Firmware Upgrade"
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда (возможно сопоставить дополнительно 5 IP-адресов на WAN-интерфейсе 5-ти внутренним)
возможность отключения NAT (работа в режиме роутера)да
Встроенные VPN-сервераIPSecда
PPTPнет
L2TPнет
VPN pass throughIPSecда
PPTPда
PPPoEнет
L2TPда
Traffic shaping (ограничение трафика)нет
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, 4 заранее предопределенных сервера
внутренние часыприсутствуют, возможно ручное задание времени
синхронизация часовда, 7 серверов синхронизации на выбор
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда, системные события, файрвол
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)на WAN интерфейседа
на LAN интерфейседа
динамический роутингвозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecвиды туннелейGateway--Gatewayда
remote user accessда
типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хэшированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESнет
добавление записей в таблицу роутинга IPSec туннелянет
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда, с указанием направления
на WLAN-WAN сегментеда, совмещен с LAN-WAN
на LAN-WLAN сегментенет
типы фильтровс учетом SPIнет
по MAC адресунет
по source IP адресуда, в том числе по диапазону
по destination IP адресуда, в том числе по диапазону
по протоколунет
по source портуда, в том числе по диапазону
по destination портуда, в том числе по диапазону
привязка ко временида
по URL-уда
по доменуда
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
logда
поддержка спец. приложений (netmeeting, quicktime, etc)да
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверанет
возможность задания DMZда
питание
тип БПвнешний, 5VDC, 2.5A
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивкиR1.01f4aTIG-1
дополнительные портыUSB
встроенный print-serverда, usb принтеры
размеры?? мм
вес?? г

Конфигурирование

Изменение конфигурации устройства осуществляется через WEB-интерфейс, скриншоты которого приведены ниже:

  

DHCP-сервер устройства позволяет задать 32 статические записи. Роутер позволяет дополнительно создать 5 виртуальных компьютеров (то есть задать еще 5 адресов на интерфейсе WAN) и 12 виртуальных серверов.

Правила фильтрации задаются отдельно для входящего и исходящего трафика. Всего можно задать 8 правил фильтрации для входящего и 8 — для исходящего трафика. Каждому правилу можно сопоставить правило планировщика.

VPN-сервер позволяет создавать до 40 IPSEC-соединений, но из соображений производительности не рекомендуется одновременное использование более 5-ти. Роутер позволяет задать различные параметры для каждого этапа установления IPSEC VPN-соединения.

Восстановление сохраненной конфигурации производится через пункт "Firmware Upgrade". Вместо файла с прошивкой выбирается файл с сохраненной конфигурацией.

Тестирование производительности

Тестирование беспроводного сегмента

В нашей тестовой лаборатории начаты работы по созданию методики тестирования беспроводных точек доступа для возможности сравнения точек доступа между собой. Для этого организуются тесты на дальность связи. Проверяется пропускная способность при различной удаленности адаптера от точки доступа — при этом, естественно, используется ноутбук с Cardbus-адаптером, никакие PCI-адаптеры проверить таким образом не представляется возможным. Базовые расстояния берутся с интервалом 10 метров. Несмотря на то, что тестирование проходило внутри здания на максимально возможном расстоянии (~60 метров — длина коридора здания) разница в скорости на различных дистанциях не была особо заметной, поэтому было принято решение о том, что между точкой доступа и Cardbus-адаптером должно быть препятствие. Точка доступа устанавливалась внутри офиса в метре от двери, а в коридоре ставился ноутбук на расстоянии 10, 20, 30 и 40 метров от двери, после чего проводилось тестирование. Для большей объективности результатов точки доступа должны помещаться в одинаковые условия. Методика тестирования точек доступа находится в стадии разработки, поэтому в дальнейшем условия тестирования могут меняться, но для наглядности текущие результаты будут освещаться в выпускаемых обзорах.

Тестирование проводилось в 2 этапа:

  • Тест "Точка доступа — Cardbus адаптер"
  • Тест "Точка доступа — Cardbus адаптер, различная дистанция"

Для тестирования беспроводной связи использовался беспроводной Cardbus адаптер D-Link DWL G-650 — он уже рассматривался нами в одном из предыдущих обзоров.

Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента и ноутбуком с беспроводным сетевым Cardbus-адаптером D-Link DWL G-650 через точку доступа Level One WBR-3402A. Скорость соединения устанавливалась автоматически для режимов IEEE 802.11b и IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Сокращения:

  • Cardbus — беспроводной Cardbus-адаптер D-Link DWL G-650
  • AP — точка доступа роутера Level One WBR-3402A
  • fdx — генерация трафика в обоих направлениях

Максимальная скорость: 20.02 Мбит/с в режиме IEEE 802.11g и 5.14 Мбит/с — в режиме IEEE 802.11b. В режиме IEEE 802.11g скорость трафика от точки доступа к адаптеру очень низкая: 8.74 Мбит/с, это значительно ниже скорости трафика в обратном направлении.

Тест "Точка доступа — Cardbus адаптер, различная дистанция" — трафик гонялся между беспроводным сетевым адаптером D-Link DWL G-650 и компьютером локального (LAN) сегмента через точку доступа Level One WBR-3402A. Скорость соединения устанавливается автоматически для режимов IEEE 802.11b и IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками менялось и составляло сначала 10 метров, затем 20, 30 и 40 метров, трафик генерировался в обоих направлениях (full duplex).

На участке от 10 до 30 метров скорость трафика сильно снижается, а на участке 30 — 40 метров — слегка возрастает, что является аномальным поведением.

Тестирование проводного сегмента

Тестирование проводного сегмента проводилось в режиме маршрутизатора (NAT включен).

Для тестирования ADSL соединения применялся ADSL IP DSLAM D-Link DAS-3216, предоставленный нам российским представительством компании D-Link.


Настройки DSLAM'а позволяют задавать время задержки передачи данных (interleave delay). Это время, указанное в миллисекундах, влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности, на качественной телефонной линии небольшой длины выгоднее минимизировать задержки.

Значения Interleave delay устанавливаются отдельно для прямого и обратного каналов. Для того чтобы увидеть как это изменение отражается на задержках связи достаточно воспользоваться утилитой Ping. При установке задержек на прямом и обратном каналах в 0 мс, Ping показывает время приема-передачи порядка 7~8 мс. При увеличении значений Interleave delay время приема-передачи увеличивается.

Так как длина нашей ADSL-линии составляет всего порядка двух метров — мы можем ограничиться нулевым временем задержки. Но для интереса были проведены тесты для стандартного значения времени задержки (стандартное значение — 16 мс). Это сделано для предварительной оценки влияния времени задержки на скорость при высоком качестве линии связи. 

Тест LAN-WAN - тестирование проводилось по этой методике

При установке времени задержки в 0 мс пропускная способность прямого канала сильно возрастает.

Уменьшение времени задержки сильно сказывается на скорости при передаче маленьких пакетов (512 байт, 64 байта). При максимальном размере пакетов — изменение времени задержки сказывается не столь значительно.

Разберемся, почему полученные нами скорости проводного сегмента весьма ниже заявленных (8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного). Необходимо учитывать существование двух параметров:

  • throughput — общая пропускная способность канала — сколько может через себя пропустить ADSL канал (в нашем случае это как раз 8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного)
  • goodput — полезная пропускная способность канала — какую величину полезных данных может пропустить через себя канал — эта величина всегда меньше throughput

При уменьшении размера пакетов скорость передачи значительно уменьшается. Уменьшение скорости происходит, так как увеличиваются накладные расходы на передачу данных. Например, если данные передаются пакетами по 64 байта, то каждый пакет для передачи через ATM-соединение разбивается на 2 ячейки по 53 байта (48 байт — данные и 5 байт — заголовок) — таким образом, объем передаваемого трафика возрастает почти в 2 раза. С уменьшением размера пакета также уменьшается размер полезных данных в нем, в то время как размер "накладных расходов" для каждого пакета остается неизменным. Таким образом, при одном и том же throughput значение goodput может меняться в десятки раз в зависимости от размера используемых пакетов — сильнее всего это проявляется при использовании пакетов малой длины.

Таким образом, получая от провайдера канал, шириной 8 Мбит/с — пользователь реально сможет "разогнать" его только на 6 — 7 Мбит/с и только в том случае, если большая часть пакетов будет иметь максимальную длину (например, закачка крупных файлов). Такая же ситуация и с обратным каналом.

Падение скорости при использовании полнодуплексного режима, возможно, связано с некоторыми аспектами работы протокола TCP. TCP — протокол с гарантированной доставкой — он требует подтверждение о доставке каждого отправленного пакета. При учете маленькой ширины обратного канала и его полной загруженности эти подтверждения могут теряться, а при потере подтверждения пакет отправляется заново — следовательно "полезная скорость", которую мы как раз и замеряем, падает, так как одни и те же данные передаются повторно. Вдобавок, протокол TCP при возрастании потерь уменьшает скорость передачи данных. Таким образом, падение скорости прямого канала в полном дуплексе, возможно, связано с аспектами работы протокола TCP при малой ширине обратного канала. 

Тестирование производительности VPN-соединений

Рассматриваемый роутер позволяет устанавливать до 40 IPSEC VPN соединений. Возможно использование алгоритмов шифрования DES и 3DES (алгоритм AES, к сожалению, не поддерживается). Алгоритм DES уже считается недостаточно криптостойким, поэтому тестирование производительности проводилось с использованием алгоритма 3DES (алгоритм DES, примененный 3 раза подряд).

Для тестирования применялись стендовые компьютеры под управлением Gentoo Linux 2.6.11. Задержки Interleave delay устанавливались в 0мс, так как именно при нулевых задержках мы можем достигнуть максимальной производительности.

Параметры туннеля:

  • Тип: IPSEC
  • Хеш-алгоритм: SHA1
  • Обмен ключами: IKE

Сокращения:

  • Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11
  • WBR-3402A — рассматриваемый нами роутер Level One WBR-3402A

Производительность IPSEC, 1 туннель, 3DES шифрование

Скорость трафика сильно снижается по сравнению с результатами LAN-WAN тестов — видимо процессор устройства не позволяет развить более высокую скорость шифрования.

Теперь посмотрим, как ведет себя IPSEC VPN-сервер при увеличении количества соединений.

Производительность IPSEC, 2 туннеля, 3DES шифрование

Производительность IPSEC, 3 туннеля, 3DES шифрование

В режиме half-duplex

В режиме full-duplex

При использовании двух VPN туннелей значительного падения скорости не наблюдается, но при включении трех туннелей — суммарная скорость прямого канала начинает снижаться.

Поэтапное включение туннелей при 3DES шифровании

Далее было проведено несколько тестов, в которых генерирование трафика в трех туннелях запускалось не одновременно, а с задержкой в 30 секунд. Сначала трафик запускается в одном туннеле, 30 секунд спустя — во втором, еще 30 секунд спустя — в третьем. Так как время задержки не влияет на поведение графиков при включении генерации трафика в туннелях — тесты проводились при задержке Interleave delay = 0 мс для достижения максимальной производительности.

Последовательность запуска трафика:

  • 1-й туннель, передача WBR-3402A -> Gentoo
  • 2-й туннель, передача WBR-3402A -> Gentoo
  • 3-й туннель, передача WBR-3402A -> Gentoo

Последовательность запуска трафика:

  • 1-й туннель, передача Gentoo -> WBR-3402A
  • 2-й туннель, передача Gentoo -> WBR-3402A
  • 3-й туннель, передача Gentoo -> WBR-3402A

Последовательность запуска трафика:

  • 1-й туннель, передача fdx Gentoo && WBR-3402A
  • 2-й туннель, передача fdx Gentoo && WBR-3402A
  • 3-й туннель, передача fdx Gentoo && WBR-3402A

Как показывают тесты, сразу после включения потоков скорость трафика начинает распределяться равномерно между потоками.

Безопасность

Во время тестирования безопасности было включено удаленное управление через WEB и по SNMP.

Результаты Nessus'а:

Nessus находит 3 критические уязвимости:

  • Уязвимость SNMP, связанная с тем, что по умолчанию SNMP отвечает по паролю public для просмотра параметров устройства
  • Обе уязвимости TCP связаны с возможностью перехвата соединения с удаленной машиной

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)

Выводы:

Устройство компании Level One поражает необычностью дизайна — строгие и одновременно стильные формы приятно лицезреть, но это не первое, на что обращает внимание потребитель. На первом месте всегда оказываются такие характеристики устройства, как производительность, надежность, функциональность. В последнее время устройства, выполняющие какую-либо одну роль (например, только маршрутизатор или только точка доступа), затерялись на заднем плане, на рынке SOHO-устройств (Small Office Home Office). Значительно больший интерес представляют многофункциональные устройства, и рассматриваемое в этом обзоре устройство не стало исключением.

Проводная часть устройства показала высокую производительность, а вот производительность VPN-сервера подкачала (немногим более 1 Мбит/с). Что касается беспроводной связи — тут тоже не обошлось без сюрпризов. В одном направлении скорость трафика составляет 20 Мбит/с, что, несомненно, является хорошим показателем, а в другом направлении — всего 8 Мбит/с — причина такого неоднозначного поведения так и осталась тайной.

Также расстроили настройки файрвола. Правила хоть и комплексные (1 правило может обеспечивать фильтрацию по диапазонам IP-адресов и портов), но их количество (8 правил) может оказаться недостаточным для "тонкой" настройки. 

Плюсы:

  • Стильный внешний вид, металлический корпус
  • Возможность задания различных параметров на каждом этапе установки IPSEC VPN-соединения
  • Наличие встроенного принт-сервера
  • Встроенная справочная система

Минусы:

  • Нельзя задать скорость беспроводного сегмента
  • Нет возможности задать различные public/private порты при создании виртуальных серверов
  • Низкая производительность VPN-сервера
  • Малое количество правил файрвола (8 правил для входящего трафика и 8 — для исходящего)

 

Оборудование предоставлено компанией Свега компьютер

DSLAM предоставлен российским представительством компании D-Link

 

 




5 октября 2005 Г.