В статье рассматривается ADSL-роутер Level One WBR-3402A.
Функциональные возможности: ADSL роутер со встроенной точкой доступа стандарта IEEE 802.11g, 4-хпортовый свитч, встроенный принт-сервер (возможно подключение USB-принтера).
На роутере расположены следующие индикаторы (слева направо):
- индикатор питания
- индикатор состояния системы
- индикатор состояния ADSL-соединения
- индикатор активности ADSL-соединения
- индикатор активности беспроводного соединения
- индикаторы активности на каждом из 4-х LAN-портов
- индикатор состояния USB-принтера
Сзади на роутере расположены (слева направо):
- кнопка Reset (сброс параметров)
- разъем питания
- USB-разъем для подключения принтера
- 4 × LAN порта RJ-45 10/100 Мбит/с
- 1 × WAN порт RJ-11
- разъем r-SMA для подключения антенны
Устройство поставляется в следующей комплектации:
- роутер
- 2-х метровый патчкорд RJ-45
- 2-х метровый патчкорд RJ-11
- антенна
- диск с инструкцией софтом для работы устройства в качестве принт-сервера
- адаптер питания
Вид изнутри
Устройство собрано на базе RISC-процессора Samsung S3C2510A01 (2 × 10/100 Мбит/с Ethernet контроллера, поддержка шины PCI/PC, поддержка USB 1.1, DES (и 3DES шифрования).
Беспроводная часть выполнена в виде отдельной mini-PCI платы, расположенной на основной плате устройства, на базе контроллера Texas Instruments TNETW1130. Трансивер, на базе которого выполнена радиочастотная часть роутера, скрыт под экраном, закрепленном на mini-PCI плате.
Коммутатор устройства выполнен на базе микросхемы ICPlus IP175A (5-ти портовый свитч 10/100, поддерживающий пакеты длиной до 1536 байт в случае использования VLAN).
На плате установлено 16 Мбайт SDRAM памяти (G-Link GLT5160L16), 8Мбайт SDRAM-памяти GLT5640L16, а также 2 Мбайта Flash-памяти AMD AM29LV160.
На остальные микросхемы документации, к сожалению, найти не удалось.
Коротко о технологии ADSL
ADSL расшифровывается как Asymmetric Digital Subscriber Line (Ассиметричная цифровая абонентская линия). Данная технология использует действующие медные телефонные линии для высокоскоростной передачи цифровых данных. ADSL значительно увеличивает пропускную способность медной телефонной линии, не создавая помех обычным телефонным сервисам. ADSL обеспечивает скорость до 8 Мбит/с для прямого канала (скачивание из Интернет, WAN -> LAN) и до 1 Мбит/с — для обратного канала (LAN -> WAN) в зависимости от качества телефонной линии и типа используемой модуляции.
В последнее время ADSL оборудование в нашей стране набирает популярность в связи с тем, что эта технология оптимально подходит для предоставления услуг массового широкополосного доступа, общим ростом популярности Интернета и снижением цен на услуги постоянного подключения к сети.
Связь между ADSL-модемом и DSLSM'ом провайдера осуществляется с использованием технологии асинхронной передачи данных (ATM). От провайдера к DSLAM'у сигнал может идти по ATM, Ethernet или какой-либо другой технологии (в нашем случае сигнал к DSLAM'у идет по Ethernet).
Более подробную информацию о технологии ADSL можно найти в статье посвященной данной технологии (www.ixbt.com/comm/adsl.html).
Коротко о технологии ATM
ATM — это метод передачи информации между устройствами в сети маленькими пакетами постоянной длины, называемыми ячейками. Длина каждой ячейки составляет 53 байта (5 байт заголовок и 48 байт — данные). Использование ячеек малой длины позволяет максимально сократить задержки, которые обычно возникают при передаче больших пакетов. Использование постоянной длины ячеек также позволяет получать примерно постоянные задержки при передаче, а это, в свою очередь, позволяет эмулировать устройства с фиксированной скоростью передачи. Внедрение технологии ATM требует достаточно больших финансовых затрат, которые на текущий момент никак не могут сравниваться с затратами на внедрение того же Ethernet.
Технология ATM имеет поддержку приоритезации ячеек, тем самым обеспечивая необходимое качество обслуживания QoS — Quality of Service. Разным приложениям требуется различный уровень качество обслуживания, а технология QoS и ATM позволяет обеспечивать этот уровень.
Поскольку приходящие из разных источников ячейки могут содержать голосовые, видео данные — необходимо обеспечить контроль для передачи всех типов трафика. Для решения этой задачи используется концепция виртуальных каналов. Виртуальный канал — набор сетевых ресурсов, выглядящих как реальное соединение между пользователями. В заголовке ячеек ATM виртуальный канал обозначается комбинацией двух полей: VPI (идентификатор виртуального пути) и VCI (идентификатор виртуального канала). Данные параметры указываются в параметрах устанавливаемого соединения.
Спецификации устройства:
| корпус | металлический, допускается горизонтальная установка или монтаж на стену | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | ADSL (ITU Annex A) | ||
| количество портов | 1 | |||
| типы поддерживаемых соединений | PPPoE | да | ||
| PPPoA | да | |||
| Bridge mode | да | |||
| PPTP | да | |||
| Dynamic IP in 1483 Bridge Mode | да | |||
| Fixed IP in 1483 Bridge Mode | да | |||
| CLIP (IPoA) | да | |||
| Static IP | да | |||
| Dynamic IP (DHCP) | да | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | нет | |||
| Беспроводной сегмент | ||||
| антенна | количество | 1 | ||
| тип | одна внешняя дипольная, ?? dBi | |||
| возможность замены антенны/тип коннектора | есть/r-SMA | |||
| принудительное задание номера рабочей антенны | - | |||
| поддерживаемые стандарты и скорости | 802.11b | CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps) | ||
| 802.11g | OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec | |||
| Регион/Кол-во каналов | ??/13 | |||
| расширения протокола 802.11g | нет | |||
| возможность ручного задания скорости | нет | |||
| выходная мощность | (максимальная?) | ?? | ||
| 802.11b @11Mbit/s | ?? | |||
| 802.11g @54Mbit/s | ?? | |||
| чувствительность приемника | 802.11b @11Mbit/s | ?? | ||
| 802.11g @54Mbit/s | ?? | |||
| работа с другой AP | поддержка WDS (мост) | да | ||
| поддержка WDS + AP | ?? | |||
| возможность работы в режиме клиента | нет | |||
| wireless repeater (повторитель) | нет | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | да | |||
| WEP | 64/128/256 bit | |||
| WPA | через Radius — сервер | |||
| WPA-PSK (pre-shared key) | да | |||
| 802.1x (через Radius) | EAP-TLS | да | ||
| PEAP | да | |||
| дополнительные возможности с использованием Radius | нет | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | нет | |||
| собственная утилита | нет | |||
| telnet | нет | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | да | |||
| возможность сохранения и загрузки конфигурации | да, загрузка производится через пункт "Firmware Upgrade" | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | да (возможно сопоставить дополнительно 5 IP-адресов на WAN-интерфейсе 5-ти внутренним) | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| Встроенные VPN-сервера | IPSec | да | ||
| PPTP | нет | |||
| L2TP | нет | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | нет | |||
| L2TP | да | |||
| Traffic shaping (ограничение трафика) | нет | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, 4 заранее предопределенных сервера | |||
| внутренние часы | присутствуют, возможно ручное задание времени | |||
| синхронизация часов | да, 7 серверов синхронизации на выбор | |||
| встроенные утилиты | ICMP ping | нет | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да, системные события, файрвол | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | да | |||
| поддержка SNMP Traps | да | |||
| Роутинг | ||||
| статический (задания записей вручную) | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| динамический роутинг | возможность отключения | да | ||
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности VPN | ||||
| сервер IPSec | виды туннелей | Gateway--Gateway | да | |
| remote user access | да | |||
| типы аутентификации | pre shared key | да | ||
| сертификаты | нет | |||
| алгоритмы хэширования | SHA1 | да | ||
| MD5 | да | |||
| алгоритмы шифрования | DES | да | ||
| 3DES | да | |||
| AES | нет | |||
| добавление записей в таблицу роутинга IPSec туннеля | нет | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
| на WLAN-WAN сегменте | да, совмещен с LAN-WAN | |||
| на LAN-WLAN сегменте | нет | |||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | нет | |||
| по source IP адресу | да, в том числе по диапазону | |||
| по destination IP адресу | да, в том числе по диапазону | |||
| по протоколу | нет | |||
| по source порту | да, в том числе по диапазону | |||
| по destination порту | да, в том числе по диапазону | |||
| привязка ко времени | да | |||
| по URL-у | да | |||
| по домену | да | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | да | ||
| deny | да | |||
| log | да | |||
| поддержка спец. приложений (netmeeting, quicktime, etc) | да | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | нет | |||
| возможность задания DMZ | да | |||
| питание | ||||
| тип БП | внешний, 5VDC, 2.5A | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | R1.01f4aTIG-1 | |||
| дополнительные порты | USB | |||
| встроенный print-server | да, usb принтеры | |||
| размеры | ?? мм | |||
| вес | ?? г | |||
Изменение конфигурации устройства осуществляется через WEB-интерфейс, скриншоты которого приведены ниже:
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 | |||
DHCP-сервер устройства позволяет задать 32 статические записи. Роутер позволяет дополнительно создать 5 виртуальных компьютеров (то есть задать еще 5 адресов на интерфейсе WAN) и 12 виртуальных серверов.
Правила фильтрации задаются отдельно для входящего и исходящего трафика. Всего можно задать 8 правил фильтрации для входящего и 8 — для исходящего трафика. Каждому правилу можно сопоставить правило планировщика.
VPN-сервер позволяет создавать до 40 IPSEC-соединений, но из соображений производительности не рекомендуется одновременное использование более 5-ти. Роутер позволяет задать различные параметры для каждого этапа установления IPSEC VPN-соединения.
Восстановление сохраненной конфигурации производится через пункт "Firmware Upgrade". Вместо файла с прошивкой выбирается файл с сохраненной конфигурацией.
Тестирование производительности
Тестирование беспроводного сегмента
В нашей тестовой лаборатории начаты работы по созданию методики тестирования беспроводных точек доступа для возможности сравнения точек доступа между собой. Для этого организуются тесты на дальность связи. Проверяется пропускная способность при различной удаленности адаптера от точки доступа — при этом, естественно, используется ноутбук с Cardbus-адаптером, никакие PCI-адаптеры проверить таким образом не представляется возможным. Базовые расстояния берутся с интервалом 10 метров. Несмотря на то, что тестирование проходило внутри здания на максимально возможном расстоянии (~60 метров — длина коридора здания) разница в скорости на различных дистанциях не была особо заметной, поэтому было принято решение о том, что между точкой доступа и Cardbus-адаптером должно быть препятствие. Точка доступа устанавливалась внутри офиса в метре от двери, а в коридоре ставился ноутбук на расстоянии 10, 20, 30 и 40 метров от двери, после чего проводилось тестирование. Для большей объективности результатов точки доступа должны помещаться в одинаковые условия. Методика тестирования точек доступа находится в стадии разработки, поэтому в дальнейшем условия тестирования могут меняться, но для наглядности текущие результаты будут освещаться в выпускаемых обзорах.
Тестирование проводилось в 2 этапа:
- Тест "Точка доступа — Cardbus адаптер"
- Тест "Точка доступа — Cardbus адаптер, различная дистанция"
Для тестирования беспроводной связи использовался беспроводной Cardbus адаптер D-Link DWL G-650 — он уже рассматривался нами в одном из предыдущих обзоров.
Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента и ноутбуком с беспроводным сетевым Cardbus-адаптером D-Link DWL G-650 через точку доступа Level One WBR-3402A. Скорость соединения устанавливалась автоматически для режимов IEEE 802.11b и IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.
Сокращения:
- Cardbus — беспроводной Cardbus-адаптер D-Link DWL G-650
- AP — точка доступа роутера Level One WBR-3402A
- fdx — генерация трафика в обоих направлениях
Максимальная скорость: 20.02 Мбит/с в режиме IEEE 802.11g и 5.14 Мбит/с — в режиме IEEE 802.11b. В режиме IEEE 802.11g скорость трафика от точки доступа к адаптеру очень низкая: 8.74 Мбит/с, это значительно ниже скорости трафика в обратном направлении.
Тест "Точка доступа — Cardbus адаптер, различная дистанция" — трафик гонялся между беспроводным сетевым адаптером D-Link DWL G-650 и компьютером локального (LAN) сегмента через точку доступа Level One WBR-3402A. Скорость соединения устанавливается автоматически для режимов IEEE 802.11b и IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками менялось и составляло сначала 10 метров, затем 20, 30 и 40 метров, трафик генерировался в обоих направлениях (full duplex).
На участке от 10 до 30 метров скорость трафика сильно снижается, а на участке 30 — 40 метров — слегка возрастает, что является аномальным поведением.
Тестирование проводного сегмента
Тестирование проводного сегмента проводилось в режиме маршрутизатора (NAT включен).
Для тестирования ADSL соединения применялся ADSL IP DSLAM D-Link DAS-3216, предоставленный нам российским представительством компании D-Link.
Настройки DSLAM'а позволяют задавать время задержки передачи данных (interleave delay). Это время, указанное в миллисекундах, влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности, на качественной телефонной линии небольшой длины выгоднее минимизировать задержки.
Значения Interleave delay устанавливаются отдельно для прямого и обратного каналов. Для того чтобы увидеть как это изменение отражается на задержках связи достаточно воспользоваться утилитой Ping. При установке задержек на прямом и обратном каналах в 0 мс, Ping показывает время приема-передачи порядка 7~8 мс. При увеличении значений Interleave delay время приема-передачи увеличивается.
Так как длина нашей ADSL-линии составляет всего порядка двух метров — мы можем ограничиться нулевым временем задержки. Но для интереса были проведены тесты для стандартного значения времени задержки (стандартное значение — 16 мс). Это сделано для предварительной оценки влияния времени задержки на скорость при высоком качестве линии связи.
Тест LAN-WAN - тестирование проводилось по этой методике
При установке времени задержки в 0 мс пропускная способность прямого канала сильно возрастает.
Уменьшение времени задержки сильно сказывается на скорости при передаче маленьких пакетов (512 байт, 64 байта). При максимальном размере пакетов — изменение времени задержки сказывается не столь значительно.
Разберемся, почему полученные нами скорости проводного сегмента весьма ниже заявленных (8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного). Необходимо учитывать существование двух параметров:
- throughput — общая пропускная способность канала — сколько может через себя пропустить ADSL канал (в нашем случае это как раз 8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного)
- goodput — полезная пропускная способность канала — какую величину полезных данных может пропустить через себя канал — эта величина всегда меньше throughput
При уменьшении размера пакетов скорость передачи значительно уменьшается. Уменьшение скорости происходит, так как увеличиваются накладные расходы на передачу данных. Например, если данные передаются пакетами по 64 байта, то каждый пакет для передачи через ATM-соединение разбивается на 2 ячейки по 53 байта (48 байт — данные и 5 байт — заголовок) — таким образом, объем передаваемого трафика возрастает почти в 2 раза. С уменьшением размера пакета также уменьшается размер полезных данных в нем, в то время как размер "накладных расходов" для каждого пакета остается неизменным. Таким образом, при одном и том же throughput значение goodput может меняться в десятки раз в зависимости от размера используемых пакетов — сильнее всего это проявляется при использовании пакетов малой длины.
Таким образом, получая от провайдера канал, шириной 8 Мбит/с — пользователь реально сможет "разогнать" его только на 6 — 7 Мбит/с и только в том случае, если большая часть пакетов будет иметь максимальную длину (например, закачка крупных файлов). Такая же ситуация и с обратным каналом.
Падение скорости при использовании полнодуплексного режима, возможно, связано с некоторыми аспектами работы протокола TCP. TCP — протокол с гарантированной доставкой — он требует подтверждение о доставке каждого отправленного пакета. При учете маленькой ширины обратного канала и его полной загруженности эти подтверждения могут теряться, а при потере подтверждения пакет отправляется заново — следовательно "полезная скорость", которую мы как раз и замеряем, падает, так как одни и те же данные передаются повторно. Вдобавок, протокол TCP при возрастании потерь уменьшает скорость передачи данных. Таким образом, падение скорости прямого канала в полном дуплексе, возможно, связано с аспектами работы протокола TCP при малой ширине обратного канала.
Тестирование производительности VPN-соединений
Рассматриваемый роутер позволяет устанавливать до 40 IPSEC VPN соединений. Возможно использование алгоритмов шифрования DES и 3DES (алгоритм AES, к сожалению, не поддерживается). Алгоритм DES уже считается недостаточно криптостойким, поэтому тестирование производительности проводилось с использованием алгоритма 3DES (алгоритм DES, примененный 3 раза подряд).
Для тестирования применялись стендовые компьютеры под управлением Gentoo Linux 2.6.11. Задержки Interleave delay устанавливались в 0мс, так как именно при нулевых задержках мы можем достигнуть максимальной производительности.
Параметры туннеля:
- Тип: IPSEC
- Хеш-алгоритм: SHA1
- Обмен ключами: IKE
Сокращения:
- Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11
- WBR-3402A — рассматриваемый нами роутер Level One WBR-3402A
Производительность IPSEC, 1 туннель, 3DES шифрование
Скорость трафика сильно снижается по сравнению с результатами LAN-WAN тестов — видимо процессор устройства не позволяет развить более высокую скорость шифрования.
Теперь посмотрим, как ведет себя IPSEC VPN-сервер при увеличении количества соединений.
Производительность IPSEC, 2 туннеля, 3DES шифрование
Производительность IPSEC, 3 туннеля, 3DES шифрование
В режиме half-duplex
В режиме full-duplex
При использовании двух VPN туннелей значительного падения скорости не наблюдается, но при включении трех туннелей — суммарная скорость прямого канала начинает снижаться.
Поэтапное включение туннелей при 3DES шифровании
Далее было проведено несколько тестов, в которых генерирование трафика в трех туннелях запускалось не одновременно, а с задержкой в 30 секунд. Сначала трафик запускается в одном туннеле, 30 секунд спустя — во втором, еще 30 секунд спустя — в третьем. Так как время задержки не влияет на поведение графиков при включении генерации трафика в туннелях — тесты проводились при задержке Interleave delay = 0 мс для достижения максимальной производительности.
Последовательность запуска трафика:
- 1-й туннель, передача WBR-3402A -> Gentoo
- 2-й туннель, передача WBR-3402A -> Gentoo
- 3-й туннель, передача WBR-3402A -> Gentoo
Последовательность запуска трафика:
- 1-й туннель, передача Gentoo -> WBR-3402A
- 2-й туннель, передача Gentoo -> WBR-3402A
- 3-й туннель, передача Gentoo -> WBR-3402A
Последовательность запуска трафика:
- 1-й туннель, передача fdx Gentoo && WBR-3402A
- 2-й туннель, передача fdx Gentoo && WBR-3402A
- 3-й туннель, передача fdx Gentoo && WBR-3402A
Как показывают тесты, сразу после включения потоков скорость трафика начинает распределяться равномерно между потоками.
Безопасность
Во время тестирования безопасности было включено удаленное управление через WEB и по SNMP.
Результаты Nessus'а:
Nessus находит 3 критические уязвимости:
- Уязвимость SNMP, связанная с тем, что по умолчанию SNMP отвечает по паролю public для просмотра параметров устройства
- Обе уязвимости TCP связаны с возможностью перехвата соединения с удаленной машиной
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)
Выводы:
Устройство компании Level One поражает необычностью дизайна — строгие и одновременно стильные формы приятно лицезреть, но это не первое, на что обращает внимание потребитель. На первом месте всегда оказываются такие характеристики устройства, как производительность, надежность, функциональность. В последнее время устройства, выполняющие какую-либо одну роль (например, только маршрутизатор или только точка доступа), затерялись на заднем плане, на рынке SOHO-устройств (Small Office Home Office). Значительно больший интерес представляют многофункциональные устройства, и рассматриваемое в этом обзоре устройство не стало исключением.
Проводная часть устройства показала высокую производительность, а вот производительность VPN-сервера подкачала (немногим более 1 Мбит/с). Что касается беспроводной связи — тут тоже не обошлось без сюрпризов. В одном направлении скорость трафика составляет 20 Мбит/с, что, несомненно, является хорошим показателем, а в другом направлении — всего 8 Мбит/с — причина такого неоднозначного поведения так и осталась тайной.
Также расстроили настройки файрвола. Правила хоть и комплексные (1 правило может обеспечивать фильтрацию по диапазонам IP-адресов и портов), но их количество (8 правил) может оказаться недостаточным для "тонкой" настройки.
Плюсы:
- Стильный внешний вид, металлический корпус
- Возможность задания различных параметров на каждом этапе установки IPSEC VPN-соединения
- Наличие встроенного принт-сервера
- Встроенная справочная система
Минусы:
- Нельзя задать скорость беспроводного сегмента
- Нет возможности задать различные public/private порты при создании виртуальных серверов
- Низкая производительность VPN-сервера
- Малое количество правил файрвола (8 правил для входящего трафика и 8 — для исходящего)
