В данном обзоре мы рассмотрим ADSL SIP-шлюз компании ZyXEL. Предоставленный нам экземпляр является бета-версией модели, предназначенной для разработчиков и тестеров, а не для продажи. По этой причине некоторые характеристики, заявленные в данном обзоре, могут не совпадать с характеристиками коммерческой версии.
Функциональные возможности: ADSL-маршрутизатор и межсетевой экран с возможностью шейпинга трафика, 4-хпортовый коммутатор с автоопределением полярности на портах (Auto MDI/MDI-X), IPSec VPN-сервер, SIP-шлюз, позволяющий подключить к устройству два аналоговых телефона и использовать их для организации IP-телефонии.
Начнем рассмотрение устройства с общих характеристик и производительности, затем рассмотрим возможности VPN-сервера устройства, шейпинга трафика, а также SIP-шлюза.
Внешний вид
Спереди на маршрутизаторе расположены следующие индикаторы:
- Индикатор питания
- По одному индикатору активности на каждый из 4-х портов LAN
- Индикатор состояния ADSL-соединения
- Индикатор активности WAN-порта
- По одному индикатору активности на каждый телефонный порт
Сзади на маршрутизаторе расположены:
- Кнопка включения/выключения питания
- Разъем питания
- Клавиша сброса настроек
- WAN-порт RJ-11
- 4 LAN-порта
- 2 порта RJ-11 для подключения аналоговых телефонов к SIP-шлюзу
Вид изнутри
Устройство выполнено на базе процессора Texas Instruments TNETD7200 (32-битный RISC процессор для использования в ADSL-устройствах)
Коммутатор устройства выполнен на базе микросхемы Infineon ADM6996I (5-типортовый коммутатор 10/100 с возможностью контроля ширины полосы пропускания). На плате также установлено 32 Мбайт SDRAM памяти EOREX EM48AM1684 и 4 Мбайт Flash-памяти EON EN29LV320B.
Комплект поставки Так как к нам поступила бета-версия устройства, комплект поставки был ограничен следующими пунктами:
- Сам маршрутизатор
- Патчкорд RJ-45 — RJ-45 длиной чуть менее 2-х метров
- БП 18В, 1А с длиной шнура около 1.5 метров
- Патчкорд RJ-11 — RJ-11 длиной чуть менее 2-х метров
По информации российского представительства компании ZyXEL, на российский рынок данное устройство будет поставляться с документацией на русском языке.
Спецификация:
| корпус | пластиковый, допускается горизонтальная или вертикальная установка | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | ADSL (ITU Annex A) | ||
| количество портов | 1 | |||
| типы поддерживаемых соединений | PPPoE | да | ||
| PPPoA | да | |||
| Bridge mode | да | |||
| Static IP | да | |||
| Dynamic IP (DHCP) | да | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | да, но только через консольный интерфейс настройки | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | нет | |||
| собственная утилита | нет | |||
| telnet | да | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | да | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | да | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| Встроенные VPN-сервера | IPSec | да | ||
| PPTP | нет | |||
| L2TP | нет | |||
| Traffic shaping (ограничение трафика) | да | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, DynDNS.org | |||
| внутренние часы | присутствуют | |||
| синхронизация часов | да, NTP, Time, Daytime — IP-адрес сервера задается вручную | |||
| встроенные утилиты | ICMP ping | да | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да, системные события, файрвол | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | да | |||
| поддержка SNMP Traps | да | |||
| Роутинг | ||||
| статический (задания записей вручную) | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
| RIPv1 | да | |||
| RIPv2 | да | |||
| на LAN интерфейсе | возможность отключения | да | ||
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности VPN | ||||
| сервер IPSec | типы аутентификации | pre shared key | да | |
| сертификаты | нет | |||
| алгоритмы хеширования | SHA1 | да | ||
| MD5 | да | |||
| алгоритмы шифрования | DES | да | ||
| 3DES | да | |||
| AES | да | |||
| добавление записей в таблицу роутинга IPSec туннеля | нет | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | нет | |||
| по source IP адресу | да, в том числе по диапазону или подсети | |||
| по destination IP адресу | да, в том числе по диапазону или подсети | |||
| по протоколу | да, TCP/UDP/TCP&&UDP | |||
| по source порту | нет | |||
| по destionation порту | да, в том числе по диапазону | |||
| привязка ко времени | да | |||
| по URL-у | да | |||
| по домену | да (совмещен с URL) | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | да | ||
| deny | да | |||
| reject | да | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | нет | |||
| возможность задания DMZ | нет | |||
| traffic shaping | ||||
| типы шейпинга | ограничение общего исходящего трафика | да | ||
| ограничение общего входящего трафика | да | |||
| ограничение входящего трафика по критериям | да | |||
| ограничение исходящего трафика по критериям | да | |||
| критерии задания правила для ограничений | src interface lan/wan | да | ||
| dst interface lan/wan | да | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| protocol | TCP,UDP, по номеру протокола | |||
| src port/range | просто порт | |||
| dst port/range | просто порт | |||
| привязка ко времени | нет | |||
| типы ограничений | количественные ограничения для полосы байтах | да | ||
| задание в процентах | нет | |||
| назначение приоритета | да | |||
| питание | ||||
| тип БП | внешний, 18VDC, 1A, 100-220В | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| Встроенный SIP-шлюз | да, 2FXS порта для подключения аналоговых телефонов с тональным набором, поддержка кодеков G.711a, G.711u, G.729 | |||
| версия прошивки | V3.40(ADQ.1) | 06/19/2006 | |||
| встроенный ftp-server | да, для сохранения конфигурации и обновления прошивки | |||
| размеры | ?? | |||
| вес | ?? | |||
Конфигурация:
Настройку маршрутизатора можно производить с помощью WEB-интерфейса настройки, а также используя Telnet и SNMP.
Скриншоты WEB-интерфейса настройки приведены здесь.
Список параметров SNMP приведен здесь.
Устройство позволяет одновременное использование восьми виртуальных каналов (с различными значениями параметров VPI/VCI)
В случае разрыва связи с Интернет, возможно перенаправление трафика через другой шлюз, находящийся в LAN-сегменте
Как и многие другие маршрутизаторы ZyXEL, рассматриваемое устройство имеет возможность расширенной настройки сервиса NAT. Устройство позволяет выбрать один из двух типов: SUA Only (Single User) или Full Feature. В режиме SUA Only возможно создание виртуальных серверов с заданием диапазона портов и IP-адреса сервера, на который будет производиться переадресация.
При использовании Full Feature NAT возможна переадресация с нескольких глобальных адресов на несколько локальных (если, например, сервис запущен сразу на нескольких компьютерах в LAN-сегменте).
Оба типа NAT подробно рассматривались при рассмотрении других маршрутизаторов ZyXEL (ранее рассматривался аналогичный маршрутизатор с беспроводным интерфейсом ZyXEL P-2602HW EE).
В таблицу маршрутов устройства можно внести до 16 статических записей.
Рассматриваемое устройство позволяет создавать в LAN-сегменте несколько IP-подсетей (одна основная + два дополнительные). В каждой из подсетей устройство имеет свой IP-адрес и является основным шлюзом,
при этом оно осуществляет роутинг между данными подсетями и позволяет настроить фильтрацию трафика между ними
Однако DHCP-сервер устройства не может выдавать клиентам IP-адреса дополнительных подсетей — их IP-адреса должны быть установлены вручную.
Устройство также можно настроить по протоколу Telnet, используя консольный интерфейс.
Обычно в устройствах ZyXEL консольный интерфейс выполнен в виде экранного меню, а система команд реализована как дополнительная возможность. Здесь мы видим просто систему команд операционной системы ZyXEL ZyNOS 3.4. Интерфейс команд данной операционной системы подробно рассматривать не будем.
Принудительный выбор режима ADSL/ADSL2/ADSL2+ возможен только с использованием консольного интерфейса настройки. Также используя консольный интерфейс можно привязать виртуальный канал (с определенным значением VPI/VCI) к Ethernet-порту устройства.
Настройки и производительность IPSec VPN, шейпинг трафика, а также возможности SIP-телефонии, организованной на базе данного устройства, будут рассмотрены в последующих обзорах, посвященных данному устройству.
Тестирование производительности
Тестирование проводного сегмента
Для тестирования ADSL-соединения использовался DSLAM ZyXEL IES-1248, предоставленный нам российским представительством компании ZyXEL.
Тестирование проводилось по этой методике при использовании модуляции сигнала: ADSL (G.dmt), ADSL2 и ADSL2+ в режиме Fast (то есть значение параметра Interleave delay равнялось нулю). Interleave Delay (значение этого параметра устанавливается на DSLAM'е) — это время, указанное в миллисекундах, которое влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon — это оправдывает себя при низком качестве телефонной линии и ее большой протяженности. На качественной телефонной линии небольшой длины (как раз, как при проведении наших тестов) выгоднее минимизировать задержки.
Максимальная скорость: 6,53 Мбит/с — в режиме ADSL g.dmt, 9,55 Мбит/с — в режиме ADSL2 и 16,19 Мбит/с — в режиме ADSL2+. Отмечу, что при уменьшении размеров пакетов в режиме ADSL g.dmt скорости несколько выше, чем у ZyXEL P-2602HW EE, который рассматривался нами ранее. Но сказать точно, связано ли это с модификацией самого устройства или же с тем, что для тестирования использовался другой DSLAM, мы не можем.
Тестирование роутинга в LAN-сегменте
Так как в LAN-сегменте устройства может находиться несколько IP-подсетей, устройство должно производить маршрутизацию трафика между ними, что создает дополнительную нагрузку на процессор.
Тестирование показало, что маршрутизация трафика между компьютерами LAN-сегмента производится на скорости ~38-40 Мбит/с. Это не очень высокий показатель, но стоит учитывать, что это лишь дополнительная возможность данного устройства.
Безопасность:
Во время тестирования безопасности, происходит перезагрузка данного устройства, причем она происходит еще на стадии сканирования портов – видимо, тут проявляется та составляющая "Betа". Скорее всего, к выходу устройства в розничную продажу прошивка будет доработана.
Отчеты Nessus'а:
Доступность
Выводы:
Рассматриваемое оборудование показывает хорошую производительность во всех режимах, однако в случае, когда на DSLAM'е стоит режим автоматического выбора режима модуляции, устройство подключается в режиме ADSL g.dmt, а не в режиме ADSL2+.
Настройки устройства позволяют произвести достаточно точную настройку. Возможность создания нескольких адресных пространств в сегменте LAN и настройка фильтрации трафика между ними также дает дополнительные преимущества, но DHCP-сервер устройства может выдавать IP-адреса только из основной подсети, все клиенты из дополнительных подсетей устройства не могут получать адреса по DHCP. Маршрутизация трафика происходит на скорости ~38–40 Мбит/с.
Возможности IPSec VPN-сервера устройства, шейпинга трафика, а также возможности SIP-шлюза мы рассмотрим в следующих обзорах, посвященных данному оборудованию.
Навигация:
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — настройки, тестирование производительности
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — возможности VPN-серверов и шейпинга трафика
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — возможности SIP-шлюза
Плюсы:
- Гибкость настройки устройства
- Возможность создания нескольких IP подсетей в LAN-сегменте и роутинга между ними
- Возможность фильтрации трафика между подсетями в LAN-сегменте
- Наличие IPSec VPN-сервера
- Возможность шейпинга трафика
- Наличие SIP-шлюза
Минусы:
- Во время тестирования безопасности на стадии сканирования портов происходит перезагрузка устройства
- DHCP-сервер устройства не может выдавать адреса из дополнительных подсетей в LAN-сегменте (на устройствах, находящихся в дополнительных подсетях, должны быть прописаны статические настройки)
DSLAM для тестирования предоставлен российским представительством компании ZyXEL
