В данном обзоре мы рассмотрим ADSL SIP-шлюз компании ZyXEL. Предоставленный нам экземпляр является бета-версией модели, предназначенной для разработчиков и тестеров, а не для продажи. По этой причине некоторые характеристики, заявленные в данном обзоре, могут не совпадать с характеристиками коммерческой версии.
Функциональные возможности: ADSL-маршрутизатор и межсетевой экран с возможностью шейпинга трафика, 4-хпортовый коммутатор с автоопределением полярности на портах (Auto MDI/MDI-X), IPSec VPN-сервер, SIP-шлюз, позволяющий подключить к устройству два аналоговых телефона и использовать их для организации IP-телефонии.
Начнем рассмотрение устройства с общих характеристик и производительности, затем рассмотрим возможности VPN-сервера устройства, шейпинга трафика, а также SIP-шлюза.
Внешний вид
Спереди на маршрутизаторе расположены следующие индикаторы:
- Индикатор питания
- По одному индикатору активности на каждый из 4-х портов LAN
- Индикатор состояния ADSL-соединения
- Индикатор активности WAN-порта
- По одному индикатору активности на каждый телефонный порт
Сзади на маршрутизаторе расположены:
- Кнопка включения/выключения питания
- Разъем питания
- Клавиша сброса настроек
- WAN-порт RJ-11
- 4 LAN-порта
- 2 порта RJ-11 для подключения аналоговых телефонов к SIP-шлюзу
Вид изнутри
Устройство выполнено на базе процессора Texas Instruments TNETD7200 (32-битный RISC процессор для использования в ADSL-устройствах)
Коммутатор устройства выполнен на базе микросхемы Infineon ADM6996I (5-типортовый коммутатор 10/100 с возможностью контроля ширины полосы пропускания). На плате также установлено 32 Мбайт SDRAM памяти EOREX EM48AM1684 и 4 Мбайт Flash-памяти EON EN29LV320B.
Комплект поставки Так как к нам поступила бета-версия устройства, комплект поставки был ограничен следующими пунктами:
- Сам маршрутизатор
- Патчкорд RJ-45 — RJ-45 длиной чуть менее 2-х метров
- БП 18В, 1А с длиной шнура около 1.5 метров
- Патчкорд RJ-11 — RJ-11 длиной чуть менее 2-х метров
По информации российского представительства компании ZyXEL, на российский рынок данное устройство будет поставляться с документацией на русском языке.
Спецификация:
корпус | пластиковый, допускается горизонтальная или вертикальная установка | |||
исполнение | Indoor | |||
проводной сегмент | ||||
WAN | тип | ADSL (ITU Annex A) | ||
количество портов | 1 | |||
типы поддерживаемых соединений | PPPoE | да | ||
PPPoA | да | |||
Bridge mode | да | |||
Static IP | да | |||
Dynamic IP (DHCP) | да | |||
LAN | количество портов | 4 | ||
auto MDI/MDI-X | да | |||
ручное блокирование интерфейсов | нет | |||
возможность задания размера MTU вручную | да, но только через консольный интерфейс настройки | |||
основные возможности | ||||
конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
WEB-интерфейс через SSL | нет | |||
собственная утилита | нет | |||
telnet | да | |||
ssh | нет | |||
COM-порт | нет | |||
SNMP | да | |||
возможность сохранения и загрузки конфигурации | да | |||
встроенный DHCP сервер | да | |||
поддержка UPnP | да | |||
метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
возможности NAT | one-to-many NAT (стандартный) | да | ||
one-to-one NAT | да | |||
возможность отключения NAT (работа в режиме роутера) | да | |||
Встроенные VPN-сервера | IPSec | да | ||
PPTP | нет | |||
L2TP | нет | |||
Traffic shaping (ограничение трафика) | да | |||
DNS | встроенный DNS-сервер (dns-relay) | да | ||
поддержка динамического DNS | да, DynDNS.org | |||
внутренние часы | присутствуют | |||
синхронизация часов | да, NTP, Time, Daytime — IP-адрес сервера задается вручную | |||
встроенные утилиты | ICMP ping | да | ||
traceroute | нет | |||
resolving | нет | |||
логирование событий | да, системные события, файрвол | |||
логирование исполнения правил файрвола | да | |||
способы хранения | внутри устройства | да | ||
на внешнем Syslog сервере | да | |||
отправка на email | да | |||
SNMP | поддержка SNMP Read | да | ||
поддержка SNMP Write | да | |||
поддержка SNMP Traps | да | |||
Роутинг | ||||
статический (задания записей вручную) | на WAN интерфейсе | да | ||
на LAN интерфейсе | да | |||
динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
RIPv1 | да | |||
RIPv2 | да | |||
на LAN интерфейсе | возможность отключения | да | ||
RIPv1 | да | |||
RIPv2 | да | |||
возможности VPN | ||||
сервер IPSec | типы аутентификации | pre shared key | да | |
сертификаты | нет | |||
алгоритмы хеширования | SHA1 | да | ||
MD5 | да | |||
алгоритмы шифрования | DES | да | ||
3DES | да | |||
AES | да | |||
добавление записей в таблицу роутинга IPSec туннеля | нет | |||
возможности встроенных фильтров и файрвола | ||||
поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
типы фильтров | с учетом SPI | нет | ||
по MAC адресу | нет | |||
по source IP адресу | да, в том числе по диапазону или подсети | |||
по destination IP адресу | да, в том числе по диапазону или подсети | |||
по протоколу | да, TCP/UDP/TCP&&UDP | |||
по source порту | нет | |||
по destionation порту | да, в том числе по диапазону | |||
привязка ко времени | да | |||
по URL-у | да | |||
по домену | да (совмещен с URL) | |||
работа со службами списков URL для блокировки | нет | |||
тип действия | allow | да | ||
deny | да | |||
reject | да | |||
виртуальные сервера | возможность создания | да | ||
задания различных public/private портов для виртуального сервера | нет | |||
возможность задания DMZ | нет | |||
traffic shaping | ||||
типы шейпинга | ограничение общего исходящего трафика | да | ||
ограничение общего входящего трафика | да | |||
ограничение входящего трафика по критериям | да | |||
ограничение исходящего трафика по критериям | да | |||
критерии задания правила для ограничений | src interface lan/wan | да | ||
dst interface lan/wan | да | |||
src ip/range | да | |||
dst ip/range | да | |||
protocol | TCP,UDP, по номеру протокола | |||
src port/range | просто порт | |||
dst port/range | просто порт | |||
привязка ко времени | нет | |||
типы ограничений | количественные ограничения для полосы байтах | да | ||
задание в процентах | нет | |||
назначение приоритета | да | |||
питание | ||||
тип БП | внешний, 18VDC, 1A, 100-220В | |||
поддержка 802.1af (PoE) | нет | |||
дополнительная информация | ||||
Встроенный SIP-шлюз | да, 2FXS порта для подключения аналоговых телефонов с тональным набором, поддержка кодеков G.711a, G.711u, G.729 | |||
версия прошивки | V3.40(ADQ.1) | 06/19/2006 | |||
встроенный ftp-server | да, для сохранения конфигурации и обновления прошивки | |||
размеры | ?? | |||
вес | ?? |
Конфигурация:
Настройку маршрутизатора можно производить с помощью WEB-интерфейса настройки, а также используя Telnet и SNMP.
Скриншоты WEB-интерфейса настройки приведены здесь.
Список параметров SNMP приведен здесь.
Устройство позволяет одновременное использование восьми виртуальных каналов (с различными значениями параметров VPI/VCI)
В случае разрыва связи с Интернет, возможно перенаправление трафика через другой шлюз, находящийся в LAN-сегменте
Как и многие другие маршрутизаторы ZyXEL, рассматриваемое устройство имеет возможность расширенной настройки сервиса NAT. Устройство позволяет выбрать один из двух типов: SUA Only (Single User) или Full Feature. В режиме SUA Only возможно создание виртуальных серверов с заданием диапазона портов и IP-адреса сервера, на который будет производиться переадресация.
При использовании Full Feature NAT возможна переадресация с нескольких глобальных адресов на несколько локальных (если, например, сервис запущен сразу на нескольких компьютерах в LAN-сегменте).
Оба типа NAT подробно рассматривались при рассмотрении других маршрутизаторов ZyXEL (ранее рассматривался аналогичный маршрутизатор с беспроводным интерфейсом ZyXEL P-2602HW EE).
В таблицу маршрутов устройства можно внести до 16 статических записей.
Рассматриваемое устройство позволяет создавать в LAN-сегменте несколько IP-подсетей (одна основная + два дополнительные). В каждой из подсетей устройство имеет свой IP-адрес и является основным шлюзом,
при этом оно осуществляет роутинг между данными подсетями и позволяет настроить фильтрацию трафика между ними
Однако DHCP-сервер устройства не может выдавать клиентам IP-адреса дополнительных подсетей — их IP-адреса должны быть установлены вручную.
Устройство также можно настроить по протоколу Telnet, используя консольный интерфейс.
Обычно в устройствах ZyXEL консольный интерфейс выполнен в виде экранного меню, а система команд реализована как дополнительная возможность. Здесь мы видим просто систему команд операционной системы ZyXEL ZyNOS 3.4. Интерфейс команд данной операционной системы подробно рассматривать не будем.
Принудительный выбор режима ADSL/ADSL2/ADSL2+ возможен только с использованием консольного интерфейса настройки. Также используя консольный интерфейс можно привязать виртуальный канал (с определенным значением VPI/VCI) к Ethernet-порту устройства.
Настройки и производительность IPSec VPN, шейпинг трафика, а также возможности SIP-телефонии, организованной на базе данного устройства, будут рассмотрены в последующих обзорах, посвященных данному устройству.
Тестирование производительности
Тестирование проводного сегмента
Для тестирования ADSL-соединения использовался DSLAM ZyXEL IES-1248, предоставленный нам российским представительством компании ZyXEL.
Тестирование проводилось по этой методике при использовании модуляции сигнала: ADSL (G.dmt), ADSL2 и ADSL2+ в режиме Fast (то есть значение параметра Interleave delay равнялось нулю). Interleave Delay (значение этого параметра устанавливается на DSLAM'е) — это время, указанное в миллисекундах, которое влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon — это оправдывает себя при низком качестве телефонной линии и ее большой протяженности. На качественной телефонной линии небольшой длины (как раз, как при проведении наших тестов) выгоднее минимизировать задержки.
Максимальная скорость: 6,53 Мбит/с — в режиме ADSL g.dmt, 9,55 Мбит/с — в режиме ADSL2 и 16,19 Мбит/с — в режиме ADSL2+. Отмечу, что при уменьшении размеров пакетов в режиме ADSL g.dmt скорости несколько выше, чем у ZyXEL P-2602HW EE, который рассматривался нами ранее. Но сказать точно, связано ли это с модификацией самого устройства или же с тем, что для тестирования использовался другой DSLAM, мы не можем.
Тестирование роутинга в LAN-сегменте
Так как в LAN-сегменте устройства может находиться несколько IP-подсетей, устройство должно производить маршрутизацию трафика между ними, что создает дополнительную нагрузку на процессор.
Тестирование показало, что маршрутизация трафика между компьютерами LAN-сегмента производится на скорости ~38-40 Мбит/с. Это не очень высокий показатель, но стоит учитывать, что это лишь дополнительная возможность данного устройства.
Безопасность:
Во время тестирования безопасности, происходит перезагрузка данного устройства, причем она происходит еще на стадии сканирования портов – видимо, тут проявляется та составляющая "Betа". Скорее всего, к выходу устройства в розничную продажу прошивка будет доработана.
Отчеты Nessus'а:
Доступность
Выводы:
Рассматриваемое оборудование показывает хорошую производительность во всех режимах, однако в случае, когда на DSLAM'е стоит режим автоматического выбора режима модуляции, устройство подключается в режиме ADSL g.dmt, а не в режиме ADSL2+.
Настройки устройства позволяют произвести достаточно точную настройку. Возможность создания нескольких адресных пространств в сегменте LAN и настройка фильтрации трафика между ними также дает дополнительные преимущества, но DHCP-сервер устройства может выдавать IP-адреса только из основной подсети, все клиенты из дополнительных подсетей устройства не могут получать адреса по DHCP. Маршрутизация трафика происходит на скорости ~38–40 Мбит/с.
Возможности IPSec VPN-сервера устройства, шейпинга трафика, а также возможности SIP-шлюза мы рассмотрим в следующих обзорах, посвященных данному оборудованию.
Навигация:
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — настройки, тестирование производительности
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — возможности VPN-серверов и шейпинга трафика
- ADSL-маршрутизатор и SIP-шлюз ZyXEL P-2602H — возможности SIP-шлюза
Плюсы:
- Гибкость настройки устройства
- Возможность создания нескольких IP подсетей в LAN-сегменте и роутинга между ними
- Возможность фильтрации трафика между подсетями в LAN-сегменте
- Наличие IPSec VPN-сервера
- Возможность шейпинга трафика
- Наличие SIP-шлюза
Минусы:
- Во время тестирования безопасности на стадии сканирования портов происходит перезагрузка устройства
- DHCP-сервер устройства не может выдавать адреса из дополнительных подсетей в LAN-сегменте (на устройствах, находящихся в дополнительных подсетях, должны быть прописаны статические настройки)
DSLAM для тестирования предоставлен российским представительством компании ZyXEL