OfficeConnect Secure Router и OfficeConnect VPN Firewall — маршрутизатор с функциями защиты и брандмауэр от 3Com


Содержание

  1. Общее описание
  2. Схемотехника 3CR860 и 3CR870
  3. Сводная таблица спецификаций устройств
  4. Экскурс в настройки
  5. Тестирование производительности
  6. Производительность LAN-WAN сегмента, NetIQ Chariot
  7. Производительность LAN-WAN сегмента, NetPIPE
  8. Производительность IPSec, DES шифрование
  9. Производительность IPSec, 3DES шифрование
  10. Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
  11. Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
  12. Производительность IPSec, AES-128 шифрование
  13. Тестирование возможностей ограничения трафика (traffic shaping)
  14. Ограничение всей полосы исходящего трафика
  15. Ограничение всей полосы входящего трафика
  16. Ограничение исходящего по портам (создание группы очередей)
  17. Ограничение входящего по портам (создание группы очередей)
  18. Тестирование безопасности 3CR860 и 3CR870
  19. Доступность
  20. Выводы

Компания 3Com представила на рынок новые продукты сетевой безопасности:

  • Маршрутизатор с функциями защиты 3Com OfficeConnect Secure Router (3CR860-95);
  • Брандмауэр 3Com OfficeConnect VPN Firewall (3CR870-95)

OfficeConnect Secure Router позиционируется компанией как устройство, обеспечивающее защищенный высокоскоростной доступ в Интернет для нескольких пользователей домашнего/малого офиса или филиала компании. В маршрутизатор встроен VPN сервер, дающий возможность организовывать до двух IPSec VPN-туннелей (поддерживаются режимы туннелирования сервер-сервер и сервер-хост). Так же возможно терминирование до двух L2TP over IPSec или PPTP туннеля. В файрвол устройства встроены специальные алгоритмы, позволяющие (по шаблонам) обнаруживать и блокировать обычные и DoS атаки. Так же устройство может фильтровать трафик, основываясь на задаваемых или предустановленных правилах на основе IP адресов или по контенту/url-адресам. Кроме того, в устройство встроен сервис логирования большого числа происходящих событий.

OfficeConnect VPN Firewall является «старшим братом» предыдущего устройства. Количество поддерживаемых VPN туннелей расширено до 50, добавлена функция «шейпинга» трафика (traffic shaping) – т.е. контролирования скорости передачи данных, как в общем, так и по задаваемому набору протоколов.

   

Оба устройства собраны в одном и том же корпусе и, на первый взгляд, их единственное отличие – в надписи справа передней панели. Кроме этой отличающей надписи, на панели расположены 4 светодиода LAN-портов, цветом сообщающих и скорости соединения, а мерцанием – о факте передачи данных. Светодиод Cable/DSL аналогичен предыдущем четырем, но несет информацию о WAN порте устройства. Остался очевидный светодиод Power и Alert. Последний мигает во время загрузки устройства и при возникновении неполадок (программных или аппаратных). Кроме того, он зажигается при срабатывании детектора атак (при этом нарушитель блокируется во встроенном брандмауэре).



Все порты (четыре LAN и один WAN) расположены в задней части устройства. Там же находится коннектор питания. А в нижней части устройства видны кронштейны для закрепления корпуса на вертикальных поверхностях. А для горизонтальной установки достаточно приклеить на снизу корпуса четыре резиновых ножки, идущие в комплекте.



Так же можно разместить устройства в своеобразном «стеке», друг над другом при помощи идущего в комплекте пластикового зажима. Причем этот стек можно продолжить вверх сколь угодно высоко.

В комплекте поставки с обоими маршрутизаторами идут (кроме самого устройства и блока питания к нему):

  • документация по установке и быстрой настройки (на английском языке);
  • компакт диск с полной и подробной документацией, утилитой «Discovery» для быстрого поиска устройства в сети;
  • четыре пластиковых ножки для горизонтальной установки корпуса;
  • патчкорд ethernet-кабель;
  • пластиковый зажим для объединения нескольких устройств в единую конструкцию


Схемотехника 3CR860 и 3CR870 … или загадка «найдите десять отличий»



–«Ты видишь суслика?»
–«Нет.»
–«И я не вижу… но он есть!»

Другими словами говоря, визуально, отличий мне обнаружить не удалось. Слева фото 3CR860-95, справа – 3CR870-95. Вероятнее всего, устройства отличаются лишь прошивкой. А надпись снизу платы «OfficeConnect Cable Secure/DSL Gateway» напомнила мне одноименное устройство, которое было рассмотрено в этой статье. Схемотехника с тех пор значительных изменений не претерпела. По крайней мере, микроконтроллер и чип встроенного коммутатора Broadcom остались прежними.

Более подробных спецификаций основного процессора устройства – микроконтроллера BCM6350 и контроллера BCM5325, выполняющего роль 100Mbit Ethernet коммутатора, не появилось (строго говоря, спецификаций не удалось найти вовсе), поэтому не вижу смысла повторять информацию про них, написанную в статье 3Com OfficeConnect Cable/DSL Secure Gateway.

Еще из крупных чипов на плате можно наблюдать микросхему Pulse H1184, которая (возможно) выполняет роль AUTO MDI/MDI-X (автоопределение типа кабеля), а так же служит гальванической развязкой, призванной защитить встроенный контроллер коммутатора от высоких напряжений. Две микросхемы HY57V641620HGT-H являются SDRAM памятью объемом 64 Мбит (4 Banks × 1M × 16Bit) компании Hynix. Их номинальная частота работы – 133Mhz.

Так же на плате можно видеть две микросхемы Flash-памяти объемом (предположительно) по 8Мбайт каждая. Почему две? Вероятно, в устройстве реализована конструкция отказоустойчивой прошивки — в одном из чипов зашита заведомо рабочая версия прошивки, которая активируется при порче основной прошивки. Так ли это, точно не известно, но объем прошивок от обоих устройств не превышает 6 Мб.

А с работой «аварийной системы» пришлось столкнуться лично: при апгрейде прошивки в 3CR870 произошел какой-то сбой процедуры – лампочка Alert продолжала мигать и по истечении всех разумных сроков окончания аплоада файла в устройство. Пришлось его перезагрузить, после чего устройство пропало (в смысле не виделось ни по сети, ни утилитой Descovery, даже после ресета 3CR870 на заводские установки), а лампочка Alert продолжала мигать, навевая грустные мысли. Что делать? Пришлось вспомнить лозунг «если ничего не получается, прочтите, наконец, инструкцию!». Это помогло – устройство, оказывается, отвечало по веб интерфейсу на фиксированном адресе (из диапазона 192.168.x.x), но выдавало экран с информацией, что «у вас тут какие то проблемы с прошивкой, залейте ее заново». Залил (на этот раз успешно), перегрузил устройство, и все отлично заработало. Кстати, при залитии (в аварийном режиме) случайно в первый раз я подсунул роутеру файл с прошивкой от 3CR860. Файл считался, но после этого устройство выдало, что прошивка не похожа на настоящую и прошиваться ей 3CR870 отказался. Это к слову о том, что вряд ли элегантным движением руки получится проапгрейдить 3CR860 в 3CR870.

Спецификации 3CR860 и 3CR870

Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).

корпуспластиковый, допускается горизонтальная установка и вертикальная установка, а так же установка нескольких устройств «башенкой»
ручное блокирование интерфейсовнет
проводной сегмент
LANколичество портов4
auto MDI/MDI-Xда
WANколичество портов1
auto MDI/MDI-Xда
поддерживаемые типы соединениястатический IP адресда
динамический IP адресда
PPTPда
PPPoEда
основные возможности
метод организации доступаNetwork Address Translation (NAT)
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)нет
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
собственная утилита управления под Windowsтолько возможность найти устройство в сети (под любым адресом) и установить у него адрес из текущей подсети
telnetнет
COM-портнет
SNMPнет
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPнет
внутренние часыда
синхронизация часовNTP, но заданные серверы нельзя изменить
встроенные утилитыICMP Pingда
Tracerouteда
Resolvingда
логирование событийда, настраиваемые: LAN, ISP Connection Events, VPN Detailed logging, Dropped Packets, Attack Detection
логирование исполнения правил файрволада, но всех сразу (dropped packets)
способы хранениявнутри устройствада
на внешнем Syslog сервереда
пересылка на emailнет
SNMPподдержка SNMP Readнет
поддержка SNMP Writeнет
поддержка SNMP Trapsнет
возможности встроенных фильтров и файрвола
типы фильтровпо MAC адресунет
по IP адресуда
по протоколу/портупо dst port, без учета протокола
по URL-уда
по доменуда(совмещен с URL)
работа со службами фильтрации контентада, по подписке
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверанет
возможность задания DMZда
встроенный брандмауэр (файрвол)да, но не сильно удобный, в основном предопределенные правила
поддержка SPI (Stateful Packet Inspection)да, но в правилах использовать нельзя
поддержка спец. приложений (netmeeting, quicktime, etc)да
тип действияallowда
denyда
logнет (можно лишь глобально, для всех правил, логировать сброшенные пакеты)
критерии задания правилаsrc interface lan/wanнет
dst interface lan/wanнет
src ip/rangeтолько ip
dst ip/rangeнет
src protocolнет
dst protocolнет
src port/rangeнет
dst port/rangeда, в том числе перечисление, диапазон
привязка ко временинет
возможности VPN
сервер IPSecвиды туннелейGateway--Gatewayда, до 2 в случае 3CR860 и до 50 в случае 3CR870
remote user accessда, до 2 в случае 3CR860 и до 50 в случае 3CR870
типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хэшированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда, 128bit
добавление записей в таблицу роутинга IPSec туннеляда, до 10 записей
сервер L2TP (over IPSec)типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хэшированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
сервер PPTPда
VPN pass throughIPSecда, при условии что отключен IPSec/L2TP сервер
L2TPда, при условии, что отключен IPSec/L2TP сервер
PPTPда, при условии, что отключен PPTP сервер
traffic shaping
типы шейпинга
(наличие только у 3CR870)
ограничение общего исходящего трафикада
ограничение общего входящего трафикада
ограничение входящего трафика по критериямда
ограничение исходящего трафика по критериямда
критерии задания правила для ограничений
(наличие только у 3CR870)
src interface lan/wanнет
dst interface lan/wanнет
src ip/rangeнет
dst ip/rangeнет
src protocolпросто протокол (глобально для src/dst) TCP,UDP, TCP&UDP
dst protocolпросто протокол (глобально для src/dst) TCP,UDP, TCP&UDP
src port/rangeпросто порт (глобально для src/dst)
dst port/rangeпросто порт (глобально для src/dst)
привязка ко временинет
типы ограничений
(наличие только у 3CR870)
количественные ограничения для полосы байтахнет (есть только глобально для всего входящего/исходящего трафика)
задание в процентахнет
назначение приоритетада, но возможно задание всего двух приоритетов (High & Normal)
Роутинг
задания записей вручнуюна WAN интерфейседа
на LAN интерфейседа
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да, send and/or receive
RIPv2да, send and/or receive
на LAN интерфейсевозможность отключенияда
RIPv1да, send and/or receive
RIPv2да, send and/or receive
дополнительная информация
версия прошивки3CR860: 1.03-168
3CR870: 2.0-168
питаниевнешний БП


Навигация:

 

 




9 августа 2004 Г.