В статье рассматривается ADSL-роутер D-Link DSL-504T.
Содержание
- Общее описание
- Таблица спецификаций устройства
- Конфигурирование роутера
- Тестирование производительности
- Тестирование возможностей ограничения трафика
- Тестирование безопасности
- Доступность
- Выводы
Функциональные возможности: ADSL-роутер, 4-хпортовый коммутатор с автоопределением полярности на портах.
На роутере расположены следующие индикаторы (сверху вниз):
- индикатор питания
- индикатор статуса (горит при запуске, мигает в рабочем состоянии)
- индикатор активности ADSL-соединения
- индикатор активности на каждый LAN-порт
Сзади на роутере расположены (сверху вниз):
- 1 × WAN порт RJ-11
- 4 × LAN порта RJ-45 100 Мбит/с
- кнопка Reset (сброс параметров).
- разъем питания
Устройство поставляется в следующей комплектации:
- роутер
- 2-х метровый патчкорд RJ-45
- 2-х метровый патчкорд RJ-11
- диск с инструкцией
- адаптер питания
- руководство по быстрой установке и настройке на шести языках (в том числе и на русском)
Вид изнутри
Устройство собрано на базе процессора TNETD7300GDU компании Texas Instruments. (32-битный RISC процессор, работающий на частоте 160 МГц, Ethernet 10/100, ASDL, USB 1.1, поддержка ATM QoS).
На плате установлено 16 Мбайт SDRAM памяти Hynix HY57V281620HCT-H, работающей на частоте 133 МГц, и 4 Мбайт Flash памяти ATMEL AT49BV322A.
Ethernet коммутатор организован на базе микросхемы ICPLUS IP175A.
Внутреннее устройство рассматриваемого роутера очень похоже на внутреннее устройство роутера DSL-G604T, за исключением того, что в рассматриваемом роутере нет встроенной беспроводной точки доступа и коммутатор организован не на IP175C, а на IP175A.
Связь с провайдером услуг устройство держит с использованием технологий ADSL и ATM. Об этих технологиях вкратце рассказывалось в обзоре, посвященном роутеру D-Link DSL-G604T, поэтому здесь не будем на них останавливаться.
При работе рассматриваемый экземпляр устройства издает высокочастотный звук, наподобие того, что издает работающий телевизор, но что именно явилось источником звука в устройстве осталось неясным.
Спецификации устройства:
| корпус | пластиковый, допускается горизонтальная или вертикальная установка, а так же подвес на стену | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | ADSL | ||
| количество портов | 1 | |||
| типы поддерживаемых соединений | PPPoE | да | ||
| PPPoA | да | |||
| Bridge mode | да | |||
| CLIP (IPoA) | да | |||
| Static IP | да | |||
| DHCP | да | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | только при подключении через PPPoA или PPPoE | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | нет | |||
| собственная утилита | нет | |||
| telnet | да, но не удалось установить подключения - выдает ошибку "login incorrect" | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | да | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | нет | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | нет | |||
| L2TP | да | |||
| Traffic shaping (ограничение трафика) | есть, на LAN-WAN переходе | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | нет | |||
| внутренние часы | присутствуют, возможно ручное задание времени, копирование времени с текущего компьютера | |||
| синхронизация часов | да, можно выбрать любой сервер | |||
| встроенные утилиты | ICMP ping | да | ||
| traceroute | нет | |||
| OAM test | да | |||
| логирование событий | да, возможно задать уровень ведения логов | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | нет | |||
| Роутинг | ||||
| статический (задания записей вручную) | да, до 25 записей | |||
| динамический роутинг | по направлению, In, Out, Both | возможность отключения | да | |
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | ?? | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
| на WLAN-WAN сегменте | да, совмещен с LAN-WAN | |||
| на LAN-WLAN сегменте | нет | |||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | да, как по адресу отправителя так и получателя | |||
| по source IP адресу | да | |||
| по destination IP адресу | нет | |||
| по протоколу | да, TCP/UDP/TCP&&UDP/ | |||
| по source порту | нет | |||
| по destination порту | да, в том числе по диапазону | |||
| привязка ко времени | нет | |||
| по URL-у | нет | |||
| по домену | нет | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | да | ||
| deny | да | |||
| log | нет | |||
| поддержка спец. приложений (netmeeting, quicktime, etc) | да, правила для них заранее определены | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| traffic shaping | ||||
| типы шейпинга | ограничение общей скорости | да, роутер позволяет создавать до 8 подключений, к каждому из которых применимо ограничение полосы пропускания | ||
| питание | ||||
| тип БП | внешний, 12VDC, 1200mA | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | V1.00B02T02.RU.20041014 | |||
| дополнительные порты | нет | |||
| размеры | 180 × 141 × 30 mm | |||
| вес | 322 г | |||
Конфигурация устройства осуществляется через WEB-интерфейс или по протоколу Telnet. Скриншоты WEB - интерфейса приведены ниже:
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |  |  |
 |
Настройки роутера также аналогичны настройкам роутера D-Link DSL-G604T (за исключением отсутствия настроек беспроводной связи). Для удаленного управления необходимо ввести адрес подсети, компьютеры которой будут иметь доступ к управлению роутером (при этом можно указать только одну подсеть для каждого соединения). Всего роутер позволяет создавать до восьми соединений.
Настройки роутера позволяют ограничить ширину канала в Интернет, используя QoS (Quality of Service). При этом ограничение накладывается на исходящий трафик. Эти ограничения указываются в настройках ATM, так как связь модема с провайдером идет с использованием именно этой технологии.
В пунктах VPI и VCI указывается идентификатор виртуального пути и идентификатор виртуального канала, соответственно - эта информация предоставляется провайдером (это стандартные настройки соединения через ATM).
В настройках QoS присутствует 3 пункта: UBR (Unspecified Bit Rate), CBR (Constant Bit Rate) и VBR (Variable Bit Rate), что означает соответственно передачу с заранее неопределенной скоростью, передачу с постоянной скоростью и передачу с переменной скоростью.
При выборе пункта UBR поля PCR и SCR не активны. UBR не предоставляет гарантий относительно качества услуг и полосы пропускания и предполагает наличие протокола более высокого уровня, например, TCP, для исправления ошибок передачи. TCP позволяет регулировать скорость передачи в зависимости от количества потерянных пакетов (для уменьшения потерь протокол TCP понижает скорость передачи, тем самым как бы разгружая линию, а чем меньше загрузка линии - тем меньше потерь).
Пункт CBR (Constant Bit Rate) означает, что данному соединению будет предоставляться заранее определенная полоса пропускания канала. При выборе данного пункта становится активным поле PCR (Peak Cell Rate), в котором можно задать максимальную скорость трафика.
Пункт VBR (Variable Bit Rate) означает, что для данного соединения полоса пропускания канала может меняться со временем. При выборе данного пункта становятся активными 2 поля: PCR (Peak Cell Rate) - максимальная скорость и SCR (Sustainable Cell Rate) — средняя скорость. С максимальной скоростью может передаваться ограниченное количество трафика, а со средней скоростью трафик может передаваться неограниченно долго.
Настройки устройства позволяют задавать уровень ведения логов (также как и DSL-G604T)
Попытка авторизоваться по Telnet с теми же логином и паролем, что и для WEB — интерфейса приводит к ошибке "Login incorrect". Впоследствии оказалось, что логин/пароль по умолчанию для авторизации по Telnet — root/admin, но об этом ничего не сказано в документации.
Судя по набору команд и директорий, на роутере установлена какая-то linux-подобная система.
Как и в ОС Linux во главе всех процессов стоит процесс "init" с PID равным единице.
Полный набор команд ОС роутера представлен на скриншоте выше.
Тестирование производительности
Тестирование проводного сегмента
Хочу отметить, что технология ADSL накладывает ограничение скорости (8 Мбит/с — для прямого канала и 1 Мбит/с — для обратного), поэтому, в связи с низкой скоростью передачи, нет необходимости снабжать оборудование дорогими быстрыми процессорами.
Тестирование проводного сегмента проводилось в режиме маршрутизатора (NAT включен), при этом никаких правил ограничения полосы пропускания не применялось (QoS устанавливалось в UBR).
Для тестирования ADSL соединения применялся ADSL IP DSLAM D-Link DAS-3216, предоставленный нам российским представительством компании D-Link.
Тест LAN-WAN - тестирование проводилось по этой методике
При работе в режиме маршрутизатора с NAT максимальная скорость обратного канала (LAN -> WAN) — 0,52 Мбит/с, скорость прямого канала (WAN -> LAN) — 4,75 Мбит/с. В режиме полного дуплекса скорость передачи сильно падает.
Разберемся, почему полученные нами скорости проводного сегмента значительно ниже заявленных (8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного). Необходимо учитывать, что существуют 2 параметра:
- throughput — общая пропускная способность канала — сколько может через себя пропустить ADSL канал (в нашем случае это как раз 8 Мбит/с — для прямого канала, и 1 Мбит/с — для обратного)
- goodput — полезная пропускная способность канала — какую величину полезных данных может пропустить через себя канал — эта величина всегда меньше throughput
При уменьшении размера пакетов скорость передачи значительно уменьшается как в режиме маршрутизатора, так и в режиме моста. Уменьшение скорости происходит, так как увеличиваются накладные расходы на передачу данных. Например, если данные передаются пакетами по 64 байта, то каждый пакет для передачи через ATM-соединение разбивается на 2 ячейки по 53 байта (48 байт — данные и 5 байт — заголовок) — таким образом, объем передаваемого трафика возрастает почти в 2 раза. С уменьшением размера пакета также уменьшается размер полезных данных в нем, в то время как размер "накладных расходов" остается неизменным. Таким образом, при одном и том же throughput значение goodput может меняться в десятки и сотни раз в зависимости от размера используемых пакетов — сильнее всего это проявляется при использовании пакетов малой длины.
Хотя это все равно не объясняет столь сильного падения скорости (в направлении WAN -> LAN при уменьшении размера пакетов до 64 байт скорость падает в 340 раз с 4,75 Мбит/с до 14 кбит/с) на пакетах маленькой длины. На обычных Ethernet-роутерах при уменьшении размера пакетов (например, в роутере Hawking Technology HWR54G) относительное падение скорости сказывается значительно меньше.
Таким образом, получая от провайдера канал, шириной 8 Мбит/с — пользователь реально сможет "разогнать" его только на 5 — 6 Мбит/с и только в том случае, если большая часть пакетов будет иметь максимальную длину (например, закачка крупных файлов) . Такая же ситуация и с обратным каналом.
Падение скорости при использовании полнодуплексного режима возможно связано с некоторыми аспектами работы протокола TCP. TCP — протокол с гарантированной доставкой — он требует подтверждение о доставке каждого отправленного пакета. При учете маленькой ширины обратного канала и его полной загруженности эти подтверждения могут теряться, а при потере подтверждения пакет отправляется заново — следовательно "полезная скорость" падает, так как одни и те же данные передаются повторно. Вдобавок, протокол TCP при возрастании потерь уменьшает скорость передачи данных. Таким образом, падение скорости прямого канала в полном дуплексе, возможно, связано с аспектами работы протокола TCP при малой ширине обратного канала. Это предположение подтверждается проведением аналогичных тестов с UDP-трафиком — падения скорости в полном дуплексе не происходит:
Тестирование возможностей ограничения трафика
Рассматриваемый роутер поддерживает ограничение полосы пропускания обратного канала с помощью механизма QoS (Quality of Service — качество обслуживания). Для корректной работы QoS — необходима поддержка QoS на всех ATM устройствах (в нашем случае на самом роутере и на DSLAM'е). Используемый нами для тестирования DSLAM D-Link DAS-3216 не имеет поддержки QoS, но мы попытаемся менять параметры QoS на роутере и посмотрим что из этого получится, поэтому результаты тестов, приведенные ниже, не претендуют на корректность.
Рассматриваемый роутер позволяет создавать до восьми соединений, при этом можно ограничивать общую полосу пропускания для каждого соединения. Боле подробно о параметрах ограничения трафика было рассказано несколько выше.
Сначала выбирался пункт CBR (Constant Bit Rate), обеспечивающий постоянную полосу пропускания, а при тестировании менялся параметр PCR (Peak Cell Rate) — пиковая скорость. Тестирование проводилось только в полудуплексном режиме при использовании TCP-трафика. Результаты теста занесены в таблицу.
| CBR (Constant Bit Rate) | ||
| Значение параметра PCR | Download (скорость прямого канала), Mbps | Upload (скорость обратного канала), Mbps |
| 100 | 0,658 | 0,035 |
| 200 | 0,983 | 0,071 |
| 300 | 1,175 | 0,104 |
| 400 | 1,283 | 0,136 |
| 65534 (максимально возможное значение) | 1,563 | 0,485 |
Видно, что изменение значения параметра PCR влечет за собой практически линейное изменение ширины как прямого, так и обратного каналов. Но остается не совсем ясно, в каких же единицах задается значение PCR (судя по полученным результатам, значение параметра PCR задается в ячейках/сек, хотя рядом с полями указано, что значение указывается в bps). При максимальном значении PCR (65534) пропускная способность прямого и обратного каналов ниже, чем при использовании пункта UBR (Unspecified Bit Rate). Построив графики полученных значений видно, что происходит практически линейное возрастание скорости при линейном повышении значения PCR от 100 до 400.
Скорость трафика в прямом канале изменяется из-за особенностей работы протокола TCP — он требует подтверждения о доставке каждого пакета. Ограничивая ширину обратного канала, мы ограничиваем возможность доставки этих подтверждений, и, следовательно, вынуждаем отправителя повторно передавать те же данные. В итоге, при использовании TCP-трафика, регулируя ширину обратного канала, мы косвенно изменяем ширину прямого канала.
Теперь выберем пункт VBR (Variable Bit Rate), который позволяет задавать переменную полосу пропускания. При этом задаются PCR (Peak Cell Rate) и SCR (Sustainable Cell Rate) — значения пиковой скорости и значения средней скорости. Тестирование проводилось в полудуплексных режимах. Результаты теста сведены в таблицу.
| VBR (Variable Bit Rate) | |||
| Значение параметра PCR | Значение параметра SCR | Download (скорость прямого канала), Mbps | Upload (скорость обратного канала), Mbps |
| 100 | 100 | 0,660 | 0,036 |
| 100 | 200 | 0,984 | 0,071 |
| 200 | 100 | 0,659 | 0,036 |
| 200 | 200 | 0,983 | 0,071 |
| 400 | 100 | 0,659 | 0,036 |
| 100 | 400 | 1,285 | 0,136 |
| 10 | 1000 | 1,525 | 0,307 |
| 1000 | 10 | 0,075 | 0,002 |
| 65534 (максимально возможное значение) | 65534 (максимально возможное значение) | 1,564 | 0,490 |
Анализируя значения из таблицы, видно, что значение полосы пропускания практически не зависит от значения параметра пиковой скорости PCR, то есть все значения определяются исключительно параметром средней скорости SCR.
Безопасность
Во время тестирования безопасности было включено удаленное управление через WEB и Telnet. Nessus не нашел ни одной критической уязвимости — видимо этой проблеме было уделено особое внимание, но тем не менее Nessus рекомендует не использовать управление по telnet.
Результаты Nessus'а:
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)
Выводы:
ADSL-роутер D-Link DSL-504T является модификацией ADSL-роутера D-Link DSL-G604T,рассмотренного нами в одном из прошлых обзоров, — отличие состоит только в отсутствии встроенной беспроводной точки доступа. Как и в DSL-G604T в рассматриваемом роутере гибкость задания правил файрвола ограничена адресом отправителя и портом получателя, в остальном безопасность устройства находится на высоком уровне.
Российское представительство компании D-Link заверило, что в скором времени выйдет новая версия российской прошивки с поддержкой ADSL2/2+, интерфейс которой будет расширен, но на момент написания обзора данная прошивка еще не была выложена на сайте российского представительства компании D-Link. Также на сайте сказано, что замена прошивки на версию с поддержкой ADSL2/2+ — процедура необратимая и впоследствии вы не сможете вернуться к предыдущей версии прошивки (без поддержки ADSL2/2+), не обратившись в сервисный центр компании D-Link.Плюсы:
- Высокий уровень безопасности
- Большое количество предопределенных правил разделенных на группы
- Возможность выбора уровня логирования
- Возможность работы в режиме роутера (с NAT и без NAT) и моста
Минусы:
- Ограничение гибкости задания правил файрвола
- Роутер издает звук наподобие того, что издает работающий телевизор
- Отсутствие возможности фильтрации по URL
