Интернет-маршрутизатор Level One FBR-1411TX


В этом обзоре мы рассмотрим маршрутизатор и VPN-сервер Level One FBR-1411TX.

Содержание:

Функциональные возможности:

Маршрутизатор, 4-хпортовый коммутатор 10/100 Мбит/с, аппаратная DMZ, VPN-сервер, поддерживающий IPSEC-, PPTP- и L2TP-соединения.

На устройстве расположены следующие индикаторы (слева направо):

  • Индикатор питания
  • Индикатор состояния
  • Индикатор активности порта DMZ
  • Индикатор активности WAN-порта
  • Индикатор активности на каждом из 4-х LAN-портов

На задней панели расположены (слева направо):

  • 4 порта LAN (RJ-45)
  • порт WAN (RJ-45)
  • порт DMZ (RJ-45)
  • кнопка Reset
  • разъем питания (5 В, 2 А)

Устройство поставляется в следующей комплектации:

  • сам роутер
  • 2-хметровый патчкорд
  • адаптер питания (длина провода около двух метров)
  • диск с документацией

Вид изнутри:

Устройство выполнено на базе процессора NSP2100 копании Brecis Communications. Сайт компании по каким-то причинам уже довольно продолжительное время недоступен, поэтому дополнительную информацию о процессоре найти не удалось.

Коммутатор устройства выполнен на базе микросхемы ICPlus IP175A (5-типортовый коммутатор, поддержка VLAN, пакеты до 1536 байт).

На плате установлено 16 Мбайт SDRAM памяти ICSI IC42S16800-7T и 4 Мбайт Flash-памяти AMD AM29LV320DB.

Спецификация устройства:

корпуспластик+металл, допускается горизонтальная установка или подвес на стену
исполнениеIndoor
проводной сегмент
WANтипFast Ethernet
количество портов1
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPда
IPSecнет
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюда
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLнет
собственная утилитанет
telnetнет
sshнет
COM-портнет
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда, 8 виртуальных компьютеров
возможность отключения NAT (работа в режиме роутера)нет
Встроенные VPN-сервераIPSecда
PPTPда
L2TPда
VPN pass throughIPSecда
PPTPда
PPPoEнет
L2TPда
Traffic shaping (ограничение трафика)нет
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, 5 заранее предопределенных серверов
внутренние часыприсутствуют
синхронизация часовда, 4 сервера на выбор из списка
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда
логирование исполнения правил файрволанет
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)да, 8 записей роутинга
динамический роутингна LAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecвиды туннелейGateway-Gatewayда, всего до 40 туннелей
remote user accessда, всего до 40 туннелей
типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда
сервер L2TP (over IPSec)типы аутентификацииpre shared keyда
сертификатынет
алгоритмы хэшированияSHA1??
MD5??
алгоритмы шифрованияDESнет
3DESнет
сервер PPTPда
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда, с указанием направления
типы фильтровс учетом SPIнет
по MAC адресунет
по source IP адресуда, в том числе по подсети
по destination IP адресуда, в том числе по подсети
по протоколунет
по source портуда, в том числе по диапазону
по destination портуда, в том числе по диапазону
привязка ко временида
по URL-уда
по доменуда
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
logнет
поддержка спец. приложений (netmeeting, quicktime etc)да
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверанет
возможность задания DMZда
питание
тип БПвнешний, 5VDC, 2A
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивкиR1.00c4v
размеры?? mm
вес??

Конфигурирование

Настройка устройства осуществляется через WEB-интерфейс, скриншоты которого приведены здесь, или по протоколу SNMP (список параметров SNMP настроенного роутера находится здесь).

По большей части настройки стандартные и никаких особенностей не наблюдается, однако к настройкам VPN это не относится, поэтому рассмотрим их более подробно.

IPSEC VPN-сервер позволяет устанавливать до 40 IPSEC-туннелей, при этом для каждого из них можно либо задать ключи вручную, либо использовать механизм IKE (Internet Key Exchange) при котором ключи шифрования задаются автоматически.

При ручном задании ключей шифрования мы выбираем алгоритм шифрования DES или 3DES

А вот при выборе механизма IKE, никаких параметров (будь то алгоритм шифрования или метод хеширования) задать почему-то нельзя

Предпринятая мной попытка подобрать параметры методом подбора не принесла результатов, поэтому на сервере Linux было включено автоматическое назначение параметров. При этом, судя по отладочной информации при попытке установить IPSEC-туннель, VPN сервер устройства использует шифрование AES (в ручном режиме его выбор невозможен)

2005-10-31 16:35:02: DEBUG: encription(aes)
2005-10-31 16:35:02: DEBUG: hmac(hmac_md5)

Получается некоторая путаница с шифрованием. Рассматриваемое устройство может использовать AES-шифрование при динамическом получении ключей (IKE) и DES и 3DES шифрование при назначении статических ключей.

В документации на устройство возможностям VPN уделена всего 1 страница, на которой мало что сказано об используемых алгоритмах шифрования.

Тестирование производительности

Тестирование проводного сегмента

Тестирование проводилось по этой методике:

Максимальная скорость: 61,02 Мбит/с — до максимально возможной скорости, которую можно выжать из 100-мегабитного соединения (80–90 Мбит/с), конечно, не дотягивает, но, тем не менее, результат очень хороший.

Теперь уменьшим размер пакетов:


При уменьшении размера пакетов скорость сильно падает. Это происходит из-за возросшей нагрузки на процессор устройства (приходится обрабатывать большее количество мелких пакетов) и увеличения количества служебных данных (заголовки пакетов).

Тестирование NetPIPE

Максимальная скорость: 63,02 Мбит/с — значительных аномалий в графике не наблюдается.

Безопасность:

Во время тестирования было включено удаленное управление через WEB-интерфейс и по протоколу SNMP.

Результаты Nessus'а:

Nessus настоятельно не рекомендует использовать для доступа по SNMP стандартные пароли (public/private). При изменении стандартных паролей SNMP, Nessus перестает находить уязвимости, связанные с этим протоколом, — в этом случае все критические уязвимости пропадают.

Возможности VPN-сервера:

По причине наличия в устройстве сразу трех VPN-серверов, их рассмотрению будет посвящен отдельный обзор, который выйдет несколько позже.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)

Выводы:

Интернет-маршрутизатор Level One FBR-1411TX обладает очень высокой производительностью и безопасностью. При этом устройство может работать в качестве PPTP, L2TP и IPSec VPN-сервера. Однако не все то золото, что блестит: в настройках файрвола нельзя выбрать протокол, по которому осуществляется фильтрация — можно задать лишь IP-адрес и порт, следовательно, фильтрация производится только по протоколам TCP и UDP, а фильтрация по протоколу ICMP отсутствует. В дополнение к этому, при использовании устройства в качестве PPTP и L2TP VPN-серверов трафик не шифруется. Документация на устройство весьма скудная — о том как настраивать IPSec VPN-сервер нигде не говорится, и при этом в настройках устройства отсутствует много стандартных настроек IPSec, таких как алгоритм шифрования, алгоритм хеширования и др. (это удивительно потому, что другие VPN-устройства Level One, рассмотренные нами ранее [Level One WBR-3402A], не имеют таких недостатков, а в данном устройстве настройки приходится подбирать разве что не наугад).

Плюсы:

  • Высокая производительность
  • Высокая безопасность устройства
  • Наличие встроенных PPTP, L2TP и IPSec VPN-серверов
  • Возможно задание значения максимального размера пакета (MTU, Maximum Transmition Unit)
  • Возможность использования расписания при задании правил файрвола

Минусы:

  • Отсутствие шифрования трафика при использовании PPTP и L2TP VPN-серверов
  • Невозможно задание различных Public/Private портов и выбор протокола (TCP или UDP) для виртуальных серверов
  • Отсутствие многих стандартных настроек IPSec VPN-сервера
  • Документация на устройство охватывает только поверхностные вопросы настройки маршрутизатора (я бы такую документацию назвал "краткое руководство по настройке")

 

Навигация:

 

Оборудование предоставлено компанией СВЕГА компьютер

 

 




25 ноября 2005 Г.