U.S.Robotics Secure Storage Router Pro (USR8200)


Содержание

  1. Общее описание
  2. Схемотехника
  3. Сводная таблица спецификаций устройств
  4. Экскурс в настройки
  5. Тестирование производительности
  6. Производительность LAN-WAN сегмента, NetIQ Chariot
  7. Производительность LAN-WAN сегмента, NetPIPE
  8. Производительность IPSec, DES шифрование
  9. Производительность IPSec, 3DES шифрование
  10. Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
  11. Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
  12. Производительность PPTP
  13. Производительность PPTP, масштабирование туннелей, два туннеля
  14. Производительность PPTP, масштабирование туннелей, три туннеля
  15. Возможности работы в качестве файл-сервера
  16. Тестирование безопасности 3CR860 и 3CR870
  17. Доступность
  18. Выводы

Некоторое время назад в нашу лабораторию попала новинка от компании U.S.Robotics — Secure Storage Router Pro. Устройство является многофункциональным роутером с поддержкой VPN сервера и клиента, а так же интегрированными функциями сетевого хранилища данных. И еще в USR8200 встроен принт-сервер (для USB принтеров).

Наличие большого числа функций в устройстве несколько затянуло тестирование, но ничего не длится вечно, поэтому я спешу поделиться его результатами. Самые нетерпеливые читатели могут сразу перейти к разделу выводов, пропустив основную, наиболее познавательную часть статьи, а для остальных расскажем все по порядку.

Устройство собрано в стильном пластиковом корпусе традиционного для U.S.Robotics черного цвета. На передней панели расположены 4 зеленых индикатора LAN портов, один — WAN-порта, индикатор IEEE1394(Firewire) и два индикатора USB интерфейсов, а так же двухцветный светодиод Power.


Все интерфейсы находятся в задней части корпуса USR8200. Кроме традиционных 4 LAN, 1 WAN портов, кнопки Reset и коннектора питания, хорошо видны два порта USB 2.0 и один — FireWire интерфейсов. Они предназначены для подключения внешних систем хранения данных (NAS, network attached storage) с одноименными интерфейсами, например, U.S.Robotics 250GB USB 2.0 + FireWire Storage Drive. Также ничто не мешает подключить к USB порту USB-Flash диск. Конечно, по сравнению с NAS-системами объемы не сопоставимы, тем не менее, Flash-диски объемом несколько гигабайт уже существуют.


После подключения любого хранилища данных к USR8200 оно будет доступно по сети через SMB протокол (т.е. через сетевое окружение, как и в случае с «Windows File Sharing») и через FTP сервер, поддержка которого так же осуществляется USR8200.

Кроме накопителя данных, к USB порту можно подключить принтер (если тот поддерживает USB подключение, конечно), тогда встроенный в USR8200 принт-сервер обеспечит доступность принтера для всей локальной сети.

На нижней плоскости устройства расположены четыре выступа с резиновыми ножками для горизонтальной установки корпуса, но отсутствуют какие-либо отверстия для его закрепления на вертикальные поверхности.

Кстати, у ножек есть еще вторая функция – они позволяют устанавливать устройства друг на друга (получившаяся конструкция устойчива). Таким же образом на USR8200 можно поместить и 802.11g Wireless Turbo Multi-Function Access Point (у этой точки доступа корпус поменьше).

Таким образом, может получиться довольно высокая башенка :)

В комплекте поставки устройства идет БП к нему, краткий гид по быстрой установке и настройке USR8200, патчкорд кабель и компакт-диск с более довольно подробной документацией (на английском языке) и дополнительным софтом — Norton Internet Security 2003 (NIS), Norton Personal Firewall 2003 (NPF) и программой USR iBand.

Последняя селится в виде еще одного тулбара и показывает загрузку сетевого интерфейса компьютера в реальном времени.

Встроенный в USR8200 VPN сервер поддерживает протоколы IPSec (tunnel и transport modes, с использованием DES/3DES шифрования) и PPTP, причем последний, как в режиме сервера, так и в режиме клиента. Кроме того, поддерживается пропуск соответствующих сессий (pass-through) сквозь маршрутизатор. Подобные возможности позволяют при помощи USR8200 строить распределенные сети, соединяя между собой их отдельные части посредством шифрованных туннелей (проходящих через Интернет). Например, можно связать несколько удаленных офисов в единую локальную сеть или подключить удаленных пользователей (работающих дома или находящихся в командировке) к локальной сети компании.

И, конечно, в механизм встроен интерфейс управления фильтрацией трафика (фильтрация по IP адресам/протоколам и фильтрация WEB).

Схемотехника USR8200

Аналогично случаю с USR5450, возможность разобрать маршрутизатор без повреждения его внешнего вида отсутствует — один из крепежных винтов скрыт под наклейкой снизу корпуса. А согласия на повреждение внешнего вида получено не было.

Но, судя по информации с сайта U.S.Robotics, сердцем системы является сетевой процессор Intel IXP422, на основе XScale технологии. Его XScale ядро работает на частоте 266 Мгц, в процессор встроены контроллеры шины PCI 2.2, SDRAM памяти, USB 1.1 контроллер и два независимых 10/100 Base-T Ethernet MAC-контроллера. Замечу, что в USR8200 установлены два порта USB 2.0, очевидно, что они (как и порт IEEE1394) реализованы на основе каких-то внешних контроллеров.

Кроме вышеперечисленного, в сетевой процессор встроен модуль аппаратного ускорения алгоритмов криптографии и аутентификации (IPsec-enabled Network Processor Engine, NPE), поддерживаются алгоритмы DES/3DES, AES, SHA-1/MD5. В даташите на этот процессор заявлено, что архитектура сетевого процессора Intel IXP422 позволяет осуществлять шифрование/дешифрование со скоростью до 70 Мбит/сек. Особенно интересно, насколько точно эта цифра отражает скорость шифрования в режиме AES, который является наиболее «тяжелым».

В USR8200 установлено 16Mb flash и 64Mb SDRAM памяти, и устройство работает под управлением Jungo's OpenRG, которая, в свою очередь, базируется на ядре Linux (предположительно, из 2.4.x ветки).

Спецификации USR8200

Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).

корпуспластиковый, допускается только горизонтальная установка, также возможна установка нескольких устройств «башенкой»
проводной сегмент
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовда, сразу всех LAN портов
возможность задания размера MTU вручнуюда
WANколичество портов1
auto MDI/MDI-Xда
ручное блокирование интерфейсада
возможность задания размера MTU вручнуюда
поддерживаемые типы соединениястатический IP адресда
динамический IP адресда
PPTPда
PPPoEда
основные возможности
метод организации доступаNetwork Address Translation (NAT) и NAPT
возможности NA[P]Tone-to-many NAT (стандартный)да
one-to-one NATнеизвестно, хотя возможность задания нескольких адресов на WAN присутствует
возможность отключения NAT (работа в режиме роутера)да, а так же в качестве моста
конфигурирование устройства и настройкаадминистрированиеWEB-интерфейсда
собственная утилита управления под Windowsнет
telnetда
COM-портнет
SSHнет
SNMPнет
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
внутренние часыда
синхронизация часовNTP, TOD
встроенные утилитыICMP pingда
tracerouteнет
address resolvingнет
логирование событийда, очень подробные
логирование исполнения правил файрволада, но всех сразу (dropped packets)
способы хранениявнутри устройствада
на внешнем Syslog серверенет
пересылка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Write?
поддержка SNMP Trapsнет
возможности встроенных фильтров и файрвола
типы фильтровпо MAC адресунет
по IP адресуsrc/dst, в том числе по диапазону
по протоколу/портуprotocol, src/dst port, в том числе по диапазону
по URL-унет
по доменуда, но только точные совпадения (маски не поддерживаются)
работа со службами фильтрации контентанет
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверанет
возможность задания DMZда
встроенный брандмауэр (файрвол)да, очень гибкий и функциональный, возможно задавать правила для IN и/или OUT трафика для любого существующего интерфейса (LAN, WAN, IPSec, PPTP)
поддержка SPI (Stateful Packet Inspection)да
поддержка спец.приложений (netmeeting, quicktime, etc)да, (используя пресеты основных правил или написав новое)
тип действияallowда, в том числе «разрешить все пакеты для этого соединения (используя SPI)»
denyда
logда
критерии задания правилаsrc interface lan/wanда, как и любой другой существующий интерфейс
dst interface lan/wanда, как и любой другой существующий интерфейс
src ip/rangeда
dst ip/rangeда
src protocolда, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола
dst protocolда, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола
src port/rangeда
dst port/rangeда
привязка ко временинет
возможности VPN
сервер IPSecвиды туннелейGateway--Gatewayда, теоретически до 253 туннелей
remote user accessда, без возможности задания анонимного доступа (не указывая IP адрес удаленного пользователя)
типы аутентификацииpre shared keyда
сертификатыда, только локально сохраненные
алгоритмы хэшированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESнет
добавление записей в таблицу роутинга IPSec туннеляда, плюс поддержка RIP
возможность фильтрации в IPSec туннеле (файрвол)да
сервер L2TPнет
сервер PPTPда, используется MPPE 40/128-bit шифрование
VPN pass throughIPSecда (возможность одновременной работы с IPSec сервером неизвестна)
L2TPнет
PPTPда (возможность одновременной работы с PPTP сервером неизвестна)
traffic shaping
traffic shapingотсутствует
Роутинг
задания записей вручнуюна WAN интерфейседа
на LAN интерфейседа
дополнительновозможно задание записей на любом существующем интерфейсе
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да, send and/or receive
RIPv2да, send and/or receive
на LAN интерфейсевозможность отключенияда
RIPv1да, send and/or receive
RIPv2да, send and/or receive
дополнительноактивация динамического роутинга возможна на любом существующем интерфейсе
дополнительная информация
встроенный принт-серверда, для принтеров с USB интерфейсом
доп.возможностидва USB2.0 и IEEE1394 интерфейсы для подключения внешних устройств хранения данных, доступ к данным через встроенный ftp-сервер или SMB протокол
версия прошивки2.6.12 (от Oct 1 2003 11:06:21)
питаниевнешний БП, 12VDC


Навигация:

 

 




24 августа 2004 Г.