В этом обзоре мы рассмотрим маршрутизатор и VPN-сервер Level One FBR-1411TX.
Содержание:
- Общее описание
- Тестирование производительности
- Тестирование производительности PPTP VPN-сервера
- Тестирование производительности L2TP VPN-сервера
- Тестирование производительности IPSec VPN-сервера
Маршрутизатор, 4-хпортовый коммутатор 10/100 Мбит/с, аппаратная DMZ, VPN-сервер, поддерживающий IPSEC-, PPTP- и L2TP-соединения.
На устройстве расположены следующие индикаторы (слева направо):
- Индикатор питания
- Индикатор состояния
- Индикатор активности порта DMZ
- Индикатор активности WAN-порта
- Индикатор активности на каждом из 4-х LAN-портов
На задней панели расположены (слева направо):
- 4 порта LAN (RJ-45)
- порт WAN (RJ-45)
- порт DMZ (RJ-45)
- кнопка Reset
- разъем питания (5 В, 2 А)
Устройство поставляется в следующей комплектации:
- сам роутер
- 2-хметровый патчкорд
- адаптер питания (длина провода около двух метров)
- диск с документацией
Вид изнутри:
Устройство выполнено на базе процессора NSP2100 копании Brecis Communications. Сайт компании по каким-то причинам уже довольно продолжительное время недоступен, поэтому дополнительную информацию о процессоре найти не удалось.
Коммутатор устройства выполнен на базе микросхемы ICPlus IP175A (5-типортовый коммутатор, поддержка VLAN, пакеты до 1536 байт).
На плате установлено 16 Мбайт SDRAM памяти ICSI IC42S16800-7T и 4 Мбайт Flash-памяти AMD AM29LV320DB.
Спецификация устройства:
корпус | пластик+металл, допускается горизонтальная установка или подвес на стену | |||
исполнение | Indoor | |||
проводной сегмент | ||||
WAN | тип | Fast Ethernet | ||
количество портов | 1 | |||
auto MDI/MDI-X | да | |||
типы поддерживаемых соединений | фиксированный IP | да | ||
динамический IP | да | |||
PPPoE | да | |||
PPTP | да | |||
L2TP | да | |||
IPSec | нет | |||
LAN | количество портов | 4 | ||
auto MDI/MDI-X | да | |||
ручное блокирование интерфейсов | нет | |||
возможность задания размера MTU вручную | да | |||
основные возможности | ||||
конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
WEB-интерфейс через SSL | нет | |||
собственная утилита | нет | |||
telnet | нет | |||
ssh | нет | |||
COM-порт | нет | |||
SNMP | да | |||
возможность сохранения и загрузки конфигурации | да | |||
встроенный DHCP сервер | да | |||
поддержка UPnP | да | |||
метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
возможности NAT | one-to-many NAT (стандартный) | да | ||
one-to-one NAT | да, 8 виртуальных компьютеров | |||
возможность отключения NAT (работа в режиме роутера) | нет | |||
Встроенные VPN-сервера | IPSec | да | ||
PPTP | да | |||
L2TP | да | |||
VPN pass through | IPSec | да | ||
PPTP | да | |||
PPPoE | нет | |||
L2TP | да | |||
Traffic shaping (ограничение трафика) | нет | |||
DNS | встроенный DNS-сервер (dns-relay) | да | ||
поддержка динамического DNS | да, 5 заранее предопределенных серверов | |||
внутренние часы | присутствуют | |||
синхронизация часов | да, 4 сервера на выбор из списка | |||
встроенные утилиты | ICMP ping | нет | ||
traceroute | нет | |||
resolving | нет | |||
логирование событий | да | |||
логирование исполнения правил файрвола | нет | |||
способы хранения | внутри устройства | да | ||
на внешнем Syslog сервере | да | |||
отправка на email | да | |||
SNMP | поддержка SNMP Read | да | ||
поддержка SNMP Write | да | |||
поддержка SNMP Traps | да | |||
Роутинг | ||||
статический (задания записей вручную) | да, 8 записей роутинга | |||
динамический роутинг | на LAN интерфейсе | возможность отключения | да | |
RIPv1 | да | |||
RIPv2 | да | |||
возможности VPN | ||||
сервер IPSec | виды туннелей | Gateway-Gateway | да, всего до 40 туннелей | |
remote user access | да, всего до 40 туннелей | |||
типы аутентификации | pre shared key | да | ||
сертификаты | нет | |||
алгоритмы хеширования | SHA1 | да | ||
MD5 | да | |||
алгоритмы шифрования | DES | да | ||
3DES | да | |||
AES | да | |||
сервер L2TP (over IPSec) | типы аутентификации | pre shared key | да | |
сертификаты | нет | |||
алгоритмы хэширования | SHA1 | ?? | ||
MD5 | ?? | |||
алгоритмы шифрования | DES | нет | ||
3DES | нет | |||
сервер PPTP | да | |||
возможности встроенных фильтров и файрвола | ||||
поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
типы фильтров | с учетом SPI | нет | ||
по MAC адресу | нет | |||
по source IP адресу | да, в том числе по подсети | |||
по destination IP адресу | да, в том числе по подсети | |||
по протоколу | нет | |||
по source порту | да, в том числе по диапазону | |||
по destination порту | да, в том числе по диапазону | |||
привязка ко времени | да | |||
по URL-у | да | |||
по домену | да | |||
работа со службами списков URL для блокировки | нет | |||
тип действия | allow | да | ||
deny | да | |||
log | нет | |||
поддержка спец. приложений (netmeeting, quicktime etc) | да | |||
виртуальные сервера | возможность создания | да | ||
задания различных public/private портов для виртуального сервера | нет | |||
возможность задания DMZ | да | |||
питание | ||||
тип БП | внешний, 5VDC, 2A | |||
поддержка 802.1af (PoE) | нет | |||
дополнительная информация | ||||
версия прошивки | R1.00c4v | |||
размеры | ?? mm | |||
вес | ?? |
Конфигурирование
Настройка устройства осуществляется через WEB-интерфейс, скриншоты которого приведены здесь, или по протоколу SNMP (список параметров SNMP настроенного роутера находится здесь).
По большей части настройки стандартные и никаких особенностей не наблюдается, однако к настройкам VPN это не относится, поэтому рассмотрим их более подробно.
IPSEC VPN-сервер позволяет устанавливать до 40 IPSEC-туннелей, при этом для каждого из них можно либо задать ключи вручную, либо использовать механизм IKE (Internet Key Exchange) при котором ключи шифрования задаются автоматически.
При ручном задании ключей шифрования мы выбираем алгоритм шифрования DES или 3DES
А вот при выборе механизма IKE, никаких параметров (будь то алгоритм шифрования или метод хеширования) задать почему-то нельзя
Предпринятая мной попытка подобрать параметры методом подбора не принесла результатов, поэтому на сервере Linux было включено автоматическое назначение параметров. При этом, судя по отладочной информации при попытке установить IPSEC-туннель, VPN сервер устройства использует шифрование AES (в ручном режиме его выбор невозможен)
2005-10-31 16:35:02: DEBUG: hmac(hmac_md5)
Получается некоторая путаница с шифрованием. Рассматриваемое устройство может использовать AES-шифрование при динамическом получении ключей (IKE) и DES и 3DES шифрование при назначении статических ключей.
В документации на устройство возможностям VPN уделена всего 1 страница, на которой мало что сказано об используемых алгоритмах шифрования.
Тестирование производительности
Тестирование проводного сегмента
Тестирование проводилось по этой методике:
Максимальная скорость: 61,02 Мбит/с — до максимально возможной скорости, которую можно выжать из 100-мегабитного соединения (80–90 Мбит/с), конечно, не дотягивает, но, тем не менее, результат очень хороший.
Теперь уменьшим размер пакетов:
При уменьшении размера пакетов скорость сильно падает. Это происходит из-за возросшей нагрузки на процессор устройства (приходится обрабатывать большее количество мелких пакетов) и увеличения количества служебных данных (заголовки пакетов).
Тестирование NetPIPE
Максимальная скорость: 63,02 Мбит/с — значительных аномалий в графике не наблюдается.
Безопасность:
Во время тестирования было включено удаленное управление через WEB-интерфейс и по протоколу SNMP.
Результаты Nessus'а:
Nessus настоятельно не рекомендует использовать для доступа по SNMP стандартные пароли (public/private). При изменении стандартных паролей SNMP, Nessus перестает находить уязвимости, связанные с этим протоколом, — в этом случае все критические уязвимости пропадают.
Возможности VPN-сервера:
По причине наличия в устройстве сразу трех VPN-серверов, их рассмотрению будет посвящен отдельный обзор, который выйдет несколько позже.
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)
Выводы:
Интернет-маршрутизатор Level One FBR-1411TX обладает очень высокой производительностью и безопасностью. При этом устройство может работать в качестве PPTP, L2TP и IPSec VPN-сервера. Однако не все то золото, что блестит: в настройках файрвола нельзя выбрать протокол, по которому осуществляется фильтрация — можно задать лишь IP-адрес и порт, следовательно, фильтрация производится только по протоколам TCP и UDP, а фильтрация по протоколу ICMP отсутствует. В дополнение к этому, при использовании устройства в качестве PPTP и L2TP VPN-серверов трафик не шифруется. Документация на устройство весьма скудная — о том как настраивать IPSec VPN-сервер нигде не говорится, и при этом в настройках устройства отсутствует много стандартных настроек IPSec, таких как алгоритм шифрования, алгоритм хеширования и др. (это удивительно потому, что другие VPN-устройства Level One, рассмотренные нами ранее [Level One WBR-3402A], не имеют таких недостатков, а в данном устройстве настройки приходится подбирать разве что не наугад).
Плюсы:
- Высокая производительность
- Высокая безопасность устройства
- Наличие встроенных PPTP, L2TP и IPSec VPN-серверов
- Возможно задание значения максимального размера пакета (MTU, Maximum Transmition Unit)
- Возможность использования расписания при задании правил файрвола
Минусы:
- Отсутствие шифрования трафика при использовании PPTP и L2TP VPN-серверов
- Невозможно задание различных Public/Private портов и выбор протокола (TCP или UDP) для виртуальных серверов
- Отсутствие многих стандартных настроек IPSec VPN-сервера
- Документация на устройство охватывает только поверхностные вопросы настройки маршрутизатора (я бы такую документацию назвал "краткое руководство по настройке")
Навигация: