Содержание
- Общее описание
- Схемотехника
- Сводная таблица спецификаций устройств
- Экскурс в настройки
- Тестирование производительности
- Производительность LAN-WAN сегмента, NetIQ Chariot
- Производительность LAN-WAN сегмента, NetPIPE
- Производительность IPSec, DES шифрование
- Производительность IPSec, 3DES шифрование
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
- Производительность PPTP
- Производительность PPTP, масштабирование туннелей, два туннеля
- Производительность PPTP, масштабирование туннелей, три туннеля
- Возможности работы в качестве файл-сервера
- Тестирование безопасности 3CR860 и 3CR870
- Доступность
- Выводы
Некоторое время назад в нашу лабораторию попала новинка от компании U.S.Robotics — Secure Storage Router Pro. Устройство является многофункциональным роутером с поддержкой VPN сервера и клиента, а так же интегрированными функциями сетевого хранилища данных. И еще в USR8200 встроен принт-сервер (для USB принтеров).
Наличие большого числа функций в устройстве несколько затянуло тестирование, но ничего не длится вечно, поэтому я спешу поделиться его результатами. Самые нетерпеливые читатели могут сразу перейти к разделу выводов, пропустив основную, наиболее познавательную часть статьи, а для остальных расскажем все по порядку.
Устройство собрано в стильном пластиковом корпусе традиционного для U.S.Robotics черного цвета. На передней панели расположены 4 зеленых индикатора LAN портов, один — WAN-порта, индикатор IEEE1394(Firewire) и два индикатора USB интерфейсов, а так же двухцветный светодиод Power.
Все интерфейсы находятся в задней части корпуса USR8200. Кроме традиционных 4 LAN, 1 WAN портов, кнопки Reset и коннектора питания, хорошо видны два порта USB 2.0 и один — FireWire интерфейсов. Они предназначены для подключения внешних систем хранения данных (NAS, network attached storage) с одноименными интерфейсами, например, U.S.Robotics 250GB USB 2.0 + FireWire Storage Drive. Также ничто не мешает подключить к USB порту USB-Flash диск. Конечно, по сравнению с NAS-системами объемы не сопоставимы, тем не менее, Flash-диски объемом несколько гигабайт уже существуют.
После подключения любого хранилища данных к USR8200 оно будет доступно по сети через SMB протокол (т.е. через сетевое окружение, как и в случае с «Windows File Sharing») и через FTP сервер, поддержка которого так же осуществляется USR8200.
Кроме накопителя данных, к USB порту можно подключить принтер (если тот поддерживает USB подключение, конечно), тогда встроенный в USR8200 принт-сервер обеспечит доступность принтера для всей локальной сети.
На нижней плоскости устройства расположены четыре выступа с резиновыми ножками для горизонтальной установки корпуса, но отсутствуют какие-либо отверстия для его закрепления на вертикальные поверхности.
Кстати, у ножек есть еще вторая функция – они позволяют устанавливать устройства друг на друга (получившаяся конструкция устойчива). Таким же образом на USR8200 можно поместить и 802.11g Wireless Turbo Multi-Function Access Point (у этой точки доступа корпус поменьше).
Таким образом, может получиться довольно высокая башенка :)
В комплекте поставки устройства идет БП к нему, краткий гид по быстрой установке и настройке USR8200, патчкорд кабель и компакт-диск с более довольно подробной документацией (на английском языке) и дополнительным софтом — Norton Internet Security 2003 (NIS), Norton Personal Firewall 2003 (NPF) и программой USR iBand.
Последняя селится в виде еще одного тулбара и показывает загрузку сетевого интерфейса компьютера в реальном времени.Встроенный в USR8200 VPN сервер поддерживает протоколы IPSec (tunnel и transport modes, с использованием DES/3DES шифрования) и PPTP, причем последний, как в режиме сервера, так и в режиме клиента. Кроме того, поддерживается пропуск соответствующих сессий (pass-through) сквозь маршрутизатор. Подобные возможности позволяют при помощи USR8200 строить распределенные сети, соединяя между собой их отдельные части посредством шифрованных туннелей (проходящих через Интернет). Например, можно связать несколько удаленных офисов в единую локальную сеть или подключить удаленных пользователей (работающих дома или находящихся в командировке) к локальной сети компании.
И, конечно, в механизм встроен интерфейс управления фильтрацией трафика (фильтрация по IP адресам/протоколам и фильтрация WEB).
Схемотехника USR8200
Аналогично случаю с USR5450, возможность разобрать маршрутизатор без повреждения его внешнего вида отсутствует — один из крепежных винтов скрыт под наклейкой снизу корпуса. А согласия на повреждение внешнего вида получено не было.
Но, судя по информации с сайта U.S.Robotics, сердцем системы является сетевой процессор Intel IXP422, на основе XScale технологии. Его XScale ядро работает на частоте 266 Мгц, в процессор встроены контроллеры шины PCI 2.2, SDRAM памяти, USB 1.1 контроллер и два независимых 10/100 Base-T Ethernet MAC-контроллера. Замечу, что в USR8200 установлены два порта USB 2.0, очевидно, что они (как и порт IEEE1394) реализованы на основе каких-то внешних контроллеров.
Кроме вышеперечисленного, в сетевой процессор встроен модуль аппаратного ускорения алгоритмов криптографии и аутентификации (IPsec-enabled Network Processor Engine, NPE), поддерживаются алгоритмы DES/3DES, AES, SHA-1/MD5. В даташите на этот процессор заявлено, что архитектура сетевого процессора Intel IXP422 позволяет осуществлять шифрование/дешифрование со скоростью до 70 Мбит/сек. Особенно интересно, насколько точно эта цифра отражает скорость шифрования в режиме AES, который является наиболее «тяжелым».
В USR8200 установлено 16Mb flash и 64Mb SDRAM памяти, и устройство работает под управлением Jungo's OpenRG, которая, в свою очередь, базируется на ядре Linux (предположительно, из 2.4.x ветки).
Спецификации USR8200
Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).
корпус | пластиковый, допускается только горизонтальная установка, также возможна установка нескольких устройств «башенкой» | |||
проводной сегмент | ||||
LAN | количество портов | 4 | ||
auto MDI/MDI-X | да | |||
ручное блокирование интерфейсов | да, сразу всех LAN портов | |||
возможность задания размера MTU вручную | да | |||
WAN | количество портов | 1 | ||
auto MDI/MDI-X | да | |||
ручное блокирование интерфейса | да | |||
возможность задания размера MTU вручную | да | |||
поддерживаемые типы соединения | статический IP адрес | да | ||
динамический IP адрес | да | |||
PPTP | да | |||
PPPoE | да | |||
основные возможности | ||||
метод организации доступа | Network Address Translation (NAT) и NAPT | |||
возможности NA[P]T | one-to-many NAT (стандартный) | да | ||
one-to-one NAT | неизвестно, хотя возможность задания нескольких адресов на WAN присутствует | |||
возможность отключения NAT (работа в режиме роутера) | да, а так же в качестве моста | |||
конфигурирование устройства и настройка | администрирование | WEB-интерфейс | да | |
собственная утилита управления под Windows | нет | |||
telnet | да | |||
COM-порт | нет | |||
SSH | нет | |||
SNMP | нет | |||
возможность сохранения и загрузки конфигурации | да | |||
встроенный DHCP сервер | да | |||
поддержка UPnP | да | |||
внутренние часы | да | |||
синхронизация часов | NTP, TOD | |||
встроенные утилиты | ICMP ping | да | ||
traceroute | нет | |||
address resolving | нет | |||
логирование событий | да, очень подробные | |||
логирование исполнения правил файрвола | да, но всех сразу (dropped packets) | |||
способы хранения | внутри устройства | да | ||
на внешнем Syslog сервере | нет | |||
пересылка на email | да | |||
SNMP | поддержка SNMP Read | да | ||
поддержка SNMP Write | ? | |||
поддержка SNMP Traps | нет | |||
возможности встроенных фильтров и файрвола | ||||
типы фильтров | по MAC адресу | нет | ||
по IP адресу | src/dst, в том числе по диапазону | |||
по протоколу/порту | protocol, src/dst port, в том числе по диапазону | |||
по URL-у | нет | |||
по домену | да, но только точные совпадения (маски не поддерживаются) | |||
работа со службами фильтрации контента | нет | |||
виртуальные сервера | возможность создания | да | ||
задания различных public/private портов для виртуального сервера | нет | |||
возможность задания DMZ | да | |||
встроенный брандмауэр (файрвол) | да, очень гибкий и функциональный, возможно задавать правила для IN и/или OUT трафика для любого существующего интерфейса (LAN, WAN, IPSec, PPTP) | |||
поддержка SPI (Stateful Packet Inspection) | да | |||
поддержка спец.приложений (netmeeting, quicktime, etc) | да, (используя пресеты основных правил или написав новое) | |||
тип действия | allow | да, в том числе «разрешить все пакеты для этого соединения (используя SPI)» | ||
deny | да | |||
log | да | |||
критерии задания правила | src interface lan/wan | да, как и любой другой существующий интерфейс | ||
dst interface lan/wan | да, как и любой другой существующий интерфейс | |||
src ip/range | да | |||
dst ip/range | да | |||
src protocol | да, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола | |||
dst protocol | да, TCP/UDP/ICMP type/GRE/ESP/AH или можно задать номер протокола | |||
src port/range | да | |||
dst port/range | да | |||
привязка ко времени | нет | |||
возможности VPN | ||||
сервер IPSec | виды туннелей | Gateway--Gateway | да, теоретически до 253 туннелей | |
remote user access | да, без возможности задания анонимного доступа (не указывая IP адрес удаленного пользователя) | |||
типы аутентификации | pre shared key | да | ||
сертификаты | да, только локально сохраненные | |||
алгоритмы хэширования | SHA1 | да | ||
MD5 | да | |||
алгоритмы шифрования | DES | да | ||
3DES | да | |||
AES | нет | |||
добавление записей в таблицу роутинга IPSec туннеля | да, плюс поддержка RIP | |||
возможность фильтрации в IPSec туннеле (файрвол) | да | |||
сервер L2TP | нет | |||
сервер PPTP | да, используется MPPE 40/128-bit шифрование | |||
VPN pass through | IPSec | да (возможность одновременной работы с IPSec сервером неизвестна) | ||
L2TP | нет | |||
PPTP | да (возможность одновременной работы с PPTP сервером неизвестна) | |||
traffic shaping | ||||
traffic shaping | отсутствует | |||
Роутинг | ||||
задания записей вручную | на WAN интерфейсе | да | ||
на LAN интерфейсе | да | |||
дополнительно | возможно задание записей на любом существующем интерфейсе | |||
динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
RIPv1 | да, send and/or receive | |||
RIPv2 | да, send and/or receive | |||
на LAN интерфейсе | возможность отключения | да | ||
RIPv1 | да, send and/or receive | |||
RIPv2 | да, send and/or receive | |||
дополнительно | активация динамического роутинга возможна на любом существующем интерфейсе | |||
дополнительная информация | ||||
встроенный принт-сервер | да, для принтеров с USB интерфейсом | |||
доп.возможности | два USB2.0 и IEEE1394 интерфейсы для подключения внешних устройств хранения данных, доступ к данным через встроенный ftp-сервер или SMB протокол | |||
версия прошивки | 2.6.12 (от Oct 1 2003 11:06:21) | |||
питание | внешний БП, 12VDC |
Навигация:
- общее описание, схемотехника и спецификации;
- экскурс в настройки;
- тестирование производительности;
- тестирование безопасности, возможности встроенного SMB и FTP сервера, доступность устройства и выводы