Введение
И снова производители сетевого оборудования ищут новые пути, чтобы выделиться из общей серой массы и расширить границы своих владений. На этот раз они решили вспомнить былое и предложили маршрутизаторы со встроенными файловыми серверами. Вообще, идея таких устройств была впервые воплощена в жизнь ещё в 2001 году компаниями SMC и Linksys, их устройства представляли, по сути, один и тот же продукт (OEM Sercomm).
Прошло немало времени, но модель SMC7208SBR Broadband Storage Server до сих пор вспоминается своей дороговизной, слабой защитой и шумной работой. Из-за своих недостатков продукт SMC так и не стал популярным. Недавно на этот рынок пыталась выйти U.S. Robotics со своим маршрутизатором USR8200 Secure Storage Router Pro [см. наш обзор], однако для работы в качестве файлового сервера он требовал подключения внешнего жёсткого диска с интерфейсом USB2.0.
Устройства Tritton All in One Server Appliance (ASAP) и ioGEAR Broadband Office Storage Server (BOSS) являются очередным поколением маршрутизаторов/файловых серверов. Производители надеются, что их оборудование сможет преодолеть все недостатки предшественников. К сожалению, кроме увеличения объёма дисков с 20 до 120 Гбайт, за минувшие три года мало что изменилось.
Внутреннее устройство и основные функции
BOSS и ASAP похожи изнутри, как братья-близнецы (исключение составляют некоторые индикаторы), но имеют незначительные различия снаружи. По размеру обе модели напоминают книгу среднего размера, но не по весу – встроенные 3,5″ жёсткие диски объёмом 120 Гбайт сильно утяжеляют систему.
Лицевые панели устройств очень похожи: на них расположены индикаторы PWR/Питание, HD/Активность диска, Link/Activity 10/100 (Активность сетевого подключения), для всех четырёх портов встроенного 10/100 коммутатора, и индикатор внешнего порта 10/100 WAN. Перейдём к отличиям. У модели BOSS присутствуют четыре индикатора System Activity/Системная активность, которые беспорядочно мигают и не выполняют никакой полезной функции – по крайней мере, нам так показалось. ASAP выделяется одним индикатором – HB, и он тоже непрерывно мигает. Индикаторы BOSS показались нам более яркими, к тому же, они имеют больший угол обзора.
Там, где у BOSS расположены четыре индикатора системной активности, у ASAP присутствуют две группы по четыре индикатора, для входящего и исходящего трафика. Как нам кажется, они должны отображать входящую и исходящую скорость соединения, но в документации ничего по этому поводу найти не удалось.
Задние панели обоих устройств практически одинаковы: на них расположены разъёмы питания и выключатели, а также по одному порту 10/100 Ethernet WAN с переключателем MDI/MDI-X, по четыре порта 10/100 Ethernet LAN и по кнопке Reset (сброс к значениям по умолчанию). Положение порта WAN и переключателя MDI/MDI-X может меняться в зависимости от версии. К сожалению, порты LAN не имеют возможности автоматического определения MDI/MDI-X, хотя в руководстве указано обратное.
Первое впечатление от внешнего вида оказалось противоречивым. Упаковка BOSS информативна – с иллюстрациями и текстом, само устройство аккуратно завёрнуто в прозрачный пакет и уложено в пластиковый короб. ASAP отличается спартанской упаковкой без каких-либо излишеств в виде картинок и графиков. Само устройство скромно упаковано в картонный короб, который, кстати, недостаточно прочен – судя по надрывам на углах. После публикации статьи Triton проинформировала нас о доработке своей упаковки – теперь она не отличается от варианта BOSS.
В комплекте с устройствами поставляются кабели питания и Ethernet. Что интересно, ioGEAR ограничилась краткой инструкцией по установке и полным вариантом в виде PDF на CD, а Tritton вложила в комплект поставки полное печатное руководство пользователя. Как мы полагаем, оно досталось компании от OEM-производителя, поскольку никакого упоминания о Tritton в нём нет.
Внутреннее устройство
Под пластиковой крышкой корпуса скрывается жёсткий диск, который подвешен над материнской платой (Рис. 1). Обе модели используют 3,5″ жёсткие диски ёмкостью 120 ГБ, со скоростью вращения шпинделя 7200 об/мин. В ASAP используется модель IBM/Hitachi IC35L120AVV207, в BOSS – Samsung SP1230N.
Рис. 1. Tritton ASAP со снятой крышкой.
Сняв жёсткий диск, мы можем взглянуть на материнскую плату (Рис. 2), в центре которой располагается 32-битный RISC-процессор Toshiba TMPR3927CF, 8 Мбайт RAM и 1 Мбайт флэш-памяти.
Рис. 2. ioGEAR BOSS со снятым лотком привода.
Остальную часть платы занимают контроллер Silicon Image SiI 0649 Ultra ATA/100, два контроллера 10/100 Ethernet на базе Realtek RTL8100B, а также 5-портовый 10/100 Ethernet коммутатор RTL8305SB.
Нам хотелось бы отметить отсутствие активного охлаждения на обеих моделях. Поэтому они работают практически бесшумно – немалое преимущество!
Кстати, дополнительную информацию о внутреннем строении ASAP/BOSS можно найти здесь.
Настройка и администрирование
Если оставить внешние различия (включая отсутствие логотипа Tritton в интерфейсе ASAP), IP-адреса по умолчанию (BOSS = 192.168.2.1; ASAP = 172.16.1.1) и встроенный web-сервер у ASAP, то пользовательские интерфейсы обоих устройств окажутся одинаковыми. Ниже показаны скриншоты, верные для обоих продуктов – если специально не отмечено обратное.
Встроенный сервер DHCP включён по умолчанию, поэтому можно обновить IP-параметры и зайти на интерфейс управления без каких бы то ни было проблем. При использовании браузера Internet Explorer 6.0 и выше в Windows (или IE 5.2 и выше в MacOS) будет выведена страница System Information/Информация об устройстве, показанная на Рис. 3. При работе с другим браузером (мы пробовали Mozilla 1.6b) вы получите сообщение об ошибке 403 “Current version only supports “Internet Explore 5.0” or above”(Эта версия поддерживает только IE5.0 или выше).
Рис. 3. Страница System Information ASAP.
Но даже при использовании рекомендуемого браузера мы не смогли выйти на заглавную страницу ASAP – браузер показал знаменитый текст “This page cannot be displayed” (Страница не может быть отображена). Немного помучившись, мы обнаружили, что проблему решает ссылка Detect Network Settings (Определить настройки сети), – желанная заглавная страница будет выведена где-то через 10 секунд. Скорее всего, проблема связана с нашей версией IE и носит частный характер – у BOSS ничего подобного не происходит (хотя и прошивка новее – 1.42). Когда мы связались с Tritton по поводу этой проблемы, нам предложили обновить прошивку, но так и не выложили её на свой сайт.
Если вы зашли в административный интерфейс, то параллельное подключение с другого клиента не допускается – выдаётся ошибка 403 Forbidden. Кнопка завершения сеанса в интерфейсе отсутствует, поэтому пришлось дождаться автоматического выхода по бездействию (около 5 минут), прежде чем мы смогли подключиться с другого клиента. Конечно, есть и другое радикальное средство – перезагрузка.
Отметим, что удалённое администрирование работало чётко (кроме нюанса с браузерами, описанного выше). Вы можете выбрать порт, используемый для интерфейса администрирования, но вход нельзя ограничить по IP-адресу. Интерфейс администрирования работал быстро и, в большинстве случаев, не требовал длительных циклов перезагрузки.
На Рис. 4 показаны возможные типы внешнего соединения: PPPoE, PPTP, DHCP и Fixed IP (статический IP-адрес).
Рис. 4. ASAP – Basic settings/ Основные настройки.
Как мы полагаем, набора подключений будет достаточно для большинства пользователей, но те, кто собирается использовать аутентификацию по имени домена или узла, будут разочарованы. Выбор MAC-адреса внешнего порта возможен только при подключении DHCP. Устройство не позволяет изменить MTU, что может вызвать некоторые проблемы для пользователей PPPoE / PPTP или VPN.
Настройки брандмауэра
При достаточно высокой цене продуктов ioGEAR и Tritton, мы были крайне удивлены скудностью возможностей брандмауэров обеих моделей. Кроме того, существующие функции, были реализованы совсем не так, как нам хотелось бы. Начнём с хорошего.
ASAP и BOSS имеют две возможности, которыми обычно не обладают маршрутизаторы потребительского уровня: Multiple NAT и IP Alias. Если провайдер выдал вам несколько реальных IP-адресов, то функция Multiple NAT позволяет прикреплять пользователей сети к определённым внешним адресам. Это может быть полезно для распределения нагрузки на серверы в крупных организациях.
С функцией IP Alias мы столкнулись впервые. Она позволяет работать с клиентами, адреса которых могут находиться в трёх различных подсетях, в дополнение к существующим 172.16.1.X и 192.168.2.X (для ASAP и BOSS, соответственно). Неплохая функция для больших сетей. Также IP Alias будет полезна в сетях со статическими IP-адресами – если вы не желаете их менять.
При этом, устройства обеспечивают некоторое подобие функции анализа пакетов Stateful Packet Inspection (SPI), параметры которой задаются на странице определения и предотвращения атак Denial of Service (Рис. 5).
Рис. 5. BOSS – Denial of Service/ Защита от атак.
Управление доступом к службам Интернета производится в пункте настроек IP Filter/Фильтры IP. Всего возможно указать до пяти групп IP-адресов, в каждой из которых можно запретить до четырёх отдельных портов и один диапазон портов (Рис. 6). Диапазоны IP-адресов определяются в виде маски 172.16.1.0 / 24 – то есть вы можете применить фильтры только на всю подсеть, что не всегда удобно.
Рис. 6. BOSS – Настройки фильтрации IP.
Теперь настала пора перейти к недостаткам. Функция Виртуальные серверы/Virtual Server позволяет указать не более десяти статических перенаправлений портов. К сожалению, ни диапазоны портов, ни динамическое их перенаправление (triggered), ни обращение к серверу по внешнему IP-адресу (loopback) не поддерживаются. Нельзя преодолеть этот недостаток и при помощи DMZ – эта функция не поддерживается вообще. Подробнее об этих функциях вы можете прочитать в нашем Руководстве по маршрутизаторам.
Мы решили узнать причину подобной узости возможностей у производителей. В ioGEAR нам ответили, что функции будут расширены в новой версии прошивки, в то время как Tritton будет рассматривать целесообразность подобных действий.
Вы можете задать до десяти фильтров URL, но на самом деле они не очень удобны. Скажем, здесь нет возможности использования ключевых слов – необходимо указывать полный адрес (например, нужно указывать “yahoo.com”, а не просто “yahoo”). Но если вы даже запретите “yahoo.com”, то пользователи смогут легко обратиться к поддоменам – например, “mail.yahoo.com”. При этом шаблонами (типа *.yahoo.com) пользоваться нельзя. Также следует отметить, что фильтры URL, фильтры IP и виртуальные серверы не могут работать по расписанию, хотя такая возможность сегодня поддерживается даже недорогими маршрутизаторами.
Хуже всего то, что при включении общего доступа к файлам на ASAP и BOSS появляется брешь в защите. Подробнее мы рассмотрим её в разделе “Общий доступ к файлам” (File Sharing), а пока перейдём к возможностям VPN и производительности.
VPN
Совет: Подробнее узнать о VPN можно в VPN FAQ и VPN Links & Tools (на английском).
Реализации PPTP и IPsec также не являются сильной стороной ASAP и BOSS. На Рис. 7 показан экран настройки сервера PPTP, который должен быть понятен опытным пользователям.
Рис. 7. BOSS – настройки PPTP.
К сожалению, руководство пользователя нам не слишком помогло. К счастью, у ioGEAR опубликован документ Support Note (на английском). Несмотря на некоторые неточности, он позволил нам настроить клиента под WinXP и успешно подключиться к серверу PPTP.
После настройки сервера PPTP вам необходимо задать учётные записи пользователей (о них чуть позже). Доступ к серверу PPTP смогут получить только зарегистрированные пользователи. Поскольку широковещание NetBIOS для PPTP-сеансов не поддерживается, клиент должен обращаться к другим компьютерам вашей сети только по IP-адресу.
Будем надеяться, что с выходом новых версий прошивок ситуация с поддержкой VPN IPsec у ASAP/BOSS улучшится. Но мы смогли получить только те опции настройки, которые показаны на Рис. 8. Здесь нет ни выбора метода шифрования, ни выбора метода аутентификации.
Рис. 9. ASAP – IPSec Settings/Настройки IPsec.
Разобраться с IPsec не помогло ни руководство, ни наши просьбы к Tritton и ioGEAR выслать нам пример настройки IPsec (единственное, что нам удалось узнать, – Perfect Forward Secrecy не поддерживается). Если вы решите попробовать настроить туннель самостоятельно – желаем удачи. При этом любой клиент IPsec даст больше отладочной информации, чем сервер, – ведь журналирование для PPTP и для IPsec не поддерживается!
Если у вас возникла необходимость подключиться к шлюзу VPN в Интернете через маршрутизатор, то оба устройства поддерживают прохождение туннелей только PPTP и IPsec, без L2TP. Обе компании заявляют, что жёсткого ограничения на количество одновременных подключений нет, равно как нет ограничения на количество удалённых шлюзов. Поскольку виртуальные серверы не поддерживают протоколы PPTP и IPsec, то о размещении шлюза VPN внутри сети следует забыть.
Производительность VPN
На Рис. 10 показаны графики пропускной способности, полученные при помощи Chariot для туннеля PPTP в обоих направлениях (мы использовали BOSS).
Результаты тестирования пропускной способности VPN
Производительность VPN Версия прошивки: 1.39 |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](Актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](Потерянных данных- %) |
WAN-LAN | 3,2 | 4 (сред.) 5 (макс.) |
259 | 47 % |
LAN-WAN | 2,6 | 3 (сред.) 5 (макс.) |
266 | 46 % |
[Детальное описание тестирования можно найтиздесь]
Рис. 10. BOSS – пропускная способность туннеля PPTP.
Клиентом PPTP был ноутбук на базе процессора Intel Celeron с тактовой частотой 1 ГГц, под управлением WinXP Home, при тестировании использовался стандартный клиент Microsoft PPTP. Отметим также, что результат был получен при отсутствии другого трафика, проходящего через маршрутизатор, и на системах ничего, кроме конечных точек и консоли Chariot, запущено не было. Конечно, максимальной пропускной способности 3,2 Мбит/с достаточно для большинства широкополосных подключений, но это значение в два с лишним раза меньше полученного нами при тестировании USR8200. Производительность при работе с потоковыми данными оказалась неудовлетворительной: при передаче тестового потока 500 Кбит/с реальная скорость оказалась примерно вдвое ниже, при этом около половины данных было потеряно.
Хотя мы так и не смогли протестировать пропускную способность туннеля IPsec, мы уверены, что она оказалась бы ещё ниже, – ведь IPsec использует более ресурсоёмкое шифрование по сравнению с PPTP. К тому же, у обеих моделей отсутствует аппаратный сопроцессор шифрования. В документации ASAP/BOSS отмечена поддержка до 20 туннелей IPsec. Но мы как-то сомневаемся, что маршрутизаторы не “захлебнутся” в таком количестве.
Журналирование и прочие функции
Мы не будем подробно рассматривать журналирование – его, практически, нет. Всё, что сохраняется в системном журнале (System Log) – это время начала работы и некоторые события аренды IP-адресов. Что касается оповещения по электронной почте (Event Report), то нам так и не удалось получить какое-либо сообщение, хотя мы сканировали порты обоих продуктов. Единственная функция журналирования, которая нормально работала, – это записи аренды адресов сервера DHCP.
Кроме функций Multi-NAT и IP Alias, о которых мы уже упоминали выше, маршрутизаторы обладают следующими возможностями:
- можно задать до пяти статических маршрутов;
- динамическая DNS поддерживает провайдеры dys, dynDNS, dyns, easydns, justlinux, ods, pgpow и TZO;
- поддерживается управление по протоколу SNMP;
- есть встроенные часы, но они не синхронизируются с серверами NTP.
Производительность маршрутизации
Производительность маршрутизации оказалась на уровне моделей сегодняшнего поколения. В направлении LAN-WAN мы получили 16,3 Мбит/с, а при передаче потока UDP его скорость оказалась лишь немного ниже заданных 500 кбит/с.
Производительность маршрутизации Версия прошивки: 1.39 |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](Актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](Потерянных данных- %) |
WAN-LAN | 16,3 | 1 (сред.) 2 (макс.) |
нет данных | нет данных |
LAN-WAN | 15,3 | 1 (сред.) 1 (макс.) |
497 | 1 % |
[Детальное описание тестирования можно найтиздесь]
Скорость UDP-потока из WAN в LAN нам так и не удалось узнать, что связано с несовместимостью Qcheck и SPI-брандмауэра.
Хранение и доступ к файлам
Как мы надеялись, ситуация с общим доступом к файлам будет лучше, чем с маршрутизацией. Но, увы, и здесь не всё гладко.
На Рис. 11 показан первый экран настройки NAS, на котором можно разрешить общий доступ к файлам (file sharing), а также установить время ожидания перед отключением диска, инициализировать диск и узнать его объём. К сожалению, дисковые квоты не поддерживаются. Уровней предупреждения об оставшемся свободном пространстве тоже нет.
Рис. 11. BOSS – инициализация жёсткого диска.
В разделе дополнительных настроек (Advanced Settings) на Рис. 12 можно включить и настроить протоколы, использующиеся для общего доступа к файлам (NetBIOS, AppleShare over IP и NFS), а также встроенный сервер FTP.
Рис. 12. BOSS – дополнительные настройки NAS.
Однако мы были просто шокированы, когда первый же скан выявил доступность портов общего доступа с внешней стороны маршрутизатора! Это абсолютно неприемлемо с точки зрения безопасности! Ведь открытие любого из этих портов, практически, гарантирует, что сеть станет доступной для толп непрошенных гостей.
5 марта Tritton и ioGEAR выпустили новые версии прошивок, в которых решены описанные выше проблемы безопасности. К сожалению, мы пока не успели их протестировать. Подробнее о новой прошивке для Tritton можно узнать здесь, а о прошивке для ioGEAR – здесь.
Если порт открыт, то единственным барьером перед получением доступа к сети является лишь комбинация имени пользователя и пароля – а их можно подобрать. Можете забыть о фильтрации IP-портов – она не влияет на файловые службы.
Важно также заметить, что разрешения для пользователя или группы распространяются на все сервисы. При включении сервера FTP мы обнаружили, что для анонимного пользователя был разрешён доступ не только для чтения, но и для записи. Как оказалось, гостевая учётная запись, позволяющая подключаться по локальной сети без пароля, действует и для FTP-сервера. То есть ваши файлы будут открыты для любого пользователя из Интернета!
Когда мы сообщили о проблеме обоим производителям, то получили довольно любопытные ответы. Как указала ioGEAR, открытие портов доступа к файлам необходимо “при использовании SAMBA”. Tritton же решила отмолчаться. Что касается анонимного доступа к FTP, то, как считает ioGEAR, данный продукт “не предназначен для обеспечения безопасности”. Но как же тогда быть с поддержкой безопасности конечных точек PPTP и IPsec?
К чести ioGEAR, отметим, что компания работает над улучшением безопасности и добавит в комплект поставки специальный листок, описывающий указанные проблемы. Вообще, как мы подозреваем, эти проблемы будут перенаправлены OEM/ODM-производителю этого продукта, так что вполне вероятно появление исправленных версий и от других компаний (от той же Tritton, скажем).
Рис. 13. ASAP – управление доступа к файлам.
На Рис. 13 показаны параметры управления доступа (Access Control) к файлам, хранящимся на ASAP и BOSS. К сожалению, здесь можно устанавливать разрешения только на уровне каталогов. Отрадно видеть, что, помимо отдельных пользователей, поддерживаются и группы. Как мы уже упоминали, эти разрешения распространяются на все протоколы.
В последней прошивке ASAP возможности маршрутизатора расширились встроенным web-сервером (Рис. 14). BOSS в этой области похвастаться нечем.
Рис. 14. Настройки Web-сервера у ASAP.
При включении web-сервера и задании номера порта на диске автоматически создаётся папка “www” с разрешением гостевого доступа к ней. При этом в брандмауэре ASAP открывается соответствующий порт для доступа к серверу из Интернета. Поскольку разрешения пользователей распространяются на все службы, то при этом вы включите анонимный доступ и к FTP-серверу – великолепная особенность!
Если запретить гостевой доступ, то анонимный доступ к FTP заблокируется, а просмотр содержимого web-страниц останется доступным для счастливых пользователей Internet Explorer. Когда мы попытались просмотреть только что закачанную страничку index.html с помощью Mozilla, то получили код HTML вместо нормальной страницы! А если вы попытаетесь обратиться по IP-адресу из любого браузера, то не получите автоматического отображения index.html – хотя в руководстве сказано обратное.
Производительность общего доступа к файлам
Нам предстоит протестировать ещё достаточно много NAS, поэтому мы решили выбрать более точную методику измерения производительности, нежели простое копирование “drag-and-drop”. В результате поисков мы остановились на тесте IOzone. Методика тестирования описана здесь, поэтому перейдём непосредственно к результатам.
IOzone запускает серию тестов чтения и записи, при которых используются разные размеры файлов. Для наглядности на графиках показаны только значения записи/чтения для разных размеров файлов вплоть до 4 Мбайт. Отметим, что ось Y имеет логарифмическую шкалу, чтобы график был более компактным.
Рис. 16: Сравнение производительности чтения при размере файла до 4 Мбайт
Скорость считывания (Рис. 16) оказалась вполне предсказуемой, и для обоих устройств находилась в пределах 1,1 – 1,8 Мбайт/с. Этот результат оказался немного лучше, чем при использовании общей папки Win98SE, но ниже, чем при использовании общей папки в WinXP, где средний результат составил 9 Мбайт/с.
К сожалению, нам не с чем сравнить эти результаты, поскольку раньше мы не тестировали NAS при помощи IOzone. Впрочем, если вы использовали общий доступ к папкам на машинах с Windows, то в большинстве случаев существенных различий вы не заметите.
Заключение
Как многие уже поняли, ни одна из этих моделей не произвела на нас особого впечатления.
Встроенный брандмауэр недостаточно функционален, да и настраивать его сложнее, чем у раздельных маршрутизаторов (более дешёвых, кстати).
Пропускная способность туннеля PPTP оказалась на приемлемом уровне, но IPsec мы так и не смогли заставить работать.
К сожалению, доступ к файловым службам нельзя ограничить только сегментом локальной сети. Что ещё обиднее – при включении эти службы сразу же становятся доступными из Интернета. Учётные записи едины для всех служб, что тоже очень опасно.
Цена на устройства довольно высока – нам удалось найти ASAP и BOSS за $360 и $328, соответственно. Большинство сегодняшних NAS с дисками по 120 Гбайт стоят около $300, а стоимость маршрутизатора с конечной точкой IPsec составляет, по меньшей мере, $50. При покупке ASAP/BOSS вы также получаете в своё распоряжение FTP-сервер и конечную точку PPTP VPN. (Конечно, можно всё сделать дёшево и сердито, если использовать слабый ПК с Linux.)
Но до тех пор, пока проблемы с безопасностью не будут решены, мы бы не стали рекомендовать к покупке оба устройства.
Итоговая информация о продуктах | |
Модели | ioGEAR’s BOSS и Tritton’s ASAP |
Итог | Маршрутизаторы с поддержкой SPI-NAT, конечными точками PPTP VPN и 120 Гбайт NAS. Также поддерживают web- и FTP-серверы. |
Преимущества | – Быстрая скорость маршрутизации – Поддерживает два адреса WAN IP (Multi-NAT) – Цена сравнима с раздельными решениями |
Недостатки | – Доступ к файлам открывается и из Интернета – Нет DMZ – Нет перенаправления диапазона портов – Ограниченное управление доступа к файловым ресурсам – Для управления нужен Internet Explorer |
Розничная цена | $360 и $328 (США) |