Маршрутизатор ASUS Internet Security Router SL1000
Редакция THG,  12 июня 2004


Введение

Введение

Компания ASUS сегодня делает всё возможное, чтобы укрепить свои позиции на рынке сетевого оборудования. Ранее мы уже рассматривали беспроводные точки доступа WL-300g и WL330, и, надо сказать, их аппаратная реализация нам весьма понравилась, мы обратили внимание на множество толковых решений, но заметили также, что компании есть, над чем поработать в отношении программной части.

Маршрутизатор SL1000 сохранил тенденции - он сочетает прекрасную аппаратную часть и не столь хорошую программную реализацию. Хотя в этот раз пользовательский интерфейс оказался ещё менее дружественным.

Примечание Примечание. SL1000 также доступен в урезанной версии - SL500. Единственное отличие SL500 от SL1000 состоит в том, что он поддерживает только пять туннелей IPsec, в то время как SL1000 может работать с двадцатью пятью.

Основные характеристики

SL1000 поставляется в серебристом пластиковом корпусе, размером, примерно, с книгу. На нижней части устройства можно увидеть петли для монтажа на стену, а сбоку располагаются две выдвигающиеся ножки для настольной установки. Мы отдаём должное ASUS за инновационный дизайн, но также рекомендуем пользователям быть осторожным. Поскольку ножки не слишком широки, маршрутизатор под весом кабелей может упасть на пол и даже разбиться.

Все индикаторы расположены на лицевой панели и имеют широкий угол обзора. Для порта WAN и для каждого из четырёх портов LAN предусмотрены индикаторы Соединение/Передача (Link/Activity), а также есть Питание (Power) и Тревога (Alarm).

Сзади расположены четыре порта 10/100 LAN, порт 10/100 WAN, разъём питания, выключатель и клавиша сброса настроек. Все порты имеют функцию автоматического определения MDI/MDI-X, хотя в документации ASUS не сказала о ней ни слова. Кроме того, на задней панели расположен разъём RJ45 с надписью "Консоль" (Console). Представители ASUS сообщили, что он предназначен для отладки, а не для использования конечными пользователями.

Внутреннее устройство

На рынок постепенно выходят всё более и более мощные сетевые процессоры, которые позволяют в значительной степени упростить дизайн платы. На Рис. 1 видно, что SL1000 построен на базе процессора Philips PTD2210 Gateway-on-a-chip, работающего на частоте 133 МГц.

Чип Philips представляет собой микроконтроллер MIPS с несколькими удачными решениями, включая аппаратную поддержку IPsec с алгоритмами шифрования и хеширования DES, 3DES, MD5 и SHA-1. В разделе "Производительность" мы расскажем, насколько эффективным оказалось такое решение!

Нажмите для увеличения изображения
Рис. 1. Плата SL1000 (и 500).

Для порта WAN используется чип физического уровня Realtek RTL8201BL 10/100 Ethernet, порты коммутатора используют контроллер Realtek RTL8305SB - 5-портовый 10/100 контроллер Fast Ethernet. Также на плате расположены модули памяти RAM 4MB X 32 и флэш-память.

В качестве операционной системы для SL1000 выбрана Linux, точнее, Philips Linux Software Release 3.0. Этот релиз включает брандмауэр iGateway от Intoto и поддержку IPsec VPN от SSH (после её продажи SafeNet).

ASUS прислала нам обе модели SL500 и SL1000, поэтому, мы получили возможность проверить производительность туннелей IPsec между маршрутизаторами. Следуя нашей традиции, мы разобрали оба маршрутизатора, но их платы показались нам одинаковыми. Различие заключалось в маркировке флэш-памяти, и, конечно, надписи "SL500" на плате.

Настройка и администрирование

Нам придётся начать этот раздел со следующего комментария: во время изучения функций и возможностей маршрутизатора нам пришлось неоднократно бороться с его интерфейсом. Хотя мы и не являемся гениями, но через нашу лабораторию прошёл всё же не один десяток маршрутизаторов класса SOHO. Мы отнесли SL1000 к классу "продвинутых" моделей по функциональности, чего нельзя сказать о простоте использования.

Как мы полагаем, проблемы SL1000 связаны с ручной настройкой параметров, которые у других маршрутизаторах выставляются автоматически.

По умолчанию SL1000 настроен на использование IP-адреса 192.168.1.1, встроенный сервер DHCP включён, соединение WAN настроено на использование подключения PPPoE. После ввода имени пользователя и пароля по умолчанию вы попадёте на страницу Мастера настройки, который поможет последовательно задать пароль, информацию о системе, дату/время, внутренний IP-адрес, настройки сервера DHCP и настроить внешнее подключение WAN. Результаты настройки отобразятся на странице информации о системе (Рис. 2).

Примечание Примечание. Внимательные читатели заметили, что IP-адрес на скриншоте отличен от 192.168.1.1. Мы специально изменили его для тестирования туннелей IPsec между SL1000 и SL500.

Настройка и администрирование
Рис. 2. Информация о системе.

Интерфейс настройки напоминает Windows Explorer, весьма удобно отображая текущее положение и всевозможные разделы. Но в этот раз обновление страниц требовало слишком много времени - довольно странная ситуация, учитывая мощность процессора.

Мы также заметили, что для работы с интерфейсом следует использовать в качества браузера Internet Explorer. При использовании Mozilla (1.6b или 1.7b) на некоторых страницах интерфейса не отображается часть переключателей. Также мы заметили, что в интерфейсе используется фиксированный размер шрифта, это конечно не проблема при использовании Mozilla с возможностями масштабирования текста, но в IE недостаток становится существенным.

Настройка и администрирование
Рис. 3. Доступ через Telnet.

Маршрутизатором можно управлять через командную строку - с помощью протокола Telnet (Рис. 3), включая доступ к оболочке Linux. Команды интерфейса не перечислены в руководстве пользователя, но если набрать "?", то можно всё же увидеть список доступных команд, что позволит пользователям, знакомым с Linux, достаточно быстро разобраться в интерфейсе. Аналогичного эффекта можно добиться, присоединив консольный кабель к порту Console на задней панели маршрутизатора. В качестве терминального приложения можно использовать, например, Terra Term или Hyper Terminal.

Как мы уже упоминали, интерфейс показался нам слишком медленным, хотя перезагрузки страниц, необходимые для сохранения изменений, выполнялись достаточно быстро. Маршрутизатор позволяет осуществлять множественные административные входы, при этом никак не сообщая о них. Интервалов активности административного интерфейса не предусмотрено, поэтому для выхода следует использовать соответствующую кнопку.

Для внешнего доступа можно выбрать (Рис. 4) динамический IP, статический IP и PPPoE (по умолчанию).

Настройка и администрирование
Рис. 4. Настройка PPPoE WAN.

Маршрутизатор позволяет клонировать MAC-адрес, но только для подключений с динамическим IP.

Дополнительные функции

С точки зрения функциональности, SL1000 буквально напичкан различными возможностями, по крайней мере, для большинства пользователей SOHO. В частности, настройка multi-NAT оказалась довольно сложной, поскольку SL1000 поддерживает пять режимов NAT (Network Address Translation - Трансляция сетевых адресов):

  • статический (один к одному) NAT;
  • реверсивный статический NAT;
  • динамический NAT (m к n);
  • NAPT (трансляция адресов и портов) / PAT (трансляция портов Port Address Translation);
  • Реверсивная трансляция NAPT/ виртуальный сервер (Reverse NAPT/Virtual Server).

Режим NAPT/PAT представляет собой то, что можно встретить в большинстве потребительских маршрутизаторов, и позволяет использовать один IP-адрес для выхода в сеть нескольких клиентов. Реверсивный NAPT - это всего лишь технически правильное название привязки портов или функции виртуального сервера, использующихся в маршрутизаторах уровня SOHO - эта функция позволяет предоставлять доступ к серверам, находящимся в сегменте LAN, из Интернета.

SL1000 - это не первый маршрутизатор с возможностью multi-NAT, попавший к нам, но его интерфейс легко может сбить с толку. В то время как другие продукты для привязки групп локальных адресов к нескольким внешним адресам используют отдельный экран, ASUS решила объединить статический и динамический режимы NAT в правила списков доступа ACL (Access Control List), использующихся для ограничения данных, проходящих через межсетевой экран.

Такой способ позволяет более эффективно использовать и управлять несколькими внешними IP-адресами, которые могут быть у вас, но, в то же время, без необходимости усложняет настройку для большинства пользователей с одним адресом. Настройка осуществляется в разделе брандмауэра, подробнее на этом мы остановимся позже.

Ещё одна интересная возможность, по крайней мере, для нас, заключается в правилах доступа к маршрутизатору (Self Access). Вообще, в отношении безопасности ASUS не в чем упрекнуть, включая доступ непосредственно к движку маршрутизации SL1000! Предустановленные правила показаны на Рис.5. Как видно, клиентам LAN разрешается пользоваться административным интерфейсом (TCP 80 - Web и TCP 23 - Telnet) и даже некоторыми службами, типа DNS (UDP 53). Для большинства пользователей полезной оказалась бы а колонка с пояснением назначений протокола/порта, по которому планируется разрешить/запретить доступ к маршрутизатору. Отметим и такую неприятную деталь, как невозможность отключения правил доступа, то есть запрета доступа и из LAN, и из WAN, для этого требуется удалять правило, что не всегда удобно.

Дополнительные функции
Рис. 5. Правила доступа к маршрутизатору.

Отметим, что снаружи открыты только два порта: UDP 500 (ISAKMP) и 520 (RIP), поэтому для открытия других портов WAN необходимо настроить соответствующие правила - в том числе, и для администрирования SL1000 снаружи. Хотя это позволяет дополнительно повысить уровень безопасности, в то же время, перед нами функция, которая осложняет то, что должно быть заведомо простым.

Межсетевой экран

Межсетевой экран SL1000 - это, пожалуй, наиболее мощная и сложная в настройке часть маршрутизатора. Весь трафик, проходящий через маршрутизатор - как входящий, так и исходящий - контролируется списками правил доступа (Access Control List - ACL). Списки используются как для фильтрации по порту/службе, так и для привязок портов/виртуальных серверов. Они также используются и для настройки multi-NAT.

Такое решение, вероятно, покажется удобным для тех, кто ранее имел дело с межсетевыми экранами и маршрутизаторами NAT уровня предприятия. Но те, кто видел лишь устройства уровня SOHO, могут запутаться при поиске экрана настройки списков доступа, на котором содержатся дополнительные и, в принципе, не нужные для большинства сценариев параметры. Однако положительным моментом здесь является то, что списки доступа позволяют точно определять каким пакетам куда разрешено "ходить". С другой стороны, при настройке придётся определять ACL даже в тех случаях, когда это абсолютно не требуется в других продуктах.

На экране управления списками входящего трафика (Рис.6), который используется для открытия портов для внутренних серверов, можно увидеть почти все функции брандмауэра.

Нажмите для увеличения изображения
Рис.6. Правила входящего трафика.

Фильтрация портов (контроль доступа) настраивается на экране списков ограничения исходящего трафика (Рис.7), который, по сути, не отличается от экрана входящего трафика. Нам пришлось настроить показанные ниже правила, чтобы трафик VPN смог проходить через межсетевой экран SL1000 (подробнее остановимся на этом позже).

Межсетевой экран
Рис.7. Правила исходящего трафика.

В сравнении с тем, что обычно можно увидеть на странице привязок портов, страница SL1000 ACL позволяет настроить много больше. На Рис.6 показан ACL, в котором разрешён доступ из Интернета на сервер FTP с внутренним IP-адресом 192.168.2.11, находящемся в сегменте LAN.

Правила ACL позволяют предусмотреть практически все ситуации, которые могут произойти с пакетом при прохождении его через межсетевой экран. Ниже приведён список того, что можно выбрать для каждого селектора.

  • Адрес источника (Source IP): Любой (Any, IP), Подсеть (Subnet), Диапазон (Range), Пул IP-адресов (IP Pool)
  • Адрес узла назначения (Destination IP): Любой (Any, IP), Подсеть (Subnet), Диапазон (Range), Пул IP-адресов (IP Pool)
  • Порт источника: Любой (Any), Одиночный (Single), Диапазон (Range)
  • Порт назначения: Любой (Any), Одиночный (Single), Диапазон (Range), Служба (Service)
  • NAT: Не используется (None), IP-адрес (IP address), Пул NAT (NAT Pool)

Если не выбирать Службу (Service) для порта назначения в примере с FTP, то придётся воспользоваться селектором Протокола (Protocol) , позволяющим выбрать один из следующих пунктов: Все(All), TCP, UDP, ICMP, AH и ESP. Список доступа исходящего трафика выглядит почти так же, за исключением того, что селектор NAT позволяет выбрать ещё и Интерфейс (Interface) .

Здесь следует объяснить некоторые термины. Пул IP-адресов (IP pool) определяет группу IP-адресов, которые задаются подсетью, диапазоном или даже одним IP-адресом - последняя опция довольно удивительна. Вообще, мы бы хотели получить возможность задания списка IP-адресов, а не диапазонов. Пул NAT - ещё одна опция, позволяющая задавать группы IP-адресов LAN и WAN, которые используются в конфигурации Multi-NAT.

Фильтры приложений (Application Filters) могут быть связаны со списками ACL для фильтрации команд FTP и SMTP, расширений файлов HTTP и служб RPC. То есть для фильтров FTP, SMTP и RPC маршрутизатор SL1000 позволяет пропустить или запретить команды, соответствующие фильтру, в то время как у протокола HTTP - только заблокировать файлы с определёнными расширениями.

Межсетевой экран
Рис. 8. Пример фильтра HTTP.

На Рис. 8 показан фильтр HTTP, который блокирует расширения .java, .jar и .swf (Flash).

Обратите внимание, что вы можете включить журнал ACL (Log), а также применять ACL и к трафику, проходящему через туннель IPsec.

Введя необходимые фильтры, вы также можете использовать функцию расписания (Time Ranges), которая позволяет привязывать один из трёх запрограммированных промежутков времени к любому правилу ACL. Однако промежутки задаются просто днём "от" и днём "до", включая точное время, - для некоторых пользователей это покажется слишком ограниченно.

Мы ещё пропустили шлюз уровня приложения (Application Layer Gateway, ALG), поскольку он не имеет настроек в административном интерфейсе. ALG представляет собой динамические привязки портов, которые включаются при прохождении определенных исходящих пакетов. Довольно полезная функция для приложений типа игр или видеоконференций, когда необходимо динамически открывать порты на брандмауэре маршрутизатора. Вообще, мы эту функцию не тестировали, так что оставим корректность её работы Asus.

Пожалуй, единственное, что невозможно сделать при помощи списков доступа, - это ограничение содержания, которое настраивается средствами относительно недоработанной функции фильтрации URL (Рис.9), надеемся, с выходом новых прошивок ситуация изменится.

Межсетевой экран
Рис.9. Фильтрация URL.

Всего допускается задать до десяти строк по 15 символов, после чего фильтры можно редактировать или удалять, но нельзя отключать. При срабатывании фильтра браузер отобразит сообщение "Access Denied by ASUSTeK Internet Security Router". Фильтр срабатывает тогда, когда строка символов обнаруживается в любой части запрошенного URL. Однако мы заметили, что фильтры можно достаточно просто обходить, указав IP-адрес сайта вместо URL.

Встроенный фильтр атак DoS, по сути, позволяет настроить возможности SPI (Stateful Packet Inspection). Кнопка помощи (Help) выдаёт короткие, но информативные описания каждого пункта, большинство из которых отключены по умолчанию, как показано на Рис.10.

Межсетевой экран
Рис.10. Экран фильтра DoS-атак.

Единственный "exploit" которым мы решили проверить эту функцию, - это сканер портов, при помощи него мы просканировали порт WAN у SL1000. Атака была занесена в журнал.

Даже при таком огромном наборе функций брандмауэр SL1000 всё же не позволяет реализовать некоторые возможности. Например, здесь нет функции loopback, то есть возможности доступа внутренних клиентов к внутренним серверам по их внешним адресам (или доменным именам).

С точки зрения использования функций, хотелось бы увидеть возможность отключения правил доступа вместо необходимости их удалять. Подтверждение перед удалением правила тоже не было бы лишним.

Вам придётся долго привыкать к интерфейсу и навигации по такому морю настроек. Например, что нам не понравилось, при настройке списков доступа необходимо указывать WAN IP маршрутизатора в качестве адреса узла назначения (Destination IP) для входящих правил ACL. Поскольку большинство провайдеров присваивают IP-адреса динамически, эти правила могут перестать работать при смене адреса или установлении нового подключения PPPoE. Было бы гораздо удобнее указать только порт для соединения WAN, вместо указания ещё и IP-адреса.

К чести ASUS, компания пытается решить проблемы при помощи подробных описаний каждой функции с наглядными примерами в бумажной версии руководства пользователя. Кроме того, есть онлайновая справка, которая в некоторых случаях нам показалась более полезной, чем бумажное руководство. ASUS сообщила, что готовится ещё одно руководство и вопросы-ответы, которые планируется предоставить для общего доступа с выходом SL1000 в продажу.

Удалённый доступ

Перед тем, как перейти к функциям VPN, потратим ещё пару минут на особенные функции SL1000. Удалённый доступ (Remote Access) представляет собой простое незащищённое соединение, устанавливаемое при помощи аутентификации по имени пользователя и паролю, которое используется для контроля клиентов LAN и доступа к службам локальной сети со стороны WAN.

Вы получаете своеобразный выбор между полным отсутствием безопасности и туннелем VPN, и, как только настройка выполнена, она может стать достаточно полезной. Однако следует помнить, что имя пользователя и пароль передаются в открытом виде, поэтому этот способ не следует использовать там, где необходима повышенная безопасность. Поддержка протокола HTTPS оказалась бы очень кстати. К тому же возможность подключения через SSH тоже бы прибавила плюсов данному маршрутизатору.

Удалённый доступ
Рис.11.Настрока пользователей и групп.

На Рис.11 показано, как можно задавать группы (Groups), указывать пользователей (Users) и назначать им пароли. После создания пользователя или группы вы в любой момент можете удалить запись или временно заблокировать доступ. Также для группы можно указать список доступа ACL для определения доступных служб (списки отличаются от рассмотренных ранее списков входящего и исходящего трафика лишь наличием ещё одного параметра Группа (Group)).

После настройки всего этого хозяйства, удалённый пользователь может перейти по определённому URL, после чего он попадёт в систему авторизации маршрутизатора. Затем пользователь может обратиться к службам или клиентам LAN, указанным в списке доступа.

Хотя подобное решение достаточно интересно, в его реализации мы обнаружили ряд проблем. Правило доступа, указанное нами для получения доступа к общим файлам Windows, не потребовало аутентификации для его включения, однако групповое ограничение доступа к FTP работало, как ему и положено. Мы также заметили, что после однократного ввода имени пользователя и пароля в окне Internet Explorer нам не потребовалось вводить их снова после выхода, до тех пор, пока мы не закрыли браузер. Всё, что требовалось, - снова щёлкнуть по ссылке страницы авторизации, после чего правило активировалось.

Можно использовать удалённый доступ и через туннель IPsec, но, честно говоря, у нас так и не хватило терпения настроить эту функцию.

Возможности VPN

Одна из уникальных возможностей SL1000, которая, вероятно, привлечёт внимание многих потенциальных покупателей, - это феноменальная производительность VPN. Обратимся сначала к настройкам туннеля.

SL1000 поддерживает до двадцати пяти туннелей IPsec между двумя маршрутизаторами или между маршрутизатором и удалённым пользователем. На Рис.12 показаны параметры настройки при использовании пароля (Pre-shared Key), а на Рис. 13 - параметры ручного задания ключа.

Нажмите для увеличения изображения
Рис.12. Пример настройки VPN между двумя маршрутизаторами.

Нажмите для увеличения изображения
Рис.13. Настройка туннеля с указанием ключей вручную.

Вместо того чтобы сделать отдельные переключатели для параметров IKE и IPsec, здесь используются выпадающие меню с предустановками. Насколько мы можем судить, все комбинации, которые могут потребоваться, в списке присутствуют, но используемая терминология не позволяет с ходу разобраться, что есть что.

Для IKE с паролем (Pre-shared key) можно использовать шифрование DES или 3DES совместно с аутентификацией SHA-1, MD5 или Diffie-Hellman Groups 1, 2 или 5. IPsec может использоваться как без шифрования, так и с шифрованием DES или 3DES, что касается аутентификации, то здесь также можно её не использовать, а можно воспользоваться SHA-1 или MD5, а также инкапсуляцией данных в пакеты AH или ESP.

Интерфейс позволяет указать ещё ряд редко встречающихся параметров, например Chained Authentication Header и Xauth (они скрыты в разделе настроек Aggressive IKE), а также Perfect Forward Secrecy (PFS). Мы не увидели переключатель, включающий широковещание NetBIOS, которое необходимо для просмотра сети Windows (Сетевое окружение). Но вам ничто не мешает установить сервер WINS в одном из сегментов и настроить правила для разрешения имён и репликации листа работающих машин. Иначе, вам нужно знать IP-адреса компьютеров, на которых созданы общие ресурсы, или настроить фильтры входящего и исходящего трафика на пропускание NetBIOS (протоколы TCP и UDP, порты 135, 137-139 и 445). Следует отметить, что аутентификация с использованием сертификатов не поддерживается.

Пока речь идёт о списках доступа и туннелях IPsec, скажем ещё об одной возможности SL1000, которую мы не видели ни у одного другого устройства класса SOHO со встроенным сервером VPN. Мы потратили достаточно много времени, чтобы настроить туннель, поэтому считаем, что необходимо об этом рассказать.

После установки туннеля IPsec, необходимо настроить списки доступа для входящего и исходящего трафика, чтобы он смог передаваться по туннелю.

И снова здесь мы встречаем пример усложнённой функции, хотя можно было бы сделать её и проще.

Как мы уже упоминали ранее, SL1000 позволяет устанавливать туннели как между сетями (маршрутизаторами), так и между маршрутизатором и удалённым клиентом. При использовании туннеля с удалённым клиентом появляется переключатель групп пользователей (User Group), после чего требуется настроить виртуальный IP для VPN в разделе Удалённый доступ (Remote Access). В общем, от всего этого голова может пойти кругом.

К тому же, SL1000 позволяет создать защищённое подключение удалённых пользователей к вашей локальной сети и в режиме двух маршрутизаторов, но для этого необходимо использовать клиентское приложение VPN. Мы взяли старую версию клиента Sentinel, с помощью которой создали туннель между маршрутизатором и ноутбуком под управлением WinXP.

Совет Совет:: Раньше клиенты VPN стоили ужасно дорого. Но NETGEAR VPN01L (с одной лицензией) или VPN05L (5 лицензий - по сути, розничная версия клиента SafeNet IPsec) предлагаются за весьма умеренную цену (около $40). Если же вы использовали продукты Cisco (и являетесь зарегистрированным пользователем), тогда можете скачать VPN-клиента в реализации этой компании.

Если у вас достаточно терпения, то можно попытаться настроить встроенного клиента IPsec, входящего в состав ОС WinXP/2000, - нам удалось это сделать, но при этом необходимо использовать статические IP-адреса на обоих концах туннеля. Довольно редкая ситуация для мобильных клиентских подключений.

Совет Совет:: подробнее узнать о настройке встроенного клиента IPsec для WinXP можно в нашем руководстве по решению проблем.

Найти ошибки в настройке туннеля IPsec между клиентом и сервером будет проще, если использовать подробную запись процесса настройки VPN. К сожалению, SL1000 не сможет в этом помочь. Конечно, можно использовать встроенную страницу, отображающую события, но мы рекомендуем использовать сервер syslog. Хотя оба способа представляют данные в своём формате, весьма неудобном для чтения.

В заключение, если вы не можете, или не желаете использовать встроенный сервер IPsec VPN SL1000, можно настроить пропускание туннелей VPN, использующих протоколы IPsec, PPTP или L2TP. Если вы хотите заменить SL1000 другим сервером VPN IPsec, то достаточно настроить список доступа входящего трафика, чего нельзя сделать ни для PPTP, ни для L2TP.

Производительность VPN

Выше мы уже восхищались высокой производительностью VPN у SL1000, однако сейчас пришло время обратиться непосредственно к результатам. Рис.14 и 15 говорят сами за себя!

Нажмите для увеличения изображения
Рис.14. Производительность VPN между маршрутизаторами SL1000 и SL500.

На Рис. 14 показаны графики пропускной способности туннеля между маршрутизаторами SL1000 и SL500 при передаче данных от удалённого узла на локальный и наоборот. Оба теста проводились при отсутствии другой активности на маршрутизаторах. Сразу видно, что средняя пропускная способность туннеля составляет около 30 Мбит/с, но заметны также и временные паузы, снижающие среднее значение до 22-25 Мбит/с.

Вероятно, вы заметили странное увеличение скорости работы примерно на тридцатой секунде теста пропускной способности для сценария передачи данных с удалённого узла на локальный (синяя линия), пока мы не можем найти ему объяснение.

Нажмите для увеличения изображения
Рис.15. Производительность VPN между маршрутизатором SL1000 и клиентом Sentinel.

На Рис. 15 показаны графики пропускной способности с удалённого узла на локальный и обратно, но уже с использованием клиента SSH Sentinel (Version 1.3.2 build2), работающего на ноутбуке Dell Inspiron 4100 под управлением WinXP. Пропускная способность в обоих направлениях более постоянна, хотя паузы по-прежнему встречаются.

Согласно документации ASUS, SL1000 способен обеспечить пропускную способность "80 Мбит/с для VPN, 100 Мбит/с при использовании брандмауэра и 90 Мбит/с при - использовании NAT". Как и в случае с другими производителями, мы ожидали, что здесь указаны значения суммарной скорости, а возможно, даже внутренней скорости обработки пакетов. Но суть не в этом. Полученные нами 30 Мбит/с - это лучшее, что нам доводилось когда-либо встретить в маршрутизаторах со встроенными серверами VPN, и удивительно, что такие возможности предоставляет устройство стоимостью около $150 (SL500)! Сегодня данные продукты в Москве можно встретить по цене 110$ за SL500 и 160$ за SL1000.

Кстати, запуск Qcheck показал практически нулевое время отклика при использовании туннельного соединения. Мы пробовали просматривать web-страницы, проверять электронную почту, а также проводить и иные операции во время тестирования туннелей Chariot, но мы не заметили какого-либо влияния на результаты Chariot или задержек в работе.

Журналирование и другие функции

SL1000 имеет довольно хорошие возможности по журналированию, но, опять же, здесь главной проблемой является интерфейс. Встроенная страница журнала (Log) на Рис. 16 не может быть очищена, а новые записи добавляются в нижней её части.

Журналирование и другие функции
Рис. 16. Страница журнала.

На странице журнала можно определить основные категории событий, которые будут отображаться. Как мы уже отмечали выше, вы также можете заносить в журнал события правил ACL. Оповещения по электронной почте не отсылаются, однако вы можете поставить опцию отсылать журнал по почте при достижении размера в 128 кбайт. Мы эту опцию не проверяли, но использовали возможности работы с сервером syslog.

На Рис. 16 вы можете заметить неправильное время. Здесь всё дело в ошибке работы функции, которая должна выставлять часы SL1000 по внешнему NTP-серверу. Asus заверила нас, что эта ошибка будет решена в будущей версии прошивки. Отметим, что до сих пор (версия 1.1.30a.410) очень странно корректируется время.

Помимо журнала, для межсетевого экрана используется отдельная страница статистики, где показаны активные подключения, включая порт и протокол. Подобная страница существует и для VPN, но там отображается уже статистика по пакетам, а также параметры IKE и IPsec.

Для завершения обзора возможностей SL1000 приведём список того, что мы подробно не рассмотрели:

  • до пятидесяти статических маршрутов;
  • поддержка динамического DNS - клиенты dynsns, zonedit и dns-tokyo;
  • сервер DHCP, позволяющий устанавливать время аренды, но не разрешающий выполнять постоянную привязку IP-адресов по MAC-адресам клиентов (исправлено в прошивке 1.1.30a.410);
  • возможность записывать и восстанавливать конфигурацию SL1000 (возможны переносы конфигурации даже с SL1000 на SL500 и обратно).

При подобном обилии функций можно было бы ожидать наличия VLAN и управления потоками в сети в зависимости от портов и протоколов, но Asus остановилась в какой-то момент, поэтому этих функций у SL1000 нет. Следует отметить, что этой функции нет именно в WEB-интерфейсе маршрутизатора. При детальном изучении настроек через терминалы можно обнаружить ещё некоторые интересные функции.

Управление маршрутизатором через Telnet

Давайте более детально рассмотрим возможности, предлагаемые маршрутизатором при доступе к нему через консольный порт или telnet. Следует отметить, что управление данным устройством не вызовет проблем у людей, конфигурировавших оборудование Cisco. Команды возможно сокращать.

Управление маршрутизатором через Telnet
Интерфейс Telnet.

Процедура входа стандартна: авторизация по логину и паролю. Далее предоставляется возможность перехода в привилегированный режим, выхода из сеанса администрирования, либо просмотр текущих настроек. Команда show поддерживает великое множество параметров. Вот их полный список.

Список параметров
hostname Hostname
contact Text for mib object sysContact
location Text for mib object sysLocation
system-desc Text for mib object sysDesc
clock Manage the system clock
version System hardware and software status
line TTY line information
interfaces Interface status and configuration
ip IP information
rip IP information
ppp Show PPP Global Parameters
bridge Display bridge configuration
snmp Display SNMP parameters
access-list Display access list
fixup Display service configuration
time-range Display time range entries
logging Display logging configuration
reassembly Display reassembly configuration
filter Application filtering record
urlfilter Url filter configuration
proxyport The proxy http port configured
service Display service configuration
mime-flood Show the MIME flood detection threshold parameters
limits Display limits on associations
conn Display connection information
userlogin Display information of users logged in
userlogout Display information of last 25 users logged out
timeout Display inactivity timeout records
remote-access Remote Access User-Group Management
users Display management user settings
proposal Display proposals
manual-key Display manual-keys
vpn-access-list show vpn access-list
total-sa-count-stat Dispaly total SA count statistics
global-ipsec-sa-stat Display global IPSEC SA Statistics
ipsec-sa Display IPSEC (SA)'s
ike-sa Show ike (SA)'s
vpn-remote-user Show remote user configuration
vpn-ip-pools Show remote user ip pools
sntp show SNTP servers list or update_time
log Log configuration
log-file File in Flash-file system

Из консоли доступна следующая информация о маршрутизаторе:

UserLocalGateway>sh ver
Chip Version 0
Chip Identifier 4
System Clock 133 MHz
EJTAG0 Configuration CPU3
EJTAG1 Configuration CPU3
Serial Port0 Configuration UART0
Serial Port1 Configuration UART1
Mac0 Address 00:0e:a6:45:8e:2e
Mac1 Address 00:0e:a6:45:8e:2f
MAC1/USB Configuration MAC1
WAN Port Configuration Utopia
Software Version:
Silicon Type typhoon
Release Type GA
Release Version number 4
Major Version number 1
Minor Version number 0
Patch Version number 0
Build Identification number 1007
Date and Time of the Build Mon Jul 26 12:31:46 CST 2004
CPU0 Version TYP_REL_GA.4.1.0.0-1007
CPU1 version TYP_REL_GA.4.1.0.0-1007
CPU Images:
Image File1 vmlinux
Image File2 cpu1
Image File3 noboot
Image File4 cpu3

Из функции sh bri мы узнаём, что возможно лишь 128 динамических записей в таблице моста.

UserLocalGateway> sho bridge
MAC Address: 00:0e:a6:45:8e:2e
Maximum Dynamic Entries: 128

Говоря о пределах, нельзя не упомянуть результат работы функции sh lim.

UserLocalGateway> sh limits
Network CurrCnt Max allowed
Corp 2 310
Ext 0 310
Self 5 160
Ext2Self 0 40
Dmz 0 0

Функция sh conn отображает все текущие подключения. Команды sh userlogin и sh userlogout отображают информацию о вошедших в систему пользователях.

Для перехода в привилегированный режим воспользуемся командой enable. В данном режиме присутствует команда stats, отображающая достаточно полную статистическую информацию о работе брандмауэра, моста, протоколов и много другого.

Посмотрим, что можно настроить через терминал. Для этого переходим в режим конфигурации, то есть выполняем команду configure terminal.

Здесь можно настроить практически всё, что только можно себе представить. Следует особо подчеркнуть, что в консоли мы имеем интерфейс как у Cisco. Администраторам, хорошо знакомым с синтаксисом команд Cisco IOS, не составит труда перейти на данную систему команд.

Мы можем запустить или остановить любые сервисы командой service servname, где servname может принимать значения:

dhcp Enable DHCP server
dns Enable DNS relay agent
snmp Modify SNMP parameters
firewall Enable firewall
vpn Start the vpn service
sntp Enable SNTP
igd UPnP Internet Gateway Device (IGD) service

Особо следует подчеркнуть наличие поддержки UPnP устройств. Хотя их не столь часто можно ещё встретить в наших сетях.

Также приятной особенностью явилось наличие возможности создания статической записи в arp-таблице, что позволяет частично защититься от arp-атак. Однако, эта запись исчезает при перезагрузке маршрутизатора. Не помогает даже функция принудительного сохранения параметров. Служба технической поддержки компании Asys не дала вразумительного ответа на вопрос о возможности сохранения этой записи при перезагрузке.

А теперь посмотрим, что можно настроить для интерфейса. interface ethernet 0. Список подкоманд впечатляет.

exit Privilege mode logout OR return to previous mode
end End current mode and change to privilege mode
ip Interface Internet Protocol configuration commands
no Negate a command
shutdown Shutdown the selected interface
mtu Set the interface Maximum Transmission Unit (MTU)
default Set a command to its defaults
speed Specify the Ethernet speed
bind Bind interface
nameif Specify the type of Network
l2f_ext_add Add to ext list
l2f_ext_modify Modify ext list
l2f_dst_add Add to destination list
l2f_dst_modify Modify destination list
l2f_delete Delete rule
l2f_show List rules
l2f_stats Statistics
l2f_state Default state
l2f_default_action Set Default action

Команды l2f позволяют настроить фильтрацию второго уровня на интерфейсе. Посмотрим на добавление ext (расширенного) правила. Вторым аргументом нужно указать направление следования кадра: extinput или extoutput. Далее действие: разрешение или запрет, и указываем все параметры следования кадра: адреса источника и получателя. Полная команда может выглядеть например так: l2f_ext_add extinput permit src single 00:00:00:11:22:33 any dst single 00:00:00:33:22:11 any. Можно также указать номер позиции, в которую будет вставлено данное правило. От порядка следования правил в таблице зависит то, как будет реагировать фильтр на входящие кадры. Теперь исследуем параметры функции l2f_dst_add. Описание этой функции не достаточно понятно. Насколько удалось выяснить, эта функция разрешает прохождение определённых кадров с указанного интерфейса. Можно указать, является ли это правило временным или постоянным. Примером добавления данного правила может служить строка: l2f_dst_add any any any allowto eth0 entryStatus temporary insertBefore 12. Если посмотреть список функций, доступных для внутреннего Ethernet интерфейса, то можно заметить присутствие ещё одной опции -управления виртуальными сетями VLAN. Это весьма неожиданно для устройства класса SOHO. Ниже приведён список команд, доступных в этом меню.

exit Privilege mode logout OR return to previous mode
end End current mode and change to privilege mode
vid VLAN create command
no Negate a command
enable Enable VLAN Functionality
disable Disable VLAN Functionality
member-set Define memberset for this vlan
pvid Default port VID (PVID)
leak Enable unicast leaky function
arp-broadcast Enable arp broadcast function
tag-aware Enable 802.1Q tag aware function
admit-only-tagged Admit only 802.1Q tagged frames
member-set-filter Enable ingress filtering function

Устройство поддерживает как порт-ориентированные VLAN, так и VLAN на основе меток. Всего можно создать до 4094 виртуальных сетей.

Производительность маршрутизации

Производительность SL1000 в отношении туннелей VPN оказалась впечатляющей, но тестирование маршрутизации сделало устройство ещё более привлекательным. На Рис. 17 показано значение пропускной способности, близкое к скорости работы сети - первое в нашей практике работы с потребительскими маршрутизаторами! Мы можем так говорить, потому что скорость маршрутизации 81-84 Мбит/с - это почти максимум того, что можно ожидать от прямого соединения двух машин с гигагерцовыми процессорами под управлением WinXP, соединённых напрямую кабелем 100 Мбит/с Ethernet.

В таблице производительности маршрутизации показано, что задержки при передаче оказались чрезвычайно малы, и устройство показало прекрасную пропускную способность UDP-потока. Данные о скорости UDP-потока LAN-WAN не указаны из-за того, что Qcheck не может работать с брандмауэрами SPI+NAT и не является проблемой SL1000. Отметим также и то, что тест UDP потока мы запускали при скорости 1 Мбит/с - максимальном значении, которое позволяет задать Qcheck, и даже в этом случае потерь данных не было. С этим мы тоже столкнулись впервые за всё время тестирования маршрутизаторов.

Примечание Примечание: Все тесты проводились при конечной точке LAN, расположенной в DMZ.

Производительность маршрутизации
Версия прошивки: SL1000.1.1.08.410, Nov 5 2003
Описание теста Скорость передачи (Мбит/с) Время отклика (мс) Поток UDP
[10S@500Kbps]
(Актуальная пропускная способность - кбит/с)
Поток UDP
[10S@500Kbps]
(Потерянных данных - %)
WAN-LAN 83,3 1 (сред.)
2 (макс.)
500 0 %
LAN-WAN 86,7 1 (сред.)
2 (макс.)
Н/Д Н/Д

Нажмите для увеличения изображения
Рис. 17. Производительность маршрутизации SL1000

Сначала для тестирования мы использовали одну старую и одну новую машины, в результате мы получили пропускную способность около 30 Мбит/с, что больше, чем может потребоваться большинству пользователей. Поскольку пропускная способность туннеля IPsec и маршрутизации NAT были очень высоки, мы решили посмотреть что будет, если запустить их одновременно. На Рис. 18 - 20 показаны результаты тестирования с использованием различных компьютеров нашей лаборатории.

Нажмите для увеличения изображения
Рис. 18. Использование NAT и VPN - Случай 1.

На Рис. 18 показан результат прогона двух примерно соответствующих пар: между компьютером на базе процессора с частотой 1 ГГц под управлением WinXP (с использованием клиента SSH Sentinel) и ноутбука на базе процессора с частотой 266 МГц тоже под управлением WinXP - для тестирования туннеля IPsec, и 2,4-ГГц Pentium4 WinXP и 733-МГц Pentium III под управлением Win98SE - для тестирования маршрутизации LAN > WAN. Первая пара показала производительность сравнимую с тестированием только-VPN, но машина под управлением Win98SE снизила результат, полученный для маршрутизации NAT.

Отметим также, что при тестировании мы запускали сначала одну пару, а через десять секунд - другую. Мы не смогли увидеть различия, независимо от того, какая пара начинала первой.

Нажмите для увеличения изображения
Рис. 19. Использование NAT и VPN - Случай 2.

На Рис. 19 медленные машины использовались для тестирования пропускной способности туннеля IPsec, а быстрые - для тестирования маршрутизации. На этот раз ничего не мешало маршрутизатору проявить себя! Можно также заметить снижение скорости работы туннеля из-за использования медленного Pentium 266, не позволяющего с достаточной скоростью работать с шифрованием 3DES!

Нажмите для увеличения изображения
Рис. 20. Использование NAT и VPN - Случай 3

И, наконец, на Рис. 20 показан случай, когда сильная и слабая пары поменялись ролями. На этот раз медленная пара достаточно хорошо показала себя при тестировании маршрутизации NAT, хотя и не достигла ограничений SL1000.

В целом, что касается маршрутизации, то SL1000 способен на многое - этот маршрутизатор сможет работать на любой современной выделенной линии. Даже в Японии, где скорости выделенных линий DSL могут достигать 40 Мбит/с, маршрутизатор не станет слабым звеном!

Заключение

Когда мы уже заканчивали этот обзор, нам позвонили представители ASUS и сообщили, что некоторые данные о статусе SL1000 неверны. Также выяснилось, что ASUS признала несовершенство интерфейса SL1000, поэтому выпуск устройства отложен примерно до третьего квартала этого года.

Пока ASUS приложит все свои силы на доработку интерфейса и документации. Таким образом, финальная версия продукта, которую вы сможете увидеть осенью в магазинах, возможно, будет отличаться от присланного нам маршрутизатора. Как по интерфейсу, так и по работе.

Мы надеемся, что интерфейс будет существенно изменён и позволит без труда использовать все возможности, предоставляемые маршрутизатором, сохранив при этом беспрецедентное соотношение цена/ производительность, которое показал SL1000 в его нынешнем исполнении. Думаем, что с выходом окончательной версии маршрутизатора, мы вновь его протестируем.

Редакция THG.ru благодарит Максима Климанова за ценные дополнения статьи.

Итоговая информация о продукте
Производитель ASUS
Модель SL1000
Итог Маршрутизатор с сервером VPN IPSec, поддерживающим до 50 туннелей с очень высокой пропускной способностью. Есть вариант с поддержкой пяти туннелей - SL500.
Преимущества - Пропускная способность туннеля IPSec составляет около 30 Мбит/с
- гибкая поддержка multi-NAT
Недостатки - Настройка межсетевого экрана слишком запутанна
- Для настройки необходимо использовать IE
Розничная цена $160, SL500 около $110

КОНЕЦ СТАТЬИ


Координаты для связи с редакцией:

Общий адрес редакции: thg@thg.ru;
Размещение рекламы: Roman@thg.ru;
Другие координаты, в т.ч. адреса для отправки информации и пресс-релизов, приглашений на мероприятия и т.д. указаны на этой странице.


Все статьи: THG.ru

 

Rambler's Top100 Рейтинг@Mail.ru