Введение
Компания OvisLink достаточно широко известна в Европе и Азии, чего нельзя сказать про США и Россию. Она выпускает широкий ассортимент продукции для проводных и беспроводных сетей. В нашу лабораторию попал мультимедиа/VPN-маршрутизатор MU-9000VPN eLive, выделяющийся среди конкурентов множеством различных функций.
Примечание. 9000VPN также выпускается в варианте WMU-9000VPN, который может работать в беспроводной сети 802.11g благодаря mini-PCI модулю на базе чипа Conexant PRISM. Все остальные возможности 9000VPN и WMU-9000VPN идентичны.
Основные характеристики
9000VPN имеет симпатичный голубой корпус из пластика, с площадью основания с небольшую книгу и высотой около трёх сантиметров. На нижней части корпуса имеются отверстия для настенного монтажа. Возможность вертикальной установки не предусмотрена.
Все индикаторы расположены на передней панели, имеют достаточную яркость и широкий угол обзора. Для каждого из четырёх портов LAN и порта WAN на устройстве есть индикаторы подключения/активности и 10/100. Кроме того, присутствуют индикаторы питания, статуса и PPPoE. Есть ещё два индикатора электронной почты, но на них мы остановимся позже.
Задняя панель 9000VPN немного интересней. Кроме вполне ожидаемых четырёх портов 10/100 LAN, одного порта 10/100 WAN, разъёма питания и кнопки перезагрузки/сброса настроек, на ней находятся четыре порта Hi-Speed USB и 6-контактный разъём питания, похожий на разъём питания жёсткого диска. Отметим, что все порты LAN имеют возможность автоматического определения MDI/MDI-X, хотя OvisLink не указала это в документации.
Внутреннее устройство
На Рис. 1 видно, что 9000VPN выполнен на основе процессора Brecis MSP2006 Multi-Service с частотой 170 МГц. MSP2006 является микроконтроллером MIPS, разработанным для точек доступа и беспроводных маршрутизаторов, и имеет два интерфейса: 10/100 Ethernet PHY и PCI. Однако он не содержит сопроцессора шифрования, что негативно сказывается на производительности туннелей IPsec (вы увидите это позже).
Рис. 1. Плата MU-9000VPN.
Порты WAN и LAN работают с одним чипом коммутатора, который скрыт под радиатором (см. фото). Поддержка USB реализована средствами host-контроллера VIA Vectro VT6212 USB 2.0, устройство имеет 32 Мбайт флэш-памяти и 256 Мбайт ОЗУ.
В WMU-9000VPN устанавливается та же плата, на которую установлен слот mini-PCI с радиомодулем FiWin WM680-110. На фотографии заметно место для его монтажа.
Настройка и администрирование
Совет. Интерфейс администрирования 9000VPN может посмотреть каждый желающий, воспользовавшись онлайновой демонстрацией OvisLink.
По умолчанию у 9000VPN выставлен IP-адрес 192.168.1.254, встроенный сервер DHCP включён, выбран тип внешнего соединения WAN со статическим адресом (Static). После указания пароля по умолчанию, вы переместитесь на страницу быстрой настройки “Quick Setup” (Рис. 2).
Рис. 2. Страница быстрой настройки.
Маршрутизатор поддерживает несколько типов соединения WAN:
- статическое;
- DHCP (с возможностью задания имени хоста);
- PPTP – DHCP и статический;
- кабель Big Pond;
- L2TP – DHCP и статический.
Рис. 3. Настройка L2TP WAN.
Поскольку L2TP используется не так часто, как другие протоколы, мы решили показать его настройку на Рис. 3. Как видно, параметры очень похожи на PPTP. Отметим, что для всех типов соединения поддерживается изменение размера MTU и MAC-адреса порта WAN . При тестировании мы использовали DHCP. Маршрутизатор без всяких проблем получил IP-адрес от сервера DHCP в LAN.
Интерфейс настройки оказался достаточно быстрым, изменения на каждой странице происходят почти мгновенно. Однако в интерфейсе нет упоминания о том, что изменения нужно сохранять ещё и во флэш-памяти с помощью ссылки “Сохранить изменения/ Save Changes”. Мы довольно долго мучались, прежде чем поняли причину потери конфигурации при перезагрузке маршрутизатора.
Что касается браузеров, то у нас не возникло проблем при использовании IE или Mozilla (OvisLink сообщает о поддержке Mozilla 1.0, Netscape 7.0 и IE 6.0 прямо на странице входа), однако для работы необходимо включить cookies и Javascript.
Устройство позволяет выполнять несколько одновременных административных входов, при этом какое-либо предупреждение не появляется. Через 10 минут бездействия сеанс автоматически завершится, кстати, этот интервал можно изменять от 3 до 35791 минут на странице Maintenance > System Management Setting. Кроме того, для завершения сеанса можно воспользоваться кнопкой “logout” или просто закрыть окно браузера.
На странице системных настроек System Management Setting можно изменить порт администрирования (80 по умолчанию) и включить HTTPS. Мы считаем, что поддержка последнего должна быть на всех подобных устройствах с возможностью web-администрирования, так что OvisLink заработала ещё пару очков. 9000VPN позволяет создавать списки IP-адресов или диапазонов, с которых разрешено или запрещено удалённое администрирование.
OvisLink решила не прятать функции во множестве вложенных меню и поместила кнопки, отвечающие за мультимедийные функции, на верхнюю часть каждой страницы интерфейса.
Сервер видео
Сервер видео поддерживает множество различных камер с интерфейсом USB, превращая их в web-камеры, при этом возможна как передача потокового видео, так и режим обнаружения движения. К сожалению, мы не смогли найти совместимую камеру, поэтому проверить эту функцию нам не удалось.
Совет. 9000VPN поддерживает камеры на чипсетах OmniVision и Philips. Список совместимых USB-устройств можно посмотреть здесь.
Рис. 4. Сервер видео.
На Рис. 4 показаны все доступные настройки, кроме двух адресов электронной почты, на которые можно отправлять снятые кадры. Разрешение снимков можно установить в 320×240 или 176×144. Можно записывать видео в формате AVI на любой из подключённых дисков USB. Запись будет производиться до тех пор, пока фиксируется движение. Кроме того, представители OvisLink говорят, что в следующей версии ПО можно будет задавать интервал времени, в течение которого будет продолжаться запись и после окончания движения.
Сервер FTP
Как утверждает OvisLink, из-за недостатка свободного места интегрировать сервер SAMBA не получилось. А жаль, ведь тогда бы устройство получило полный набор функций сетевого хранилища данных. Поэтому компания решила установить сервер FTP. Мы решили проверить эту функцию в работе и подключили привод 160 Гбайт One-Touch USB 2.0, взятый у Maxtor для обзора Linksys NSLU2, и флэш-брелок ёмкостью 32 Мбайт.
Рис. 5. Информация о томах сервера FTP.
Оба диска были без проблем распознаны. На Рис. 5 показано, как они отображаются в интерфейсе администрирования на странице настройки FTP-сервера (клавиша “Show USB Storage”). Сервер распознал оба диска, причём жёсткий диск был отформатирован в файловой системе ext3, а флэш-брелок – в FAT.
Рис. 6. Конфигурация сервера FTP.
На Рис. 6 показана большая часть настроек, включая порт, активный/пассивный режим (для последнего можно задать диапазон портов передачи данных) и максимальное количество клиентов. Исходя из соображений безопасности, сервер FTP по умолчанию деактивирован. Но даже после включения доступ к нему по умолчанию разрешён только клиентам LAN.
Рис. 7. Настройка учётных записей пользователей FTP
На Рис. 7 показаны настройки учётных записей. Можно ограничить максимальные скорости для входящего и исходящего трафика, а также доступ пользователей по IP-адресам или их диапазонам. Мы задали учётные записи для анонимного входа (Anonymous) и обычные. После этого мы смогли получить доступ, используя различные клиенты FTP, включая IE и Mozilla. Нам также удалось передать файлы в обоих направлениях, как при помощи клиента FTP, так и при помощи интерфейса drag-and-drop IE.
Нам хотелось бы увидеть возможность блокирования учётных записей FTP, хотя, этого можно добиться простой сменой пароля на другой, в том числе и более строгий.
Сервер печати
Как и в случае с другими серверами печати, встроенными в маршрутизаторы, ничего настраивать здесь нельзя. Если ваш принтер поддерживает стандартную печать по TCP/IP с использованием протокола RAW, но не работает, остаётся только молиться.
Кнопка “Printer” административного интерфейса позволяет просмотреть статус принтеров или получить онлайновую версию руководства пользователя с информацией настройки принтеров под WinXP/2000 или Linux. Если вы используете Win98 или Me, то онлайновая помощь и руководство пользователя предложат установить небольшую программу от Axis, которая позволит работать и из этих ОС.
Единственным USB-принтером, который оказался у нас под руками, был Epson Stylus C80. Никаких проблем с установкой и работой мы не заметили. OvisLink заявляет, что 9000VPN поддерживает до 4 принтеров (если ничего другого не подключать), каждый из которых использует свой порт (9100, 9101 и далее).
QoS / Управление полосой пропускания
Постоянные читатели THG знают, что мы считаем управление полосой пропускания необходимым для каждого маршрутизатора уровня SOHO. При правильной настройке эта функция поможет предотвратить перегрузку канала, если какой-то нерадивый работник или ребёнок пожелает скачивать музыку и видео. Давайте посмотрим на реализацию в 9000VPN.
Однако наша радость была недолгой, поскольку QoS позволяет ограничивать только исходящий трафик. То есть функция будет полезна, только если в вашей сети есть сервер, с которого скачивают много информации. А на любителей качать видео из Интернета это никак не повлияет.
В любом случае, полоса пропускания может быть ограничена по IP-адресам (Рис. 8) или по приложениям/портам (Рис. 9).
Рис. 8. Ограничения QoS по IP.
Рис. 9. Ограничения QoS по приложениям/портам.
Такая реализация является более гибкой, чем ограничение по физическим портам, реализованное в Draytek Vigor 2900G. В то же время, ограничение только исходящего потока заметно сковывает возможности.
Для тестирования пропускной способности мы использовали Qcheck, настройка ограничений по адресам показана на Рис. 8. Результаты тестирования показали, что ограничение действует только для трафика из LAN в WAN. При ограничении в 1000 кбит/с, реальная скорость оказалась около 440 кбит/с, что менее половины заданного.
Уровень приоритетов для адресов (высокий/High, средний/Medium и низкий/Low) выше, чем для приложений.
VPN
Последнее, что можно выделить в арсенале специальных возможностей 9000VPN, – это VPN. Поддерживаются как сервер PPTP (Рис. 10), так и сервер IPsec (Рис. 11). Для PPTP допускается до 10 соединений, для IPsec, теоретически, – до 100.
Рис. 10. Настройка сервера PPTP.
Мы специально добавили “теоретически”, поскольку туннель между маршрутизаторами MU-9000VPN и WMU-9000VPN показал низкую скорость. Результаты можете увидеть в следующей таблице.
Производительность туннеля IPsec Версия прошивки: 1.01.039 1.39 |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](потерянных данных- %) |
LAN-WAN | 0,736 | 5 (сред.) 6 (макс.) |
221 | 52 % |
WAN-LAN | 0,613 | 10 (сред.) 58 (макс.) |
128 | 71 % |
Рис. 11. Настройка сервера IPsec.
Результат вполне ожидаемый – ведь процессор Brecis, который используется в 9000VPN, не имеет сопроцессора шифрования.
Количество параметров IPsec минимально, хотя их вполне достаточно, чтобы установить туннель между двумя 9000VPN. Поддерживается только шифрование 3DES, для аутентификации можно выбрать MD5 или SHA1. Управление ключами ограничено IKE, но можно включить Perfect Forward Secrecy (PFS) и задать время жизни ключей. Кстати, в версии прошивки .41 OvisLink добавит шифрование туннелей AES.
Также следует отметить, что 9000VPN не позволяет вести журналирование VPN. Можно только проверить информацию SPI (Security Parameters Index) по кнопке “Show IPsec SPI Information”, и посмотреть, появилось ли что-нибудь новое. Впрочем, если там ничего нет, то о причине ошибки остаётся только догадываться.
Нам удалось установить тестовое соединение по PPTP, использовав информацию из руководства по настройке VPN (PDF). Там присутствуют и параметры настройки туннелей IPSec. Результаты теста Qcheck приведены в следующей таблице.
Производительность туннеля PPTP Версия прошивки: 1.01.039 1.39 |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](потерянных данных- %) |
LAN-WAN | 3,6 | 4 (сред.) 6 (макс.) |
499 | 0 % |
WAN-LAN | 3,1 | 5 (сред.) 6 (макс.) |
195 | 61 % |
Пропускная способность туннеля PPTP оказалась существенно выше, чем IPsec. Вероятно, дело в том, что сервер PPTP у 9000VPN использует аутентификацию при подключении и не шифрует данные во время передачи.
К счастью, если вы не желаете использовать на маршрутизаторе серверы IPsec и PPTP, у вас остаётся возможность прохождения туннелей VPN IPsec, PPTP или L2TP из внутренней сети наружу. К тому же, вы можете установить сервер IPsec, PPTP или L2TP в сегменте LAN – при этом в настройках брандмауэра нужно добавить виртуальный сервер.
Возможности брандмауэра
Брандмауэр 9000VPN позволяет логически помещать серверы LAN в сегмент WAN (виртуальные серверы/Virtual Server), а также задавать правила для входящего и исходящего трафика (фильтрация портов). На Рис. 12 показаны параметры настройки виртуальных серверов, некоторые из которых достаточно специфичны.
Рис. 12. Настройка виртуальных серверов.
Параметр IP Sharing может использоваться для отключения NAT, благодаря чему 9000VPN будет работать как обыкновенный маршрутизатор. NAT Loopback позволяет пользователям сегмента LAN обращаться к локальным серверам, доступным из Интернета, по их внешним адресам или именам. Эта функция есть на многих конкурирующих продуктах, но на 9000VPN мы впервые увидели возможность для её настройки.
Параметр Forwarding to VPN Server не описан в документации OvisLink, однако, судя по всему, он нужен для создания VPN-сервера в сегменте LAN, вместо встроенного в маршрутизатор. Функция UPnP по умолчанию отключена. Кроме того, можно отключить функцию NAT Traversal, которая позволяет UPnP автоматически открывать “дыры” в брандмауэре.
Виртуальные серверы и брандмауэр имеют готовые списки служб (Рис. 13), к которым вы можете добавлять и свои. При этом можно задавать отдельные порты или диапазоны для протоколов TCP и UDP. Отметим, что редактировать уже заданные службы нельзя, зато их можно удалять.
Рис. 13. Службы.
На Рис. 14 показано правило, которое мы создали для блокирования доступа к web-серверам. Здесь как нельзя лучше можно иллюстрировать “профессиональный” подход OvisLink. Он справедлив для специалистов, однако для продукта SOHO можно было бы разработать интерфейс и проще, учитывая, что документация довольно скудная.
Что касается настройки брандмауэра, то задать правило для списка IP-адресов невозможно – необходимо добавлять правила для каждого адреса по отдельности.
Рис. 14. Правила брандмауэра.
Отметим, что ни виртуальные серверы, ни правила брандмауэра не могут работать по расписанию, то есть включаться в определённый день и в нужное время. Также нет возможности блокирования брандмауэром cookies, Java, Active X или Web Proxies.
Фильтрация содержания
9000VPN содержит наиболее широкий набор фильтров содержания из тех, что мы встречали ранее. Хотя большинство фильтров URL в домашних/офисных маршрутизаторах можно легко обойти, указав IP-адрес вместо символьного имени, но здесь такой трюк не пройдёт.
Фильтрация по ключевым словам обычно просматривает только URL сайтов, но в случае 9000VPN (Рис. 15) анализируется всё содержание страниц! Среди прочих возможностей стоит отметить возможность работы фильтров с запакованными в gzip страницами, а также игнорирование регистра.
Рис. 15. Фильтрация по ключевым словам.
Примечание. Всего можно задать до 20 записей для URL и ключевых слов. Если фильтр срабатывает, то браузер пользователя никакого специального сообщения не выдаёт.
Если некоторым пользователям нужен полный доступ в Интернет, можно указать доверенные IP-адреса и диапазоны портов, фильтрация содержания к которым применяться не будет. На странице “Content Filter Port Checking” можно указать дополнительные порты кроме стандартного 80/HTTP, к которым будет применяться фильтрация содержания.
Журналирование и прочие функции
В журнал заносится много нужных событий (Рис. 16). Можно просматривать события как все вместе, так и по группам: Все/All, Системные/System, Входящий/Incoming, Исходящий/Outgoing, Брандмауэр/Firewall и Фильтрация содержания/Content Filter. Web-трафик заносится в журнал “Исходящий”. К сожалению, обратное разрешение DNS не поддерживается, поэтому придётся заниматься преобразованием IP-адресов в имена самостоятельно.
К сожалению, оповещения по электронной почте и периодическая рассылка журналов не поддерживаются, а новые события добавляются в нижнюю часть журнала. Поэтому, чтобы просмотреть последние события, приходится пролистывать множество страниц. На Рис. 16 видна поддержка сервера syslog, однако она не работает, поскольку нельзя указать IP-адрес сервера.
Рис. 16. Журнал.
На страницах административного интерфейса можно встретить множество других функций, часть из которых перечислена ниже.
- Функция мониторинга почты (Mail Monitoring) позволяет задать до шести групп по шесть пользователей, для которых можно задать по шесть защищённых или незащищённых серверов POP3 и IMAP. Индикаторы на передней панели 9000VPN можно настроить, чтобы они включались, выключались или мигали, когда для указанного пользователя приходит почта.
- Просмотр статистики трафика LAN и WAN.
- Поддержка Dynamic DNS для DynDNS.org и ODS.org.
- Встроенный сервер DHCP позволяет задавать срок аренды адреса, устанавливать привязку IP-адреса к MAC-адресу, а также указывать загрузочные файлы и IP-адрес сервера TFTP.
- Можно просмотреть статические маршруты, таблицы ARP и Host Name, а также добавить записи в любую из них
- Встроенные утилиты ping и traceroute.
- На странице информации об устройствах USB можно узнать серийный номер, скорость, версию USB, ID производителя, ID продукта, версию и тип устройства.
Производительность маршрутизации
Хотя производительность VPN не особо высока, скорость маршрутизации оказалась достаточно хороша – между 24 и 26 Мбит/с. Что касается времени отклика и скорости потока UDP, то здесь жаловаться тоже не на что.
Примечание. Все тесты проводились при настройке портов TCP и UDP 10113 – 10117 в качестве виртуальных серверов для Qcheck.
Производительность маршрутизации Версия прошивки: 1.01.039 |
||||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500Kbps](Актуальная пропускная способность – кбит/с) |
Поток UDP [10S@500Kbps](Потерянных данных- %) |
WAN-LAN | 24,6 | 1 (сред.) 1 (макс.) |
500 | 0 |
LAN-WAN | 26,7 | 1 (сред.) 2 (макс.) |
500 | 0 % |
Заключение
Судя по всему, во встроенную флэш-память 9000VPN производитель сумел затолкать столько, что она едва не “лопнула”. FTP-сервер, сервер печати и фильтрация содержания – достаточно серьёзные преимущества, хотя многим может показаться, что 20 ключевых слов для фильтрации будет недостаточно.
Слабой стороной является поддержка VPN. Она больше нацелена на связь двух 9000VPN, чем на какую-то серьёзную сеть туннелей. При этом туннель IPsec будет весьма медленным. Туннели PPTP работают быстрее, но трафик там не шифруется. К сожалению, управление полосой пропускания обеспечивается только для исходящего трафика.
При относительно высокой стоимости и указанных недостатках MU-9000VPN и беспроводная версия WMU-9000VPN будут привлекательны лишь для небольшой группы пользователей, которым нужны предлагаемые возможности. Ну, а мы продолжаем поиск идеального маршрутизатора класса SOHO с хорошими функциями по управлению полосой пропускания.
Итоговая информация о продукте | |
Итог | Многофункциональный маршрутизатор с поддержкой сервера IPsec и PPTP, имеющий 4 порта USB. Встроенная поддержка web-камер, наличие сервера FTP и печати (до 4 принтеров с интерфейсами USB). |
Преимущества | – Множество неожиданных для подобных устройств функций -Управление полосой пропускания по приложению/порту или адресу |
Недостатки | – Может многое, но не всё – хорошо – Низкая пропускная способность туннелей IPSec – Ограничение скорости распространяется только на исходящий трафик |
Розничная цена | $198 (США) |