РЕКЛАМА
ПОИСК И ЦЕНЫ
Поиск по сайту THG.ru


Поиск по ценам в Price.ru




ИНФОРМАЦИЯ
ПОЛЕЗНЫЕ ССЫЛКИ
Маршрутизатор ASUS Internet Security Router SL1000

Rambler's Top100 Рейтинг@Mail.ru
bigmir)net TOP 100

СЕТИ

Asus RX3041H: высокоскоростной маршрутизатор для дома и малого бизнеса
Краткое содержание статьи: Уже не раз на страницах THG.ru появлялись обзоры сетевых устройств от компании Asus. Все они отличались продуманным исполнением и великолепной аппаратной частью. На этот раз в нашу сетевую лабораторию поступил новый продукт Asus - высокоскоростной маршрутизатор RX3041H. Он выполнен на основе предыдущих моделей SL500 и SL1000, но с усиленной аппаратной платформой.

Asus RX3041H: высокоскоростной маршрутизатор для дома и малого бизнеса


Редакция THG,  10 ноября 2005


Введение

Уже не раз на страницах THG.ru появлялись обзоры сетевых устройств от компании Asus. Все они отличались продуманным исполнением и великолепной аппаратной частью. На этот раз в нашу сетевую лабораторию поступил новый продукт Asus - высокоскоростной маршрутизатор RX3041H. По словам одного из представителей Asus в России, этот маршрутизатор выполнен на основе предыдущих моделей SL500 и SL1000, но с усиленной аппаратной платформой. Из его прошивки убрана поддержка IPSec-туннелей, за счёт чего появилась возможность повысить скорость работы устройства. Но обо всём по порядку.

Внешний вид и характеристики

В отличие от своего предшественника, RX3041H поставляется в белом металлическом параллелепипеде-корпусе, размером со среднюю книгу.

Внешний вид и характеристики

На нижней поверхности устройства можно различить технологические отверстия, позволяющие вешать роутер на стенку в любом положении. Присутствуют также мягкие резиновые ножки для размещения маршрутизатора на столе.

К сожалению, пластмассовых ножек, как у моделей SL, тут нет, что несколько затрудняет его настольное вертикальное размещение. Однако теперь появилась возможность монтировать его в стойку, для чего на боках устройства присутствуют отверстия с резьбой, к которым можно привинтить крепёжные приспособления. Маршрутизатор RX3041H показался нам более устойчивым на столе по сравнению с предыдущими моделями. И сама возможность монтирования в стойку не является лишней.

Внешний вид и характеристики

Поскольку RX3041H позиционируется как продолжение линейки SL, мы посчитали логичным сравнить скорости работы обоих устройств. Но сначала расскажем о самом устройстве.

В RX3041H используется такой же процессор, что и в маршрутизаторах серии SL, работающий на частоте 133МГц, но сама плата несколько изменена.

Внешний вид и характеристики

Внешний вид и характеристики

По визуальным ощущениям плата выполнена слишком просторно, да и сам корпус сделан больше (1U), чем требуется. Можно было без особых проблем уменьшить высоту корпуса на 20%. К тому же, отвод тепла находится на должном уровне: при интенсивной работе элементы платы не обжигали руку при прикосновении.

Продолжает радовать наличие консольного порта, который позволяет получить доступ к маршрутизатору даже в случае ошибки конфигурирования параметров Ethernet-интерфейсов.

Настройка через web-интерфейс

Перед началом описания возможностей, доступных через web-интерфейс, хочется в очередной раз отметить, что возможности графической настройки много скуднее возможностей telnet-настройки, хотя подавляющее большинство пользователей будут удовлетворены даже тем набором параметров, которые доступны при настройке через браузер. Адрес по умолчанию для LAN-порта выбран 192.168.1.1, однако на наших скриншотах вы можете видеть совершенно другие адреса: мы тестировали сразу несколько устройств серий SL и RX, поэтому назначали им уникальные адреса.

Нажмите на картинку для увеличения!

Интерфейс настройки напоминает Windows Explorer, весьма удобно отображая текущее положение и всевозможные разделы. Но на этот раз обновление страниц требовало слишком много времени - довольно странная ситуация, учитывая мощность процессора.

После того, как вы определитесь со схемой внутренней адресации, рекомендуем провести настройку соответствующих параметров маршрутизатора. Вы можете по своему усмотрению задать адрес LAN-интерфейса и его маску подсети.

Нажмите на картинку для увеличения!

Если вы хотите использовать протокол динамической конфигурации для настройки IP-параметров внутренних устройств, то тут на помощь приходит поддержка маршрутизатором протокола DHCP. Можно указать диапазон адресов, выдаваемых DHCP-сервером маршрутизатора, маску подсети, адреса серверов DNS и WINS, адрес шлюза по умолчанию, а также время аренды адреса. Последний параметр позволяет достаточно гибко адаптировать DHCP-сервер под ваши нужды: если происходит частое добавление/удаление машин, то лучше использовать укороченное время аренды; но если ваша сеть достаточно стабильна и неизменяема, то удлинение времени аренды имеет смысл, что позволит сотруднику сохранить его IP-адрес неизменным даже в случае продолжительных праздников или болезни. Если же вы хотите жёстко связать определённые MAC- и IP-адреса, то следует воспользоваться конфигурацией фиксированной аренды.

Нажмите на картинку для увеличения!

Внешний порт позволяет выбирать между динамическим IP (по протоколу DHCP), статическим IP (все параметры задаются вручную) и PPPoE. Однако для моделей серии SL существуют прошивки (пока ещё в стадии Beta), которые поддерживают протокол PPTP на WAN-порте. Необходимость поддержки данного протокола продиктована сферой использования SOHO-маршрутизаторов. Во многих домовых сетях используются VPN-подключения для аутентификации пользователей, сбора статистики, билинга... Такой туннель можно поднять стандартными средствами операционной системы Windows, однако подключить одновременно несколько машин за маршрутизатором не получится, так как большинство провайдеров допускают единственный одновременный туннель. Решить проблему выхода в сеть Интернет одновременно нескольких компьютеров позволяет поддержка клиента протокола PPTP на маршрутизаторе. Интерфейс настройки PPTP для серии SL представлен ниже.

Нажмите на картинку для увеличения!

Необходимо задать вручную IP-адрес, маску и шлюз, а также задать адрес PPTP-сервера, логин для него и пароль. Маршрутизатор позволяет указывать явным образом, через какое соединение требуется передавать данные для конкретного получателя, для чего требуется выставить правила в настройках брандмауэра (параметры NAT). Для большинства пользователей будет достаточно задать единственное разрешающее всё правило с указанием соответствующего способа трансляции, однако, из соображений безопасности, мы не рекомендуем этого делать. Если внутри вашей сети не находятся серверы, которые вы бы хотели "показать" внешним сетям, то рекомендуем создать единственное входящее правило, запрещающее весь трафик.

Нажмите на картинку для увеличения!

Вообще, возможности фильтрации брандмауэра достаточно широки: адреса источника и назначения, порты и протоколы, а также время, в которое работает данное правило. Использовать временную привязку имеет смысл только в случае синхронизации маршрутизатора с внешними SNTP-серверами.

Если сотрудники вашего офиса часто перемещаются с компьютера на компьютер и им при этом требуются различные правила фильтрации, то Asus предлагает использовать аутентификацию на межсетевом экране для динамического изменения правил брандмауэра. Для этого требуется настроить пользовательские группы и учётные записи, а также задать новые динамические параметры правил фильтрации.

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

После аутентификации пользователя на маршрутизаторе и до момента его выхода (форсированно или по истечению времени жизни его сеанса) действуют динамические параметры фильтрации. Для входа по учётной записи требуется ввести в браузере URL: http://router_ip_address/login, после чего ввести свои учётные данные.

Для правил брандмауэра можно включить журналирование, что позволяет просмотреть, когда и кем использовалось данное правило. Информацию из журнала можно прочесть на странице логов маршрутизатора.

Нажмите на картинку для увеличения!

При создании правил для протоколов FTP, HTTP, RPC или SMTP появляется возможность более глубокой настройки фильтрации. Можно указать дополнительные параметры этих протоколов (например, допустимые команды, пропускаемые типы файлов). При фильтрации протокола HTTP допустима фильтрация URL, хотя мы и считаем эту возможность "сырой" и недоработанной.

Нажмите на картинку для увеличения!

С точки зрения безопасности, маршрутизаторы от Asus буквально напичканы разнообразными настройками ограничения доступа к самому устройству. Администратор может указывать, какой доступ и из каких сетей (уникальные адреса или диапазоны) допустим.

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

Stealth Mode позволяет не отправлять сообщения в случае закрытого порта. Даже если вы разрешили доступ из внутренней или внешней сети к маршрутизатору для управления по протоколу HTTP, то можете задать нестандартный порт доступа, что собьёт большинство атакующих с толку. Однако было бы полезно позволить администратору изменять приветственные сообщения (баннеры) маршрутизатора (ASUS CLI User Access Verification), чтобы скрыть от атакующего тип и производителя устройства.

Нажмите на картинку для увеличения!

На этом мы остановимся в нашем беглом обзоре возможностей, открывающихся при настройке через web-интерфейс. Полную информацию вы сможете почерпнуть из исчерпывающего руководства пользователя, которое идёт вместе с устройством, а также доступно на web-сайте компании Asus. Также рекомендуем предыдущую статью, посвящённую возможностям маршрутизаторов серии SL.

Настройка через командную строку

Интерфейс настройки маршрутизатора почти в точности повторяет интерфейс серии SL. Исключение составляет отсутствие пунктов меню, связанных с настройками IPSec VPN. Заглянем в него более глубоко, для чего воспользуемся консольным портом и программой TerraTerm. В принципе, можно было подсоединиться к маршрутизатору и обычной telnet-сессией, однако, во время перезагрузок и глубоких настроек соединение рвётся. Итак, посмотрим на пределы возможностей нового устройства.

RX3041H# sho lim
Network CurrCnt Max allowed
Corp 7 1300
Ext 0 1300
Self 0 100
Ext2Self 0 100
Dmz 0 0
SL1000# sho lim
Network CurrCnt Max allowed
Corp 2 310
Ext 0 310
Self 5 160
Ext2Self 0 40
Dmz 0 0

Из таблицы видно, что возможностей по количеству одновременных соединений у нового представителя "касты" маршрутизаторов больше. Нельзя не отметить появление новой возможности: просмотра распределения памяти между работающими процессами. В новых прошивках для SL такая функция также имеется в наличии (эту информацию даёт просмотр файла /proc/memusage в shell ОС роутера).

Нажмите на картинку для увеличения!

Информацию о процессах можно также получить и из встроенного командного интерпретатора.

SL500# she
BusyBox v0.60.2 (2002.10.22-13:52+0000) Built-in shell (msh)
Enter 'help' for a list of built-in commands.

# ps
PID Uid Stat Command
1 root S init
2 root S [keventd]
3 root S [kswapd]
4 root S [kreclaimd]
5 root S [bdflush]
6 root S [kupdate]
7 root S [mtdblockd]
8 root S [period tsk]
9 root S [print task]
10 root S [eth_task]
11 root S [tpppEventTask]
12 root D [ipsec_rx]
36 root S /usr/bin/user_mgr
41 root S /usr/bin/fwapp
56 root S /usr/bin/evtmgr
59 root S /usr/sbin/inetd
68 root S /usr/sbin/linux_dns
71 root S /usr/bin/l2f_server
75 root S /usr/bin/evtmgr
76 root S /usr/bin/evtmgr
78 root S syslogd -p /tmp/dev/log
79 root S /usr/bin/evtmgr
80 root S /usr/bin/goahead
81 root S /usr/bin/evtmgr
82 root D /usr/bin/evtmgr
83 root S /usr/bin/evtmgr
96 root S /usr/sbin/dhcpd eth1 -cf /var/state/dhcp/dhcpd.conf -lf /va
102 root S /usr/bin/pppoestartup
105 root S /usr/bin/monitor
106 root S /bin/login -- admin
121 root S -sh
122 root R ps
SL500#

Справедливости ради стоит заметить, что хоть и поставлен BusyBox, но полного списка его команд нет. "Кастрировали" даже возможности BusyBox. Информацию по командам можно найти на странице разработчиков BusyBox. Например, для команд ls - вывод каталогов и файлов и kill - отправка сигнала (список сигналов) приводится следующая справка.

ls [-1AacCdeFilnpLRrSsTtuvwxXhkK] [filenames...]

List directory contents

Options:

-1 list files in a single column
-A do not list implied . and ..
-a do not hide entries starting with .
-C list entries by columns
-c with -l: show ctime
-d list directory entries instead of contents
-e list both full date and full time
-F append indicator (one of */=@|) to entries
-i list the i-node for each file
-l use a long listing format
-n list numeric UIDs and GIDs instead of names
-p append indicator (one of /=@|) to entries
-L list entries pointed to by symbolic links
-R list subdirectories recursively
-r sort the listing in reverse order
-S sort the listing by file size
-s list the size of each file, in blocks
-T NUM assume Tabstop every NUM columns
-t with -l: show modification time
-u with -l: show access time
-v sort the listing by version
-w NUM assume the terminal is NUM columns wide
-x list entries by lines instead of by columns
-X sort the listing by extension
-h print sizes in human readable format (e.g., 1K 243M 2G )
-k print security context
-K print security context in long format
# kill -l
1) SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL
5) SIGTRAP 6) SIGABRT 7) SIGEMT 8) SIGFPE
9) SIGKILL 10) SIGBUS 11) SIGSEGV 12) SIGSYS
13) SIGPIPE 14) SIGALRM 15) SIGTERM 16) SIGUSR1
17) SIGUSR2 18) SIGCHLD 19) SIGPWR 20) SIGWINCH
21) SIGURG 22) SIGIO 23) SIGSTOP 24) SIGTSTP
25) SIGCONT 26) SIGTTIN 27) SIGTTOU 28) SIGVTALRM
29) SIGPROF 30) SIGXCPU 31) SIGXFSZ
# kill
BusyBox v0.60.2 (2002.10.22-13:52+0000) multi-call binary

Usage: kill [-signal] process-id [process-id ...]

В SL и RX от Asus доступен следующий набор "команд", которые расположены в каталоге /bin, /sbin и /usr/bin, /usr/sbin.

# cd /bin
# ls
bash cp ls mv rm su
busybox echo mkdir ping run-parts tinylogin
cat kill mount ps sh
chmod login msh pwd sleep
# cd /sbin
# ls
getty ifconfig init route syslogd
# cd /usr/bin
# ls
GOCbox ftpdir fwapp l2f_server rfcutil
[ ftpget goahead monitor snmpd
clcli ftplist goc_ddns ntpdate test
evtmgr ftprm igd pppoestartup user_mgr
fileconv ftpsend ktools qftp vpnpm
# cd /usr/sbin
# ls
dhclient dhcrelay inetd routed tcpd
dhcpd in.telnetd linux_dns sntp
#

Если уж мы работаем в shell операционной системы этого устройства, то посмотрим, что это за система. Для этого выполним команду просмотра информационного файла из каталога /proc. В этом каталоге собрано множество интересных файлов и каталогов, что естественно для систем *nix. Так же можно просмотреть время работы системы, но эта информация доступна и из web-интерфейса, только в данном случае точность представления выше.

# pwd
/
# cd /proc
# ls
1 4 75 cmdline kcore self
10 41 76 cpuinfo kmsg slabinfo
102 5 8 devices loadavg stat
103 53 81 dma locks swaps
104 56 82 driver meminfo sys
11 6 83 execdomains memusage sysvipc
12 67 84 filesystems misc thrash
140 68 9 fs mounts tty
2 7 93 interrupts mtd uptime
3 72 99 iomem net version
36 73 bus ioports partitions
# cat version
Linux version 2.4.2_hhl20 (root@localhost.localdomain) (gcc version 2.95.3 20010
315 (release/MontaVista)) #1783 Wed Feb 23 10:57:34 CST 2005
# cat uptime
88125.43 87968.80
# cat uptime
88136.37 87979.67
#

В информации, выводимой cat /proc/uptime, мы получили 2 числа, первое из которых отвечает за время в секундах с момента загрузки устройства, а второе за время простоя. Таким образом, мы можем оценить среднюю загруженность маршрутизатора. Более точные и интересные результаты даёт просмотр файла /proc/loadavg.

# cat /proc/loadavg
2.00 2.00 1.93 -1/32 180

Первые 3 числа показывают среднее количество процессов в очереди за 1, 5 и 15 минут, соответственно. Последнее число указывает на количество процессов, которые были запущены со старта системы. Знаменатель дробного числа указывает количество процессов в системе на данный момент.

В каталоге /proc присутствуют числовые каталоги. Эти каталоги соответствуют номерам процессов, которые можно получить из команды ps. Переходя в каждый из каталогов можно получить подробную информацию об интересующем процессе.

# cd /
# pwd
/
# cd /proc
# ls
1 4 75 cmdline kcore self
10 41 76 cpuinfo kmsg slabinfo
102 5 77 devices loadavg stat
103 53 8 dma locks swaps
11 56 81 driver meminfo sys
12 6 82 execdomains memusage sysvipc
172 67 84 filesystems misc thrash
2 68 9 fs mounts tty
203 7 96 interrupts mtd uptime
3 72 99 iomem net version
36 73 bus ioports partitions
# cd 1
# ls
cmdline environ fd mem stat status
cwd exe maps root statm
#

Несмотря на отсутствие поддержки IPSec этим устройством, компания Asus планирует в следующей прошивке осуществить поддержку клиента протокола PPTP. На данный момент этот протокол находится в стадии бета-тестирования. Протокол будет поддерживаться как устройством RX3041H, так и всей линейкой SL.

Тестирование скорости маршрутизации

А теперь перейдём непосредственно к тестированию скоростей маршрутизации. В качестве конечных точек передачи трафика были выбраны x86-совместимые машины: персональный компьютер и ноутбук, основные характеристики которых приведены ниже.

Параметры/ конечные станции Стационарный ПК Ноутбук
Процессор Intel Celeron (Northwood) mPGA-478 2,8 ГГц Intel Pentium 4-M (Northwood) mPGA-478B 2,4 ГГц
Материнская плата Intel D845GLVA (i845GL) Fujitsu FJNB172
Оперативная память Kingston DDR-SDRAM 512 Мбайт Noname 224 Мбайт
Сетевая карта 3COM 3C905TX Realtek RTL8139(A)
Операционная система Windows XP Professional SP2 Rus Windows 2000 Professional SP4 Eng

Для начала мы проверили связь этих машин напрямую, для чего соединили их кроссовером. В качестве тестирующей программы были выбраны netcps и IxChariot. Результаты прямого соединения двух машин приведены ниже.

C:\netcps>netcps -m1024 172.17.35.29
NetCPS 1.0 - Entering client mode. Press ^C to quit
Connecting to 172.17.35.29 port 4455... Connected!
---> CPS 11225088.00 KPS: 10962.00 MPS: 10.71
Avrg CPS 11192039.00 KPS: 10929.73 MPS: 10.67
Peek CPS 11246592.00 KPS: 10983.00 MPS: 10.73
Done. 1073741824 Kb transferred in 95.94 seconds.

Нажмите на картинку для увеличения!

Получается, что сами компьютеры позволяют обмениваться данными на предельно возможных скоростях. Аналогичная картина получается также, если клиента и сервер netcps поменять местами. Хочется отметить, что мы не заметили принципиальной разницы между взаимным расположением клиента и сервера netcps, поэтому и далее будут приводиться данные тестирования, когда клиентом является стационарный ПК, а сервером - ноутбук, подключённые к LAN и WAN-портам, соответственно.

Запустим теперь тест с прохождением пакетов через маршрутизатор, на котором сконфигурировано по одному входному и выходному разрешающему правилу.

C:\netcps>netcps -m1024 172.17.35.29
NetCPS 1.0 - Entering client mode. Press ^C to quit
Connecting to 172.17.35.29 port 4455... Connected!
---> CPS 4484096.00 KPS: 4379.00 MPS: 4.28
Avrg CPS 4511823.50 KPS: 4406.08 MPS: 4.30
Peek CPS 4538368.00 KPS: 4432.00 MPS: 4.33
Done. 1073741824 Kb transferred in 237.98 seconds.

Нажмите на картинку для увеличения!

Получается, что маршрутизатор позволяет роутить пакеты на весьма низкой скорости - около 34,4 Мбит/с. Неужели, это всё, на что он способен?! Мы решили создать ещё один поток данных в другом направлении и запустили 2 раза netcps: один раз в режиме клиента, а второй в режиме сервера, и получили, что суммарный поток данных увеличился в 2 раза. То есть процессор маршрутизатора позволяет обрабатывать данные и на больших скоростях.

C:\netcps>netcps -s
NetCPS 1.0 - Entering server mode. Press ^C to quit
Waiting for new connection...
Client connected from 172.17.35.29
---> CPS 3659776.00 KPS: 3574.00 MPS: 3.49
Avrg CPS 3847682.00 KPS: 3757.50 MPS: 3.67
Peek CPS 4105216.00 KPS: 4009.00 MPS: 3.92
Client disconnected. 1073741824 Kb transferred in 279.06 seconds.
C:\netcps>netcps -m1024 172.17.35.29
NetCPS 1.0 - Entering client mode. Press ^C to quit
Connecting to 172.17.35.29 port 4455... Connected!
---> CPS 4457472.00 KPS: 4353.00 MPS: 4.25
Avrg CPS 3712761.75 KPS: 3625.74 MPS: 3.54
Peek CPS 4474880.00 KPS: 4370.00 MPS: 4.27
Done. 1073741824 Kb transferred in 289.20 seconds.

Нажмите на картинку для увеличения!

На этом мы не успокоились и решили проверить, что же произойдёт с маршрутизатором, если заставить его обрабатывать 2 потока в одном направлении.

C:\netcps>netcps -m1024 172.17.35.29
NetCPS 1.0 - Entering client mode. Press ^C to quit
Connecting to 172.17.35.29 port 4455... Connected!
---> CPS 4446208.00 KPS: 4342.00 MPS: 4.24
Avrg CPS 3781406.75 KPS: 3692.78 MPS: 3.61
Peek CPS 4481024.00 KPS: 4376.00 MPS: 4.27
Done. 1073741824 Kb transferred in 283.95 seconds.
C:\netcps>netcps -m1024 -p5555 172.17.35.29
NetCPS 1.0 - Entering client mode. Press ^C to quit
Connecting to 172.17.35.29 port 5555... Connected!
---> CPS 4142080.00 KPS: 4045.00 MPS: 3.95
Avrg CPS 4151732.50 KPS: 4054.43 MPS: 3.96
Peek CPS 4216832.00 KPS: 4118.00 MPS: 4.02
Done. 1073741824 Kb transferred in 258.63 seconds.

Нажмите на картинку для увеличения!

Результаты теста нас несколько удивили, поскольку производительность возросла почти в 2 раза. Если же запустить несколько одновременных сессий, то получается, что их суммарная пропускная способность вплотную приближается к 100 Мбит/с.

Нажмите на картинку для увеличения!

Посмотрим на результаты тестирования программой IxChariot. Для начала мы также соединили клиента и сервер напрямую.

Нажмите на картинку для увеличения!

Следует отметить, что IxChariot в нашем тесте вычисляет чистую пропускную способность канала, то есть не учитывает объём передаваемой служебной информации заголовков. Для замеров мы пользуемся встроенным скриптом High_Performance_Throughput.scr. Теперь начнём использовать маршрутизатор, но на этот раз запустим несколько одновременных пар (четыре для первого теста и двадцать для второго). Для четырёх пар приведён также график и с сетевой вкладки диспетчера задач.

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

Весьма недурственно для нескольких одновременных закачек. Из тестов напрашивается вывод о существовании какого-то ограничения на одну закачку (поток данных между двумя сокетами). То есть либо ограничивается пропускная способность такого канала, либо количество пакетов в единицу времени. Данная особенность сетевых устройств Asus пока тестируется в их лаборатории. На данный момент в московском СЦ повторить эксперимент с этой особенностью смогли, но в Тайваньском представительстве заявляют об отсутствии указанной проблемы. Следует отметить, что при простой FTP закачке данные ограничения нельзя увидеть, так как менеджер закачек открывает сразу несколько соединений, что и позволяет данным проходить сквозь маршрутизатор на полной скорости физического канала.

Тестирование скорости маршрутизации, продолжение

Посмотрим, на что способно устройство при передаче данных по протоколу UDP. Результат, как и ожидалось, был несколько ниже, но и тут наблюдалась странная взаимосвязь между количеством одновременных сессий передачи данных и их суммарной пропускной способностью.

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

Нажмите на картинку для увеличения!

На последнем графике приведена одновременная работа двадцати сессий протокола UDP.

Техническое заключение

В принципе, результатами тестирования мы остались весьма довольны, так как скорость маршрутизации оказалась на высоте. Также порадовало количество разнообразных настроек, однако их обилие может сбить новичка с толку. При этом скорость маршрутизации лишь незначительно превышает показатели в аналогичных тестах для линейки SL. Однако увеличение количества одновременно поддерживаемых соединений в новой модели от Asus расширит область её использования, позволит устанавливать данные устройства и в более масштабных сетях. Нельзя не отметить и слабые стороны маршрутизаторов от Asus.

У моделей SL500, SL1000 и RX3041H кроме Ethernet и PPoE интерфейсов присутствует виртуальный интерфейс BVI, информация о котором доступна только в консоли или telnet-сессии.

SL500# sho in b

BVI Interface details:

The IP address : 172.16.17.18 [db]
The IP netmask : 255.255.0.0 [db]
The IP address : 172.16.17.18 [stack]
The IP netmask : 255.255.0.0 [stack]
MTU : 1500
Interface protocol : STATIC
Interface State : DOWN

SL500#

Тем не менее, наличие этого интерфейса приводит к дополнительным проблемам и брешам безопасности. С первыми проблемами мы встретились, когда попытались одному из интерфейсов присвоить адрес из сети 172.16.17.0/24. Выдавалась ошибка о дублировании адреса сети. В первый момент это привело нас в замешательство, ведь на этом роутере не были сконфигурированы интерфейсы для этой подсети. Однако адрес из сети 172.17.17.0/24 "вставал" на интерфейс без ошибок и каких-либо предупреждений. Оставалось только выяснить причину загадочного дублирования. Причина всплыла, как только мы попытались отобразить в консоли список интерфейсов и информацию о них командой sho int. В выводимой информации был представлен интерфейс BVI, IP-адрес которого 172.16.17.18/24. После изменения адреса интерфейса BVI мы сразу смогли сменить на необходимый и адрес Ethernet-интерфейса. Посмотрим, чем нам грозит наличие скрытого интерфейса. С одной стороны, ошибка дублирования кажется самой страшной, однако, проблема намного более глубокая. Предположим, что оба интерфейса Ethernet имеют адреса из других подсетей, что свободно выставляется и через web-интерфейс управления. Но при попытке передавать данные для узлов сети 172.16.17.0/24 через указанные модели маршрутизаторов (проблемная подсеть находилась через несколько переходов от роутеров Asus) мы столкнулись с таинственным пропаданием пакетов в недрах маршрутизатора. Со стандартными настройками Asus блокирует передачу пакетов в указанную подсеть. Проблема решилась после снятия адреса с интерфейса BVI.

SL500> sho in b

BVI Interface details:

The IP address : 172.16.17.18 [db]
The IP netmask : 255.255.0.0 [db]
The IP address : 172.16.17.18 [stack]
The IP netmask : 255.255.0.0 [stack]
MTU : 1500
Interface protocol : STATIC
Interface State : UP

SL500> ena
SL500# conf t
SL500(config)# in b
SL500(config-if)# no ip ad
rmtAdmin_loadDB():Line 126: LoadDb
rmtAdmin_loadDB():Line 149: rmt admin enabled 1
rmtAdmin_loadDB():Line 173: Retrieved number of log rules from dB as 0
rmtAdmin_loadDB():Line 197: Retrieved number of log rules from dB as 0
rmtAdmin_loadDB():Line 220: Retrieved number of log rules from dB as 0
SL500(config-if)# exi
SL500(config)# ex
SL500# sa
Wait for save to finish...
Saving VPN Configuration
Saving CORE Configuration
Saving FireWall Configuration
SL500# sho in b

BVI Interface details:

The IP address : 0.0.0.0 [db]
The IP netmask : 0.0.0.0 [db]
The IP address : 0.0.0.0 [stack]
The IP netmask : 0.0.0.0 [stack]
MTU : 1500
Interface protocol : STATIC
Interface State : DOWN

SL500#

Все ли это проблемы? Оказалось, что нет. Представим себе маленькую, но достаточно обычную сеть компании. Такое допущение вполне логично, так как мы рассматриваем SOHO-вариант маршрутизатора. В этой сети присутствует чётко выраженное ядро на коммутаторе Core Switch, а также несколько подсетей: пользовательская, серверная и администраторская; также поднят линк в Интернет или более крупную сеть.

Техническое заключение

В качестве оборудования для шлюза в Интернет или сеть провайдера выбран маршрутизатор Asus серии SL или RX3041H. Из соображений безопасности доступ из сети Users к объектам ядра сети напрямую закрыт, то есть из подсети пользователей нельзя настраивать шлюз Gateway. Данное ограничение реализовано путём блокировки пакетов, адреса назначения которых совпадают с адресами устройств ядра. Всё остальное пропускается без ограничений. При попытке обратиться из сети пользователей к адресу 172.16.17.18 будет выведено приглашение на ввод имени и пароля. Что облегчает задачу взлома граничного роутера. Также можно заваливать ложными эхо-пакетами данный адрес для проведения распределённой DoS-атаки. То есть наличие скрытого интерфейса может породить целый ряд неочевидных проблем. Надеемся, что в следующих версиях прошивки компания Asus исправит этот недочёт и сделает видимым BVI-интерфейс в web-управлении, либо отключит этот интерфейс, а также не будет назначать ему IP-адрес по умолчанию.

Кроме проблем с виртуальным интерфейсом BVI, присутствуют ещё несколько мелких недоработок, часть из которых можно считать нашими пожеланиями к новым версиям прошивок. Несмотря на то, что сетевое направление Asus является весьма молодым, мы всё-таки предъявляем большие требования к сетевой продукции этой фирмы, чем к разработкам иных производителей.

Среди отмеченных недоработок следует отметить невозможность фильтрации конкретного IP-адреса на порту LAN-коммутатора. Также было бы весьма кстати позволить администратору вручную указывать сети, объявляемые через протокол RIP обеих версий. Поддержка протокола OSPF также подняла бы линейки рассматриваемых устройств на качественно новый уровень. К сожалению, нельзя использовать маршрутизацию между отдельными сетями VLAN, организованными на LAN-интерфейсе. При использовании консоли или telnet-сессии появляется возможность вручную задавать arp-таблицу, однако, эта таблица не сохраняется при перезагрузке маршрутизатора, то есть для поддержания ручной arp-таблицы в актуальном состоянии требуется отслеживать моменты перезагрузки роутера. Сделать это можно при помощи автоматического анализатора логов Syslog-сервера, но возможность сохранять arp-таблицу при перезагрузке оказалась бы, явно, не лишней! Сейчас мы пытаемся собрать собственную прошивку для маршрутизатора серии SL на базе оригинальной от Asus. В прошивке планируется запускать shell-скрипт, который можно было бы конфигурировать вручную. В этот скрипт можно было бы вставить команды восстановления arp-таблицы. К сожалению, места для сохранения настроек чрезвычайно мало, поэтому список будет сильно ограниченным. При текущем способе разбиения флеши на разделы мы имеем всего 65 кбайт памяти для хранения собственных данных.

# cat /proc/mtd
dev: size erasesize name
mtd0: 00010000 00002000 "flash bootloader"
mtd1: 003c0000 00010000 "cramfs filesystem"
mtd2: 00030000 00010000 "jffs2 partition"
mtd3: 00400000 00010000 "dummy flash partition"
mtd4: 00400000 00010000 "dynamic jffs2 partition"
mtd5: 00010000 00010000 "flash_log_partition"
mtd6: 00010000 00010000 "config part 1"
mtd7: 00010000 00010000 "config part 2"
mtd8: 00400000 00010000 "dynamic config partition"
mtd9: 00020000 00010000 "total config partition"

Набор команд, позволяющих создать скрипт восстановления arp-таблицы (и запуска самого скрипта с результатами его работы), приведён ниже.

echo "#!/bin/sh">/ramfs/arp_add
echo "/usr/bin/clcli</ramfs/command_arp">>/ramfs/arp_add
chmod 777 /ramfs/arp_add
echo "admin">/ramfs/command_arp
echo "admin">>/ramfs/command_arp
echo "ena">>/ramfs/command_arp
echo "conf t">>/ramfs/command_arp
echo "ip arp 172.17.36.136 00:11:22:33:44:55">>/ramfs/command_arp
# cd /ramfs
# ./arp_add<command_arp
Character Mode failed. Using Line Mode.
Login : admin
Password :
admin logged in
SL500> ena
SL500# conf t
SL500(config)# ip arp 172.17.36.136 00:11:22:33:44:55
SL500(config)#
#

При перезагрузке сбиваются также настройки точного времени в маршрутизаторе. Конечно, мы могли бы использовать какой-либо внешний sntp-сервер, однако и в отсутствии оного иногда требуется иметь достаточно точно выставленные часы на роутере после перезагрузки (для использования правил со временем на брандмауэре). Поддержка нескольких IP-адресов интерфейсами даёт возможность работать с несколькими логическими подсетями в пределах одной физической. Реализация subinterface'ов помогла бы снять сразу несколько проблем с хитрой настройкой маршрутизации на двойную IP-адресацию и маршрутизацию между VLAN. Некоторые из желаемых возможностей помогли бы оправдать в ещё большей степени слово "Security" в названии маршрутизатора.

Часть из уже существующих функций нам не удалось заставить правильно работать. Например, мы так и не смогли разобраться в том, что же требуется для возможности ручной настройки физической скорости интерфейса и его "дуплексности".

SL500# conf t
SL500(config)# int e 0
SL500(config-if)# speed
10 Speed of 10 Mbps
100 Speed of 100 Mbps
auto Auto negotiate speed
SL500(config-if)# speed 10
half Half duplex
full Full duplex
<CR> Press Enter: No further parameters
SL500(config-if)# speed 10 half
<CR> Press Enter: No further parameters
SL500(config-if)# speed 10 half
% Mac has not been initialised
SL500(config-if)# speed 100 full
% Mac has not been initialised
SL500(config-if)# exi
SL500(config)# int e 1
SL500(config-if)# speed
10 Speed of 10 Mbps
100 Speed of 100 Mbps
auto Auto negotiate speed
SL500(config-if)# speed 10 full
% Command not supported
SL500(config-if)#

Однако нельзя не отметить и положительные стороны текущей работы Asus над программным обеспечением для данных устройств. На данный момент уже ведётся тестирование работы клиента протокола PPTP на устройствах серии SL. В дальнейшем клиент этого протокола планируется внедрить и в серию RX.

Заключение

Впечатления от маршрутизаторов Asus серии SL и RX3041H остались самые приятные. В среднем ценовом диапазоне эти модели позволяют решить множество сетевых задач как для домашнего пользователя, так и для корпоративного клиента. Описанные в статье проблемы и недоработки не должны смущать конечного домашнего пользователя, так как могут быть устранены даже людьми, не имеющими достаточной квалификации в сетевых технологиях. Поддержка протокола PPTP также оказывается полезной для пользователей домашних Ethernet-сетей. Даже спустя много времени после появления устройств на рынке, Asus продолжает модернизировать программное обеспечение, добавляя новые функции и расширяя возможности имеющихся.




Свежие статьи
RSS
Лучшая материнская плата: текущий анализ рынка Silicon Power Bolt B80: обзор и тест портативного SSD Лучшая видеокарта для игр: текущий анализ рынка Cooler Master MasterAir MA620P: обзор и тест процессорного кулера Лучшее на E3 2018: версия THG.ru
Лучшая материнская плата Обзор SSD-накопителя Samsung 860 EVO Лучшая видеокарта для игр Cooler Master MasterAir MA620P: обзор и тест процессорного кулера Лучшее на Computex 2017
РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Услуги специалиста: причина неисправности утюга ровента, подробнее здесь.
Смотрите: ремонт мойки кёрхер: ссылка на описание.