Введение
Многие организации зачастую сталкиваются с проблемами, когда массовое потребительское оборудование не в силах удовлетворить их требования. Тогда приходится прибегать к использованию устройств, ориентированных на корпоративный рынок. И дело тут не только и не столько в производительности, сколько в функциональности, стабильности и надёжности.
Маршрутизатор Nateks 1601V прекрасно подойдёт для некоторых сценариев. Например, для организации доступа в Интернет малых организаций (базовая возможность практически любого подобного устройства), для подключения удалённых офисов к корпоративной сети по защищённому каналу, при этом используется аппаратное решение для шифрования трафика. Используется технология динамического GRE-туннелирования с выделением адресов и интеллектуальным распознаванием удалённых маршрутизаторов. Одной из особенностей маршрутизатора, расширяющих возможные варианты применения, является наличие слота для установки различных WIC-модулей, для разных типов подключения к внешней сети. Пример использования маршрутизатора показан на следующей диаграмме.
Ранее в нашей лаборатории уже проводилось тестирование изделий российской компании Nateks Networks. Сегодня мы продолжаем исследование продуктов этой компании. На этот раз к нам попал универсальный маршрутизатор доступа в Интернет для небольших удалённых офисов и сетей малого бизнеса – Router 1601 V. Приведём технические характеристики.
Количество WAN-слотов | 1 |
Возможность передачи | 12 KPPS |
Встроенные порты | 1 порт AUX, 1 консольный порт и 1 порт 10BaseT |
BOOT ROM | 512 Kб |
FLASH RAM | 4 Mб |
SDRAM | 32 Mб |
Протоколы 2- го уровня | PPP X .25, Frame Relay, РРРОЕ, HDLC, SDLC, SUP VLAN, STR LPAB |
Безопасность | ACL , NAT/PAT, аутентификация маршрутов, AAA, RADIUS, фильтрация IP – пакетов, инспектирование IP – пакетов , CallBack , шифрация данных |
Протоколы маршрутизации | RIP, IGRP, EIGRP, BGP, OSPF, IS – IS, статическая маршрутизация, маршрутизация по приоритетам |
Групповая передача | IGMP, PIM |
Функции IP | ProxyARP, маршрутизация по приоритетам, балансировка нагрузки ( multilink L 3 traffic), Unnumbered IP, transparent NetBIOS, NTP, компрессия заголовков TCP и IP-трафика |
Приложения | PING, TraceRoute, Telnet, static DNS, TFTP, DHCP Relay, DHCP Client, DHCP Server, Rlogin |
VPN | DVPN, MPLS VPN, VPDN, GRE, L2TP, IPSEC (аппаратное шифрование в 1601V), IKE (поддержка траверса NAT) |
Функции системы | Конфигурирование Telnet/Console, удалённый доступ через модем , dump terminal, syslog, COMSERVER и reverseTelnet |
Управление | CLI, SNMP и RMON |
Размеры (ШхГхВ) | 192,5 х 350,8 х 45 мм |
Вес | 1,5 кг |
Энергопитание | Внешний адаптер напряжения (~220 В на -12 В /1,5 А) |
Максимально потребляемая мощность | 18 Вт |
Маршрутизатор Nateks 1601V: вид спереди.
Внешний вид и комплект поставки
Комплект поставки, кроме самого маршрутизатора, содержит блок питания, комплект кабелей и документацию.
Маршрутизатор имеет настольное исполнение и по ширине соответствует 19-дюймовому форм-фактору. Корпус сделан из серого пластика, поэтому устанавливать его в стойку можно лишь с использованием полки – монтаж при помощи петель выполнить не удастся в связи с недостаточно прочным для такой нагрузки корпусом.
Верхняя часть маршрутизатора имеет вентиляционные щели. Отметим, что в маршрутизаторе используется лишь пассивное охлаждение и нет ни одного вентилятора.
Маршрутизатор Nateks 1601V: внутри.
На передней панели маршрутизатора расположены индикаторы, отображающие его работу. Всего индикаторов восемь. Слева направо: “Питание/Power”, “System” и по два индикатора (“Слот/Slot” и “Активность/Activity”) для каждого из трёх интерфейсов: слот расширения, WAN и LAN.
Задняя панель более интересна. Маршрутизатор имеет внешний источник питания, что положительно сказывается на тепловом режиме работы. Для подачи питания используется небольшой разъём (напряжение 12 В, ток 1,5 А). Рядом с ним расположен выключатель питания. Порт LAN тоже располагается на задней панели – это стандартный порт Ethernet. Рядом с ним расположен порт WAN.
Маршрутизатор Nateks 1601V: вид сзади.
Рядом с этими портами находится WAN-слот, поддерживающий различные WIC-модули расширения. В него можно установить один из четырёх модулей, выпускаемых Nateks-Networks. Например, можно установить однопортовый модуль Ethernet 10 Base-T, однопортовый ADSL-модуль, однопортовый ISDN-модуль с интерфейсом S/T или модуль однопортового аналогового модема. В принципе, этого достаточно для большинства сценариев. В остальных случаях можно воспользоваться дополнительным оборудованием, например, модемом SHDSL при работе на линиях SHDSL или беспроводным маршрутизатором при работе в беспроводной сети.
На задней панели есть ещё два разъёма: AUX и CONSOLE, а также заземляющий контакт.
Для настройки маршрутизатора нужно использовать консольное подключение. Поскольку кабель поставляется в комплекте, то проблем с подключением не возникнет. Конечно, если у вас на компьютере есть последовательный порт. Производитель позаботился о пользователях, и консольный кабель имеет два разъёма для подключения к компьютеру: 9-контактный и 25-контактный. Отметим, что со стороны маршрутизатора используется стандартный разъём RJ-45.
Настройкой маршрутизатора мы занимались из операционной системы Windows XP, используя стандартную утилиту HyperTerminal. Подключение почти не требует настройки, разве что нужно изменить скорость с 2400 бит/с на 9600 бит/с. После этого подключение начнёт работать. Мы решили идти по порядку и начать с экрана загрузки маршрутизатора. Во время загрузки в консоли отображаются некоторые системные параметры, которые были нам интересны. Так, система использует загрузчик версии 2.6 и операционную систему NXOS, больше, к сожалению, здесь ничего не видно. По завершении загрузки мы получаем интерфейс командной строки маршрутизатора.
Экран загрузки.
Конечно, если вы ожидали увидеть привычный сегодня web-интерфейс, то будете разочарованы. Но следует иметь в виду, что это не домашнее устройство, а серьёзная модель, способная справиться с такими задачами, которые не под силу простым потребительским моделям. Есть и приятные новости. Особенно это касается тех, кто уже знаком с маршрутизаторами Cisco, – язык настройки если и не полностью идентичен, то, как минимум, очень похож.
Интерфейс настройки
Для отображения доступных команд можно ввести знак вопроса, после чего, на экране появится список.
router> enable Turn on privileged mode command exit Exit current mode and down to previous mode help Description of the interactive help system ping Ping command to test if the net is correct quit Exit current mode and down to previous mode rlogin Open a rlogin connection show Show running system information telnet telnet terminal Set terminal line parameters traceroute Trace route to destination |
Конечно, это не всё, на что способен маршрутизатор. Гораздо больше можно увидеть, войдя в привилегированный режим. Что касается обычного режима, то его вполне достаточно для проверки работоспособности устройства. Кстати, здесь же можно посмотреть и более подробную информацию о системе. Вполне понятно, что для этого нужно воспользоваться командой “show”, она имеет параметры, список которых можно получить, набрав “show ?”. Нам интересна версия системы, поэтому мы набираем “show ver”, полностью набирать “show version” не имеет смысла – достаточно лишь написать начало команды для однозначного её распознавания.
router> show ver NXOS (version 2.1 Release02.26.00) Compile time : Jun 28 2005 16:28:16 . BootRom Version: 2.6 Product Serial Number: 01010152H14104C000317 1ETH(slot1): Hardware Version: 1.10 Mac address: 00:0F:D9:00:41:BF |
Посмотрев информацию о системе, перейдём к наиболее интересному для нас – к настройке. Для этого переключаемся в привилегированный режим, используя команду “enable”. Смена режима сказалась и на строке приглашения – после названия устройства появился символ решётки. Посмотрим, какие команды доступны здесь.
<table
clear Reset functions
configure Configuration from vty interface
copy copy image with tftp protcol
debug Debug information
diagnosis Enter diagnosis configuration
disable Turn off privileged mode command
erase release config in flash
exit Exit current mode and down to previous mode
help Description of the interactive help system
ip setting ip address
logging Logging messages
no Negate a command or set its defaults
ping Ping command to test if the net is correct
quit Exit current mode and down to previous mode
reboot Reboot system
rlogin Open a rlogin connection
sdlc Send SDLC test frames
show Show running system information
start-chat Start a chat-script on a line
telnet telnet
terminal Set terminal line parameters
time system time
traceroute Trace route to destination
write Write running configuration to flash
Все эти команды можно использовать для настройки маршрутизатора. Нам наиболее интересно настроить те параметры, которые нужны для начала работы маршрутизатора. Для этого перейдём в режим настройки VTY. Этот режим, в свою очередь, позволяет задать все необходимые параметры маршрутизатора.
router(config)# aaa-enable Authentication, Authorization and Accounting access-list Add an access list entry arp ARP entry banner Set banner string bridge Bridge Group chat-script Define a modem chat script class-map Configure Qos class map clear Clear ip prefix-lists com-server Com server crypto Crypto setting custom-list Config custom queue list dhcp Dhcp server configuration dialer-list Create a dialer list en dlsw Data Link Switching global configuration commands enable Modify enable password parameters encrypt-card Encrypt card option exit Exit current mode and down to previous mode flow-interval Set time interval of rate statistic frame-relay Frame-relay protocol gratuitous Send gratuitous arp when interface up help Description of the interactive help system hostname Set system’s network name interface Interface infomation ip IP information ipsec IP security setting key Authentication key management line Configure a terminal line logging Modify message logging facilities map-class Create map-class or enter map-class command mode modemcap Modem Capabilities database multilink PPP multilink global configuration multilink-user Set multi-link bind interface by username no Negate a command or set its defaults ntp Start NTP policy-map Configure QoS policy map pppoe PPPOE global configuration priority-list Config priority queue list proxy Set proxy function quit Exit current mode and down to previous mode rate-limit rate-limit route-map Create route-map or enter route-map command mode router Enable a routing process service Modify use of network based services set Set Time Zone show Show running system information snmp-server Modify SNMP parameters standby Global HSRP configuration commands tcp TCP information tftp-server enable tftp server time-range Command time-range tty-server Terminal application username Establish User Name Authentication vpdn Configure VPDN vpdn-group Configure VPDN Group watchdog Enable or disable the watchdog x25 X.25 Packet Layer Protocol |
Здесь нам наиболее интересна команда “interface”, которая позволяет настроить сетевые интерфейсы, что позволит осуществлять дальнейшую настройку по сети, без использования специального кабеля. Для настройки интерфейса команда выполняется с соответствующим параметром. В случае интерфейса LAN параметр – eth0/0, WAN – eth1/0. Тогда задание адресов 192.168.10.1/24 и 192.168.11.1/24 для интерфейсов LAN и WAN будет выглядеть следующим образом:
router(config)# interface eth0/0 router(config-if-eth0/0)# ip address 192.168.10.1/24 router(config-if-eth0/0)# interface eth1/0 router(config-if-eth1/0)# ip address 192.168.11.1/24 |
После выполнения этих команд портам маршрутизатора будут присвоены соответствующие адреса. Однако этого недостаточно для работы с маршрутизатором по сети. Конечно, он уже будет отвечать по установленным адресам, но управлять им всё ещё будет невозможно: при попытке подключения вы увидите сообщение о том, что пароль VTY не задан. Конечно, если маршрутизатор всегда находится у вас под рукой, то, возможно, не стоит озадачиваться доступом к интерфейсу настройки по сети, однако чаще бывает так, что маршрутизатор установлен в другом помещении, офисе, городе, или даже в другой части света. При этом не всегда есть возможность оказаться не только в другой части света, но и попасть в соседнее помещение. Тогда и осознаётся польза от удалённого доступа к интерфейсу настройки. В нашем случае, для того, чтобы получить к нему доступ по сети, осталось сделать всего один шаг – задать пароль VTY. Для этого нужно воспользоваться всё тем же разделом настройки router(config)#. Выполняем команду “line” с параметром VTY, который позволит задать необходимый нам пароль. Команда переключит интерфейс на настройку режима vty. Кстати, здесь доступны следующие команды:
router(config)# line vty 0 router(config-line-vty0)# access-class Filter connections based on an IP access list application Tty server application autocommand Automatically execute an EXEC command com-service Com service exec Configure EXEC exec-banner Enable the display of the EXEC banner exec-timeout Set the EXEC timeout exit Exit current mode and down to previous mode help Description of the interactive help system history Enable and control the command history function length Set number of lines on a screen login Enable password checking no Negate a command or set its defaults password Set a password privilege Change privilege level for line quit Exit current mode and down to previous mode show Show running system information |
Из них нам более всего интересна команда задания пароля – “password”. Мы выбрали скрытый пароль, для чего указали соответствующий параметр (7) и набрали новый пароль, в нашем случае – “password”.
router(config)# line vty 0 router(config-line-vty0)# password 7 password |
После выполнения всех указанных выше команд маршрутизатор получил IP-адреса для своих интерфейсов, а администратор – возможность удалённой настройки.
Дополнительные настройки
Задав все основные настройки, думаем, не лишним будет ещё немного обезопасить маршрутизатор от чужих рук. Так, можно ограничить использование привилегированного режима, когда для переключения в него потребуется ввести пароль.
В этом и во всех описанных ниже случаях, предполагается, что мы уже находимся в привилегированном режиме настройки маршрутизатора и выполнили команду “configure terminal” для входа в режим настройки устройства.
Как и прежде, мы будем использовать пароль – password. Тогда для задания такого пароля на переход в привилегированный режим потребуется выполнить следующую команду (7 – режим скрытого ввода пароля):
router(config)# enable password 7 password |
Такая настройка достаточно гуманна, то есть к консольному интерфейсу настройки доступ ничем не ограничен, и любой, кто может подключиться кабелем непосредственно к маршрутизатору, может получить доступ в непривилегированный режим и выполнить диагностические команды. Однако, такое не всегда хорошо. Поэтому покажем, как можно ограничить доступ и к этой части интерфейса настройки.
router(config)# line console 0 router(config-line-console0)# router(config-line-console0)# password 7 password |
Теперь и для этого подключения придётся ввести пароль. Вообще, рекомендуем ограничить доступ ко всем возможным интерфейсам, иначе смысл установки всех ограничений сводится на нет.
Для некоторых функций маршрутизатора не обойтись без создания собственных ключей. Для этого используется команда “crypto”. Мы решили показать, как можно сгенерировать новые ключи на маршрутизаторе, воспользовавшись этой командой. Как показано ниже, мы остановились на параметрах ключей по умолчанию, то есть длинной 512 бит.
router(config)# crypto key generate rsa Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 512 |
Списки доступа
Подробно остановимся на так называемых списках доступа. Списки доступа (или access-lists) представляют собой правила, на основании которых маршрутизатор принимает решение о том или ином действии над пакетом данных. В общем случае списки доступа имеют уникальные идентификаторы, которые могут состоять как из цифр, так и из букв. Однако традиционным считается использование нумерованных списков доступа, причём нумерация имеет определённый смысл. Так, стандартные списки IP имеют номера от 1 до 99 (проверяют только адрес источника), расширенные списки IP – от 100 до 199 (проверяют адреса источника и назначения, порты и прочее). Списки доступа могут работать с такими критериями, как адреса отправителя и получателя, протокол и его особенности. Важно отметить, что для каждого элемента списка доступа выделяется отдельная строка, при этом в каждом списке может быть как одна, так и несколько строк. Если вы знакомы с технологиями работы межсетевых экранов, то знаете, что при прохождении через них пакеты проверяются набором правил, которые расположены в определённом порядке, причём проверка происходит до первого соответствия. Таким образом, порядок правил имеет огромное значение. То же самое и со списками доступа. Из особенностей реализации списков доступа на маршрутизаторах отметим, что при добавлении нового критерия, он помещается в самый низ. Кстати, всё, что можно делать со списком, – это добавлять критерии, удалять и менять порядок нельзя. Последним критерием каждого списка является запрет всего.
Но мало только создать список, его нужно ещё и применить к нужному интерфейсу, причём здесь тоже есть свои особенности, которые сначала могут показаться немного странными, однако в дальнейшем – вполне разумными. Так, интерфейс “е” может работать более чем с одним списком доступа для какого-то конкретного протокола (это вполне логично – после проверки одного списка во второй не попадёт ничего, кроме явно разрешённого на первом).
Router(config)#access-list 1 permit 192.168.10.0/24 router(config)# access-list 102 permit icmp any any router(config)#interface eth0/0 router(config-if-eth0/0)# ip access-group 102 in |
На этом, думаем, можно закончить знакомство с языком маршрутизатора Nateks Networks 1601V, который очень близок к языку Cisco. Именно благодаря такому близкому синтаксису, можно без труда разобраться в любом продукте, имеющем подобный язык, если вы когда-либо уже имели дело с родственными решениями.
Тестирование безопасности
Выполнив настройку маршрутизатора как указано выше, мы решили протестировать его на предмет наличия открытых портов и уязвимостей. Для проведения тестов мы выбрали систему Xspider Build 1549 с профилем ScanCisco для сетей с Cisco-антисканерами. В результате достаточно продолжительного тестирования был обнаружен только один открытый порт – 23/TCP, сервис на котором определить не удалось.
Заключение
Маршрутизатор Nateks Networks 1601V предлагает достаточный для любого применения набор возможностей, среди которых отметим установку WIC-модулей. Маршрутизатор оснащён встроенной схемой шифрации данных, что позволит работать с потоком VPN на аппаратном уровне. Такая конфигурация позволит решить задачи не только обеспечения доступа в Интернет для небольших офисов и организаций, но и объединить сети нескольких территориально разделённых офисов одной организации, используя в качестве транспорта Интернет. Что касается интерфейса настройки, то он выполнен на профессиональном уровне. Администраторы, знакомые с оборудованием Cisco, смогут настроить такой маршрутизатор за считанные минуты, без необходимости изучать новые команды. Приятно, что компания Nateks Networks не стала изобретать велосипед, а воспользовалась известным, проверенным временем языком настройки.
Маршрутизатор оставил самые приятные впечатления и в отношении энергопотребления и, соответственно, тепловыделения. Так, после нескольких часов работы его корпус оставался лишь чуть тёплым, и это при том, что в системе охлаждения нет ни одного вентилятора.
Преимущества:
- поддержка VPN;
- поддержка различных протоколов маршрутизации;
- поддержка различных интерфейсов;
- язык, близкий к Cisco;
- низкое энергопотребление.
Недостатки:
- высокая цена;
- отсутствие web-интерфейса.
Введите ключевые слова для поиска и нажмите Enter.