ZyXEL IES-1248-71: 48-портовый коммутатор ADSL2+ – THG.RU

Введение

Для многих наших читателей ассиметричный доступ по технологии ADSL перестал быть в новинку. Сегодня немалая часть пользователей Рунета использует эту технологию для ежедневного доступа к сети Интернет. С точки зрения пользователя, всё достаточно прозрачно и просто: если требуется организовать выход в Интернет из маленькой домашней сети, покупается сплиттер и ADSL-модем или маршрутизатор. Однако мало кто задумывался о том, как это всё реализовано со стороны провайдера, то есть, чаще всего, на местной АТС. Сегодня в нашу лабораторию поступило на тестирование оборудование именно провайдерского или же корпоративного класса. ADSL коммутатор IES-1248-71 от ZyXEL позволяет подключить до 48 пользователей по технологии ADSL2+, обеспечивающей скорость передачи данных до 24 Мбит/с.

Внешний вид

ADSL-коммутатор выполнен в 19″ конструктиве, что позволяет монтировать его в телекоммуникационную стойку. Габариты устройства: 65x475x250 мм.

На передней панели устройства расположены 4 разъёма Telco 50, два из которых используются для непосредственного подключения 48 абонентов, а оставшиеся два – для 48 сплиттеров. На передней панели устройства расположены также разъём для подключения питания и индикаторы состояния коммутатора, разъём мини RJ-45 для консольного управления, два порта 100Base-TX/1000Base-T или два порта мини GBIG для Uplink/Subtending, а также один разъём DB9 для трёх входных и одного выходного alarm-контактов.

Внутри имеется блок из трёх сменных вентиляторов, который можно обслуживать, не разбирая корпус ADSL-коммутатора. С противоположного торца расположена вентиляционная сетка.

Хотелось бы также отметить, что коммутатор может работать в температурном диапазоне от -40?C до +65?C, то есть его можно размещать в удалённых выносах и кроссах, что позволяет сократить длину медной пары до абонента и обеспечить максимальную скорость.

“Железная” анатомия

Заглянем теперь внутрь ZyXEL IES-1248-71. После того, как мы сняли крышку, оказалось, что в корпусе расположены две платы, а не одна, как мы предполагали изначально.

Верхняя плата обеспечивает фильтрацию ADSL- и телефонных сигналов, на ней размещены сплиттеры в восемь рядов по шесть элементов в каждом.

Блок питания встроенный и выполнен в виде отдельной платы.

Также на отдельной плате расположен консольный порт и индикаторы состояния системы.

Связь нижней платы с верхней осуществляется через вертикальные штырьки-коннекторы, то есть верхняя плата как бы надевается на эти контакты.

Также на нижней плате установлены два разъёма Telco-50, через которые подаётся низкочастотный аналоговый сигнал от телефонной станции. Далее к этому сигналу добавляется высокочастотная составляющая, используемая для передачи данных.

На нижней плате находится сетевой процессор Wintegra WinArrow с маркировкой WIN117HBI-200B1 T8AK4D0505AA, скрытый чёрным радиатором, и два модуля кэш-памяти CY7C1354B-166AI по 9 Мбайт, описание которых здесь, а также два чипа памяти HYNIX HY57V561620CT-HI, объём каждого из них равен 256 Мбайт. На этом, пожалуй, обзор “железной” части коммутатора ZyXEL IES-1248-71 мы закончим.

Загрузка

За процессом загрузки мы наблюдали через консольный порт (mini RJ-11), расположенный на передней панели ZyXEL IES-1248-71. В качестве терминальной программы была выбрана Tera Term, а скорость порта выставлена в 9600 бод. Весь процесс загрузки занимает 35 секунд, что является, на наш взгляд, весьма хорошим показателем. На 5-ой секунде можно осуществить вход в режим отладки. Выводимая в процессе загрузки на консоль информация представлена ниже (убраны лишние переводы строк).

Если вводить неправильный пароль, то коммутатор переходит в режим трёхминутного ожидания перед следующей попыткой ввода пароля.

В процессе загрузки корпусные вентиляторы включаются дважды: первый раз для теста на первой секунде (на одну секунду), второй раз через 23 секунды после начала загрузки, но уже для постоянной работы.

В процессе загрузки выводится также сообщение о возможности перехода в режим отладки, который, к сожалению, изучить нам так и не удалось, что связано с отсутствием подсказок и, вероятно, набором специализированных команд. Ниже приводится лог части наших попыток изучения этого режима ADSL2+ коммутатора IES-1248-71.

Обновление прошивки

Коммутатор IES-1248-71 поступил к нам со следующими параметрами.

На сайте ZyXEL мы обнаружили новую версию прошивки IES-1248-71_V3[1].50(LS.1)C0_Standard. Попробуем теперь заменить прошивку, для этого в web-интерфейсе мы перейдём в меню “Management-Maintenance” и запустим “Firmware Upgrade”.

Информация о новом программном обеспечении указана ниже.

Естественно, за процессом обновления программного обеспечения мы наблюдали из консоли IES-1248-71. Ниже приведена информация, выводимая системой на консольный порт.

После этого начинается обычный процесс загрузки.

Обзор возможностей командной строки

После подключения к консольному порту мы видим приглашение на ввод пароля, после успешного набора которого система выдаёт приглашение и ожидает ввода команд. К сожалению, мы попадаем в режим ввода команд в стиле ZyNOS, перейти из которого в режим “Cisco-like” нам не представилось возможным. Итак, рассмотрим команды, которые доступны нам в этом режиме. Сразу хотелось бы отметить, что разбирать мы будем не все команды, а только те, которые показались нам наиболее интересными.

Начнём наше рассмотрение с группы sys, в которой доступны следующие подкоманды.

Команды этой группы отвечают за общесистемное конфигурирование и отображение информации. Кстати, приятной особенностью является возможность не выписывать команды полностью, а нажимать клавишу “Tab”, которая дописывает окончание команды. Системный вызов sys info show отображает информацию о имени коммутатора, его расположении, контактах, модели коммутатора, а также о версии установленного программного обеспечения.

Команда sys server show отображает информацию о тех службах, которые запущены на коммутаторе, а также о портах, занятых этими службами.

Системные вызовы sys date show и sys time show отображают текущую дату и время, соответственно.

С помощью команды sys monitor можно отслеживать состояние питания, температуру, а также скорость вращения вентиляторов.

Системный вызов sys client show позволяет отобразить группы (по IP-адресам) клиентов, которым разрешены те или иные действия.

Команды группы sys timeserver позволяют задать и просмотреть параметры синхронизации с сервером времени в Интернете, а также провести саму синхронизацию.

Для просмотра логов системы можно воспользоваться командой sys log show. Пример вывода этой функции показан ниже.

С помощью вызовов sys reboot можно просматривать или изменять расписание перезагрузок устройства.

Команда sys wdog show отображает текущее состояние WatchDog-защиты.

Заглянем теперь в группу ip, так как все интересные команды из sys мы уже рассмотрели. Основные команды и их назначение станет понятно из приводимой ниже информации.

Пытливый читатель наверняка уже заметил несоответствие шлюза и адреса сети. Мы не меняли адрес шлюза по умолчанию, так как у нас все устройства были расположены в одной подсети.

Посмотрим теперь, что предоставляет нам команда config.

Полный вывод команды config show all представлен здесь.

Теперь обратим наш взор на команду switch, позволяющую настроить коммутацию и её параметры.

В этой команде можно включить или отключить прослушивание и фильтрацию протокола IGMP.

Также можно проводить настройку очередей приоритетов.

Обзор возможностей командной строки, продолжение

Параметр garptimer связан с настройками временных параметров garp.

Для настройки параметров протокола RSTP (Rapid Spanning Tree Protocol) необходимо воспользоваться параметром rstp команды switch. Поддержка протоколов связующего дерева (STP и RSTP) – приятное добавление к обычным для ADSL-коммутатора возможностям.

Коммутатор IES-1248-71 может выполнять функции агента DHCP, перенаправляя запросы на получение адреса по протоколу DHCP на определённый сервер. Одной из приятных особенностей реализации данного протокола в устройствах ZyXEL является наличие так называемой “опции 82”, которая позволяет вставлять данные о номере порта в сообщение-запрос DHCP и, при условии, что DHCP-сервер поддерживает эту опцию, привязать к этому порту наперёд заданные параметры, например, IP-адрес абонента.

За настройку параметров виртуальных локальных сетей (VLAN) отвечает команда switch vlan.

Тестируемый ADSL-коммутатор позволяет также настраивать параметры, связанные с MAC-таблицей устройства.

На ZyXEL IES-1248-71 мы можем проводить фильтрацию пакетов по типу используемого протокола.

Мы немного сократили вывод данной команды, чтобы не загромождать статью.

За аутентификацию на уровне порта отвечают системные вызовы switch dot1x с соответствующими параметрами.

Здесь мы тоже несколько сократили объём выводимой командой информации.

Настроить параметры двух Ethernet-портов устройства можно, если воспользоваться командой switch enet.

Использование настройки статической фильтрации группового вещания (switch smcast) необходимо для работы таких протоколов, как RIP или OSPF.

Команда switch isolation отвечает за режим изоляции портов, а также за режим работы коммутатора в связи с соседними устройствами.

Обзор возможностей командной строки, продолжение

На этом обзор системного вызова switch мы заканчиваем и переходим к разделу statistics, в котором можно посмотреть статистическую информацию о работе функций, рассмотренных в предыдущем разделе (switch).

Перейдём теперь к последнему нерассмотренному разделу adsl, содержимое которого представлено ниже.

Первая доступная подкоманда show системного вызова adsl отображает состояние ADSL2+ портов коммутатора. Ниже приводится вывод этой команды в сокращённом виде.

Подкоманды adsl enable и adsl disable позволяют, соответственно, разблокировать и блокировать порты коммутатора.

Для работы с профилями предназначена подкоманда profile, которая позволяет создавать, удалять, просматривать и применять профили asl.

Порты коммутатора можно объединять в группы, для которых задавать имя, что делается командой adsl name.

Команда adsl tel позволяет сопоставить номер порта или группы с телефонным номером.

Для осуществления теста петли OAMF5 необходимо ввести команду adsl loopback.

Настройка виртуальных каналов (VC) осуществляется с помощью системного вызова adsl vcprofile, вывод которого представлен ниже.

Конфигурирование постоянных виртуальных каналов осуществляется командой adsl pvc с соответствующими аргументами. Вывод этой команды мы как всегда чуть-чуть подсократили.

Определённые порты можно переводить в режим диагностики. Для этого необходимо воспользоваться командой adsl linediag, после чего возможно просматривать диагностические сообщения.

Настройка профилей режима тревоги возможна с помощью команд adsl alarmprofile и соответствующих аргументов.

Включение, отключение и просмотр Annex L допустимо командой adsl annexl.

Команда adsl sra отвечает за режим “Seamless Rate Adaptation” (режим плавной адаптации скорости) для портов коммутатора.

Для управления питанием на портах коммутатора предназначена команда adsl pmm, вывод которой представлен ниже.

Обзор интерфейса командной строки мы на этом заканчиваем. Более подробные комментарии и инструкции по настройке можно получить из документации к ZyXEL IES-1248-71.

Обзор возможностей web-интерфейса

После обращения к устройству по протоколу HTTP пользователю придётся ввести логин и пароль – admin и 1234, соответственно.

Теперь перед нами открывается страничка с информацией о портах коммутатора и их состояниях.

В левом верхнем углу странички настроек расположено основное меню со следующими пунктами: “Basic Setting”, “Advanced Application”, “Routing Protocol”, “Management”, “Config Save”. Начнём рассматривать их по порядку. В подпункте “System Information” пункта “Basic Setting” находится информация о версии программного и аппаратного обеспечения коммутатора, а также значения температуры и питания основных элементов и скоростей вращения вентиляторов. Здесь же можно выставить границы нормального состояния ZyXEL IES-1248-71.

Переходим к следующему подпункту “General Setup”, где собрана информация, касающаяся имени и расположения устройства, а также контактной информации лица, обслуживающего коммутатор; плюс настройки времени ZyXEL IES-1248-71.

В подразделе “Switch Setup” можно осуществить настройку очередей, указать тип работы коммутатора, а также задать параметры работы с протоколом IGMP.

Настройку параметров IP-протокола можно провести в подразделе “IP Setup”, где необходимо задать IP-адрес коммутатора и маску подсети, а также шлюз по умолчанию.

Настройку двух портов Ethernet можно провести в подменю “ENET Port Setup”, где можно задать имя для каждого порта, его состояние (включён или отключён), а также скорость соединения с этим портом.

Перейдём теперь в подменю “xDSL Port Setup”, в котором для каждого из портов можно задать уникальные параметры работы, в том числе и настройки виртуальных каналов.

Настройка профилей xDSL предоставляет пользователю подпункт “xDSL Profiles Setup”, в котором собраны настройки профилей цифровой линии абонента. По умолчанию в прошивке уже существуют два профиля: DEFVAL и DEFVAL_MAX. Также на этой странице мы можем перейти к настройке профилей виртуальных каналов, профилей тревоги, а также к фильтрам IGMP.

Последним подпунктом меню является “xDSL Line Data”. В нём собрана статистическая информация о работе порта.

Обзор возможностей web-интерфейса, продолжение

Перейдём теперь к следующему пункту меню, который называется “Advanced Application”. В этом пункте меню представлены следующие подпункты: “VLAN”, “IGMP Snooping”, “Static Multicast”, “Filtering”, “MAC Filter”, “Spanning Tree Protocol”, “Port Authentication”, “Port Security”, “DHCP Relay”, “SysLog”, “Access Control”. Рассмотрим каждый из этих пунктов подробнее.

Подпункт меню “VLAN” отображает информацию, относительно принадлежности портов различным виртуальным локальным сетям, сконфигурированным на коммутаторе.

Также есть возможность вручную создать VLAN и указать принадлежность портов к ним.

Подпункт “IGMP Snooping” отвечает за прослушивание протокола IGMP и автоматическое создание наборов групповой рассылки.

Кроме автоматического конфигурирования групп для IGMP, существует также возможность ручного задания параметров многоадресного трафика. Подпункт “Static Multicast” предоставляет возможности для ручной настройки этих параметров.

Вкладка “Filtering” позволяет осуществлять фильтрацию определённых протоколов на портах коммутатора.

Кроме фильтрации по протоколам, существует также возможность осуществлять фильтрацию по MAC-адресам коммуникационного оборудования, “висящего” на порту коммутатора.

Настраивать протокол связующего дерева необходимо в подменю “Spanning Tree Protocol”, где можно указать основные параметры работы этого протокола.

Для включения и изменения режима аутентификации предназначен подпункт “Port Authentication”, где можно указать, как происходит аутентификация (с использованием сервера RADIUS или же локального профиля), а также для каких портов включается этот режим (802.1x).

Подпункт “Port Security” открывает перед администратором возможность ограничить количество доступных с этого порта MAC-адресов, что может использоваться для более жёсткой привязки к клиенту.

Переходим к пункту “DHCP Relay”, в котором можно задать использование удалённого DHCP-сервера, что бывает полезным в случае отсутствия локально расположенного сервера этого протокола. Интересной особенностью является наличие опции 82, сообщающей DHCP-серверу дополнительную информацию о клиенте – порт, с которого подключается абонент. Дополнительное поле ввода позволяет ввести до 25 ASCII-символов, добавляемых к информации об абоненте в запрос к DHCP-серверу.

Подменю “SysLog” разрешает использование SysLog-сервера, что удобно для централизованного хранения и обработки логов.

В подпункте меню “Access Control” задаётся использование различных типов доступа к устройству и их параметров. В том числе, можно сменить пароль администратора.

Обзор возможностей web-интерфейса, продолжение

Пункт меню “Routing Protocol” содержит единственный подпункт “Static Routing”, позволяющий задать статические записи в таблице маршрутизации коммутатора. Этой таблицей пользуется внутренний управляющий модуль в случаях, когда требуется отправка данных узлам, расположенным в других подсетях, если маршруты до них не пролегают через шлюз по умолчанию.

На этой страничке вы можете задать имя правила, адрес и маску сети назначения; шлюз, через который эта сеть будет доступна, а также метрику для данного маршрута. Представлен также список уже существующих правил.

Перейдём к рассмотрению пункта меню “Management”, который содержит подпункты: “Maintenance”, “Diagnostic”, “MAC Table”, “ARP Table”.

Подпункт “Maintenance” позволяет обновить версию программного обеспечения ADSL2+ коммутатора, сохранить и восстановить настройки, а также вернуться к заводским установкам.

Отобразить или очистить логи SysLog, осуществить ping, проверить наличие петель и провести LDM-тест можно в подпункте “Diagnostic”.

Подпункт “MAC Table” отображает список обнаруженных устройством MAC-адресов и их принадлежность портам, а также прочую информацию (VID, VPI/VCI).

Связь между обнаруженными IP- и MAC-адресами отображается в подпункте “ARP Tables” меню “Management”.

В последнем пункте меню “Config Save” у нас есть единственная возможность сохранить на жёсткий диск компьютера файл конфигурации.

Тестирование

Мы начали своё тестирование с проверки устойчивости данного ADSL2+ коммутатора к разнообразным атакам. Для такой проверки мы использовали XSpider Demo (Build 1549) от Positive Technologies. После запуска теста мы обнаружили, что коммутатор выпадает в “синий экран”. И с подобными ошибками это происходило не один раз в процессе тестирования. Ниже мы приводим логи, которые IES-1248-71 выводит на свой консольный порт (убраны лишние переводы строк).

Представители ZyXEL сообщили, что такое возможно только в случае, когда программа-тестер подбирает правильную учётную пару логин-пароль. Мы изменили пароль для административной учётной записи и вновь запустили проверку. Однако и в этом случае проверка вызывает перезагрузку коммутатора.

После сообщения о найденной уязвимости компания ZyXEL выпустила новую версию прошивки (файлы 350LS3C0_date060329.bin и 350LS3C0_date060329.rom), устойчивую к проведённым выше атакам. Мы специально обновили версию ПО на коммутаторе и запустили сканер. Перезагрузки и выпадения в дамп нами отмечены не были, считаем, что найденная уязвимость устранена.

В процессе сканирования было обнаружено, что открыты порты: TCP-21 (Telnet), TCP-23 (FTP), TCP-25, TCP-80 (HTTP), TCP-110, UDP-161 (SNMP). Двадцать пятый и сто десятый TCP-порты оказались заблокированными, поэтому мы не предоставляем информацию по ним, результаты же сканирования остальных портов приведены ниже.

TCP-21 (FTP).

TCP-23 (FTP).

TCP-80 (HTTP)

UDP-161 (SNMP)

Тестирование, продолжение

Для тестирования ADSL-возможностей коммутатора мы использовали модемы производства той же компании: ZyXEL OMNI ADSL LAN EE и ZyXEL Prestige 600 Series (P-660HW EE). Перед подключением указанных модемов к исследуемому коммутатору ZyXEL IES-1248-71 по ADSL, мы решили обновить прошивку на устройствах, для чего подключились по Ethernet к каждому из них. Следует отметить, что после подключения ZyXEL OMNI ADSL LAN EE наш персональный брандмауэр (Outpost Firewall Pro ver. 3.5.641.6214 (458)) начал фиксировать запрос на 520 UDP-порт каждые 30 секунд, а при подключении ZyXEL Prestige 600 Series (P-660HW EE) мы увидели протокол групповой рассылки IGMP. То, что, по мнению Microsoft, привязано к 520 UDP-порту, указано ниже. Взято из WINDOWSsystem32driversetcservices.

Также следует отметить, что ADSL-модем P-660HW EE во время работы заметно греется, что потенциально может создать проблемы при установке его в душных помещениях, либо вблизи других устройств.

Мы подключили к Ethernet-порту коммутатора стационарный компьютер, а к одному из ADSL-портов ноутбук с ZyXEL Prestige 600 Series (P-660HW EE), основные параметры которых представлены ниже.

Подключение к IES-1248-71 возможно осуществить с использованием специального кабеля с разъёмом Telco-50.

Есть два варианта подключения: когда по телефонной “лапше” передаётся только высокочастотный сигнал данных, и когда одновременно передаётся сигнал данных и обычный телефонный звонок. Если с первым вариантом соединения всё понятно, то для организации второго варианта потребуются дополнительные устройства: сплиттер со стороны клиента для разделения этих сигналов по частоте, а сам коммутатор надо будет подключить к кроссу телефонной станции через разъём Telco-50.

Для тестирования скорости мы использовали программу netcps и получили, что максимально доступная скорость составляет около 12 Мбит/с. После этого мы решили проверить скорость на реальном FTP-сервере, для чего на ноутбуке “подняли” FTP-сервер Serv-U версии 6.2.0.1. Полученная в этом случае скорость колебалась около 20-21 Мбит/с, что, на наш взгляд, является весьма хорошим (предельно возможным) показателем. На графике, представленном ниже, первая часть данных была передана с использованием netcps, вторая же по протоколу FTP. По словам специалистов технической поддержки компании ZyXEL, это связано с тем, что netcps отправляет группы по 3 пакета, разного размера: с минимальным, средним и максимально возможным количеством данных, а падение скорости, возможно, связано с внутренним ограничением устройства на количество обрабатываемых пакетов в единицу времени для каждого соединения. Тогда мы запустили два одновременных соединения с использованием netcps, но по разным портам, что представлено третьим “всплеском”.

Мы решили проверить также, насколько хорошо действует ограничение скорости, применяемое для каждого из ADSL-портов. Таблица тестирования и график представлены ниже.

Получается, что реальная скорость, которую даёт коммутатор после выставления ограничения, постоянно ниже выставленной, но колебания вокруг “средней” прямой слабое, то есть поведение достаточно предсказуемо. Расхождение между выставляемой и реальной скоростями может быть объяснено тем, что выставляемое значение ограничивает канальную скорость передачи (в канале происходит упаковка данных в ATM-ячейки), мы же замеряем скорость передачи чистой информации.

Проверим также возможности IES-1248-71 по обработке трафика группового вещания. Для этого мы подключили стационарный компьютер к Ethernet-порту коммутатора, а на один из его ADSL-портов “повесили” ноутбук и ZyXEL Prestige 600 Series (P-660HW EE) в режиме моста. Для сетей группового вещания выделен класс D адресов IPv4 (диапазон от 224.0.0.0 до 239.255.255.255). В качестве эксперимента мы решили вручную настроить коммутатор на работу с трафиком группового вещания. Для этого на вкладке “Advanced Application-Static Multicast” мы создали запись для MAC-адреса группового вещания 01-00-5E-01-01-01, что соответствует IP-адресу, например, 224.1.1.1. Подробнее о соответствии групповых MAC- и IP-адресов можно прочитать на странице компании Cisco. Итак, мы определились с MAC- и IP-адресами для групповой рассылки, что и сообщили коммутатору (MAC-адрес). Теперь пора настроить тестовые компьютеры. Ноутбук выполняет функции клиента, просматривает видео-поток, его настройки представлены ниже.

Настройки “сервера” ненамного сложнее, и также представлены ниже.

Качеством вещания мы остались вполне довольны, правда, иногда наблюдались “замирания” картинки. Возможность именно видео-вещания нам кажется сомнительной на проложенной сразу после войны (в большинстве городов) телефонной проводке, которая не сможет дать достаточной для передачи потокового видео скорости. Но радио и, например, телефонные IP-конференции могут быть весьма востребованными.

Заключение

Протестированный коммутатор ADSL2+ IES-1248-71 производства компании ZyXEL является хорошим решением для организации сети доступа по технологии ADSL и может быть использован в операторских сетях как с существующей проводкой, так и с вновь прокладываемой; как с телефонным сигналом по той же паре, так и без него. К положительным характеристикам данного устройства мы относим следующие:

• высокая плотность портов;
• поддержка ADSL2+ до 24 Мбит/с (реально нами была получена скорость в 21 Мбит/с);
• поддержка группового вещания;
• поддержка разнообразных фильтраций;
• ограничение скорости передачи по порту, что позволяет вводить разные тарифные планы;
• гибкие настройки, связанные с обеспечением безопасности порта;
• возможность управления через графический интерфейс, командную строку или SNMP.

К минусам можно отнести следующие пункты:

• некоторое расхождение выставляемой и реальной скоростей передачи данных по порту;
• пауза между изменением профилей для порта и возможностью последующего подключения к этому порту.

На момент публикации статьи ZyXEL IES-1248-71 в Москве можно было найти по цене от 3200$, что составляет около 67$ за порт.