Введение
Уже не раз на страницах THG.ru появлялись обзоры сетевых устройств от компании Asus. Все они отличались продуманным исполнением и великолепной аппаратной частью. На этот раз в нашу сетевую лабораторию поступил новый продукт Asus – высокоскоростной маршрутизатор RX3041H. По словам одного из представителей Asus в России, этот маршрутизатор выполнен на основе предыдущих моделей SL500 и SL1000, но с усиленной аппаратной платформой. Из его прошивки убрана поддержка IPSec-туннелей, за счёт чего появилась возможность повысить скорость работы устройства. Но обо всём по порядку.
Внешний вид и характеристики
В отличие от своего предшественника, RX3041H поставляется в белом металлическом параллелепипеде-корпусе, размером со среднюю книгу.
На нижней поверхности устройства можно различить технологические отверстия, позволяющие вешать роутер на стенку в любом положении. Присутствуют также мягкие резиновые ножки для размещения маршрутизатора на столе.
К сожалению, пластмассовых ножек, как у моделей SL, тут нет, что несколько затрудняет его настольное вертикальное размещение. Однако теперь появилась возможность монтировать его в стойку, для чего на боках устройства присутствуют отверстия с резьбой, к которым можно привинтить крепёжные приспособления. Маршрутизатор RX3041H показался нам более устойчивым на столе по сравнению с предыдущими моделями. И сама возможность монтирования в стойку не является лишней.
Поскольку RX3041H позиционируется как продолжение линейки SL, мы посчитали логичным сравнить скорости работы обоих устройств. Но сначала расскажем о самом устройстве.
В RX3041H используется такой же процессор, что и в маршрутизаторах серии SL, работающий на частоте 133МГц, но сама плата несколько изменена.
По визуальным ощущениям плата выполнена слишком просторно, да и сам корпус сделан больше (1U), чем требуется. Можно было без особых проблем уменьшить высоту корпуса на 20%. К тому же, отвод тепла находится на должном уровне: при интенсивной работе элементы платы не обжигали руку при прикосновении.
Продолжает радовать наличие консольного порта, который позволяет получить доступ к маршрутизатору даже в случае ошибки конфигурирования параметров Ethernet-интерфейсов.
Настройка через web-интерфейс
Перед началом описания возможностей, доступных через web-интерфейс, хочется в очередной раз отметить, что возможности графической настройки много скуднее возможностей telnet-настройки, хотя подавляющее большинство пользователей будут удовлетворены даже тем набором параметров, которые доступны при настройке через браузер. Адрес по умолчанию для LAN-порта выбран 192.168.1.1, однако на наших скриншотах вы можете видеть совершенно другие адреса: мы тестировали сразу несколько устройств серий SL и RX, поэтому назначали им уникальные адреса.
Интерфейс настройки напоминает Windows Explorer, весьма удобно отображая текущее положение и всевозможные разделы. Но на этот раз обновление страниц требовало слишком много времени – довольно странная ситуация, учитывая мощность процессора.
После того, как вы определитесь со схемой внутренней адресации, рекомендуем провести настройку соответствующих параметров маршрутизатора. Вы можете по своему усмотрению задать адрес LAN-интерфейса и его маску подсети.
Если вы хотите использовать протокол динамической конфигурации для настройки IP-параметров внутренних устройств, то тут на помощь приходит поддержка маршрутизатором протокола DHCP. Можно указать диапазон адресов, выдаваемых DHCP-сервером маршрутизатора, маску подсети, адреса серверов DNS и WINS, адрес шлюза по умолчанию, а также время аренды адреса. Последний параметр позволяет достаточно гибко адаптировать DHCP-сервер под ваши нужды: если происходит частое добавление/удаление машин, то лучше использовать укороченное время аренды; но если ваша сеть достаточно стабильна и неизменяема, то удлинение времени аренды имеет смысл, что позволит сотруднику сохранить его IP-адрес неизменным даже в случае продолжительных праздников или болезни. Если же вы хотите жёстко связать определённые MAC- и IP-адреса, то следует воспользоваться конфигурацией фиксированной аренды.
Внешний порт позволяет выбирать между динамическим IP (по протоколу DHCP), статическим IP (все параметры задаются вручную) и PPPoE. Однако для моделей серии SL существуют прошивки (пока ещё в стадии Beta), которые поддерживают протокол PPTP на WAN-порте. Необходимость поддержки данного протокола продиктована сферой использования SOHO-маршрутизаторов. Во многих домовых сетях используются VPN-подключения для аутентификации пользователей, сбора статистики, билинга… Такой туннель можно поднять стандартными средствами операционной системы Windows, однако подключить одновременно несколько машин за маршрутизатором не получится, так как большинство провайдеров допускают единственный одновременный туннель. Решить проблему выхода в сеть Интернет одновременно нескольких компьютеров позволяет поддержка клиента протокола PPTP на маршрутизаторе. Интерфейс настройки PPTP для серии SL представлен ниже.
Необходимо задать вручную IP-адрес, маску и шлюз, а также задать адрес PPTP-сервера, логин для него и пароль. Маршрутизатор позволяет указывать явным образом, через какое соединение требуется передавать данные для конкретного получателя, для чего требуется выставить правила в настройках брандмауэра (параметры NAT). Для большинства пользователей будет достаточно задать единственное разрешающее всё правило с указанием соответствующего способа трансляции, однако, из соображений безопасности, мы не рекомендуем этого делать. Если внутри вашей сети не находятся серверы, которые вы бы хотели “показать” внешним сетям, то рекомендуем создать единственное входящее правило, запрещающее весь трафик.
Вообще, возможности фильтрации брандмауэра достаточно широки: адреса источника и назначения, порты и протоколы, а также время, в которое работает данное правило. Использовать временную привязку имеет смысл только в случае синхронизации маршрутизатора с внешними SNTP-серверами.
Если сотрудники вашего офиса часто перемещаются с компьютера на компьютер и им при этом требуются различные правила фильтрации, то Asus предлагает использовать аутентификацию на межсетевом экране для динамического изменения правил брандмауэра. Для этого требуется настроить пользовательские группы и учётные записи, а также задать новые динамические параметры правил фильтрации.
После аутентификации пользователя на маршрутизаторе и до момента его выхода (форсированно или по истечению времени жизни его сеанса) действуют динамические параметры фильтрации. Для входа по учётной записи требуется ввести в браузере URL: http://router_ip_address/login, после чего ввести свои учётные данные.
Для правил брандмауэра можно включить журналирование, что позволяет просмотреть, когда и кем использовалось данное правило. Информацию из журнала можно прочесть на странице логов маршрутизатора.
При создании правил для протоколов FTP, HTTP, RPC или SMTP появляется возможность более глубокой настройки фильтрации. Можно указать дополнительные параметры этих протоколов (например, допустимые команды, пропускаемые типы файлов). При фильтрации протокола HTTP допустима фильтрация URL, хотя мы и считаем эту возможность “сырой” и недоработанной.
С точки зрения безопасности, маршрутизаторы от Asus буквально напичканы разнообразными настройками ограничения доступа к самому устройству. Администратор может указывать, какой доступ и из каких сетей (уникальные адреса или диапазоны) допустим.
Stealth Mode позволяет не отправлять сообщения в случае закрытого порта. Даже если вы разрешили доступ из внутренней или внешней сети к маршрутизатору для управления по протоколу HTTP, то можете задать нестандартный порт доступа, что собьёт большинство атакующих с толку. Однако было бы полезно позволить администратору изменять приветственные сообщения (баннеры) маршрутизатора (ASUS CLI User Access Verification), чтобы скрыть от атакующего тип и производителя устройства.
На этом мы остановимся в нашем беглом обзоре возможностей, открывающихся при настройке через web-интерфейс. Полную информацию вы сможете почерпнуть из исчерпывающего руководства пользователя, которое идёт вместе с устройством, а также доступно на web-сайте компании Asus. Также рекомендуем предыдущую статью, посвящённую возможностям маршрутизаторов серии SL.
Настройка через командную строку
Интерфейс настройки маршрутизатора почти в точности повторяет интерфейс серии SL. Исключение составляет отсутствие пунктов меню, связанных с настройками IPSec VPN. Заглянем в него более глубоко, для чего воспользуемся консольным портом и программой TerraTerm. В принципе, можно было подсоединиться к маршрутизатору и обычной telnet-сессией, однако, во время перезагрузок и глубоких настроек соединение рвётся. Итак, посмотрим на пределы возможностей нового устройства.
RX3041H# sho lim | ||
Network | CurrCnt | Max allowed |
Corp | 7 | 1300 |
Ext | 0 | 1300 |
Self | 0 | 100 |
Ext2Self | 0 | 100 |
Dmz | 0 | 0 |
SL1000# sho lim | ||
Network | CurrCnt | Max allowed |
Corp | 2 | 310 |
Ext | 0 | 310 |
Self | 5 | 160 |
Ext2Self | 0 | 40 |
Dmz | 0 | 0 |
Из таблицы видно, что возможностей по количеству одновременных соединений у нового представителя “касты” маршрутизаторов больше. Нельзя не отметить появление новой возможности: просмотра распределения памяти между работающими процессами. В новых прошивках для SL такая функция также имеется в наличии (эту информацию даёт просмотр файла /proc/memusage в shell ОС роутера).
Информацию о процессах можно также получить и из встроенного командного интерпретатора.
SL500# she BusyBox v0.60.2 (2002.10.22-13:52+0000) Built-in shell (msh) Enter ‘help’ for a list of built-in commands. # ps |
Справедливости ради стоит заметить, что хоть и поставлен BusyBox, но полного списка его команд нет. “Кастрировали” даже возможности BusyBox. Информацию по командам можно найти на странице разработчиков BusyBox. Например, для команд ls – вывод каталогов и файлов и kill – отправка сигнала (список сигналов) приводится следующая справка.
ls [-1AacCdeFilnpLRrSsTtuvwxXhkK] [filenames…]
List directory contents Options: -1 list files in a single column Usage: kill [-signal] process-id [process-id …] |
В SL и RX от Asus доступен следующий набор “команд”, которые расположены в каталоге /bin, /sbin и /usr/bin, /usr/sbin.
# cd /bin # ls bash cp ls mv rm su busybox echo mkdir ping run-parts tinylogin cat kill mount ps sh chmod login msh pwd sleep # cd /sbin # ls getty ifconfig init route syslogd # cd /usr/bin # ls GOCbox ftpdir fwapp l2f_server rfcutil [ ftpget goahead monitor snmpd clcli ftplist goc_ddns ntpdate test evtmgr ftprm igd pppoestartup user_mgr fileconv ftpsend ktools qftp vpnpm # cd /usr/sbin # ls dhclient dhcrelay inetd routed tcpd dhcpd in.telnetd linux_dns sntp # |
Если уж мы работаем в shell операционной системы этого устройства, то посмотрим, что это за система. Для этого выполним команду просмотра информационного файла из каталога /proc. В этом каталоге собрано множество интересных файлов и каталогов, что естественно для систем *nix. Так же можно просмотреть время работы системы, но эта информация доступна и из web-интерфейса, только в данном случае точность представления выше.
# pwd / # cd /proc # ls 1 4 75 cmdline kcore self 10 41 76 cpuinfo kmsg slabinfo 102 5 8 devices loadavg stat 103 53 81 dma locks swaps 104 56 82 driver meminfo sys 11 6 83 execdomains memusage sysvipc 12 67 84 filesystems misc thrash 140 68 9 fs mounts tty 2 7 93 interrupts mtd uptime 3 72 99 iomem net version 36 73 bus ioports partitions # cat version Linux version 2.4.2_hhl20 (root@localhost.localdomain) (gcc version 2.95.3 20010 315 (release/MontaVista)) #1783 Wed Feb 23 10:57:34 CST 2005 # cat uptime 88125.43 87968.80 # cat uptime 88136.37 87979.67 # |
В информации, выводимой cat /proc/uptime, мы получили 2 числа, первое из которых отвечает за время в секундах с момента загрузки устройства, а второе за время простоя. Таким образом, мы можем оценить среднюю загруженность маршрутизатора. Более точные и интересные результаты даёт просмотр файла /proc/loadavg.
# cat /proc/loadavg 2.00 2.00 1.93 -1/32 180 |
Первые 3 числа показывают среднее количество процессов в очереди за 1, 5 и 15 минут, соответственно. Последнее число указывает на количество процессов, которые были запущены со старта системы. Знаменатель дробного числа указывает количество процессов в системе на данный момент.
В каталоге /proc присутствуют числовые каталоги. Эти каталоги соответствуют номерам процессов, которые можно получить из команды ps. Переходя в каждый из каталогов можно получить подробную информацию об интересующем процессе.
# cd / # pwd / # cd /proc # ls 1 4 75 cmdline kcore self 10 41 76 cpuinfo kmsg slabinfo 102 5 77 devices loadavg stat 103 53 8 dma locks swaps 11 56 81 driver meminfo sys 12 6 82 execdomains memusage sysvipc 172 67 84 filesystems misc thrash 2 68 9 fs mounts tty 203 7 96 interrupts mtd uptime 3 72 99 iomem net version 36 73 bus ioports partitions # cd 1 # ls cmdline environ fd mem stat status cwd exe maps root statm # |
Несмотря на отсутствие поддержки IPSec этим устройством, компания Asus планирует в следующей прошивке осуществить поддержку клиента протокола PPTP. На данный момент этот протокол находится в стадии бета-тестирования. Протокол будет поддерживаться как устройством RX3041H, так и всей линейкой SL.
Тестирование скорости маршрутизации
А теперь перейдём непосредственно к тестированию скоростей маршрутизации. В качестве конечных точек передачи трафика были выбраны x86-совместимые машины: персональный компьютер и ноутбук, основные характеристики которых приведены ниже.
Параметры/ конечные станции | Стационарный ПК | Ноутбук |
Процессор | Intel Celeron (Northwood) mPGA-478 2,8 ГГц | Intel Pentium 4-M (Northwood) mPGA-478B 2,4 ГГц |
Материнская плата | Intel D845GLVA (i845GL) | Fujitsu FJNB172 |
Оперативная память | Kingston DDR-SDRAM 512 Мбайт | Noname 224 Мбайт |
Сетевая карта | 3COM 3C905TX | Realtek RTL8139(A) |
Операционная система | Windows XP Professional SP2 Rus | Windows 2000 Professional SP4 Eng |
Для начала мы проверили связь этих машин напрямую, для чего соединили их кроссовером. В качестве тестирующей программы были выбраны netcps и IxChariot. Результаты прямого соединения двух машин приведены ниже.
C:netcps>netcps -m1024 172.17.35.29 NetCPS 1.0 – Entering client mode. Press ^C to quit Connecting to 172.17.35.29 port 4455… Connected! —> CPS 11225088.00 KPS: 10962.00 MPS: 10.71 Avrg CPS 11192039.00 KPS: 10929.73 MPS: 10.67 Peek CPS 11246592.00 KPS: 10983.00 MPS: 10.73 Done. 1073741824 Kb transferred in 95.94 seconds. |
Получается, что сами компьютеры позволяют обмениваться данными на предельно возможных скоростях. Аналогичная картина получается также, если клиента и сервер netcps поменять местами. Хочется отметить, что мы не заметили принципиальной разницы между взаимным расположением клиента и сервера netcps, поэтому и далее будут приводиться данные тестирования, когда клиентом является стационарный ПК, а сервером – ноутбук, подключённые к LAN и WAN-портам, соответственно.
Запустим теперь тест с прохождением пакетов через маршрутизатор, на котором сконфигурировано по одному входному и выходному разрешающему правилу.
C:netcps>netcps -m1024 172.17.35.29 NetCPS 1.0 – Entering client mode. Press ^C to quit Connecting to 172.17.35.29 port 4455… Connected! —> CPS 4484096.00 KPS: 4379.00 MPS: 4.28 Avrg CPS 4511823.50 KPS: 4406.08 MPS: 4.30 Peek CPS 4538368.00 KPS: 4432.00 MPS: 4.33 Done. 1073741824 Kb transferred in 237.98 seconds. |
Получается, что маршрутизатор позволяет роутить пакеты на весьма низкой скорости – около 34,4 Мбит/с. Неужели, это всё, на что он способен?! Мы решили создать ещё один поток данных в другом направлении и запустили 2 раза netcps: один раз в режиме клиента, а второй в режиме сервера, и получили, что суммарный поток данных увеличился в 2 раза. То есть процессор маршрутизатора позволяет обрабатывать данные и на больших скоростях.
C:netcps>netcps -s NetCPS 1.0 – Entering server mode. Press ^C to quit Waiting for new connection… Client connected from 172.17.35.29 —> CPS 3659776.00 KPS: 3574.00 MPS: 3.49 Avrg CPS 3847682.00 KPS: 3757.50 MPS: 3.67 Peek CPS 4105216.00 KPS: 4009.00 MPS: 3.92 Client disconnected. 1073741824 Kb transferred in 279.06 seconds. C:netcps>netcps -m1024 172.17.35.29 NetCPS 1.0 – Entering client mode. Press ^C to quit Connecting to 172.17.35.29 port 4455… Connected! —> CPS 4457472.00 KPS: 4353.00 MPS: 4.25 Avrg CPS 3712761.75 KPS: 3625.74 MPS: 3.54 Peek CPS 4474880.00 KPS: 4370.00 MPS: 4.27 Done. 1073741824 Kb transferred in 289.20 seconds. |
На этом мы не успокоились и решили проверить, что же произойдёт с маршрутизатором, если заставить его обрабатывать 2 потока в одном направлении.
C:netcps>netcps -m1024 172.17.35.29 NetCPS 1.0 – Entering client mode. Press ^C to quit Connecting to 172.17.35.29 port 4455… Connected! —> CPS 4446208.00 KPS: 4342.00 MPS: 4.24 Avrg CPS 3781406.75 KPS: 3692.78 MPS: 3.61 Peek CPS 4481024.00 KPS: 4376.00 MPS: 4.27 Done. 1073741824 Kb transferred in 283.95 seconds. C:netcps>netcps -m1024 -p5555 172.17.35.29 NetCPS 1.0 – Entering client mode. Press ^C to quit Connecting to 172.17.35.29 port 5555… Connected! —> CPS 4142080.00 KPS: 4045.00 MPS: 3.95 Avrg CPS 4151732.50 KPS: 4054.43 MPS: 3.96 Peek CPS 4216832.00 KPS: 4118.00 MPS: 4.02 Done. 1073741824 Kb transferred in 258.63 seconds. |
Результаты теста нас несколько удивили, поскольку производительность возросла почти в 2 раза. Если же запустить несколько одновременных сессий, то получается, что их суммарная пропускная способность вплотную приближается к 100 Мбит/с.
Посмотрим на результаты тестирования программой IxChariot. Для начала мы также соединили клиента и сервер напрямую.
Следует отметить, что IxChariot в нашем тесте вычисляет чистую пропускную способность канала, то есть не учитывает объём передаваемой служебной информации заголовков. Для замеров мы пользуемся встроенным скриптом High_Performance_Throughput.scr. Теперь начнём использовать маршрутизатор, но на этот раз запустим несколько одновременных пар (четыре для первого теста и двадцать для второго). Для четырёх пар приведён также график и с сетевой вкладки диспетчера задач.
Весьма недурственно для нескольких одновременных закачек. Из тестов напрашивается вывод о существовании какого-то ограничения на одну закачку (поток данных между двумя сокетами). То есть либо ограничивается пропускная способность такого канала, либо количество пакетов в единицу времени. Данная особенность сетевых устройств Asus пока тестируется в их лаборатории. На данный момент в московском СЦ повторить эксперимент с этой особенностью смогли, но в Тайваньском представительстве заявляют об отсутствии указанной проблемы. Следует отметить, что при простой FTP закачке данные ограничения нельзя увидеть, так как менеджер закачек открывает сразу несколько соединений, что и позволяет данным проходить сквозь маршрутизатор на полной скорости физического канала.
Тестирование скорости маршрутизации, продолжение
Посмотрим, на что способно устройство при передаче данных по протоколу UDP. Результат, как и ожидалось, был несколько ниже, но и тут наблюдалась странная взаимосвязь между количеством одновременных сессий передачи данных и их суммарной пропускной способностью.
На последнем графике приведена одновременная работа двадцати сессий протокола UDP.
Техническое заключение
В принципе, результатами тестирования мы остались весьма довольны, так как скорость маршрутизации оказалась на высоте. Также порадовало количество разнообразных настроек, однако их обилие может сбить новичка с толку. При этом скорость маршрутизации лишь незначительно превышает показатели в аналогичных тестах для линейки SL. Однако увеличение количества одновременно поддерживаемых соединений в новой модели от Asus расширит область её использования, позволит устанавливать данные устройства и в более масштабных сетях. Нельзя не отметить и слабые стороны маршрутизаторов от Asus.
У моделей SL500, SL1000 и RX3041H кроме Ethernet и PPoE интерфейсов присутствует виртуальный интерфейс BVI, информация о котором доступна только в консоли или telnet-сессии.
SL500# sho in b
BVI Interface details: The IP address : 172.16.17.18 [db] SL500# |
Тем не менее, наличие этого интерфейса приводит к дополнительным проблемам и брешам безопасности. С первыми проблемами мы встретились, когда попытались одному из интерфейсов присвоить адрес из сети 172.16.17.0/24. Выдавалась ошибка о дублировании адреса сети. В первый момент это привело нас в замешательство, ведь на этом роутере не были сконфигурированы интерфейсы для этой подсети. Однако адрес из сети 172.17.17.0/24 “вставал” на интерфейс без ошибок и каких-либо предупреждений. Оставалось только выяснить причину загадочного дублирования. Причина всплыла, как только мы попытались отобразить в консоли список интерфейсов и информацию о них командой sho int. В выводимой информации был представлен интерфейс BVI, IP-адрес которого 172.16.17.18/24. После изменения адреса интерфейса BVI мы сразу смогли сменить на необходимый и адрес Ethernet-интерфейса. Посмотрим, чем нам грозит наличие скрытого интерфейса. С одной стороны, ошибка дублирования кажется самой страшной, однако, проблема намного более глубокая. Предположим, что оба интерфейса Ethernet имеют адреса из других подсетей, что свободно выставляется и через web-интерфейс управления. Но при попытке передавать данные для узлов сети 172.16.17.0/24 через указанные модели маршрутизаторов (проблемная подсеть находилась через несколько переходов от роутеров Asus) мы столкнулись с таинственным пропаданием пакетов в недрах маршрутизатора. Со стандартными настройками Asus блокирует передачу пакетов в указанную подсеть. Проблема решилась после снятия адреса с интерфейса BVI.
SL500> sho in b
BVI Interface details: The IP address : 172.16.17.18 [db] SL500> ena BVI Interface details: The IP address : 0.0.0.0 [db] SL500# |
Все ли это проблемы? Оказалось, что нет. Представим себе маленькую, но достаточно обычную сеть компании. Такое допущение вполне логично, так как мы рассматриваем SOHO-вариант маршрутизатора. В этой сети присутствует чётко выраженное ядро на коммутаторе Core Switch, а также несколько подсетей: пользовательская, серверная и администраторская; также поднят линк в Интернет или более крупную сеть.
В качестве оборудования для шлюза в Интернет или сеть провайдера выбран маршрутизатор Asus серии SL или RX3041H. Из соображений безопасности доступ из сети Users к объектам ядра сети напрямую закрыт, то есть из подсети пользователей нельзя настраивать шлюз Gateway. Данное ограничение реализовано путём блокировки пакетов, адреса назначения которых совпадают с адресами устройств ядра. Всё остальное пропускается без ограничений. При попытке обратиться из сети пользователей к адресу 172.16.17.18 будет выведено приглашение на ввод имени и пароля. Что облегчает задачу взлома граничного роутера. Также можно заваливать ложными эхо-пакетами данный адрес для проведения распределённой DoS-атаки. То есть наличие скрытого интерфейса может породить целый ряд неочевидных проблем. Надеемся, что в следующих версиях прошивки компания Asus исправит этот недочёт и сделает видимым BVI-интерфейс в web-управлении, либо отключит этот интерфейс, а также не будет назначать ему IP-адрес по умолчанию.
Кроме проблем с виртуальным интерфейсом BVI, присутствуют ещё несколько мелких недоработок, часть из которых можно считать нашими пожеланиями к новым версиям прошивок. Несмотря на то, что сетевое направление Asus является весьма молодым, мы всё-таки предъявляем большие требования к сетевой продукции этой фирмы, чем к разработкам иных производителей.
Среди отмеченных недоработок следует отметить невозможность фильтрации конкретного IP-адреса на порту LAN-коммутатора. Также было бы весьма кстати позволить администратору вручную указывать сети, объявляемые через протокол RIP обеих версий. Поддержка протокола OSPF также подняла бы линейки рассматриваемых устройств на качественно новый уровень. К сожалению, нельзя использовать маршрутизацию между отдельными сетями VLAN, организованными на LAN-интерфейсе. При использовании консоли или telnet-сессии появляется возможность вручную задавать arp-таблицу, однако, эта таблица не сохраняется при перезагрузке маршрутизатора, то есть для поддержания ручной arp-таблицы в актуальном состоянии требуется отслеживать моменты перезагрузки роутера. Сделать это можно при помощи автоматического анализатора логов Syslog-сервера, но возможность сохранять arp-таблицу при перезагрузке оказалась бы, явно, не лишней! Сейчас мы пытаемся собрать собственную прошивку для маршрутизатора серии SL на базе оригинальной от Asus. В прошивке планируется запускать shell-скрипт, который можно было бы конфигурировать вручную. В этот скрипт можно было бы вставить команды восстановления arp-таблицы. К сожалению, места для сохранения настроек чрезвычайно мало, поэтому список будет сильно ограниченным. При текущем способе разбиения флеши на разделы мы имеем всего 65 кбайт памяти для хранения собственных данных.
# cat /proc/mtd dev: size erasesize name mtd0: 00010000 00002000 “flash bootloader” mtd1: 003c0000 00010000 “cramfs filesystem” mtd2: 00030000 00010000 “jffs2 partition” mtd3: 00400000 00010000 “dummy flash partition” mtd4: 00400000 00010000 “dynamic jffs2 partition” mtd5: 00010000 00010000 “flash_log_partition” mtd6: 00010000 00010000 “config part 1” mtd7: 00010000 00010000 “config part 2” mtd8: 00400000 00010000 “dynamic config partition” mtd9: 00020000 00010000 “total config partition” |
Набор команд, позволяющих создать скрипт восстановления arp-таблицы (и запуска самого скрипта с результатами его работы), приведён ниже.
echo “#!/bin/sh”>/ramfs/arp_add echo “/usr/bin/clcli</ramfs/command_arp”>>/ramfs/arp_add chmod 777 /ramfs/arp_add echo “admin”>/ramfs/command_arp echo “admin”>>/ramfs/command_arp echo “ena”>>/ramfs/command_arp echo “conf t”>>/ramfs/command_arp echo “ip arp 172.17.36.136 00:11:22:33:44:55”>>/ramfs/command_arp # cd /ramfs # ./arp_add<command_arp Character Mode failed. Using Line Mode. Login : admin Password : admin logged in SL500> ena SL500# conf t SL500(config)# ip arp 172.17.36.136 00:11:22:33:44:55 SL500(config)# # |
При перезагрузке сбиваются также настройки точного времени в маршрутизаторе. Конечно, мы могли бы использовать какой-либо внешний sntp-сервер, однако и в отсутствии оного иногда требуется иметь достаточно точно выставленные часы на роутере после перезагрузки (для использования правил со временем на брандмауэре). Поддержка нескольких IP-адресов интерфейсами даёт возможность работать с несколькими логическими подсетями в пределах одной физической. Реализация subinterface’ов помогла бы снять сразу несколько проблем с хитрой настройкой маршрутизации на двойную IP-адресацию и маршрутизацию между VLAN. Некоторые из желаемых возможностей помогли бы оправдать в ещё большей степени слово “Security” в названии маршрутизатора.
Часть из уже существующих функций нам не удалось заставить правильно работать. Например, мы так и не смогли разобраться в том, что же требуется для возможности ручной настройки физической скорости интерфейса и его “дуплексности”.
SL500# conf t SL500(config)# int e 0 SL500(config-if)# speed 10 Speed of 10 Mbps 100 Speed of 100 Mbps auto Auto negotiate speed SL500(config-if)# speed 10 half Half duplex full Full duplex <CR> Press Enter: No further parameters SL500(config-if)# speed 10 half <CR> Press Enter: No further parameters SL500(config-if)# speed 10 half % Mac has not been initialised SL500(config-if)# speed 100 full % Mac has not been initialised SL500(config-if)# exi SL500(config)# int e 1 SL500(config-if)# speed 10 Speed of 10 Mbps 100 Speed of 100 Mbps auto Auto negotiate speed SL500(config-if)# speed 10 full % Command not supported SL500(config-if)# |
Однако нельзя не отметить и положительные стороны текущей работы Asus над программным обеспечением для данных устройств. На данный момент уже ведётся тестирование работы клиента протокола PPTP на устройствах серии SL. В дальнейшем клиент этого протокола планируется внедрить и в серию RX.
Заключение
Впечатления от маршрутизаторов Asus серии SL и RX3041H остались самые приятные. В среднем ценовом диапазоне эти модели позволяют решить множество сетевых задач как для домашнего пользователя, так и для корпоративного клиента. Описанные в статье проблемы и недоработки не должны смущать конечного домашнего пользователя, так как могут быть устранены даже людьми, не имеющими достаточной квалификации в сетевых технологиях. Поддержка протокола PPTP также оказывается полезной для пользователей домашних Ethernet-сетей. Даже спустя много времени после появления устройств на рынке, Asus продолжает модернизировать программное обеспечение, добавляя новые функции и расширяя возможности имеющихся.