Часть 1: возможности устройства, интерфейс настройки
В данном обзоре мы рассмотрим ADSL-маршрутизатор компании Acorp, который можно смело отнести к бюджетному сектору из-за достаточно низкой цены (на момент написания данной статьи, в московской рознице маршрутизатор можно приобрести по цене менее 40$). Посмотрим что может предложить нам компания Acorp за столь небольшие деньги.
Функциональные возможности: ADSL2/2+-маршрутизатор и межсетевой экран с возможностью шейпинга трафика, 4-хпортовый коммутатор с автоопределением полярности на портах (Auto MDI/MDI-X).
Внешний вид
Спереди на маршрутизаторе расположены следующие индикаторы:
- Индикатор питания системы
- По одному индикатору активности на каждый из 4-х портов LAN
- Индикатор состояния/активности ADSL-соединения
Сзади на маршрутизаторе расположены:
- WAN-порт RJ-11
- 4 LAN-порта, RJ-11
- Разъем питания
Вид изнутри
Устройство выполнено на базе процессора Texas Instruments TNETD7300 (32-битный RISC процессор, с поддержкой USB и Ethernet). Коммутатор устройства выполнен на базе микросхемы Realtek RTL8305SC.
На плате также установлено 8 Мбайт SDRAM-памяти Samsung K4S641632H. Мкросхема Flash-памяти скрыта под наклейкой.
Комплект поставки
- Сам маршрутизатор
- Патчкорд RJ-45 — RJ-45, UTP 5-й категории, длиной около 2-х метров
- БП 12В, 1А с длиной шнура около 2 метров
- 2 × патчкорд RJ-11 — RJ-11 длиной около 2-х метров
- Краткое руководство по установке и настройке на русском языке
- Диск с документацией и ПО
Спецификация:
| корпус | пластиковый, допускается горизонтальная установка | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | ADSL (ITU Annex A) | ||
| количество портов | 1 | |||
| типы поддерживаемых соединений | PPPoE | да | ||
| PPPoA | да | |||
| Bridge mode | да | |||
| CLIP (IPoA) | да | |||
| Static IP | да | |||
| Dynamic IP (DHCP) | да | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | да, на LAN-интерфейсе — через консоль (по протоколу Telnet), на WAN — через WEB-интерфейс | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | нет | |||
| собственная утилита | нет | |||
| telnet | да | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | нет | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | да | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| Встроенные VPN-сервера | IPSec | нет | ||
| PPTP | нет | |||
| L2TP | нет | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | нет | |||
| L2TP | да | |||
| Traffic shaping (ограничение трафика) | да | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, 3 заранее предопределенных сервера | |||
| внутренние часы | присутствуют, ручное задание времени невозможно | |||
| синхронизация часов | да, NTP — адрес сервера прописывается вручную | |||
| встроенные утилиты | ICMP ping | да | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да, системные события, файрвол | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | нет | |||
| SNMP | поддержка SNMP Read | нет | ||
| поддержка SNMP Write | нет | |||
| поддержка SNMP Traps | нет | |||
| Роутинг | ||||
| статический (задания записей вручную) | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
| RIPv1 | да | |||
| RIPv2 | да | |||
| на LAN интерфейсе | возможность отключения | да | ||
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да | ||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | да, только при настройке фильтров между LAN-группами | |||
| по source IP адресу | да | |||
| по destination IP адресу | да | |||
| по протоколу | да, TCP/UDP/TCP&&UDP/ICMP/* | |||
| по source порту | нет | |||
| по destination порту | да, в том числе по диапазону | |||
| привязка ко времени | нет | |||
| по URL-у | нет | |||
| по домену | нет | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | нет | ||
| deny | да | |||
| log | нет | |||
| поддержка спец. приложений (netmeeting, quicktime etc) | нет | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| traffic shaping | ||||
| типы шейпинга | ограничение входящего трафика по критериям | да | ||
| ограничение исходящего трафика по критериям | да | |||
| критерии задания правила для ограничений | src interface lan/wan | нет | ||
| dst interface lan/wan | нет | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| protocol | да, TCP/UDP/ICMP/* | |||
| src port/range | да, диапазон | |||
| dst port/range | да, диапазон | |||
| привязка ко времени | нет | |||
| питание | ||||
| тип БП | внешний, 12VDC, 1A | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | V.1.0.09.RU.11092006 | |||
| размеры | 145x115x30 мм | |||
| вес | ?? | |||
Конфигурация:
Конфигурация устройства осуществляется через WEB-интерфейс настройки или через консольный интерфейс по протоколу Telnet.
Скриншоты WEB-интерфейса настройки приведены здесь.
Рассмотрим некоторые аспекты настройки устройства.
Устройство позволяет разделить порты коммутатора на группы, в каждой из которых может быть своя адресация (разные IP-адреса) — получается что-то наподобие Port VLAN. Параметры сети (DHCP-сервер, адрес шлюза, маска подсети) задается отдельно для каждой группы.
На каждом порту коммутатора можно вручную задать параметры используемого подключения (10/100 Мбит/с, Full/Half duplex).
При настройке ATM-подключений, можно выбрать какой группе будет доступно данное подключение — таким образом можно привязать ATM-подключение к определенному Ethernet-порту.
При разделении портов коммутатора устройства на группы, устройство начинает осуществлять маршрутизацию трафика между группами. Если осуществлять маршрутизацию между интерфейсами не требуется — ее можно запретить, используя настройки, показанные на скриншоте выше.
Также возможно осуществлять фильтрацию трафика в зависимости от Ethernet-порта, MAC-адреса отправителя и получателя, протокола — настройки данной возможности показаны на скриншоте выше.
Отмечу также, что в WEB-Интерфейс устройства интегрирована справочная система на английском языке, позволяющая получить некоторые разъяснения о настройках устройства.
Помимо WEB-интерфейса возможно использование для настройки консольного интерфейса.
После недолгого изучения, оказалось. что устройство выполнено на базе ОС Linux с ядром 2.4.17
Зная интерфейс команд ОС Linux (iptables, ifconfig, tc и др.), можно произвести более тонкую настройку устройства. Однако используемая версия ядра не позволяет использовать все возможности IPTABLES, доступные в более новых ядрах (в частности не предусмотрено использование таблицы MANGLE, позволяющей изменять заголовки пакетов).
Со слов представителей компании Merlion, предоставившей данное устройство нам на тестирование, в ближайшее время появится новая прошивка устройства, позволяющая использовать так называемый "Sharing" для получения доступа к локальным ресурсам провайдера. Данная возможность уже может быть использована абонентами Стрим'а и др. Более подробную информацию о настройке устройства для использования данной возможности можно прочитать здесь: www.beta.acorp.ru/forum/viewtopic.php?p=18769#18769
На момент написания статьи данная возможность находилась в стадии бета-тестирования, поэтому в данной статье она не рассмотрена.
Доступность
| Acorp LAN420 | Н/Д(0) |
Выводы
Рассматриваемое оборудование, несмотря на свою достаточно низкую стоимость, позволяет произвести достаточно тонкую настройку различных параметров, имеет возможность шейпинга трафика, а также возможность фильтрации трафика между различным Ethernet-портами коммутатора. Помимо этого устройство может одновременно устанавливать до 8-ми ATM-соединений (с уникальными значениями VPI/VCI), каждое из которых можно связать с определенной LAN-группой. Устройство содержит достаточно много предопределенных правил фильтрации и виртуальных серверов, разделенных на группы, что также упрощает процесс настройки устройства.
Используя интерфейс командной строки OC Linux, можно произвести более тонкую настройку устройства. Результаты тестирования данного устройства будут представлены в следующем обзоре, который будет опубликован несколько позднее.
Тестирование производительности, безопасности, а также возможности и результаты тестирования шейпинга трафика мы рассмотрим во второй части обзора, посвященного данному устройству.
Плюсы:
- Широкие возможности настройки файрвола
- Возможность установления до 8-ми одновременных ADSL-соединений (ATM-соединений)
- Возможность шейпинга трафика
- Возможность использования командной строки ОС Linux для более тонкой настройки устройства
- Низкая стоимость
Минусы:
- Явных минусов на данной стадии не выявлено.
DSLAM предоставлен российским представительством компании ZyXEL
