Нами будет рассмотрено устройство компании Nateks Networks Voicecom 115-2. Одно из основных отличий данного устройства от рассматриваемых нами ранее — возможность подключения к нему обычных аналоговых телефонов, которые при этом превращаются в устройства IP-телефонии с использованием протокола SIP (если быть более точным, то устройство для организации IP-телефонии с использованием SIP-протокола уже попадало мне в руки: ZyXEL Prestige 2602HW, но возможности организации телефонии на его базе не рассматривались).
В первой части обзора мы рассмотрим само устройство, его функциональные возможности и производительность при работе в режиме обычного Интернет-роутера.
Последующие части будут посвящены "телефонным" возможностям устройства, настройкам телефонии, организации внутренней телефонной сети с использованием протокола SIP.
Самому протоколу SIP, IP-телефонии с его использованием и дополнительным возможностям, которые предоставляет использование этого протокола для IP-Телефонии, будет посвящена отдельная статья.
Содержание:
- Общие сведения
- Вид изнутри
- Спецификация
- Конфигурация
- Тестирование производительности базовых функций
- Тестирование безопасности
- Доступность
- Выводы (базовые настройки, производительность)
Функциональные возможности устройства: Интернет-маршрутизатор с 4-хпортовым коммутатором на LAN-интерфейсе, VoIP-шлюз с четырьмя портами для подключения аналоговых телефонов для организации SIP-телефонии (телефонии с использованием протокола SIP).
На устройстве расположены следующие индикаторы:
- Индикаторы активности на каждом из 4-х LAN-портов
- Индикатор активности порта WAN
- Индикатор активности каждой из 4-х телефонных линий
- Alarm-индикатор "тревоги"
- Индикатор статуса
- Индикатор питания
Сзади на устройстве расположены:
- Разъем питания
- Кнопка Reset — сброс параметров
- 4 FXS-порта Rj-11 для подключения аналоговых телефонов
- Порт WAN
- 4 порта LAN
- Порт DMZ
Комплектация устройства:
- Сам маршрутизатор
- 1 кабель RJ-45 — RJ-45 длиной 2 метра, "прямой" обжим
- 4 кабеля RJ-11 — RJ-11 длиной 2 метра
- Диск с инструкцией на английском языке
- Руководство по установке и эксплуатации на русском языке
- Технический паспорт на русском языке
- Блок питания (суммарная длина низковольтного и высоковольтного проводов около 4-х метров)
Вид изнутри:
Устройство выполнено на базе процессора Realtek RTL8650B (32-битный RISC-процессор с тактовой частотой 200 МГц, поддержка пяти FastEthernet-интерфейсов и одного MII-интерфейса (то есть каждый порт коммутатора управляется процессором) с автоопределением полярности на портах и поддержкой 2/3/4 уровней OSI).
Уровень 2:
- Поддержка фильтрации по MAC-адресам (source/destination)
- Поддержка VLAN (по портам и по тегам пакетов)
Уровень 3:
- Аппаратная таблица маршрутизации (до 8-ми записей для IPv4 протокола)
Уровень 4:
- Аппаратная поддержка трансляции адресов и портов (для TCP и UDP протоколов)
- Поддержка таблиц ALG (Application Level Gateway) для пакетов, которым требуется дальнейшая "программная обработка"
Также имеется поддержка QoS с возможностью задания QoS-политик.
На плате устройства также установлено:
- Программируемое логическое устройство (Lattice LC4064V)
- Voice over Packet процессор AudioCodes AC482-C (поддержка 4-х каналов, аудио кодеки G.711 PCM (64 kbps), G.726 ADPCM (16-40 kbps), G.727 E-ADPCM *16–40 kbps), G.729A/B CS-ACELP, G.723.1 MP-MLQ (6,3 kbps), G.723.1 ACELP (5,3 kbps), Netcoder (6,4–9,6 kbps))
- 4 Мбайт Flash-памяти Macronix 29LV320ABTC-90
- 16 Мбайт SDRAM-памяти EtronTech EM639165TS-7
- 128 Кбайт CMOS-памяти ICSI IC61LV6416
Спецификация:
корпус | пластиковый, допускается горизонтальная установка | |||
исполнение | Indoor | |||
проводной сегмент | ||||
WAN | тип | Fast Ethernet | ||
количество портов | 1 | |||
auto MDI/MDI-X | да | |||
типы поддерживаемых соединений | фиксированный IP | да | ||
динамический IP | да | |||
PPPoE | да | |||
PPTP | да | |||
L2TP | нет | |||
IPSec | нет | |||
LAN | количество портов | 4 | ||
auto MDI/MDI-X | да | |||
ручное блокирование интерфейсов | нет | |||
возможность задания размера MTU вручную | нет | |||
основные возможности | ||||
конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
WEB-интерфейс через SSL | нет | |||
собственная утилита | нет | |||
telnet | да | |||
ssh | нет | |||
COM-порт | нет | |||
SNMP | нет | |||
возможность сохранения и загрузки конфигурации | да | |||
встроенный DHCP сервер | да | |||
поддержка UPnP | да | |||
метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
возможности NAT | one-to-many NAT (стандартный) | да | ||
one-to-one NAT | нет | |||
возможность отключения NAT (работа в режиме роутера) | нет | |||
Встроенные VPN-сервера | IPSec | нет | ||
PPTP | нет | |||
L2TP | не | |||
Traffic shaping (ограничение трафика) | да | |||
DNS | встроенный DNS-сервер (dns-relay) | нет | ||
поддержка динамического DNS | да | |||
внутренние часы | присутствуют | |||
синхронизация часов | да, NTP | |||
встроенные утилиты | ICMP ping | да | ||
traceroute | нет | |||
resolving | нет | |||
логирование событий | нет | |||
Роутинг | ||||
статический (задания записей вручную) | да, 5 записей | |||
динамический роутинг | да, RIPv1 и RIPv2 | |||
возможности встроенных фильтров и файервола | ||||
поддержка SPI (Stateful Packet Inspection) | да | |||
наличие фильтров/файрвола | да | |||
типы фильтров | по MAC адресу | да | ||
по IP адресу источника | да | |||
по протоколу | да, TCP/UDP/TCP&&UDP | |||
по порту назначения (TCP и UDP) | да, в том числе по диапазону | |||
по IP-адресу назначения | нет | |||
по порту источника (TCP и UDP) | нет | |||
привязка ко времени | нет | |||
по URL-у | да | |||
по домену | да, совмещен с URL | |||
работа со службами списков URL для блокировки | нет | |||
поддержка спец. приложений (netmeeting, quicktime etc) | QuickTime, MSN (можно вручную задать до 8 записей) | |||
виртуальные сервера | возможность создания | да | ||
задания различных public/private портов для виртуального сервера | да | |||
возможность задания DMZ | да | |||
traffic shaping | ||||
типы шейпинга | ограничение трафика по критериям | да | ||
критерии задания правила для ограничений | WAN-Upstream | да | ||
WAN-Downstream | да | |||
LAN-Upstream | да, по отдельности на каждый LAN-порт | |||
LAN-Downstream | да, по отдельности на каждый LAN-порт | |||
тип передаваемых данных | VoIP-трафик | |||
Версия прошивки | 1.2.33.6-92-48 | |||
питание | ||||
тип БП | внешний, 12VDC, 2A | |||
поддержка 802.1af (PoE) | нет | |||
Дополнительные порты | ||||
FXS | 4 | |||
Физ. характеристики | ||||
Габаритные размеры (Д×Ш×В) | 202×172×35 мм | |||
Вес | 430 г |
Предупреждение: телефонные порты ни в коем случае нельзя соединять не по назначению. Соединение двух портов FXS между собой может привести к аппаратному повреждению устройства.
Конфигурация:
Конфигурацию устройства можно производить через WEB-интерфейс, по протоколу Telnet, а также с помощью интерфейса IVR (Interactive Voice Response), который позволяет производить настройки без использования ПК через подключенный к устройству телефон (подобный IVR интерфейс встречается при настройке мобильного телефона, когда производится звонок на короткий номер оператора).
Начнем с WEB-интерфейса.
Список всех скриншотов WEB-Интерфейса настройки приводится здесь.
Первая ложка дегтя оказалась связана не столько с интерфейсом настройки, сколько с документацией к нему. К устройству прилагается очень скромная документация, причем как русская, так и английская. Человеку, не имевшему дело с сетевым оборудованием, разобраться в настройках будет очень не просто. Особенно это касается настроек телефонии. Например, приводится параметр настройки и ее описание: "Representative number: укажите номер, присваиваемый шлюзу"… на этом описание параметра заканчивается, а что он означает — известно только Интернету и самому шлюзу. Шлюз получится настроить, если использовать пошаговую инструкцию поставщика услуг SIP-телефонии и не вникать в суть настроек, но на сайте sipnet.ru (наиболее известный поставщик услуг SIP-телефонии в России) подобной информации я не нашел (для шлюза для программных SIP-телефонов пошаговая инструкция есть).
Теперь перейдем к самим настройкам:
При использовании PPTP-подключения, автоматическое получение IP-адреса WAN-интерфейса (именно WAN-интерфейса, а не PPTP) невозможно. Протоколы аутентификации (PAP, CHAP, MS-CHAP и MS-CHAPv2) не используются — то есть проверка пароля не проводится в принципе (можно подключиться с любыми логином/паролем). Если же PPTP-сервер требует использования какого-либо типа аутентификации, то подключение к такому PPTP-серверу произвести не удастся. Исходя из вышесказанного, шифрование PPTP-соединения также не производится.
Можно ограничивать общую ширину полосы пропускания трафика на WAN-интерфейсе и на каждом из LAN-интерфейсов. Ширина канала задается дискретно (выбор скорости трафика из списка, а не ручное задание любого значения). На WAN-порте можно задать приоритет голосового трафика (по умолчанию он имеет самый высокий приоритет).
Интерфейс настройки реализован на двух языках (английский и русский)
При использовании русского языка, часть настроек WEB-интерфейса по-прежнему остается на английском
рис. 4
Изменение языка интерфейса также отражается на языке голосового интерфейса IVR.
Статистика устройства отображает IP-адреса, маски и MAC-адреса интерфейсов
Фильтрация трафика настраивается очень необычным образом: отдельно производится фильтрация по портам и отдельно — по IP-адресам (использование которых в отсутствии возможности задания статических записей в DHCP несколько осложняется), правил, осуществляющих фильтрацию по портам для определенных IP-адресов, задать невозможно
Возможно создание 10 виртуальных серверов с заданием диапазона портов
Устройство имеет встроенную защиту от DoS-атак (атак типа "отказ в обслуживании")
рис. 10
Как видно, настроек, посвященных функционированию устройства в роли Internet — маршрутизатора, достаточно мало. Настройки файрвола, мягко говоря, очень скромные. Создалось впечатление, что базовой функцией для устройства является шлюз IP-телефонии, функциональность которого расширена до Internet-маршрутизатора.
Устройство также позволяет сменить MAC-адрес WAN-интерфейса. Возможна ручная установка любого MAC-адреса.
Помимо WEB-интерфейса, устройство имеет консольный интерфейс настройки по протоколу Telnet
рис. 11
Консольный интерфейс выполнен в виде командной оболочки: есть набор команд и древовидная структура параметров. Список команд можно увидеть, набрав команду "HELP"
рис. 12
Путешествие по дереву настроек можно производить с помощью команды "CD" как по дереву директорий. Список настроек в текущей директории можно увидеть, набрав команду "LIST". Список "подпапок" корневой директории настроек
рис. 13
Можно даже менять параметры CLI-интерфейсов (Command Line Interface), для этого введем "CD CLI". Для отображения и задания параметров используются "LIST", "GET", "SET" и "INFO".
Также возможно отображение всего списка настроек текущей директории с помощью команды "TREE". Ниже приводится этот список:> tree
========== Dir Tree Of [/]
/
NET
WAN
CURRENT_IP
LISTEN_PORT
RTP_PORT
IP_TYPE
STATIC
IP
MASK
DEFAULT_GATEWAY
PPPOE
PPPOE_ACCOUNT
PPPOE_PASSWORD
PPTP
PPTP_IP
PPTP_MASK
PPTP_SERVER_IP
PPTP_ID
PPTP_PASSWORD
BIG_POND
L2TP_MASK
L2TP_SERVER_IP
L2TP_ID
DNS_MODE
PRIMARY_DNS
SECONDARY_DNS
CURRENT_MAC_ADDRESS
HTTP_PORT
ENABLE_WEB
ENABLE_TELNET
LAN_INTERFACE
LAN
IP
MASK
DHCP_SERVER
ENABLE
START_IP
END_IP
LEASE_TIME
DNS_MODE
PRIMARY_DNS
SECONDARY_DNS
QOS
WAN_QOS
ENABLE
DOWNLOAD_BANDWIDTH
UPLOAD_BANDWIDTH
TOS
TOS_TYPE
TOS_SIG
TOS_VOICE
DSCP_SIG
DSCP_VOICE
LAN_QOS
ENABLE
QOS
NAT_DDNS
NAT
NAT_ENABLE
NAT_IP_Domain
STUN_ENABLE
STUN_SERVER
STUN_PORT
UPNP_ENABLE
DDNS
REG_DDNS
CUSTOM
SERVER_SETTINGS
TELEPHONE
PREFIX_RULES
CID_GEN
FSK_TYPE
CLIR
FXS_GROUP_TYPE
FXS_SEQU_RING
TEL_LINE_SETTINGS
LINE_ENABLE
HOT_LINE_ENABLE
HOT_LINE_NO
DIAL_WAIT
DIAL_OUT_PREFIX
DEFAULT_DIAL_OUT
FXS_GROUP_HUNTING
FAX
RING_TIME
END_OF_DIGIT_TONE
NOTIFY_VOIP_CALLER
ONE_WAY_MEDIA
SIP
OUTBOUND_PROXY
ENABLE
CHECK_WAN_IP
IP
PORT
SESS
EXP
REFRESH_REG
REFRESHER
RESENDING_TIMER
MAX_RESPONSE_TIME
INVITE_URL_NEED_PHONE
COUNTRY
COUNTRY_CODE
CALL_PREFIX
LD_CALL_PREFIX
AREA_CODE
E_164
ENABLE
USE_TRUNK
ENUM
SIP_PROXY
ENABLE
ENABLE_PROXY
PROXY_SERVER
PROXY_PORT
PROXY_REALM
TTL
SIP_DOMAIN
DOMAIN_REG
PROXY_BIND
INIT_UNREG
SHARE_KEY
ACCOUNT
FXS_REP_NUM
FXS_REG_HUNT
FXS_USER
FXS_PWD
NUMBER
REGISTER
INVITE
USER
PASSWORD
PRIVATE_NET
PHONE_BOOK_MANAGER
ENABLE
SHARE_PHONE_BOOK
TTL
RELAY_PORT
MAX_REALY
REGISTER
GATEWAY_NAME
SHARE_RTP_RELAY
IP_DOMAIN
LISTEN_PORT
ENABLE_TUNNEL
BS_NAT
LOGIN_PASSWORD
PREFIX_NUMBER
EXTENSION
CALL
FXS_FORWARD_TYPE
FXS_NUM_FORWARD
FXS_BUSY_FORWARD
FORWARD_TYPE
NO_ANSWER_TIME
NUMBER_FORWARD
BUSY_NUM_FORWARD
NO_ANSWER_NUM_FORWARD
HOLD
TRANSFER
WAITING
ADVANCED
LOGIN
ID
PASSWORD
USER_ID
USER_PASSWORD
AUTO_LOGOUT_TIME
DIAL
WAIT_TIMEOUT
INTER_TIMEOUT
DTMF_MIN_ON
DTMF_MIN_OFF
DTMF_DETECT_LEVEL
FXO_DIAL_TYPE
PULSE_DIAL_RATIO
OUTBAND_DTMF
ENABLE
ENABLE_HOOK_FLASH_EV
DTMF_TYPE
PAYLOAD_TYPE
USES_2ND_CPT
LINE_SETTINGS
LISTEN_VOLUME
SPEAK_VOLUME
TONE_VOLUME
FLASH_TIME
POLARITY_REVERSAL
ANS_DETECTION
PSTN_RING_OFF
CODEC
PREFERRED_CODEC
JITTER_BUFFER
SILENCE_SUPPRESSION
ECHO_CANCELLING
ENABLE_CODEC
PACKET_TIME
FAX
FAX_TYPE
T38
T38_TYPE
HIGH_QUALITY
T30
CODEC
FRAME_COUNT
JITTER_BUFFER
TONE_DETECT_SENSITIV
CALLER_FILTER
OPTION
FILTER
CDR
ENABLE
IP
PORT
DIGITMAP
ALERT
VOIP_PREFIX
DEF_CALL_ROUTE
DIGITMAP
PHONE_BOOK
PHONE_BOOK
SPEEDDIAL
SPEEDDIAL
LANGUAGE
LANGUAGE
TIME
IAD_TIME
ZONE
SERVER
ROUTE
ROUTE
RIP
ENABLE
SEND_VER
REC_VER
AUTH
AUTH_PWD
UPDATE
TIMEOUT
GARBAGE
PORT_FILTER
ENABLE
PORT_FILTER
REMARK
IP_FILTER
ENABLE
IP_FILTER
REMARK
MAC_FILTER
ENABLE
MAC
REMARK
VIRTUAL_SERVER
ENABLE
VIRTUAL_SERVER
REMARK
DMZ
ENABLE
HOST
URL_FILTER
ENABLE
URL
SOURCE_IP
SPECIAL_APP
ENABLE
NAME
INCOMING
PORT_RANGE
TRIGGER
START_PORT
END_PORT
DOS
ENABLE
ENABLE_ON_LAN
WHOLE_FLOOD
PER_SOURCE_IP
DOS_PROPERTY
SCAN_LEVEL
BLOCKING
ENABLE
BLOCK_TIME
TRUNK
ISDN_PARAMETER
THRESHOLD
INTERVAL
TRANSIT_CALL
INBOUND
OUTBOUN
PIN
LONG_CONTROL
0_LEVEL
1_LEVEL
2_LEVEL
3_LEVEL
4_LEVEL
5_LEVEL
LONG_EXCEPTION
0_LEVEL
1_LEVEL
2_LEVEL
3_LEVEL
4_LEVEL
5_LEVEL
TONE
BTC
BTC
ENABLE
DIAL_TONE
CONGESTION_TONE
BUSY_TONE
RING_BACK_TONE
STATUS
PORT
SERVER_REG
WAN_PORT
LAN_PORT
HARDWARE
RTP
LINE_INFO
AUTO_PROVISION
ENABLE
SERVER_IP
SERVER_PORT
START_RUN
PERIODICALLY
PERIOD_TIME
PERIOD_RANGE
RETRY_COUNT
RETRY_INTERVAL
SUSPEND
CLI
RESTORE_CONFIRM
KEYBOARD_IDLE_TIMEOUT
========== Totally 334 Nodes
[[/]]
>
В принципе структура команды CLI-интерфейса очень напоминает структуру самого WEB-интерфейса устройства.
Устройство также может быть настроено с помощью IVR-интерфейса — то есть через телефон. При изменении языка WEB-интерфейса также меняется и язык голосового интерфейса. С помощью этого интерфейса управления также можно произвести настройку IP-адресов физических интерфейсов устройства. Список команд (он естественно цифровой) приводится в документации к устройству.
Настройки телефонных возможностей устройства будут рассмотрены в следующих обзорах.
Тестирование производительности:
Тестирование проводного сегмента:
Тестирование проводилось по этой методике
Максимальная скорость: 101,72 Мбит/с — высокий показатель — скорость в полнодуплексном режиме. Во всех тестах скорость в направлении LAN->WAN несколько ниже соответствующих скоростей в направлении WAN->LAN.
Посмотрим, как ведет себя трафик при уменьшении размера пакетов:
Максимальная скорость: 14,31 Мбит/с — сравнительно невысокий показатель.
Максимальная скорость: 3,38 Мбит/с.
Тестирование NetPIPE:
Максимальная скорость: 89,74 Мбит/с. Аномалий в графике не наблюдается.
Безопасность:
Во время тестирования были включены оба вида удаленного управления (WEB и Telnet), а также отключены настройки защиты от атак.
Результаты Nessus'а:
Nessus не нашел ни одной критической уязвимости, но настоятельно не рекомендуется использовать доступ по протоколу Telnet из внешней сети. Также отмечу, что устройство по умолчанию имеет пустой логин и пароль, и при этом у него разрешен доступ к интерфейсу настройки с WAN-интерфейса — эту "уязвимость", конечно, легко устранить, но нужно не забыть сделать это.
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство : Н/Д(0)
Выводы:
По общему впечатлению, оставшемуся от работы с данным устройством, я бы сказал, что оно похоже на VoIP-шлюз, функциональность которого расширена и включает в себя возможности Интернет-маршрутизатора, а не наоборот (когда функциональность маршрутизатора расширена до VoIP-шлюза). Такое впечатление сложилось, так как устройство включает в себя много настроек и возможностей телефонии, а возможности Internet-маршрутизатора при этом очень скудные. Например, нельзя создавать правила фильтрации с одновременным использованием фильтрации по IP-адресу и TCP(UDP)-порту — можно только отдельно создать правило фильтрации по порту назначения и отдельно по IP-адресу источника (то есть, если есть необходимость "запретить" определенный порт, то придется запрещать его для всех, а не только для определенных IP-адресов).
PPTP-клиент устройства позволяет производить подключение к PPTP-серверу, но при этом не использует ни один из методов аутентификации, поэтому, зачем нужно указание логина/пароля — остается только гадать. Обычно провайдеры используют PPTP-подключения именно с целью авторизации клиента, поэтому PPTP-клиент можно считать неработоспособным.
Зато безопасность устройства находится на высоком уровне, если не учитывать пустой пароль по умолчанию.
Телефонные возможности устройства будут рассмотрены в следующих обзорах.
Плюсы:
- Ручное задание MAC-адреса на WAN-порте
- Высокая производительность устройства
- Высокая безопасность устройства
- Возможность задания QoS
- Наличие двух языков интерфейса настройки
- Наличие защиты от атак DoS
- Возможно подключение четырех аналоговых телефонных аппаратов
Минусы:
- Скудная документация на устройство
- "Неработоспособный" PPTP-клиент
- Фильтрация трафика может осуществляться только по IP-адресу источника и порту назначения (TCP/UDP), причем отдельно
- Пустой пароль по умолчанию
- Количество правил фильтрации ограничено 10 для фильтрации по MAC-адресу, IP-адресу, и TCP(UDP)-портам
- Нет возможности добавления статических записей в DHCP
- Отсутствие возможности ведения логов
[ Читайте далее: настройка, возможности и тестирование SIP-телефонии, QoS]