ADSL-маршрутизатор бюджетного сектора Acorp LAN420

Часть 2: тестирование производительности, безопасности, возможностей шейпинга трафика

В прошлом обзоре были рассмотрены общие возможности ADSL-маршрутизатора Acorp LAN420 и его интерфейс настройки.

В данном обзоре мы проведем тестирование производительности, безопасности устройства, а также рассмотрим интерфейс конфигурации и проведем тестирование возможности шейпинга трафика.

Начнем с тестирования производительности ADSL-маршрутизатора.

Тестирование производительности

Тестирование проводного сегмента

Для тестирования ADSL соединения применялся ADSL коммутатор ZyXEL IES-1248, предоставленный нам российским представительством компании ZyXEL.

Настройки DSLAM'а позволяют задавать время задержки передачи данных (interleave delay). Это время, указанное в миллисекундах, влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные, пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности, на качественной телефонной линии небольшой длины выгоднее минимизировать задержки.

Значения Interleave delay устанавливаются отдельно для прямого и обратного каналов. Чтобы увидеть, как это изменение отражается на задержках связи достаточно воспользоваться утилитой Ping. При установке задержек на прямом и обратном каналах в 0 мс, Ping показывает время приема-передачи порядка 7~8 мс. При увеличении значений Interleave delay время приема-передачи увеличивается.

Так как длина нашей ADSL-линии составляет всего порядка двух-трех метров, мы можем ограничиться нулевым временем задержки (стандартное значение — 16 мс, на DSLAM'е от ZyXEL по умолчанию стоит значение — 4 мс). Исходя из предыдущего опыта тестирования различного ADSL-оборудования, максимальные скорости передачи данных были достигнуты при использовании нулевых задержек (режим Fast).

Тестирование производилось в режиме ADSL g.dmt, ADSL2 и ADSL2+. На маршрутизаторе во время тестирования был включен NAT и отключен файрвол.

Тестирование производилось по этой методике. Параметры скриптов Chariot были несколько изменены: параметр "file size" (размер учитываемых блоков данных) был увеличен в 10 раз (со 100 000 байт до 1 000 000 байт) — данное изменение позволяет более точно измерить скорость на ADSL-устройствах. Изменение данного параметра влияет только на результаты тестов при максимальном размере пакетов.

Максимальные скорости: 6,95 Мбит/с — в режиме ADSL g.dmt, 10,49 Мбит/с — в режиме ADSL2 и 20,38 Мбит/с — в режиме ADSL2+. Как видно из диаграммы, устройство показывает достаточно высокую производительность проводной связи во всех режимах. Посмотрим, как поведет себя трафик при уменьшении размера пакетов.

Размер пакетов 512 байт

Размер пакетов 64 байта

Тестирование безопасности

Во время тестирования безопасности устройства было включено удаленное управление с использованием WEB-интерфейса и по протоколу Telnet. Файрвол устройства при этом был отключен.

Результаты Nessus'а:

Nessus не находит ни одной уязвимости данного устройства, однако настоятельно не рекомендует использовать протокол Telnet для удаленного управления устройством, так как при использовании протокола Telnet, данные (в том числе и пароли) передаются в незашифрованном виде, что позволяет легко перехватить эти данные в сети Интернет.

Шейпинг трафика

Рассматриваемое устройство позволяет производить шейпинг, как входящего, так и исходящего трафика. Для начала рассмотрим интерфейс настройки шейпинга трафика.

На данном скриншоте мы выбираем соединение, к исходящему трафику которого будут применяться правила шейпинга. Соединение "main" — название нашего ATM-соединения — задавая правила шейпинга для этого интерфейса, мы будем осуществлять шейпинг исходящего трафика. "LAN group 1" — объявляет, к какой LAN-группе будет применяться шейпинг трафика (напомню, что в данном устройстве возможно задание четырех LAN-групп, при этом каждый Ethernet-порт может быть отнесен к своей группе). 

В качестве критериев для задания правил шейпинга можно использовать: адрес подсети источника пакетов, адрес подсети назначения пакетов, диапазоны портов источника и назначения пакетов (только для TCP и UDP трафика), Ethernet-порт. Правила шейпинга используют 3 очереди для назначения приоритетов — низкий, нормальный, высокий. Задание определенной ширины канала для потока трафика, попадающего под правила шейпинга, не предусмотрено.

Параметры шейпинга трафика позволяют задать процентное распределение трафика между очередью с низким и нормальным приоритетом. "Очередь" с высоким приоритетом имеет максимальный приоритет и обрабатывается в первую очередь вне зависимости от наличия трафика в очередях со средним и низким приоритетами.

После создания правил шейпинга, редактирование правила не предусмотрено — для этого потребуется удалить правило и создать его заново.

Тестирование шейпинга трафика

Тестирование шейпинга трафика осуществлялось в режиме ADSL2+, так как в данном режиме можно достичь максимальных скоростей. Так как тестирование шейпинга трафика при всех возможных комбинациях настроек произвести в принципе невозможно, мы рассмотрим возможности шейпинга лишь поверхностно. Основной упор будет делаться на шейпинг входящего трафика (WAN -> LAN), так как ширина данного прямого канала значительно больше, чем ширина обратного.

Тест 1: зададим 2 правила шейпинга с низким и средним приоритетами: потоки с низким приоритетом имеют вес 10%, потоки со средним приоритетом имеют вес 90%. Запустим 2 потока трафика, каждый из которых попадает под действие одного из двух заданных правил шейпинга. Посмотрим на полученное распределение скоростей

Как видно из графика, поток с более высоким приоритетом имеет более высокую скорость, однако полученные скорости заданному распределению (10% для Low и 90% для High) не соответствуют.

Тест 2: изменим теперь параметры распределения скоростей на полностью противоположные — 90% для трафика с низким приоритетом и 10% для трафика со средним приоритетом.

Как видно из графика, распределение скоростей не изменилось, несмотря на то, что мы внесли изменения в распределение скоростей.  

Проведя еще несколько тестов, было обнаружено, что шейпинг "входящего" (WAN->LAN) трафика не оказывает никакого влияния на сам трафик. При этом, используя консольный интерфейс (ОС Linux) видно, что изменение параметров шейпинга изменяет параметры интерфейсов, однако на входящий (WAN->LAN) трафик это почему-то не оказало никакого влияния. При этом было обнаружено, что применение правил шейпинга для исходящего трафика (LAN -> WAN) показывает гораздо более адекватные результаты. 

Тест 3: установим распределение весов для приоритетов Low и Medium: приоритету Low соответствует вес 10%, приоритету Medium — 90%. Запустим два потока исходящего (LAN -> WAN) трафика, попадающего под действие правил шейпинга, которые назначают одному потоку приоритет Low, а второму — приоритет Medium. Посмотрим на график распределения скоростей

Как видно из графика, скорости трафика как раз различаются примерно в 9 раз, как мы и задали в параметрах шейпинга.

Тест 4: теперь изменим распределение весов для приоритетов Low и Medium на противоположные: потоки с приоритетом Low будут иметь 90% ширины канала, а с приоритетом Medium — 10%.

Как можно видеть на графике — картина изменилась на полностью противоположную (по сравнению с предыдущим тестом).

Как видно из двух последних тестов, шейпинг трафика обратного канала прекрасно работает в отличие от шейпинга трафика прямого канала.

Тест 5: Теперь посмотрим, как поведет себя шейпинг трафика при использовании потоков с различными приоритетами. Создадим 2 правила шейпинга — один для потока с приоритетом Medium, а второе — для потока с приоритетом High.

В справочной системе, интегрированной в WEB-интерфейс устройства, сообщается, что трафик с приоритетом High имеет значительно большее преимущество по сравнению с потоками с приоритетами Low и Medium — то есть при наличии трафика в очереди с приоритетом High, он передается в первую очередь, при этом ширина канала для остальных потоков (Low и Medium) может урезаться практически до нуля. По этой причине не рекомендуется использовать данный приоритет для "тяжелого" контента (закачки и т.п.), иначе работа может быть полностью парализована. Для проведения оценочного тестирования потребовалось увеличить время теста до 10 минут.

График распределения скоростей приводится ниже.

Как видно из графика, поток с приоритетом High, забрал практически всю доступную ширину канала. Потоку с приоритетом Medium досталось ~ 1,5–2% от общей ширины полосы пропускания.

Тест 6: Посмотрим, как ведет себя график распределения скоростей при поэтапном включении потоков трафика. Сначала запустим поток с приоритетом Low, а некоторое время спустя — поток с приоритетом Medium. Распределение весом между потоками при этом устанавливалось как 10/90 (10% ширины канала для потоков с приоритетом Low и 90% — для потоков с приоритетом Medium).

Как видно из графика, до включения потока с приоритетом Medium, поток с приоритетом Low занимает всю доступную ширину канала. После включения потока с приоритетом Medium, распределение трафика устанавливается так, как задано в параметрах распределения (10%/90%).

Выводы:

Устройство показало высокую производительность проводной связи, а также достаточно высокую безопасность. Однако Nessus рекомендует не использовать протокол Telnet для удаленного управления устройством, так как это может быть небезопасно.

Тестирование шейпинга трафика показало, что правила шейпинга применяются только к исходящему трафику (LAN -> WAN), хотя настройки предусматривают использование шейпинга трафика, как для исходящего, так и для входящего трафика.

При манипуляции правилами шейпинга трафика, отсутствует возможность редактирования существующих правил — для внесения изменений потребуется удалить старое правило и создать новое, что может быть весьма неудобно.

Плюсы:

  • Высокая производительность проводной связи
  • Высокая безопасность
  • Высокая точность шейпинга исходящего трафика

Минусы:

  • Не работает шейпинг входящего (WAN -> LAN) трафика
  • Отсутствует возможность редактирования уже созданных правил шейпинга

 

Оборудование предоставлено компанией Merlion
DSLAM предоставлен российским представительством компании ZyXEL

 




6 октября 2006 Г.

ADSL- Acorp LAN420

ADSL- Acorp LAN420

2: , ,

ADSL- Acorp LAN420 .

, , .

ADSL-.

ADSL ADSL ZyXEL IES-1248, ZyXEL.

DSLAM' (interleave delay). , , . , , 10 — , 10 . Reed-Solomon ( -) — . Reed-Solomon. , .

Interleave delay . , Ping. 0 , Ping - 7~8 . Interleave delay - .

ADSL- - , ( — 16 , DSLAM' ZyXEL — 4 ). ADSL-, ( Fast).

ADSL g.dmt, ADSL2 ADSL2+. NAT .

. Chariot : "file size" ( ) 10 ( 100 000 1 000 000 ) — ADSL-. .

: 6,95 / — ADSL g.dmt, 10,49 / — ADSL2 20,38 / — ADSL2+. , . , .

512

64

WEB- Telnet. .

Nessus':

Nessus , Telnet , Telnet, ( ) , .

, , . .

, . "main" — ATM- — , . "LAN group 1" — , LAN- (, LAN-, Ethernet- ). 

: , , ( TCP UDP ), Ethernet-. 3 — , , . , , .

. "" .

, — .

ADSL2+, . , . (WAN -> LAN), , .

1: 2 : 10%, 90%. 2 , .

, , (10% Low 90% High) .

2: — 90% 10% .

, , , .  

, , "" (WAN->LAN) . , ( Linux) , , (WAN->LAN) - . , (LAN -> WAN)

3: Low Medium: Low 10%, Medium — 90%. (LAN -> WAN) , , Low, — Medium.

, 9 , .

4: Low Medium : Low 90% , Medium — 10%.

— ( ).

, .

5: , . 2 — Medium, — High.

, WEB- , , High Low Medium — High, , (Low Medium) . "" ( ..), . 10 .

.

, High, . Medium ~ 1,5–2% .

6: , . Low, — Medium. 10/90 (10% Low 90% — Medium).

, Medium, Low . Medium, , (10%/90%).

:

, . Nessus Telnet , .

, (LAN -> WAN), , , .

, — , .

:

:

  • (WAN -> LAN)

 

Merlion
DSLAM ZyXEL