Содержание
- Общее описание
- Схемотехника 3CR860 и 3CR870
- Сводная таблица спецификаций устройств
- Экскурс в настройки
- Тестирование производительности
- Производительность LAN-WAN сегмента, NetIQ Chariot
- Производительность LAN-WAN сегмента, NetPIPE
- Производительность IPSec, DES шифрование
- Производительность IPSec, 3DES шифрование
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, два туннеля
- Производительность IPSec, масштабирование туннелей, 3DES шифрование, три туннеля
- Производительность IPSec, AES-128 шифрование
- Тестирование возможностей ограничения трафика (traffic shaping)
- Ограничение всей полосы исходящего трафика
- Ограничение всей полосы входящего трафика
- Ограничение исходящего по портам (создание группы очередей)
- Ограничение входящего по портам (создание группы очередей)
- Тестирование безопасности 3CR860 и 3CR870
- Доступность
- Выводы
Компания 3Com представила на рынок новые продукты сетевой безопасности:
- Маршрутизатор с функциями защиты 3Com OfficeConnect Secure Router (3CR860-95);
- Брандмауэр 3Com OfficeConnect VPN Firewall (3CR870-95)
OfficeConnect Secure Router позиционируется компанией как устройство, обеспечивающее защищенный высокоскоростной доступ в Интернет для нескольких пользователей домашнего/малого офиса или филиала компании. В маршрутизатор встроен VPN сервер, дающий возможность организовывать до двух IPSec VPN-туннелей (поддерживаются режимы туннелирования сервер-сервер и сервер-хост). Так же возможно терминирование до двух L2TP over IPSec или PPTP туннеля. В файрвол устройства встроены специальные алгоритмы, позволяющие (по шаблонам) обнаруживать и блокировать обычные и DoS атаки. Так же устройство может фильтровать трафик, основываясь на задаваемых или предустановленных правилах на основе IP адресов или по контенту/url-адресам. Кроме того, в устройство встроен сервис логирования большого числа происходящих событий.
OfficeConnect VPN Firewall является «старшим братом» предыдущего устройства. Количество поддерживаемых VPN туннелей расширено до 50, добавлена функция «шейпинга» трафика (traffic shaping) – т.е. контролирования скорости передачи данных, как в общем, так и по задаваемому набору протоколов.
Оба устройства собраны в одном и том же корпусе и, на первый взгляд, их единственное отличие – в надписи справа передней панели. Кроме этой отличающей надписи, на панели расположены 4 светодиода LAN-портов, цветом сообщающих и скорости соединения, а мерцанием – о факте передачи данных. Светодиод Cable/DSL аналогичен предыдущем четырем, но несет информацию о WAN порте устройства. Остался очевидный светодиод Power и Alert. Последний мигает во время загрузки устройства и при возникновении неполадок (программных или аппаратных). Кроме того, он зажигается при срабатывании детектора атак (при этом нарушитель блокируется во встроенном брандмауэре).
Все порты (четыре LAN и один WAN) расположены в задней части устройства. Там же находится коннектор питания. А в нижней части устройства видны кронштейны для закрепления корпуса на вертикальных поверхностях. А для горизонтальной установки достаточно приклеить на снизу корпуса четыре резиновых ножки, идущие в комплекте.
Так же можно разместить устройства в своеобразном «стеке», друг над другом при помощи идущего в комплекте пластикового зажима. Причем этот стек можно продолжить вверх сколь угодно высоко.
В комплекте поставки с обоими маршрутизаторами идут (кроме самого устройства и блока питания к нему):
- документация по установке и быстрой настройки (на английском языке);
- компакт диск с полной и подробной документацией, утилитой «Discovery» для быстрого поиска устройства в сети;
- четыре пластиковых ножки для горизонтальной установки корпуса;
- патчкорд ethernet-кабель;
- пластиковый зажим для объединения нескольких устройств в единую конструкцию
Схемотехника 3CR860 и 3CR870 … или загадка «найдите десять отличий»
–«Ты видишь суслика?»
–«Нет.»
–«И я не вижу… но он есть!»
Другими словами говоря, визуально, отличий мне обнаружить не удалось. Слева фото 3CR860-95, справа – 3CR870-95. Вероятнее всего, устройства отличаются лишь прошивкой. А надпись снизу платы «OfficeConnect Cable Secure/DSL Gateway» напомнила мне одноименное устройство, которое было рассмотрено в этой статье. Схемотехника с тех пор значительных изменений не претерпела. По крайней мере, микроконтроллер и чип встроенного коммутатора Broadcom остались прежними.
Более подробных спецификаций основного процессора устройства – микроконтроллера BCM6350 и контроллера BCM5325, выполняющего роль 100Mbit Ethernet коммутатора, не появилось (строго говоря, спецификаций не удалось найти вовсе), поэтому не вижу смысла повторять информацию про них, написанную в статье 3Com OfficeConnect Cable/DSL Secure Gateway.
Еще из крупных чипов на плате можно наблюдать микросхему Pulse H1184, которая (возможно) выполняет роль AUTO MDI/MDI-X (автоопределение типа кабеля), а так же служит гальванической развязкой, призванной защитить встроенный контроллер коммутатора от высоких напряжений. Две микросхемы HY57V641620HGT-H являются SDRAM памятью объемом 64 Мбит (4 Banks × 1M × 16Bit) компании Hynix. Их номинальная частота работы – 133Mhz.
Так же на плате можно видеть две микросхемы Flash-памяти объемом (предположительно) по 8Мбайт каждая. Почему две? Вероятно, в устройстве реализована конструкция отказоустойчивой прошивки — в одном из чипов зашита заведомо рабочая версия прошивки, которая активируется при порче основной прошивки. Так ли это, точно не известно, но объем прошивок от обоих устройств не превышает 6 Мб.
А с работой «аварийной системы» пришлось столкнуться лично: при апгрейде прошивки в 3CR870 произошел какой-то сбой процедуры – лампочка Alert продолжала мигать и по истечении всех разумных сроков окончания аплоада файла в устройство. Пришлось его перезагрузить, после чего устройство пропало (в смысле не виделось ни по сети, ни утилитой Descovery, даже после ресета 3CR870 на заводские установки), а лампочка Alert продолжала мигать, навевая грустные мысли. Что делать? Пришлось вспомнить лозунг «если ничего не получается, прочтите, наконец, инструкцию!». Это помогло – устройство, оказывается, отвечало по веб интерфейсу на фиксированном адресе (из диапазона 192.168.x.x), но выдавало экран с информацией, что «у вас тут какие то проблемы с прошивкой, залейте ее заново». Залил (на этот раз успешно), перегрузил устройство, и все отлично заработало. Кстати, при залитии (в аварийном режиме) случайно в первый раз я подсунул роутеру файл с прошивкой от 3CR860. Файл считался, но после этого устройство выдало, что прошивка не похожа на настоящую и прошиваться ей 3CR870 отказался. Это к слову о том, что вряд ли элегантным движением руки получится проапгрейдить 3CR860 в 3CR870.
Спецификации 3CR860 и 3CR870
Спеки обоих устройств похожи, поэтому сведены в единую таблицу (различия между устройствами указаны в самой таблице).
корпус | пластиковый, допускается горизонтальная установка и вертикальная установка, а так же установка нескольких устройств «башенкой» | |||
ручное блокирование интерфейсов | нет | |||
проводной сегмент | ||||
LAN | количество портов | 4 | ||
auto MDI/MDI-X | да | |||
WAN | количество портов | 1 | ||
auto MDI/MDI-X | да | |||
поддерживаемые типы соединения | статический IP адрес | да | ||
динамический IP адрес | да | |||
PPTP | да | |||
PPPoE | да | |||
основные возможности | ||||
метод организации доступа | Network Address Translation (NAT) | |||
возможности NAT | one-to-many NAT (стандартный) | да | ||
one-to-one NAT | да | |||
возможность отключения NAT (работа в режиме роутера) | нет | |||
конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
собственная утилита управления под Windows | только возможность найти устройство в сети (под любым адресом) и установить у него адрес из текущей подсети | |||
telnet | нет | |||
COM-порт | нет | |||
SNMP | нет | |||
возможность сохранения и загрузки конфигурации | да | |||
встроенный DHCP сервер | да | |||
поддержка UPnP | нет | |||
внутренние часы | да | |||
синхронизация часов | NTP, но заданные серверы нельзя изменить | |||
встроенные утилиты | ICMP Ping | да | ||
Traceroute | да | |||
Resolving | да | |||
логирование событий | да, настраиваемые: LAN, ISP Connection Events, VPN Detailed logging, Dropped Packets, Attack Detection | |||
логирование исполнения правил файрвола | да, но всех сразу (dropped packets) | |||
способы хранения | внутри устройства | да | ||
на внешнем Syslog сервере | да | |||
пересылка на email | нет | |||
SNMP | поддержка SNMP Read | нет | ||
поддержка SNMP Write | нет | |||
поддержка SNMP Traps | нет | |||
возможности встроенных фильтров и файрвола | ||||
типы фильтров | по MAC адресу | нет | ||
по IP адресу | да | |||
по протоколу/порту | по dst port, без учета протокола | |||
по URL-у | да | |||
по домену | да(совмещен с URL) | |||
работа со службами фильтрации контента | да, по подписке | |||
виртуальные сервера | возможность создания | да | ||
задания различных public/private портов для виртуального сервера | нет | |||
возможность задания DMZ | да | |||
встроенный брандмауэр (файрвол) | да, но не сильно удобный, в основном предопределенные правила | |||
поддержка SPI (Stateful Packet Inspection) | да, но в правилах использовать нельзя | |||
поддержка спец. приложений (netmeeting, quicktime, etc) | да | |||
тип действия | allow | да | ||
deny | да | |||
log | нет (можно лишь глобально, для всех правил, логировать сброшенные пакеты) | |||
критерии задания правила | src interface lan/wan | нет | ||
dst interface lan/wan | нет | |||
src ip/range | только ip | |||
dst ip/range | нет | |||
src protocol | нет | |||
dst protocol | нет | |||
src port/range | нет | |||
dst port/range | да, в том числе перечисление, диапазон | |||
привязка ко времени | нет | |||
возможности VPN | ||||
сервер IPSec | виды туннелей | Gateway--Gateway | да, до 2 в случае 3CR860 и до 50 в случае 3CR870 | |
remote user access | да, до 2 в случае 3CR860 и до 50 в случае 3CR870 | |||
типы аутентификации | pre shared key | да | ||
сертификаты | нет | |||
алгоритмы хэширования | SHA1 | да | ||
MD5 | да | |||
алгоритмы шифрования | DES | да | ||
3DES | да | |||
AES | да, 128bit | |||
добавление записей в таблицу роутинга IPSec туннеля | да, до 10 записей | |||
сервер L2TP (over IPSec) | типы аутентификации | pre shared key | да | |
сертификаты | нет | |||
алгоритмы хэширования | SHA1 | да | ||
MD5 | да | |||
алгоритмы шифрования | DES | да | ||
3DES | да | |||
сервер PPTP | да | |||
VPN pass through | IPSec | да, при условии что отключен IPSec/L2TP сервер | ||
L2TP | да, при условии, что отключен IPSec/L2TP сервер | |||
PPTP | да, при условии, что отключен PPTP сервер | |||
traffic shaping | ||||
типы шейпинга (наличие только у 3CR870) | ограничение общего исходящего трафика | да | ||
ограничение общего входящего трафика | да | |||
ограничение входящего трафика по критериям | да | |||
ограничение исходящего трафика по критериям | да | |||
критерии задания правила для ограничений (наличие только у 3CR870) | src interface lan/wan | нет | ||
dst interface lan/wan | нет | |||
src ip/range | нет | |||
dst ip/range | нет | |||
src protocol | просто протокол (глобально для src/dst) TCP,UDP, TCP&UDP | |||
dst protocol | просто протокол (глобально для src/dst) TCP,UDP, TCP&UDP | |||
src port/range | просто порт (глобально для src/dst) | |||
dst port/range | просто порт (глобально для src/dst) | |||
привязка ко времени | нет | |||
типы ограничений (наличие только у 3CR870) | количественные ограничения для полосы байтах | нет (есть только глобально для всего входящего/исходящего трафика) | ||
задание в процентах | нет | |||
назначение приоритета | да, но возможно задание всего двух приоритетов (High & Normal) | |||
Роутинг | ||||
задания записей вручную | на WAN интерфейсе | да | ||
на LAN интерфейсе | да | |||
динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
RIPv1 | да, send and/or receive | |||
RIPv2 | да, send and/or receive | |||
на LAN интерфейсе | возможность отключения | да | ||
RIPv1 | да, send and/or receive | |||
RIPv2 | да, send and/or receive | |||
дополнительная информация | ||||
версия прошивки | 3CR860: 1.03-168 3CR870: 2.0-168 | |||
питание | внешний БП |
Навигация:
- общее описание, схемотехника и спецификации;
- экскурс в настройки;
- тестирование производительности;
- тестирование traffic shaping, безопасности; доступность и выводы