Введение
Технология ADSL уже давно вошла в нашу жизнь и прочно обосновалась в ней. В Москве уже сложно представить себе район, в котором до сих пор было бы невозможно подключиться к Интернету по этой технологии, что обусловлено наличием уже проложенных телефонных линий практически во всех старых и вновь построенных зданиях. В других крупных городах России подключения по этой технологии ещё более востребованы, так как пока ещё кабельная инфраструктура кабельных сетей (медный или оптический Ethernet, например) недостаточно развита, а потребности в высокоскоростном доступе продолжают расти. Сегодня в нашу лабораторию попал ADSL2+ – модем производства компании ZyXEL, отличительной особенностью которого является наличие не только USB- или Ethernet-порта, но и обоих вместе, причём компьютеры можно подключать к обоим портам одновременно, организовывая локальную сеть между ними.
Внешний вид
ADSL2+ модем P-660RU EE выполнен в чёрном (тёмно-синем) корпусе с вентиляционной решёткой на верхней поверхности.
На верхней панели расположены индикаторы, отображающие состояние устройства: PWR/SYS, 10/100M, DSL, PPP, USB, а также ещё один, не имеющий обозначений. Индикатор 10/100M горит зелёным при скорости порта Ethernet в 10 Мбит/с и оранжевым при скорости в 100 Мбит/с.
Рассмотрим теперь заднюю панель модема, на которой расположены разъёмы для подключения питания (с кнопкой включения/отключения устройства), компьютера по USB и компьютера или локальной сети по Ethernet (RJ-45) и телефонной линии (RJ-11), а также утопленная кнопка Reset для сброса параметров устройства.
Геометрические размеры устройства составляют 105х107х35 мм.
“Железная” анатомия
Мы решили разобрать корпус, чтобы изучить использованные элементы. После снятия верхней крышки мы увидели обычную плату из зелёного текстолита собственного производства компании ZyXEL.
В качестве SDRAM-памяти установлен чип W986416EH-7 от Winbond, несущий на себе 8 Мбайт. На этой плате установлен RISC-процессор TC3162L-LQ128 с тактовой частотой 200 МГц, а также чипсет TC3084-TQ64-EP совместного производства UMC и TrendCHIP, поддерживающие Ethernet и USB. Кроме всего этого, на плате установлен сетевой чип RTL8201CP от Realtek.
Обзор web-интерфейса
Подключаться к устройству мы решили через Ethernet, для чего на карте взяли адрес 192.168.1.2 с маской 255.255.255.0, так как самому устройству изначально присвоен IP-адрес 192.168.1.1/24. Сначала мы попробовали войти через telnet, а уже потом через графический интерфейс, поэтому получили отказ. Логин и пароль для первого входа: admin и 1234, соответственно, о чём говорится на этикетке, приклеенной к нижней стенке устройства.
Видимо, одновременное администрирование с использованием разных способов доступа невозможно для этого устройства. Сразу после успешного входа нас попросили ввести новый пароль и его подтверждение.
Затем нам опять потребовалось ввести, правда, уже новый пароль. И мы наконец-то попали на основную страницу конфигурирования устройства.
Для настройки устройства мы можем либо воспользоваться Мастером, либо указать все необходимые параметры вручную. Так как мы не ищем лёгких путей, то решили рассмотреть все опции, доступные для ручной настройки.
Рассмотрение начинаем с пунктов столбца “Advanced Setup”, начинающегося с “Password”. На этой страничке вы можете указать пароль, используемый для входа в устройство.
Следующий пункт “LAN” отвечает за настройку параметров локальной сети: опции DHCP-сервера, параметры динамической маршрутизации, свойства группового вещания. Интересной особенностью данного устройства является опция “Any IP Setup”, позволяющая компьютеру получить доступ в Интернет и к настройкам модема без изменения сетевых настроек компьютера (таких как IP-адрес и маска подсети), если IP-адреса компьютера и P-660RU находятся в разных подсетях.
Следующим пунктом является “WAN”, где собраны настройки устройства, относящиеся к внешнему порту.
В разделе “WAN Setup” находится настройка параметров второго и третьего уровней для внешнего порта. Здесь можно задать имя группы настроек, тип работы (маршрутизатор или мост) устройства, инкапсуляцию, мультиплексирование, настройки виртуальных каналов, качество обслуживания ATM, а также IP-адрес, маску и шлюз и опцию “Zero Configuration”, связанную с созданием резервных соединений.
Если же перейти в пункт “WAN Backup Setup”, то можно настроить все параметры резервного соединения, а также проверки, по которым можно установить доступность канала.
Обзор web-интерфейса, продолжение
Пункт “NAT” отвечает за настройку параметров трансляции адресов. Можно задать режим трансляции, в котором будет работать устройство: “None” – без трансляции, “SUA Only” – используется в случае одного внешнего IP-адреса и “Full Feature” – при работе с несколькими внешними IP-адресами.
Для “SUA” (Single User Account) список настраиваемых параметров (правил статического отображения) приведён ниже. Всего для редактирования доступно до 12 правил.
Набор настроек для режима “Full Feature” представлен ниже, каждое правило можно редактировать отдельно. Всего доступно до 10 правил.
Принцип функционирования технологии NAT схематически представлен на рисунке ниже.
Раздел “Security” позволяет указать, каким типам трафика разрешено, а каким запрещено пересекать границу WAN-LAN.
Если вы хотите, чтобы устройство автоматически регистрировалось в базе динамического DNS, перейдите на вкладку “Dynamic DNS”, где можно указать параметры учётной записи устройства на www.dyndns.org.
Чтобы устройство всегда знало точную дату и время, необходимо настроить синхронизацию модема с часами в Интернете, что можно сделать на страничке “Time and Date”.
Вкладка “Remote Management Control” отвечает за указание адресов, с которых разрешён управляющий доступ к модему, а также типы этого доступа.
Последний пункт “UPnP” раздела “Advanced Setup” позволяет настроить P-660RU EE для общения с устройствами, поддерживающими Universal Plug and Play.
Обзор web-интерфейса, продолжение
Перейдём теперь к столбцу “Maintenance”, первым пунктом которого является “System Status”. В этом пункте собрана общая информация о системе: имя устройства; версии программного обеспечения, установленного на модеме; а также параметры WAN и LAN портов устройства.
Пункт “DHCP Table” отображает список адресов компьютеров, получивших IP-параметры с использованием протокола динамической конфигурации узла.
Пары IP-MAC-адресов, полученные в процессе обучения от функции “Any IP” представлены на вкладке “Any IP Table”.
Провести диагностику оборудования можно с вкладки “Diagnostic”, где необходимо выбрать нужный тип диагностики: “General” или “DSL Line”.
Подпункт “General” отображает общую диагностическую информацию, позволяет обменяться эхо-пакетами по протоколу ICMP с другим сетевым устройством, а также перезагрузить ZyXEL P-660RU EE.
Подпункт “DSL Line” содержит информацию, касающуюся параметров качества и работоспособности ADSL-линии.
Оставшиеся два пункта “Firmware” и “Configuration” отвечают, соответственно, за обновление прошивки и сохранение, обнуление или восстановление файла конфигурации.
На этом мы заканчиваем обзор графической части и переходим к рассмотрению режима командной строки.
Обзор интерфейса командной строки
После успешного ввода пароля мы попадаем в меню консольной конфигурации устройства, команды которого собраны по назначению в 3 группы: “Getting Started”, “Advanced Applications” и “Advanced Management”. Ниже приводится внешний вид меню начальной конфигурации (здесь и далее из текста убраны лишние переводы строк). Сразу хотим отметить, что перед нами не cisco-подобный интерфейс.
Рассмотрим каждый пункт меню подробнее. Первый пункт “General Setup” позволяет настроить такие параметры системы, как имя и расположение устройства, контакты администратора и доменное имя модема, использование динамического DNS и режим работы ZyXEL P-660RU EE.
Второй пункт “WAN Backup Setup” отвечает за настройку резервного соединения при недоступности основного. В качестве значений параметра “Check Mechanism” могут выступать два механизма: DSL Link (по состоянию канала DSL), либо ICMP (по доступности для протокола ICMP определённых хостов). Вариант с ICMP позволяет отследить и удалённые проблемы в случае, если DSL-канал “жив”, а отказал какой-либо из следующих переходов. Параметр “Check WAN IP Address” задаёт три узла, по доступности которых и проводится проверка на ICMP.
Третьим пунктом основного меню служит “LAN Setup”, содержащий два дополнительных подпункта.
Первый подпункт отвечает за установку фильтров для входящего и исходящего трафика.
Второй подпункт отвечает за непосредственную настройку параметров стека TCP/IP для внутреннего интерфейса, а также параметров группового вещания и динамической маршрутизации.
В пункте 4 “Internet Access Setup” представлены параметры, отвечающие за настройку доступа в Интернет (каналы, адреса, качество обслуживания, инкапсуляцию).
Переходим теперь к следующему разделу “Advanced Applications”. Первый пункт которого (№ 11) “Remote Node Setup”, отвечает за настройку профилей интернет-доступа. Всего доступна настройка 8-ми профилей.
Переходим теперь к разделу, отвечающему за настройку параметров статической маршрутизации (“Static Routing Setup”).
Первый пункт отвечает за статические правила маршрутизации. Всего можно задать до 16 правил (лишние строки убраны).
Второй пункт (“Bridge Static Route”) с номером 3 представляется нам более интересным. При использовании межсетевого моста решение о передаче пакетов принимается на основе аппаратного MAC-адреса (Media Access Control), в то время как при маршрутизации – на основе адреса сетевого уровня (IP). Организация моста позволяет устройству передавать пакеты протоколов сетевого уровня, которые не маршрутизируются ZyXEL P-660RU EE, например SNA, из одной сети в другую. Однако производитель устройства не рекомендует включать данную опцию без особой необходимости, так как передача по мосту генерирует значительно больший объём трафика для того же самого сетевого протокола и потребляет больше памяти и циклов процессора.
Обзор интерфейса командной строки, продолжение
Переходим теперь к пункту № 15 “NAT Setup”, в котором можно задавать параметры трансляции адресов. Здесь мы видим два пункта: “Address Mapping Sets” и “NAT Server Sets”.
В первом подпункте можно указывать наборы правил маскарадинга. Всего можно задать до 8 наборов. Также имеется один предустановленный с номером 255, содержимое которого представлено ниже.
Заглянем во второй подпункт “NAT Server Sets”, содержащий серверные наборы маскарадинга, то есть для размещения серверов за устройством. Всего можно задать до 10 наборов, каждый из которых может содержать до 12 правил маскарадинга.
Переходим теперь в последний глобальный раздел “Advanced Management”, содержащий пункты, перечисленные ниже. Рассмотрим их подробнее.
Настройку применяемых наборов фильтров можно просмотреть или изменить в пункте 21 “Filter Set Configuration”.
В пункте меню 22 можно задать параметры работы с протоколом SNMP.
А в пункте 23 задать пароли для доступа к устройству.
Пункт 24 “System Maintenance” содержит несколько подпунктов, отображающих информацию о работе устройства.
В первом подпункте собраны сведения о системном времени и дате, подключённых станциях, состояниях и интерфейсов, а также их статистические данные; о загрузке процессора.
Переходим теперь ко второму подпункту “System Information and Console Port Speed”, содержащему системную информацию и данные скорости консольного порта.
Третий подпункт “Log and Trace” связан с логированием происходящих на устройстве событий.
А подпункт “View Error Log” может отобразить что-нибудь похожее на представленные ниже строки.
Четвёртый подпункт “Diagnostic” содержит команды, позволяющие переподнять канал xDSL, “пропинговать” удалённую машину, перезагрузить модем или же войти в командный режим.
Обзор интерфейса командной строки, продолжение
В командном режиме мы видим уже знакомые команды ZyXEL-подобного интерфейса.
В пятом и шестом подпунктах, “Backup Configuration” и “Restore Configuration”, собрана информация, позволяющая сделать резервную копию программного обеспечения и настроек, а также провести восстановление.
В седьмом пункте “Upload Firmware” можно провести не только обновление программного обеспечения, но и загрузить файл системной конфигурации.
Из восьмого пункта “Command Interpreter Mode” можно также перейти в знакомый уже командный ZyXEL-like режим.
Девятый подпункт “Call Control” содержит только один пункт “Budget Management” (контроль вызовов), эта функция доступна только в случае PPPoE инкапсуляции. Она позволяет установить ограничение на общую продолжительность исходящих соединений модема за определённый период времени. Если общая продолжительность исходящих вызовов превысит установленный предел, текущий вызов будет сброшен, а все последующие исходящие вызовы заблокированы.
Установить дату и время можно в десятом пункте “Time and Date Setting”.
Необходимо обратиться к одиннадцатому подпункту, чтобы указать параметры удалённого доступа.
Настройку политики IP маршрутизации можно провести в пункте № 25 “IP Routing Policy Setup”.
А настройку планировщика надо проводить в пункте № 26 “Schedule Setup”.
На этом обзор командного интерпретатора мы заканчиваем и переходим непосредственно к тестированию.
Тестирование
Начнём мы, как всегда, с проверки защищённости устройства, для чего воспользуемся XSpider Demo (Build 1549) от Positive Technologies.
Ниже приводится список обнаруженных портов, а также прочая информация, связанная с устройством. Особо подчеркнём, что тестирование производилось из внутренней для устройства сети, чем и обусловлено наличие некоторых открытых портов.
Вероятная версия операционной системы: ZyXEL Prestige |
Итак, с системой мы определились. Переходим теперь непосредственно к портам: TCP-21 (FTP), TCP-23 (Telnet), TCP-25 (SNTP, заблокирован), TCP-80 (HTTP), TCP-110 (POP3, заблокирован), UDP-161 (SNMP). Рассмотрим подробнее, что можно получать по открытым и незаблокированным портам.
TCP-21 (FTP).
220 P660RU-T1 FTP version 1.0 ready at Sun Apr 03 18:53:17 2005 Информация об имени сервера подтверждена эвристическим методом Сервер : ZyXEL FTP Server |
TCP-23 (Telnet).
Описание: Telnet является протоколом удаленного управления компьютером. Этот протокол является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети. Решение: Использовать защищенный протокол, например SSH или разрешить доступ к этому сервису только с определенных адресов. Ссылки: CVE (CAN-1999-0619) : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0619 |
TCP-80 (HTTP).
Информация: Имя сервера : RomPager/4.07 UPnP/1.0 состояние : 200 (OK) текущие дата и время : Sun, 03 Apr 2005 17:53:56 GMT формат содержимого : text/html Подтверждение эвристическим методом не удалось Незащищенная передача данных Межсайтовый скриптинг (XSS) Список форм |
UDP-161 (SNMP).
Описание: Найдена учетная запись : public Информация: Prestige 660RU-T1 Решение: Закрыть доступ к этой учетной записи. |
Так как мы обнаружили доступный FTP-сервер, то решили попытаться зайти на него. Анонимный вход запрещён, но если воспользоваться тем же логином и паролем, что и для web-входа или входа по telnet, то можно успешно осуществить вход.
Загрузить файлы на устройство нам не удалось, не удалось также получить файл ras, однако файлик rom-0 успешно скачался.
Проверим теперь максимально доступные скорости передачи. Для тестирования был использован стационарный ПК, а также ноутбук, основные характеристики которых представлены ниже.
Параметры/ конечные станции | Стационарный PC | Ноутбук |
Процессор | Intel Celeron (Northwood) mPGA-478 2,8 ГГц | Intel Pentium 4-M (Northwood) mPGA-478B 2,4 ГГц |
Материнская плата | Intel D845GLVA (i845GL) | Fujitsu FJNB172 |
Оперативная память | Kingston DDR-SDRAM 512 Мбайт | Неизвестна 224 Мбайт |
Сетевая карта | 3COM 3C905TX | Realtek RTL8139(A) |
Операционная система | Windows XP Professional SP2 Rus | Windows 2000 Professional SP4 Eng |
Проверку скорости передачи по ADSL мы проводили на коммутаторе ADSL2+ производства компании ZyXEL IES-1248-71. Для тестирования скорости была использована программа netcps, и мы получили, что максимально доступная скорость составляет около 12 Мбит/с. После этого мы решили проверить скорость на реальном FTP-сервере, для чего на ноутбуке подняли FTP-сервер Serv-U версии 6.2.0.1. Полученная в этом случае скорость колебалась около 20-21 Мбит/с, что, на наш взгляд, является весьма хорошим показателем. На графике, представленном ниже, первая часть данных была передана с использованием netcps, вторая же по протоколу FTP. По словам специалистов технической поддержки компании ZyXEL, это связано с тем, что netcps отправляет группы по 3 пакета, разного размера: с минимальным, средним и максимально возможным количеством данных, а падение скорости, вероятно, связано с внутренним ограничением устройства на количество обрабатываемых пакетов в единицу времени для каждого соединения. Тогда мы одновременно запустили два соединения с использованием netcps, но по разным портам, что представлено третьим “всплеском”.
Теперь не менее интересное тестирование: замеряем скорость обмена между двумя машинами, подключёнными по USB и Ethernet, для чего подключим P-660RU EE по USB к ноутбуку и через Ethernet к стационарному ПК. После установки драйверов для модема мы обнаружили ещё одно Ethernet-соединение со скоростью 10 Мбит/с, что вполне можно объяснить используемым интерфейсом USB 1.1.
Полученные скорости находятся на отметке в 6 Мбит/с. Жёлтым отмечен трафик, передаваемый с ноутбука, подключённого по USB, красным – со стационарного ПК, а зелёный цвет отображает суммарный поток.
Попробуем теперь переподключить устройство: USB – к стационарному ПК, а Ethernet – к ноутбуку.
Жёлтым отмечен трафик, передаваемый с ноутбука, подключённого по USB, красным – со стационарного ПК, а зелёный цвет отображает суммарный поток.
Получаем, что скорость передачи/приёма находится в пределах 5 Мбит/с, а суммарная скорость при одновременных приёме и передаче составляет порядка 6 Мбит/с.
Помимо всего прочего, мы решили проверить работу функции “Any IP”, для чего разрешили её использование на странице настройки LAN, а также в настройках NAT выставили NAT/SUA. Мы подключили ноутбук к модему по USB и присвоили ему адрес 10.10.10.10/24 со шлюзом 10.10.10.1, который находится в другой подсети, нежели IP адрес LAN-интерфейса P-660RU EE. Далее мы попытались “пропинговать” один из интернет-серверов. После этого мы обнаружили запись о найденном адресе Any IP.
Эта функция может оказаться полезной, когда пользователь часто переносит устройство в качестве шлюза из одной подсети в другую. Следует также отметить, что устройство возвращает неправильно настроенному компьютеру уменьшенный на единицу его собственный MAC-адрес. Это происходит при первом срабатывании функции Any IP. Далее выданный MAC-адрес запоминается и выдаётся на все последующие обращения к шлюзу. Правда, следует отметить, что такая выдача первого MAC-адреса может вызвать проблемы в случае, если используются сетевые карты со следующими друг за другом адресами и включается несколько ошибочно настроенных машин, так как сие вызовет конфликт MAC-адресов в сети.
Заключение
Протестированный маршрутизатор ADSL2+ ZyXEL P-660RU EE показал отличную скорость передачи по асинхронной технологии (20-21 Мбит/с), однако эта скорость достижима лишь при подключении к нему по интерфейсу Fast Ethernet. Устройство богато разнообразными настройками и устойчиво держит линию. При работе модем довольно заметно нагревается, но продолжает прекрасно работать. Тем не менее, настоятельно рекомендуем не закрывать его – как, впрочем, и любое другое устройство – бумагами и другими предметами. Общей рекомендацией является размещение любых сетевых устройств в местах без прямых солнечных лучей, вдали от предметов, мешающих естественной вентиляции, а также от устройств, чувствительных к перегревам.
Достаточно полезной может оказаться функция “Any IP”, позволяющая выходить в Интернет даже в случае некоторых ошибок в настройках сети. Еще одним интересным вариантом использования P-660R является подключение к Ethernet-порту телевизионной приставки, а к USB – домашнего компьютера. В такой конфигурации пользователям модема станут доступны и услуги “Стрим-ТВ”, и широкополосный доступ в сеть Интернет. На момент написания статьи P-660RU EE в Москве можно было приобрести от 65$.