Nateks NetXpert 3424-E: 24-портовый коммутатор с поддержкой протоколов верхних уровней – THG.RU

Введение

Обзоры, посвящённые интеллектуальным многопортовым коммутаторам, уже неоднократно появлялись на наших страницах, но представленные устройства были произведены зарубежными компаниями. На этот раз для тестирования в нашу лабораторию попало устройство NetXpert 3424-E, произведённое группой компаний “НАТЕКС”, включающей в себя ряд предприятий, головным из которых является российский научно-технический центр “НАТЕКС”, образованный в 1990 году и производящий законченные решения, адаптированные к нуждам потребителей в России и странах СНГ. Данное устройство является 24-портовым коммутатором с поддержкой протоколов верхних уровней, позволяющим проводить разнообразнейшую фильтрацию, анализ и классификацию трафика на скоростях до 6 Mpps, допускающим объединение в кластер до 8 коммутаторов, предоставляющим возможность гибких настроек параметров его работы и многое, многое другое. Область применения моделей Nateks NetXpert 3424 и 3424-E весьма широка и охватывает задачи развёртывания управляемых сегментов доступа для локальных корпоративных сетей и домашних операторских сетей Fast Ethernet.

Внешний вид

Коммутатор выполнен в сером металлическом корпусе стандартного формата 19″ и может монтироваться в телекоммуникационную стойку или размещаться на столе, для чего к днищу крепятся четыре мягкие резиновые ножки.

На передней панели расположены 24 порта Fast Ethernet для вилок RJ-45, два порта (SFP-модуля) для подключения оптических линий со скоростями до 1 Гбит/с, порт для консольного управления (RJ-45), а также световые индикаторы, отражающие состояние коммутатора и его портов.

Разъёмы для подключения оптики выполнены в виде отдельных плат, что позволяет при необходимости производить их замену.

На плате расположен чип от HDMP-1636A от Agilent.

Задняя же панель содержит разъём для питания, а также выключатель, позволяющий обесточить устройство, не вынимая силового кабеля из разъёма. На боковых стенках находятся вентиляционные отверстия, а к левой изнутри прикреплён вентилятор.

“Железная” анатомия

Разобрав корпус, мы обнаруживаем источник питания, преобразующий входящие 220 В переменного тока в требуемые коммутатору напряжения.

Однако свободное место в корпусе явно свидетельствует о возможности подключения резервного блока питания. Об этом же сигнализирует нам и наличие посадочной площадки для дополнительного разъёма подвода питания на самой плате коммутатора, которую мы изучим подробнее.

В качестве процессора использован PowerPC PPC405EP, являющийся 32-битным RISC-процессором от AMCC, работающий на частотах от 133 до 333 МГц и не закрытый радиатором. Данное вычислительное устройство поддерживает 2 Ethernet MAC, интерфейс PCI, контроллер SDRAM и прочее.

Для процессора на плате размещены два модуля памяти HY57V561620CT-H по 256 Мбайт каждый производства Hynix, работающие на частоте 133 МГц.

Образ системы находится на 8-Мбайт карте флэш-памяти TE28F640 от Intel.

Сетевой процессор на этой плате представлен устройством BCM5646SBOKPB от Broadcom. Серия интегрированных многоуровневых коммутаторов BCM5646 StrataSwitch II позволяет производить коммутацию на скоростях до 8,9 Mpps и поддерживает 24 порта 10/100, а также два порта 10/100/1000. На борту этого коммутирующего чипа расположен также 1 Мбайт внутренней памяти. Одной из особенностей BCM5646 является наличие стекирующего линка TurboGig со скоростью 2,5 Гбит/с. Во время своей работы чип выделяет достаточно большое количество тепловой энергии, о чём свидетельствует наличие приклеенного сверху радиатора.

Для работы этого сетевого “мозга” на плате установлены два модуля памяти K4S643232H по 64 Мбайт от Samsung. Кроме того, видны монтажные площадки для установки ещё двух модулей.Для работы этого сетевого “мозга” на плате установлены два модуля памяти K4S643232H по 64 Мбайт от Samsung. Кроме того, видны монтажные площадки для установки ещё двух модулей.

Физический уровень сети выполнен на устройствах 88E3082-BAR производства Marvel, интересной особенностью которых является функция виртуального кабельного тестера (VCT – Virtual Cable Tester), позволяющего определять множество физических параметров среды передачи. Указанные три чипа физического уровня тоже находятся под радиаторами.

Автоопределением на портах коммутатора заведует микросхема LB 40ST1041AX, на которой мы и заканчиваем обзор “железных” внутренностей NetXpert 3424-E.

На плате обнаружена также батарейка, что, вероятно, говорит о том, что данное устройство имеет внутренний источник времени – часы.

Обновление прошивки

Сразу хотелось бы отметить, что всё дальнейшее тестирование производилось со старой версией прошивки (SW Version: 1.3 (018)). Однако после завершения обзора нам стала доступна новая версия программного обеспечения коммутатора, обновление до которой мы и описываем в данном разделе. Для коммутатора мы задали IP-адрес 192.168.1.2/24, на ПК же выставили 192.168.1.5/24. Также на ПК мы подняли TFTP-сервер от 3COM (3CServer 1.1.007), на который выложили файл с новой версией программного обеспечения коммутатора. Ниже приводится информация, выводимая на управляющий терминал в процессе обновления. Множество строк с символом # мы удалили из листинга.

Однако процесс обновления ПО на этом не заканчивается, так как необходимо, естественно, перезагрузить коммутатор.

Теперь мы получили полностью обновлённую систему (Version: 1.6 (030)).

Загрузка

Весь процесс загрузки от включения питания до выдачи приглашения на ввод логина и пароля в консоли занимает около 18 секунд, что, на наш взгляд, является хорошим показателем скорости загрузки. После включения питания на экран управляющего терминала выдаётся текст, приведённый ниже. Здесь и далее мы, как и всегда, удалили лишние переводы строк.

Если в самом начале загрузки нажать на клавиатуре клавишу “Escape”, то мы автоматически попадём в загрузочное меню коммутатора, в котором доступно значительное количество команд. На нажатие заветной кнопки пользователю отводится всего 2 секунды.

Нам это меню показалось полезным для сброса пароля, процедура доступная без лишних проблем из загрузочного меню и требующая ввода всего трёх команд, листинг которых приведён ниже.

Не менее интересными возможностями, предоставляемыми меню, являются следующие: выбор загрузочного образа – локально или по сети (BOOTP, TFTP, RARP), проверка физических петлей на портах и прочее, и прочее…

Обзор web-интерфейса

Сначала мы задали IP-адрес (192.168.1.1) и порт TCP-80 управляющего модуля через консоль, а уже после этого подсоединились с использованием IE. Должны заметить, что подключиться с использованием Opera 8.54 (Build 7730) нам так и не удалось. После ввода логина и пароля мы получали нижеприведённое сообщение.

Итак, мы вводим правильные логин и пароль (root и admin, соответственно) в Internet Explorer в приведённом ниже окошке.

Если ввод прошёл без ошибок, мы увидим стартовую страничку, на которой отображается основная информация, касающаяся устройства: имя и серийный номер изделия, первичный и вторичный IP-адреса, IP-адрес шлюза и MAC-адрес самого устройства, настройки SysLog, данные об использовании памяти, версии программного и аппаратного обеспечения, данные о вентиляторе, контактная информация администратора, параметры консольного подключения, время работы, производительность матрицы коммутации, параметры отправки оповещений по почте, а также состояние портов. Рассматриваемая страничка соответствует категории “System Config”.

Если щёлкнуть по интересующему порту, можно получить более подробную информацию о его работе.

Посмотрим теперь на порты более пристально, для чего воспользуемся пунктом меню “Port Config”. А начнём мы с подпунктов “Port Status” и “Port Statistics”, отображающих состояния всех портов коммутатора и статистику работы портов, соответственно.

Подпункт “Port Configuration” включает в себя три раздела: “Port Configuration Per Port”, “Port Configuration for Multiple Ports”, “Port Configuration for All Ports”, которые мы и рассмотрим по порядку. “Port Configuration Per Port” позволяет производить настройку параметров (автосогласование, скорость среды и передачи данных, дуплексность, контроль потока, приоритет, максимальный размер принимаемого кадра) для каждого из портов.

Аналогичные настройки можно проводить сразу и для группы портов, используя “Port Configuration for Multiple Ports”.

Если же требуется провести такую настройку сразу для всех портов, то можно воспользоваться “Port Configuration for All Ports”.

За зеркалирование портов отвечает последний подпункт “Port Mirroring” меню “Port Config”.

Обзор web-интерфейса, продолжение

Продолжая тему портов, обратим свой взор к следующему пункту меню – “VLAN Config”, отвечающему за настройку параметров работы виртуальных сетей.

Информация о принадлежности портов к виртуальным сетям приводится в подпункте “Vlan Info”.

Следующий подпункт “Basic Setting” позволяет создавать различные VLAN и указывать порты для восходящих потоков.

А вот подпункт “Port VID” отвечает за принадлежность различных портов к определённым VLAN.

В случае, когда необходимо связать коммутаторы высокоскоростными магистралями, можно для этих целей объединить в группы несколько портов, которые не образуют петли и работают в качестве одного логического высокоскоростного порта. Данная настройка производится с использованием меню “Trunk Config”, содержащим подпункты: “Trunk Info” и “Basic Setting”.

Первый подпункт “Trunk Info” только отображает информацию о принадлежности портов к транкам.

Второй подпункт “Basic Setting” позволяет указать эту принадлежность. Всего можно сконфигурировать до 6 транков.

Пункт меню “QoS Config” открывает перед нами возможность настройки качества обслуживания, а также отвечает за настройку предотвращения широковещательных штормов, поддержку группового и широковещательного типов трафика, а также за слежение за загруженностью процессора.

Переходим теперь к меню “AccessList Config”, позволяющему в подпункте “Basic Config” настроить правила фильтрации проходящего трафика. К допустимым полям, по которым можно фильтровать, относятся: тип пакета, входящий и исходящий порты коммутатора, MAC- и IP-адреса отправителя и получателя, тип протокола, TCP/UDP-порты отправителя и получателя, а также приоритет пользователя. Такую настройку мы считаем весьма гибкой. В качестве реакции на обнаружение пакета с заданными параметрами можно указать следующее: принять, отбросить, пометить, переметить, перенаправить. Наверное, было бы ещё интересно осуществлять фильтрацию по полю TTL IP-пакета.

Вкладка “Filtering” даёт возможность защитить пользователей от нескольких известных “червей” и “SYN Flooding”, а также проводить фильтрацию DHCP, NetBIOS.

Вкладка “IPSpoofing” позволяет защититься от атак с подменой адресов, жёстко указав связку IP-MAC для каждого из портов коммутатора. Также можно задать количество таких пар портов.

Обзор web-интерфейса, продолжение

Нам осталось рассмотреть два больших пункта меню: “Protocol Config” и “Misc”. Итак, приступим.

Раздел “Protocol Config” отвечает за настройку таких протоколов, как STP, SNMP, RMON, LACP, GVRP, GMRP, IGMP, 802.1x, DHCP и NTP/SNTP, а также за стекирование коммутаторов.

В первом подпункте находится информация, связанная с протоколом связующего дерева (STP – Spanning Tree Protocol), включая и режим работы STP (Basic 802.1d или Rapid 802.1w).

Подпункт “SNMP” отвечает за настройку “Простого протокола” управления сетью (Simple Network Management Protocol), где можно указать имена (пароли) сообществ для чтения и записи, а также события, на которые необходимо реагировать при общении по этому протоколу.

Настройку RMON (Remote network MONitor) можно произвести в одноимённом подпункте.

Для создания динамических транков используется протокол LACP (Link Aggregation Control Protocol), информация о котором представлена на страничке LACP.

GVRP является протоколом, который автоматически регистрирует или удаляет VID для порта, используя GARP PDU. Данный протокол поддерживается только в режиме IEEE 802.1Q Tagged VLAN. Подпункт с таким же названием позволяет сконфигурировать данный механизм, указать модель поведения для каждого порта: только получать, только отправлять, получать и отправлять, либо же не принимать и не отправлять GARP PDU.

За автоматическое создание и удаление широковещательных групп отвечает протокол GMRP, также использующий всё те же GARP PDU, а интерфейс настройки данного пункта очень похож на предыдущий. Настройка GMRP производится в подпункте с соответствующим названием.

Настройка протокола IGMP (Internet Group Message Protocol) представлена на страничке подпункта “IGMP”, на которой можно задать основные параметры этого протокола.

Аутентификация пользователя на порту производится с помощью подпункта “802.1x”, в котором можно просмотреть текущие настройки и задать параметры, связанные с первичным и вторичным RADIUS-серверами, типами контроля порта, а также с выбором самих портов для аутентификации.

Обзор web-интерфейса, продолжение

Настройки стекирования можно произвести в подпункте “STACKING” пункта “Protocol Config”. Здесь задаются порты, задействованные в стекировании, а также идентификатор стека.

Параметры протокола динамического конфигурирования хоста (DHCP – Dynamic Host Configuration Protocol) собраны на вкладке “DHCP”, где можно “поднять” DHCP-сервер, раздающий адреса из задаваемой подсети, а также использовать коммутатор в качестве DHCP-агента, запрашивающего адреса у удалённого DHCP-сервера. Также допустима статическая связь MAC-адреса компьютера с получаемым IP-адресом.

За время данного устройства или прочих клиентов в сети отвечает подпункт “NTP/SNTP”, содержащий опции, позволяющие коммутатору работать в клиентском или серверном режиме для указанных протоколов. Единственное, что немножко осталось непонятным, так это возможность работать NetXpert сразу в двух режимах (клиентском и серверном).

Последний пункт меню “Misc” включает в себя: “MAC Config”, “Loopback Config”, “Virtual Cable Tester”, “RCS Config”, “Authentification”, “User Management”, “Config Management” и “Reboot”.

Рассмотрим пункт “MAC Config”, отображающий информацию о количестве “пойманных” на каждом порту MAC-адресов, а также позволяющий сконфигурировать принадлежность устройства с определённым MAC к одной из созданных на коммутаторе VLAN.

Подпункт “Loopback Config” отвечает за обнаружение физических петель, которые могут образоваться у коммутатора при ошибочном подключении кабелей, либо, возможно, при намеренном создании петель.

Обратимся теперь к одному из самых “вкусных” подпунктов раздела “Misc” – “Virtual Cable Tester”, отображающим информацию о длине физически подключённого отрезка кабеля к портам коммутатора. Данная опция может оказаться крайне полезной в случае, когда происходит обрыв или повреждение кабеля, идущего от коммутатора к пользователю, так как сокращает время поиска повреждённого места. Как указано в руководстве, действительное место обрыва находится в пределах +10% от установленного.

Обзор web-интерфейса, продолжение

В подпункте “RCS Config” представлены параметры, отвечающие за удалённую конфигурацию RCS (Remote Configuration System). Она может быть полезной в случае, когда в подсети класса “C” расположено несколько устройств NetXpert, поддерживающих данную функцию, а также требуется одновременное конфигурирование этих устройств. Существуют две конфигурации RCS: вертикальная – с чётко выраженным мастер-коммутатором и горизонтальная – без такового. Также NetXpert может отправлять самостоятельно команды конфигурации на соседние устройства в заданное время и дату. Ниже представлены скриншоты страниц настройки RCS.

Параметры, относящиеся к аутентификации пользователей, собраны в подпункте “Authentication”. Здесь можно указать метод аутентификации, а также настроить параметры серверов TACACS+ и RADIUS.

Подраздел “User Config” позволяет просматривать пользователей устройства, создавать новых, удалять старых, а также изменять пароль для уже существующих записей.

Подпункт “Config Management” отвечает за возможность загрузки, выгрузки и восстановления сохранённой ранее конфигурации устройства.

Последний одноимённый подпункт “Reboot” предлагает нам только одну единственную возможность – перезагрузить коммутатор.

На этом мы закончим обзор графического интерфейса и перейдём к рассмотрению интерфейса CLI.

Обзор интерфейса командной строки

Подключиться к коммутатору можно с помощью консольного порта, либо же через telnet/ssh. Для консольного порта необходимо выставить скорость в 115200 бод. После ввода правильных учётных данных (логин: root, пароль: admin) мы попадаем в меню глобальной конфигурации NetXpert.

Система команд выполнена в cisco-подобном стиле, что позволяет сетевым профессионалам быстрее адаптироваться к командам нового оборудования от “НАТЕКС”. Можно также пользоваться сокращёнными командами, например, вместо show system разрешено написать sh sy. Данная особенность позволяет сильно сократить время настройки коммутатора через интерфейс командной строки.

Нас очень порадовала справка по доступным командам и их параметрам. Просто список команд с кратким описанием каждой из них можно получить, если ввести “?”. А команда “help” выводит указание о том, как можно получить справку.

Список команд со всеми возможными параметрами можно также получить из команды “list”.

Для того чтобы просмотреть информацию о системе, можно воспользоваться командой sh sy.

Есть также возможность из текущего режима просмотреть загрузочную и работающую конфигурации устройства. Данные конфигурации могут быть различными, если производилась переконфигурация NetXpert после загрузки, но сделанные настройки не были сохранены на флэш-карту.

Ещё одной приятной командой является наличие telnet-клиента, позволяющего с этого устройства производить настройку других.

Перейдём теперь в привилегированный режим, используя команду en (enable), и посмотрим, какие команды нам здесь доступны. При переходе в привилегированный режим у нас запрашивают пароль, однако достаточно первый раз нажать Enter, если enable-пароль не был предварительно сконфигурирован.

Пароль на доступ в привилегированный режим устанавливается командой en pa.

Обзор интерфейса командной строки, продолжение

Рассмотрим некоторые из приведённых в листинге команд подробнее. Системный вызов accesshost позволяет разрешить или же запретить telnet-доступ к коммутатору для определённого IP-адреса или же целой сети.

Включение или отключение, а также указание порта встроенного http-сервера осуществляется вызовом команды http.

А за работоспособность встроенного сервера ssh отвечает опция sshd команды system, однако сам системный вызов system подробнее мы рассмотрим далее.

Следующей командой является acl, позволяющая создавать правила, которым должен подчиняться весь проходящий через коммутатор трафик. Создадим правило, запрещающее весь трафик с определённого (11) порта, исключение составляют лишь пакеты с определённого IP-адреса (192.168.1.11). Таким образом, мы можем привязать IP-адрес клиента к какому-либо порту коммутатора. По сути, всю работу делают последние две строки.

Очень интересной особенностью коммутатора явилась возможность детектирования атак, а также вирусной активности (“черви”). Реакция NetXpert на указанные аномалии тоже настраивается через опции команды acl.

Коммутатор может определять наличие физических петель на его портах. Интересные опции этой команды приведены ниже.

Возможность ручной правки мостовой таблицы коммутатора кажется нам вполне полезной для сетей, в которых особое внимание уделяется безопасности передаваемых данных.

Ну, а с портом из консоли можно делать вообще практически всё, что вздумается: включить/отключить, разрешить или запретить контроль потока, задействовать/отключить зеркалирование, задать максимально допустимый размер принимаемого пакета, скорость, дуплексность, принадлежность к VLAN, максимальную скорость приёма/передачи, просмотреть статистику порта.

Обзор интерфейса командной строки, продолжение

Возможности команды show в разных режимах различны. Так, для привилегированного режима доступны ниже приведённые команды (взято из вывода команды list).

Среди приведённого списка команд интересными нам кажутся следующие: show cpu util – отображает загрузку процессора, show port traffic average – отображает средний трафик на порту, show user list – выводит список пользователей, show port vct port# – отображает данные кабельного тестера. Для проверки последней опции мы отключили патч-корд от компьютера и запустили vct на порт № 24, к которому подключён пустой кусок кабеля UTP 5e. Мы получили довольно точное значение длины этого кабеля. На наш взгляд, эту опцию можно было бы использовать для определения не только расстояния до обрыва кабеля, но и для проверки наличия врезок в кабель или же незаконного подключения пользователей.

Как мы и обещали, рассмотрим возможности, предоставляемые нам командой system, среди которых находятся следующие: параметры ssh-сервера, IP-адрес управляющего модуля, параметры логирования, данные о дате и времени, а также возможность получения доступа к командной строке UNIX, которую мы тоже немножко исследуем. Но прежде сообщим, что все изменения в консоли необходимо сохранить командой write memory.

Перед нами обычный shell UNOX-системы, в которой запущены следующие процессы.

Посмотрим теперь, что относится к системе, для чего перейдём в каталог /proc.

Посмотрим на информацию, предоставляемую нам компанией Broadcom.

О! Вот она наша батарейка, помнит, сколько система уже существует.

Информация о процессоре находится в файле cpuinfo, откуда мы узнаём, какой установлен процессор – 405EP, работающий на частоте 199 МГц, а также, что частота PCI-шины равна 49 МГц, а системная плата произведена компанией Comtec System. Об этом мы также могли бы узнать, если внимательно изучали бы все надписи на текстолите платы.

Более подробную информацию о шине PCI можно прочесть из одноимённого файла.

Информация об устройствах отображается так.

Средняя загрузка системы читается из файла loadavg.

Время работы системы хранится в файле uptime.

Информацию о памяти системы можно получить, прочитав файл meminfo.

Закончим мы изучение параметров системы тем, что узнаем, что же за версия ОС так для нас старается.

Всё, что относится к web-интерфейсу, находится здесь.

Завершая обзор консольной части, хочется сказать, что через три минуты бездействия администратора его сеанс отключается и тогда учётные данные придётся вводить заново.

Тестирование

Для тестирования коммутатора мы использовали ноутбук и стационарные ПК, основные параметры которых приведены ниже.

Начнём мы наше тестирование с проверки того, насколько подвержен NetXpert3424-E нескольким наиболее распространённым атакам, которые будем производить с помощью XSpider 7.5 (build 1712). При тестировании были найдены следующие открытые порты: TCP-23 (Telnet), TCP-25 (SMTP (заблокирован)), TCP-80 (HTTP), TCP-110 (POP3 (заблокирован)), UDP-161 (SNMP) и TCP-443 (HTTP SSL). Рассмотрим каждую запись подробнее, кроме, конечно, заблокированных портов.

TCP-21 (Telnet)

Также хотелось бы отметить, что в процессе тестирования на консоли появилось сообщение о том, что “Notice: Telnet user test login on tel0”.

TCP-80 (HTTP)

UDP-161 (SNMP)

Найденная уязвимость говорит лишь о том, что перед тестом предварительная конфигурация устройства не производилась, потому что ни один администратор не оставит стандартные пароли.

TCP-443 (HTTP SSL)

Здесь мы увидели ту же проблему, что и на 80 порту, но также добавилась информация, касающаяся SSL-части.

Тестирование, продолжение

Проверим теперь, насколько чётко отрабатывается ограничение скорости на порту (traffic shaping). Мы провели измерения с минимальным шагом в 1 Мбит/с. График тестирования работы ограничителя скорости приведён ниже.

Видим, что где-то до скорости 95 Мбит/с реальные скорости хотя и отстают, однако, вполне предсказуемы, но на предельных скоростях лимит не меняется в сторону увеличения, а даже едва заметно проседает.

Проверим теперь, как работает фильтрация кадров на портах коммутатора. Для этого мы создали два правила, которыми разрешили весь трафик, кроме поступающего с MAC-адреса 00-13-D4-D9-33-EE, то есть адреса одного из компьютеров. Листинг команд для коммутатора приведён ниже.

Полученные данные говорят о корректной работе заданных списков доступа. Приведём результаты работы команды ping для первого компьютера. Некоторые строки убраны из вывода команды ipconfig.

И для второй машины.

Перейдём теперь… Нет, не перейдём, ибо во время попытки очистить все созданные нами ACL и записи изменений мы получили “синий экран”, то есть коммутатор оказался в нерабочем состоянии, при этом на консоль было выдано следующее отладочное сообщение.

Нам так и не удалось ничего сделать с коммутатором программно, пришлось его перезагружать. Однако следует отметить, что проблема не повторялась даже при многократном повторении действий, приведших к недееспособности в первый раз.

Тестирование, продолжение

Переходим теперь к тестированию возможностей коммутатора, связанных с групповым вещанием. Традиционно IP-пакеты могут быть двух видов: unicast (направленные одному получателю) и broadcast (широковещательные, направленные всем сразу). Помимо этих двух типов пакетов, существуют ещё и пакеты для группового общения. Протоколом группового вещания является IGMP – Internet Group Message Protocol. На сегодняшний день существуют три версии этого протокола, описанные в RFC 1112, RFC 2236 и RFC 3376, соответственно. Для сетей группового вещания выделен класс “D” адресов IPv4 (диапазон от 224.0.0.0 до 239.255.255.255). Для работы группового вещания в сети необходимо, чтобы коммутационное оборудование поддерживало эту возможность. В коммутаторе Nateks NetXPert 3424-E организована поддержка протокола GMRP – Group Message Registration Protocol, использующего GARP PDU для автоматического создания или удаления групп. Также в данном коммутаторе реализована поддержка IGMP Snooping, управляющая пользователями в группах для группового вещания. Мы решили проверить, как работает NetXPert с трафиком группового вещания. В качестве клиента и сервера для обработки видеоданных мы использовали VLC Media Player 0.8.4a. На коммутаторе мы разрешили использование GMRP или IGMP Snooping. Мы запустили на обеих машинах VLC и сконфигурировали сервер на ноутбуке, а клиента на обычном ПК. Для вещания мы использовали адрес 224.1.4.10. Настройки клиента элементарны – нужно лишь выбрать поток, из которого необходимо извлекать видеоряд.

Настройки на видео-сервере не многим сложнее: нужно указать тип вещания, поток для вещания, тип потока и адрес группового вещания, формат пакета, время жизни пакета. И с этого момента начинается вещание в сеть выбранного потока. Скриншоты окон настройки представлены ниже.

Вещание нам показалось достаточно стабильным, особенно если включить хотя бы небольшое кэширование.

Мы решили проверить работу кабельного тестера, для чего осуществили проверку порта, к которому подключена работающая машина, а также свободного порта, к которому мы подключили патч-корд длиной 2,3 метра. Скриншоты соответствующих состояний приведены ниже.

Считаем, что определение произведено достаточно точно, насколько это возможно вообще произвести на коротких кусках кабеля.

Рассмотрим функцию детектирования петель на интерфейсах. Наличие петли между двумя интерфейсами коммутатора должно быть распознано с помощью протокола STP, но на практике можно встретить и более хитрые петлевые структуры. Предположим, что к одному из портов коммутатора NetXpert 3424-E подключён неуправляемый коммутатор второго уровня, порты которого соединены патч-кордом. В таком случае посылка широковещательного кадра в такой порт приведёт к его возвращению через него же, спустя какое-то время. Мы решили протестировать эту особенность. Подключили коммутатор, порты которого замкнули патч-кордом, но такая петля определяется самим коммутатором. Аналогичный фокус не получился и с концентратором от 3COM. Поэтому мы соединили дополнительный коммутатор и концентратор двумя линками, образовав внутреннюю петлю, затем концентратор подключили и к NetXpert 3424-E. После подключения такой петли к NetXpert последний переставал отвечать на запросы через HTTP, HTTPS, Telnet, даже через консоль не было ответа. Сразу же после отключения такой конструкции от его порта коммутатор начинал реагировать на управляющие сообщения. Получается, что это реализация, своего рода, DoS-атаки против NetXpert.

Мы также проверили, как работает фильтрация наиболее распространённых сетевых “червей”. Однако нам так и не удалось задействовать эту защиту через web-интерфейс. Мы решили провести конфигурацию через консольный порт. Мы проверили, фильтрация включилась.

Результат нас удивил. После активации фильтров указанные ниже порты оказались полностью заблокированными.

Проверка трафика на присутствие сигнатур “червей” не производится. По заявлению представителей компании, сигнатурная проверка производится в коммутаторе NetXpert 3424-E2.

Заключение

Коммутатор Nateks NetXpert 3424-E показал хорошие результаты по скорости передачи и фильтрации. Однако некоторые заявленные функции (механизм определения петель на одном порту, фильтрация вирусов) не работали или же показывали результаты, отличные от ожидаемых. Коммутатор предназначен для использования в сетях крупных компаний, либо же в сетях ISP. Предоставляемые функции фильтрации позволяют с достаточной степенью гибкости производить блокирование или разрешение определённых типов трафика, что также позволяет предотвратить попытки несанкционированного доступа к сети. Наличие виртуального кабельного тестера позволяет существенно сократить время поиска места повреждения кабеля. Механизм ограничения максимальной доступной для каждого порта скорости приёма/передачи может быть использован для введения различных тарифных планов в сетях ISP. Правда, минимально допустимый шаг изменения полосы пропускания в 1 Мбит/с является, на наш взгляд, слишком большим, так как настройка шейпинга выглядит крайне дискретной. На момент написания статьи цена на Nateks NetXpert 3424-E в Москве была равно 575$.