Сегодня мы рассмотрим новинку на рынке SOHO маршрутизаторов — 3Com OfficeConnect Cable/DSL Secure Gateway (модель 3CR856-95).

У большинства маршрутизаторов есть свои плюсы и минусы, причем главными минусами являются не совсем корректные реализации файрвола. Посмотрим, как с этим обстоят дела у интернет шлюза от 3Com, ведь в пресс-релизе маршрутизатора, компания придает реализации защиты особое значение — устройство может распознавать атаки и попытки проникновения благодаря встроенным его в файрвол специальным шаблонам. Кроме того, в маршрутизатор встроены богатые возможности по созданию VPN соединений.

В комплект поставки 3Com OfficeConnect Cable/DSL Secure Gateway входят:

  • Краткий гид по быстрой установке и настройке устройства (на английском).
  • Полная документация по устройству, его WEB-интерфейсу и утилите, поставляемым в комплекте.
  • Компакт диск с электронными копиями документации (на английском) и утилитой, помогающей обнаружить устройства 3Com в локальной сети.
  • Блок питания.
  • Пластиковое устройство для установки нескольких коммутаторов в стойку.

На последнем пункте остановлюсь подробнее: при помощи прилагаемой пластиковой скобы несколько устройств можно установить друг над другом в «в стойку». Скоба защелкивается в специальных отверстиях с обоих боков маршрутизатора и надежно скрепляет несколько устройств между собой.

3Com Internet Cable/DSL Secure Gateway собран в пластиковом корпусе традиционного для 3Com белого цвета со скругленными углами. Нижняя пластина корпуса, на котором и крепится плата—металлическая. На передней панели маршрутизатора расположены 5 двухцветных индикаторов портов (4 — LAN порты и 1 — WAN), мерцанием сигнализирующих о передачи данных, а оранжевым и зеленым цветом — скорости соединения (10/100 Мбит соответственно). Индикация режима дуплекса отсутствует. Еще один светодиод «Power» зеленым цветом сообщает о наличии питания, а индикатор «Alert», выполненный в виде восклицательного знака, в зависимости от ситуации может означать несколько разных ситуаций.

  • Начальная загрузка и самотестирование устройства;
  • Готовность к аппаратному сбросу;
  • Неисправность микропрошивки или аппаратный сбой;
  • Попытка атаки/проникновения извне.

В задней части маршрутизатора расположен разъем питания и пять 10/100 Мбит Ethernet портов, каждый из которых обладает свойством автоопределения типа кабеля (normal/crossover). Вентиляционные отверстия расположены как на задней, так и на боковых стенках устройства.

Снизу расположены четыре резиновые ножки, а так же конструкция для возможности повесить устройство на вертикальную поверхность. Как уже упоминалось, нижняя пластина из металла, поэтому случайно сорвать закрепленный на стене маршрутизатор вряд ли получится.

Спецификации устройства

  • Процессор — Broadcom BCM6350, частота — 225 МГц;
  • 16 МБ SDRAM ОЗУ,
    16 МБ Flash с возможностью локального обновления прошивки через WEB-интерфейс или с помощью утилиты;
  • LAN интерфейсы (внутренние):
    встроенный FastEthernet коммутатор на четыре 10/100 Мбит порта с автоматическим определением прямого и кросс подключений,
  • один 10/100Мбит WAN порт (внешний) с автоопределением прямого и кросс подключений;
  • технология доступа в Интернет — NAT с возможностью перенаправления портов внутрь LAN и одного DMZ хоста,
  • автоматический пропуск VPN клиентских протоколов IPSec (1 pass-through канал), PPTP (8 pass-through каналов) сквозь NAT;
  • возможность создания (терминирования) до 30 IPSec туннелей (но во избежании потерь производительности рекомендуется создавать не более 10 туннелей);
  • (!) возможность работы в качестве сервера IPSec-туннеля;
  • максимальная производительность между LAN-WAN сегментами без использования шифрования — 21Мбит/сек;
  • производительность при использовании PPTP туннелей — 6Mbps;
    при использовании IPSec туннелей, DES шифрование — 10Mbps (с аппаратным ускорением);
    при использовании IPSec туннелей, 3DES шифрование — 8Mbps (с аппаратным ускорением);
  • операционная система — Linux;
  • встроенный DHCP сервер с возможностью привязки IP адресов к MAC;
  • встроенный файрвол без возможности привязки правил ко времени суток.
  • управление через WEB-интерфейс;
  • обслуживание до 253 компьютеров из локальной сети;
  • возможность бекапа (сохранения) и загрузки конфигурации, конфигурация хранится в текстовых файлах;
  • возможность обновлять прошивку устройства;
  • размеры — 225 мм × 29 мм × 136 мм;
  • вес — 535 г;
  • потребляемая мощность — 6.5 Вт.

Из спецификаций видно, что к устройству невозможно подключить аналоговый модем и тем самым организовать резервный канал связи в случае падения основного. Понятно, что аналоговые модемы постепенно вымирают, но в России они по-прежнему остаются актуальными и отсутствие подобной возможности в маршрутизаторе не может не огорчать.

Вид изнутри

Я не смог отыскать спецификации (по крайней мере, подробные) на большинство микросхем, видных на плате. Broadcom BCM5325 является 10/100Мбит пятипортовым Ethernet-коммутатором со встроенным контроллером доступа к среде и автоопределением полярности на каждом порту. Не ясно, почему в маршрутизаторе распаяны лишь четыре LAN-порта из пяти возможных.

По микропроцессору Broadcom BCM6350 информации вообще найдено не было, кроме того, что он является «xDSL communication processor» и работает на частоте 225 МГц. Судя по всему, в него встроен 10/100 Мбит Ethernet контроллер с автоопределением полярности.

Так же на плате распаяны две 8 мегабайтные микросхемы 32-бит Flash памяти (AM29DL) и две микросхемы оперативной памяти, судя по сообщениям веб-интерфейса, тоже емкостью 8 мегабайт каждая.

Настройка и возможности устройства

Все настройки устройства производятся с WEB интерфейса. Последний достаточно легок в освоении и даже можно сказать «интуитивно понятен». Об этом было написано и в пресс-релизе по этому маршрутизатору, что сначала вызвало добрую улыбку — кто же по-другому напишет — но после знакомства с этим WEB интерфейсом, я полностью согласен — реализация интерфейса очень удачна.

К тому же он обладает встроенной помощью практически по всем пунктам настроек.

Для доступа к системе конфигурирования, достаточно набрать в браузере адрес устройства и ввести пароль. По истечении некоторого времени (несколько минут), во время которого к интерфейсу не происходит обращений, доступ устаревает, и пароль придется вводить заново. Это правильно, хотя иногда и утомляет.

Настроить устройство можно с помощью встроенного визарда-настроек (только основные параметры) или вручную. Я рассмотрю последний вариант.

В секции настроек локальной сети можно задать IP адреса интерфейса, включить и сконфигурировать DHCP сервер, а так же осуществить привязку IP адресов клиентов к их MAC адресам. Кстати говоря, излишняя интеллектуальность интерфейса иногда мешает — на скриншоте видно, что нельзя задать не валидные, с точки зрения стандарта, MAC адреса.

В секции «Internet Settings» возможно настроить адреса, DNS-сервера, пароли для WAN интерфейса, а так же выбрать его тип — фиксированный IP адрес, динамический (DHCP), PPPoE или PPTP. При использовании динамического IP адреса, возможно вручную прописать нужный MAC адрес на WAN интерфейсе (или использовать MAC по умолчанию).

В секции настроек режимов NAT возможно задание стандартного NAT — все LAN адреса транслируются в один внешний WAN адрес. Или режим трансляции «один-к-одному», в нем диапазон внутренних (локальных) адресов транслируется в такой же диапазон адресов внешних, если они Вам выданы провайдером.

В секции настроек брандмауэра возможны стандартные режимы задания виртуальных серверов, т.е. перенаправления запросов с заданных внешних портов внутрь локальной сети. А так же задание DMZ хоста — запросы на все остальные порты, явно не указанные ранее, будут либо блокироваться, либо отправляться на DMZ (незащищенный) хост.

Секция «PC Privileges» отвечает за контроль используемых портов назначения клиентами. Он довольно гибок, но имеет мало возможностей — можно определять «для всех», «для всех оставшихся» или для отдельных машин. Из минусов отмечу, что правило можно построить лишь на основе IP адреса отправителя и порта назначения. Возможности определения правил для IP адресов назначения отсутствует, так же как и задание действий правил по времени.

Зато в маршрутизаторе присутствует возможность настройки работоспособности специальных приложений, протоколы которых требуют создание дополнительного входящего соединения извне (из Интернет) для своей работы. К примеру, такими приложениями являются сервер FTP, работающий в активном режиме, Netmeeting и т.д.

Так же можно включить (по умолчанию отключенную) возможность ICMP ping-а устройства из Интернет, а так же отключить файрвол.

Переходим к самой интересной фиче данного маршрутизатора — настройка VPN. В отличие от других маршрутизаторов, 3Com OfficeConnect Cable/DSL Secure Gateway может не только пропускать (pass-through) через себя VPN-туннели протоколов IPSec, L2TP и PPTP, но и является оконечной их точкой, в том числе для протокола IPSec(!), другими словами, выступать в роли IPSec сервера (о самом протоколе IPSec было ранее на нашем сайте).

К сожалению, устройство не позволяет одновременно выступать в роли сервера конкретного протокола, а так же пропускать его сквозь себя. Можно выбрать лишь одно из двух. Эту ситуацию можно обойти, если в качестве pass-through один из предложенных протоколов, а для VPN сервера — использовать другой.

Невелико и количество пропускаемых сквозь маршрутизатор pass-through сессий. Для PPTP число сессий ограничено восьмью, а для IPSec — единицей. Зато устройство может терминировать (служить сервером) до 30 IPSec туннелей. Правда компания не рекомендует использовать более 10 туннелей, так как, несмотря на то, что работа с IPSec аппаратно ускоренная, производительности устройства начинает не хватать при их большем количестве.

Но в любом случае, возможность работы в качестве VPN сервера перевешивают все — такими возможностями обладают лишь небольшое количество маршрутизаторов класса SOHO, представленных на российском рынке.

Предвосхищая вопрос «а зачем вообще нужен этот VPN сервер», отвечу. Это позволяет

  • не беспокоится о создании отдельного VPN сервера (если конечно ограничение на количество сессий достаточно для организации);
  • создавать полностью закрытые каналы связи (туннели) между двумя точками VPN сети, другими словами трафик в туннеле будет зашифрован и его невозможно будет прочитать и вытащить оттуда адреса, явки, пароли и другую ценную информацию; подобные туннели нужны при использовании небезопасных каналов связи, того же Интернет;
  • подключаться к локальной сети пользователям извне, например человеку, находящемуся в командировке в другой стране или из дома, не беспокоясь о риске перехвата трафика;
  • при помощи IPSec туннеля можно соединить два офиса между собой, пользователи из этих офисов будут видеть ресурсы обоих сетей, но никто извне ничего из этого туннеля извлечь не сможет.

Конечно, любые ключи и пароли можно расшифровать и подобрать, но в данном случае используются достаточно криптостойкие алгоритмы (в случае использования 3DES), расшифровать которые будет сильно затруднительно, если вообще возможно. Есть, конечно, другие способы (не слишком легкие) вскрытия реализаций этих алгоритмов, но на них я останавливаться не буду. Надо помнить другое. Не стоит надеяться, что если мы соединили два офиса между собой шифрованным туннелем, то о других мерах безопасности можно забыть совсем. Простой пример: допустим, есть два офиса (А и B), один из которых защищен хорошим файрволом и оба офиса соединены IPSec туннелем между собой. Администратор офиса A полностью уверен в безопасности — действительно, файрвол и другие системы полностью блокируют попытки проникновения извне, а шифрованный туннель, соединяющий сеть с другим офисом, невозможно прослушать. Но хакеру, задавшемуся целью проникнуть в офис A, достаточно взломать (допустим) более слабую защиту офиса B и уже из него (как бы изнутри), используя супер-защищенный туннель безнаказанно проникнуть в сети офиса A. Именно поэтому, любые инструменты нужно использовать осторожно и пытаться предусмотреть всевозможные уязвимости.

Вернемся к настройкам маршрутизатора.

При задании записей удаленных пользователей, можно задать пароли при использовании PPTP и L2TP или Shared Key, а так же тип шифрования (DES или 3DES) в случае использовании IPSec.

При конфигурировании туннеля, возможно использование лишь IPSec протокола. В этом случае нужно указать все то, что требуется для поднятия и функционирования туннеля. А на закладке «VPN Connections» можно видеть уже созданные туннели и RAS connections, а так же включать/отключать их.

Так же можно задать дополнительные таблицы роутинга для сетей за IPSec туннелем.

Разделе «System Tools» позволяет перезагрузить роутер, а так же указать сдвиг локального времени относительно GMT. Да, внутри устройства присутствуют часы, которые используются видимо только для формирования записей в системные логи. Синхронизация времени происходит с жестко заданными NTP-серверами через Интернет. Остается неясным, почему отсутствует возможность задать собственный NTP сервер или хотя бы вручную установить время на системных часах.

В этом же разделе можно создать бекап конфигурации и восстановить конфигурацию из сохраненного образа. Тут же видна кнопка сброса настроек на заводские. Интересно, что сброс настроек в default режим можно сделать либо здесь, либо при помощи не совсем очевидной операции, детально описанной в системе помощи (выключить устройство, соединить одним кабелем LAN и WAN порты и после включения дождаться, пока индикатор «начнет медленно мигать», в этот момент нужно опять обесточить устройство). Неясно, что помешало сделать кнопку «Reset to Factory Default», на корпусе устройства, как сделано в большинстве устройств подобного класса.

Кстати говоря, конфигурация сохраняется в виде текстового файла, — его можно отредактировать и вручную.

Апгрейд прошивки так же производится только через WEB-интерфейс, для этого достаточно выбрать файл с прошивкой на локальном компьютере.

В последнем разделе доступно к просмотру текущее состояние маршрутизатора (довольно подробное).

В этом же разделе присутствует замечательная возможность просмотра логов, а так же выбора способа их хранения—внутри устройства и/или на внешнем сервере.

Тестирование производительности.

Методика тестирования была описана в .

Результаты Iperf.
Программа генерирует однонаправленный TCP-трафик, поэтому смоделированы все три возможные ситуации.

Это очень высокие показатели, особенно по сравнению с маршрутизаторами, рассмотренными в предыдущих статьях. Скорость хоть и падает в два раза при полнодуплексном режиме передачи, но все равно остается очень высокой — более 10 Мбит. Этого с лихвой хватит для большинства организаций.

Результаты netPIPE.
Программа генерирует трафик методом «Ping Pong». Поэтому скорость передачи данных будет одинакова вне зависимости от того, с какой стороны находится клиент netPIPE, а с какой — сервер, причем выводится суммарная скорость в дуплексном режиме.

Максимальная пиковая скорость передачи — 21,01 Мбит/сек

Картина не изменилась — показатели скорости по-прежнему высоки.

Обращаю внимание, что тестирование скорости при включении шифрования трафика не производилось. Скорее всего, скорость передачи данных в этом режиме будет меньше, так как на реализацию шифрования съедается много ресурсов центрального процессора маршрутизатора.

Тестирование безопасности.

Для этого теста был использован распространяемый сканер сетевой безопасности Nessus версии 2.0.7. У маршрутизатора восстанавливались настройки по умолчанию. Сканировался внешний WAN-порт всеми доступными плагинами из списка.

Ни одной уязвимости не было найдено. Оказывается, маршрутизатор поступает очень хитро — через непродолжительное время после начала сканирования он блокирует доступ (режет пакеты) сканирующего хоста к себе (и в локальную сеть), при этом на две секунды загорается индикатор «Alert». Довольно универсальный и удачный прием защиты. Удалить из памяти устройства блокировку сканирующего хоста можно перезагрузкой маршрутизатора. Возможно, IP адрес и сам удаляется из памяти через некоторое время, но про это в документации ничего не сказано. Кстати, блокировка хоста происходит даже при простом сканировании портов маршрутизатора (например, при помощи Nmap).

Из минусов, замеченных во время сканирования маршрутизатора на безопасность, отмечу полное замалчивание о блокировании IP адресов сканирующих хостов вообще и о наличии атаки в частности в логах устройства.

В итоге, уязвимостей найти не удалось (конечно, это не означает, что их нет совсем), по причине невозможности их отыскания имеющимися средствами. Замечу, что это первый маршрутизатор, который не вызвал нареканий по безопасности при тестировании в нашей лаборатории. По этому пункту 3Com OfficeConnect Cable/DSL Secure Gateway получает 9 балов из 10 (бал сняли за не информативность лог файлов).

Ради интереса, я отключил файрвол (через WEB интерфейс) и заново просканировал маршрутизатор Nessus-ом. В этот раз меня не заблокировали, но уязвимостей все равно найдено не было (отчет сканирования).

Выводы

3Com создала высокопроизводительной маршрутизатор с хорошей защитой и богатыми возможностями VPN соединений. Этот продукт — отличный выбор для обладателей очень быстрого канала в Интернет, а так же для тех, кому требуется создание защищенных соединений с внешними пользователями или для объединения разделенных офисных сетей. К сожалению, среди богатых возможностей, в устройство затесались и недостатки, которые могут придтись не по нраву некоторым пользователям.

  • Высокая производительность;
  • Многофункциональный NAT;
  • Возможность работы в качестве оконечной точки VPN соединений;
  • Возможность терминирования IPSec туннелей (работа в качестве IPSec сервера);
  • Аппаратное ускорение IPSec шифрования;
  • Грамотно реализованная защита файрволом от попыток проникновения извне;
  • Возможность настройки работы специфических протоколов, требующих входящее соединение извне (например, Netmeeting);
Минусы
  • Невозможно подключить аналоговый модем и тем самым организовать резервный канал связи;
  • Отсутствие гибкой настройки фильтрации пакетов в файрволе (возможна привязка только к src-ip и dst-port);
  • Нет возможности привязки правил файрвола по времени;
  • Нет возможности задать статические таблицы роутинга (исключая туннельный режим), а так же отсутствует поддержка семейства протоколов динамического роутинга RIP;
  • Отсутствие поддержки SNMP для удаленного мониторинга устройства;

Будем надеяться, что с выходом новых версий прошивки, большая часть вышеперечисленных минусов исчезнет, благо внутри стоит *nix-подобная ОС, которая должна уметь все вышеперечисленное (исключая конечно пункт про аналоговый модем — ведь интерфейс для него отсутствует физически).

Всем добра! В этой статье хочется затронуть такую интересную и в то же время простую тему, как настройка VPN на роутере от белорусского оператора Белтелеком . Но эта инструкция может быть полезна и абонентам других провайдеров, поскольку все делается по аналогии.

Также надо сказать, что такой принцип подключения часто используется в различных государственных конторах для функционирования, например, систем межведомственного документооборота и прочих служебных программ, требующих выделенного канала связи.

Сразу стоит сказать, что в рамках этой статьи будут рассматриваться только технические вопросы. Я не буду здесь заострять внимание на том, как правильно писать заявление в абонентский отдел БТК для получения договора с данными CE и PE, которые нам так необходимы для настройки VPN-cоединения на модеме. Кстати, вот так выглядит данный документ:

Здесь для нас важны следующие значения:

  1. CE: IP-адрес модема, расположенного на территории абонента;
  2. PE: IP-адрес оборудования, расположенного на стороне провайдера;
  3. Режим работы CE устройства. Если нет выделенного IP, то будет NAT;
  4. Битность маски сети. Важный параметр, суть которого обсудим позже.

То есть принцип действия всей схемы заключается в том, что CE подключается к PE с определенной маской сети, образуя виртуальную локальную сеть между собой. Ну что же, теперь давайте переходить к непосредственной настройке.

В качестве примера возьмем довольно популярный ADSL-роутер ZTE ZXHN H208N . Думаю, что многие белорусские пользователи видели эту коробочку у себя дома либо на работе:

Но опять же повторюсь, даже на новом оборудовании для оптоволоконных линий, принцип действия остается тем же самым. Поэтому тема остается актуальной и по сей день. В общем, давайте входить в админку нашей коробочки. Как это сделать очень подробно было рассказано в .

Для тех кто подзабыл напомню, что стандартные данные для входа будут такими:

  1. IP-адрес: 192.168.1.1;
  2. Логин и пароль: admin.

Затем сразу следуем по пути « Network-WAN-WAN Connection « и в графе « Connection Name « выбираем соединение под названием « PVC 0 « . На скриншоте ниже я уже переименовал его в более понятное « VPN « . Далее сверяем значения следующих параметров:

  1. VPI/VCI: 0/33;
  2. Type: Route;
  3. Link Type: IP;
  4. IP Type: Static.

А вот и пришла пора воспользоваться техническими данными из приложения к договору, который был заранее получен в абонентском отделе провайдера:

  1. Enable NAT: ставим галку;
  2. IP Address: вбиваем значение CE;
  3. Gateway: указываем значение PE;
  4. Subnet Mask: нужно рассчитать;
  5. Modify: жмем для сохранения.

Давайте подробнее рассмотрим принцип расчета параметра « Subnet Mask « . Смотрите, у нас в документах вместе со значениями CE и PE указана битность маски сети вида « /29« . Что с этим делать?

Да все просто. Следуем по адресу ip-calculator.ru и в графе « Маска« ищем соответствующее число. В результате получаем нужную маску, которую и вписываем в роутер:

Если кто не знает, то именно битность маски определяет возможное количество IP-адресов (хостов) в заданном диапазоне. При желании можете погуглить , чтобы разобраться в этой теме более глубоко и детально. Мы же идем дальше.

Теперь переходим в раздел « Port Mapping « и в строке « WAN Connection « выбираем то соединение, на котором только что настраивали VPN-подключение. После этого галочками отмечаем порты, которые будут им пользоваться в дальнейшем:

То есть смотрите, если компьютер, который будет использовать VPN, подключен в первый порт роутера (LAN 1), значит, следует активировать соответствующий пункт в этом разделе.

Как видно на картинке выше, таким образом, можно даже беспроводную раздачу организовать. После того как указали нужную конфигурацию, не забываем сохранять настройки кнопкой « Submit « .

Следующий шаг нужно сделать тем пользователям, у которых VPN-модем будет подключен к общей , в которой уже имеются другие модемы и роутеры. Например, те, которые предоставляют обычный доступ в интернет.

В таком случае необходимо сменить стандартный IP-адрес настраиваемого нами устройства, чтобы не произошло конфликта адресов. Делается это на вкладке « LAN-DHCP Server « :

  1. LAN IP Address: любой свободный в рабочем диапазоне;
  2. Default Gateway: IP-адрес роутера раздающего интернет.

Заметьте, второй пункт стоит настраивать лишь в том случае, если вы хотите использовать роутер с VPN еще и в качестве свитча, подключая к нему другие компы локальной сети, тем самым давая им доступ в интернет.

Ну что же, друзья, потихоньку мы подбираемся к финалу. Осталось дело за малым. Дополнительно рекомендуется зайти в подраздел « Security-Firewall « и установить значение параметра « Firewall Level « в значение « Low « . Картинка ниже в помощь:

Вот и все, настройка VPN на роутере ZTE ZXHN H208N завершена в полном объеме . Осталось только перезагрузить аппарат нажатием кнопки на задней панели для принятия всех изменений. Но тем не менее рано расслабляться, нужно еще должным образом настроить сетевую карту на ПК. Об этом поговорим в .

Считаю, что это самое правильное решение, поскольку при одновременно присутствии в локалке двух и более модемов, работающих в разных режимах, например, « Bridge « и « Router « , на бридже, скорее всего, выбьет ADSL-порт (погаснет лампочка на модеме) и возможно появление в сети избыточного мусорного трафика, который может и всю сеть положить.

А напоследок, друзья, хочу предложить вашему вниманию развлекательное видео, за просмотром которого можно немножко расслабиться и разгрузить голову от только что полученных знаний.

По сути, 3Com OfficeConnect Wireless 11g Cable/DSL Gateway является 802.11g-версией своего снятого с производства предшественника, основанного на стандарте 11b. Маршрутизатор, конечно же, обладает всеми стандартными возможностями, но, как мы выяснили, не имеет ничего такого, что выделяло бы его из общей массы.

OfficeConnect 11g представляет собой устройство размером с небольшую книгу, облачённое в пластиковый корпус (имеющий внутреннюю металлическую оболочку) с металлической нижней частью. Все индикаторы расположены на лицевой панели (Тревога/Alert, Питание/Power, Статус WLAN, Статус LAN и статус Cable/DSL), на задней стороне устройства расположены разъёмы, снизу находятся отверстия для настенной установки. 3Com использовала несъёмные антенны типа двойной диполь, которые могут поворачиваться во всех направлениях.

Основная информация
Интерфейс WAN 10/100 Ethernet
Поддержка WAN Dialup Нет
Примечания по WAN Автоматическое определение MDI / MDI-X
Информация о поддержке LAN
Число портов 4
Скорость портов 10/100
Коммутация? Да
Отдельный порт Uplink? Нет
Порт HPNA? Нет
Работа в режиме беспроводной точки доступа? Да
Другие замечания о портах LAN Автоматическое определение MDI/ MDI-X

Все индикаторы, кроме WLAN, являются комбинированными, показывая подключение/активность и цветом отображая скорость соединения: 10 или 100 Мбит/с. Размеры индикаторов достаточно малы, поэтому в большинстве случаев вам придётся смотреть на маршрутизатор строго спереди, чтобы их увидеть. Порты WAN и LAN поддерживают скорость работы 10/100 Мбит/с и автоматическое определение MDI/MDI-X , что позволяет не заботиться о том, что вы подключаете и каким кабелем - прямым или перекрёстным. Хотя маршрутизатор не имеет клавиши сброса, возможность сброса всё же есть и реализована достаточно необычно: необходимо выключить устройство, соединить обычным UTP-кабелем порт WAN и один из портов LAN и затем включить питание. (Мы впервые встретились с таким интересным способом сброса настроек!)

В отличие от своего предшественника, который использовал контроллер ADMtek 5106 Home Gateway, OfficeConnect 11g построен на базе чипа GlobespanVirata ISL3893 WiSOC (Wireless System-on-a-Chip - Беспроводная система на одном чипе). На Рис. 1 показан дизайн платы. Как видите, на ней расположена флэш-память, RAM, чип пятипортового 10/100 коммутатора ADMtek 6996 и радиочасть на базе PRISM GT 11g, установленная в правой части платы.

Рис. 1. Вид изнутри.

Производитель обоих продуктов - компания Accton , являющаяся учредителем SMC Networks и OEM-производителем некоторых беспроводных решений для компании Microsoft.


Администрирование
Утилита для Windows Нет
Утилита для Мac Нет
Утилита для Linux Нет
Способ администрирования HTTP
Особенности администрирования - Всё администрирование осуществляется через браузер
- Возможно административное подключение снаружи (с одного адреса, группы адресов или с любого адреса WAN). Может использоваться только порт 8000.
Обновление прошивки HTTP
Особенности обновления Из скачанного файла
Возможности DHCP LAN
Максимальное количество клиентов 253
Отключение сервера chiefP LAN? Да
Примечания по серверу DHCP LAN Н/Д
Аутентификация WAN
PPPoE Да
Задание имени хоста Да
Задание имени домена Нет
Задание MAC-адреса Н/Д
Примечания по аутентификации Также поддерживается PPTP со статическим IP

Администрирование полностью осуществляется через web-интерфейс с достаточно высокой скоростью работы - изменения настроек выполняются в течение нескольких секунд. При первом входе предлагается указать страну, для того, чтобы отображать и использовать соответствующие параметры радиоканалов.

Рис. 2. Экран приветствия.

При запуске Мастера настройки предлагается указать параметры маршрутизатора, относящиеся к WAN (Интернет). Мастер настройки не имеет автоматического определения типа подключения . При этом Мастер рекомендует сменить пароль, но не обязывает - нам подобная особенность показалась странной. Можно также непосредственно перейти к странице настроек Интернета (Рис. 3), чтобы установить параметры подключения WAN.

Рис. 3. Настройки подключения к Интернету.

Интерфейс достаточно хорошо продуман и имеет несколько интересных особенностей. Например, как и множество других маршрутизаторов, OfficeConnect позволяет в один момент времени использовать только одно административное подключение . При попытке осуществления второго подключения будет выведено сообщение, указывающее IP-адрес машины текущего административного подключения. Однако, в отличие от других продуктов, здесь можно нажать на кнопку, находящуюся на этом же экране, и войти в административный интерфейс, отключив при этом другого администратора. К тому же, нам также показалась достаточно неудобным, что маршрутизатор завершал сеанс примерно через минуту бездействия, и эту настройку невозможно изменить!

Технология FDDI (англ. Fiber Distributed Data Interface - Волоконно-оптический интерфейс передачи данных) во многом основывается на технологии Token Ring, развивая и совершенствуя ее основные идеи. Разработчики технологии FDDI ставили перед собой в качестве наиболее приоритетных следующие цели:

  • · Повысить битовую скорость передачи данных до 100 Мб/с;
  • · Повысить отказоустойчивость сети за счет стандартных процедур восстановления ее после отказов различного рода - повреждения кабеля, некорректной работы узла, концентратора, возникновения высокого уровня помех на линии и т.п.;
  • · Максимально эффективно использовать потенциальную пропускную способность сети как для асинхронного, так и для синхронного трафиков.

Сеть FDDI строится на основе двух оптоволоконных колец, которые образуют основной и резервный пути передачи данных между узлами сети. Использование двух колец - это основной способ повышения отказоустойчивости в сети FDDI, и узлы, которые хотят им воспользоваться, должны быть подключены к обоим кольцам. В нормальном режиме работы сети данные проходят через все узлы и все участки кабеля первичного (Primary) кольца, поэтому этот режим назван режимом Thru - "сквозным" или "транзитным". Вторичное кольцо (Secondary) в этом режиме не используется.

В случае какого-либо вида отказа, когда часть первичного кольца не может передавать данные (например, обрыв кабеля или отказ узла), первичное кольцо объединяется со вторичным (рисунок 2.1), образуя вновь единое кольцо. Этот режим работы сети называется Wrap, то есть "свертывание" или "сворачивание" колец. Операция свертывания производится силами концентраторов и/или сетевых адаптеров FDDI. Для упрощения этой процедуры данные по первичному кольцу всегда передаются против часовой стрелки, а по вторичному - по часовой. Поэтому при образовании общего кольца из двух колец передатчики станций по-прежнему остаются подключенными к приемникам соседних станций, что позволяет правильно передавать и принимать информацию соседними станциями.

В стандартах FDDI отводится много внимания различным процедурам, которые позволяют определить наличие отказа в сети, а затем произвести необходимую реконфигурацию. Сеть FDDI может полностью восстанавливать свою работоспособность в случае единичных отказов ее элементов. При множественных отказах сеть распадается на несколько не связанных сетей.

Кольца в сетях FDDI рассматриваются как общая разделяемая среда передачи данных, поэтому для нее определен специальный метод доступа. Этот метод очень близок к методу доступа сетей Token Ring и также называется методом маркерного (или токенного) кольца - token ring (рисунок 2.2, а).

Станция может начать передачу своих собственных кадров данных только в том случае, если она получила от предыдущей станции специальный кадр - токен доступа (рисунок 2.2, б). После этого она может передавать свои кадры, если они у нее имеются, в течение времени, называемого временем удержания токена - Token Holding Time (THT). После истечения времени THT станция обязана завершить передачу своего очередного кадра и передать токен доступа следующей станции. Если же в момент принятия токена у станции нет кадров для передачи по сети, то она немедленно транслирует токен следующей станции. В сети FDDI у каждой станции есть предшествующий сосед (upstream neighbor) и последующий сосед (downstream neighbor), определяемые ее физическими связями и направлением передачи информации.

Каждая станция в сети постоянно принимает передаваемые ей предшествующим соседом кадры и анализирует их адрес назначения. Если адрес назначения не совпадает с ее собственным, то она транслирует кадр своему последующему соседу. Этот случай приведен на рисунке (рисунок 2.2, в). Нужно отметить, что, если станция захватила токен и передает свои собственные кадры, то на протяжении этого периода времени она не транслирует приходящие кадры, а удаляет их из сети.

Если же адрес кадра совпадает с адресом станции, то она копирует кадр в свой внутренний буфер, проверяет его корректность (в основном по контрольной сумме), передает его поле данных для последующей обработки протоколу лежащего выше над FDDI уровня (например, IP), а затем передает исходный кадр по сети последующей станции В передаваемом в сеть кадре станция назначения отмечает три признака: распознавания адреса, копирования кадра и отсутствия или наличия в нем ошибок.

После этого кадр продолжает путешествовать по сети, транслируясь каждым узлом. Станция, являющаяся источником кадра для сети, ответственна за то, чтобы удалить кадр из сети, после того, как он, совершив полный оборот, вновь дойдет до нее (рисунок 2.2, д). При этом исходная станция проверяет признаки кадра, дошел ли он до станции назначения и не был ли при этом поврежден. Процесс восстановления информационных кадров не входит в обязанности протокола FDDI, этим должны заниматься протоколы более высоких уровней.

Сетевая технология – это согласованный набор стандартных протоколов и реализующих их программно-аппаратных средств, достаточных для построения вычислительной сети.

В проектировании локальных сетей основная роль отводится протоколам физического и канального уровней модели OSI. Специфика локальных сетей, в которых используется разделяемая среда передачи данных, нашла свое отражение в разделении канального уровня на два подуровня: логической передачи данных (Logical Link Control), уровень LLC, и управления доступом к сети (Media Access Control), уровень MAC.

Уровень MAC обеспечивает корректное использ общей среды передачи данных, когда по определенному алгоритму любой узел получает возможность передачи своего кадра данных. В современных вычислительных сетях имеют распространение несколько протоколов уровня MAC: Ethernet, Fast Ethernet, Gigabit Ethernet, l00VG-AniLAN, Token Ring, FDDI. Ур LLC организует передачу кадров данных с разл степенью надежности.

Технология Ethernet

Фирменный сетевой стандарт Ethernet был разработан фирмой Xerox в 1975 году. В 1980 году фирмы DEC, Intel, Xerox разработали стандарт Ethernet DIX на основе коаксиального кабеля. Эта последняя версия фирменного стандарта послужила основой стандарта IEEE 802.3. Стандарт IEEE 802.3 имеет модификации, которые различаются типом используемой физической среды:

Спецификации физической среды Ethernet

l0Base-5

l0Base-2

l0Base-T

l0Base-F

Максимальная длина сегмента

Макс. количество сегментов

Макс. количество пользователей

Максимальное число повторителей

Макс. протяженность

«толстый» коаксиал

"тонкий" коаксиал

Топология

звезда, дерево

    l0Base-T - Конечные узлы соединяются по топологии «точка-точка» с многопортовым повторителем с помощью двух витых пар. Преимущество l0Base-T: концентратор контролирует работу узлов и изолирует от сети некорректно работающие узлы.

    l0Base-F – «+» высокая помехоустойчивость,

«–» сложность прокладки оптики.

10 - скорость передачи данных, Base - метод передачи на одной базовой частоте 10 МГц, последний символ - тип кабеля. Локальные сети, построенные по этому стандарту, обеспечивают пропускную способность до 10 Мбит/с. Используемая топология - общая шина, "звезда" и смешанные структуры.

В стандарте 802.3, включая Fast Ethernet и Gigabit Ethernet, в качестве метода доступа к среде передачи данных используется метод коллективного доступа с опознаванием несущей и обнаружением коллизий (carrier-sense-miltiply-access with collision detection, CSMA/CD), метод CSMA/CD.

Этот метод используется в сетях, где все компьютеры имеют непосредственный доступ к общей шине и могут немедленно получить данные, которые посылаются любым компьютером. Простота этого метода позволила ему получить широкое распространение.

Данные передаются кадрами. Каждый кадр снабжается преамбулой (8 байт), которая позволяет синхронизировать работу приемника и передатчика. В заголовках кадра указывается адрес узла-получателя, который позволяет узлу-получателю распознать, что предаваемый кадр предназначен ему, и адрес узла-отправителя для отправки сообщения, подтверждающего факт получения кадра. Минимальная длина кадра - 64 байта, максимальная - 1518 байт. Минимальная длина кадра является одним из параметров, определяющих диаметр сети или максимальную длину сегмента сети. Чем меньше кадр, тем меньше диаметр сети.

Передача кадра возможна, когда никакой другой узел сети не передает свой кадр. Стандарт Ethernet не позволяет одновременную передачу/прием более одного кадра. На практике в сетях Ethernet возможны ситуации, когда два узла пытаются передать свои кадры. В таких случаях происходит искажение передаваемых данных, потому что методы стандарта Ethernet не позволяет выделять сигналы одного узла из общего сигнала и возникает так называемая коллизия. Передающий узел, обнаруживший коллизию, прекращает передачу кадра, делает паузу случайной длины и повторяет попытку захвата передающей среды и передачи кадра. После 16 попыток передачи кадра кадр отбрасывается.

При увеличении количества коллизий, когда передающая среда заполняется повторными кадрами, реальная пропускная способность сети резко уменьшается. В этом случае необходимо уменьшить трафик сети любыми доступными методами (уменьшение количества узлов сети, использование приложений с меньшими затратами сетевых ресурсов, реструктуризация сети).

Технология Fast Ethernet

Развитие локальных сетей, появление новых более быстрых компьютеров привело к необходимости совершенствования стандарта Ethernet с целью увеличения пропускной способности сети до 100 Мбит/с.

Технология Fast Ethernet использует метод доступа CSMA/CD, такой же, как в технологии Ethernet, что обеспечивает согласованность технологий. Отличия Fast Ethernet от Ethernet наблюдаются только на физическом уровне. На канальном уровне изменений нет.

    8В/6Т - каждые 8 бит информации уровня MAC кодируются 6-ю троичными цифрами (3 состояния), группа из 6-ти троичных цифр передается на одну из 3 передающих витых пар, независимо и последовательно, 4 пара используется для прослушивания несущей частоты в целях обнаружения коллизии;

    4В/5В: каждые 4 бита данных подуровня MAC представляются 5 битами.

Диаметр сети сократился до 200 метров, что связано с увеличением скорости передачи данных в 10 раз. Стандарты ТХ и FX могут работать как в полудуплексном режиме (передача ведется в двух направлениях, но попеременно во времени), так и в полнодуплексном режиме (передача ведется одновременно в двух направлениях) за счет использования двух витых пар или двух оптических волокон. Для отделения кадра Ethernet от символов Idle в спецификациях 100Base-FX/ТХ используется комбинация символов Start Delimiter (пара символов J (11000) и К (10001) кода 4В/5В, а после завершения кадра перед первым символом Idle вставляется символ Т).

Для всех трех стандартов справедливы следующие утверждения и характеристики.

    Межкадровый интервал (IPG) равен 0,96 мкс, изменения в MAC не вносились;

    Признаком свободного состояния среды является передача по ней символа Idle соответствующего избыточного кода;

Спецификация Fast Ethernet включает также механизм автосогласования, позволяющий порту узла автоматически настраиваться на скорость передачи данных - 10 или 100 Мбит/с. Этот механизм основан на обмене рядом пакетов с портом концентратора.

Технология Gigabit Ethernet

Стандарт IEEE 802.3z Gigabit Ethernet был принят в 1998 году на основе согласованных усилий группы компаний, образовавших объединение Gigabit Ethernet Alliance. В качестве варианта физического уровня был принят физический уровень технологии Fiber Channel. Разработчики стандарта максимально сохранили преемственность предыдущих стандартов Ethernet: сохраняются все форматы кадров, полудуплексная и полнодуплексная версии протоколов, поддерживаются коаксиальный кабель, витая пара категории 5, волоконно-оптический кабель.

Поддержка полудуплексного режима метода доступа CSMA/CD сокращает диаметр сети до 25 м. Для увеличения диаметра сети до 200 м разработчики изменили размер минимального кадра с 64 до 512 байт. Для сокращения накладных расходов по передаче длинных кадров стандарт разрешает передавать несколько кадров подряд, не дополняя их до 512 байт и не передавая доступ к среде другому узлу. Не поддерживает:

    качество обслуживания;

    избыточные связи;

    тестирование работоспособности узлов и оборудования.

т.к. с этими задачами хорошо справляются протоколы более высоких уровней. Метод доступа CSMA/CD.

Спецификации

Максимальная длина сегмента

Кодирование

многомодовая оптика

одномодовая оптика

многомодовая оптика

Топология

звезда, дерево

звезда, дерево

звезда, дерево

звезда, дерево

звезда, дерево

Многомодовый кабель – применяются излучатели, работающие на двух длинах волн: 1300 и 850 нм. Светодиоды с λ=850 нм – дешевле, чем с λ=1300 нм. Длина кабеля уменьшается – затухание на волне 850 м более чем в два раза выше, чем на волне 1300 нм.

Одномодовый кабель – применяются излучатели, работающие на длине волны: 1300.

Увеличение минимального размера кадра с 64 до 512 байт. Разрешается также передавать несколько кадров подряд, не освобождая среду.

Технология Token Ring

Сеть Token Ring так же, как и Ethernet, предполагает использование разделяемой среды передачи данных, которая образуется объединением всех узлов в кольцо. Token Ring - стандарт локальных сетей, использующий разделяемую среду передачи данных, состоящую из отрезков кабеля, соединяющих все станции сети в кольцо.

Сети Token Ring работают с двумя битовыми скоростями - 4 и 16 Мбит/с.

Посланный кадр всегда возвращ в станцию - отправитель. Для контроля сети 1 из станций – актив монитор.

Маркерный метод доступа к разделяемой среде

Право на доступ к среде передается циклически от станции к станции в одну сторону по логическому кольцу с помощью кадра специального формата - маркера или токена (token).

Получив маркер, станция, имеющая данные для передачи, изымает его из кольца, добавляет свои данные и передает следующей станции. Кадр снабжен адресом назначения и адресом источника. Если кадр проходит через станцию назначения, то она копирует кадр в свой внутренний буфер и вставляет в кадр признак подтверждения приема. Станция-отправитель при обратном получении кадра с подтверждением приема изымает этот кадр из кольца и передает маркер другим станциям. Такой алгоритм применяется в сетях Token Ring со скоростью 4 Мбит/с.

Время удержания маркера (token holding time, 10 мс) – после его истечения станция обязана прекратить передачу собственных данных и передать маркер далее по кольцу. Станция может успеть передать за время удержания маркера один или несколько кадров.

В сетях Token Ring 16 Мбит/с используется алгоритм раннего освобождения маркера (Early Token Release). Станция передает маркер доступа следующей станции сразу же после окончания передачи последнего бита кадра, не дожидаясь возвращения по кольцу этого кадра с битом подтверждения приема. По кольцу одновременно продвигаются кадры нескольких станций, пропускная способность используется эффективнее. Свои кадры в каждый момент времени может генерировать только одна станция - владеющая маркером доступа.

Передающая станция может назначать кадрам различные приоритеты: от 0 до 7. Станция имеет право захватить переданный ей маркер только в том случае, если приоритет кадра, который она хочет передать, выше (или равен) приоритета маркера.

За наличие в сети маркера отвечает активный монитор. Если он не получает маркер в течение длительного времени (например, 2,6 с), то он порождает новый маркер.

кадр данных - состоит из следующих полей:

На практике хосты не обязательно соединяются по кругу, более того, конфигурация их соединения может иметь обычную топологию "звезда". Станции в кольцо объединяют с помощью концентраторов, выход предыдущей станции в кольце соединяется со входом последующей.

Сеть Token Ring может строиться на основе нескольких колец, разделенных мостами, маршрутизирующими кадры по принципу «от источника», для чего в кадр Token Ring добавляется специальное поле с маршрутом прохождения колец.

Token Ring более сложная технология, чем Ethernet. Обладает свойствами отказоустойчивости.

Token Ring использует до 75 % полосы пропускания, теоретический максимум использования у Ethernet составляет около 37 %.

Организация локальных сетей Token Ring стоит дороже из-за технологической сложности механизма эстафетной передачи маркера и использования сетевых карт, которые передают пакеты в упорядоченном режиме.

Стандарт Token Ring поддерживает экранированную и неэкранированную витую пару, оптоволоконный кабель. Максимальная длина кольца 4000 м. Максимальное количество узлов 260. Компания IBM предложила новую технологию High-Speed Token Ring, которая поддерживает скорости 100 и 155 Мбит/с и сохраняет основные особенности технологии Token Ring.

Технология FDDI

Технология FDDI (Fiber Distributed Data Interface) разрабатывается институтом ANSI, начиная с 80-х годов. В этой технологии в качестве физической среды передачи данных впервые предлагается оптоволоконный кабель. Имеется возможность использования неэкранированной витой пары.

Сеть FDDI состоит из двух колец для повышения отказоустойчивости. Данные передаются по первичному кольцу сети в одном направлении, по вторичному кольцу - в противоположном. В обычном режиме используется только первичное кольцо. В случае отказа, когда часть первичного кольца не может передавать данные (например, обрыв кабеля или отказ узла), происходит процесс сворачивания колец, при котором первичное кольцо объединяется с вторичным, образуя новое кольцо. При множественных отказах сеть распадается на несколько колец. В стандарте FDDI предусмотрено одновременное подключение узлов к первичному и вторичному кольцам и подключение только к первичному кольцу. Первое называется двойным подключением, а второе - одиночным. При обрыве узла с двойным подключением происходит автоматическое сворачивание колец. Сеть продолжает нормально функционировать. При обрыве узла с одиночным подключением сеть продолжает работать, но узел будет отрезан от сети.

Кольца сети FDDI являются разделяемой средой передачи данных, для доступа к которой применяется маркерный метод, аналогичный используемому в сетях Token Ring. Различия в некоторых деталях. Время удержания маркера является переменной величиной и зависит от степени загрузки сети. При небольшой загрузке сети время удержания маркера больше, при большой загрузке - уменьшается. Сеть FDDI поддерживает скорость 100 Мбит/с. Диаметр сети - 100 км. Макс количество узлов - 500. Однако стоимость реализации данной технологии значительна, поэтому область применения стандарта FDDI - магистрали сетей и крупные сети.

Все компьютеры в локальной сети соединены линиями связи. Геометрическое расположение линий связи относительно узлов сети и физическое подключение узлов к сети называется физической топологией. В зависимости от топологии различают сети: шинной, кольцевой, звездной, иерархической и произвольной структуры.

Различают физическую и логическую топологию. Логическая и физическая топологии сети независимы друг от друга. Физическая топология - это геометрия построения сети, а логическая топология определяет направления потоков данных между узлами сети и способы передачи данных.

В настоящее время в локальных сетях используются следующие физические топологии:

    физическая "шина" (bus);

    физическая “звезда” (star);

    физическое “кольцо” (ring);

    физическая "звезда" и логическое "кольцо" (Token Ring).

Полносвязная топология, Ячеистая топология, Общая шина, звезда, кольцо, смешанная

Шинная:

Данная топология применяется в локальных сетях с архитектурой Ethernet (классы 10Base-5 и 10Base-2 для толстого и тонкого коаксиального кабеля соответственно).

Преимущества сетей шинной топологии:

отказ 1 из узлов не влияет на работу сети в целом;

сеть легко настраивать и конфигурировать;

сеть устойчива к неисправностям отдельных узлов.

Недостатки сетей шинной топологии:

разрыв кабеля может повлиять на работу всей сети;

огранич длина кабеля и кол-во рабочих станций;

трудно определить дефекты соединений

Звезда:

Данные от передающей станции сети передаются через хаб по всем линиям связи всем ПК. Информация поступает на все рабочие станции, но принимается только теми станциями, которым она предназначается. Так как передача сигналов в топологии физ звезда является широковещательной, т.е. сигналы от ПК распространяются одновременно во все направления, то логич топология данной лок сети является логической шиной.

Данная топология применяется в локальных сетях с архитектурой 10Base-T Ethernet.

Преимущества сетей топологии звезда:

легко подключить новый ПК;

имеется возможность централизованного управления;

сеть устойчива к неисправностям отдельных ПК и к разрывам соединения отдельных ПК.

Недостатки сетей топологии звезда:

отказ хаба влияет на работу всей сети;

большой расход кабеля;

Кольцо

Принимающая рабочая станция распознает и получает только адресованное ей сообщение. В сети с топологией типа физическое кольцо используется маркерный доступ, который предоставляет станции право на использование кольца в определенном порядке. Логическая топология данной сети - логическое кольцо.

Данную сеть очень легко создавать и настраивать. К основному недостатку сетей топологии кольцо является то, что повреждение линии связи в одном месте или отказ ПК приводит к неработоспособности всей сети.

Как правило, в чистом виде топология “кольцо” не применяется из-за своей ненадёжности, поэтому на практике применяются различные модификации кольцевой топологии.