Дистрибутор сетевого
и телекоммуникационного оборудования
Наш телефон:
+7 495 789-65-65

Краткий обзор и тестирование маршрутизаторов
Cisco SB 101, 871w, 1801w

Цель

Изучение основных функций маршрутизаторов Cisco SB101, Cisco 871w, Cisco 1801w.

Cisco SB101
(Cisco Small Business Secure Broadband Router)

    Маршрутизатор Cisco SB101 ориентирован на предприятия малого бизнеса, обеспечивающий защищённое соединение с сетью Интернет. Необходимо отметить, что маршрутизатор является младшей моделью в линейке маршрутизаторов Cisco Systems и не позволяет расширять ни оперативную, ни flash память, но для целей, на которые он позиционируется, этих характеристик вполне достаточно. Из протоколов маршрутизации поддерживаются RIPv1, RIPv2 и ODR.

Маршрутизатор оборудован:

    - 4-портовым коммутатором 10/100 Mbps с возможностью автоматического выбора MDI/MDX (все порты представляют собой единый ethernet интерфейс).
    - Одним WAN портом Ethernet 10 Mbps full-duplex.

Cisco 871w
(Cisco Integrated Services Routers for Small Offices)

    Данный маршрутизатор Cisco Systems позиционирует, как решение для мобильных пользователей, филиалов компаний. Быстрая установка и легкость подключения в сочетании с интегрированными сервисами, работающими совместно, такими как: FireWall, VPN, Wireless LANs c широкой полосой пропускания. По программным возможностям Cisco 871w является полноценным маршрутизатором. Существует возможность использования таких протоколов как - IPv6, BGP, QoS, PIM, Multigroup HSRP, также имеется система предотвращения атак (IPS) и возможность фильтрации url; полный же список возможностей можно посмотреть по ссылке в конце статьи.

Маршрутизатор оборудован:

    - 4-портовым управляемым коммутатором 10/100 Mbps с возможностью автоматического выбора MDI/MDX и возможность создавать не более трёх 802.1q VLAN. (для создания VLAN необходим IOS Advanced IP Services).
    - Одним WAN портом 100Mbps.
    - WiFi 802.11b/g.
    - Аппаратным модулем шифрования 3DES for IPSec / AES for IPSec c поддержкой до 10 одновременных тоннелей.

Cisco 1801W
(Cisco Integrated Services Router)

    Маршрутизатор Cisco 1801w относится к серии маршрутизаторов Cisco 1800, это поколение маршрутизаторов, следующее за маршрутизаторами серии Cisco 1700. Как и Cisco 871w маршрутизатор Cisco 1801w поддерживает функции обеспечения безопасности и удалённого доступа, объединенных в одном устройстве.

Маршрутизатор оборудован:

    - 8-портовым управляемый коммутатором 10/100 Mbps с возможностью автоматического выбора MDI/MDX (хотя это не указано в datasheet, выяснилось экспериментальным путём), поддержкой 802.1q VLAN`ов.
    - ISDN BRI порт.
    - ADSL over POTS (Plain Old Telephone Service).
    - WiFi 802.11b/g (два интерфейса)
    - Аппаратным модулем шифрования 3DES for IPSec / AES for IPSec c поддержкой до 50 одновременных тоннелей.

    В качестве второго устройства для тестирования IPSec был выбран маршрутизатор: Cisco 2801 (IOS: c180x-advipservicesk9-mz.123-8.YI1.bin)

    При покупке маршрутизатора лучше сразу подумать о том, какие "features IOS" Вы будете использовать, т.к. именно под размер файла и будет подогнан FLASH (это не относится к маршрутизатору Cisco SB101, так как он имеет фиксированный объём flash памяти). По возможности, наилучшим вариантом будет покупка маршрутизатора с максимально-возможным объемом памяти, что в дальнейшем избавит Вас от раздумий о том, сможете ли Вы установить тот или иной IOS.

    По заявлению производителя, максимальное количество пользователей, для модели Cisco SB101 составляет 5, Cisco 871w - 20, а для Cisco 1801w - 50. К сожалению, у нас не было возможности проверить все модели, поэтому ограничились в проверке модели Cisco SB101. Подключив 6 устройств, проверка показала, что на данный момент никакого физического ограничения нет.

Security Device Manager

SDM - это WEB-based программа, позволяющая быстро настроить маршрутизатор. Программа может быть установлена как на маршрутизаторе, так и на рабочей станции, с которой производится настройка.

SDM Express - это просто урезанная версия SDM. Ее отличие заключается в более простом режиме настройки и отсутствии возможности настройки многих функций маршрутизатора. Также, особенностью SDM Express является режим первоначального запуска, т.е. - при первом запуске программы, Вы увидите Wizard, состоящий из 7 шагов. До тех пор, пока Вы не пройдете весь этап настройки в этом режиме, к главному меню у Вас доступа не будет. Опять же, стоит упомянуть об объеме FLASH памяти маршрутизатора, SDM требует 6Mb.

USB

    Очень многих волнует вопрос использования USB в маршрутизаторах, которые были относительно недавно представлены в новой линейке маршрутизаторов Cisco ISR. Существует две возможности использования:

USB eTOKEN FEATURE:

    USB eToken обеспечивает безопасное хранение любых файлов, VPN сертификатов. Возможность доступа к информации по PIN, для предотвращения доступа к информации, хранящейся на маршрутизаторе, третьим лицам. Операции по работе с файлами можно проводить как из CLI (Comman Line Interface), а также посредством специальной утилиты: Token Management System (TMS).

Подробности: http://www.ealaddin.com/etoken/cisco

USB FLASH FEATURE:

    Здесь все просто. Простая замена Compact Flash, обеспечивающая вторичное хранение любых файлов, образов IOS, конфигурационных файлов, которые возможно передавать как с USB на FLASH, так и в обратном порядке. Следует отметить, что Compact Flash в будущем планируется полностью заменить USB носителями.

    Необходимо знать, что поддерживаются только Cisco USB. На данный момент существуют три варианта: 64, 128 и 256MB. USB eToken и USB Flash поддерживаются IOS, начиная с версии 12.3(14)T. USB eToken поддерживается только в следующих наборах IOS: Advanced Security, Advanced IP Services, or Advanced Enterprise Services Cisco IOS feature set. USB Flash не предъявляет требований к составу IOS (начиная 12.3(14)T).

За дополнительной информацией о поддержке и работе USB устройств: http://www.cisco.com/go/USB

Context-Based Access Control

    Несмотря на богатый набор возможностей маршрутизаторов класса SOHO (101, 850, 870), все же больший уклон делается на безопасность обмена информацией.

    Одно из средств, которое обеспечивает высокий уровень безопасности - CBAC (Context-Based Access Control).

    CBAC - обеспечивает безопасность работы TCP- и UPD- приложений, работа которых осуществляется через общеизвестные порты, например, такие как потоки данных FTP и электронной почты, путем тщательного изучения адресов отправителя и получателя потоков данных.

    Механизм CBAC имеет возможность "интеллектуальной" фильтрации TCP- и UDP-пакетов данных, основанной на информации об используемых в ходе сеанса протоколах уровня приложения. Информация о состоянии сеансов приводит к созданию временных разрешающих записей (Access-Control-Entry) в списках управления доступом брандмауэра (Access-Control-List), необходимых для получения возвращающегося потока данных и создания дополнительных соединений для передачи данных в разрешенных сеансах связи.

    ACL - не обеспечивает высокий уровень безопасности, т.к. ACL-списки являются статическими. Каждое новое разрешение на доступ в списке управления доступом создает дополнительные возможности для взлома системы. Поэтому по возможности необходимо использовать CBAC, который позволяет динамически создавать и (или) удалять списки управления доступом, что обеспечивает более высокую безопасность сети.

    Проверка, осуществляемая механизмом CBAC, позволяет распознать команды приложений в канале управления (например FTP - 20 DATA-PORT; 21 PORT-CONTROL-CHANNEL), что, в свою очередь, позволяет определять и предотвращать некоторые взломы на уровне приложений. Кроме того, механизм CBAC осуществляет проверку порядковый номеров TCP- сегментов и удаляет те, номера которых не входят в заданный диапазон.

Тестирование.

    Описание оборудования и используемого программного обеспечения, с помощью которого производилось тестирование.

    В качестве рабочих станций использовались два достаточно производительных компьютера, на базе процессора IPIV:

    CPU: 1.3 MHz
    RAM: 768Mb

    В качестве программного обеспечения использовался следующий набор программ:

Netwox

Это комплект инструментов, который помогает найти и решить сетевые проблемы.
С помощью этой программы мы имитировали:

    "посылает множество ip пакетов со случайным src ip-адресом"
    "посылает множество ethernet фреймов, со случайным dst-mac адресом, заполняя cam таблицу"

Ttcp

Утилита для измерения производительности TCP и UDP трафика.

DUMeter

Программа, показывающая в режиме OnLine Download и Upload трафики. Ttcp показывает только статические данные по завершении работы. Для подтверждения этих данных, во время работы ttcp, мы использовали DUMeter.


Другие новости Cisco: