Концентратор доступа D-Link DSA-3110

Максим Афанасьев

Рынок сетевых устройств настолько обширен, что все представленные на нем модели описать просто невозможно. Однако нельзя обойти вниманием сетевые маршрутизаторы с возможностью организации виртуальных частных сетей — VPN. Эти специфические устройства предназначены в первую очередь для небольших организаций, имеющих несколько удаленных друг от друга офисов.

Хорошо известная российскому пользователю компания D-Link, которая специализируется на сетевом оборудовании, выпускает сегодня подобное решение — D-Link DSA-3110. Концентратор доступа DSA-3110 представляет собой систему для обеспечения доступа к одной сети с использованием технологии VPN (Virtual Private Network), позволяющей управлять доступом через централизованную систему аутентификации подключенных пользователей. С помощью этого устройства можно организовать доступ как к внутренней сети компании, так и к узлам, расположенным на расстоянии, то есть создать единую защищенную сеть для клиентов, которые могут находиться в любой части земного шара.   

Как и все сетевые устройства, модель D-Link DSA-3110 имеет привычную конструкцию (рис. 1), где на лицевой панели расположены индикаторы состояния, а на тыльной — разъемы для подключения к сети, и обладает практически такими же габаритами, что и обычные маршрутизаторы.

 

Рис. 1. Концентратор доступа D-Link DSA-3110

Концентратор доступа имеет семь портов Ethernet 10/100Base-TX, которые расположены на задней панели устройства. Три порта предназначены для подключения к внешним сетям и располагаются обособленно от других. Четыре оставшихся относятся к локальным клиентам и конфигурируются как один интерфейс, то есть реально D-Link DSA-3110 обладает четырьмя независимо конфигурируемыми интерфейсами. Поскольку эта модель представляет собой небольшой сервер, ей необходимо внешнее питание, разъем для подключения которого также расположен на тыльной стороне. Для мониторинга активных подключений на передней панели находятся индикаторы, каждый из которых отвечает за отдельный порт. Связь с компьютером концентратор осуществляет посредством порта RS-232.

Перед рассмотрением возможностей настройки и программного обеспечения модели ознакомимся с аппаратной начинкой устройства. В качестве управляющего процессора используется центральный процессор Intel Xscale с тактовой частотой 533 МГц. Оперативная память, часть которой при включенном состоянии служит аналогом жесткого диска, имеет объем 64 Мбайт. Операционная система хранится на ПЗУ объемом 16 Мбайт. Операционная система представляет собой урезанную версию Linux — BusyBox v1.00, именно она и отвечает за работу всех внутренних систем концентратора.

По заявлению производителя, D-Link DSA-3110 может поддерживать одновременно до 50 VPN-соединений по протоколу PPTP. Во внутренней базе пользователей может храниться до 250 учетных записей, а кроме того, поддерживается возможность централизованной аутентификации пользователей через внешний или внутренний RADIUS-сервер. Авторизация пользователей осуществляется через наиболее распространенные протоколы аутентификации: PAP, CHAP, MS-CHAP v1, MS-CHAP v2. Обеспечение безопасного туннеля реализуется через MPPE-шифрование, которое совместимо с протоколами аутентификации MS-CHAP v1 и v2. Концентратор доступа D-Link DSA-3110 поддерживает MPPE-шифрование 40, 56 и 128 бит, таким образом достигается полная конфиденциальность переданных данных через PPTP-туннель. Для оценки реальной нагрузки на этот небольшой сервер и учета количества трафика предусмотрен экспорт статистики по распространенному протоколу NetFlow v.5. Помимо прозрачной маршрутизации, D-Link DSA-3110 поддерживает обмен данными между клиентами по протоколу NAT. Конфигурирование устройства может происходить как через привычный для маршрутизаторов web-интерфейс, так и через telnet- и ssh-протоколы, что, несомненно, удобно, поскольку работа напрямую через командную строку позволяет быстрее сориентироваться на месте, к тому же большинство утилит, характерных для полноценной операционной системы Linux, в этом устройстве присутствуют. Все внутренние интерфейсы могут быть сконфигурированы как со статическими адресами, так и через DHCP. По умолчанию при подключении устройств к локальным портам происходит конфигурация по DHCP. Остальные три порта, предназначенные для внешних сетей, отключены.

Безусловно, настройка такого устройства для конкретных целей, а также отладка всех внутренних сервисов требует времени и, что немаловажно, опыта. Тем не менее настройка концентратора через web-интерфейс (рис. 2) проста и понятна даже неискушенному пользователю, а углубляться в дебри сервисов операционной системы придется далеко не всегда.

 

Рис. 2. Управление через web-интерфейс

Для оценки производительности концентратора доступа D-Link DSA-3110 был создан небольшой стенд, состоящий из нескольких компьютеров, которые имитировали пользователей этого устройства. Два компьютера находились во внутренней сети и подключались к локальным портам устройства. Остальные подключались либо к одному внешнему порту через коммутатор, либо к двум внешним портам одновременно. Основной целью тестирования было выяснение реальной скорости передачи данных для клиентов во внутренней виртуальной сети VPN и ее зависимости от использования MPPE-шифрования канала, а также от количества клиентов концентратора.

Тестирование производительности маршрутизатора проводилось с помощью программного обеспечения Ixia Chariot версии 5.4, разработанного специально для тестирования сетевого оборудования.

 

Тест 1. Производительность концентратора при применении в качестве обычного маршрутизатора без использования PPTP-канала

Первоначально измерялась максимальная скорость передачи данных при прозрачной маршрутизации в D-Link DSA-3110. Для этого один компьютер имитировал локального клиента и подключался к LAN-порту концентратора, а другой имитировал внешний сервер и подключался к одному из внешних портов WAN. Чтобы оценить скорость, запускался специальный скрипт Throughput.scr, который генерировал трафик в обоих направлениях.

Как видно из приведенного скриншота (рис. 3), средняя скорость передачи данных в этом тесте составила 64,6 Мбит/с, а максимальная — 72 Мбит/с. Это хороший показатель, поскольку далеко не все подобные устройства могут обеспечивать такую скорость. 

 

Рис. 3. Сетевой трафик при одновременной передаче данных между
пользовательским компьютером и сервером во внешней сети

 

Тест 2. Производительность при одном подключенном клиенте PPTP без шифрования MPPE

В этом тесте измерялась скорость передачи данных между клиентом и компьютером, который имитировал внешний сервер. Компьютер-клиент подключался к одному из LAN-портов концентратора. С помощью стандартных процедур операционной системы (Windows XP) создавалось подключение VPN. В настройках шифрование канала MPPE было отключено. Сервером для этого соединения выступал концентратор доступа D-Link DSA-3110. После подключения к серверу и установки соединения на компьютере-клиенте были запущены консоль Ixia Chariot 5.4 и скрипт Throughput.scr. Таким образом, трафик проходил через PPTP-туннель. На рис. 4 показано графическое отображение результата этого теста.

 

Рис. 4. Сетевой трафик при одновременной передаче данных между
пользовательским компьютером и сервером во внешней сети
через PPTP-туннель, без шифрования

Максимальная скорость в этом тесте составила 8,6 Мбит/с, при этом среднее значение скорости — 7,7 Мбит/с. При условии, что клиенты будут подключаться из внешней сети, а скорость в Интернете обычно не превышает 5 Мбит/с, этой пропускной способности вполне достаточно для комфортной работы.

 

Тест 3. Производительность при одном подключенном клиенте PPTP с шифрованием MPPE 128 бит

Третий тест практически не отличается от предыдущего, за исключением того, что в настройках подключения явно указывалось на использование зашифрованного канала. Другие настройки были идентичны второму тесту. Результат третьего теста показан на рис. 5.

 

Рис. 5. Сетевой трафик при одновременной передаче данных между
пользовательским компьютером и сервером во внешней сети
через PPTP-туннель, с включенным шифрованием MPPE 128 бит

В этом тесте максимальная и средняя скорости передачи данных заметно уменьшились. Средняя скорость маршрутизации составила почти 6 Мбит/с, при этом максимальное значение не превысило 6,2 Мбит/с. Если сравнивать полученные значения с результатами, показанными в третьем тесте, то обнаруживается, что производительность маршутизации падает на 20% при использовании шифрования PPTP-туннеля. Объяснение этому факту будет дано несколько позже.

Тесты 4-7 Производительность между несколькими клиентами, подключенными к концентратору по протоколу PPTP, без использования и с использованием шифрования MPPE

Все последующие тесты не отличаются от второго и четвертого, поскольку в них увеличивается лишь количество клиентов с одного до трех. На рис. 6-9 приведены графики производительности для двух и трех клиентов концентратора. Сводная статистика результатов этих тестов представлена в таблице.

 

Рис. 6. Сетевой трафик при одновременной передаче данных между
двумя клиентами концентратора через PPTP-туннель,
с выключенным

Рис. 7. Сетевой трафик при одновременной передаче данных между
двумя клиентами концентратора через PPTP-туннель,
с включенным шифрованием MPPE

Рис. 8. Сетевой трафик при одновременной передаче данных между
тремя клиентами концентратора через PPTP-туннель,
с выключенным шифрованием MPPE

Рис. 9. Сетевой трафик при одновременной передаче данных между
тремя клиентами концентратора через PPTP-туннель,
с выключенным шифрованием MPPE

Сводная статистика производительности
концентратора D-Link DSA-3110

Количество клиентов

Шифрование

Средняя скорость,  Мбит/с

Один

Нет

7,7

Один

Да

6

Два

Нет

3,5

Два

Да

2,4

Три

Нет

1,7

Три

Да

0,8

Как видно из результатов тестирования, средняя скорость передачи данных между клиентами существенно зависит от использования шифрования PPTP-туннеля. При увеличении количества клиентов, подключенных к концентратору по VPN-каналу, скорость маршрутизации заметно снижается, при этом для одного клиента применение зашифрованного канала уменьшает пропускную способность на 20%, а для трех клиентов — уже на 50%. Эта закономерность может быть объяснена двумя основными причинами: некорректно настроенный сервер PPTP и нехватка ресурсов концентратора. Чтобы проверить последнее утверждение, одновременно с четвертым и пятым тестами на концентраторе доступа D-Link DSA-3110 снимались показания загрузки процессора. При работе клиентов с PPTP-туннелем без шифрования загрузка внутреннего процессора устройства составляла до 95%. Клиенты, которые подключались по зашифрованному каналу, нагружали CPU концентратора на 100%. С учетом этих показаний можно утверждать, что процессора, установленного в D-Link DSA-3110, не всегда хватает для реализации возможностей шифрования VPN-туннеля. Однако нельзя обойти вниманием и тот факт, что поскольку операционная система Linux является бесплатным решением и большинство сервисов пишутся сообща разными программистами, то непосредственно сам сервер pptpd тоже не является эталонным. Так, некоторые провайдеры, предоставляющие пользователям доступ по PPTP-туннелям для достижения максимальной производительности и снижения нагрузки на центральный процессор, меняют внутренние настройки демона pptpd и полностью убирают MPPC-компрессию и шифрование MPPE.

В заключение отметим, что все возможности модели D-Link DSA-3110 протестировать сложно, поскольку топология сети в каждой компании абсолютно разная. Этот концентратор доступа, конечно, найдет своего покупателя, поскольку виртуальные частные сети используются сегодня повсеместно и многим компаниям необходимо свести в единую сеть несколько отдельно стоящих офисов. Что немаловажно, эта модель обойдется значительно дешевле, чем покупка отдельно стоящего сервера со множеством сетевых карт, поскольку ее стоимость составляет примерно 220 долл. 

 

Редакция выражает признательность компании D-Link за предоставление для тестирования концентратора доступа D-Link DSA-3110.

 

В начало В начало

КомпьютерПресс 6'2007

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует