Проапгрейдил 3G-бэкап

Проапгрейдил модем для 3G-бэкапа на Cisco SRP 521W. Раньше был ZTE MF112, перешитый в MF190 и разблокированный. На замену взял Huawei E353 (E353u-2).

SPI Firewall Protection ­- 2

Вот здесь я удивлялся тому, что 5% трафика – мусор, отбрасываемый SPI-файрволом. Но, как оказалось, всё в жизни развивается по восходящей спирали. Сегодня новые откровения:

Отбрасывается практически 45% трафика – и глядя на это безобразие я, честно говоря, очень рад, что использую не бытовой маршрутизатор.

SPI Firewall Protection

Насколько я понимаю, этот объем паразитных (так назовем) пакетов был отброшен (блокирован) SPI-файрволом¹ Cisco SRP521W. Т.е. можно сказать, что более 10 5% трафика (по объему; по пакетам почти треть), который «к вам в дверь стучится», потенциально представляет угрозу безопасности вашего компьютера или домашней сети. Веселая статистика, да.

Поинтересовался у знакомого профессионала: не сгущаю ли я краски?

– что думаешь про выводы? нет ли тут перебора?
– думаю что нет. более того - в иных случаях он составляет и больше %%. вот скажем почта корпоративная. 90% - спам. это мы точно знает по нашим фильтрам. я по своему серваку четко вижу как идут спаммерские атаки. так что не. думаю все нормально.

ps: Кстати, после перехода с Billion 7404VGP на Cisco SRP521W не могу припомнить ни одного случая срабатывания KIS на сканирование портов извне.

-----------------------------------------------------------------
¹) Брандмауэр SPI (Stateful Packet Inspection, SPI), или иначе брандмауэры с динамической фильтрацией пакетов (Dynamic Packet Filtering), являются по сути шлюзами сеансового уровня с расширенными возможностями. Инспекторы состояния оперируют на сеансовом уровне, но «понимают» протоколы прикладного и сетевого уровней. В отличие от шлюза прикладного уровня, открывающего два виртуальных канала TCP (один — для клиента, другой — для сервера) для каждого соединения, инспектор состояния не препятствует организации прямого соединения между клиентом и сервером. (источник)

Обновление для Cisco SRP521W

Совсем забыл: вышло обновление 1.01.29 для «зеленых» SRP521W.

You can plug and forget!

Был когда-то у Intel красивый слоган «You can plug and forget!», который они писали на коробках со своими серверными сетевыми картами для шины EISA. Вот и у Cisco получается ничуть не хуже.

Фильтрация доменов в SRP 521W и Facebook

Столкнулся со странным: попытка заблокировать facebook по домену в межсетевом экране маршрутизатора не дала желаемого результата. Блокирую весь домен www.facebook.com, но возникает лишь лаг (задержка) подключения, а сайт все равно открывается. Решением стала блокировка facebook не по домену, а по ключевому слову в открываемой ссылке (как «facebook.com»).

SRP 521W: 1,5 месяца – полет нормальный!

В общем, по итогам 1,5-месячной эксплуатации этой «Циски» могу сказать только одно: весьма удобно, весьма устойчиво, весьма информативно. Иначе, чем у бытовых маршрутизаторов, что требует несколько большего понимания сетевых технологий. Но для бывших сисадминов (в том числе и для меня) – это самое что ни на есть оно (чтобы периодически почесывать им свое Ego). Имеется очень удобная (для меня) функция: показывает текущий трафик по пробрасываемым IP-портам. При работе через мобильный интернет показывает израсходованный в текущем сеансе подключения трафик, что так же удобно. Устойчива к трафику пиринговых клиентов (он очень мелкодисперсный, что нередко вызывает переполнение кешей в оперативной памяти бытовых маршрутизаторов и их самопроизвольную перезагрузку). Ну и отличное качество SIP-телефонии.

Cisco SRP 521W: документация

Цисковедческое: подборка документации к маршрутизатору Cisco SRP 521W.

Cisco SRP 521W и 3G: нормальные герои всегда идут в обход

В общем, проблема совместимого 3G USB-модема для маршрутизатора SRP521W (уточняю: модель не SRP 521W-U, а SRP 521W, EOS/End Of Sale) успешно решена.

Как я уже писал ранее, был куплен модем ZTE MF112, оказавшийся несовместимым. К счастью, он же оказался аппаратно идентичным ZTE MF190, присутствовавшему в уже упоминавшейся Mobile Broadband USB Modem Compatibility Matrix (Cisco SRP500 Series Services Ready Platforms) от сентября 2011 (для версии прошивки 1.01.24 или новее): ZTE K3571-Z, MF180, MF190, MF626, MF636. Это избавило от необходимости поиска и покупки нового модема.

Cisco SRP 521W и 3G: «Не очень-то и хотелось!»

http://store.artlebedev.ru/postcards/not-very-much/

Сверившись с таблицами совместимости для SRP 521W от июня 2012 (для Firmware Version: 1.01.27), поискал и нашел модем ZTE MF112 (MTS). Подключил его к маршрутизатору... и получил диагностику (speed flashing LED 'USB') о том, что данное устройство не распознано. Полез в Гугл... и на первой же странице поиска увидел вот эту ссылку:

https://supportforums.cisco.com/thread/2138797

' Sorry, this looks like a typo. We have just added supported for the MF112 in the 1.2.x release train for the SRP520-U and SRP540 products.  It's not supported by the SRP520 series products running 1.1.x code though.'

А поскольку у меня

Model: SRP521W, FE WAN, 802.11n ETSI, 2FXS/1FXO
Version ID: V04
Hardware Version: 4.0.0
Boot Version: 1.1.17 (Jan 4 2010 - 21:15:46)
Firmware Version: 1.01.27 (007) Jun 15 2012

То похоже, что мне не остается ничего другого, как поискать что-то совсем уж древнее из модемов: Huawei E153, E160, E172, E176, E177, E180, E182E, E220, E226, E270, E272, K3565, K3765, K4505 или ZTE K3571-Z, MF180, MF190, MF626, MF636 (по состоянию на сентябрь 2011, Firmware 1.1.24 или новее).

При этом в таблицах совместимости от июня 2012 (для FirmwareVersion: 1.01.27) сказано: «These modems are compatible with Services Ready Platforms running software version 1.01.27 or later» и ZTE MF112 в этом списке присутствует.

UPD. Причина, похоже, как обычно «проста»  (как верно сказано по вышеприведенной ссылке – опечатка цисковских «техписов»): сейчас у CISCO линейка SRP 520 замещена линейкой SRP 520-U, аппаратно идентичной линейке SRP 540. Так что виновата тут, по-видимому, именно «копипаста» при подготовке описаний релизов.

UPD2. Написал в Циско-Саппорт-Комьюнити о том, что надо бы дать список совместимых модемов для 1.01.27. Но слабо мне верится в то, что саппортеры и разрабы «отлепят зад от стула» и напишут такой список для EOS/EOL -модели (но End of Support по ней будет аж в 2017 г.).

LPT-принтсервер Edimax PS-1206PWG (802.11b/g) и сеть WiFi 802.11N

Продолжаю решать (по мере их поступления) всяческие проблемы «переезда инфраструктуры» с Billion 7404 VGP на Cisco SRP 521W.

Снова «забастовал» принтсервер Edimax PS-1206PWG, как и в случае с Tenda W316R. Это, естественно, не очень обрадовало. Благодаря диагностическим возможностям маршрутизатора SRP 521W удалось выяснить, что злополучный LPT-WiFi-принтсервер все-таки подключается к сети WiFi 802.11N (Mixed Mode) и в списке ее абонентов даже появляется его MAC-адрес, хотя при этом его по-прежнему нет в IP-сети¹.

Cisco SRP 521W и VoIP (SIP)

Настроил маршрутизатор Cisco SRP 521W, все Ок: пробросы портов, VoIP (SIP от telphin). С телефонией у SRP 521W имеется некая особенность: если активирован(ы) SIP-номер(а), то никакие «наземные» входящие звонки на порт FXO (PSTN) не принимаются: «The SRP520 line port is a passive interface that connects the PSTN line with FXS port 1 during failure conditions. Calls cannot be routed dynamically to this interface under normal operating conditions».

ps: Маршрутизатор Billion 7404 VGP обрабатывает такие звонки наравне с входящими звонками на SIP-номер(а). Впрочем, качество SIP-телефонии у Cisco однозначно лучше.

Cisco SRP 521W

7

Домашняя компьютерная сеть – нюансы, на которые мало кто смотрит

На днях беседовали по Скайпу с другом, обсуждали с ним тему WAN роутера (маршрутизатора) для домашней гигабитной сети. В ходе беседы он следующее озвучил опасение:

Оно 100 мбитное по LAN... Тебе это ОК? Т.е. конечно можно свитч поставить, но не будет ли тормозов со стороны роутера при маршрутизации? Т.е. процессор внутри все же может быть «медленоват» для обработки запросов. Файрвол, прочие сервисы... Шейпинг тот же. Если изначально все точилось под 100 Мбит. Я видел разницу (правда, на бытовых роутерах).

На самом деле тут есть некий тонкий нюанс. Дело в том, что при подключении маршрутизатора 100М к коммутатору сети 1Г, порт последнего также переключится с 1Г на 100М и тем самым автоматически урежет полосу между коммутатором и маршрутизатором. А сомневаться в том, что маршрутизатор класса SOHO в состоянии переварить 100М поток вряд ли стоит, т.к он на него и был рассчитан. А учитывая то, что полоса WAN-интерфейса (на которую, собственно, и идет маршрутизация с интерфейса 100М чарез QoS, SPI-файрвол и т.п. сервисы) обычно существенно уже 100М, то повода для сомнений нет тем более. Т.е. если для домашней сети стоит вопрос «что брать», однозначно можно предпочесть SOHO WAN 100M практически любой бытовой модели с гигабитными портами. Как минимум, такой SOHO маршрутизатор можно найти по более интересной цене и с более серьезной в плане возможностей начинкой (например, встроенный шлюз SIP VoIP). Подчеркну, что я не имею ввиду бытовые модели с альтернативными прошивками – речь исключительно о решениях «искаропки».

Пример типичной SOHO-сети

И еще один нюанс: внешний коммутатор 1Г проф. серии (даже младшие модели) обеспечивает куда большую эффективность работы сети, если в ней больше одного компьютера и присутствуют разные потребители трафика, серверы (NASы) и т.п. В общем, применяйте старый принцип «разделяй и властвуй».

Совершенно особая тема – это «торрентокачалки». Эти программы являются генераторами настолько фрагментированного трафика, что он  создает проблемы даже мощному узловому оборудованию, а не то что бытовому маршрутизатору «все в одном за $100». Если уж пользуетесь – то настраивайте их не «от пуза», а так, чтобы это не мешало работать вашему маршрутизатору (и домашней сети).

В общем, вкратце изложил свою точку зрения на home networks. Возможно, слегка сумбурно – но постарался по сути.