Интернет-центр ZyXEL P-660HTW, часть 1: общая информация, настройки

В данном обзоре мы рассмотрим интернет-центр ZyXEL P-660HTW, который по своей сути является беспроводным ADSL-маршрутизатором, оптимизированным под использование таких сервисов как IP TV.

Функциональные возможности: ADSL2/2+-маршрутизатор и межсетевой экран с возможностью шейпинга трафика, 4-хпортовый коммутатор с автоопределением полярности на портах (Auto MDI/MDI-X), беспроводная точка доступа стандарта IEEE 802.11g.

Внешний вид

Спереди на интернет-центре расположены следующие индикаторы:

Индикатор питания/состояния системы
По одному индикатору активности на каждый из 4-х портов LAN
Индикатор состояния/активности беспроводного соединения
Индикатор состояния ADSL-соединения
Индикатор активности WAN-порта

Сзади на интернет-центре расположены:

Стационарная антенна беспроводной связи, 5 dBi
Кнопка включения/выключения питания
Разъем питания
Клавиша сброса настроек
4 LAN-порта
WAN-порт RJ-11

Вид изнутри

Устройство выполнено на базе процессора TRENDCHIP TC3162P (32-битный сетевой процессор, оптимизированный для работы с протоколами уровня 2 и 3 модели OSI, встроенный интерфейс 10/100, поддержка ADSL/ADSL2/ADSL2+, питание 1.8 или 3.3 В).

Коммутатор устройства выполнен на базе чипа Infineon ADM6996I. На плате также установлены 16 Мбайт SDRAM-памяти Winbond W9812G6DH и 2 Мбайт Flash-памяти Macronix MX 29LV160CBTC.

Комплект поставки

Сам интернет-центр
Патчкорд RJ-45 - RJ-45, UTP 5-й категории, длиной около 2-х метров
БП 12В, 1А с длиной шнура около 2 метров
2 x патчкорд RJ-11 - RJ-11 длиной около 2-х метров
Сплиттер для подключения к телефонной линии
Краткое руководство по установке и настройке на русском языке
Диск с документацией и дополнительным ПО (программа NetFriend, упрощающая подключение к сети Интернет и IPTV, работающая под ОС семейства Windows)
Картонная фигурка с надписью "OMNI - твой сетевой друг" (скорее всего просто для красоты)

Спецификация:

корпус	пластиковый, допускается горизонтальная установка или подвес на стену
	исполнение		Indoor
проводной сегмент
WAN	тип	ADSL2+ (ITU Annex A)
	количество портов	1
	типы поддерживаемых соединений	PPPoE	да
		PPPoA	да
		Bridge mode	да
		Fixed IP in 1483	да
		Static IP	да
		Dynamic IP (DHCP)	да
LAN	количество портов	4
	auto MDI/MDI-X	да
ручное блокирование интерфейсов	нет
возможность задания размера MTU вручную	да, но только через консольный интерфейс
Беспроводной сегмент
антенна	количество	1
	тип	одна внешняя дипольная, 5 dBi
	возможность замены антенны/тип коннектора	нет
поддерживаемые стандарты и скорости	802.11b	CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
	802.11g	OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
	Регион/Кол-во каналов	Europe/13
	расширения протокола 802.11g	нет
	возможность ручного задания скорости	нет
выходная мощность	(максимальная?)	??
	802.11b @11Mbit/s	??
	802.11g @54Mbit/s	??
чувствительность приемника	802.11b @11Mbit/s	??
	802.11g @54Mbit/s	??
работа с другой AP	поддержка WDS (мост)	нет
	поддержка WDS + AP	нет
	возможность работы в режиме клиента	нет
	wireless repeater (повторитель)	нет
безопасность	блокировка широковещательного SSID	да
	привязка к MAC адресам	да
	WEP	64/128/256 bit
	WPA и WPA2	да, 802.1x
	WPA-PSK и WPA2-PSK	да
	802.1x (через Radius)	да
	дополнительные возможности с использованием Radius	нет
основные возможности
конфигурирование устройства и настройка клиентов	администрирование	WEB-интерфейс	да
		WEB-интерфейс через SSL	нет
		собственная утилита	да
		telnet	да
		ssh	нет
		COM-порт	нет
		SNMP	да
	возможность сохранения и загрузки конфигурации	да
	встроенный DHCP сервер	да
	поддержка UPnP	да
метод организации доступа в Интернет	Network Address Translation (NAT-технология)	да, Full Cone NAT
	возможности NAT	one-to-many NAT (стандартный)	да
		one-to-one NAT	да
		возможность отключения NAT (работа в режиме роутера)	да
Встроенные VPN-сервера	IPSec	нет
	PPTP	нет
	L2TP	нет
VPN pass through	IPSec	да
	PPTP	да
	PPPoE	да
	L2TP	да
Traffic shaping (ограничение трафика)	да
DNS	встроенный DNS-сервер (dns-relay)	да
	поддержка динамического DNS	да, DynDNS.org
внутренние часы	присутствуют
	синхронизация часов	да, NTP, TIME, DAYTIME
встроенные утилиты	ICMP ping	да
	traceroute	нет
	resolving	нет
логирование событий	да, системные события, файрвол
	логирование исполнения правил файрвола	да
	способы хранения	внутри устройства	да
		на внешнем Syslog сервере	да
		отправка на email	да
SNMP	поддержка SNMP Read	да
	поддержка SNMP Write	да
	поддержка SNMP Traps	да
Роутинг
статический (задания записей вручную)	да, но его использование возможно только через консольный интерфейс
динамический роутинг	на WAN интерфейсе	нет
	на LAN интерфейсе	возможность отключения	да
		RIPv1	да
		RIPv2	да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)	да, но без возможности использования в правилах
наличие фильтров/файрвола	на LAN-WAN сегменте	да, с указанием направления
	на WLAN-WAN сегменте	да, совмещен с LAN-WAN
типы фильтров	с учетом SPI	нет
	по MAC адресу	нет
	по source IP адресу	да, в том числе по диапазону и подсети
	по destination IP адресу	да, в том числе по диапазону и подсети
	по протоколу	да, TCP/UDP/TCP&&UDP
	по source порту	да, в том числе по диапазону
	по destionation порту	да, в том числе по диапазону
	привязка ко времени	да, можно привязать каждое правило
	по URL-у	да
	по домену	да (совмещен с URL)
	работа с online-службами списков URL для блокировки	нет
тип действия	allow	да
	deny	да
	log	да, опционально
поддержка спец.приложений (netmeeting, quicktime, etc)	да
виртуальные сервера	возможность создания	да
	задания различных public/private портов для виртуального сервера	нет
	возможность задания DMZ	да, используя настройки NAT
traffic shaping
типы шейпинга	ограничение общего исходящего трафика	да
	ограничение общего входящего трафика	да
	ограничение входящего трафика по критериям	да
	ограничение исходящего трафика по критериям	да
критерии задания правила для ограничений	src interface lan/wan	нет
	dst interface lan/wan	нет
	src ip/range	нет
	dst ip/range	нет
	протокол	только протоколы уровня приложений (FTP, SIP, H.323)
	src port/range	просто порт
	dst port/range	просто порт
	привязка ко времени	нет
питание
тип БП	внешний, 12VDC, 1A
поддержка 802.1af (PoE)	нет
дополнительная информация
версия прошивки	V3.40(ANL.0) \| 06/16/2006
размеры	180 x 128 x 36 мм без учета антенны
вес	345 г, без БП

Конфигурация:

Настройку интернет-центра можно производить с помощью WEB-интерфейса настройки, а также используя Telnet или SNMP.

Скриншоты WEB-интерфейса настройки приведены здесь.

Список параметров SNMP приведен здесь.

Некоторые возможности устройства настраиваются только с использованием Telnet-интерфейса - WEB-интерфейс позволяет произвести только базовую настройку.

Для начала рассмотрим некоторые настройки, которые нам предоставляет WEB-интерфейс.

DHCP-сервер устройства позволяет задать 8 статических записей соответствия MAC и IP-адресов.

Устройство может производить 802.1x-аутентификацию без использования RADIUS-сервера при подключении беспроводных клиентов к точке доступа. При этом можно задать приоритет использования - либо беспроводной клиент пытается сначала пройти аутентификацию на сервере RADIUS и если RADIUS-сервер дал отказ клиенту, то производится попытка аутентификации с использованием внутренней базы данных пользователей, либо наоборот - сначала с использованием внутренней БД пользователей, а после - через RADIUS-сервер. Также можно указать производить аутентификацию только через сервер RADIUS или только с использованием локальной базы данных.

Локальная БД пользователей позволяет производить только EAP PEAP-аутентификацию (имя пользователя и пароль), в то время как сервер RADIUS также позволяет производить аутентификацию с использованием сертификатов (EAP-TLS).

Локальная БД пользователей может хранить 32 учетные записи пользователей.

При "падении" основного канала в Интернет, возможно использование резервного - в этом случае трафик перенаправляется через шлюз, расположенный в LAN-сегменте - его адрес указывается в графе "Backup gateway". Проверка на "падение" основного канала осуществляется либо через состояние ADSL-соединения, либо посредством пинга задаваемых пользователем IP-адресов.

Настройки сервиса NAT (Network Address Translation) может осуществляться в 2-х режимах: "SUA Only" и "Full Feature".

Режим "SUA Only" (Single User Access) позволяет задать до 11 виртуальных серверов с использованием одного диапазона портов для каждого виртуального сервера. При этом считается что WAN-интерфейс устройства имеет только 1 IP-адрес.

Режим "Full Feture" позволяет задать 10 расширенных правил виртуальных серверов. При этом если WAN-интерфейс устройства имеет несколько IP-адресов, то возможно определенные порты на определенном внешнем IP-адресе сопоставить соответствующим портам на определенном внутреннем IP-адресе. Также возможно сопоставление "один к нескольким" ( то есть нагрузка распределяется между несколькими серверами в LAN-сегменте) или даже "несколько к нескольким".

Каждому правилу файрвола можно задать расписание его работы. Правила файрвола задаются отдельно для различных направлений движения трафика.

Для предотвращения DoS-атак (Denial of Service - отказ в обслуживании), возможно задать максимальное количество устанавливаемых соединений в единицу времени (минута).

Также есть возможность задания подробных параметров логирования событий. Данные логи можно хранить внутри устройства, посылать по электронной почте или же отправлять на Syslog-сервер.

Настройка параметров шейпинга трафика будет рассмотрена в соответствующем разделе в одном из последующих обзоров, посвященных данному устройству.

Отмечу также, что WEB-интерфейс имеет 2 встроенных мастера настройки:

Мастер установления подключения к Интернет
Мастер настройки шейпинга трафика

Помимо WEB-интерфейса для осуществления настройки устройства можно использовать консольный интерфейс.

Консольный интерфейс представлен системой меню и подменю. Чтобы войти в определенное меню необходимо набрать соответствующий номер на экране.

Меню 11 "Remote Node Profile" позволяет производить настройку ADSL-подключений. Данное устройство позволяет одновременно устанавливать до 8 ADSL-подключений (с уникальным значением параметров VPI/VCI). Эта возможности используется например при организации IP-телевидения и т.п.

Статическая маршрутизация, которую нельзя настроить при использовании WEB-интерфейса настройки, настраивается именно через консольный интерфейс. Всего можно задать до 12 политик маршрутизации, каждая из которых может содержать до 6-ти правил

Каждое правило настраивается с использованием критериев: Тип обслуживания, номер протокола, адрес источника пакетов, адрес назначения пакетов. При этом можно изменить параметры типа обслуживания, а также произвести запись в логах по факту срабатывания данного правила.

Также возможно попасть в командный интерфейс ОС ZyNOS, установленной на данном устройстве. Для более подробной информации о системе команд данной ОС существует специальное справочное руководство (CLI Manual - Command Line Interface Manual).

С помощью системы команд можно настроить такую возможности как TriplePlay - данная возможность позволяет связать определенное ADSL-подключение с определенным Ethernet-портом коммутатора устройства (более подробную информацию можно найти в CLI Manual в разделе команд "sys tripleplay"). Например при использовании приставок для IP-телевидения, которые подключаются к порту Ethernet, производится настройка tripleplay таким образом, чтобы порт, к которому подключена данная приставка имел доступ только к одному ADSL-соединению (точнее ATM-соединению), которое отвечает за данный сервис.

Помимо этого, для Windows-пользователей на диске с устройством поставляется ПО NetFriend, позволяющее произвести пошаговую настройку устройства. Несколько скриншотов данной программы приведено ниже.

Как видно из скриншота выше, данная утилита позволяет произвести подключение к Интернет, настроит беспроводную связь, а также произвести диагностику.

В утилите уже заложены некоторые параметры настроек ADSL-провайдеров московского региона (Стрим, Центел), а также параметры провайдеров в других регионах РФ. Помимо этого присутствуют настройки провайдеров в Украине и Казахстане. Если провайдера нет в списке - можно произвести настройку параметров вручную - в данном случае на сайте компании ZyXEL можно заполнить соответствующую форму, данные которой будут использоваться в последующих версиях ПО Netfriend.

Доступность

ZyXEL P-660HTW

Н/Д(1)

Выводы:

Рассматриваемое оборудование обладает достаточно интересным набором возможностей, однако для его конфигурации в качестве "интернет-центра" (именно так он назван на сайте компании ZyXEL), потребуется воспользоваться как WEB-интерфейсом настройки, так и консольным. WEB-интерфейс не позволяет производить настройку нескольких ADSL-соединений (хотя устройство может поддерживать до 8 ADSL-соединений), также невозможно задать правила статической маршрутизации и некоторые другие параметры. Некоторые экзотические параметры (например tripleplay) настраиваются только через интерфейс командной строки либо с использованием ПО NetFriend, поставляемом на диске, идущем в комплекте с устройством. Также несмотря на такие широкие возможности настройки сервиса NAT, при создании виртуальных серверов нельзя задать различные Public/Private порты.

Тестирование производительности, безопасности, а также шейпинга трафика будут рассмотрены нами в последующих обзорах посвященных данному устройству. Настройки шейпинга трафика будут рассмотрены в разделе, посвященном его тестированию.

Плюсы:

Широкие возможности настройки файрвола
Возможность установления до 8-ми одновременных ADSL-соединений (ATM-соединений)
Возможности использования внутренней БД пользователей для проведения аутентификации клиентов беспроводной связи. При этом возможно одновременное использование и БД пользователей и RADIUS-сервера с заданием приоритета каждого из них
Широкие возможности настройки сервиса NAT
Подробная документация на русском языке
Утилита NetFriend, позволяющая Windows-пользователям упростить подключение к сети Интернет и настройку IP TV

Минусы:

Для "тонкой" настройки устройства придется воспользоваться как WEB-интерфейсом настройки, так и консольными интерфейсом (по протоколу Telnet)
Нет возможности задания различных Public/Private портов при использовании виртуальных серверов
Число статических записей клиентов DHCP-сервера ограничено 8-ю

Оборудование предоставлено ZyXEL Communication Corporation

Сергей Аношкин (sanoshkin@ixbt.com)
Евгений Зайцев (eightn@ixbt.com)
Опубликовано — 20 октября 2006 г.

Комментарии? Поправки? Дополнения? eightn@ixbt.com .