В феврале компания ZyXEL представила свой новый интернет-центр, направленный на использование в домовых сетях, где помимо доступа к сети Интернет присутствуют локальные ресурсы. В большинстве домовых сетей доступ к сети Интернет осуществляется через PPTP-соединение, устанавливаемое с компьютера пользователя, однако если пользователь захочет подключить к сети еще 1 или несколько компьютеров или же организовать беспроводную сеть у себя дома, то возникает необходимость использования дополнительного оборудования (например NAT-маршрутизаторов).
Интернет-центр ZyXEL P-330W, который мы и будем рассматривать в данном обзоре, предназначен как раз для беспроблемного решения данной задачи за счет технологии ZyXEL Link DUO — данная технология позволяет осуществлять маршрутизацию трафика между 3 сетями:
- собственной локальной сетью, подключенной к LAN-интерфейсам интернет-центра
- локальной сетью провайдера услуг, трафик данной сети обычно не тарифицируется и не ограничивается самим провайдером
- сетью Интернет, доступ к которой осуществляется посредством PPTP-подключения
Это позволяет всем клиентам собственной локальной сети интернет-центра (то есть тем устройствам, которые подключены к LAN-портам устройства) одновременно пользоваться как интернетом, так и локальной сетью провайдера услуг. Для многих (но не всех) недорогих маршрутизаторов SOHO-класса задача одновременного доступа к сети Интернет (с использованием PPTP-подключения) и к локальной сети провайдера услуг до сих пор остается неосуществимой.
Интернет-центр ZyXEL P-330W специально разрабатывался для подключения таким сетям как Corbina Telecom — то есть сетям, которые помимо доступа к сети Интернет имеют собственные локальные ресурсы.
Функциональные возможности интернет-центра: NAT-маршрутизатор с беспроводным интерфейсом стандарта IEEE 802.11g, 4-хпортовый коммутатор с автоопределением полярности на портах — Auto MDI/MDI-X. Также имеется возможность подключения к сети провайдера услуг по беспроводной связи — беспроводной интерфейс при этом выступает в роли WAN-интерфейса.
На устройстве расположены следующие индикаторы:
- Индикатор питания/состояния интернет-центра
- Индикатор состояния/активности WAN-порта
- Индикатор состояния/активности беспроводного соединения
- По одному индикатору состояния/активности на каждый LAN-порт
Сзади на интернет-центре расположены:
- Разъем питания
- 4 Ethernet-порта LAN 10/100 RJ-45
- WAN-порт Ethernet 10/100 RJ-45
- Кнопка Reset-сброс параметров
- разъем r-SMA для подключения внешней антенны беспроводной связи
Комплект поставки:
- Сам интернет-центр ZyXEL P-330W
- Блок питания 12В, 800 мА
- Диск с руководством и дополнительным ПО
- Патчкорд RJ-45–RJ-45 длиной ~1 м
- Гарантийный талон
- Картонная фигурка "NetFriend"
Вид изнутри:
Устройство выполнено на базе процессора Realtek RTL8186 (32-битный RISC-процессор, работающий на частоте 180 МГц). Коммутатор устройства выполнен на базе микросхемы Realtek 8305SC (5-типортовый коммутатор с поддержкой до 16-ти VLAN'ов и поддержкой функций QoS). На плате также установлено 2 Мбайта Flash-памяти Macronix 29LV160C и 16 Мбайт SDRAM-памяти 2 × EtronTech EM638165TS.
Беспроводная часть интернет-центра скрыта под экраном, припаянным к основной плате.
Сводную таблицу спецификаций можно посмотреть здесь.
Дополнительно хочу отметить, что некоторые беспроводные устройства компании ZyXEL (в том числе и рассматриваемый интернет-центр) прошли испытания доверенной организацией ГКРЧ (государственной комиссии по радиочастотам) и вошли в «Перечень РЭС, разрешенных для эксплуатации без оформления разрешений на использование радиочастот». В соответствии с требованиями законов РФ на беспроводное оборудование, используемое для оказания коммерческих услуг связи, необходимо получать разрешение на эксплуатацию от ГКРЧ, что занимает большое количество времени. На оборудование, приведенное в списке, указанном выше, данные разрешения не требуется — это существенно упрощает использование данного оборудования для оказания коммерческих услуг связи.
Более подробную информацию по беспроводному оборудованию ZyXEL, прошедшему испытания ГКРЧ, можно найти здесь.
Настройки интернет-центра
Конфигурацию интернет-центра можно осуществлять с использованием WEB-интерфейса настройки, консольного интерфейса или же с использованием программного обеспечения ZyXEL NetFriend.
Компания ZyXEL позиционирует утилиту настройки ZyXEL NetFriend как основную для массового пользователя. Остальные же интерфейсы настройки (WEB-интерфейс и консольный интерфейс) предназначены для использования более опытными пользователями, поэтому рассматривать настройки устройства начнем именно с утилиты ZyXEL NetFriend (ее мы уже рассматривали отдельно — здесь).
В кратце расскажем о настройке устройства посредством утилиты NetFriend. Для начала работы необходимо произвести сброс параметров интернет-центра, для этого необходимо нажать кнопку Reset на корпусе устройства на несколько секунд. Компьютер, на котором запускается данная утилита, должен быть подключен к LAN-порту интернет-центра. После запуска, утилита осуществляет поиск устройства.
Во время работы программы, обнаружилось, что в устройстве стоит устаревшая версия прошивки. Программа ZyXEL NetFriend предложила обновить прошивку устройства на более новую — все это происходило в автоматическом режиме и не вызвало никаких затруднений.
Программа ZyXEL NetFriend позволяет выбрать регион и провайдера услуг в этом регионе, после этого задается логин и пароль, которые используются для подключения к серверу провайдера (при необходимости). Программа также позволяет изменить (добавить/удалить) статические маршруты, необходимые для работы с локальной сетью провайдера (списки маршрутов уже содержатся в самой программе).
Программа ZyXEL NetFriend на момент написания обзора содержит настройки для 22 крупных московских провайдеров услуг. Если же смотреть по регионам, то NetFriend содержит настройки крупнейших провайдеров 7-ми регионов России.
Использование утилиты NetFriend на примере подключения устройства к московскому провайдеру Corbina Telecom мы приведем во второй части обзора, посвященного интернет-центру ZyXEL P-330W, которая выйдет несколько позже.
Кроме того, обратим внимание, что данная утилита умеет настраивать интернет-центр для работы в любом из описанных выше режимов, а не только для подключения к Интернет.
Полный список скриншотов WEB-интерфейса настройки приведен здесь.
Более подробно рассмотрим некоторые пункты WEB-интерфейса настройки.
Интернет-центр ZyXEL P-330W может работать в различных режимах:
- Шлюз (Gateway) — в этом режиме подключение к сети производится с через WAN-порт, NAT включен, возможно использование подключения PPTP, PPPoE, получение IP-адреса по DHCP или задание IP-адреса статически. Этот режим используется при подключении к провайдеру по Ethernet для организации локальной сети, совместного доступа к локальным и интернет-ресурсам с подключением пользователей как по проводам, так и по беспроводной технологии Wi-Fi. Этот режим является наиболее типовым вариантом использования интернет-центра.
- Провайдер беспроводных услуг (Wireless ISP) — в данном режиме все Ethernet-порты устройства (в том числе и порт WAN) работают в режиме моста. Беспроводной интерфейс работает в режиме клиента беспроводной сети и подключается к точке доступа провайдера. NAT включен на беспроводном интерфейсе, клиенты подключаются к Ethernet-портам. В данном режиме также возможно использование PPTP и PPPoE подключений. Этот режим используется, если провайдер предоставляет доступ к сети по беспроводной технологии Wi-Fi (примером может служить услуга Golden Wi-Fi от Golden Telecom)
- Точка доступа (Access Point) — в данном режиме все интерфейсы (5 Ethernet портов и беспроводной интерфейс) работают в режиме моста. Интернет центр в этом режиме представляет собой обычную точку доступа, которая имеет 5 Ethernet-портов. NAT отключен, файрвол отключен. Этот режим используется для организации беспроводной сети к которой могут подключаться беспроводные клиенты.
- Беспроводной мост (Wireless Bridge) — в данном режиме все интерфейсы устройства работают в режиме моста. Беспроводной интерфейс работает в режиме клиента. NAT и файрвол отключены. Этот режим используется, если интернет-центр нужно подключить к беспроводной сети для предоставления доступа к этой сети пользователям, подключенным к Ethernet-интерфейсам интернет-центр.
Изменение данных режимов приводит к некоторым изменениям в интерфейсе устройства. Некоторые режимы рассмотрим далее по ходу обзора, а пока коснемся только стандартного — режима "Gateway".
Настройки беспроводной связи позволяют выбирать режим работы беспроводного интерфейса (точка доступа или клиент), но включить режим клиента при использовании режима «Gateway» не получится.
Точка доступа на устройстве ZyXEL P-330W поддерживает использование протокола IAPP (Inter-Access Point Protocol) — протокол, используемый для осуществления связи между точками доступа для организации таких возможностей как роуминг и распределение ресурсов (имеются ввиду ресурсы полосы пропускания), но дополнительных настроек, применимых к данному протоколу в устройстве не предусмотрено. Не скрою, что было бы интересно посмотреть на результаты включения данной опции, но такое устройство с попало к нам в единственном экземпляре. Поддержка протокола IAPP опциональна — существующие стандарты беспроводной связи не требуют его реализации в беспроводных устройствах. Стандарт протокола IAPP также не принят — существует лишь набор рекомендаций, которые позволяют реализовать дополнительные возможности беспроводного оборудования. Следует учитывать, что так как нет четкого стандарта - возможна несовместимость реализаций протокола IAPP в оборудовании различных производителей.
Использование WPA-шифрования позволяет выбрать используемый алгоритм шифрования (AES или TKIP). Если же выбрать WPA2-шифрование, то используется только AES-шифрование. В безопасности беспроводной связи также можно задать MAC-адреса устройств, которым разрешено подключаться к беспроводному интерфейсу интернет-центра.
Правила фильтрации трафика задаются на базе используемого протокола (TCP/UDP) и диапазона портов (тоже TCP/UDP). Данные правила применяются только для исходящего трафика, генерируемого в LAN-сегменте интернет-центра и выполняются только в том случае, если интернет-центр осуществляет маршрутизацию трафика (выбран режим «Gateway» или «Wireless ISP» на странице «Operation Mode» WEB-интерфейса настройки).
Фильтрация ICMP-трафика, а также трафика других протоколов, не поддерживается, к тому же нет возможности фильтровать трафик по IP-адресам источника и назначения пакетов — это существенно снижает гибкость файрвола, так как нет возможности запретить доступ к определенным сервисам определенным IP-адресам в локальной сети — все правила применяются ко всем клиентам, находящимся в LAN-сегменте интернет-центра.
Интернет-центр имеет ряд дополнительных возможностей, позволяющих обнаруживать и прерывать DoS-атаки (Denial of Service).
Настройки специальных приложений позволяют создать до 8-ми правил (Port Trigger) — использование данных правил необходимо для приложений, которые имеют проблемы при работе через NAT. Настройки виртуальных серверов не позволяют использовать различные Public/Private порты на LAN/WAN интерфейсах интернет-центра.
Интернет-центр осуществляет логирование только системных событий, исполнение правил файрвола не отображается в логах. Логи могут храниться только внутри устройства, отправка логов по электронной почте или же хранение на отдельном Syslog-сервере не предусмотрено.
В устройстве также предусмотрено еще несколько видов фильтрации: по IP-адресу, по MAC-адресу, по строке URL. Фильтрация трафика по IP-адресу позволяет компьютеру с определенным IP-адресом, находящемуся в локальной сети запретить доступ к внешней сети (сети WAN). Фильтрация по MAC-адресу по сути аналогична фильтрации по IP-адресу — необходимо задать MAC-адрес компьютера, доступ которому к внешней сети (сети WAN) будет закрыт.
Помимо WEB-интерфейса настройки, интернет-центр P-330W имеет консольный интерфейс, доступный по протоколу Telnet.
Для вывода доступных команд, необходимо ввести в командной строке консольного интерфейса команду «?» или «help» — эта команда отобразит список доступных разделов конфигурирования. Чтобы отобразить список доступных команд раздела (например раздела «IP»), необходимо после названия раздела написать «?» или «help» — например «ip ?» (выводит список доступных команд в разделе IP). Так же можно поступать и с подразделами. К сожалению консольный интерфейс не предоставляет возможности повторного ввода предыдущей команды, правка текущей команды осуществляется с использованием клавиш Ctrl+Backspase.
Далее посмотрим на работу интернет-центра в других режимах.
В режиме «Wireless ISP» беспроводной интерфейс выступает в роли WAN-интерфейса, а все 5 портов Ethernet работают в режиме моста. Интернет центр позволяет обнаруживать (поиск по широковещательному SSID) и подключаться к беспроводным сетям, работающим как в режиме Infrastructure, так и в режиме AdHoc. При этом, в режиме AdHoc беспроводное соединение устанавливается на скорости 54 Мбит/с, что соответствует режиму IEEE 802.11g. Еще раз напомню, что в режиме «Wireless ISP» все Ethernet-порты представляют собой 5-портовый Ethernet-коммутатор.
В режиме «Access point&» интернет-центр начинает работать как обычная точка доступа, соединенная с 5-портовым коммутатором. Функции NAT и фильтрации трафика при этом не работают.
В режиме «Wireless Bridge» (беспроводной мост) интернет-центр выступает в качестве клиента беспроводной сети. Возможно подключение к беспроводным сетям работающим в режиме AdHoc и Infrastructure. Таким образом, в данном режиме работа беспроводного моста осуществляется не через WDS (Wireless Distribution System), а переключением беспроводного интерфейса интернет-центра в режим клиента беспроводной сети.
Когда интернет-центр работает в режимах, где не используется NAT и фильтрация трафика (Access point, Wireless Bridge), соответствующие разделы настройки в WEB-интерфейсе конфигурации интернет-центра попросту отсутствуют.
Уточню, что настройка устройства посредством утилиты ZyXEL NetFriend также позволяет оперировать данными режимами работы интернет-центра (в том числе осуществлять подключение к провайдерам беспроводных услуг, таким как Golden Telecom с услугой Golden Wi-Fi).
При использовании PPTP-подключения, возможна аутентификация посредством протоколов PAP, CHAP, MSCHAP и MSCHAPv2. В случае использования MSCHAP и MSCHAPv2 возможно использование MPPE-шифрования с длиной ключа 40, 56 и 128 бит. Таким образом устройство поддерживает все наиболее часто используемые параметры аутентификации и шифрования. Но не обошлось и без изъянов:
Если основной IP-адрес WAN-интерфейса будет получен автоматически от DHCP-сервера, и DHCP-сервер выдаст IP-адрес шлюза по умолчанию, то в таблице маршрутов устройства будет прописан дополнительный маршрут, в котором будет указано, что доступ к PPTP-серверу должен осуществляться только через этот шлюз. Таким образом, даже если PPTP-сервер находится в той же подсети, что и WAN-интерфейс устройства, устройство будет пытаться обратиться к нему через основной шлюз, адрес которого получен от DHCP-сервера. Подобная ситуация встречается не часто, но тем не менее вполне возможна. В случае, если IP-адрес PPTP-сервера и IP-адрес шлюза совпадают — проблем с PPTP-подключением не возникает.
Использование PPPoE-подключения также позволяет использовать все наиболее распространенные протоколы аутентификации (PAP, CHAP, MSCHAP, MSCHAPv2).
Тестированием интернет-центра мы займемся во второй части обзора, посвященного устройству ZyXEL P-330W. В ней же мы на примере рассмотрим подключение к московскому провайдеру Corbina Telecom с использованием утилиты ZyXEL NetFriend.
Доступность:
На момент написания данного обзора, средняя стоимость рассматриваемого оборудования в московской рознице составляло:
| ZyXEL P-330W | Н/Д(0) |
Выводы:
Рассматриваемый интернет-центр обладает весьма богатым набором возможностей. Позволяя пользователю менять режим работы, можно добиться от интернет-центра необходимой функциональности. Данный интернет-центр позволяет использовать все наиболее часто используемые протоколы аутентификации при использовании PPTP и PPPoE подключений, а также маршрутизировать локальный трафик (идущий в обход PPP-соединения).
Использование технологии ZyXEL Link DUO позволяет осуществлять маршрутизацию трафика между 3-мя подсетями, что позволяет устройству беспроблемно работать с Ethernet-провайдерами, предоставляющими доступ к своим локальным ресурсам (помимо предоставления доступа в сеть Интернет).
Использование дополнительной утилиты настройки ZyXEL NetFriend (которая к тому же выпускается на русском языке), позволяет существенно упростить процесс настройки подключения, избавляя пользователя от необходимости знать все параметры и маршруты сети — достаточно знать город где живешь, название провайдера и свои логин и пароль на доступ к услуге. Также данная утилита поможет обновить прошивку устройства (если имеется более новая версия) и настроить беспроводную связь.
Еще одним плюсом рассматриваемого интернет-центра является его внесение в список беспроводных устройств, не требующих получения разрешений на использование радиочастот — данный список ведется ГКРЧ (Государственной комиссией по радиочастотам).
Но не обошлось и без ложечки дегтя — при использовании PPTP-подключения и получении IP-адреса WAN-интерфейса по DHCP, если DHCP-сервер задает IP-адрес "шлюза по умолчанию", то в таблице маршрутизации устройства появляется запись, сообщающая, что PPTP-сервер находится в другой сети и пакеты к PPTP-серверу посылаются через шлюз (в то время как PPTP-сервер может находиться в той же подсети, что и WAN-интерфейс интернет-центра).
Достаточно скромными оказались настройки фильтрации трафика — мы не можем запретить определенному компьютеру в LAN-сегменте доступ к определенным сервисам глобальной сети (в данном случае мы либо запрещаем всем, либо разрешаем всем)
В этой части обзора мы рассмотрели возможности и настройки интернет-центра ZyXEL P-330W. Во второй части данного обзора мы займемся непосредственно тестированием устройства и посмотрим насколько качественно реализованы данные возможности.
Плюсы:
- Возможность использования интернет-центра в различных режимах
- Возможность использования всех наиболее распространенных протоколов аутентификации (PAP, CHAP, MSCHAP, MSCHAPv2)
- Возможность использования MPPE-шифрования (с длиной ключа до 128 бит) при использовании PPP-подключений
- Наличие защиты от атак типа DoS (Denial of Service — отказ в обслуживании)
- Возможность использования утилиты настройки с дружественным интерфейсом
- Устройство входит в список оборудования ГКРЧ «Перечень РЭС, разрешенных для эксплуатации без оформления разрешений на использование радиочастот» и наличие сертификата связи «ССС», что упрощает использование устройства для предоставления коммерческих услуг связи
Минусы:
- Низкая гибкость задания правил фильтрации трафика
- Появление дополнительного маршрута при получении IP-адреса от DHCP-сервера в случае, если DHCP-сервер выдает адрес шлюза по умолчанию
- При использовании консольного интерфейса нет возможности повтора предыдущей команды — команду необходимо вводить заново
