Беспроводной интернет-центр ZyXEL P-330W для выделенных Ethernet-линий, часть 1: обзор возможностей и конфигурация устройства

В феврале компания ZyXEL представила свой новый интернет-центр, направленный на использование в домовых сетях, где помимо доступа к сети Интернет присутствуют локальные ресурсы. В большинстве домовых сетей доступ к сети Интернет осуществляется через PPTP-соединение, устанавливаемое с компьютера пользователя, однако если пользователь захочет подключить к сети еще 1 или несколько компьютеров или же организовать беспроводную сеть у себя дома, то возникает необходимость использования дополнительного оборудования (например NAT-маршрутизаторов).

Интернет-центр ZyXEL P-330W, который мы и будем рассматривать в данном обзоре, предназначен как раз для беспроблемного решения данной задачи за счет технологии ZyXEL Link DUO - данная технология позволяет осуществлять маршрутизацию трафика между 3 сетями:

• собственной локальной сетью, подключенной к LAN-интерфейсам интернет-центра
• локальной сетью провайдера услуг, трафик данной сети обычно не тарифицируется и не ограничивается самим провайдером
• сетью Интернет, доступ к которой осуществляется посредством PPTP-подключения

Это позволяет всем клиентам собственной локальной сети интернет-центра (то есть тем устройствам, которые подключены к LAN-портам устройства) одновременно пользоваться как интернетом, так и локальной сетью провайдера услуг. Для многих (но не всех) недорогих маршрутизаторов SOHO-класса задача одновременного доступа к сети Интернет (с использованием PPTP-подключения) и к локальной сети провайдера услуг до сих пор остается неосуществимой.

Интернет-центр ZyXEL P-330W специально разрабатывался для подключения таким сетям как Corbina Telecom - то есть сетям, которые помимо доступа к сети Интернет имеют собственные локальные ресурсы.

Функциональные возможности интернет-центра: NAT-маршрутизатор с беспроводным интерфейсом стандарта IEEE 802.11g, 4-хпортовый коммутатор с автоопределением полярности на портах - Auto MDI/MDI-X. Также имеется возможность подключения к сети провайдера услуг по беспроводной связи - беспроводной интерфейс при этом выступает в роли WAN-интерфейса.

На устройстве расположены следующие индикаторы:

• Индикатор питания/состояния интернет-центра
• Индикатор состояния/активности WAN-порта
• Индикатор состояния/активности беспроводного соединения
• По одному индикатору состояния/активности на каждый LAN-порт

Сзади на интернет-центре расположены:

• Разъем питания
• 4 Ethernet-порта LAN 10/100 RJ-45
• WAN-порт Ethernet 10/100 RJ-45
• Кнопка Reset-сброс параметров
• разъем r-SMA для подключения внешней антенны беспроводной связи

Комплект поставки:

• Сам интернет-центр ZyXEL P-330W
• Блок питания 12В, 800 mА
• Диск с руководством и дополнительным ПО
• Патчкорд RJ-45 - RJ-45 длиной ~1 м
• Гарантийный талон
• Картонная фигурка "NetFriend"

Вид изнутри:

Устройство выполнено на базе процессора Realtek RTL8186 (32-битный RISC-процессор, работающий на частоте 180 МГц). Коммутатор устройства выполнен на базе микросхемы Realtek 8305SC (5-типортовый коммутатор с поддержкой до 16-ти VLAN'ов и поддержкой функций QoS). На плате также установлено 2 Мбайта Flash-памяти Macronix 29LV160C и 16 Мбайт SDRAM-памяти 2 x EtronTech EM638165TS.

Беспроводная часть интернет-центра скрыта под экраном, припаянным к основной плате.

Сводную таблицу спецификаций можно посмотреть здесь.

Дополнительно хочу отметить, что некоторые беспроводные устройства компании ZyXEL (в том числе и рассматриваемый интернет-центр) прошли испытания доверенной организацией ГКРЧ (государственной комиссии по радиочастотам) и вошли в «Перечень РЭС, разрешенных для эксплуатации без оформления разрешений на использование радиочастот». В соответствии с требованиями законов РФ на беспроводное оборудование, используемое для оказания коммерческих услуг связи, необходимо получать разрешение на эксплуатацию от ГКРЧ, что занимает большое количество времени. На оборудование, приведенное в списке, указанном выше, данные разрешения не требуется - это существенно упрощает использование данного оборудования для оказания коммерческих услуг связи.

Более подробную информацию по беспроводному оборудованию ZyXEL, прошедшему испытания ГКРЧ, можно найти здесь.

Настройки интернет-центра

Конфигурацию интернет-центра можно осуществлять с использованием WEB-интерфейса настройки, консольного интерфейса или же с использованием программного обеспечения ZyXEL NetFriend.

Компания ZyXEL позиционирует утилиту настройки ZyXEL NetFriend как основную для массового пользователя. Остальные же интерфейсы настройки (WEB-интерфейс и консольный интерфейс) предназначены для использования более опытными пользователями, поэтому рассматривать настройки устройства начнем именно с утилиты ZyXEL NetFriend (ее мы уже рассматривали отдельно - здесь).

В кратце расскажем о настройке устройства посредством утилиты NetFriend. Для начала работы необходимо произвести сброс параметров интернет-центра, для этого необходимо нажать кнопку Reset на корпусе устройства на несколько секунд. Компьютер, на котором запускается данная утилита, должен быть подключен к LAN-порту интернет-центра. После запуска, утилита осуществляет поиск устройства.

Во время работы программы, обнаружилось, что в устройстве стоит устаревшая версия прошивки. Программа ZyXEL NetFriend предложила обновить прошивку устройства на более новую - все это происходило в автоматическом режиме и не вызвало никаких затруднений.

Программа ZyXEL NetFriend позволяет выбрать регион и провайдера услуг в этом регионе, после этого задается логин и пароль, которые используются для подключения к серверу провайдера (при необходимости). Программа также позволяет изменить (добавить/удалить) статические маршруты, необходимые для работы с локальной сетью провайдера (списки маршрутов уже содержатся в самой программе).

Программа ZyXEL NetFriend на момент написания обзора содержит настройки для 22 крупных московских провайдеров услуг. Если же смотреть по регионам, то NetFriend содержит настройки крупнейших провайдеров 7-ми регионов России.

Использование утилиты NetFriend на примере подключения устройства к московскому провайдеру Corbina Telecom мы приведем во второй части обзора, посвященного интернет-центру ZyXEL P-330W, которая выйдет несколько позже.

Кроме того, обратим внимание, что данная утилита умеет настраивать интернет-центр для работы в любом из описанных выше режимов, а не только для подключения к Интернет.

Полный список скриншотов WEB-интерфейса настройки приведен здесь.

Более подробно рассмотрим некоторые пункты WEB-интерфейса настройки.

Интернет-центр ZyXEL P-330W может работать в различных режимах:

• Шлюз (Gateway) - в этом режиме подключение к сети производится с через WAN-порт, NAT включен, возможно использование подключения PPTP, PPPoE, получение IP-адреса по DHCP или задание IP-адреса статически.
  
  Этот режим используется при подключении к провайдеру по Ethernet для организации локальной сети, совместного доступа к локальным и интернет-ресурсам с подключением пользователей как по проводам, так и по беспроводной технологии Wi-Fi. Этот режим является наиболее типовым вариантом использования интернет-центра
  
  
• Провайдер беспроводных услуг (Wireless ISP) - в данном режиме все Ethernet-порты устройства (в том числе и порт WAN) работают в режиме моста. Беспроводной интерфейс работает в режиме клиента беспроводной сети и подключается к точке доступа провайдера. NAT включен на беспроводном интерфейсе, клиенты подключаются к Ethernet-портам. В данном режиме также возможно использование PPTP и PPPoE подключений.
  
  Этот режим используется если провайдер предоставляет доступ к сети по беспроводной технологии Wi-Fi (примером может служить услуга Golden Wi-Fi от Golden Telecom)
  
  
• Точка доступа (Access Point) - в данном режиме все интерфейсы (5 Ethernet портов и беспроводной интерфейс) работают в режиме моста. Интернет центр в этом режиме представляет собой обычную точку доступа, которая имеет 5 Ethernet-портов. NAT отключен, файрвол отключен.
  
  Этот режим используется для организации беспроводной сети к которой могут подключаться беспроводные клиенты
  
  
• Беспроводной мост (Wireless Bridge) - в данном режиме все интерфейсы устройства работают в режиме моста. Беспроводной интерфейс работает в режиме клиента. NAT и файрвол отключены.
  
  Этот режим используется, если интернет-центр нужно подключить к беспроводной сети для предоставления доступа к этой сети пользователям, подключенным к Ethernet-интерфейсам интернет-центр

Изменение данных режимов приводит к некоторым изменениям в интерфейсе устройства. Некоторые режимы рассмотрим далее по ходу обзора, а пока коснемся только стандартного - режима "Gateway".

Настройки беспроводной связи позволяют выбирать режим работы беспроводного интерфейса (точка доступа или клиент), но включить режим клиента при использовании режима "Gateway" не получится.

Точка доступа на устройстве ZyXEL P-330W поддерживает использование протокола IAPP (Inter-Access Point Protocol) - протокол, используемый для осуществления связи между точками доступа для организации таких возможностей как роуминг и распределение ресурсов (имеются ввиду ресурсы полосы пропускания), но дополнительных настроек, применимых к данному протоколу в устройстве не предусмотрено. Не скрою, что было бы интересно посмотреть на результаты включения данной опции, но такое устройство с попало к нам в единственном экземпляре. Поддержка протокола IAPP опциональна - существующие стандарты беспроводной связи не требуют его реализации в беспроводных устройствах. Стандарт протокола IAPP также не принят - существует лишь набор рекомендаций, которые позволяют реализовать дополнительные возможности беспроводного оборудования. Следует учитывать, что так как нет четкого стандарта - возможна несовместимость реализаций протокола IAPP в оборудовании различных производителей.

Использование WPA-шифрования позволяет выбрать используемый алгоритм шифрования (AES или TKIP). Если же выбрать WPA2-шифрование, то используется только AES-шифрование. В безопасности беспроводной связи также можно задать MAC-адреса устройств, которым разрешено подключаться к беспроводному интерфейсу интернет-центра.

Правила фильтрации трафика задаются на базе используемого протокола (TCP/UDP) и диапазона портов (тоже TCP/UDP). Данные правила применяются только для исходящего трафика, генерируемого в LAN-сегменте интернет-центра и выполняются только в том случае, если интернет-центр осуществляет маршрутизацию трафика (выбран режим "Gateway" или "Wireless ISP" на странице "Operation Mode" WEB-интерфейса настройки).

Фильтрация ICMP-трафика, а также трафика других протоколов не поддерживается, к тому же нет возможности фильтровать трафик по IP-адресам источника и назначения пакетов - это существенно снижает гибкость файрвола, так как нет возможности запретить доступ к определенным сервисам определенным IP-адресам в локальной сети - все правила применяются ко всем клиентам, находящимся в LAN-сегменте интернет-центра.

Интернет-центр имеет ряд дополнительных возможностей, позволяющих обнаруживать и прерывать DoS-атаки (Denial of Service).

Настройки специальных приложений позволяют создать до 8-ми правил (Port Trigger) - использование данных правил необходимо для приложений, которые имеют проблемы при работе через NAT. Настройки виртуальных серверов не позволяют использовать различные Public/Private порты на LAN/WAN интерфейсах интернет-центра.

Интернет-центр осуществляет логирование только системных событий, исполнение правил файрвола не отображается в логах. Логи могут храниться только внутри устройства, отправка логов по электронной почте или же хранение на отдельном Syslog-сервере не предусмотрено.

В устройстве также предусмотрено еще несколько видов фильтрации: по IP-адресу, по MAC-адресу, по строке URL. Фильтрация трафика по IP-адресу позволяет компьютеру с определенным IP-адресом, находящемуся в локальной сети запретить доступ к внешней сети (сети WAN). Фильтрация по MAC-адресу по сути аналогична фильтрации по IP-адресу - необходимо задать MAC-адрес компьютера, доступ которому к внешней сети (сети WAN) будет закрыт.

Помимо WEB-интерфейса настройки, интернет-центр P-330W имеет консольный интерфейс, доступный по протоколу Telnet.

Для вывода доступных команд, необходимо ввести в командной строке консольного интерфейса команду "?" или "help" - эта команда отобразит список доступных разделов конфигурирования. Чтобы отобразить список доступных команд раздела (например раздела "IP"), необходимо после названия раздела написать "?" или "help" - например "ip ?" (выводит список доступных команд в разделе IP) . Так же можно поступать и с подразделами. К сожалению консольный интерфейс не предоставляет возможности повторного ввода предыдущей команды, правка текущей команды осуществляется с использованием клавиш Ctrl+Backspase.

Далее посмотрим на работу интернет-центра в других режимах.

В режиме "Wireless ISP" беспроводной интерфейс выступает в роли WAN-интерфейса, а все 5 портов Ethernet работают в режиме моста. Интернет центр позволяет обнаруживать (поиск по широковещательному SSID) и подключаться к беспроводным сетям, работающим как в режиме Infrastructure, так и в режиме AdHoc. При этом, в режиме AdHoc беспроводное соединение устанавливается на скорости 54 Мбит/с, что соответствует режиму IEEE 802.11g. Еще раз напомню, что в режиме "Wireless ISP" все Ethernet-порты представляют собой 5-ти портовый Ethernet-коммутатор.

В режиме "Access point" интернет-центр начинает работать как обычная точка доступа, соединенная с 5-типортовым коммутатором. Функции NAT и фильтрации трафика при этом не работают.

В режиме "Wireless Bridge" (беспроводной мост) интернет-центр выступает в качестве клиента беспроводной сети. Возможно подключение к беспроводным сетям работающим в режиме AdHoc и Infrastructure. Таким образом, в данном режиме работа беспроводного моста осуществляется не через WDS (Wireless Distribution System), а переключением беспроводного интерфейса интернет-центра в режим клиента беспроводной сети.

Когда интернет-центр работает в режимах, где не используется NAT и фильтрация трафика (Access point, Wireless Bridge), соответствующие разделы настройки в WEB-интерфейсе конфигурации интернет-центра попросту отсутствуют.

Уточню, что настройка устройства посредством утилиты ZyXEL NetFriend также позволяет оперировать данными режимами работы интернет-центра (в том числе осуществлять подключение к провайдерам беспроводных услуг, таким как Golden Telecom с услугой Golden Wi-Fi).

При использовании PPTP-подключения, возможна аутентификация посредством протоколов PAP, CHAP, MSCHAP и MSCHAPv2. В случае использования MSCHAP и MSCHAPv2 возможно использование MPPE-шифрования с длиной ключа 40, 56 и 128 бит. Таким образом устройство поддерживает все наиболее часто используемые параметры аутентификации и шифрования. Но не обошлось и без изъянов:

Если основной IP-адрес WAN-интерфейса будет получен автоматически от DHCP-сервера, и DHCP-сервер выдаст IP-адрес шлюза по умолчанию, то в таблице маршрутов устройства будет прописан дополнительный маршрут, в котором будет указано, что доступ к PPTP-серверу должен осуществляться только через этот шлюз. Таким образом, даже если PPTP-сервер находится в той же подсети, что и WAN-интерфейс устройства, устройство будет пытаться обратиться к нему через основной шлюз, адрес которого получен от DHCP-сервера. Подобная ситуация встречается не часто, но тем не менее вполне возможна. В случае, если IP-адрес PPTP-сервера и IP-адрес шлюза совпадают - проблем с PPTP-подключением не возникает.

Использование PPPoE-подключения также позволяет использовать все наиболее распространенные протоколы аутентификации (PAP, CHAP, MSCHAP, MSCHAPv2).

Тестированием интернет-центра мы займемся во второй части обзора посвященного устройству ZyXEL P-330W. В ней же мы на примере рассмотрим подключение к московскому провайдеру Corbina Telecom с использованием утилиты ZyXEL NetFriend.

Доступность:

На момент написания данного обзора, средняя стоимость рассматриваемого оборудования в московской рознице составляло:

Выводы:

Рассматриваемый интернет-центр обладает весьма богатым набором возможностей. Позволяя пользователю менять режим работы, можно добиться от интернет-центра необходимой функциональности. Данный интернет-центр позволяет использовать все наиболее часто используемые протоколы аутентификации при использовании PPTP и PPPoE подключений, а также маршрутизировать локальный трафик (идущий в обход PPP-соединения).

Использование технологии ZyXEL Link DUO позволяет осуществлять маршрутизацию трафика между 3-мя подсетями, что позволяет устройству беспроблемно работать с Ethernet-провайдерами, предоставляющими доступ к своим локальным ресурсам (помимо предоставления доступа в сеть Интернет).

Использование дополнительной утилиты настройки ZyXEL NetFriend (которая к тому же выпускается на русском языке), позволяет существенно упростить процесс настройки подключения, избавляя пользователя от необходимости знать все параметры и маршруты сети - достаточно знать город где живешь, название провайдера и свои логин и пароль на доступ к услуге. Также данная утилита поможет обновить прошивку устройства (если имеется более новая версия) и настроить беспроводную связь.

Еще одним плюсом рассматриваемого интернет-центра является его внесение в список беспроводных устройств, не требующих получения разрешений на использование радиочастот - данный список ведется ГКРЧ (Государственной комиссией по радиочастотам).

Но не обошлось и без ложечки дегтя - при использовании PPTP-подключения и получении IP-адреса WAN-интерфейса по DHCP, если DHCP-сервер задает IP-адрес "шлюза по умолчанию", то в таблице маршрутизации устройства появляется запись, сообщающая, что PPTP-сервер находится в другой сети и пакеты к PPTP-серверу посылаются через шлюз (в то время как PPTP-сервер может находиться в той же подсети, что и WAN-интерфейс интернет-центра).

Достаточно скромными оказались настройки фильтрации трафика - мы не можем запретить определенному компьютеру в LAN-сегменте доступ к определенным сервисам глобальной сети (в данном случае мы либо запрещаем всем, либо разрешаем всем)

В этой части обзора мы рассмотрели возможности и настройки интернет-центра ZyXEL P-330W. Во второй части данного обзора мы займемся непосредственно тестированием устройства и посмотрим насколько качественно реализованы данные возможности.

Плюсы:

• Возможность использования интернет-центра в различных режимах
• Возможность использования всех наиболее распространенных протоколов аутентификации (PAP, CHAP, MSCHAP, MSCHAPv2)
• Возможность использования MPPE-шифрования (с длиной ключа до 128 бит) при использовании PPP-подключений
• Наличие защиты от атак типа DoS (Denial of Service - отказ в обслуживании)
• Возможность использования утилиты настройки с дружественным интерфейсом
• Устройство входит в список оборудования ГКРЧ "Перечень РЭС, разрешенных для эксплуатации без оформления разрешений на использование радиочастот" и наличие сертификата связи "ССС", что упрощает использование устройства для предоставления коммерческих услуг связи

Минусы:

• Низкая гибкость задания правил фильтрации трафика
• Появление дополнительного маршрута при получении IP-адреса от DHCP-сервера в случае, если DHCP-сервер выдает адрес шлюза по умолчанию
• При использовании консольного интерфейса нет возможности повтора предыдущей команды - команду необходимо вводить заново