Беспроводной ADSL-роутер ZyXEL Prestige 662HW
часть первая: общее описание, спецификация и конфигурация устройства
Изменение конфигурации устройства осуществляется через WEB-интерфейс, по протоколу Telnet или через консольный порт. Скриншоты WEB — интерфейса приведены ниже:
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
DHCP-сервер позволяет задать 10 статических записей.
Устройство ZyXEL Prestige 662HW не позволяет задавать такие параметры беспроводной связи, как режим (802.11b или 802.11g) и скорость работы, зато имеет множество настроек безопасности беспроводного соединения. Для аутентификации по протоколу 802.1x можно использовать RADIUS сервер, локальную базу пользователей или одновременно и то и другое.
Рассматриваемый роутер позволяет достаточно подробно настроить сервис NAT (Network Address Translation — преобразование сетевых адресов). Возможно использования 2-х пунктов: "SUA Only" и "Full Feature"
Пункт "SUA Only" (Single User Account) — используется в случае, если WAN-интерфейс имеет 1 IP-адрес. Пункт "Full Feature" используется, когда WAN-интерфейс имеет несколько адресов.
SUA Only NAT позволяет задать 11 виртуальных серверов.
Full Feature NAT позволяют задать 10 расширенных правил NAT. В каждом правиле можно указать тип NAT и адреса для переадресации.
Доступны следующие типы NAT:
- Тип "One to one" сопоставляет 1 внешний IP-адрес с одним внутренним
- Тип "Many to one" сопоставляет диапазон внутренних IP-адресов с одним внешним IP-адресом
- Тип "Many to many overload" позволяет сопоставить несколько внешних IP-адресов нескольким внутренним IP-адресам для распределения нагрузки между ними.
- Тип "Many to many no overload" работает также как и "One to One", но указываются диапазоны внешних и внутренних IP-адресов, при этом диапазоны должны быть равными, то есть осуществляется однозначная трансляция внутренних и внешних IP-адресов
- Тип "Server" работает также как и "One to one" но позволяет задать диапазон используемых портов
Рассматриваемое устройство позволяет производить синхронизацию времени по любому из протоколов: Daytime (RFC-867), Time (RFC-868) и NTP (RFC-1305). Адрес сервера синхронизации (в виде IP или URL) задается вручную
Роутер позволяет гибко настраивать правила файрвола, при этом фильтрация может производиться в следующих направлениях :
- LAN to LAN / Router
- LAN to WAN
- LAN to DMZ
- WAN to LAN
- WAN to WAN / Router
- WAN to DMZ
- DMZ to LAN
- DMZ to WAN
- DMZ to DMZ / Router
Для каждого направления можно выбрать правило по умолчанию
Контент-фильтр позволяет проводить фильтрацию по словам, содержащимся в URL. При его срабатывании отображается страничка с надписью
Контент-фильтр задает правила для всех пользователей. Помимо этого в роутере присутствует возможность "Content Access Control" (контроль доступа по содержанию). Данная возможность является платной и для ее использования необходима регистрация на сервере компании ZyXEL. При регистрации на сервер отправляется серийный номер устройства и его MAC-адрес — это сделано для невозможности повторной регистрации. Для пользователей роутера ZyXEL Prestige 662HW после регистрации предоставляется 1 месяц бесплатного пользования услугой "Content Access Control".
Контроль доступа по содержанию дает возможность завести до 32 пользователей, дать каждому логин/пароль и зачислить его в одну из 4-х групп
Для каждой группы можно задать время действия правил, создать список заблокированных сервисов и категорий Интернет-сайтов (до 52 категорий)
Помимо сервисов возможна также блокировка по контенту сайта и по словам, содержащимся в URL
При включении контроля доступа по содержанию, прежде чем получить доступ в сеть необходимо пройти авторизацию (в WEB-браузере появляется такое окошко)
Более подробную информацию о настройке контроля доступа по содержанию на русском языке можно найти в базе знаний на сайте компании ZyXEL.
Встроенная антивирусная защита роутера позволяет сканировать пакеты на WAN-LAN переходе (то есть сканирутеся только входящий трафик). Сканированию могут подвергаться протоколы электронной почты (SMTP, POP3), а также FTP и HTTP. При включении функции антивирусной защиты прверяются все пакеты, приходящие на стандартные для данных протоколов порты, за исключением пакетов установки/разрыва соединения. Возможности проверки протокола электронной почты IMAP не предусмотрено. Есть вероятность, что антивирусная защита не позволит работать с соединениями SSL (не позволяя создавать TLS туннели) в случае использования станадртых для соединения без SSL портов. Возможности отключения проверки для определенных IP-адресов также не предусмотрено.
Антивирусная защита также позволяет задать действие по умолчанию при превышении максимального количества сессий. Отмечу, что по результатам последующих тестов на скорость, антивирусная защита не оказывает существенного влияния на производительность роутера. Более подробную информацию о настройке и использовании антивирусной защиты роутера можно найти в базе знаний на сайте компании ZyXEL.
VPN сервер позволяет создавать до 20 IPSEC соединений с возможностью задания различных настроек на каждом этапе установления соединения (напомню что установка IPSEC VPN соединения происходит в 2 этапа)
Сохранение/загрузка конфигурации осуществляется по протоколу FTP: для этого нужно зайти на устройство по FTP с логином "root" и паролем, установленным на управление роутером:
Файл "ras" — файл с прошивкой, файл "rom-0" — файл с конфигурацией.
Рассматриваемый роутер имеет необычную возможность: в случае падения канала для выхода в Интернет может использоваться обычный внешний DialUp модем, подключаемый к роутеру через COM-порт. Он подключается к порту CON/AUX (переключатель режима работы порта должен быть установлен в положение AUX) с помощью консольного кабеля с переходником, идущим в комплекте с роутером. Данная возможность носит название Dial Backup. Более подробную информацию о настройке и использовании функции Dial Backup, можно найти в базе знаний на сайте компании ZyXEL.
Устройство также поддерживает управление полосой пропускания, позволяя разделять трафик на классы с различной шириной полосы пропускания и различными приоритетами. Данная возможность будет рассмотрена далее в этом обзоре в разделе посвященном тестированию возможностей ограничения трафика.
WEB — интерфейс устройства отличается большой степенью вложенности, тем не менее он достаточно логично разделен на пункты и подпункты. Для быстрого начала работы присутствует мастер быстрой настройки роутера. Интерфейс имеет низкое время timeout'а (по умолчанию 300 секунд), после которого приходится заново вводить пароль — это вызывает некоторое неудобство при тщательной настройке устройства. Время timeout'а можно изменить при настройке через консоль управления или Telnet.
Устройство поддерживает управление по протоколу Telnet
Настраивая устройство по Telnet можно задать записи статического роутинга, а также создавать до 8 одновременных соединений на WAN-интерфейсе и выбрать тип модуляции ADSL-сигнала, но нельзя использовать возможности встроенного антивируса, контроля доступа по содержимому и возможности управления полосой пропускания. Таким образом, для того, чтобы полностью и досконально настроить все возможности устройства придется воспользоваться как WEB-интерфейсом управления, так и управлением по Telnet.
Устройство также поддерживает управление через COM-порт (метровый кабель для управления через COM-порт идет в комплекте с устройством). Интерфейс управления по COM-порту полностью идентичен интерфейсу управления по протоколу Telnet, поэтому говорить о нем отдельно не имеет смысла.
При управлении по Telnet есть возможность использовать интерпретатор команд. Набор команд имеет древовидную структуру
Настройки роутера позволяют ограничить ширину канала в Интернет используя возможности ATM QoS (Quality of Service). При этом ограничение накладывается на ширину обратного канала. Эти ограничения указываются в настройках ATM, так как связь модема с провайдером идет с использованием именно этой технологии. Данная возможность не имеет отношения к возможности управления полосой пропускания (Media Bandwidth Management).
В пунктах VPI и VCI указываются идентификатор виртуального пути и идентификатор виртуального канала соответственно — эта информация предоставляется провайдером (это стандартные настройки соединения через ATM).
Подводя предварительные итоги, можно сказать что устройство является очень многофункциональным. В нем присутствуют такие "экзотические" возможности, как встроенный антивирусный сканер, контроль доступа по содержанию, управление шириной полосы пропускания, а также возможность использования обычного DialUp модема для организации резервного канала в Интернет в случае отказа основного. Также очень много настроек сервиса NAT и VPN-сервера. Сильно огорчает отсутствие таких возможностей как задание режима и скорости беспроводной связи, задние различных public/private портов для виртуальных серверов — отсутствие таких важных параметров на фоне такого количества разнообразной "экзотики" просто удивляет.
В следующем обзоре мы проведем тестирование производительности роутера и его VPN-соединений.
Навигация:
- Содержание
- Общее описание устройства, краткое описание технологий ADSL и ATM, таблица спецификаций
- Тестирование производительности беспроводного и проводного сегментов, производительность IPSEC VPN-соединений
- Тестирование возможностей ограничения и управления трафиком, безопасность, доступность, выводы
| 13 сентября 2005 г. | 
Сергей Аношкин
|
|
| Дополнительно |
|
