На этот раз в мои руки попало мягко говоря не совсем обычное устройство — ZyXEL ES-305. В зависимости от установленой микропрограммы, данное устройство поддерживает 2 режима работы — управляемого коммутатора и домашнего маршрутизатора — интернет-центра. В эотм обзоре мы уделим внимение возможностям устройства как интернет-центра. В режиме интернет-центра ES-305 принимает только трафик с VLAN-тэгами 802.1Q (VLAN — Virtual Local Area Network — виртуальная локальная сеть) — это позволяет в полной мере использовать возможности TriplePlay и обеспечить изоляцию трафика абонентов. Обо всем этом чуть позже, а начнем как обычно по порядку.
ZyXEL позиционирует это устройство для операторов с целью установки его у абонентов для предоставления услуг передачи видео, голоса и доступа в Интернет с гарантированным качеством обслуживания. Каждый вид трафика в ES-305 обрабатывается в отдельном VLAN 802.1Q. Другая версия микропрограмы позволяет использовать интернет-центр в качестве 5-портового 802.1Q коммутатора с подержкой MVR и DSCP. Благодаря применению этих функций, оператору предоставляется возможность гибко организовать тройную услугу без изменения существующей структуры сети.
Более подробную информацию о функциях ES-305 вы можете найти на сайте zyxel.ru.
Функциональные возможности интернет-центра: NAT-маршрутизатор с 2-хпортовым коммутатором, 2 других порта выполняют роль моста для различных VLAN-ов (их номера задаются в настройках интернет-центра).
На устройстве расположены следующие индикаторы:
- Индикатор питания/состояния WAN-порта (индикатор имеет 2-хцветную сигнализацию)
- По одному индикатору состояния/активности на каждый LAN-порт (индикатор активности 4-го порта также является индикатором статуса — индикатор имеет 2-хцветную сигнализацию)
Сзади на интернет-центре расположены:
- Разъем питания
- Кнопка Reset-сброс параметров
- 4 Ethernet-порта LAN 10/100 RJ-45 (1-й и 2-й относится используются для подключения устройств через NAT, 3-й и 4-й служат для подключения устройств в режиме моста)
- WAN-порт Ethernet 10/100 RJ-45 (воспринимает только трафик с VLAN-тэгами)
Комплект поставки:
В мои руки рассматриваемый интернет-центр попал в виде OEM-поставки, коммерческий релиз устройства может иметь иную комплектацию.
- Сам интернет-центр ZyXEL ES-305
- Блок питания 9В 1А
- Диск с кратким руководством и инструкцией на русском языке
Вид изнутри:
Интернет-центр выполнен на базе процессора ZyXEL Z304. На плате также установлено 1 Мбайт Flash-памяти Macronix MX 29LV800C и 8 Мбайт SDRAM-памяти Hynix HY57V641620.
Сводную таблицу спецификаций можно посмотреть здесь.
Теперь поговорим о самом устройстве. WAN-порт интернет-центра должен подключаться к 802.1Q-совместимому оборудованию — устройство не воспринимает пакеты без VLAN-тэгов. В настройках устройства задаются значения ID VLAN-ов с которыми устройство работает.
Пример схемы применения устройства приведена ниже:
4 порта LAN имеют различное назначение:
1-й и 2-й порт используется для подключения компьютеров локальной сети к Интернет. Передаваемый трафик по умолчанию имеет минимальный приоритет. Работают эти порты аналогично LAN-портам любого NAT-маршрутизатора. LAN-порты 1 и 2 никак не связаны с портами 3 и 4, передача трафика между ними возможна только с использованием внешнего маршрутизатора (маршрутизатора провайдера услуг), осуществляющего маршрутизацию трафика между различными VLAN-ами.
3-й и 4-й порты служат для подключения к внешней сети с определенным VLAN ID в режиме моста — им также могут быть заданы одинаковые VLAN ID (VLAN ID этих портов должен отличаться от VLAN ID "NAT-портов"). К этим портам подключаются такие устройства как IP-телефоны и IPTV-приемники для реализации набора услуг TriplePlay.
Получается, что WAN-интерфейс интернет-центра использует 802.1Q VLAN, а LAN-порты — port-based VLAN. Сам интернет-центр маршрутизацию трафика между различными VLAN-ами не осуществляет.
Настройки интернет-центра
Конфигурацию интернет-центра можно осуществлять с использованием WEB-интерфейса настройки или же с использованием консольного интерфейса.
Полный список скриншотов WEB-интерфейса настройки приведен здесь.
Рассмотрим некоторые пункты WEB-интерфейса более подробно.
При статическом задании IP-адресов, возможно использование нескольких IP-адресов на WAN-интерфейсе. Впоследствии эти IP-адреса можно использовать для создания демилитаризованной зоны DMZ. При получении IP-адреса по DHCP возможно использование возможности MAC Cloning (изменение MAC-адреса WAN-интерфейса).
При использовании PPPoE-подключения, аутентификация может производиться с применением протоколов PAP, CHAP, MSCHAP и MSCHAPv2.
В настройках WAN-интерфейса задаются ID виртуальных локальных сетей (VLAN ID), к которым производится подключение.
Ethernet-порты 1 и 2 используют один VLAN ID — трафик проходит через NAT. 3-й и 4-й порты работают в режиме моста в виртуальных локальных сетях с соответствующими VLAN ID (на рисунке выше VLAN ID = 11).
В параметре "Management PVID" задается VLAN ID сети конфигурации. В этой сети может находится WEB-сервер конфигурации на котором хранятся файлы конфигурации оборудования. При этом интернет-центр получает IP-адрес от DHCP-сервера, расположенного в операторской виртуальной локальной сети управления (Managemant VLAN), который передает дополнительный параметр (в option 128) — URL-адрес WEB-сервера обновления конфигурации. Таким образом при загрузке интернет-цетра, конфигурация автоматически обновляется — в данном случае отпадает необходимость ручной настройки всех устройств при использовании в больших сетях.
На данном интернет-центре можно создать до 20 виртуальных серверов. Также возможно создание 10-ти правил "отображения портов" — в данном случае заданный диапазон портов будет переадресовываться на заданный хост в локальной сети.
Файрвол устройства имеет ряд дополнительных опций:
Опции файрвола приводятся ниже:
- Enable Hacker Attack Protect — включить защиту от хакерских атак.
- Discard PING from WAN side — не посылать ответ на PING-запрос посланный на WAN-интерфейс интернет-центра
- Unallow to PING the Gateway — не посылать ответ на PING-запрос посланный на LAN-интерфейс интернет-центра
- Drop Port Scan Packets — интернет-центр не посылает ответы на пакеты сканирования портов.
- Allow to Scan Security Port (113) — разрешает сканирование данного порта — это необходимо для работы некоторых почтовых серверов.
- Discard NetBios Packets — запрещает использование NetBios (SMB, сетевые папки Windows).
- Accept Fragment Packets — разрешает интернет-центру прием фрагментированных пакетов.
- Send ICMP Packets when Error — разрешить устройству отправку сообщений ICMP в случае возникновения ошибок.
Включение опции Enable Hacker Attack Protect разрешает устройству искать пакеты, характерные для сетевых атак. Используя Advanced Settings можно выбирать разновидности атак, на которые устройство будет реагировать. Более подробную информацию о них можно найти в документации на устройство.
Для фильтрации пакетов интернет-центр предоставляет раздел Client Filtering:
Здесь можно задать до 10-ти комплексных правил фильтрации трафика. Фильтрация производится по следующим критериям:
- Диапазон IP-адресов источника пакетов
- Диапазон портов назначения пакетов (TCP/UDP)
- Протокол (TCP/UDP/TCP+UDP)
- День недели и время
Как видим, фильтрация трафика может производиться по расписанию. Расписание работы можно задавать по дням недели и интервалу времени (только в часах, секунды и минуты не используются).
Фильтрация по URL позволяет задать до 10 правил. Каждое правило может ограничивать доступ к WEB определенному диапазону IP-адресов в LAN-сегменте. В каждом правиле можно задать только 1 URL-адрес.
Правила фильтрации по MAC-адресу могут либо блокировать весь заданный диапазон MAC-адресов (Filter out), либо разрешать доступ только тем MAC-адресам, которые заданы в списке.
Никаких "экзотических" настроек интерфейс интернет-центра не предоставляет — все настройки типичны для маршрутизаторов SOHO-класса.
Помимо WEB-интерфейса устройство можно настраивать через консольный интерфейс доступный по протоколу Telnet.
Большинство настроек аналогичны настройкам WEB-интерфейса (за исключением того, что для их применения используются команды).
В консольном интерфейсе присутствуют 3 глобальных раздела настроек. Для перехода в раздел необходимо ввести название раздела (cfg, net, os). Выход из раздела в "корень" настроек осуществляется командой "up". Для просмотра доступных команд или разделов используется команда "?" или "help". Настройка с использованием консольного интерфейса может понадобиться для подключения к устройству с компьютера или сервера без графического интерфейса (например на базе Linux). Консольный интерфейс доступен только по протоколу Telnet, использование для более безопасного доступа протокола SSH не предусмотрено.
Тестирование интернет-центра ZyXEL ES-305
Тестирование проводилось по этой методике:
Максимальная скорость 98,84 Мбит/с — хороший показатель для данного класса устройств. Посмотрим как изменится скорость при уменьшении размера пакетов.
Пакеты 512 байт:
Пакеты 64 байта:
При уменьшении размера пакетов, скорость трафика снижается очень сильно — устройство хуже справляется с большим количеством мелких пакетов.
Тестирование NetPIPE:
Максимальная скорость: 89,16 Мбит/с, серьезных аномалий на графике не наблюдается.
Тестирование безопасности:
Результаты работы Nessus'а представлены ниже:
Nessus не находит ни одной уязвимости. Тем не менее не рекомендуется использовать протокол Telnet для удаленного управления устройством. Пустой пароль по умолчанию также не повышает безопасность интернет-центра, но данный "недочет" легко устраняется при настройке.
Приоритеты трафика:
Устройство позволяет назначить различные приоритеты трафика для различнх виртуальных локальных сетей (VLAN). Приоритет трафика (от 0 до 7) возрастает с уменьшением номера приоритета (0 — максимальный приоритет, 7 — минимальный). Заданные значения приоритетов устанавливаются на трафик исходящий с WAN-порта интернет-центра. На стороне провайдера услуг данные приоритеты могут быть обработаны.
Доступность:
На момент написания данного обзора, рассматриваемое оборудование еще не было представлено в московской рознице.
| ZyXEL ES-305 | Н/Д(0) |
Выводы:
Рассмотренный интернет-центр расчитан на клиентов операторских сетей, в которых доступ в Интернет и к услугам оператора предоставляется с использованием нескольких VLAN-ов (виртуальных локальных сетей). Использование такого подключения позволяет использовать различные порты интернет-центра в различных виртуальных сетях с различным качеством обслуживания, обеспечиваемого провайдером услуг. Данная схема позволяет пользователям и провайдерам услуг в полной мере использовать набор услуг Triple Play (IPTV, VoIP и доступ к сети Интернет), однако большинство пользователей на текущий момент получают трафик без VLAN-тэгов и не смогут воспользоваться данным устройством.
Интернет-центр ZyXEL ES-305 показывает высокую производительность при использовании больших пакетов, но при уменьшении размера пакетов сильно теряет в производительности.
Настройки устройства не позволяют производить тонких настроек фильтрации трафика — возможно задание только 10-ти правил фильтрации трафика с такими критериями как адрес источника и порт назначения. Трафик, который идет через порты 3 и 4 (данные порты работают в режиме моста), вообще не может быть подвергнут фильтрации. Фильтрация по URL также позволяет создать только 10 правил, каждое из которых позволяет фильтровать только 1 URL — получается, что производить фильтрацию более чем 10 URL устройство не позволяет в принципе.
Консольный интерфейс устройства доступен только по протоколу Telnet — данный протокол передает все данные (в том числе пароли) в открытом виде, так что его нельзя назвать безопасным — его использование для удаленного управления не рекомендуется.
Плюсы:
- Высокая производительность устройства на пакетах максимального размера
- Высокая безопасность устройства (по результатам работы Nessus'а)
- Наличие защиты от хакерских атак
- Наличие полной документации (User Guide) на русском языке
Минусы:
- Низкая гибкость задания правил фильтрации
- URL-фильтр позволяет осуществлять фильтрацию только 10-ти URL
- Сильное падение производительности при уменьшении размеров пакетов
- Пустой пароль по умолчанию к интерфейсу настройки
