ZyXEL P662-HW EE: солидное устройство для солидных людей

07.12.2004 20887   Комментарии (0)

Процесс покупки различных дополнительных сетевых устройств для домашней (или небольшой корпоративной) сети может быть практически бесконечным. Казалось бы, только что приобрел хаб, чтобы развести Интернет, получаемый от районной сети, на компьютер супруги (сына, дочки, соседа, управдома Елены Сергеевны Пирандыковой), как уже потребовалось приобретать ADSL-модем, чтобы подключиться к "Стриму" и забыть обо всех этих районных сетях как о страшном сне. Только приобрел и настроил ADSL-модем так, чтобы остальные компьютеры в квартире (на этаже, в подъезде) получали доступ в Интернет с твоего компьютера, как сразу хочется приобрести роутер, чтобы эти паразиты не орали, как больные слоны, когда тебе требуется выключить или перезагрузить компьютер. Только приобрел новенький ноутбук со встроенным адаптером Wi-Fi, как сразу хочется приобрести точку доступа, чтобы можно было с ноутбуком загружаться, пардон, в туалет и там, в соответствии со всеми веяниями высокотехнологичной эпохи, получать доступ в Интернет и читать новости, анекдоты и биржевые котировки (кто что любит). Ну и потом, когда уже установишь всю эту груду устройств, в голову приходит мысль о том, что теперь пора бы озаботиться безопасностью, то есть поставить на суровом интернетовском пути какой-нибудь аппаратный экран, да еще бы и с антивирусом...

Ну а потом, посмотрев на всю эту груду устройств - свитч, ADSL-роутер, точка доступа Wi-Fi, сетевой экран, - вдруг понимаешь, что все это глубоко неправильно чисто стратегически, потому что зачем держать четыре разных устройства со своими разнообразными настройками, проводами и питанием, когда это все может быть в одном?

Некоторое время назад и мне пришлось озаботиться поиском подобного устройства, потому что в квартире живут три компьютера, один из которых - ноутбук с Wi-Fi, и Сеть к нам приходит через ADSL ("Стрим"). Производителя устройства долго выбирать не пришлось, потому что наилучшие впечатления из всех побывавших у меня в руках роутеров остались от ZyXEL (имеется в виду ADSL-роутер ZyXEL OMNI LAN EE), так что я искал именно ZyXEL (к хорошему быстро привыкаешь).

Однако следует заметить, что подобные устройства, разумеется, выпускает далеко не только эта фирма. Существуют ADSL-роутеры с Wi-Fi фирм Cisco, LinkSys, D-Link, Pheecom и других. Но передо мной не стояла задача произвести сравнительный анализ подобных устройств. Мне нужно было подобрать универсальный ADSL-роутер с заданной функциональностью и решить, устроит он меня или нет.

После изучения предложений и отзывов была выбрана вот эта модель - ZyXEL P662-HW EE. Она объединяет в себе:

  • ADSL-роутер с поддержкой ADSL2+, обеспечивающей скорость до 24 Мбит/с;

  • 4-портовый коммутатор 10/100 Мбит/c;

  • беспроводную точку доступа стандарта 802.11g+ с соответствующей защитой;

  • межсетевой экран с большим количеством соответствующих функций.

Но и это еще не все! В данном устройстве, кроме основной функциональности, есть еще автоматическая настройка на провайдера и локальную сеть (так называемый Zero Configuration), встроенный антивирус, умеющий различать трафик (http, ftp, e-mail) и самостоятельно скачивать обновления базы из Интернета (замечу, что это весьма экзотическая возможность), встроенный контент-фильтр (для иллюзорной возможности не позволить детям что-то там смотреть в Интернете), настраиваемый порт DMZ (DMZ - "демилитаризованная зона" - специальный порт для подключения доступных извне серверов, например веб-сервера; использование DMZ защищает сеть от атак извне, оставляя при этом доступ для внешних пользователей), а кроме того - возможность подключения резервного канала (например, с помощью обычного модема).

Таким образом, этот аппарат должен был взять на себя функции четырех других устройств, и мне было очень интересно, как он со всем этим справится, а главное - сколько времени уйдет на его настройку...

Практика показала, что ожидания меня не обманули. Устройство было настроено для подключения к "Стриму" в режиме роутера за несколько минут. С Wi-Fi пришлось повозиться немного дольше, но это из-за настроек адаптера на ноутбуке, потому что на P662-HW точка доступа настраивается очень быстро. С файрволом и антивирусом возиться вообще не пришлось: базовые настройки сделаны по умолчанию, а дальше нужно просто в процессе "заточить" опции под свои задачи.

Но давайте посмотрим, как это все настраивается (в данном случае - под московский ADSL Stream, хотя настройки под других провайдеров будут отличаться весьма незначительно).

Подключение к "Стриму"

ZyXEL P662-HW настраивается через веб-интерфейс. Для этого вам нужно подключить устройство к компьютеру обычным сетевым кабелем, а в настройках подключения по локальной сети в протоколе TCP-IP компьютера выставить получение IP-адреса и DNS автоматически:

Далее запускаете браузер и вводите в адресной строке адрес веб-интерфейса: 192.168.1.1. Устройство запросит пароль. По умолчанию это "1234". (Кстати, IP-адрес для входа в админку, логин и пароль по умолчанию у него написаны на "брюшке".) Сразу после входа роутер предложит сменить пароль - сделайте это. (И с точки зрения безопасности, и во избежание того, чтобы роутер постоянно вам об этом потом напоминал.)

После этого вы попадаете в окно настроек устройства.

В принципе можно зайти в меню WAN, выбрать Yes в пункте Zero Configuration и нажать Apply, чтобы роутер сам настроил все параметры (кроме, конечно, вашего логина и пароля), однако там настолько несложные настройки, что лучше мы их пройдем поэтапно.

Итак, чтобы быстро настроить роутер, лучше всего воспользоваться "Мастером", доступным по ссылке Wizard Setup. Нажимаете на эту ссылку и попадаете в окно настроек провайдера. Там нужно поставить следующие параметры:

Нажимаем на Next и попадаем в следующее окно, параметры которого нужно настроить следующим образом:

При этом Service Name можно вписывать как угодно - хоть Stream, хоть Punk not dead! User Name и Password - ваши параметры для подключения к "Стриму". В разделе Connection у меня выставлено Nailed-Up Connection - то есть вцепиться зубами в Stream и не отпускать ни под каким видом, но там можно выставить вариант Connect on Demand с тайм-аутом в секундах, чтобы при заданном периоде неактивности роутер самостоятельно отключался от "Стрима" и подключался заново, когда Интернет вам снова потребуется (имейте в виду, что на подключение заново роутеру может потребоваться ощутимое время, потому что подключение происходит вовсе не мгновенно).

Нажимаем Next и попадаем в следующее окно:

Там нужно нажать Change LAN Configuration, чтобы настроить некоторые параметры сети - вот эти:

LAN IP Address - это адрес самого роутера. Мы его оставляем неизменным.

Client IP Pool Starting Address - стартовый адрес, начиная с которого роутер будет раздавать IP компьютерам в нашей сети.

Size of Client Pool - количество подключаемых устройств (32 установлено по умолчанию - ну, пускай будет).

Primary и Secondary DNS - адреса DNS Stream (для других провайдеров они будут иные).

Нажимаем Finish и автоматически попадаем в раздел диагностики, чтобы проверить, все ли правильно настроено. Нажимаем Start Diagnose. Если с подключением все нормально, тогда возникнет вот такая картинка:

Test loopback и не должен пройти успешно, потому что требуется его поддержка на стороне провайдера, а "Стрим" такую поддержку, насколько я знаю, не предоставляет.

Теперь нажимаем Return to Main Menu и в основном окне нажимаем ссылку System Status - вам должны показать что-то в этом роде:

Это означает, что все работает: ADSL подключен, динамический IP-адрес провайдером выдан (в данном случае - 81.195.2.239), сеть работает - так что все в порядке.

Да, имейте в виду, что, после того как вы впишете параметры соединения с провайдером (User Name, Password) и сохраните их, дав команду роутеру установить соединение, пройдет какое-то время (иногда вполне ощутимое), перед тем как PPPoE-клиент роутера заработает (перешлет данные, получит подтверждение и IP-адрес). О том, что соединение произошло, просигнализирует периодически мигающая оранжевая лампочка DSL/ACT (она зеленая, если подключена ADSL-линия, и оранжевая, если установлено PPPoE-соединение):

После того как все заработает, не забудьте зайти в пункт Advanced Setup - Time and Date, чтобы выставить там параметры даты и времени. Точнее, так как ZyXEL умеет сам синхронизировать эти параметры с time-сервером, вам нужно просто отметить опцию Synchronize system clock with Time Server now, нажать Apply и подождать примерно минуту - все будет установлено.

Подключение Wireless LAN

Сложность настройки адаптера Wi-Fi на подключаемом устройстве зависит от самого адаптера. Однако обычно никаких проблем с настройкой нет, особенно если используется Windows XP. Я к этому роутеру подключил ноутбук с Wi-Fi и компьютер с USB-WiFi-адаптером HardLink. Настройка самих устройств заняла несколько минут.

Собственно, основные сложности с настройкой Wi-Fi обычно связаны с заданием определенных параметров безопасности - ведь вам же не хочется, чтобы какой-нибудь сосед незаметно подключался к вашему Интернету, правильно?

Для защиты вашей точки доступа в устройстве ZyXEL P662-HW реализованы следующие возможности:

  • фильтр MAC-адресов;

  • 802.1x-аутентификация;

  • база параметров аутентификации локальных пользователей;

  • WEP-шифрование;

  • WPA-шифрование.

В отличие от некоторых других точек доступа, которые позволяют неопытным пользователям разрешать Wi-Fi подключение безо всякой защиты, в P662 такой беспечности не допускают. Чтобы разрешить работу точки доступа Wi-Fi, вам необходимо сначала включить MAC Filter - без этого Wireless LAN просто не будет работать.

Поясню, что это такое... MAC-адрес - это уникальный адрес физического устройства. У каждого устройства он свой (по крайней мере, в теории). Если знать MAC-адрес вашего Wi-Fi-адаптера (а получить его не составляет никаких проблем), то в настройках точки доступа вы можете прописать данный адрес в фильтре - и определенная защита уже будет установлена, потому что P662 разрешит доступ к Wireless LAN устройству с таким MAC-адресом и заблокирует все остальные.

Получить этот адрес очень просто: включаете ноутбук или компьютер с Wi-Fi, заходите с компьютера, присоединенного обычной сетью к P662, в окно администрирования устройства, в разделе Maintenance нажимаете ссылку Wireless LAN и там ссылку Association Lists - там вам покажут список всех обнаруженных MAC-адресов. При этом программное обеспечение адаптера вам также покажет свой MAC-адрес. Если они совпадают (на адаптере и на P662) - значит, все в порядке. Теперь нужно просто вписать этот адрес в параметры фильтра (Advanced Setup - Wireless LAN - MAC Filter) - и все, другое устройство уже не сможет подключиться к вашей точке доступа (если каким-то образом не подменит MAC-адрес, но это уже совсем другая история).

После этого, если адаптер настроен правильно, все должно подключиться. У меня ноутбук без проблем получил доступ и в Интернет, и в локальную сеть (в настройках сетевого адаптера ноутбука тоже все было поставлено по умолчанию, как и на остальных компьютерах). В туалете я ноутбук, признаюсь, не проверял, но из кухни он без проблем добивал до ZyXEL'а, минуя спальню, гостиную и бальный зал. Впрочем, когда я настраивал аналогичную конфигурацию знакомому в старом доме в самом центре Москвы, через три комнаты ноутбук до роутера уже не добивал - уровень сигнала был совсем низкий. Однако это во многом зависит не только от точки доступа и вида перекрытий зданий, но и от Wi-Fi-адаптера. Данная же точка доступа в P662-HW поддерживает максимальную для Wi-Fi скорость и дальность...

После того как вы убедитесь, что подключение по Wi-Fi работает, далее имеет смысл озаботиться дальнейшей настройкой безопасности: задать идентификацию устройства в пользовательской базе данных по логину/паролю (Advanced Setup - Wireless LAN - Local User Database) и аутентификацию 802.1x с WEP- или WPA-шифрованием (Advanced Setup - Wireless LAN - 801.1x/WPA) с использованием Local User Database.

Файрвол

Файрвол (брандмауэр) в этом устройстве решает следующие задачи:

  • фильтрация пакетов;
  • контроль состояния протокола (SPI);
  • защита от DoS-атак;
  • правила доступа к управлению.

Файрвол здесь достаточно продвинутый и позволяет весьма гибко задавать различные правила прохождения или блокирования пакетов. Впрочем, настройка файрвола требует весьма серьезного понимания того, что именно происходит в вашей сети, поэтому, если вы не обладаете подобными знаниями, просто включите в Advanced Setup - Firewall - Default Policy опцию Enable Firewall, и далее обо всем позаботится само устройство.

Если же вы собираетесь вручную задавать какие-то правила, то нет проблем, вызывайте Advanced Setup - Firewall - Rule Summary - New Rule и задавайте все что нужно:

Файрвол поддерживает все возможные виды маршрутизации пакетов, разделяя их на следующие категории:

Напоминаю, что DMZ - это специальный защищенный порт для подключения доступных извне сервисов, например веб-сайта.

Фильтр содержимого

Еще одна экзотическая возможность, доступная в этом устройстве, - Content Filter. Работает он просто, но со вкусом. Advanced Setup - Content Filter - Keyword - здесь можно ввести ключевые слова, по наличию которых будут блокироваться веб-сайты:

К сожалению, в данной версии прошивки русские слова фильтр не понимает, поэтому заблокировать термины пиписка, группа "Отпетые мошенники" и Киркоров не удастся, так что нежные детские души будут ранить себя по полной программе.

Фильтр дополнительно снабжен расписанием действия: дни недели и временной период.

Также можно задать доверительный интервал IP-адресов, которые в зону действия фильтра не попадут.

Контроль видов доступа

Это значительно более мощное средство разделения доступа, которое может быть действительно очень полезным, особенно если устройство работает как точка доступа для нескольких квартир или для офиса. Но и даже в пределах одной отдельно взятой семьи этот сервис может хоть как-то ограничить шаловливые ручки юного хакера, которому мало рабочего пространства его собственного компьютера и который хочет распространить свое влияние на компьютеры всех членов семьи.

Advanced Setup - Content Access Control. Там сначала выбираете General и задаете в табличке названия групп, а также виды доступа для них:

В разделе Time можно задавать или временной диапазон, или дни недели (например, кроме выходных), или дни недели и временной диапазон для каждого дня:

Уже удобно, между прочим, потому что таким образом вы можете ограничить юному хакеру хотя бы временной диапазон доступа в сеть.

Раздел Service позволяет производить тончайшую настройку доступа группы к практически всем видам сетевых сервисов:

Ну и раздел Web Browsing позволяет очень гибко настраивать доступ группы к сайтам по их категориям:

Там же можно настраивать блокировку сайтов по ключевым словам для каждой группы.

Интересная возможность. Я не уверен в том, что это реально будет хорошо фильтровать, однако родители, твердой рукой отметив сайты Gay/Lesbian, Pornography и Illegal Drugs, получат хоть какое-то моральное удовлетворение.

После того как мы настроили группы, настраиваем профили пользователей: Advanced Setup - Content Access Control - User Profiles. Там задаем для пользователей логины/пароли и определяем их принадлежность к определенной группе.

Вот и все. Для администраторского контроля ситуации на вверенной вам локальной сети служит пункт меню Online Status. Там показывается, какие именно пользователи тех или иных групп в настоящий момент находятся на линии (подключены к данному роутеру).

Встроенный антивирус

Да-да, эта модель (точнее, прошивка Q4 этой модели) имеет аж встроенный антивирус. Advanced Setup - Anti Virus - Packet Scan:

Как видите, он умеет различать почту, FTP и HTTP. Но антивирус без ежедневных обновлений - это, разумеется, всего лишь игрушка, поэтому в системе предусмотрены регистрация на соответствующем антивирусном сервисе, активация сервиса и получение обновлений в автоматическом (хоть каждый час) и ручном режиме.

То есть ZyXEL P662-HW будет не только сам проверять на вирусы все интернетовское содержимое, но и самостоятельно через Сеть начнет производить обновления своих антивирусных баз. Впрочем, нужно заметить, что обновления антивирусных баз - небесплатные. Чтобы пользоваться этим сервисом, нужно приобретать специальные карточки оплаты.

Резервный канал

Достаточно уникальная возможность для устройства такого класса: в случае падения ADSL P662 может автоматически (самостоятельно) поднять резервный канал (например, обычный диалап), и для всех компьютеров в сети по-прежнему будут доступны все интернетовские сервисы. (Правда, понятно, что если компьютеров - пара десятков, то на одном обычном диалапе они особо не разгуляются; впрочем, в качестве резервного канала можно подключать и другой DSL, если он есть...)

Действует это следующим образом. На задней панели P662 есть специальный разъем для подключения RS-232:

Не пугайтесь, внешне он действительно выглядит вовсе не как RS-232 (COM-порт), а как RJ-45 (Ethernet-порт), но в комплекте с роутером идет специальный переходник, к которому подключается обычный 9-пиновый COM-кабель RS-232.

Берете обычный внешний модем (желательно ZyXEL, хотя это и не обязательно), подключаете его к линии и через COM-кабель к переходнику от роутера. Далее вызываете пункт Advanced Setup - WAN - WAN Backup Setup и там настраиваете параметры перехода на резервный канал:

Backup Type - выбирается DSL или ICMP (для диалапа).

Check WAN IP Address 1 - сюда следует вписать адрес наиболее устойчивого сервера в Сети (обычно это адрес вашего интернет-провайдера), который роутер будет пинговать, чтобы определить наличие или отсутствие соединения. У меня прописан адрес MTU-Intel (она же "Точка.ру", она же "Стрим").

Fail Tolerance - количество попыток достучаться до указанного адреса.

Recovery Interval - интервал, через который P662 будет пытаться проверить, не восстановилось ли основное соединение, чтобы снова вернуться на него.

Timeout - количество секунд, в течение которых устройство будет ждать ответа от адресов, указанных в Check WAN IP Address. Если по истечении указанного срока ответа не будет, P662 включает резервный канал.

Traffic Redirect - при включении этой опции роутер будет автоматически перенаправлять интернетовский трафик с основного канала на резервный.

Dial Backup - здесь как раз и настраиваются параметры диалапа: скорость порта, имя пользователя, пароль и телефон (у меня вписаны параметры диалапа той же "Точки.ру").

Причем если в настройках диалапа нажать Advanced Setup, то вы сможете настроить различные дополнительные параметры диалапа, включая строку инициализации модема, опции TCP/IP, PPP, соединения и бюджета:

Также в разделе Advanced Modem Setup настраиваются совсем тонкие параметры модема, если это необходимо:

Вот и все. Теперь, если ADSL-соединение по каким-то причинам упадет (на "Стриме" это бывает крайне редко, но все-таки происходит), ZyXEL самостоятельно наберет номер диалапового провайдера, соединится, введет идентификационные данные и поднимет резервный интернетовский канал. Все это вполне реально работает, я проверял.

Единственная известная проблема с резервным каналом - в данной прошивке есть определенные проблемы при работе с USR-модемами, поэтому их лучше не использовать. Однако эту проблему также обещают исправить в следующей прошивке.

Остальные возможности

И это еще не все! ZyXEL P662-HW поддерживает также:

1. Dynamic DNS

Как известно, большинство ADSL-провайдеров предоставляют пользователям не статические, а динамические IP-адреса. Для обычных пользователей это никаких особых неудобств не создает - особенно при использовании роутеров вроде этого, которые умеют делать трансляцию адресов (NAT), - однако статический (постоянный) IP-адрес требуется при использовании или предоставлении некоторых интернетовских сервисов. Поддержка динамического DNS позволяет пользователю получить постоянное имя хоста на динамическом IP. Существуют различные сервисы, которые предоставляют такую возможность (например, www.DynDNS.org). P662 может автоматически подключаться к подобному сервису и идентифицировать пользователя.

2. VPN

Поддержка виртуальной частной сети (Virtual Private Network). Если говорить кратко, то VPN - это специальный зашифрованный канал поверх общедоступной сети, обеспечивающий высокую защиту передаваемой по этому каналу информации за счет применения специальных алгоритмов шифрования. VPN часто используют, когда нужно обеспечить, например, безопасный выход с домашнего компьютера в офисную корпоративную сеть или, наоборот, доступ извне в вашу домашнюю сеть. ZyXEL P662-HW позволяет организовывать VPN-туннели с аппаратным шифрованием по протоколам DES и 3DES.

3. Удаленный менеджмент

ZyXEL P-662 HW можно настраивать удаленно - телнетом, по FTP или через Web. При этом, разумеется, обеспечивается должный уровень безопасности: по каждому из видов доступа настраиваются статусы (запрещено, все виды, только LAN, только WAN), номер порта и IP-адрес.

4. UPnP

Встроенная поддержка универсальных устройств Plug and Play. Если включить эту поддержку, то сетевые UPnP-устройства, подключаемые, например, через один из компьютеров локальной сети, будут автоматически получать доступ к сетевым и интернетовским сервисам.

5. Отчеты (логи)

ZyXEL P662-HW ведет подробное протоколирование функционирования устройств в сети, работы файрвола, антивируса и прочих сервисов. Вы можете настроить вид лога, отсылку сообщений о критических ситуациях на e-mail, виды алертов, вид информации в логе и так далее.

6. Media Bandwidth Management

Система менеджмента полосы пропускания. Зачем это нужно? Для того чтобы обеспечить минимальную задержку для трафика определенного типа, где эти задержки могут привести к значительным искажениям (например, голосовая телефония через IP).

7. PPPoE Pass Through

ZyXEL P662-HW позволяет компьютерам в сети (не более десяти) использовать собственные PPPoE-клиенты для подключения через роутер по своим собственным аккаунтам. Каждый такой компьютер при этом получает собственный адрес WAN IP и работает через свой аккаунт.

Заключение

Ну вот, вроде основные возможности этого устройства я описал. Прелесть в том, что при всей этой функциональности цена устройства вовсе не заставляет судорожно хвататься за сердце - она чуть больше $200 (похожая модель с чуть меньшими возможностями - ZyXEL P660-HW - стоит порядка $150).

Как я уже говорил, существуют похожие устройства, которые могут стоить и дешевле. Например, ADSL-роутер с коммутатором и точкой доступа 802.11g+ - D-Link DI-624+ можно найти долларов за 120. Но я уже в полной мере ощутил разницу, поэтому предпочитаю заплатить немного больше, но зато уж купить устройство, которое быстро настраивается, не создает никаких проблем в работе и не тратит мои время, нервы и деньги (как это делал D-Link).

ZyXEL P662-HW у меня пашет без единого перерыва (я его вообще никогда не выключаю, потому что Интернет и сеть нужны и ночью для некоторых автоматических процессов) уже не один месяц, и я им очень и очень доволен. Для ситуации, когда в квартире больше одного компьютера, подключенного к ADSL, и еще нужно обеспечить подключение Wi-Fi-устройств (например, ваш ноутбук или знакомый придет с ноутбуком или КПК), - отличный вариант. Именно что солидное устройство для солидных людей.

В качестве постскриптума

Еще раз напоминаю, что для подключения к "Стриму" лучше не использовать USB-модемы. Денег при покупке вы сэкономите немного, а проблем огребете - огромной лопатой. Примерно такой, которой дворники снег счищают. Лучше не занимайтесь ерундой, а сразу приобретайте LAN-модем (роутер). Тот же ZyXEL OMNI LAN (я писал о том, как его настраивать в режиме роутера) - отличный и недорогой вариант. Можно также использовать продаваемый дилерами "Стрима" AusLinx AL-2007 (только не перепутайте его с AusLinx 2006, который только с USB) - я его тоже описывал. Но он, на мой взгляд, здорово проигрывает ZyXEL OMNI LAN.

© 1998–2024 Alex Exler
07.12.2004

Комментарии 0