Testy produktów Sprzęt 

ZyXEL Prestige 660HW – duże możliwości za małe pieniądze

Artur Wyrzykowski , , , , , ,

Wielofunkcyjne urządzenia sieciowe, pełniące rolę rutera, modemu DSL, przełącznika sieciowego i punktu dostępowego nie należą do rzadkości – ich zalety doceniają liczni użytkownicy usług takich jak Neostrada, Net24 czy Dialnet DSL. To idealna metoda współdzielenia łącza internetowego, z możliwością zapewnienia łączności bezprzewodowej, pozwalająca na pozbycie się modemu dostarczonego przez operatora, a w dodatku bardzo ekonomiczna. Zapraszamy do zapoznania się z produktem, który oferuje wszystkie te możliwości.

Urządzenie sieciowe pełniące wiele różnych funkcji jest okazją do pozbycia się plątaniny kabli – gdyby istniała konieczność wykorzystania czterech niezależnych urządzeń (modemu, rutera, przełącznika i punktu dostępowego), pomiędzy nimi byłyby potrzebne cztery kable sygnałowe, a także oczywiście cztery zasilacze. Sprzęt taki jak Prestige 660HW może być więc dla wielu użytkowników doskonałą propozycją, a dodatkowo pozwala na realizację wielu ciekawych funkcji, na przykład filtrowania ruchu sieciowego na podstawie adresów URL.

Niestety, z naszego punktu widzenia taki produkt nie jest zbyt wdzięczny do testowania – nie można go wpiąć między dwa komputery, a szczegółowy test zabezpieczeń czy wydajności urządzenia podłączonego do Neostrady czy jakiejkolwiek innej linii DSL nie jest możliwy (sama linia DSL stanowi poważne ograniczenie). Z tego powodu niektóre serwisy internetowe w ogóle nie testują takiego sprzętu, ograniczając się do ruterów z interfejsami ethernetowymi. My pisaliśmy kiedyś o ruterze z modemem DSL, był nim Eminent EM4104 – otrzymał on od nas bardzo dobrą ocenę. Ponieważ od testu Eminenta minęło półtora roku, dziś możemy zaprezentować ponad dwukrotnie tańszy ruter ZyXEL Prestige 660HW, a w dodatku o jeszcze większej funkcjonalności i oferowany przez znacznie bardziej znaną firmę niż Eminent.

Zestaw kontrolek

Na wstępie chcielibyśmy zwrócić uwagę na najważniejsze cechy Prestige 660HW, dotyczące interfejsu WAN, LAN, WLAN, a także najważniejsze funkcje związanych z rutingiem, filtrowaniem ruchu i bezpieczeństwem. Sprzęt jest wręcz nafaszerowany mnóstwem funkcji i protokołów. W odniesieniu do interfejsu łączącego go z Internetem warto zwrócić uwagę na następujące szczegóły:

  • zgodność z protokołami ADSL: G.dmt, G.lite, ADSL2 (praca na łączach do 12 Mb/s) i ADSL2+ (24 Mb/s);
  • wersje urządzeń zgodne ze standardami Annex A (Neostrada) i Annex B (Dialnet DSL czy Net24);
  • obsługa do 8 połączeń PVC z operatorami;
  • kształtowanie ruchu za pomocą usług CBR (dla aplikacji czasu rzeczywistego), a także UBR i nrt-VBR (dla aplikacji czasu nierzeczywistego);
  • funkcja Auto-Configuration modemu DSL, pozwalająca na automatyczne rozpoznanie i ustawienie enkapsulacji, VPI i VCI (w przypadku korzystania z PPPoE, PPPoA i ENET ENCAP);
  • ruter może pełnić rolę klienta DHCP (pobierać automatycznie adresy IP);
  • współpraca z dynamiczną usługą DNS (tylko z DynDNS.org).
Złącza rutera

Po stronie sieci lokalnej – przewodowej i bezprzewodowej – urządzenie oferuje również całą masę funkcji, między innymi:

  • 4-portowy przełącznik Fast Ethernet z automatycznym wykrywaniem rodzaju połączenia (MDI, MDIX);
  • serwer oraz transfer (relay) DHCP;
  • serwer (proxy) DNS;
  • punkt dostępowy pracujący w standardzie IEEE 802.11g, obsługujący również rozszerzenia 802.11g+ (125 Mb/s) oraz 802.11b+ (22 Mb/s);
  • antena 2 dBi;
  • szyfrowanie transmisji bezprzewodowej m.in. za pomocą WEP, WPA i WPA2;
  • uwierzytelnianie 802.11x (na serwerach RADIUS);
  • mechanizm automatycznego zabezpieczania sieci One Touch Intelligent Security Technology (OTIST);
  • obsługa UPnP.
Opakowanie ZyXEL Prestige 660HW

Pozostaje jeszcze cała gama funkcji związanych z rutingiem, filtrowaniem pakietów, zarządzaniem:

  • translacja adresów SUA Only (NAT w najbardziej znanej postaci, czyli współdzielenie jednego publicznego adresu IP), Full Feature NAT (wiele różnych możliwości translacji) oraz możliwość pracy bez NAT;
  • obsługa standardu Wi-Fi Multimedia (WMM) odpowiedzialnego za priorytetyzację ruchu w sieciach bezprzewodowych;
  • zapora ogniowa z pełną inspekcją pakietów (SPI);
  • przepuszczanie połączeń VPN (IPSec, PPTP, L2TP);
  • filtrowanie ruchu oparte na regułach i współpracujące z harmonogramem;
  • filtrowanie adresów URL (na podstawie słów kluczowych);
  • obsługa transmisji multicast (jeden strumień danych do wielu komputerów);
  • konfiguracja przez WWW i Telnet, wgrywanie firmware’u i konfiguracji przez FTP.

Jak widać, urządzenie oferuje wiele zaawansowanych funkcji, choć nie były one dostępne od samego początku, lecz pojawiały się w kolejnych wersjach firmware’u. Chociaż otrzymaliśmy sprzęt z oprogramowaniem w wersji V3.40(PE.9), podczas testów ukazała się jeszcze nowsza wersja V3.40(PE.10), która również została opisana w artykule.

Ułatwienia w konfiguracji

ZyXEL oferuje dwie metody łatwej konfiguracji Prestige 660HW: klasyczny kreator dostępny w interfejsie konfiguracyjnym rutera, a także oprogramowanie Multimedia Auto Provisioner, którego składnikiem jest Configuration Genie. Dla wielu osób łatwiejsza będzie metoda druga: oprogramowanie wyświetla animowaną prezentację dotyczącą sprzętu, która omawia złącza rutera, wymagania sprzętowe, sposób podłączenia wszystkich kabli (prezentacja jest prowadzona po angielsku). Następnie przechodzi do składnika Configuration Genie, który wyszukuje nowo podłączone urządzenie w sieci i stara się automatycznie skonfigurować wszystkie parametry, oczywiście z wyjątkiem nazwy użytkownika oraz hasła, które trzeba wprowadzić ręcznie.

 


Configuration Genie
Configuration Genie
Configuration Genie wykrywa wszystkie połączenia i konfiguruje ruter Jedyne parametry jakie trzeba podać to nazwa użytkownika i hasło

 

Taka zautomatyzowana konfiguracja trwa kilka minut, oprogramowanie bardzo długo wykonuje poszczególne kroki, a w dodatku podczas testu cała operacja zakończyła się niepowodzeniem. Dlatego ochoczo skorzystaliśmy z metody klasycznej, czyli interfejsu dostępnego przez przeglądarkę. Prestige 660HW ma fabryczny adres 192.168.1.1, standardowe hasło „1234”, więc bardzo łatwo uzyskać dostęp do interfejsu konfiguracyjnego, a zarazem kreatora pomagającego w ustawieniu niezbędnych parametrów. Warto dodać, że ruter po pierwszym zalogowaniu się użytkownika zachowuje się w wyjątkowy sposób – od razu proponuje ustawienie nowego hasła. Można to oczywiście pominąć, urządzenie przypomni o konieczności ustawienia nowego hasła przy następnym logowaniu.

Po zalogowaniu do programu konfiguracyjnego ujrzymy widok taki jak na poniższym ekranie – trzeba przyznać, że bardzo prosty, przejrzysty i nie pozostawiający wątpliwości co do dalszego działania. Jednak dwa elementy są zupełnie niepotrzebne: Site Map, który pokrywa się z Main Menu, a także Help, czyli pomoc on-line, która jest tak słaba, że mogłoby jej w ogóle nie być.

 


Site Map
Help
Główna strona interfejsu konfiguracyjnego – prosta i bez zbędnych wodotrysków Bezpośrednio w programie konfiguracyjnym można liczyć tylko na te cztery zdania pomocy

 

Wizard Setup pozwala w kilku krokach ustawić to, co jest niezbędne do rozpoczęcia pracy rutera w sieci danego operatora (szczegółowe wskazówki z tym związane można znaleźć na stronie ZyXEL-a):

  • parametry łącza DSL: ruting, enkapsulację PPPoA, multipleksację VC, odpowiednie parametry VPI i VCI (35 i 0);
  • nazwę użytkownika i hasło, dynamiczny adres IP (ustawienie domyślne), Nailed-Up Connection, czyli stałe połączenie z Internetem (oprócz niego jest jeszcze połączenie zestawiane na żądanie), a także domyślnie włączony tryb NAT SUA Only;
  • w następnym kroku wyświetlana jest strona z podsumowaniem, w razie potrzeby można zmienić konfigurację LAN: adres IP, maskę podsieci, adresy dwóch serwerów DNS oraz podstawowe ustawienia serwera DHCP;
  • ostatni krok to automatyczny test połączenia.

 


Wizard Setup
Wizard Setup
Konfiguracja podstawowych parametrów za pomocą kreatora

 

Taka ręczna konfiguracja trwa nie więcej niż minutę, oczywiście jeśli ktoś wie, jakie parametry powinien ustawić. Ustawienia można od razu przetestować – w naszym przypadku pojawiał się jeden problem, jednak nie wnikaliśmy w przyczynę, ponieważ sieć działała bez problemów.

 


Wizard Setup
Wizard Setup
Ostatni rzut oka na parametry… …i test połączenia z Internetem

 

Interfejs konfiguracyjny Prestige 660HW zawiera jeszcze jednego kreatora, który ułatwia skorzystanie z funkcji zarządzania pasmem. Funkcje tego typu nie są powszechnie stosowane w sprzęcie dla małych sieci, nie są łatwe do konfiguracji, więc kreator wydaje się bardzo potrzebny. Pierwszy krok to aktywacja funkcji Media Bandwidth Management oraz wybór usług, które zostaną uwzględnione podczas kształtowania ruchu. Drugi krok to ustawienie priorytetu dla każdej z usług: High, Mid albo Low, jest też ustawienie Others (o nim napiszemy w dalszej części artykułu). Domyślna konfiguracja uwzględnia m.in. to, że XBox Live oraz VoIP to usługi czasu rzeczywistego i wymagają najwyższego priorytetu, FTP i eMule to usługi masowe działające z najniższym priorytetem. Tak więc kształtowanie ruchu w wydaniu ZyXEL-a nie sprawia żadnych trudności konfiguracyjnych, ponieważ nie wymaga od użytkownika praktycznie żadnej wiedzy na ten temat – wystarczy użyć prostego kreatora.

 


Media Bandwidth Management
Media Bandwidth Management
Zarządzanie pasmem to w najprostszym przypadku wybór usług i przypisanie im odpowiednich priorytetów

 

Najciekawsze funkcje

Ponieważ nie da się opisać wszystkich możliwości rutera ZyXEL Prestige 660HW, przedstawimy tylko kilka najciekawszych. Niestety, nie wszystkie są dostępne w graficznym interfejsie użytkownika – by z nich skorzystać, trzeba wykorzystać również Telnet.

Jedną z najciekawszych cech Prestige 660HW (a także innych urządzeń z systemem ZyNOS) jest mechanizm NAT i jego dwa tryby: SUA Only oraz Multi-NAT (w interfejsie konfiguracyjnym został on nazwany Full Feature NAT. W tym pierwszym przypadku ruting odbywa się na takiej zasadzie jak we wszystkich tanich ruterach: urządzenie przeprowadza translację wielu adresów prywatnych na jeden adres publiczny. Możliwe jest także wykorzystanie funkcji takiej jak przekazywanie portów (w Prestige 660HW nie ma jakiejś specjalnej nazwy) – nie pozwala ona na zmianę numeru portu, ale za to można przekierować cały zakres portów. Mały problem napotkaliśmy tylko podczas usuwania takiego przekierowania – nie można po prostu skasować numerów portów i adresów IP, lecz koniecznie we wszystkie pola trzeba wpisać zera.

 


NAT
NAT
Realizacja NAT w przypadku sprzętu ZyXEL-a tylko nieznacznie przypomina translację adresów wykorzystywaną w innych ruterach tej klasy Eksport usług z LAN do WAN nie jest tak oczywisty, jak w przypadku typowego, domowego sprzętu sieciowego

 

Natomiast drugi tryb NAT – mało przydatny w domowych warunkach – daje nieporównywalnie większe możliwości konfiguracji rutingu, ponieważ można wykorzystać wiele publicznych adresów IP. Dzięki temu możliwe jest np. udostępnianie w Internecie wielu usług wykorzystujących te same numery portów (np. kilku serwerów FTP, każdy na własnym adresie IP). Funkcja ta pozwala także bez problemu korzystać z aplikacji, które nie działają za „zwykłym” NAT-em. Można przy tym wykorzystać kilka sposobów mapowania adresów IP i portów (i wykorzystać jednocześnie kilka tych sposobów w kilku regułach):

  • One-to-One – z jednego publicznego adresu IP korzysta tylko jeden prywatny adres IP;
  • Many-to-One – z jednego adresu publicznego korzysta wiele komputerów w sieci lokalnej (to tryb pracy analogiczny do SUA Only);
  • Many-to-Many Overload pozwala mapować wiele prywatnych adresów na kilka publicznych, np. sieć 20 komputerów może korzystać z 4 adresów IP przydzielonych przez operatora;
  • Many-to-Many No Overload (lub Many One-to-One) – każdy prywatny adres IP jest mapowany na swój „własny” adres publiczny;
  • Server to sposób mapowania pozwalający na udostępnienie wielu usług z różnych prywatnych adresów IP przez jeden adres publiczny (oczywiście muszą to być usługi działające na różnych portach).

 


NAT
NAT
Full Feature NAT pozwala wykorzystać 10 reguł translacji, posługujących się różnymi metodami mapowania adresów Przykład reguły Many-to-One, czyli mapowanie wielu adresów lokalnych na jeden publiczny (analogicznie do trybu SUA Only)

 

Istotne jest również to, że Prestige 660HW w żaden sposób nie ogranicza liczby użytkowników, a maksymalna liczba sesji prawdopodobnie sięga 1024.

Nietypową funkcją rutera jest także IP Alias, w Prestige 660HW można ją konfigurować tylko przez Telnet. Pozwala stworzyć trzy logiczne sieci, np. 192.168.0.0, 192.168.1.0, 192.168.2.0, przepływ pakietów pomiędzy tymi sieciami może być dokładnie określony za pomocą firewalla, również w ten sam sposób można ustawić parametry połączenia z Internetem dla każdej sieci logicznej. Stworzenie podobnej konfiguracji jest możliwe również bez takiej funkcji, ale każda sieć musiałaby mieć osobny ruter, poza tym potrzebny byłby ruter WAN wspólny dla wszystkich sieci – Prestige 660HW ogranicza to do jednego urządzenia.

 


IP Alias
IP Alias
Tylko podczas konfiguracji rutera przez Telnet zobaczymy opcję Edit IP Alias Szczegółowa konfiguracja pozwala stworzyć dwie dodatkowe, logiczne sieci LAN

 

Z powyższym związana jest funkcja Any IP. Zwykle do prawidłowego działania sieci konieczne jest to, by ruter i wszystkie komputery w sieci LAN miały adresy należące do jednej podsieci, np. 192.168.1.x. Tymczasem funkcja Any IP umożliwia ruting nawet wtedy, gdy komputery mają inną adresację niż ruter, na przykład 192.168.10.x. Dzięki temu podłączenie komputerów o dowolnej konfiguracji sieciowej do Internetu nie wymaga zmiany tej konfiguracji, lecz jedynie użycia Any IP w ruterze (funkcja jest domyślnie włączona).

 


LAN Setup
WAN Backup Setup
Po włączeniu funkcji Any IP każdy komputer – niezależnie od adresu IP – będzie miał połączenie z Internetem Ustawienia pozwalające na śledzenie aktywności łącza i przekierowywanie ruchu do innej bramy w razie jego awarii

 

Niezwykle rzadko spotykanym mechanizmem jest także przekierowywanie ruchu do innej bramy sieciowej (na powyższym ekranie jest nieskonfigurowana), które może następować automatycznie, w momencie wykrycia problemów z połączeniem z Internetem – odpowiadają za to funkcje WAN BackupTraffic Redirect. Za pomocą protokołu ICMP lub mechanizmu DSL Access Multpilexer sprawdzany jest stan połączenia z Internetem, np. poprzez stałe „pingowanie” trzech dowolnych adresów IP. Jeśli połączenie zawiedzie, cały ruch może być przekierowany do innej bramy.

Inne funkcje ZyXEL Prestige 660HW, o których warto wspomnieć choć w skrócie, to:

  • serwer DHCP z możliwością konfiguracji zakresu przydzielanych adresów IP, przypisania statycznych adresów IP dla konkretnych adresów MAC (niestety, MAC trzeba podawać ręcznie), a także wykorzystania zewnętrznego serwera DHCP (Relay);
  • szczegółowa konfiguracja dzienników zdarzeń (jakie informacje mają zawierać), przesyłanie logów do zdalnego serwera Syslog, a także wysyłanie ich mailem według określonego harmonogramu (niestety, nie można wysyłać przez serwery SMTP wymagające uwierzytelniania);
  • obsługa UPnP, przy czym rekonfiguracja rutera za pomocą UPnP jest włączana osobno;
  • ograniczenie dostępu do rutera przez WWW, FTP i Telnet do określonych adresów IP;
  • konfiguracja daty i czasu przez protokół Time (RFC-868), Daytime (RFC-867) lub NTP (RFC-1305);
  • funkcje diagnostyczne („ping” dowolnego adresu w sieci LAN, statystyki łącza DSL, lista podłączonych klientów WiFi, lista klientów DHCP i Any IP oraz strona z ogólnym statusem urządzenia.

 


Log Settings
Time and Date
Ruter może wysyłać alerty i dzienniki zdarzeń na adres e-mail lub do serwera Syslog Jak niektóre rutery innych producentów, Prestige 660HW może synchronizować czas z serwerami czasu

 

Po tym przeglądzie funkcjonalności Prestige 660HW można odnieść wrażenie, że jest to sprzęt znacznie wyższej klasy niż produkty konkurencyjne, a jednak za cenę domowego rutera. Inne funkcje oraz zabezpieczenia oferowane przez urządzenie jak najbardziej to potwierdzają.

Kształtowanie pasma

Interesująco przedstawia się możliwość kształtowania ruchu bazująca na klasach usług (Class of Service), tym bardziej że jest ona łatwa do konfiguracji. Postanowiliśmy więc sprawdzić i zmierzyć to, co ona oferuje. Jest to o tyle łatwe, że po użyciu kreatora każdy z interfejsów – LAN, WLAN i WAN – ma skonfigurowane takie klasy usług, jakie zostały wybrane w kreatorze. W naszym przypadku było to WWW, FTP, e-mail i VoIP (SIP), a każda z nich otrzymała pewne parametry:

  • pasmo (Bandwidth Budget) 10 Kb/s, ale z możliwością „pożyczania” pasma od klasy głównej;
  • priorytet, który w kreatorze może mieć poziom niski, średni lub wysoki, zaś przy zaawansowanej konfiguracji można ustawić go na wartość z zakresu 0-7;
  • filtr pozwalający na identyfikację klasy usług, dzięki któremu ruter „rozpoznaje”, że np. port 80 to WWW;
  • oznaczanie priorytetów za pomocą pól nagłówków TOS albo protokołu Differentiated Services.

 


MBM – Summary
MBM – Class Setup
Maksymalna przepustowość każdego interfejsu oraz sposób zarządzania pasmem Klasy usług automatycznie skonfigurowanie za pomocą kreatora

MBM – Class Configuration
MBM – Statistics
Szczegółowa konfiguracja jednej z klas usług (WWW) Obciążenie interfejsu sieciowego w funkcji czasu

 

Kształtowanie ruchu działa w ten sposób, że za pomocą filtru urządzenie identyfikuje pakiety i przypisuje je do określonej klasy. Następnie pakiety są wysyłane z danego interfejsu rutera zgodnie z założonym limitem – niestety, nie da się ustalić limitu dla pakietów przychodzących, bo ruter przecież musi je odebrać. Dlatego, by ustalić limity dla ruchu w obie strony (z Internetu i do Internetu), konieczna jest konfiguracja klas usług dla każdego interfejsu osobno. Jeśli dana klasa może pożyczać pasmo od klasy głównej, pakiety mogą być wysyłane szybciej, ale pod warunkiem, że pasmo nie zostało już wykorzystane przez klasę o wyższym priorytecie. Niestety, ten ostatni warunek jest dla Prestige 660HW najtrudniejszy do sprawdzenia, w związku z tym pakiety nie zawsze opuszczają ruter zgodnie z założonymi priorytetami.

Po włączeniu funkcji służącej do kształtowania ruchu okazało się, że nie wpływa ona na pracę w Internecie. Przede wszystkim widoczne było to, że transfery FTP o szybkości 50-60 KB/s bardzo spowalniały korzystanie z WWW, choć teoretycznie miały niższy priorytet. Pasmo pożyczone przez FTP powinno być natychmiast oddane do dyspozycji dla WWW, a tak się niestety nie dzieje. Próbowaliśmy wykorzystać VBR (Variable Bit Rate) oraz CBR (Constant Bit Rate), różne parametry filtrów dla różnych klas, różne aplikacje i numery portów, różne kierunki przesyłania danych, ale bez skutku. Okazało się jednak, że wyłączenie pożyczania pasma dla FTP natychmiast dało pożądany efekt – szybkość transferów FTP nie przekraczała założonej wartości, WWW zaczęło działać bez porównania szybciej (poniżej ekran po prawej stronie). Jednak taka konfiguracja ma poważną wadę – FTP zawsze będzie działać powoli, bo nie może pożyczyć pasma od klasy głównej, nawet jeśli z łącza nie korzystają żadne inne programy.

 


WWW i FTP z pożyczaniem pasma
WWW i FTP bez pożyczania pasma
WWW o wyższym priorytecie, FTP o niższym priorytecie, obie usługi mogą „pożyczać” pasmo, oba transfery mają taką samą szybkość WWW o wyższym priorytecie, FTP o niższym priorytecie, tylko WWW może pożyczać pasmo, dzięki czemu działa bez porównania szybciej niż FTP

 

Tak więc możemy uznać, że w ruterze Prestige 660HW „przycinanie” pasma dla poszczególnych usług działa bardzo dobrze, ale posługiwanie się priorytetami nie funkcjonuje tak jak powinno, ponieważ usługi są traktowane na równi, niezależnie od priorytetów.

Jeśli chodzi o kształtowanie ruchu, pozostała nam jeszcze jedna funkcja WMM (WiFi Multimedia), która pojawiła się po aktualizacji firmware’u do najnowszej wersji. WMM umożliwia zarządzanie pasmem w sieciach bezprzewodowych, ale w tym przypadku ruter nie udostępnia żadnego kreatora konfiguracji. Ma tylko dwa tryby pracy: Default oraz Application Priority, w tym pierwszym przypadku nie można konfigurować żadnych parametrów. Jednak gdy wcześniej określimy cztery klasy VoIP, FTP, WWW i E-mail, trzy z nich (z wyjątkiem VoIP) pojawiają się w ustawieniach Application Priority (może być ich maksymalnie 10). Każda z usług ma określony port, a dla danego portu dany priorytet (Low, Mid, High lub Highest). Na tej podstawie ruter określa, które pakiety są ważniejsze i należy je przesłać z mniejszymi opóźnieniami.

 


Lista usług uwzględnianych przez WMM
Konfiguracja priorytetu usługi w sieci bezprzewodowej
Lista usług uwzględnianych przez WMM Konfiguracja priorytetu usługi w sieci bezprzewodowej

 

Zabezpieczenia

Jedną z największych zalet Prestige 660HW jest duża elastyczność zapory ogniowej. W podstawowej konfiguracji jest ona włączona, zezwala na ruting asymetryczny, oczywiście wypuszcza wszystkie pakiety z sieci LAN do WAN, a także blokuje wszystkie pakiety nadchodzące z Internetu. Określona aktywność firewalla może być rejestrowana w dzienniku zdarzeń. W osobnej sekcji Anti Probing znajdują się ustawienia, które pozwalają ukryć ruter w sieci. Domyślnie ruter wysyła odpowiedzi na PING przez interfejs LAN i WAN, a także na próby skanowania portów, jednak łatwo można to uniemożliwić.

 


Firewall
Firewall
Podstawowe reguły filtrowania są proste – przepuszczać pakiety wychodzące, odrzucać przychodzące Zmieniając te ustawienia, w prosty sposób można ukryć ruter przed użytkownikami sieci lokalnej i Internetu

 

Ciekawą cechą zapory jest elastyczna konfiguracja wartości progowych dotyczących sesji TCP i UDP, a pozwalających na skuteczną ochronę przed atakami DoS. Administrator może ustalić liczbę „półotwartych” sesji (gdy żądanie jednej strony pozostaje bez odpowiedzi drugiej strony), przy jakiej rozpocznie się ich usuwanie (domyślnie 100), a także liczbę sesji, przy której to usuwanie zostanie wstrzymane (domyślnie 80). W podobny sposób odbywa się śledzenie liczby otwieranych sesji w ciągu minuty i wykrywanie ataków. Ponadto można zdecydować, w jaki sposób pozbywać się nadmiaru sesji – czy w momencie nawiązywania nowych połączeń usuwać stare, czy po prostu zabronić na określony czas nawiązywania nowych połączeń (domyślnie jest wybrana ta pierwsza opcja).

 


Firewall
Ustawienia pozwalające dokładnie określić, jak ruter ma reagować na ataki DoS

 

Oprócz podstawowych reguł filtrowania, przepuszczających pakiety z sieci LAN do Internetu i blokujących ruch w drugą stronę, firewall może posługiwać się dziesiątkami szczegółowych reguł przygotowanych przez użytkownika. Są to cztery grupy reguł: LAN to WAN, WAN to LAN, WAN to WAN / Router oraz LAN to LAN / Router. Reguły na każdej liście są sprawdzane od pierwszej do ostatniej, dlatego mogą być ustawiane w dowolnej kolejności, zaś nowo tworzone reguły można umieszczać na dowolnej pozycji listy. Producent nie ogranicza ich liczby, ale w miarę tworzenia nowych reguł pasek postępu pokazuje ilość pamięci, jaka została już wykorzystana. Podczas testów zauważyliśmy, że nawet skomplikowane reguły zajmują mniej niż 1 proc. pamięci, co oznacza, że ruter zmieści ich przynajmniej setkę.

Każda nowo tworzona reguła przepuszcza pakiety TCP i UDP ze wszystkich źródłowych do wszystkich docelowych adresów IP, jest aktywna przez wszystkie dni tygodnia, przez 24 godziny na dobę. Użytkownik może modyfikować tę konfigurację – na liście adresów źródłowych i docelowych umieścić pojedyncze adresy, zakresy adresów, a także całe podsieci (w dowolnej kombinacji). Na liście usług mogą znaleźć się dowolne protokoły wykorzystujące TCP lub UDP, które zostały zdefiniowane przez producenta albo przez samego użytkownika (również w dowolnej kombinacji). Ponadto dla każdej reguły można określić przedział czasowy, w jakim będzie aktywna. Przewidziano również możliwość rejestrowania w logach aktywności poszczególnych reguł, a także możliwość natychmiastowego powiadamiania administratora o wykryciu pakietów pasujących do reguły.

 


Firewall
Firewall
Lista reguł zapory ogniowej dla interfejsu WAN Przykładowa, w sumie dość prosta reguła filtrowania pakietów

 

Uzupełnieniem zapory ogniowej jest filtr słów URL-i bazujący na słowach kluczowych. W tym przypadku zasada działania jest bardzo prosta – tworzy się listę słów kluczowych, wykrycie słowa w adresie URL powoduje zablokowanie strony WWW, a w przeglądarce pojawia się komunikat o konieczności kontaktu z administratorem sieci. W przypadku tego filtru również możliwe jest wykorzystanie harmonogramu (dni tygodnia i przedział godzin), można także wprowadzić zakres „zaufanych” adresów IP, których filtr nie będzie dotyczył.

 


Content Filter
Content Filter
Filtr treści blokuje dostęp do stron WWW zawierających wyszczególnione słowa kluczowe, ponadto może być aktywny w określonych porach dnia i tygodnia

 

Bezpieczeństwo WiFi

Skoro szczegółowo omawiamy zabezpieczenia oferowane przez Prestige 660HW, nie sposób nie wspomnieć o zabezpieczeniach interfejsu bezprzewodowego – tym bardziej, że nie są one tak typowe jak w innych wielofunkcyjnych urządzeniach sieciowych. Oczywiście podstawą jest WEP, odpowiednie pola znajdują się w oknie z najważniejszymi ustawieniami sieci bezprzewodowej. Zamiast ręcznego wpisywania długich kluczy szyfrujących (w przypadku szyfrowania 256-bitowego są to cztery 29 znakowe ciągi ASCII lub 58-znakowe liczby heksadecymalne), można wykorzystać frazę, która służy do automatycznego wygenerowania kluczy. Niestety, ta metoda działa poprawnie tylko dla szyfrowania 64- i 128-bitowego, natomiast w przypadku 256-bitowego klucze trzeba wpisywać ręcznie.

 


Wireless LAN
W podstawowych ustawieniach WLAN znalazło się tylko szyfrowanie WEP

 

Potężne możliwości zabezpieczania sieci bezprzewodowej znajdują się pod nazwą 802.1x/WPA. Fabryczne ustawienie No Authentication Required powoduje, że nie są one wykorzystywane, natomiast Authentication Required pozwala na bardzo elastyczne skonfigurowanie zabezpieczeń. Przede wszystkim można wykorzystać protokół 802.1x i uwierzytelniać użytkowników lub komputery bezprzewodowe na podstawie wpisów zawartych w lokalnej bazie lub we współpracy z serwerem RADIUS. W przypadku zabezpieczeń WPA2 (802.11i) uwierzytelnianie również może odbywać się na serwerze RADIUS lub lokalnej bazie użytkowników, natomiast w przypadku WPA tylko na serwerze. Oczywiście obecność WPA2 oznacza, że możliwe jest wykorzystanie najbardziej bezpiecznego algorytmu szyfrowania AES.

 


Wireless LAN
Wireless LAN
Wykorzystanie mechanizu WPA pozwala na uwierzytelnianie klientów bezprzewodowych, ale niezbędny jest zewnętrzny serwer RADIUS Mechanizm WPA2 pozwala dodatkowo na uwierzytelnianie na podstawie wewnętrznej bazy użytkowników

 

Jak inne produkty tej klasy, Prestige 660HW dysponuje uproszczonymi zabezpieczeniami Pre-Shared Key (WPA-PSK i WPA2-PSK), w których jedna fraza wykorzystywana jest do automatycznego generowania kluczy szyfrujących, a te z kolei do zabezpieczania transmisji danych. Dzięki temu nie jest potrzebny serwer RAIUDS, a ruter w bardzo bezpiecznej konfiguracji może być wykorzystywany w najmniejszych sieciach.

 


Wireless LAN
Do większości zastosowań optymalny będzie tryb Pre-Shared Key, nie wymagający uwierzytelniania

 

W sekcji Wireless LAN jest jeszcze kilka ustawień, które w całości dotyczą zabezpieczeń. Na przykład do uwierzytelniania potrzebna jest lokalna baza użytkowników i/lub serwer RADIUS, więc ruter ma specjalne okna konfiguracyjne służące do ustawienia odpowiednich parametrów. Lista użytkowników obejmuje 32 identyfikatory i hasła, natomiast w przypadku RADIUS można ustawić dwa osobne serwery Authentication Server oraz Accounting Server. Prestige 660HW jest także wyposażony w filtr adresów MAC – do programu konfiguracyjnego można wprowadzić 32 adresy MAC kart sieciowych.

 


Local User Database
RADIUS
Ustawienia niezbędne do uwierzytelniania klientów bezprzewodowych: lokalna baza użytkowników oraz adresy serwerów uwierzytelniających

 

Testowane urządzenie wykorzystuje mechanizm OTIST (One-Touch Intelligent Security Technology), który automatycznie ustawia optymalny poziom zabezpieczeń na wszystkich kartach sieciowych. Mechanizm działa dokładnie w taki sposób, jak w niedawno opisywanym punkcie dostępowym G-560. Wciśnięcie przycisku Reset z tyłu obudowy na 1-3 sekundy albo użycie funkcji OTIST w interfejsie konfiguracyjnym powoduje, że sieć może być zabezpieczona w sposób automatyczny. Zamiast fabrycznego identyfikatora SSID ZyXEL pojawia się nowy identyfikator, a jeśli sieć pracowała bez szyfrowania, zostaje ustawione WPA-PSK. Takie mechanizm zabezpieczeń ma jednak pewne wady – jest ograniczony do produktów jednej firmy, wymaga też instalacji oprogramowania dostarczonego przez producenta, bez którego w systemach Windows XP doskonale można by się obejść. Z kolei dla osób znających się cokolwiek na sieciach WiFi jest trudniejszy do zastosowania niż ręczne włączenie szyfrowania.

Wydajność WiFi

ZyXEL Prestige 660HW ma przynajmniej kilka elementów, które można testować pod kątem wydajności. Może to być przełącznik LAN, którego wydajność jest w sumie oczywista, więc ten składnik urządzenia pominęliśmy. Można także przyjrzeć się bliżej modemowi DSL i wydajności rutingu, ale ocena tych elementów jest o tyle trudna, że samo łącze DSL jest wąskim gardłem (ma znacznie mniejszą szybkość niż interfejs WAN urządzenia) i uniemożliwia przeprowadzenie dokładnego testu. Natomiast dość dokładnie można przetestować interfejs bezprzewodowy.

Testy wydajności zaczęliśmy od najprostszej rzeczy – pomiaru maksymalnej szybkości przesyłania danych z sieci LAN do WLAN i odwrotnie. Po teście punktu dostępowego ZyXEL G-560 producent zasugerował nam, by wykorzystywać inne (starsze) wersje sterowników karty sieciowej, a także nową wersję firmware’u – dokładnie w ten sposób postąpiliśmy w teście Prestige 660HW. Okazało się, że rzeczywiście wykorzystanie starych sterowników (w naszym przypadku 6.0.0.18 z marca 2004 roku) dało bardzo dobre efekty – przepustowość łącza WiFi wzrosła o 40 procent! Poniżej najważniejsze wyniki testu.


Przepustowość interfejsu WiFi

Sprawdziliśmy również, w jaki sposób szyfrowanie wpływa na szybkość przesyłania danych. Ponieważ testowany ruter wykorzystuje szyfrowanie WEP lub WPA (a więc szyfry realizowane programowo), szybkość przesyłania danych wyraźnie spada przy stosowaniu poszczególnych mechanizmów. Oczywiście WEP powoduje stosunkowo niewielkie pogorszenie przepustowości, bardziej zawansowany mechanizm WPA o wiele bardziej spowalnia szybkość przesyłania danych. Takiego zjawiska nie obserwuje się w przypadku WPA2 z szyfrowaniem AES, które jest wspomagane przez sprzęt.


Przepustowość interfejsu WiFi

Niestety, na powyższym wykresie brakuje pomiarów przepustowości w trybie WPA2. Funkcjonalność taka pojawiła się w trakcie testów, wraz z nowym firmwarem, jednocześnie z programu konfiguracyjnego zniknęła możliwość ręcznego ustawienia trybu pracy interfejsu WiFi (sieć zawsze pracuje w trybie 802.11g+). Niestety, spadła również wydajność – nie udało nam się uzyskać 35 Mb/s, lecz maksymalnie 32 Mb/s. Jednak gorsze okazało się to, że tryb WPA2-PSK, na który bardzo liczyliśmy, w ogóle nie chciał działać – mimo że nie powinien mieć niczego wspólnego z serwerem RADIUS, pojawiał się komunikat o niedostępności tego serwera. Niestety, nie osiągnęliśmy zadowalających efektów również w przypadku WMM, czyli kształtowania pasma w sieci WiFi (szczerze mówiąc, nie zauważyliśmy żadnego wpływu tej funkcji na działanie sieci). Tak więc aktualizacja firmware’u w naszym przypadku nie pozwoliła na skorzystanie z nowych funkcji, a nawet zmniejszyła wydajność interfejsu bezprzewodowego.

Podsumowanie

Prestige 660HW jest z pewnością ruterem o bardzo dużych możliwościach, choć – jak każdy produkt – ma pewne wady. Przede wszystkim duża funkcjonalność powoduje, że sprzęt jednak nie jest łatwy do konfiguracji, choć producent stara się to nadrobić np. za pomocą Configuration Genie czy kreatorów dostępnych w interfejsie konfiguracyjnym. Jednak wiele funkcji można ustawić tylko przez Telnet, ale też pewne funkcje dostępne przez przeglądarkę nie są możliwe do skonfigurowania w trybie tekstowym (np. zarządzanie pasmem). Niejeden użytkownik się w tym może pogubić.


Mimo że mamy sporo do czynienia ze sprzętem sieciowym, podczas testu musieliśmy wiele razy korzystać z instrukcji, nawet podczas testu bardzo prostych funkcji. Przykładowo, udostępnianie usług z sieci LAN do Internetu (w trybie SUA Only) nie działa od razu po wskazaniu lokalnego adresu IP i numeru portu – niezależnie od niego trzeba stworzyć regułę firewalla, która wpuści pakiety z Internetu do określonego komputera. Zastrzeżenia mamy również oczywiście do nieprawidłowej priorytetyzacji ruchu, a także systemu pomocy zintegrowanego z interfejsem konfiguracyjnym rutera (lepiej, żeby go w ogóle nie było). Natomiast instrukcja użytkownika (w języku angielskim, tylko w pliku PDF) jest naprawdę bardzo dobra – nie tylko służy konfiguracji sprzętu, ale wyjaśnia wiele zagadnień związanych z sieciami.

Wymienione wady rutera, choć są poważne, wcale nie stanowią przeszkody, by Prestige 660HW był ruterem o największych możliwościach, jaki do tej pory testowaliśmy. Zawiera kilka zintegrowanych urządzeń, oferuje wiele interesujących funkcji po stronie LAN i WAN, dobre zabezpieczenia, ma też szybki interfejs WiFi, choć wymaga to starannego doboru oprogramowania. Ponadto działa bardzo stabilnie, jego pracy nie zakłóciły nawet setki prób z konfiguracją różnych parametrów – po każdej takiej zmianie ruter wczytywał nową konfigurację i po kilku sekundach był gotowy do pracy. Nawet aktualizacja firmware’ u nie spowodowała problemów z połączeniem, sprzęt zachował całą swoją starą konfigurację (zazwyczaj aktualizacja nie przechodzi tak gładko).

Reasumując, Prestige 660HW jest świetnym produktem dla osób oczekujących bardzo dużej funkcjonalności i niewygórowanej ceny, ale nie jest optymalny dla przeciętnego użytkownika komputera, który może mieć trudności w wykorzystaniem pewnych funkcji.

 

       Zalety        Wady
  • ułatwienia w konfiguracji podstawowych ustawień
  • bardzo duże możliwości konfiguracyjne NAT i firewalla
  • zabezpieczenia łączności bezprzewodowej
  • pewne funkcje zarządzania pasmem
  • praca na najszybszych łączach ADSL
  • konfiguracja przez WWW lub Telnet
  • dobra instrukcja w pliku PDF (460 stron)
  • korzystanie z zaawansowanych funkcji w inny sposób, niż w typowym sprzęcie sieciowym
  • zarządzanie pasmem jest nie do końca skuteczne
  • nie działa WPA2-PSK
  • brak niektórych funkcji podczas konfiguracji przez WWW lub Telnet
  • antena podłączona na stałe
  • fatalna pomoc on-line
  • brak obsługi Wireless Distribution System

Do testów dostarczył:
ZyXEL Communications
www.pl.zyxel.com

Sugerowana cena brutto (z podatkiem VAT): 323 zł (cena aktualna do końca br.)
Gwarancja: 2 lata

 

Przeczytaj także:

Brak spokrewnionych artykułów.

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x