Настройка smart-оборудования Zyxel в автономном и «облачном» режимах

Подписаться

Ethernet-коммутатор ZyXEL может работать либо с VLAN на базе порта (Port-based), либо с VLAN на базе тега (802.1Q).

Виртуальная локальная сеть на базе порта (Port-based VLAN)

Для выбора типа VLAN зайдите в меню веб-конфигуратора Basic Settings > Switch Setup и установите VLAN Type = Port Based. Для дальнейшей настройки VLAN перейдите к менюAdvanced Application > VLAN.

VLAN на базе порта настраивается следующим образом: требуется указать для каждого порта N коммутатора список портов, в которые разрешена передача данных из порта N.

C помощью VLAN на базе порта можно настраивать довольно сложные схемы «перекрывающихся» виртуальных сетей, однако у этого метода есть существенный недостаток: он не позволяет распространить VLAN на несколько коммутаторов. Для передачи информации о VLAN между коммутаторами используется тегирование кадров по стандарту 802.1Q.

Виртуальная локальная сеть на базе тега (Tag-based VLAN 802.1Q)

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. В кадр Ethernet вставляется тег (tag), в котором указывается идентификатор VLAN (VID). Поле VID занимает 12 бит, номер VLAN может принимать любое значение от 1 до 4094; номера 0 и 4095 зарезервированы для специальных целей. Кадр с тегом называется маркированным (тегированным, tagged).

Кроме VID в теге указывается 3-битный приоритет. Стандарт IEEE 802.1p предусматривает наличие этого поля.

Тег занимает 4 байта. Он состоит из TPID (Tag Protocol Identifier, 2 байта) и TCI (Tag Control Information, 2 байта). Исходное поле типа кадра сдвигается вправо, на его место становится TPID, указывающий на новый тип кадра (802.1Q). В TCI содержится 12 бит VID и 3 бита Priority.

Добавление четырех байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов. Это связано с тем, что максимальный размер маркированного кадра составляет не 1518 байт, а 1522. Если невозможно заменить устаревшее оборудование, не поддерживающее увеличенные кадры, то можно на 4 байта уменьшить MTU в настройках сетевых устройств: с 1500 до 1496.

Типы кадров

Untagged frame — Кадр, в котором не установлен признак 802.1Q.Priority-tagged frame — Кадр, содержащий установленный признак VLAN, однако поле VID равно 0. Такой кадр не принадлежит никакому VLAN, в нем имеет значение только поле приоритета.VLAN-tagged frame — Кадр с установленным полем 802.1Q и VID больше 0.

Поддержка VLAN в сети

• • VLAN Aware – устройства поддерживающие признак VLAN в соответствии с 802.1Q и могут принимать пакеты с учетом этого поля.

• • VLAN Unaware – устройства которые не могут обрабатывать пакеты с учетом VID и Priority. Иногда эти устройства даже не могут обрабатывать эти кадры (не пропускает через себя кадры с MTU — 1522 байт). При передаче кадра на VLAN-Unaware-устройство тег снимается, а после приема кадра с него – устанавливается тег по-умолчанию.

Процессы 802.1Q

Входной процесс: Ставит маркер. Если кадр с маркером, то он без изменений направляется в процесс пересылки, если без маркера, то на него ставится маркер согласно входному правилу.

Процесс пересылки (перенаправления): Принимает решения о фильтрации или пересылке пакета в порт назначения согласно таблицам VLAN и MAC.

Выходной процесс: Определяет, оставлять ли признак VLAN в кадре. Если известно, что к порту подключено устройство VLAN-Unaware, то тег снимается.

Входное правило (VLAN на базе протокола)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

• • он без изменений передаётся дальше

Если кадр без тега или кадр с VID=0

Protocol VID:

Входное правило (PVID)

VLAN-aware устройства могут принимать как тегированные, так и нетегированные кадры.

Если кадр тегированный

• • он без изменений передаётся дальше

Если кадр нетегированный или это кадр приоритета

• • он маркируется PVID по умолчанию

• • после этого кадр передаётся дальше

PVID:

• • VLAN ID по умолчанию, который назначается на каждый порт.

Настройка VLAN на базе протокола

Port: номер порта на котором будет применяться данное правилоEthernet-type: значение поля type кадра EthernetVID: VLAN ID, которым будет маркироваться кадрPriority: значение поля приоритета, которым будет маркироваться кадр

Таблица VLAN

В меню VLAN отображается информация о текущих VLAN (статических и динамических). Динамические VLAN регистрируются по протоколу GVRP, а статические вводятся вручную администратором.

Статические VLAN настраиваются в меню Static VLAN. При настройке указывается имя, VID и состояния портов по отношению к данному VLAN:

• • Fixed – порт является выходным для данного VLAN;

• • Forbidden – в порт запрещено передавать кадры, принадлежащие VLAN;

• • Normal – в порт запрещено передавать кадры, принадлежащие VLAN, до тех пор, пока на этот порт не придет информация о данном VLAN по протоколу GVRP. Состояние normal при отключенном GVRP эквивалентно состоянию forbidden.

Флаг Tx Tagging указывает, нужно ли оставлять маркер при отправке кадра из порта.

С помощью статических таблиц VLAN регулируется только выдача маркированных кадров из коммутатора. Например, если порт находится в состоянии forbidden по отношению к некоторому VLAN ID=200, то в порт запрещена выдача кадров с меткой 200. При этом получение на этот порт кадра с меткой 200 не запрещено. Проверку входящих кадров можно включить в меню Port Security.

Параметры VLAN 802.1q на портах

У каждого порта имеется набор полей:

• • PVID (см. выше).

• • Acceptable Frame Type – типы принимаемых кадров: или любые, или только с тегами.

• • VLAN Trunking – если включено, то все VLAN выходят в этот порт с тегами, если явно не указано обратное. В коммутаторе, особенно если он работает где-то в центре сети, могут регистрироваться динамические VLAN, которые нужно «проводить» прозрачно в другие участки сети. В этом случае пригодится VLAN Trunking, иначе пришлось бы в явном виде вводить все возможные VLAN в таблицу.

• • Ingress check – если включено, то на порт принимаются только кадры с идентификаторами VLAN ID, для которых данный порт является выходным.

• • GVRP – протокол передачи информации о VLAN по сети с одного коммутатора на другой. Если требуется, его нужно включить как на всем коммутаторе, так и на отдельных портах.

• • Port Isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.Port Isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

VLAN Stacking

Провайдер сетевых услуг может использовать стекирование VLAN (VLAN Stacking) для того, чтобы разделять всех своих клиентов, которые при этом могут проводить через сеть провайдера свои собственные VLAN даже в том случае, когда идентификаторы VLAN одного клиента совпадают с идентификаторами других клиентов.

Делается это с помощью «двойного тегирования» – добавления еще одного (внешнего) маркера VLAN.

У каждого порта коммутатора может быть две роли (Port Role):

• • Access Port – входящий кадр считается «не маркированным» вторым тегом, поэтому на него при входе ставится второй (туннельный) тег. Такие порты обычно используются на границе сети провайдера.

• • Tunnel Port – функция доступна только на гигабитных портах. Входящий кадр обрабатывается так же, как и при настройке Access Port, только при условии, что поле типа (TPID) кадра не совпадает с SP TPID (Service Provider’s TPID), настроенным на коммутаторе (меню VLAN Stacking, вверху).

Помимо роли на порт устанавливается SP VID – «внешний» идентификатор VLAN – и внешний приоритет SP Priority.

Приведем пример создания и настройки VLAN на базе 802.1Q с помощью команд Ethernet-коммутатора. Создадим VLAN с номером 100 в который будут включены порты 5-8 и с которых будут отправляться кадры с признаком 802.1Q (тегированные кадры).

Для настройки статической таблицы VLAN в режиме config-vlan используются следующие команды:

При создании VLAN по умолчанию все порты находятся в режиме NORMAL.

Еще есть вопросы? Отправить запросО чем статья? 1. Короткий обзор и unboxing smart-коммутатора Zyxel XGS1930-28HP и точки доступа NWA1123-ACv2 2. Описание процесса настройки:

• в автономном режиме
• “облачном” режиме с использованием Nebula Control Center (NCC)

3. решение ряда мелких проблем, возникших в процессе настройкиДля тех, кому лень читать: 1. Критичных проблем при настройке оборудования обнаружено не было. 2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой) 3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях: 3.1. Небольшое кол-во оборудования 3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов 4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO. 5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Содержание

1. Что тестируем?1.1. Коммутатор Zyxel XGS1930-28HP1.1.1. Фото1.1.2. Общая информация1.1.3. Комплектация1.2. Точка доступа Zyxel NWA1123-ACv21.2.1. Фото1.2.2. Общая информация1.2.3. Комплектация2. Тестирование2.1. Конфигурация тестового стенда2.2. Настройка в автономном режиме2.2.1. Коммутатор2.2.2. Точка доступа2.3. Сброс настроек2.4. Настройка с использованием Nebula Control Center2.4.1. Несколько слов о сервисе2.4.2. Лицензирование NCC2.4.3. Настройка коммутатора с использованием NCC2.4.3.1. Регистрация коммутатора в NCC2.4.3.2. Процесс настройки2.4.4. Настройка точки доступа2.4.4.1. Регистрация точки доступа в NCC2.4.4.2. Процесс настройки3. Мнение автора4. Спасибо

Что тестируем?

Коммутатор Zyxel XGS1930-28HP

Фото

Общая информация

Комплектация

Поставляется коммутатор в стандартной картонной коробке. Все запчасти собраны в отдельную коробку меньшего размера. Комплектация выглядит следующим образом: 1 — коммутатор 2 — руководство пользователя 3 — “Safety Warnings” 4 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС) 5 — гарантийный талон 6,7 — стоечные крепления (“уши”) 8 — комплект резиновых “ножек” для desktop-монтажа 9 — комплект болтиков для крепления “ушей” к коммутатору 10 — комплект болтов для монтажа коммутатора в 19” стойку 11 — кабель питания C13/SchukoЗаметки тестировщика: Предоставленный образец — типичный современный L2+ PoE-коммутатор уровня доступа. Подходит для подключения конечных устройств в корпоративных сетях (Small Business). Несмотря на относительно высокую пропускную способность и наличие 10G-портов — не подходит для использования в условиях ЦОД в силу: — относительно высокой задержки коммутации — отсутствия резервного блока питания L2+ функционал типичен для Smart / Small Business линеек других вендоров (статическая маршрутизация, L3-L4 ACL, DCHP Relay).Нет поддержки DHCP Snooping. Способы управления ограничены (что, в общем-то типично для smart-коммутаторов) Нет: — полноценного управления коммутатором через CLI — возможности настройки через COM-порт

Точка доступа Zyxel NWA1123-ACv2

Фото

Общая информация

Комплектация

1 — точка доступа Zyxel NWA1123-ACv2 2 — внешний блок питания с вилкой UK Plug 3 — сменная вилка Schuko (EU Plug) для внешнего БП 4 — монтажное крепление 5 — 2 набора дюбелей 6 — 2 шурупа 7 — руководство пользователя 8 — гарантийный талон 10 — Safety Warnings 11 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)

Тестирование

Конфигурация тестового стенда

Эмулируем достаточно типичную сеть небольшого офиса (Small Business же).Сегментация сети:Распределение портов коммутатора:Беспроводные сети:Заметки тестировщика: 1. В качестве маршрутизатора тестового стенда используем MikroTik RB750UP. Он используется для: — терминирования VLAN’ов и маршрутизации трафика между ними — терминирования аплинка — статической маршрутизации интернет-трафика и SNAT на внешнем интерфейсе Т.к. производительность маршрутизации в рамках этого теста не критично — 100М-портов на маршрутизаторе будет достаточно. 2. В сегменте vlan.MGMT используем DHCP (рекомендация Zyxel относительно оптимальной первичной настройки) 3. Ограничения доступа между сегментами внутренней сети реализуем с помощью ACL коммутатора (ради того, чтобы ознакомиться с процессом настройки ACL).Стенд в собранном виде:

Настройка в автономном режиме

Коммутатор

1. Качаем мануал, читаем. 2. Ловим коммутатор и точку в DHCP 3. Заходим на веб-интерфейс коммутатора по IP-адресу. 4. Выбираем режим автономной конфигурации, авторизуемся под учетной записью по-умолчанию (admin/1234) 5. Пытаемся настроить VLAN’ы и порты с помощью Wizard’aЗаметки тестировщика: 1.Возможности Wizard’a сильно ограничены, лучше сразу применять настройки по-умолчанию и переходить в полноценный веб-интерфейс. Что не так: — настроить можно не более 5 VLAN’ов за раз — транковый порт при можно привязать только ко всему набору VLAN’ов (но не подмножеству). — нельзя сменить MGMT VLAN. — нет поддержки hybrid режима работы портов. Порт может или нетегированным (access) или пропускать трафик всех тегированных VLAN’ов (trunk) 2. Возможности настройки через CLI, по факту, нет (что, в общем, нормально для этого класса коммутаторов): 6. Cоздаем MGMT VIF через веб-интерфейс (“Basic setting” > “IP Setup” > “IP Configuration”) 7.Добавляем ограничения доступа для гостевой сети. Процесс не совсем интуитивен, но достаточно прост. Необходимо: — создать: L2-L4 правила классификации (“Classifier”) — создать политики доступа, основанные на правилах классификации трафика (“Policy rule”) 7.1. Знакомимся с классификатором. Переходим в “Advanced Application” > “Classifier” > “Classifier configuration” Создаем несколько правил классификации для гостевой сети: 7.2. Переходим в “Advanced Application” > “Policy Rule” и создаем несколько политик на основе правил классификации. 7.3. Проверяем работу ACL:

Точка доступа

1. Качаем мануал, читаем 2. Заходим на веб-интерфейс точки доступа 3. Авторизуемся с учетными данными по-умолчанию (admin/1234) 4. Меняем пароль (обязательный шаг, без этого дальше пройти не получится) 5. Создаем SSID. Настройки спрятаны довольно глубоко. 5.1. Добавляем профили безопасности для гостевой и корпоративной сетей “Configuration” > “Object” > “AP Profile” > “SSID” > “Security list” 5.2.Добавляем гостевой и корпоративный SSID “Configuration” >“Object” > “AP Profile” > “SSID” > “SSID list” 6. Переходим в “AP Management” и выбираем, какой SSID каком диапазоне будет вещать. Предположим, гостевой SSID должен вещать в 2.4+5 ГГц, а корпоративный — только в 5Ггц. 7. Опционально — изменяем настройки радио-интерфейсов и каналов вещания. Перенастраиваем менеджмент-интерфейс. “Configuration” > “Network” Для нашего кейса: — изменяем VID Management-VLAN’a — изменяем IP-адрес — изменяем режим теггирования После этого менеджмент-сессия с точкой доступа прервется (из-за потери L2-связности). 8. Изменяем режим работы порта точки доступа на коммутаторе (trunk вместо access) 9. Проверяем доступность точки доступа по менеджмент-интерфейсу и работу обоих SSID

Сброс настроек

На точке доступа: На коммутаторе:

Настройка с использованием Nebula Control Center

Несколько слов о сервисе

Nebula Control Center (NCC) — SaaS-решение для мониторинга и управления сетевым оборудованием Zyxel. Поддерживаются: — коммутаторы — точки доступа — шлюзы безопасности Детально функционал описывается здесь.

Лицензирование NCC

Есть 3 вида лицензий: 1. бесплатная, ограниченная по функционалу 2. платная c ежегодным продлением 3. платная пожизненнаяДетальное сравнение лицензий Лицензируется только кол-во устройств, разницы по функционалу между платными лицензиями нет.Относительно бесплатной версии: 1. кол-во управляемых устройств не ограничено 2. ограничения функционала касаются: — безопасности (авторизация на портах 802.1X, возможности аудита действий и т.п) — массового управления конфигурациями — мониторинга (возможность настройки триггеров, сокращенные сроки хранения исторических данных)Вывод: Бесплатная лицензия NCC пригодна к использованию в prod при: — небольшом кол-ве оборудования (т.е. в случае, когда функционал массового управления конфигурациями не востребован) — отсутствии требований к длительному хранению исторических данных мониторинга и логов

Коммутатор

Регистрация коммутатора в NCC

1. Процесс регистрации выглядит следующим образом: 2. Региструем учетную запись на nebula.zyxel.com 3. Желательно — настраиваем двухфакторную аутентификацию 4. Создаем Organization и Site 5. Привязываем устройство к учетной записи, просканировав QR-код или вручную введя MAC-адрес и серийный номер в Nebula 6. PROFIT! QR-код можно найти в веб-интерфейсе («Basic» > «Cloud Management» > «Nebula Switch Registration») или на коробке устройства. Сканировать QR-код нужно с помощью приложения Nebula Mobile (Apple App Store, Google Play)Для любопытных: была выполнена попытка повторной регистрации устройства под другой учетной записью. Не прокатило 😉 После регистрации в NCC: — настройки коммутатора сбрасываются на заводские — в коммутатор из облака заливаются актуальные прошивка и конфиг. — блокируется локальная аутентификация — коммутатор появляется в веб-интерфейсе NCC Выглядит это следующим образом: Дешборд: Логи: Информация по порту:

Процесс настройки

Вернемся к исходной задаче и настройке коммутатора 1.Настраиваем VLAN’ы и порты. Порт точки доступа: Маршрутизатора: Терминала:Заметка тестировщика: при настройке через NCC почему-то поддерживаются только hybrid и access режимы работы портов (но не trunk). Настроить порт без указания native VLAN / PVID нельзя. Как вариант — можно в качестве PVID указать неиспользуемый в prod VLAN. 2. Меняем MGMT-VLAN (“Switch” > “Switch Configuration” > “VLAN Configuration”) 3. Настраиваем ACL для гостевой сети. Делается это через “Switch” > “Switch Configuration” > “IP Filtering”. Редактор правил выглядит следующим образом:Заметка тестировщика: для сравнения, еще раз приведу скриншоты локального редактора ACL. Облачный явно проигрывает по кол-ву опций.

Точка доступа

Регистрация точки доступа в NCC

Согласно документации, для новой точки доступа процесс должен проходить по следующей схеме: 1. Авторизация веб-интерфейсе точки доступа 2. Смена пароля по-умолчанию 3. Сканирование QR-кода с помощью мобильного приложения. QR-код появляется в PopUp после авторизации.Заметка тестировщика:Если QR-код не отображается — наиболее вероятной причиной является устаревшая прошивка (как и произошло в моем случае). Обновляется она следующим образом: — качаем прошивку с соответствующего раздела сайта производителя — распаковываем архив с прошивкой — переходим в “Maintenance” > “File Manager” > “Firmware Package” — заливаем *.BIN файл с прошивкой — ждем 3-5 мин. Идет процесс перепрошивки. Тонкие моменты: — Прогрессбар “Uploading firmware” во время перепрошивки будет заполняться бесконечно, это нормально. — Признак того, что процесс идет — быстрое мигание красным LED-индикатора на точке. — Признак того, что процесс окончен и точка нормально работает — медленное мигание LED-индикатора зеленым. — В веб-интерфейсе при этом ничего не отображается, прогресс-бар продолжит заполняться. По окончанию перепрошивки обновляем страницу. Нас встречает окно авторизации и очередной Wizard. Нажимаем “Cancel” и видим обновленный интерфейс и QR-код: Сканируем QR-код в Nebula Mobile, ждем 5-10 минут. За это время: — настройки точки сбрасываются на заводские — из облака заливается актуальная прошивка и конфиг.Заметка тестировщика: интересный момент — в отличие от коммутатора, локальная авторизация на точке не блокируется. После автонастройки точки можно зайти на веб-интерфейс и увидеть статус подключения к облаку: Дешборд для точек доступа: Профиль точки доступа: Страница логов: Возможностей фильтрации логов меньше, чем для коммутаторов.

Процесс настройки

1. Переходим в профиль точки доступа, меняем MGMT VLAN. 2. Переходим в “AP” > “Configure” > “SSIDs”, создаем гостевой и корпоративный SSID:Не забываем включить второй SSID. 3. Переходим в “AP” > “Configure” > “Authentication”. Создаем профиль безопасности для корпоративного и гостевого SSID. 3. Настраиваем радиочасть: 4. Подключаемся к обеим сетям, проверяем работу.

Мнение тестировщика

1. Критичных проблем при настройке оборудования обнаружено не было. 2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой) 3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях: 3.1. Небольшое кол-во оборудования 3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов 4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO. 5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.

Спасибо

— коллегам из MTI за оперативную доставку тестового оборудования — коллегам из Zyxel за конструктивные ответы на вопросы, возникшие в процессе написания этой статьи — читателям, осилившим эту простыню до конца 😉Интернет-центр ZyXEL NBG318S — это надежное, удобное и безопасное подключение вашего дома к Интернету, районной сети и IP-телевидению по выделенной линии Ethernet. Он объединяет домашнюю компьютерную технику в сеть и защищает ее от атак из Интернета и кражи информации. Установив NBG318S, вы сможете одновременно выходить в Интернет и районную сеть с нескольких компьютеров, обмениваться между ними фотографиями, музыкой и документами, играть в сетевые игры, совместно использовать принтер, а также полноценно участвовать в файлообменных P2P-сетях. Встроенная точка доступа Wi-Fi дает свободу перемещения по квартире подключенных к интернет-центру ноутбуков и других беспроводных устройств, а интегрированный Powerline-адаптер HomePlug AV, превращающий обычную электропроводку в скоростной канал для связи домашних устройств, позволяет передавать сигнал IP-телевидения и FullHD-видео в любое место квартиры, где есть электрическая розетка и установлен телевизор.Основные преимущества: — Рекомендован ведущими провайдерами для высокоскоростного подключения к Интернету и приема IP-телевидения по выделенной линии Ethernet — Одновременная работа в Интернете и с серверами локальных ресурсов благодаря технологии LinkDuo для PPTP/L2TP/PPPoE — Скорость PPTP/L2TP/PPPoE — до 55 Мбит/с. Рекомендуется активным участникам файлообменных сетей BitTorrent, DC, eMule — Аппаратная поддержка IP-телевидения в режиме TVport. Даже при загрузке торрентов/файлов на максимальной скорости NBG318S обеспечит передачу сигнала цифрового телевидения до ресивера IPTV без задержек и потери качества — Быстрое подключение к Интернету, настройка IP-телевидения, беспроводной сети Wi-Fi и сети HomePlug AV с помощью программы ZyXEL NetFriend — Двойная защита домашней сети от угроз из Интернета — Три порта Ethernet и точка доступа Wi-Fi позволяют подключить к Интернету одновременно несколько домашних компьютеров и ноутбуков — Встроенный адаптер HomePlug AV превращает обычную электропроводку в сеть, работающую со скоростью до 200 Мбит/с — Идеально подходит для передачи сигнала IP-телевидения и видео высокой четкости по электропроводке в любую точку квартиры — Минимум проводов, встроенный блок питанияХарактеристики:Конструктивные особенности Три режима работы: — Интернет-центр с подключением к провайдеру по выделенной линии Ethernet — Интернет-центр с подключением к провайдеру по электропроводке — Беспроводная точка доступа Wi-Fi — 1 разъем 8P8C (RJ-45) «WAN» (10BASE-T/100BASE-TX) с автоопределением типа кабеля — 3 разъема 8P8C (RJ-45) «LAN» (10BASE-T/100BASE-TX) с автоопределением типа кабеля — 1 разъем для подключения питания, совмещенный с портом адаптера HomePlug AV 200 Мбит/с — 1 разъем RP-SMA для подключения антенны — Съемная всенаправленная антенна 5 дБи — 8 индикаторов состояния — Кнопка возврата к заводским установкам (RESET) — Кнопка быстрой настройки защиты сети HomePlug AV (ENCRYPT) — Кнопка быстрой настройки защиты сети Wi-Fi (WPS)WAN-интерфейс — Динамический адрес IP — Статический адрес IP — PPPoE (RFC 2516) — PPTP (RFC 2637) — L2TP (RFC 2661) — 802.1x (RFC 3580) — Авторизация PAP/CHAP/MS-CHAP/MS-CHAP v2Сетевые функции — Прозрачный мост IEEE 802.1d — Маршрутизация протокола IP — Технология ZyXEL Link Duo — одновременный доступ в Интернет (L2TP/PPTP/PPPoE) и к локальным ресурсам сети провайдера — Список статических маршрутов — Трансляция сетевых IP-адресов Restricted Cone NAT — Возможность предоставления доступа к собственному игровому, файловому или веб-серверу из Интернета — Режим TVport для транзита потока Multicast без использования ресурсов центрального процессора — Агент IGMPv1/IGMPv2 (IGMP proxy, IGMP snooping) — Транзит VPN-соединений (IPSec, PPTP, L2TP) — Сервер DHCP для автоматической настройки сетевых устройств — Регистрация доменного имени (Dynamic DNS) — Агент DNS (DNS Proxy) — Шлюзы прикладного уровня: SIP ALG, eMule ALG, BitTorrent ALG — Технология UPnP для обнаружения устройств и конфигурации сетевых параметровЗащита сети — Межсетевой экран с контролем устанавливаемых соединений (SPI) — Защита от DoS- и DDoS-атак из Интернета — Фильтрация сетевого трафика на основании MAC-адреса, IP-адреса, URLСеть HomePlug AV — Соответствует стандарту HomePlug AV — Диапазон частот 1,8-30 МГц — Скорость сети 200 Мбит/с* — Защита сети: протокол AES со 128-битным ключом — Расстояние передачи: до 300 м — Обеспечение качества услуг (QoS) — Максимальное количество адаптеров в одной сети HomePlug AV: 64Беспроводная сеть Wi-Fi — Беспроводная точка доступа стандарта 802.11g 54 Мбит/с*, совместимая с устройствами стандарта 802.11b — Защита по протоколам WEP, IEEE 802.1x, WPA, WPA-PSK, WPA2, WPA2-PSK — Аутентификация при помощи внешнего RADIUS-сервера — Контроль доступа по списку MAC-адресов — Радиус покрытия до 100 м в помещении, до 300 м на открытом пространстве — Быстрая настройка защиты сети Wi-Fi (WPS)Диагностика и управление — Программное обновление функций — Быстрая настройка ZyXEL NetFriend — Веб-конфигуратор — Интерфейс командной строки, доступный по протоколу TELNET — FTP-сервер — Контроль доступа к функции удаленного управленияФизические параметры — Размеры — 162 х 117 х 40 мм без учета антенны — Масса — 332 гУсловия эксплуатации — Рабочий диапазон температур: от 0 до +50 °С — Относительная влажность: от 20 до 95 % без конденсации — Напряжение электропитания, переменное 100-240 В, 50/60 ГцКомплект поставкиУстройство, несмотря на компактный размер, поставляется в достаточно крупной коробке размерами 30x24x10,5 сантиметров. Не очень понятно, зачем был выбран именно такой вариант. Возможно планируется поставка совмещенных комплектов с клиентскими адаптерами PLA-400.В коробке покупатель обнаружит интернет-центр, кабель питания, сетевой кабель, антенну Wi-Fi, компакт-диск с программой NetFriend и электронной версией документации, печатное краткое руководство пользователя. Правда несмотря на «краткость» в нем почти полсотни страниц. Бонусом идет книга Александра Плющеева. Причем сразу в двух видах — на компакт-диске в формате MP3 и в карманном бумажном на 278 страниц. Жалко только иллюстраций в ней нет.Сама упаковка щедро покрыта описаниями, техническими характеристиками и картинками. Стоит ли говорить, что все это (как и документация) — исключительно на русском языке, что заслуживает положительной оценки.Внешний видNBG318S продолжает следовать оформлению новой линейки продуктов — верхняя панель из белого глянцевого пластика и светло-серая база снизу. Из-за встроенного модуля HomePlugAV эта модель несколько «потолстела» по сравнению с ранее рассмотренным NBG334W – теперь она имеет размеры 162Г—117Г—40 мм. Основное отличие, конечно, в толщине — она увеличилась на треть. Как и большинство устройств ZyXEL, NBG318S можно без проблем повесить на стену — все необходимые крепления для вертикальной установки у него есть, а в руководстве приводятся инструкции для этого случая.Как и у предшественника, на переднем торце расположены индикаторы: состояние устройства, активность портов (включая отдельный светодиод для сети по электропроводке), подключение к Интернет, настройка WPS. Сзади мы недосчитаемся четвертого порта LAN, их останется только три, но приобретем кнопку для настройки сети HomePlug AV. Остальное на месте — порт WAN, разъем для антенны Wi-Fi, кнопка сброса, кнопка WPS, вход питания.Обратить внимание здесь стоит на то, что устройство напрямую подключается в сеть электропитания. Это требуется для работы соответствующего модуля. Отрицательной стороной является присутствие внутри интернет-центра высокого напряжения и несколько больший, чем у обычных моделей, нагрев. Так что необходимо обязательно уделить особое внимание месту установки устройства. В штатных режимах ему вполне хватает и пассивной вентиляции через решетки на боковых гранях, однако накрывать его чем-либо или устанавливать в стесненных условиях строго не рекомендуется.НачинкаКак и остальные «новички», 318-й основан на платформе ZyNOS. Аппаратная поддержка обеспечивается процессором AR2318, снабженным модулем оперативной памяти объемом 16 МБ и флеш-чипом на 4 МБ для хранения прошивки. Шестипортовый коммутатор ADM6996M обеспечивает соединение основного процессора, трех портов LAN и адаптера HomePlug AV. Последний использует чип int6300 от Intellon и 16/2 МБ оперативной/флеш-памяти. Радиоблок, интегрированный в центральный процессор, представлен стандартной версией с поддержкой 802.11g.Устройство тестировалось с прошивкой 3.60(BFG.3)D0 | 02/26/2010.Настройка ZyXEL NBG318S EEСтоит признать, что если у подготовленного пользователя процесс настройки интернет-центра займет не более пяти минут, причем большая часть времени уйдет на привыкание к интерфейсу Web-конфигуратора, то для большинства людей, которые, возможно, впервые сталкиваются с подобным устройством, эта задача может стать неразрешимой. Именно для этой категории пользователей была создана утилита ZyXEL NetFriend. Благодаря ей процесс настройки займет всего несколько минут. В отличие от любого Wizard’а, который просто ведет вас по основным пунктам настройки, после чего записывает полученную конфигурацию в память устройства, ZyXEL NetFriend представляет собой интеллектуальную систему, которая проверит правильность ввода параметров на каждом этапе и, в случае неудачи выдаст рекомендации по настройке.Подробнее рассмотрим каждый пункт ZyXEL NetFriend. Важно обратить внимание на то, что работа ZyXEL NetFriend возможна только при проводном подключении компьютера с установленной утилитой к одному из LAN портов интернет-центра. Прежде всего, обратимся к разделу настройки WAN. NetFriend поддерживает список, включающий больше сотни провайдеров в различных городах России, Украины и Казахстана. Если ваш провайдер есть в этом списке, то процесс настройки подключения к интернет и настройка интернет-телевидения, занимает буквально пару минут. Пользователь должен выбрать тариф (актуально для провайдеров, использующих различные типы подключения), и, при необходимости, указать логин и пароль, указанные в договоре. Все остальное, в том числе и создание таблицы статической маршрутизации, и настройку IPTV, что часто вызывает самые большие трудности у неподготовленного пользователя, NetFriend выполнит сам.Не стоит расстраиваться, если ваш провайдер не включен в этот список. В этом случае можно воспользоваться механизмом ручной настройки, который тоже упрощает настройку, сокращая число параметров до необходимого. В этом случае нужно выбрать тип подключения, ввести логин, пароль и адрес сервера, указанные в договоре. Здесь же можно создать таблицу статических маршрутов и выбрать режим ручного или автоматического назначения сетевых параметров.По завершении ввода параметров NetFriend проверит возможность установления соединения, и в случае ошибки, выдаст сообщение о возможных причинах проблемы. Пример такого сообщения представлен на скриншоте ниже.В случае успешного подключения переходим к настройке безопасного подключения Wi-Fi. NetFriend самостоятельно выберет менее загруженный канал связи, оптимальный тип шифрования и сгенерирует ключ безопасности. При желании, все эти параметры можно изменить по своему усмотрению.На следующем этапе предлагается настроить сеть HomePlug. Здесь нужно учесть два простых правила. Во-первых, все адаптеры HomePlug должны подключаться к одной электрической фазе (если вы строите сеть в пределах одной квартиры, то эта проблема вас не коснется — по требованиям техники безопасности в квартире должна быть только одна фаза). Во-вторых, идентификация устройств в рамках одной сети HomePlug происходит по имени сети, которое указывается во время настройки. Не рекомендуется сохранять имя сети, используемое по умолчанию, так как в этом случае появляется возможность несанкционированного подключения к вашей сети, например, из другой квартиры. Кроме этого, используя разные имена, вы можете создать несколько сетей HomePlug, работающих в рамках одной электропроводки.Для создания сети HomePlug в NetFriend необходимо выбрать имя сети (обычно генерируется самой утилитой) и добавить в эту сеть удаленные адаптеры. Делается это с помощью, так называемого DAK, — уникального кода, напечатанного на нижней стороне адаптера. Этот код необходим для удаленного управления адаптером.На следующем этапе предлагается настроить IP-телевидение. Точнее сказать, здесь нам предлагается выбрать физический порт, к которому будет подключаться IPTV-ресивер. Пользователь может выбрать любой физический порт, к которому подключен IPTV ресивер, в том числе HomePlug и даже, комбинацию портов HomePlug и LAN3, что в некоторых случаях может быть очень полезнымИ, наконец, последний шаг, — настройка виртуальных серверов или перенаправления портов. Эта функция необходима для организации доступа к внутренним сервисам из интернет. NetFriend предлагает на выбор большой список приложений с указанием используемых ими портов или задать диапазон портов самостоятельно.На этом процесс настройки можно считать законченным. Не сложно заметить, что благодаря NetFriend процесс кажется совсем простым и понятным. Скажу больше, многие мои знакомые, которые прекрасно разбираются в настройке различного сетевого оборудования, часто используют NetFriend для экономии времени. Тем не менее, продвинутые сетевики вряд ли откажут себе в удовольствии зайти в Web-конфигуратор и настроить все вручную.Для доступа к Web-конфигуратору используется традиционный адрес 192.168.1.1. При первом входе вводим пароль ( по умолчанию 1234), который можно тут же изменить. Если этого не сделать, то навязчивое предложение о смене пароля будет появляться каждый раз при доступе к Web-конфигуратору.По структуре и оформлению, интерфейс Web-конфигуратора не отличается от того, что используется в других современных моделях интернет-центров ZyXEL, что значительно облегчает переход с одного устройства к другому. На главной странице конфигуратора выводиться информация о состоянии основных параметров интернет-центра. Здесь можно видеть подробную информацию по состоянию всех интерфейсов (WAN, LAN, WLAN и HomePlug), загрузке процессора, использованию памяти, состоянию межсетевого экрана, механизма управления пропускной способностью и UPnP. Web-конфигуратор включает четыре группы параметров: Network, Security, Management, Maintenance. Группа «Network» включает настройки всех сетевых интерфейсов, а также функции NAT, DHCP и DDNS. Подробнее рассмотрим каждый из разделов.Раздел WAN отвечает за настройку интернет-соединения и IPTV. ZyXEL NBG318S EE поддерживает все используемые Российскими провайдерами типы соединения, включая PPPoE, PPTP и L2TP, и учитывает все особенности, включая динамическую маршрутизацию, на основе которой реализована технология LinkDuo, возможность задавать DNS имя или IP-адрес сервера авторизации, и многое другое. Процесс настройки достаточно прост.Для настройки IPTV используем закладку Advanced, где можем изменить настройки протокола Multicast и выбрать порт для подключения IPTV-ресивера. NBG318S EE поддерживает функцию TVport, принимающую и перенаправляющую поток IP-телевидения на ресивер IPTV без снижения скорости доступа в Интернет и районную сеть. Другими словами, Tvport позволяет передавать Multicast-трафик на определенный физический порт без обработки процессором, что исключает влияние IP-телевидения на скорость интернет-соединения и наоборот — интенсивности работы с интернет-соединением на качество телесигнала.Все параметры беспроводного интерфейса включены в раздел «Wireless LAN», где так же все реализовано очень просто и понятно. По умолчанию поддерживаются только два типа шифрования: WPA-PSK и WPA2-PSK. Это связано с включением функции WPS, которая поддерживает только эти типы шифрования. Если отключить WPS, то становятся доступны все другие типы, включая WEP и корпоративные версии WPA и WPA2.Сама технология WPS реализована достаточно типично для современного интернет-центра. Она поддерживает два режима согласования: по нажатию кнопки на корпусе или в меню Web-конфигуратора, а также ввод PIN-кода.Разделы LAN и DHCP включают несколько интересных параметров. Помимо возможности указать IP-адрес основной сети, интернет-центр поддерживает два дополнительных IP для создания двух логических сетей, которые будут доступны по тем же физическим портам устройства. Кроме этого поддерживается функция AnyIP, с помощью которой можно подключать клиентские компьютеры с любыми IP-адресами. Не менее важно обратить внимание на возможность разрешить мультикаст на интерфейсе LAN, без чего IPTV работать не будет.В настройках DHCP-сервера можно указать стартовый адрес, максимальное число динамически распределяемых IP, и создать таблицу клиентов, для которых IP-адрес будет постоянным.В разделе HomePlug можно создать новую сеть и добавить необходимые адаптеры, введя MAC-адрес и DAK. Для удобства каждому адаптеру можно присвоить имя, например, по месту подключения. В будущем это очень поможет ориентироваться в структуре HomePlug-сети. Здесь же предусмотрена возможность управления трафиком.В разделе NAT, помимо возможности включить сетевую трансляцию адресов, предусмотрена возможность создания виртуальных серверов, где поддерживается большой список предустановленных приложений, к которым можно получить доступ из интернет, а также имеется возможность задавать диапазон и перечень внешних и внутренних портов, по которым можно осуществлять подключение из WAN. Здесь же имеется возможность настроить проброс портов.И, наконец, последний раздел отвечает за настройку динамического DNS. В принципе, ничего особенного здесь нет, поэтому перейдем сразу к настройке блока параметров безопасности, куда включены разделы, отвечающие за работу встроенного межсетевого экрана (Firewall) и фильтра содержимого Web-страниц (Content Filter).Межсетевой экран позволяет блокировать запросы от неопознанных внешних сервисов, а также создать набор правил для всех, одного или диапазона локальных IP-адресов, в которых можно указать сервисы или конкретные порты, доступ к которым запрещен. Для каждого правила можно создать расписание блокировки.Раздел Content Filter позволяет создать правила, по которым будет блокироваться доступ к Web-страницам. Создать правило не сложно — для этого достаточно ввести ключевые слова, которые могут встречаться в URL. Помимо этого, здесь поддерживается фильтрация элементов ActiveX, Java и Cookies. Для удобства, можно использовать планировщик работы фильтра.В группу «Management» включены параметры управления статической маршрутизацией (Static Route), где можно создать список статических маршрутов (что очень актуально для наших провайдеров), настроить управление пропускной способностью для различных сервисов и удаленного управления интернет-центром, где имеется возможность включить управление только из LAN сегмента или из WAN и LAN. В эту же группу включены настройки UPnP.И, наконец, в последнюю группу «Maintenance» включены различные сервисные функции, с помощью которых можно обновить прошивку, создать резервную копию настроек и восстановить их, сбросить интернет-центр и посмотреть логи. Отдельного внимание заслуживает раздел «Sys OP Mode», где можно выбрать режим работы интернет-центра. Здесь хочу обратить внимание на возможность использования в качестве WAN-порта интерфейс HomePlug. При этом WAN-порт на тыльной стороне устройства, превращается в дополнительный четвертый LAN-порт. Обзоры / ZyxelИспользуемые источники:

• https://support.rdb24.com/hc/ru/articles/212468069-пример-настройки-vlan-в-коммутаторах-zyxel
• https://habr.com/ru/post/438008/
• http://12ac.ru/obzory/zyxel/107-nastroyka-kommutatora-zyxel-nbg318s-ee.html