Bevezető
Bevezető
Előzetesben ült nálunk a U.S. Robotics USR8200 fedőnevű, sokoldalú ügynöke. Inkognitóban érkezett, de fekete köntöséről nyomban ráismertünk, és végül alapos vallatásunk során mindenre fény derült. Ezek szerint nem titkolt célja az irodák magánhálózatába való beépülés, és valljuk be, képességei alapján nem indul rossz eséllyel, hisz sok mindenhez ért, és van, amiben egyedülálló. Azóta szabadlábon van, bárki kapcsolatba kerülhet vele, tehát nem árt előre tájékozódni.
Nézzük, mit mond róla a központi nyilvántartás (avagy a hazai forgalmazó):
- nagyteljesítményű üzleti router,
- négyportos 10/100-as Ethernet switch (kapcsoló),
- két USB 2.0 port a fájlszerverhez,
- egy IEEE 1394 port a fájlszerverhez,
- beépített tűzfal, NAT, DMZ, IPSec, DoS, SPI,
- PPTP, statikus és dinamikus IP, dinamikus DNS, PPPoE, DHCP,
- beépített fájlszerver-támogatás,
- hardveres titkosítás,
- 64 MB RAM,
- 16 MB flash tároló,
- 2 év garancia,
- kb. 99 900 forintos kiskereskedelmi ár.
Ez a lista nyomban visszazökkent a krimik izgalmas világából a hálózatok nem kevésbé érdekes területére, egy olyan routerhez amely a U. S. Robotics elképzelései szerint egy közepes iroda teljes hálózatának vezényletét el tudja látni.
Az USR8200 a hivatalos forgalomba kerülés előtti csomagban egy CD (html formátumú használati utasítással, hálózati sebességet mérő alkalmazással, és a Norton Internet Securityvel), egy gyors telepítést segítő leírás, egy UTP-kábel, valamint a magyar szabvány szerinti mellett egy háromlábú dugvilla társaságában érkezett szerkesztőségünkbe.
Ismerkedésünk elején feltűnt a hasonló egységeknél szokatlan, nagy memóriamennyiség, ami mellett figyelemre méltó, hogy egy, a (szintén soknak számító) 266 MHz-en futó Intel IXP422 processzor jelenti a router szívét, operációs rendszere pedig a Linux kernelre épülő OpenRG. Ezek után érdeklődve vártuk, mire képes a U. S. Robotics legújabb terméke.
Első benyomások
Első benyomások
Külső megjelenésében a USR8200 követi a U. S. Roboticstól megszokott vonalat, habár ezúttal a szokásosnál szélesebb lett az útválasztó háza.
Erre a szélességre szükség is van a zsúfoltság elkerülése érdekében, hisz a hátlapon található 4 db 10/100 Mbps-os LAN és 1 db WAN Ethernet-csatlakozó mellett a szokásos reset gombon és tápaljzaton kívül a külső merevlemezek illeszthetőségét biztosító két USB 2.0- és egy FireWire-csatlakozó kapott helyet.
Előnyös, hogy az Ethernet-csatlakozók „auto-switchingesek”, azaz egyenes és keresztkötésű (crosswired) kábelekkel egyaránt dolgozhatunk, így gond nélkül hasznosíthatjuk elfekvő kábeleinket is.
A nagyobb méret ellenére ügyeltek a többi USR termékházzal való kompatibilitásra, a tetőn található keskenyebb bevágás lehetővé teszi, hogy a megszokott módon rakjuk egymásra hálózatunk építőelemeit.
Ezúttal is a készülék hasán találhatjuk a főbb technikai adatokról tájékoztató címkét, amelyre utólag került fel az egység (egyébként megváltoztatható) MAC-címe és sorozatszáma.
A biztos gumírozással ellátott lábak stabilan egy helyben tartják a készüléket, habár ezúttal méretük kisebb a megszokottnál. A szellőzést biztosító mélyedések között húzódnak meg a házat egyben tartó pici pöckök.
A router frontvonalának közepén kiemelkedő területen kapott helyet a működésről tájékoztatást nyújtó LED-sor. Jobboldalt a fehéren feltüntetett terméknév alatt a négy LAN-csatlakozóhoz tartozó lámpák találhatók, melyek 10 megabites LAN-csatlakozás esetén sárgán, míg 100 Mbps esetén zölden világítanak, az adott szegmens forgalmát pedig villogással jelzik.
Balra, a piros betűs márkajelzés alatt található a bekapcsolt állapotot zöld fénnyel, míg a hibát vörössel mutató „pwr-LED”. Mellette a WAN-kapcsolathoz tartozó lámpácska online állapotban zölden világít, és forgalom esetén villog. Ezektől jobbra sorakoznak a két USB-csatlakozóhoz és a FireWire-porthoz tartozó LED-ek, melyek az eddigi logika alapján csatlakoztatott tárolóegység jelenlétében zölden világítanak, adatátvitelnél pedig villognak.
Ezek után vizsgáljuk meg, miben rejlik a USR8200 igazi tudománya, milyen teljesítményre képes.
Üzembe helyezés, kezelőfelület
Üzembe helyezés és a kezelőfelület
Összedugva az ADSL-modemmel, a számítógéppel és feszültség alá helyezve máris üzemképes volt a router. Ezután egy böngészővel a 192.168.1.1 IP-címen tudtunk csatlakozni a kezelőfelületéhez, de a továbbiakban a http://usr8200.home címen is elérhető a központ, és tetszőleges egyedi hostnevet is beállíthatunk.
Az első üdvözlőképernyőn túllépve új admin jelszót kellett megadni, ezt a lépést – saját érdekünkben – nem lehetett kihagyni. Ezt követően helyi hálónk semáját tekinthettük meg egy szemléletes ábrán; ez a kép fogadott ezentúl minden belépés után.
A topológián belül minden ikon él, azaz rákattintva továbbjutunk az adott hálózati elem tulajdonságait leíró és módosító oldalakra. Aki nem kedveli az ikonokat, az egyébként könnyen nézetet válthat, és külön táblázatokba rendezve is áttekintheti hálózatának elemeit.
Ez a stílus jellemző az egész kezelői felületre, melynek megjelenése egy fejlett „tenyérgépre” emlékeztetett. Az igen sok adminisztratív funkció főbb csoportjaihoz (nyitóoldal, hálózati kapcsolatok, biztonság, korlátozások, haladó beállítások és rendszermonitor) a bal oldali menüsoron keresztül lehet hozzáférni, és a további navigáció is hasonló módon, áttekinthető grafikus felületen folyik.
A lényeges tulajdonságok beállítását varázslók teszik kényelmessé, de a menürendszer mélyére ásva lehetőség van a sokkal összetettebb finomhangolásra is, amihez persze egy kis szakértelem se árt, főleg hogy a CD-n mellékelt felhasználói kézikönyv a lehetőségeket ismerteti ugyan, de az apró részletek jelentéséről már alig nyújt információt.
Az opcionális távoli webes hozzáférés mellett telnetes kapcsolattal elérhető a router saját operációs rendszerének (OpenRG) parancssora is, ami profik számára esetleg hasznos lehet, de állandó jelleggel biztonsági okok miatt semmiképp sem érdemes engedélyezni.
Első lépésként internetkapcsolatunkat állítottuk be, a „Network Connections” alatt található kapcsolatvarázslóval. Mi most a külső DSL modemet választva csatlakoztunk a nethez (PPPoE), de a router ezen kívül támogatja a fix és dinamikus IP mellett a PPTP protokollt is. Itt is jellemző, hogy a varázsló a legalapvetőbb tulajdonságokra kérdez rá, de később lehetőség nyílik részletekbe menő beállításra is.
Élő hálózati kapcsolatnál első dolgunk a 2.4.21-es firmware frissítése volt. Az automatikus ellenőrzés után magától a 2.5.31-es verzióra akadt rá, de miután az U.S. Robotics honlapján szereplő konkrét fájl címét megadtuk neki, hajlandó volt a legújabb 2.6.12-es verziót is feltelepíteni. A jövőbeli rendszerfrissítéseket automatizálni lehet, a beállítás függvényében vagy felrakja a legújabb firmware-t, vagy e-mailben küld értesítést a lehetőségről. Ezt az online frissítést már csak biztonsági megfontolások miatt is érdemes kihasználni. Persze nem csak ezen múlik a védelem, nézzük, mit kínál ezen a téren a USR8200.
Tűzfal
Tűzfallal a biztonságért
Napjaink internetes támadásai miatt fokozott védelemre van szükség. Ezt felismerve sziklaszilárd tűzfalat ígér a gyártó, de vajon tényleg meg is valósítja ezt?
A hálózati térképen forgó földgömb jelképezi az Internetet, egy UTP-vonalvég a csatlakozó interfészt; a router ikonja a központ, a kettő közt található lángnyelv mögötti téglafal pedig a tűzfalat szimbolizálja, mely lehet alacsony, közepes és magas, a választott védettségi szint függvényében. Ezt az ikonra kattintva vagy a bal oldali menüből elérve tudunk beállítani.
A legalacsonyabb szint „Minimum Security” néven van feltüntetve, melynél nincs védelem, mivel bízunk benne, hogy olyan nagy a világháló, hogy pont nem hozzánk akar valaki betörni. Ez esetben tehát minden külső és belső forgalom engedélyezett, gyakorlatilag ez jelenti a tűzfal kikapcsolását.
A középső „Typical Security” szintre kapcsolva az Internet felőli hozzáférések blokkolódnak, de a belső hálón nincs házirend. Természetesen továbbra is lehetőségünk van a kezelőfelület távoli hozzáférésének engedélyezésére, és a „Local Servers” fül alatt tűzfalunk mögötti szervereket adhatunk meg, melyek egyes portjai kívülről is közvetlenül elérhetők.
A legszigorúbb gyári beállítást a „Maximum Security” nyújtja, amely azon kívül, hogy letiltja a külső hozzáféréseket, a belső forgalmat is korlátozza, és csak a készítők szerinti leggyakoribb protokollok (Telnet, FTP, HTTP, HTTPS, DNS, IMAP, POP3, és SMTP) csomagjait engedi át. Érdekes hogy szerepel a listán a Telnet is, amely alapvető biztonsági rizikófaktort jelent, és ma már kevésbé használatos, míg az SSH, amely védett távoli hozzáférést tenne lehetővé, már nem. Szerencsére ezt a hibát gyorsan javíthatja az élelmes rendszergazda, ugyanis az eddig elmondott általános biztonsági beállítások mellett speciálisabb védelmi intézkedéseket is hozhatunk.
Először is lehetőségünk van helyi szerverek és DMZ-hostok beállítására, de ezen felül az egész helyi hálóra vagy külön gépekre szabottan is korlátozhatjuk egyes portok elérhetőségét, sőt teljesen egyedi szűrőket is megadhatunk, külön szegmensekre és interfészekre lebontva.
Ezekkel a szűrőkkel a hálózati csomagforgalmat tarthatjuk kézben. A forrás- és célcímre, illetve a portra illesztve egy-egy csomag vagy egy teljes kapcsolat összes csomagja eldobható, loggolható. Természetesen ettől függetlenül is alapvető biztonsági napló készül a rendszerről.
Tetszett, hogy nagyon sok alkalmazás adatai előre be vannak állítva, ezek portjait nem kell külön felderítenünk, de természetesen egyedi alkalmazások porthasználatát is bevihetjük, melyekre a hozzáférés szabályozása, kívülről elérhető belső szerver megadása és egyéni szűrés esetén lehet szükség.
Egyéni engedélyek esetén a kezelőközpont hálózati térképén megjelenő hostok alatt feltűnnek kívülről elérhető portjaik is, illetve a DMZ-host is külön szerepel, így egy pillantással áttekinthető a teljes rendszer hozzáférhetősége.
Az alapos felderítés után megállapítottuk, hogy egy átlagos linuxos szerveren beállítható tűzfalhoz mérhető biztonsági redszert ezen a routeren is megvalósíthatunk, persze némi hozzáértés nem árt ennek teljeskörű kézben tartásához. Az alapos konfigurálás után kívülről estünk neki a tűzfalnak, de nem találtunk rajta szabad fogást, makacsul ellenállt behatolási kísérleteinknek. (A kedélyek felkavarásának elkerülése érdekében a teszt ezen szakaszáról nem szeretnénk bővebb tájékoztatást adni.)
Körülbástyázva a főhadiszállást, gondolnunk kell azért a kívül rekedtekre is; nézzük milyen megoldást kínál erre az USR8200.
Virtuális magánhálózatok
Egységben a többség
Hasznos dolog az irodai hálózat, ma már szinte nincs is olyan munkahely, ahol ne lennének a gépek összekötve. Igen ám, de egy cégnek több telephelye is lehet, amelyek saját hálózatát célszerű egy nagyba integrálni. Erre megoldást jelenthet a külön felépített bérelt vonal, ugyanakkor egyre többet hallani a távmunkáról, és az esetleg hétvégére hazavitt feladatok során is előnyös a központi hálózat elérése, azonban a kollégákhoz kihúzott saját vonal már igen költséges mulatság lenne.
Ilyen helyzetekre kínál megoldást a VPN (Virtual Private Network), azaz virtuális magánhálózat. Ennek célja az, hogy az egyes földrajzilag távol lévő (akár csak egyetlen gépből álló) LAN-szegmensek az Interneten keresztül úgy legyenek összekötve, mintha csak egy hub választaná el őket egymástól, mindeközben természetesen fokozottan figyelve a biztonságra. A megvalósítás lényege, hogy az egyes részlegeket tűzfallal az Internetre csatlakoztatva „alagutakat” hoznak létre közöttük, és valamilyen titkosított protokoll segítségével ezeken bonyolítják a forgalmat.
A most tesztelt Secure Storage Router Pro teljeskörű VPN-megoldást nyújt, segítségével helyi hálózatokat köthetünk össze, és lehetővé tehetjük távoli felhasználók Interneten keresztüli biztonságos csatlakozását is. Igen figyelemre méltó, hogy a műszaki leírás szerint 253 VPN-csatornát képes kezelni, bár valljuk be ennek teljes kihasználtsága nem valószínű.
A router támogatja az IPSec és a PPTP protokollt egyaránt, melyeket az „Advanced” blokkon belül tudtunk beállítani. Az alap távoli IP-tartomány megadása mellett csatlakozhatunk egy VPN-szerverhez, vagy a saját kiszolgálóként való működést is engedélyezhetjük. Ezen alapbeállítások mellett természetesen itt is lehetőség nyílik a „még haladóbb” konfigurációra, ahol az azonosítás és titkosítás eljárásait pontosíthatjuk.
Szerver üzemmód esetén természetesen csatlakozási joggal felruházott felhasználóra is szükségünk lesz, mi is létrehoztunk egyet. Ezek után egy Windows XP-t futtató gép beépített kliensét használva hoztunk létre új kapcsolatot.
Az ily módon távolról belépő gép rögtön feltűnt a router kezelőlapjának hálózati térképén, és csak a hiányzó hostnév és a nagyobb IP-cím utalt a többitől eltérő kapcsolatra. A VPN-kliensként kommunikáló gépről korlátozás nélkül láttuk a többi gép megosztott könyvtárait, és egyéb hálózati erőforrások is gond nélkül elérhetők voltak. A router javára írható, hogy igen nagy átbocsátó képességgel rendelkezik az alagúton keresztül is, a PPTP mellett mért adatátviteli sebesség bőven kihasználta az Internet kapcsolat adta felső határokat.
Otthon végzett munkánk után, biztonságosan csatlakozva munkahelyünk hálózatához, felmerül a kérdés, hová mentsük a végeredményt, ha a benti gépünk ki van kapcsolva? A U.S. Robotics erre is gondolt, így került a csizma az asztalra, azaz fájlszerver a routerbe.
Fájlszerver
Központi tár
Egyelőre egyedülálló dolog a routerbe integrált fájlszerver, de tény, hogy egy átlagos irodai hálózatba nélkülözhetetlen a központi tárolóhely, és mivel szükség van tűzfalra és útválasztóra is, adja magát a lehetőség, hogy ezeket építsük össze. (No meg persze a választás előtt hezitáló vásárlót is könnyebb megfogni úgy, ha eggyel több funkciót implementál a gyártó azonos árért.)
Külső tárolót, egész pontosan maximum akár 30-at USB 2.0 és IEEE 1394 portokon keresztül csatlakoztathatunk az USR8200-hoz, mely rögtön felismeri és a központi hálózati térképen meg is jeleníti az ily módon elérhetővé váló merevlemezeket.
Tesztünk során egy Techsolo TMR-3510 külső USB-meghajtóba szerelt 20 gigabájtos Maxtor HDD-t használtunk, melyet gond nélkül ismert fel a rendszer (de a próbaképp belerakott pen drive sem jelentett akadályt). A kezelőfelület hálózati elemei közt látható tárolóikon alatt tüntetik fel a különböző partíciókat, az ábécé elejétől kezdve egy-egy betűvel jelölve. A kis képre kattintva érhető el a fájlszerver adott lemezhez tartozó információs oldala.
Ezen a lapon a teljes HDD-ről szóló adatokon (méret, gyártó, csatlakozás típusa és státusz) kívül a rajta található partíciókat kezelhetjük kényelmesen. Tetszett, hogy gond nélkül használta a FAT32-es és ext3-as területeket egyaránt.
Lehetőségünk van partíciók törlésére, formázására és felületük ellenőrzésére, a kihasználatlan területeken pedig újakat hozhatunk létre, választva több ismert fájlrendszer közül.
A HDD csatlakozása után automatikusan elinduló fájlszervert hálózatunk gépei gond nélkül érték el, mind a windowsos, mind a linuxos gépek könnyen tudtak csatlakozni hozzá SMB osztott mappaként és FTP kiszolgálóként egyaránt. Ehhez persze szintén egy megfelelő jogosultságokkal bíró felhasználóra volt szükség.
Pozitív, hogy korlátlan számú usert adhatunk rendszerünkhöz, nincs a kezünket megkötő felső korlát. A router felhasználóit az Advanced/Users lap alatt látjuk egy táblázatba sorolva, itt hozhatunk létre újat is, akinek több jogosultság is adható. Az admin privilégium a router feletti teljes hatalmat jelenti, ezen kívül engedélyezhető a PPTP-s távoli belépés, a fájlszerverhez pedig írási és olvasási jogot biztosíthatunk. Kár, hogy a fájlrendszerbeli jogosultságok (az írás-olvasáson kívül) tovább nem finomíthatók, így ha valaki már olvashat a szerverről, az az összes partíció minden mappáját látni fogja.
A fájlszerver adta lehetőségek mellett nem szabad megfeledkeznünk a többi funkcióról sem, melyek szintén előnyére válnak az eszköznek.
Egyéb funkciók
Sűrített tartalom
A tűzfal, VPN és fájlszerver funkciók mellett számos fontos tulajdonsága van a USR8200-nak, melyek részletes ismertetésére terjedelmi korlátok miatt nem vállalkozhatunk.
Lehetőség van az útválasztó funkciók igen részletes szabályozására, egyéni bejegyzéseket adhatunk a routing táblához.
A DHCP szerverként való üzemelés a szokásos LAN-irány mellett a WAN-portra is engedélyezhető.
Hasznos dolognak tartjuk, hogy automatikusan szinkronizálja magát a router egy időkiszolgálóhoz, melynek címe manuálisan is megadható. (Mi például az europe.pool.ntp.org-ot adtuk meg, ez automatikusan továbbít egy aktuálisan elérhető szabad időszerverhez a kontinensen).
Általános státuszjelentés mellett különböző rendszernaplók alapján követhetjük nyomon routerünk működését.
A nem kívánt tartalom elérést is korlátozhatjuk, lehetőség van egyes webhelyek belső hálózat felőli elérhetőségének letiltására, bár felhasználóra bontva ezt már nem szabályozhatjuk.
A dinamikus DNS támogatás mellett, mely a külső azonosítást könnyíti meg, a router önálló DNS-szerverként működik a belső háló felé.
A hálózatkezelést segítő apróság, hogy a diagnosztika menüpont alatt ping áll rendelkezésre. A biztonságot szolgálja a tanúsítványkezelés.
Mindezek mellett fontos kitérni a nagy sebességre, melyet a router biztosít.
Értékelés
Értékelés
A végszó kimondása előtt kíváncsiak voltunk a router belső és külső tartománya közti átjárhatóságra. Tűzfal nélkül a válaszidő (min/átlag/max) 1/1/2 ms, míg az áteresztő képesség 94,118 Mbps volt TCP és 59,315 Mbps UDP esetén. Ezután a tűzfalat visszakapcsolva a változatlan válaszidő és TCP forgalom mellett az UDP csomagokra adott áteresztőképesség 27,875 Mbps-ra csökkent. Ezek az eredmények figyelemre méltóak, véleményünk szerint nagyon jónak számítanak.
Végül nézzük, mi kerül a mérleg két oldalára. Tetszett az erős fizikai felépítés, a hardverkörnyezet és az ehhez társított OpenRG operációs rendszer, az így elért teljesítmény igen nagy. A részletesen szabályozható tűzfal és az erős routing mellett a többi funkció teljes kézben tarthatósága is nagyon hasznos, és itt kell megjegyezni, hogy a szépen kidolgozott grafikus adminisztrátori felület is praktikus. Ugyancsak a pozitív oldalt erősíti a biztonságos VPN-kapcsolat megvalósítása (a PPTP és az IPSec támogatása), valamint az integrált fájlszerver, illetve külső tárak csatlakoztatásának lehetősége, amilyennel eddig még nem találkoztunk. Előnyös a 2 év garancia is.
Kicsit zavart, hogy használat közben eléggé melegedett a router, esetleg egy fokkal jobb szellőzés segítene rajta. Nem tetszett az sem, hogy a mellékelt felhasználói kézikönyv nagyrészt leírja, hogy mit állíthatunk be, de ennél részletesebb tájékoztatást (pl. az egyes funkciók szerepéről) már nem ad. Persze egy ilyen eszközhöz már hozzáértő rendszergazda is dukál, de számára is nehézséget okozhat, hogy a szép felület ellenére nem könnyű minden apró beállítás helyét rögtön megtalálni. A fájlszerverben hasznos lenne a szélesebb körű jogosultságkezelés.
Összességében jó benyomást keltett a U.S. Robotics Secure Storage Router Pro üzleti célú szélessávú routere. Ára ugyan első pillantásra nem kevés, de a „business class” szintjén már megfizethető, és a kategóriájában jónak számít. Véleményünk szerint képességei alapján alkalmas egy 50-60 fős vállalat komplett kiszolgálására, de a viszonylag nagy hálózattal rendelkező otthoni felhasználók is jó hasznát vehetik.
Értékelés: ajánlott.
U.S. Robotics USR8200
A tesztkészüléket az RRC Hungary Kft. bocsátotta szerkesztőségünk rendelkezésére.
