Введение
ZyAIR G-2000 – именно такое название получил новый беспроводной широкополосный маршрутизатор 802.11g (и 802.11b) от компании ZyXEL Communications. Он интересен множеством функций и очень гибкой настройкой, что выделяет его среди других устройств подобного рода.
ZyAIR позволяет разделять одно подключение к Интернету на нескольких клиентов, благодаря чему пользователи домашней или офисной сети могут одновременно получать доступ в Интернет через проводные или беспроводные подключения. Если говорить о безопасности WLAN, то поддерживается и стандарт WPA (Wi-Fi Protected Access), в котором решены проблемы безопасности, существующие в WEP.
Из функций безопасности ZyAIR можно отметить фильтрацию по MAC-адресам, дающую ещё один уровень защиты от несанкционированного доступа.
Осталось дополнить, что ZyAIR G-2000 поддерживает различные способы аутентификации и несколько типов подключения, что позволяет считать его весьма гибким решением для домашних и офисных сетей. Очевидно, ZyXEL не поскупилась, создав полнофункциональное устройство с руководством пользователя из 400 страниц.
Основные функции
Рис. 1. ZyAIR G-2000 с четырьмя портами LAN и одним WAN.
ZyAIR G-2000 имеет четыре коммутируемых порта 10/100 LAN и один порт 10/100 WAN. Это позволяет подключить до четырёх локальных компьютеров, если же потребуется подключить больше, то всегда можно использовать дополнительный коммутатор. Порты LAN имеют автоматическое согласование параметров связи и автоопределение MDI/MDI-X (то есть вам не нужно задумываться над тем, какой кабель использовать – прямой или перекрёстный).
Если вы ошибётесь в настройках, то поможет клавиша сброса, установленная в одной из боковых панелей и позволяющая сбросить пароль и IP-адрес до заводских значений. Поскольку до клавиши сброса очень не просто добраться, то можно без сожаления ставить маршрутизатор в любое укромное место (всё необходимое для этого есть в комплекте).
Кроме портов LAN и WAN, у устройства есть ещё, на что стоит обратить внимание. Первое, что бросается в глаза, – это пара антенн, благодаря которым G-2000 приобретает некоторую схожесть со всем известным Шреком из одноимённого мультфильма. Для подключения антенн используются разъёмы RP-TNC. Кстати, отметим, что установленные антенны являются съёмными.
Ещё одной приятной особенностью можно считать наглядные индикаторы, расположенные на верхней части устройства: питание, состояние системы и активность портов LAN и WAN. Также на устройстве расположен крупный ярко-синий индикатор ZyAIR, который работает либо как индикатор беспроводной передачи данных, либо просто как ночник.
Внутреннее устройство
На Рис. 2 показано внутреннее устройство. Прекрасно виден синий светодиод, подсвечивающий логотип ZyAIR и подмигивающий при передаче данных. Один из четырёх портов LAN и порт WAN подсвечиваются жёлтыми светодиодами. Индикаторы портов LAN показывают состояние и активность соединений. Два зелёных индикатора отображают статус системы и наличие питания.
Рис. 2. Плата ZyAIR G-2000.
G-2000 построен на базе чипа Conexant PRISM на радиомодуле ZCom XG-601 mini-PCI, который установлен на обратной стороне платы.
Настройка и администрирование
Большинству пользователей web-интерфейс нравится больше командной строки. Мы рады отметить, что G-2000 позволяет и то и другое. Оба способа позволяют настроить маршрутизатор, задать системное имя, тип подключения WAN и параметры DHCP.
Если вы предпочитаете использовать Мастера настройки, то ZyXEL предлагает “Web Configurator”. Он позволяет выполнить пошаговую настройку ZyAIR, которая будет понятна даже для неискушённых пользователей.
Рис. 3. Первый шаг настройки ZyAIR при помощи Web Configurator.
После задания системного имени (System Name) Мастер поможет настроить канал, на котором работает G-2000, ESSID, параметры WEP. ZyAIR позволяет вводить ключи WEP как в формате ASCII, так и в шестнадцатеричном.
Рис. 4. Простая настройка PPPoE. Поддержание соединения.
Затем конфигуратор помогает настроить интерфейс WAN (Рис. 4). В нашем случае мы использовали PPPoE (PPP over Ethernet) и указали имя пользователя (user ID) и пароль, которые мы получили у провайдера. Кроме того, мы поставили флажок в пункте “Nailed-up Connection”, активировав, тем самым, поддержку канала. На других устройствах это называется “keep alive”.
В заключение необходимо указать метод получения параметров IP: задавать их вручную или получать автоматически. Мы выбрали получение IP-адреса и адресов серверов DNS для интерфейса WAN от провайдера. Мы не активировали функцию подмены MAC-адреса, хотя ZyXEL рекомендует включать её для компьютера, используемого в настройке точки доступа. Подмена выполняется автоматически, при выборе соответствующей опции.
Кстати, если вы уже настроили устройство вручную, то конфигуратор отобразит все текущие настройки.
Защиты никогда не бывает много. И в ZyAIR G-2000 добавлено несколько важных функций, касающихся безопасности (например, поддержка WPA). Несмотря на это, ZyXEL не всё сделала правильно. Дело в том, что по умолчанию административный интерфейс доступен как из проводного, так и из беспроводного сегментов. Удалённый доступ администрирования можно ограничить по IP-адресу, но нельзя по MAC-адресу.
Для административного входа задаётся лишь пароль, без имени. Благо, ZyXEL предусмотрела возможность атак методом прямого перебора и приняла ряд мер по защите. Можно задать время, на которое будет блокироваться учётная запись послё трёх неправильных попыток ввода (от 3 до 60 минут). Конечно, в таком случае вы также не сможете получить доступ, если кто-то пытается подобрать пароль.
Кстати, изменить время блокировки административного входа через web-интерфейс невозможно. Для этого нужно подключиться к ZyAIR по Telnet и выполнить соответствующую команду. В руководстве пользователя этот шаг не совсем понятно описан, но следующий FAQ поможет с ним разобраться.
Межсетевой экран – Multi-NAT
В ZyAIR G-2000 реализован брандмауэр на основе NAT и SPI (Stateful Packet Inspection) с защитой от атак типа “отказ в обслуживании” (DoS – Denial of Service). Межсетевой экран ZyAIR также поддерживает анализ пакетов TCP/UDP, оповещения в реальном времени, отчёты и журнал. Нам понравилось небольшое замечание, которое мы увидели в документации ZyAIR:
Если вы не совсем ясно представляете, как работают правила брандмауэра, то можете допустить ряд ошибок, которые могут нарушить безопасность всей сети. Поэтому не забывайте тестировать созданные правила.
Отметим, что на проверку может уйти немало времени.
Брандмауэр ZyAIR имеет встроенную поддержку различных типов NAT, включая One-to-One, Many-to-One, Many-to-Many Overload, Many One-to-one и Server. Однако все эти функции полезны только в том случае, если вы используете несколько внешних IP-адресов.
В то же время, многим по вкусу придётся функция ZyAIR SUA (Single User Account), позволяющая выставить локальный сервер за межсетевой экран G-2000. SUA позволяет работать как с отдельными портами, так и с их диапазонами.
Блокирование служб
Интерфейс блокирования служб брандмауэра ZyAIR G-2000 довольно сложен для новичка, однако он содержит десятки предустановленных правил.
Рис. 5. Включение брандмауэра, журналирование трафика и указание IP-адреса, на который ограничения не действуют.
Для того, чтобы заблокировать службу, достаточно выбрать её название и щёлкнуть по кнопке “Add/Добавить” (Рис. 6). В результате этого, служба (скажем, FINGER) будет заблокирована с интерфейса WAN на интерфейс LAN. Отметим, что web-интерфейс не позволяет блокировать выборочные IP-адреса или создавать ограничения, зависимые от направления.
Рис. 6. Блокирование служб.
Фильтрация содержания
Поддерживается фильтрация содержания по адресу (URL) или по ключевым словам (Рис. 7). При этом можно настроить фильтрацию по расписанию, причём, можно задавать как часы, так и дни недели.
Рис. 7. Ограничение по дате и времени.
В общем, если вам нужен межсетевой экран уровня предприятия, то придётся подумать о покупке отдельного решения. Если же вас устроит простейшая фильтрация, то вполне подойдёт и ZyAIR G-2000. В то же время, среди устройств сходной с ZyAIR ценовой категории можно найти аппарат с гораздо более интересным брандмауэром.
VPN
ZyAIR поддерживает пропускание туннелей протоколов PPTP, L2TP и IPsec от клиентов LAN наружу, а также функцию SUA, обеспечивающую доступ снаружи к локальным серверам VPN всех трёх типов.
ZyXEL почему-то особо выделяет пропускание SSL у G-2000, однако эта функция вполне стандартна для потребительских маршрутизаторов.
Журналирование и оповещения
Хотя встроенные возможности журналирования (Рис. 8) весьма ограничены, G-2000 может работать с сервером syslog. Для этого достаточно указать имя или IP-адрес сервера syslog. Если в вашей сети такого сервера нет, то можно настроить ZyAIR на отправку журналов по электронной почте.
Можно настроить расписание отправки журналов, в которые может заноситься более десятка различных параметров: от состояния системы и ошибок до попыток атак. Оповещения включают в себя системные ошибки, контроль доступа, блокирование web-сайтов, атаки и другое.
Рис. 8. Журналирование и оповещения.
Другие возможности
Среди прочих возможностей можно выделить следующие.
- Поддержка SNMP (Simple Network Management Protocol) -ZyAIR поддерживает SNMPv1 и v2, что позволяет использовать специальное приложение для доступа и контроля ZyAIR по сети.
- Поддержка Dynamic DNS – позволяет обращаться к серверу по его имени, даже если он не имеет постоянного IP-адреса. Хотя на Рис. 9 показано выпадающее меню в поле выборе службы DDNS, единственным возможным вариантом в нём является DynDNS.ORG. DynDNS поддерживает три типа DDNS: динамический, статический и выборочный. Перед включением этой функции ознакомьтесь с информацией на сайте www.DynDNS.org.
Рис. 9. DDNS позволяет добраться до вашей сети по имени.
- Поддержка Multicast – поддерживается рассылка IGMP пакетов версий 1 и 2 (см. RFC 2236). Multicast не интересна для большинства пользователей, но если вы планируете просматривать или размещать у себя определённые типы потоковых служб, использующих multicast, то весьма приятно, что ZyAIR поддерживает и этот протокол.
- IP Aliasing и IP Policy Routing – IP Alias позволяет разделять одну физическую сеть на несколько логических при использовании одного интерфейса Ethernet. ZyAIR поддерживает до трёх логических интерфейсов LAN для интерфейса Ethernet LAN, при этом G-2000 является шлюзом для каждой сети LAN.
Технология IP Alias может быть интересна в корпоративной сети, когда необходимо разделить сеть на несколько логических сегментов. Весь трафик между сегментами будет проходить через ZyAIR. Таким образом, можно избавиться от проблем в сетях с различными топологиями и ассиметричной маршрутизацией. Те же пользователи будут рады узнать, что ZyAIR поддерживает IP Policy Routing, что можно управлять маршрутами пакетов в зависимости от политик, заданных администратором. - Universal Plug and Play (UPnP) – используя TCP/IP, ZyAIR и другие устройства с UPnP могут динамически подключаться к сети, получать IP-адрес и передавать информацию о своих ресурсах другим устройствам сети. Нам пришлось поверить ZyAIR на слово, поскольку других устройств с UPnP в сети не было. На Рис. 10 показано, что прохождение NAT для UPnP включается отдельно.
Совет: Подробнее о UPnP можно узнать в нашем материале UPnP NTK.
Рис. 10. G-2000 поддерживает UPnP
Производительность маршрутизации
Результаты тестирования показали достаточно равномерную производительность, которая оказалась немного ниже 16 Мбит/с для каждого направления. Такое значение скорости вполне соответствует результатам других маршрутизаторов текущего поколения, и её будет вполне достаточно для большинства приложений.
| Производительность маршрутизации Версия прошивки: V 3.60(HI.1) |
||||
| Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP (актуальная пропускная способность – кбит/с) |
Поток UDP (потерянных данных- %) |
| WAN-LAN | 15,8 | 1 (сред.) 1 (макс.) |
500 | 0% |
| LAN-WAN | 15,7 | 1 (сред.) 1 (макс.) |
500 | 0% |
Беспроводная сеть
Настройки беспроводной части ZyAIR (Рис. 11) позволяют отключить радиочасть и задать ESSID (в том числе и отключить его широковещание).
Рис. 11. ZyAIR поддерживает WEP, отключение широковещания ESSID и упрощённый ввод ключей WEP.
Остальные параметры настройки можно увидеть на Рис. 11, большинство из них вам уже знакомо. Отметим, что G-2000 не поддерживает никакие технологии увеличения пропускной способности 802.11g.
В ZyAIR реализован ряд функций усиления безопасности беспроводных соединений, например, WPA, аутентификация 802.1x и фильтрация MAC-адресов.
Совет: подробнее о WPA, можете узнать в нашем материале Руководство “сетевика”: Wi-Fi Protected Access (WPA).
Поддерживаются оба режима WPA: Pre-Shared Key (PSK) и “enterprise” (RADIUS) с TKIP. Опционального шифрования AES, поддерживаемого некоторыми конкурирующими решениями, в G-2000 нет.
Технология 802.1x основана на использовании клиент-серверной модели с централизованной аутентификацией и учётом пользователей – обычно для этого используется сервер RADIUS. Такой подход более надёжен и гибок, чем использование статических паролей или MAC-адресов. RADIUS также позволяет использовать несколько схем аутентификации, включая двухфакторную и аппаратные средства (например, смарт-карт).
Поскольку ZyAIR не имеет встроенного сервера RADIUS, он может передавать запросы аутентификации на сторонний сервер.
Рис. 12. Закладка настройки RADIUS – требуется указать адрес сервера и ключ.
Точка доступа и сервер RADIUS используют один и тот же секретный ключ или пароль. По сети передаётся не сам ключ, а только его хэш MD5. ZyAIR поддерживает протоколы аутентификации EAPTLS, EAP-TTLS и PEAP для RADIUS.
EAP и RADIUS созданы для надёжной аутентификации уровня предприятия. В домашних условиях G-2000 позволяет реализовать аутентификацию EAP при помощи локальной базы данных пользователей (Рис. 13), в которую может входить до 32 записей.
Рис. 13. Если у вас нет сервера RADIUS, то можно воспользоваться локальной базой пользователей.
Локальная база действует подобно серверу RADIUS, но не является таковым. Использование аутентификации через RADIUS или локальную базу требуют поддержки 802.1x со стороны клиентов.
На Рис. 13 показано, что запросы аутентификации можно направлять на внешний сервер RADIUS, локальную базу (Рис. 14) или сразу на оба ресурса. Что бы вы ни использовали, можно периодически проводить повторную аутентификацию и/или принуждать к ней при слишком большом времени простоя.
Рис. 14. Локальная база пользователей обеспечивает аутентификацию по имени пользователя и паролю.
G-2000 также поддерживает фильтрацию MAC-адресов (Рис. 15). При этом можно создать как список разрешённых, так и список запрещённых MAC-адресов, но сохранить его в файл или загрузить из файла нельзя. Также невозможно просмотреть список подключённых адресов или клиентов, находящихся в радиусе действия сети.
Рис. 15. Ограничение доступа путём фильтрации MAC-адресов.
Производительность беспроводной сети
Результаты тестирования производительности 802.11g приведены в таблице:
| Условия тестирования: – Шифрование WEP: ВЫКЛЮЧЕНО – Скорость передачи: автоматическая – Энергосбережение: выключено – Партнёр по тестированию: Fujitsu Lifebook P-2000F со встроенным адаптером Broadcom |
Версии прошивки/драйвера: Прошивка ТД: V 3.60(HI.1) Драйвер беспроводного клиента: WinXP 3.10.39.7 |
||||
| Описание тестирования | Скорость соединения | Скорость передачи (Мбит/с) [пакет данных 1 Мбайт] |
Время отклика (мс) [10 итераций по 100 байт] |
Поток UDP (Действительная пропускная способность – кбит/с) |
Поток UDP (Потеряно данных – %) |
| Условие 1 | 54 Мбит/с | 15,7 | 1 (ср.) 1 (макс.) |
500 | 0 |
| Условие 2 | 36 | 15,8 | 1 (ср.) 2 (макс.) |
500 | 0 |
| Условие 3 | 1-5 | 7,5 | 2 (ср.) 2 (макс.) |
485 | 0 |
На Рис. 16 показан график Chariot после завершения тестирования при первом (идеальном) условии, когда G-2000 и клиент находятся в одной комнате. На графике видны два кратковременных снижения скорости, при этом среднее значение составило 15,7 Мбит/с. Производительность соответствует конкурирующим продуктам устройств.
Рис. 16. Тестирование пропускной способности. Условие 1.
В тесте 2 расстояние между маршрутизатором и клиентом составляло около 12 метров, а на пути сигнала находилось несколько стен. На Рис. 17 видно общее снижение скорости и более частые провалы. Во время тестирования клиент показывал скорость 36 Мбит/с, но среднее значение составило 15,8 Мбит/с – это не хуже, чем в первом тесте.
Рис. 17. Тестирование пропускной способности. Условие 2.
Третий тест проводился в наиболее тяжёлых условиях, когда между конечными точками были довольно внушительные преграды – каменная стена и слой земли, которые сильно ослабляют сигнал. Скорость соединения на клиенте колебалась между 1 и 5 Мбит/с, тест часто прерывался, поэтому нам пришлось подбирать местоположение клиента. На Рис. 18 показано, что тест 3 закончился со средним значением скорости передачи 7,5 Мбит/с, что выше скорости соединения, показанной клиентом. В то же время, колебания скорости оказались гораздо сильнее, чем в первом и втором тестах.
Рис. 18. Тестирование пропускной способности. Условие 3.
Заключение
G-2000 можно поставить высокую оценку за дизайн. Маршрутизатор выглядит просто великолепно.
Поворачивающиеся антенны достаточно хорошо справляются со своими обязанностями, индикаторы расположены удачно и хорошо заметны. Единственный недочёт заключается в том, что не мешало бы сделать фиксатор для разъёма питания.
Хотя цена устройства вполне справедлива, некоторые конкуренты G-2000 стоят почти в два раза дешевле! Если поддержка WPA, EAP, RADIUS и локальной аутентификации для вас не важны, то стоимость G-2000 может показаться слишком высокой.
Если web-интерфейс и требует доработки, особенно по настройке межсетевого экрана, то, в целом, настройка G-2000 оказалась достаточно простой, и нам удалось обойтись без просмотра руководства.
| Итоговая информация о продукте | |
| Производитель | ZyXEL Communications |
| Модель | ZyAIR G-2000 |
| Итог | Маршрутизатор стандарта 802.11g с поддержкой WPA, но без WDS |
| Преимущества | – Поддержка WPA – Поддержка EAP и RADIUS – Богатый набор функций и широкие возможности по настройке – Поддержка администрирования через интерфейсы Web и Telnet |
| Недостатки | – Средняя производительность беспроводной сети – Web-интерфейс требует доработки – Сложная настройка межсетевого экрана |
| Розничная цена | $105 (США) |
Условия тестирования беспроводной производительности
Все тесты проводились средствами IXIA Chariot 4.3, build 1699. Было выбрано направление передачи данных от точки доступа к клиенту, при использовании TCP/IP и размере файла в 1 000 000 байт, время передачи составляло 1 минуту.
В качестве беспроводного клиента выступал ноутбук Fujitsu Lifebook P-2000, работающий под управлением ОС Windows XP SP1, с 512 Мбайт ОЗУ на борту и процессором Intel Pentium M 900 МГц.
Клиент Ethernet – ноутбук Dell Inspiron 8600, также под управлением Windows XP SP1, 512 Мбайт ОЗУ и с процессором Intel Pentium M 1,7 ГГц.
Условие 1: в одной комнате
Расстояние между G-2000 и беспроводным клиентом около 3 метров.
Условие 2: среднее расстояние
Беспроводной клиент находился примерно в 12 метрах от точки доступа, кроме этого между ними было две тонких стены.
Условие 3: сильное затухание
Беспроводной клиент находился примерно в 30 метрах от точки доступа. Точка доступа находилась за каменной стеной и слоем земли, ниже клиента.
