Точка доступа ZyAIR G-3000 EE: основа для беспроводной сети корпоративного уровня
Редакция THG,  19 мая 2005


Введение

Введение

В сетевую лабораторию THG.ru попала новая точка беспроводного доступа корпоративного уровня от ZyXEL - ZyAIR G-3000 EE. Вполне очевидно, что такая модель должна иметь гораздо более широкую функциональность, обеспечивать надёжную защиту и разделение передаваемого трафика. Кроме всего прочего, корпоративный уровень более требователен как к скорости работы сети, так и к её ёмкости. К особенностям точки доступа можно отнести возможность использования двух беспроводных интерфейсов, питания по Ethernet (PoE), а также работу в режиме беспроводного повторителя/моста WDS. Ниже мы рассмотрим предлагаемые G-3000 возможности и приведём результаты нашего традиционного тестирования.

G-3000 EE поддерживает два радио-интерфейса, что позволяет задействовать два не перекрывающихся частотных диапазона для 802.11g (дополнительный - посредством адаптера PC Card G-110 EE) или, с выпуском соответствующего адаптера для 802.11a, по одному диапазону для каждого стандарта. Поскольку диапазоны не пересекаются, то никаких особых ограничений налагаться не будет. То есть в каждом из них будет возможна полноскоростная работа. Интерфейсы могут иметь различные сетевые идентификаторы (SSID), и их трафик можно транслировать в разные виртуальные сети. Так, для клиента будет незаметно, сколько точек доступа используется на самом деле: одна или две.

Комплект поставки

Точка доступа поставляется в традиционной для оборудования ZyXEL белой с синим упаковке, в которой, кроме самой точки доступа, можно найти всё необходимое для её использования: две съёмные антенны, блок питания, подставку для вертикальной настольной установки, кросс-кабель для подключения к сети Ethernet, кабель для консольного подключения, а также бумажную версию руководства по быстрой установке и диск с документацией. Отметим, что точка доступа предполагает не только настольную горизонтальную и вертикальную установку, но и настенную, для чего на нижней стороне расположены специальные петли.

Корпус устройства отличается округлыми очертаниями, которые придают ему особую привлекательность. Расположение индикаторов выбрано удачно - середина. Если говорить о последовательности расположения индикаторов, то в верхней части G-3000 расположен "дышащий" индикатор, который плавно мерцает синим цветом, подобно маяку, ниже в один ряд выстроены все остальные индикаторы: WLAN/беспроводная сеть, ETHN/проводное подключение, SYS и PWR.

Разъёмы для подключения антенн расположены в верхней части точки доступа на правой и левой боковых панелях. На правой панели также находится слот для установки дополнительного беспроводного сетевого интерфейса, закрытый резиновой заглушкой. Левая боковая панель нагружена разъёмами для подключения консоли, Ethernet и питания, рядом с последним располагается кнопка сброса настроек, необходимая, например, в том случае, если вы забыли пароль или запутались в параметрах.

Внутреннее устройство

Разобрав корпус G-3000, мы обнаружили плату, разъёмы и контроллеры которой расположены на верхней стороне, а беспроводные модули подключаются к обратной стороне. В качестве встроенного решения используется плата miniPCI, установленная в соответствующий слот, для дополнительного сетевого интерфейса предусмотрен слот PC Card, расположенный рядом с miniPCI.

Внутреннее устройство
Плата G-3000. Лицевая сторона.


Внутреннее устройство
Плата G-3000. Обратная сторона.

Возможности, полезные для корпоративного сектора

Поскольку G-3000 позиционируется как точка доступа корпоративного уровня, она имеет ряд перечисленных ниже отличительных черт, которые позволяют выделить её из множества устройств, предназначенных для домашнего использования.

Множественные сетевые идентификаторы (ESSID), позволяющие использовать одну точку доступа для создания двух независимых беспроводных сетей, трафик которых будет транслироваться в соответствующие виртуальные локальные сети. Такая возможность позволяет разделить пользователей различных сетей и назначить приоритеты для каждой из них.

Беспроводное подключение повторителей (WDS Repeater mode) для режимов "точка-точка" и "точка-многоточка". Допускается соединять беспроводными магистралями до шести устройств G-3000 EE, при этом устройства могут продолжать работать в качестве точек доступа, то есть обслуживать беспроводных клиентов.

Режим беспроводного моста (WDS Bridge mode) для конфигураций "точка-точка" и "точка-многоточка". Здесь возможности тоже выходят за традиционные рамки, допуская создавать не одно, а шесть независимых соединений сетей Ethernet. Напомним, что отличие режима моста от режима повторителя состоит в том, что он не позволяет подключать беспроводных клиентов, ограничивая, таким образом, использование канала только мостами и, соответственно, повышая производительность таких соединений.

Питание по сетевому Ethernet-кабелю (Power over Ethernet, PoE). Позволяет устанавливать точку доступа там, где есть кабель Ethernet, не задумываясь о наличии поблизости розетки электропитания и упрощая защиту от проблем в электропитании.

Настройка и администрирование

Настройка устройства может выполняться как посредством административного web-, так и telnet-интерфейса. Для перехода к администрированию необходимо перейти по адресу 192.168.1.2. Напомним, что необходимо, чтобы адрес компьютера, с которого выполняется доступ к интерфейсу, был из той же подсети - 192.168.1.х, маска 255.255.255.0. Используется имя "admin", пароль "1234" (для доступа к web-интерфейсу нужно указать только пароль). Эти параметры, заданные по умолчанию, мы рекомендуем изменить при первой же возможности. Конечно, если вы хоть немного заботитесь о безопасности своей сети. Кстати, при первом же входе, после успешного ввода пароля, будет предложено его изменить. После окна с предложением сменить пароль появится следующее окно, в котором будет предложено сменить сертификат. И только после этого вы увидите главное окно настройки.

Web-интерфейс: Мастер настройки

Точка доступа имеет встроенный Мастер, который позволяет удобно выполнить настройку, последовательно пройдя через все необходимые этапы. Первым делом Мастер предлагает указать имя точки доступа.

Web-интерфейс: Мастер настройки
Мастер настройки. Шаг первый.

На следующем шаге нужно указать основные параметры беспроводной сети: идентификатор сети SSID, канал, режим шифрования WEP и, при необходимости, ключи шифрования. Внимательные читатели, вероятно, заметили скромную кнопку "Scan" рядом с выпадающим списком каналов - она предназначена для поиска свободного канала в том случае, если вы не знаете, какой именно канал лучше всего использовать. В нашем случае все каналы свободны, и мы можем использовать любой. По умолчанию установлен шестой, если же воспользоваться поиском, то система предложит использовать первый (так было и в нашем случае, однако, у вас могут быть свободны другие частотные каналы).

Web-интерфейс: Мастер настройки
Мастер настройки. Шаг второй.

Последний шаг - указание параметров IP: адрес, маска подсети и IP-адрес шлюза по умолчанию. Указав всё необходимое, следует нажать на кнопку "Finish" и закончить настройку.

Web-интерфейс: Мастер настройки
Мастер настройки. Шаг третий.

На этом работа Мастера будет окончена.

Web-интерфейс

Конечно, Мастер настройки не позволяет задать все необходимые параметры. Для более тщательной настройки необходимо воспользоваться web-интерфейсом и задать все необходимые параметры вручную. Далее мы рассмотрим, какие параметры следует искать на каждой из страниц интерфейса, и за что они отвечают.

Раздел "System" содержит три закладки: "General", "Password" и "Time Settings". Закладка "General" позволяет задать такие параметры, как имя точки доступа, домен, максимально допустимое время простоя до разрыва сеанса администрирования, а также здесь можно указать адреса трёх серверов DNS.

Web-интерфейс
Раздел "System".

Что касается закладки "Password", то здесь ничего особенного нет - лишь три поля. Одно поле для того, чтобы ввести текущий пароль и два для нового: пароль и его подтверждение.

Web-интерфейс
Смена пароля.

Последняя закладка в этом разделе отвечает за параметры времени на точке доступа. Можно установить часы вручную, либо выбрать сетевую синхронизацию и указать адрес сервера времени. Вполне очевидно, что здесь же устанавливается и часовой пояс. Более того, в G-3000 допускается настраивать даже летнее и зимнее время.

Web-интерфейс
Параметры времени.

После раздела "System" идёт раздел "Wireless". Очевидно, что он отвечает за параметры беспроводной сети. Раздел содержит пять закладок, на каждой из которых задаются свои параметры. Первая закладка содержит такие настройки, как режим работы (точка доступа, повторитель, мост), идентификатор сети (SSID), используемый канал (с кнопкой "Scan" рядом), значения RTS/CTS и фрагментации, здесь же настраивается и шифрование WEP. Кроме всех перечисленных выше настроек, большинство из которых хорошо знакомы читателям по предыдущим материалам, G-3000 имеет ряд таких, которые пока редко встречаются в точках доступа. Среди них можно отметить разрешение/запрет трафика между беспроводными клиентами (эта возможность характерна для большинства точек доступа ZyXEL), включение/отключение мерцания декоративного индикатора, использование протокола Spanning Tree. Здесь же задаются и более знакомые параметры: мощность, преамбула, режим 802.11 (b или g), максимальный кадр и идентификатор виртуальной сети (VLAN).

Web-интерфейс
Настройки беспроводной сети.

G-3000 позволяет ограничивать доступ клиентов друг к другу на канальном уровне. Это позволяет запретить доступ беспроводных клиентов друг к другу, что особенно актуально при организации общественных сетей - хот-спотов. Однако, некоторые узлы должны иметь возможность обращаться к другим. G-3000 позволяет указать МАС-адреса тех систем, которые должны работать с другими без каких-либо ограничений.

Web-интерфейс
Ограничение доступа.

G-3000 позволяет ограничивать доступ к беспроводной сети на основании MAC-адреса. Причём, возможно как создание списка разрешённых адресов, так и списка запрещённых, что позволяет достаточно гибко использовать эту функцию. Отметим, что всего можно указать до 32 адресов.

Web-интерфейс
Фильтрация по МАС-адресам.

Чтобы беспроводные клиенты могли переходить из зоны действия одной точки доступа в зону действия другой, не разрывая при этом соединения, необходимо использовать функции роуминга. Их настройка выполняется на закладке "Roaming".

Web-интерфейс
Роуминг.

Кроме шифрования WEP, о проблемах безопасности которого уже было написано множество материалов, G-3000 поддерживает и другие методы предотвращения перехвата передаваемой информации. Для этого используется 802.1x и WPA. Настройка этих параметров выполняется на закладке "802.1x/WPA". Отметим, что здесь можно выбрать, надо ли использовать аутентификацию, и задать протокол. Поддерживаются WPA-PSK, WPA и 802.1x.

Web-интерфейс
Безопасность беспроводных соединений.

Web-интерфейс, продолжение

Раздел с самым коротким названием "IP" стал одним из самых миниатюрных на всём интерфейсе. Именно здесь указывается, какой адрес будет присвоен точке доступа: либо из диапазона адресов сервера DHCP, либо назначенный администратором вручную, тогда потребуется ввести не только новый адрес, но и маску подсети и адрес шлюза.

Web-интерфейс, продолжение
Параметры IP.

Следующий раздел - "Remote Management". Здесь настраиваются параметры сетевого доступа к администрированию точки доступа по протоколам Telnet, FTP, WWW и SNMP. Рассмотрим на примере WWW. Во-первых, как видно, здесь используется механизм работы HTTPS при помощи сертификатов. Указывается порт и интерфейс, с которого возможен доступ к интерфейсу администрирования, а также адрес, с которого может выполняться административный вход в систему. В нижней части экрана находятся настройки для администрирования по Web-интерфейсу. Здесь также можно выбрать порт, интерфейс и адрес, с которых будет разрешено администрирование точки доступа.

Web-интерфейс, продолжение
Управление.

Точка доступа имеет встроенный сервер RADIUS, благодаря которому можно обеспечить дополнительную защиту передаваемого трафика. В нашем случае показано, что сервер работает, и на нём зарегистрирован один сертификат, созданный, кстати, автоматически.

Web-интерфейс, продолжение
RADIUS.

В этом разделе можно просмотреть все сертификаты, зарегистрированные точкой доступа. В верхней части отображается индикатор заполненности хранилища сертификатов. А ниже - сами сертификаты.

Web-интерфейс, продолжение
Зарегистрированные сертификаты.

Ниже сертификатов располагается раздел журналирования. На первой закладке окна раздела можно просмотреть сами журналы, причём, допускается просматриваться как все события одновременно, так и события по группам. Отображаемый журнал можно отправить по электронной почте, обновить или очистить.

Web-интерфейс, продолжение
Журналирование.

Настройки журналирования выполняются на следующей закладке. Именно там указываются настройки почты, необходимые для отправки журналов (почтовый сервер, тема сообщения, адрес для отправки журналов и адрес для отправки уведомлений), адрес сервера журналирования syslog, если вы собираетесь его использовать. Конечно, есть и расписание для отсылки файлов журналов, которое тоже настраивается здесь. В самой нижней части окна располагаются настройки, отвечающие за полноту журналов, - параметры, которые необходимо заносить в журнал и события, по которым нужно отправлять уведомления.

Web-интерфейс, продолжение
Настройки журналирования.

Следующий за этими пунктами раздел VLAN позволяет активировать поддержку виртуальных локальных сетей и указать тег сети.

Web-интерфейс, продолжение
Виртуальные локальные сети.

На этом раздел дополнительных настроек закончен. Рассмотрим не менее интересный раздел состояния системы - "Maintenance". Он служит для диагностики точки доступа. Так, на первой закладке "Status" отображено имя, версия операционной системы ZyNOS и параметры протокола IP.

Тестирование производительности беспроводной сети

Мы протестировали точку доступа G-3000 EE в режиме 802.11g как без использования шифрования, так и с включённым шифрованием WPA. Все тесты проводились средствами IXIA Chariot 5.0, build 3547.

Результаты тестирования производительности беспроводной сети 802.11g представлены в следующей таблице:

Условия тестирования:
- Шифрование WEP: ВЫКЛЮЧЕНО
- Скорость передачи: автоматическая
- Энергосбережение: выключено
- Партнёр по тестированию: карта SMC2802W
Версии прошивки/драйвера:
Прошивка ТД: 3.50 (HO.1)b3 01.12.2005
Описание тестирования Качество сигнала (%) Скорость передачи (Мбит/с)
[пакет данных 1 Мбайт]
Время отклика (мс)
[10 итераций по 100 байт]
Поток UDP
[10S@500 кбит/с]
(действительная пропускная способность - кбит/с)
Поток UDP
[10S@500 кбит/с]
(потеряно данных - %)
С клиента на ТД - условие 1 100 21,54 [без WPA]
21,46 [с WPA]
1 (ср.)
1 (макс.)
500 0
С клиента на ТД - условие 2 80 21,01 1 (ср.)
2 (макс.)
500 0
С клиента на ТД - условие 3 45 17,46 2 (ср.)
3 (макс.)
498 0
С клиента на ТД - условие 4 20 10,96 2 (ср.)
7 (макс.)
495 0

Графики тестовых замеров показаны ниже.

Тестирование производительности беспроводной сети
Пропускная способность: условие 1.


Тестирование производительности беспроводной сети
Пропускная способность: условие 1 с шифрованием WPA.


Тестирование производительности беспроводной сети
Пропускная способность: условие 2.


Тестирование производительности беспроводной сети
Пропускная способность: условие 3.


Тестирование производительности беспроводной сети
Пропускная способность: условие 4.

Заключение

G-3000 EE прекрасно подойдёт для быстрого развёртывания беспроводной инфраструктуры. Возможность подачи напряжения питания по стандартному Ethernet-кабелю (как правило, уже проложенному) на расстояние до 100 метров позволяет значительно снизить затраты на подключение точек доступа. Развитая корпоративная сеть или хот-спот может содержать десятки точек доступа. В этом случае экономия времени на установку розеток и устранение этапа согласования электропроводки может быть весьма существенной. G-3000 EE позволяет создавать защищённые беспроводные магистрали, "невидимые" для клиентских беспроводных устройств (режим моста WDS). Так, можно связать два офиса, расположенных по разные стороны улицы. Режим беспроводного повторителя WDS позволяет с минимальными затратами улучшить покрытие беспроводной сети, устранить белые пятна. Кроме того, для построения корпоративной защищённой инфраструктуры с необходимым уровнем защиты данных корпоративный и "гостевой" трафик могут быть разнесены в различные виртуальные беспроводные сети.

Условия тестирования беспроводной производительности

Все тесты проводились средствами IXIA Chariot 5.0, build 3547.

Условие 1: в одной комнате.

Расстояние между точкой доступа и беспроводным клиентом около 3 метров.

Условие 2: среднее расстояние

Беспроводной клиент находился примерно в 12 метрах от точки доступа, кроме этого, между ними было две тонких стены.

Условие 3: среднее расстояние.

Беспроводной клиент находился примерно в 20 метрах от точки доступа, кроме этого, между ними было две каменных стены.

Условие 4: сильное затухание.

Беспроводной клиент находился примерно в 30 метрах от точки доступа. Точка доступа находилась за несколькими капитальными стенами от клиента.

Итоговая информация о продукте
Производитель ZyXEL
Модель G-3000 EE
Итог Точка доступа корпоративного уровня с расширенными функциями защиты и безопасности
Преимущества - Два радио-интерфейса
- Встроенный сервер RADIUS
- Богатые возможности по фильтрации и ограничению доступа
- Поддержка PoE
Недостатки - Высокая цена
Цена $376 (price.ru)

КОНЕЦ СТАТЬИ


Координаты для связи с редакцией:

Общий адрес редакции: thg@thg.ru;
Размещение рекламы: Roman@thg.ru;
Другие координаты, в т.ч. адреса для отправки информации и пресс-релизов, приглашений на мероприятия и т.д. указаны на этой странице.


Все статьи: THG.ru

 

Rambler's Top100 Рейтинг@Mail.ru