Маршрутизатор ZyXEL G-2000 Plus со встроенной точкой доступа 802.11g – THG.RU

Введение

Несколько месяцев назад ZyXEL представила обновлённую версию беспроводного маршрутизатора G-2000 (см. наш предыдущий обзор). Новинка носит название ZyXEL G-2000 Plus и является логической заменой модели G-2000. Основное преимущество новой модели, в сравнении с предшественницей – встроенный сервер Protected Extensible Authentication Protocol (PEAP) RADIUS. Приведём выдержку из пресс-релиза:

“ZyAIR G-2000 Plus со встроенным сервером PEAP RADIUS позволит компаниям внедрить WPA-Enterprise, предоставив каждому пользователю собственное имя входа и пароль… Благодаря поддержке WPA-Enterprise, ZyAIR G-2000 Plus усиливает безопасность и упрощает управление. Так, предоставление или блокирование доступа теперь не потребует никаких усилий. Кроме всего прочего, ZyAIR G-2000 Plus может работать и как сервер PEAP RADIUS для других точек доступа сети”.

Проще говоря, G-2000 Plus позволит реализовать безопасную аутентификацию пользователей, а также шифрование беспроводного трафика.

Всё остальное у G-2000 Plus типично для большинства сегодняшних беспроводных маршрутизаторов. То есть мы получаем встроенный четырёхпортовый коммутатор 10/100 (Рис. 2), точку доступа 802.11b/g и брандмауэр/маршрутизатор. Для управления всем этим реализован web-интерфейс. Кроме того, G-2000 Plus предлагает также такие приятные опции, как фильтрация содержания и журналирование.

В комплекте с маршрутизатором поставляется бумажная версия руководства по быстрой установке и настройке, а также руководство пользователя на CD. Кстати, руководство пользователя оказалось достаточно подробным и объёмным – 430 страниц.

Основные функции

Новая модель имеет встроенную точку доступа 802.11b/g с двумя сменными антеннами, подключёнными к разъёмам RP-SMA. По данным FCC, в маршрутизаторе использован беспроводной модуль XG-600 mini-PCI (Рис.1), который, судя по всему, выпускается компанией ZCom на базе чипсета Conexant PRISM. Хотя номер модели другой, представители ZyXEL сообщили, что сам модуль не отличается от использовавшегося ранее в G-2000.

Рис.1. Радио-модуль.

Отметим, что на этот раз мы не открывали корпус маршрутизатора, но представители ZyXEL заверили, что дизайн платы остался прежним, в её основе лежит ARM-процессор Samsung 2510.

На одной из боковых панелей расположены четыре порта коммутатора 10/100, а также порт 10/100 WAN (Рис. 2). Все порты, как и положено сегодняшнему оборудованию, поддерживают автоопределение MDI/MDI-X (то есть вам не нужно беспокоиться о выборе между прямым и перекрёстным кабелем). На той же панели расположена утопленная вглубь кнопка сброса настроек и разъём питания.

Рис.2. Порты.

Индикаторы работы устройства хорошо читаемы и расположены на верхней стороне. Маршрутизатор имеет следующие индикаторы: “Питание/Power”, “Статус/Status” и “Активность проводных интерфейсов LAN и WAN”. Кроме того, есть ещё один большой яркий индикатор с логотипом ZyAIR, который используется для индикации активности беспроводной сети.

Настройка и администрирование

Установка G-2000 Plus достаточно проста, с ней может справиться даже школьник. После подключения всех необходимых кабелей для доступа к интерфейсу настройки нужно запустить браузер на любом из компьютеров в сети и перейти по адресу 192.168.1.1. Конечно же, можно воспользоваться и telnet-интерфейсом, если есть на то желание. Но, в любом случае, такая возможность есть.

Web-интерфейс значительно упрощает настройку, особенно для пользователей, которым вовсе не обязательно вникать в какие-то дополнительные параметры. Web-интерфейс, кроме всего, содержит достаточно удобную контекстную систему помощи.

Рис. 3. Настройка.

После того, как вы подключились к web-интерфейсу и авторизовались, можно приступать к настройке, причём для этого есть несколько вариантов. Слева расположен список разделов. Щёлкнув по разделу, вы попадаете на страницу настройки, в верхней части которой можно заметить закладки с названиями подразделов. Возможна также настройка при помощи Мастера (Рис. 4), который последовательно проведёт вас через все необходимые пункты.

Рис. 4. Мастер настройки.

Настройка всех остальных параметров идентична, и интерфейс имеет раскладку, показанную на Рис. 3.

Настройка и администрирование: брандмауэр

В Plus реализован брандмауэр SPI для защиты от атак. Он позволяет создавать правила, а также имеет ряд правил по умолчанию.

Документация содержит достаточно полезное и разумное описание логики создания правил для тех, кто желает создать собственные. В ней чётко указаны действия правила, отмечено, является ли оно разрешающим или запрещающим, относится к входящему или исходящему, какие IP-службы затрагивает и т.д.

Интерфейс настройки правил выполнен достаточно наглядно, содержит поля ввода и выпадающие меню для выбора действий (Block, Forward), а также название службы, к которой применяется правило (список служб достаточно велик, но возможность добавить свою тоже есть).

Правила по умолчанию разрешают трафик LAN-to-WAN (исходящий) и запрещают входящий (WAN-to-LAN). Правила брандмауэра сгруппированы по категориям в соответствии с направлением трафика:

1. LAN to LAN / ZyAIR;
2. LAN to WAN;
3. WAN to LAN;
4. WAN to WAN / ZyAIR.

Так, трафики WAN to LAN и WAN to WAN/ZyAIR блокированы правилами по умолчанию, с тем, чтобы компьютеры из WAN не могли использовать маршрутизатор ни как шлюз, ни управлять им. Для создания собственных правил следует указывать IP-адреса источника и назначения, а также протокол.

Мы решили настроить доступ к web- и почтовому серверам, расположенным внутри сети, что подразумевало настройку брандмауэра. Всё оказалось достаточно просто, нужно было лишь обратиться к странице SUA/NAT (Рис. 5).

Рис. 5. Сервер SUA.

Отметим, что недостаточно создать лишь правила перенаправления, подобные показанным на странице выше, которые направляют входящие запросы на 80 и 25 на внутренний сервер 192.168.1.4. Нужно задать ещё и правила брандмауэра, которые будут разрешать нужный трафик, только тогда всё будет работать так, как нужно.

Хотя такой принцип вполне понятен, хотелось бы, чтобы ZyXEL разместила на интерфейсе соответствующие напоминания. Либо правила создавались бы автоматически, как на многих домашних моделях. Что особенно удивило, при задании сервера “DMZ” создавать правило брандмауэра не потребовалось!

Кроме традиционных возможностей брандмауэра, как-то: защита периметра и шлюз локальной сети, Plus позволяет выполнять фильтрацию содержания. Так, можно запретить ActiveX или Java, или URL по определённым ключевым словам. Кроме того, для правил можно задать расписание работы (Рис. 6).

Рис. 6. Фильтрация содержания.

Дополнительные настройки

Нам понравились возможности журналирования G-2000 Plus. Можно настроить журналирование любого количества событий системы: ошибки, атаки, активность беспроводной сети и т.д. Журнал можно сохранить на сервер журналирования или отправить по электронной почте. Кроме того, по электронной почте можно отсылать уведомления об определённых событиях. Для просмотра журналов можно воспользоваться интерфейсом администрирования, хотя это неудобно при подробном журнале (Рис. 7).

Рис. 7. Просмотр журнала.

Маршрутизатор имеет встроенный сервер DHCP, а также службу работы с Dynamic DNS. И то и другое прекрасно работает и очень удобно в настройке через встроенный интерфейс.

Беспроводная сеть

Для защиты беспроводной сети, кроме фильтрации по MAC-адресам и скрытия SSID, маршрутизатор поддерживает следующие функции:

• статический WEP;
• 802.1x и динамический WEP;
• 802.1x и статический WEP;
• 802.1x;
• WPA-PSK;
• WPA-Enterprise.

Наиболее интересным нововведением Plus является встроенный сервер PEAP RADIUS. PEAP означает Protected EAP, и является одним из протоколов, основанных на TLS (Transport Layer Security) для использования совместно с EAP (Extensible Authentication Protocol) в беспроводных сетях (в стандарте IEEE 802.1x средствами EAP реализована аутентификация беспроводных соединений).

PEAP является результатом трудов таких компаний, как Microsoft, Cisco и RSA, и поддерживается клиентами Microsoft Windows XP и серверами Cisco (и совместимыми). Важность PEAP (равно как и других разновидностей EAP, с поддержкой EAP-TLS и TTLS) трудно переоценить, поскольку она обеспечивает криптостойкое шифрование трафика, безопасный обмен и ротацию ключей, а также надёжную аутентификацию пользователей.

PEAP RADIUS является реализацией PEAP, использующей сервер RADIUS для аутентификации. Протокол PEAP работает в два этапа, причём безопасность реализуется созданием туннеля TLS и аутентификации средствами сервера RADIUS и клиентского сертификата. Затем происходит аутентификация клиента. Особенность реализации PEAP в 2000 Plus в том, что для аутентификации и авторизации используется протокол MS-CHAP v2.

Рис. 8. Доверяемые сервером RADIUS точки доступа.

Хотя само название PEAP RADIUS звучит несколько пугающе, на самом деле настройка выполняется достаточно просто. Проще говоря, настраиваются доверяемые точки доступа (Рис. 8) и пользователи беспроводной сети (Рис. 9), для чего используются простые списки.

Рис. 9. Доверяемые пользователи сервера RADIUS.

Благодаря этому система может аутентифицировать не только пользователей, но и точки доступа. Подобная система может масштабироваться для работы с пользователями во всей зоне действия сети. К сожалению, существует ограничение максимального числа пользователей сервера RADIUS, встроенного в G-2000 Plus. Оно не зависит от числа подключённых точек доступа и составляет, максимум, 32 пользователя. Однако Plus может перенаправлять запросы аутентификации к внешним серверам IAS или RADIUS, которые можно настроить для поддержки большего числа клиентов.

Производительность

Для тестирования производительности мы использовали три компьютера:

• Mercury: Compaq Presario S5400NX на базе процессора P4 2,6 ГГц с 504 Мбайт ОЗУ;
• Zombie: Dell XPS D333 на базе процессора PII 333 МГц с 256 Мбайт ОЗУ;
• Nomad: Ноутбук Dell Inspiron 1000 на базе процессора Celeron 2,2 ГГц, с 224 Мбайт ОЗУ и беспроводным сетевым адаптером ZyXEL ZyAIR G-100.

Тестирование проходило под управлением ОС Windows XP и утилиты IXIA QCheck с размером файла TCP 1000 кбайт. Показанный результат является средним арифметическим из, как минимум, трёх результатов.

ZyXEL G-2000 Plus располагался в комнате на втором этаже двухэтажного дома, наполненного различной электроникой: мониторами, телевизорами, люминесцентными лампами, которые могут влиять на беспроводную сеть.

Для тестирования скорости маршрутизации, мы подключили компьютер Zombie к интерфейсу WAN и настроили Mercury как сервер DNZ (“Default Server”) в LAN.

Нас разочаровали результаты, полученные при тестировании маршрутизации LAN – WAN и WAN – LAN, поскольку мы ожидали скорости порядка 16 Мбит/с (полученной при тестировании G-2000). Однако ZyXEL проверила и подтвердила результат, по крайней мере, на момент тестирования. Конечно, и такой скорости вполне достаточно, чтобы маршрутизатор не был “узким местом” в большинстве случаев при использовании кабельных или DSL-подключений. Если же вы из тех счастливчиков, скорость подключения к Интернету которых более 10 Мбит/с, то Plus окажется сдерживающим фактором. Так или иначе, мы считаем, что ZyXEL скоро выпустит прошивку, в которой данной проблемы не будет.

Заключение

Zyxel G-2000 Plus представляет собой полнофункциональную точку доступа, которая прекрасно подойдёт для большинства применений, поскольку имеет прекрасный набор возможностей и оправданную цену. Самой интересной функцией можно назвать встроенный сервер PEAP RADIUS, который позволит облегчить внедрение WPA-Enterprise.

Из недостатков отметим недостаточно высокую скорость маршрутизации. Конечно 10 Мбит/с, кажутся вполне нормальными, но такая производительность маршрутизации типична для устройств предыдущего поколения. Сегодняшние же модели обеспечивают производительность, эквивалентную скорости канала 100 Мбит/с. Впрочем, если потребности в скорости маршрутизации измеряются единицами мегабит (как у большинства подключений к Интернету), то G-2000 Plus будет прекрасным решением для построения защищённой беспроводной сети.