Techlabs.ru

Обзор беспроводной PoE-точки доступа LevelOne WAP-0005

10.04.2007 00:05, TECHLABS Team

Содержание статьи:

Компания LevelOne  предлагает пользователям беспроводную PoE-точку доступа WAP-0005, поддерживающую технологию Super G, что обеспечивает быстродействие до 108  Mb/s (стандартная скорость 802.11g – 54 Mb/s). Устройство обеспечивает высокий уровень безопасности передачи данных посредством поддержки средств усиленной защиты. Они предотвращают несанкционированный доступ, предоставляя множество механизмов аутентификации, включая EAP-TLS, EAP-TTLS, EAP-MD-5, PEAP, WPA, WPA-PSK, AES, и аутентификацию 802.1x для работы с сетевым сервером RADIUS. Более того, данные, передаваемые по беспроводной сети, защищены также шифрованием WEP с 64- или 128-битным ключом. Позиционируется WAP-0005 как решение для офисных и домашних беспроводных сетей. Встроенная функция POE исключает необходимость в прокладке электрического кабеля и установке розеток.WAP-0005 способна функционировать в качестве точки доступа, беспроводного моста и репитера (повторителя), так что пользователь может гибко конфигурировать беспроводную сеть для разных условий работы. 

Содержимое упаковки:

Исполнение

Обзор

Точка доступа выполнена в черном пластиковом корпусе с серебристыми вставками. Каких-либо креплений для монтажа не предусмотрено, так что установить ее можно только горизонтально. Используется одна антенна, которую можно снять для подключения внешней. На переднюю панель выведены индикаторы питания, активности проводной и беспроводной сети. 

Обзор

Обзор

На задней панели находятся: кнопка сброса, разъем RJ45 для подключения к локальной сети, разъем

r-SMA для подключения антенны и разъем для подключения блока питания. 

Кнопка "reset" выполняет две функции. При кратковременном нажатии происходит перезагрузка, как при отключении питания. Для того чтобы восстановить заводские параметры, необходимо выключить точку доступа, затем, удерживая нажатой кнопку "reset", включить устройство и отпустить кнопку только тогда, когда оно полностью загрузится (то есть перестанет мигать красный индикатор "status"). 

Под надписью "console" скрывается последовательный порт RS232 (мама). Он предназначен для подключения устройства к компьютеру посредством RS232 кабеля (которого в стандартной комплектации, к сожалению, нет). Подключив точку к компьютеру, можно  производить настройку путем ввода команд через telnet (список  доступных команд в приложении). 

Обзор

"Общий вид" 

Обзор

"Вид снизу"

Обзор

"Вид сверху" 

Первоначальная настройка

Первоначальные настройки точки доступа можно задать с помощью Windows-утилиты "Access Point Manager".  Она позволяет задать IP-адрес (по умолчанию точке доступа присвоен адрес 192.168.0.228, маска 255.255.255.0), шлюз и DNS.  

Обзор

Обзор

"Задание динамического или статического адреса" 

Обзор

"Краткая информация об устройстве" 

В устройстве на момент тестирования была прошивка 1138 (версия 1.1 релиз 38). На сайте разработчика имелось обновление 2039 (версия 2.0 релиз 39). В скачанном архиве, помимо самого файла прошивки, присутствовал обновленный мануал, в котором были описаны сделанные изменения.

Зайдя в пункт меню "Management" и выбрав "Upgrade Firmware", было сделано обновление прошивки. 

Обзор

"Необходимо выбрать файл обновления" 

Обзор

"Обновление прошивки точки доступа LevelOne WAP-0005" 

Разница заметна сразу, во-первых, это обновленный web-интерфейс, серо-синие цвета меню сменились черно-белыми. В устройствах данного типа важнее скорее не внешнее оформление, а удобство работы, желтые буквы на бледно сером фоне читались не совсем комфортно. Во-вторых, имеется целый ряд новых возможностей, отсутствующих в старой версии. В-третьих, это отсутствие "тормозов" при серфинге по меню, также при апгрейде прошивки заметно ускорилось выполнение различных команд.   В целом по сравнению с прошивкой версии 2039 релиз 1138 показался нам если не сырым, то с существенными недоработками (если вам попадется устройство со старой прошивкой, рекомендую ее обновить). 

Обзор

"Вид меню с прошивкой 1138 (версия 1.1 релиз 38)" 

Обзор

"Вид меню с прошивкой 2039 (версия 2.0 релиз 39)"



Системные настройки

Обзор

В меню "System" можно задать все те же настройки, что и в утилите "Access Point Manager". В точке доступа LevelOne WAP-0005 вы можете изменить не только пароль (по умолчанию "password"), но и имя администратора (по умолчанию "admin"). Для этого достаточно зайти в раздел "безопасность".  

Обзор

"Admin Login"

Из дополнительных настроек присутствует возможность использования  протокола SSL для обеспечения безопасности управления и связи между компьютером и точкой доступа. Также можно разрешить/запретить доступ посредством telnet, http, Wi-Fi. 

Обзор

"Сохранение/восстановление настроек" 

Все настройки (в том числе пароли, ключи, профили) сохраняются в файле "ap11g.cfg", при желании их можно изменить, открыв файл каким-либо текстовым редактором. Архивацию настроек можно выполнять, например, перед обновлением прошивки. 

Обзор

Настройки работы точка доступа можно применить в результате автоматического конфигурирования, а также можно  скопировать данные конфигурации от другой точки. Эта функция выключена по умолчанию.

WAP-0005 может автоматически обновить свое программное обеспечение, загрузка и установка которого будет выполнена с выбранного вами FTP-сервера. 

Необходимость использования функции автоматического обновления прошивки весьма спорна, устройство не предполагает сохранение настроек конфигурации перед обновлением и восстановление их после него.  Эту специфическую операцию лучше держать под контролем. К примеру, у вас в офисе на неделе ведутся какие-либо электромонтажные работы, и периодически пропадает свет, а точка доступа решит обновиться именно в тот злополучный момент, что приведет к непредсказуемым результатам (конечно, если вы не используете источник бесперебойного питания).  

Функция "Rogue AP detection" предназначена для обнаружения незарегистрированных в сети точек доступа, обеспечивает защиту от попытки доступа "нелегальной" точки доступа, которая может имитировать реальную точку доступа в сети для получения идентификационной информации пользователей и протоколов аутентификации, нарушая тем самым целостность защиты сети. Можно запретить доступ "чужих" AP (точек доступа), задав список разрешенных. Для этого необходимо указать MAC-адреса допустимых точек доступа и их OUI - идентификаторы производителя оборудования. 

Обзор

Точка доступа поддерживает протокол SNMP (Simple Network Management Protocol) v1и v2c для снятия статистики. 

Обзор

Также получить дополнительную информацию можно путем отправки сообщений на сервер syslog. 

Обзор

Необходимо указать минимальный уровень "серьезности" события. Сообщения будут отсылаться по всем адресам или заданному серверу. Пользуясь информацией SNMP и Syslog (такой, как показатель числа пакетов в секунду и коэффициент сетевых ошибок), сетевые администраторы могут более эффективно управлять производительностью сети, обнаруживать и решать сетевые проблемы. 

Фильтрация по MAC-адресу позволит подключаться к вашей сети только заданным устройствам с их уникальными адресами. Или наоборот - позволит всем, кроме заданных MAC-адресов, использовать вашу сеть. Однако изменить MAC-адрес сетевой карты не так уж и сложно, поэтому такая фильтрация не может обеспечить 100% защиту от доступа посторонних лиц. 

Обзор

Обзор

Перед тем, как включить фильтрацию по MAC-адресу, убедитесь, что ваш адрес присутствует в списке разрешенных. Возможность задать не только адрес, но и имя не даст запутаться среди многочисленных цифр и букв. Созданный список можно импортировать/экспортировать. 

Точка доступа LevelOne WAP-0005 позволяет сконфигурировать до восьми профилей безопасности. Каждый профиль содержит идентификатор SSID (Service Set Identifier) и все параметры настройки безопасности для беспроводных подключений. Задав различные SSID, можно использовать до четырех профилей одновременно. 

Обзор

Обзор

При одновременной работе нескольких профилей можно настроить взаимодействие между ними. Можно разрешить или запретить пользователям, подключенным к разным профилям, общаться между собой, то есть, к примеру,  компьютеры, использующие шифрование, не смогут общаться с компьютерами без шифрования. 

Используя технологию VLAN (виртуальные локальные сети), можно логически разделить несколько подсетей на одном коммутаторе (применить эту функцию можно только если коммутаторы в вашей локальной сети поддерживают IEEE 802.1Q стандарт)  таким образом, что компьютеры, объединенные в одну виртуальную сеть, ничего не будут знать о существовании компьютеров, входящих в другую. С точки зрения топологии сети, мы получаем отдельные коммутаторы для каждой подсети. Достигается это путем добавлением нескольких полей в заголовок пакета сетевого уровня. В одном из добавленных полей содержится номер сети VLAN, на основе которого и происходит разделение Ethernet-кадров по виртуальным сетям. Кадры, имеющие одинаковый номер VLAN, рассматриваются как принадлежащие к одной подсети. В настройках необходимо выбрать VLAN ID для каждого профиля безопасности, в противном случае, установки VLAN игнорируются. 

Обзор

Шифрование данных

Если вы используете открытую систему, любое устройство, имеющее идентификатор SSID (Service Set Identifier) точки доступа, может получить доступ к сети. 

Обзор

Для защиты передаваемых данных по сети необходимо использовать шифрование. WAP-0005 поддерживает следующие протоколы (в порядке убывания стойкости):

Наиболее простой способ шифрования данных – использование WEP-протокола. WEP (Wired Equivalence Privacy) позволяет добиться такой же безопасности, как при использовании проводных сетей. При использовании WEP-шифрования необходимо, чтобы на всех подключенных точках применялись идентичные ключи. Чем длиннее ключ, тем сложнее его подобрать. Точка доступа LevelOne WAP-0005 позволяет использовать 64,128- и 152-битные ключи. 152-битный ключ – это 16 символов в формате ASCII и 32 символов в формате HEX, а 128-битный ключ – это 13 и 26 символов соответственно. Вы можете записать до 4 ключей WEP и выбрать активный по согласованию с клиентами. Например, по одному на каждую неделю.  

Обзор

Только компьютеры, использующие этот же ключ, могут получить доступ к сети и расшифровать переданные другими компьютерами данные.  

Стандарт Wi-Fi Protected Access (WPA) – усовершенствованный стандарт безопасности, который значительно поднимает уровень защищенности и управления доступом к данным беспроводных сетей. Стандартный WPA протокол требует установки RADIUS-сервера, что неприменимо в домашних сетях и малых офисах. Точка WAP-0005 использует более простой режим WPA-PSK, который поддерживает заранее созданные ключи (Pre-Shared Keys). Этот ключ, как и ключ в режиме WEP, задается на всех клиентских машинах и точке доступа, чтобы обеспечить первичную идентификацию станций (помните: чем больше длина используемого пароля, тем надежнее защита беспроводной сети). 

Обзор

Для усиления шифрования данных WPA использует протокол TKIP (Temporal Key Integrity Protocol – протокол временной целостности ключа). TKIP обеспечивает функцию смешения содержимого ключа для каждого пакета, проверку целостности сообщений и механизм манипуляций с ключом. Суть метода шифрования TKIP заключается в том, что 64(128)-битные ключи автоматически генерируются при посылке каждых 10 килобайт данных. К примеру, при передаче файла размером 1 MB его трафик шифруется с использованием порядка 100 ключей. Такая система дает очень высокие гарантии невозможности перехвата и расшифровки данных. Кроме того, специальный алгоритм MIC (Message Integrity Check) сверяет отправленные и полученные данные, чтобы исключить их изменения в пути.  

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для хакеров. Но существует и еще более мощный способ защиты: шифрование по методу AES, ранее используемый в сетях VPN. AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) – это новый метод защиты конфиденциальности при беспроводной передаче данных, определенный в стандарте IEEE 802.11i. Протокол AES-CCMP обеспечивает более надежный метод шифрования в сравнении с TKIP.  

Обзор

Аутентификация по стандарту 802.1x – это процесс, независимый от аутентификации по стандарту 802.11. Стандарт 802.1x обеспечивает основы для различных видов аутентификации и протоколов манипулирования ключами. В стандарте 802.1x присутствуют различные типы аутентификации, каждый из которых обеспечивает свой подход к установлению подлинности, но все они используют один протокол 802.1x и структуру для взаимодействия между клиентом и точкой доступа. В большинстве протоколов после выполнения процесса аутентификации стандарта 802.1x приемная сторона получает ключ, который она использует для шифрования данных. При аутентификации по стандарту 802.1x применяется метод установления подлинности между клиентом и сервером удаленной аутентификации RADIUS (Remote Authentication Dial-In User Service), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации 802.1x поддерживают динамические ключи для пользователя, сеанса и для усиления защиты статического ключа.  

Защита аутентификации стандарта 802.1x инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически клиент беспроводной сети не может войти в сеть до завершения транзакции. RADIUS –  это сервис протокола клиент-сервер для авторизации, аутентификации и ведения учетных записей, который используется для регистрации клиентов в сервере сетевого доступа.  

Упрощенное определение аутентификации стандарта 802.1x: 

Обзор

Используя динамический WEP-ключ, можно задать время его "жизни", то есть время, через которое он будет изменяться. При этом могут применяться EAP-TLS, PEAP или другой метод аутентификации, в зависимости от методов, поддерживаемых клиентом. EAP-TLS использует протокол EAP (Extensible Authentication Protocol) и протокол защиты транспортного уровня (Transport Layer Security – TLS). Протокол TLS необходим для защиты и аутентификации связи в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования. PEAP – это новый аутентификационный протокол EAP стандарта IEEE 802.1x, разработанный для улучшения системы защиты  EAP-TLS и поддержки различных методов аутентификации, включающих пароли пользователей, одноразовые пароли и карты доступа (Generic Token Cards). 

Также можно использовать статический WEP-ключ, применяя  аутентификацию EAP-MD5. Необходимо задать сам ключ, а также ключевой индекс WEP, которые должны соответствовать значениям, используемым на других устройствах. Аутентификация EAP-MD5 (Message Digest 5) – это односторонний метод аутентификации, использующий имена пользователей и пароли. Этот метод не поддерживает манипуляции с ключом, но требует его предварительной конфигурации при употреблении шифрования данных. 

Алгоритмы аутентификации и шифрования, определенные в стандарте 802.11 разработки 1997 года, имеют множество недостатков. Система аутентификации так же, как алгоритм WEP-шифрования, может быть взломана за короткое время. Протокол TKIP ликвидирует недостатки WEP, но только в краткосрочной перспективе, а стандарт 802.1x и AES предоставляет долговременное решение проблемы безопасности беспроводных сетей. 



 

 

Atheros Super G 

WAP-0005 поддерживает фирменную технологию под названием "Atheros Super G". Технология вводит поддержку расширенных вариантов протокола 802.11g, таких, как пакетная передача данных (Frame Bursting). Эта технология позволяет передавать несколько пакетов данных без паузы, которая обычно присутствует между пакетами. Тем самым пакеты идут друг за другом, не  проверяя, будут ли другие станции передавать данные. 

Технология "быстрые кадры" объединяет несколько пакетов данных в один кадр. То есть не ограничивается каким-то определенным значением, а, "договариваясь" между передающими устройствами, задает размер пакета.

Аппаратное сжатие. К каждому кадру данных на лету применяется компрессия. 

Технология Dynamic Turbo  автоматически объединяет два канала данных в один, теоретически повышая в два раза пропускную способность сети. В случае обнаружения других устройств в эфире WAP-0005 автоматически переключается в режим с одним каналом – "Super G без турборежима". Даже без объединения двух каналов в один удается почти в два раза повысить пропускную способность за счет компрессии, объединения пакетов и удаления паузы между их трансляциями. А технология Dynamic Turbo практически удваивает эффект от применения двух предыдущих технологий увеличения пропускной способности. Используя два канала данных вместо одного, удается не только повысить скорость сети, но и увеличить дальность ее действия. Но нужно учитывать, что точка доступа Super G может работать в режиме Dynamic Turbo только с клиентом, поддерживающим Super G. То есть сетевые карты на чипах Atheros с поддержкой Super G смогут по необходимости договариваться между собой о повышении скорости и передавать данные, используя два канала. Как только необходимость в такой высокой пропускной способности спадет, сетевое оборудование вернется в нормальный режим работы. 

Если же к WAP-0005 подключается пользователь, чья сетевая карта не поддерживает Super G, то точка доступа не будет использовать Dynamic Turbo, чтобы сохранить совместимость с другим оборудованием. Все изменения конфигураций Dynamic Turbo производятся автоматически, без участия пользователя. Употребление оборудования Super G практически не влияет на соседние беспроводные сети. К сожалению, WAP-0005 отказалась работать в статическом режиме Super G – соединение не смогло установиться. WAP-0005 в ходе тестирования показала, что ее поддержка Atheros Dynamic Super G значительно увеличивает производительность по сравнению с обыкновенным 802.11g. 

Обзор

Режимы работы

LevelOne WPA-0005 поддерживает следующие режимы работы: 

В режиме клиент/повторитель необходимо задать MAC-адрес или SSID точки доступа. Сделать это можно либо вручную, либо выбрать из списка доступных (работающих в данный момент) точек. 

Производительность

Несмотря на то, что обычное сетевое оборудование под IEEE 802.11g обещает пропускную способность 54 Mb/s, а оборудование класса Super G – 108 Mb/s, реальные скорости передачи для одного пользователя далеки от рекламных лозунгов. Однако использование Super G все же дает ощутимое преимущество по сравнению с обыкновенным протоколом 802.11g.  

Обзор

"Производительность без использования шифрования в режиме Dynamic Super G в "тепличных" условиях" 

Таких результатов удалось добиться только в  "тепличных" условиях. Было найдено оптимальное место с максимальной производительностью – пришлось держать точку доступа на вытянутой руке в воздухе (скорость составила 36 Mb/s).  

Обзор

"Производительность без использования шифрования в режиме Dynamic Super G"

Из графика видно, что в данном случае на производительность сильно влияли такие факторы, как  направление антенны, расположение клиента по отношению к точке, наличие каких-либо преград. Поэтому в "нормальном" месте (точка была установлена вблизи коммутатора на "твердой" поверхности) производительность была несколько меньше. 

Обзор

На данном графике видно, что при увеличении количества потоков с одного до трех при работе одного соединения скорость выросла с 20 до 25 Mb/s. 

Обзор

"Производительность с использованием шифрования WEP 64 бит в режиме  Dynamic Super G" 

Обзор

"Производительность с использованием шифрования WEP 128 бит в режиме  Dynamic Super G" 

Обзор

"Производительность с использованием шифрования WPA-PSK в штатном режиме"

Обзор

"Производительность с использованием шифрования WEP 152 бит в режиме Dynamic Super G" 

На графике видно, что при работе вблизи беспроводного маршрутизатора LevelOne WBR-5400, WAP-0005 "усмиряла свой аппетит", динамически изменяя пропускную способность.  

POE 

Устройства с функцией PоE стоят несколько дороже обычных, поэтому, делая выбор в пользу этой модели, покупатель, скорее всего, заинтересован в строительстве сети с PоE .  

Использование технологии PоE при установке точки доступа LevelOne WAP-0005 дает целый ряд преимуществ: 

Выводы 

В целом, если не считать "корявую" работу статического режима Super G, LevelOne WAP-0005 показала себя очень хорошо. Устройство обеспечивает высокий уровень безопасности передачи данных посредством поддержки средств усиленной защиты. Используя функцию POE, вам больше не  придется искать источники электропитания, привязывать положение удаленных сетевых устройств к размещению электрических розеток, заметно увеличивая таким образом пространство для маневра.  

Применение динамического режима Super G дает реальное преимущество по скорости. И если вам, кроме мобильности, критична еще и пропускная способность, стоит присмотреться к этому устройству. 

Удобство использования и гибкость системных настроек сильно упростят процесс адаптации к заданным условиям. Точка доступа, несомненно, найдет своего покупателя, скорее всего, в лице "строителя" сети с PoE. Ориентировочная стоимость на момент тестирования $95.

Плюсы:

Минусы:

Приложение 1. Список команд, доступных через telnet (SSH)

Благодарим компанию SVEGA Computer, официального дистрибьютора LevelOne в России, за предоставленное оборудование.
  LevelOne Logo

Обзор

Карта сайта1 . Карта сайта2 . Карта сайта3 . Карта сайта4 . Карта сайта5 . Карта сайта6 . Карта сайта7 . Карта сайта8 . Карта сайта9 . Карта сайта10 . Карта сайта11 . Карта сайта12 . Карта сайта13 . Карта сайта14 . Карта сайта15 . Карта сайта16 . Карта сайта17 . Карта сайта18 . Карта сайта19 . Карта сайта20 . Карта сайта21 . Карта сайта22 . Карта сайта23 . Карта сайта24 . Карта сайта25 . Карта сайта26 . Карта сайта27 . Карта сайта28 . Карта сайта29 . Карта сайта30 . Карта сайта31 . Карта сайта32 . Карта сайта33 . Карта сайта34 . Карта сайта35 . Карта сайта36 . Карта сайта37 . Карта сайта38 . Карта сайта39 . Карта сайта40 . Карта сайта41 . Карта сайта42 . Карта сайта43 . Карта сайта44 . Карта сайта45 . Карта сайта46 . Карта сайта47 . Карта сайта48 . Карта сайта49 . Карта сайта50 . Карта сайта51 . Карта сайта52 . Карта сайта53 . Карта сайта54 . Карта сайта55 . Карта сайта56 . Карта сайта57 . Карта сайта58 . Карта сайта59 . Карта сайта60 . Карта сайта61 . Карта сайта62 . Карта сайта63 . Карта сайта64 . Карта сайта65 . Карта сайта66 . Карта сайта67 . Карта сайта68 . Карта сайта69 . Карта сайта70 . Карта сайта71 . Карта сайта72 . Карта сайта73 . Карта сайта74 . Карта сайта75 . Карта сайта76 . Карта сайта77 . Карта сайта78 . Карта сайта79 . Карта сайта80 . Карта сайта81 .