С небольшим опозданием я все-таки добрался до новинок компании X-Micro беспроводного роутера XWL-11GRAG и PCMCIA-карты XWL-11GPAG. Оба устройства работают в стандартах 802.11b/g/super-g.
В комплект поставки X-Micro WLAN 11g PCMCIA Card (Turbo Mode) входит само устройство, диск с драйверами (Win98/ME/2k/XP), а так же краткая брошюрка с информацией по инсталляции карты. На упаковке, как и на самой карте, выделяется красочная надпись 108 Mbit/s 802.11g Turbo Mode, которая означает, что при включении специального режима (Super G), теоретически, можно получить общую пропускную способность в 108 Mbit/sec между двумя устройствами. Особенностям работы Atheros Super G, видимо, будет посвящена отдельная статья. Вкратце, — этот режим с помощью различных технологий (удаления межкадровых пауз DIFS, увеличения размера передаваемого кадра, компрессии данных, а так же channel bounding — объединения двух каналов) позволяет достигнуть вышеупомянутой скорости. Управление этой функцией осуществляется с точки доступа, беспроводная карта обязана поддерживать эту технологию (и она не должна быть отключена в ее драйверах).
На корпусе карты находятся два индикатора — Power, сигнализирующий о том, что карта подключена (получает питание) и Link, сообщающий о наличии соединения с беспроводной сетью и передаче данных.
Спецификации беспроводной карты X-Micro XWL-11GPAG
- Стандарты 802.11g (с поддержкой super G) и 802.11b 2,4 ГГц;
- Антенны — одна встроенная, возможность подключения других антенн отсутствует;
- Чувствительность: < -92dBM
- Скорости:
802.11b — 11, 5, 2, 1 Mbit/sec;
802.11g — 108 (в Super G режиме), 54, 48, 36, 18, 12, 11, 9, 6, 5,5, 2, 1 Mbit/sec;
Экскурс в настройки XWL-11GPAG
К комплекту драйверов прилагается собственная утилита X-Micro для конфигурирования устройства. Раздел Link Configuration отображает стандартную информацию о текущем соединении и в пояснениях не нуждается.
В Configuration настраиваются основные свойства беспроводной сети.
В Advanced — включается один из видов (WEP 64/128, WPA, WPA PSK) шифрования.
А Site Survey позволяет просканировать радиодиапазон на предмет наличия доступных беспроводных сетей.
Настройки, связанные с конфигурированием сетевых протоколов и адресов в утилите, отсутствуют — все это делается через стандартный интерфейс MS Windows.
X-Micro WLAN 11g+ Router 108Mb
Беспроводной роутер XWL-11GRAG поддерживает стандарты 802.11b/g/super-g. В комплекте поставки идет само устройство, собранное в пластиковом серебристом корпусе, краткая документация по инсталляции устройства, компакт диск с более полной версией документации, блок питания и патч-корд.
На передней панели роутера расположены семь индикаторов: Power, четыре индикатора LAN-портов, два — WLAN и WAN портов, а так же индикатор Status (состояния устройства).
Сзади роутера находятся четыре LAN и один WAN порты (все обладают функцией автоопределения типа кабеля — auto MDI-MDI/X). Далее расположена кнопка сброса настроек в состояние по умолчанию и коннектор питания.
Слева имеется SMA-коннектор для подключения внешней антенны. В комплекте с устройством идет стандартная всенаправленная дипольная антенна, которую можно легко заменить на любую другую.
В основании устройства предусмотрены два отверстия для крепления его на вертикальных поверхностях, а так же резиновые ножки для горизонтальной установки. На наклейке в центре указан IP адрес, который получает роутер при сбросе настроек в начальный режим, а вот пароль, устанавливаемый по умолчанию (admin/admin), не указан.
Спецификации беспроводного роутера X-Micro XWL-11GRAG
| корпус | пластиковый, допускается горизонтальная или вертикальная установка | |||
| проводной сегмент | ||||
| WAN | количество портов | 1 | ||
| auto MDI/MDI-X | да | |||
| типы поддерживаемых соединений | фиксированный IP | да | ||
| динамический IP | да | |||
| PPPoE | да | |||
| PPTP | да | |||
| L2TP | да | |||
| IPSec | нет | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| Беспроводной сегмент | ||||
| антенна | количество | 2 | ||
| тип | одна внутренняя и одна внешняя дипольная | |||
| возможность замены антенны/тип коннектора | есть/SMA | |||
| поддерживаемые стандарты и скорости | 802.11b | 11, 5, 2, 1 Mbit/sec | ||
| 802.11g | 54, 48, 36, 18, 12, 11, 9, 6, 5,5, 2, 1 Mbit/sec | |||
| Atheros Super G | до 108 Mbit/sec | |||
| возможность ручного задания скорости | да | |||
| выходная мощность | 802.11b @11Mbit/s | ?? | ||
| 802.11g @54Mbit/s | ?? | |||
| чувствительность приемника | 802.11b @11Mbit/s | ?? | ||
| 802.11g @54Mbit/s | ?? | |||
| работа с другой AP | поддержка WDS | нет | ||
| возможность работы в режиме клиента | нет | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | отсутствует | |||
| WEP шифрование | 64/128bit, 4 ASCII или HEX ключа | |||
| WPA шифрование | да, длина ключа 64/128bit, до двух RADIUS серверов | |||
| WPA-PSK (pre-shared key) | да | |||
| 802.1x | да, длина ключа 64/128bit, до двух RADIUS серверов | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| telnet over tcp | да | |||
| COM-порт | нет | |||
| SNMP | нет | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| доступ в Интернет | NAT-технология | да | ||
| обычный роутинг (без NAT) | да | |||
| роутинг | статический | да | ||
| динамический | RIPv1 | да | ||
| RIPv2 | да | |||
| поддержка динамического DNS | да, адрес сервера задается вручную | |||
| внутренние часы | присутствуют | |||
| синхронизация часов | посредством NTP | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| L2TP | нет | |||
| возможность ICMP Ping с устройства | да | |||
| логирование событий | да, системные события, отладочная информация, наличие атак, сброшенные пакеты | |||
| логирование исполнения правил файрвола | нет | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| высылание на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | нет | |||
| поддержка SNMP Traps | да, до трех Trap Reciever-ов | |||
| возможности встроенных фильтров и файрвола | ||||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да | ||
| на LAN-WLAN сегменте | да | |||
| на LAN-WLAN сегменте | нет | |||
| типы фильтров | по MAC адресу | да | ||
| по IP адресу | да, в том числе по диапазону | |||
| по протоколу/порту | да, TCP/UDP/ICMP, в том числе по диапазону портов | |||
| по URL-у | да | |||
| по домену | да | |||
| работа со службами списков URL для блокировки | нет | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| встроенный файрвол | поддержка SPI (Stateful Packet Inspection) | нет | ||
| тип действия | allow | да | ||
| deny | да | |||
| log | нет | |||
| критерии задания правила | src interface lan/wan | да | ||
| dst interface lan/wan | да | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| src protocol | да, TCP, UDP, ICMP, ALL | |||
| dst protocol | да, TCP, UDP, ICMP, ALL | |||
| src port/range | нет | |||
| dst port/range | да | |||
| привязка ко времени | нет | |||
| дополнительная информация | ||||
| версия прошивки | 1.5.1, 2003/12/22 | |||
| питание | внешний БП, 5VDC/2,5A | |||
| размеры | 201 × 115,8 × 37mm | |||
| вес | ?? | |||
Вид внутри
Первое, что бросается в глаза — немалое количество свободного места на системной плате, возможно за счет большой интеграции в центральном чипе. Хотя WAN порт не защищен разрядником. Справа видна микросхема памяти IC42S16400 неизвестного объема с максимальной частотой работы 140 Mhz. Рядом с ней — M29W800 — чип флэш-памяти от компании STM объемом 8Mbit.
Контроллер Marvell 88E6060 является шести-портовым FastEthernet коммутатором. На пяти его портах установлены PHY-контроллеры (с функцией MDI/MDI-X), а шестой (MII) служит для подключения устройства к процессору. В коммутатор интегрирован фрейм буфер объемом 512Kb, а так же буфер памяти на 1024 MAC адреса.
Роль центрального процессора играет чип AR2312A компании Atheros. AR2312 является «Wireless System-on-a-Chip» решением и включает в себя 32-bit MIPS процессор класса R4000. Совместно с AR2112 эти микросхемы образуют платформу AR5002AP-G. Чип AR2312, являясь Radio-on-a-Chip решением, поддерживает стандарты 802.11b и 802.11g, и выполняет роль контроллера доступа к беспроводной среде. В данном случае он не виден, так как скрыт под экраном.
архитектура платформы AR5002AP-G
Экскурс в настройки беспроводного роутера XWL-11GRAG
Устройство поддерживает два интерфейса конфигурирования — через telnet и через WEB-интерфейс. Набор настроек через telnet довольно примитивен — возможно только настроить LAN и WAN интерфейсы, изменить пароль доступа или сбросить настройки в режим по умолчанию. Все остальное конфигурируется посредством WEB-интерфейса.
Традиционно, в WEB-интерфейсе можно воспользоваться Wizard-ом, позволяющим быстро сконфигурировать устройство. Или придется самостоятельно проходить по всем пунктам меню.
В разделе Lan Setting конфигурируются LAN и WAN порты устройства, включается поддержка DHCP сервера...
… настраиваются внутренние часы устройства, NTP сервер для синхронизации времени, а так же включается поддержка службы Dynamic DNS. Отмечу, что в качестве сервера динамического DNS не нужно выбирать один из жестко заданных серверов, а можно ввести любой адрес.
Раздел Wireless отвечает за настройку беспроводной части роутера, в том числе режимов шифрования и аутентификации в беспроводном сегменте. С удивлением видим отсутствие фильтрации беспроводных клиентов по MAC адресам этом разделе.
Из нестандартных функций отмечу возможность регулирования мощности передаваемого сигнала (к сожалению, только в сторону уменьшения). Так же присутствует пункт Super G, позволяющий включать поддержку этого режима на точке доступа:
- Super G without turbo — включает все возможности Super G, исключая объединение каналов;
- Super G with dynamic turbo — задействует объединение каналов в режиме совместимости с оборудованием, не поддерживающим эту технологию (при наличии таких устройств, объединение каналов будет отключено);
- Super G with static turbo — предыдущий вариант, но без совместимости со стандартным оборудованием.
Раздел Status показывает краткую информацию о LAN, WLAN и WAN портах устройства, …
… позволяет настроить логирование событий и посмотреть сами логи, а так же показывает статистику утилизации портов устройства и список клиентов, подключенных к беспроводному сегменту.
В Routing можно настроить и посмотреть статическую таблицу роутинга и включить поддержку протоколов RIP.
Следующий раздел, Access, отвечает за настройку встроенных фильтров и файрвола. Все эти фильтры действуют между LAN/WLAN и WAN сегментами. Отфильтровать что-либо между LAN и WLAN сегментами невозможно. Подраздел Filter позволяет задавать глобальные фильтры по URL, доменам, протоколам и IP-адресам. Первые два (URL и домены) задаются вручную, возможность загрузки баз с удаленного сервера отсутствует. Фильтры протоколов и IP-адресов пишут свои правила напрямую в подраздел Firewall Rule
Далее настраиваются виртуальные сервера (редирект портов внутрь локальной сети), DMZ хост, а так же поддержка специальных протоколов, требующих создания нескольких соединений для своей работы.
Последний подраздел, Firewall rule, позволяет настраивать правила встроенного файрвола. Установки довольно гибкие, но отсутствует возможность их привязки правил ко времени и нет возможности указать в правиле исходящий порт.
Раздел Management отвечает за настройку SNMP и некоторых режимов функционирования роутера. В том числе сюда можно включить возможность удаленного управления по WEB-интерфейсу (через WAN порт), причем по умолчанию эта возможность отключена, что не может не радовать.
Последний раздел, Tools, позволяет перегрузить роутер, обновить прошивку устройства, сохранить или загрузить его конфигурацию, а так же пропинговать хост напрямую с роутера.
Тестирование безопасности
Тестирование производилось согласно этой методике.
Перед сканированием, настройки устройства выставлялись в режим по умолчанию. На первом этапе сканирования они не менялись.
Отчеты Nessus после первого этапа:
На втором этапе открывался (закрытый по умолчанию) доступ к WEB-интерфейсу роутера на 80 порту снаружи. После чего опять запускалось сканирование.
Отчеты Nessus после второго этапа:
В обоих случаях уязвимостей найдено не было. Устройство работало стабильно, без зависаний и перезагрузок. Безопасность роутера находится на высоком уровне.
Тестирование производительности
Тестирование проводного сегмента.
Алгоритм тестирования описан в Методике тестирования маршрутизаторов.
NetPipe: скорости передачи данных между сегментами LAN и WAN на пакетах различной длины (максимальная — 72,7Mbit/sec).
NetIQ Chariot: скорости передачи данных между сегментами LAN и WAN. Throughput.scr, packet size = maximum
Казалось бы, совсем недавно маршрутизаторы обеспечивали скорости (между WAN и LAN) около 10 Мбит/сек, но прошло совсем немного времени, и скорость заметно возросла. В данном случае скорость маршрутизации очень высока и приближается к 100 мбитам в режиме полудуплекса. В режиме полного дуплекса скорость немного падает (видимо не хватает производительности процессора маршрутизатора), но все равно остается на очень высоком уровне.
NetIQ Chariot: скорости передачи данных между сегментами LAN и WAN. Throughput.scr, packet size = 512 bytes
NetIQ Chariot: скорости передачи данных между сегментами LAN и WAN. Throughput.scr, packet size = 64 bytes
Тесты пакетов небольшого размера введены впервые, поэтому нельзя сравнить результаты с каким либо другим устройством. Но то, что при таких пакетах скорость передачи данных существенно снизится, было очевидно с самого начала.
Тестирование беспроводного сегмента
В тесте участвует роутер X-Micro XWL-11GRAG и ноутбук с беспроводной картой X-Micro XWL-11GPAG.
В первом тесте применяется стандартный режим 802.11g, Super G отключен.
NetIQ Chariot: скорости передачи данных между проводным и беспроводным сегментами в режиме 802.11g, Throughput.scr
Одновременная передача данных в обе стороны (802.11g)
Тесты в стандартном режиме 802.11g показывают очень высокую скорость передачи данных.
Во втором тесте включаем поддержку Super G without turbo (режим Super G без агрегирования каналов).
NetIQ Chariot: скорости передачи данных между проводным и беспроводным сегментами в режиме 802.11g, Throughput.scr
Одновременная передача данных в обе стороны (802.11g + Super G without turbo)
При включении режима Super G без агрегирования каналов, скорость возрастает, но слабо (хотя конечно 30 Мбит против 24 — довольна заметна). Тесты в стандартном режиме 802.11g показывают очень высокую скорость передачи данных. Следует учитывать, что кроме механизмов «слияния» кадров и удаления пауз, используется и прозрачная компрессия данных. Поэтому скорость будет сильно зависеть от типа передаваемого трафика. В данном случае передавались случайно сгенерированные данные, они слабо подвержены компрессии. Ради эксперимента, проведем тест номер 3, в котором передаются пакеты, содержащие одни нули.
Тест 3. Передача трафика, содержащего одни нули в режиме 802.11g + Super G without turbo (проверка компрессии).
NetIQ Chariot: скорости передачи нулевых данных между проводным и беспроводным сегментами в режиме 802.11g, Throughput.scr
Одновременная передача нулевых данных в обе стороны (802.11g + Super G without turbo)
Картина изменилась магическим образом — общая скорость передачи возросла примерно в два раза. Таким образом, компрессия работает, правда не настолько хорошо, как хотелось бы (теоретически, пакет, содержащий одни нули, должен очень хорошо упаковываться, т.е. существенно больше, чем в два раза).
Следует отметить и то, что полученные в тесте номер 3 результаты являются идеальными, но недостижимыми на практике — ведь никто не будет передавать данные такого типа. Тем не менее, компрессия может несколько ускорить передачу, например, при перекачке текста и т.д.
Тест 4. Super G + Static Turbo. Режимы агрегирования каналов (Static/Dynamic Turbo) отличаются лишь тем, что во втором случае возможно подключение к точке доступа устройства, не поддерживающего Super G (в этом случае агрегирование отключается).
NetIQ Chariot: скорости передачи данных между проводным и беспроводным сегментами в режиме 802.11g с поддержкой Super G + STATIC turbo, Throughput.scr
Одновременная передача данных в обе стороны (802.11g + Super G with DYNAMIC turbo)
Разительная разница с результатами без агрегирования каналов. Скорость достигает половины от 100 мбит. Следует обратить внимание на график изменения скорости в реальном времени. В данном случае он снят в режиме динамического турборежима. Видно, что на границе двух минут скорость немного упала (скачком) — в этот момент точка доступа отключила агрегирование каналов, тем самым, предоставив потенциальную возможность подсоединиться к каналу оборудованию, не поддерживающему Turbo режим. Подобные отключения (и включения обратно) происходят периодически и это нормально для режима Dynamic Turbo. В режиме Static Turbo отключения агрегирования не происходит, скорость не падает, но оборудование, не поддерживающее такой режим работы, не сможет подключится к точке доступа.
Доступность
На момент написания статьи, оба устройства на Московском рынке еще отсутствовали. Возможно, они появятся чуть позже.
Средняя розничная цена на X-Micro беспроводной роутер и PCMCIA адаптер в Москве на последний момент:
| X-Micro XWL-11GRAG (router) | X-Micro XWL-11GPAG (adapter) |
| Н/Д(0) | Н/Д(0) |
Выводы
Компания X-Micro представила на рынке беспроводного оборудования очень интересные устройства. Они обладают высокой производительностью и неплохой функциональностью. Поддержка Super G позволяет увеличить скорость передачи данных в беспроводном сегменте до двух раз (в отсутствии помех от других радиосетей). Плюсы:
- Высокая скорость маршрутизации;
- Поддержка протокола Super G — существенное ускорение передачи в беспроводной сети;
- Наличие съемной антенны;
- Возможность работы в режиме обычного роутера (без NAT);
- Поддержка PPTP, IPSec Pass-Through;
- Многофункциональный и гибкий файрвол;
- Частичное логирование событий;
- Поддержка внешнего syslog сервера;
- Поддержка SNMP;
- Поддерживания WPA шифрования (в беспроводном сегменте)
Минусы:
- Нет возможности работы в режиме беспроводного моста (WDS);
- Не поддерживается L2TP Pass-Through;
- Файрвол не поддерживает SPI (Stateful Packet Inspection);
- Во встроенном файрволе невозможно задать правило по критерию «исходящий порт»;
- Нет возможности логирования событий файрвола
