Оригинал материала: https://3dnews.kz/271445

LevelOne AMG-2000 - удобный центр хотспота

Стр.1 - Технические характеристики

Устройства, подобные рассмотренному в этом материале, созданы для упрощения развёртывания беспроводных сетей, включающих несколько точек доступа. Они позволяют обеспечить безопасность, масштабируемость и простоту управления. "Multi-WAN-маршрутизатор с интегрированными политиками доступа, биллинговой системой и возможностями централизованного управления точками доступа" – именно так называется LevelOne AMG-2000, который предназначен для использования в небольших сетях и позволяет работать с 12 точками доступа для прямого конфигурирования через централизованный интерфейс шлюза и с практически неограниченным их числом для простого расширения сети. При этом для работы используется единая система управления доступом, учётом трафика и контролем использования ресурсов сети. Конечно, его можно использовать и для работы в исключительно проводной сети, в качестве маршрутизатора доступа, а также можно построить смешанную сеть, в которой клиентами маршрутизатора будут пользователи как проводного, так и беспроводного сегментов сети.
 Комплект оборудования

Технические характеристики

Интерфейсы:
  • 2 порта RJ-45 WAN (10BASE-T/100BASE-TX) с автоопределением типа кабеля;
  • 4 порта RJ-45 LAN (10BASE-T/100BASE-TX) с автоопределением типа кабеля;
  • 1 порт RJ-45 Private (10BASE-T/100BASE-TX) с автоопределением типа кабеля;
  • порт для консольного подключения;
  • кнопка сброса настроек;
  • разъём для подключения питания 5 В;
  • 9 светодиодных индикаторов (Power, Status, WAN1-2, Private, LAN1-4).
WAN-интерфейс:
  • динамический IP;
  • статический адрес IP;
  • PPPoE (RFC 2516);
  • PPTP (RFC 2637).
Сетевые функции:
  • режимы маршрутизации или NAT;
  • IP PnP;
  • встроенный сервер DHCP, поддержка трансляции с других серверов DHCP;
  • поддержка статических маршрутов;
  • поддержка зон неограниченного доступа;
  • поддержка HTTP прокси;
  • поддержка тегированных VLAN – 802.1q.
Защита сети (в том числе с WAP-006):
  • WEP с ключами длиной 64 или 128 бит;
  • WPA-PSK;
  • WPA2;
  • WPA2-PSK;
  • фильтрация сетевого трафика на основании MAC-адресов
  • поддержка IPSec VPN (сервер).
Управление точками доступа:
  • поддержка до 12 точек доступа для прямого конфигурирования через централизованный интерфейс шлюза;
  • поддержка любых точек доступа для организации сети;
  • веб-интерфейс для централизованного управления;
  • автоматическое обнаружение точек доступа и работа со списком;
  • фильтрация МАС-адресов;
  • профили для точек доступа;
  • мониторинг статуса точек доступа и клиентов;
  • предупреждения и отчёты.
Учёт и биллинг:
  • поддержка RADIUS;
  • встроенные профили для учёта времени или трафика клиента;
  • контроль остатка баланса клиента;
  • уведомление об окончании баланса;
  • детализированная статистика пользователей;
  • уведомления и отчёты на e-mail.
Управление учётными записями:
  • до 120 одновременных подключений;
  • до 500 локальных учётных записей;
  • до 2000 временных учётных записей;
  • одновременная поддержка нескольких методов аутентификации (OP3(S), RADIUS, LDAP или NTDomain);
  • контроль доступа;
  • ограничение полосы пропускания.

Шлюз

Корпус AMG-2000 достаточно невелик – размером с небольшую книгу (235х161,9х37,6 мм), выполнен из металла. Спереди расположены лишь индикаторы, которые отображают следующее: питание, статус шлюза, статус портов LAN, статус портов WAN, в том числе портов Private (не зависящих от авторизации).
 LevelOne AMG-2000: Вид спереди
Все порты расположены сзади. Там же находится порт для консольного подключения, разъём питания и клавиша сброса настроек. Для подключения к сети можно использовать четыре порта LAN, один порт Private и два порта для внешних подключений (WAN1 и WAN2). Отметим, что шлюз поддерживает резервирование подключений к внешней сети (Интернету).
 LevelOne AMG-2000: Вид сзади
Традиционно, мы заглянули внутрь корпуса устройства. На плате обнаружился чип 5-портового коммутатора RTL8305SB, два чипа контроллеров Ethernet 10/100 RTL8100B, несколько чипов памяти, два разъёма для установки mini-PCI-карт, а также сетевой процессор PRIXP425BD, на описании которого мы остановимся.
 LevelOne AMG-2000: Внутреннее устройство
Чип относится к семейству Intel Xscale и предназначен для использования в сетевом оборудовании. Имеет встроенную поддержку криптографических алгоритмов SHA-1, MD5, DES, 3DES и AES. В самом чипе реализована поддержка обработки нескольких голосовых каналов, предусмотрены два порта для VoIP или потоков T1/E1, в чипе реализованы два 10/100 Base-T Ethernet MAC и Media Independent Interface (MII), интефейс UTOPIA 2 с поддержкой ADSL/G.SHDSL или VDSL, поддерживается шина PCI v2.2, контроллер памяти поддерживает от 8 до 256 Мб SDRAM. Кроме всего перечисленного, чип имеет встроенный контроллер USB. Осталось отметить, что энергопотребление процессора не превышает 1,5 Вт.

Точка доступа

Вместе со шлюзом к нам на тестирование попали две точки доступа WAP-0006, которые представляют собой минимально нагруженные функциональностью устройства, но в паре с AMG-2000 позволяют построить достаточно функциональную и защищённую сеть. Размер точек доступа достаточно мал (30х1127х96 мм). Корпус выполнен из пластика. Спереди видны три индикатора: питание, WLAN и LAN, которые позволяют судить о работе точки доступа.
 LevelOne WAP-0006: Вид спереди
На задней стороне точки доступа расположены разъёмы для подключения питания, локальной сети и антенны (RP-SMA), а также клавиша сброса настроек.
 LevelOne WAP-0006: Вид сзади
Естественно, мы заглянули внутрь WAP-006. Дизайн достаточно традиционен для точек доступа, выполненных на базе RTL8186 (а именно на этом чипе и выполнена эта точка доступа). Объём установленной памяти оказался минимальным – 8 Мб, которых, впрочем, вполне достаточно для работы под управлением шлюза.
 LevelOne WAP-0006: Внутреннее устройство

Стр.2 - Установка, Тестирование

Установка и настройка

Для настройки шлюза удобно использовать встроенный веб-интерфейс. Для доступа к нему необходимо обратиться на http://192.168.1.254. Напоминаем, что адрес компьютера, с которого происходит обращение, должен находиться в этой же сети, то есть в диапазоне от 192.168.1.1 до 192.168.1.253, при маске 255.255.255.0. Доступ к интерфейсу ограничен по имени пользователя и паролю. Для первого входа необходимо указать имя admin и пароль admin. Настоятельно рекомендуем при первом же входе сменить пароль.
Интерфейс администрирования: экран входа
Интерфейс устройства выполнен достаточно удобно. Разделы вынесены в отдельное меню, расположенное горизонтально в верхней части. Всего разделов шесть: System Configuration, User Autentication, AP Management, Network Configuration, Utilities и Status. При выборе раздела левая часть показывает список его подразделов, а правая – содержание. System Configuration В этом разделе выполняется настройка системных параметров шлюза. Можно задать все настройки при помощи мастера, можно настроить всё вручную. В подразделе системной информации задаются такие параметры, как имя, информация об администраторе, параметры SNMP и часовой пояс. Поле Home Page указывает адрес, куда будут перенаправляться клиенты после успешной авторизации, здесь же можно ограничить доступ к интерфейсу администрирования по IP-адресам и задать список NTP-серверов для синхронизации времени. Настройка внешнего подключения для порта WAN1 выполняется в другом подразделе; можно выбрать тип подключения (статический или динамический IP, PPPoE или PPTP) и задать его параметры. В подразделе WAN2&Failover настраиваются параметры подключения для WAN2, а также параметры резервирования внешнего подключения. Настройка локального сегмента выполняется в следующем подразделе, и позволяет задать режим работы (Router или NAT), внутренний IP-адрес устройства, а также указать параметры DHCP; эти клиенты для получения доступа к сети должны будут пройти аутентификацию или изначально должны быть занесены в список привилегированных. Если некоторым клиентам необходим доступ в сеть без аутентификации, то их можно подключить к определённому порту и настроить соответствующие параметры в последнем подразделе (Private LAN Configuration).
Интерфейс администрирования: Настройка системных параметров шлюза
User Autentication В этом разделе собраны настройки аутентификации и ограничений пользователей. Шлюз позволяет настроить три сервера аутентификации, каждый из которых может работать только с одним из протоколов: POP3(S), RADIUS, LDAP или NTDomain. Кроме того, можно создать до 2500 учётных записей средствами самого шлюза. Поддерживаются и так называемые черные списки. Система поддерживает восемь различных политик, для каждой из которых можно создать свой профиль брандмауэра, параметры маршрутизации, расписание и ограничение полосы пропускания. В подразделе дополнительной конфигурации доступны такие пункты, как таймауты сессий, множественные входы одной учётной записи, параметры аутентификации и т.д.
Интерфейс администрирования: настройка аутентификации и ограничений пользователей
AP Management Раздел управления точками доступа содержит всё необходимое для работы с управляемыми точками доступа. В первом подразделе можно просмотреть информацию обо всех подключенных точках, а также выполнить такие операции, как перезагрузка, активация/деактивация, удаление из списка, применение шаблона и переход к непосредственной настройке. Для добавления новых точек доступа можно воспользоваться разделом обнаружения, при этом точкам доступа задаются IP-адреса, и они переходят под управление шлюза. В другом подразделе можно выполнить все операции добавления точки доступа вручную, там же можно применить к выбранной точке один из трёх доступных шаблонов. Шаблоны редактируются в следующем подразделе. Шаблон включает в себя такие пункты, как SSID, широковещание SSID, канал, параметры безопасности и параметры сигнала. Раздел управления прошивками позволяет работать с прошивками точек доступа, в том числе выполнять их обновление и сохранять. Отображаются версии прошивок и время последнего обновления. Для обновления можно выбрать одну из скачанных прошивок и установить как на одну, так и на несколько точек доступа одновременно.
Интерфейс администрирования: управление точками доступа
Network Configuration В этом разделе настраиваются различные параметры сети. В первом подразделе – NAT. Здесь можно сопоставить внешние адреса с внутренними или настроить перенаправление по порту или по адресу и порту. Шлюз позволяет создать список привилегированных IP и МАС-адресов, при обращении с которых доступ будет разрешаться без необходимости авторизации. Шлюз позволяет определить до 20 адресов, доступ к которым будет разрешён без авторизации всем пользователям. В шлюзе реализована поддержка прокси-серверов: можно настроить до 10 внешних адресов. Не обошлось и без поддержки DDNS, причем список сервисов достаточно широк. Раздел IP Mobility позволяет активировать не что иное, как IP PNP.
Интерфейс администрирования: настройка параметров сети
Utilities Здесь нет ничего особенного: смена пароля, сохранение/восстановление настроек, обновление прошивки и перезагрузка системы. Этим ограничены возможности данного раздела. Ничего лишнего, но хотелось бы увидеть встроенную утилиту ping.
Интерфейс администрирования: встроенные утилиты
Status Здесь отображается информация о настройках и работе системы. Здесь же показывается список подключенных пользователей со всеми параметрами, при наличии прав можно отключить пользователя. Можно также просмотреть информацию о трафике пользователей и настроить отправку различных уведомлений на адрес электронной почты либо на сервер SysLog.
Интерфейс администрирования: статус шлюза

Тестирование

Для тестирования мы смоделировали беспроводную сеть, состоящую из AMG-2000 и двух точек доступа WAP-0006. Точки доступа были подключены непосредственно к портам шлюза, без использования дополнительных коммутаторов. Порт WAN1 был подключен к нашему стационарному компьютеру следующей конфигурации: AMD Athlon 64 Х2 3800+ c 2 Гб ОЗУ и интегрированным гигабитным сетевым контроллером, под управлением OC Windows XP Professional SP2. В качестве беспроводного клиента мы использовали ноутбук на базе Intel Core2 Duo с 1 Гб ОЗУ, также под управлением ОС Windows XP Professional SP2. На территории проведения тестирования диапазон 2,4 ГГц свободен от влияния постороннего оборудования. Расстояние между точками доступа и ноутбуком - около двух метров, тем самым условия для передачи сигнала можно назвать близкими к идеальным. В ходе тестовых испытаний мы измеряли скорость передачи данных между конечными точками (стационарным ПК и ноутбуком). Для тестирования использовалась система NetIQ Chariot. В итоге, мы получили четыре средних значения скорости (для разных направлений трафика, с учётом использования шифрования). В качестве метода шифрования мы выбрали WPA2-PSK (AES). Итак, перейдём к результатам.
Тест
Средняя скорость, Мб/с
Максимальная скорость, Мб/с
Минимальная скорость, Мб/с
Входящий поток, без шифрования
22,1
23,8
0,6
Исходящий поток, без шифрования
20,9
21,8
0,7
Входящий поток, шифрование WPA-PSK
20,3
21,8
0,4
Исходящий поток, без шифрования WPA-PSK
19,9
21,7
0,5
Входящий поток без шифрования
Исходящий поток без шифрования
Входящий поток с шифрованием
Исходящий поток с шифрованием
Что касается скорости работы, полученной в ходе тестирования, то её среднее значение оказалось в пределах нормы для беспроводного оборудования стандарта 802.11g. Однако, нас не порадовали сильные колебания скорости. Как видно по графикам, скорость передачи данных достаточно часто просаживается, причём такое поведение характерно как для открытой сети, так и для защищённой. Конечно, большинство пользователей вряд ли заметит такие колебания, ведь они критичны лишь для мультимедиа-трифика, например, IP-телефонии. Что кастается веб-серфинга, чтения электронной почты, использования различных мессенджеров, то по их работе эти колебания вряд ли можно будет замететить. Мы не стали оценивать дальность работы, поскольку материал посвящён шлюзу управления, который не влияет на дальность передачи радиосигнала.

Заключение

Протестированный комплект оборудования, состоящий из шлюза управления и двух точек доступа, показался нам весьма привлекательным решением для построения беспроводной сети с единым управлением доступом, учётом трафика и контролем использования ресурсов сети. Наличие двух портов WAN позволяет обеспечить резервирование каналов доступа в сеть без необходимости вмешательства администратора. Что касается возможностей контроля доступа и управления пользователями, то здесь также всё продумано достаточно точно. Процесс создания временных учётных записей предельно прост и не потребует от оператора каких-то особых навыков. Поддержка VLAN (802.1q) позволяет добиться еще большей гибкости при построении защищенной сети с четким раграничением прав (реализовано в прошивке версии 2.00.00). Что касается ценового вопроса, то по данным price.ru на 26 ноября 2007 года, AMG-2000 можно было купить за $672, а точку доступа WAP-0006 - за $44.
- Обсудить материал в конференции




Оригинал материала: https://3dnews.kz/271445