Фото 1: внешний вид
В этом обзоре будет рассмотрен беспроводной маршрутизатор компании TRENDnet, использующий технологию MIMO, позволяющую повысить дальность беспроводной связи и режимы повышения производительности беспроводных соединений (режимы Super G и Turbo).
Технология MIMO (Multiple Input Multiple Output) позволяет повысить производительность и радиус действия беспроводной связи. Данная технология включается автоматически при использовании беспроводных адаптеров в паре с точками доступа, поддерживающими данную технологию. В документации на устройство не уточняется, каким именно образом это достигается.
Технологии Super G и Turbo используют различные приемы, позволяющие повысить скорость работы беспроводной связи. Более подробно об этих приемах рассказывалось в ранее опубликованной статье "Методы увеличения производительности в беспроводных сетях Wi-Fi" (часть 1 и часть 2).
Функциональные возможности: беспроводная точка доступа IEEE 802.11g с использованием технологии MIMO и режимов увеличения производительности Super G и Turbo, NAT-маршрутизатор с возможностью шейпинга трафика, 4-хпортовый коммутатор.
Теперь обо всем по порядку
Внешний вид
Спереди на устройстве расположены следующие индикаторы (слева направо):
- Индикатор питания
- По одному индикатору активности на каждый из 4-х LAN-портов
- Индикатор активности порта WAN
- Индикатор активности WLAN-соединения
Сзади на устройстве расположены (слева направо):
- Разъем питания
- 4 LAN-порта RJ-45
- WAN-порт RJ-45
- Переключатель, позволяющий отключить беспроводной интерфейс
- Кнопка "Reset" — сброс параметров
Комплект поставки:
- сам маршрутизатор
- диск с инструкцией на английском языке
- краткое руководство по установке и настройке на 5-ти языках (включая русский)
- подставка для вертикальной установки маршрутизатора
- патчкорд RJ-45 — RJ-45, длина ~1.5 метров
Фото 4: вертикальная установка
Вид изнутри:
Фото 5: вид изнутри
Устройство выполнено на базе процессора UBICOM IP3023: 32-битный процессор, работающий на частоте 250 МГц, поддерживающий 8 потоков.
Коммутатор устройства выполнен на базе микросхемы Realtek RTL8305SC: 5-типортовый коммутатор, поддержка до 16-ти VLAN'ов.
На плате установлено 4 Мбайт флэш-памяти Macronix MX 29LV320MBTC-90G. Также на плате находится микросхема памяти MIRA P2V64S40DTP.
Беспроводная часть устройства выполнена в виде отдельной mini-PCI-платы. Контроллером беспроводной связи является Atheros AR5513 (MIPS 180 МГц, аппаратная поддержка AES и TKIP, WMM, USB 2.0). Остальная электроника скрыта под экраном, припаянным к mini-PCI плате.
Спецификация:
| корпус | пластиковый, допускается горизонтальная или вертикальная установка, а также подвес на стену | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | Fast Ethernet | ||
| количество портов | 1 | |||
| auto MDI/MDI-X | да | |||
| типы поддерживаемых соединений | фиксированный IP | да | ||
| динамический IP | да | |||
| PPPoE | да | |||
| PPTP | да | |||
| L2TP | да | |||
| IPSec | нет | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | да | |||
| Беспроводной сегмент | ||||
| антенна | количество | 2 | ||
| тип | две внешние дипольные, 5 dBi | |||
| возможность замены антенны/тип коннектора | нет | |||
| принудительное задание номера рабочей антенны | нет | |||
| поддерживаемые стандарты и скорости | 802.11b | CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps) | ||
| 802.11g | OFDM: 108, 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec | |||
| Регион/Кол-во каналов | Europe/13 | |||
| расширения протокола 802.11g | Super AG (Super G + Turbo) | |||
| возможность ручного задания скорости | да | |||
| выходная мощность | (максимальная?) | ?? | ||
| 802.11b @11Mbit/s | 18 dBm | |||
| 802.11g @54Mbit/s | 16 dBm | |||
| чувствительность приемника | 802.11b @11Mbit/s | -85 dBm при 10-5 BER | ||
| 802.11g @54Mbit/s | -74 dBm при 10-5 BER | |||
| работа с другой AP | поддержка WDS (мост) | да | ||
| поддержка WDS + AP | ?? | |||
| возможность работы в режиме клиента | нет | |||
| wireless repeater (повторитель) | нет | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | да | |||
| WEP | 64/128bit | |||
| WPA и WPA2 | 802.1x, AES или TKIP | |||
| WPA-PSK (pre-shared key) | AES или TKIP | |||
| 802.1x (через Radius) | нет | |||
| дополнительные возможности с использованием Radius | да, проверка валидности mac-адресов | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | нет | |||
| собственная утилита | нет | |||
| telnet | нет | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | нет | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | нет | |||
| возможность отключения NAT (работа в режиме роутера) | нет | |||
| Встроенные VPN-сервера | IPSec | нет | ||
| PPTP | нет | |||
| L2TP | нет | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | нет | |||
| L2TP | да | |||
| Traffic shaping (ограничение трафика) | да | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, 9 заранее предопределенных серверов | |||
| внутренние часы | присутствуют | |||
| синхронизация часов | да, NTP | |||
| встроенные утилиты | ICMP ping | нет | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да, системные события, файрвол | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | нет | |||
| SNMP | поддержка SNMP Read | нет | ||
| поддержка SNMP Write | нет | |||
| поддержка SNMP Traps | нет | |||
| Роутинг | ||||
| статический (задания записей вручную) | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | - | |
| RIPv1 | нет | |||
| RIPv2 | нет | |||
| на LAN интерфейсе | возможность отключения | - | ||
| RIPv1 | нет | |||
| RIPv2 | нет | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, возможно отключение SPI | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да | ||
| на WLAN-WAN сегменте | да, совмещен с LAN-WAN | |||
| на LAN-WLAN сегменте | нет | |||
| типы фильтров | с учетом SPI | возможно отключение/включение SPI для всех фильтров | ||
| по MAC адресу | да | |||
| по source IP адресу | да, в том числе по диапазону | |||
| по destination IP адресу | да, в том числе по диапазону | |||
| по протоколу | да, TCP/UDP/TCP&&UDP | |||
| по source порту | нет | |||
| по destionation порту | да (по диапазону), только для исходящего трафика | |||
| привязка ко времени | да, только правила для исходящего трафика | |||
| по URL-у | да | |||
| по домену | да (совмещен с URL) | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | да, опционально для входящего трафика | ||
| deny | да, опционально для входящего трафика, единственный вид действия для исходящего трафика | |||
| log | да, опционально для правил исходящего трафика | |||
| поддержка спец. приложений (netmeeting, quicktime etc) | да, SIP, Windows Messanger, Netmeeting, RTSP, AOL, FTP, MMS | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| traffic shaping | ||||
| типы шейпинга | ограничение общего исходящего трафика | да | ||
| ограничение общего входящего трафика | нет | |||
| ограничение входящего трафика по критериям | нет | |||
| ограничение исходящего трафика по критериям | да | |||
| критерии задания правила для ограничений | src interface lan/wan | нет | ||
| dst interface lan/wan | нет | |||
| src ip/range | да, диапазон | |||
| dst ip/range | да, диапазон | |||
| src protocol | TCP,UDP, ICMP, * | |||
| src port/range | да, диапазон | |||
| dst port/range | да, диапазон | |||
| привязка ко времени | нет | |||
| типы ограничений | количественные ограничения для полосы в кбит/с | да | ||
| задание в процентах | нет | |||
| назначение приоритета | да | |||
| питание | ||||
| тип БП | внешний, 5В, 2А | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | 1.0.4, 14 Dec 2005 | |||
| размеры | 180 × 122 × 30mm | |||
| вес | 320 г. | |||
Конфигурация:
Конфигурация устройства осуществляется через WEB-интерфейс, его скриншоты показаны здесь.
WEB-интерфейс содержит мастер подключения к Интернет и мастер настройки беспроводной сети — их использование может облегчить задачу настройки для неопытных пользователей.
рис. 1
PPTP-сервер устройства позволяет производить аутентификацию только с использованием протокола CHAP. Протоколы аутентификации PAP, MSCHAP, MSCHAPv2 не поддерживается (а, следовательно, MPPE-шифрование также не поддерживается).
В настройках PPTP указывается IP-адрес и маска подсети WAN-интерфейса маршрутизатора (PPTP IP Address и PPTP Subnet Mask). Если PPTP-сервер находится не в той же подсети, что и WAN-интерфейс роутера, то можно указать шлюз, через который можно получить к нему доступ. Получение этих данных по DHCP невозможно.
рис. 2
Устройство позволяет задать до 64 статических записи DHCP. Всего по DHCP может быть ассоциировано до 252-х IP-адресов.
рис. 3
Настройки беспроводной связи позволяют выбрать скорость беспроводного соединения, а также задействовать режимы увеличения производительности Super G и Turbo.
Настройки безопасности позволяют использовать WEP и WPA-шифрование. WPA-Personal — так называется WPA-PSK шифрование, а WPA-Enterprise — WPA-шифрование с аутентификацией через RADIUS-сервер.
рис. 4
Настройки WPA-шифрования позволяют использовать алгоритмы AES и TKIP.
рис. 5
Данный маршрутизатор содержит в себе впечатляющий набор ALG-шлюзов (Application Layer Gateway), которые позволяют работать через NAT с приложениями, которые сами по себе не способны преодолевать NAT.
рис. 6
Использование правил для специальных приложений позволяет открыть один или несколько портов, когда производится соединение из внутренней сети во внешнюю. Используя данные правила можно настроить роутер так, что будут открываться порты, указанные в "Input Port Range", когда из внутренней сети будут посылаться данные во внешнюю, на порты, указанные в "Trigger Port Range".
рис. 7
Пункт "Gaming", по сути, является аналогией виртуальных серверов — то есть мы открываем для пользователей из внешней сети доступ к серверам внутренней сети по определенным портам. Разница заключается в том, что используя "Gaming" мы можем одним правилом задать диапазоны используемых ТСP и UDP-портов, а также IP-адрес сервера во внутренней сети.
Устройство позволяет также задавать правила шейпинга трафика — более подробно данная возможность будет рассмотрена далее в этом обзоре.
Правила фильтрации задаются отдельно для входящего и отдельно для исходящего трафика.
рис. 8
Как видно из рис. 8, для исходящего трафика мы задаем правила блокировки (работает по принципу "разрешено все, что явно не запрещено"). Мы задаем адрес источника трафика (в нашей внутренней сети) и 8 диапазонов адресов назначения (которые включают используемые протоколы и порты).
рис. 9
Что касается правил фильтрации входящего трафика, то можно запретить или разрешить трафик только по IP-адресу источника. Фильтрацию по порту назначения (для TCP и UDP) производить нельзя.
рис. 10
WEB-фильтр позволяет производить фильтрация по URL, но мне почему-то не удалось добиться его работы.
В настройках файрвола возможно отключение механизма SPI (Stateful Packet Inspection).
WEB-интерфейс также содержит справочную информацию на английском языке обо всех настройках.
Тестирование
Тестирование производительности беспроводного сегмента
Для тестирования производительности были использованы беспроводные адаптеры TRENDnet TEW-601PC и TEW-603PI, поддерживающие технологию увеличения радиуса действия беспроводной сети MIMO, и режимы повышения производительности беспроводной связи Super G и Turbo. Эти адаптеры были рассмотрены нами в одном из прошлых обзоров.
Были проведены следующие тесты:
- Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI — точка доступа TRENDnet TEW-611BRP"
- Тест "Беспроводной Cardbus-адаптер TEW-601PC — точка доступа TRENDnet TEW-611BRP"
- Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI и беспроводной Cardbus-адаптер TEW-601PC — точка доступа TRENDnet TEW-611BRP"
- Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI и беспроводной Cardbus-адаптер TEW-601PC через точку доступа TRENDnet TEW-611BRP, режим Infrastructure"
Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI — точка доступа TRENDnet TEW-611BRP" — трафик гонялся между компьютером с беспроводным PCI-адаптером TRENDnet TEW-603PI и компьютером подключенным к LAN-сегменту точки доступа на роутере TRENDnet TEW-611BRP. Тестирование проводилось в режимах IEEE 802.11b, IEEE 802.11g, SuperG и SuperG with Turbo. Расстояние между точками не превышало 5 метров.
Обозначения:
- AP — точка доступа на роутере TRENDnet TEW-611BRP
- PCI — беспроводной PCI-адаптер TRENDnet TEW-603PI
- fdx — fullduplex, трафик гоняется в обоих направлениях одновременно
Максимальная скорость: 5,83 Мбит/с в режиме IEEE 802.11b, 19,25 Мбит/с в режиме IEEE 802.11g, 29,90 Мбит/с в режиме Super G и 53,76 Мбит/с в режиме Super G with Turbo. Использование режимов увеличения производительности беспроводной связи показывает хорошие результаты. Производительность беспроводной связи при их использовании возрастает более чем в 2 раза по сравнению с производительностью в режиме IEEE 802.11g.
Тест "Беспроводной Cardbus-адаптер TEW-601PC — точка доступа TRENDnet TEW-611BRP" — трафик гонялся между ноутбуком с беспроводным Cardbus-адаптером TRENDnet TEW-601PC и компьютером, находящимся в LAN-сегменте точки доступа на роутере TRENDnet TEW-611BRP. Тестирование проводилось в режимах IEEE 802.11b, IEEE 802.11g, Super G и Super G with Turbo. Расстояние между точками беспроводной связи при тестировании не превышало 5-ти метров.
Максимальная скорость: 5,83 Мбит/с в режиме IEEE 802.11b, 21,37 Мбит/с в режиме IEEE 802.11g, 32,78 Мбит/с в режиме Super G и 52,64 Мбит/с в режиме Super G with Turbo. Как и при тестировании PCI-адаптера, использование режимов Super G и Super G with Turbo дает существенный прирост производительности.
Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI и беспроводной Cardbus-адаптер TEW-601PC — точка доступа TRENDnet TEW-611BRP" — трафик гонялся между беспроводными адаптерами (TRENDnet TEW-601PC Cardbus и TEW-603PI PCI) и компьютером, находящимся в LAN-сегменте точки доступа на роутере TRENDnet TEW-611BRP. Тестирование проводилось в режимах IEEE 802.11b, IEEE 802.11g, Super G и Super G with Turbo. Расстояние между точками беспроводной связи при тестировании не превышало 5-ти метров.
Посмотрим, как распределялся трафик между беспроводными адаптерами
Максимальная скорость: 5,99 Мбит/с в режиме IEEE 802.11b, 20,01 Мбит/с в режиме IEEE 802.11g, 32,80 Мбит/с в режиме Super G и 52,13 Мбит/с в режиме Super G with Turbo. Можно заметить, что в ряде тестов скорость трафика между точкой доступа и Cardbus-адаптером по каким-то причинам выше, чем в аналогичных тестах с PCI-адаптером.
Тест "Беспроводной PCI-адаптер TRENDnet TEW-603PI и беспроводной Cardbus-адаптер TEW-601PC через точку доступа TRENDnet TEW-611BRP, режим Infrastructure" — трафик гонялся между беспроводными PCI и Cardbus-адаптерами TRENDnet TEW-603PI и TEW-601PC через точку доступа на роутере TRENDnet TEW-611BRP. Тестирование проводилось в режимах IEEE 802.11b, IEEE 802.11g, Super G и Super G with Turbo. Расстояние между точками беспроводной связи при тестировании не превышало 5-ти метров.
Максимальная скорость: 2,95 Мбит/с в режиме IEEE 802.11b, 11,70 Мбит/с в режиме IEEE 802.11g, 15,67 Мбит/с в режиме Super G и 25,04 Мбит/с в режиме Super G with Turbo. Как и во всех остальных тестах, использование режимов Super G и Turbo значительно повышает производительность беспроводной сети.
Тестирование проводного сегмента
тестирование проводилось по этой методике
Максимальная скорость: 92,7 Мбит/с. В полнодуплексном режиме скорости трафика в различных направлениях различаются примерно в 2 раза. В полудуплексном режиме скорость трафика в направлении LAN->WAN значительно ниже скорости в обратном направлении.
Теперь посмотрим, как ведет себя трафик при уменьшении размера IP-пакетов
При уменьшении размеров пакетов, скорость трафика сравнительно низкая.
Тестирование NetPIPE:
Максимальная скорость: 87,94 — скорость, сравнимая со скоростью сетевых адаптеров, соединенных напрямую (без маршрутизатора). Аномалий в графике не наблюдается.
Тестирование безопасности:
Во время тестирования было включено удаленное управление на 80-м порту.
Результаты Nessus'а:
Nessus не находит ни одной критической уязвимости — судя по всему, разработчики уделили этому вопросу особое внимание, однако по умолчанию устройство имеет пустой пароль для доступа к интерфейсу управления, что может быть небезопасно. К счастью, данная "уязвимость" легко устраняется.
Тестирование шейпинга трафика:
Устройство позволяет производить шейпинг только исходящего трафика. Задается как общая ширина обратного канала и использование шейпинга по приоритетам.
рис. 11
Шейпинг трафика по приоритетам не будет корректно работать, если не будет задана ширина обратного канала. Добиться работы автоматического определения скорости обратного канала (Automatic Uplink Speed) не удалось.
Посмотрим, как изменяется скорость трафика при изменении значения ширины обратного канала
| Заданная ширина канала (кбит/с) | Скорость трафика (Мбит/с) |
| 128 | 0,111 |
| 512 | 0,481 |
| 2048 | 1,941 |
| 16384 | 15,521 |
| 32768 | 30,959 |
| 65536 | 51,588 |
Как видно из таблицы, скорость трафика изменяется пропорционально заданной ширине канала, однако эти значения немного различаются между собой.
Правила шейпинга по приоритетам задаются с использованием критериев: диапазон IP-адресов источника и назначения, диапазон портов источника и назначения (для протоколов TCP и UDP), протокол (TCP/UDP/ICMP/*). Во время тестирования по приоритетам, заданное значение ширины обратного канала составляло 50000 кбит/с.
Тест 1: создадим правила для двух потоков трафика, которым назначим различные значения приоритетов. Будем менять значения приоритетов и посмотрим, как это отразится на поведении трафика. Приоритеты назначаются в диапазоне от 0 до 255.
| Значения приоритетов трафика (меньшее значение — больший приоритет) | ||
| hi: 0 low: 255 | hi: 50 low: 100 | hi:100 low:101 |
 |  |  |
Как видно из графиков, цифровые значения приоритетов не имеют принципиального значения — то есть, нет разницы, имеют ли 2 потока приоритеты 0 и 255 или 127 и 128, имеет значение, имеет ли поток более высокий или более низкий приоритет.
Тест 2: посмотрим, как поведет себя трафик при динамическом включении потоков с различными приоритетами
б) сначала запускается поток с более высоким приоритетом, а некоторое время спустя — с более низким
б) сначала запускаетя поток с более высоким приоритетом, а некоторое время спустя — с более низким
Как видно из графиков, при включении второго потока, распределение скоростей сразу изменяется в соответствии с настройками.
Тест 3: теперь запустим 3 потока трафика, к двум из которых применим правила шейпинга (числовые значения приоритетов 100 и 101). 3-й поток трафика правилами шейпинга никак не описывается. После этого посмотрим, как ведут себя потоки трафика при их последовательном запуске, начиная с потока, к которому не применяются правила шейпинга и заканчивая потоком с наибольшим приоритетом.
Поток трафика, не описанный правилами шейпинга, как оказалось, имеет самый низкий приоритет. Впоследствии выяснилось, что таким потокам назначается приоритет 255 (самое низкое значение).
При последовательном запуске потоков трафика с различными приоритетами, распределение скоростей сразу изменяется в соответствии с заданными настройками.
Доступность
Средняя розничная цена по Москве на рассматриваемое в статье устройство : Н/Д(0)
Выводы
Рассмотренное устройство показало высокую производительность как проводной, так и беспроводной связи. Хорошо себя проявили возможности шейпинга трафика, однако не обошлось и без небольшой ложки дегтя — PPTP-аутентификация производится только с использованием CHAP-протокола, использование MS-CHAP и MS-CHAPv2, а соответственно и MPPE-шифрование не поддерживается. Также огорчила скудность настроек фильтрации трафика и то, что не удалось запустить фильтрацию по URL.
Также очень порадовало наличие большого количества ALG-шлюзов, позволяющее прохождение через NAT таких сервисов как FTP, SIP, установление VPN-соединений и др.
Плюсы:
- Поддержка технологии MIMO и механизмов увеличения производительности в беспроводных сетях (это дает почти 2-хкратное увеличения скорости)
- Высокая производительность проводного сегмента
- Возможность использования алгоритма AES при WPA-шифровании
- Поддержка большого количества ALG-шлюзов
- Высокий уровень безопасности (за исключением пустого пароля по умолчанию)
- Достаточно точная работа механизма шейпинга трафика
- Наличие встроенной справочной системы
Минусы:
- Не удалось запустить механизм WEB-фильтрации
- PPTP-клиент поддерживает только CHAP-аутентификацию (и, следовательно, не поддерживает MPPE-шифрование)
- Невозможность получения IP-адреса по DHCP в случае использования PPTP-соединения
- Скудность критериев задания правил фильтрации
- Возможности шейпинга применяются только к исходящему трафику
- Не удалось добиться работы автоматического определения скорости обратного канала
- Пустой пароль по умолчанию
- Отсутствует возможность замены антенн
