Компьютеры

Беспроводная классика — маршрутизаторы D-Link AirPlus

Классическими примерами беспроводных маршрутизаторов класса SOHO являются маршурутизаторы DI-824VUP+ и DI-624+ компании D-Link, о возможностях которых пойдет речь в этой статье.

Несмотря на огромное разнообразие программных средств защиты от различного рода атак на локальную сеть извне (то есть из Интернета), все подобные программные решения имеют один серьезный недостаток. Для того чтобы реализовать такого рода защиту, необходимо выделить отдельный ПК, на котором устанавливается и настраивается специализированное ПО. Если речь идет о достаточно крупной сети, насчитывающей не менее сотни ПК, то такое решение вполне оправдано, но если надо оградить от угроз небольшую сеть класса SOHO, насчитывающую всего несколько десятков ПК, то выделение отдельного сервера для организации защиты сети может быть накладно. Кроме того, необходимо помнить, что профессиональные пакеты, реализующие защиту сети, стоят достаточно дорого, и для сегмента SOHO, возможно, имеет смысл обратиться к альтернативным решениям. А такая альтернатива существует. Речь идет о маршрутизаторах класса SOHO, которые называют также интернет-серверами и интернет-маршрутизаторами. Сегодня на рынке представлен огромный выбор подобных маршрутизаторов, отличающихся друг от друга функциональными возможностями и стоимостью. Кроме того, учитывая широкое распространение беспроводных сетей, имеется целый класс так называемых беспроводных маршрутизаторов. Эти устройства, кроме классического маршрутизатора с портами WAN и LAN, содержат интегрированную точку беспроводного доступа, поддерживающую протокол беспроводной связи. Классическими примерами беспроводных маршрутизаторов класса SOHO являются маршурутизаторы DI-824VUP+ и DI-624+ компании D-Link. Об их возможностях и пойдет речь в этой статье.

D-Link AirPlus G+ DI-824VUP+

Маршрутизатор D-Link AirPlus G+ DI-824VUP+

Хотя с формальной точки зрения модель DI-824VUP+, относящаяся к серии устройств D-Link AirPlus G+, и является VPN-маршрутизатором класса SOHO, фактически DI-824VUP+ представляет собой многофункциональное устройство. DI-824VUP+ объединяет в себе 4-портовый коммутатор Fast Ethernet с автоматическим определением MDI-MDIX на всех портах, беспроводную точку доступа и встроенный принт-сервер, поддерживающий работу с принтерами как с параллельным, так и с USB-интерфейсом. Кроме традиционного WAN-порта, который можно использовать для подключения маршрутизатора к xDSL-модему или Ethernet-сегменту внешней сети, имеется дополнительный порт RS-232 (COM), предназначенный для создания соединения с провайдером через ISDN или аналоговый модем.

Встроенная точка доступа дополняет LAN-порты коммутатора, позволяя организовывать беспроводной сегмент внутренней сети по стандартам 802.11b, 802.11b+ и 802.11g с автопереключением между режимами. Точка доступа работает в диапазоне частот от 2.4 до 2.4835 ГГц со скоростью передачи данных 1, 2, 5.5, 11 и 22 Мбит/c (802.11b/b+) или 6, 9, 12, 18, 24, 36, 48 и 54 Мбит/c (802.11g). Скорость передачи данных автоматически уменьшается в шумной среде и при увеличении расстояния. Используется технология уширения спектра методом прямой последовательности DSSS и модуляция DBPSK, DQPSK, CCK, PBCC или OFDM. Радиус действия точки доступа составляет до 100 метров в помещении и до 400 – на открытом пространстве.

Для защиты передачи данных по беспроводному сегменту используется протокол шифрования WEP (с ключом 64/128/256 бит) и сетевая аутентификация IEEE 802.1x.

Для соединения с интернет-провайдером или для создания соединения с внешней сетью возможно задание как статического IP-адреса, так и динамического (DHCP-клиент), получаемого от провайдера или внешнего DHCP-сервера. Кроме того, поддерживаются стандарты PPPoE (актуально для пользователей DSL-модемов) и PPTP.

Интересной функцией маршрутизатора является Renew IP Forever, которая позволяет автоматически переустанавливать связь с провайдером, если соединение обрывается. Также маршрутизатор поддерживает функцию клонирования MAC-адреса (Clone MAC address) – она может оказаться весьма полезной той категории пользователей, провайдеры которых используют привязку по MAC-адресу. Дело в том, что некоторые провайдеры, использующие кабельные модемы, иногда используют аутентификацию пользователя по MAC-адресу компьютера, подключаемого к DSL-модему. Как только вы попытаетесь подключить модем к другому компьютеру или маршрутизатору, соединение с провайдером станет невозможным. Такой метод аутентификации является источником проблем при установке нового маршрутизатора. Функция клонирования позволяет автоматически "клонировать" МАС-адрес компьютера, к которому подключён маршрутизатор, или даже указывать адрес ранее использовавшегося адаптера в качестве внешнего МАС-адреса.

Маршрутизатор DI-824VUP+ относится к разряду VPN-маршрутизаторов, то есть не просто поддерживает создание VPN-туннелей в режиме Pass-Through, а может выступать в роли VPN-сервера и может устанавливать VPN-соединение с узлом локальной сети и с другими маршрутизаторами для создания VPN-туннелей между удаленными офисами. DI-824VUP+ позволяет создавать до 40 VPN-туннелей стандарта IPSec с шифрованием по алгоритмам DES, 3DES, AES и управлением ключами согласно спецификации IKE/ISAKMP. Для тех, кто хочет использовать собственное ПО клиента VPN, туннели VPN могут создаваться без необходимости определения правил протокола обмена ключами (Internet Key Exchange - IKE). В дополнение к туннелям VPN, маршрутизатор поддерживает VPN в режиме Pass-Through по протоколам IPSec, L2TP и PPTP.

Кроме традиционной для маршрутизаторов поддержки протокола NAT (Network Address Translation), DI-824VUP+ имеет встроенный SPI (Stateful Packet Inspection) брандмауэр (Firewall) с механизмом анализа содержимого пакетов и регистрации попыток проникновения. Брандмауэр также обеспечивает фильтрацию доменов, блокировку URL, фильтрацию пакетов, предотвращение Ping of Death, IP spoofing и прочих угроз. Кроме того, чтобы обеспечить совместимость работы маршрузатора с определенными сетевыми приложениями, несовместимыми с протоколом NAT, и обеспечить возможность доступа к сервисам, расположенным во внутренней сети, маршрутизатор поддерживает функцию статического и динамического перенаправления портов, а также создания виртуальных серверов в демилитаризованной зоне (DMZ-зона).

Управление осуществляется посредством веб-интерфейса, при этом доступ к маршрутизатору может быть настроен на основе МАС- и IP-адресов пользователей. Встроенный DHCP-сервер облегчает настройку внутренней сети.

Устройство выполнено в корпусе, предусматривающем возможность настольной установки и настенного крепления. На передней панели расположен ряд светодиодных индикаторов, отображающих состояние (подключение/активность) всех портов и подключение питания.

На задней стенке размещены один WAN-порт RJ-45 и четыре LAN-порта RJ-45 для подключения рабочих станций, порты (параллельный и USB1.1) для подключения принтера и порт RS-232. Там же находятся съемная антенна, разъем для подключения питания и кнопка восстановления заводских настроек.

D-Link AirPlus G+ DI-624+

Маршрутизатор D-Link AirPlus G+ DI-624+

Маршрутизатор DI-624+ серии D-Link AirPlus G+ также относится к категории беспроводных маршрутизаторов класса SOHO, но, в отличие от модели DI-824VUP+, не является VPN-маршрутизатором, хотя и поддерживает VPN-туннели в режиме Pass-Through.

Этот маршрутизатор имеет встроенный 4-портовый коммутатор Fast Ethernet с автоматическим определением MDI-MDIX на всех портах и встроенную точку беспроводного доступа для организации беспроводного сегмента во внутренней сети.

Встроенная точка доступа обеспечивает возможность работы в беспроводных сетях стандартов 802.11b, 802.11b+ и 802.11g с автопереключением между режимами. Точка доступа работает в диапазоне частот от 2.4 до 2.4835 ГГц со скоростью передачи данных 1, 2, 5.5; 11 и 22 Мбит/c (802.11b/b+) или 6, 9, 12, 18, 24, 36, 48 и 54 Мбит/c (802.11g). Радиус зоны покрытия точки доступа составляет порядка 100 метров в помещении и до 400 – снаружи.

Для защиты передачи данных в беспроводной сети используются протокол шифрования WEP (с ключом 64/128/256 бит), сетевая аутентификация IEEE 802.1x (MD5 и TLS) и технология WPA.

Управление осуществляется посредством веб-интерфейса, при этом доступ к маршрутизатору может быть настроен на основе МАС- и IP-адресов пользователей. Отметим, что по своим функциональным возможностям и интерфейсу управление моделями DI-624+ и DI-824VUP+ практически идентично.

Модель DI-624+ поддерживает те же способы создания соединения с провайдером и алгоритмы аутентификации. Так, возможно задание как статического IP-адреса, так и динамического (DHCP-клиент), получаемого от провайдера или внешнего DHCP-сервера. Поддерживаются также стандарты PPPoE и PPTP. Кроме того, как и в модели DI-824VUP+, имеются функции Renew IP Forever и клонирования МАС-адреса.

Естественно, что в маршрутизаторе присутствует встроенный DHCP-сервер – это позволяет облегчить настройку внутренней сети, – а также реализована поддержка протокола NAT, который не может быть отключен. Для совместимости встроенного в маршрутизатор NAT-устройства с некоторыми сетевыми приложениями, а также для обеспечения доступа извне во внутреннюю сеть в маршрутизаторе DI-624+ (например, когда требуется реализовать доступ к веб-серверу, расположенному во внутренней сети) поддерживается статическое и динамическое перенаправления портов, а также возможность создания виртуальных серверов в DMZ-зоне. Всего возможно создание одного виртуального сервера в DMZ-зоне и до 13 виртуальных серверов, для которых назначается статическое или динамическое перенаправление портов.

Маршрутизатор DI-624+ поддерживает создание VPN-туннелей по протоколам IPSec, L2TP и PPTP только в режиме Pass-Through, то есть без вмешательства передает входящий и исходящий VPN-трафик, пропуская через себя инкапсулированные пакеты данных без просмотра их содержимого.

Возможности встроенного в маршрутизатор SPI-брандмауэра абсолютно такие же, как и для модели DI-824VUP+.

Устройство выполнено в компактном корпусе, конструкция которого предусматривает возможность как настольного, так и настенного крепления. На передней панели расположены светодиодные индикаторы, отображающие состояние питания, беспроводную и проводную (по каждому порту) сетевую активность. На задней стенке размещены один WAN-порт RJ-45 и четыре LAN-порта RJ-45 для подключения рабочих станций, разъем подключения питания. Там же находятся съемная антенна (кроме нее, имеется встроенная антенна) и кнопка восстановления заводских настроек.

Тестирование маршрутизаторов

Тестирование маршрутизаторов проходило в два этапа. На первом оценивалась производительность собственно маршрутизатора, а на втором – встроенной точки беспроводного доступа. Стенд для тестирования состоял из двух рабочих станций одинаковой конфигурации, одна из которых была подключена к встроенному в маршрутизатор коммутатору по LAN-порту и настроена для работы в локальной сети, а другая имитировала внешнюю сеть и xDSL-модем и, соответственно, была подключена к WAN-порту.

Конфигурация рабочих станций была следующей:

• операционная система – Windows XP Professional SP2;
• чипсет материнской платы – Intel 865;
• центральный процессор – Intel Pentium 4 с тактовой частотой 3,0 ГГц;
• оперативная память – 256 Мбайт DDR400.

Тестирование производительности маршрутизаторов проводилось с помощью специального программного обеспечения NetIQ Chariot версии 5.0, разработанной специально для тестирования сетевого оборудования.

Тест 1. Скорость маршрутизации WAN — LAN (проводной сегмент)

Первоначально измерялась пропускная способность маршрутизатора при передаче данных между портами WAN и LAN, для чего к этим портам подключались ПК по интерфейсу 10/100Base-TX.

Компьютер, подключаемый к порту WAN, имел следующие сетевые настройки:
• IP-адрес: 10.0.0.10;
• маска подсети: 255.255.255.0;
• шлюз: 192.168.1.254.

WAN-порт маршрутизатора имел настройки:
• IP-адрес: 10.0.0.254;
• маска подсети: 255.255.255.0;

Сам маршрутизатор имел настройки:
• IP-адрес: 192.168.1.254;
• маска подсети: 255.255.255.0.

Компьютер, подключаемый к LAN-порту маршрутизатора, имел следующие сетевые настройки:
• IP-адрес: 192.168.1.14;
• маска подсети: 255.255.255.0;
• шлюз: 192.168.1.254.

После этого с использованием программного пакета NetIQ Chariot 5.0 измерялся трафик по протоколу TCP между компьютерами, подключенными к маршрутизатору, для чего запускался скрипт High_Performance_Throughput.scr. Данные передавались как от WAN-порта к LAN-порту, так и в обратном направлении. Поскольку маршрутизаторы не позволяют отключить протокол NAT, то, для того чтобы реализовать доступ к локальной сети извне, компьютер во внутренней сети размещался в демилитаризованной зоне, а в качестве конечного узла (End point) внутренней сети при запуске пакета NetIQ Chariot 5.0 указывался IP-адрес WAN-порта маршрутизатора (10.0.0.254).

На рис.1 представлен результат тестирования маршрутизатора DI-824VUP+ при передаче данных от LAN-порта к WAN-порту (LAN-to-WAN) и обратно (WAN-to-LAN). Как видно по результатам тестирования, скорость маршрутизации в направлении LAN-to WAN, то есть при передачи данных из внутренней сети во внешнюю, несколько выше скорости маршрутизации в обратном направлении и составляет в среднем 50 Мбит/с, в то время как скорость маршрутизации WAN-to-LAN составляет в среднем 38 Мбит/с.

Рис_1_

Рис.1. Скорость маршрутизации при передаче данных от LAN-порта к WAN-порту и обратно для маршрутизатора DI-824VUP+ Верхний график (коричневая кривая) соответствует передаче в направлении LAN-to-WAN, нижний график (синяя кривая) соответствует передаче в направлении WAN-to-LAN.

На рис.2 представлен результат тестирования маршрутизатора DI-624+ при передаче данных от LAN-порта к WAN-порту (LAN-to-WAN) и обратно (WAN-to-LAN). Как и для маршрутизатора DI- 824VUP+, скорость маршрутизации при передачи данных из внутренней сети во внешнюю (35.6 Мбит/с) немного выше скорости маршрутизации в обратном направлении (34.6 Мбит/с). Впрочем, разница в скоростях маршрутизации настолько мала, что можно говорить о равных скоростях в обоих направлениях.

Рис_2_

Рис.2. Сетевой трафик при передаче данных от LAN-порта к WAN-порту и обратно для маршрутизатора DI-624+. Верхний график (синяя кривая) соответствует передаче в направлении LAN-to-WAN, нижний график (коричневая кривая) соответствует передаче в направлении WAN-to-LAN.

Прежде чем переходить к результатам тестирования маршрутизации беспроводного сегмента, давайте вкратце обсудим полученные результаты тестирования проводного сегмента.

Если маршрутизаторы используются в качестве интернет-шлюза, то даже минимальной скорости 34.6 Мбит/с, полученной для модели DI-624+ с лихвой хватит, чтобы покрыть любой канал доступа в Интернет. Действительно, скорости 10 Мбит/с более чем достаточно, для того чтобы реализовать пропускную способность канала связи с интернет-провайдером. Ну, а скорости 30 Мбит/с хватит с большим запасом. Возникает законный вопрос – почему же производители реализуют столь высокую скорость маршрутизации, если она все равно остается невостребованной? Дело в том, что скорость маршрутизации в конечном итоге определяется производительностью установленного в маршрутизаторе процессора, и найти сейчас «слабый» процессор не так-то просто, а себестоимость производства новых, производительных и старых, менее производительных процессоров примерно одинакова. Поэтому отдельное производство «слабых» процессоров нерентабельно.

С другой стороны, маршрутизаторы используются еще и для создания защищенных каналов связи – например, VPN-туннелей с шифрованием данных (такими возможностями обладает модель DI-824VUP+). И в этом случае им просто необходим высокопроизводительный процессор для обеспечения приемлемой скорости маршрутизации. Мы не тестировали скорость маршрутизации при создании VPN-туннелей (для этого нужно иметь пару одинаковых маршрутизаторов), однако, экстраполируя полученные результаты, можно сделать вывод, что модель DI-824VUP+ будет обеспечивать высокую скорость передачи данных и в случае шифрования данных. Маршрутизатор DI-624+, который поддерживает только режим VPN Pass Through, не нуждается в столь высокопроизводительном процессоре, поэтому можно сделать вывод, что обеспечиваемая им скорость маршрутизации вполне соответствует его назначению.

Тест 2. Скорость маршрутизации WAN-WLAN (беспроводной сегмент)

На следующем этапе оценивалась скорость маршрутизации при передаче данных между портом WAN и беспроводным сегментом сети. Для этого к порту WAN подключался ПК по интерфейсу 10/100Base-TX, а на ноутбуке устанавливался беспроводной адаптер D-Link DWL-G650+, который имеет интерфейс PCMCIA и поддерживает стандарт 802.11b/g. Измерение скорости маршрутизации проводилось точно так же, как и в предыдущем тесте.

На рис.3 представлен результат тестирования маршрутизатора DI-824VUP+ при передаче данных от беспроводного адаптера D-Link DWL-G650+ по протоколу 802.11g к WAN-порту (WLAN-to-WAN) и обратно (WAN-to-WLAN). Как видно по результатам тестирования, скорость маршрутизации при передаче данных из внешней сети во внутреннюю несколько выше скорости маршрутизации в обратном направлении и составляет в среднем 17.8 Мбит/с, в то время как скорость маршрутизации WLAN-to-WAN составляет в среднем 10.5 Мбит/с. Такие скорости передачи данных несколько ниже ожидаемых для протокола 802.11g, однако давайте не будем забывать, что речь идет не просто о режиме Infrastructure, а именно о маршрутизации между внешней проводной и внутренней беспроводной сетями – в этом смысле полученные значения скоростей маршрутизации вполне соответствуют условиям тестирования.

Рис_3_

Рис.3. Скорость маршрутизации при передаче данных от беспроводного адаптера D-Link DWL-G650+ к WAN-порту и обратно для маршрутизатора DI-824VUP+ при использовании протокола 802.11g. Верхний график (синяя кривая) соответствует передаче в направлении WAN-to-WLAN, нижний график (коричневая кривая) соответствует передаче в направлении WLAN-to-WAN.

При передаче данных от беспроводного адаптера D-Link DWL-G650+ по протоколу 802.11g к WAN-порту маршрутизатора DI-624+ (WLAN-to-WAN) и обратно (WAN-to-WLAN) (рис.4) результаты тестирования подобны уже рассмотренным для модели DI-824VUP+.

Скорость маршрутизации WAN-to-WLAN составляет в среднем 17 Мбит/с,  в обратном направлении (WLAN-to-WAN) – 14,8 Мбит/с.

Рис_4_

Рис. 4. Скорость маршрутизации при передаче данных от беспроводного адаптера D-Link DWL-G650+ к WAN-порту и обратно для маршрутизатора DI-624+ при использовании протокола 802.11g. Верхний график (синяя кривая) соответствует передаче в направлении WAN-to-WLAN, нижний график (коричневая кривая) соответствует передаче в направлении WLAN-to-WAN.

Тест 3. Производительность точки доступа

На последнем этапе тестирования оценивалась производительность встроенных в маршрутизаторы точек доступа, для чего эмулировалась передача данных между беспроводной сетью и внутренней сетью, то есть в отсутствии маршрутизации.

При взаимодействии маршрутизатора DI-824VUP+ с адаптером D-Link DWL-G650+ при использовании протокола 802.11g (рис.5) значение сетевого трафика зависит от направления передачи данных. При генерации трафика от точки доступа к адаптеру (LAN-to-WLAN) его значение в среднем составляет 25.7 Мбит/с, а при генерации трафика в обратном направлении – 20.6 Мбит/с. Отметим, что полученные результаты являются вполне типичными для протокола 802.11g.

Рис_5_

Рис.5. Сетевой трафик при передаче данных от беспроводного адаптера D-Link DWL-G650+ к LAN-порту и обратно для маршрутизатора DI-824VUP+ при использовании протокола 802.11g. Верхний график (синяя кривая) соответствует передаче в направлении LAN-to-WLAN, нижний график (коричневая кривая) соответствует передаче в направлении WLAN-to-LAN.

При взаимодействии маршрутизатора DI-624+ с адаптером D-Link DWL-G650+ при использовании протокола 802.11g (рис.6) значение сетевого трафика также зависит от направления передачи данных и практически совпадает с результатами для маршрутизатора DI-824VUP+. При генерации трафика от точки доступа к адаптеру (LAN-to-WLAN) значение сетевого трафика в среднем составляет 23.2 Мбит/с, а при генерации трафика в обратном направлении – 20,7 Мбит/с.

Рис_6_

Рис.6. Сетевой трафик при передаче данных от беспроводного адаптера D-Link DWL-G650+ к LAN-порту и обратно для маршрутизатора DI-624+ при использовании протокола 802.11g. Верхний график (синяя кривая) соответствует передаче в направлении LAN-to-WLAN; нижний график (коричневая кривая) соответствует передаче в направлении WLAN-to-LAN.

Как видно по результатам тестирования, точки доступа обоих маршрутизаторов вполне справляются со своими функциями, обеспечивая полезную скорость передачи данных на уровне 20 – 25 Мбит/с, что является теоретическим пределом для протокола 802.11g.

Заключение

В заключение нашего обзора беспроводных маршрутизаторов D-Link AirPlus G+ DI-824VUP+ и DI-624+ можно сделать следующие выводы. Обе модели маршрутизаторов в полной мере соответствуют своему предназначению, обеспечивая необходимую скорость маршрутизации и производительность. D-Link AirPlus G+ DI-824VUP+, относящийся к классу VPN-маршрутизаторов, обладает расширенными функциональными возможностями (возможность использования резервного dialup-соединения, встроенный принт-сервер, встроенный VPN-сервер) и обеспечивает несколько более высокую скорость маршрутизации в сравнении с моделью DI-624+, что позволяет эффективно использовать данный маршрутизатор не только в роли интернет-сервера, но и для создания защищенных каналов связи между локальной сетью и головным офисом компании. Рекомендованная цена маршрутизатора DI-824VUP+ составляет 166 долларов США.

Маршрутизатор DI-624+ - это типичный интернет-шлюз, причем скорость маршрутизации устройства DI-624+ значительно превосходит пропускную способность любого канала связи с провайдером. Рекомендованная цена маршрутизатора DI-624+ составляет 104 доллара США.