Беспроводные маршрутизаторы класса SOHO. Часть 1

В тестовой лаборатории Ferra проведено тестирование девяти маршрутизаторов со встроенным модулем беспроводной связи Wi-Fi, предназначенных для домашнего использования и малых офисов. В тестировании принимали участие следующие модели: Asus WL-500G Deluxe, Asus WL-530G, Gigabyte GN-BR01G, Gigabyte GN-B49G, D-Link DWL-G730AP, MultiCo EW-902PR, MSI RG54GS23, 3Com OfficeConnect Wireless 11g Cable/DSL Router (3CRWE554G72T), 3Com OfficeConnect Wireless 54 Mbps 11g TravelRouter (3CRTRV10075).

Но если ориентироваться лишь на результаты тестирования не совсем корректно, то как же тогда сравнивать маршрутизаторы? Давайте вспомним, что маршрутизаторы имеют различные функциональные возможности и возможности по настройке. Именно эти функциональные возможности, а отнюдь не незначительная разница в производительности, в конечном счёте и оказываются решающим обстоятельством в пользу выбора того или иного маршрутизатора. Поэтому в нашем сравнительном тестировании мы уделяли большое внимание именно функциональным возможностям маршрутизаторов. При этом мы опирались на то, что рассматриваемые нами модели ориентированы на конечного пользователя, поэтому они должны быть просты в настройке.

В плане функциональных возможностей маршрутизаторы могут значительно отличаться друг от друга. Это касается и беспроводной части, и встроенного Firewall. К примеру, разные беспроводные маршрутизаторы могут предусматривать различные режимы работы точки доступа (только точка доступа, режим моста, гибридный режим), поддерживать различные методы аутентификации и шифрования и т.д.

Варианты настройки Firewall ещё более разносторонние – это и возможности активирования протокола NAT, и активирование различных правил, и возможности создания виртуального сервера. Кроме того, в некоторых моделях маршрутизаторов предусмотрены различные режимы VPN Pass Through, то есть режимы поддержки виртуальных туннелей.

Естественно, что отразить все функциональные возможности сравниваемых маршрутизаторов в некой единой таблице невозможно в силу их разнообразия. Поэтому подробно об особенностях каждого маршрутизатора мы расскажем при описании конкретных моделей. Однако, учитывая, что многие функции маршрутизаторов идентичны друг другу, первоначально мы рассмотрим типичные функциональные возможности современных беспроводных маршрутизаторов.

Функциональные возможности современных беспроводных маршрутизаторов

Большинство беспроводных маршрутизаторов класса SOHO имеют один WAN-порт и четыре LAN-порта. С учётом интегрированной в маршрутизатор точки доступа это позволяет строить достаточно гибкую сетевую инфраструктуру, сочетающую в себе как кабельные, так и беспроводные сегменты сети. Впрочем, есть и исключения. Так, в маршрутизаторах, которые можно охарактеризовать как карманные, имеется всего один порт, который, в зависимости от режима работы маршрутизатора, может выполнять либо функцию WAN-порта, либо функцию LAN-порта.

Настройка WAN-и LAN-сегментов сети

Традиционно функции настройки внутренней сети (сегмент LAN) включают возможность задания IP-адреса и маски подсети самого маршрутизатора, а также настройку встроенного DHCP-сервера и указание временного интервала (DHCP time leasing), в течение которого автоматически присваиваемые IP-адреса не меняются.

Кроме того, может быть предусмотрена настройка таблицы Force IP-MAC Mapping (название может быть иным, но суть та же), в которой задаётся соответствие между IP-и MAC-адресом сетевого устройства.

В функции по настройке внешней сети (сегмент WAN) входит возможность указания типа и настройки параметров интерфейса подключения к внешней сети (Интернету). Маршрутизаторы могут предусматривать несколько типов подключения к внешней сети:

• Dynamic IP Address;
• Static IP Address;
• PPPoE;
• PPPoE Unnumber
• PPTP
• L2 TP

При использовании динамического присвоения IP-адреса (Dynamic IP Address) потребуется указать лишь Host Name, то есть имя вашего узла в сети.

При использовании статического IP-адреса (Static IP Adddress), кроме присвоения имени ISP, потребуется указать IP-адрес WAN-порта (WAN IP Address), маску подсети (WAN Subnet Mask), шлюз по умолчанию (WAN Gateway), а также DNS сервера.

При использовании подключения типа PPPoE (наиболее распространённая ситуация) необходимо задать также имя ISP (Internet Service Provider), указать логин и пароль для доступа в Интернет и адреса DNS-серверов (то есть указать всю ту информацию, которой вас снабжает провайдер Интернета).

Если провайдер предполагает тип подключения PPPoE Unnumber (что вряд ли), то дополнительно придётся задать имя соединения (ISP Name), имя пользователя и пароль, а также имя сервиса и DNS серверов. Кроме того, потребуется указать IP-адрес и маску подсети для WAN-порта и задать тип аутентификации (Auto, CHAP, PAP), а также указать настройки протокола NAT (Disable, Enable, UPnP& NAT)

Настройка беспроводной сети

Возможности по настройке беспроводной сети традиционно включают в себя возможность указания идентификатора сети (SSID), задания скорости соединения и выбора канала связи. Кроме того, многие маршрутизаторы поддерживают возможность указания типа сети (только клиенты 802.11 g или смешанная сеть), что позволяет ограничить беспроводную сеть только клиентами, поддерживающими протокол 802.11g. Это, в свою очередь, повышает скорость связи, поскольку в смешанной сети, состоящей из клиентов, поддерживающих протоколы 802.11g и 802.11b, скорость соединения уменьшается за счёт использования несколько иных алгоритмов взаимодействия между клиентами сети, нежели в гомогенной сети.

Кроме того, беспроводные маршрутизаторы могут поддерживать режим Hide SSID (Broadcast SSID), что делает беспроводную сеть «невидимой» при сканировании беспроводных сетей. Фактически Hide SSID является функцией, повышающей безопасность беспроводного соединения – если не знать SSID беспроводной сети, то подключиться к ней нельзя, поскольку в списке обнаруженных беспроводных сетей данная сеть просто не будет отражена.

Методы повышения безопасности беспроводного соединения включают возможность настройки фильтра по MAC-адресам, а также различные функции аутентификации пользователей и шифрования данных.

Маршрутизаторы могут поддерживать следующие типы аутентификации пользователей:

• Open System (без аутентификации);
• Shared Key (аутентификация на основе общих ключей);
• WPA-PSK (аутентификации по протоколу WPA с общими ключами);
• WPA (аутентификация по протоколу WPA),
• 802.1x (аутентификация по протоколу 802.1x).

В случае выбора типа Open System используются автоматически сгенерированные ключи, которыми обмениваются передающая и принимающая стороны.

Аутентификация на основе общих ключей предполагает, что все клиенты беспроводной сети будут использовать один и тот же ключ (WEP Key), который указывается явным образом. Длина ключа может составлять 64 или 128 бит. Всего возможно задание до четырёх ключей с указанием ключа по умолчанию. При использовании данного типа аутентификации обязательным является WEP-шифрование передаваемых данных.

Аутентификация по протоколу WPA с общими ключами (WPA Pre-shared key) предполагает использование пароля (ключа) длиной от 8 до 64 символов. Кроме того, возможно устанавливать время действия пароля (WPA PSK Re-Key Timer).

При аутентификации по протоколу WPA Pre-shared key применяется шифрование TKIP (Temporary Key Integrity Protocol) или AES. Естественно, что AES-шифрование является более предпочтительным.

Аутентификация 802.1x является сегодня наиболее безопасной и использует клиент-серверную модель, поддерживающую централизованную аутентификацию и учёт пользователей средствами сервера RADIUS, который выступает единой точкой аутентификации.

При выборе метода аутентификации WPA применяется шифрование TKIP (Temporary Key Integrity Protocol) или AES. Кроме того, имеется возможность устанавливать время действия пароля (WPA Re-Key Timer).

Аутентификации по протоколу WPA и 802.1x ориентирована на корпоративных пользователей. Для домашних пользователей данная функция маршрутизатора является избыточной и не представляет интереса.

Настройка виртуального сервера

Для доступа к локальной сети из внешней сети в обход протокола NAT маршрутизаторы поддерживают создание демилитаризованной зоны (DMZ-зона), возможность конфигурирования виртуального сервера, а также функцию динамического перенаправления портов.

В DMZ-зону можно включить всего один компьютер, указав принадлежность его IP-адреса к DMZ-зоне. В этом случае при указании IP-адреса WAN-порта маршрутизатора все запросы будут перенаправляться на IP-адрес компьютера в DMZ-зоне. Фактически это позволяет получить доступ к ПК во внутренней сети в обход маршрутизатора, что, конечно же, снижает безопасность, но в некоторых случаях это необходимо.

Альтернативой DMZ-зоне является виртуальный сервер. При конфигурировании виртуального сервера пользователи получают доступ извне к определённым приложениям, установленным на виртуальном сервере во внутренней сети. При настройке виртуального сервера задается IP-адрес виртуального сервера, используемый протокол (TCP, UDP и т.д.) и порт приложения (например, 80 или 21). К примеру, при задании следующих настроек виртуального сервера:

• Virtual Server IP: 192.168.1.1;
• Protocol: TCP;
• Port: 21;

пользователь может получить доступ к FTP-серверу (порт 21), установленному на ПК внутренней сети с IP-адресом 192.168.1.1. Для реализации такого доступа необходимо указать WAN-порта маршрутизатора, а не IP-адрес виртуального сервера.

Технология динамического перенаправления портов (встречаются названия Port Trigger, Special Application) заключается в том, чтобы открыть определённые порты в брандмауэре – это может потребоваться для некоторых Интернет-приложений, которым необходимо передавать запросы из внешнего сегмента сети (WAN) во внутренний (LAN).

При активировании режима перенаправления портов задаётся соответствие между входящим портом (Incoming Port) и портом Trigger Port. В этом случае маршрутизатор следит за исходящим трафиком, то есть за тем трафиком локального сегмента, который направлен в Интернет и соответствует заданному критерию. Если такой трафик обнаружен, то маршрутизатор запоминает IP-адрес компьютера, от которого этот трафик исходит. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP-адрес. Таким образом, создается иллюзия того, что сразу несколько компьютеров одновременно используют перенаправление одного и того же порта, хотя на самом деле перенаправление одномоментно может использовать только один компьютер.

Настройка брандмауэра

Возможности по настройке встроенного в маршрутизатор брандмауэра достаточно разнообразны и зависят от конкретной модели маршрутизатора и версии прошивки. В большинстве случаев речь идёт о возможности создания правил фильтрации входящего и выходящего трафиков.

Из расширенных возможностей можно отметить поддержку режима виртуальных частных сетей в режиме пропускания (VPN Pass Through).

Продолжение материала читайте в следующей его части. В ней мы более подробно рассмотрим маршрутизаторы ASUS WL-530G, ASUS WL-500G Deluxe, Gigabyte AirCruiser G GN-BR01G и Gigabyte GN-B49G.