Беспроводной маршрутизатор TRENDnet TEW-631BRP
Особенности беспроводной точки доступа
Особенности настройки LAN- и WAN-интерфейсов
Стандарт беспроводной связи IEEE 802.11n, предполагающий максимальную скорость соединения до 300 Мбит/с, еще окончательно не утвержден. Однако уже сегодня большинство производителей беспроводных устройств выпускает решения на основе предварительной версиии этого стандарта (Draft 802.11n).
Один из таких продуктов — беспроводной маршрутизатор TRENDnet TEW-631BRP, поддерживающий стандарт беспроводной связи IEEE 802.11n в частотном диапазоне 2,4 ГГц, мы и рассмотрим в данной статье.
На первый взгляд
Многофункциональный беспроводной маршрутизатор TRENDnet TEW-631BRP представляет собой компактное устройство, дизайн которого допускает как расположение на столе, так и настенное крепление.
Данное устройство относится к классу сетевого оборудования для дома и офиса и предназначено в первую очередь для организации удобного и безопасного подключения локальной сети к Интернету по выделенной линии Ethernet. С его помощью все домашние компьютеры или ПК небольшого офиса могут совместно использовать высокоскоростной выделенный канал подключения к Интернету.
Маршрутизатор
TRENDnet TEW-631BRP
TRENDnet TEW-631BRP представляет собой многофункциональное устройство, интегрирующее сразу несколько отдельных устройств: маршрутизатор с WAN-интерфейсом и механизмом трансляции сетевых адресов (NAT-устройство) для подключения к инфраструктуре провайдера, 4-портовый коммутатор Fast Ethernet (10/100Base-TX), беспроводную точку доступа стандартов IEEE 802.11b/g/n, межсетевой экран для безопасности сети и интернет-подключения.
На боковой панели маршрутизатора расположены четыре 10/100Base-TX-порта коммутатора, один порт WAN (10/100Base-TX), утопленная кнопка сброса настроек маршрутизатора, а также тумблер включения точки доступа.
Особенности беспроводной точки доступа
Отличительной особенностью этого устройства является встроенная точка беспроводного доступа, поддерживающая предварительную версию стандарта IEEE 802.11n в частотном диапазоне 2,4 ГГц.
Для реализации стандарта IEEE 802.11n в точке доступа TRENDnet TEW-631BRP используются три внешние антенны с коэффициентом усиления 4 dBi для приема и передачи данных, что обеспечивает создание нескольких пространственно разнесенных беспроводных каналов в одном и том же частотном диапазоне. В результате уменьшается количество «мертвых зон» в беспроводной сети, а радиосигналы передаются на большее расстояние, что увеличивает пропускную способность всей сети.
Точка доступа, интегрированная в маршрутизатор TRENDnet TEW-631BRP, построена на основе чипcета Atheros AR5008, включающего процессор MAC-уровня AR5416 и PHY-контроллер AR2133 (3x3 MIMO Radio). Отметим также, что чипсет Atheros AR5008 полностью совместим со стандартами 802.11b/g.
Понятно, что для работы по стандарту IEEE 802.11n необходимо, чтобы все клиенты сети были оснащены поддерживающими его беспроводными адаптерами. Если же в сети имеются клиенты, которые поддерживают только стандарт 802.11g или 802.11b, то либо они вообще не смогут работать в такой сети, либо все клиенты сети будут работать по протоколу 802.11g или 802.11b.
В настройках беспроводной точки доступа TRENDnet TEW-631BRP можно задать один из пяти режимов работы беспроводной точки доступа: 802.11g Only, Mixed 802.11g and 802.11b, 802.11b Only, 802.11ng Only, Mixed 802.11ng, 802.11g and 802.11b (рис. 1).
Рис. 1. Настройка беспроводной точки доступа
В режиме 802.11g Only и точка доступа, и все беспроводные клиенты сети работают по протоколу 802.11g, предназначенному для использования в гомогенной сети, когда все ее клиенты поддерживают протокол 802.11g.
Режим 802.11b Only ориентирован на гетерогенные сети, когда несколько клиентов сети не поддерживают протокол 802.11g и способны взаимодействовать только по протоколу 802.11b. В этом режиме все клиенты сети и точка доступа функционируют по протоколу 802.11b.
Режим 802.11ng Only ориентирован на сети, в которых все клиенты и точка доступа поддерживают протокол 802.11n (Draft).
Режим Mixed 802.11g and 802.11b ориентирован на гетерогенные сети, в которых имеются клиенты сети, поддерживающие протокол только 802.11b, и клиенты, поддерживающие протокол 802.11g.
Режим Mixed 802.11ng, 802.11g and 802.11b предназначен для гетерогенных сетей, в которых имеются клиенты, поддерживающие протоколы 802.11n (Draft), 802.11g и 802.11b.
Кроме того, в настройках беспроводной точки доступа допускается выбор ширины канала связи. Напомним, что максимальная скорость в стандарте IEEE 802.11n достигается при объединении двух 20-мегагерцевых каналов в один шириной 40 МГц. В точке доступа TRENDnet TEW-631BRP можно выбрать либо канал шириной 20 МГц, либо режим автовыбора ширины канала — Auto 20/40 MГц.
Что касается остальных возможностей по настройке беспроводной сети, то они вполне традиционны. Можно активировать или отключить беспроводную сеть, выбрать номер канала беспроводного соединения, задать идентификатор (SSID) беспроводной сети, задать режим скрытого идентификатора (Visibility Status), а также установить скорость беспроводного соединения.
Методы повышения безопасности беспроводного соединения вполне типичны и включают возможность настройки фильтра по MAC-адресам, режим применения скрытого идентификатора сети, а также различные методы аутентификации пользователей и шифрования данных.
TRENDnet TEW-631BRP поддерживает следующие типы протоколов безопасности: WEP, WPA-Personal и WPA-Enterprise. При использовании протокола безопасности WEP поддерживаются 64- и 128-битные ключи с возможностью создания до четырех ключей и указания применяемого по умолчанию. Отметим, что задание ключей возможно как в шестнадцатеричном коде (HEX), так и в ASCII-символах, что очень удобно.
Протокол безопасности WPA-Personal с общими ключами (Pre-shared key) предполагает применение пароля (ключа) длиной от 8 до 63 символов. При использовании аутентификации по протоколу WPA-Personal применяется шифрование TKIP (Temporary Key Integrity Protocol), или AES, или AES и TKIP. Естественно, более предпочтительным является AES-шифрование.
Протокол безопасности WPA-Enterprise подразумевает аутентификацию пользователей на внешнем RADIUS-сервере (дополнительно необходимо указать IP-адрес RADIUS-сервера и используемый порт) и поддерживает шифрование TKIP или AES либо AES и TKIP одновременно.
Особенности настройки LAN- и WAN-интерфейсов
Теперь рассмотрим возможности настройки маршрутизатора TRENDnet TEW-631BRP.
Что касается внутренней сети (сегмент LAN), то возможности по настройке вполне типичны: можно задать IP-адрес и маску подсети LAN-порта маршрутизатора, произвести настройку встроенного DHCP-сервера (указать выделяемый пул IP-адресов), задать время, на которое выделяется IP-адрес, а также указать список зарезервированных IP-адресов, которые не подлежат выделению через DHCP-сервер (рис. 2).
Рис. 2. Настройка DHCP-сервера и LAN-интерфейса
Еще одна интересная особенность маршрутизатора TRENDnet TEW-631BRP заключается в том, что всегда можно просмотреть список клиентов (имена компьютеров и MAC-адреса сетевых адаптеров), которым встроенный DHCP-сервер выделил IP-адреса, а также время, через которое IP-адрес будет изменен.
Возможности настройки внешней сети (сегмент WAN) включают указание и настройку интерфейса подключения к внешней сети (Интернет). Маршрутизатор TRENDnet TEW-631BRP предусматривает следующие типы подключения к внешней сети: DHCP; Static; PPPoE; PPTP; L2TP.
Тип подключения DHCP (рис. 3) подразумевает динамическое выделение IP-адреса и маски подсети с использованием DHCP-сервера провайдера. При использовании данного типа подключения опционально (но не обязательно) можно задать имя хоста (имя DHCP-сервера), а также вручную указать IP-адреса первичного и вторичного DNS-серверов.
Рис. 3. Настройка DHCP-подключения
Тип подключения Static (рис. 4) подразумевает использование статического (неизменного) IP-адреса WAN-порта маршрутизатора. При использовании данного типа подключения необходимо указать IP-адрес и маску подсети для WAN-порта маршрутизатора, а также IP-адрес шлюза по умолчанию и IP-адреса первичного и вторичного DNS-серверов.
Рис. 4. Настройка подключения Static
При использовании PPPoE-подключения (рис. 5) необходимо указать имя и пароль для создаваемого соединения, а также IP-адрес WAN-порта. IP-адрес WAN-порта может быть как статическим (в этом случае его необходимо прописывать вручную), так и динамическим (в этом случае IP-адрес присваивается WAN-порту автоматически).
Рис. 5. Настройка PPPoE-подключения
При подключении по типу PPTP (рис. 6) необходимо также задать имя ISP (Internet Service Provider), логин и пароль для доступа в Интернет и адреса DNS-серверов (то есть всю ту информацию, которой вас снабжает провайдер Сети). Кроме того, необходимо указать IP-адреса PPTP-сервера и PPTP-шлюза (как правило, они совпадают), а также IP-адрес и маску подсети WAN-порта, используемого для PPTP-соединения. IP-адрес и маска подсети WAN-порта могут быть как динамическими (присваиваются автоматически), так и статическими (прописываются вручную).
Рис. 6. Настройка PPTP-подключения
Отметим, что при создании PPTP-подключения нет возможности выбрать тип шифрования и тип аутентификации. Что касается шифрования, то выяснилось, что маршрутизатор вообще не поддерживает шифрование для PPTP-соединения. Кроме того, эмпирическим путем (поскольку нужной информации не обнаружилось в технической документации) выяснилось, что для PPTP-соединений маршрутизатор поддерживает протоколы аутентификаций PAP и MS-CHAP v.1.0. Протокол MS-CHAP v.2.0 не поддерживается.
При подключении по типу L2TP задаются все те же параметры, что и при настройке PPTP-соединения (рис. 7). Отличия заключаются лишь в том, что вместо адреса PPTP-сервера и шлюза задаются соответствующие адреса L2TP-сервера и шлюза. IP-адрес и маска подсети WAN-порта могут быть как динамическими (присваиваются автоматически), так и статическими (прописываются вручную).
Рис. 7. Настройка L2TP-подключения
Отметим, что при создании L2TP-подключения отсутствует возможность указать тип шифрования (видимо, оно не поддерживается), вы
брать тип шифрования и тип аутентификации.
Настройка протокола NAT
Поскольку маршрутизатор TRENDnet TEW-631BRP является NAT-устройством, в нем предусмотрены разнообразные меры для обхода ограничений протокола NAT. Так, для обеспечения доступа из внешней сети к локальной маршрутизатор поддерживает возможность включения одного компьютера внутренней сети в DMZ-зону (демилитаризованную зону), конфигурирования виртуального сервера (технология статического перенаправления портов) и динамического перенаправления портов. Следует отметить, что конфигурирование DMZ-зоны производится на закладке Firewall, а конфигурирование виртуального сервера и динамическое перенаправление портов — на отдельных закладках, что, вообще-то, не вполне логично.
При активировании DMZ-зоны задается IP-адрес компьютера внутренней сети, к которому открывается доступ по всем портам из внешней сети.
При конфигурировании виртуального сервера (рис. 8) пользователи получают доступ извне к определенным приложениям, установленным на виртуальном сервере во внутренней сети.
Рис. 8. Конфигурирование виртуального сервера
Дело в том, что при использовании протокола NAT внутренняя сеть остается недоступной извне и трафик в нее возможен только в том случае, если запрос создается со стороны внутренней сети. При получении пакета из внутренней сети NAT-устройство создает таблицу соответствия IP-адресов и портов получателя и отправителя пакетов, которая применяется для фильтрации трафика. При создании статической таблицы соответствия портов возможен доступ во внутреннюю сеть по определенному порту из внешней сети даже в том случае, когда запрос на доступ к сети инициируется извне.
При настройке виртуального сервера задаются его приложение, используемый протокол (TCP, UDP и т.д.), а также внутренний (Private Port) и внешний порты (Public Port) или диапазон портов.
Кроме того, маршрутизатор TRENDnet TEW-631BRP позволяет сконфигурировать другой тип виртуального сервера, который в терминологии настройки маршрутизатора TRENDnet TEW-631BRP называется Gaming и позволяет открыть доступ извне к приложению, установленному на компьютере в локальной сети. При настройке данного типа виртуального сервера задается его IP-адрес, приложение, а также TCP- и UDP-порты, которые необходимо открыть (рис. 9).
Рис. 9. Настройка виртуального сервера типа Gaming
Дополнительно маршрутизатор TRENDnet TEW-631BRP поддерживает технологию динамического перенаправления портов. Статическое перенаправление портов позволяет частично решить проблему доступа из внешней сети к сервисам локальной сети, защищаемой NAT-устройством. Однако существует и обратная задача — обеспечить пользователям локальной сети доступ во внешнюю сеть через NAT-устройство. Дело в том, что некоторые приложения (например, интернет-игры, видеоконференции, интернет-телефония и другие приложения, требующие установления множества сессий одновременно) несовместимы с NAT-технологией. Для решения этой проблемы применяется так называемое динамическое перенаправление портов (в терминологии настроек маршрутизатора TRENDnet TEW-631BRP оно называется Special Applications) — рис. 10.
Рис. 10. Настройка динамического перенаправления портов
Динамическое перенаправление портов задается на уровне отдельных сетевых приложений, и для его настройки необходимо задать номер внутреннего порта (или интервал портов), связанный с конкретным приложением (Trigger Port), и номер внешнего порта NAT-устройства (Input Port), который будет сопоставляться с внутренним портом.
При активации динамического перенаправления портов маршрутизатор следит за исходящим трафиком из внутренней сети и запоминает IP-адрес компьютера, генерирующего этот трафик. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. По завершении передачи перенаправление отключается, и любой другой компьютер может создать новое перенаправление уже на свой IP-адрес.
Настройка ограничения доступа
Маршрутизатор TRENDnet TEW-631BRP позволяет достаточно гибко контролировать доступ пользователей к различным сетевым ресурсам. Для этого необходимо активировать функцию Access Control (контроль доступа) и указать имена тех клиентов локальной (внутренней) сети, для которых ограничивается доступ в Интернет. Правила ограничения доступа задаются Web Filter, где прописываются URL-адреса, к которым доступ блокируется.
В маршрутизаторе TRENDnet TEW-631BRP также предусмотрена возможность фильтрации по IP-адресам для ограничения доступа к внутренней сети извне (например, при использовании DMZ-зоны или виртуального сервера).
Кроме возможности ограничения доступа к различным ресурсам Интернета, маршрутизатор TRENDnet TEW-631BRP позволяет реализовать фильтрацию по MAC-адресам как для беспроводных, так и для проводных клиентов внутренней сети. Клиенты сети, чьи MAC-адреса внесены в таблицу фильтрации, могут иметь доступ к внутренней сети, а все остальные клиенты — нет.
Настройка брандмауэра
Маршрутизатор TRENDnet TEW-631BRP имеет встроенный SPI-брандмауэр, который можно либо активировать, либо отключить. Кроме того, в разделе настроек брандмауэра (раздел Firewall) можно активировать и функцию NAT Endpoint Filtering, и DMZ-зону, и функцию Non-UDP/TCP/ICMP LAN Sessions, а также сконфигурировать Application Level Gateway (ALG).
Функция NAT Endpoint Filtering определяет, каким образом NAT-устройство маршрутизатора управляет входящими запросами на установление соединения по тем портам, которые уже используются.
Для протоколов TCP и UDP в данном случае возможен выбор трех опций: Endpoint Independent, Address Restricted и Port And Address Restricted.
При выборе опции Endpoint Independent, если приложение на компьютере во внутренней сети установило соединение через какой-либо порт, NAT-устройство будет пропускать любой входящий запрос на установление соединения с эти портом независимо от IP-адреса инициатора запроса.
Опция Address Restricted дает возможность NAT-устройству пропускать только запросы на установление соединения, инициированные хостом с IP-адресом, с которым приложение на компьютере во внутренней сети установило соединение (независимо от номера запрашиваемого для соединения порта).
В случае опции Port And Address Restricted NAT-устройство не пропускает запросов на установление соединения с тем портом, который уже используется в соединении.
Функция Non-UDP/TCP/ICMP LAN Sessions применяется для разрешения установления одиночных VPN-соединений. В том случае, когда сетевое приложение, использующее протокол, отличный от UDP, TCP или ICMP, инициирует установление сессии (соединение с Интернетом), NAT-устройство может заблокировать эту сессию. Чтобы этого не происходило, данную функцию необходимо активировать — например если требуется установить одиночное VPN-соединение, то предварительно нужно активировать функцию Non-UDP/TCP/ICMP LAN Sessions.
Функция Application Level Gateway (ALG) позволяет избежать ограничений NAT-устройства в случае применения определенных протоколов для доступа в Интернет. В частности, функцию Application Level Gateway (ALG) можно активировать отдельно для каждого из следующих протоколов: PPTP, IPSec (VPN), RTSP, Windows/MSN Messenger, FTP, H.323 (Netmeeting), SIP (VoIP), Wake-On-LAN и MMS.
Прочие возможности
Серди прочих возможностей по настройке, которые редко встречаются в маршрутизаторах, можно отметить функцию StreamEngine (рис. 11).
Рис. 11. Настройка функции StreamEngine
Данная функция позволяет улучшить производительность маршрутизатора при его использовании для доступа к игровым ресурсам Интернета или, например, к приложениям типа VoIP. Повышение производительности в данном случае реализуется за счет применения приоритезации трафика и динамической фрагментации (используется для низкоскоростных соединений).
Еще одной полезной функцией маршрутизатора TRENDnet TEW-631BRP является клонирование MAC-адреса. Дело в том, что если провайдер использует присвоение статического или динамического IP-адреса, то одновременно с этим часто применяется привязка по MAC-адресу устройства. То есть если интернет-соединение было настроено на определенном компьютере, то выйти в Сеть с помощью другого ПК (или маршрутизатора) просто так не удастся, поскольку это будут уже устройства с другими MAC-адресами. Во избежание этого в маршрутизаторах часто реализуется функция клонирования или подмены MAC-адреса. То есть маршрутизатору можно присвоить любой MAC-адрес.
Нельзя не отметить и такую весьма полезную функцию маршрутизатора, как возможность создания таблицы статической маршрутизации, которая может понадобиться в том случае, когда провайдер использует VPN-соединение (PPPoE, PPTP или L2TP) для доступа в Интернет (рис. 12). Если при этом одновременно необходим и доступ к локальным ресурсам провайдера (ресурсы домовой сети), который становится все более востребованным со стороны пользователей, то без возможности создания таблицы статической маршрутизации просто не обойтись. Путем добавления статических маршрутов в маршрутизаторе TRENDnet TEW-631BRP можно получить доступ не только в Интернет по VPN-соединению, но и к локальным ресурсам провайдера.
Рис. 12. Настройка статической таблицы маршрутизации
Перечисленными возможностями по настройке функциональность маршрутизатора не ограничивается. Имеются и другие типовые функции, например задание пароля, обновление прошивки, сохранение настроек на жестком диске, активация протокола RIP и др.