Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
2006 г.

Сетевой швейцарский нож

Евгений Патий
"IT News"

Современный уровень развития локальных сетей предполагает наличие достаточно большого числа единиц разнообразного активного сетевого оборудования. Несмотря на строгую сегментацию сетевого рынка, все-таки имеется некий абсолютный минимум, который уместен как в крупной корпорации, так и в домашней сети, состоящей из двух персональных компьютеров.

Что же нужно сегодня иметь, чтобы комфортно и безопасно пользоваться возможностями веб? Прежде всего, это специальный модем для обеспечения широкополосного подключения. Не менее необходим сетевой коммутатор, чтобы соединить компьютеры друг с другом, а также роутер - его основная задача наладить маршруты внутри локальной сети и сделать возможным интернет-соединение. В случае наличия беспроводных Wi-Fi-клиентов требуется еще точка доступа. Пожалуй, не помешает и аппаратный межсетевой экран - чтобы локальная сеть не была открыта всем ветрам.

Итак, подытожим: точка доступа, роутер, межсетевой экран, коммутатор и модем. Этот список един как для компании, так и для домашнего применения. Что-то, однако, подсказывает, что «не туда идем». Да, множество производителей давно наладили выпуск всех вышеобозначенных позиций и сегодняшний рынок буквально трещит от предложений на любой вкус в любой ценовой категории - но раз уж имеется такой универсальный и стандартизованный набор, думается, не лишним было бы разработать устройство из разряда «все-в-одном».

Как выяснилось, действительно не лишним. Даже при первом взгляде на подобный комбайн понимаешь, что это именно то, что требуется: вместо четырех-пяти корпусов и блоков питания - один, а кроме того - централизованное управление, полная совместимость всех функциональных блоков внутри устройства и прочие менее заметные плюсы. В последнее время массовый сегмент рынка сетевого оборудования испытал ощутимый наплыв универсальных устройств такого рода, обеспечивающих необходимую функциональность и, что немаловажно, выделяющихся более чем лояльной ценой. Герой нашего сегодняшнего обзора - «универсальный солдат» от тайваньского производителя Edimax, беспроводной роутер BR-6114Wg.

1.jpg

Упомянутый выше термин «массовость» неслучаен. Ни для кого не секрет, что производители среднего уровня практически никогда не разрабатывают аппаратный дизайн с нуля, предпочитая воспользоваться готовой отлаженной платформой в целях удешевления разработки и производства. Вариант этот имеет место и в данном случае: творческий потенциал вендора реализуется лишь в отношении дизайна корпуса устройства, так как и Edimax BR-6114Wg, и его многочисленные прямые конкуренты, например Sweex Annex B, построены на основе одной и той же аппаратной базы, но - кто об этом догадается при первом знакомстве!

Сразу стоит отметить, что, несмотря на довольно демократичную цену, к Edimax BR-6114Wg вряд ли применимы эпитеты «мыльница» или «ширпотреб». Это весьма серьезное устройство, обладающее любопытнейшими возможностями и в умелых руках настоящее сокровище. Но обо всем по порядку.

BR-6114Wg обладает следующим списком возможностей:

  • 1 WAN и 4 LAN Ethernet порт 10/100 Мбит/с;
  • точка доступа 802.11g 54 Мбит/с;
  • поддержка WEP-шифрования 64/128/152 бит;
  • поддержка WPA (802.1x, TKIP);
  • встроенный коммутатор Fast Ethernet;
  • общий интернет-доступ с помощью NAT/NAPT;
  • межсетевой экран SPI (Stateful Packet Inspection) с защитой от популярных DoS-атак;
  • поддержка виртуальных серверов и DMZ;
  • поддержка DDNS (DynDNS/TZO);
  • поддержка специальных приложений (conntrack);
  • свободное прохождение туннелей VPN (IPSec/PPTP/L2TP);
  • получение WAN IP через PPPoE/Static IP/PPTP/DHCP/L2TP;
  • встроенный сервер DHCP;
  • поддержка Universal Plug-N-Play;
  • возможность работы в режиме шлюза;
  • конфигурирование с помощью web-интерфейса;
  • возможность получения информации о подключении к портам и клиентах DHCP;
  • журнал событий и журнал безопасности;
  • возможность обновления программного обеспечения.

Для небольшой пластиковой коробочки размером с книгу средних размеров - согласитесь, очень неплохо.

Как уже говорилось, внешний вид - дело рук вендора: подопытный BR-6114Wg обладает ненавязчивым «биодизайном», и «с лица» ничто не выдает в нем родства с братьями от Sweex, Planet или D-Link. Нам важно лишь то, что в основе этой разработки лежит платформа на базе процессора ADM5120, хотя и здесь существуют вариации - две ревизии печатной платы «Rev. A» и «Rev. B», а также использование разных микросхем памяти конечными производителями.

Чип ADM5120 от AdmTek (Infineon) - замечательное устройство, представляющее собой очень гибкую и производительную систему из разряда «System On Chip» (SOC). По сути, все аналоги и сам Edimax BR-6114Wg - не что иное, как специализированные компьютеры с процессором, флэш- и оперативной памятью, сетевыми интерфейсами и возможностью подключения USB- и последовательных портов. ADM5120 - это процессор и чипсет под одной крышей.

2.jpg

Внутри себя ADM5120 содержит высокопроизводительный процессор MIPS32 4Kc 175 МГц/227 MIPS, сетевую подсистему, switch engine, поддержку PCI, USB, UART. Существует две разновидности чипа ADM5120 в BGA-корпусе и ADM5120P в пластиковом PQFP-корпусе, которые различаются только набором периферии. Версия в BGA-корпусе позволяет подключить до трех устройств PCI, и именно она используется во всех устройствах с поддержкой Wi-Fi. В данном случае в качестве устройства PCI выступает обычная MiniPCI-карточка Wi-Fi Inprocomm 802.11g. (PCI и MiniPCI электрически совместимы).

Роутер-точка-доступа-файрвол BR-6114Wg имеет flash-память объемом 2 Мбайт и 16 Мбайт SDRAM-памяти, но самое интересное, что операционной системой устройства является Linux. Это и обусловливает его гибкость, универсальность и неимоверные возможности для наращивания функциональности. Если быть более конкретным, AMD5120 включает в себя процессор семейства MIPS32 c 8 Кбайт кэш-памяти данных и 8 Кбайт кэш для инструкций. Предусмотрены два банка SDRAM (максимальный общий объем 128 Мбайт) и два банка flash - до 4 Мбайт. Имеется хост-контроллер USB 1.1, но, увы, его полная поддержка в BR-6114Wg отсутствует, что очень досадно. Полноценная поддержка USB позволила бы замахнуться чуть ли не на «взрослый» сервер, если разместить файловую систему на USB-флэш-модуле.

Необходимо внимательно изучить возможности «из коробки». Лучше всего они просматриваются в секции настроек управляющего веб-интерфейса. Всего имеется шесть основных разделов: System, WAN, LAN, Wireless, NAT и Firewall.

«System» - глобальные системные настройки

  • Time Zone - определение временного пояса, в котором работает BR-6114Wg, задание IP-адреса NTP-сервера, с которым устройство будет периодически синхронизировать время. Кроме того, в этом же подразделе можно указать необходимость сезонного временного сдвига на час вперед/назад.
  • Password Settings позволяет суперпользователю «admin» сменить пароль, требующийся для доступа к веб-интерфейсу. Тот, что по умолчанию, «1234», необходимо сменить как можно быстрее.
  • Remote Management - здесь можно определить адрес хоста в Интернете, с которого допускается удаленное управление устройством.

«WAN» - управление портом для подключения интернет-канала

Вопрос необходимости встроенного широкополосного модема весьма неоднозначен, и факты говорят скорее за отсутствие, нежели наличие такового. WAN-порт позволяет подключить Ethernet-кабель, который может быть подсоединен, например, к DSL- или DOCSIS-модему. Что дает определенные возможности для маневра, если, скажем, появилось желание сменить интернет-провайдера, предоставляющего не ADSL, а DOCSIS-подключение. Хотя на рынке присутствуют разнообразные варианты и со встроенными широкополосными модемами.

  • Dynamic IP - классическая схема, при которой провайдер выдает пользователю динамический IP-адрес, маску подсети, адрес шлюза для выхода в Интернет и IP-адреса первичного и вторичного DNS-серверов. Некоторые провайдеры также требуют зафиксировать аппаратный MAC-адрес сетевой карты и имя хоста - что также возможно произвести в данном подразделе.
  • Static IP Address. Сегодня нередко встречается ситуация, когда клиент должен прописать фиксированный IP-адрес, например, для размещения на личном сервере веб-страницы. Static IP Address позволяет определить адрес, маску подсети и IP-адрес шлюза провайдера.
  • PPPoE - в случае если интернет-провайдер требует организации канала PPP over Ethernet, этому подразделу необходимо уделить внимание. Определяем логин и пароль для подключения, имя сервиса, величину MTU (Maximum Transmission Unit), тип подключения (постоянное/по требованию/ручной режим) и время тайм-аута, при котором связь разрывается.
  • PPTP - наиболее распространенный случай при наличии ADSL-подключения (Point-to-Point Tunneling Protocol). IP-адрес вместе с маской подсети и адресом шлюза либо получается автоматически от DHCP-сервера провайдера, либо вводится вручную. Так же, как в предыдущем случае (PPPoE), требуется указать логин и пароль плюс тип подключения.
  • L2TP - Layer 2 Tunneling Protocol - метод, аналогичный PPTP, с аналогичными же настройками BR-6114Wg.
  • Telstra Big Pond - редчайший случай подключения к австралийскому провайдеру Telstra, нам неинтересен.
  • DNS - если IP-адреса DNS-серверов не выданы провайдером автоматически, их необходимо прописать здесь.
  • DDNS - позволяет реализовать интересную возможность, предоставляемую сервисами DDNS (DynDNS, TZO, DHIS и пр.). Имея динамический IP-адрес от провайдера, пользователь все равно может быть однозначно идентифицирован в Интернете - для этого необходимо зарегистрировать домен на одном из вышеперечисленных сервисов, а в данном разделе настроек указать все соответствующие атрибуты.

«LAN» -настройки локальной сети

Раздел крайне небогат на различные настройки, в нем можно лишь указать IP-адрес BR-6114Wg и маску подсети, а также совершить некоторые манипуляции со встроенным DHCP-сервером. Заметим, DHCP-сервер выглядит довольно убого, что по меньшей мере удивляет - для Linux существует большое количество мощных, гибко настраиваемых и легковесных DHCP-решений. Собственный сервер способен лишь определить диапазон IP-адресов, которые будут раздаваться клиентам, имя корпоративного домена и время аренды IP-адреса. Таких замечательных возможностей, как список фиксированных хостов или гибкая настройка адресов шлюзов и DNS-серверов, нет и в помине.

«Wireless» - беспроводная часть BR-6114Wg

  • Basic Settings - позволяют определить основные параметры функционирования беспроводного сегмента смешанной сети, например режим работы BR-6114Wg (точка доступа / беспроводной мост), идентификатор беспроводной сети ESSID, номер радиоканала (к сожалению, автоматический выбор канала не предусмотрен), и вывести на экран список подключенных в данный момент беспроводных клиентов.
  • Advanced Settings - этот подраздел необходим для осуществления тонкой настройки беспроводной связи, причем все прописанные значения параметров лучше оставить по умолчанию.
  • Security - типичный набор настроек безопасности беспроводной сети, например выбор типа шифрования, выбор длины ключа шифрования и вида ключа шифрования (ASCII/HEX). Здесь же указывается, какой именно ключ из четырех возможных будет задействован в конкретной сети.
  • Access Control - допускает фильтрование беспроводных клиентов со списками разрешенных и запрещенных аппаратных MAC-адресов беспроводных клиентских адаптеров.

«NAT» - организация совместного доступа в Интернет

Единственная поставленная на основной веб-странице NAT «птичка» автоматически разрешает всем клиентам сети подключаться к Паутине. Без преувеличения, одно из наиболее важных сетевых изобретений эпохи IPv4.

  • Port Forwarding - «пробрасывание», соединение по определенным портам за пределы межсетевого экрана BR-6114Wg. Все крайне просто и понятно: указывается IP-адрес, тип пакетов (TCP/UDP) и диапазон портов.
  • Virtual Server - организация на устройстве BR-6114Wg виртуального сервера, при котором подключение к этому серверу из Интернета инициирует проброс соединения на реально существующий сервер внутри локальной сети за межсетевым экраном. Настройки аналогичны предыдущим: IP-адрес, тип протокола и порты.
  • Special Applications - весьма полезная возможность для приложений, которые не могут корректно работать в случае NAT-шлюза (например, некоторые программы видеоконференций, многие игры). Этот подраздел допускает создание множественных подключений для таких приложений;
  • UPnP Settings - включение UPnP позволяет устройствам, поддерживающим этот протокол, производить самостоятельную настройку собственных сетевых параметров - например, это современные аппаратные медиапроигрыватели.
  • ALG Settings - Application Layer Gateway, шлюз уровня приложений. Некоторые программы некорректно работают с NAT, поэтому в BR-6114Wg заведен особый список приложений («персон нон-грата»), распознав одно из которых, устройство активирует специальные настройки маршрутизации. Среди прочих в списке программ - FTP, IRC, Quake3 и Starcraft.

«Firewall» - управление межсетевым экраном

  • Access Control - допускает управление списками MAC-адресов сетевых адаптеров в локальной сети. Причем это могут быть не только те четыре адаптера, которые подключены непосредственно к устройству, ведь BR-6114Wg вполне может быть подключен к другому коммутатору, а максимальное число клиентов достигает 253.
  • URL Blocking - достаточно полезная возможность блокировки интернет-адресов по абсолютным именам или ключевым словам, встречающимся в адресе. Это, возможно, позволит несколько разгрузить трафик, а также уменьшить нагрузку на прокси-сервер, если таковой имеется в сети.
  • DoS - встроенная защита от атак типа DoS (Denial of Service, отказ в обслуживании, вызывается массированной «бомбардировкой» из Интернета). Пресекаются четыре класса атак: Ping of Death, Port Scan, Sync Flood и возможность пинга «снаружи». Подраздел имеет и расширенные настройки, которые лучше изменять, только если на 100% уверен в своих действиях.
  • DMZ - «демилитаризованная зона», которую можно указать для приложения, упорно не желающего работать с NAT. Этому приложению выделяется возможность взаимодействовать напрямую с требуемыми интернет-сервисами.

Как видим, устройство решает практически весь спектр задач, требуемых для подключения локальной сети, состоящей из проводного и беспроводного сегментов, к сети Интернет. Кое-где не хватает гибкости «тюнинга», но, видимо, это вызвано целевой аудиторией BR-6114Wg - пользователями, которым требуется быстро и просто подключиться при наличии определенного уровня безопасности.

Необходимо периодически наведываться на сайт производителя за новыми прошивками, если таковые появляются, зачастую в новых версиях микропрограмм исправляются довольно серьезные ошибки. Последняя версия 2.11 запомнилась исправлением одной из них, при которой роутинг потоков 30 Мбит/c мог вызвать спонтанное «зависание» устройства, требующее аппаратной перезагрузки. Обновление прошивки осуществляется также при помощи веб-интерфейса.

Одним словом, если не хватать звезд с неба, приобретение аппарата на базе чипсета ADM5120 себя полностью оправдывает. Но в случае когда стандартных возможностей недостаточно, путей не так уж много: это может быть либо покупка более дорогого и функционального устройства, либо использование BR-6114Wg или его аналога совокупно со специализированным сервером, либо глубокая доработка прошивки - внутри ведь Linux, а значит, эту возможность нельзя сбрасывать со счетов.

Автор остановился на втором варианте. Подспорьем к Edimax BR-6114Wg служит небольшой сервер под управлением ОС Linux, призванный заменить те функции, которые реализованы в BR-6114Wg на уровне каменного века - DHCP и DNS, а также разместить прокси-сервер для экономии трафика и кэширования компонентов веб-страниц. Аппаратура сервера более чем скромна: процессор Intel Pentium 233 MMX, 160 Мбайт ОЗУ и жесткий диск 10 Гбайт - свои функции, однако, он выполняет безупречно.

Значительно большей популярностью пользуется все же третий, «хакерский» вариант. Существует специальный сайт , где рассмотрены многие нюансы функционирования ОС Linux на процессоре, входящем в состав чипсета AMD5120 (в нашем случае - ядро Linux версии 2.4.18). Доподлинно известно о возможности обновления ядра до версии 2.4.31 и добавлении множества полезных функций. Кроме того, существует целый виртуальный клуб любителей покопаться внутри Linux-box на основе ADM5120, присоединиться к которому стоит лишь в том случае, если пользователь точно знает, что требуется в итоге от устройства.

Вся логика устройства обеспечивается строго выверенным набором скриптов Linux, а красивый веб-интерфейс написан специально для встраиваемого веб-сервера GoAhead WebServer. Однако что же теоретически можно добавить к официальной прошивке? Это вполне может быть мощная программа iptables, обеспечивающая полноценный настраиваемый роутинг в соответствии с прописанными правилами, нормальный сервер DHCP, организация доступа по SSH/Telnet, шлюз VPN и прочее. Разумеется, самовольная модификация прошивки автоматически аннулирует гарантийные обязательства производителя, поэтому стоит много раз подумать, прежде чем начать «потрошить» BR-6114Wg.

Новости мира IT:

Архив новостей

Последние комментарии:

Группа ЕСН купила РБК (1)
Monday 19.06, 11:46
Loading

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 985 1945361
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2015 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...