Обзор топовой точки доступа Zyxel WAX650S с технологией Secure Wi-Fi

Сегодня мы рассматриваем топовую точку доступа Wi-Fi 6 от компании Zyxel. Это по-настоящему «всеядная» точка доступа, рассчитанная на установку как в помещениях с большим числом людей, так и в технологических зданиях производств, обеспечивая работу IoT 6. Эта модель использует «Умную антенну» с выделенным модулем для сканирования диапазона, способную формировать направленный луч, индивидуальный для каждого абонента, что позволяет во-первых увеличить дальность коннекта по сравнению с обычными ТД, а во-вторых, уверенно отрабатывать перемещения клиента в пространстве, в том числе при наличии интерференций от других базовых станций. Ранее мы видели нечто подобное у дорогих ТД от Huawei, и очень приятно, что такое решение есть и у Zyxel.

Но не только аппаратной частью интересна модель WAX650S - компания Zyxel продвигает технологию Secure Wi-Fi, это когда ТД сама соединяется с корпоративным шлюзом по VPN каналу и предоставляет доступ клиенту в офисную сеть с использованием внешней авторизации, например через Google. В итоге с любого устройства клиент получает доступ ко всем сетевым ресурсам организации, и может выходить в интернет с использованием политик безопасности, задаваемых администратором организации. Это просто находка для удалёнки и различных выездных мероприятий, но обо всём по порядку.

Конструкция

Точка доступа Zyxel WAX650S внешне ничем не отличается от более простых аналогов: даже рёбра корпуса, напоминающие радиатор, сделаны из пластика, больше для показухи. И единственное, что выдаёт высокий класс устройства - это сетевой порт стандарта 5GBase-T с поддержкой PoE, а так же второй обычный 1-гигабитный порт для ЛВС. Максимальное заявленное энергопотребление устройства - 31 Вт (требуется коммутатор с поддержкой 802.3BT), но судя по системе охлаждения, едва ли ТД будет потреблять больше 20 Вт.

Zyxel WAX650S имеет сложную конструкцию: все основные элементы (радиомодули и процессор) размещены на лицевой стороне в индивидуальном радиоизолированном корпусе. В собранном состоянии сверху над материнской платой устанавливается толстая алюминиевая пластина, служащая для теплоотвода от наиболее горячих элементов и дополнительного экранирования.

С обратной стороны материнская плата закрыта большим стальным кожухом, служащим для экранирования от антенного модуля и теплоотвода от обратной стороны чипов на материнской плате. Как видите, Zyxel максимально ответственно подходит к вопросу экранирования, и не только для того, чтобы защитить электронику ТД от фонового радиошума, но и для того, чтобы снизить собственное излучение с обратной стороны корпуса и не мешать другому оборудованию за стеной или на другом этаже. Так же производитель подчёркивает, что в модели WAX650S применена фильтрация 4G/5G диапазона от вышек сотовой связи и репитеров, так что устройство может работать даже если рядом с ним установлены сотовые антенны.

Во флагманских моделях точек доступа Wi-Fi зачастую устанавливается дополнительный радио модуль, который беспрерывно сканирует оба частотных диапазона 2.4 и 5 ГГц и подстраивает основные модули с учётом возникающих в реальном времени интерференций. Иногда разработчики оставляют возможность перевести его в режим работы обычного радио, добавляя ещё пару пространственных потоков к уже существующим, но у Zyxel WAX650S дополнительный модуль служит только для подстройки под радиосреду с использованием эвристического анализа и машинного обучения.

Для интеграции в мир IoT имеется поддержка BLE Beacon в виде встроенного модуля. Напомню, что Bluetooth Low Energy (BLE) позволяет при приближении клиента со смартфоном со включенным Bluetooth, выводить на его экране сообщение или запускать приложение. Эта фишка может использоваться, например, для навигации в торговых центрах, систем контроля персонала, установки терминалов распознавания лиц и т.д.

ОК, разобравшись с конструкцией материнской платы, переходим непосредственно к антенне. Любая «умная антенна» имеет больше элементов в конструкции, чем простая, поскольку состоит из множества излучающих частей, управляемых программным обеспечением устройства. В случае точек доступа, основная задача умных антенн - направить мощность излучения в сторону, где находится клиентское устройство, и не засорять эфир в других направлениях. Технологически, умные антенны представляют собой небольшие узконаправленные планарные антенны, собранные в массивы и управляемые отдельным контроллером. Обычно, достаточно иметь излучатели, направленные в 4 стороны, чтобы максимально покрыть всё пространство вокруг точки доступа. В нашем случае для 5 ГГц диапазона в антенне используются 4 кластера по 5 излучателей в каждом. Для антенн вертикальной поляризации установлены 4 маленьких платы, управлением которыми занимается контроллер, размещённый с обратной стороны антенны.

Для горизонтальной поляризации вполне осознанно используются простые металлические излучатели, с их помощью формируется фронтальный или всенаправленный луч, поэтому вполне логично, что Zyxel не стала для них использовать сборные конструкции.

В середине платы установлена антенна дополнительного модуля подстройки под радиочастотную обстановку. Как правило, благодаря ему, современные точки доступа уже не конфликтуют с микроволновками, беспроводными клавиатурами/джойстиками и пультами управления.

Для диапазона 2.4 ГГц используются обычные Г-образные металлические излучатели с горизонтальной поляризацией. Технология «умной антенны» для этого диапазона не применяется, хотя наверное зря - роботы и различная техника IoT часто используют безальтернативный 2.4 ГГц диапазон.

А теперь давайте сравним характеристики антенн по заявленным числам: для диапазона 2.4 ГГц Zyxel заявляет коэффициент усиления всего 3 дБ, - весьма средненький показатель, а вот для 5 ГГц - аж 5.8 дБ, рекордное значение для точек доступа со встроенными антеннами.

Софт

Встроенный интерфейс управления точек доступа не меняется у Zyxel годами, и WAX650S - не исключение. Настройка беспроводных сетей реализована через профили, которые почему-то нельзя переименовать. На каждый из частотных диапазонов вы можете включить до 8 беспроводных сетей, каждую со своим SSID-ом и своими настройками безопасности. Для полноценной поддержки Wi-Fi 6 есть реализация WPA3, а для 5 ГГц диапазона поддерживается канал шириной 160 МГц, правда пока что в виде бета-версии.

Среди настроек есть и очень интересная опция включения максимального энергопотребления, и мне такое встречается впервые: минимальную мощность в настройках я встречал, а максимальную - нет. Это опция для тех случаев когда используются пассивные PoE инжекторы и не согласовался стандарт, 802.11bt или точка подключена к 802.11at - в этих случаях точка работает в ограниченном режиме (отключаются 2 антенны). Включая эту опцию, ограничения снимаются и точка работает в обычном режиме.

Технология Secure Wi-Fi

Технология Secure Wi-Fi позволяет создать VPN-тоннель между точкой доступа и шлюзами доступа серии USG Flex (см. обзор Zyxel USG Flex 500), ATP (см. обзор Zyxel ATP500) и VPN так, чтобы для клиента наличие VPN-тоннеля было прозрачно, и не требовало никаких дополнительных настроек. Это нужно для того, чтобы клиент подключаясь к какому-то SSID, как к обычной Wi-Fi сети, сразу получал доступ ко всем ресурсам офиса: сетевым папкам и принтерам, каким-либо приложениям, не задумываясь о том, используют ли они шифрование для обмена данными с клиентским устройством или нет.

С точки зрения головного офиса, использование консолидированного VPN-канала "Шлюз-точка доступа" обходится дешевле, чем "шлюз-клиент", поскольку здесь можно сэкономить на числе VPN-каналов, которые могут делиться через точку доступа на множество пользователей. Так же это даёт возможность централизировать выход в интернет для сотрудников, применяя к ним корпоративные политики безопасности и ограничений, прописанные на шлюзе доступа, и заворачивая весь интернет-трафик сотрудников через него.

Естественно, поскольку это проприетарная технология Zyxel, то работает она между точками доступа с поддержкой Secure Wi-Fi и шлюзами серии USG Flex, ATP и VPN. Настройка удобно производится через систему управления Nebula Flex (хотя доступно и в автономном режиме), причём администратору не нужно указывать ни пароли, ни параметры VPN-канала. Для шифрования используется IPSec, который поддерживается устройствами на аппаратном уровне, и при доступе через Secure Wi-Fi, задержки, связанные с заворачиванием трафика в VPN, не ощущаются.

С практической точки зрения эта технология удобна ещё и тем, что используя точку доступа в качестве беспроводного ретранслятора вашего VPN, вы можете настроить авторизацию по MAC-адресу, через RADIUS или WPA3 для повышения безопасности, и опять же - сократить и облегчить настройку политик на клиентских устройствах.

Аутентификация через Google

Одним из дополнительных средств повышения безопасности сегодня всё чаще выступает аутентификация через сторонние сервисы. Раньше все мы сталкивались с кодом подтверждения, приходящим по SMS, а сегодня ему на смену приходит Google аутентификация, не требующая платы за SMS уведомления. Интеграцию этой возможности недавно разработчики добавили в шлюзы безопасности USG Flex и в сами точки доступа, так что в нашем случае Google Auth можно использовать и без шлюза.

Со стороны администратора сети, настройка заключается в создании для каждого пользователя учётной записи на шлюзе, содержащей его логин и пароль. Заполнять список пользователей придётся вручную через Nebula Control Center. После создания пользователя, ему на почтовый ящик приходит письмо с указанием ссылки на скачивание приложения Google Authentificator и QR-кодом для добавления сервиса доступа к Wi-Fi в этом приложении.

Со стороны пользователя процесс выглядит следующим образом: для соединения с беспроводной сетью используется не просто пароль, а пара - логин в виде E-Mail и пароль, уникальный для каждого пользователя. При подключении к сети нужно открыть браузер и попробовать перейти на любой адрес - пользователю автоматически будет предложено ввести код доступа из программы Google Authentificator, после чего пользователь получит доступ к сети со всеми доступными правами.

На смартфоне аутентификаия через Google не очень удобна: из-за переключения между приложением Google Authentificator и браузером, забываешь какие цифры там надо было вводить, а если вы используете сторонний браузер, например Firefox или Brave, то всё ещё осложняется тем, что для идентификации в сети запускается браузер по умолчанию.

Но каким бы замороченным ни казался этот метод, вместо обычного пароля Wi-Fi вы получаете список пользователей и три строки для идентификации: электронный ящик, пароль и динамический код стороннего сервиса. Скомпрометировать такую последовательность будет крайне тяжело.

Тестовый стенд

При тестировании мы будем проверять теоретически максимальную производительность точки доступа на расстоянии 2 метров. Для этого укомплектуем тестовый стенд адаптером Wi-Fi на базе Intel AX200, подключим точку доступа к 2.5-Гигабитному сетевому порту (в этом режиме работает плата Intel X550-T2) и будем проверять скорость, используй iPerf 3.

Конфигурация тестового стенда:

Сетевая карта

  • Intel AX200 Wi-Fi 802.11ax 160 MHz
  • Intel X550-T2

OS:

  • Windows Server 2019 Hyper-V
    • Windows 10
    • iPerf3

В данном тесте мы будем использовать 1 клиентское подключение при ширине канала 80 и 160 МГц. Хочу заметить, что поскольку сетевые карты Intel AX200 достаточно сырые, в нашем тесте после очередного обновления драйверов удалось задействовать лишь одну из двух плат,

скорость которой тоже отличалась от результатов предыдущих измерений. Благодаря погрешности, топовая WAX650S работает так же, как более простой аналог, но это не принципиально важно. В данном случае погрешность сильно влияет на измерения.

Выводы

Очень приятно, что точки доступа развиваются не только в сторону скорости, но и в сторону функционала, и вот наконец-то мы видим, какую синергию даёт монобрендовый комплект с общей системой управления, благодаря которой появилась поддержка 2-факторной аутентификации Google. Вообще, делегирование части вопросов безопасности на сторонних поставщиков (Zyxel, Google) - это оформившаяся тенденция, которая со временем будет только вытеснять традиционные подходы к настройке безопасности. Ну посудите сами, создание VPN-тоннеля между шлюзом и точкой доступа - это два клика мышкой, и не нужно вторгаться в пользовательское устройство: независимо от операционной системы, и смартфоны и роботы и умные вещи будут направлять трафик через центральный шлюз, а значит администрирование ими станет дешевле и эффективнее, и прежде всего, это будет заметно в периферийных (Edge) инсталляциях.

Двухфакторная аутентификация делает бессмысленной атаку на Wi-Fi пароль, поскольку у каждого пользователя теперь собственные ключи доступа в корпоративную сеть. Этот метод защиты прост и бесплатен, а возможность закрыть на смартфоне доступ к приложению Google Authentificator через биометрию ещё сильнее защитит процесс входа.

Что же касается флагманской технологии Smart Antenna, то в полной мере она раскроет себя в сложных условиях, в помещениях с большим количеством людей и периодически возникающими помехами. Высокая пропускная способность, умение антенны "нацеливаться" на пользователя и подстраиваться под внешние помехи, - вот те функции, ради которых имеет смысл устанавливать WAX650S в самых сложных, самых загруженных помещениях.

Михаил Дегтярёв (aka LIKE OFF)
18/08.2021


Похожие статьи:

Знакомимся с беспроводным оборудованием Ruijie Networks: что такое самоорганизующаяся сеть

Кто бы мог представить, что в сетевом оборудовании можно придумать что-то новое, но компания Ruijie Networks это сделала. Концепция самоорганизуемой сети, когда всё настраивается автоматом и администрируется со смартфона - это о...

ZyWALL ATP800 - тестируем скорость топового шлюза безопасности от Zyxel

Если вы ранее не встречались с Zyxel ATP, то вот вам небольшой бриф: этот мощный 8-ядерный межсетевой шлюз с поддержкой Multi WAN совмещает в себе все современные методы анализа, защиты приватности и целостности вашей корпоратив...

Изучаем TP-Link Omada SDN: подключаем VPN, настраиваем сеть

У компании TP-Link внезапно есть очень мощный и удобный софт по настройке сетей на копроративных объектах. Мы протестировали это решение, и показали как в одном общем интерфейсе настраивается VLAN, Wi-Fi и правила безопасности. ...

Решения Wi-Fi для HoReCa от компании Zyxel. Тестируем точки доступа WAC5302D-Sv2, WAC-500H и коммутатор GS2220-28HP

Да, пусть многие считают, что Wi-Fi - он и в Африке Wi-Fi, но беспроводная сеть в кафешке будет кардинальным образом отличаться от сети в каком-нибудь цеху или на складе. Прежде всего, надо понимать, что основные клиенты публич...