Оригинал материала: https://3dnews.ru./973664

Обзор точки доступа Zyxel NWA1123-AC-PRO: была Nebula!

#Комплектация и внешний вид

Wi-Fi точка доступа Zyxel NWA1123-AC-PRO поставляется в простой и, даже можно сказать, неприметной коробке из плотного картона. Задачи привлекать ярким и красочным оформлением тут нет — покупатель такого устройства и так прекрасно знает, что ему нужно. Внутри упаковки находятся лоток с самой точкой доступа и ещё одна коробка с документаций, кабелями, крепежом и PoE-инжектором. Инжектор просто необходим, так как никакого иного способа питания устройства не предусмотрено.

 Zyxel NWA1123-AC-PRO

Zyxel NWA1123-AC-PRO

Корпус устройства представляет собой восьмигранную «таблетку» со средним диаметром около 198 мм и высотой 35 мм, сделанную из матового пластика белого цвета. Весит она почти 450 г. На верхней панели есть семь светодиодов. Крайний правый нужен для визуального поиска места установки точки доступа и активируется через веб-интерфейс на время до одного часа. Мигает он нестерпимо ярким белым светом, так что не заметить его и ТД вместе с ним будет очень непросто. Остальные индикаторы неяркие, светятся зелёным или оранжевым цветом. Они указывают на наличие питания и состояние устройства, «ориентацию» радиомодулей, на состояние проводных подключений, а также на режим работы: автономно или через облако.

На днище устройства есть выемка, где находятся два гигабитных порта Ethernet — один для подключения к сети и питания, второй для подключения других проводных клиентов. Там же располагается переключатель для выбора положения точки доступа: на стене (вертикально) или на потолке (горизонтально). Впрочем, в настройках можно по отдельности задать «ориентацию» каждого радиомодуля. В той же нише есть кнопка сброса настроек и консольный порт, который защищён резиновой заглушкой. Вентиляционные отверстия имеются только на дне корпуса, но система крепления точки доступа такова, что корпус немного приподнят над поверхностью, поэтому проблем с охлаждением не будет. Для крепления в комплекте имеются два шурупа и по паре дюбелей разного размера.

PoE-инжектор, он же блок питания, на удивление крупный (135 × 57× 34), но не такой массивный, как может показаться — весит он 215 г. По углам у него есть проушины для крепления к стене, а вот шурупов для него положили. Инжектор соответствует стандарту IEEE 802.3at и выдаёт 0,5 А при напряжении 48 В. Вместе с ним поставляется толстый кабель питания длиной 1,7 м с вилками типа C13 и E/F. Есть в комплекте и обычный патч-корд длиной более метра, а заодно и стандартный набор документации и гарантийный талон.

#Технические характеристики

Технические характеристики Zyxel NWA1123-AC-PRO
Wi-Fi IEEE 802.11 a/b/g/n/ac (2,4 ГГц + 5 ГГц) 3 × 3; 2 × 8 SSID; WDS
Чипсет/контроллер Н/д
Память Н/д
Антенны 8 × ( P)IFA внутренние 3/4 (2,5 ГГц), 4/5 (5 ГГц) dBi: ориентация потолок/стена
Доступ к Wi-Fi Open, WEP/ WPA/WPA2/WPA2-MIX PSK; 802.1x/RADIUS/Nebula; captive-портал
Максимальная скорость 802.11ac: до 1,3 Гбит/с; 802.11n: до 450 Мбит/с
Интерфейсы 2 × 10/100/1000 Мбит/с Ethernet; 1 × консоль
Индикаторы 6 × состояние; 1 × поиск
Аппаратные кнопки Сброс настроек, ориентация
Доступ в сеть IPv4 Static IP/DHCP, IPv6 SLAAC/DHCPv6; VLAN
Доступ HTTP(S); SSH; Telnet; FTP(S); SNMP
QoS/Шейпинг WMM; шейпер; лимит числа клиентов
Режим работы Автономно; облачный контроллер Nebula
Безопасность MAC-фильтр; изоляция; управление PKI;
Размеры (Ш × Д × В) 204 × 192 × 35 мм
Масса 450 г
Условия эксплуатация t 0-50 °С; отн. влажность 10-90 %
MTBF 1 005 235 ч.
Питание IEEE 802.3at, только PoE
Цена 9 000 рублей

#Возможности

Точка доступа Zyxel NWA1123-AC-PRO не требует для своей работы отдельного контроллера, так что часть функций перенесена в её прошивку. Кроме того, с этой моделью знакома утилита Zyxel ONE Network (ZON), позволяющая упростить первоначальную настройку и регулярное обновление прошивки. Но мы всё же рассмотрим более привычную работу с помощью веб-интерфейса. Мобильной версии у него нет, но на современном смартфоне с большим экраном он работает вполне сносно. Для начала займёмся автономным режимом работы.

При первом входе (admin:1234) запускается привычный мастер быстрой настройки, а после завершения работы с ним взгляду пользователя предстаёт главное окно веб-интерфейса, куда выводятся различные настраиваемые виджеты, сообщающие о состоянии различных подсистем и служб. Поддержки русского языка в веб-интерфейсе нет, но это не проблема, так как всё устроено довольно просто и логично. Прямо в мастере можно настроить до восьми профилей работы точки доступа, а по умолчанию он, конечно, предлагает настроить два профиля для обоих диапазонов. Фактически же в системе используется объектный подход, а мастер позволяет просто и быстро собрать необходимые объекты — или профили, если угодно — воедино. Вот с них-то и надо начать.

Первый и самый основной тип — это настройки радиочасти. Базовые настройки привычны: стандарт Wi-Fi, канал, ширина канала, защитный интервал, пределы чувствительности, мультикаст, запрет подключения устройств старых стандартов Wi-Fi и так далее. Но есть и те, которые в домашних устройствах встречаются нечасто, но для нагруженной сети Wi-Fi важны. Речь идёт о системе динамического выбора канала. Здесь предлагается сразу несколько вариантов. Во-первых, можно самостоятельно задать набор каналов, из которых точка сама будет выбирать подходящий. Во-вторых, можно просто полностью положиться на автоматику. Для диапазона 2,4 ГГц доступны две стратегии выбора канала: трёх- и четырёхканальная. В первом случае выбор будет между 1-м, 5-м и 11-м каналом. Для второго случая ситуация разнится от региона к региону: для США (правила FCC) будут доступны каналы 1/4/7/11, а для Европы (ETSI) 1/5/9/13.

Для диапазона 5 ГГц доступна настройка работы с DFS-каналами: их можно исключить из списка доступных, чтобы не нарушать местные законы. Тогда останутся только каналы с 36 по 48, а в противном случае — ещё и с 52 по 128. Период автопереключения канала задаётся либо интервалом длиной от 10 минут до 1 суток, либо расписанием: день недели + время. Впрочем, можно запустить этот процесс принудительно, вручную. Отдельно можно запретить (точнее, отложить) переключение канала при наличии активных клиентов на данной точке доступа, но эта система скорее актуальна для массива из нескольких ТД под управлением одного контроллера, а не для одной-единственной точки. Это всё касалось физической части, а для логической части настроек, конечно, гораздо больше.

Во-первых, отдельно можно создать списки MAC-адресов. Для чего? Либо для изоляции выбранных клиентов от всех остальных, тогда как у домашних ТД обычно есть только опция изоляции вообще всех клиентов друг от друга сразу (впрочем, полная изоляция беспроводных клиентов в устройстве всё равно есть, хотя и настраивается в другом месте). Либо для запрета или разрешения доступа клиентов к самой точке, то есть для фильтрации по белым и чёрным спискам. Опять же в домашних устройствах обычно нет фильтра по обоим спискам сразу. Настройки шифрования также представляют собой отдельные объекты. NWA1123-AC-PRO поддерживает работу WEP/WPA2, открытый доступ, а также вариант WPA2-MIX. Кроме того, можно подключить сразу два RADIUS-сервера: основной и запасной. Всего доступно создание до девяти профилей безопасности.

Профили безопасности напрямую связаны и с профилями SSID, то есть их тоже девять. Все профили-объекты просто вкладываются друг в друга — как в матрёшке. Для SSID можно выбрать указанные выше списки MAC-адресов, задать минимальную и максимальную скорость передачи данных для беспроводных клиентов, выбрать один из профилей WMM, настроить расписание работы: вкл./выкл., день недели, период с точностью до получаса. Отдельно можно включить энергосбережение и ARP-прокси (в "бете"). Для каждой SSID возможна привязка к VLAN-подсети.

Наконец, всё это сводится воедино уже в настройках радиомодулей. Там выбирается профиль радио, задаются до восьми SSID для каждого модуля и выбирается его выходная мощность (0-30 дБм). При наличии нескольких ТД их можно объединить с помощью WDS, выбрав режим корневой точки или повторителя. Профили WDS задаются отдельно. По умолчанию режим работы обоих модулей — это обычная точка доступа, причём с одним и тем же именем сети.

Из других интересных особенностей NWA1123-AC-PRO, которые, впрочем, рассчитаны именно на работу нескольких ТД в связке, стоит отметить следующие две. Во-первых, это так называемая балансировка, которая предполагает работу в нескольких режимах. Первые два понятны и очевидны — отлучение клиентов от сети или задержка ответов для них либо по уровню активности (низкий, средний, высокий), либо просто при превышении максимального числа клиентов, которое задаётся вручную (от 1 до 127). Но есть и особый режим Smart Classroom для учебных заведений, с описанием которого можно ознакомиться на примере других контроллеров ТД Zyxel. Во-вторых, это система детектирования мошеннических (rogue) точек доступа в той же локальной сети, что и NWA1123-AC-PRO. Критерии отсева просты: слабое шифрование, скрытые SSID или наличие ключевых слов в SSID соседей.

Доступно и ручное составление списков MAC-адресов дружественных и не очень точек доступа, а также их последующий экспорт/импорт. Для безопасности также предусмотрены отдельные аккаунты администраторов с ограниченными правами — ну очень ограниченными, строго говоря, так как везде видишь, что параметры доступны только в режиме чтения. Также в настройках есть управление сертификатами, их экспорт и импорт. Доступно и принудительное включение HTTPS/FTPS. Да, пользователи SMB-продуктов Zyxel найдут здесь привычное управление файлами конфигурации, а также прошивки с автозагрузкой последней корректной конфигурации в случае сбоя, расширенные средства самодиагностики, поддержку SNMP, детальное логирование, автоотправку ежедневных подробных отчётов о работе устройства, возможность написания собственных shell-скриптов, а также CLI-доступ по SSH/Telnet, где можно намного более тонко настраивать систему.

Собственного DHCP-сервера точка доступа не предлагает, так что совсем уж автономную беспроводную сеть с её помощью не сделать. Как уже упоминалось выше, есть поддержка VLAN. К тому же ТД имеет базовую поддержку IPv6: SLAAC/DHCPv6. В целом же функциональность NWA1123-AC-PRO, особенно с учётом цены, можно оценить как очень хорошую. Это довольно удачное SOHO-решение. Из явных недостатков в глаза пока бросается только один — отсутствие справочных материалов конкретно по данной модели, хотя в базе знаний в разделах контроллеров точек доступа можно найти информацию о сходных настройках и функциях.

#Zyxel Nebula

Nebula — это облачная система управления устройствами Zyxel, то есть фактически единый удалённый контроллер не только для точек доступа, а вообще для целого ряда продуктов. Бесплатной версии более чем достаточно для нужд SOHO- и даже, пожалуй, отчасти SMB-пользователей. Основные возможности представлены в этом документе, но лучше воспользоваться демо-доступом в панели управления Nebula. У Nebula, как и у любой облачной системы, есть очевидные плюсы и минусы. С одной стороны, у вас всегда будет самое свежее ПО, включая прошивку, и единое централизованное управление. С другой же, вы фактически становитесь зависимыми от доступа в Интернет и всё управление инфраструктурой «живёт» не у вас под рукой, а где-то в чужих дата-центрах. Что важнее, удобство или безопасность, каждый решает сам — Zyxel не навязывает Nebula и обновления ПО своих изделий не забрасывает. По крайней мере пока. Учтите, что для применения некоторых настроек в Nebula требуется время, иногда придётся ждать несколько минут.

Привязка устройств к облаку производится по MAC-адресу и серийному номеру, так что добавить новое устройство в систему можно ещё до того, как оно доберётся до места назначения. Альтернативный вариант — с помощью мобильного приложения Nebula Mobile для Android и iOS, где можно просканировать QR-код, отображаемый в веб-интерфейсе устройства, а заодно и сделать фото физического местоположения точки. Вообще, в Nebula есть интересная функция не просто привязки положения устройств на карте (Google Maps), но и создания поэтажных планов помещений. Также Nebula умеет схематично показывать топологию сети, что тоже удобно. В целом, используется иерархический подход. На верхнем уровне создаётся «организация», у которой может быть несколько «локаций» (офисов, например). А уже в них обычно наверху стоит шлюз/роутер, затем идут коммутаторы, точки доступа и так далее, к которым уже и подключаются клиенты.

Что происходит конкретно с NWA1123-AC-PRO после подключения к облаку? Меняется SSID и пароль для неё, включается изоляция клиентов, также меняется пароль на доступ к локальному веб-интерфейсу, в котором фактически нет настроек, но есть просмотр краткой информации о состоянии точки. Единственное, что можно поменять, это настройки IPv4-адреса, прокси-сервера и VLAN. Доступ по IPv6 в этом режиме не работает. А вообще, доступные в автономном режиме настройки хоть и пересекаются по большей части с теми, что доступны в облаке, но всё же не полностью их повторяют. Например, для сети на 2,4 ГГц лимит мощности снизился с 30 до 20 дБм, зато в 5 ГГц стали доступны каналы вплоть до 165, которых раньше не было. В целом же Nebula предоставляет гораздо больше информации и статистики в удобном виде, предлагает удобные системы отчёта и управления. Домашним пользователям это не особо нужно, а вот в компаниях такие возможности наверняка оценят.

Из других полезных функций стоит отметить намного более гибкую настройку расписания работы SSID, а также дополнительные возможности аутентификации. В дополнение к обычным паролям и внешним RADIUS-серверам в Nebula есть собственная подсистема облачных аккаунтов (Cloud authentication) на уровне организации. Доступ может быть организован по MAC-адресу и/или по логину, адресу почты и паролю. Эта же система может быть использована для captive-портала, в том числе с самостоятельной регистрацией пользователей, что актуально для хотспотов. Можно даже настроить поведение точки доступа на случай недоступности облака. Для входа также можно использовать всё тот же RADIUS-сервер или Facebook, причём для последнего варианта есть опция привязки приложения для сбора более подробных сведений о пользователе. Кроме того, есть опция обращения к внешним сервисам по заранее заданному URL.

Правда, тут стоит отметить, что в текущем виде этот портал не всегда подойдёт для создания публичных точек доступа Wi-Fi в РФ, так как сам по себе он не поддерживает идентификацию по номеру телефона или иным разрешённым способом. Зато у него есть много других полезных опций. Можно заранее внести список IP-подсетей и URL, которые будут доступны без логина, или разрешить неавторизовавшимся пользователям без проблем обращаться к HTTPS-сайтам. Доступна опция запрета множественного входа с разных устройств под одним и тем же логином.

Впрочем, можно и не мучить пользователя, а просто показать ему страничку с просьбой нажать одну кнопку и потом переадресовать его на заранее заданный сайт. Настроить внешний вид страницы входа тоже довольно просто. Проще всего просто поменять текст сообщений и логотип. Но если очень хочется, то можно вручную заняться правкой HTML/CSS и сделать сразу несколько разных шаблонов, которые даже можно экспортировать.

#Тестирование

Для оценки скорости работы Wi-Fi точка доступа использовалась в автономном режиме и с раздельными SSID для обоих диапазонов. Вела она себя, пожалуй, излишне корректно, хотя в вину это ей ставить нельзя. О чём речь? Да всё о том же — по стандарту вообще-то не стоит давать пользователям принудительно выставлять ширину канала, устройство должно само подстраиваться под окружение. Так что в 2,4 ГГц, где эфир уже откровенно забит, больше 20 МГц всё равно не светит, да и всяких нестандартных техник вроде 256-QAM точка тоже не предлагает. В 5 ГГц ситуация тоже не самая лучшая. Не очень понятно, почему список доступных каналов различается в автономном и облачном режимах.

Точка доступа Zyxel NWA1123-AC-PRO
Потоки 1 2 4 8 16 32 64
Средняя скорость Wi-Fi 802.11ac 5 ГГц, Мбит/с
LAN → WLAN 347 497 618 682 718 731 719
WLAN → LAN 345 463 517 523 506 490 478
LAN ↔ WLAN 507 602 597 583 570 567 531
Средняя скорость Wi-Fi 802.11n 2,4 ГГц, Мбит/с
LAN → WLAN 109 116 127 121 110 100 92
WLAN → LAN 98 123 152 131 129 121 105
LAN ↔ WLAN 132 136 135 122 106 95 92

Впрочем, это не так важно, потому что на практике адаптер — это всё ещё компьютер с бессменным ASUS PCE-AC88 в паре с i7-3770 и 16 Гбайт RAM, в прямой видимости на расстоянии 4 м — до сих пор не получил обновление драйвера, позволяющие ему работать в верхнем диапазоне, хотя в РФ они давно разрешены. Ровно то же поведение следует ожидать и от других клиентов. Так что пришлось использовать нижние каналы, которые тоже постепенно заполняются соседскими точками доступа. Однако в целом показатели скоростей вполне ожидаемые и нормальные. В обычном режиме, с единой SSID также никаких проблем замечено не было, хотя большая часть клиентов всё же представляла собой устройства умного дома да смартфоны. Да, это не типичная офисная ситуация, но что уж есть.

#Заключение

Zyxel называет NWA1123-AC-PRO гибридной точкой доступа — в том смысле, что она может работать и в полностью автономном режиме, не требуя специализированного WLAN-контроллера, и через облачный контроллер Nebula. Но эту точку доступа можно назвать гибридной и по другой причине. За весьма умеренную цену она предлагает многое из того, что доступно только корпоративным моделям, не требуя вместе с тем от пользователя знаний таких продуктов. Для любителей «игровых» и просто сверхмощных роутеров это может прозвучать странно, но данная модель как раз хороша тем, что она блюдет стандарты Wi-Fi, не предлагая различного рода полупроприетарных ускорителей (а порой и «ускорителей»). Она выполняет одну-единственную функцию, зато делает это очень хорошо.

Отдельно стоит отметить дизайн. Речь не про красоту, конечно, хотя и тут вопросов нет, а про возможность монтажа устройства в двух плоскостях и про поддержку обоих вариантов ориентации со стороны радиочасти и антенн. Всё необходимое для установки и питания есть в комплекте, что тоже плюс. Кому подойдёт эта ТД? Домашним пользователям она, пожалуй, не очень нужна, если это не отдельный дом или если у пользователя нет повышенных требований к стабильности подключения. Зато для небольшого офиса или учебного класса это весьма и весьма привлекательный вариант. Практически идеальный сценарий применения — (пере)оснащение небольших удалённых филиалов компаний. ТД легко смонтируют на месте своими силами, а предварительную настройку и управление легко сделать посредством Nebula. При этом оснащение современным Wi-Fi не выльется в круглую сумму.



Оригинал материала: https://3dnews.ru./973664