14/10/2003 di Redazione

Wireless VPN Firewall Dual Band NETGEAR Prosafe (FWAG114)

Finalmente un AP/router 802.11g con tecnologia Atheros: si tratta dell' FWAG114 di NETGEAR. Siamo sempre rimasti colpiti dalle prestazioni dei client con schede WAB501 e WAG511 di NETGEAR. Vediamo se gli stessi pregi sono stati estesi anche al settore AP.

Introduzione

Introduzione

Ho aspettato a lungo per poter mettere le mani su un AP/router 802.11g con schemi Atheros e alla fine la NETGEAR ha appagato la mia curiosità, lanciando l'FWAG114. Sono sempre rimasto ben impressionato dalle prestazioni delle schede client WAB501 802.11a/b e WAG511 802.11a/b/g di NETGEAR e ho voluto provare a vedere se hanno fatto un buon lavoro anche con questo access point. .

Caratteristiche principali

L' FWAG si rivolge al settore delle imprese, pertanto si presenta con il classico solido rivestimento di metallo blu, anzichè la plastica della linea "Platinum" usata per i prodotti di rete destinati al ai consumatori. Le dimensioni sono piuttosto compatte (è alto quanto un libro di 200 pagine con copertina rigida) ed è predisposto per l'ancoraggio a muro.

Tutti gli indicatori, situati sulla parte frontale, sono luminosi e ben visibili anche di profilo. Sono presenti i led Link/Activity e 100Mbps per le quattro porte 10/100 e per la connessione 10/100 Ethernet WAN. Ce ne sono altri separati per l'802.11a e per l'802.11b/g, Activity, Power e Test.

Le quattro porte 10/100, quella 10/100 WAN e il connettore per l'alimentazione, si trovano dietro, insieme allo switch per il reset. Da notare che tutte le porte LAN sono auto MDI/MDI-X, in modo che possano riconoscere automaticamente la modalità di funzionamento, anche se si decide di espandere il numero di porte con hub o switch.

Caratteristiche Principali
Universal Power Supply? No
Server stampante? No
Note server stampante N/D
Server per accesso remoto? No
Supporto UPnP? No
Note UPnP N/D
Note ulteriori Nessuna informazione
Informazioni sezione LAN
Numero di porte 4
Velocità 10/100
Funzionalità Switch?
Uplink?
Porta HPNA? No
Access Point Wireless?
Note sulle porte LAN Sono tutte auto MDI / MDI-X

Dettagli interni

La Figura 1 mostra come entrambe le sezioni radio siano collegate con dei cavi alle antenne esterne, in modo da poter supportare il funzionamento in modalità a diversità.

Dettagli interni
Figura 1: l'FWAG114 all'interno

Il motivo dell'inconsueta forma piatta di queste antenne non removibili è spiegato dalla foto in Figura 2 del circuito stampato presente in entrambe le guaine di plastica.

Dettagli interni
Figura 2: dettaglio dell'antenna

Nonostante l'uso della tecnologia Atheros per separare i circuiti 802.11a e 802.11b/g, la Figura 3 mostra come i compiti di elaborazione siano assolti dal processore per reti wireless BCM4702, di Broadcom. La rete Ethernet e la funzione di switch sono gestiti dal BCM5325 di Broadcom (switch/PHY per 5 porte e una porta WAN), mentre per la porta WAN è stato usato un Altima AC101.

Dettagli interni
Figura 3: la scheda madre dell'FWAG114 dopo aver tolto i circuiti radio.

Impostazioni

Anche se l'FWAG è basato su un processore completamente diverso, la sua interfaccia utente è molto simile a quella dei suoi fratelli, l'FR114P [recensione] e l'FM114P [recensione]. Accedendo alla pagina di default del router (192.168.0.1) per la prima volta, vi troverete davanti a un Setup Wizard usato solitamente su questi prodotti. Questo identificherà automaticamente il tipo di connessione e vi proporrà le corrette opzioni per la configurazione del collegamento a Internet.

Se siete abituati a fare tutto da soli, potete anche impostare la connessione WAN manualmente. Tutti i tipi principali sono supportati, oltre alla connessione via cavo BigPond e al PPTP. L'uso di IP statici è consentito con il PPTP ma non con il PPPoE.

Nella fase di avvio, l'FWAG ricerca automaticamente un server NTP (potrete specificare un indirizzo particolare oppure utilizzare quello preimpostato) per stabilire l'ora esatta quando connessi a Internet. L'unica cosa da fare sarà impostare la zona e l'eventuale ora legale.

Complessivamente, l'interfaccia si è rivelata buona, con schermate rapide anche se molte modifiche hanno richiesto 30 secondi per il riavvio.

Il Remote Management può essere abilitato (disabilitato di default), si può impostare la porta da usare e restringere l'accesso a un singolo IP o a un range di indirizzi, a scelta. La cosa che mi è piaciuta maggiormente è stato che le sessioni remote sono state automaticamente reindirizzate a una connessione sicura (https), dopo essersi loggati. L'FWAG non consente login multipli contemporaneamente come amministratore e, nel caso qualcuno tenti di accedere come secondo amministratore, riceve l'indirizzo IP e il nome del computer di quello correntemente loggato. La NETGEAR ha saggiamente messo a disposizione sia una funzione di logout, sia la possibilità di cambiare il tempo di inattività, prima di una disconnessione automatica, rispetto ai 5 minuti impostati di default.

Informazioni sezione WAN
Interfaccia WAN Una porta WAN 10/100
Supporto WAN in Dialup No
Note ulteriori WAN Nessuna informazione
Autenticazione
PPPoE?
Impostazione nome Host?
Impostazione nome Dominio?
Impostazione indirizzo MAC per WAN?
Note Autenticazione - Supporta il PPTP e l'autenticazione BigPond
- Supporta IP statici per PPTP ma non per PPPoE
LAN DHCP
Numero massimo di client 253
Possibilità di disabilitare il DHCP?
Note Server DHCP - Si può impostare inizio e fine del range di indirizzi
- Si può destinare indirizzi IP a particolari indirizzi MAC
Amministrazione
SO: Windows? N/D
SO: Mac? N/D
SO: Linux? N/D
Note SO Non dipendente dal Sistema Operativo
Modalità di amministrazione HTTP
Note Amministrazione Tutte le funzioni via browser
Modalità di upgrade HTTP
Note Upgrade Aggiornamento via browser del firmware tramite file.

Firewall

L'FWAG ha ha copiato le sezioni (per il controllo delle porte usate) Rules e Services del suo modello con il firewall, dai suoi fratelli. La Figura 4 mostra la schermata Rules che riassume le regole associate alle connessioni in entrata e uscita.

Firewall
Figura 4: Regole per il firewall

L'opzione per impostare le regole per i servizi in uscita (nota anche come Filtro per le porte), è utilizzabile per specificare un range di porte (e quindi un servizio) a cui è consentito l'accesso o meno da una serie di indirizzi IP di LAN o WAN (Internet). In Figura 5 è possibile vedere una regola che impedisce l'accesso agli stream RealAudio da parte di tutti gli utenti della LAN.

Firewall
Figura 5: Regole in entrata e in uscita

L'opzione per impostare le regole per i servizi in entrata (anche nota come Forwarding delle porte), usa gli stessi criteri di configurazione della precedente ma è indicata per permettere l'accesso ai server della vostra LAN che stanno dietro al firewall dell'FWAG. Da notare che il "loopback" è consentito.

Consiglio Consiglio: Date un'occhiata a questa pagina del nostro NTK Hardware Router, per una spiegazione del termine "loopback".

Firewall, Continua

L'FWAG dispone di preimpostazioni per gli usi comuni, come HTTP (Web), FTP e altre, che possono essere scelte da un menu a tendina. Se c'è bisogno di utilizzare parametri diversi, si può usufruire della schermata Custom Services, mostrata in Figura 6.

Firewall, Continua
Figura 6: Custom Service

Le regole hanno altre opzioni interessanti. Sia quelle in entrata che quelle in uscita possono essere programmate, come mostrato in Figura 7. E' tuttavia concesso solo un programma.

Firewall, Continua
Figura 7: Programmazione delle regole

Potrete inoltre controllare il registro di accesso di ciascuna regola, con parametri di esclusione e corrispondenza, così come dare una precedenza alle regole in entrambe le direzioni. Non c'è tuttavia la possibilità di impostare una porta trigger per i servizi in entrata. Le mappature dei servizi sono solo statiche. Contrariamente a quanto scritto nel manuale, quindi, l'UPnP non è supportato (non ancora, almeno).

Si può controllare più finemente gli accessi (rispetto al bloccarli tutti tramite le impostazioni dei servizi in uscita) a siti e newsgroup visitati dagli utrenti, tramite l'opzione Block Sites. Questa, però, non è programmabile, ma si può impostare un indirizzo IP "fidato" a cui dare un accesso non filtrato a Internet.

Caratteristiche Firewall
Tipo di Firewall SPI
Server Exposed / "DMZ"
Multi-NAT? No
Note al Multi-NAT N/D
Controllo degli accessi (Filtraggio Porte)?
Note Controllo Accessi - Si può bloccare o consentire accessi in uscita, selezionando gruppi di indirizzi IP, per servizi preimpostati o personalizzati.
- Tutte le regole possono essere programmate o meno
Forwarding di una singola porta?
Forwarding di un range di porte?
Mappatura di una porta trigger? No
Note per il Forwarding - Si può inibire o consentire accessi in entrata a server della LAN, per servizi preimpostati o personalizzati
- Tutte le regole possono essere controllate o meno
- Si può restringere gli accessi in entrata a un range di indirizzi IP
Controllo dei Contenuti
Controllo dei contenuti?
Lista di controllo esterna? No
Controllo contenuti "a tempo"?
Note Controllo contenuti - BLocca unicamente parole chiave contenute nell' URL (32, con 32 caratteri)
- Si può impostare un indirizzo IP di fiducia che non è soggetto alle restrizioni

VPN

Come il suo fratello 802.11b FVM318, anche l'FWAG possiede un endpoint IPsec integrato e supporta una VPN tramite PPTP, l'IPsec e L2TP. Diversamente dall'FVM318, però, permette un tunnellling che origina e termina unicamente sull'interfaccia WAN. Per la protezione dei client LAN con il wireless, bisognerà usare il WEP o il WPA.

L'endpoint IPsec ha i suoi lati positivi e negativi. E' molto più configurabile di quello che abbiamo trovato nel popolare router BEFVP41 [recensito qui] e nel BEFSX41 [recensito qui] della Linksys e supporta i certificati digitali (e una lista di revoca dei certificati) per l'autenticazione IKE, oltre a chiavi precondivise. La NETGEAR inoltre ha messo a disposizione un paio di dettagliati esempi di configurazione per il VPN dell'FWAG114.

Il principale aspetto negativo è il sistema di login e connessione. I messaggi di log del VPN sono globalmente piuttosto ardui da decifrare, a meno che non siate degli esperti. Li ho trovati di più difficile interpretazione di quelli generati dal BEFSX41 della Linksys. Dato che non c'è alcun tasto "Connetti", la NETGEAR suggerisce di provare a pingare il client dall'altro capo del tunnel, per mettere in moto il meccanismo. Una volta che il tunnel è stabilito, non c'è modo di terminare la connessione (benchè questo sia più un problema per la fase di test che per le applicazioni reali).

Dato che ho di recente spiegato come utilizzare il client IPsec contenuto in WinXP [qui per i dettagli], ho provato a farlo funzionare con l'FWAG. Alla fine ce l'ho fatta, ma unicamente facendo partire il tunnel dall'FWAG e comunque dopo un reboot del router. Oltretutto, nonostante il tunnel funzionasse, ho ricevuto un messaggio che non mi ha dato molta fiducia:

[2003-09-02 17:17:39]Something terribly wrong, trying to free alredy freed

IKE_QM_STATE block

Tuttavia, sono rimasto colpito dalla velocità media, un 1.6Mbps di tutto rispetto dal client all'FWAG e un 2.0Mbps nella direzione opposta, paragonabile a molte velocità di connessione a banda larga.

Consiglio Consiglio: Se volete tentare la fortuna con il tunnelling tra il client dell'XP e l'FWAG, ecco qualche impostazione di base:

FWAG114 IKE
Direzione Entrambe le direzioni
Identità locale richiesta Indirizzo IP WAN
Identità remota richiesta Indirizzo IP WAN remoto
Parametri IKE SA Algoritmo di criptazione: 3DES
Algoritmo di autenticazione: MD5
Metodo di autenticazione: Chiave pre-condivisa
Gruppo Diffie-Hellman: Gruppo 2
FWAG114 VPN Auto
Policy IKE Possibilità di selezionare la policy creata
Terminale VPN remoto Indirizzo IP
PFS IPsec Chiave PFS Gruppo 2
Selettore di traffico IP Locale: Indirizzp Subnet
IP Remoto: Indirizzo Singolo
Configurazione ESP Abilita codifica, 3DES
Abilita autenticazione, MD5
Client XP
Le informazioni soprastanti bastano per le impostazioni di base.

Per entrambe le tipologie di regole:
Il filtro richiede un protocollo di sicurezza, ESP con MD5 e 3DES.
L'autenticazione è costituita da una chiave pre-condivisa.

Per una regola "in uscita":
Le impostazioni del tunnel usano l'IP WAN dell'FWAG come indirizzo.
La lista filtro degli IP usa il "My IP address" come sorgente e gli IP della subnet dell'FWAG come indirizzi di destinazione.

Per una regola "in entrata":
Le impostazioni del tunnel usano l'IP del client XP come indirizzo.
La lista filtro degli IP usa il "My IP address" come sorgente e gli IP della subnet dell'FWAG come indirizzi di destinazione.


Client VPN
PPTP?
IPsec?
L2TP?
Note Client VPN Non è chiaro quante sessioni siano supportate e se possano passare attraverso altri gateway VPN remoti
Server VPN
PPTP?
IPsec? Nessuna informazione
L2TP? Nessuna informazione
Note Server VPN Nessuna informazione
Altre opzioni VPN
Endpoint?
Coprocessore Hardware? No
Note Endpoint 2 tunnel IPsec con chiave manuale e IKE SA con chiave pre-condivisa,
firme RSA/DSA,
supporto certificato PKI con X.509 v.3,
impostazioni key life e IKE lifetime,
assoluta riservatezza nel forwarding,
Modalità Main, Aggressive, Quick , codifica DES, 3DES, MD5, SHA-1 hashing

Registrazione degli eventi e altre caratteristiche

Con l'opzione Logging si può monitorare i seguenti eventi:

  • Accesso all'amministrazione del router (inizio, durata, etc.)
  • Connessioni all'interfaccia del router
  • Attacchi DoS conosciuti e Port Scan
  • Tentativi di accedere a siti bloccati
  • Tutti i siti web e i newsgroup visitati
  • Tutte le attività in locale
  • L'intero traffico in entrata e in uscita

Si può vedere, cancellare, aggiornare e spedire all'istante il report a un indirizzo mail prefissato oppure programmare la spedizione della mail in base a ora, giorno, settimana o quando il report ha raggiunto il limite di dimensione. Si può utilizzare l'invio immediato di avvisi di allarme via mail, in risposta a tre tipi diversi di eventi. E' supportato l'utilizzo di un demone syslog e si può specificare un indirizzo IP o fare in modo che l'FWAG diffonda le informazioni del syslog a tutti i client della LAN.

Consiglio Consiglio: Guardate questa pagina per i link ad alcune applicazioni per il syslog.

Infine, l'FWAG possiede alcune altre caratteristiche che non avevo indicato prima, come:

  • potete settare l'MTU (Maximum Transmission Unit), utile per far funzionare al meglio alcune connessioni basate sul protocollo PPPoE
  • potete vedere e modificare fino a 8 percorsi statici (utile nel caso di reti con più di una sottorete)
  • sono supportati i protocolli RIP1, RIP 2B e RIP 2M, per il routing dinamico
  • si può impostare il router in modo da farlo rispondere a tentativi di ping dalla WAN (questa funzionalità è disabilitata di default, cosa consigliabile per aumentare la sicurezza)
  • è supportato il DNS dinamico per l'utilizzo con dyndns.org

Caratteristiche del Routing
Routing statico?
Note Routing statico Si possono definire 8 percorsi statici
Routing dinamico?
Note Routing dinamico - Si può controllare o disabilitare il RIP Can control RIP direction or disable
- Can select RIP-1, 2B, or 2M protocols
Logging
Logging?
Supporto al Syslog?
Logging SNMP? No
Allarmi via Email?
Note Logging - Registra diverse tipologie di eventi, compreso il traffico web
- Può mandare via mail i log in base a una programmazione o quando raggiungono una dimensione massima
Altre Opzioni
Orologio?
Antivirus? No
Note Antivirus N/D
Altre Note - Si può impostare l'MTU
- Possiede uno switch per il reset hardware
- Nella confezione è compreso l'antivirus Freedom della zer0knowledge
- Imposta automaticamente l'ora esatta, collegandosi a un server NTP. L'utente può stabilire il fuso orario.

Prestazioni del router

I risultati del test sulle prestazioni, sono riassunti nella tabella sottostante:

Versione Firmware U12H00500_V1.0.20
Descrizione Test Transfer Rate (Mbps)
[1Mbyte di dimensione dati]
Tempo di Risposta Time (msec)
[10 tentativi 100byte di dimensione dati]
Flusso dati UDP
[10S@500Kbps]
(throughput- kbps)
Flusso dati UDP
[10S@500Kbps]
(Dati perduti- %)
WAN-LAN 12.8 2 (medio)
4 (max)
500 0 %
LAN-WAN 12.5 2 (medio)
2 (max)
Nessuna informazione Nessuna informazione

[I dettagli sulla realizzazione del test sono disponibili qui.]

Come si può notare dalla tabella, le prestazioni della sezione router dell'FWAG sono all'altezza della maggior parte delle connessioni a banda larga. Non è stato possibile eseguire il test LAN-WAN con il protocollo UDP per via di un problema tra il nuovo Qcheck e il firewall SPI + NAT dell'FWAG, ma non di un problema del router.

Caratteristiche wireless

Le impostazioni wireless dell'FWAG sono state separate in due pagine: una per l'11a (Figura 8), l'altra per l'11b/g (Figura 9).

Caratteristiche wireless
Figura 8: Impostazioni wireless 11a

Caratteristiche wireless, Continua

Caratteristiche wireless, Continua
Figura 9: Impostazioni wireless per l'11b/g

Le impostazioni sono praticamente come vi aspettereste che fossero, ma includono in più la possibilità di impostare la potenza di trasmissione e disabilitare l'SSID. Non è possibile, tuttavia, spegnere i circuiti radio, un'opzione che credo dovrebbe essere obbligatoria su tutti i router wireless.

Altra menzione va fatta sull'assenza delle impostazioni di modalità per il b/g, compresa l'impossibilità di spegnere il meccanismo di miglioramento del throughput "Super-G/AG" della Atheros e di disabilitare la protezione 11b quando si usa l'802.11g.

Informazioni di base
Standard 802.11a, b, g
Certificazione Non certificato
Chipset Atheros
Potenza massima in uscita 11a: 18.8dBm / 76mW (Ch 12)
11b: 15.0dBM / 32mW
11g: 17.8dBM / 60mW
Antenna
Tipo Dipolo esterno, per ogni circuito radio
Tipo connettore N/D
Note Antenna Le antenne sono mobili ma non removibili
Caratteristiche
A meno che non sia specificato diversamente, tutti i prodotto 802.11a e 802.11b permettono di impostare il canale radio e l'ESSID.
Power Over Ethernet (POE)? No
Supporto al roaming?
Power Management Control? Nessuna informazione
Controllo a livello MAC?
Controllo della velocità di trasmissione?
Note caratteristiche generali - Si può impostare la potenza di trasmissione, il DTIM, l'intervallo per il Beacon e disabilitare il bridge con la LAN su entrambi i circuiti radio
Repeating Wireless ? No
Note Modalità Non si può effettuare il bridging o il repeating wireless
Sicurezza
WEP a 40/64 bit?
WEP a 128 bit?
Numero di chiavi WEP Quattro, per tutte le modalità
Formato chiave WEP Passphrase alfanumerica, esadecimale
Possibilità di disabilitare l'ESSID?
Negazione di ogni ESSID? No
Ulteriori note sulla Sicurezza - Si pul selezionare l'autenticazione Open System o a chiave condivisa
- Supporta anche il WEP a 152 bit
- WPA non ancora supportato
Funzioni di monitoraggio
Monitoraggio statistiche di rete?
Monitoraggio stato client?
Note monitoraggio Si può vedere una lista dei client del DHCP, ma non si può discriminare quelli wireless da quelli ethernet

Wireless - Sicurezza

L'FWAG ha un set sufficiente di impostazioni per la sicurezza. Inizio con farne notare una non facilmente ritrovabile nei prodotti concorrenti: la possibilità di abilitare il bridging su LAN wireless. Questa opzione si trova in fondo a ogni pagina di amministrazione della sezione radio (ed è selezionata di default). E' pertanto possibile mantenere separati i client wireless e quelli Ethernet, cosa molto utile per coloro che vogliono condividere la loro connessione a banda larga con chiunque all'interno di una certa portata, ma non farli accedere alla LAN cablata. (Questa opzione funziona anche al contrario, impedendo ai client cablati di raggiungere gli utenti wireless).

L'opzione Trusted PC permette di inserire una serie di indirizzi MAC che avranno accesso alla connessione con l'FWAG. Non è possibile selezionare client wireless già collegati, per facilitare la creazione della lista-filtro, così come non si può salvare o caricare una lista già preparata.

Consiglio Consiglio: Guardare le FAQ sul Wireless per saperne di più sul controllo del wireless attraverso gli indirizzi MAC.

Nel firmware mandatoci con l'FWAG, era supportata solo la codifica WEP, ma la NETGEAR mi ha spedito un firmware beta che gestisce anche il Wi-Fi Protected Access (WPA), ecco perchè compare questa voce negli screenshot della pagina di amministrazione. Ho protestato con la NETGEAR per fatto che dovevano ancora inserire il supporto al WPA, nonostante fosse già stato annunciato tempo fa. Mi hanno risposto che tutti i nuovi lotti di schede WAG511 sarebbero stati dotati di firmware con il WPA, ma l'aggiornamento non è ancora disponibile per il download sulla pagina di supporto del WAG511. L'aggiunta del WPA per l'FWAG è prevista per questo mese (Settembre 2003), ma conoscendo la NETGEAR, se questa caratteristica è davvero importante per voi (e dovrebbe esserlo), vi consiglio di tenervi stretti i soldi per lo meno finchè non sarà disponibile il download sulla pagina di supporto dell'FWAG.

Consiglio Consiglio: Per maggiori informazioni sul WPA, consultate la nostra guida sul Wi-Fi Protected Access (WPA).

Tornando al WEP, è possibile inserire chiavi a 64 o 128 bit per l'11b/g e chiavi a 64, 128 o 152 bit per l'11a, direttamente in formato esadecimale. Entrambi supportano comunque una passphrase alfanumerica. Utilizzando una passphrase, verranno generati quattro differenti chiavi da 64 bit o quattro chiavi identiche da 128 bit e non funzioneranno per nulla se avrete impostato la modalità 11a con WEP a 152 bit. Le chiavi non potranno essere salvate su file, cosa che avrebbe reso l'accesso da parte dei client, un po' più semplice.

Sono supportati sia la modalità WPA (con RADIUS) che WPA-PSK, ma solo con la codifica TKIP obbligatoria. Sembra che la NETGEAR abbia deciso di non permettere l'accesso alla più sicura codifica AES, utilizzata dai prodotti basati su Broadcom, anche se i chipset della Atheros comprendono un coprocessore hardware integrato per la codifica AES.

Monitoraggio wireless e caratteristiche ulteriori

C'è una funzione per monitorare il client wireless, ma non è così semplice trovarla. In Maintenance > Attached Devices, si può vedere la lista client del DHCP dell'FWAG, ma non si riesce a capire quali sono wireless e quali no, dato che mostra solamente nome, IP e indirizzi MAC. Oltretutto, se utilizzate degli indirizzi statici per i vostri client wireless, questi non saranno presenti nella lista.

In Maintenance > Router Status si può vedere l'SSID, il BSSIC (indirizzo MAC), il canale e lo stato del WEP della connessione radio. E' inoltre presente un tasto Show Statistics che apre una finestra pop up dove si possono vedere le statistiche totali di trasmissione e ricezione per la WAN, la LAN e per entrambe le modalità radio. Meglio di niente, ma non certo quanto ci saremmo aspettati di vedere.

Infine, dovete sapere che la possibilità di fare da bridge wireless non è inclusa nell'FWAG. Se avete bisogno di questa funzione, vi conviene orientarvi sul WBRG54 della Buffalo Tech, che rappresenta l'unico router 11g con questa opzione.

Prestazioni wireless - Analisi del throughput considerando il campo d'azione

802.11g  i risultati del test per l'analisi delle prestazioni wireless sono presentati nella tabella sottostante:

Condizioni del Test:

- Codifica WEP: DISABILITATA
- Transfer rate: Automatico
- Power Save: Disabilitato
- Partner del Test: scheda NETGEAR WAG511 CardBus

Versioni Firmware/Driver:

AP f/w: U12H00500_V1.0.20
Driver client Wireless: WinXP 2.4.1.30
F/w client wireless: Nessuna informazione

Descrizione Test Potenza del segnale (%) Transfer Rate (Mbps)
[1Mbyte di dimensione dati]
Tempo di Risposta (msec)
[10 tentativi 100byte di dimensione dati]
Flusso dati UDP
[10S@500Kbps]
(Throughput- kbps)
Flusso dati UDP
[10S@500Kbps]
(Dati persi- %)
Da Client a AP - Condizione 1 92 19.4 [senza WEP]
19.1 [con WEP]
1 (medio)
3 (max)
499 0 %
Da Client a AP - Condizione 2 78 19.7 1 (medio)
2 (max)
499 0 %
Da Client a AP - Condizione 3 52 18.4 1 (medio)
2 (max)
499 0 %
Da Client a AP - Condizione 4 55 18.8 1 (medio)
3 (max)
499 0 %

[I dettagli di questo test sono disponibili qui.]

Prestazioni wireless - Analisi del throughput considerando il campo d'azione, Continua

802.11a  i risultati del test per l'analisi delle prestazioni wireless sono presentati nella tabella sottostante:

Condizioni del Test:

- Codifica WEP: DISABILITATA
- Transfer rate: Automatico
- Power Save: Disabilitato
- Partner del Test: scheda NETGEAR WAG511 CardBus

Versioni Firmware/Driver:

AP f/w: U12H00500_V1.0.20 beta
Driver client Wireless: WinXP 2.4.1.30
F/w client wireless: Nessuna informazione

Descrizione Test Potenza del segnale (%) Transfer Rate (Mbps)
[1Mbyte di dimensione dati]
Tempo di Risposta (msec)
[10 tentativi 100byte di dimensione dati]
Flusso dati UDP
[10S@500Kbps]
(Throughput- kbps)
Flusso dati UDP
[10S@500Kbps]
(Dati persi- %)
Da Client a AP - Condizione 1 100 19.7 [senza WEP]
No Info [con WEP]
1 (medio)
3 (max)
499 0 %
Da Client a AP - Condizione 2 80 22.4 1 (medio)
2 (max)
499 0 %
Da Client a AP - Condizione 3 38 18.7 1 (medio)
1 (max)
499 0 %
Da Client a AP - Condizione 4 35 14.6 1 (medio)
3 (max)
499 0 %

[I dettagli di questo test sono disponibili qui.]

Nota Nota: I test sono stati eseguiti con una scheda client NETGEAR WAG511 Cardbus su un portatile Dell Inspiron 4100 con WinXP Home, se non diversamente indicato

Dato che l'FWAG è il primo prodotto basato su tecnologia Atheros che ho provato, ho preferito fare un ciclo completo di test. C'è diversa carne al fuoco, quindi cominciamo.

Analisi del throughput considerando la distanza

Ho eseguito un test a quattro passaggi, usando il Chariot della IXIA, per operazioni in modalità 11a, 11a Turbo e 11g. La Figura 10 mostra i risultati dell'11g.

Analisi del throughput considerando la distanza
Figura 10: Il test del throughput con l'11g, eseguito con quattro condizioni diverse - FWAG114

Per la comparazione, di seguito vi proponiamo il risultato presente nella recensione del Linksys WRT55AG, basato su schemi Broadcom / Atheros.

Analisi del throughput considerando la distanza
Figura 11: Il test del throughput con l'11g, eseguito con quattro condizioni diverse - WRT55AG

Non c'è storia. D'accordo, il WRT55AG è stato testato con una bozza di firmware 11g, ma anche confrontando i risultati del fratello WRT54G, l'FWAG ha una velocità complessiva maggiore, anche se ha accusato una leggera perdita nel test in cui si usava la condizione migliore.

Analisi del throughput considerando la distanza, Continua

Spostandoci all'analisi delle prestazioni con l'11a, compariamo ancora l'FWAG (Figura 12) con il WRT55AG (Figura 13).

Analisi del throughput considerando la distanza, Continua
Figura 12: Il test del throughput con l'11a, eseguito con quattro condizioni diverse - FWAG114

Analisi del throughput considerando la distanza, Continua
Figure 13: Il test del throughput con l'11a, eseguito con quattro condizioni diverse - WRT55AG

Sebbene ci siano notevoli somiglianze nelle prestazioni con 11a, l'FWAG usa un chipset Atheros per il reparto radio più recente, che sembra conferirgli una spanna di vantaggio rispetto al WRT55AG, in condizioni di basso segnale.

La novità più apprezzabile, comunque, è il risultato delle prestazioni con l'11a Turbo dell'FWAG, mostrato in Figura 14.

Analisi del throughput considerando la distanza, Continua
Figura 13: Il test del throughput con l'11a Turbo, eseguito con quattro condizioni diverse - FWAG114

Non c'è modo di confrontarlo con il WRT55AG, dato che quest'ultimo non ha la possibilità di lavorare in modalità 11a Turbo. Questo grafico mostra chiaramente come la tecnologia 802.11a sviluppata dalla Atheros possa raggiungere alti throughput in test realizzati all'interno e velocità massime superiori anche all'802.11g (con o senza la tecnologia "packet bursting")

Prestazioni wireless - Sicurezza

Nonostante la perdita di throughput con il WEP abilitato dovrebbe essere un ricordo del passato (dato che tutte le nuove generazioni di chipset wireless hanno un coprocessore hardware per la codifica), continuo a testare la velocità con il WEP perchè riscontro ancora perdite di prestazioni! La Figura 14 mostra un grafico composto che compara la situazione 1 (caso migliore), nessuna codifica attivata, con le modalità WEP 128 bit e WPA-PSK.

Prestazioni wireless - Sicurezza
Figura 14:Comparazione del throughput per le varie modalità di sicurezza dell'11g

Anche se difficile da ammettere, sembra proprio che ci sia una riduzione del 5-7% nella velocità media con il WEP o il WPA-PSK / TKIP abilitato, per entrambe le modalità 11b/g. Ho condotto lo stesso test con l'11a Turbo (non mostrato) e ho ottenuto risultati simili. Questa leggera perdita è tuttavia un piccolo prezzo da pagare per avere il WPA (quando la NETGEAR lo implementerà).

La vera buona notizia, comunque, è che quando la NETGEAR mi ha mandato l'anteprima del driver WPA per la scheda WAG511, ho trovato anche un'utility client più estesa. Ci sono notevoli aggiunte, come il supporto per l'EAP-TLS e l'EAP-PEAP, l'802.1x e l'autenticazione Cisco-LEAP oltre al WPA e al WPA-PSK. Guardate le Figure 15 e 16 per gli screenshot.

Prestazioni wireless - Sicurezza
Figura 15: L'utility client del WAG511

Prestazioni wireless - Sicurezza
Figura 16: Opzioni di sicurezza del client WAG511

Prestazioni - Compatibilità dell'11g

Dato che è il mio primo test con un prodotto basato su tecnologia Atheros, ho voluto verificare se l'FWAG poteva dialogare senza problemi con altri chipset 11g. I risultati sono mostrati nelle Figure 17 - 19:

Prestazioni - Interoperabilità dell'11g
Figura 17: Condizione 1 Throughput con 11g - Belkin F5D7010 (Broadcom)

Prestazioni - Interoperabilità dell'11g
Figura 18: Condizione 1 Throughput con 11g - NETGEAR WG511 (Intersil PRISM GT)

Prestazioni - Interoperabilità dell'11g
Figura 19: Condizione 1 Throughput con 11g - USR5410 (TI TNETW1130)

I risultati con i chipset di Intersil e TI sono stati buoni, ma quelli con la scheda Belkin che utilizza schemi Broadcom, non hanno soddisfatto per nulla. Ho lanciato lo stesso test con un Linksys WPC54G e ho ottenuto gli stessi scarsi risultati. Sia Atheros che Broadcom hanno dichiarato che non hanno rilevato simili problemi durante i primi test di compatibilità, ma che saranno risolti. La NETGEAR, tuttavia, non è stata in grado di confermare l'esistenza del problema.

Prestazioni Wireless - modalità mista

Il mio ultimo pacchetto di test si è occupato della gestione simultanea di traffico 802.11b e 11g. Sempre usando il Chariot, ho impostato un test usando due coppie di client. La coppia di riferimento è stata dotata di WinXP Home su un portatile Dell con la scheda WAG511 Cardbus di NETGEAR e un client Ethernet con Win98SE. La seconda coppia usava WinXP Home su un portatile Compaq Presario 1650 equipaggiato con diverse schede 802.11b e differenti client Ethernet con Win98SE. Ho testato le seguenti schede:

  • Linksys WPC11 v3 (Intersil PRISM III)
  • NETGEAR WAB501 (Atheros 5001X ) [forzata a lavorare nella modalità 11b]
  • ORiNOCO Gold (Agere Systems)
  • D-Link DWL-650+ (TI ACX100)

In ciascun test, ho iniziato con la scheda 11g, poi ho fatto subentrare quella con l'802.11b. Entrambe hanno girato contemporaneamente per un po', finchè ho fermato prima la scheda 11g, lasciando che la 11b terminasse. L'AP è stato impostato con i parametri di default in tutti i test. Le Figure 20-23 mostrano i risultati.

Prestazioni Wireless  - modalità mista
Figura 20: Test in modalità mista - WAG511 e Linksys WPC11 v3

Prestazioni Wireless  - modalità mista
Figura 21: Test in modalità mista - WAG511 e NETGEAR WAB501 (11b)

Prestazioni Wireless - modalità mista, Continua

Prestazioni Wireless  - modalità mista, Continua
Figura 22: Test con modalità mista - WAG511 e ORiNOCO Gold

Prestazioni Wireless  - modalità mista, Continua
Figura 23: Test con modalità mista - WAG511 e D-Link DWL-650+

Come mi aspettavo, le due schede basate su chipseet Atheros hanno garantito la miglior cooperazione, suddividendosi ottimamente la banda. La scheda ORiNOCO (con il vecchio chipset 11b) ha sortito il peggior risultato a livello di throughput con 11g, con grossi problemi quando le due schede erano attive. Ma la scheda da non usare con l'FWAG è la WPC11 v3 di Linksys, basata sul chipset PRISM III di Intersil. Come mostra la Figura 18, la sua velocità media si attesta attorno ai 3Mbps.

Test intensivo

Dato che ci sono due circuiti radio e visti i risultati sul throughput precedenti, dovrei riuscire ad avere, nella miglior situazione, una velocità di 29Mbps dall'11a in modalità Turbo, più 19Mbps dall'11g, per un totale di 48Mbps complessivi, giusto? Date un'occhiata alla Figura 24 per vedere cosa succede realmente quando entrambi i circuiti radio sono portati al massimo.

Test intensivo
Figura 24: Test con banda piena

Questo test è stato condotto facendo lavorare il WAG511 in modalità 11g per primo, poi inserito il WAB501 come 11a normale. Dopo un po' di tempo in cui entrambi hanno funzionato contemporaneamente, il WAB501 ha concluso da solo il suo test. Visto che sono stati usati quattro computer diversi, i colli di bottiglia potevano essere rappresentati solo dall'FWAG, unico elemento in comune.

Come potete vedere, quando è entrato il WAB501, entrambe le schede si sono attestate su una velocità media di 15Mbps, per un throughput complessivo di 30Mbps (quasi il 40% in meno dei 48Mbps calcolati in base ai test individuali). Non sono sicuro se questa lacuna possa essere colmata con un aggiornamento del firmware o del processore. Ad ogni modo, rimango molto scettico anche di fronte ai prodotti che pretendono di raggiungere i 200Mbps grazie a nuove tecnologie (e mi piacerebbe che qualcuno li provasse con un AP a doppio circuito radio o un router che supporti sia l'11a Turbo che uno di quei meccanismi per potenziare la velocità).

Conclusioni

L'FWAG mi ha un po' sorpreso, dato che volevo proprio vedere un nuovo prodotto della Atheros con prestazioni 11g impareggiabili, capaci di dar filo da torcere alla Broadcom. Quando ho condotto i miei test iniziali, tuttavia, le pessime prestazioni con prodotti Broadcom, la mancanza del WPA e la disponibilità del "Super-G" solo da ottobre, mi hanno dato una grossa delusione.

Quando ho testato il throughput in base alla distanza, il mio atteggiamento è cambiato. Alla fine ho constatato delle prestazioni veloci del router e un decoroso tunnelling con IPsec a 2Mbps, che mi hanno confortato.

L'FWAG114 non è certo un prodotto perfetto e la telenovela del supporto al WPA da parte della NETGEAR è stata una cosa davvero deludente. Tuttavia, se volete avere una WLAN davvero veloce, non vi resta che acquistare un FWAG114 e un WAG511 da mettere nel portatile e godervi lo spettacolo.

Riepilogo della recensione
Produttore NETGEAR
Modello FWAG114
Riassunto Il primo router wireless con chipset Atheros, dual-band a tre modalità, 11a,b e g e con 2 endpoint con tunnel VPN IPsec.
Pro - Ottime prestazioni 11a
- Circuiti radio b/g e a separati
- Ottima velocità dell'11g anche a distanza
Contro - Non funziona granchè bene con client Broadcom
- Antenne non removibili
- Repeating e bridging wireless non supportati
- WPA non supportato
Prezzo: 285$

L'articolo è apparso su SmallNetBuilder.
Copyright© Tim Higgins 2003. Tutti i diritti riservati.

scopri altri contenuti su

ARTICOLI CORRELATI