Introduzione
Ho aspettato a lungo per poter mettere le mani su un AP/router
802.11g con schemi Atheros e alla fine la NETGEAR ha appagato la mia curiosità,
lanciando l'FWAG114. Sono sempre rimasto ben impressionato dalle prestazioni
delle schede client WAB501 802.11a/b e WAG511 802.11a/b/g di NETGEAR e ho voluto
provare a vedere se hanno fatto un buon lavoro anche con questo access point.
.
Caratteristiche principali
L' FWAG si rivolge al settore delle imprese, pertanto si presenta
con il classico solido rivestimento di metallo blu, anzichè la plastica
della linea "Platinum" usata per i prodotti di rete destinati al ai
consumatori. Le dimensioni sono piuttosto compatte (è alto quanto un
libro di 200 pagine con copertina rigida) ed è predisposto per l'ancoraggio
a muro.
Tutti gli indicatori, situati sulla parte frontale, sono luminosi
e ben visibili anche di profilo. Sono presenti i led Link/Activity e
100Mbps per le quattro porte 10/100 e per la connessione
10/100 Ethernet WAN. Ce ne sono altri separati per l'802.11a e per l'802.11b/g,
Activity, Power e Test.
Le quattro porte 10/100, quella 10/100
WAN e il connettore per l'alimentazione, si trovano
dietro, insieme allo switch per il reset. Da notare che tutte
le porte LAN sono auto MDI/MDI-X, in modo che possano riconoscere
automaticamente la modalità di funzionamento, anche se si decide di espandere
il numero di porte con hub o switch.
Caratteristiche
Principali |
Universal Power Supply? |
No |
Server
stampante? |
No |
Note
server stampante |
N/D |
Server
per accesso remoto? |
No |
Supporto
UPnP? |
No |
Note
UPnP |
N/D |
Note
ulteriori |
Nessuna
informazione |
Informazioni
sezione LAN |
Numero
di porte |
4 |
Velocità |
10/100 |
Funzionalità
Switch? |
Sì |
Uplink? |
Sì |
Porta
HPNA? |
No |
Access
Point Wireless? |
Sì |
Note
sulle porte LAN |
Sono
tutte auto MDI / MDI-X |
Dettagli interni
La Figura 1 mostra come entrambe le
sezioni radio siano collegate con dei cavi alle antenne esterne, in modo da
poter supportare il funzionamento in modalità
a diversità.
Figura 1: l'FWAG114 all'interno
Il motivo dell'inconsueta forma piatta di queste antenne non
removibili è spiegato dalla foto in Figura 2 del circuito
stampato presente in entrambe le guaine di plastica.
Figura 2: dettaglio dell'antenna
Nonostante l'uso della tecnologia Atheros per separare i circuiti
802.11a e 802.11b/g, la Figura 3 mostra come i compiti di elaborazione
siano assolti dal processore
per reti wireless BCM4702, di Broadcom. La rete Ethernet e la funzione
di switch sono gestiti dal BCM5325 di Broadcom (switch/PHY per 5 porte
e una porta WAN), mentre per la porta WAN è stato usato un Altima
AC101.
Figura 3: la scheda madre dell'FWAG114
dopo aver tolto i circuiti radio.
Impostazioni
Anche se l'FWAG è basato su un processore completamente
diverso, la sua interfaccia utente è molto simile a quella dei suoi fratelli,
l'FR114P [recensione]
e l'FM114P [recensione].
Accedendo alla pagina di default del router (192.168.0.1) per
la prima volta, vi troverete davanti a un Setup Wizard usato solitamente su
questi prodotti. Questo identificherà automaticamente il tipo di connessione
e vi proporrà le corrette opzioni per la configurazione del collegamento
a Internet.
Se siete abituati a fare tutto da soli, potete anche impostare
la connessione WAN manualmente. Tutti i tipi principali sono supportati, oltre
alla connessione via cavo BigPond e al PPTP. L'uso di IP statici è consentito
con il PPTP ma non con il PPPoE.
Nella fase di avvio, l'FWAG ricerca automaticamente
un server NTP (potrete specificare un indirizzo particolare oppure
utilizzare quello preimpostato) per stabilire l'ora esatta quando connessi a
Internet. L'unica cosa da fare sarà impostare la zona e l'eventuale ora
legale.
Complessivamente, l'interfaccia si è rivelata buona,
con schermate rapide anche se molte modifiche hanno richiesto 30 secondi per
il riavvio.
Il Remote Management può essere abilitato (disabilitato
di default), si può impostare la porta da usare e restringere l'accesso
a un singolo IP o a un range di indirizzi, a scelta. La cosa che mi è
piaciuta maggiormente è stato che le sessioni remote sono state automaticamente
reindirizzate a una connessione sicura (https), dopo essersi loggati.
L'FWAG non consente login multipli contemporaneamente come amministratore
e, nel caso qualcuno tenti di accedere come secondo amministratore, riceve l'indirizzo
IP e il nome del computer di quello correntemente loggato. La NETGEAR ha saggiamente
messo a disposizione sia una funzione di logout, sia la possibilità di
cambiare il tempo di inattività, prima di una disconnessione automatica,
rispetto ai 5 minuti impostati di default.
Informazioni
sezione WAN |
Interfaccia
WAN |
Una
porta WAN 10/100 |
Supporto
WAN in Dialup |
No |
Note
ulteriori WAN |
Nessuna
informazione |
Autenticazione |
PPPoE? |
Sì |
Impostazione
nome Host? |
Sì |
Impostazione
nome Dominio? |
Sì |
Impostazione
indirizzo MAC per WAN? |
Sì |
Note
Autenticazione |
-
Supporta il PPTP e l'autenticazione BigPond
- Supporta IP statici per PPTP ma non per PPPoE |
LAN DHCP |
Numero
massimo di client |
253 |
Possibilità
di disabilitare il DHCP? |
Sì |
Note
Server DHCP |
-
Si può impostare inizio e fine del range di indirizzi
- Si può destinare indirizzi IP a particolari indirizzi MAC |
Amministrazione |
SO:
Windows? |
N/D |
SO:
Mac? |
N/D |
SO:
Linux? |
N/D |
Note
SO |
Non
dipendente dal Sistema Operativo |
Modalità
di amministrazione |
HTTP |
Note
Amministrazione |
Tutte
le funzioni via browser |
Modalità
di upgrade |
HTTP |
Note
Upgrade |
Aggiornamento
via browser del firmware tramite file. |
Firewall
L'FWAG ha ha copiato le sezioni (per il controllo delle porte
usate) Rules e Services del suo modello con il firewall, dai
suoi fratelli. La Figura 4 mostra la schermata Rules
che riassume le regole associate alle connessioni in entrata e uscita.
Figura 4: Regole per il firewall
L'opzione per impostare le regole per i servizi in
uscita (nota anche come Filtro per le porte), è utilizzabile
per specificare un range di porte (e quindi un servizio) a cui è consentito
l'accesso o meno da una serie di indirizzi IP di LAN o WAN (Internet). In
Figura 5 è possibile vedere una regola che impedisce l'accesso
agli stream RealAudio da parte di tutti gli utenti della LAN.
Figura 5: Regole in entrata e
in uscita
L'opzione per impostare le regole per i servizi
in entrata (anche nota come Forwarding delle porte), usa gli stessi
criteri di configurazione della precedente ma è indicata per permettere
l'accesso ai server della vostra LAN che stanno dietro al firewall dell'FWAG.
Da notare che il "loopback" è consentito.
Consiglio: Date un'occhiata a questa
pagina del nostro NTK Hardware Router, per una spiegazione del termine
"loopback".
Firewall, Continua
L'FWAG dispone di preimpostazioni per gli usi comuni, come
HTTP (Web), FTP e altre, che possono essere scelte da un menu a tendina. Se
c'è bisogno di utilizzare parametri diversi, si può usufruire
della schermata Custom Services, mostrata in Figura
6.
Figura 6: Custom Service
Le regole hanno altre opzioni interessanti. Sia quelle in entrata
che quelle in uscita possono essere programmate, come mostrato in Figura
7. E' tuttavia concesso solo un programma.
Figura 7: Programmazione delle
regole
Potrete inoltre controllare il registro di accesso
di ciascuna regola, con parametri di esclusione e corrispondenza,
così come dare una precedenza alle regole in entrambe le direzioni. Non
c'è tuttavia la possibilità di impostare una porta trigger
per i servizi in entrata. Le mappature dei servizi sono solo statiche.
Contrariamente a quanto scritto nel manuale, quindi, l'UPnP non è supportato
(non ancora, almeno).
Si può controllare più finemente gli accessi
(rispetto al bloccarli tutti tramite le impostazioni dei servizi in uscita)
a siti e newsgroup visitati dagli utrenti, tramite l'opzione Block Sites.
Questa, però, non è programmabile, ma si può
impostare un indirizzo IP "fidato" a cui dare un accesso non filtrato
a Internet.
Caratteristiche
Firewall |
Tipo
di Firewall |
SPI |
Server
Exposed / "DMZ" |
Sì |
Multi-NAT? |
No |
Note
al Multi-NAT |
N/D |
Controllo
degli accessi (Filtraggio Porte)? |
Sì |
Note
Controllo Accessi |
-
Si può bloccare o consentire accessi in uscita, selezionando gruppi
di indirizzi IP, per servizi preimpostati o personalizzati.
- Tutte le regole possono essere programmate o meno |
Forwarding
di una singola porta? |
Sì |
Forwarding
di un range di porte? |
Sì |
Mappatura
di una porta trigger? |
No |
Note
per il Forwarding |
-
Si può inibire o consentire accessi in entrata a server della LAN,
per servizi preimpostati o personalizzati
- Tutte le regole possono essere controllate o meno
- Si può restringere gli accessi in entrata a un range di indirizzi
IP |
Controllo
dei Contenuti |
Controllo
dei contenuti? |
Sì |
Lista
di controllo esterna? |
No |
Controllo
contenuti "a tempo"? |
Sì |
Note
Controllo contenuti |
-
BLocca unicamente parole chiave contenute nell' URL (32, con 32 caratteri)
- Si può impostare un indirizzo IP di fiducia che non è soggetto
alle restrizioni |
VPN
Come il suo fratello 802.11b FVM318,
anche l'FWAG possiede un endpoint IPsec integrato e supporta una VPN tramite
PPTP, l'IPsec e L2TP. Diversamente dall'FVM318, però, permette un tunnellling
che origina e termina unicamente sull'interfaccia WAN. Per
la protezione dei client LAN con il wireless, bisognerà usare il WEP
o il WPA.
L'endpoint IPsec ha i suoi lati positivi e negativi. E' molto
più configurabile di quello che abbiamo trovato nel popolare router BEFVP41
[recensito
qui] e nel BEFSX41 [recensito
qui] della Linksys e supporta i certificati digitali (e una lista di
revoca dei certificati) per l'autenticazione IKE, oltre a chiavi precondivise.
La NETGEAR inoltre ha messo a disposizione un paio di dettagliati esempi di
configurazione per il VPN dell'FWAG114.
Il principale aspetto negativo è il sistema di login
e connessione. I messaggi di log del VPN sono globalmente piuttosto ardui da
decifrare, a meno che non siate degli esperti. Li ho trovati di più difficile
interpretazione di quelli generati dal BEFSX41 della Linksys. Dato che non c'è
alcun tasto "Connetti", la NETGEAR suggerisce di provare a pingare
il client dall'altro capo del tunnel, per mettere in moto il meccanismo. Una
volta che il tunnel è stabilito, non c'è modo di terminare la
connessione (benchè questo sia più un problema per la fase di
test che per le applicazioni reali).
Dato che ho di recente spiegato come utilizzare il client IPsec
contenuto in WinXP [qui
per i dettagli], ho provato a farlo funzionare con l'FWAG. Alla fine ce l'ho
fatta, ma unicamente facendo partire il tunnel dall'FWAG e comunque dopo un
reboot del router. Oltretutto, nonostante il tunnel funzionasse, ho ricevuto
un messaggio che non mi ha dato molta fiducia:
[2003-09-02 17:17:39]Something terribly wrong, trying to free alredy freed
IKE_QM_STATE block
Tuttavia, sono rimasto colpito dalla velocità
media, un 1.6Mbps di tutto rispetto dal client all'FWAG e un
2.0Mbps nella direzione opposta, paragonabile a molte velocità
di connessione a banda larga.
Consiglio: Se volete tentare la fortuna con il tunnelling tra il client
dell'XP e l'FWAG, ecco qualche impostazione di base:
FWAG114
IKE |
Direzione |
Entrambe
le direzioni |
Identità
locale richiesta |
Indirizzo
IP WAN |
Identità
remota richiesta |
Indirizzo
IP WAN remoto |
Parametri
IKE SA |
Algoritmo
di criptazione: 3DES
Algoritmo di autenticazione: MD5
Metodo di autenticazione: Chiave pre-condivisa
Gruppo Diffie-Hellman: Gruppo 2 |
FWAG114
VPN Auto |
Policy
IKE |
Possibilità
di selezionare la policy creata |
Terminale
VPN remoto |
Indirizzo
IP |
PFS IPsec |
Chiave
PFS Gruppo 2 |
Selettore
di traffico |
IP
Locale: Indirizzp Subnet
IP Remoto: Indirizzo Singolo |
Configurazione
ESP |
Abilita
codifica, 3DES
Abilita autenticazione, MD5 |
Client
XP |
Le
informazioni soprastanti bastano per le impostazioni di base.
Per entrambe le tipologie di regole:
Il filtro richiede un protocollo di sicurezza, ESP con MD5 e 3DES.
L'autenticazione è costituita da una chiave pre-condivisa.
Per una regola "in uscita":
Le impostazioni del tunnel usano l'IP WAN dell'FWAG come
indirizzo.
La lista filtro degli IP usa il "My IP address" come
sorgente e gli IP della subnet dell'FWAG come indirizzi di destinazione.
Per una regola "in entrata":
Le impostazioni del tunnel usano l'IP del client XP come indirizzo.
La lista
filtro degli IP usa il "My IP address" come sorgente e gli
IP della subnet dell'FWAG come indirizzi di destinazione.
|
Client
VPN |
PPTP? |
Sì |
IPsec? |
Sì |
L2TP? |
Sì |
Note
Client VPN |
Non
è chiaro quante sessioni siano supportate e se possano passare attraverso
altri gateway VPN remoti |
Server
VPN |
PPTP? |
Sì |
IPsec? |
Nessuna
informazione |
L2TP? |
Nessuna
informazione |
Note
Server VPN |
Nessuna
informazione |
Altre
opzioni VPN |
Endpoint? |
Sì |
Coprocessore
Hardware? |
No |
Note
Endpoint |
2
tunnel IPsec con chiave manuale e IKE SA con chiave pre-condivisa,
firme RSA/DSA,
supporto certificato PKI con X.509 v.3,
impostazioni key life e IKE lifetime,
assoluta riservatezza nel forwarding,
Modalità Main, Aggressive, Quick , codifica DES, 3DES, MD5, SHA-1
hashing |
Registrazione degli eventi e altre caratteristiche
Con l'opzione Logging si può monitorare i seguenti
eventi:
- Accesso all'amministrazione del router (inizio, durata, etc.)
- Connessioni all'interfaccia del router
- Attacchi DoS conosciuti e Port Scan
- Tentativi di accedere a siti bloccati
- Tutti i siti web e i newsgroup visitati
- Tutte le attività in locale
- L'intero traffico in entrata e in uscita
Si può vedere, cancellare, aggiornare e spedire
all'istante il report a un indirizzo mail prefissato oppure programmare
la spedizione della mail in base a ora, giorno, settimana o quando il report
ha raggiunto il limite di dimensione. Si può utilizzare l'invio immediato
di avvisi di allarme via mail, in risposta a tre tipi diversi
di eventi. E' supportato l'utilizzo di un demone syslog e si può specificare
un indirizzo IP o fare in modo che l'FWAG diffonda le informazioni del syslog
a tutti i client della LAN.
Consiglio: Guardate questa
pagina per i link ad alcune applicazioni per il syslog.
Infine, l'FWAG possiede alcune altre caratteristiche che non
avevo indicato prima, come:
- potete settare l'MTU (Maximum Transmission Unit), utile
per far funzionare al meglio alcune connessioni basate sul protocollo PPPoE
- potete vedere e modificare fino a 8 percorsi statici (utile
nel caso di reti con più di una sottorete)
- sono supportati i protocolli RIP1, RIP 2B e RIP 2M, per il routing
dinamico
- si può impostare il router in modo da farlo rispondere a tentativi
di ping dalla WAN (questa funzionalità è disabilitata
di default, cosa consigliabile per aumentare la sicurezza)
- è supportato il DNS dinamico per l'utilizzo con
dyndns.org
Caratteristiche
del Routing |
Routing
statico? |
Sì |
Note
Routing statico |
Si
possono definire 8 percorsi statici |
Routing
dinamico? |
Sì |
Note
Routing dinamico |
-
Si può controllare o disabilitare il RIP Can control RIP direction
or disable
- Can select RIP-1, 2B, or 2M protocols |
Logging |
Logging? |
Sì |
Supporto
al Syslog? |
Sì |
Logging
SNMP? |
No |
Allarmi
via Email? |
Sì |
Note
Logging |
-
Registra diverse tipologie di eventi, compreso il traffico web
- Può mandare via mail i log in base a una programmazione o quando
raggiungono una dimensione massima |
Altre
Opzioni |
Orologio? |
Sì |
Antivirus? |
No |
Note
Antivirus |
N/D |
Altre
Note |
-
Si può impostare l'MTU
- Possiede uno switch per il reset hardware
- Nella confezione è compreso l'antivirus Freedom della zer0knowledge
- Imposta automaticamente l'ora esatta, collegandosi a un server NTP. L'utente
può stabilire il fuso orario. |
Prestazioni del router
I risultati del test sulle prestazioni, sono riassunti nella
tabella sottostante:
Versione
Firmware |
U12H00500_V1.0.20
|
Descrizione
Test |
Transfer Rate (Mbps)
[1Mbyte di dimensione dati] |
Tempo
di Risposta Time (msec)
[10 tentativi 100byte di dimensione dati] |
Flusso
dati UDP
[10S@500Kbps]
(throughput- kbps) |
Flusso
dati UDP
[10S@500Kbps]
(Dati perduti- %) |
WAN-LAN |
12.8 |
2
(medio)
4 (max) |
500 |
0 % |
LAN-WAN |
12.5 |
2
(medio)
2 (max) |
Nessuna
informazione |
Nessuna
informazione |
[I dettagli sulla realizzazione
del test sono disponibili qui.]
Come si può notare dalla tabella, le prestazioni della
sezione router dell'FWAG sono all'altezza della maggior parte delle connessioni
a banda larga. Non è stato possibile eseguire il test LAN-WAN con il
protocollo UDP per via di un problema tra il nuovo Qcheck
e il firewall SPI + NAT dell'FWAG, ma non di un problema del router.
Caratteristiche wireless
Le impostazioni wireless dell'FWAG sono state separate in due
pagine: una per l'11a (Figura 8), l'altra per l'11b/g (Figura
9).
Figura 8: Impostazioni wireless
11a
Caratteristiche wireless, Continua
Figura 9: Impostazioni wireless
per l'11b/g
Le impostazioni sono praticamente come vi aspettereste che
fossero, ma includono in più la possibilità di impostare la potenza
di trasmissione e disabilitare l'SSID. Non è possibile, tuttavia, spegnere
i circuiti radio, un'opzione che credo dovrebbe essere obbligatoria su tutti
i router wireless.
Altra menzione va fatta sull'assenza delle impostazioni di
modalità per il b/g, compresa l'impossibilità di spegnere il meccanismo
di miglioramento del throughput "Super-G/AG" della Atheros e di disabilitare
la protezione 11b quando si usa l'802.11g.
Informazioni
di base |
Standard |
802.11a, b, g |
Certificazione |
Non
certificato |
Chipset |
Atheros |
Potenza
massima in uscita |
11a: 18.8dBm / 76mW (Ch 12) 11b: 15.0dBM / 32mW 11g: 17.8dBM / 60mW |
Antenna |
Tipo |
Dipolo
esterno, per ogni circuito radio |
Tipo
connettore |
N/D |
Note
Antenna |
Le
antenne sono mobili ma non removibili |
Caratteristiche |
A
meno che non sia specificato diversamente, tutti i prodotto 802.11a e 802.11b
permettono di impostare il canale radio e l'ESSID. |
Power Over Ethernet (POE)? |
No |
Supporto
al roaming? |
Sì |
Power Management Control? |
Nessuna
informazione |
Controllo
a livello MAC? |
Sì |
Controllo
della velocità di trasmissione? |
Sì |
Note
caratteristiche generali |
-
Si può impostare la potenza di trasmissione, il DTIM, l'intervallo
per il Beacon e disabilitare il bridge con la LAN su entrambi i circuiti
radio |
Repeating
Wireless ? |
No |
Note
Modalità |
Non
si può effettuare il bridging o il repeating wireless |
Sicurezza |
WEP
a 40/64 bit? |
Sì |
WEP
a 128 bit? |
Sì |
Numero
di chiavi WEP |
Quattro,
per tutte le modalità |
Formato
chiave WEP |
Passphrase
alfanumerica, esadecimale |
Possibilità
di disabilitare l'ESSID? |
Sì |
Negazione
di ogni ESSID? |
No |
Ulteriori
note sulla Sicurezza |
-
Si pul selezionare l'autenticazione Open System o a chiave condivisa
- Supporta anche il WEP a 152 bit
- WPA non ancora supportato |
Funzioni
di monitoraggio |
Monitoraggio
statistiche di rete? |
Sì |
Monitoraggio
stato client? |
Sì |
Note
monitoraggio |
Si
può vedere una lista dei client del DHCP, ma non si può discriminare
quelli wireless da quelli ethernet |
Wireless - Sicurezza
L'FWAG ha un set sufficiente di impostazioni per la sicurezza.
Inizio con farne notare una non facilmente ritrovabile nei prodotti concorrenti:
la possibilità di abilitare il bridging su LAN wireless.
Questa opzione si trova in fondo a ogni pagina di amministrazione della sezione
radio (ed è selezionata di default). E' pertanto possibile mantenere
separati i client wireless e quelli Ethernet, cosa molto utile per coloro che
vogliono condividere la loro connessione a banda larga con chiunque all'interno
di una certa portata, ma non farli accedere alla LAN cablata. (Questa opzione
funziona anche al contrario, impedendo ai client cablati di raggiungere gli
utenti wireless).
L'opzione Trusted PC permette di inserire
una serie di indirizzi MAC che avranno accesso alla connessione con l'FWAG.
Non è possibile selezionare client wireless già collegati, per
facilitare la creazione della lista-filtro, così come non si può
salvare o caricare una lista già preparata.
Consiglio: Guardare le FAQ
sul Wireless per saperne di più sul controllo del wireless attraverso
gli indirizzi MAC.
Nel firmware mandatoci con l'FWAG, era supportata solo la codifica
WEP, ma la NETGEAR mi ha spedito un firmware beta che gestisce
anche il Wi-Fi Protected Access (WPA), ecco perchè compare
questa voce negli screenshot della pagina di amministrazione. Ho protestato
con la NETGEAR per fatto che dovevano ancora inserire il supporto al WPA, nonostante
fosse già stato annunciato tempo fa. Mi hanno risposto che tutti i nuovi
lotti di schede WAG511 sarebbero stati dotati di firmware con il WPA, ma l'aggiornamento
non è ancora disponibile per il download sulla pagina
di supporto del WAG511. L'aggiunta del WPA per l'FWAG è prevista
per questo mese (Settembre 2003), ma conoscendo la NETGEAR, se questa caratteristica
è davvero importante per voi (e dovrebbe esserlo), vi consiglio di tenervi
stretti i soldi per lo meno finchè non sarà disponibile il download
sulla
pagina di supporto dell'FWAG.
Consiglio: Per maggiori informazioni sul WPA, consultate la nostra
guida sul Wi-Fi Protected Access (WPA).
Tornando al WEP, è possibile inserire chiavi a 64
o 128 bit per l'11b/g e chiavi a 64, 128
o 152 bit per l'11a, direttamente in formato esadecimale.
Entrambi supportano comunque una passphrase alfanumerica. Utilizzando
una passphrase, verranno generati quattro differenti chiavi
da 64 bit o quattro chiavi identiche da 128 bit e non funzioneranno
per nulla se avrete impostato la modalità 11a con WEP a 152 bit. Le chiavi
non potranno essere salvate su file, cosa che avrebbe reso l'accesso da parte
dei client, un po' più semplice.
Sono supportati sia la modalità WPA
(con RADIUS) che WPA-PSK, ma solo con la codifica TKIP obbligatoria.
Sembra che la NETGEAR abbia deciso di non permettere l'accesso alla più
sicura codifica AES, utilizzata dai prodotti basati su Broadcom, anche se i
chipset della Atheros comprendono un coprocessore hardware integrato per la
codifica AES.
Monitoraggio wireless e caratteristiche ulteriori
C'è una funzione per monitorare il client wireless,
ma non è così semplice trovarla. In Maintenance > Attached
Devices, si può vedere la lista client del DHCP dell'FWAG, ma
non si riesce a capire quali sono wireless e quali no, dato che mostra solamente
nome, IP e indirizzi MAC. Oltretutto, se utilizzate degli indirizzi statici
per i vostri client wireless, questi non saranno presenti nella lista.
In Maintenance > Router Status si può
vedere l'SSID, il BSSIC (indirizzo MAC), il canale e lo stato del WEP della
connessione radio. E' inoltre presente un tasto Show Statistics
che apre una finestra pop up dove si possono vedere le statistiche totali di
trasmissione e ricezione per la WAN, la LAN e per entrambe le modalità
radio. Meglio di niente, ma non certo quanto ci saremmo aspettati di vedere.
Infine, dovete sapere che la possibilità di fare da
bridge wireless non è inclusa nell'FWAG.
Se avete bisogno di questa funzione, vi conviene orientarvi sul
WBRG54 della Buffalo Tech, che rappresenta l'unico router 11g con questa
opzione.
Prestazioni wireless - Analisi del
throughput considerando il campo d'azione
802.11g i risultati del test per l'analisi delle prestazioni
wireless sono presentati nella tabella sottostante:
Condizioni
del Test:
- Codifica WEP: DISABILITATA
- Transfer rate: Automatico
- Power Save: Disabilitato
- Partner del Test: scheda NETGEAR WAG511 CardBus |
Versioni
Firmware/Driver:
AP f/w: U12H00500_V1.0.20
Driver client Wireless: WinXP 2.4.1.30
F/w client wireless: Nessuna informazione |
Descrizione Test |
Potenza del segnale (%) |
Transfer Rate (Mbps) [1Mbyte di dimensione dati] |
Tempo di Risposta (msec) [10 tentativi 100byte di dimensione dati] |
Flusso dati UDP [10S@500Kbps] (Throughput- kbps) |
Flusso dati UDP [10S@500Kbps] (Dati persi- %) |
Da
Client a AP - Condizione 1 |
92 |
19.4
[senza WEP]
19.1 [con WEP] |
1
(medio)
3 (max) |
499 |
0 % |
Da
Client a AP - Condizione 2 |
78 |
19.7 |
1
(medio)
2 (max) |
499 |
0 % |
Da
Client a AP - Condizione 3 |
52 |
18.4 |
1
(medio)
2 (max) |
499 |
0 % |
Da
Client a AP - Condizione 4 |
55 |
18.8 |
1
(medio)
3 (max) |
499 |
0 % |
[I dettagli di questo test sono
disponibili qui.]
Prestazioni wireless - Analisi del
throughput considerando il campo d'azione, Continua
802.11a i risultati del test per l'analisi delle prestazioni
wireless sono presentati nella tabella sottostante:
Condizioni
del Test:
- Codifica WEP: DISABILITATA
- Transfer rate: Automatico
- Power Save: Disabilitato
- Partner del Test: scheda NETGEAR WAG511 CardBus |
Versioni
Firmware/Driver:
AP f/w: U12H00500_V1.0.20 beta
Driver client Wireless: WinXP 2.4.1.30
F/w client wireless: Nessuna informazione |
Descrizione Test |
Potenza del segnale (%) |
Transfer Rate (Mbps) [1Mbyte di dimensione dati] |
Tempo di Risposta (msec) [10 tentativi 100byte di dimensione dati] |
Flusso dati UDP [10S@500Kbps] (Throughput- kbps) |
Flusso dati UDP [10S@500Kbps] (Dati persi- %) |
Da
Client a AP - Condizione 1 |
100 |
19.7
[senza WEP]
No Info [con WEP] |
1
(medio)
3 (max) |
499 |
0 % |
Da
Client a AP - Condizione 2 |
80 |
22.4 |
1
(medio)
2 (max) |
499 |
0 % |
Da
Client a AP - Condizione 3 |
38 |
18.7 |
1
(medio)
1 (max) |
499 |
0 % |
Da
Client a AP - Condizione 4 |
35 |
14.6 |
1
(medio)
3 (max) |
499 |
0 % |
[I dettagli di questo test sono
disponibili qui.]
Nota: I test sono stati eseguiti con una scheda client NETGEAR
WAG511 Cardbus su un portatile Dell Inspiron 4100 con WinXP Home, se
non diversamente indicato
Dato che l'FWAG è il primo prodotto basato su tecnologia
Atheros che ho provato, ho preferito fare un ciclo completo di test. C'è
diversa carne al fuoco, quindi cominciamo.
Analisi del throughput considerando la distanza
Ho eseguito un test a quattro passaggi, usando il
Chariot della IXIA, per operazioni in modalità 11a, 11a Turbo
e 11g. La Figura 10 mostra i risultati dell'11g.
Figura 10: Il test del throughput
con l'11g, eseguito con quattro condizioni diverse - FWAG114
Per la comparazione, di seguito vi proponiamo il risultato
presente nella recensione
del Linksys WRT55AG, basato su schemi Broadcom / Atheros.
Figura 11: Il test del throughput
con l'11g, eseguito con quattro condizioni diverse - WRT55AG
Non c'è storia. D'accordo, il WRT55AG è stato
testato con una bozza di firmware 11g, ma anche confrontando i risultati del
fratello WRT54G,
l'FWAG ha una velocità complessiva maggiore, anche se ha accusato una
leggera perdita nel test in cui si usava la condizione migliore.
Analisi del throughput considerando la distanza, Continua
Spostandoci all'analisi delle prestazioni con l'11a, compariamo
ancora l'FWAG (Figura 12) con il WRT55AG (Figura 13).
Figura 12: Il test del throughput
con l'11a, eseguito con quattro condizioni diverse - FWAG114
Figure 13: Il test del throughput
con l'11a, eseguito con quattro condizioni diverse - WRT55AG
Sebbene ci siano notevoli somiglianze nelle prestazioni con
11a, l'FWAG usa un chipset Atheros per il reparto radio più recente,
che sembra conferirgli una spanna di vantaggio rispetto al WRT55AG, in condizioni
di basso segnale.
La novità più apprezzabile, comunque, è
il risultato delle prestazioni con l'11a Turbo dell'FWAG, mostrato in Figura
14.
Figura 13: Il test del throughput
con l'11a Turbo, eseguito con quattro condizioni diverse - FWAG114
Non c'è modo di confrontarlo con il WRT55AG, dato che
quest'ultimo non ha la possibilità di lavorare in modalità 11a
Turbo. Questo grafico mostra chiaramente come la tecnologia 802.11a sviluppata
dalla Atheros possa raggiungere alti throughput in test realizzati all'interno
e velocità massime superiori anche all'802.11g (con o senza la tecnologia
"packet bursting")
Prestazioni wireless - Sicurezza
Nonostante la perdita di throughput con il WEP abilitato dovrebbe
essere un ricordo del passato (dato che tutte le nuove generazioni di chipset
wireless hanno un coprocessore hardware per la codifica), continuo a testare
la velocità con il WEP perchè riscontro ancora perdite di prestazioni!
La Figura 14 mostra un grafico composto che compara la situazione
1 (caso migliore), nessuna codifica attivata, con le modalità WEP 128
bit e WPA-PSK.
Figura 14:Comparazione del throughput
per le varie modalità di sicurezza dell'11g
Anche se difficile da ammettere, sembra proprio che ci sia
una riduzione del 5-7% nella velocità media con il WEP
o il WPA-PSK / TKIP abilitato, per entrambe le modalità 11b/g. Ho condotto
lo stesso test con l'11a Turbo (non mostrato) e ho ottenuto risultati simili.
Questa leggera perdita è tuttavia un piccolo prezzo da pagare per avere
il WPA (quando la NETGEAR lo implementerà).
La vera buona notizia, comunque, è
che quando la NETGEAR mi ha mandato l'anteprima del driver WPA per la scheda
WAG511, ho trovato anche un'utility client più estesa. Ci sono notevoli
aggiunte, come il supporto per l'EAP-TLS e l'EAP-PEAP,
l'802.1x e l'autenticazione Cisco-LEAP oltre
al WPA e al WPA-PSK. Guardate le Figure
15 e 16 per gli screenshot.
Figura 15: L'utility client del
WAG511
Figura 16: Opzioni di sicurezza
del client WAG511
Prestazioni - Compatibilità dell'11g
Dato che è il mio primo test con un prodotto basato
su tecnologia Atheros, ho voluto verificare se l'FWAG poteva dialogare senza
problemi con altri chipset 11g. I risultati sono mostrati nelle Figure
17 - 19:
Figura 17: Condizione 1 Throughput
con 11g - Belkin F5D7010 (Broadcom)
Figura 18: Condizione 1 Throughput
con 11g - NETGEAR WG511 (Intersil PRISM GT)
Figura 19: Condizione 1 Throughput
con 11g - USR5410 (TI TNETW1130)
I risultati con i chipset di Intersil e TI sono stati buoni,
ma quelli con la scheda Belkin che utilizza schemi Broadcom, non hanno
soddisfatto per nulla. Ho lanciato lo stesso test con un Linksys WPC54G
e ho ottenuto gli stessi scarsi risultati. Sia Atheros che Broadcom hanno dichiarato
che non hanno rilevato simili problemi durante i primi test di compatibilità,
ma che saranno risolti. La NETGEAR, tuttavia, non è stata in grado di
confermare l'esistenza del problema.
Prestazioni Wireless - modalità mista
Il mio ultimo pacchetto di test si è occupato della
gestione simultanea di traffico 802.11b e 11g. Sempre usando
il Chariot, ho impostato un test usando due coppie di client. La coppia di riferimento
è stata dotata di WinXP Home su un portatile Dell con la scheda
WAG511 Cardbus di NETGEAR e un client Ethernet con Win98SE. La seconda
coppia usava WinXP Home su un portatile Compaq Presario 1650 equipaggiato con
diverse schede 802.11b e differenti client
Ethernet con Win98SE. Ho testato le seguenti schede:
- Linksys WPC11 v3 (Intersil PRISM III)
- NETGEAR WAB501 (Atheros 5001X ) [forzata a lavorare nella modalità
11b]
- ORiNOCO Gold (Agere Systems)
- D-Link DWL-650+ (TI ACX100)
In ciascun test, ho iniziato con la scheda 11g, poi ho fatto
subentrare quella con l'802.11b. Entrambe hanno girato contemporaneamente per
un po', finchè ho fermato prima la scheda 11g, lasciando che la 11b terminasse.
L'AP è stato impostato con i parametri di default in tutti i test. Le
Figure 20-23 mostrano i risultati.
Figura 20: Test in modalità
mista - WAG511 e Linksys WPC11 v3
Figura 21: Test in modalità
mista - WAG511 e NETGEAR WAB501 (11b)
Prestazioni Wireless - modalità mista, Continua
Figura 22: Test con modalità
mista - WAG511 e ORiNOCO Gold
Figura 23: Test con modalità
mista - WAG511 e D-Link DWL-650+
Come mi aspettavo, le due schede basate su chipseet Atheros
hanno garantito la miglior cooperazione, suddividendosi ottimamente la banda.
La scheda ORiNOCO (con il vecchio chipset 11b) ha sortito il peggior risultato
a livello di throughput con 11g, con grossi problemi quando le due schede erano
attive. Ma la scheda da non usare con l'FWAG è la WPC11 v3 di
Linksys, basata sul chipset PRISM III di Intersil. Come mostra la Figura
18, la sua velocità media si attesta attorno ai 3Mbps.
Test intensivo
Dato che ci sono due circuiti radio e visti i risultati sul
throughput precedenti, dovrei riuscire ad avere, nella miglior situazione, una
velocità di 29Mbps dall'11a in modalità Turbo,
più 19Mbps dall'11g, per un totale di 48Mbps
complessivi, giusto? Date un'occhiata alla Figura 24 per vedere
cosa succede realmente quando entrambi i circuiti radio sono portati al massimo.
Figura 24: Test con banda piena
Questo test è stato condotto facendo lavorare il WAG511
in modalità 11g per primo, poi inserito il WAB501 come 11a normale. Dopo
un po' di tempo in cui entrambi hanno funzionato contemporaneamente, il WAB501
ha concluso da solo il suo test. Visto che sono stati usati quattro computer
diversi, i colli di bottiglia potevano essere rappresentati solo dall'FWAG,
unico elemento in comune.
Come potete vedere, quando è entrato il WAB501, entrambe
le schede si sono attestate su una velocità media di 15Mbps, per un throughput
complessivo di 30Mbps (quasi il 40% in meno dei 48Mbps calcolati
in base ai test individuali). Non sono sicuro se questa lacuna possa essere
colmata con un aggiornamento del firmware o del processore. Ad ogni modo, rimango
molto scettico anche di fronte ai prodotti che pretendono di raggiungere i 200Mbps
grazie a nuove tecnologie (e mi piacerebbe che qualcuno li
provasse con un AP a doppio circuito radio o un router che supporti sia l'11a
Turbo che uno di quei meccanismi per potenziare la velocità).
Conclusioni
L'FWAG mi ha un po' sorpreso, dato che volevo proprio vedere
un nuovo prodotto della Atheros con prestazioni 11g impareggiabili, capaci di
dar filo da torcere alla Broadcom. Quando ho condotto i miei test iniziali,
tuttavia, le pessime prestazioni con prodotti Broadcom, la mancanza del WPA
e la disponibilità del "Super-G" solo da ottobre, mi hanno
dato una grossa delusione.
Quando ho testato il throughput in base alla distanza, il mio
atteggiamento è cambiato. Alla fine ho constatato delle prestazioni veloci
del router e un decoroso tunnelling con IPsec a 2Mbps, che mi hanno confortato.
L'FWAG114 non è certo un prodotto perfetto e la telenovela
del supporto al WPA da parte della NETGEAR è stata una cosa davvero deludente.
Tuttavia, se volete avere una WLAN davvero veloce, non vi resta che acquistare
un FWAG114 e un WAG511 da mettere nel portatile e godervi lo spettacolo.
Riepilogo
della recensione |
Produttore |
NETGEAR |
Modello |
FWAG114 |
Riassunto |
Il
primo router wireless con chipset Atheros, dual-band a tre modalità,
11a,b e g e con 2 endpoint con tunnel VPN IPsec. |
Pro |
-
Ottime prestazioni 11a
- Circuiti radio b/g e a separati
- Ottima velocità dell'11g anche a distanza |
Contro |
-
Non funziona granchè bene con client Broadcom
- Antenne non removibili
- Repeating e bridging wireless non supportati
- WPA non supportato |
Prezzo: |
285$ |
L'articolo è apparso su SmallNetBuilder.
Copyright©
Tim Higgins 2003. Tutti i diritti riservati.