Что это такое?
На сайте вендора читаем довольно скромное определение: «Уличная точка доступа Zyxel WAX655E». В данном случае маркетологи Zyxel, прямо скажем, скромничают. Это мощный агрегат, раздающий сигнал по WiFi 6, способный гарантированно покрыть площадь радиусом более 100 метров.
WAX655E имеет 6 антенн, поддерживает большое число функций и протоколов, несколько сценариев управления.
Помимо всего прочего, устройство заключено в герметичный корпус, питание, и сигнал подаются по одному кабелю через PoE. Точка доступа имеет повышенную защиту промышленного класса (IP67) от атмосферных воздействий. таких как дождь, снег, низкие или высокие температуры, а также дополнительный уровень защиты точки доступа от скачков напряжения, вызванных молнией.
Возможностей и полезной информации достаточно много, поэтому разделим наш обзор на две части:
В первой части мы расскажем о самом устройстве, его возможностях, подключении и начальной настройке, а также о работе в локальном режиме управления (Standalone mode).
Вторую часть посвятим работе в облачной среде управления Nebula, а также расскажем об оставшихся нюансах, которые не вошли в первую часть.
Как выглядит WAX655E?
Внешний вид WAX655E производит необычное впечатление. Дизайн выглядит так, будто устройство сошло с экрана космического блокбастера.
Рисунок 1. Точка доступа WAX655E в сборе
Разделение антенн по частотному диапазону достаточно логично. Сверху размещаются 4 антенны для передачи с частотой 5Гц. Снизу — две антенны 2,4Гц.
Также внизу расположены изолированные разъемы витой пары 8P8C (или как часто называют — RJ-45) и подключение к сети 2,5 Гбит/с с PoE, а также отверстия для подключения консольного кабеля и кнопки сброса к заводским настройкам. Все прикрыто симпатичными заглушками по избежание попадания влаги, пыли или других нежелательных «примесей».
Рисунок 2. Расположение антенн 5Гц WAX655E
Рисунок 3. Вид снизу. Места для подключения разъемов прикрыты заглушками
Возле левой нижней антенны находится технологическое отверстие, прикрытое заглушкой. Это для специальных нужд, для пользователя это малоинтересная деталь.
Примечание. Мультигигабитный интерфейс 2,5 Гбит/с может подключаться по сетевому кабелю категории 5E, это упрощает прокладку и коммутацию.
На задней части мы видим наклейку с указанием модели и служебной информацией, а также болт для заземления и шпильки с резьбой для крепления точки доступа.
Рисунок 4. Задняя часть точки доступа WAX655E
А что внутри?
Внутри находится очень аккуратная электронная плата и проводники для подключения антенных разъемов. При вскрытии надо проявить некоторую деликатность, чтобы случайно не оборвать один из этих проводников. В целом монтаж не супер-компактный, что повышает ремонтопригодность.
Рисунок 5. Внутреннее устройство WAX655E
Как включить?
Питание устройства производится через PoE мощностью 30Вт. Поддерживаются следующие стандарты:
IEEE 802.3af;
IEEE 802.3at;
IEEE 802.3bt.
При отсутствии коммутатора с PoE можно использовать PoE инжекторы. У Zyxel есть соответствующий модель инжектора, можно заказать сразу в комплекте.
Совет. Если точка доступа размещается снаружи, то настоятельно рекомендуется использовать витую пару для наружных работ. Помимо требований к наличию экрана и механической надежности, изоляция витой пары должна быть рассчитана на работу при низких и/или высоких температурах, а также защищать проводники от атмосферной влаги.
Рисунок 6.PoE инжектор от Zyxel
Примечание. Для случаев, когда точка не нагружена 24/7, предусмотрен режим энергосбережения U-APSD.
Запуск устройства не представляет особой сложности: откручиваем занглушку снизу и подключаем кабель PoE.
Для изоляции витой пары и сохранения герметичности предусмотрена специальная изолирующая втулка.
Выглядит подключенное устройство весьма симпатично. Снизу сквозь полупрозрачную заглушку виден светодиод.
Какие функции реализованы?
Как уже было сказано выше, точка доступа многофункциональная, поэтому и функций много.
Начнем с самого главного — с поддержки WiFi. Поддерживаются стандарты IEEE 802.11ax/ac/n/g/b/a, проще говоря — WiFi 5 и WiFi 6 по полной программе.
Скорость беспроводной сети:
для частотного диапазона 2.4 ГГц — 575 Мбит/с;
для 5 ГГц — 4800 Мбит/с.
Имеется возможность приоритетного выбора 5 ГГц. Если клиентское устройство поддерживает оба диапазона, то 5 ГГц будет выбран по умолчанию.
Имеется фильтр от помех 4G/5G сетей.
Ещё немного сухой информации:
Параметр | Информация |
---|---|
Частотный диапазон | 2.4 ГГц: 2.412 ~ 2.472 ГГц (доступные частоты и каналы могут отличаться в зависимости от страны) 5 ГГц: 5.15 ~ 5.35 ГГц; 5.470 ~ 5.850 ГГц (доступные частоты и каналы могут отличаться в зависимости от страны) |
Ширина частотного диапазона | 20-, 40-, 80- и 160-МГц |
Максимальная мощность передатчика | 2.4 ГГц / 5 ГГц: 24 / 28 дБм (максимальная мощность передатчика для Беларуси, России и Украины не превышает 100 мВт (20 дБм)) |
Антенна | |
Тип антенны | Внешние MU-MIMO 4×4 + 2×2, 6 разъемов N-type (антенны не входят в комплект и приобретаются отдельно) |
Минимальная чувствительность приемника | -101 дБм |
Технология MU-MIMO дает возможность установить до 3 одновременных соединений по 3 потока данных одновременно.
Ещё несколько интересных функций, связанных с WLAN:
WDS/Mesh;
DCS (автовыбор канала);
балансировка нагрузки.
Встроенная технология Smart Mesh позволяет не только устанавливать беспроводные соединения между отдельными точками, но и связывать между собой по WiFi разделенные сети, например, рядом стоящие здания.
WAX655E поддерживает бесшовный роуминг 802.11r/k/v, что важно при покрытии большой площади, например, если используется нескольких точек с беспроводным подключением.
Из сетевых функций стоит отметить поддержку IPv6, VLAN, а также WMM для увеличения скорости работы мультимедийных программ.
Функции управления доступом: L2 изоляция, фильтрация по MAC.
Для поддержки шифрования реализован стандартный набор современных функций
WPA2-PSK и WPA3-PSK , также уже устаревший WPA и даже антикварный WEP.
Аутентификация поддерживается через WPA, WPA2-Enterprise, WPA3-Enterprise
EAP, имеется возможность использования стандарта IEEE 802.1X и сервера RADIUS.
Поддерживается кэширование PMK и пре-аутентификация.
Благодаря такому широкому диапазону возможностей WAX655E элегантно впишется в уже существующую инфраструктуру.
Как настроить и как управлять?
Поддержка технологии Nebula Flex Pro позволяет взаимодействовать с точкой доступа через центр управления Nebula.
Также возможно управлять при помощи аппаратного контроллера, или использовать её в автономном режиме (Standalone Mode). Расширенная подписка Nebula Pro Pack на 1 год включена сразу при покупке устройства. (Это дает возможность использовать расширенный набор функций, но базового набора, поставляемого бесплатно, будет достаточно в большинстве случаев).
Для автономного управления Standalone Mode доступны два основных режима работы: веб-интерфейс и командная строка (CLI).
Для автоматизации и мониторинга доступен интерфейс SNMP. Поддерживается как версия SNMPv1-2c, так и SNMPv3 (с аутентификацией).
Есть поддержка со стороны фирменной утилиты Zyxel для настройки оборудования — ZON.
Примечание. Zyxel рассматривает Nebula как основной инструмент управления из любого места, где есть выход в Интернет. Локальное управление рассматривается как поддержка специфических требований к безопасности инфраструктуры.
Как подключиться для управления?
Подключиться к точке доступа WAX655E очень просто.
По умолчанию используется либо статический адрес 192.168.1.2, либо точка получает адрес по DHCP. Узнаем так или иначе IP адрес, настраиваем компьютер или ноутбук и подключаемся к интерфейсу управления.
Если точка уже эксплуатировалась, сетевые настройки и логин/пароль могут отличаться от заданных по умолчанию. В этом случае можно выполнить сброс к заводским настройкам, нажав на миниатюрную кнопочку Reset (см. рисунок 7).
Рисунок 7. Разъемы для подключения витой пары (Uplink) и консольного кабеля, кнопка Reset, а также специальное технологическое отверстие.
Вначале будет предложено выбрать локальное управление или подключить точку доступа к Nebula. Для локального управления нажимаем на голубую стрелку Standalone mode и двигаемся дальше.
Рисунок 8. Предложение выбора между Nebula или Standalone Mode
Вот так выглядит приглашение ввести логин и пароль. Обратите внимание, что и на этом этапе также предлагается сразу перейти к Nebula. Облачный интерфейс рассмотрим позже, на данном этапе нас интересует локальное управление. Поэтому нажимаем Login и двигаемся дальше.
Рисунок 9. Ввод учетных данных для подключения в Standalone mode
Локальное управление — Standalone Mode
Первое, что встречает — Wizard, где можно выбрать страну, часовой пояс и сделать первоначальные настройки WiFi.
Рисунок 10. Первый шагWizard — выбор локальных настроек
Рисунок 11. Последний этап настройкиWizard — контроль введенных параметров и подтверждение сохранения
После завершения первоначальной настройки и повторного успешного логина снова предлагают использовать Nebula.
Рисунок 12. Первый вход в консоль веб-интерфейса Standalonemode
Рисунок 13. Dashboard
В самом интерфейсе Dashboard, отслеживается достаточно много параметров, и это удобно — можно сразу оценить состояние и перейти к нужной функции.
Кроме Dashboard слева видны 3 вкладки разделов, назначение которых можно понять по названию и символике: Monitor (вкладка со значком в виде монитора с синусоидой), далее Configuration (значок в виде «шестеренки») и Maintenance (значок в виде руки с гаечным ключом).
Что обычно интересует при настройке точки доступа? Разумеется, установки WiFi. Переходим в раздел Configuration — AP Management. Перед нами два канала: 2.4Гц и 5Гц.
Рисунок 14. Управление WiFi настройками WAX655E
Особое внимание стоит обратить на переключатель: «Radio 1 OP Mode» и «Radio 2 OP Mode».
Так как наша точка может обмениваться данными с вышестоящим уровнем сети и другими точками не только по кабелю, но и по беспроводной сети (mesh сети), можно установить:
AP Mode — режим обычной работы точки, когда используется только кабельное соединение с верхним уровнем сети;
Root AP — корневая точка способна общаться не только с другими точками, но и с конечными клиентами сети WiFI;
Repeater (повторитель) в режиме трансляции сигнала к другим точкам доступа.
После переключения в режим Root AP или Repeater появляется дополнительное меню выбора Radio 1 WDS Profile (или Radio 2 WDS Profile, в зависимости от канала), позволяющее выбрать нужный профиль для беспроводного канала.
Важное замечание. В большинстве современных устройств Zyxel для настройки применяется объектно-ориентированный подход. Для определяемых элементов, участвующих в процессе работы, вначале создаются объекты, эти объекты получают какие-то свойства и потом из них, как из кирпичиков, формируется та или иная конфигурация. Некоторые объекты уже созданы по умолчанию.
Например, для Radio 1 Profile уже создан профиль Wiz Radio_24 G, а для Radio 1 WDS Profile уже создан профиль «default». Изменить настройки профиля или создать новый можно в разделе Configuration — Object — AP Profile, или в Configuration — Object — WDS Profile соответственно.
Этот же принцип распространяется на многие аспекты настройки, например, там же в Configuration — Object — User можно создать нового пользователя.
Для Zyxel характерны две особенности: очень подробная документация (доступна в PDF на официальном сайте) и простой понятный интерфейс. Разумеется, к идеологии и стилю управления нужно привыкнуть, однако с пониманием, как и что настроить проблем не возникает.
Рисунок 15. Выбор профиля для точки доступа
Поиск вражеских точек — Rogue AP Detection
Это есть не что иное, как поиск паразитных точек доступа, которые используются злоумышленниками для перехвата ключей и других параметров идентификации со стороны клиентских устройств. Также чужие точки используются для заворачивания трафика с последующим переводом с зашифрованного соединения на незашифрованное.
Вот неполный список различных типов атак:
«классические» Man in the Middle атаки, перехват данных;
«сложные» Man in the Middle атаки — sslstrip, обход HSTS и SSL-pinning и так далее;
модификация трафика (подмена URL, содержимого);
страница доступа к роутеру/веб-панели для ввода пароля, captive портала;
поддельный RADIUS для перехвата MS-CHAPv2 хешей (многие из пользователей легко «принимают» поддельный или недоверенный сертификат);
прямые атаки на устройства в одном сегменте сети.
Иногда не особо дисциплинированные сотрудники компаний пытаются устроить себе собственный WiFi в общей бизнес-сети. Даже такие «невинные» попытки всё равно наносят вред, так как снижают общий уровень безопасности. Поэтому Rogue AP Detection пригодится во многих ситуациях.
Прежде чем начать охоту на фейковые точки доступа, необходимо определиться с параметрами, по которым будем их определять. Идея в целом проста: сформировать набор критериев для «наших» и «чужих», впоследствии разделяя эфирные устройства по этим двум группам.
Для определения «чужих» поддерживаются следующие критерии:
Weak Security (Open, WEP, WPA-PSK) — слабое шифрование или отсутствие такового;
Hidden SSID — скрытый идентификатор;
SSID Keyword — символьная фраза в SSID.
Для «своих» поддерживается формирование дружеского списка.
Есть возможность загрузки готового списка для «своих» или «чужих»:
Rogue AP List Importing/Exporting — список инородных точек доступа;
Friendly AP List Importing/Exporting — список дружественных точек.
Рисунок 16. Настройка Rogue AP Detection
Ниже мы кратко пробежимся по оставшимся разделам и подразделам
В разделе Configuration также содержатся:
Objects — подраздел настраиваемых объектов (об этом указано выше);
System — системные настройки, такие как сетевое имя устройства, адрес подключения для веб-интерфейса и SSH, настройка временной зоны и корректировки времени, другие функции;
Log & Report — как можно догадаться по названию, подраздел посвящен отчетам.
В разделе Maintenance имеется File-Manager для служебных файлов во внутренней памяти WAX655E, пункт Diagnostic для сбора служебной информации с целью отправки в службу поддержки, управление светодиодами, Reboot и Shutdown.
Заключение к первой части
Если отбросить излишнюю скромность, стоит отметить, что устройство Zyxel WAX655E получилось интересное, функциональное и многообещающее.
Приличная мощность, много параметров, варианты управления на любой вкус делают точку пригодной для работы в самых разных ситуациях
Во второй части мы познакомимся с другими методами управления и рассмотрим дополнительные возможности.
Полезные ссылки
Новостной канал в Telegram - https://t.me/zyxel_news
Телеграм-чат поддержки для специалистов - https://t.me/zyxelru
Форум для специалистов - https://community.zyxel.com/ru
Свежие новости в ВК - https://vk.com/zyxel_club
Наш YouTube – обзоры, тесты, записи вебинаров - https://www.youtube.com/zyxel_russia
Реализованные проекты - https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml
Удобный подбор сетевого оборудования - https://select.zyxel.ru/