Wi-Fi точка доступа Zyxel NWA1123-AC-PRO поставляется в простой и, даже можно сказать, неприметной коробке из плотного картона. Задачи привлекать ярким и красочным оформлением тут нет — покупатель такого устройства и так прекрасно знает, что ему нужно. Внутри упаковки находятся лоток с самой точкой доступа и ещё одна коробка с документаций, кабелями, крепежом и PoE-инжектором. Инжектор просто необходим, так как никакого иного способа питания устройства не предусмотрено.
Корпус устройства представляет собой восьмигранную «таблетку» со средним диаметром около 198 мм и высотой 35 мм, сделанную из матового пластика белого цвета. Весит она почти 450 г. На верхней панели есть семь светодиодов. Крайний правый нужен для визуального поиска места установки точки доступа и активируется через веб-интерфейс на время до одного часа. Мигает он нестерпимо ярким белым светом, так что не заметить его и ТД вместе с ним будет очень непросто. Остальные индикаторы неяркие, светятся зелёным или оранжевым цветом. Они указывают на наличие питания и состояние устройства, «ориентацию» радиомодулей, на состояние проводных подключений, а также на режим работы: автономно или через облако. Крышка Панели Доступа К Потолку
PoE-инжектор, он же блок питания, на удивление крупный (135 × 57× 34), но не такой массивный, как может показаться — весит он 215 г. По углам у него есть проушины для крепления к стене, а вот шурупов для него положили. Инжектор соответствует стандарту IEEE 802.3at и выдаёт 0,5 А при напряжении 48 В. Вместе с ним поставляется толстый кабель питания длиной 1,7 м с вилками типа C13 и E/F. Есть в комплекте и обычный патч-корд длиной более метра, а заодно и стандартный набор документации и гарантийный талон.
Точка доступа Zyxel NWA1123-AC-PRO не требует для своей работы отдельного контроллера, так что часть функций перенесена в её прошивку. Кроме того, с этой моделью знакома утилита Zyxel ONE Network (ZON), позволяющая упростить первоначальную настройку и регулярное обновление прошивки. Но мы всё же рассмотрим более привычную работу с помощью веб-интерфейса. Мобильной версии у него нет, но на современном смартфоне с большим экраном он работает вполне сносно. Для начала займёмся автономным режимом работы.
Мастер первичной настройки Смотреть все изображения (10) Смотреть все изображения (10) При первом входе (admin:1234) запускается привычный мастер быстрой настройки, а после завершения работы с ним взгляду пользователя предстаёт главное окно веб-интерфейса, куда выводятся различные настраиваемые виджеты, сообщающие о состоянии различных подсистем и служб. Поддержки русского языка в веб-интерфейсе нет, но это не проблема, так как всё устроено довольно просто и логично. Прямо в мастере можно настроить до восьми профилей работы точки доступа, а по умолчанию он, конечно, предлагает настроить два профиля для обоих диапазонов. Фактически же в системе используется объектный подход, а мастер позволяет просто и быстро собрать необходимые объекты — или профили, если угодно — воедино. Вот с них-то и надо начать.
Первый и самый основной тип — это настройки радиочасти. Базовые настройки привычны: стандарт Wi-Fi, канал, ширина канала, защитный интервал, пределы чувствительности, мультикаст, запрет подключения устройств старых стандартов Wi-Fi и так далее. Но есть и те, которые в домашних устройствах встречаются нечасто, но для нагруженной сети Wi-Fi важны. Речь идёт о системе динамического выбора канала. Здесь предлагается сразу несколько вариантов. Во-первых, можно самостоятельно задать набор каналов, из которых точка сама будет выбирать подходящий. Во-вторых, можно просто полностью положиться на автоматику. Для диапазона 2,4 ГГц доступны две стратегии выбора канала: трёх- и четырёхканальная. В первом случае выбор будет между 1-м, 5-м и 11-м каналом. Для второго случая ситуация разнится от региона к региону: для США (правила FCC) будут доступны каналы 1/4/7/11, а для Европы (ETSI) 1/5/9/13.
Во-первых, отдельно можно создать списки MAC-адресов. Для чего? Либо для изоляции выбранных клиентов от всех остальных, тогда как у домашних ТД обычно есть только опция изоляции вообще всех клиентов друг от друга сразу (впрочем, полная изоляция беспроводных клиентов в устройстве всё равно есть, хотя и настраивается в другом месте). Либо для запрета или разрешения доступа клиентов к самой точке, то есть для фильтрации по белым и чёрным спискам. Опять же в домашних устройствах обычно нет фильтра по обоим спискам сразу. Настройки шифрования также представляют собой отдельные объекты. NWA1123-AC-PRO поддерживает работу WEP/WPA2, открытый доступ, а также вариант WPA2-MIX. Кроме того, можно подключить сразу два RADIUS-сервера: основной и запасной. Всего доступно создание до девяти профилей безопасности.
Профили безопасности напрямую связаны и с профилями SSID, то есть их тоже девять. Все профили-объекты просто вкладываются друг в друга — как в матрёшке. Для SSID можно выбрать указанные выше списки MAC-адресов, задать минимальную и максимальную скорость передачи данных для беспроводных клиентов, выбрать один из профилей WMM, настроить расписание работы: вкл./выкл., день недели, период с точностью до получаса. Отдельно можно включить энергосбережение и ARP-прокси (в "бете"). Для каждой SSID возможна привязка к VLAN-подсети.
Наконец, всё это сводится воедино уже в настройках радиомодулей. Там выбирается профиль радио, задаются до восьми SSID для каждого модуля и выбирается его выходная мощность (0-30 дБм). При наличии нескольких ТД их можно объединить с помощью WDS, выбрав режим корневой точки или повторителя. Профили WDS задаются отдельно. По умолчанию режим работы обоих модулей — это обычная точка доступа, причём с одним и тем же именем сети.
Из других интересных особенностей NWA1123-AC-PRO, которые, впрочем, рассчитаны именно на работу нескольких ТД в связке, стоит отметить следующие две. Во-первых, это так называемая балансировка, которая предполагает работу в нескольких режимах. Первые два понятны и очевидны — отлучение клиентов от сети или задержка ответов для них либо по уровню активности (низкий, средний, высокий), либо просто при превышении максимального числа клиентов, которое задаётся вручную (от 1 до 127). Но есть и особый режим Smart Classroom для учебных заведений, с описанием которого можно ознакомиться на примере других контроллеров ТД Zyxel. Во-вторых, это система детектирования мошеннических (rogue) точек доступа в той же локальной сети, что и NWA1123-AC-PRO. Критерии отсева просты: слабое шифрование, скрытые SSID или наличие ключевых слов в SSID соседей.
Доступно и ручное составление списков MAC-адресов дружественных и не очень точек доступа, а также их последующий экспорт/импорт. Для безопасности также предусмотрены отдельные аккаунты администраторов с ограниченными правами — ну очень ограниченными, строго говоря, так как везде видишь, что параметры доступны только в режиме чтения. Также в настройках есть управление сертификатами, их экспорт и импорт. Доступно и принудительное включение HTTPS/FTPS. Да, пользователи SMB-продуктов Zyxel найдут здесь привычное управление файлами конфигурации, а также прошивки с автозагрузкой последней корректной конфигурации в случае сбоя, расширенные средства самодиагностики, поддержку SNMP, детальное логирование, автоотправку ежедневных подробных отчётов о работе устройства, возможность написания собственных shell-скриптов, а также CLI-доступ по SSH/Telnet, где можно намного более тонко настраивать систему.
Собственного DHCP-сервера точка доступа не предлагает, так что совсем уж автономную беспроводную сеть с её помощью не сделать. Как уже упоминалось выше, есть поддержка VLAN. К тому же ТД имеет базовую поддержку IPv6: SLAAC/DHCPv6. В целом же функциональность NWA1123-AC-PRO, особенно с учётом цены, можно оценить как очень хорошую. Это довольно удачное SOHO-решение. Из явных недостатков в глаза пока бросается только один — отсутствие справочных материалов конкретно по данной модели, хотя в базе знаний в разделах контроллеров точек доступа можно найти информацию о сходных настройках и функциях.
Nebula — это облачная система управления устройствами Zyxel, то есть фактически единый удалённый контроллер не только для точек доступа, а вообще для целого ряда продуктов. Бесплатной версии более чем достаточно для нужд SOHO- и даже, пожалуй, отчасти SMB-пользователей. Основные возможности представлены в этом документе, но лучше воспользоваться демо-доступом в панели управления Nebula. У Nebula, как и у любой облачной системы, есть очевидные плюсы и минусы. С одной стороны, у вас всегда будет самое свежее ПО, включая прошивку, и единое централизованное управление. С другой же, вы фактически становитесь зависимыми от доступа в Интернет и всё управление инфраструктурой «живёт» не у вас под рукой, а где-то в чужих дата-центрах. Что важнее, удобство или безопасность, каждый решает сам — Zyxel не навязывает Nebula и обновления ПО своих изделий не забрасывает. По крайней мере пока. Учтите, что для применения некоторых настроек в Nebula требуется время, иногда придётся ждать несколько минут.
Привязка устройств к облаку производится по MAC-адресу и серийному номеру, так что добавить новое устройство в систему можно ещё до того, как оно доберётся до места назначения. Альтернативный вариант — с помощью мобильного приложения Nebula Mobile для Android и iOS, где можно просканировать QR-код, отображаемый в веб-интерфейсе устройства, а заодно и сделать фото физического местоположения точки. Вообще, в Nebula есть интересная функция не просто привязки положения устройств на карте (Google Maps), но и создания поэтажных планов помещений. Также Nebula умеет схематично показывать топологию сети, что тоже удобно. В целом, используется иерархический подход. На верхнем уровне создаётся «организация», у которой может быть несколько «локаций» (офисов, например). А уже в них обычно наверху стоит шлюз/роутер, затем идут коммутаторы, точки доступа и так далее, к которым уже и подключаются клиенты.
Базовые настройки локации в Nebula Смотреть все изображения (8) Смотреть все изображения (8) Что происходит конкретно с NWA1123-AC-PRO после подключения к облаку? Меняется SSID и пароль для неё, включается изоляция клиентов, также меняется пароль на доступ к локальному веб-интерфейсу, в котором фактически нет настроек, но есть просмотр краткой информации о состоянии точки. Единственное, что можно поменять, это настройки IPv4-адреса, прокси-сервера и VLAN. Доступ по IPv6 в этом режиме не работает. А вообще, доступные в автономном режиме настройки хоть и пересекаются по большей части с теми, что доступны в облаке, но всё же не полностью их повторяют. Например, для сети на 2,4 ГГц лимит мощности снизился с 30 до 20 дБм, зато в 5 ГГц стали доступны каналы вплоть до 165, которых раньше не было. В целом же Nebula предоставляет гораздо больше информации и статистики в удобном виде, предлагает удобные системы отчёта и управления. Домашним пользователям это не особо нужно, а вот в компаниях такие возможности наверняка оценят.
Базовые настройки Nebula Смотреть все изображения (5) Смотреть все изображения (5) Из других полезных функций стоит отметить намного более гибкую настройку расписания работы SSID, а также дополнительные возможности аутентификации. В дополнение к обычным паролям и внешним RADIUS-серверам в Nebula есть собственная подсистема облачных аккаунтов (Cloud authentication) на уровне организации. Доступ может быть организован по MAC-адресу и/или по логину, адресу почты и паролю. Эта же система может быть использована для captive-портала, в том числе с самостоятельной регистрацией пользователей, что актуально для хотспотов. Можно даже настроить поведение точки доступа на случай недоступности облака. Для входа также можно использовать всё тот же RADIUS-сервер или Facebook✴, причём для последнего варианта есть опция привязки приложения для сбора более подробных сведений о пользователе. Кроме того, есть опция обращения к внешним сервисам по заранее заданному URL.
Настройки SSID Смотреть все изображения (9) Смотреть все изображения (9) Правда, тут стоит отметить, что в текущем виде этот портал не всегда подойдёт для создания публичных точек доступа Wi-Fi в РФ, так как сам по себе он не поддерживает идентификацию по номеру телефона или иным разрешённым способом. Зато у него есть много других полезных опций. Можно заранее внести список IP-подсетей и URL, которые будут доступны без логина, или разрешить неавторизовавшимся пользователям без проблем обращаться к HTTPS-сайтам. Доступна опция запрета множественного входа с разных устройств под одним и тем же логином.
Для оценки скорости работы Wi-Fi точка доступа использовалась в автономном режиме и с раздельными SSID для обоих диапазонов. Вела она себя, пожалуй, излишне корректно, хотя в вину это ей ставить нельзя. О чём речь? Да всё о том же — по стандарту вообще-то не стоит давать пользователям принудительно выставлять ширину канала, устройство должно само подстраиваться под окружение. Так что в 2,4 ГГц, где эфир уже откровенно забит, больше 20 МГц всё равно не светит, да и всяких нестандартных техник вроде 256-QAM точка тоже не предлагает. В 5 ГГц ситуация тоже не самая лучшая. Не очень понятно, почему список доступных каналов различается в автономном и облачном режимах.
Впрочем, это не так важно, потому что на практике адаптер — это всё ещё компьютер с бессменным ASUS PCE-AC88 в паре с i7-3770 и 16 Гбайт RAM, в прямой видимости на расстоянии 4 м — до сих пор не получил обновление драйвера, позволяющие ему работать в верхнем диапазоне, хотя в РФ они давно разрешены. Ровно то же поведение следует ожидать и от других клиентов. Так что пришлось использовать нижние каналы, которые тоже постепенно заполняются соседскими точками доступа. Однако в целом показатели скоростей вполне ожидаемые и нормальные. В обычном режиме, с единой SSID также никаких проблем замечено не было, хотя большая часть клиентов всё же представляла собой устройства умного дома да смартфоны. Да, это не типичная офисная ситуация, но что уж есть.
Панель Доступа К Софитам Zyxel называет NWA1123-AC-PRO гибридной точкой доступа — в том смысле, что она может работать и в полностью автономном режиме, не требуя специализированного WLAN-контроллера, и через облачный контроллер Nebula. Но эту точку доступа можно назвать гибридной и по другой причине. За весьма умеренную цену она предлагает многое из того, что доступно только корпоративным моделям, не требуя вместе с тем от пользователя знаний таких продуктов. Для любителей «игровых» и просто сверхмощных роутеров это может прозвучать странно, но данная модель как раз хороша тем, что она блюдет стандарты Wi-Fi, не предлагая различного рода полупроприетарных ускорителей (а порой и «ускорителей»). Она выполняет одну-единственную функцию, зато делает это очень хорошо.