关于无线宽带路由器还有很多值得我们学习的地方,这里我们主要介绍无线宽带路由器的细数性能变数,包括介绍安全控制有异同、WPA PSK加密等方面。在所有参测产品中,有多台定位于百兆无线产品。无线的百兆连接和快速以太网还有多大差距呢?我们抽样测试了一台无线宽带路由器内置的四口10/100Mbps交换机的性能,接在交换机上的两台笔记本的TCP吞吐量达到了90.684Mbps。
百兆无线连接好像已经拉近了和快速以太网的距离。从另一个角度来看,有线交换机端口上的用户是独占百兆带宽。而无线客户端接入AP是共享带宽。当客户端的数目增加,分给每个客户端的带宽将急剧下降。我们测试了两台笔记本之间使用迅驰以11g接入的吞吐量(即WLAN-WLAN),无线宽带路由器除了SSID和工作模式以外,其他均保持缺省参数,结果总吞吐量只有11Mbps。这也和我们前面的测试的WLAN-LAN的结果形成鲜明的对比。
细数性能变数
不同的笔记本:有的笔记本和网卡配合得不好,结果令人瞠目。我们在2米距离,配置相同的条件下更换了三台笔记本,测得吞吐量分别为:9,19,28Mbps。其中9Mbps的数值让我们很困惑,如此近的距离,没有直接障碍物的情况下网卡信号显示却只有70~80%。也许是PC Card Bus兼容性不太好吧。在实际测试中,我们颇费周折,在数台崭新的笔记本中挑选了2米距离时所有网卡显示信号都非常强(90%以上)的一台。
不同的通信方向:在LAN-LAN的测试中,我们模拟的是从有线端口服务器下载文件的拓扑。但必须说明的是,传输方向对结果有一定的影响,而且不具有一致性的规律。以D-LINK的两款参测产品为例,图3中显示DI-624+的性能不足30Mbps,但我们测试其从无线到有线进行文件传输性能可达33Mbps。DI-624恰好相反,从无线到有线方向其吞吐量在40Mbps左右。
距离Vs屏蔽物:使用迅驰或专有网卡接入,当距离拉长到40米时,通信质量发生了质变。首先在隔了两堵墙和两部电梯的客户端接入点,所有厂商的无线连接都断了,通信无法继续。但当我们绕开电梯,同样还是40米距离,又都可以上网了,此时信号强度虽然显示为弱,不过仍达到1Mbps的接入速率。考虑到用户访问Internet的带宽瓶颈在出口而不是本地,应该说在长距离场合,这些产品依然具有很好的可用性,当然,前提是无线宽带路由器与客户端之间不要有金属等令信号产生巨大衰减的屏蔽物。
安全控制有异同
由于无线信号的广播机制,用户使用它时最好采用加密机制,但加密后的性能会明显降低吗?此外,它们这些SOHO级网络产品面对DoS攻击果然不堪一击吗?我们发现,不同的加密方式对性能的影响不一样,WPA PSK加密方式对一半参测产品的性能几乎没有影响,另一半则有些下降。多数产品倒在了DoS攻击面前,D-Link DI-624+和DI-624及Buffalo WZR-RS-G54在攻击面前有顽强表现。尽管SOHO级产品面对DoS攻击的可能性不如园区网中设备那样大,但小公司的网络中有此功能自然也是有备无患。
WPA PSK加密
采用厂商无线网卡,和性能测试中的WLAN-WAN拓扑相同,不同的是采用了WPA PSK方式加密。其中有几款产品只支持TKIP方式而不支持AES,所以我们采用TKIP方式。如果和24版图4做比较,你会发现加密后的性能有些产品没有变化(如24版图5所示)。对使用TKIP加密而性能没有下降的产品,我们抽样测试了其AES加密,发现性能下降了20%以上。
经考察,D-Link DI-624+和思科Linksys WRT54GS提供了包括WPA2在内的最为充分的加密方式。特别值得一提的是,思科Linksys WRT54GS支持SecureEasySetup(SES)技术,使得无线局域网的设置和WPA的激活可以一键完成。在支持SES的环境中,用户只需要按下无线宽带路由器上的SES按钮,SES就会在设备之间建立VPN连接,并且自动设置网络的SSID(Service Set Identifier)以激活WPA安全保护。当向WLAN中添加新的支持SES技术的设备之后,重复上述步骤,新增的设备立刻就能自动完成配置并且将WPA密钥安装到所有得到接入许可的设备上。Buffalo的AOSS(AirStation一键安全系统)也很值得推荐,用AOSS,用户可以快速组建起安全的无线连接。AOSS能自动检测和配置其他带AOSS的无线设备和客户端。一旦你添加了新的设备,就会自动达成网络上所有设备都支持的安全级别。
DoS攻击
说Buffalo和D-Link的产品顽强,是因为它们在攻击过程中不仅可以继续被管理,无线客户端还能继续上载文件到FTP服务器,IxChariot的通信对还能建立TCP连接并完成吞吐量测试。(如下表所示)需要说明的是,笔者并没有在上述产品中找到任何防DoS攻击的配置选项,D-Link工程师的反馈是产品自动完成异常流量识别和控制。TP-LINK的配置界面上虽然有明确的防DoS攻击项目,但我们在启动防御后,仍然没能有效地保证合法通信的继续运行,仅仅是能以Web方式继续对设备进行管理。