Обзор маршрутизатора Draytek серии 2925. Часть вторая. Драйтек роутер


Обзор маршрутизатора Draytek серии 2912. Часть первая

Сегодня на рынке широко представлены различные модели многофункциональных устройств, которые призваны максимально обеспечить малый или среднего размера офис сетевыми сервисами на базе одного устройства. Но среди них особняком, как и несколько лет назад, стоит продукция Draytek, это связано с тем, что продукция именно этого вендора задала планку простых в настройке, надёжных и функциональных сетевых «комбайнов» для офиса. Серия маршрутизаторов Draytek 2912, о которых пойдёт речь — это золотая середина, которая находится там, где уровень функционала и производительности маршрутизаторов операторского уровня требуется, но обычного домашнего или домашнего+ маршрутизатора, для решения сетевых задач офиса, недостаточно. К тому же, использование одного устройства экономически целесообразнее, чем держать несколько устройство под разные задачи, если они в среднем, являются типовыми, например, маршрутизация, межсетевой экран, VPN-сервер и прочее. Другая ключевая особенность маршрутизаторов Dryatek, которая сделала их популярным во всём мире, это качество и надёжность, которые компания вложила в устройства, начиная с качества материалов корпуса, микросхем и комплектующих и заканчивая качеством встроенного программного обеспечения. Ещё одна особенность маршрутизаторов Draytek– простота настройки и понятный интерфейс, поэтому многим администратором и инженерам нравится работать с Dryatek. Кстати, что касается документации, здесь тоже порядок, кроме официальных руководств, в Интернете и на сайтах Draytek есть множество примеров настройки маршрутизаторов и интеграции их с оборудованием других производителей. Данный обзор поможет подробно познакомиться с серией маршрутизаторов Draytek 2912 на примере модели 2912n и включает две части.

В первой части мы познакомимся со схемами использования маршрутизатора в целом и его отдельными функциями, далее, подробно рассмотрим его характеристики, посмотрим внешний вид и комплектацию, интерфейсы и разъёмы, затем протестируем пропускную способность устройства.

Вторая часть будет посвящена обзору веб-интерфейса, его особенностям и примеру настройки таких функции и интерфейсов как WAN и LAN, Load-balancing, беспроводная сеть, VPN, межсетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора.

Серия маршрутизаторов Draytek 2912 представлена на данный момент двумя моделями 2912 и 2912n. Модели различаются наличием поддержки беспроводной сети стандарта 802.11n(скорость до 300Мбит\c @ 2.4Ггц) в модели Draytek 2912n, в остальном обе модели одинаковы. Далее, я буду рассматривать модель Draytek 2912n.

Ключевые особенности устройства

  • Серия Draytek 2912 идеально подходит для SOHO сегмента
  • Сетевой комбайн формата «всё-в-одном»
  • Мощный офисный маршрутизатор с высокой пропускной способностью
  • Сетевой фильтр с широкими возможностями
  • Система управления безопасностью содержимого CSM (Content Security Management)
  • WAN-интерфейс с резервированием и балансировкой трафика между несколькими WAN интерфейсами
  • Беспроводная сеть стандарта 802.11n до 300 Мбит\сек (только для модели 2912n) с возможностью создания нескольких беспроводных сетей на одном устройстве
  • Поддержка VLAN по портам и на основе тегов.
  • Поддержка до 16 VPN туннелей (по протоколам PPTP/ L2TP/ IPsec) с аппаратным шифрованием и возможностью резервирования VPN-соединений (оборудование, официально ввозимое на территорию РФ, поддерживает только протокол PPTP без шифрования)
  • Многофункциональный USB-порт для подключения принтера или организации общего доступа к файлам
  • Возможность подключения 3G/4G USB модемов как WAN 3 через USB порт
  • Управление пропускной способностью с интеллектуальный режимом VoIP QoS
  • Поддержка IPv4 и IPv6
  • Широкие возможности по управлению через веб-интерфейс или командную строку CLI
  • Возможность использования с сервером для централизованного управления и мониторинга VigorACS SI
  • Поддержка протокола управления TR-69
  • Возможность подключения к анализатору трафика Smart Monitor и мониторинга до 30 хостов.

Схема использования Draytek 2912

Модель 2912 является прежде всего офисным маршрутизатором с максимальным набором функций, который может потребоваться для создания прозрачной и эффективной сетевой инфраструктуры небольшого офиса. В данном примере демонстрируется комбинированная схема использования маршрутизатора. Рис. 2

Итак, первое расположение — головной офис, в нём установлен мощный маршрутизатор Draytek 3900, тут же находится единая система управления и мониторинга для всех маршрутизаторов Draytek, используемых компанией, под названием VigorACS SI, при помощи которой можно легко настраивать, обновлять и мониторить все маршрутизаторы в сети, из одного места, причём устройств в сети могут быть сотни. При помощи VPN-туннелей, все офисы объединены друг с другом, в нашем примере это головной офис, офисы А и Б, в них мы установили Draytek 2912 и 2912n, офисы небольшие и производительности данных маршрутизаторов достаточно. В офисе А, маршрутизатор подключён к двум интернет провайдерам, через два WAN порта по Ethernet. Настроена балансировка трафика между интерфейсами WAN, поэтому если у одного из операторов случится авария, доступ в Интернет будет сохранён. Все рабочие места сотрудников подключены по Wi-Fi, причём настроены несколько независимых беспроводных сетей со своими SSID, в примере это сеть Wireless для сотрудников офиса, и гостевая сеть Guest, с ограниченным доступом и лимитами по числу одновременных сессий с устройства и максимальной полосе пропускания, чтобы гости не мешали работе сотрудников. При помощи системы безопасности контента CSM, сотрудникам заблокирован доступ к социальным сетям, при помощи онлайн фильтра веб-контента, на маршрутизаторе проверяется тематика сайтов, к которым сотрудники хотят получить доступ, и блокируется нежелательные. Через USB-порт маршрутизатора подключён принтер, ПК сотрудников «видят» его как принт-сервер. Удалённые сотрудники могут подключаться к локальной сети компании через VPN-клиенты на своих домашних компьютерах, используя PPTP или IPSec. В офисе Б основной провайдер подключён через Ethernet к WAN 1 порту Dryatek 2912, а через USB-порт подключен 3G модем, который настроен как WAN 3 и в случае аварии на канале WAN 1, трафик пойдет через 3G модем. ПК сотрудников, IP-телефоны и серверы находятся в разных VLAN, настроен QoS, так как в офисе используются IP-телефоны. Для мониторинга и анализа сетевой активности пользователей, используется решение Draytek Smart Monitor, при помощи которого, легко понять какой объём трафика потребляют сотрудники и какие веб-ресурсы посещают.

Теперь подробнее рассмотрим ключевые функции маршрутизатора.

Мощный офисный маршрутизатор с резервированием подключения к Интернет, балансировкой трафика

Рис. 3

Маршрутизаторы серии 2912 имеют два WAN Fast Ethernet интерфейса – основной порт WAN (W1 на рисунке), 1 порт LAN (W2/P1 на рисунке) может быть настроен как второй порт WAN2. Между интерфейсами настраивается балансировка трафика и резервирование, при использовании сразу двух Интернет-провайдеров в случае аварии на канале одного из них, в офисе будет работать Интернет. Кроме резервирования Ethernet провайдеров, можно подключить резервирования Интернет-канала через 3G/4G модем, который вставляется в USB-порт маршрутизатора и становится портом WAN3.

В дополнение, можно создавать правила маршрутизации (или адресной трансляции NAT) в конкретные интерфейсы WAN/LAN/VPN, для трафика от источников и для адресатов таких как хост или подсеть с опциональным указанием протокола и диапазона портов. В правиле, дополнительно указывается резервный интерфейс, на который следует отправить трафик в случае отказа основного.

Каждое правило имеет приоритет в списке, поэтому если первое правило не сработало, будет применяться следующее правило ниже приоритетом, если оно есть в списке.

Построение безопасной VPN-сети между офисами или подключение удалённых рабочих мест

Рис. 4

Маршрутизатор поддерживает до 16 VPN* туннелей типа LAN-to-LAN для безопасного объединения сетей организации через Интернет или создания VPN-подключений с удалённых рабочих мест надомных сотрудников, используя протоколы PPTP/IPSec/L2P/L2TPover IPSec. Шифрование AES/DES/3DES и возможность IKE аутентификации обеспечивают повышенную надёжность. Использование сдвоенного WAN соединения позволяет использовать не только схему балансировки нагрузки, но и резервирования. Поэтому, если основной канал VPN-канал станет недоступным, его заменит резервный VPN-канал.

Кстати, функции VPN в Draytek настраиваются очень просто. Буквально за пару кликов можно настроить как соединения типа LAN-to-LAN, так и доступ с удалённых рабочих мест. У Dryatek есть свой VPN-клиент для упрощения подключения с рабочих мест, он называется Draytek Smart VPN Сlient. Приложение доступно для свободного скачивания на сайте draytek.com

*В официальных поставках маршрутизаторов на территорию РФ удалены все программные средства шифрования, не поддерживающие ГОСТы, поэтому в такой прошивке можно найти только поддержку PPTP без шифрования. Это можно обойти путём установки штатного ПО, которое можно скачать с сайта draytek.com.

Организация безопасных сетей для офиса

Рис. 5

Маршрутизатор поддерживает беспроводную сеть стандарта 802.11n и имеет две всенаправленные антенны. Настроек функций беспроводной сети в маршрутизаторе большое количество.

Устройство поддерживает до 4х независимых беспроводных сети со своими настройками, причём каждой из сетей можно ограничить максимальную полосу для исходящего и входящего трафика, а также включить расписание, в соответствии с которым, будут работать эти ограничения. Для каждой из 4х беспроводных сетей настраиваются свои параметры безопасности, включая фильтры MAC адресов. Для каждой сети можно включить квоту времени использования Wi-Fi на основании MAC-адреса и таймаут на повторное предоставление квоты.

Рис. 6

Также можно включить функцию веб-портала для перенаправления на нужную веб-страницу подключающегося к интернету пользователя, в качестве рекламы компании.

Рис. 7

Ещё одно важно преимущество: любую из четырех беспроводных сетей и подсеть LAN можно объединить и изолировать от других сетей, что повышает безопасность. На маршрутизаторе Draytek 2912 может быть 2 подсети LAN.

Рис. 8

Мощный межсетевой фильтр с возможностью фильтрации контента на прикладном уровне

Рис. 9

Маршрутизаторы серии 2912 поддерживают межсетевой экран с невидимой проверкой пакетов SPI (Stateful Packet Inspection), базирующийся на объектах (Object-based), таких как пользователь (при авторизации он получает определенный IP), IP-адрес или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов. Эти объекты могут быть использованы для создания правил межсетевого экрана, которые можно включать и отключать по расписанию.

Система безопасности содержимого CSM (Content Security Management) — это подсистема межсетевого экрана работающая на прикладном уровне, позволяется блокировать UR- ссылки по ключевым словам и по типу содержимого, например, Java Applet, Cookies, Active X, также можно блокировать различные сетевые приложения, например, IM/P2P или по протоколам прикладного уровня, например, MySQL, SMB, SSH, UltraVPN, список сервисов и протоколов довольно внушительный. Также имеется возможность блокировки DNS по ключевым словам.

Ещё один мощный инструмент, который содержит CSM — система GlobalView Web Content Filter. Предназначена для фильтрации нежелательного контента на тематическом уровне, то есть, например, сайты с тематикой порно, криминал, азартные игры и прочее. Администратор создаёт профили, где указывает тематику сайтов и назначает их в правила межсетевого экрана, затем указывает что делать при совпадении правила, например, заблокировать. Web Content Filter лицензируется, но пробную лицензию для тестирования можно получить бесплатно.

В маршрутизаторе реализованы детектирование и автоматическая защита от DoS-атак, причём метрики порога интенсивности трафика, после которого событие считается атакой, могут настраиваться вручную. Также предусмотрено отправка уведомлений об атаке. Вообще межсетевой экран может работать в одном из двух глобальных режимов:

» Rule-Based, то есть базирующийся на правилах, где объекты, например, IP-адреса станций пользователей, администратор устанавливает правила на основании различных IP-адресов.

» User-Based, то есть управление на основании профилей пользователей, администратор устанавливает правила на различны профили пользователей. Перед этим пользователи должны авторизоваться.

Управление пропускной способностью и обеспечение качества обслуживания QoS Маршрутизатор обладает широкими возможностями настройки качества обслуживания QoS, для решения типичной ситуации – правильной приоритезации критичного к задержкам трафика над трафиком сервисов, которые требуют таких приоритетов. Причём маршрутизатор, по умолчанию, автоматически определяет трафик реального времени, и даёт ему приоритет над другими типами трафика. Например, VoIP-вызовы. В дополнении к настройкам QoS имеются широкие возможности по контролю ширины полосы пропускания и установками лимита расходования трафика как для отдельных IP-адресов, так и для групп IP-адресов. Можно указать какой объём трафика и за какое время будет предоставлен тому или иному пользователю на полной скорости, по исчерпании лимита, скорость будет понижена до определенного порога. Имеется возможность ограничения числа одновременных сессий на конкретные IP или диапазоны IP, а также максимального числа одновременных сессий по умолчанию.

Для включения и отключения правил, есть возможность создать семидневное расписание, до 15 интервалов.

Рис. 10

Возможность многоцелевого использования USB порта в режимах принт-сервера, хранилища файлов, подключения 3G/4G модемов На маршрутизаторе есть USB-порт, который может быть использован в одном из трёх режимов. Во-первых, подключения USB модема 3G/4G для резервирования Интернет-соединения или как основное Интернет-соединение, если других способов подключение к Интернет не имеется.

Во-вторых, подключения USB-принтера к маршрутизатору, который становится принт-сервером и им смогут воспользоваться пользователи, настроив к нему доступ по сети.

В-третьих, подключить USB-накопитель и предоставить общий доступ к файлам диска по FTP или NetBios/SMB.

Рис. 11

Система анализа трафика Smart Monitor

Рис. 12

Smart Monitor создан, прежде всего, для решения сетевых проблем путём мониторинга и анализа сетевого трафика, приложение помогает администраторам находить и решать проблемы с сетевыми приложениями. Например, мониторить трафик различного типа, создавать детальные отчёты по использованию трафика пользователями экспортировать их и даже отправлять по электронной почте, есть ранжирование TOP10 по максимальному использованию сетевых ресурсов, например, TOP10 по использованию IM-мессенджеров или загрузкам файлов, также можно ранжировать использование различных сетевых протоколов и учитывать эту информацию при настройке маршрутизатора так, чтобы пользователям было комфортно работать. Для иллюстрации ниже представлены несколько снимков экранов.

Рис. 13

Приложение помогает решать проблемы нецелевого использования рабочего времени и нежелательной утечки конфиденциальной информации. Например, монитрорить злоупотребление IM-мессенджерами и передачу конфиденциальной информацию за пределы компании, время, потраченное на социальные сети, находить пользователей, которые загружают каналы загрузкой больших файлов или потоковым видео и т.д. С помощью SmartMonitor можно следить за активностью пользователей: прочитать электронную почту, переписку в IM-мессенджерах, просматривать загруженные ими файлы.

Для иллюстрации ниже представлены несколько снимков экрана.

Рис. 14

Функция перехвата полезна для восстановления данных в случае их утери пользователем или решения спорных ситуации. Например, прослушивание VoIP-разговоров или восстановление случайно удалённых писем. Естественно, можно просматривать адреса сайтов, которые посещали конкретные пользователи. Что касается разделения прав: в приложении можно создать учётные записи с привилегиями на просмотр информации только для определенных пользователей, например, только сотрудников отдела продаж.

Приложение Smart Monitor захватывает и анализирует трафик который зеркалируется с указанных портов LAN маршрутизатора на Mirror port. К Mirror порту подключается порт сервера, на котором установлено приложение Smart Monitor, трафик с этого порта сохраняется, а затем «разбирается» приложением. Поэтому на сервере может быть два порта: один для зеркалирования трафика второй для управления. Важный момент – с маршрутизатора зеркалируется только трафик потов LAN, беспроводной трафик не зеркалируется, следовательно, не обрабатывается.

Приложение состоит из нескольких компонентов, таких как веб сервер Apahe с PHP, WinPcap, устанавливается на компьютер в несколько кликов. Интерфейс Smart Monitor работает через веб-браузер. Для этого нужно открыть в браузере IP сервера, затем ввести логин и пароль для доступа к системе. Минимальные аппаратные требования для системы на 30 хостов скромные: Intel P4 1.4GHz /AMD CPU, 20 GB на HDD и 1GB ОЗУ. Поддерживаемые ОС Windows XP/7, Linux.

Кстати приложение является бесплатным программным обеспечением. Для более подробного ознакомления рекомендую воспользоваться онлайн демо по адресу http://eu.draytek.com:50000/Logon.php

Login:guest Pass:guestРис. 15

Система централизованного управления и мониторинга VigorACS SI

Централизованная система Draytek VigorACS SI предназначена для управления, настройки и мониторинга парка устройств Draytek для больших предприятий, операторов и сервис-провайдеров, которым необходимо максимально упростить и автоматизировать процесс инсталляции и обслуживания оборудования. Использование системы VigorACS SI существенно уменьшает затраты на обслуживание оборудования со стороны сервис-провайдера (оператора) или системного интегратора. Вообще, система заслуживает отдельного обзора так как очень функциональна.

Можно выделить следующий преимущества использования системы Draytek VigorACS SI: Централизованное управление. Архитектура VigorACS SI позволяет централизовано управлять различными типами устройств Draytek, например, маршрутизаторами, даже если устройства находятся за NAT. Управление любыми устройствами производится из единого интерфейса. Управление может быть, как группами устройств, так и отдельным устройством.

Сокращение расходов на поддержку. Одной из главных задач системы VigorACS SI является сокращение количества обращений в службу технической поддержки и времени необходимого для устранения возникающих проблем. Система позволяет администраторам легко находить и устранять проблемы благодаря простому интуитивно понятному интерфейсу, возможности разграничения прав доступа и аудит настроек, выполненных другими пользователями. Система предоставляет подробную статистику работы всех устройств, оповещение о событиях, и уведомления об авариях, возможность удалённого управления устройствами.

Автоматизация всего цикла настройки и эксплуатации оборудования. Система может быть полезна как сервис провайдерам, так и системным интеграторам, которые хотят максимально упростить и автоматизировать процесс инсталляции и обслуживания оборудования.

Экономия времени. Автоматическая настройка позволяет существенно уменьшить временные затраты на инсталляцию новых устройств и перенастройку уже имеющихся, и как следствие — экономить деньги.

Мониторинг и анализ. Система позволяет отслеживать и анализировать состояния всех устройств в сети и уведомлять о событиях, например, авариях или недоступности устройства, перегрузке или ошибках. Это позволяет принять меры или предотвратить аварию до момента, когда её обнаружит клиент и обратится в службу технической поддержки.

Рис. 16

Ключевые особенности системы:

  • Поддержка протокола TR-69
  • Совместимость с устройствами Draytek поддерживающих TR-69
  • Удалённая автонастройка и мониторинг состояния устройств
  • Динамический и настраиваемый по расписанию настройка сервисов
  • Мастер настройки VPN позволяющий легко создавать безопасные соединения
  • Ежедневные отчёты и обзор производительности
  • Уведомления об авариях в режиме реального времени
  • Управление топологией с отрисовкой связности устройств.
  • Управление встроенным ПО устройств
  • Многопользовательский режим с разделением прав
Для управления устройствами система VigorACS SI использует стандартный протокол TR-069 Рис. 17

Система лицензируется и является коммерческим продуктом. Доступ к системе осуществляется через веб-браузер Internet Explorer/Firefox/Safari/Opera, который должен поддерживать Adobe Flash Player 9.0.

Требования к ОС сервера:

  • MicroSoft Windows 2003/XP/Vista/7
  • Рекмендуется 32/64-bit openSUSE или другие дистрибутивы Linux c Java v1.5/ Mariadb(MySQL) v5.5, для больших инсталляций более 5000 узлов, не рекомендуется пользоваться WindowsMicroSoft Windows 2003/XP/Vista
Минимальные аппаратные требования:
  • Intel Pentium 4 CPU 1.0 GHz и выше
  • 2 GB DDR2 ОЗУ
  • Жесткий диск: 80Гбайт и больше
Демо-интерфейс системы можно посмотреть по ссылке http://acstest.draytek.com:8001/web/ACS.html используя учётную запись sername:guest  password:guest

Подробная функциональная спецификация Draytek 2912/2912n

Ниже приведены подробные технические характеристики Draytek серии 2912

WAN интерфейс для подключения к Интернет

  • IPv4- DHCP Клиент, Статический IP, PPPoE, PPTP, L2TP, 802.1p/q Multi-VLAN Теггирование
  • IPv6- Туннельный режим: PPP, TSPC, AICCU, 6in4, 6rd
  • Двойной стек: DHCPv6 Client, Static IPv6, DSLite
  • USB WAN через 3G/4G модем
  • PPP
  • Балансировка исходящей нагрузки на основе политик
  • Резервирование WAN-интерфейса
  • Поддержка до 30000 NAT-сессий
Межсетевой экран
  • Мульти-NAT, DMZ Хост, Перенаправление портов
  • Базирующийся на объектах межсетевой экран (Object-based Firewall)
  • Фильтрация MAC-адресов
  • Невидимая проверка пакетов SPI (Stateful Packet Inspection) (Flow Track)
  • Предотвращение DoS/DDoS
  • Anti-spoofing IP-адресов
  • E-mail уведомления и журналирование через Syslog
  • Привязка IP-адреса к MAC-адресу
  • Управление по расписанию
  • IPv6 Сетевой экран
  • Управление пользователями

Функции VPN

Здесь есть небольшая ремарка: в соответствии с законодательством РФ программно-аппаратные средства, поддерживающие средства шифрования, ввозимые в РФ, должны соответствовать нормативам устанавливаемым контрольно-надзорными органами, поэтому в случае с данным маршрутизатором в ПО убраны все функции шифрования. Это можно обойти путём установки штатного ПО которое можно скачать с сайта draytek.com.

  • До 16 VPN-туннелей
  • Протоколы: PPTP, IPSec, L2TP, L2TP over IPSec
  • Шифрование: MPPE и аппаратное AES/DES/3DES
  • Аутентификация: MD5, SHA-1
  • IKE аутентификация: Pre-shared ключ и цифровая подпись (X.509)
  • Работа и контроль в режимах LAN-to-LAN, Host-to-LAN
  • IPsec NAT-traversal (NAT-T)
  • Детектирование отключенных пиров Dead Peer Detection (DPD)
  • Режим резервирования VPN Backup Mode
  • DHCP поверх IPSec
  • Сквозное прохождение VPN Pass-through
  • Мастер настройки VPN Wizard
  • mOTP

Функции USB

  • Общий доступ к принтеру
  • Общий доступ к файлам:
— Поддержка FAT32 — Поддержка общего доступа через FTP — Поддержка общего доступа через Samba
  • Подключения модемов 3.5G (HSDPA)/4G (LTE) как интерфейс WAN3
Подробный список технических характеристик Draytek серии 2912

Управление пропускной способностью:

  • Функции обеспечений QoS: — Гарантированная полоса для VoIP-трафика — Базирующая на классах гарантированная полоса для категорий трафика определяемая пользователем — Поддержка маркировки DSCP — 4 уровня приоритезации для каждого вида трафика
  • Резервирование полосы
  • Переназначение меток QoS для L3 протоколов TOS/DSCP
  • Интеллектуальное ограничение пропускной способности
Сетевое управление
  • Управление через веб-интерфейс
  • Мастер быстрой настройки маршрутизатора
  • Консольный CLI-интерфейс управления через telnet/ssh
  • Административный контроль доступа
  • Резервирование и восстановление конфигурации
  • Встроенные функции диагностики
  • Обновление встроенного ПО через протоколы TFTP/FTP/HTTP/TR-069
  • Журналирование через Syslog
  • Поддержка SNMP V2/V3
  • Установка таймаута сессии управления
  • Двухуровневое ограничение прав на управление: администратор и пользователь
  • Поддержка протокола TR069
  • Поддержка Smart Monitor до 30 терминалов
Управление безопасностью содержимого
  • Приложения IM/P2P
  • Фильтр по содержимому URL: — Фильтр по ключевым словам в (Белые и чёрные списки) — Блокировка содержимого по типам(расширениям):Java апплеты, Кукки, Active X, Сжатые, Исполняемые, Мультимедиа — Возможность указания сетей для которых правила не применяются
  • Глобальный фильтр контента GlobalView (используя технологию CYREN)
Сетевые характеристики
  • DHCP Клиент/Релей/Сервер
  • RADVD для IPv6
  • DHCPv6 Сервер
  • Статическая адресация IPv6
  • IGMP Прокси V2/V3
  • IGMP Snooping
  • Динамический DNS
  • NTP Клиент
  • RADIUS Клиент
  • DNS Кэширование/Проксирование
  • UPnP 30 Сессий
  • Протоколы маршрутизации:
— Статическая маршрутизация — RIP V2
  • Теггированные VLAN (802.1q) в LAN
Беспроводная сеть (только для модели Draytek 2912n)
  • Стандарт IEEE802.11n (2.4GHz) до 300 Мегабит\сек
  • Просмотр списка беспроводных клиентов
  • Изоляция беспроводных сетей
  • Безопасность беспроводной сети
— WEP 64/128 бит — WPA-TKIP/WPA2-AES/Смешанный режим(WPA+WPA2) — Аутентификация 802.1x
  • Сокрытие беспроводной SSID
  • Конфигурация нескольких SSID
  • Фильтр MAC-адресов
  • Обнаружение точек доступа
  • Объединение точек доступа при помощи WDS (Wireless Distribution System)
  • SSID VLAN группировка с LAN портом
  • Контроль пропускной способности сети
  • WMM
  • WPS
Комплект поставки, внешний вид и упаковка

Устройство поставляется в коробке с маркетинговыми элементами, такими как изображения маршрутизатора, информация о его ключевых функциях, также подробное описание возможностей. Вид упаковки говорит о том, что устройство, в том числе, продаётся в магазинах, где потенциального покупателя сперва должна привлечь красивая и качественная упаковка.

Рис. 18

На одной из боковых сторон коробки изображена схема использования VPN-туннелей на WAN интерфейсах устройства и это не случайно, так как устройство обладает широким VPN функционалом, это и демонстрирует производитель. Вторая картинка показывает отличие моделей серии – поддержка беспроводной сети.

Рис. 19

Достаточно взять в руки упаковку и прочитать то что на ней написано, чтобы достаточно полно понять, что может устройство, скрывающееся в упаковке. Списки функций, изображённые на упаковке, были подробно описаны выше.

Рис. 20Рис. 21

Сбоку, на коробке, изображён символ EAC, свидетельствующий о том, что продукция, маркированная данным знаком, прошла все установленные в технических регламентах Таможенного союза процедуры оценки. Также информация о дистрибьютере оборудования – «ООО Цифровой Ангел». Как и раньше, всё оборудование Draytek изготавливается в Тайване.

На другой боковой части упаковки, информация о модели устройства – в нашем случае модель 2912n, серийном номере, версии встроенного ПО установленного на заводе, информация о регионе для использования – Россия.а

Рис 22Рис 23

Когда впервые открываешь коробку, первое что бросается в глаза это качество упаковки. Всё хорошо и аккуратно упаковано. Кстати – примечательный факт, что зачастую устройство будет также хорошо или плохо работать, как было упаковано. По опыту, могу сказать, что так оно обычно и бывает. Причём это касается не только маршрутизаторов.

Рис 24Рис 25

После извлечения содержимого каждый элемент оказывается в собственной упаковке. Комплектация стандартная для маршрутизатора. На изображении ниже Draytek 2912n, в комплектации Draytek 2912 отсутствуют антенны так как данная модификация не поддерживает беспроводную сеть.

Рис. 26

На изображении ниже комплект без упаковочных материалов.

Рис. 27

В комплект поставки входят следующие элементы:

Маршрутизатор Draytek 2912 – 1 шт. Антенна(только для модели 2912n) – 2 шт. Патч-корд RJ-45 – 1 шт. Сетевой адаптер – 1 шт. Набор для монтажа на стену – 1 шт. Брошюры – 2 шт. Техническое описание на русском языке – 1 шт.

Что касается сетевого адаптера, его входное напряжение от 100 до 240 вольт, входной ток 0,35А, мощность 12 Ватт. На выходе сетевой адаптер выдаёт 12 Вольт и 1 А постоянного тока. Адаптер очень компактный. Его изображение представлено ниже.

Рис 28

Сама «тушка» маршрутизатора имеет строгий прямоугольный дизайн и скрытые вентиляционные отверстия в верхней, боковой и нижних частях корпуса. В целом, корпус маршрутизатора умеренно греется. Вентиляция пассивная, поэтому устройство не шумит при работе.

Рис. 29

На верхней панели имеется ряд индикаторов состояния и контроля работы подсистем маршрутизатора

Рис. 30

Приведём описание этих индикаторов

ACT (Activity) – Если диод мерцает, маршрутизатор функционирует в штатном режиме, если выключен, маршрутизатор отключён.WCF – если диод горит, функция фильтрации веб содержимого(Web Content Filter) активнаQoS – если диод горит, функция обеспечения QoSDoS – если диод горит, функция защиты от DoS атак активна, если диод мерцает то детектирована и активна DoS атака.LAN (P4~P1) – если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные.WAN(W2~W1) – если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные.VPN – если диод горит, VPN-туннель активен.USB – если диод горит устройство к порту подключено и готово к работе, если диод мерцает, через порт передаются данные.WLAN (только для модели 2912n) – если диод горит, беспроводная сеть готова, если диод мигает медленно, через беспроводную сеть передаётся трафик. Если диоды ACT и WLAN мигают одновременно и быстро, значит работает функция WPS (Wi-Fi Protected Setup), она автоматически перестанет работать по прошествии двух 2х минут.

Индикация достаточно простая, но полезна для первичной диагностики и оценки состояния маршрутизатора. На следующем изображении нижняя панель маршрутизатора.

Рис. 31

По всей площади имеются вентиляционные отверстия для теплоотвода, посередине наклейка с точным указанием модели устройства, потребляемая мощность – в нашем случае до 9 Ватт. Выходные потребляемые постоянные напряжение и ток 12-15 Вольт и 0.8-0.6 А соответственно. Примечательно, что на наклейке есть электронная почта технической поддержки Draytek, куда можно обратиться за помощью. Резьба для монтажа антенн закрыта силиконовыми колпачками. Для крепления маршрутизатора на стену или потолок в комплекте есть два самореза и два дюбеля. На нижней панели имеются два отверстия для фиксации корпуса на головках саморезов.

Интерфейсы и разъемы роутера (фотографии с описанием)

Теперь рассмотрим интерфейсы и кнопки маршрутизатора. Все они находятся в одном месте — на боковой панели маршрутизатора. Для модели 2912n, по краям, под силиконовыми колпачками находятся два коннектора беспроводных антенн с резьбой, куда привинчиваются всенаправленные антенны из комплекта маршрутизатора.

Рис. 32

Слева направо гнездо для подключения сетевого адаптера PWR. Рядом находится переключатель для включения или отключения электропитания маршрутизатора. Далее находится порт USB 2.0 для подключения накопителя, принтера или 3G/4G модема. Далее, блок портов Ethernet, порты W1 и W2/P1 служат для подключения устройства к интернет провайдерам, причём порт W2/P1 может использоваться или как второй порт WAN или порт LAN. Порты W2/P1 — P4 служат для подключения к локальной сети. Многофункциональная кнопка Wireless LAN ON/OFF/WPS (только для модели 2912n) служит для включения или отключения беспроводной сети на устройстве, для этого нужно нажать на кнопку, дважды если диод WLAN потухнет, беспроводная сеть отключена, если загорится – сеть включена. Если нажать кнопку один раз маршрутизатор будет в течении двух минут ожидать настройки при помощи функции WPS.

Кнопка Factory Reset сбрасывает устройство на заводские настройки, чтобы сбросить маршрутизатор, включите его и удерживайте кнопку нажатой более 5 секунд, когда вы увидите, что диод ACT начнёт быстро мигать, отпустите кнопку. Маршрутизатор перезагрузиться с заводскими настройками.

Следующие несколько фотографий демонстрируют вид маршрутизатора с установленными антеннами. Дизайн устройства строгий, очевидно он подчёркивает ориентацию устройства на бизнес пользователей, сетевых инженеров и системных администраторов, а не домашних пользователей. Устройство не бросается в глаза своим необычным видом и впишется в интерьер любого офиса. Относительно компактные размеры маршрутизатора позволяют поставить или повесить его практически где угодно, к тому же пассивное охлаждение, и как следствие отсутствие шума при работе, позволяют использовать его в любом месте.

Рис. 33Рис. 34Рис. 35

Ниже вид маршрутизатора с подключенными кабелями.

Рис. 36

Дополнительно, стоит отметить качество пластика и материалов, оно находится на хорошем уровне. Детали хорошо подогнаны друг к другу, при сжатии корпуса нет скрипа и люфта, кабели плотно садятся в разъёмы и не вываливаются, антенны можно зафиксировать под нужным углом, и они не «валяться» в стороны.

Тестирование пропускной способности устройства Тестирование максимальной пропускной способности Draytek 2912n. Для тестирования было использовано программное обеспечение IxChariot 6.7 в качестве оконечных точек ноутбуки со старой доброй операционной системой WindowsXP 32 бита. Схема простая: на одном хосте находится сервер IxChariot, на втором endpoint IxChariot. Конечно, тесты нельзя назвать эталонными так как использовалось старое «железо» и старое ПО, но так как маршрутизатор имеет порты Ethernet 100 Мегабит, то такого оборудования для тестов достаточно. Для тестирования во всех случаях использовался стандартный скрипт High_Performance_Throughput.

Тест проводной сети, LAN-WAN c NAT, схема LAN → Draytek 2912n → WAN, продолжительность 00:01:26. Средняя скорость 93,622 Мбит/сек, что является очень неплохим показателем.

Рис. 37

Тест беспроводной сети, Wireless LAN-WAN, схема Wireless LAN → Draytek 2912n → WAN, беспроводной сетевой адаптер на ноутбуке работал в режиме 802.11n, безопасность WPA2/PSK.

Я использовал обычный ноутбук с беспроводным контроллером Intel Wireless WiFi Link 4965AGN, ведь в реальности, среднестатистический пользователь будет использовать подобное оборудование. Продолжительность теста около 3х минут, средняя реальная скорость 40,731 Мбит/сек, при скорости подключения адаптера ноутбука к беспроводной сети около 104 Мбит\сек.

Скорость подключения беспроводного адаптера может составлять 300Мбит\сек, при такой скорости тест Wireless LAN -> WAN покажет скорость около 90Мбит\сек, так как проводной интерфейс WAN имеет предельную скорость подключения 100 Мбит\сек.

Рис. 38

А вот такой же тест беспроводной сети, но без шифрования, разница по пропускной способности не значительна, не смотря на отсутствие шифрования.

Рис. 39

Тестирование VPN, схема VPN Клиент PPTP (без шифрования) → Draytek 2912n → WAN.

Рис. 40

Средняя скорость оказалась 87,986 Мбит\сек.

Теперь шифрование, схема VPN Клиент IPSec(с шифрованием DES) → Draytek 2912 → WAN Средняя скорость 82,978 Мбит\сек, результат очень неплохой.

Рис. 41

Итак, в данной части обзора мы подробно рассмотрели маршрутизатор Draytek серии 2912/2912n с таких сторон как позиционирование устройства на рынке, схему использования маршрутизатора, его ключевые функции и примеры их использования, ознакомились с подробной технической спецификацией устройства, посмотрели комплектацию и внешний вид маршрутизатора, подробно разобрали функции индикаторов и интерфейсов устройства. Всё увиденное нами, однозначно демонстрирует то, что устройство обладает очень широким возможностями, которые могут понадобиться предприятию уровня SMB/SOHO или небольшому филиалу крупной компании и поэтому устройство имеет огромный потенциал для использования в корпоративных сетях. Нагрузочное тестирование показало неплохие результаты, других результатов я не ожидал, ведь устройство далеко не начального уровня, поэтому обязано быть производительным.

В следующей части обзора мы рассмотрим веб-интерфейс устройства.

geektimes.com

Сетевые решения — Обзор многофункционального маршрутизатора DrayTek Vigor 2920Vn

07 Декабрь 2010privilege15

draytek vigor

Вам нужен маршрутизатор, который умеет создавать криптографические туннели, быть VPN сервером, поддерживать качество обслуживания (QoS) с возможностью обеспечивать балансировку нагрузки и резервирование интернет-каналов, скорость подключения LAN и WAN интерфейсов которого была бы не ниже 1000Мегабит/с, иметь встроенный фильтр интернет контента (Content Security Manager, CSM) и межсетевой экран с богатыми возможностями и гибкими настройками, осуществлять подключение пользователей к беспроводной сети по стандарту 802.11n, поддерживать функцию WDS, иметь на борту 2 FXS порта для подключения аналоговых телефонов, 1 FXO порт для подключения аналоговой линии связи, иметь возможность подключения к операторам IP телефонии и использовать VoIP для звонков в другие города и за рубеж, стабильно работать и стоить копейки, тогда таким маршрутизатором будет являться DrayTek Vigor 2920Vn от нашего восточного соседа-производителя.

На российском рынке данный производитель не очень известен, а зря. Когда я впервые столкнулся с описанием данного продукта в сети Интернет, я скептически отнесся к заявленному производителем функционалу и решил лично протестировать этот «комбайн», ведь весьма сложно подыскать иное слово для данного устройства, сочетающего в себе столь большое количество функций за столь низкую стоимость. Обозревая данное устройство, проще сказать каких функций в нем нет, чем описывать те, которые в нем есть.

Начнем с того, что качество сборки меня порадовало. DrayTek Vigor 2920Vn облачен в черный корпус с малозаметными вентиляционными отверстиями. Корпус сделан из пластика, на ощупь прочный и не скрипучий. На передней панели располагаются два WAN интерфейса с максимальной скоростью подключения 100 и 1000Мегабит/с, четыре LAN интерфейса, скорость подключения к которым составляет 1000Мегабит/с, один FXO порт для подключения к аналоговому оператору телефонной связи и один FXS порт для подключения двух аналоговых телефонов через специальный сплиттер, входящий в комплект поставки. Кроме этого, на лицевой панели также есть USB разъем. К нему можно подключить 3G модем, принтер или внешний жесткий диск. Сзади размещены три разъема для подключения Wi-Fi антенн, разъем для питания и выключатель, что мне особенно понравилось.

Настройка маршрутизатора производится с помощью web-интерфейса. Сказать, что он летает – ничего не сказать. Я никогда не видел столь быстрого web-интерфейса. Цветовая гамма не раздражает глаза и позволяет спокойно перейти к настройке маршрутизатора. Интерфейс интуитивно понятен. Навигационное меню располагается слева, пункты меню размещены в вертикальном порядке, кликнув по которым разворачивается ряд подменю.

Чтобы не останавливаться на описании всех возможных функций, о которых и без моей помощи можно прочитать на официальном сайте производителя http://www.draytek.com/, я лишь приведу свои собственные наблюдения относительно некоторых из них.

За три недели непрерывного тестирования в домашних условиях, DrayTek Vigor 2920Vn показал отличный результат как по скорости восстановления связи после искусственного разрыва соединения с провайдером Дом.ру по протоколу PPPoE, так и по общей стабильности работы в сети Интернет . Он с легкостью справился с закачкой торрентов на скорости 100Мегабит/с и в то же время позволил комфортно осуществлять серфинг по web-сайтам в Интернете. Таких результатов не мог добиться мой старенький Zyxel P330W-EE.

Богатый выбор VPN функций позволил мне без каких-либо затруднений поднять IPSec VPN туннель до удаленной точки, в качестве которой выступил маршрутизатор Cisco 2851, а также поднять PPTP и L2TP сервер, для удаленного подключения и успешно осуществить доступ к моей домашней локальной сети из удаленного места. Второй процессор в маршрутизаторе DrayTek Vigor 2920Vn, предназначен для выполнения функций шифрования, в том числе по протоколам DES, 3DES и AES, что снижает нагрузку на основной процессор и позволяет не только создать до 32 VPN туннелей, но и повысить общий уровень производительности устройства.

Особого внимания заслуживают функции межсетевого экранирования. Они просто открывают полет для фантазии и позволяют осуществлять фильтрацию потока данных как на уровне приложений, так и на уровне представления, сеансовом уровне, транспортном уровне, и сетевом уровне модели OSI. Фильтрация контента позволяет ограничить доступ к сайтам нежелательного содержания, что как нельзя кстати подойдет тем руководителям, кто не желает, чтобы его подчиненные посещали, например, развлекательные сайты.

Функции голосового шлюза открывают возможность маршрутизации звонков, разделения их на внутренние и междугородние, позволяют определить ту или иную телефонную линию связи для осуществления звонка по одному из двадцати шаблонов набора номера.

Встроенная технология Wireless Distribution System (WDS) расширит зону охвата беспроводной сети и позволит создать до четырех скрытых или открытых SSID, просканировать окрестности, показать график и определить оптимальный частотный диапазон для подключения к беспроводной сети по одному или сразу нескольким протоколам: 11b, 11g или 11n.

Системным администраторам понравятся доступные функции для безопасного удаленного администрирования по протоколам HTTPS и SSH, возможность сохранения текущей конфигурации в отдельный файл, инструменты для диагностики количества установленных сессий, графики загруженности каналов, сислог, как встроенный, позволяющий просматривать данные на самом устройстве, так и фирменный, поставляемый на компакт-диске, идущем в комплекте с маршрутизатором, который собирает с него информацию и сортирует данные по группам.

DrayTek Vigor 2920Vn идеально вписывается в сегмент малого бизнеса и среди своих конкурентов имеет следующие бизнес преимущества:

  1. Позволяет создавать до 32 защищенных туннелей между центральным офисом и удаленными филиалами для обмена данными. Работает с маршрутизаторами Cisco. Проверено!
  2. Поможет организовать безопасный VPN сервер, чтобы удаленные сотрудники смогли подключиться к сети предприятия из любой точки мира.
  3. Внезапное отключение основного канала связи останется незамеченным, т.к. будет осуществлено автоматическое переключение на резервный.
  4. Пользователи больше не смогут зайти на подозрительный web-сайт и подхватить вирус. Они смогут посещать только те сайты, которые Вы им разрешите.
  5. Поможет осуществить доступ к беспроводной сети для ваших бизнес-партнеров.
  6. Обеспечит звонки по низким ценам в другие города и страны через операторов IP телефонии.

С уверенностью могу сказать, что устройство заслуживает внимания. Мне оно очень понравилось. В качестве иллюстрации, представлю функциональную схему, изображенную на рисунке, которая отражает основные возможности устройства:

draytek_functional

Буду рад, если данный материал помог вам определиться с выбором качественного многофункционального маршрутизатора за невысокую цену, который удовлетворит не только корпоративные потребности, но и потребности требовательного домашнего пользователя, а также привнесет нотку удовольствия в процесс его настройки.

Всего комментариев: 0. Оставить комментарий ниже »

telecombook.ru

Обзор маршрутизатора Draytek серии 2925. Часть вторая

В первой части обзора серии маршрутизаторов Draytek 2925n, мы подробно рассмотрели, как устройство позиционируется на рынке, схему использования маршрутизатора, его ключевые функции и примеры их использования, ознакомились с подробной технической спецификацией, посмотрели комплектацию и внешний вид маршрутизатора, подробно разобрали функции индикаторов и интерфейсов устройства.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 1

Полученные результаты однозначно демонстрируют широкие возможности маршрутизатора в купе с «гигабитом», который может понадобиться предприятию уровня SMB и SMB+ или небольшому филиалу крупной компании, которые «переросли» предельную скорость сетевых подключений в 100Мбитс и нуждаются в сотнях мегабит в локальной сети и на WAN-интерфейсах к Интернет-провайдеру. Поэтому, устройство имеет огромный потенциал для использования в ресурсоёмких корпоративных сетях. Нагрузочное тестирование, с результатам которого вы можете ознакомиться в первой части обзора, показало неплохие результаты. Первая часть обзора доступна по этой ссылке.

В данной части обзора мы подробно рассмотрим веб-интерфейс устройства, познакомимся с его особенностям и примером настройки таких функции и интерфейсов как WAN и LAN, Load-balancing, беспроводная сеть, VPN (PPTP, IPSec и SSL), сетевой экран, NAT, специальными инструментами авто настройки и централизованного управления точками доступа – Central AP Management и VPN-соединениями на удалённых маршрутизаторах –Central VPN Management, управление пропускной способностью, функцией создания кластера высокой доступности из нескольких маршрутизаторов, а также функции USB, диагностики и мониторинга маршрутизатора.Ниже представлена общая схема подключения маршрутизатора. Обзор маршрутизатора Draytek серии 2925. Часть вторая - 2

Рис. 0Обзор маршрутизатора Draytek серии 2925. Часть вторая - 3Рис. 0-1Обращаю внимание что все Ethernet все порты WAN и LAN «гигабитные».По умолчанию, на маршрутизаторе включена открытая беспроводная сеть с именем Draytek и DHCP-сервер, можно подключиться к ней или использовать один из портов LAN.

После подключения к маршрутизатору с ПК и успешного получения IP адреса, из сети 192.168.1.0/24, откроем его веб-интерфейс, для этого в веб-браузере нужно набрать IP LAN по умолчанию 192.168.1.1, Username:admin, password:admin. Рекомендую сразу же изменить пароль на более безопасный.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 4Рис. 1

Мы попадаем в меню «Online Status», где отображена основная информация об устройстве

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 5Рис. 2

Ниже, на изображении, представлено меню «Dashboard», в котором наглядно отображается схема подключения маршрутизатора к сетям WAN, LAN и беспроводной WLAN. Просто и наглядно

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 6

Рис. 2-1

Обращаю внимание что версия прошивки 3.7.8.2_R предустановлена на маршрутизаторах, поставляемых в Россию, такая прошивка отличается от обычной тем что в ней отсутствует шифрование кроме PPTP протокола, выглядит это так:

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 7Рис. 3

Если этого недостаточно, можно поставить полноценную прошивку, загрузив её с сайта Draytek.com в разделе Supports -> Downloads -> Firmware — Vigor2925 Series.

Я выбрал последнюю 3.8.2.3 и загрузил её, далее, разархивируем её, в веб-интерфейсе маршрутизатора открываем System Maintenance >> Firmware Upgrade и указываем файл v2925_3823.all, затем нажимаем «Upgrade».

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 8 Рис. 4

После успешного обновления, перезагрузим маршрутизатор и получим последнюю прошивку без каких-либо ограничений.

Для наглядности, ниже представлено изображение сетевой схемы для маршрутизатора Draytek 2925n, на примере которой мы будем рассматривать его веб-интерфейс, а также некоторые примеры настройки функций.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 9Рис. 4-1

Для подключения к Интернет мы используем два WAN интерфейса с несколькими правилами маршрутизации, в случае аварии на первом канале, трафик автоматически пойдёт через резервный.

Мы используем две подсети: LAN0=192.168.1.0/24 и LAN1=192.168.2.0/24. И три беспроводных сети с SSID: DrayTek, DrayTek_Guest и DrayTek_Unencrypted. Они объединены через настройки VLAN с беспроводными сетями. Удалённые клиенты могут подключаться по VPN используя Smart VPN Client и протоколы PPTP и IPSec. Для приложения SmartMonitor включено зеркалирование с LAN портов.

В целом, в независимости от модели маршрутизатора Draytek, структура меню имеет схожую организацию, можно не найти каких-то функций, или обнаружить большее их количество, чем в другой модели или версии встроенного ПО, но структура остаётся неизменной. Слева блок глобальных пунктов меню, структурированных по подсистемам маршрутизатора: Мастера быстрой настройки (Wizards), настройки интерфейсов проводной сети WAN и LAN, затем блок настроек межсетевого экрана (Firewall, Objects Settings, CSM) и управление пользователями (User Management), затем блок настроек специальных приложений маршрутизатора (Applications). Затем два пункта меню отвечающие за централизованное управление беспроводными точками Draytek – Central AP Management и централизованное управление VPN на маршрутизаторах Draytek – Central VPN Management. Далее блок VPN настроек, за ним меню отвечающее за настройку беспроводной сети (Wireless LAN), отдельное меню для настройки USB-порта (USB Application) и наконец меню сервисных функций (System Maintenance) и меню диагностики маршрутизатора (Diagnostics).

Все пункты структурированы просто и логично, в соответствии с сетевым функциям, без какой-то специфичной и запутанной логики.

Каждый глобальный пункт меню включает один или несколько подпунктов. Рассмотрим основные пункты меню, так как маршрутизатор имеет конфигурацию, соответствующую сетевой схеме, которая была представлена выше, по ходу рассмотрения новых пунктов меню станет понятно как настроены те или иные сетевые функции.

Меню Wizards

Здесь находятся мастера настроек, позволяющие в несколько кликов настроить основные функции маршрутизатора. Они представляют из себя цепь из нескольких диалоговых окон, в последнем окне выводится листинг всех сделанных настроек и кнопка «Finish» для их применения. Мне показалось, что данные мастера для совсем ленивых администраторов, так как и без них, настройка основных функций на маршрутизаторе не составляет труда.

Quick Start Wizard – служит для быстрой настройки подключения WAN 1-3 интерфейсов.

Service Activation Wizard – активирует интеллектуальный тематический фильтр сайтов Web Content Filter.

Следующие мастера VPN Client Wizard и VPN Server Wizard показались мне интересными, с помощью них легко настроить работу VPN в режимах LAN-to-LAN и Remote Dial-in User, активировать сервис и прописать пользователей. Ниже, пример из 3х шагов, чтобы добавить и актировать VPN пользователя.

Мы выбрали PPTP, дальше нужно выполнить настройки на стороне клиента, мы будем использовать Draytek Smart VPN клиент. Вернёмся к настройкам VPN в меню VPN and Remote Access.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 10Рис. 5

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 11Рис. 6

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 12Рис. 7

Мастер Wireless Wizard служит для первичной настройки беспроводной сети. Ниже финальное окно в завершении работы мастера.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 13Рис. 8

За пару кликов беспроводная сеть настроена.

Меню Online Status

Следующий пункт меню содержит два подпункта: первый Physical Connection – показывает физический статус интерфейсов LAN, WAN 1-3 и счётчики канального уровня, тоже самое, но только для виртуальный интерфейсов можно увидеть в меню Virtual WAN.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 14Рис. 9

Более подробную информацию о статусе системы можно посмотреть в System Maintenance -> System Status.

Меню WAN

В данном меню выполняются все настройки связанные с подключением маршрутизатора к Интернет провайдерам. В нашем примере активны WAN 1 и 2:

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 15Рис. 10-1

Настройка Load balance mode доступна при одновременном использовании двух или трех WAN интерфейсов. Мы используем режим, Auto Weigh, в этом режиме маршрутизатор автоматически распределяет нагрузку. Интерфейс WAN 3 может быть использован при подключении 3/4G модема.

Ниже детальная настройка WAN 2 интерфейса, мы используем режим балансировки нагрузки.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 16Рис. 10-2

В подменю Internet Access настраиваются непосредственно интерфейсы.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 17Рис. 10-3

Переходим на Detalils Page WAN 2, здесь находятся настройки режима подключения, мы используем статический IP, на первом интерфейсе работает DHCP-клиент. Кроме использованных нами способов, можно подключиться к Интернет используя протоколы PPTP/L2TP или PPPoE, также IPv6.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 18Рис. 11

Подменю Multi-VLAN позволяет администратору создать профили для определенного физического WAN 1-2 интерфейса и создать мост с интерфейсами LAN локальной сети, для достижения максимальной пропускной способности.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 19Рис. 12

То есть, на базе физического интерфейса WAN 1-2 мы создаём дополнительный виртуальный WAN 5-7 в указанном нами VLAN и «бриджуем» его с нужными LAN портами 1-3(4 порт может работать только в режиме NAT), опционально, можем назначить виртуальному интерфейсу WAN 5-7 IP адрес вручную или получать по DHCP, то есть сделать его L3. В качестве примера, можно привести проброс трафика IPTV с WAN на LAN.

Подменю Multi-VLAN отвечает за бюджетирование или лимитрование объёма трафика через WAN интерфейсах. Бюджет трафика выделяется на определенный интервал времени, который определяет администратор. После истечения интервала, счётчик израсходованного трафика обнуляется и включается заново. Администратор указывает действие, которое произойдет, если бюджет трафика будет израсходован до истечения временного интервала, это может быть: выключить интерфейс, послать уведомление по электронной почте или в SMS-сообщении.

Ниже представлены изображения списка интерфейсов и детальные настройки, на примере интерфейса WAN1

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 20Рис. 12-1

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 21Рис. 12-2

Меню LAN

Пункт отвечает за настройку локальной сети и содержит ряд подпунктов. Маршрутизатор поддерживает два независимых LAN сегмента со своими настройками, по умолчанию это 192.168.1.1/24 и 192.168.2.1/24, также можно добавить одну маршрутизируемую сеть. В обоих сегментах включен DHCP который выдаёт IP-адреса подключающимся терминалам пользователей. Кстати, DHCP-сервер можно настроить на передачу любых дополнительный DHCP-опций, это очень удобно если в сети есть специализированные сервисы, например, TFTP-сервер.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 22Обзор маршрутизатора Draytek серии 2925. Часть вторая - 23Рис. 13

Дополнительно, можно разрешить или запретить маршрутизацию между LAN 1-5 в разделе Inter-LAN Routing.

В следующем подменю LAN >> Static Route Setup можно добавить до 10 статических маршрутов в другие сети за IP-адресами в подсетях LAN 1-5.

Подменю LAN >> VLAN Configuration позволяет объединить в один VLAN указанные порты LAN P1-5 с беспроводными сетями SSID 1-4 и опционально добавить метки VLAN с приоритетами. При включении VLAN Tag трафик с метками, указанными в поле VID, появится на соответствующих портах LAN, по беспроводным сетям теги не передаются. В нашем примере два независимых VLAN. В VLAN0 входят LAN порты P 2-5 и беспроводная сеть с SSID1 – всё это находится в LAN 1 сегменте. В VLAN1 входит порт P1 и беспроводные сети с SSID2 и SSID3 – всё это находится в LAN 2 сегменте.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 24Рис. 14

Маршрутизатор может работать в режиме создания не тегированных VLAN на базе портов, или VLAN на основе меток VID.

Следующий пункт подменю LAN >> Bind IP to MAC. Позволяет создавать списки с соответствиями MAC-адреса и IP-адреса, если функция разрешена все назначенные IP-адреса на MAC-адреса не могут быть изменены. Созданные листы можно сохранять в файл и восстанавливать в конфигурацию маршрутизатора из предварительно сохраненного файла.

В меню LAN >> LAN Port Mirror можно включить копирование всего трафика с указанных LAN Mirrored port на принимающий Mirror port. Эта функция полезна для отладки сети при помощи сниффера или при использовании приложения для мониторинга и анализа сетевой активности Draytek Smart Monitor, информацию об этом приложении можно найти в первой части данного обзора. В отличие от маршрутизатора Draytek 2912, обзор которого в двух частях доступен по ссылкам: часть 1 и часть 2, в модели 2925, для каждого порта можно указать какой трафик зеркалировать: только входящий Rx, только исходящий Tx, или тот и другой.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 25Рис. 15

Подменю Wired 802.1X включить 802.1X аутентификацию для любого из 5 LAN портов. Причём функция может работать в двух режимах: локальная аутентификация 802.1X(настраивается через меню User Profile) или через внешний RADIUS-сервер.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 26Рис. 15-1

Подменю LAN >> Web Portal Setup позволяет определить профили, которые назначаются на интерфейсы LAN или WLAN-беспроводной сети и указать в них URL-ссылку сайта для автоматической переадресации пользователя при первой попытке открыть веб-страницу, после подключения через указанный в профиле интерфейс, например, SSID1.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 27Рис. 16

Это функция используется в рекламных целях или для уведомления пользователя, который подключается к Интернету при через сеть определенной компании.

В примере, при попытке впервые открыть любую веб-страницу, пользователь будет переадресован на сайт www.ucexpert.ru, где в верхней части экрана будет сообщение с предложением пользователю нажать кнопку «Continue» для продолжения веб-сессии и перехода на нужный сайт.

Ниже приведен пример такой страницы.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 28Рис. 17

Меню Load-Balance/Route Policy

Данный пункт меню содержит подпункт General Setup – непосредственную настройку правил балансировки нагрузки и политик маршрутизации и Diagnose – подпункт для отладки настроенных правил, где можно имитировать маршрут прохождения одного или нескольких пакетов через таблицу настроенных правил и проверить результат.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 29Рис. 18

В примере пакеты, уходящие с любых IP адресов LAN маршрутизатора на IP 8.8.8.8 пройдут через WAN1, аналогично работает второе правило, только для IP назначения 8.8.4.4 и пакеты пройдут уже через WAN2. В третьем правиле указывается целая подсеть, в четвёртом правиле указывается что весь трафик нужно посылать через WAN1, в случае отказа WAN1, посылать на WAN2. Каждое правило имеет приоритет, чем он ниже, тем раньше выполняется правило.

На следующем изображении представлены критерии, по которым можно задать правило, их довольно много, также можно определить куда посылать пакет, если правило не сработало.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 30Рис. 19

На следующем рисунке представлена диагностика маршрута.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 31Рис. 20

Меню NAT

В меню настраиваются функции адресной трансляции NAT (Network Address Translation), оно содержит подменю Port Redirection – перенаправление портов с порта указанного интерфейса WAN на IP-адрес и порт в сети LAN, это может быть необходимо для FTP-серверов, почтовых серверов и т.д.

Подменю DMZ Host позволяет задать по одному DMZ хосту в локальной сети LAN на каждый из WAN интерфейсов.

Подменю Open Ports позволяют держать открытыми указанные диапазоны портов для специальных приложений, например, P2P, и направлять их на определенные IP-адреса в LAN.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 32Рис. 21

Port Triggering это вариация Open Ports. Если после активации правила Open Ports, указанные порты постоянно открыты, то при применения правила Port Triggering, указанные порты будут открываться только когда условия правил совпадут, затем по таймауту порты снова закроются.

Работа функции в соответствующем пункте подменю задается набором правил.

Меню Hardware Acceleration

Данное меню служит для настройки аппаратного ускорения таких функций как Data Flow Monitor – один из пунктов подменю диагностики, в котором отображается информация об активных сессиях с IP-адресов, Traffic Graph – информация от трафике проходящим через WAN интерфейсы в виде графиков, WAN Budget – функция бюджетирования объёма трафика за определенный период времени. Причём функцию можно включить как в автоматическом режиме, так и в ручном – указать для какого IP-адреса хоста и протокола UDPTCP с диапазоном портов и включить данную функцию.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 33Рис. 21-1

Меню Firewall

В данном меню настраиваются глобальные правила работы межсетевого экрана, задаются наборы и порядок правил проверки трафика, также указываются правила фильтрации трафика по умолчанию.

Межсетевой экран можно условно разделить на 3 подсистемы:

  1. Настраиваемый пользователем IP-фильтр на основе наборов правил Call Filter/ Data Filter
  2. Фильтр Stateful Packet Inspection (SPI)
  3. Защита от атак Denial of Service (DoS) /Distributed DoS (DDoS)

В архитектуре межсетевого экрана используется два независимых набора правил Call Filter и Data Filter.

Набор правил Call Filter применяется для трафика, направляющегося из локальной сети в WAN, когда нет активного Интернет-соединения (WAN-интерфейс не активен) и перед установлением соединения трафик проходит через правила Call Filter, если пакеты не блокируются, соединение устанавливается.

При активном состоянии WAN-интерфейса, все пакеты сразу же попадают в набор правил Data Filter, туда же попадает и весь входящий на WAN-интерфейсы трафик.Обзор маршрутизатора Draytek серии 2925. Часть вторая - 34

Рис. 22В правилах работы межсетевого экрана могут указываться объекты (определенные через меню Objects Settings), такие, как IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов, пользователи (определенные в меню User Management) и наконец, в меню CSM (Content Security Management), определить приложения, например, Skype, URL-адреса и даже тематика тех или иных сайтов при помощи системы Web Content Filter.То есть, мы можем работать с трафиком начиная с сетевого уровня и заканчивая уровнем приложений, плюс использовать систему Web Content Filter для интеллектуальной обработки трафика по тематике веб-контента, то есть создавать очень широкие правила.Ниже представлены глобальные настройки в подменю Firewall >> General Setup, далее, подменю Firewall >> Filter Setup, иллюстрирующее наборы правил межсетевого экрана, подменю Firewall >> Filter Setup >> Edit Filter Set, иллюстрирующее состав конкретного набора правил.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 35Рис. 23

Теперь рассмотрим конкретное правило в из таблицы под названием block-social

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 36Рис. 24

Во-первых, в Schedule можно указать расписание, когда правило будет работать, например, блокировать социальные сети с 9-30 до 18-00 с понедельника по пятницу. Далее, указываем направление проверки трафика в поле Direction, входящие и исходящие IP-адреса любые, тип сервиса может задаваться конкретным объектом в меню Objects Setting >> Service Type Object, а может набором объектов, и представляет из себя связку типа протокола + порт или диапазон портов.

Далее, в поле Filter указываем критерий «Pass If No Further Match» — пакеты нужно пропускать, если ни один из критериев в оставшихся правилах не совпадёт. Если пользователь обратится к социальной сети, например, ok.ru, критерий совпадёт и пакет будет заблокирован. Критерий в данном примере — это профиль в URL Content Filter, который содержит объект – группу включающую ключевые слова – адреса социальных сетей.

Ниже, я проиллюстрирую настройки, когда мы дойдём до них. Таким же образом, в правиле включаются и другие критерии, то есть в правилах межсетевого фильтра можно добавлять критерии как на сетевом уровне, так и на уровне приложений, более того, можно включить Web Content Filter, который работает ещё выше – на уровне тематики веб-контента.

Подменю DoS Defense. В маршрутизаторе реализованы детектирование и автоматическая защита от DoS атак, причём метрики порога интенсивности трафика, после которого событие считается атакой могут настраиваться вручную. Также предусмотрено отправка уведомлений об атаке.

Меню User Management

Межсетевой экран может работать в одном из двух глобальных режимов:

Rule-Based, то есть базирующийся на правилах, где объекты, например, IP-адреса станций пользователей. Администратор устанавливает правила на основании различных IP-адресов.

User-Based, то есть управление осуществляется на основании профилей пользователей. Администратор устанавливает правила на различные профили пользователей или их группы. Перед этим пользователи должны авторизоваться. После авторизации системе создаётся соответствие между именем пользователя и IP адресом, с которым он авторизовался.

Ниже представлены подменю User Management >> General Setup, где происходит переключение между работой с IP-адресами или работой с профилями пользователя.

Если с работой по IP-адресам всё понятно: администратор присваивает IP-адрес терминалу пользователя, который не должен меняться и назначает правила для IP-адреса.

Как только мы переключаемся в режим User-Based, пользователь должен авторизоваться, до этого момента он не сможет работать в сети, а при открытии браузера и попытки зайти на любой сайт он будет переадресован на страницу авторизации. Чтобы авторизоваться, профиль пользователя с соответствующими правами должен содержаться в таблице User Management >> User Profile.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 37Рис. 25

В примере есть профиль пользователя Игнат Кудрявцев, откроем профиль данного пользователя

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 38Рис. 26

Как видно, здесь можно установить таймаут на автоматический логаут в случае простоя, и ограничение на одновременное число логинов, включить внешнюю аутентификацию по протоколам LDAP или RADIUS. Также можно установить квоты на время и объём трафика, потребляемые пользователем.

Landing Page — это страница которую увидит пользователь после успешной авторизации. Можно выводить просто сообщение, как в нашем примере: «Login Success!», а можно делать переадресацию на любой веб-сайт, например, сайт компании. Для этого в настройках Landing page нужно написать строку вида:

<body stats=1><script language='javascript'> window.location='http://www.draytek.com'</script></body>

Все настройки подробно описаны в руководстве пользователя. При открытии веб-браузера и попытке зайти на любой сайт, пользователь будет переадресован на страницу авторизации, после успешной авторизации появится сообщение «Login Success!» и пользователь сможет работать в сети.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 39Рис. 27

В подменю User Group пользователей можно группировать, чтобы затем назначать группам пользователей одинаковые правила, например, по отделам компании. Подменю User Online Status служит для просмотра статуса пользователей.

Меню Objects Setting

Маршрутизаторы серии Draytek 2925 поддерживают межсетевой экран с невидимой проверкой пакетов SPI (Stateful Packet Inspection) базирующийся на объектах (Object-based), таких как: пользователь (при авторизации он получает определенный IP), IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов. Эти объекты могут быть использованы для создания правил межсетевого экрана, которые можно включать и отключать по расписанию.

В меню Objects Setting создаются и группируются различные типы объектов.

В подменю IP Object создаются объекты на основе хоста, диапазона IP-адресов или подсети, также можно использовать конкретный MAC-адрес для любого IP-адреса. В подменю IP Group из IP объектов создаются группы, которые затем можно использовать для создания правил межсетевого экрана.

То же самое для IPv6 Object и IPv6 Group с IP адресацией IPv6. В подменю Service Type Object и Service Type Group создаются и группируются объекты на основе типа протокола, портов источника и назначения.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 40Рис. 28

В подменю Keyword Object и Keyword Group создаются и группируются объекты на основе ключевых слов, затем эти объекты могут быть использованы для создания правил фильтрации, например, для URL Content Filter Profile и DNS Filter Profile в подсистеме CSM. В нашем примере мы блокируем социальные сети vk.com twitter.com facebook.com и ok.ru, для этого создали два профиля с именами social-nets и social-ok.ru содержащие данные ключевые слова и добавили их в группу social-nets-gro подменю Objects Setting >> Keyword Group. Далее, мы используем эту группу в CSM >> URL Content Filter Profile.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 41Рис. 29

В подменю File Extension Object создаются профили расширений, файлов которые могут распознаваться и применяться в правилах межсетевого экрана. Таким образом, например, можно запретить загрузку всех сжатых файлов или видео файлов с указанными расширениями. В примере запрещена загрузка любых изображений. Созданный профиль с названием blk-img затем будет использован в профиле CSM >> URL Content Filter Profile. Мы увидим это в примере ниже.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 42Рис. 30

Подменю SMS/Mail Service Object и Notification Object позволяют настроить до 10 профилей уведомлении для сервиса Application>>SMS/Mail Alert Service.

Меню CSM

Система безопасности содержимого CSM (Content Security Management), это подсистема межсетевого экрана, работающая на прикладном уровне, позволяется блокировать URL ссылки по ключевым словам и по типу содержимого, например, Java Applet, Cookies, Active X, также можно блокировать различные сетевые приложения, например, IM/P2P или по протоколам прикладного уровня, например, MySQL, SMB, SSH, UltraVPN, список сервисов и протоколов довольно внушительный. Имеется возможность блокировки DNS по ключевым словам.

В подменю APP Enforcement Profile создаются профили для фильтрации сетевых приложении которые могут использовать динамически меняющиеся порты и каждое такое приложение имеет свою специфику, например, Skype.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 43Рис. 31

В примере настроек правила межсетевого экрана таблицы Data Filter, который был приведён выше, указано данное правило.

Подменю URL Content Filter Profile отвечает за фильтрацию веб-контента. Здесь указываются ранее созданные объекты Group/Object Keyword и разрешается функции URL Access Control, тогда в каждом адресе веб-сайта будет вестись поиск по ключевым словам. В нашем примере мы добавили ранее в созданную группу social-nets-gro содержащую ключевые слова с веб-адресами социальных сетей.

В разделе Web Feature можно включить блокировку Cookie, Proxy и загрузки файлов с указанными в профиле File Extension Profile, в примере ранее, мы создали профиль 1-blk-img.

Созданный профиль social назначается в правиле межсетевого экрана в поле URL Content Filter.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 44Рис. 32

Когда правило сработает при попытке открыть, например, vk.com, пользователь увидит сообщение из поля Administration Message, пример содержимого такого поля приведен на предыдущем изображении.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 45Рис. 33

Подменю Web Content Filter Profile. Ещё один мощный инструмент CSM — система GlobalView Web Content Filter. Предназначена для фильтрации нежелательного контента на тематическом уровне, то есть, например, сайты с тематикой порно, криминал, азартные игры и прочее. Администратор создаёт профили, где указывает тематику сайтов и назначает их в правила межсетевого экрана, затем указывает что делать при совпадении правила, например, заблокировать. Web Content Filter лицензируется, но пробную лицензию для тестирования можно получить бесплатно.

Ниже представлена настройка профиля по категориями:

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 46Рис. 34

Подсистема DNS Filter Profile проверят и блокирует DNS запросы на 53 порт UDP в соответствии с назначенным профилем URL Content Filter Profile или Web Content Filter Profile. Также можно кастомизировать сообщение, которое будет выводиться пользователю при блокировке ресурса.

Меню Bandwidth Management

Подменю Bandwidth Management >> Sessions Limit служит для ограничения количества NAT с сессий с IP-адресов LAN, которые могут быть одновременно установлены. Например, P2P (Peer to Peer) приложениям обычно требуется множество одновременных сессий, и они потребляют много сетевых ресурсов. Также можно ограничить число сессий по умолчанию с любого IP.

В подменю Bandwidth Management >> Bandwidth Limit устанавливаются ограничения на утилизацию полосы пропускания для хостов и диапазонов IP-адресов. Причем, работа правил может настраиваться по расписанию, можно отдельно ограничить полосу для входящего и исходящего трафика.

В подменю Bandwidth Management >> Quality of Service настраивается качество обслуживания трафика. Сначала трафик при помощи правил классифицируется по критериям таким как IP источника и назначения, тип сервиса и код DiffServ. Затем, каждому классу трафика резервируется свой процент общей полосы пропускания указанного интерфейса.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 47Рис. 35

Кстати приоритезация для VoIP трафика по умолчанию включена.

Меню Applications

Данное меню содержит настройки служебных приложений, которые помогают выполнить тонкую настройку отдельных функций.

Например, в подменю Schedule, настраиваются профили расписания, которые используются в различных настройках функций и правил маршрутизатора, всего в расписании можно создать до 15 записей.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 48Рис. 36

В меню LAN DNS можно указать соответствие IP адреса и доменного имени в локальной сети. В меню RADIUS и Active Directory /LDAP можно опционально включить авторизацию пользователей на соответствующих названиям подменю серверах. В подменю IGMP можно разрешить IGMP проксирование или IGMP snooping для мульткаст трафика, например, IP TV.

Отдельного внимания заслуживает подменю High Availability, которое служит для настройки резервирования аппаратных и программных ресурсов основного маршрутизатора 2925 резервным и резервными маршрутизаторами, в случае выхода основного из строя. Для этого необходимо выполнить следующие действия:

1) разрешить режим High Availability – высокой доступности на основном и резервном(-ых) маршрутизаторах2) установить самый высокий уровень Priority ID на основном маршрутизаторе, и уровни ниже на резервном или резервных маршрутизаторах3) установить одинаковые Redundancy Method/Group ID/Authentication Key на основном и резервных маршрутизаторах4) установить интерфейс управления в одной подсети для основного и резервных маршрутизаторах.5) разрешить виртуальный IP-адрес для каждой используемой подсети и установить одинаковый виртуальный IP-адрес на каждом маршрутизаторе.

Резервирование может работать в двух режимах:

Hot-Standby – такой способ подходит для использования одного интернет-подключения:

  • Все WAN на резервных маршрутизаторах должны быть выключены при помощи функции HA
  • Настройки WAN основного и резервных маршрутизаторов должны быть одинаковы

Когда функция HA начнёт работать на маршрутизаторах, беспроводная сеть будет автоматически разрешена на основном маршрутизаторе, а на резервном маршрутизаторе она автоматически выключится. Все клиенты смогут подключаться только на основной маршрутизатор.

Дополнительно устанавливается период синхронизации конфигураций с основного на резервный маршрутизатор. Конфигурация может синхронизироваться между 10 маршрутизатором максимум.

Active-Standby – такой способ подходит для использования нескольких интернет-подключений.

  • Все WAN на резервных маршрутизаторах должны быть включены. Пользователи могут маршрутизировать трафик на эти интерфейсы.
  • Настройки WAN интерфейсов на основном и резервных маршрутизаторах не должны быть одинаковыми
  • Синхронизация конфигурации между маршрутизаторам должна быть выключена

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 49Рис. 36-1

Меню VPN and Remote Access

Маршрутизатор поддерживает до 50 VPN* туннелей типа LAN-to-LAN для создания безопасного подключения между сетями организации или создания VPN-подключения с удалённых рабочих мест надомных сотрудников, используя протоколы SSL/PPTP/IPSec/L2P/L2TPover IPSec. Шифрование AES/DES/3DES и возможность IKE аутентификации обеспечивают повышенную надёжность. Использование сдвоенного WAN соединения позволяет использовать не только схему балансировки нагрузки, но и резервирования. Поэтому, если основной канал VPN канал станет недоступным, его заменит резервный VPN канал.

Кстати функции VPN в Draytek настраиваются очень просто. Буквально за пару кликов можно настроить как соединения типа LAN-to-LAN, так и доступ с удалённых рабочих мест. У Dryatek есть свой VPN-клиент для упрощения подключения рабочих мест, называется он Draytek Smart VPN Client, приложение бесплатно доступно для скачивания на сайте draytek.com.

* В официальных поставках маршрутизаторов на территорию РФ удалены все программные средства шифрования, не соответствующие ГОСТами, поэтому в такой прошивке есть только поддержка PPTP без шифрования. Это можно исправить путём установки штатного ПО, которое можно скачать с сайта draytek.com.

В подменю Remote Access Control Setup включаются протоколы VPN на глобальном уровне, в подменю IPsec General Setup указывается Pre-Shared Key для метода IKE Authentication, указываются методы шифрования. Например, укажем ключ draytek.commmmm

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 50 Рис. 37

В подменю Remote Dial-in User указываются пользователи которые могут подключаться по VPN со своих удалённых мест к локальной сети LAN маршрутизатора.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 51Рис. 38

В списке Status, видно, что пользователь ignat в статусе «онлайн», так как помечен зелёным цветом.

В примере ниже, пользователь ignat подключается по PPTP, второй пользователь будет подключаться через туннель IPSec по преднастроенному выше preshared key= draytek.commmmm.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 52Рис. 39

Для подключения со стороны клиента я использовал Draytek Smart VPN Client, он устанавливается и настраивается в два клика.

Ниже пример для PPTP.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 53Рис. 40

Аналогичным образом настраивается второй VPN-клиент который будет динамически подключаться по preshared ключу который мы ранее указали в подменю IPsec General Setup как draytek.commmmm.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 54Рис. 42

После успешного подключения в подменю Connection Management мы увидим активные соединения.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 55Рис. 43

Подменю LAN to LAN служит для настройки VPN соединений межу двумя сетями. Создаётся профиль LAN-to-LAN, в нём указываются все необходимые для создания подключения настройки: тип соединения – входящее, исходящее или двухсторонне, протокол VPN – PPTP, L2TP with IPsec Policy или IPsec Tunnel, в зависимости от протокола, специфические настройки, например, логин или пароль или IKE Pre-Shared Key, метод шифрования и прочее. На самом деле, настроек не так много, и они простые в общем случае. Указывается, какую локальную сеть должна «видеть» удалённая сторона и в какую удалённую сеть маршрутизировать трафик через данное VPN-соединение.

После сохранения настроек соединения, локальная сторона будет инициировать соединение или ожидать входящее соединение от удалённой стороны — в зависимости от настроек.

Установленное соединение можно также посмотреть в подменю Connection Management.

Меню Central VPN Management

В данном меню настраивается централизованное управление VPN-подключениями и некоторыми сервисными функциями между Draytek 2925 и удаленными маршрутизаторами. Настройка очень простая – буквально в несколько действий.

В подменю CVM >> General Setup устанавливаются настройки авторизации, которые затем должны быть скопированы на удалённое клиентское устройство, в нашем примере, через SSL:

https://192.168.85.156:8443/ACSServer/services/ACSServlet, с username=acs и паролем.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 56Рис. 43-1

Далее, на удалённом устройстве в подменю System Maintenance >> TR-069 нужно разрешить управление им при помощи ввода настроек указанных выше:

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 57

И отметить галкой поле Allow management from the Internetв подменю System Maintenance>> Management Setup.

Далее, нужно перезагрузить удалённый маршрутизатор и снова авторизоваться в веб-интерфейсе Draytek 2925.

Если настройка выполнена корректно, в подменю Central VPN Management>>CPE Management вы увидите только что добавленное устройство.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 58Рис. 43-3

Теперь удалённый маршрутизатор, в нашем примере это Vigor2860n+, можно настраивать из веб-интерфейса Draytek 2925. Кроме настройки и мониторинга VPN-туннелей, на удалённом маршрутизаторе можно обновлять версию ПО, сохранять и восстанавливать конфигурацию, выполнять перезагрузку. Делать это можно как для одного устройства, так и для группы устройств. Подробны инструкции, в том числе в формате «how to» есть в руководстве пользователя.

В подменю CVM >> VPN Management служит для настройки и мониторинга VPN-туннелей.

Для этого, нужно кликнуть на удалённый маршрутизатор, который нужно настроить, и выбрать тип VPN-туннеля. При нажатии на тип туннеля, например, IPSec, он будет создан и активирован автоматически.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 59Рис. 43-4

При нажатии на ссылку Refresh, будет видно, статус созданного VPN-соединения.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 60Рис. 43-5

При этом LAN to LAN profile будет создан автоматически. Если необходимо, профили можно скорректировать вручную, единственное ограничение – нельзя изменять имя VPN-профиля, так как это может вызвать ошибку в работе инструмента Central VPN Management.

Меню Central AP Management

Данное меню служит для автоматического обнаружения, настройки и сервисного обслуживания точек доступа Draytek.

В подменю Central AP Management >> Dashboard отображаются активные точки доступа. Причём Draytek 2925 автоматически находит дочти доступа в сети и отображает их в данном подменю.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 61Рис. 43-6

Подменю Central AP Management >> WLAN Profileсодержит профили настроек точки доступа.WLAN профиль назначается на точку доступа, затем тока доступа автоматически настраивается или перенастраивается в соответствии с указанными в профиле настройками.

Рис. 43-7Обзор маршрутизатора Draytek серии 2925. Часть вторая - 62

Для применения профиля на точку доступа, нужно отметить профиль галкой, затем нажать кнопку Apply To Device и выбрать нужное устройство.

Ниже представлены детальные настройки профиля, настройка происходит в четыре шага: на четырёх страницах последовательно выставляются все настройки. Как можно убедиться из примера, настроек очень много.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 63Рис. 43-8

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 64Рис. 43-9

По завершении редактирования профиля, на четвёртой странице, следует нажать кнопку Finish для сохранения всех выполненных в профиле настроек.

В подменю Central AP Management >> Status отображается список всех точек доступа, их статус и детальные настройки.

В подменю Central AP Management >> AP Maintenance, для одной точки доступа или группы, можно выполнять следующие сервисные функции: сохранение и восстановление конфигурации, обновление встроенного ПО, перезагрузка, сброс к заводским настройкам.

Далее, следует группа подменю для мониторинга точек доступа: Traffic Graph – графическое представление суммарного траффика от точек доступа, Rogue AP Detection – детектирование «своих» и «чужих» точек доступа, Event Log – просмотр журнала событий, Total Traffic – трафик проходящий через сконфигурированные сегменты локальной сети, Station Number – общее число активных беспроводных клиентов.

В подменю Central AP Management >> Load Balance настраивается балансировка нагрузки посредством указания максимального числа беспроводных клиентов на сеть 2.4GHz и 5GHz и шейпинг входящего и исходящего трафика на каждого беспроводного клиента.

В подменю Central AP Management >> Function Support List отображается список поддерживаемых функций для текущей прошивки в зависимости от модели точки доступа. Информация на двух вкладках – для клиента и для сервера.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 65Рис. 43-10

Меню Wireless LAN

Маршрутизатор, зависимости от модели, поддерживает беспроводную сеть стандарта802.11ac, 802.11n, n-plus и имеет две или три всенаправленные антенны. Настроек функций беспроводной сети в маршрутизаторе большое количество.

Устройство поддерживает до 4-х независимых беспроводных сети со своими настройками, причём для каждой из сетей можно ограничить максимальную полосу для исходящего и входящего трафика, а также включить расписание в соответствии с которым будут работать эти ограничения.

Ниже для иллюстрации настроек представлены подменю General Setup и Security Settings. Настройки очень наглядны.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 66Рис. 44

Для каждой из 4х беспроводных сетей настраиваются свои параметры безопасности, включая фильтры MAC-адресов. Для каждой сети можно включить квоту времени использования Wi-Fi на основании MAC-адреса и таймаут на повторное предоставление квоты.

Ниже представлено подменю Station List, в котором видны, подключённые в данный момент, беспроводные терминалы.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 67Рис. 45

Кроме этого, в подменю Access Control, можно включить фильтр MAC-адресов, причём создать как белые, так и чёрные списки MAC-адресов. Списки можно сохранять в файл на компьютер или выгружать из файл при необходимости.

В подменю Advanced Setting содержатся тонкие настройки радиоканала, например, исходящая мощность сигнала, режим работы, ширина канала, длина фрагментов и другие.

Беспроводная есть также поддерживает настройку через WPS (Wi-Fi Protected Setup) и WDS настройки, которые можно найти в соответствующих подпунктах меню Wireless LAN.

Меню SSL VPN

В маршрутизаторе Draytek 2925 можно сконфигурировать доступ к приложениям через SSL VPN при помощи обычного веб-браузера.

Такой способ даёт определенный преимущества перед традиционным VPN, среди которых отсутствие необходимости в дополнительного ПО, например, VPN-клиента для создания защищённого подключения, другое преимущество: меньшее количество ограничений для шифрования данных при помощи SSL по сравнению с традиционным SSL.

Сервис глобально разрешается установкой галки для опции Enable SSL VPN Service в подменю VPN and Remote Access >> Remote Access Control Setup.

Далее, в подменю SSL VPN >> General Setup указывается на каких WAN интерфейсах доступен сервис и на каком порту. По умолчанию 443. Советую поменять его на другой, во избежание конфликтом стандартным портом для веб-управления Draytek.

Далее, по аналогии с приведёнными выше настройками VPN PPTP и PPTP, в подменю SSL VPN >> Remote Dial-in User необходимо сконфигурировать пользователей, которые смогут использовать SSL VPN путём установки галки для опции SSL Tunnel.

Теперь в подменю SSL VPN >> SSL Web Proxy необходимо указать URL адреса для которых необходимо открыть доступ через VPN SSL. В меню SSL VPN >> SSL Application можно выбрать приложение и хост и порт, например, RDP на 192.168.1.50:3389 которые будут проброшены по VPN SSL.

После сохранения всех настроек, пользователь открывает веб-браузер, вводит IP и порт на WAN интерфейсе, где работает VPN SSL сервис, авторизуется при помощи полученных от администратора имени и пароля, затем попадает на страницу с доступными ему VPN SSL сервисами.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 68Рис. 45-1

В подменю SSL VPN>> Online Status будут отображаться активные подключения.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 69Рис. 45-2

Меню USB Application

На маршрутизаторе есть USB-порт, который может быть использован в трёх различных режимах. Во-первых, подключения USB модема 3G/4G для резервирования Интернет-соединения или как основное Интернет-соединение, если других способов подключения к Интернет не имеется.

Во-вторых, подключения USB-принтера к маршрутизатору, который становится принт-сервером и им смогут воспользоваться пользователи, настроив к нему доступ по сети.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 70Рис. 46

На изображении выше, пример, в котором USB-порт используется для подключения накопителя и обмена файлами по сети по протоколам FTP и SMB. Созданы два пользователя с разными домашними директориями.

На изображении ниже, пример подменю USB Device Status, где мы видим, что к USB-порту подключен накопитель объёмом 8 Гигабайт и виден список активных пользователей, которые подключены к нему по сети.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 71Рис. 47

В-третьих, подключить USB-накопитель и предоставить общий доступ к файлам диска по FTP или NetBios/SMB. Список поддерживаемых модемов можно посмотреть в подменю Modem Support List, а список LAN клиентов можно посмотреть в подменю SMB Client Support List.

При подключении 3G/4G модема или принтера, их статус будет отражаться на соответствующих вкладках Modem и Printer подменю USB Device Status.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 72Рис. 47-1

Меню System Maintenance

В меню собраны сервисные функции маршрутизатора. Здесь можно установить новый пароль для пользователей с правами User и Administrator, настроить протокол TR-069 для внешнего управления устройством. В подменю Configuration Backup можно сохранить текущую конфигурацию роутера или восстановить из ранее сохраненной. Подменю Configuration Backup служит для настройки отправки по сети системных журналов SysLog, можно также указать какие из журналов нужно записывать. Дополнительно, можно настроить отправку уведомлений по электронной почте.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 73Рис. 48

К слову, у Draytek есть бесплатная утилита для упрощения просмотра и хранения syslog на удалённом компьютере. Называется она Draytek Syslog. Ниже приведён снимок экрана интерфейса.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 74Рис. 49

В подменю Management выполняется настройка разрешений на удалённое управление. Причём в случае необходимости, нужно отдельно разрешить управление из Интернета, то есть с WAN интерфейсов.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 75Рис. 50

Меню Diagnostics

Функций диагностики на маршрутизаторе большое количество, мне это очень нравится — практически любую задачу по диагностике состояния можно решить через это меню.

В подменю Routing Table полная таблица маршрутизации, в ARP Cache Table список всех MAC-адресов в локальной сети, в DHCP-Table список всех активных DHCP-клиентов, есть таблицы NAT-сессий и кэша DNS-записей.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 76Рис. 51

Конечно же присутствуют Ping и Traceroute. Есть возможность включения и локального просмотра системных логов маршрутизатора, причём они разбиты по типам основных подсистем: VPN, Firewall, WAN и другие.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 77Рис. 52

В подменю Traffic Graph можно, в графическом виде, оценить утилизацию WAN интерфейсов или число сессий.

Обзор маршрутизатора Draytek серии 2925. Часть вторая - 78 Рис. 53

Выводы

Мы постарались максимально подробно рассмотреть серию маршрутизаторов Draytek 2925 на примере модели 2925n и надеемся, что нам это удалось. Это устройство содержит максимальное число сетевых функции в одном корпусе и идеально подходит для офиса среднего размера или ресурсоёмких корпоративных сетей, поэтому, приобретая его, владелец экономит деньги за счет отсутствия необходимости приобретать дополнительное сетевое оборудование, которое могло бы реализовать отдельные функции Draytek 2925n, например, межсетевой экран, точку доступа, VPN-концентратор, сетевой принтер или NAS-сервер для хранения общих документов. Drayatek 2925 – это собирательное название модельного ряда маршрутизаторов, включающего 6 различных моделей, которые отличаются стандартами и скоростью работы беспроводных сетей и наличием функций VoIP.

В первой части обзора мы определили позиционирование устройства, подробно рассмотрели типовой сценарий использования маршрутизатора, подробно описали все ключевые характеристики и преимущества, посмотрели подробную техническую спецификацию – она впечатляет. Дополнительное программное обеспечение Draytek VigorACS SI, для больших инсталляций, позволит без труда управлять и обслуживать огромный парк маршрутизаторов. Для единичной инсталляции используется программное обеспечение Draytek Smart Monitor, предназначенное для мониторинга и анализа трафика, оно станет незаменимым помощником для отладки сети и мониторинга пользователей. В маршрутизаторах серии 2925 есть инструмент под названием Central VPN Management для централизованного управления VPN-подключениями между Draytek 2925 и удаленными маршрутизаторами. При помощи данного инструмента VPN-соединение между маршрутизаторами может быть создано и установлено в два клика.

Для облегчения задач управления и мониторинга беспроводных точек доступа в локальной сети, маршрутизатор Dryatek 2925 имеет встроенный инструмент под названием AP Central Management, который позволяет из веб-интерфейса централизовано настраивать и мониторить точки доступа, при этом настройка точек крайне проста и осуществляется в несколько кликов.

Отдельного внимания заслуживают возможности настройки функций высокой доступности High Availability, которые служат для резервирования аппаратных и программных ресурсов основного маршрутизатора 2925 при помощи «запасных» маршрутизаторов Draytek, в случае выхода основного из строя, а также балансировки трафика между маршрутизаторами и WAN подключениями.

Мы посмотрели комплектацию и внешний вид устройства, индикацию и интерфейсы, затем протестировали максимальную пропускную способность маршрутизатора в нескольких режимах. Все результаты соответствуют заявленным производителем характеристикам.

Во второй части обзора, которую вы сейчас читаете, мы детально рассмотрели каждый пункт меню, с примерами настройки таких функции и интерфейсов как WAN и LAN, балансировка нагрузки и политики маршрутизации, беспроводная сеть, VPN, межсетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора. На примерах рассмотрели такие важные функции как SSL VPN, создания кластера высокой доступности High Availability, инструменты централизованного управления точками доступа и VPN-соединениями при помощи Central AP Management и Central VPN Management. Что касается документации, здесь тоже порядок, кроме официальных руководств, в Интернете и на сайтах Draytek есть множество примеров настройки маршрутизаторов и интеграции их с оборудованием других производителей.

Маршрутизатор Draytek 2925n очень функционален, и прост в настройке, может управляться через веб-браузер, интерфейс командной строки CLI или протокол TR-69. Кроме того, дополнительное ПО VigorACS SI и Smart Monitor для мониторинга и управления как отдельными устройствами, так и большим парком в сотни или тысячи устройств поможет существенно сократить затраты на инсталляцию и техническое обслуживание устройств. Устройство обладает очень широким возможностями в купе с «гигабитом», который может понадобиться предприятию уровня SMB+ или небольшому филиалу крупной компании, которые «переросли» предельную скорость сетевых подключений в 100Мбитс и нуждаются в сотнях мегабит в локальной сети и на WAN-интерфейсах к Интернет-провайдеру. Поэтому, устройство имеет огромный потенциал для использования в ресурсоёмких корпоративных сетях. Нагрузочное тестирование показало неплохие результаты, других результатов я не ожидал, ведь устройство совсем не начального уровня, поэтому обязано быть производительным.

Автор: Цифровой Ангел

Источник

www.pvsm.ru


Смотрите также