Обзор Роутера Серии Draytek 2925. Часть Вторая

В первая часть обзора серии роутеров Draytek 2925n мы подробно рассмотрели, как устройство позиционируется на рынке, как используется роутер, его ключевые функции и примеры их использования, ознакомились с подробными техническими характеристиками, рассмотрели оборудование и внешний вид роутера, а также подробно рассмотрел функции индикаторов и интерфейсов устройства.

Полученные результаты наглядно демонстрируют широкие возможности роутера вкупе с «гигабитом», которые могут понадобиться предприятию уровня SMB и SMB+ или небольшому филиалу крупной компании, «переросшему» максимальную скорость сетевых подключений 100 Мбит/с и нужны сотни мегабит в локальной сети и на WAN-интерфейсах к интернет-провайдеру.

Поэтому устройство имеет огромный потенциал для использования в ресурсоемких корпоративных сетях.

Нагрузочное тестирование, результаты которого вы можете прочитать в первой части обзора, показало хорошие результаты.

Первая часть обзора доступна по этой ссылке.

В этой части обзора мы подробно рассмотрим веб-интерфейс устройства, познакомимся с его возможностями и примером настройки таких функций и интерфейсов, как WAN и LAN, Балансировка нагрузки, беспроводная сеть, VPN (PPTP, IPSec и SSL), межсетевой экран, NAT, специальные инструменты для автоматической настройки и централизованного управления точками доступа - Central AP Management и VPN-соединения на удаленных маршрутизаторах - Central VPN Management, управление пропускной способностью, функция создания высокодоступного кластера из нескольких маршрутизаторов, а также функции USB, диагностика и мониторинг роутера.

Ниже приведена общая схема подключения роутера.

Рис.

0



Рис.

0-1 Обратите внимание, что все порты Ethernet, а также все порты WAN и LAN являются «гигабитными».

По умолчанию на роутере имеется открытая беспроводная сеть под названием Draytek и включен DHCP-сервер, вы можете подключиться к ней или использовать один из портов LAN. Подключившись к роутеру с ПК и успешно получив IP-адрес из сети 192.168.1.0/24, откроем его веб-интерфейс; для этого в веб-браузере вам необходимо ввести IP-адрес локальной сети по умолчанию 192.168.1.1, имя пользователя: admin, пароль: admin. Рекомендую немедленно сменить пароль на более безопасный.

Рис.

1 Добираемся до меню» Статус онлайн", где отображается основная информация об устройстве



Рис.

2 Ниже, на изображении, меню « Панель приборов", где наглядно показана схема подключения роутера к WAN, LAN и беспроводным WLAN сетям.

Просто и понятно



Рис.

2-1 Обратите внимание, что на роутерах, поставляемых в Россию, предустановлена прошивка версии 3.7.8.2_R, эта прошивка отличается от обычной тем, что в ней нет другого шифрования, кроме протокола PPTP, выглядит она так:



Рис.

3 Если этого недостаточно, можно установить полную прошивку, скачав ее с Draytek.com в разделе Поддержка -> Загрузки -> Прошивка – серия Vigor2925 .

Я выбрал последнюю 3.8.2.3 и скачал ее, затем разархивировал и открыл в веб-интерфейсе роутера Обслуживание системы > > Обновление прошивки и укажите файл v2925_3823.all, затем нажмите "Обновление" .

Рис.

4 После успешного обновления перезагрузите роутер и получите последнюю прошивку без каких-либо ограничений.

Для наглядности ниже приведено изображение сетевой схемы роутера Draytek 2925n, с помощью которого мы рассмотрим его веб-интерфейс, а также некоторые примеры настройки функций.

Рис.

4-1 Для подключения к Интернету мы используем два WAN-интерфейса с несколькими правилами маршрутизации; в случае сбоя на первом канале трафик автоматически пойдет через резервный.

Мы используем две подсети: LAN0=192.168.1.0/24 и LAN1=192.168.2.0/24. И три беспроводные сети с SSID: DrayTek, DrayTek_Guest и DrayTek_Unencrypted. Они подключаются через настройки VLAN к беспроводным сетям.

Удаленные клиенты могут подключаться через VPN с помощью Smart VPN Client и протоколов PPTP и IPSec. Для приложения SmartMonitor включено зеркалирование с портов LAN. В целом, вне зависимости от модели роутера Draytek, структура меню имеет схожую организацию; некоторых функций вы можете не найти, а можете найти их больше, чем в другой модели или версии прошивки, но структура остается прежней.

Слева расположен блок пунктов глобального меню, структурированный по подсистемам маршрутизатора: Мастера быстрой настройки (Мастера), настройки проводных WAN и LAN-интерфейсов, затем блок настроек межсетевого экрана (Брандмауэр, Настройки объектов, CSM) и Управление пользователями, затем блок настроек специальных приложений роутера (Приложения).

Далее за централизованное управление беспроводными точками Draytek отвечают два пункта меню — Central AP Management и централизованное управление VPN на маршрутизаторах Draytek — Central VPN Management. Далее идет блок настроек VPN, далее следует меню, отвечающее за настройку беспроводной сети (Wireless LAN), отдельное меню настройки USB-порта (USB-приложение) и наконец меню сервисных функций (Обслуживание системы) и роутера.

Меню диагностики (Диагностика).

Все элементы структурированы просто и логично, в соответствии с функциями сети, без какой-либо специфической и запутанной логики.

Каждый пункт глобального меню включает в себя один или несколько подпунктов.

Давайте рассмотрим пункты основного меню, так как роутер имеет конфигурацию, соответствующую той схеме сети, которая была представлена выше; взглянув на новые пункты меню, станет понятно, как настраиваются те или иные сетевые функции.

Меню Мастеров

Они представляют собой цепочку из нескольких диалоговых окон; в последнем окне отображается список всех сделанных настроек и кнопка «Готово» для их применения.

Мне показалось, что эти мастера для совсем ленивых администраторов, так как и без них настроить базовые функции на роутере не составит труда.

Мастер быстрого запуска – служит для быстрой настройки WAN-подключения 1-3 интерфейсов.

Мастер активации услуги — активирует интеллектуальный тематический фильтр сайтов Фильтр веб-контента .

Следующие мастера Мастер VPN-клиента и Мастер VPN-сервера Мне они показались интересными, с их помощью легко настроить работу VPN в режимах LAN-to-LAN и Remote Dial-in User, активировать услугу и зарегистрировать пользователей.

Ниже приведен пример трех шагов по добавлению и активации пользователя VPN. Мы выбрали PPTP, далее нам нужно настроить параметры на стороне клиента, мы будем использовать клиент Draytek Smart VPN. Вернемся к настройкам VPN в меню.

VPN и удаленный доступ .

Рис.

5



Рис.

6



Рис.

7 Владелец Мастер беспроводной связи служит для первоначальной настройки беспроводной сети.

Ниже показано последнее окно завершения работы мастера.

Рис.

8 В пару кликов настраивается беспроводная сеть.

Меню Онлайн-статус

Рис.

9 Более подробную информацию о состоянии системы можно найти в Обслуживание системы -> Статус системы .

WAN-меню

В нашем примере активны WAN 1 и 2:



Рис.

10-1 Настройки Режим балансировки нагрузки доступно при одновременном использовании двух или трех WAN-интерфейсов.

Мы используем режим Автоматический вес , в этом режиме роутер автоматически распределяет нагрузку.

Интерфейс WAN 3 можно использовать при подключении модема 3/4G. Ниже представлена подробная настройка интерфейса WAN 2, мы используем режим балансировки нагрузки.

Рис.

10-2 В подменю Доступ в Интернет интерфейсы настраиваются напрямую.

Рис.

10-3 Пойдем Страница подробностей WAN 2 , вот настройки режима подключения, используем статический IP, на первом интерфейсе работает DHCP-клиент. Помимо использованных нами способов, вы можете подключиться к Интернету по протоколам PPTP/L2TP или PPPoE, а также IPv6.



Рис.

одиннадцать Подменю Мульти-VLAN позволяет администратору создавать профили для конкретного физического интерфейса WAN 1-2 и создавать мост с LAN-интерфейсами локальной сети для достижения максимальной пропускной способности.

Рис.

12 То есть на основе физического интерфейса WAN 1-2 создаем дополнительный виртуальный WAN 5-7 в указанном нами VLAN и «мостим» его с необходимыми LAN портами 1-3 (порт 4 может работать только в режиме NAT) , опционально мы можем назначить IP-адрес виртуальному интерфейсу WAN 5-7 вручную или получить по DHCP, то есть сделать его L3. Например, мы можем перенаправить IPTV-трафик из WAN в LAN. Подменю Мульти-VLAN отвечает за бюджетирование или ограничение объема трафика через WAN-интерфейсы.

Бюджет трафика распределяется на определенный интервал времени, который определяется администратором.

По истечении интервала счетчик израсходованного трафика обнуляется и включается снова.

Администратор указывает действие, которое произойдет, если бюджет трафика будет израсходован до истечения временного интервала, это может быть: выключить интерфейс, отправить уведомление по электронной почте или SMS-сообщением.

Ниже приведены изображения списка интерфейсов и подробные настройки на примере интерфейса WAN1.



Рис.

12-1



Рис.

12-2

Меню локальной сети

Роутер поддерживает два независимых сегмента локальной сети со своими настройками, по умолчанию это 192.168.1.1/24 и 192.168.2.1/24, также можно добавить одну маршрутизируемую сеть.

В обоих сегментах включен DHCP, который выдает IP-адреса подключающимся пользовательским терминалам.

Кстати, DHCP-сервер можно настроить на передачу любых дополнительных опций DHCP; это очень удобно, если в сети есть специализированные сервисы, например TFTP-сервер.

Рис.

13 Кроме того, вы можете включить или отключить маршрутизацию между локальными сетями 1–5 в разделе «Маршрутизация между локальными сетями».

В следующем подменю LAN > > Настройка статического маршрута Вы можете добавить до 10 статических маршрутов к другим сетям за IP-адресами в подсетях LAN 1–5. Подменю Локальная сеть > > Конфигурация VLAN позволяет объединить указанные порты LAN P1-5 с SSID беспроводных сетей 1-4 в одну VLAN и при необходимости добавить теги VLAN с приоритетами.

При включении VLAN Tag трафик с тегами, указанными в поле VID, будет появляться на соответствующих LAN-портах; теги не передаются по беспроводным сетям.

В нашем примере есть две независимые VLAN. VLAN0 включает в себя LAN-порты P 2-5 и беспроводную сеть с SSID1 — все это находится в сегменте LAN 1. В состав VLAN1 входит порт P1 и беспроводные сети с SSID2 и SSID3 — все это находится в сегменте LAN 2.



Рис.

14 Маршрутизатор может работать в режиме создания нетегированных VLAN на основе портов или VLAN на основе VID-тегов.

Следующий пункт подменю LAN > > Привязка IP к MAC .

Позволяет создавать списки с совпадением MAC-адресов и IP-адресов.

Если функция включена, все назначенные IP-адреса MAC-адресам не могут быть изменены.

Созданные листы можно сохранить в файл и восстановить конфигурацию маршрутизатора из ранее сохраненного файла.

В меню LAN > > Зеркало порта LAN вы можете включить копирование всего трафика из указанных локальных сетей Зеркальный порт получателю Зеркальный порт .

Эта функция полезна при отладке сети с помощью сниффера или при использовании приложения для мониторинга и анализа сетевой активности Draytek Smart Monitor, информацию об этом приложении можно найти в первой части данного обзора.

В отличие от роутера Draytek 2912, обзор которого в двух частях доступен по следующим ссылкам: часть 1 И часть 2 , в модели 2925 для каждого порта можно указать, какой трафик зеркалировать: только входящий Rx, только исходящий Tx или и то, и другое.

Рис.

15 Подменю Проводной 802.1X включите аутентификацию 802.1X для любого из 5 портов LAN. При этом функция может работать в двух режимах: локальная аутентификация 802.1X (настраивается через меню «Профиль пользователя») или через внешний RADIUS-сервер.

Рис.

15-1 Подменю Локальная сеть > > Настройка веб-портала позволяет определить профили, которые закреплены за интерфейсами LAN или WLAN-беспроводной сети, и указать в них URL-ссылку сайта для автоматического перенаправления пользователя при первой попытке открыть веб-страницу после подключения через интерфейс, указанный в профиле , например, SSID1.



Рис.

16 Эта функция используется в рекламных целях или для уведомления пользователя, подключающегося к Интернету через сеть конкретной компании.

В примере при первой попытке открыть любую веб-страницу пользователь будет перенаправлен на сайт. www.ucexpert.ru , где вверху экрана будет сообщение с просьбой к пользователю нажать кнопку «Продолжить», чтобы продолжить веб-сессию и перейти на нужный сайт. Ниже приведен пример такой страницы.

Рис.

17

Меню «Балансировка нагрузки/Политика маршрутизации»

18 В примере пакеты, выходящие с любых IP-адресов LAN-маршрутизатора на IP 8.8.8.8, будут проходить через WAN1, второе правило работает аналогично, только для IP-адреса назначения 8.8.4.4 и пакеты пройдут через WAN2. Третье правило определяет всю подсеть, четвертое правило указывает, что весь трафик должен отправляться через WAN1, а в случае сбоя WAN1 его следует отправлять в WAN2. Каждое правило имеет приоритет; чем оно ниже, тем быстрее правило выполняется.

На следующем изображении показаны критерии, по которым можно задать правило, их довольно много, также можно определить, куда отправлять пакет, если правило не работает.



Рис.

19 На следующем рисунке показана диагностика маршрута.

Рис.

20

Меню NAT

Подменю DMZ-хост позволяет установить по одному хосту DMZ в локальной сети LAN для каждого из WAN-интерфейсов.

Подменю Открытые порты позволяют вам сохранять определенные диапазоны портов открытыми для специальных приложений, таких как P2P, и направлять их на определенные IP-адреса в локальной сети.

Рис.

21 Запуск порта это вариация Открытые порты .

Если после активации правила «Открытые порты» указанные порты постоянно открыты, то при применении правила Запуск порта , указанные порты будут открыты только при совпадении условий правил, затем порты снова закроются по истечении таймаута.

Работа функции в соответствующем пункте подменю определяется набором правил.

Меню аппаратного ускорения

Причем функцию можно включить как автоматически, так и вручную — укажите для какого хоста IP-адрес и протокол UDP\TCP с диапазоном портов и включите эту функцию.

Рис.

21-1

Меню брандмауэра

Межсетевой экран можно разделить на 3 подсистемы:

1. Настраиваемый пользователем IP-фильтр на основе наборов правил фильтра вызовов/фильтра данных.

2. Фильтр проверки пакетов с отслеживанием состояния (SPI)
3. Защита от атак типа «отказ в обслуживании» (DoS)/распределенных DoS (DDoS)

Набор правил Фильтра вызовов используется для трафика, направляемого из локальной сети в WAN при отсутствии активного подключения к Интернету (интерфейс WAN не активен) и перед установкой соединения трафик проходит через правила Фильтра вызовов; если пакеты не блокируются, соединение устанавливается.

Когда WAN-интерфейс активен, все пакеты сразу попадают в набор правил Data Filter, туда же попадает и весь трафик, поступающий на WAN-интерфейсы.

Рис.

22 Правила брандмауэра могут указывать объекты (определяемые через меню «Настройки объектов»), такие как IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов, пользователи (определяются в меню «Управление пользователями»).

и, наконец, в меню CSM (Content Security Management) определите приложения, например Skype, URL-адреса и даже темы определенных сайтов с помощью системы Web Content Filter. То есть мы можем работать с трафиком от уровня сети до уровня приложений плюс использовать систему Web Content Filter для интеллектуальной обработки трафика по тематике веб-контента, то есть создавать очень широкие правила.

Ниже представлены глобальные настройки в подменю Брандмауэр > > Общая настройка , следующий, подменю Брандмауэр > > Настройка фильтра , иллюстрирующий наборы правил брандмауэра, подменю Брандмауэр > > Настройка фильтра > > Редактировать набор фильтров , иллюстрирующий состав определенного набора правил.

Рис.

23 Теперь давайте посмотрим на конкретное правило в таблице под названием «block-social».

Рис.

24 Во-первых, в Расписание вы можете указать график, когда правило будет работать, например, блокировка социальных сетей с 9-30 до 18-00 с понедельника по пятницу.

Далее укажите направление проверки трафика в поле Направление , входящие и исходящие IP-адреса любые, тип услуги можно задать конкретным объектом в меню Настройка объектов > > Объект типа сервиса или, возможно, набор объектов и представляет собой комбинацию типа протокола + порта или диапазона портов.

Далее в поле Фильтр укажите критерий «Пройди, если нет дальнейшего совпадения» — пакеты необходимо пропускать, если ни один из критериев в остальных правилах не соответствует. Если пользователь заходит в социальную сеть, например, ok.ru, критерий совпадет и пакет будет заблокирован.

Критерием в этом примере является профиль в Фильтр содержимого URL-адреса , который содержит объект - группу, включающую ключевые слова - адреса социальных сетей.

Ниже я проиллюстрирую настройки, когда мы до них доберемся.

Таким же образом в правило включаются и другие критерии, то есть в правила межсетевого экрана можно добавлять критерии как на уровне сети, так и на уровне приложения, причем можно включить Фильтр веб-контента , который работает еще выше — на уровне тем веб-контента.

Подменю Защита от DoS .

В маршрутизаторе реализовано обнаружение и автоматическая защита от DoS-атак, а пороговые метрики интенсивности трафика, после которых событие считается атакой, можно настроить вручную.

Также есть возможность отправлять уведомления об атаке.

Меню управления пользователями

Rule-Based, то есть основанный на правилах, где объекты, например, IP-адреса пользовательских станций.

Администратор устанавливает правила на основе разных IP-адресов.

User-Based, то есть управление осуществляется на основе профилей пользователей.

Администратор устанавливает правила для различных профилей или групп пользователей.

Перед этим пользователи должны авторизоваться.

После авторизации система создает соответствие между именем пользователя и IP-адресом, с которым он вошел в систему.

Если с работой с IP-адресами все понятно: администратор назначает терминалу пользователя IP-адрес, который не должен меняться, и назначает правила для IP-адреса.

Как только мы переключимся в User-Based режим, пользователь должен авторизоваться, до этого момента он не сможет работать в сети, а когда он откроет браузер и попытается зайти на любой сайт, он будет перенаправлен на страница авторизации.

Для входа в систему профиль пользователя с соответствующими правами должен содержаться в таблице «Управление пользователями > > Профиль пользователя».

Теги: #сетевое оборудование #vpn #брандмауэр #балансировка #роутер #LTE #Драйтек

• Как Копировать Игры Без Мод-Чипа

  19 Oct, 24

• Sap Business One Integration Проектирование И Программирование

  19 Oct, 24

• Является Ли Гипотеза Моделирования Ответом На Все Наши Вопросы Или Это Просто Еще Одна Религия?

  19 Oct, 24

• Опрос: Какой Язык Используется В Вашей Ос

  19 Oct, 24

• Эпистемические Стандарты Для Изобретений

  19 Oct, 24

• Avaya Definty С Участием. Ип Офис 500

  19 Oct, 24

• Потому Что

  19 Oct, 24

• Полиция Заставила Китайского Разработчика Удалить Код С Github

  19 Oct, 24

• Социальный Стартап «Бабушка-Онлайн» — Итоги, Благодарности И Планы На Будущее

  19 Oct, 24

• Скачать Мастер 5.2.3.1063

  19 Oct, 24