В первой части обзора мы подробно рассмотрели маршрутизатор Draytek серии 2912/2912n с таких сторон как позиционирование устройства на рынке, схему использования маршрутизатора, его ключевые функции и примеры их использования, ознакомились с подробной технической спецификацией устройства, посмотрели комплектацию и внешний вид маршрутизатора, подробно разобрали функции индикаторов и интерфейсов устройства. Всё увиденное нами, однозначно демонстрирует то, что устройство обладает очень широким возможностями, которые могут понадобиться предприятию уровня SMB/SOHO или небольшому филиалу крупной компании и поэтому устройство имеет огромный потенциал для использования в корпоративных сетях. Нагрузочное тестирование показало неплохие результаты, других результатов я не ожидал, ведь устройство далеко не начального уровня, поэтому обязано быть производительным.
В данной части обзора мы подробно рассмотрим веб-интерфейс устройства, познакомимся с его особенностям и примеру настройки таких функции и интерфейсов как WAN и LAN, Load-balancing, беспроводная сеть, VPN, сетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора.
Ниже представлена общая схема подключения маршрутизатора.
Рис. 0
По умолчанию, на маршрутизаторе включена открытая беспроводная сеть с именем Draytek и DHCP-сервер, можно подключиться к ней или использовать один из портов LAN.
После подключения к маршрутизатору с ПК и успешного получения IP адреса, из сети 192.168.1.0/24,
откроем его веб-интерфейс, для этого в веб-браузере нужно набрать IP LAN по умолчанию 192.168.1.1,
Username:admin,password:admin. Рекомендую сразу же изменить пароль на более безопасный.
Рис. 1
Мы попадаем в меню Online Status где отображена основная информация об устройстве
Рис. 2
Обращаю внимание что версия прошивки 3.7.8.1_R предустановлена на маршрутизаторах, поставляемых в Россию, такая прошивка отличается от обычной тем что в ней отсутствует шифрование кроме PPTP протокола, выглядит это так:
Рис. 3
Если этого недостаточно, можно поставить полноценную прошивку, загрузив её с сайта Draytek.com
в разделе Supports -> Downloads -> Firmware — Vigor2912 Series.
Я выбрал последнюю 3.8.1.1 и загрузил её, далее, разархивируем её, в веб-интерфейсе маршрутизатора открываем System Maintenance >> Firmware Upgrade и указываем файл v2912_3811.all, затем нажимаем «Upgrade».
Рис. 4
После успешного обновления, перезагрузим маршрутизатор и получим последнюю прошивку без каких-либо ограничений.
Для наглядности, ниже представлено изображение сетевой схемы для маршрутизатора Draytek 2912n, который мы будем рассматривать.
Рис. 4-1
Для подключения к Интернет мы используем два WAN интерфейса с несколькими правилами маршрутизации, в случае аварии на первом канале, трафик автоматически пойдёт через резервный.
Мы используем две подсети: LAN0=192.168.1.0/24 и LAN1=192.168.2.0/24. И три беспроводных сети с SSID: DrayTek, DrayTek_Guest и DrayTek_Unencrypted. Они объединены через настройки VLAN с беспроводными сетями. Удалённые клиенты могут подключаться по VPN используя Smart VPN Client и протоколы PPTP и IPSec. Для приложения SmartMonitor включено зеркалирование с LAN портов.
В целом, в независимости от модели маршрутизатора Draytek, структура меню имеет схожую организацию, можно не найти каких-то функций, или обнаружить большее их количество, чем в другой модели или версии встроенного ПО, но структура остаётся неизменной. Слева блок глобальных пунктов меню, структурированных по подсистемам маршрутизатора: Мастера быстрой настройки(Wizards), настройки интерфейсов проводной сети WAN и LAN, затем блок настроек межсетевого экрана (Firewall, Objects Settings, CSM) и управление пользователями (User Management), затем блок настроек специальных приложений маршрутизатора(Applications). Далее блок VPN настроек, за ним меню отвечающее за настройку беспроводной сети(Wireless LAN), отдельное меню для настройки USB-порта(USB Application) и наконец меню сервисных функций(System Maintenance) и меню диагностики маршрутизатора(Diagnostics).
Все пункты структурированы просто и логично, в соответствии с сетевым функциям, без какой-то специфичной и запутанной логики.
Каждый глобальный пункт меню включает один или несколько подпунктов.
Рассмотрим основные пункты меню, так как маршрутизатор имеет конфигурацию, соответствующую сетевой схеме, которая была представлена выше, по ходу рассмотрения новых пунктов меню станет понятно как настроены те или иные сетевые функции.
Здесь находятся мастера настроек, позволяющие в несколько кликов настроить основные функции маршрутизатора. Они представляют из себя цепь из нескольких диалоговых окон, в последнем окне выводится листинг всех сделанных настроек и кнопка «Finish» для их применения. Мне показалось, что данные мастера для совсем ленивых администраторов, так как и без них, настройка основных функций на маршрутизаторе не составляет труда.
Quick Start Wizard – служит для быстрой настройки подключения WAN 1-3 интерфейсов.
Service Activation Wizard – активирует интеллектуальный тематический фильтр сайтов Web Content Filter.
Следующие мастера VPN Client Wizard и VPN Server Wizard показались мне интересными, с помощью них легко настроить работу VPN в режимах LAN-to-LAN и Remote Dial-in User, активировать сервис и прописать пользователей. Ниже, пример из 3х шагов, чтобы добавить и актировать VPN пользователя.
Мы выбрали PPTP, дальше нужно выполнить настройки на стороне клиента, мы будем использовать Draytek Smart VPN клиент. Вернёмся к настройкам VPN в меню VPN and Remote Access.
Рис. 5
Рис. 6
Рис. 7
Мастер Wireless Wizard служит для первичной настройки беспроводной сети. Ниже финальное окно в завершении работы мастера.
Рис. 8
За пару кликов беспроводная сеть настроена.
Следующий пункт меню содержит два подпункта: первый Physical Connection – показывает физический статус интерфейсов LAN, WAN 1-3 и счётчики канального уровня, тоже самое, но только для виртуальный интерфейсов можно увидеть в меню Virtual WAN.
Рис. 9
Более подробную информацию о статусе системы можно посмотреть в System Maintenance -> System Status.
В данном меню выполняются все настройки связанные с подключением маршрутизатора к Интернет провайдерам. В нашем примере активны WAN 1 и 2
Рис. 10-1
Настройка Load balance mode доступна при одновременном использовании двух или трех WAN интерфейсов. Мы используем режим, Auto Weigh, в этом режиме маршрутизатор автоматически распределяет нагрузку. Интерфейс WAN 3 может быть использован при подключении 3/4G модема.
Ниже детальная настройка WAN 2 интерфейса, мы используем режим балансировки нагрузки.
Рис. 10-2
В подменю Internet Access настраиваются непосредственно интерфейсы.
Рис. 10-3
Переходим на Detalils Page WAN 2, здесь находятся настройки режима подключения, мы используем статический IP, на первом интерфейсе работает DHCP-клиент. Кроме использованных нами способов, можно подключиться к Интернет используя протоколы PPTP/L2TP или PPPoE, также IPv6.
Рис. 11
Подменю Multi-VLAN позволяет администратору создать профили для определенного физического WAN 1-2 интерфейса и создать мост с интерфейсами LAN локальной сети, для достижения максимальной пропускной способности.
Рис. 12
То есть, на базе физического интерфейса WAN 1-2 мы создаём дополнительный виртуальный WAN 5-7 в указанном нами VLAN и «бриджуем» его с нужными LAN портами 1-3(4 порт может работать только в режиме NAT), опционально, можем назначить виртуальному интерфейсу WAN 5-7 IP адрес вручную или получать по DHCP, то есть сделать его L3. В качестве примера, можно привести проброс трафика IPTV с WAN на LAN.
Пункт отвечает за настройку локальной сети и содержит ряд подпунктов. Маршрутизатор поддерживает два независимых LAN сегмента со своими настройками, по умолчанию это 192.168.1.1/24 и 192.168.2.1/24, также можно добавить одну маршрутизируемую сеть. В обоих сегментах включен DHCP который выдаёт IP-адреса подключающимся терминалам пользователей. Кстати, DHCP-сервер можно настроить на передачу любых дополнительный DHCP-опций, это очень удобно если в сети есть специализированные сервисы, например, TFTP-сервер.
Рис. 13
Дополнительно, можно разрешить или запретить маршрутизацию между LAN 1 и 2 в разделе Inter-LAN Routing
В следующем подменю LAN >> Static Route Setup можно добавить до 10 статических маршрутов в другие сети за IP-адресами в подсетях LAN 1-2.
Подменю LAN >> VLAN Configuration позволяет объединить в один VLAN указанные порты LAN P2-4(P1 выполняет функцию WAN2 в нашем примере) с беспроводными сетями SSID 1-4 и опционально добавить метки VLAN с приоритетами. При включении VLAN Tag трафик с метками, указанными в поле VID, появится на соответствующих портах LAN, по беспроводным сетям теги не передаются. В нашем примере два независимых VLAN. В VLAN0 входят LAN порты P 2-4 и беспроводная сеть с SSID1 – всё это находится в LAN 1 сегменте. В VLAN1 входят беспроводные сети с SSID2 и SSID3 – всё это находится в LAN 2 сегменте.
Рис. 14
Маршрутизатор может работать в режиме создания не тегированных VLAN на базе портов, или VLAN на основе меток VID.
Следующий пункт подменю LAN >> Bind IP to MAC. Позволяет создавать списки с соответствиями MAC-адреса и IP-адреса, если функция разрешена все назначенные IP-адреса на MAC-адреса не могут быть изменены. Созданные листы можно сохранять в файл и восстанавливать в конфигурацию маршрутизатора из предварительно сохраненного файла.
В меню LAN >> LAN Port Mirror можно включить копирование всего трафика с указанных LAN Mirrored port на принимающий Mirror port. Эта функция полезна для отладки сети при помощи сниффера или при использовании приложения для мониторинга и анализа сетевой активности Draytek Smart Monitor, информацию об этом приложении можно найти в первой части данного обзора.
Рис. 15
Подменю LAN >> Web Portal Setup позволяет определить профили, которые назначаются на интерфейсы LAN или WLAN-беспроводной сети и указать в них URL-ссылку сайта для автоматической переадресации пользователя при первой попытке открыть веб-страницу, после подключения через указанный в профиле интерфейс, например, SSID1.
Рис. 16
Это функция используется в рекламных целях или для уведомления пользователя, который подключается к Интернету при через сеть определенной компании.
В примере, при попытке впервые открыть любую веб-страницу пользователь будет переадресован на сайт www.ucexpert.ru, где в верхней части экрана будет сообщение с предложением пользователю нажать кнопку «Continue» для продолжения веб-сессии и перехода на нужный сайт.
Ниже приведен пример тпеоц страницы.
Рис. 17
Данный пункт меню содержит подпункт General Setup – непосредственную настройку правил балансировки нагрузки и политик маршрутизации и Diagnose – подпункт для отладки настроенных правил, где можно имитировать маршрут прохождения одного или нескольких пакетов через таблицу настроенных правил и проверить результат.
Рис. 18
В примере пакеты, уходящие с любых IP адресов LAN маршрутизатора на IP 8.8.8.8 пройдут через WAN1, аналогично работает второе правило, только для IP назначения 8.8.4.4 и пакеты пройдут уже через WAN2. В третьем правиле указывается целая подсеть, в четвёртом правиле указывается что весь трафик нужно посылать через WAN1, в случае отказа WAN1, посылать на WAN2. Каждое правило имеет приоритет, чем он ниже, тем раньше выполняется правило.
На следующем изображении представлены критерии, по которым можно задать правило, их довольно много, также можно определить куда посылать пакет, если правило не сработало.
Рис. 19
На следующем рисунке представлена диагностика маршрута.
Рис. 20
В меню настраиваются функции адресной трансляции NAT (Network Address Translation), оно содержит подменю Port Redirection – перенаправление портов с порта указанного интерфейса WAN на IP-адрес и порт в сети LAN, это может быть необходимо для FTP-серверов, почтовых серверов и т.д.
Подменю DMZ Host позволяет задать по одному DMZ хосту в локальной сети LAN на каждый из WAN интерфейсов.
Подменю Open Ports позволяют держать открытыми указанные диапазоны портов для специальных приложений, например, P2P, и направлять их на определенные IP-адреса в LAN.
Рис. 21
Port Triggering это вариация Open Ports. Если после активации правила Open Ports, указанные порты постоянно открыты, то при применения правила Port Triggering, указанные порты будут открываться только когда условия правил совпадут, затем по таймауту порты снова закроются.
Работа функции в соответствующем пункте подменю задается набором правил.
В данном меню настраиваются глобальные правила работы межсетевого экрана, задаются наборы и порядок правил проверки трафика, также указываются правила фильтрации трафика по умолчанию.
Межсетевой экран можно условно разделить на 3 подсистемы:
В архитектуре межсетевого экрана используется два независимых набора правил Call Filter и Data Filter.
Набор правил Call Filter применяется для трафика, направляющегося из локальной сети в WAN, когда нет активного Интернет-соединения (WAN-интерфейс не активен) и перед установлением соединения трафик проходит через правила Call Filter, если пакеты не блокируются, соединение устанавливается.
При активном состоянии WAN-интерфейса, все пакеты сразу же попадают в набор правил Data Filter, туда же попадает и весь входящий на WAN-интерфейсы трафик.
Рис. 22
В правилах работы межсетевого экрана могут указываться объекты (определенные через меню Objects Settings), такие, как IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов, пользователи (определенные в меню User Management) и наконец, в меню CSM (Content Security Management), определить приложения, например, Skype, URL-адреса и даже тематика тех или иных сайтов при помощи системы Web Content Filter.
То есть, мы можем работать с трафиком начиная с сетевого уровня и заканчивая уровнем приложений, плюс использовать систему Web Content Filter для интеллектуальной обработки трафика по тематике веб-контента, то есть создавать очень широкие правила.
Ниже представлены глобальные настройки в подменю Firewall >> General Setup, далее, подменю Firewall >> Filter Setup, иллюстрирующее наборы правил межсетевого экрана, подменю Firewall >> Filter Setup >> Edit Filter Set, иллюстрирующее состав конкретного набора правил.
Рис. 23
Теперь рассмотрим конкретное правило в из таблицы под названием block-social
Рис. 24
Во-первых, в Schedule можно указать расписание, когда правило будет работать, например, блокировать социальные сети с 9-30 до 18-00 с понедельника по пятницу. Далее, указываем направление проверки трафика в поле Direction, входящие и исходящие IP-адреса любые, тип сервиса может задаваться конкретным объектом в меню Objects Setting >> Service Type Object, а может набором объектов, и представляет из себя связку типа протокола + порт или диапазон портов.
Далее, в поле Filter указываем критерий «Pass If No Further Match» — пакеты нужно пропускать, если ни один из критериев в оставшихся правилах не совпадёт. Если пользователь обратится к социальной сети, например, ok.ru, критерий совпадёт и пакет будет заблокирован. Критерий в данном примере — это профиль в URL Content Filter, который содержит объект – группу включающую ключевые слова – адреса социальных сетей.
Ниже, я проиллюстрирую настройки, когда мы дойдём до них. Таким же образом, в правиле включаются и другие критерии, то есть в правилах межсетевого фильтра можно добавлять критерии как на сетевом уровне, так и на уровне приложений, более того, можно включить Web Content Filter который работает ещё выше – на уровне тематики веб-контента.
Подменю DoS Defense. В маршрутизаторе реализованы детектирование и автоматическая защита от DoS атак, причём метрики порога интенсивности трафика, после которого событие считается атакой могут настраиваться вручную. Также предусмотрено отправка уведомлений об атаке.
Межсетевой экран может работать в одном из двух глобальных режимов:
Rule-Based, то есть базирующийся на правилах, где объекты, например, IP-адреса станций пользователей. Администратор устанавливает правила на основании различных IP-адресов.
User-Based, то есть управление осуществляется на основании профилей пользователей. Администратор устанавливает правила на различные профили пользователей или их группы. Перед этим пользователи должны авторизоваться. После авторизации системе создаётся соответствие между именем пользователя и IP адресом, с которым он авторизовался.
Ниже представлены подменю User Management >> General Setup, где происходит переключение между работой с IP-адресами или работой с профилями пользователя.
Если с работой по IP-адресам всё понятно: администратор присваивает IP-адрес терминалу пользователя, который не должен меняться и назначает правила для IP-адреса.
Как только мы переключаемся в режим User-Based, пользователь должен авторизоваться, до этого момента он не сможет работать в сети, а при открытии браузера и попытки зайти на любой сайт он будет переадресован на страницу авторизации. Чтобы авторизоваться, профиль пользователя с соответствующими правами должен содержаться в таблице User Management >> User Profile.
Рис. 25
В примере есть профиль пользователя Игнат Кудрявцев, откроем профиль данного пользователя
Рис. 26
Как видно, здесь можно установить таймаут на автоматический логаут в случае простоя, и ограничение на одновременное число логинов, включить внешнюю аутентификацию по протоколам LDAP или RADIUS. Также можно установить квоты на время и объём трафика, потребляемые пользователем.
Landing Page — это страница которую увидит пользователь после успешной авторизации. Можно выводить просто сообщение, как в нашем примере: «Login Success!», а можно делать переадресацию на любой веб-сайт, например, сайт компании. Для этого в настройках Landing page нужно написать строку вида:
Все настройки подробно описаны в руководстве пользователя.
При открытии веб-браузера и попытке зайти на любой сайт, пользователь будет переадресован на страницу авторизации, после успешной авторизации появится сообщение «Login Success!» и пользователь сможет работать в сети.
Рис. 27
В подменю User Group пользователей можно группировать, чтобы затем назначать группам пользователей одинаковые правила, например, по отделам компании. Подменю User Online Status служит для просмотра статуса пользователей.
Маршрутизаторы серии Draytek 2912 поддерживают межсетевой экран с невидимой проверкой пакетов SPI (Stateful Packet Inspection) базирующийся на объектах (Object-based), таких как: пользователь (при авторизации он получает определенный IP), IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов. Эти объекты могут быть использованы для создания правил межсетевого экрана, которые можно включать и отключать по расписанию.
В меню Objects Setting создаются и группируются различные типы объектов.
В подменю IP Object создаются объекты на основе хоста, диапазона IP-адресов или подсети, также можно использовать конкретный MAC-адрес для любого IP-адреса. В подменю IP Group из IP объектов создаются группы, которые затем можно использовать для создания правил межсетевого экрана.
Тоже самое для IPv6 Object и IPv6 Group с IP адресацией IPv6.
В подменю Service Type Object и Service Type Group создаются и группируются объекты на основе типа протокола, портов источника и назначения.
Рис. 28
В подменю Keyword Object и Keyword Group создаются и группируются объекты на основе ключевых слов, затем эти объекты могут быть использованы для создания правил фильтрации, например, для URL Content Filter Profile и DNS Filter Profile в подсистеме CSM. В нашем примере мы блокируем социальные сети vk.com twitter.com facebook.com и ok.ru, для этого создали два профиля с именами social-nets и social-ok.ru содержащие данные ключевые слова и добавили их в группу social-nets-gro подменю Objects Setting >> Keyword Group. Далее, мы используем эту группу в CSM >> URL Content Filter Profile.
Рис. 29
В подменю File Extension Object создаются профили расширений, файлов которые могут распознаваться и применяться в правилах межсетевого экрана. Таким образом, например, можно запретить загрузку всех сжатых файлов или видео файлов с указанными расширениями. В примере запрещена загрузка любых изображений. Созданный профиль с названием blk-img затем будет использован в профиле CSM >> URL Content Filter Profile. Мы увидим это в примере ниже.
Рис. 30
Подменю SMS/Mail Service Object и Notification Object позволяют настроить до 10 профилей уведомлении для сервиса Application>>SMS/Mail Alert Service.
Система безопасности содержимого CSM (Content Security Management), это подсистема межсетевого экрана, работающая на прикладном уровне, позволяется блокировать URL ссылки по ключевым словам и по типу содержимого, например, Java Applet, Cookies, Active X, также можно блокировать различные сетевые приложения, например, IM/P2P или по протоколам прикладного уровня, например, MySQL, SMB, SSH, UltraVPN, список сервисов и протоколов довольно внушительный. Имеется возможность блокировки DNS по ключевым словам.
В подменю APP Enforcement Profile создаются профили для фильтрации сетевых приложении которые могут использовать динамически меняющиеся порты и каждое такое приложение имеет свою специфику, например, Skype.
Рис. 31
В примере настроек правила межсетевого экрана таблицы Data Filter, который был приведён выше, указано данное правило.
Подменю URL Content Filter Profile отвечает за фильтрацию веб-контента. Здесь указываются ранее созданные объекты Group/Object Keyword и разрешается функции URL Access Control, тогда в каждом адресе веб-сайта будет вестись поиск по ключевым словам. В нашем примере мы добавили ранее в созданную группу social-nets-gro содержащую ключевые слова с веб-адресами социальных сетей.
В разделе Web Feature можно включить блокировку Cookie, Proxy и загрузки файлов с указанными в профиле File Extension Profile, в примере ранее, мы создали профиль 1-blk-img.
Созданный профиль social назначается в правиле межсетевого экрана в поле URL Content Filter.
Рис. 32
Когда правило сработает при попытке открыть, например, vk.com, пользователь увидит сообщение из поля Administration Message, пример содержимого такого поля приведен на предыдущем изображении.
Рис. 33
Подменю Web Content Filter Profile. Ещё один мощный инструмент CSM — система GlobalView Web Content Filter. Предназначена для фильтрации нежелательного контента на тематическом уровне, то есть, например, сайты с тематикой порно, криминал, азартные игры и прочее. Администратор создаёт профили, где указывает тематику сайтов и назначает их в правила межсетевого экрана, затем указывает что делать при совпадении правила, например, заблокировать. Web Content Filter лицензируется, но пробную лицензию для тестирования можно получить бесплатно.
Ниже представлена настройка профиля по категориями:
Рис. 34
Подсистема DNS Filter Profile проверят и блокирует DNS запросы на 53 порт UDP в соответствии с назначенным профилем URL Content Filter Profile или Web Content Filter Profile. Также можно кастомизировать сообщение, которое будет выводиться пользователю при блокировке ресурса.
Подменю Bandwidth Management >> Sessions Limit служит для ограничения количества NAT с сессий с IP-адресов LAN, которые могут быть одновременно установлены. Например, P2P (Peer to Peer) приложениям обычно требуется множество одновременных сессий, и они потребляют много сетевых ресурсов. Также можно ограничить число сессий по умолчанию с любого IP.
В подменю Bandwidth Management >> Bandwidth Limit устанавливаются ограничения на утилизацию полосы пропускания для хостов и диапазонов IP-адресов. Причем, работа правил может настраиваться по расписанию, можно отдельно ограничить полосу для входящего и исходящего трафика.
В подменю Bandwidth Management >> Quality of Service настраивается качество обслуживания трафика. Сначала трафик при помощи правил классифицируется по критериям таким как IP источника и назначения, тип сервиса и код DiffServ. Затем, каждому классу трафика резервируется свой процент общей полосы пропускания указанного интерфейса.
Рис. 35
Кстати приоритезация для VoIP трафика по умолчанию приоритезируется.
Данное меню содержит настройки служебных приложений, которые помогают выполнить тонкую настройку отдельных функций.
Например, в подменю Schedule, настраиваются профили расписания, которые используются в различных настройках функций и правил маршрутизатора, всего в расписании можно создать до 15 записей.
Рис. 36
В меню LAN DNS можно указать соответствие IP адреса и доменного имени в локальной сети. В меню RADIUS и Active Directory /LDAP можно опционально включить авторизацию пользователей на соответствующих названиям подменю серверах. В подменю IGMP можно разрешить IGMP проксирование или IGMP snooping для мульткаст трафика, например, IP TV.
Маршрутизатор поддерживает до 16 VPN* туннелей типа LAN-to-LAN для создания безопасного подключения между сетями организации или создания VPN-подключения с удалённых рабочих мест надомных сотрудников, используя протоколы PPTP/IPSec/L2P/L2TPover IPSec. Шифрование AES/DES/3DES и возможность IKE аутентификации обеспечивают повышенную надёжность. Использование сдвоенного WAN соединения позволяет использовать не только схему балансировки нагрузки, но и резервирования. Поэтому, если основной канал VPN канал станет недоступным, его заменит резервный VPN канал.
Кстати функции VPN в Draytek настраиваются очень просто. Буквально за пару кликов можно настроить как соединения типа LAN-to-LAN, так и доступ с удалённых рабочих мест. У Dryatek есть свой VPN-клиент для упрощения подключения рабочих мест, называется он Draytek Smart VPN Client, приложение бесплатно доступно для скачивания на сайте draytek.com
*В официальных поставках маршрутизаторов на территорию РФ удалены все программные средства шифрования, не соответствующие ГОСТами, поэтому в такой прошивке есть только поддержка PPTP без шифрования. Это можно исправить путём установки штатного ПО, которое можно скачать с сайта draytek.com.
В подменю Remote Access Control Setup включаются протоколы VPN на глобальном уровне, в подменю IPsec General Setup указывается Pre-Shared Key для метода IKE Authentication, указываются методы шифрования. Например, укажем ключ draytek.commmmm
Рис. 37
В подменю Remote Dial-in User указываются пользователи которые могут подключаться по VPN со своих удалённых мест к локальной сети LAN маршутизатора.
Рис. 38
В списке Status, видно, что пользователь ignat в статусе «онлайн», так как помечен зелёным цветом. В примере ниже, пользователь ignat подключается по PPTP, второй пользователь будет подключаться через туннель IPSec по преднастроенному выше preshared key= draytek.commmmm.
Рис. 39
Для подключения со стороны клиента я использовал Draytek Smart VPN Client, он устанавливается и настраивается в два клика.
Ниже пример для PPTP.
Рис. 40
Аналогичным образом настраивается второй VPN-клиент который будет динамически подключаться по preshared ключу который мы ранее указали в подменю IPsec General Setup как draytek.commmmm.
Рис 42
После успешного подключения в подменю Connection Management мы увидим активные соединения.
Рис. 43
Подменю LAN to LAN служит для настройки VPN соединений межу двумя сетями. Создаётся профиль LAN-to-LAN, в нём указываются все необходимые для создания подключения настройки: тип соединения – входящее, исходящее или двухсторонне, протокол VPN – PPTP, L2TP with IPsec Policy или IPsec Tunnel, в зависимости от протокола, специфические настройки, например, логин или пароль или IKE Pre-Shared Key, метод шифрования и прочее. На самом деле, настроек не так много, и они простые в общем случае. Указывается, какую локальную сеть должна «видеть» удалённая сторона и в какую удалённую сеть маршрутизировать трафик через данное VPN-соединение.
После сохранения настроек соединения, локальная сторона будет инициировать соединение или ожидать входящее соединение от удалённой стороны — в зависимости от настроек.
Установленное соединение можно также посмотреть в подменю Connection Management.
Маршрутизатор поддерживает беспроводную сеть стандарта 802.11n и имеет две всенаправленные антенны. Настроек функций беспроводной сети в маршрутизаторе большое количество.
Устройство поддерживает до 4х независимых беспроводных сети со своими настройками, причём для каждой из сетей можно ограничить максимальную полосу для исходящего и входящего трафика, а также включить расписание в соответствии с которым будут работать эти ограничения.
Ниже для иллюстрации настроек представлены подменю General Setup и Security Settings. Настройки очень наглядны.
Рис. 44
Для каждой из 4х беспроводных сетей настраиваются свои параметры безопасности, включая фильтры MAC-адресов. Для каждой сети можно включить квоту времени использования Wi-Fi на основании MAC-адреса и таймаут на повторное предоставление квоты.
Ниже представлено подменю Station List, в котором видны, подключённые в данный момент, беспроводные терминалы.
Рис. 45
Кроме этого, в подменю Access Control, можно включить фильтр MAC-адресов, причём создать как белые, так и чёрные списки MAC-адресов. Списки можно сохранять в файл на компьютер или выгружать из файл при необходимости.
В подменю Advanced Setting содержатся тонкие настройки радиоканала, например, исходящая мощность сигнала, режим работы, ширина канала, длина фрагментов и другие.
Беспроводная есть также поддерживает настройку через WPS (Wi-Fi Protected Setup) и WDS настройки, которые можно найти в соответствующих подпунктах меню Wireless LAN.
На маршрутизаторе есть USB-порт, который может быть использован в трёх различных режимах. Во-первых, подключения USB модема 3G/4G для резервирования Интернет-соединения или как основное Интернет-соединение, если других способов подключения к Интернет не имеется.
Во-вторых, подключения USB-принтера к маршрутизатору, который становится принт-сервером и им смогут воспользоваться пользователи, настроив к нему доступ по сети.
Рис. 46
На изображении выше, пример, в котором USB-порт используется для подключения накопителя и обмена файлами по сети по протоколам FTP и SMB. Созданы два пользователя с разными домашними директориями. На изображении ниже, пример подменю USB Device Status, где мы видим, что к USB-порту подключен накопитель объёмом 8 Гигабайт и виден список активных пользователей которые подключены к нему по сети.
Рис. 47
Фото USB Application >> File Explorer и Фото USB Application >> USB Device Status
В-третьих, подключить USB-накопитель и предоставить общий доступ к файлам диска по FTP или NetBios/SMB. Список поддерживаемых модемов можно посмотреть в подменю Modem Support List, а список LAN клиентов можно посмотреть в подменю SMB Client Support List.
При подключении 3G/4G модема или принтера, их статус будет отражаться на соответствующих вкладках Modem и Printer подменю USB Device Status.
В меню собраны сервисные функции маршрутизатора. Здесь можно установить новый пароль для пользователей с правами User и Administrator, настроить протокол TR-069 для внешнего управления устройством. В подменю Configuration Backup можно сохранить текущую конфигурацию роутера или восстановить из ранее сохраненной. Подменю Configuration Backup служит для настройки отправки по сети системных журналов SysLog, можно также указать какие из журналов нужно записывать. Дополнительно, можно настроить отправку уведомлений по электронной почте.
Рис. 48
К слову, у Draytek есть бесплатная утилита для упрощения просмотра и хранения syslog на удалённом компьютере. Называется она Draytek Syslog. Ниже приведён снимок экрана интерфейса.
Рис. 49
В подменю Management выполняется настройка разрешений на удалённое управление. Причём в случае необходимости, нужно отдельно разрешить управление из Интернета, то есть с WAN интерфейсов.
Рис. 50
Функций диагностики на маршрутизаторе большое количество, мне это очень нравится — практически любую задачу по диагностике состояния можно решить через это меню.
В подменю Routing Table полная таблица маршрутизации, в ARP Cache Table список всех MAC-адресов в локальной сети, в DHCP-Table список всех активных DHCP-клиентов, есть таблицы NAT-сессий и кэша DNS-записей.
Рис. 51
Конечно же присутствуют Ping и Traceroute. Есть возможность включения и локального просмотра системных логов маршрутизатора, причём они разбиты по типам основных подсистем: VPN, Firewall, WAN и другие.
Рис. 52
В подменю Traffic Graph можно, в графическом виде, оценить утилизацию WAN интерфейсов или число сессий.
Рис. 53
Мы очень подробно рассмотрели серию маршрутизаторов Draytek 2912/2912n. Это устройство, которое содержит все необходимые сетевые функции в одном корпусе и идеально подходит для небольшого офиса, поэтому приобретая его, владелец, экономит деньги за счет отсутствия необходимости приобретать дополнительное сетевое оборудование которое могло бы реализовать отдельные функции Draytek 2912n, например, межсетевой экран, точку доступа, VPN-концентратор, сетевой принтер или NAS-сервер для хранения общих документов.
В первой части обзора мы определили позиционирование устройства, подробно рассмотрели типовой сценарий использования маршрутизатора, подробно описали все ключевые характеристики и преимущества, посмотрели подробную техническую спецификацию – она впечатляет.
Дополнительное программное обеспечение Draytek VigorACS SI, для больших инсталляций, позволит без труда управлять и обслуживать огромный парк маршрутизаторов, для единичной инсталляции, программное обеспечение Draytek Smart Monitor предназначенное для мониторинга и анализа трафика станет незаменимым помощником для отладки сети и мониторинга пользователей. Мы посмотрели комплектацию и внешний вид устройства, индикацию и интерфейсы, затем протестировали максимальную пропускную способность маршрутизатора в нескольких режимах. Все результаты соответствуют заявленным производителем цифрами.
Во второй части обзора, которую вы сейчас читаете, мы детально рассмотрели каждый пункт меню, с примерами настройки таких функции и интерфейсов как WAN и LAN, балансировка нагрузки и политики маршрутизации, беспроводная сеть, VPN, межсетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора. Что касается документации, в процессе настройки и тестирования, я много раз к ней обращался и легко находил ответы – все функции хорошо описаны, а разделы где они находятся чётко структурированы. Работа с маршрутизатором и документацией к нему, оставила только хорошие впечатления.
Маршрутизатор Draytek 2912 очень функционален, и прост в настройке, может управляться через веб-браузер, интерфейс командной строки CLI или протокол TR-69. Кроме того, дополнительное ПО VigorACS SI и Smart Monitor для мониторинга и управления как отдельными устройствами, так и большим парком в сотни или тысячи устройств поможет существенно сократить затраты на инсталляцию и техническое обслуживание устройств. Поэтому Draytek 2912 имеет огромный потенциал для использования как в корпоративных сетях небольших компаний, так и отдельных офисах крупных предприятий. Также, отмечу хорошее качество программного обеспечения, высокую производительность и надёжность, проверенную временем.
В данной части обзора мы подробно рассмотрим веб-интерфейс устройства, познакомимся с его особенностям и примеру настройки таких функции и интерфейсов как WAN и LAN, Load-balancing, беспроводная сеть, VPN, сетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора.
Ниже представлена общая схема подключения маршрутизатора.
Рис. 0
По умолчанию, на маршрутизаторе включена открытая беспроводная сеть с именем Draytek и DHCP-сервер, можно подключиться к ней или использовать один из портов LAN.
После подключения к маршрутизатору с ПК и успешного получения IP адреса, из сети 192.168.1.0/24,
откроем его веб-интерфейс, для этого в веб-браузере нужно набрать IP LAN по умолчанию 192.168.1.1,
Username:admin,password:admin. Рекомендую сразу же изменить пароль на более безопасный.
Рис. 1
Мы попадаем в меню Online Status где отображена основная информация об устройстве
Рис. 2
Обращаю внимание что версия прошивки 3.7.8.1_R предустановлена на маршрутизаторах, поставляемых в Россию, такая прошивка отличается от обычной тем что в ней отсутствует шифрование кроме PPTP протокола, выглядит это так:
Рис. 3
Если этого недостаточно, можно поставить полноценную прошивку, загрузив её с сайта Draytek.com
в разделе Supports -> Downloads -> Firmware — Vigor2912 Series.
Я выбрал последнюю 3.8.1.1 и загрузил её, далее, разархивируем её, в веб-интерфейсе маршрутизатора открываем System Maintenance >> Firmware Upgrade и указываем файл v2912_3811.all, затем нажимаем «Upgrade».
Рис. 4
После успешного обновления, перезагрузим маршрутизатор и получим последнюю прошивку без каких-либо ограничений.
Для наглядности, ниже представлено изображение сетевой схемы для маршрутизатора Draytek 2912n, который мы будем рассматривать.
Рис. 4-1
Для подключения к Интернет мы используем два WAN интерфейса с несколькими правилами маршрутизации, в случае аварии на первом канале, трафик автоматически пойдёт через резервный.
Мы используем две подсети: LAN0=192.168.1.0/24 и LAN1=192.168.2.0/24. И три беспроводных сети с SSID: DrayTek, DrayTek_Guest и DrayTek_Unencrypted. Они объединены через настройки VLAN с беспроводными сетями. Удалённые клиенты могут подключаться по VPN используя Smart VPN Client и протоколы PPTP и IPSec. Для приложения SmartMonitor включено зеркалирование с LAN портов.
В целом, в независимости от модели маршрутизатора Draytek, структура меню имеет схожую организацию, можно не найти каких-то функций, или обнаружить большее их количество, чем в другой модели или версии встроенного ПО, но структура остаётся неизменной. Слева блок глобальных пунктов меню, структурированных по подсистемам маршрутизатора: Мастера быстрой настройки(Wizards), настройки интерфейсов проводной сети WAN и LAN, затем блок настроек межсетевого экрана (Firewall, Objects Settings, CSM) и управление пользователями (User Management), затем блок настроек специальных приложений маршрутизатора(Applications). Далее блок VPN настроек, за ним меню отвечающее за настройку беспроводной сети(Wireless LAN), отдельное меню для настройки USB-порта(USB Application) и наконец меню сервисных функций(System Maintenance) и меню диагностики маршрутизатора(Diagnostics).
Все пункты структурированы просто и логично, в соответствии с сетевым функциям, без какой-то специфичной и запутанной логики.
Каждый глобальный пункт меню включает один или несколько подпунктов.
Рассмотрим основные пункты меню, так как маршрутизатор имеет конфигурацию, соответствующую сетевой схеме, которая была представлена выше, по ходу рассмотрения новых пунктов меню станет понятно как настроены те или иные сетевые функции.
Меню Wizards
Здесь находятся мастера настроек, позволяющие в несколько кликов настроить основные функции маршрутизатора. Они представляют из себя цепь из нескольких диалоговых окон, в последнем окне выводится листинг всех сделанных настроек и кнопка «Finish» для их применения. Мне показалось, что данные мастера для совсем ленивых администраторов, так как и без них, настройка основных функций на маршрутизаторе не составляет труда.
Quick Start Wizard – служит для быстрой настройки подключения WAN 1-3 интерфейсов.
Service Activation Wizard – активирует интеллектуальный тематический фильтр сайтов Web Content Filter.
Следующие мастера VPN Client Wizard и VPN Server Wizard показались мне интересными, с помощью них легко настроить работу VPN в режимах LAN-to-LAN и Remote Dial-in User, активировать сервис и прописать пользователей. Ниже, пример из 3х шагов, чтобы добавить и актировать VPN пользователя.
Мы выбрали PPTP, дальше нужно выполнить настройки на стороне клиента, мы будем использовать Draytek Smart VPN клиент. Вернёмся к настройкам VPN в меню VPN and Remote Access.
Рис. 5
Рис. 6
Рис. 7
Мастер Wireless Wizard служит для первичной настройки беспроводной сети. Ниже финальное окно в завершении работы мастера.
Рис. 8
За пару кликов беспроводная сеть настроена.
Меню Online Status
Следующий пункт меню содержит два подпункта: первый Physical Connection – показывает физический статус интерфейсов LAN, WAN 1-3 и счётчики канального уровня, тоже самое, но только для виртуальный интерфейсов можно увидеть в меню Virtual WAN.
Рис. 9
Более подробную информацию о статусе системы можно посмотреть в System Maintenance -> System Status.
Меню WAN
В данном меню выполняются все настройки связанные с подключением маршрутизатора к Интернет провайдерам. В нашем примере активны WAN 1 и 2
Рис. 10-1
Настройка Load balance mode доступна при одновременном использовании двух или трех WAN интерфейсов. Мы используем режим, Auto Weigh, в этом режиме маршрутизатор автоматически распределяет нагрузку. Интерфейс WAN 3 может быть использован при подключении 3/4G модема.
Ниже детальная настройка WAN 2 интерфейса, мы используем режим балансировки нагрузки.
Рис. 10-2
В подменю Internet Access настраиваются непосредственно интерфейсы.
Рис. 10-3
Переходим на Detalils Page WAN 2, здесь находятся настройки режима подключения, мы используем статический IP, на первом интерфейсе работает DHCP-клиент. Кроме использованных нами способов, можно подключиться к Интернет используя протоколы PPTP/L2TP или PPPoE, также IPv6.
Рис. 11
Подменю Multi-VLAN позволяет администратору создать профили для определенного физического WAN 1-2 интерфейса и создать мост с интерфейсами LAN локальной сети, для достижения максимальной пропускной способности.
Рис. 12
То есть, на базе физического интерфейса WAN 1-2 мы создаём дополнительный виртуальный WAN 5-7 в указанном нами VLAN и «бриджуем» его с нужными LAN портами 1-3(4 порт может работать только в режиме NAT), опционально, можем назначить виртуальному интерфейсу WAN 5-7 IP адрес вручную или получать по DHCP, то есть сделать его L3. В качестве примера, можно привести проброс трафика IPTV с WAN на LAN.
Меню LAN
Пункт отвечает за настройку локальной сети и содержит ряд подпунктов. Маршрутизатор поддерживает два независимых LAN сегмента со своими настройками, по умолчанию это 192.168.1.1/24 и 192.168.2.1/24, также можно добавить одну маршрутизируемую сеть. В обоих сегментах включен DHCP который выдаёт IP-адреса подключающимся терминалам пользователей. Кстати, DHCP-сервер можно настроить на передачу любых дополнительный DHCP-опций, это очень удобно если в сети есть специализированные сервисы, например, TFTP-сервер.
Рис. 13
Дополнительно, можно разрешить или запретить маршрутизацию между LAN 1 и 2 в разделе Inter-LAN Routing
В следующем подменю LAN >> Static Route Setup можно добавить до 10 статических маршрутов в другие сети за IP-адресами в подсетях LAN 1-2.
Подменю LAN >> VLAN Configuration позволяет объединить в один VLAN указанные порты LAN P2-4(P1 выполняет функцию WAN2 в нашем примере) с беспроводными сетями SSID 1-4 и опционально добавить метки VLAN с приоритетами. При включении VLAN Tag трафик с метками, указанными в поле VID, появится на соответствующих портах LAN, по беспроводным сетям теги не передаются. В нашем примере два независимых VLAN. В VLAN0 входят LAN порты P 2-4 и беспроводная сеть с SSID1 – всё это находится в LAN 1 сегменте. В VLAN1 входят беспроводные сети с SSID2 и SSID3 – всё это находится в LAN 2 сегменте.
Рис. 14
Маршрутизатор может работать в режиме создания не тегированных VLAN на базе портов, или VLAN на основе меток VID.
Следующий пункт подменю LAN >> Bind IP to MAC. Позволяет создавать списки с соответствиями MAC-адреса и IP-адреса, если функция разрешена все назначенные IP-адреса на MAC-адреса не могут быть изменены. Созданные листы можно сохранять в файл и восстанавливать в конфигурацию маршрутизатора из предварительно сохраненного файла.
В меню LAN >> LAN Port Mirror можно включить копирование всего трафика с указанных LAN Mirrored port на принимающий Mirror port. Эта функция полезна для отладки сети при помощи сниффера или при использовании приложения для мониторинга и анализа сетевой активности Draytek Smart Monitor, информацию об этом приложении можно найти в первой части данного обзора.
Рис. 15
Подменю LAN >> Web Portal Setup позволяет определить профили, которые назначаются на интерфейсы LAN или WLAN-беспроводной сети и указать в них URL-ссылку сайта для автоматической переадресации пользователя при первой попытке открыть веб-страницу, после подключения через указанный в профиле интерфейс, например, SSID1.
Рис. 16
Это функция используется в рекламных целях или для уведомления пользователя, который подключается к Интернету при через сеть определенной компании.
В примере, при попытке впервые открыть любую веб-страницу пользователь будет переадресован на сайт www.ucexpert.ru, где в верхней части экрана будет сообщение с предложением пользователю нажать кнопку «Continue» для продолжения веб-сессии и перехода на нужный сайт.
Ниже приведен пример тпеоц страницы.
Рис. 17
Меню Load-Balance/Route Policy
Данный пункт меню содержит подпункт General Setup – непосредственную настройку правил балансировки нагрузки и политик маршрутизации и Diagnose – подпункт для отладки настроенных правил, где можно имитировать маршрут прохождения одного или нескольких пакетов через таблицу настроенных правил и проверить результат.
Рис. 18
В примере пакеты, уходящие с любых IP адресов LAN маршрутизатора на IP 8.8.8.8 пройдут через WAN1, аналогично работает второе правило, только для IP назначения 8.8.4.4 и пакеты пройдут уже через WAN2. В третьем правиле указывается целая подсеть, в четвёртом правиле указывается что весь трафик нужно посылать через WAN1, в случае отказа WAN1, посылать на WAN2. Каждое правило имеет приоритет, чем он ниже, тем раньше выполняется правило.
На следующем изображении представлены критерии, по которым можно задать правило, их довольно много, также можно определить куда посылать пакет, если правило не сработало.
Рис. 19
На следующем рисунке представлена диагностика маршрута.
Рис. 20
Меню NAT
В меню настраиваются функции адресной трансляции NAT (Network Address Translation), оно содержит подменю Port Redirection – перенаправление портов с порта указанного интерфейса WAN на IP-адрес и порт в сети LAN, это может быть необходимо для FTP-серверов, почтовых серверов и т.д.
Подменю DMZ Host позволяет задать по одному DMZ хосту в локальной сети LAN на каждый из WAN интерфейсов.
Подменю Open Ports позволяют держать открытыми указанные диапазоны портов для специальных приложений, например, P2P, и направлять их на определенные IP-адреса в LAN.
Рис. 21
Port Triggering это вариация Open Ports. Если после активации правила Open Ports, указанные порты постоянно открыты, то при применения правила Port Triggering, указанные порты будут открываться только когда условия правил совпадут, затем по таймауту порты снова закроются.
Работа функции в соответствующем пункте подменю задается набором правил.
Меню Firewall
В данном меню настраиваются глобальные правила работы межсетевого экрана, задаются наборы и порядок правил проверки трафика, также указываются правила фильтрации трафика по умолчанию.
Межсетевой экран можно условно разделить на 3 подсистемы:
- Настраиваемый пользователем IP-фильтр на основе наборов правил Call Filter/ Data Filter
- Фильтр Stateful Packet Inspection (SPI)
- Защита от атак Denial of Service (DoS) /Distributed DoS (DDoS)
В архитектуре межсетевого экрана используется два независимых набора правил Call Filter и Data Filter.
Набор правил Call Filter применяется для трафика, направляющегося из локальной сети в WAN, когда нет активного Интернет-соединения (WAN-интерфейс не активен) и перед установлением соединения трафик проходит через правила Call Filter, если пакеты не блокируются, соединение устанавливается.
При активном состоянии WAN-интерфейса, все пакеты сразу же попадают в набор правил Data Filter, туда же попадает и весь входящий на WAN-интерфейсы трафик.
Рис. 22
В правилах работы межсетевого экрана могут указываться объекты (определенные через меню Objects Settings), такие, как IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов, пользователи (определенные в меню User Management) и наконец, в меню CSM (Content Security Management), определить приложения, например, Skype, URL-адреса и даже тематика тех или иных сайтов при помощи системы Web Content Filter.
То есть, мы можем работать с трафиком начиная с сетевого уровня и заканчивая уровнем приложений, плюс использовать систему Web Content Filter для интеллектуальной обработки трафика по тематике веб-контента, то есть создавать очень широкие правила.
Ниже представлены глобальные настройки в подменю Firewall >> General Setup, далее, подменю Firewall >> Filter Setup, иллюстрирующее наборы правил межсетевого экрана, подменю Firewall >> Filter Setup >> Edit Filter Set, иллюстрирующее состав конкретного набора правил.
Рис. 23
Теперь рассмотрим конкретное правило в из таблицы под названием block-social
Рис. 24
Во-первых, в Schedule можно указать расписание, когда правило будет работать, например, блокировать социальные сети с 9-30 до 18-00 с понедельника по пятницу. Далее, указываем направление проверки трафика в поле Direction, входящие и исходящие IP-адреса любые, тип сервиса может задаваться конкретным объектом в меню Objects Setting >> Service Type Object, а может набором объектов, и представляет из себя связку типа протокола + порт или диапазон портов.
Далее, в поле Filter указываем критерий «Pass If No Further Match» — пакеты нужно пропускать, если ни один из критериев в оставшихся правилах не совпадёт. Если пользователь обратится к социальной сети, например, ok.ru, критерий совпадёт и пакет будет заблокирован. Критерий в данном примере — это профиль в URL Content Filter, который содержит объект – группу включающую ключевые слова – адреса социальных сетей.
Ниже, я проиллюстрирую настройки, когда мы дойдём до них. Таким же образом, в правиле включаются и другие критерии, то есть в правилах межсетевого фильтра можно добавлять критерии как на сетевом уровне, так и на уровне приложений, более того, можно включить Web Content Filter который работает ещё выше – на уровне тематики веб-контента.
Подменю DoS Defense. В маршрутизаторе реализованы детектирование и автоматическая защита от DoS атак, причём метрики порога интенсивности трафика, после которого событие считается атакой могут настраиваться вручную. Также предусмотрено отправка уведомлений об атаке.
Меню User Management
Межсетевой экран может работать в одном из двух глобальных режимов:
Rule-Based, то есть базирующийся на правилах, где объекты, например, IP-адреса станций пользователей. Администратор устанавливает правила на основании различных IP-адресов.
User-Based, то есть управление осуществляется на основании профилей пользователей. Администратор устанавливает правила на различные профили пользователей или их группы. Перед этим пользователи должны авторизоваться. После авторизации системе создаётся соответствие между именем пользователя и IP адресом, с которым он авторизовался.
Ниже представлены подменю User Management >> General Setup, где происходит переключение между работой с IP-адресами или работой с профилями пользователя.
Если с работой по IP-адресам всё понятно: администратор присваивает IP-адрес терминалу пользователя, который не должен меняться и назначает правила для IP-адреса.
Как только мы переключаемся в режим User-Based, пользователь должен авторизоваться, до этого момента он не сможет работать в сети, а при открытии браузера и попытки зайти на любой сайт он будет переадресован на страницу авторизации. Чтобы авторизоваться, профиль пользователя с соответствующими правами должен содержаться в таблице User Management >> User Profile.
Рис. 25
В примере есть профиль пользователя Игнат Кудрявцев, откроем профиль данного пользователя
Рис. 26
Как видно, здесь можно установить таймаут на автоматический логаут в случае простоя, и ограничение на одновременное число логинов, включить внешнюю аутентификацию по протоколам LDAP или RADIUS. Также можно установить квоты на время и объём трафика, потребляемые пользователем.
Landing Page — это страница которую увидит пользователь после успешной авторизации. Можно выводить просто сообщение, как в нашем примере: «Login Success!», а можно делать переадресацию на любой веб-сайт, например, сайт компании. Для этого в настройках Landing page нужно написать строку вида:
<body stats=1><script language='javascript'> window.location='<a href="http://www.draytek.com/">http://www.draytek.com</a>'</script></body>
Все настройки подробно описаны в руководстве пользователя.
При открытии веб-браузера и попытке зайти на любой сайт, пользователь будет переадресован на страницу авторизации, после успешной авторизации появится сообщение «Login Success!» и пользователь сможет работать в сети.
Рис. 27
В подменю User Group пользователей можно группировать, чтобы затем назначать группам пользователей одинаковые правила, например, по отделам компании. Подменю User Online Status служит для просмотра статуса пользователей.
Меню Objects Setting
Маршрутизаторы серии Draytek 2912 поддерживают межсетевой экран с невидимой проверкой пакетов SPI (Stateful Packet Inspection) базирующийся на объектах (Object-based), таких как: пользователь (при авторизации он получает определенный IP), IP-адреса или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов. Эти объекты могут быть использованы для создания правил межсетевого экрана, которые можно включать и отключать по расписанию.
В меню Objects Setting создаются и группируются различные типы объектов.
В подменю IP Object создаются объекты на основе хоста, диапазона IP-адресов или подсети, также можно использовать конкретный MAC-адрес для любого IP-адреса. В подменю IP Group из IP объектов создаются группы, которые затем можно использовать для создания правил межсетевого экрана.
Тоже самое для IPv6 Object и IPv6 Group с IP адресацией IPv6.
В подменю Service Type Object и Service Type Group создаются и группируются объекты на основе типа протокола, портов источника и назначения.
Рис. 28
В подменю Keyword Object и Keyword Group создаются и группируются объекты на основе ключевых слов, затем эти объекты могут быть использованы для создания правил фильтрации, например, для URL Content Filter Profile и DNS Filter Profile в подсистеме CSM. В нашем примере мы блокируем социальные сети vk.com twitter.com facebook.com и ok.ru, для этого создали два профиля с именами social-nets и social-ok.ru содержащие данные ключевые слова и добавили их в группу social-nets-gro подменю Objects Setting >> Keyword Group. Далее, мы используем эту группу в CSM >> URL Content Filter Profile.
Рис. 29
В подменю File Extension Object создаются профили расширений, файлов которые могут распознаваться и применяться в правилах межсетевого экрана. Таким образом, например, можно запретить загрузку всех сжатых файлов или видео файлов с указанными расширениями. В примере запрещена загрузка любых изображений. Созданный профиль с названием blk-img затем будет использован в профиле CSM >> URL Content Filter Profile. Мы увидим это в примере ниже.
Рис. 30
Подменю SMS/Mail Service Object и Notification Object позволяют настроить до 10 профилей уведомлении для сервиса Application>>SMS/Mail Alert Service.
Меню CSM
Система безопасности содержимого CSM (Content Security Management), это подсистема межсетевого экрана, работающая на прикладном уровне, позволяется блокировать URL ссылки по ключевым словам и по типу содержимого, например, Java Applet, Cookies, Active X, также можно блокировать различные сетевые приложения, например, IM/P2P или по протоколам прикладного уровня, например, MySQL, SMB, SSH, UltraVPN, список сервисов и протоколов довольно внушительный. Имеется возможность блокировки DNS по ключевым словам.
В подменю APP Enforcement Profile создаются профили для фильтрации сетевых приложении которые могут использовать динамически меняющиеся порты и каждое такое приложение имеет свою специфику, например, Skype.
Рис. 31
В примере настроек правила межсетевого экрана таблицы Data Filter, который был приведён выше, указано данное правило.
Подменю URL Content Filter Profile отвечает за фильтрацию веб-контента. Здесь указываются ранее созданные объекты Group/Object Keyword и разрешается функции URL Access Control, тогда в каждом адресе веб-сайта будет вестись поиск по ключевым словам. В нашем примере мы добавили ранее в созданную группу social-nets-gro содержащую ключевые слова с веб-адресами социальных сетей.
В разделе Web Feature можно включить блокировку Cookie, Proxy и загрузки файлов с указанными в профиле File Extension Profile, в примере ранее, мы создали профиль 1-blk-img.
Созданный профиль social назначается в правиле межсетевого экрана в поле URL Content Filter.
Рис. 32
Когда правило сработает при попытке открыть, например, vk.com, пользователь увидит сообщение из поля Administration Message, пример содержимого такого поля приведен на предыдущем изображении.
Рис. 33
Подменю Web Content Filter Profile. Ещё один мощный инструмент CSM — система GlobalView Web Content Filter. Предназначена для фильтрации нежелательного контента на тематическом уровне, то есть, например, сайты с тематикой порно, криминал, азартные игры и прочее. Администратор создаёт профили, где указывает тематику сайтов и назначает их в правила межсетевого экрана, затем указывает что делать при совпадении правила, например, заблокировать. Web Content Filter лицензируется, но пробную лицензию для тестирования можно получить бесплатно.
Ниже представлена настройка профиля по категориями:
Рис. 34
Подсистема DNS Filter Profile проверят и блокирует DNS запросы на 53 порт UDP в соответствии с назначенным профилем URL Content Filter Profile или Web Content Filter Profile. Также можно кастомизировать сообщение, которое будет выводиться пользователю при блокировке ресурса.
Меню Bandwidth Management
Подменю Bandwidth Management >> Sessions Limit служит для ограничения количества NAT с сессий с IP-адресов LAN, которые могут быть одновременно установлены. Например, P2P (Peer to Peer) приложениям обычно требуется множество одновременных сессий, и они потребляют много сетевых ресурсов. Также можно ограничить число сессий по умолчанию с любого IP.
В подменю Bandwidth Management >> Bandwidth Limit устанавливаются ограничения на утилизацию полосы пропускания для хостов и диапазонов IP-адресов. Причем, работа правил может настраиваться по расписанию, можно отдельно ограничить полосу для входящего и исходящего трафика.
В подменю Bandwidth Management >> Quality of Service настраивается качество обслуживания трафика. Сначала трафик при помощи правил классифицируется по критериям таким как IP источника и назначения, тип сервиса и код DiffServ. Затем, каждому классу трафика резервируется свой процент общей полосы пропускания указанного интерфейса.
Рис. 35
Кстати приоритезация для VoIP трафика по умолчанию приоритезируется.
Меню Applicatons
Данное меню содержит настройки служебных приложений, которые помогают выполнить тонкую настройку отдельных функций.
Например, в подменю Schedule, настраиваются профили расписания, которые используются в различных настройках функций и правил маршрутизатора, всего в расписании можно создать до 15 записей.
Рис. 36
В меню LAN DNS можно указать соответствие IP адреса и доменного имени в локальной сети. В меню RADIUS и Active Directory /LDAP можно опционально включить авторизацию пользователей на соответствующих названиям подменю серверах. В подменю IGMP можно разрешить IGMP проксирование или IGMP snooping для мульткаст трафика, например, IP TV.
Меню VPN and Remote Access
Маршрутизатор поддерживает до 16 VPN* туннелей типа LAN-to-LAN для создания безопасного подключения между сетями организации или создания VPN-подключения с удалённых рабочих мест надомных сотрудников, используя протоколы PPTP/IPSec/L2P/L2TPover IPSec. Шифрование AES/DES/3DES и возможность IKE аутентификации обеспечивают повышенную надёжность. Использование сдвоенного WAN соединения позволяет использовать не только схему балансировки нагрузки, но и резервирования. Поэтому, если основной канал VPN канал станет недоступным, его заменит резервный VPN канал.
Кстати функции VPN в Draytek настраиваются очень просто. Буквально за пару кликов можно настроить как соединения типа LAN-to-LAN, так и доступ с удалённых рабочих мест. У Dryatek есть свой VPN-клиент для упрощения подключения рабочих мест, называется он Draytek Smart VPN Client, приложение бесплатно доступно для скачивания на сайте draytek.com
*В официальных поставках маршрутизаторов на территорию РФ удалены все программные средства шифрования, не соответствующие ГОСТами, поэтому в такой прошивке есть только поддержка PPTP без шифрования. Это можно исправить путём установки штатного ПО, которое можно скачать с сайта draytek.com.
В подменю Remote Access Control Setup включаются протоколы VPN на глобальном уровне, в подменю IPsec General Setup указывается Pre-Shared Key для метода IKE Authentication, указываются методы шифрования. Например, укажем ключ draytek.commmmm
Рис. 37
В подменю Remote Dial-in User указываются пользователи которые могут подключаться по VPN со своих удалённых мест к локальной сети LAN маршутизатора.
Рис. 38
В списке Status, видно, что пользователь ignat в статусе «онлайн», так как помечен зелёным цветом. В примере ниже, пользователь ignat подключается по PPTP, второй пользователь будет подключаться через туннель IPSec по преднастроенному выше preshared key= draytek.commmmm.
Рис. 39
Для подключения со стороны клиента я использовал Draytek Smart VPN Client, он устанавливается и настраивается в два клика.
Ниже пример для PPTP.
Рис. 40
Аналогичным образом настраивается второй VPN-клиент который будет динамически подключаться по preshared ключу который мы ранее указали в подменю IPsec General Setup как draytek.commmmm.
Рис 42
После успешного подключения в подменю Connection Management мы увидим активные соединения.
Рис. 43
Подменю LAN to LAN служит для настройки VPN соединений межу двумя сетями. Создаётся профиль LAN-to-LAN, в нём указываются все необходимые для создания подключения настройки: тип соединения – входящее, исходящее или двухсторонне, протокол VPN – PPTP, L2TP with IPsec Policy или IPsec Tunnel, в зависимости от протокола, специфические настройки, например, логин или пароль или IKE Pre-Shared Key, метод шифрования и прочее. На самом деле, настроек не так много, и они простые в общем случае. Указывается, какую локальную сеть должна «видеть» удалённая сторона и в какую удалённую сеть маршрутизировать трафик через данное VPN-соединение.
После сохранения настроек соединения, локальная сторона будет инициировать соединение или ожидать входящее соединение от удалённой стороны — в зависимости от настроек.
Установленное соединение можно также посмотреть в подменю Connection Management.
Меню Wireless LAN
Маршрутизатор поддерживает беспроводную сеть стандарта 802.11n и имеет две всенаправленные антенны. Настроек функций беспроводной сети в маршрутизаторе большое количество.
Устройство поддерживает до 4х независимых беспроводных сети со своими настройками, причём для каждой из сетей можно ограничить максимальную полосу для исходящего и входящего трафика, а также включить расписание в соответствии с которым будут работать эти ограничения.
Ниже для иллюстрации настроек представлены подменю General Setup и Security Settings. Настройки очень наглядны.
Рис. 44
Для каждой из 4х беспроводных сетей настраиваются свои параметры безопасности, включая фильтры MAC-адресов. Для каждой сети можно включить квоту времени использования Wi-Fi на основании MAC-адреса и таймаут на повторное предоставление квоты.
Ниже представлено подменю Station List, в котором видны, подключённые в данный момент, беспроводные терминалы.
Рис. 45
Кроме этого, в подменю Access Control, можно включить фильтр MAC-адресов, причём создать как белые, так и чёрные списки MAC-адресов. Списки можно сохранять в файл на компьютер или выгружать из файл при необходимости.
В подменю Advanced Setting содержатся тонкие настройки радиоканала, например, исходящая мощность сигнала, режим работы, ширина канала, длина фрагментов и другие.
Беспроводная есть также поддерживает настройку через WPS (Wi-Fi Protected Setup) и WDS настройки, которые можно найти в соответствующих подпунктах меню Wireless LAN.
Меню USB Application
На маршрутизаторе есть USB-порт, который может быть использован в трёх различных режимах. Во-первых, подключения USB модема 3G/4G для резервирования Интернет-соединения или как основное Интернет-соединение, если других способов подключения к Интернет не имеется.
Во-вторых, подключения USB-принтера к маршрутизатору, который становится принт-сервером и им смогут воспользоваться пользователи, настроив к нему доступ по сети.
Рис. 46
На изображении выше, пример, в котором USB-порт используется для подключения накопителя и обмена файлами по сети по протоколам FTP и SMB. Созданы два пользователя с разными домашними директориями. На изображении ниже, пример подменю USB Device Status, где мы видим, что к USB-порту подключен накопитель объёмом 8 Гигабайт и виден список активных пользователей которые подключены к нему по сети.
Рис. 47
Фото USB Application >> File Explorer и Фото USB Application >> USB Device Status
В-третьих, подключить USB-накопитель и предоставить общий доступ к файлам диска по FTP или NetBios/SMB. Список поддерживаемых модемов можно посмотреть в подменю Modem Support List, а список LAN клиентов можно посмотреть в подменю SMB Client Support List.
При подключении 3G/4G модема или принтера, их статус будет отражаться на соответствующих вкладках Modem и Printer подменю USB Device Status.
Меню System Maintenance
В меню собраны сервисные функции маршрутизатора. Здесь можно установить новый пароль для пользователей с правами User и Administrator, настроить протокол TR-069 для внешнего управления устройством. В подменю Configuration Backup можно сохранить текущую конфигурацию роутера или восстановить из ранее сохраненной. Подменю Configuration Backup служит для настройки отправки по сети системных журналов SysLog, можно также указать какие из журналов нужно записывать. Дополнительно, можно настроить отправку уведомлений по электронной почте.
Рис. 48
К слову, у Draytek есть бесплатная утилита для упрощения просмотра и хранения syslog на удалённом компьютере. Называется она Draytek Syslog. Ниже приведён снимок экрана интерфейса.
Рис. 49
В подменю Management выполняется настройка разрешений на удалённое управление. Причём в случае необходимости, нужно отдельно разрешить управление из Интернета, то есть с WAN интерфейсов.
Рис. 50
Меню Diagnostics
Функций диагностики на маршрутизаторе большое количество, мне это очень нравится — практически любую задачу по диагностике состояния можно решить через это меню.
В подменю Routing Table полная таблица маршрутизации, в ARP Cache Table список всех MAC-адресов в локальной сети, в DHCP-Table список всех активных DHCP-клиентов, есть таблицы NAT-сессий и кэша DNS-записей.
Рис. 51
Конечно же присутствуют Ping и Traceroute. Есть возможность включения и локального просмотра системных логов маршрутизатора, причём они разбиты по типам основных подсистем: VPN, Firewall, WAN и другие.
Рис. 52
В подменю Traffic Graph можно, в графическом виде, оценить утилизацию WAN интерфейсов или число сессий.
Рис. 53
Выводы
Мы очень подробно рассмотрели серию маршрутизаторов Draytek 2912/2912n. Это устройство, которое содержит все необходимые сетевые функции в одном корпусе и идеально подходит для небольшого офиса, поэтому приобретая его, владелец, экономит деньги за счет отсутствия необходимости приобретать дополнительное сетевое оборудование которое могло бы реализовать отдельные функции Draytek 2912n, например, межсетевой экран, точку доступа, VPN-концентратор, сетевой принтер или NAS-сервер для хранения общих документов.
В первой части обзора мы определили позиционирование устройства, подробно рассмотрели типовой сценарий использования маршрутизатора, подробно описали все ключевые характеристики и преимущества, посмотрели подробную техническую спецификацию – она впечатляет.
Дополнительное программное обеспечение Draytek VigorACS SI, для больших инсталляций, позволит без труда управлять и обслуживать огромный парк маршрутизаторов, для единичной инсталляции, программное обеспечение Draytek Smart Monitor предназначенное для мониторинга и анализа трафика станет незаменимым помощником для отладки сети и мониторинга пользователей. Мы посмотрели комплектацию и внешний вид устройства, индикацию и интерфейсы, затем протестировали максимальную пропускную способность маршрутизатора в нескольких режимах. Все результаты соответствуют заявленным производителем цифрами.
Во второй части обзора, которую вы сейчас читаете, мы детально рассмотрели каждый пункт меню, с примерами настройки таких функции и интерфейсов как WAN и LAN, балансировка нагрузки и политики маршрутизации, беспроводная сеть, VPN, межсетевой экран, NAT управление пропускной способностью, а также функции USB, диагностики и мониторинга маршрутизатора. Что касается документации, в процессе настройки и тестирования, я много раз к ней обращался и легко находил ответы – все функции хорошо описаны, а разделы где они находятся чётко структурированы. Работа с маршрутизатором и документацией к нему, оставила только хорошие впечатления.
Маршрутизатор Draytek 2912 очень функционален, и прост в настройке, может управляться через веб-браузер, интерфейс командной строки CLI или протокол TR-69. Кроме того, дополнительное ПО VigorACS SI и Smart Monitor для мониторинга и управления как отдельными устройствами, так и большим парком в сотни или тысячи устройств поможет существенно сократить затраты на инсталляцию и техническое обслуживание устройств. Поэтому Draytek 2912 имеет огромный потенциал для использования как в корпоративных сетях небольших компаний, так и отдельных офисах крупных предприятий. Также, отмечу хорошее качество программного обеспечения, высокую производительность и надёжность, проверенную временем.
Поделиться с друзьями
Комментарии (2)
slavian87
20.06.2016 17:40Все это очень хорошо, радует. Но цена выше в два раза чем у конкурента MikroTik RB951Ui-2HnD. Вообще без 5ггц в 2016 году делать нечего на рынке.
Sheti
Честно говоря после микротиков я уже с очень большим скепсисом смотрю на все эти роутеры. Тут я вижу претензию, на серьёзное устройство, но интерфейс откровенно страшный. Зачем нужно было всё так выдумывать не понятно. На скриншотах Windows XP, а на дворе уже 2016 год, как никак.