На сегодняшний день на рынке представлено множество многофункциональных маршрутизаторов, призванных «из одной коробки» обеспечить компанию всеми необходимыми сетевыми сервисами. Среди этого многообразия, как и несколько лет назад, выделяется продукция Draytek. Это связано с тем, что именно компания Draytek одной из первых начала выпуск доступных по цене, простых в настройке, надёжных и функциональных сетевых «комбайнов», еще тогда, когда на рынке подобные устройства производили только самые крупные вендоры и позволить их себе могли только «зажиточные» компании из-за высокой стоимости приобретения, инсталляции и последующего обслуживания. Серия маршрутизаторов Draytek 2925, о которых пойдёт речь — золотая середина по нескольким причинам:
Во-первых, высокая производительность: маршрутизатор обладает гигабитными портами Ethernet и показывает отличную сетевую производительность NAT, VPN и Wi-Fi.
Во-вторых, богатый функционал – Draytek 2925 позволяет без особого труда развернуть огромное число сетевых сервисов, имеет встроенные функции автонастройки, централизованного управления и мониторинга удаленных устройств.
В-третьих, надёжность – кроме проверенного в работе годами, традиционного качества «железа» и программного обеспечения Draytek, рассматриваемая модель имеет функции аппаратного и программного резервирования ресурсов посредством создания кластера высокой доступности из нескольких маршрутизаторов. И всё это предлагается покупателю по вполне разумной цене. Кроме того, особенность маршрутизаторов Draytek в целом и рассматриваемой модели в частности являются простота настройки, понятный интерфейс и отличная документация в форме справочника и примеров «how to». Именно это и привлекает многих администраторов и инженеров в продукции Dryatek. Модель 2925 является «комбайном» обладающим максимальным числом сетевых сервисов в одном корпусе.
Данный обзор поможет подробно познакомиться с серией маршрутизаторов Draytek 2925 на примере модели Draytek 2925n, которая представлена на изображении ниже и включает две части.
В первой части мы познакомимся со схемами использования маршрутизатора в целом и его отдельными функциями. Далее, подробно рассмотрим его характеристики, посмотрим внешний вид и комплектацию, интерфейсы и разъёмы, затем протестируем пропускную способность устройства.
Вторая часть будет посвящена обзору веб-интерфейса, его особенностям и примеру настройки таких функции и интерфейсов как WAN и LAN, Load-balancing, беспроводная сеть, VPN (PPTP, IPSec и SSL), сетевой экран, NAT, специальными инструментами авто настройки и централизованного управления точками доступа – Central AP Management и VPN-соединениями на удалённых маршрутизаторах – Central VPN Management, управление пропускной способностью, функцией создания кластера высокой доступности из нескольких маршрутизаторов, а также функции USB, диагностики и мониторинга маршрутизатора.
Серия маршрутизаторов Draytek 2925 представлена несколькими моделями, для наглядности, представим сравнение моделей в виде таблицы.
Модель \ Функция |
Vigor 2925 |
Vigor 2925n |
Vigor 2925 n-plus |
Vigor 2925 Vn-plus |
Vigor 2925ac |
Vigor 2925 Vac |
WLAN |
— | 802.11n (2.4 Ггц) |
802.11n (2.4 Ггц + 5 Ггц) |
802.11n (2.4 Ггц + 5 Ггц) |
802.11ac (2.4 Ггц + 5 Ггц) |
802.11ac (2.4 Ггц + 5 Ггц) |
VoIP |
— | — | — | 2 x FXS 1 x FXO |
— | 2 x FXS 1 x FXO |
Кол-во внешних антенн |
— | 2 |
3 |
3 |
3 |
3 |
Как видно из таблицы, первое отличие моделей серии 2925 – стандарты работы беспроводной сети. Так, модель 2925 не имеет контроллера Wi-Fi, модель с индексом «n» поддерживает стандарт 802.11n(300 Мбит\c) в диапазоне частот 2.4 Ггц. Модель с индексом n-plus способна работать в двух диапазонах частот: 2.4 Ггц и 5 Ггц, что повышает надёжность связи, уменьшая влияние радиочастотных помех. Модель с индексом «ac» поддерживает стандарт 802.11ac и может работать на частоте 2.4 Ггц или на частоте 5 Ггц со скоростью до 1300 Мбит\c (3 x 433 Мбит\c).
Второе отличие моделей – наличие VoIP портов – два порта FXS для подключения аналоговых телефонов и одного порта Life Line для подключения медной линии FXO от городской АТС. Модели с поддержкой VoIP имеют индекс «V» в названии модели.
Ключевые особенности устройства
- Сетевой «комбайн» формата «всё-в-одном»
- Мощный полностью гигабитный маршрутизатор с высокой пропускной способностью –
все Ethernet порты WAN и LAN работают на скорости 1 Гбит\сек (10\100\1 000 Base-TX)
- Беспроводная сеть стандарта 802.11ac до 1300Мбит\сек (только для моделей с индексом «ac») или 802.11n(включая двух диапазонный вариант 2.4 Ггц + 5 Ггц для моделей с индексом n-plus) с возможностью создания нескольких беспроводных сетей на одном устройстве
- Поддержка VoIP: наличие портов FXS и FXO для модели с индексом «V»
- WAN-интерфейс с резервированием и балансировкой трафика между несколькими WAN интерфейсами
- Возможность реализации высокой доступности High Availability (HA) сетевых сервисов по средствам аппаратного и программного резервирования ресурсов Draytek 2925
- Сетевой фильтр с широкими возможностями
- Система управления безопасностью содержимого CSM (Content Security Management)
- Поддержка до 50 VPN туннелей (по протоколам PPTP/ L2TP/ IPsec) с аппаратным шифрованием и возможностью резервирования VPN-соединений (оборудование, официально ввозимое на территорию РФ, поддерживает только протокол PPTP без шифрования)
- Поддержка до 25 SSL VPN туннелей
- Два многофункциональных USB-порта для подключения принтера или организации общего доступа к файлам
- Возможность подключения 3G/4G USB модемов как WAN 3 через USB порт
- Поддержка VLAN по портам и на основе тегов
- Управление пропускной способностью с интеллектуальный режимом VoIP QoS
- Поддержка IPv4 и IPv6
- Широкие возможности по управлению через веб-интерфейс или командную строку CLI
- Возможность использования с сервером для централизованного управления и мониторинга VigorACS SI
- Встроенная функция Central VPN Management для управления функциями VPN на 16 удалённых маршрутизаторах Vigor
- Встроенная функция Central AP Management для централизованного управления беспроводными точками доступа Vigor
- Возможность подключения к анализатору трафика Smart Monitor и мониторинга до 50 хостов
- Поддержка протокола управления TR-69 и TR-104
Схема использования Draytek 2925
Модель 2925 является прежде всего гигабитным офисным маршрутизатором с максимальным набором функций, который может потребоваться для создания прозрачной и эффективной сетевой инфраструктуры небольшого офиса. В отличие от младшей модели 2912, обзор которой в двух частях доступен по ссылкам: часть 1 и часть 2, рассматриваемый маршрутизаторе обладает более высокой производительностью, может обслуживать большее число хостов в локальной сети и поддерживать большее число VPN-соединений. Также устройство имеет дополнительные функции для централизованного управления точками доступа и VPN-подключениями на устройствах Vigor.На рисунке ниже, демонстрируется комбинированная схема использования маршрутизатора.
Рис. 2
Итак, первое расположение — головной офис, в нём установлен мощный маршрутизатор Draytek 3900, там же находится единая система управления и мониторинга для всех маршрутизаторов Draytek, используемых компанией, под названием VigorACS SI, при помощи которой можно легко настраивать, обновлять и мониторить все маршрутизаторы в сети из одного места. При этом количество устройств в сети может достигать нескольких сотен. Все офисы объединены друг с другом через VPN-туннели, в нашем примере это головной офис, офисы А и Б, в них мы и установили Draytek 2925n и 2925Vn-plus. В офисе А маршрутизатор подключён к двум интернет провайдерам, через два WAN порта по Ethernet. Настроена балансировка трафика между интерфейсами WAN, поэтому, если у одного из операторов случится авария, доступ в Интернет будет сохранён. Все рабочие места сотрудников подключены по Wi-Fi, причём настроены несколько независимых беспроводных сетей со своими SSID, в примере это сеть Wireless для сотрудников офиса, и гостевая сеть Guest, с ограниченным доступом и лимитами по числу одновременных сессий с устройства и максимальной полосе пропускания, чтобы гости не мешали работе сотрудников.
При помощи системы безопасности контента CSM, сотрудникам заблокирован доступ к социальным сетям, при помощи онлайн фильтра веб-контента, на маршрутизаторе проверяется тематика сайтов, к которым сотрудники хотят получить доступ, и блокируется нежелательные. Через USB-порт маршрутизатора подключён принтер, ПК сотрудников «видят» его как принт-сервер. Удалённые сотрудники могут подключаться к локальной сети компании через VPN-клиенты на своих домашних компьютерах, используя PPTP или IPSec. В офисе Б основной провайдер подключён через Ethernet к WAN 1 порту Dryatek 2925Vn-plus, а через USB-порт подключен 3G модем, который настроен как WAN 3 и в случае аварии на канале WAN 1, трафик пойдет через 3G модем. ПК сотрудников, IP-телефоны и серверы находятся в разных VLAN, настроен QoS, так как в офисе используются IP-телефоны. Для мониторинга и анализа сетевой активности пользователей, применяется решение Draytek Smart Monitor при помощи которого легко понять какой объём трафика потребляют сотрудники и какие веб-ресурсы посещают.
Теперь перейдем к подробному рассмотрению ключевых функции маршрутизатора.
Мощный офисный маршрутизатор с «гигабитными» портами WAN и LAN и резервированием подключения к Интернет, балансировкой трафика.
Рис. 3
Рис. 3-1
Маршрутизаторы серии 2925 имеют два WAN Gigabit Ethernet интерфейса –WAN1 и WAN2. Между интерфейсами настраивается балансировка трафика и резервирование, при использовании сразу двух Интернет-провайдеров в случае аварии на канале одного из них, в офисе будет работать Интернет. Кроме резервирования Ethernet провайдеров, можно подключить резервирование Интернет-канала через 3G/4G модем, который вставляется в USB-порт маршрутизатора и становится портом WAN3.
В дополнение, можно создавать правила маршрутизации (или адресной трансляции NAT) в конкретные интерфейсы WAN/LAN/VPN, для трафика от источников и для адресатов таких как хост или подсеть с опциональным указанием протокола и диапазона портов. В правиле, дополнительно указывается резервный интерфейс, на который следует отправить трафик в случае отказа основного.
Каждое правило имеет приоритет в списке, поэтому если первое правило не сработало, будет применяться следующее правило ниже приоритетом.
Все пять портов LAN на устройстве также имеют скорость подключения 1 Гбит\c, что делает данный маршрутизатор устройством, которое способно «перемалывать» серьёзные объёмы трафика.
Построение безопасной VPN-сети между офисами или подключение удалённых рабочих мест
Рис. 4
Маршрутизатор поддерживает до 50 VPN* туннелей типа LAN-to-LAN для безопасного объединения сетей организации через Интернет или создания VPN-подключений с удалённых рабочих мест надомных сотрудников, используя протоколы PPTP/IPSec/L2P/L2TPover IPSec. Шифрование AES/DES/3DES и возможность IKE аутентификации обеспечивают повышенную надёжность. Использование сдвоенного WAN соединения позволяет применять не только схему балансировки нагрузки, но и резервирования. Поэтому, если основной канал VPN-канал станет недоступным, его заменит резервный VPN-канал.
Кстати, функции VPN в Draytek настраиваются очень просто. Буквально за пару кликов можно настроить как соединения типа LAN-to-LAN, так и доступ с удалённых рабочих мест. У Dryatek есть свой VPN-клиент для упрощения подключения с рабочих мест, он называется Draytek Smart VPN Сlient. Приложение доступно для свободного скачивания на сайте draytek.com
*В официальных поставках маршрутизаторов на территорию РФ удалены все программные средства шифрования, не поддерживающие ГОСТы, поэтому в такой прошивке можно найти только поддержку PPTP без шифрования. Это можно обойти путём установки штатного ПО, которое можно скачать с сайта draytek.com.
Central VPN Management
Рис. 4-1
Встроенный в Draytek 2925 инструмент Central VPN Management позволяет централизовано управлять VPN-подключениями удалённых маршрутизаторов Dryatek. Подключение маршрутизаторов осуществляется очень просто: настраивается управление между центральным Dryatek 2925 и удалённым маршрутизатором, после этого удалённый маршрутизатор появляется в списке управляемых устройств на центральном Draytek. Далее, несколькими кликами, на центральном Draytek 2925, активируется VPN-туннель на удалённый маршрутизатор. Также с центрального маршрутизатора, можно получать детальную информацию о статусе удалённых устройств, делать резервные копии конфигурации, обновлять прошивки и прочее.
Местонахождение удалённых маршрутизаторов можно просматривать на карте Google Maps на соответствующей закладке в веб-интерфейсе устройства.
Организация безопасных сетей для офиса
Рис. 5
Маршрутизаторы Draytek 2925, в зависимости от модели, поддерживает беспроводную сеть стандарта 802.11n или 802.11ac и имеют две или три всенаправленные антенны. Настроек функций беспроводной сети в маршрутизаторе большое количество.
Устройство поддерживает до 5 независимых беспроводных сетей со своими настройками, причём каждой из сетей можно ограничить максимальную полосу для исходящего и входящего трафика, а также включить расписание, в соответствии с которым, будут работать эти ограничения. Для каждой из 4х беспроводных сетей настраиваются свои параметры безопасности, включая фильтры MAC адресов. Для каждой сети можно включить квоту времени использования Wi-Fi на основании MAC-адреса и таймаут на повторное предоставление квоты.
Рис. 6
Также можно включить функцию веб-портала для перенаправления на нужную веб-страницу подключающегося к интернету пользователя, в качестве рекламы компании.
Рис. 7
Ещё одно важное преимущество – любую из четырёх беспроводных сетей и подсеть LAN можно объединить и изолировать от других сетей, что повышает безопасность. На маршрутизаторе Draytek 2925 может быть 5 подсетей LAN.
Рис. 8
На изображении ниже представлен наглядный пример использования нескольких SSID и VLAN:
Рис. 8-1
Централизованное управление и мониторинг беспроводных точек доступа
Рис. 4-2
Для облегчения задач управления и мониторинга беспроводными точками доступа находящихся в локальной сети, в маршрутизаторе Dryatek 2925 есть встроенный инструмент – AP Central Management. Данный инструмент, в несколько кликов, позволяет подключить и полностью настроить точку доступа. При подключении к локальной сети точки доступа, она автоматически обнаруживается маршрутизатором. Администратор создаёт профиль необходимых настроек для точки доступа или использует профиль по умолчанию, затем назначает профиль на точку доступа, точка автоматически загружает профиль, дальнейшее обслуживание и мониторинг осуществляется централизованно с Dryatek 2925 для каждой точки в отдельности или группы точек.
На данный момент поддерживаемые точки AP800, AP810, AP900 и AP910C. Для работы данного инструмента лицензий не требуется.
Мощный межсетевой фильтр с возможностью фильтрации контента на прикладном уровне
Рис. 9
Маршрутизаторы серии 2925 поддерживают межсетевой экран с невидимой проверкой пакетов SPI (Stateful Packet Inspection), базирующийся на объектах (Object-based), таких как пользователь (при авторизации он получает определенный IP), IP-адрес или группы IP-адресов, протокол и диапазон портов и их группы, ключевые слова и группы ключевых слов, профили расширений файлов. Эти объекты могут быть использованы для создания правил межсетевого экрана, которые можно включать и отключать по расписанию.
Система безопасности содержимого CSM (Content Security Management) — это подсистема межсетевого экрана работающая на прикладном уровне, позволяется блокировать UR- ссылки по ключевым словам и по типу содержимого, например, Java Applet, Cookies, Active X, также можно блокировать различные сетевые приложения, например, IM/P2P или по протоколам прикладного уровня, например, MySQL, SMB, SSH, UltraVPN, список сервисов и протоколов довольно внушительный. Также имеется возможность блокировки DNS по ключевым словам.
Ещё один мощный инструмент, который содержит CSM — система GlobalView Web Content Filter. Предназначена для фильтрации нежелательного контента на тематическом уровне, то есть, например, сайты с тематикой порно, криминал, азартные игры и прочее. Администратор создаёт профили, где указывает тематику сайтов и назначает их в правила межсетевого экрана, затем указывает что делать при совпадении правила, например, заблокировать. Web Content Filter лицензируется, но пробную лицензию для тестирования можно получить бесплатно.
В маршрутизаторе реализованы детектирование и автоматическая защита от DoS-атак, причём метрики порога интенсивности трафика, после которого событие считается атакой, могут настраиваться вручную. Также предусмотрено отправка уведомлений об атаке. Вообще межсетевой экран может работать в одном из двух глобальных режимов:
» Rule-Based, то есть базирующийся на правилах, где объекты, например, IP-адреса станций пользователей, администратор устанавливает правила на основании различных IP-адресов.
» User-Based, то есть управление на основании профилей пользователей, администратор устанавливает правила на различны профили пользователей. Перед этим пользователи должны авторизоваться.
Управление пропускной способностью и обеспечение качества обслуживания QoS
Маршрутизатор обладает широкими возможностями настройки качества обслуживания QoS, для решения типичной ситуации – правильной приоритезации критичного к задержкам трафика над трафиком сервисов, которые требуют таких приоритетов. Причём маршрутизатор, по умолчанию, автоматически определяет трафик реального времени, и даёт ему приоритет над другими типами трафика. Например, VoIP-вызовы. В дополнении к настройкам QoS имеются широкие возможности по контролю ширины полосы пропускания и установками лимита расходования трафика как для отдельных IP-адресов, так и для групп IP-адресов. Можно указать какой объём трафика и за какое время будет предоставлен тому или иному пользователю на полной скорости, по исчерпании лимита, скорость будет понижена до определенного порога. Имеется возможность ограничения числа одновременных сессий на конкретные IP или диапазоны IP, а также максимального числа одновременных сессий по умолчанию.
Для включения и отключения правил, есть возможность создать семидневное расписание, до 15 интервалов.
Рис. 10
Возможность аппаратного и программного резервирования ресурсов High Availability (HA)
На маршрутизаторе Draytek 2925 может быть настроена функция высокой доступности сетевых сервисов, посредством резервирования аппаратных и программных ресурсов основного маршрутизатора 2925 при помощи «запасных» маршрутизаторов Draytek, в случае выхода основного из строя.Также возможна схема балансировки трафика между несколькими маршрутизаторами и WAN подключениями.
То есть, при помощи функции HA устраняется проблема единой точки отказа. Если основной маршрутизатор «сгорел» или по другим причинам перестал быть работоспособным, это не приведет к отказу сети – сеть продолжит работать в штатном режиме.
Резервирование может работать в двух режимах:
» Hot-Standby – режим, при котором, интерфейсы и ресурсы на резервном маршрутизаторе активируются только с недоступностью основного. Поэтому все WAN-подключения на основном должны быть физически продублированы на резервном маршрутизаторе(-ах) Вся конфигурация на основном и резервном маршрутизаторах одинаковая и периодически синхронизируется с основного на резервный маршрутизатор.
» Active-Standby – режим, при котором, WAN-интерфейсы активны на основном, также могут быть активны и на резервном маршрутизаторе, причем каждый из них имеет свои настройки(например подключены к разным Интернет-провайдерам), пользователи могут маршрутизировать трафик через любой из WAN-интерфейс. Ресурсы на всех маршрутизаторах активны, но LAN-сегменты на всех маршрутизаторах имеют общие виртуальные IP-адреса. Конфигурация между маршрутизаторами не синхронизируется. Если становится недоступным один маршрутизатор, то трафик от пользователей начинает маршрутизироваться через другой маршрутизатор с его Интернет-подключением.
Рис. 10-1
Например, режим Hot-Standby. Маршрутизатор 2925 Primary является основным маршрутизатором, маршрутизатор 2925 Secondary является резервным, схема настроена в режиме Hot-Standby. Когда Primary «ложится», на резервный маршрутизатор переключатся все ресурсы, и он выполняет роль основного. Когда основной включается в работу, на него возвращаются ресурсы, и работа продолжается в штатном режиме. DARP – DrayTek Address Redundancy Protocol который служит для настройки детектирования состояния межу маршрутизаторами.
Возможность многоцелевого использования USB порта в режимах принт-сервера, хранилища файлов, подключения 3G/4G модемов
На маршрутизаторе есть USB-порт, который может быть использован в одном из трёх режимов. Во-первых, подключения USB модема 3G/4G для резервирования Интернет-соединения или как основное Интернет-соединение, если других способов подключение к Интернет не имеется.
Во-вторых, подключения USB-принтера к маршрутизатору, который становится принт-сервером и им смогут воспользоваться пользователи, настроив к нему доступ по сети.
В-третьих, подключить USB-накопитель и предоставить общий доступ к файлам диска по FTP или NetBios/SMB.
Рис. 11
Система анализа трафика Smart Monitor
Рис. 12
Smart Monitor создан, прежде всего, для решения сетевых проблем путём мониторинга и анализа сетевого трафика, приложение помогает администраторам находить и решать проблемы с сетевыми приложениями. Например, мониторить трафик различного типа, создавать детальные отчёты по использованию трафика пользователями экспортировать их и даже отправлять по электронной почте, есть ранжирование TOP10 по максимальному использованию сетевых ресурсов, например, TOP10 по использованию IM-мессенджеров или загрузкам файлов, также можно ранжировать использование различных сетевых протоколов и учитывать эту информацию при настройке маршрутизатора так, чтобы пользователям было комфортно работать. Для иллюстрации ниже представлены несколько снимков экранов.
Рис. 13
Приложение помогает решать проблемы нецелевого использования рабочего времени и нежелательной утечки конфиденциальной информации. Например, монитрорить злоупотребление IM-мессенджерами и передачу конфиденциальной информацию за пределы компании, время, потраченное на социальные сети, находить пользователей, которые загружают каналы загрузкой больших файлов или потоковым видео и т.д. С помощью SmartMonitor можно следить за активностью пользователей: прочитать электронную почту, переписку в IM-мессенджерах, просматривать загруженные ими файлы.
Для иллюстрации ниже представлены несколько снимков экрана.
Рис. 14
Функция перехвата полезна для восстановления данных в случае их утери пользователем или решения спорных ситуаций. Например, прослушивание VoIP-разговоров или восстановление случайно удалённых писем. Естественно, можно просматривать адреса сайтов, которые посещали конкретные пользователи. Что касается разделения прав: в приложении можно создать учётные записи с привилегиями на просмотр информации только для определенных пользователей, например, только сотрудников отдела продаж.
Приложение Smart Monitor захватывает и анализирует трафик который зеркалируется с указанных портов LAN маршрутизатора на Mirror port. К Mirror порту подключается порт сервера, на котором установлено приложение Smart Monitor, трафик с этого порта сохраняется, а затем «разбирается» приложением. Поэтому на сервере может быть два порта: один для зеркалирования трафика второй для управления. Важный момент – с маршрутизатора зеркалируется только трафик потов LAN, беспроводной трафик не зеркалируется, следовательно, не обрабатывается.
Приложение состоит из нескольких компонентов, таких как веб сервер Apahe с PHP, WinPcap, устанавливается на компьютер в несколько кликов. Интерфейс Smart Monitor работает через веб-браузер. Для этого нужно открыть в браузере IP сервера, затем ввести логин и пароль для доступа к системе. Минимальные аппаратные требования для системы на 30 хостов скромные: Intel P4 1.4GHz /AMD CPU, 20 GB на HDD и 1GB ОЗУ. Поддерживаемые ОС Windows XP/7, Linux.
Кстати приложение является бесплатным программным обеспечением.
Для более подробного ознакомления рекомендую воспользоваться онлайн демо по адресу http://eu.draytek.com:50000/Logon.php
Login: guest
Pass: guest
Рис. 15
Система централизованного управления и мониторинга VigorACS SI
Централизованная система Draytek VigorACS SI предназначена для управления, настройки и мониторинга парка устройств Draytek для больших предприятий, операторов и сервис-провайдеров, которым необходимо максимально упростить и автоматизировать процесс инсталляции и обслуживания оборудования. Использование системы VigorACS SI существенно уменьшает затраты на обслуживание оборудования со стороны сервис-провайдера (оператора) или системного интегратора. Вообще, система заслуживает отдельного обзора так как очень функциональна.
Можно выделить следующий преимущества использования системы Draytek VigorACS SI:
» Централизованное управление. Архитектура VigorACS SI позволяет централизовано управлять различными типами устройств Draytek, например, маршрутизаторами, даже если устройства находятся за NAT. Управление любыми устройствами производится из единого интерфейса. Управление может быть, как группами устройств, так и отдельным устройством.
» Сокращение расходов на поддержку. Одной из главных задач системы VigorACS SI является сокращение количества обращений в службу технической поддержки и времени необходимого для устранения возникающих проблем. Система позволяет администраторам легко находить и устранять проблемы благодаря простому интуитивно понятному интерфейсу, возможности разграничения прав доступа и аудит настроек, выполненных другими пользователями. Система предоставляет подробную статистику работы всех устройств, оповещение о событиях, и уведомления об авариях, возможность удалённого управления устройствами.
» Автоматизация всего цикла настройки и эксплуатации оборудования. Система может быть полезна как сервис провайдерам, так и системным интеграторам, которые хотят максимально упростить и автоматизировать процесс инсталляции и обслуживания оборудования.
» Экономия времени. Автоматическая настройка позволяет существенно уменьшить временные затраты на инсталляцию новых устройств и перенастройку уже имеющихся, и как следствие — экономить деньги.
» Мониторинг и анализ. Система позволяет отслеживать и анализировать состояния всех устройств в сети и уведомлять о событиях, например, авариях или недоступности устройства, перегрузке или ошибках. Это позволяет принять меры или предотвратить аварию до момента, когда её обнаружит клиент и обратится в службу технической поддержки.
Рис. 16
Ключевые особенности системы:
- Поддержка протокола TR-69
- Совместимость с устройствами Draytek поддерживающих TR-69
- Удалённая автонастройка и мониторинг состояния устройств
- Динамический и настраиваемый по расписанию настройка сервисов
- Мастер настройки VPN позволяющий легко создавать безопасные соединения
- Ежедневные отчёты и обзор производительности
- Уведомления об авариях в режиме реального времени
- Управление топологией с отрисовкой связности устройств.
- Управление встроенным ПО устройств
- Многопользовательский режим с разделением прав
Для управления устройствами система VigorACS SI использует стандартный протокол TR-069
Рис. 17
Система лицензируется и является коммерческим продуктом. Доступ к системе осуществляется через веб-браузер Internet Explorer/Firefox/Safari/Opera, который должен поддерживать Adobe Flash Player 9.0.
Требования к ОС сервера:
- MicroSoft Windows 2003/XP/Vista/7
- Рекмендуется 32/64-bit openSUSE или другие дистрибутивы Linux c Java v1.5/ Mariadb(MySQL) v5.5, для больших инсталляций более 5000 узлов, не рекомендуется пользоваться Windows
MicroSoft Windows 2003/XP/Vista
Минимальные аппаратные требования:
- Intel Pentium 4 CPU 1.0 GHz и выше
- 2 GB DDR2 ОЗУ
- Жесткий диск: 80Гбайт и больше
Демо-интерфейс системы можно посмотреть по ссылке http://acstest.draytek.com:8001/web/ACS.html
Username: guest
Password: guest
Подробная функциональная спецификация серии Draytek 2925
Ниже приведены подробные технические характеристики Draytek серии 2925
WAN интерфейс для подключения к Интернет
- IPv4- DHCP Клиент, Статический IP, PPPoE, PPTP, L2TP, 802.1p/q Multi-VLAN Теггирование
- IPv6- Туннельный режим: PPP, TSPC, AICCU, 6in4, 6rd
- Двойной стек: DHCPv6 Client, Static IPv6, DSLite
- USB WAN через 3G/4G модем
- PPP
- Балансировка исходящей нагрузки на основе политик
- Резервирование WAN-интерфейса
- Лимитирование трафика WAN-интерфейса
- Поддержка до 50000 NAT-сессий
Межсетевой экран
- Мульти-NAT, DMZ Хост, Перенаправление портов
- Базирующийся на объектах межсетевой экран (Object-based Firewall)
- Фильтрация MAC-адресов
- Невидимая проверка пакетов SPI (Stateful Packet Inspection) (Flow Track)
- Предотвращение DoS/DDoS
- Anti-spoofing IP-адресов
- E-mail уведомления и журналирование через Syslog
- Привязка IP-адреса к MAC-адресу
- Управление по расписанию
- IPv6 Сетевой экран
- Управление пользователями
Функции VPN
Здесь есть небольшая ремарка: в соответствии с законодательством РФ программно-аппаратные средства, поддерживающие средства шифрования, ввозимые в РФ, должны соответствовать нормативам устанавливаемым контрольно-надзорными органами, поэтому в случае с данным маршрутизатором в ПО убраны все функции шифрования. Это можно обойти путём установки штатного ПО которое можно скачать с сайта draytek.com.
- До 50 VPN-туннелей (до 25 VPN SSL туннелей)
- Протоколы: PPTP, IPSec, L2TP, L2TP over IPSec, SSL
- Шифрование: MPPE и аппаратное AES/DES/3DES
- Аутентификация: MD5, SHA-1
- IKE аутентификация: Pre-shared ключ и цифровая подпись (X.509)
- Работа и контроль в режимах LAN-to-LAN, Host-to-LAN
- IPsec NAT-traversal (NAT-T)
- Детектирование отключенных пиров Dead Peer Detection (DPD)
- Режим резервирования VPN Backup Mode
- DHCP поверх IPSec
- Сквозное прохождение VPN Pass-through
- Мастер настройки VPN Wizard
- mOTP
Функции USB
- Общий доступ к принтеру
- Общий доступ к файлам:
— Поддержка FAT32
— Поддержка общего доступа через FTP
— Поддержка общего доступа через Samba - Подключения модемов 3.5G (HSDPA)/4G (LTE) как интерфейс WAN3
Управление пропускной способностью
- Функции обеспечений QoS:
— Гарантированная полоса для VoIP-трафика
— Базирующая на классах гарантированная полоса для категорий трафика определяемая пользователем
— Поддержка маркировки DSCP
— 4 уровня приоритезации для каждого вида трафика - Резервирование полосы
- Переназначение меток QoS для L3 протоколов TOS/DSCP
- Интеллектуальное ограничение пропускной способности
Сетевое управление
- Управление через веб-интерфейс(HTTP/HTTPS)
- Мастер быстрой настройки маршрутизатора
- Консольный CLI-интерфейс управления через telnet/ssh
- Административный контроль доступа
- Резервирование и восстановление конфигурации
- Встроенные функции диагностики
- Обновление встроенного ПО через протоколы TFTP/FTP/HTTP/TR-069
- Журналирование через Syslog
- Поддержка SNMP V2/V3
- Установка таймаута сессии управления
- Двухуровневое ограничение прав на управление: администратор и пользователь
- Поддержка протокола TR069
- Поддержка протокола TR104
- Поддержка Smart Monitor до 50 терминалов
- Central AP Management – встроенная система управления точками доступа Draytek
- Central VPN Management – встроенное управление функциями VPN на удалённых маршрутизаторах Draytek
Управление безопасностью содержимого
- Приложения IM/P2P
- Фильтр по содержимому URL:
— Фильтр по ключевым словам в (Белые и чёрные списки)
— Блокировка содержимого по типам(расширениям):Java апплеты, Кукки, Active X, Сжатые, Исполняемые, Мультимедиа
— возможность указания сетей для которых правила не применяются - Глобальный фильтр контента GlobalView (используя технологию CYREN)
Сетевые характеристики
- DHCP Клиент/Релей/Сервер
- RADVD для IPv6
- DHCPv6 Сервер
- Статическая адресация IPv6
- IGMP Прокси V2/V3
- IGMP Snooping
- Динамический DNS
- NTP Клиент
- RADIUS Клиент
- DNS Кэширование/Проксирование
- UPnP 30 Сессий
- Протоколы маршрутизации:
— Статическая маршрутизация
— RIP V2
- Теггированные VLAN (802.1q) в LAN
Беспроводная сеть (Для моделей с индексом n, n-plus и ac)
- Стандарт IEEE802.11ac для моделей с индексом ac/Vac
- Стандарт IEEE802.11n Concurrent Dual Band (2.4ГГц и 5ГГц ) для моделей с индексом n-plus/Vn-plus
- Стандарт IEEE802.11n 2.4ГГц для модели с индексом n
- Просмотр списка беспроводных клиентов
- Изоляция беспроводных сетей
- Безопасность беспроводной сети
— WEP 64/128 бит
— WPA-TKIP/WPA2-AES/Смешанный режим(WPA+WPA2)
— Аутентификация 802.1x - Сокрытие беспроводной SSID
- Конфигурация нескольких SSID
- Фильтр MAC-адресов
- Обнаружение точек доступа
- Объединение точек доступа при помощи WDS (Wireless Distribution System)
- SSID VLAN группировка с LAN портом
- Контроль пропускной способности сети
- WMM
- WPS
Функции VoIP ( для моделей с индексом V)
- Сигнальный протокол SIP, медиа RTP/RTCP, поддержка шифрования ZRTP + SRTP
- До 12 учётных записей SIP
- Поддержка аудио кодеков: G.711, G.723.1, G.726, G.729 A/B, поддержка VAD/CNG
- Режимы DTMF: Inband, RFC-2833, SIP Info
- FAX/Модем: детектирование тонов и режим передачи факсов G.711 Pass-through
- Замыкание FXO на FXS (PSTN Loop-through) в случае отключения питания на маршрутизаторе
- Манипулирование цифрами в плане набора
- Записная книга
- Дополнительные виды обслуживания(ДВО): Удержание вызова, уведомление о втором вызове, перевод вызова, переадресация вызова (условная и безусловная), DND, Горячая линия(Hotline), индикация наличия непрочитанных голосовых сообщений MWI
Комплект поставки, внешний вид и упаковка
Устройство поставляется в коробке с маркетинговыми элементами, такими как изображения маршрутизатора, информация о его ключевых функциях, также подробное описание возможностей. Вид упаковки говорит о том, что устройство, в том числе, продаётся в магазинах, где потенциального покупателя сперва должна привлечь красивая и качественная упаковка.
Рис. 18
Обращаю внимание, что на коробках серии 2925 изображён самый «навороченный» вариант Vigor2925Vac, поэтому точное наименование модели следует смотреть на наклейке, которая расположена на одной из боковых сторон коробки.
Рис. 19
Достаточно взять в руки упаковку и прочитать то что на ней написано, чтобы достаточно полно понять, что может устройство, скрывающееся в упаковке. Списки функций, изображённые на упаковке, были подробно описаны выше.
Рис. 20 и 21
Сбоку, на коробке, изображён символ EAC, свидетельствующий о том, что продукция, маркированная данным знаком, прошла все установленные в технических регламентах Таможенного союза процедуры оценки. Также информация о дистрибьютере оборудования – «ООО Цифровой Ангел». Как и раньше, всё оборудование Draytek изготавливается в Тайване.
На другой боковой части упаковки, информация о модели устройства – в нашем случае модель 2925n, серийном номере, версии встроенного ПО установленного на заводе, информация о регионе для использования – Россия.
Рис. 22 и 23
Когда впервые открываешь коробку, первое что бросается в глаза это качество упаковки. Всё хорошо и аккуратно упаковано. Кстати – примечательный факт, что зачастую устройство будет также хорошо или плохо работать, как было упаковано. По опыту, могу сказать, что так оно обычно и бывает. Причём это касается не только маршрутизаторов.
Рис. 24
После извлечения содержимого каждый элемент оказывается в собственной упаковке. Комплектация стандартная для маршрутизатора. На изображении ниже Draytek 2925n, в комплектации Draytek 2925 отсутствуют антенны так как данная модификация не поддерживает беспроводную сеть. Для модификаций n, n-plus и ac в коробке будут три антенны, а на боковой панели маршрутизатора соответствующие головки с резьбой для монтажа антенн.
Рис. 26
На изображении ниже комплект без упаковочных материалов.
Рис. 27
В комплект поставки входят следующие элементы:
Маршрутизатор Draytek 2925n – 1 шт.
Антенна (для модели 2925n) – 2 шт.
Патч-корд RJ-45 – 1 шт.
Сетевой адаптер – 1 шт.
Набор для монтажа на стену – 1 шт.
Брошюры – 2 шт.
Техническое описание на русском языке – 1 шт.
Что касается сетевого адаптера, его входное напряжение от 100 до 240 вольт, входной ток 0,6А, мощность 18 Ватт. На выходе сетевой адаптер выдаёт 12 Вольт и 1,5 А постоянного тока. Адаптер очень компактный. Его изображение представлено ниже.
Рис. 28
Сама «тушка» маршрутизатора имеет несколько футуристический дизайн за счёт едва заметного скоса от фронтальной панели к боковой, слегка выпуклые боковые края, трех различных текстур материала корпуса: чёрную глянцевую фронтальную панель, верхнюю волнообразную панель и серую нижнюю панель, соединяющуюся по диагонали с верхней по бокам «коробки». На устройстве сделаны скрытые вентиляционные отверстия в верхней, боковой и нижних частях корпуса. В целом, корпус маршрутизатора умеренно греется. Вентиляция пассивная, поэтому устройство не шумит при работе. Логотип производителя нанесен на верхнюю и боковую панель в виде объёмной надписи серебристого цвета. Выглядит очень стильно, да и вообще дизайн модели 2925 удачный – вроде бы не строгий, но выглядит стильно и смотреть приятно, глянцевая фронтальная панель с логотипом намекает на «премиальность» устройства.
Рис. 29
На глянцевой фронтальной панели имеется ряд индикаторов состояния и контроля работы подсистем маршрутизатора.
Рис. 30
Приведём описание этих индикаторов
Блок светодиодных индикаторов состояния
ACT (Activity) – Если диод мерцает, маршрутизатор функционирует в штатном режиме, если выключен, маршрутизатор отключён.
WAN1 – индикация состояния порта WAN1, если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные
WAN2 – индикация состояния порта WAN2, если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные
WCF – если диод горит, функция фильтрации веб содержимого(Web Content Filter) активна
QoS – если диод горит, функция обеспечения QoS
VPN – если диод горит, VPN-туннель активен, если мигает через VPN-туннель передаются данные.
DMZ – если диод горит, функция активна, если мигает, то передаются данные.
USB – если диод горит устройство к порту подключено и готово к работе, если диод мерцает, через порт передаются данные.
WLAN (только для моделей с индексами n,n-plus и ac) – если диод горит, беспроводная сеть готова, если диод мигает медленно, через беспроводную сеть передаётся трафик. Если диоды ACT и WLAN мигают одновременно и быстро, значит работает функция WPS (Wi-Fi Protected Setup), она автоматически перестанет работать по прошествии двух 2х минут.
Панель портов Gigabit Ethernet
LAN (1-5) – если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные. В режиме 100 Мбит\сек горит один левый диод, в режиме 1 Гбит\сек горят оба диода.
WAN(1-2) – если диод горит, порт активен, если выключен, порт отключен, если мигает, через порт передаются данные. В режиме 100 Мбит\сек горит один левый диод, в режиме 1 Гбит\сек горят оба диода.
Индикация достаточно простая, но крайне полезна для первичной диагностики и оценки состояния маршрутизатора.
На следующем изображении нижняя панель маршрутизатора.
Рис. 31
По всей площади имеются вентиляционные отверстия для теплоотвода, посередине наклейка с точным указанием модели устройства, потребляемая мощность – в нашем случае до 15 Ватт. Выходные потребляемые постоянные напряжение и ток 12-15 Вольт и 1-1.3 А соответственно. Примечательно, что на наклейке есть электронная почта технической поддержки Draytek, куда можно обратиться за помощью. Резьба для монтажа антенн закрыта силиконовыми колпачками. Для крепления маршрутизатора на стену или потолок в комплекте есть два самореза и два дюбеля. На нижней панели, по краям, имеются четыре отверстия для фиксации корпуса на головках саморезов.
Интерфейсы и разъемы роутера
Теперь рассмотрим интерфейсы и кнопки маршрутизатора. Все они, кроме разъёма питания и коннекторов антенн беспроводной сети находятся в одном месте — на фронтальной панели маршрутизатора. Для модели 2925n, на задней панели, по краям, два коннектора беспроводных антенн с резьбой, куда привинчиваются всенаправленные антенны из комплекта маршрутизатора. Там же находится гнездо для подключения сетевого адаптера с надписью PWR. Рядом находится переключатель для включения или отключения электропитания маршрутизатора. На моделях с индексом n-plus или ac коннектора для антенн три. На изображении ниже задняя панель маршрутизатора.
Рис. 32-1
На фронтальной панели находится блок светодиодных индикаторов, которая была подробно описана выше. Правее блока индикаторов располагаются два порта USB 2.0 для подключения накопителя, принтера или 3G/4G модема. Далее, блок портов Gigabit Ethernet, порты WAN1 и WAN2 используются для подключения устройства к интернет провайдерам, порты LAN1 — 5 служат для подключения к локальной сети. Многофункциональная кнопка Wireless LAN ON/OFF/WPS (только для модели с индексом n, n-plus, ac) используется для включения или отключения беспроводной сети на устройстве, для этого нужно нажать на кнопку, дважды если диод WLAN потухнет, беспроводная сеть отключена, если загорится – сеть включена. Если нажать кнопку один раз маршрутизатор будет в течении двух минут ожидать настройки при помощи функции WPS.
Кнопка Factory Reset сбрасывает устройство на заводские настройки, чтобы сбросить маршрутизатор, включите его и удерживайте кнопку нажатой более 5 секунд, когда вы увидите, что диод ACT начнёт быстро мигать, отпустите кнопку. Маршрутизатор перезагрузиться с заводскими настройками.
Рис. 32
Следующие несколько фотографий демонстрируют вид маршрутизатора с установленными антеннами. Дизайн устройства строгий, очевидно он подчёркивает ориентацию устройства на бизнес пользователей, сетевых инженеров и системных администраторов, а не домашних пользователей. Устройство не бросается в глаза своим необычным видом и впишется в интерьер любого офиса. Относительно компактные размеры маршрутизатора позволяют поставить или повесить его практически где угодно, к тому же пассивное охлаждение, и как следствие отсутствие шума при работе, позволяют использовать его в любом месте.
Рис. 33
Рис. 34
Ниже вид маршрутизатора с подключенными кабелями.
Рис. 36
Дополнительно, стоит отметить качество пластика и материалов, оно находится на хорошем уровне. Детали хорошо подогнаны друг к другу, при сжатии корпуса нет скрипа и люфта, кабели плотно садятся в разъёмы и не вываливаются, антенны можно зафиксировать под нужным углом, и они не «валяться» в стороны.
Кстати, маршрутизатор, при необходимости, можно установить 19 дюймовую в стойку, для этого нужно докупить специальное крепление Rack-mount Plate, в которое устанавливается корпус Draytke 2925, затем вся эта конструкция крепится в стойке. Крепление может использоваться для всех маршрутизаторов серий 2925 и 2860.
Рис. 36-1
Тестирование пропускной способности устройства
Тестирование максимальной пропускной способности Draytek 2925n. Для тестирования было использовано программное обеспечение Iperf 2.0.2 + визуализация Jperf, в качестве оконечных точек: виртуальная машина с Debian x64 с консольным iperf и ноутбук с Windows 8.1 с Jperf, откуда были скопированы графики. Схема простая: на одном хосте находится сервер iperf, на втором клиент iperf. Конечно, тесты нельзя назвать эталонными — использовалась виртуальная машина, работающая на платформе VMWare Workstation 12 Pro. На виртуальную машину было выделено 1 ядро процессора Core i5 и 4 Гбайт ОЗУ. Вторая физическая машина — ноутбук имеет процессор Core i5 и 12 Гбайт ОЗУ.
Во время тестирования использовалась версия прошивки маршрутизатора 3.8.2.3, модель маршрутизатора Draytek 2925n.
Тест проводной сети, LAN-WAN c NAT, схема LAN > Draytek 2925n > WAN1, продолжительность 00:02:00. Средняя скорость 507 Мбит/сек, причём скачков или провалов не наблюдается, что является очень неплохим показателем. Для сравнения, при прямом подключении через коммутатор двух тестовых машин iperf показал среднюю скорость 850 Мбит\сек.
Рис. 37
Дополнительно, тест в 10 параллельных потоков по той же схеме.
Рис. 37-1
Если сложить средние скорости каждого из потоков, то получается примерно та же скорость что и в режиме одного потока.
Тест беспроводной сети, Wireless LAN-WAN, схема Wireless LAN > Draytek 2925n > WAN, беспроводной сетевой адаптер на ноутбуке работал в режиме 802.11n, безопасность WPA2/PSK.
Я использовал обычный ноутбук с беспроводным контроллером Intel Realtek RTL8723BE 802.11 b/g/n Wi-Fi Adapter, ведь в реальности, среднестатистический пользователь будет использовать подобное оборудование. Продолжительность теста около 2х минут, средняя реальная скорость 49,731 Мбит/сек, при скорости подключения адаптера ноутбука к беспроводной сети 72 Мбит\сек.
На данном тесте, как и в предыдущем провалов по скорости не наблюдается.
Рис. 38
Ещё один тест, на этот раз с шестью параллельными потоками
Рис 38-1
В сумме все потоки дают примерно ту же скорость что и в режиме одного потока.
А вот такой же тест беспроводной сети, но без шифрования, разница по пропускной способности не значительна, не смотря на отсутствие шифрования.
Рис. 39
Тестирование VPN, схема VPN Клиент PPTP (без шифрования) > Draytek 2925n > WAN1.
Рис. 40
Средняя скорость оказалась 174,00 Мбит\сек.
Теперь шифрование, схема VPN Клиент IPSec(с шифрованием DES) > Draytek 2925n > WAN
Средняя скорость 88,2 Мбит\сек, результат очень неплохой.
Рис. 41
Теперь тоже, но 10 параллельных потоков.
Рис. 41-1
В сумме все потоки дают примерно ту же скорость что и в режиме одного потока.
Итак, в данной части обзора мы подробно рассмотрели маршрутизатор Draytek серии 2925n с таких сторон как позиционирование устройства на рынке, схему использования маршрутизатора, его ключевые функции и примеры их использования, ознакомились с подробной технической спецификацией устройства, посмотрели комплектацию и внешний вид маршрутизатора, подробно разобрали функции индикаторов и интерфейсов устройства. Всё увиденное нами, однозначно демонстрирует то, что устройство обладает очень широким возможностями в купе с «гигабитом», который может понадобиться предприятию уровня SMB и SMB+ или небольшому филиалу крупной компании, которые «переросли» предельную скорость сетевых подключений в 100Мбит\с и нуждаются в сотнях мегабит в локальной сети и на WAN-интерфейсах к Интернет-провайдеру. Поэтому, устройство имеет огромный потенциал для использования в ресурсоёмких корпоративных сетях. Нагрузочное тестирование показало неплохие результаты, других результатов я не ожидал, ведь устройство совсем не начального уровня, поэтому обязано быть производительным.
В следующей части обзора мы рассмотрим веб-интерфейс устройства.
Комментарии (20)
artsnz
08.09.2016 22:09+3Драйтек не плохие рутеры, в свое время даже стоял у меня Вигор 2920Vn, довольно надежные устройства, но прошивки у них мягко говоря не юзерфрэндли. Сменил вигор на микротик, моему счастью нет предела.
sergio_deschino
08.09.2016 23:50+2Как владелец зоопарка доставшихся в наследство вигоров вплоть до 3900й могу сказать только одно: Никогда не используйте ЭТО, если дороги нервы и хотелки распространяются чуть дальше, чем NAT и проброс портов, который тоже криво работает. Абсолютно непредсказуемая штука, у которой показания веб-морды и консоли могут различаться кардинально, не говоря уже о том, что даже старшая модель умудряется умереть при детской нагрузке.
sergio_deschino
09.09.2016 08:36+1все же от целей зависит. Mikrotik, pfSense или его форк OpnSense, Ubqt, Sophos, но у последнего уже лицензии и он совсем коммерческий и достаточно дорогой продукт.
ploop
09.09.2016 09:20Да цели бытовые — IP TV, 100-мегабитный интернет, который надо разрулить, например, шейпер настроить, чтобы торренты не клали канал, ну и гигабитные порты, т.к. NAS в плане.
Chupakabra303
09.09.2016 10:37+1Mikrotik для IPTV умеет проксировать multicast в локалку, но к сожалению не умеет делать unicast по типу udpxy, это не сильно критично для индивидуального просмотра IPTV. По стабильности никаких нареканий. У меня был собран NAS на N3150 + xpenology (на нем как раз крутится udpxy) и mikrotik RB951G-2HnD в качестве роутера. Буквально вчера, я успешно избавился от аппаратного микротика, загнав xpenology и mikrotik ROS в виртуальные машины ESXi на этой же самой N3150, теперь роутер и NAS сидят на виртуальных коммутаторах ESXi. Производительности 4х ядерного braswell хватает, чтобы заменить вышеописаную программно-аппаратную связку. Может статейку написать?
RuCosinus
09.09.2016 17:53+1Пишите, лично мне было бы интересно почитать. Думаю еще найдутся желающие, тема достаточно интересная.
lola_term
09.09.2016 08:25Даешь гигабитные порты.
Больше автоматизации при управлении, в этом плане нравятся keenetic с новыми прошивками:) но у них очень урезанный функционал.
Начните выпускать с вилками для включения в розетки и запитки от бесперебойных устройств нормального форм фактора, а не кривой адаптер который займет две розетки.
Возможность подключения зон ip в новые крипто сети — TOR и I2P, тогда многие еще больше вас полюбят.
Клиент openVPN который съест конфиг *.ovpn для соединения, чтобы можно было подключить целую группу.
Управление DNS, к примеру при первом подключении получать от провайдера, но затем использовать выбранный пользователем для определенных соединений, надоели эти блокировки глупые от провайдеров.
Но уже сейчас можно советовать знакомым :)lola_term
09.09.2016 08:33Еще добавлю. Делайте прошивку, а в основе на уже созданных Linux дистрибутивах запускайтесь. Думаю многим надоели урезанные версии линуксов на своих устройствах и не понятно кем и как несобранные. Пусть управление будет более открыто к пользователю как и исходный код. Можно будет использовать устройство полноценно, пакеты ставить по своему желанию без дополнительных заморочек.
ultraElephant
09.09.2016 17:51Всегда казалось дикостью жёсткое железное ограничение по количеству WAN интерфейсов.
ploop
10.09.2016 10:44Да вроде все производители делают их конфигурируемыми. Ну, то есть, от прошивки зависит.
У меня сейчас древний TP-LINK 3420 трудится с OpenWRT, так в качестве WAN работает один из LAN-интерфейсов, что в стоковой прошивке нельзя было настроить. И IPTV не поддерживал, с OpenWRT тоже разрулилось идеально.sergio_deschino
10.09.2016 22:29А после потолка виртуалок и кластеров из физических железок придёт желание все перетянуть на одного вендора, с сервис-договором.
RussianNeuroMancer
10.09.2016 18:45В теории всё выглядит красиво, но опыт работы с другими маршрутизаторами подсказывает что из доступных функций на отдельно стоящей железке получиться воспользоваться лишь некоторой малой частью, ибо ресурсы процессора не безграничны — то есть или шейпим трафик, или анализируем, или заворачиваем в VPN, и т.д. Комментарий sergio_deschino выше как бы намекает нам, что возможно ситуация даже хуже.
Плюс беда вендорских прошивок сетевых устройств в запланированном устаревании — рано или поздно производитель прекращает их обновлять. Я сам чуть не купил 2710VDn в своё время, и вот сейчас посмотрел как дела с прошивкой — все серии до 27xx включительно кроме 2760 Delight забросили и никаких багфиксов они уже не получат. К слову, обычный 2760 можно проапгрейдить до поддерживаемой версии Delight прошивкой другого U-Boot, но производитель эту информацию на своём форуме распространять не позволил. То есть понятно, что это их форум и всё такое, зато отношение компании к клиентам в общем и целом теперь яснее.
На мой взгляд для целей описанных в статье лучше использовать x86 железо, тогда можно наконфигурировать хоть чёрта с рогами, всё равно потребление ресурсов процессора будет малозначительным, а в случае например смерти хоста виртуалку с какими-нибудь OpenWRT или там pfSense/OPNsense (тут уж кому что) можно стартануть на соседнем.
Если надо много портов на хосте — есть решения от Lanner и Acrosser.
sumanai
Зря они разместили питание и LAN на разных сторонах, будет мешать при вертикальном расположении при прикручивании на стену.