DrayTek Vigor 2850Vn - test, cena, opinie

Przeglądając ofertę routerów do domu czy niewielkiego biura nie jest w prosty sposób wybrać odpowiednie rozwiązanie. Bogata oferta producentów nie ułatwia podjęcia decyzji. Jeśli od routera oczekujemy zaawansowanych funkcji i możliwości to znalezienie odpowiedniego modelu w niskiej cenie graniczy niemal z cudem.

Podejmując decyzję o zakupie routera użytkownicy kierują się wieloma czynnikami. Niemal każdy z nich wymaga od urządzenia innych możliwości. Dla jednych ważnym elementem będzie mocny zasięg sieci bezprzewodowej. Inni będą cenić gigabitową sieć LAN czy też wbudowany port USB. Z kolei osoby wykorzystujące w zaawansowany sposób sieć domową będą oczekiwały możliwości zmiany oprogramowania układowego czy też zabezpieczenia łącza WAN lub jego redundancji. Wybór staje się jeszcze trudniejszy jeśli weźmiemy pod uwagę typ łącza internetowego. Trudna sytuacja i trudna do podjęcia decyzja? Niekoniecznie. Wybór odpowiedniego routera ułatwi nam firma DrayTek. Tajwańska firma z kilkunastoletnim doświadczeniem słynie z bardzo ciekawych zaawansowanych rozwiązań sieciowych i telekomunikacyjnych. W swojej ofercie posiada nie tylko elementy sieci bezprzewodowych, telefonii IP, zapór sieciowych czy przełączników sieciowych. DrayTek znany jest przede wszystkim z rozbudowanych rozwiązań do profesjonalnych zastosowań domowych i biurowych. Mowa tu przede wszystkim o routerach i routerach z WiFi oraz rozwiązaniach dla łączy ADSL. Jednym z nich jest DrayTek Vigor 2850Vn - bardzo zaawansowany router, który z pewnością zaspokoi każdego nawet najbardziej wymagającego użytkownika.

W opakowaniu sprzedażowym znajdziemy następujące elementy:

• router Vigor
• 3 odkręcane zenętrzne anteny RP-SMA
• zasilacz zewnętrzny
• kabel sieciowy LAN
• kabel telefoniczny
• adapter do rozdzielenia linii telefonicznej
• płytę CD z dokumentacją i oprogramowaniem
• przewodnik „szybki start”

Uważni czytelnicy z pewnością dostrzegą podobieństwo Vigora 2850Vn do modeli serii Vigor 2830. Seria routerów xDSL Vigor 2820 oraz 2830 to rozwiązania z potrójnym łączem WAN obsługujące także modemu 3G/4G oraz linie ADSL 2 oraz ADSL 2+. Podobnie jak w rodzinie 2830 tak i w serii 2850 producent przygotował kilka modeli niewiele różniących się wyglądem za to odmiennych jeśli chodzi o możliwości transmisji danych.

Zewnętrzna konstrukcja routera Vigor 2850Vn nie zmieniła się w znaczący sposób w porównaniu do poprzednich modelu. Można nawet powiedzieć, że jest taka sama. Drobne różnice, które dostrzeżemy wynikają z zastosowanych technologii sieciowych. Ogólnie konstrukcja routera Vigor 2850Vn jest dość ciekawą i charakterystyczną. W porównaniu z routerami xDSL innych producentów DrayTek stosuje dość niecodzienny wyróżniający się wzorniczo i technicznie design swoich urządzeń. Spód routera wykonany jest z szarego matowego tworzywa. Z kolei górna powierzchnia oraz frontowy i tylny panel to bardzo sztywny matowy biały plastik. Prostopadłościenna konstrukcja na górnej części jest delikatnie pofalowana co nadaje urządzeniu bardziej oryginalnego kształtu. 

DrayTek w swoich rozwiązaniach stosuje dość odminne podejście do umiejscowienia portów komunikacyjnych i gniazd rozszerzeń. W większości routerów port sieci LAN, WAN czy USB są ulokowane z tyłu. Pozwala to na schowanie wszystkich przewodów za urządzeniem co znacznie poprawia estetykę. W Vigorze mamy do czynienia z zupełnie odmienną sytuacją. Wszystkie porty routera są ulokowane z przodu.

Znajdziemy tu nie tylko 4-portowy gigabitowy przełącznik LAN. Obok niego znalazły się 2 gniazda RJ11 do podłączenia linii telefonicznej oraz aparatu telefonicznego PSTN. Po prawej stronie switcha wbudowany został port VDSL/ADLS oraz port USB 2.0. Lewa część frontowego panelu to zestaw diod kontrolnych, przycisk włączania sieci WiFi będący jednocześnie przyciskiem WPS a także przycisk przywracania urządzenia do ustawień fabrycznych. Z kolei diody kontrolne przełącznika sieciowego zlokalizowane są bezpośrednio nad gniazdami RJ45.

Tył routera to 3 gniazda RP-SMA pozwalające na zamontowanie dołączonych do zestawu anten. Uzupełnieniem jest oczywiście port zasilania oraz włącznik sieciowy. 

O tym, że mamy do czynienia z zaawansowanym urządzeniem przeznaczonym dla doświadczonych użytkowników może świadczyć sam fakt wstępnej konfiguracji Vigora. Producenci do swoich urządzeń dołączają zazwyczaj narzędzia pozwalające na przeprowadzenie instalacji routera (podłączenie fizyczne do sieci LAN, telefonicznej, konfiguracja wstępna) specjalne kreatory, które krok po kroku prowadzą rzez cały proces. W przypadku Vigora możemy o tym zapomnieć. Z resztą nie ma potrzeby by uruchamiać jakichkolwiek kreatorów. Zaawansowane możliwości urządzenia zmusiłby producenta do stworzenia naprawdę wielu scenariuszy kreatora. Z pewnością odniosłoby to odwrotny niż zakładany skutek i zamiast pomóc utrudniłoby jego uruchomienie. Dlatego też DrayTek zdecydował się na najbardziej popularną ale i z punktu widzenia użytkownika najprostszą metodę - konfigurowanie routera poprzez przeglądarkę internetową, w której znajdziemy prosty kreator połączenia WAN. Po podłączeniu Vigora do sieci LAN oraz podłączeniu sieci WAN, którego mogą być aż 5 scenariuszy, logujemy się do panelu WWW:

• łącze WAN na linii ADSL / ADSL 2+
• łącze WAN na linii VDSL 2
• łącze WAN na porcie przełącznika sieciowego (port LAN4)
• łącze WAN przy użyciu modemu telefonicznego (poprzez port LAN4 jako łącze WAN)
• łącza WAN przy użyciu modemu 3G/4G

Wracając do tematu konfiguracji. Router posiada domyślnie włączony serwer DHCP. Panel zarządzający i sam router działa na adresie 192.168.1.1. Wystarczy zalogować się domyślnym loginem i hasłem: admin/admin. Wita nas dość prosty, oparty na ramkach system panel administracyjnego. Pierwszy rzut oka na menu konfiguracyjne powoduje dość nieprzyjemne wrażenie. Nagromadzenie dużej ilości informacji w dość mało intuicyjny sposób prezentuje główne funkcje. By zorientować się w poszczególnych opcjach głównego menu oraz podmenu należy „przeklikać” kilka razy wszystkie opcje. Z jednej strony mamy dość duże nagromadzenie funkcji i opcji z drugiej jednak świadczą one o bardzo możliwościach urządzenia.

Strona główna prezentuje ogólny status routera - m.in. portów LAN, WAN, sieci WiFi, VoIP a także IPv6.

By przystąpić do konfiguracji routera możemy wykorzystać opcję Quick Start Wizard.

Dużo wygodniej jest ustawić parametry łącza lub łączy WAN w zakładce WAN - Internet Access. W przypadku interfejsu Ethernet WAN (działającego na porcie LAN4) w zakładce Details Page mamy do dyspzycji ustawienie statycznego oraz dynamicznego adresu IP, połączenie PPPoE a także tunel VPN przy użyciu protokołów PPTP oraz L2TP. Router wspiera również protokół IPv6.

Obsługa technologii VDSL jak i VDSL 2 oraz ADSL i ADSL 2 pozwala na zestawienie połączeń dostępu do internetu zarówno dla technologii Annex A jak i B. Czyli popularnych usług Neostrady czy Netii. Router Vigor 2850Vn to doskonała propozycja dla osób posiadają szybkie łącze dostępowe w Orange. Operator od blisko 2 lat oferuje usługę Neostrady Fiber opcjach 40 oraz 80 Mbps w technologii VDSL2. Router wspiera również Multi-PVC pozwalając na efektywniejsze przesyłanie określonych usług dla przy użyciu łącz ADSL/VDSL poprzez wirtualne kanały. Tu warto wspomnieć, że technologia VDSL2 obecna w Vigorze pozwala na transmisję symetryczną i asymetryczną z prędkością do 200 Mbps na parze przewodów miedzianych. Oczywiście jest to prędkość maksymalna i możliwa do osiągnięcia na krótkim odcinku od centrali (do 300 metrów). W odległości 1 km wartość prędkości spada do około 50 Mbps.

Bardzo dobrze prezentują się również możliwości połączenia WAN poprzez modem 3G/4G (zarówno 3G, LTE jak i WiMAX). Listę kompatybilnych modemów możemy znaleźć na stroni producenta pod adresem.

Router pozwala na konfigurację zarówno dla kart SIM bez kodu PIN jak i z zabezpieczeniem. Bez trudu wpiszemy również konfigurację dodatkowych poleceń inicjujących a także APN-ów i uwierzytelniania.

Podłączanie i konfigurowanie łącza WAN uzależnione jest od posiadanej infrastruktury sieci internet. Nietrudno zauważyć, że Vigor w tym przypadku jest bardzo uniwersalnym narzędziem posiadającym wszystkie niezbędne interfejsy sieci WAN. Skorzystanie z któregokolwiek połączenia WAN to jednak nie wszystkie możliwości 2850Vn. W przypadku sieci firmowych ale również zaawansowanych sieci domowych bardzo często zachodzi potrzeba nieprzerwanej pracy łącza WAN. W tym celu stosuje się zazwyczaj łącza zapasowe niezależne od architektury głównego operatora ISP. Najczęściej w przypadku takich rozwiązań stosuje się łącze zapasowe od drugiego operatora. W Vigorze 2850Vn mamy niemal całą paletę możliwości. Jeśli dysponujemy łączem ADSL to łącze zapasowe może stanowić połączenie WAN lub np. drugie łącze ADSL z podłączonym modem. Równie dobrym rozwiązaniem jest użycie modemu 3G/4G jako łącza zapasowego.

Załóżmy, że zdefiniujemy podstawowe połączenie WAN jako port LAN4. Czyli bezpośrednie połączenie z internetem lub przy użyciu zewnętrznego modemu ADSL to łączem zapasowym może być np. łącze 3G/4G. W pierwszej kolejności definiujemy w jaki sposób będzie sprawdzane połączenie WAN. Możemy użyć metody ARP lub Ping. W przypadku ARP - czyli mechanizmu tłumaczenia adresów sieciowych na adresy sprzętowe protokół wysyła żądania odpowiedzi. Zapytanie te wysyłane są w przypadku Vigora co 5 sekund. Jeśli router nie otrzyma odpowiedzi ARP w ciagu 30 sekund uznaje, że połączenie jest nieaktywne lub rozłączone. Drugą metodą jest żądanie odpowiedzi protokołu ICMP - ping. W tym przypadku zapytania są wysyłane co sekundę. Tu z kolei jeśli router nie odbierze odpowiedzi na zapytania w ciągu 10 sekund uznaje, że połączenie jest nieaktywne i rozłączone.

Z kolei by skonfigurować łącze 3G/4G jako połączenie backupowe należy wejść w zakładkę WAN - General setup i wskazujemy połączenie backupowe. W panelu konfiguracyjnym sekcję Active Mode ustawiamy na Backup a następnie wskazujemy, którego łącza głównego WAN połączenie 3G/4G będzie łączem zapasowym.

Po awarii łącza WAN router błyskawicznie przełącza się na łącze zapasowe. Możemy to sprawdzić nie tylko poprzez sprawdzenia publicznego adresu IP. Również w menu routera - Online status - Physical Connection mamy informację, które łącze jest w tej chwili używane.

Możliwość pracy kilku interfejsów WAN i utworzenie łącza zapasowego to tylko jedna z możliwości wykorzystania Vigora 2850Vn do pracy w sieci domowej czy biurowej. Posiadając dwa łącza WAN przy pomocy DrayTeka możemy stworzyć bardzo zaawansowany system zarządzania pasmem internetowym a także mechanizm rozłożenia obciążenia łącza internetowego nie tylko przy użyciu mechanizmów QoS. Pozwalają na to między innymi opcje w sekcji WAN - Load-Balance Policy. Sekcja ta daje możliwość definicji do 32 reguł rozłożenia ruchu sieciowego na poszczególne interfejsy WAN. Ustawiamy tu typ pakietów, numer łącza WAN a także źródłowe i docelowe porty i adresy IP. Precyzyjne zaplanowanie rozłożenia obciążenia sieciowego pozwoli nam np. na kierowanie ruchu obciążającego łącze - np. streamingu video przez szybsze łącze WAN natomiast ruch np. VPN możemy przepuścić przez łącze 3G/4G.

Opcja Load-balancing pozwala jedynie na zdefiniowanie w jaki sposób będzie kierowany ruch sieciowy poprzez łącza WAN. W przypadku większych sieci lokalnych ważny elementem jest również odpowiednia kontrola zużycia pasma internetowego. Warto o tym pamiętać w przypadku sieci, w których nie stosuje się filtrowania ruchu sieciowego i pozostawia bez kontroli osoby ściągające duże ilości danych np. z sieci P2P. Vigor 2850Vn posiada zaimplementowany bardzo zaawansowany mechanizm QoS (Quality of Service). Mechanizm można skonfigurować osobno dla wszystkich interfejsów WAN. Definiujemy zatem klasy reguł a w nich określone zestawy usług, które będzie kontrolował QoS. Każda z klas może zawierać wiele typów usług a także zakresy portów i adresów IP, których będzie dotyczyć. Dodatkowo możemy wybierać z predefiniowanych ustawień.

Zdefiniowane klasy reguł możemy następnie aktywować i przyporządkować nadając im odpowiednią wagę procentową w stosunku do wydajności danego łącza WAN. 

Dzięki wykorzystaniu w ten sposób mechanizmu QoS możemy bardzo precyzyjnie ustalić użycie łącza oraz priorytety dla poszczególnych usług sieciowych czy zakresów portów. Ustawione reguły QoS a także ich statystyki możemy oglądać w zakładce Bandwidth Management - Quality of Service.

Mechanizm QoS nie zawsze będzie elementem wystarczającym do kontrolowania zajętości i wykorzystania pasma internetowego. QoS decyduje o „sprawiedliwym” podziale pasma dla określonych usług. Co jednak zrobić jeśli dla danej usługi przydzielono określony priorytet QoS a w sieci znajdują się komputery, które niemal w 100% wykorzystują pasmo przydzielone w QoS dla określonej usługi? Rozwiązaniem jest limitowanie transferu oraz limitowanie ilości sesji. Opcje te umożliwiają definiowanie maksymalnej prędkości dla określonych adresów w sieci LAN oraz ilości sesji NAT nawiązywanych przez dany host. Limity przepustowości mogą być określane w dwojaki sposób: dla każdego oraz tryb dzielony. Limit „dla każdego” pozwala na wykorzystanie całego przydzielonego pasma przez pojedynczy host. Tryb dzielony umożliwi wykorzystanie limitowanej (w ramach dostępnego pasma) przez określoną liczbę komputerów przydzielonego (wspólnego) pasma. Dodatkowo możemy uruchomić Smart Bandwidth Limit. Funkcja ta pozwala na zmniejszenie prędkości dla komputerów, które wygenerują określoną liczbę sesji NAT. Pozostałe komputery w sieci LAN nie wyszczególnione w limitowaniu transferu będą mogły wykorzystąć pasmo zgodnie z ustawieniami w sekcji Default TX i Default RX Limit. Opcja limitowania sesji NAT (Sessions Limit) pozwala zachować nie tylko sprawny przepływ danych na łączu WAN. Aplikacje generujące dużą liczbę sesji NAT wpływają niekorzystnie na przepustowość sieci. Dotyczy to szczególnie aplikacji typu P2P. Dlatego też w sekcji Sessions Limit możemy zdefiniować maksymalną liczbę sesji generowaną przez określone hosty w sieci.

Efektem ich przekroczenia przez host będzie zdefiniowany wcześniej komunikat. Pojawi się on w przeglądarce internetowej.

Limitowanie pasma jak i limitowanie sesji można odpowiednio zaplanować wykorzystując harmonogramy. Jest to opcja przydatna w przypadku gdy w godzinach pracy wiele osób korzysta jednocześnie z łącza WAN. Z kolei po godzinach pracy można zdjąć ograniczenia.

Monitorowanie ilości sesji generowanych przez określone hosty w sieci możemy obserwować w zakładce Diagnostics - Data Flow Monitor.

Rozbudowane możliwości routera w kwestii sieci WAN to nie wszystkie zalety Vigora 2850Vn. W większych sieciach biurowych dość często stosuje się podziały sieci fizycznej na podsieci logiczne (np. na poszczególne działy w firmie czy w zależności od rangi stanowiska). Proces ten określa się mianem VLAN-ów lub wirtualnych sieci lokalnych. Odbywa się to na bazie zarządzalnych przełączników sieciowych zgodnych ze standardem IEEE 802.11Q umożliwiających tagowanie ramek (odseparowanie poszczególnych portów przełącznika sieciowego). Producenci Vigora 2850Vn w tej kwestii stanęli na wysokości zadania. Dzięki wbudowanemu 4-portowemu przełącznikowi LAN możemy utworzyć do 4 podsieci VLAN z tagowaniem lub VLAN-ów opartych o porty. Dodatkowo dla każdej z podsieci możemy zdefiniować oddzielną sieć bezprzewodową z wydzielonymi zabezpieczeniami. Sieci WiFi nie posiadają tagowania, są jedynie częścią podsieci VLAN. Zaletą DrayTeka jest funkcja obsługi serwera DHCP, DNS i adresacji IP dla każdego z VLAN-ów oraz możliwość deakatywacji tagowania w przypadku podsieci, w której nie ma przełącznika sieciowego obsługującego tagowanie ramek.

By możliwa była komunikacja VLAN-ów opartych na portach warto skonfigurować wewnętrzny routing. Wykonujemy to w sekcji LAN - General Setup - Inter-LAN Routing.

Jeśli router stanowi jedynie system kierowania ruchem w sieci LAN zaś infrastruktura VLAN-ów przeniesiona została na zarządzalne przełączniki sieciowe to w takim przypadku również nic nie stoi na przeszkodzie by skonfigurować VLAN-y. Dla przykładu - opieramy je o tagowanie na routerze na jednym z portów (np. LAN1) i przełączniku sieciowym podłączonym poprzez trunk port. Oczywiście na switchu również należy skonfigurować odpowiednio tagowanie i oznaczenie portów tagowanych i portu trunkowego. Pozostanie skonfigurowanie wewnętrznego routingu i nadanie odpowiedniej adresacji dla VLAN-ów - co również możemy zrobić na routerze.

Draytek Vigor 2850Vn pozwala także na tworzenie Mulit-VLAN-ów. Jest to funkcja umożliwiająca skonfigurowanie wirtualnych interfejsów VLAN na łączu WAN i tagowanie pakietów wychodzących. Aktywując opcję Bridge możemy z kolei otagowane pakiety przychodzące kierować do sieci LAN do odpowiednich portów routera.

Jedną z ciekawszych funkcji dostępnych w Vigorze jest Bind IP to MAC. Router przyporządkowuje odpowiedni adres IP na podstawie adresów MAC kart sieciowych podłączonych klientów - tworząc parę IP-MAC. Bind to IP (znane również jako ARP Binding) doskonale sprawdzi się jako mechanizm wspierający reguły zarządzania pasmem czy reguły QoS oparte o adresy IP sieci LAN (w Drayteku łatwo to skonfigurować przenosząc pary IP-MAC z tablicy ARP). Jednak samo połączenie adresów IP i MAC nie jest w takim przypadku idealnym zabezpieczeniem. Jeśli do sieci podłączy się host z innym adresem MAC to wszystkie reguły oparte o adresację IP nie będą miały wpływu na ten host. Dlatego dużo pewniej jest ustawić Bind to IP w tryb Strict Bind. Taka konfiguracja pozwoli jedynie parom IP-MAC będącym na liście Bind to IP na dostęp do internetu. Pozostałe hosty będące jedynie w tablicy ARP będą tego dostępu pozbawione. Mechanizm Bind to IP jest dużo lepszym rozwiązaniem niż tworzenie statycznych wpisów i rezerwacji IP na podstawie MAC. W takim przypadku łatwo jest obejść mechanizm np. zmieniając sobie ręcznie adres IP, który został przydzielony przez serwer DHCP.

Oprócz funkcji zabezpieczających pozwalających na dostęp do sieci LAN Vigor 2850Vn jako klient wspiera także serwer RADIUS i uwierzytelnianie nie tylko klientów bezprzewodowych ale również przewodowych. Konfigurację serwera RADIUS przeprowadzamy w zakładce Applications - Radius. Natomiast uruchomienie autentykacji i obsługi IEEE 802.1x dla klientów przewodowych wykonujemy w zakładce LAN - Wired 802.1x.

Ważnym elementem szczególnie w przypadku zaawansowanych routerów oprócz możliwości tworzenia VLAN-ów są funkcje umożliwiające dostęp do wewnętrznych zasobów sieciowych. W tym celu stosuje się najczęściej przekierowania portów. W Vigorze do dyspozycji mamy kilka opcji związanych z dostępem do sieci LAN Z internet. Pierwsza z nich to Port Redirection gdzie pakiety z sieci internet są przekierowywane poprzez otwarty port lub porty na określony host i jego port w sieci LAN. W przypadku funkcji Open Ports, która jest podobna do Port Redirection możemy zdefiniować zakresy portów zewnętrznych oraz przekierowanie nie tylko na jeden port ale również na zakres portów zewnętrznych. Opcja jest przydatna szczególnie w przypadku aplikacji i systemów wymagających wielu portów komunikacyjnych zarówno po stronie Internetu jak i sieci LAN (np. aplikacje P2P). Przekierowanie odbywa się jeden do jednego - czyli ten sam zakres portów jest przekierowywany na ten sam zakres portów wewnętrznych. Dodatkowo deifniujemy przez który interfejs WAN będą przekierowywane pakiety.

Router obsługuje także Port Triggering. Jest to również proces przekierowana portów jednak jest on uruchamiany chwilowo. W momencie kiedy, któraś z aplikacji w sieci LAN zażąda dostępu do portu lub zakresu portów.

Jeśli w sieci posiadamy łącze lub łącza z kilkoma publicznymi adresami IP to z pewnością powinna nas zainteresować opcja Address Mapping znajdująca się w zakładce NAT. Mapowanie adresów pozwala na kierowanie ruchu sieciowego z określonych hostów sieci LAN przez określony publiczny adres IP i łącze WAN. Dodatkowo należy pamiętać w przypadku posiadania kilku adresów IP łącza WAN by dokonfigurować aliasy publicznych adresów IP w sekcji Multi-NAT.

Poniższy schemat obrazuje mechanizm mapowania adresów.

Vigor 2850VN wspiera także mechanizm DMZ czyli wydzielenie komputera w sieci LAN, który będzie publicznie dostępny w sieci Internet.

Zarówno w niewielkich domowych sieciach LAN jak i w sieciach firmowych czy korporacyjnych ważnym elementem jest bezpieczeństwo sieci. Jest to proces dość rozbudowany, skomplikowany i wieloetapowy, który należy stale kontrolować. Warto w tym przypadku posiadać narzędzie, które w sposób kompleksowy zajmie się bezpieczeństwem transmisji i dostępu w sieci LAN. Draytek. Vigor 2850Vn oprócz wspomnianych wcześniej narzędzi ochrony sieci fizycznej poprzez mechanizmy natowania, VLAN-ów, Bind IP to MAC posiada bardzo rozbudowany system zapory sieciowej. Firewall w połączeniu z Bind to IP może stanowić niezwykle konfigurowalny element ochrony nie tylko dla ataków zewnątrz ale także zabezpieczenie przed nieuprawnionym dostępem do sieci LAN oraz Internet z sieci lokalnej.

Konfiguracja zapory sieciowej w przypadku Vigora 2850Vn jest dość pracochłonnym ale prostym procesem. Producent oparł całość o Obiekty (zestawy reguł), które możemy wstępnie definiować. Mamy zatem do dyspozycji obiekty związane z adresami oraz grupami adresów IP. Możemy również ustawić obiekty dla protokołu IPv6, serwisów, słów kluczowych czy rozszerzeń plików. Konfiguracja predefiniowanych obiektów pozwoli potem w prosty sposób tworzyć na ich podstawie reguły firewalla zezwalające lub blokujące określone typy danych.

Uzupełnieniem definicji obiektów jest system CSM (Content Security Management). To część zapory sieciowej, która pozwala m.in. na filtrowanie treści. Producent do dyspozycji oddaje nam możliwość tworzenia reguł dotyczących aplikacji i ich łączenia z internetem. W głównej mierze sekcja APP Enforcement Profile skupia się na aplikacjach VoIP oraz komunikatorach internetowych. Możemy także skonfigurować profile dla aplikacji P2P, określonych protokołów sieciowych czy też aplikacji sieciowych służących np. do tunelowania połączeń, streamingu czy pomocy zdalnej.

URL Content Filter Profile jest funkcją, która filtruje strony WWW na podstawie adresów URL. Pozwala to na zdefiniowanie słów kluczowych (ustawiamy je w Obiektach) występujących w adresach lub na stronach WWW.

Filtrowanie treści i stron internetowych można uzupełnić o usługi z sekcji Web Content Filter Profile. Mechanizm filtrowania opiera się o kategorie stron oraz słów kluczowych występujących na stronach. Filtry możemy definiować na zasadzie zezwalania oraz blokowania.

Dodatkowo Vigor 2850Vn oferuje możliwość połączenia z usługodawcami WCF, którzy na bieżąco aktualizują bazę stron i ich zawartość. Podłączenie do usługi możemy wykonać bezpośrednio z routera w sekcji Service Activation Wizard. Zarządzanie subskrypcjami WCF odbywa się po zalogowaniu na stronie.

Mamy zatem do dyspozycji systemy zapory sieciowej, system filtrowania treści a także system zarządzania użytkownikami (User Management). Uzyskujemy zatem bardzo zaawansowany mechanizm kontroli dostępu do internetu. By zwiększyć bezpieczeństwo a także mieć większą kontrolę nad przepływającymi danymi warto zainteresować się również wspomnianym mechanizmem zarządzania użytkownikami. Pozwala on na utworzenie systemu autoryzacji, który będzie wymagał od użytkownika podania loginu i hasła przed rozpoczęciem korzystania z internetu. Dodatkowo dla każdego z użytkowników możemy zdefiniować przydział limitu megabajtów oraz limitu czasowego korzystania z internetu.

Oczywiście wbudowany w router firewall oferuje również dynamiczne filtrowanie pakietów (SPI) i ochronę przed atakami DoS/DDoS.

Wirtualne sieci prywatne - VPN są ważnym elementem w procesie funkcjonowania firmowej ale również domowej sieci LAN. Pozwalają one w na szybki i bezpieczny (szyfrowany) dostęp do lokalnych zasobów sieci LAN z dowolnego miejsca na świecie dla urządzeń klienckich (host to LAN). Drugą nieodzowną zaleta sieci VPN jest możliwość połączenia szyfrowanym wydzielonym kanałem (np. tunelem IPSec) w internecie wielu odległych lokalizacji (np. oddziałów firmy) bez konieczności uruchamiania czy wykorzystywania łącz dzierżawionych (VPN LAN to LAN). W przypadku Vigora mamy do dyspozycji 3 możliwości (tryby) obsługi sieci VPN:

• router jako serwer VPN
• router jako klient odległej sieci VPN
• router jako część sieci VPN Site to Site (połączenie pomiędzy dwoma odległymi sieciami LAN)

Vigor 2850Vn umożliwia zestawienie do 32 tuneli i wykorzystaniu następujących protokołów połączeń:

• IPSec - zabezpieczenia AH lub ESP (szyfrowanie DES, 3DES, AES) z funkcjami haszującymi MD5 lub SHA1. Uwierzytelnianie IKE odbywa się przy pomocy klucza PSK lub podpisu cyfrowego (X.509).
• PPTP - szyfrowanie MPPE 40/128 bitów oraz uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
• L2TP - uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
• L2TP over IPSec - tunel L2TP zabezpieczony IPSec.

W przypadku pracy jako serwer VPN Vigor pozwala na weryfikację uprawnień na podstawie założonych kont użytkowników oraz współpracuje z usługami katalogowymi LDAP i AD. DrayTek przygotował dla użytkowników prostą aplikację pozwalającą na definiowanie połączeń VPN - DrayTek Smart VPN Client.

Posiadając dwa niezależne łącza WAN można je wykorzystać konfigurując tzw. VPN Trunk. Parametry ustawiamy w sekcji VPN TRUNK Management - VPN and Remote Access. Router oferuje dwie możliwości wykorzystania drugiego łącza WAN. Jednym z nich jest równoważenie obciążenia łącza (Load Balance) pomiędzy tunelami VPN a drugim zestawienie tunelu zapasowego (Backup VPN) na wypadek awarii tunelu głównego.

Produkt firm DrayTek oprócz gigabitowego przełącznika i portów PSTN czy portu USB wspiera również sieci bezprzewodowe. Silnikiem sieci bezprzewodowej jest układ Ralink RT2850L mający do dyspozycji platformę sprzętową Ralink RT2880F oraz 64 MB pamięci oraz technologię MIMO (2T2R). Sieć bezprzewodowa w Vigorze może pracować zarówno w paśmie 2,4 jak i 5 GHz. I tu niemiłe zaskoczenie - ale nie jednocześnie. Nie wiadomo z jakiego powodu producent wymyślił sobie, że tryb pracy WiFi możemy sobie ustawić albo na 2,4 albo n a 5 GHz.

Router może pracować w następujących trybach:

• 802.11g (2,4 GHz)
• 802.11n (2,4 GHz)
• 802.11bg (2,4 GHz)
• 802.11gn (2,4 GHz)
• 802.11bgn (24 GHz)
• 802.11an (5 GHz)

Szkoda, że producent nie zastosował dwuzakresowego układu radiowego pozwalającego na obsługę dwóch pasm jednocześnie. Jednak jeśli chodzi o możliwości pracy w danym zakresie nie mamy Vigorowi nic do zarzucenia. Oprócz standardowego SSID możemy dodatkowo zdefiniować kolejne 3 sieci bezprzewodowe. Dla każdej z nich z kolei możemy ustawić odrębne mechanizmy zabezpieczeń łącznie z konfiguracją i uwierzytelnianiem przy użyciu serwera RADIUS.

Dla każdej z sieci możemy izolować klientów WiFi jak również klientów VPN. Vigor dysponuje również całkiem ciekawym mechanizmem filtrowania adresów MAC. Pozwala na zdefiniowanie dla każdej sieci oddzielnych list z adresami MAC kat sieciowych. Znajdziemy tu także ustawienie zaawansowanych parametrów związanych z długością pasma. Z kolei w sekcji WMM Configuration możemy aktywować funkcję WMM pozwalającą na priorytetowanie ruchu przy wykorzystaniu mechanizmów QoS m.in. dla głosu czy wideo.

Jak już wcześniej wspomnieliśmy DrayTek Vigor 2850Vn został wyposażony w sprzętowy przycisk WPS (Wi-Fi Protected Setup). Mechanizm WPS pozwala w prosty sposób stworzyć zaszyfrowane połączenie pomiędzy routerem a hostem bez konieczności znajomości nazwy SSID sieci czy rodzaju zabezpieczeń. By połączyć się z routerem przy użyciu WPS wystarczy na obudowie routera nacisnąć przycisk WPS, tą samą czynność wykonać na urządzeniu wspierającym mechanizm PBC (push button connect) i posiadającym przycisk WPS. Jeśli urządzenie klienckie nie posiada przycisku sprzętowego a wspiera mechanizm WPS możemy zestawić połączenie przy pomocy kodu PIN.

Funkcja AP Discovery pozwala użytkownikowi na odnalezienie w okolicy istniejących punktów dostępowych i analizę zajętości kanałów. Jest to również przydatne narzędzie do wyszukiwania punktów dostępowych w celu skonfigurowania linku WDS, którego mechanizm wspiera Vigor 2850VN.

WDS (Wireless Distribution System) jest systemem połączeń sieciowych pozwalający na bezprzewodowe łączenie dwóch urządzeń sieciowych (najczęściej punktów dostępowych lub routerów bezprzewodowych). DrayTek Vigor 2850Vn wspiera ten mechanizm w dwojaki sposób. Router może być albo mostem WDS albo repeaterem. W pierwszym przypadku pracując w trybie bridge przekazuje jedynie pakiety poprzez sieć WiFi do drugiego urządzenia AP/routera. Z kolei w trybie Repeatera WDS pakiety są nie tylko przekazywane z jednego AP do drugiego ale również możliwe jest podłączenie się klientów bezprzewodowych. Vigor 2850Vn pozwala nie tylko na zestawienie linku bezprzewodowego WDS ale także na jednoczesne utworzenie lokalnego punktu dostępowego. Funkcja Repeatera umożliwia roszerzenie zasięgu sieci WiFi. Warto pamiętać, ze połączenia WDS mają swoje zalety - takie jak bezprzewodowe utworzenie linku w miejscach gdzie nie ma możliwości ułożenia okablowania strukturalnego. Ma jednak również wady. Z każdym przejściem poprzez kolejny link WDS maleje o połowę prędkość połączenia.

Silną stroną Vigora oprócz mechanizmów sieciowych jest również obsługa systemu VoIP. Jest to technologia pozwalają na komunikację głosową przy wykorzystaniu sieci IP. Telefonia VoIP jest bardzo uniwersalnym narzędziem umożliwiającym uniezależnienie się od standardowej telefonii przewodowej PSTN. Systemy VoIP możemy dowolnie konfigurować w ramach dostępnej infrastruktury sieci LAN. Dodatkową zaletą jest brak konieczności układania okablowania czy stosowania oddzielnych central telefonicznych i uzależnianie się od jednego operatora telefonicznego. Zintegrowana w Vigorze bramka VoIP pozwoli na korzystanie z dwóch połączeń VoIP jednocześnie i obsługę do 12 kont SIP (kont operatorów). Ta ostatnia funkcja w połączeniu z opcją Digit Map ma swoje niezaprzeczalne zalety. Dzięki niej możemy decydować przez którego operatora SIP będą inicjowane połączenia do określonych numerów telefonów.

Mając do dyspozycji inicjowanie do 2 jednoczesnych połączeń możemy także definiować, który aparat telefoniczny będzie wykonywał połączenia poprzez określonego operatora SIP. Połączenia VoIP mogą być wzbogacone o książkę telefoniczną zawierającą do 60 wpisów.

Wpisy możemy w prosty sposób edytować w zewnętrznym narzędziu VoIP DialPlan Utility. Możliwy jest także import danych z pliku CSV.

Wykorzystanie portu USB Vigora 2850Vn w funkcji łącza zapasowego czy też load balancing i modemu 3G/4G to tylko niektóre możliwości routera. Urządzenie obsługuje także nośniki pamięci USB z formatem plików FAT16 oraz FAT32. Funkcje mini serwera sieciowej pamięci masowej pozwalają na swobodne przeglądanie zawartości dysku przy użyciu protokołów CIFS/SMB oraz FTP z pełnym wsparciem dla uwierzytelnionych użytkowników. Dodatkowo router dysponuje prostą przeglądarką webową File Explorer. Jednak prędkość kopiowania zarówno dużych (>100 MB) jak i małych plików (<2 MB) nie powala na kolana i zawierała się w wartościach 1 - 1,5 MB/s zarówno dla protokołu FTP jak i SMB. Router sprawdza się jako podręczny serwer wydruków udostępniając drukarkę USB. Na stronie pomocy FAQ Draytek możemy odnaleźć listę kompatybilnych drukarek USB. Niestety router nie wspiera funkcji skanowania czy faksowania w przypadku wykorzystywania urządzeń wielofunkcyjnych.

Bogate możliwości konfiguracyjne routera nie byłby zbyt intuicyjne gdyby nie dodatkowe narzędzia administracyjne pozwalające na kontrolę pracy routera oraz jego parametrów. System oprócz wsparcia dla UPnP, funkcji Wake On LAN czy usługi DDNS umożliwia bardzo dokładne monitorowanie kilku wewnętrznym i zewnętrznym narzędziom.

Mamy więc możliwość wysyłania powiadomień o zdarzeniach nie tylko na mail ale również poprzez wykorzystanie bramek SMS oraz zarządzanie przy użyciu protokołu TR-069 (zdalne zarządzanie urządzeniami końcowymi znajdującymi się wielu czasami odległych lokalizacjach). Vigor może logować zdarzenia przy użyciu serwera Syslog i gromadzić je na zdalnym serwerze lub w pamięci routera poprzez użycie funkcji Web Syslog. Dodatkowo podłączony nośnik USB może służyć jako miejsce przechowywania logów Syslog. Zarządzanie routerem i jego konfiguracja oprócz tradycyjnego interfejsu WWW może odbywać się również przy użyciu wiersza poleceń i połączeń SSH lub Telnet.

W sekcji Diagnostics Vigora2850Vn zostały zawarte wszystkie niezbędne narzędzia pozwalające na przeanalizowanie zachowania routera oraz działania sieci. Znajdziemy tu raporty z tablic routingu, tablicy ARP i DHCP. Nie zabrakło również informacji o sesjach NAT czy danych dotyczących obciążenia łącza prezentowanych pod postacią czytelnych wykresów. 

Dodatkowo producent przygotował dwa całkiem ciekawe i rozbudowane narzędzia zewnętrzne. Jedno z nich to aplikacja dla systemów Windows - DrayTek Syslog, która pozwala na monitorowanie routera zdalnie.

Drugim narzędziem jest bardzo zaawansowany Smart Monitor - monitor usług i ruchu sieciowego, m.in. FTP, HTTP, mail, VPN czy P2P. System prezentuje wszystkie dane w postaci wykresów oraz zestawień. Narzędzie jest instalowane w formie aplikacji webowej i wymaga do prawidłowej pracy serwera Apache, środowiska PHP oraz bibliotek wpcap. Wymagana jest także konfiguracja mirroringu portów, który możemy skonfigurować w Vigorze. Jeśli posiadamy bardziej rozbudowaną architekturę sieciową możemy w tym celu użyć przełącznika sieciowego z funkcją mirroringu portów.

Procedurę testową wydajności i pokrycia sygnałem sieci bezprzewodowej wykonaliśmy w pomieszczeniu o powierzchni około 63 m2 (7x9 m). Plan pomieszczeń oraz umieszczenie routera przedstawia poniższy schemat. Punkty pomiarowe 1-7 (oznaczone piktogramami) zlokalizowane są na tym samym poziomie co router. Punkt 8 znajduje się na półpiętrze (schodach). Z kolei w punktach 9 i 10 dokonano pomiaru piętro niżej (9) oraz piętro wyżej (10) - bezpośrednio nad i pod routerem. Budynek, w którym dokonany został pomiar jest wykonany z płyt żelbetowych (ściany nośne oraz stopy), ściany działowe wykonane z bloczków gipsowych i pustaków ceramicznych. W punktach 1-10 badaliśmy poziom sygnału (dBm) a także prędkość pobierania (Mbps) i wysyłania (Mbps) plików do komputera podłączonego do portu ethernet.

• System operacyjny: Windows 7 Home Premium 64-bit
• Procesor Intel Core i5 3210M 2,6 GHz
• Pamięć RAM: 4 GB
• Dysk twardy: Western Digital 320 GB
• Sieć ethernet: 1 Gbps (połączenie 1000 Mbps, full duplex)

• System operacyjny: Windows XP Professional SP3
• Procesor: Intel Core 2 Duo 2,53 GHz
• Pamięć RAM: 3 GB
• Dysk twardy: SSD OCZ Vertex Plus
• Sieć ethernet: 1 Gbps (połączenie 1000 Mbps, full duplex)
• Sieć WiFi: Intel Ultimate N WiFi Link 5300

• połączenia gigabitowe ethernet
• połączenia WiFi - ustawiane w zależności od typu testu - 2,4 i 5 GHz - sieć bez zabezpieczeń, szerokość kanału 20/40 MHz.

Komputer Packard Bell EasyNote TV11CR pełnił rolę serwera, na który kopiowaliśmy i pobieraliśmy dane. Testy kopiowania wykonaliśmy dla każdej z 10 lokalizacji sieciowych. Dodatkowo każdy z testów przeprowadziliśmy dla sieci bezprzewodowej bez zabezpieczeń w paśmie 2,4 oraz 5 GHz.

Wyniki testów dla sieci 2,4 GHz nie są rewelacyjny. Co najwyżej dobre. Osiągane maksymalne prędkości na poziomie do 75 Mbps przy tej klasie routera to wynik średni. Dużo lepiej jest w przypadku sieci 5 GHz oraz pokrycia sygnałem (dla pasma 2,4 oraz 5 GHz) testowanej lokalizacji. Maksymalne prędkości przekraczające 90 Mbps a także dobre wyniki w bardziej oddalonych lokalizacjach sieciowych poprawiają nieco sytuację.

Pokrycie zasięgiem testowanej powierzchni jest bardzo dobre. Nawet w przypadku lokalizacji 9 i 10 gdzie poziom sygnału spadał poniżej -70 dBm w dalszym ciągu można było liczyć na niezłe prędkości transmisji. Podczas testów na otwartej przestrzeni prędkość odczytu danych z serwera również nie budzi zastrzeżeń. Biorąc pod uwagę powyższe wartości testowe możemy śmiało stwierdzić, że wydajność radia w Vigorze jest jedynie dobra. Po tej klasy produkcie spodziewaliśmy się dużo lepszych osiągów transferów przy tak dobrym pokryciu sygnałem.

Co ciekawe wyniki testu syntetycznego iperf potwierdzają nasze pomiary rzeczywiste. Jednak tylko w przypadku pojedynczego transferu. Jeśli transmisja przebiega 4- lub 8-wątkowo router potrafi osiągnąć sumaryczne wartości w przypadku sieci 5 GHz nawet powyżej 120 Mbps. Również transfery w sieci gigabitowej są bardzo wysokie i w teście 4-wątkowym zbliżyły się do wartości niemal 900 Mbps.

Użytkownicy przywiązujący wagę do wyglądu urządzeń sieciowych z pewnością będą krzywo patrzeć na konstrukcje Vigora. Jest ona dość oryginalna i charakterystyczna. Jednak w przypadku zaawansowanych rozwiązań nie zawsze o wygląd chodzi. Dużo ważniejsze; co udowodnił DrayTek w Viogrze 2850Vn; są możliwości tego typu urządzeń. Redundancja połączeń sieciowych, kilka interfejsów WAN, zaawansowane kierowanie ruchem sieciowym, firewall o ogromnych możliwościach konfiguracji. Do tego obsługa nośników USB, kompletne rozwiązania usług VPN oraz VLAN-ów, VoIP i telefonii PSTN udowadniają, że można wyposażyć sieć w kompletny wydajny system zarządzania ruchem sieciowym w postaci jednego urządzenia za niewielkie pieniądze. Gdyby producent zastosował bardziej wydajny dwuzakresowy układ radiowy pracujący jednocześnie w obu pasmach z pewnością pozwoliłoby to na pełniejsze wykorzystanie urządzenia w warunkach domowych czy biurze.