DrayTek Vigor 2960 - poważny sprzęt do poważnych zastosowań

Budowa sieci domowej czy biurowej to z pozoru dość prosta czynność. Układamy okablowanie sieciowe i podłączamy router z WiFi. Wystarczy jedynie podłączyć komputery i gotowe. Proste? Niejednokrotnie tylko z pozoru.

Do obsługi niewielkich sieci domowych złożonych z 2-3 komputerów w zupełności wystarczy niedrogi router, który można kupić już nawet za 50-60 złotych. Będzie to urządzenie, które zapewni podstawowe usługi dostępu do internetu, mechanizm NAT, skromnych możliwości zapory sieciowej i mało wydajnych komponentów WiFi i LAN. Ot, najprostszy możliwy router z podstawowym zadaniem jakim jest kierowanie ruchem sieciowym. Jeśli przyjdzie nam projektować, budować czy konfigurować większą sieć złożoną z kilkunastu czy kilkudziesięciu komputerów, w której dodatkowo zachodzą dość szybko zmiany w infrastrukturze sieci aktywnej to możemy zapomnieć o tanich zabawkach. Tworząc zaawansowaną sieć LAN powinniśmy przede wszystkim spojrzeć na proces pod nieco szerszym kątem - nie tylko na liczbę komputerów, ale i na procesy jakie będą zachodzić w domowej czy biurowej sieci LAN. Biorąc pod uwagę pewne uogólnienia i idąc na kompromis możemy zakupić wydajny router z WiFi za 300-500 złotych. Z pewnością będzie to narzędzie, które poradzi sobie z ruchem sieciowym oferując jednocześnie bardziej zaawansowane możliwości. Jednak i ów droższy router to tylko kropla w morzu potrzeb jakie stawia się przed nowoczesnymi sieciami LAN przede wszystkim pod kątem zewnętrznej komunikacji zdalnej, ochrony sieci oraz inteligentnego kształtowania ruchu sieciowego. W tego typu systemach następują ciągłe zmiany i administratorzy sieci mają nie lada problemy by im sprostać, ale także odpowiednio zabezpieczyć sieć WAN i LAN. Zmiany te zmuszają niejednokrotnie do uruchamiania kolejnych serwerów, tworzenia nowych konfiguracji, montażu urządzeń co powoduje, że serwerownia czy pomieszczenie z routerem zajmuje coraz więcej miejsca. Dlatego też tworząc nową sieć warto sięgać po rozwiązania, które choćby w kwestii dostępu do zasobów sieci LAN oraz WAN a także kontroli były rozwiązaniami spójnymi, a jednocześnie elastycznymi z dużymi możliwościami. Jedno z nich zaprezentujemy dziś: to DrayTek Vigor 2960 – router kablowy z dwoma interfejsami WAN.

Profesjonalne rozwiązania sieciowe nie muszą być ładne i nie są. I nie inaczej jest z DrayTekiem. To po prostu prostopadłościenna skrzynka o wysokości 1U z możliwością montażu w szafie serwerowej. Urządzenie jest nieco mniejsze (273x176x46 mm) niż typowe 19-calowe przełączniki sieciowe czy routery. Dlatego też producent w zestawie dołącza specjale uchwytu oraz śruby montażowe do mocowania routera w szafie lub na ścianie. Jedynym ekstrawaganckim akcentem metalowej obudowy, na który pokusił się DrayTek jest srebrny panel po prawej części frontowej routera. Na przodzie urządzenia znajdują się wszystkie najważniejsze interfejsy sieciowe oraz złącza.

Obok srebrnego panelu producent zamieścił diody kontrolne sieci LAN, WAN, portów USB, aktywności Content Security Management, DoS, QoS oraz VPN. Centralna część urządzenia została zarezerwowana na potrzeby 2 gigabitowych portów WAN, 4-portowego gigabitowgo przełącznika oraz 2 portów USB 2.0. Z tyłu znalazł się jedynie włącznik zasilania oraz gniazdo energetyczne. Producent oferuje także rozszerzoną wersjęVigora model o oznaczeniu Vigor 2960F. Konstrukcja różni się nieco od 2960 konfiguracją portów WAN. Zamiast dwóch interfejsów gigabitowych ethernet DrayTek wyposażył model 2960F w jeden moduł ethernet oraz w jeden SFP pozwalający na montaż światłowodowych wkładek mini-GBIC.

• router
• kabel zasilający
• kabel ethernt
• quick start guide
• płyta z oprogramowniem
• uchwyty oraz śruby do montażu w szafie 19”

Montaż i uruchomienie routera DrayTek w przypadku profesjonalnych rozwiązań nie są poparte kreatorami czy dodatkowymi narzędziami programowymi. Router Vigor 2960 z racji przynależności do gałęzi profesjonalnych rozwiązań idealnie wpisuje się w tę konwencję. Jak już wspomnieliśmy wcześniej konstrukcja urządzenia to typowe rozwiązanie rackowe dlatego też jego umiejscowienie jest zrozumiałe. Podłączenie urządzenia do sieci logicznej również nie stanowi większego problemu a użytkownik powinien posiadać co najmniej podstawową wiedzę w zakresie konfiguracji i uruchomienia sieci lokalnych. W skrócie – do gniazda WAN podłączamy łącze operatora ISP. Z racji tego, że router nie posiada układu radiowego WiFi dlatego konfiguacja routera na pierwszym etapie możliwa jest tylko przy użyciu komputera podłączonego do jednego z portów LAN. Po wstępnej konfiguracji możemy rozpocząć szczegółowy proces ustawiania w zależności od infrastruktury sieciowej w określonej lokalizacji.

W domyślnej konfiguracji router posiada uruchomiony serwer DHCP. Dzięki temu podłączony komputer, który będzie służył jako narzędzie do konfiguracji. Domyślny adres IP routera to 192.168.1.1, dane logowania: admin, hasło: admin.

Panel administracyjny posiada bardzo typowy układ jak dla tego typu urządzeń. Wygląd interfejsu różni się nieco wyglądem od testowanego niedawno routera Vigor 2850Vn. Lewy panel zawiera pogrupowane opcje konfiguracyjne zaś w głównej części wyświetlane są wszystkie ustawienia. Uwagę zwraca ciekawe menu Online Status, które prezentuje wszystkie najważniejsze dane router - jego status, stan połączeń czy obciążenie procesora i zajętość pamięci RAM. Niestety nie udało uniknąć się drobnych wpadek. Pomimo prawidłowej konfiguracji routera od czasu do czasu status online pokazywał, że obywa interfejsy WAN są nieaktywne, choć każdy z nich działał.

Zastosowanie dwóch gigabitowych interfejsów łącza WAN nie jest przypadkiem. Rozwiązanie multi-WAN Vigora 2960 to konstrukcja, która pozwala na zestawienie dwóch niezależnych połączeń internetowych lub tuneli VPN. Konfiguracja łączy WAN może być ustawiona w trzech trybach:

• pojedynczy link - wykorzystanie tylko jednego łącza WAN od ISP
• Load Balancing - równoważenie obciążenia ruchu
• Backup Failover - łącze zapasowe.

Dla każdego z rozwiązań stosowane są nieco inne ustawienia i nie będziemy szczegółowo omawiać każdego z przypadków. Choć interfejs Vigora nie należy do najbardziej intuicyjnych to zaległości w wygodzie użytkowania nadrabia ogromnymi możliwościami konfiguracyjnymi. Już na samym początku podczas konfiguracji łącz WAN w zakładce General Setup mamy do dyspozycji bardzo sensownie rozwiązany system ustawień oparty na profilach. Dzięki nim w zależności od potrzeb możemy szybko przełączyć się pomiędzy danymi profilami bez konieczności tworzenia nowych konfiguracji łącz WAN.

DrayTek wspiera niemal wszystkie najpopularniejsze mechanizmy połączeń WAN. Możemy skorzystać z ustawienia statycznego oraz dynamicznego adresu IP, połączeń PPPoE, a także utworzenie tunelu VPN przy użyciu protokołu PPTP. Dodatkowo dla połączenia WAN mogą być tworzone VLAN-y. Router wspiera również komunikację przy użyciu protokołu IPv6 oraz protokół GVRP pozwalający na dynamiczną rejestrację hostów w sieciach VLAN. Utworzone połączenia mogą być konfigurowane w trybie routingu lub NAT.

Bardzo zaawansowane opcje (choć z pozoru interfejs tego nie pokazuje) kryją się pod zakładką Load Balance. W niej wykonuje się konfigurację związaną z zachowaniem obydwu połączeń WAN. W zakładce Pool definiujemy profile ustawień łącza - Load Balance albo Failover. W obydwu przypadkach kolejnym krokeim jest wskazanie, które łącze (a właściwie, który z profili utworzony w zakładce General Setup) będzie linkiem nadrzędnym, a które podrzędnym. Dodatkowo w Load Balance ustalamy wagę łącza - jego priorytet. W zależności od własnych preferencji i konfiguracji wewnętrznej sieci LAN ustawienia Load Balancing mogą mieć różny charakter. Jeśli w sieci LAN posiadamy wyodrębnione VLAN-y lub oddzielne podsieci to możemy w dość prosty sposób kształtować ruch do i z sieci WAN na podstawie klas adresowych sieci LAN. Możemy również skonfigurować równoważenie obciążenia bazując na usługach lub określonych portach.

Po konfiguracji Load Balancing i utworzenie Pool-a oraz reguł należy wskazać w sekcji Default Router założony wcześniej profil ustawień równoważenia obciążenia łącza.

Podobną konfigurację (jednak z pominięciem tworzenia reguł w sekcji Rule) wykonujemy w przypadku użycia łączy jako Failover. Konfigurujemy zatem interfejsy WAN nadając im odpowiednie ustawienia - typ połączenia, dane uwierzytelniające czy adresację IP. W następnym kroku w zakładce Load Balance wybieramy tryb Failover. Następnie w zakładce Failover definiujemy, kolejność interfejsów WAN - główny i zapasowy.

Kolejnym krokiem jest zdefiniowanie w jaki sposób router będzie monitorował prawidłowe działanie łącza. Proces ten wykonujemy dla każdego z interfejsów oddzielnie w zakładce General Setup. Mamy do dyspozycji badanie odpowiedzi na ping ze zdefiniowanego hosta, odpytanie o dostępność HTTP lub żądanie ARP. Dla każdego z ustawień możemy określić interwał czasowy oraz liczbę prób, po których nastąpi przełączenie na łacze zapasowe.

Na sam koniec powinniśmy zdefiniować domyślny routing, dzięki temu router będzie wiedział w jaki sposób kierować ruch sieciowy. Wykonujemy to w zakładce Default Route wybierając z listy zdefiniowaną wcześniej w sekcji Pool ustawienie Failover. Warto pamiętać, że w przypadku konfiguracji Failover zapasowy interfejs zostaje nieaktywny do czasu wystąpienia awarii.

Dodatkowo w zakładce Switch możemy podejrzeć konfigurację VLAN-ów WAN, ustawić parametry szybkości łączy czy podejrzeć aktualnie aktywne interfejsy WAN. Ciekawostką w Viforze 2960 jest możliwość mirrorowania portów WAN. Jest to funkcja pozwalająca na monitorowanie ruchu sieciowego z określonego portu WAN przy użyciu np. systemu DrayTek Smart Monitor.

DrayTek w nowych wersjach firmware routera planuje wprowadzenie obsługi serwera druku a także nośników danych podłączanych do portu USB. Funkcje USB zostaną również rozszerzone o obsługę modemów USB 3G/4G. Z pewnością stanie się to niebawem o czym świadczą opcje konfiguracyjne łącza 3G dostępne z poziomu konsoli tekstowej routera.

DrayTek Vigor 2960 dysponuje czteroportowym gigabitowym przełącznikiem sieci LAN. Wydawać by się mogło, że jest to niewiele jak na tej klasy router. Jednak to co kryją w sobie 4 porty switcha to morze możliwości. Przy typowym ustawieniu przełącznik będzie działał jak standardowy switch a uruchomiony serwer DHCP dystrybuował adresy IP. Konfigurowanie routera po stronie sieci LAN jest bardzo podobne do konfiguracji innych tego typu rozwiązań. Jednak w Vigorze zostało ono nieco bardziej rozszerzone. Podstawowe ustawienia wykonujemy w zakładce LAN - General setup gdzie definiujemy profil sieci LAN. Nadajemy w nim wewnętrzną adresację sieci, konfigurujemy tryb - NAT lub routing, podajemy maskę podsieci i bramę. Możemy także tworzyć kolejne podsieci np. na potrzeby routingu i przydzielać wewnętrznym hostom w sieci LAN publiczne adresy IP.

W kolejnych zakładkach General setup możemy określić specyfikę serwera DHCP. Konfiguracja serwera DHCP jest przeprowadzana oddzielnie dla każdego z 20 profili dla prywatnych podsieci IP. Dla każdego z profili router pozwala nie tylko na zdefiniowanie zakresu adresów dla podsieci. W panelu możemy ustawić również odrębną adresację dla klientów zdalnych łączących się poprzez VPN.

W złożonych sieciach IP gdzie występuje kilka podsieci o różnej adresacji problemem może być odpowiednia konfiguracja serwera DHCP, ponieważ w każdej z nich musielibyśmy ustawić oddzielny serwer DHCP dla każdej z podsieci. Mechanizm ten jest mało wygodny i lepiej jest wykorzystać funkcję DHCP Relay, która pozwoli na wykorzystanie jednego serwera DHCP dla wielu podsieci.

Router obsługuje także protokół IPv6 oraz możliwość konfiguracji i ustawienia serwera DHCP dla IPv6 dla każdego z profili sieci LAN. Dla sieci IPv6 możemy również aktywować radvd (Router Advertisement Daemon), mechanizm pozwalający na rozgłaszanie parametrów sieci (np. adresy DNS) oraz umożliwiający pobieranie ich przez komputery klienckie.

Funkcje routingu zostały dodatkowo wzbogacone o konfigurację RIP (Routing Information Protocol), OSPF (Open Shortest Path First) i IP Routing. OSPF optymalizuje routing w taki sposób by trasa była jak najkrótsza z jednoczesnym równoważeniem łącza. Mechanizm IP Routing pozwala na określenie hostów w sieci LAN, które będą miały dostęp do sieci zewnętrznej bez użycia NAT-u, pozwala także na dostęp do hosta LAN z zewnątrz bez użycia translacji adresów. DrayTek umożliwia utworzenie do 64 profili IP Routing. Konfiguracja sprowadza się do podania adresu hosta, maski podsieci a także co najważniejsze profili LAN oraz WAN dla których aktywny będzie routing IP. Z kolei w sekcji Static Route możemy zdefiniować statyczne trasy pozwalające routerowi na odpowiednie kierowanie ruchu sieciowego do poszczególnych sieci. Statyczny routing możemy również ustawić dla sieci wykorzystującej protokół IPv6.

To co wyróżnia routery DrayTeka na tle innych tego typu rozwiązań to bardzo dobrze dopracowany mechanizm obsługi VLAN-ów. To rozwiązanie pozwala w jednej infrastrukturze fizycznej wykorzystywać kilka podsieci logicznych. Cały proces konfiguracji jest mniej przyjazny niż w przypadku interfejsu testowanego niedawno Vigora 2850Vn. W zakładce LAN - Switch - 802.1Q VLAN domyślnie ustawiony jest jeden domyślny nietagowany VLAN obejmujący wszystkie porty LAN dzięki temu możliwa jest komunikacja ze wszystkimi hostami podłączonymi do któregokolwiek z portów przełącznika. By móc skonfigurować odrębne podsieci istniejące na określonych portach przełącznika w pierwszej kolejności powinniśmy utworzyć ich profile w zakładce LAN - General Setup z odpowiednimi wpisami VLAN ID oraz klasami adresowymi.

Następnie należy przejść do zakładki LAN - Switch i w zależności od potrzeb skonfigurować poszczególne VLAN-y na podstawie portów i/lub VLAN ID. By możliwa była komunikacja pomiędzy stworzonymi VLAN-ami należy w sekcji Static Route włączyć profil Inter-LAN Route.

Podobnie jak dla łącza WAN również na przełączniku sieciowym LAN możemy skonfigurować system monitorowania ruchu sieciowego przy użyciu Smart Monitor. W tym celu należy wejść do zakładki Mirror i wskazać, który port przełącznika routera będzie portem monitorowanym a który będzie służył do podłączenia serwera monitorującego.

Jak przystało na dobrej klasy przełącznik w Vigorze 2960 oprócz ustawienia VLAN-ów możemy zdefiniować parametry sprzętowe portu LAN. W zakładce Switch - Interface dla każdego z portów przełącznika możemy ustawić jego prędkość a także tryb pracy (duplex). Z kolei w zakładce Status odczytamy informacje o aktywności portów przełącznika. Status może być na bieżąco sprawdzany. Wystarczy określić okres odświeżania.

W najnowszym firmware Vigora 2960 (1.06) pojawiła się również obsługa serwera PPPoE. Z kolei funkcje sieci LAN zostały dodatkowo rozszerzone o mechanizm Bind IP to MAC. Jest to funkcja zwiększająca bezpieczeństwo sieci LAN i pozwalająca na przypisanie określonych adresów IP do określonych MAC adresów kart sieciowych hostów. Bind IP to MAC tworząc powiązanie pomiędzy adresem IP a adresem MAC jest wstępnym elementem pozwalającym wykorzystać mechanizm do tworzenia na jego podstawie reguł zapory sieciowej. Można oczywiście wykorzystać do tego celu statyczne wpisy DHCP na serwerze. Jednak taka konfiguracja jest bardzo prosta do obejścia przez użytkownika. Wystarczy ręcznie wpisać adres IP lub zmienić MAC adres karty ha hoście. Zarządzając Bind IP to MAC możemy dodawać ręcznie wpisy - adres IP oraz MAC adres. Jednak dużo wygodniej jest wykorzystać tablicę ARP i z niej poprzenosić właściwe wpisy. Włączając opcję Strict Bind mamy pewność, że tylko komputery z listy Bind IP to MAC będą miały dostęp do sieci.

Sieci LAN oraz pracujące w nich routery oprócz możliwości kierowania ruchem posiadają jeszcze jedną nieocenioną zaletę; która niekiedy też staje się wadą - to maskarada IP lub krócej NAT. Głównym zadaniem NAT-u jest nie tylko „zmiana prywatnych adresów IP na publiczne”. To przede wszystkim możliwość dostępu wielu hostów sieci LAN do internetu czy innej sieci. Do tego celu wykorzystuje się bramę, którą najczęściej jest router. Z jednej strony pozwala ona na oddzielenie prywatnej sieci LAN od sieci zewnętrznej z drugiej jednak strony powoduje wiele komplikacji w przypadku dostępu z zewnątrz do usług lub hostów znajdujących się w sieci LAN. Dlatego też w routerach stosuje się dodatkowe mechanizmy pozwalające na uzyskanie dostępu z zewnątrz. Jednym z najpopularniejszych jest przekierowanie portów, które w Vigorze 2960 kryje się w zakładce NAT - Port Redirection. Możemy utworzyć do 256 profili zawierających różne konfiguracje przekierowań. Router oferuje możliwość ustawienia przekierowania z dowolnego interfejsu WAN na dowolny adres IP w sieci LAN. Jeśli dla łącza lub łącz WAN posiadamy kilak adresów IP to funkcje przekierowania możemy ustawić dla określonego aliasu IP łącza WAN. Funkcje przekierowania nie są ograniczone do ustawienia portów jeden do jednego. Przekierowanie można ustawić również dla wielu publicznych portów na jeden prywatny a także wielu publicznych portów na wiele prywatnych. Lista przekierowań jest prezentowana w przejrzystej tabeli w zakładce Port Forwarding.

Ciekawym rozwiązaniem przydatnym dla osób posiadających dwa łącza WAN i kilka adresów IP jest możliwość swobodnego kierowania ruchu poprzez określone łącza oraz publiczne adresy IP. Funkcja ta to Address Mapping. Mapowanie adresów jest ściśle powiązane z konfiguracją łączy WAN. Dlatego też podczas tworzenia profili mapowania należy skonfigurować (o ile nie zrobiliśmy tego wcześniej) łącza WAN dodając aliasy IP.

Następnie podczas konfiguracji Port Mapping będziemy mogli szczegółowo określić którym aliasem (a dokładniej mówiąc, którym publicznym adresem IP będzie przedstawiał dany host z sieci LAN.

DrayTek znacząco rozszerzył możliwości strefy zdemilitaryzowanej - DMZ. W typowych routerach domowych czy SOHO funkcja ta ogranicza się zazwyczaj do wydzielenia jednego hosta i jednego portu, na którym będzie działać strefa DMZ. W przypadku Vigora 2960 tych stref możemy ustawić aż 16. Nie ograniczają się one jedynie do podania prywatnego adresu sieci LAN hostów, które będą dostępne z zewnątrz. Podczas ustawiania profili decydujemy, dla którego łącza WAN będzie działać strefa a także (jeśli dysponujemy kilkoma publicznymi adresami IP) aliasu IP.

Uzupełnieniem sekcji LAN jest obsługa SIP ALG czyli obsługi i monitorowania komunikacji VoIP w sieciach z zaporą sieciową i mechanizmem NAT.

To co wyróżnia DrayTeka na tle innych konstrukcji to bardzo rozbudowana zapora sieciowa. Firewall w Vigorze 2960 to przede wszystkim system filtrowania pakietów, DoS, URL a także filtrowanie treści. Oprócz ochrony zewnętrznej router zapewnia również ochronę wewnątrz sieci poprzez filtrowanie treści, pakietów czy ochronę przed filtrowaniem nieodpowiednich połączeń.

Konfiguracja Firewalla w przypadku DrayTeka nie należy może do najłatwiejszych jednak po zrozumieniu sposoby kreowania reguł administrator ma olbrzymie możliwości dowolnego kształtowania reguł dostępowych do sieci. Zanim jednak stworzymy reguły zapory sieciowej w pierwszej kolejności warto skonfigurować profile, które w DrayTeku zostały nazwane obiektami. W sekcji Object Settings mamy pokaźną paletę konfiguracyjną. Obiekty są grupami ustawień, które następnie są wykorzystywane do reguł zapory sieciowej. Object Seetings ustawiamy pod kątem:

• adresów IP i grup IP - ustawienia źródłowych i docelowych adresów IP, pojedynczych adresów, zakresu lub całych podsieci

• typów usług - ustawienie obiektów pod kątem usług i portów. Vigor posiada zdefiniowanych kilkadziesiąt ustawień dla typowych portów. Możemy maksymalnie zdefiniować do 96 konfiguracji. Dodatkowo możemy skorzystać z obiektów w sekcji Web Category Object, które definiuje określone usługi sieciowe i webowe, np. FTP, WWW, SMTP itd

• słów kluczowych i typów plików - ustawienie monitorowania określonych wyrażeń występujących na stronach internetowych a także monitorowanie określonych rozszerzeń plików

• aplikacji IM oraz P2P - ustawienie dotyczące aplikacji P2P oraz komunikatorów internetowych. Obiekty definiujemy wybierając je z gotowych list

• filtrowania stron WWW - w Web Category Object możemy definiować zakres stron i ustawiać obiekty na podstawie ich treści lub kategorii. Podobnie jak w Vigorze 2850Vn możemy skorzystać dodatkowo z usług operatorów WCF i podłączyć router do jednej z usług filtrowania stron internetowych. Zarządzanie subskrypcjami WCF odbywa się po zalogowaniu na stronie http://myvigor.draytek.com/

• czasu - ustawienie określonych obiektów i ram czasowych, które mogą być wykorzystane do tworzenia profili zapory sieciowej.

Stworzone w ten sposób obiekty wykorzystujemy następnie w tworzeniu filtrów zapory sieciowej w sekcji Firewall - Filter Setup. Czyli ze stworzonych wcześniej obiektów tworzymy poszczególne reguły dla filtrowania adresów IP, aplikacji, filtrowania stron WWW (możliwe jest także filtrowanie stron szyfrowanych). W przypadku blokady stron WWW możemy dodatkowo zdefiniować komunikat informujący użytkownika o niedozwolonej stronie. Informacja może być dowolnie konfigurowana przez administratora.

Uzupełnieniem systemu zapory sieciowej jest zakładka DoS Defense. Pozwala ona na uruchomienie blokad ataków na adres rozgłoszeinowy sieci, blokadę pakietów SYN, ICMP (ping), SMURF, itd. Z kolei funckją MAC Block pozwala na utworzenie reguł opartych o adresy MAC kart sieciowych oraz filtrowanie pakietów przychodzących z określonych MAC-ów.

Uzupełnieniem reguł i profili zapory sieciowej jest zakładka User Management. Umożliwia ona na tworzenie reguł zapory sieciowej nie tylko na podstawie Obiektów i profili ale także na podstawie użytkowników. Użytkownicy mogą być zakładani indywidualnie na routerze lub możemy korzystać z bazy z LDAP lub Active Directory. Zaznaczając w panelu kreowania użytkownika opcję Use mOTP możemy włączyć dwuetapową weryfikację poprzez generowanie haseł dla użytkowników łączących się zdalnie poprzez VPN - IPSec, L2TP lub PPTP. Hasła generowane są przy użyciu mobilnej aplikacji. Podłączenia do lokalnej sieci LAN ułatwia użytkownikom wbudowany klient serwera RADIUS pozwalając na uwierzytelniania się klientów.

Wirtualne sieci prywatne stanowią jeden z najbezpieczniejszych mechanizmów łączności zdalnej w sieci internet. Są to mechanizmy oparte o szyfrowane tunele, które transmitują pakiety poprzez sieć internetową do określonych hostów, serwerów lub pomiędzy serwerami. W przypadku Vigora 2960 mamy do dyspozycji dwa typy połączeń:

• LAN-to-LAN - czyli zestawienie tunelu VPN pomiędzy dwoma odległymi lokalizacjami w celu ich połączenia w jedną sieć LAN. Połączenie może być również trunkowane.
• Remote dial-in (client-to-site) - czyli zestawienie tunelu pomiędzy zdalnym klientem VPN a serwerem VPN. Dzięki temu klient uzyskuje dostęp do zasobów sieci lokalnej poprzez szyfrowany dostęp z sieci internet.

Vigor pozwala na utworzenie do 200 profili VPN przy pomocy wszystkich popularnych protokołów:

• IPSec - zabezpieczenia AH lub ESP (szyfrowanie DES, 3DES, AES) z funkcjami haszującymi MD5 lub SHA1. Uwierzytelnianie IKE odbywa się przy pomocy klucza PSK lub podpisu cyfrowego (X.509).
• PPTP - szyfrowanie MPPE 40/128 bitów oraz uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
• L2TP Host-LAN - uwierzytelnianie PAP, CHAP, MS-CHAPv1/2.
• GRE over IPSec LAN-LAN

Konfiguracja ustawień serwera jak i klientów odbywa się w zakładce VPN and Remote Access. W zależności od typu konfiguracji ustawiamy w nim profile klienta i/lub serwera, wybieram tryb autoryzacji, a także przydzielamy dostęp dla określonych użytkowników oraz lokalną adresację IP.

Połączenie Client-to-site możemy wykorzystać na kilka sposobów i są one uzależnione jedynie od potrzeb użytkowników czy specyfiki pracy. Jednym z nich jest typowy tunel VPN - klient-serwer. Jego konfigurację na kliencie najprościej wykonać przy użyciu dołączonego do routera narzędzia Smart VPN Client.

Dużo prościej można zestawić połączenie przy wykorzystaniu mechanizmów Web Proxy i SSL VPN. Takie rozwiązanie ma podstawową zaletę - nie musimy instalować na komputerach klienckich dodatkowego oprogramowania i konfigurować profili. Wystarczy, że ustawimy odpowiednią konfigurację w interfejsie routera w zakładce - SSL VPN - SSL Web Proxy. Utworzony profil podłączamy następnie do kont użytkowników, którzy powinni mieć dostęp zdalny do sieci lokalnej poprzez VPN.

Należy dodatkowo skonfigurować serwer w zakładce VPN and Remote Access - VPN Server Wizard - wskazujemy tu typ połączenia oraz profil LAN do którego będzie zestawione połączenie. Po stronie klienta pozostaje uruchomić przeglądarkę internetową i wpisać adres serwera VPN. Nastąpi szyfrowane połączenie z serwerem Web Proxy gdzie należy dokonać uwierzytelnienia i doinstalować kontrolkę ActiveX.

Niemal dokładnie w taki sam sposób możemy skonfigurować dostęp zdalny przy użyciu protokołów RDP oraz VNC. Te dwa typy połączeń pozwalają na komunikację z pulpitami systemów zdalnych lub dostęp np. do wspólnego systemu informatycznego działającego na serwerze terminali. W przypadku RDP i VNC również nie musimy konfigurować klientów zdalnych. Wystarczy, że w zakładce SSL VPN - SSL Application w sekcjach VNC oraz RDP skonfigurujemy połączenie do określonego hosta w sieci LAN. Host ten powinien posiadać zainstalowany serwer VNC lub włączoną funkcję pulpitu zdalnego lub być serwerem terminali RDP.

Po stronie klienta wystarczy wpisać adres serwera VPN by móc uzyskać połączenie szyfrowane z Web Proxy, uwierzytelnić się i połączyć z pulpitem zdalnym lub VNC. Draytek potrafi obsłużyć do 100 SSL VPN Web Proxy.

Vigor 2960 może być nie tylko serwerem VPN, do którego będą podłączać się użytkownicy zdalni. Urządzenie DrayTeka pozwala również na zestawienie tuneli VPN pomiędzy dwoma routerami (LAN-to-LAN). To bardzo dobre narzędzie umożliwiające połączenie ze sobą w szybki i bezpieczny sposób np. dwóch oddziałów firmy czy dwóch odległych lokalizacji.

W takiej konfiguracji jeden z routerów pełni rolę serwera VPN. Z kolei drugi router będzie łączył się do zdalnego routera jako klient. Konfigurację routera-klienta przeprowadzamy w zakładce VPN Client Wizard. W zakładce VPN Profiles możemy podejrzeć utworzone profile a w Connection Management sprawdzić status określonego profilu połączenia.

Router posiada jeszcze dwie ciekawe funkcjonalności VPN, które mogą być przydatne w przypadku posiadania dwóch łącz WAN i zestawienia tuneli VPN pomiędzy lokalizacjami. Mowa tu o trunkach VPN w dwóch trybach: trunk VPN failover i trunk VPN load balance. Ich konfigurację przeprowadzamy w zakładce VPN Trunk Management.

W pierwszym przypadku łącze VPN zestawiane jest do zdalnego serwera poprzez dwa niezależne tunele VPN. Połączenie może być zestawione nawet jeśli serwer dysponuje tyko jednym łączem WAN. Kiedy jedno z połączeń klienckich zaniknie router zdalny przełącza się na łącze zapasowe. Trunk backup może być również zestawiony do dwóch niezależnych serwerów VPN, które po swojej stronie będą posiadały skonfigurowany routing i dostęp zdalny.

W przypadku trunka VPN load balance komunikacja pomiędzy odległymi lokalizacjami VPN będzie odbywała się jednocześnie na dwóch linkach VPN.

Oprócz możliwości rozłożenia ruchu sieciowego po stronie WAN Vigor 2960 posiada bardzo rozbudowaną i konfigurowalną sekcję związaną z zarządzaniem przepustowością - QoS. Mechanizm pozwala na konfigurację i podział łącza w zależności od typu ruchu sieciowego, usług czy portów zarówno ruchu przychodzącego jak i wychodzącego. Poszczególne tryby definiujemy w zakładkach Incoming Filter oraz Outgoing Filter. W zakładkach owych ustawiamy poszczególne reguły związane z określonymi usługami, portami lub adresami źródłowymi i docelowymi.

By jednak każdy z filtrów mógł spełnić swoją rolę i być aktywny powinien zostać dodatkowo dokonfugirowany przy pomocy profili/klas. Te czynności wykonujemy w zakładkach Incoming Class oraz Outgoing Class. W sekcji Outgoing Class mamy bardzo rozbudowany system przydzielania priorytetu od 1-7. Klasy od 6 i 7 będą miały największy priorytet a co za tym idzie przydzielone i zarezerwowane pasmo transmisji. W przypadku klas 1-5 ustawienia QoS określamy wagowo. Właściwy dobór parametrów zależy tylko i wyłącznie od nas a kształtowanie ruchu wychodzącego i przychodzącego na podstawie wagi poszczególnych priorytetów może być odmienna dla każdej sieci LAN. Tak stworzone klasy możemy następnie użyć w filtrach.

Mechanizm QoS w DrayTeku pozwala również na limitowanie sesji NAT - czyli router decyduje ile maksymalnie sesji może nawiązać określony host w sieci LAN. Jest to przydatne rozwiązanie w sieci, w której użytkownicy intensywnie wykorzystują programy czy systemy P2P. Dzięki odpowiedniej konfiguracji ruchu wychodzącego i przychodzącego w sekcji Incoming/Outgoing Class oraz limitowaniu sesji możemy w dość prosty sposób ograniczyć znacznie obciążenie łącza przez tego typu aplikacje. Dodatkowo router pozwala na zdefiniowane informacji administracyjnej wyświetlanej w przypadku przekroczenia limitu sesji. Dodatkowo blokadę i ograniczenia można stosować używając obiektów czasowych z menu Object Setting, np. zabronić nawiązywania dużej liczby sesji w godzinach pracy a zezwolić na nawiązywanie po godz. 20.00.

W ostatniej zakładce zarządzania pasmem znalazła się sekcja Bandwidth Limit. To najprostszy mechanizm kształtowania ruchu sieciowego. W sekcji tej możemy zdefiniować zakresy adresów IP, którym przydzielimy określony maksymalny download i upload, dodatkowo poparty harmonogramami czasowymi. Dla wszystkich komputerów, które nie zostały uwzględnione w regułach limitowania pasma możemy aktywować Smart Bandwidth Limit oraz zastosować regułę limitowania sesji oraz pasma jednocześnie. Reguła zostanie aktywowana w momencie gdy zostanie spełniony limit przekroczenia sesji o określoną wartość. W tym czasie zostanie założony limit prędkości łącza na ruch wychodzący i przychodzący.

Jak przystało na router do profesjonalnych zastosowań Vigor 2960 dysponuje bardzo rozbudowanymi narzędziami administracyjnymi. W sekcji Applications odnajdziemy możliwość uruchomienia usługi DDNS. Co ciekawe producent przygotował opcję utworzenia do 10 profili u różnych operatorów DDNS. Możemy tu także uruchomić IGMP Proxy, obsługę UPnP oraz budzenie urządzeń obsługujących Wake On LAN (wcześniej należy skonfigurować funkcję Bind IP to MAC).

W sekcji System Maintenance zostały zgromadzone wszystkie niezbędne opcje związane z administracyjną częścią urządzenia. Możemy tu zatem zmienić hasło administratora, zapisać lub wgrać konfigurację routera, ustawić czas i datę, dokonać aktualizacji oprogramowania router czy zrestartować urządzenie. Router umożliwia również gromadzenie logów systemowych zarówno w pamięci lokalnej jak i przekierowanie ich do serwera Syslog możliwe jest także ustawienie powiadomień poprzez mail.

W zakładce Access Control router pozwala na aktywację lub ograniczenie dostępu do routera poprzez określone porty. Można również wyłączyć odpowiedź na ping z sieci WAN a także LAN. Dodatkowo zarządzanie routerem można wykonywać poprzez połączenie szyfrowane i tylko z określonych hostów. Jak na prawdziwy router przystało część zadań administracyjnych możemy wykonać przy użyciu konsoli poprzez połączenie poprzez SSH, Telnet lub konsolę WEB.

Elementy narzędziowe routera zostały umieszczona w zakładce Diagnostics. Możemy tu podejrzeć tablicę routingu, ARP oraz DHCP oraz nawiązane sesje NAT. Router w postaci wykresów prezentuje zajętość pamięci RAM, obciążenie procesora a także aktywność na poszczególnych interfejsach. Z kolei w sekcji Data Flow Monitor możemy przejrzeć aktualnie podłączonych klientów oraz wykorzystanie przez nich łącza.

Procedurę testową w przypadku Vigora 2960 ograniczymy do testów wydajnościowych kopiowania plików pomiędzy dwoma komputerami znajdującymi się w sieci LAN oraz dla komputerów będących za NAT-em i portem WAN. Dodatkowo wykorzystamy narzędzie iperf do zbadania przepustowości przełącznika LAN oraz portu WAN. Wszystkie porty sieci WAN oraz LAN zostały ustawione w tryb 1000 Mbps full duplex. Router posiadał domyślnie wyłączoną zaporę sieciową, a także nie posiadała skonfigurowanych reguł QoS.

• System operacyjny: Windows 7 Professional 64-bit
• Procesor: Intel Core 2 Duo 2,26 GHz
• Pamięć RAM: 6 GB
• Dysk twardy: SSD OCZ Vertex Plus
• Sieć ethernet 1000 Mbps

HP ProLiant MicroServer N36L - jako serwer będący w sieci LAN za NAT

• System operacyjny: Windows Server 2008 R2 64-bit
• Procesor AMD Athlon II NEO N36L
• Pamięć RAM: 8 GB
• Dysk twardy: RAID 0 (2 x 2 TB Seagate)
• Sieć Intel 1000 Mbps

Na potrzeby testu kopiowaliśmy dane z i na serwer, próba obejmowała 3 testy: duże pliki (>2 GB), nieduże pliki (3-5 MB), małe pliki (1-2 KB). Do tego celu wykorzystaliśmy protokół CIFS/SMB. Z kolei test iperf został przeprowadzony dla pojedynczego obciążenia, trybu dual (transmisja w obydwie strony), transmisja wielowątkowa. Zastosowane w Vigorze 2960 układy ethernetowe trzeciej warstwy Atheros AR8327 ze sprzętowym wsparciem NAT dobrze radzą sobie z transmisją danych szczególnie w przypadku wielowątkowych operacji. Jak łatwo zauważyć z testów iperf zajętość pasma w teście 3 wątków LAN było na poziomie 303 Mbps - co daje niemal całkowite wysycenia łącza. Nieco gorzej (co nie oznacza źle) sprawdza się komunikacja WAN-LAN. Transmisja 3 wątków jednocześnie realizowana była poziomie 270-280 Mbps. Co daje nieco ponad 820 Mbps sumarycznego transferu. Podobne wyniki osiągnęliśmy podczas wykonywania typowych operacji kopiowania plików.

DrayTek Vigor 2960 to zaawansowane rozwiązanie przeznaczone przede wszystkim dla niewielkich i średnich firm. Router świetnie sprawdzi się również w rękach bardzo wymagającego użytkownika domowego. Dużym plusem jest dwuportowy WAN z funkcją load balance i WAN failover, tworzenie VLAN-ów oraz wszechstronna możliwość tworzenia różnych konfiguracji VPN. Interfejs Vigora nie należy do najbardziej intuicyjnych jednak poznaniu jego możliwości a szczególnie możliwości QoS oraz zapory sieciowej będziemy stawiać te funkcje za wzór dla innych routerów tej klasy.